论文部分内容阅读
摘 要:随着经济全球化趋势的日益加深和我国资本主义市场经济的不断发展,加强企业内部控制建设正成为大势所趋、潮流所向。内部控制评价是内部控制的重要组成部分,也是保证内控制度发挥作用的重要方法。从内部控制评价出发,以COSO内部控制整合框架为基础,首先回顾了内部控制及内部控制评价理论的发展演变,继而分析企业内部控制实施存在的问题,并提出建立健全内部控制评价体系的我见。
关键词:内部控制评价;内部审计;COSO框架
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2011)15-0156-02
1 内部控制评价理论
1.1 内部控制概述
(1)内部控制溯源。
①“内部牵制”阶段。
一般认为,20世纪40年代以前的时期属于“内部牵制”阶段,是内部控制的萌芽时期。内部牵制是指将一项业务交由多人去执行,同时规定业务的交叉检查或交叉控制,客观上造成了业务执行者之间相互牵制的关系,从而减少了错误及舞弊行为的发生。
②“内部控制制度”阶段。
20世纪40年代末至80年代,在内部牵制制度的基础上逐渐产生了内部控制制度的概念。内部控制制度阶段主要以内部会计控制为核心,重点在于建立健全规章制度。
③“内部控制结构”阶段。
20世纪80年代末至90年代初,“内部控制结构”阶段跳出了“制度二分法”的限制,不再区别会计控制和管理控制,并强调了企业经营活动中控制环境的重要性,被认为是内部控制理论研究上的突破性成果。
④“内部控制整合框架”阶段。
20世纪90年代开始,随着财务舞弊案件的频频发生,监管部门出台了一系列指导性法规文件,内部控制理论研究步入成熟时期。
1992年,美国“反对虚假财务报告委员会”下属的发起机构委员会颁布了《内部控制——整合框架》(即COSO报告),并于1994年进行增补,COSO报告堪称内部控制理论发展上的又一里程碑。
(2)内部控制的发展:《萨班斯法案》。
2002年,美国国会通过了《萨班斯法案》。纵观整个法案,最主要的是对企业内部控制提出新的更严格的要求,对企业内部控制及财务成果的披露提出更高更明确的要求,对企业内部控制体系的失效提出了严厉的处罚。
(3)内部控制的发展:企业风险管理框架。
2004年9月,美国正式颁布了《企业风险管理整合框架》,在内部控制整合框架的基础上,该框架将企业风险管理的要素增加到八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控。
1.2 内部控制评价的基本概念及发展历程
内部控制建立之后,企业应该定期对内部控制的有效性进行自我评价。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,财政部等五部委专门制定了《企业内部控制评价指南》。指南第二条规定:“内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。”
(1)内部控制评价的产生与发展。
内部控制评价真正受到关注并得以发展,是与审计需求的不断提高息息相关的。
①内部控制评价引入审计领域。内部控制评价最初受到关注,是因为外部审计师在审计实践中发现可以将内部牵制系统的评价与审计范围、重点等的确定联系起来,利用这种评价可以减少工作量、提高审计效率。
②制度基础审计下的内部控制评价。
19世纪40年代以后,随着内部控制制度在企业内部逐渐形成,制度基础审计也逐步发展起来。在制度基础审计下,内部控制评价作为审计程序的一部分,其目标主要是为审计服务,确定审计范围,提高审计质量和审计效率。
③风险导向审计下的内部控制评价。
20世纪中后期,随着管理舞弊的盛行,审计人员面临的审计风险越来越大,与此同时,不确定性的增加、竞争的激烈等因素导致了被审计单位面临的经验风险越来越大,制度基础审计的弊端逐渐暴露,制度基础审计已不再适合于新的环境。
2 内部控制评价概述
2.1 内部控制评价的内容
COSO框架将内部控制划分为五个相互关联的要素:控制环境、风险评估、控制活动、信息与沟通以及监控。
(1)控制环境。
控制环境是企业的基调和氛围,是其他内部控制组成部分的基础,决定着企业员工的内部控制责任意识,包括管理层的管理理念和经营风格、组织结构、人力资源政策及实践、董事会和审计委员会的参与情况,以及权力和责任的分配等。
(2)风险评估。
风险评估是指对企业内外部相关风险进行识别、分析的过程。企业的生产经营活动处于动态变化的环境中,风险评估可以帮助企业管理者和内部审计人员在必要时采取行动来管理风险。
(3)控制活动。
控制活动是指一系列的政策和程序,存在于整个机构的所有职能部门,为管理层指令的贯彻执行及风险的有效管理提供合理的保证,具体包括批准、授权、查证、核对、经营业绩评价、资产保全及分工活动等。
(4)信息与沟通。
信息与沟通立足于企业中信息的获取和流通。沟通信息应该在企业的各个层面得以传递,以帮助企业管理层掌握公司运营情况,同时有助于企业员工更好的了解自己在内部控制体系中的责任,降低由于信息不对称带来的企业经营成本的提高。
(5)监控。
监控是指对内部控制体系进行评估,以保持其有效性。具体可以通过持续监督、独立评估或两者的结合来实现。
2.2 审计需求下内部控制评价的目标
内部控制评价目标随着审计的发展而变化。早起的审计是以查错防弊为目的,审计人员从公司的账目、凭证出发,进行全面详细的账账核对、账证核对,在那时内部控制评价对于审计的作用尚未受到重视。
而在当今风险导向审计的需求下,内部控制评价目标是通过对控制风险的评价来确定相关的审计程序,从而控制审计风险。审计师的主要目标为向公众揭示被审计单位诸如经营风险、现金流风险等潜在风险,揭示企业未来所面临的不确定性,从而提高利益相关方的决策有效性,避免报表被误读。
2.3 内部控制评价在资本市场中的作用
(1)内部控制评价有助于发现并克服内部控制缺陷。
内部控制本身是不完善的,这不仅仅有制度本身的原因,也因为制度在执行的过程中存在漏洞。这就要求我们进行内部控制评价,找出内部控制的缺陷并有针对性地进行克服。
(2)内部控制评价有助于寻找并改善内部控制薄弱环节。
(3)内部控制评价有助于促进企业健康发展。
内部控制评价既是维持企业生存与发展的内在要求,也是促进企业成功的动力机制。内部控制评价提高了企业内部控制的执行力,有助于形成良好的企业文化、保证组织的核心竞争优势,从而推动企业的健康稳步发展。
(4)内部控制评价的主要途径。
内部审计是企业内部的独立监督、评价活动,是企业内部控制评价的主要途径。内部审计的评价职能体现在两方面:一是可以对企业及各部门组织的经营活动进行分析判断,从而帮助企业改进经营管理水平,增强竞争力;二是可以对企业内部控制的有效性进行评价,从而不断完善企业的内控系统。
3 内部审计在内部控制评价实践中存在的问题
3.1 对内部控制认识不足,内控意识薄弱
随着全球金融危机的蔓延以及监管机构监管力度的加大,不少企业制定了内控制度,并组织企业内部控制的梳理工作,但大部分企业只是在形式上满足监管机构的要求,并未将内部控制融入到日常经营活动中。事实上,多数管理者认为实施内部控制增加了运营成本,使得内控制度流于形式,管理层对内部控制的错误认识往往使得内控制度残缺不全或是得不到真正意义上的应用。在这种条件下要求注册会计师出具内部控制评价报告,存在很大困难,也达不到要求注册会计师出具内部控制评价报告的最初目的。
3.2 内部审计职能弱化,独立性较差
简言之,内部审计是对其他内部控制的再控制,通过协助管理者监督控制政策和程序的有效性,以建立良好的控制环境。笔者曾经对企业内部审计实效性进行了问卷调查,其中43.3%的人员选择了“一般”或“很差”,可见,我国企业内部审计独立性较差,未发挥实质意义。究其原因,主要有几下几点:①由于资金及人事约束,我国内部审计机构一般依附于公司管理层,故而不能客观、真实、有效地开展工作;②由于企业管理层的不重视,内部审计人员专业技能及综合素质与内部审计的要求相差甚远,难以正确识别风险,这将造成企业内控的弱化。
3.3 内部审计的评价标准倾向于定性标准,对内部控制的现状反映不够充分
我国以COSO框架为核心的内部控制体系已经建立,但并没有对内部控制制度有效性评价提供实质性的指导,从而导致不同公司对内部控制有效性的评价缺乏统一的标准。大部分公司的内控评价规范也只是停留在定性标准,很难客观、准确地反映企业内控体系的整体现状,从而使得内部控制的实施效果大打折扣。
4 建立健全内部控制评价之我见
4.1 加强内控意识
大部分企业开展内部控制的最初动机都只是满足监管机构的要求,由于其对内部控制的了解和认识不到位,导致内部控制收不到实效,从而造成成本的增加,却得不到应有的收益,这在一定程度上更进一步使得管理者无法正确认识内部控制的作用。事实上,健全的内控体系将内控理念融入日常生产经营的方方面面,有助于各部门的高效运行及部门间的密切配合,可以更好地实现企业目标;其次,企业管理层可能仅仅考虑到实施内部控制的成本费用,而忽视了内部控制可能带来的潜在收益。因此,企业应该由外部推动转为内部主动,使管理者加深对内部控制内涵的理解,将内部控制无缝嵌入到企业业务活动之中。
4.2 提高内部审计的独立性
充分发挥内部审计的监督及服务职能,保证内部审计的独立性,把审计工作的主要职能从传统的查错防弊转到对企业管理进行分析、评价并提出合理建议上来,另外,内部审计还应该帮助企业“软控制”环境的建设。
4.3 将评价标准定量化
内部控制评价简单来说就是对企业现有的内部控制系统的设计、实施及运行结果进行调查、测试、分析、评价的活动,具有很大的主观性和不精确性,因此,在结合传统评价方法的基础上,应进一步进行定量分析,评价其可行性。
参考文献
[1]胡为民.内部控制与企业风险管理——实务操作指南[M].北京:电子工业出版社,2008,(5):3.
[2] 德勤.风雨中把握好内控的航向——中国上市公司内部控制调查分析报告(2009)[R].2009,(6).
[3] 朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003,(6):11-15.
[4] 张砚.内部控制历史发展的组织演化研究[J].会计研究,2005,(2):76-81.
[5] COSO.Internal Control:Integrated Framework[M].1992:76-98.
[6] Sarbanes P.Oxley M G.Sarbanes-Oxley Act of 2002[M].New York:Public Law,2003,16-19,107-204.
关键词:内部控制评价;内部审计;COSO框架
中图分类号:F23
文献标识码:A
文章编号:1672-3198(2011)15-0156-02
1 内部控制评价理论
1.1 内部控制概述
(1)内部控制溯源。
①“内部牵制”阶段。
一般认为,20世纪40年代以前的时期属于“内部牵制”阶段,是内部控制的萌芽时期。内部牵制是指将一项业务交由多人去执行,同时规定业务的交叉检查或交叉控制,客观上造成了业务执行者之间相互牵制的关系,从而减少了错误及舞弊行为的发生。
②“内部控制制度”阶段。
20世纪40年代末至80年代,在内部牵制制度的基础上逐渐产生了内部控制制度的概念。内部控制制度阶段主要以内部会计控制为核心,重点在于建立健全规章制度。
③“内部控制结构”阶段。
20世纪80年代末至90年代初,“内部控制结构”阶段跳出了“制度二分法”的限制,不再区别会计控制和管理控制,并强调了企业经营活动中控制环境的重要性,被认为是内部控制理论研究上的突破性成果。
④“内部控制整合框架”阶段。
20世纪90年代开始,随着财务舞弊案件的频频发生,监管部门出台了一系列指导性法规文件,内部控制理论研究步入成熟时期。
1992年,美国“反对虚假财务报告委员会”下属的发起机构委员会颁布了《内部控制——整合框架》(即COSO报告),并于1994年进行增补,COSO报告堪称内部控制理论发展上的又一里程碑。
(2)内部控制的发展:《萨班斯法案》。
2002年,美国国会通过了《萨班斯法案》。纵观整个法案,最主要的是对企业内部控制提出新的更严格的要求,对企业内部控制及财务成果的披露提出更高更明确的要求,对企业内部控制体系的失效提出了严厉的处罚。
(3)内部控制的发展:企业风险管理框架。
2004年9月,美国正式颁布了《企业风险管理整合框架》,在内部控制整合框架的基础上,该框架将企业风险管理的要素增加到八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控。
1.2 内部控制评价的基本概念及发展历程
内部控制建立之后,企业应该定期对内部控制的有效性进行自我评价。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,财政部等五部委专门制定了《企业内部控制评价指南》。指南第二条规定:“内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。”
(1)内部控制评价的产生与发展。
内部控制评价真正受到关注并得以发展,是与审计需求的不断提高息息相关的。
①内部控制评价引入审计领域。内部控制评价最初受到关注,是因为外部审计师在审计实践中发现可以将内部牵制系统的评价与审计范围、重点等的确定联系起来,利用这种评价可以减少工作量、提高审计效率。
②制度基础审计下的内部控制评价。
19世纪40年代以后,随着内部控制制度在企业内部逐渐形成,制度基础审计也逐步发展起来。在制度基础审计下,内部控制评价作为审计程序的一部分,其目标主要是为审计服务,确定审计范围,提高审计质量和审计效率。
③风险导向审计下的内部控制评价。
20世纪中后期,随着管理舞弊的盛行,审计人员面临的审计风险越来越大,与此同时,不确定性的增加、竞争的激烈等因素导致了被审计单位面临的经验风险越来越大,制度基础审计的弊端逐渐暴露,制度基础审计已不再适合于新的环境。
2 内部控制评价概述
2.1 内部控制评价的内容
COSO框架将内部控制划分为五个相互关联的要素:控制环境、风险评估、控制活动、信息与沟通以及监控。
(1)控制环境。
控制环境是企业的基调和氛围,是其他内部控制组成部分的基础,决定着企业员工的内部控制责任意识,包括管理层的管理理念和经营风格、组织结构、人力资源政策及实践、董事会和审计委员会的参与情况,以及权力和责任的分配等。
(2)风险评估。
风险评估是指对企业内外部相关风险进行识别、分析的过程。企业的生产经营活动处于动态变化的环境中,风险评估可以帮助企业管理者和内部审计人员在必要时采取行动来管理风险。
(3)控制活动。
控制活动是指一系列的政策和程序,存在于整个机构的所有职能部门,为管理层指令的贯彻执行及风险的有效管理提供合理的保证,具体包括批准、授权、查证、核对、经营业绩评价、资产保全及分工活动等。
(4)信息与沟通。
信息与沟通立足于企业中信息的获取和流通。沟通信息应该在企业的各个层面得以传递,以帮助企业管理层掌握公司运营情况,同时有助于企业员工更好的了解自己在内部控制体系中的责任,降低由于信息不对称带来的企业经营成本的提高。
(5)监控。
监控是指对内部控制体系进行评估,以保持其有效性。具体可以通过持续监督、独立评估或两者的结合来实现。
2.2 审计需求下内部控制评价的目标
内部控制评价目标随着审计的发展而变化。早起的审计是以查错防弊为目的,审计人员从公司的账目、凭证出发,进行全面详细的账账核对、账证核对,在那时内部控制评价对于审计的作用尚未受到重视。
而在当今风险导向审计的需求下,内部控制评价目标是通过对控制风险的评价来确定相关的审计程序,从而控制审计风险。审计师的主要目标为向公众揭示被审计单位诸如经营风险、现金流风险等潜在风险,揭示企业未来所面临的不确定性,从而提高利益相关方的决策有效性,避免报表被误读。
2.3 内部控制评价在资本市场中的作用
(1)内部控制评价有助于发现并克服内部控制缺陷。
内部控制本身是不完善的,这不仅仅有制度本身的原因,也因为制度在执行的过程中存在漏洞。这就要求我们进行内部控制评价,找出内部控制的缺陷并有针对性地进行克服。
(2)内部控制评价有助于寻找并改善内部控制薄弱环节。
(3)内部控制评价有助于促进企业健康发展。
内部控制评价既是维持企业生存与发展的内在要求,也是促进企业成功的动力机制。内部控制评价提高了企业内部控制的执行力,有助于形成良好的企业文化、保证组织的核心竞争优势,从而推动企业的健康稳步发展。
(4)内部控制评价的主要途径。
内部审计是企业内部的独立监督、评价活动,是企业内部控制评价的主要途径。内部审计的评价职能体现在两方面:一是可以对企业及各部门组织的经营活动进行分析判断,从而帮助企业改进经营管理水平,增强竞争力;二是可以对企业内部控制的有效性进行评价,从而不断完善企业的内控系统。
3 内部审计在内部控制评价实践中存在的问题
3.1 对内部控制认识不足,内控意识薄弱
随着全球金融危机的蔓延以及监管机构监管力度的加大,不少企业制定了内控制度,并组织企业内部控制的梳理工作,但大部分企业只是在形式上满足监管机构的要求,并未将内部控制融入到日常经营活动中。事实上,多数管理者认为实施内部控制增加了运营成本,使得内控制度流于形式,管理层对内部控制的错误认识往往使得内控制度残缺不全或是得不到真正意义上的应用。在这种条件下要求注册会计师出具内部控制评价报告,存在很大困难,也达不到要求注册会计师出具内部控制评价报告的最初目的。
3.2 内部审计职能弱化,独立性较差
简言之,内部审计是对其他内部控制的再控制,通过协助管理者监督控制政策和程序的有效性,以建立良好的控制环境。笔者曾经对企业内部审计实效性进行了问卷调查,其中43.3%的人员选择了“一般”或“很差”,可见,我国企业内部审计独立性较差,未发挥实质意义。究其原因,主要有几下几点:①由于资金及人事约束,我国内部审计机构一般依附于公司管理层,故而不能客观、真实、有效地开展工作;②由于企业管理层的不重视,内部审计人员专业技能及综合素质与内部审计的要求相差甚远,难以正确识别风险,这将造成企业内控的弱化。
3.3 内部审计的评价标准倾向于定性标准,对内部控制的现状反映不够充分
我国以COSO框架为核心的内部控制体系已经建立,但并没有对内部控制制度有效性评价提供实质性的指导,从而导致不同公司对内部控制有效性的评价缺乏统一的标准。大部分公司的内控评价规范也只是停留在定性标准,很难客观、准确地反映企业内控体系的整体现状,从而使得内部控制的实施效果大打折扣。
4 建立健全内部控制评价之我见
4.1 加强内控意识
大部分企业开展内部控制的最初动机都只是满足监管机构的要求,由于其对内部控制的了解和认识不到位,导致内部控制收不到实效,从而造成成本的增加,却得不到应有的收益,这在一定程度上更进一步使得管理者无法正确认识内部控制的作用。事实上,健全的内控体系将内控理念融入日常生产经营的方方面面,有助于各部门的高效运行及部门间的密切配合,可以更好地实现企业目标;其次,企业管理层可能仅仅考虑到实施内部控制的成本费用,而忽视了内部控制可能带来的潜在收益。因此,企业应该由外部推动转为内部主动,使管理者加深对内部控制内涵的理解,将内部控制无缝嵌入到企业业务活动之中。
4.2 提高内部审计的独立性
充分发挥内部审计的监督及服务职能,保证内部审计的独立性,把审计工作的主要职能从传统的查错防弊转到对企业管理进行分析、评价并提出合理建议上来,另外,内部审计还应该帮助企业“软控制”环境的建设。
4.3 将评价标准定量化
内部控制评价简单来说就是对企业现有的内部控制系统的设计、实施及运行结果进行调查、测试、分析、评价的活动,具有很大的主观性和不精确性,因此,在结合传统评价方法的基础上,应进一步进行定量分析,评价其可行性。
参考文献
[1]胡为民.内部控制与企业风险管理——实务操作指南[M].北京:电子工业出版社,2008,(5):3.
[2] 德勤.风雨中把握好内控的航向——中国上市公司内部控制调查分析报告(2009)[R].2009,(6).
[3] 朱荣恩,贺欣.内部控制框架的新发展——企业风险管理框架——COSO委员会新报告《企业风险管理框架》简介[J].审计研究,2003,(6):11-15.
[4] 张砚.内部控制历史发展的组织演化研究[J].会计研究,2005,(2):76-81.
[5] COSO.Internal Control:Integrated Framework[M].1992:76-98.
[6] Sarbanes P.Oxley M G.Sarbanes-Oxley Act of 2002[M].New York:Public Law,2003,16-19,107-204.