第一部分 我国内部控制体系综述
1.1内部控制概念与发展
1.1.1内部控制的定义
由于内部控制失效,导致了部分曾经名噪一时的跨国公司倒闭,如美国安然公司,迈朗公司等。社会各界开始认识到内部控制的重要性,随之加强了对内部控制的研究,推动了内部控制理论的发展。随着内部控制理论的产生及不断发展,企业界,管理层,审计师,政府监管部门乃至国际监管组织等各部门分别对内部控制提出了自己的理论主张,也产生了不同的定义。中国注册会计师协会(1997年《独立审计具体准则第9号——内部控制和审计风险》)将内部控制定义为:内部控制是指被审计单位为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计数据的真实、合法、完整而制定和实施的政策与程序;财政部(2001年《内部会计控制规范——基本规范(试行)》)将内部会计控制定义为:内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律、法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序,这些规范以内部会计控制为主,同时兼顾与会计相关的控制;根据COSO的定义,内部控制是为合理保证企业经营活动的效益性,财务报告的可靠性,法律法规的遵循性,而自行检查,制约和调整内部业务活动的自律系统,其贯穿于经营活动的全部过程。2001年财政部(五部委)《内部会计控制规范—基本规范(试行)》内部控制是指单位为了提高会计信息质量,保护资产的安全,完整,确保有关法律,法规和规章制度的贯彻执行等而制定和实施的一系列控制方法,措施和程序,这些规范以内部会计控制为主,同时兼顾与会计相关的控制。
内部控制从静态角度讲,就是企业为了确保会计信息可靠、企业资产安全和完整、经营效率之提高,以及各种法规制度的有效执行,所制定的各种控制措施、程序和方法。从动态角度讲,就是上述控制措施、控制程序和控制方法的执行,以及实现其会计信息可靠、企业资产安全、经营效率提高、有关法规得以执行等管理目标的过程。
1.1.2内部控制重要作用
在市场经济不断发展和经营情况日益复杂化的现代企业中,内部控制是否健全、有效,已经成为影响企业稳定和可持续发展的关键因素之一,具体来看,内部控制在企业治理与发展过程中的作用主要体现在一下方面:
规范会计行为,保证会计信息的真实和完整:要保证会计信息的真实、完整,就必须建立、健全企业的内部控制制度,可以说,内部控制是会计信息真实、可靠的制度保障
维护资产的安全和完整:防止贪污、舞弊,保证企业资产的安全和完整,是内部控制的基本使命和任务之一,也是内部控制之所以产生的最原始的动因
提高工作效率和经营成效:在健全、完善的内部控制下,每个部门、每个岗位、每个人都有自己的工作职责,而且各个岗位之间的职责是清晰、明确的,岗位之间的衔接点和衔接方法是事先约定的,部门之间、岗位之间可避免相互推诿和内耗
保证国家法律、法规和企业内部规章制度的贯彻执行:国家的法律、企业的规章制度都是为了维护宏观、微观经济秩序而进行的一种制度安排为宏观经济运行提供良好的微观基础
1.1.3内部控制的分类
按控制时间分类
事前控制:事前控制是指在财务收支和企业的经济活动尚未发生之前所进行的控制
事中控制:事中控制是指在企业经营活动和财务收支活动发生过程中所实施的一系列控制
事后控制:事后控制是指将企业经济活动和财务收支活动的实际结果与事先设定的标准进行对照,对有关责任中心和责任人进行考核和评价,并根据考核和评价的结果对其进行相应的奖励或惩罚,从而达到奖优罚劣的控制目的
按控制主体分类
出资者的控制:出资者(股东)的控制,是投资人为了保护自己的权益,实现其资本保全和资本增值的目的而对企业经营过程实施的控制活动;
董事会的控制:董事会的控制是指企业的董事会为了实现企业预定的经营目标而对企业生产经营过程和各个责任中心所实施的控制活动;
总经理的控制:总经理的控制是指以总经理(CEO)为主体实施的控制行为;
职能部门的控制:职能部门的控制是指以部门经理和有关岗位负责人为主体实施的控制行为
上述四个层次构成了企业内部控制的严密体系,形成了内部控制的完整链条。在整个控制链条中,最上游的出资者控制和董事会控制,主要侧重于对决策过程的控制;而总经理和职能部门的控制则主要侧重于执行过程中的控制。
按控制对象分类
实体物资的控制:所谓实体物资的控制,就是针对某些具体物资所实施的控制。这种控制的对象在物理上有自己的实体存在形态,通常是可以看得见、摸得着的一些财产物资
业务过程的控制:所谓业务过程的控制,是针对企业的生产经营过程所实施的控制
1.1.4内部控制的发展历程
内部控制理论从1905年L.R.Dicksee提出内部牵制这个概念以来,先后经历了5个阶段,分别为内部牵制阶段,内部会计控制和管理控制阶段,内部控制结构,内部控制整合框架以及企业风险管理整合框架。
第一、内部牵制(20世纪40年代前,萌芽期。手段主要是账目核对,岗位分离):内部控制的初始阶段,其管理目的比较单一,即保证财产物资的安全和完整,防止贪污、舞弊。人们对于内部牵制的认识主要基于两个基本假设,第一,两个或两个以上的人或部门无意识地犯同样错误的几率很小;第二,两个或两个以上的人或部门有意识地合伙舞弊的可能性要大大低于一个人或一个部门舞弊的可能性。这些基于分工与制衡作用的内部牵制制度,一方面有效地减少了错误和舞弊行为,另一方面,由于增强了工作中的专业化程度,也大大地提高了工作的熟练程度和工作效率。通常,企业中出现的内部牵制制度:
实物性牵制:以某种实物的“双控”为手段进行的控制
程序性牵制:以作业程序为手段实行的控制
体制牵制:以管理体制特别是批准体制为手段实行的控制
簿记牵制:利用复式记账法中的借贷平衡性、明细账与总账的平行登记、账实核对等来发现可能存在的舞弊和差错,从而达到牵制的效果
在推动内部牵制向现代内部控制转变与发展的过程中,除了企业管理的深化、会计信息披露的要求等因素外,审计思想的发展和审计模式的变革也是促使内部控制发展的重要动力之一。
第二、内部会计控制和管理控制(20世纪40年代到70年代,成长期:会计控制,管理控制),基本含义是企业为了实现经营管理上的特定目的,按照一定的业务程序而制定和实施的一系列控制政策与措施。
20世纪40年代把内部控制定义为:“内部控制包括组织结构及该组织为保护其财产安全,检查其会计资料的准确性和可靠性,提高经营效率,保证既定管理政策得以实施而采取的所有方法和措施。”
20世纪50年代内部控制主要是指与企业的经营效率提升、管理政策落实等相关的控制制度;
20世纪70年代内部会计控制包括(但不限于)组织规划、保护资产安全以及与财务报表可靠性有关的程序和记录
第三、内部控制结构(20世纪40年代到80年代,发展期,包括控制环境,会计制度,控制程序):
控制环境,反映出董事会、管理者、业主和其他人员对控制的态度和行为;
会计制度,规定各项经济业务的确认、归集、分类、分析、登记和编报方法;
控制程序,即管理当局所制定的政策和程序,用以保证达到一定的控制目的
第四、内部控制整合框架(20世纪90年代至今,成熟期:控制环境,风险评估,控制活动,信息沟通,监控):内部控制框架论与内部控制结构论相比已经有很大进步,甚至可以说是内部控制发展史上的一个里程碑。其进步主要体现在
内部控制的范围更加广泛,涵盖面更广
内部控制框架论阶段对风险的管理尤其重视,已经把内部控制和风险管理结合在一起,从风险管理的角度论述内部控制的意义和运行机制
从动态的角度来描述内部控制,把内部控制视为为实现企业目标而提供合理保证的过程
第五、企业风险管理整合框架(2004年开始至今,融合期:控制环境,目标设定,事件识别,风险应对,风险评估,控制活动,信息沟通,监控):该框架发展的总趋势是内部控制的范围越来越广,与企业风险管理的联系越来越紧密,从发展时序上讲,《企业风险管理框架》是对内部控制的重要拓展和延伸,包含了内部控制的范围和内容
以下详细介绍内部控制整合框架和企业风险管理整合框架的发展历程及基本要求
内部控制整合框架
1985年COSO(COSO是美国全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写,是致力于通过商业道德、有效的内部控制和公司治理来改进财务报告质量的民间组织。1985年COSO成立,目的是共同发起组建美国反欺诈财务报告委员会。)成立,五大成员机构为:美国注册会计师协会(American Institute of Certified Public Accountants),美国会计师学会(American Accounting Association),美国财务执行官协会(Financial Executive Institute),国际内部审计师协会(The Institute of Internal Auditors),美国管理会计师协会(Institute of Management Accountants)
1992年出台COSO内部控制——整合框架,三大目标:
经营的效果和效率(运营)
财务报告的可靠性(报告)
遵从适用的法规(合规)
五大要素:
内部环境(Control environment):构成一个企业的氛围,是其他内部控制要素的基础,主要包括:
a) 诚信和道德价值观
b) 致力于提高员工工作能力及促进员工职业发展的承诺;
c) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性,成员的经验和身份,参与和监督活动的程度,行为的适当性;
d) 管理层的理念和经营风格;
e) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程;
f) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。
g) 人力资源政策及程序。
风险评估(Risk assessment):风险是指任何可能影响实现目标的因素,风险评估是识别和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础,包括风险识别、风险分析、风险应对
控制活动(Control activities):是为防范风险所采取的措施和行动,包括组织机构、政策、标准、流程的建立, 授权、批准,复核经营业绩,资产保护措施,职责分离。控制活动能够抵偿风险
控制活动类型包括:针对企业的不同目标,控制活动可以分为以下三个类型:即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动;根据控制活动的不同作用,控制活动又可以分为:预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型;根据组织中实施人员的不同,控制活动也可以分为:高层审批、指导并管理业务活动,信息处理,实物控制,业绩指标分解,责权分配等。
一些重要的控制方法:职责分离控制,授权批准控制,内部报告控制,预算控制,运营分析控制,绩效考评控制
信息与沟通(Information and communication):为了实现控制目标,保证内部控制各个要素的可靠性,以促使员工履行自己的职责。有关信息必须及时沟通。信息沟通贯穿于整个控制 主要包括信息的识别和获取,信息加工和报告,内部沟通和外部沟通。
监控(Monitoring):监督和评估内部控制系统设计合理性和运行有效性,监控的类型包括持续性监督和独立评估。
监控实例:外部审计审查财务报告,内部审计/董事会审查,经营分析与预算比较,客户满意度调查,项目审查
总结:COSO模型是为实现三种目标而设计、在整个组织内适用、五个组成要素为实现目标而交互作用的过程。该框架的发布和广泛采用标志着内部控制开始在理论上和实务上走出审计范畴,从而成为企业整个管理体系的有机组成部分,同时该框架也为企业内部控制评价提供了指导。COSO框架是美国证券交易委员会(SEC)唯一推荐使用的内部控制框架,同时《萨.奥法案》第 404 条款也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准,美国上市公司会计监管委员会(PCAOB)在审计准则中提及了COSO内控框架可以作为评估企业内部控制的标准
企业风险管理(ERM)框架
2004年9月出台COSO企业风险管理(ERM)框架,COSO风险管理框架认为,企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。ERM是一个流程,由企业的董事会、管理层和其他员工共同参与,应用于企业战略制定,识别可能对企业造成潜在影响的事项,并在其风险承受度范围内管理风险,为实现企业目标提供合理保证。COSO风险管理框架在COSO内部控制框架提出的控制环境、风险评估、控制活动、信息与沟通、监督等五项要素的基础上,增加了目标设定、事项识别和风险反应三个要素,使风险管理的组成要素增加为八个。与COSO内部控制框架相比,COSO风险管理框架提出的风险管理目标包括不仅包括COSO内部控制框架所提出的经营目标、财务报告目标和合法合规目标,还将企业的战略目标纳入其中;同时,COS0内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而COSO风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;既包括企业内部管理者使用的报告,也包括向外部提供的报告;既包括法定报告,也包括向其他利益相关者年的非法定报告;既包括财务信息,也包括非财务信息。
四大目标:
·战略目标
·经营目标
·报告目标
·合规目标
八大要素:
·内部环境
·目标设定
·事件识别
·风险评估
·风险应对
·控制活动
·信息沟通
·监控
其他内部控制框架:
加拿大COCO控制指南
加拿大的COCO控制指南也是目前国际上运用比较多的内部控制理论框架。COCO指南指的是由加拿大特许会计师协会(CICA)负责的控制规范委员会(Criteria of Control Board,简写为coco)发布的“控制指南"(Guidance on Control,以下简称“COCO指南”)。COCO将“内部控制"的概念扩展到“控制”,其定义为“是一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标”。
COCO对内部控制及其监督评价的理解明确了以下几点:企业的内部控制评价需要企业内所有成员的参与,包括董事会、管理层和所有其他员工;企业的内
部控制评价对达成企业的内控目标只能提供合理的保证,而不是绝对的保证,这是因为控制本身存在内在的缺陷,如存在人为的错误或成本、效益约束等;内部
控制的根本目的是创造财富,而不只是单纯地控制成本;有效的控制需要保持独立和整体、稳定和适应变化之间的平衡。
英国Turnbull指南
Turnbull指南是英国企业的内部控制框架。英国于1994年发布Cadbuw报告,正式名称为《内部控制和财务报告》。《报告》指出,内部控制为保障未经授权处置的资产、保持组织采用的会计记录的适当性以及财务信息的可靠性提供了保证。与COSO框架相比,英国内部控制的目标是保障股东投资与公司资产的安全。因此,英国的Turnbull指南更倾向于保护股东的利益,更重视防范风险。Turnbull指南所阐述的内部控制系统包括:控制环境、控制活动、信息与沟通过程、监督内部控制系统持续有效性的过程。指南也指出,内部控制监督评价系统应当嵌入公司的经营中,并成为其文化的一部分;能够对由公司内部因素引发的业务风险、内控缺陷以及商业环境的变化迅速作出反应。同时内部控制评价报告需将确认的重大控制缺陷以及正在采取的纠正措施向适当层级的管理者报告。
1.1.5内部控制与风险管理的比较
内部控制与风险管理一直存在着必然的关系。内部控制从产生之日起就是作为风险管理的手段而存在的,而且也是随着风险管理的需要而不断发展的。风险管理不同于内部控制之处在于,典型的风险管理比较关注特定业务的战略评审,旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。而内部控制中的信息与沟通尽管也需要进行风险管理,但它本身可以不理解为风险管理的内容。
内控是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,鼓励坚持既定的管理政策,促进企业实现发展战略。内部控制五要素:控制环境、风险评估、控制活动、信息与沟通、监控
风险管理是指生产过程中对可能遇到的各种风险因素进行识别、分析、应对,以最低成本实现最大的安全保障的过程。 风险管理由风险识别、量化、评价、控制、监督等过程组成
风险管理(ERM)框架更加具体和细化,风险管理框架将内控控制框架中的控制环境拓展为内部环境,目标设定和事件识别,将风险评估拓展为风险评估和风险应对
内部控制是在假定公司面临的风险基本确定的情况下,主要着眼于内部制度和流程的建设,关键是要求公司的业务遵循既定的风险控制政策,是以风险为导向的内部控制
风险管理是将处于不断变化市场中的公司视为管理对象,着眼于外部环境变化和相应的内部资源配置与运行效率调整,目标是基于市场状况权衡不同领域的风险和回报以实现利润最大化,是基于内部控制的全面风险管理
内部控制与风险管理是体制和机制的关系,仅有内部控制这个体制,而无风险管理的意识,内控就是空架子,缺乏灵魂。有了风险管理意识,而无内控框架,则风险管理失去了科学的管理手段,也容易形成风险管理目标的缺失
内控最重要的目的之一是防范风险,实施风险管理离不开内部控制这一强有力的工具,内控和风险管理都是全员参与的过程,是一个协调统一的机制。
1.2中国内部控制体系发展历程研究
我国内部控制的理论研究起步较晚,直到20世纪80年代我国理论界才开始对这一领域的探索和研究,1997年中国注册会计师协会实施《独立审计具体准则第9号——内部控制和审计风险》,并对内部控制的定义和内容作了规定,但该定义以审计准则的形式给出,主要为审计工作服务,以查错纠弊为主要目的;2000年实施的《中华人民共和国会计法》对会计核算、公司、企业会计核算的特别规定,以及会计监督、会计机构和会计人员的法律责任等主要内容作出了明确规定。要求各单位应当建立、健全单位内部会计监督制度,并对单位内部会计监督提出了权责明确、相互分离,相互制约、相互监督等要求,将内部会计控制作为保障会计信息真实和完整的基本手段之一,为内部会计控制基本规范的制定与实施提供了法律依据;2001年以来,财政部先后颁布了《内部会计控制规范——基本规范(试行)》和六项具体控制规范。《基本规范(试行)》在一定程度上克服了原有内部控制定义局限于审计的缺陷,对促进企业内部控制的建立和完善,改变企业内部控制乏力,保证会计信息质量起到了积极作用;2008年5月22日,财政部、审计署、证监会、银监会、保监会、(以下简称“五部委”)联合颁布了《企业内部控制基本规范》,全面引入巴Ⅰ、巴Ⅲ企业内部控制基本框架,将国际上公认的内部控制八要素的核心内容体现在规定之中;2010年4月15日,五部委又颁布了《企业内部控制评价指引》、《企业内部控制审计指引》以及18个《企业内部控制应用指引》,要求自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。同时鼓励非上市大中型企业提前执行。
基本规范及相关指引的颁布,形成全方位、立体性推进内控体系建设的局面,使我国的企业内控体系成为一个层次分明、内容完整、衔接有序、整体互动的有机统一体。同时,由于五部委的通力合作,使得内控问题从立法规范、标准建设、宣传培训、组织实施到监督检查等有一个良好的沟通协作机制,避免了单纯从某一局部、某一方面入手可能造成的局限和被动,这对加强、规范企业内部控制具有重要意义。
中国内部控制规范历程:
1996年 中国注册会计师协会 《独立审计准则--内部控制与审计风险》
1997年 中国人民银行 《加强金融机构内部控制的指导原则》
1999年 财政部《会计法--第27条》
2000年 证监会《证券公司内部控制指引》
2001年 财政部《内部会计控制规范--基本规范》
2001年 财政部《内部会计控制规范--货币资金》
2002年 中国注册会计师协会《内部控制审核指导意见》
2002年 财政部《内部会计控制规范--采购及应付帐款》(征求意见稿)
2002年 财政部《内部会计控制规范--销售及应收帐款》(征求意见稿)
2002年 财政部《内部会计控制规范--工程项目》(征求意见稿)
2002年 银监会《商业银行内部控制指引》
2003年 审计署《审计机关内部控制测评准则》
2008年 五部委《企业内部控制基本规范》
2010年 五部委《企业内部控制配套指引》
