如何理解内部控制的定义篇1
关键词内部控制模式;交易成本经济学;理论
abstractthestructureofinternalcontrolistheformidableobstacleoftheresearchandpracticeofinternalcontrol.thispaperanalyzestheeconomyofinternalcontrolandhowtochoosetheproperstructureofinternalcontrol.Basedontheeconomytheory,thisresearchcomparestwodifferenttheoriesforinternalcontrolbeforechoosingthetransactioncosteconomics.Fromtheperspectiveoftransactioncosteconomics,thestructureofinternalcontrolisanalyzed.assetsspecialtyanduncertaintyarethemainfocusoftheanalysis,whichalsoleadstotheadaptivechoiceofthestructureofinternalcontrol.
KeywordsStructureofinternalcontro;transactioncosteconomics;agencytheory
如何为不同的组织选择内部控制模式,是一个长期困扰内部控制研究的问题。现有内部控制研究要么关注内部控制观念等理论框架的探讨,要么关注内部控制具体方法和技术等实务操作的研究,而对于内部控制模式的研究则相对缺乏。内部控制模式反映内部控制系统运作机制和机理与方式、方法,在内部控制研究过程中,起到承接理论框架和实务操作的作用。内部控制模式的确立需要以坚实的基础理论作为支撑,因而与内部控制理论研究关系密切;内部控制模式的选择与企业的具体环境相关,直接付诸实务操作,因而与内部控制实务操作密不可分。对企业内部控制模式进行深入分析,有助于将内部控制基础理论和实务操作衔接起来,对于推动内部控制研究的发展和应用具有重要的理论价值和实践意义。
一、内部控制的经济学基础
对于企业内部控制模式进行研究,首先需要弄清内部控制的经济学基础。内部控制模式研究没有很好展开,归根结底是用来分析内部控制的经济学基础存在缺陷造成的。在内部控制研究过程中,大量的学者选择理论作为内部控制分析的经济学基础。虽然理论也涉及企业组织内部设计问题,但是理论本身的属性决定其不是内部控制分析的最佳理论工具。相比之下,交易成本经济学更为合适。这主要是由于内部控制的经济属性以及理论和交易成本经济学的差异造成的。
现有的研究从契约经济学的角度出发进行分析,认为企业是一系列不完备契约的集合,内部控制是企业内部弥补契约不完备性,以降低企业交易成本的机制[3]。将内部控制的本质解释为企业内部降低交易成本的机制,从而导致作为生产组织模式,企业比公司更有效率,这种解释科学地说明了内部控制的经济属性。在这种背景之下研究内部控制问题,交易成本经济学比理论更为恰当。
1.分析的基本单位
理论的分析以单个人为基本的分析单位,而交易成本经济学以交易为基本的分析单位。这种分析基本单位的不同,造成了两种理论所关注的焦点的不同。理论关注的是企业最终控制权的归属和所有权在不同层级间的分配。比如,如何构建合理的股权结构,保证公司股东利益的不受到侵害,等等;交易成本经济学则关注如何降低每次交易的成本,从而保持企业作为经济组织形式,相对于市场的经济优势。内部控制的实质是企业节约交易成本的一种内在机制,控制权的归属和分配问题不是解决内部控制研究的核心问题。如果采用理论进行分析,以所有权的弱化作为分析问题的基本着眼点,难免会把对内部控制的分析引入歧途。
2.对组织问题的关注
理论把企业看成的是一系列的契约,很少如何解决关注企业组织内部争端问题,认为可以通过“事后清偿”来解决组织内部的争端。比如,当企业内部出现问题之后,可以在事后通过法律诉讼来解决问题。交易成本经济学则将企业看成是一种治理结构,将关注的中心放在如何建立避免争端和处理争端的机制上,认为任何需要诉讼来解决的企业内部争端都可以通过事先构建完善的内部控制结构加以避免。企业的内部控制是渗透在企业的日常生产和管理工作全过程中的,如果寄希望于通过“事后清偿”来解决问题,那么当企业组织在生产经营中遇到问题时,内部控制将难以真正发挥作用。按照交易成本经济学的思路,适应企业的内部控制需要对企业所面对的环境进行全面的分析,精心构造一种制度安排,使得企业能够在将来可能遇到的困境条件下,仍然能够良好的运行。
3.对成本的主要关注
理论和交易成本经济学都对企业的成本问题给予很大的关注。理论关注的主要是剩余损失,交易成本经济学关注的是适应不良损失。剩余损失在整个生产过程中很难以进行计算,只有在完成全部生产过程后加以考察。同时,剩余损失是从企业所有者的角度来考察的,这种损失主要是对企业所有者剩余索取权的影响,对于整个企业来看,并不造成深远的影响。交易成本经济学中的适应不良损失,针对整个交易过程中的情形,关注由于内部控制结构不适当,在每次具体的交易过程中造成的损失。内部控制作为企业的管理控制工具,其目的是矫正企业日常运行的偏差,是企业更为顺利的向既定的组织目标前进。适应不良成本理所当然地成为内部控制的关注焦点。
4.研究的起点不同
理论的研究起点是公司的所有权和经营权相分离,隐含着企业本身已经存在的前提假设。在这种假设下,内部控制的意义在于如何提高企业的价值。交易成本经济学研究的起点是企业的纵向一体化,将企业作为取代市场的生产组织方式。因此,在交易成本经济学的观点中,企业并不是已经存在的实体,而是与市场并列作为可供选择的生产组织方式。当企业不能通过内部控制来有效降低交易成本时,随时都可能会被市场所取代。从这个意义上来看,采用交易成本经济学的观点来分析内部控制,提供了更为广阔的研究视野--内部控制成为企业能够存在的根本原因。
根据以上分析,从经济学基础的角度来看,交易成本经济学能够更为有效的支撑内部控制的理论研究。因此,本文将通过交易成本经济学的观点来分析企业的内部控制模式。
二、内部控制模式的分析
交易成本经济学通过对企业组织生产的不同方式进行比较来开展研究,其目标在于揭示为什么有些交易是在某类型组织中进行的,而其他的交易是在另一类型组织中开展。交易成本经济学给出答案是,之所以一类特殊的内部控制模式用来解决一类特殊的交易,原因是在于,这种内部控制模式提供一系列在其他内部控制模式中无法复制的控制手段,这些控制手段能够与这些控制活动相匹配。因此,交易成本经济学认为在不同的企业中交易是不同的,而不同内部控制模式在解决问题的能力上有差异,因此这种联系解释两者之间匹配程度的效果和效率。
交易成本经济学的基本假设是:有限理性和机会主义。有限理性的核心在于尽管人们倾向于理性的去采取行动,但是他们的决策很难在新古典经济学的框架下达到最优,因为人们缺乏做出这种最优决策的认知能力和计算能力。机会主义是通过采用诡计来获得自身利益。交易成本经济学没有假设机会主义是人类的特点之一,而是假设有些人在有些时候会有机会主义的倾向。如何对这些人区别对待在事先是不清楚,企业内部各方的实际行动可以描述假定存在机会主义并尽全力去避免事后发生负面的意外事件。
在给定有限理性和机会主义的前提下,内部控制模式的性质和范围与交易的特性相联系。交易可以从三方面来辨别:①交易中资产专用程度;②交易不确定性(包括与其类似复杂性);③交易的频率。资产专用性是指由于提前终止契约,造成机会损失的程度。在缺乏足够强有力保险人的情况下,这种损失的价值会受到机会主义的威胁,因此提供一个衡量机会主义潜在收益和发生这种行为的激励程度的指标。不确定性指业绩特殊性的程度和企业环境的可预测性。频率在交易成本经济学中没有特殊含义,因此在分析内部控制模式时不加以考虑。
交易成本经济学中关于交易的两个属性,资产专用程度和不确定性可以用来分析企业的交易特点,进而判断企业应当采用的内部控制模式。但是,资产专用程度和不确定性只是理论框架中比较抽象的概念,在具体实务中的操作性较差。为此,我们分别选择企业资源的稀缺程度(或者容易获得程度)和所处行业的成熟水平作为替代指标。稀缺程度越高,资源向其他企业流动的可能性越大,企业失去资源所造成的损失也越大,即资产的专用程度越高;反之亦然。而行业成熟度越高,企业所处环境的可预测性越强,业绩也越容易进行判断,即交易不确定性低;反之亦然。根据交易的属性不同,企业可以被划分为四种类型,见表1。
三、内部控制模式的选择
内部控制模式的选择应当将内部控制模式与企业的交易类型结合起来。张先治(2004a)提出了四种类型的内部控制模式:制度控制、预算控制、评价控制和激励控制,并指出这四种控制模式各自可作为独立控制系统进行运作。从交易成本经济学的观点来看,这四种内部控制模式,分别与前述的四种交易特点相对应,见表2。
制度控制是指企业通过规章、条文的形式规范和限制企业各级管理层与全体员工的行为。制度控制适用于资产专用程度低、不确定也较低的企业。这类企业内部的人员流动和设备的更换不会造成严重的影响,大部分的人力资源都是同质的低成本劳动力,物质资源相对容易获得。企业产品的外部环境很稳定,不会有波动。这类企业大部分是劳动力密集型企业。在这种条件下,企业需要采用制度的方法将各项活动规则化,只要按照既定的制度做好自己的工作即可达到控制效果。
预算控制是指通过预算计划的形式反映组织的目标和经济行为过程,调整与修正管理行为与目标偏差。预算控制适用于资产专用程度低、不确定性较高的企业。在这类企业中,资源相对充足,比较容易获得,因此生产过程基本上实现程序化模式化,需要进行的控制并不多。而由于所处行业成熟度比较低,面临的环境会发生变化,企业需要根据外部环境的变化不断进行调整。内部控制的主要目的是与外部变化的环境相适应。通过制定预算来确定不同市场环境下,企业的生产方案,协调内部生产过程与外部不确定性环境,使两者相互适应,从而保证企业的生存与发展。
评价控制是指组织通过评价的方式规范组织中各级管理者及员工的目标和行为。评价控制适用于资产专用性较高、不确性较低的企业。资产专用性较高,说明企业的资源相对较为稀缺,因此要关注资产的利用效率,确保各项资源的效率得到最大限度的发挥。而不确定性较低,说明行业成熟度较高,影响业绩的外部因素相对较少,能够相对比较容易剔除外部环境因素的影响,判断主观因素对业绩的影响。确定的评价业绩从而达到控制的目的。
激励控制是指通过设计适当的奖酬形式和工作环境,来激发、引导和规范组织的行为。激励控制适用于资产专用性较低、不确定性较高的企业。资产稀缺程度比较高,要求企业必须尽力保留各项资产,并充分提高其利用效率。但是由于企业所处的行业成熟度较低,评价业绩的难度较大,只能通过激励来完成控制,因此激励控制是最恰当的控制模式。
参考文献
[1]李宜静.我国内部会计控制研究概要[J],财会月刊,2006.11.
[2]王海林.价值链内部控制模型研究[J],会计研究,2006.2.
[3]刘明辉、张宜霞.内部控制的经济学思考[J].会计研究,2002,8.
[4]刘玉廷.内部会计控制规范:单位内部会计监督的里程碑.中国财经报-财会世界,2001,7月12日.
[5]张先治.多角度透视内部控制[J].会计师,2004,7.
[6]张先治.内部管理控制与内部会计控制[J].新理财,2004,1.
[7]张湘洲.2003.管理控制论.东北财经大学会计学院博士论文打印稿.
[8]张惠利、孙琦、何杰刚.浅谈内部控制在会展中心的应用[J].财会通讯(理财版),2008,(01):82-83.
如何理解内部控制的定义篇2
自2010年开始,何继昌的身份有所转变,从远洲集团财务总监转做集团监事会主席并监控集团经营和财务风险。到2012年利用两年的时间,何继昌率领远洲集团管理层建立起一套极其完整的覆盖全部业务环节的内控体系。在这个内控体系中,何继昌打破了原来内控系统单独运行的传统,将内控嵌入到原来的管理系统中,集成为一体化的系统。“这是回归到内控基本思想的原点,即内部控制是管理控制的一部分,是过程控制管理,因此要嵌入到管理系统中去。”
远洲集团是一家集高星级连锁酒店投资经营管理、房地产开发以及商贸物流三大产业于一体的的企业集团,目前已经在浙江、上海、安徽、辽宁、江西、内蒙古等泛长三角、环渤海以及中西部地区的成长型二三线城市区域拥有超过20家分(子)公司与合作企业。现在集团净资产有20多亿元,年销售额30亿左右,属于典型的中型民企。
谈及从2010年起从集团监事角度兼管资金的感受,何继昌表示,“一般来说,企业规模(总资产)在20亿元以内的中小型民营企业的财务总监基本上80%的时间和精力是用在融资上而不是资金管理,如果企业发展到如远洲集团这样总资产到50多亿元的话,才能谈到资金运作管理,现在远洲集团的每年利润在1亿多元,公司最关心的其实是资金的安全,每年利润多几千万少几千万并不是老板最关心的问题,他更加关注的是这些庞大的资产是否安全,企业是否在一个安全的状态下运营。”
多位一体的设计思想
自从何继昌开始主抓企业内控和资金管理以来,一个多位一体的内控设计体系就在他脑海里不断完善。
何继昌表示,远洲集团在2010年开始研究集团内部控制体系模型时,调研到国内多数企业为控制而控制,导致控制设计不合理,出现控制过度或控制冗余,内部控制体系建设与管理体系运行发生冲突,内部控制、质量管理、制度管理等体系各自为政、管理成本居高不下等种种弊端。
何继昌认为,传统的内控是一个单独的体系,就像很多企业的iS09000体系一样,但是这种独立的内控体系运营成本很高,跟其他独立管控系统(比如iS09000质量控制系统、制度管理体系)经常“撞车”。2011年3月何继昌开始琢磨将内控嵌入到管理系统中去。“我们开始大胆假设,远洲集团内部本来就有一个企业管理系统、服务系统、iS09000系统还有自主研发的信息安全系统,这些系统看似并不融合,但是目标都是一致的,即在保证盈利的同时,在遵守国家相关法律法规的前提下,求得企业风险可控的适度发展速度以及规模。既然目标一致,为什么不能把这些所有的系统整合成一个一体化的系统呢,于是我们通过虚拟价值链的载体——表单的统一流转来实现一体化的内控系统。”
“内部控制贯穿于整个企业管理,与其他管理体系相辅相成、密不可分,是企业管理的重要组成部分。”何继昌建议,企业应当立足管理现状,全面梳理各项管理制度和管理体系,从管理体制、机制以及落实各级权利责任等方面,将内部控制的要求融入各项管理体系中,形成内部控制的长效机制,使内部控制真正为经营管理服务;应当从总体目标出发,将内部控制的要求纳入绩效考核体系以加强执行;可以利用信息技术固化业务流程,提高业务的处理效率和信息共享水平,从而尽可能减少内部控制与其他经营管理体系的冲突。
为此远洲集团确立了将内部控制体系融入多种管理体系的内控设计思想,主要有以全面风险管理框架为基础,结合平衡计分卡原理,设计以风险控制为主导、管理控制为目的、业务流程为导向的管理控制目标体系;运用“供应链SCoR参考模型”建立端到端管理控制框架的思想;以“内部控制框架要素”建立管理控制活动的思想;以“顾客为中心”建立业务流程的思想;以“管理可视化”原则指导设计业务流程、作业标准及表单;建立4R月报月计划质询机制。
4R业务运营体系为内控作保障
远洲集团的内部控制体系设计整合了全面风险控制、供应价值链、全面质量管理、目标管理等成熟理论和领先理念。为保障内部控制能真正实施落地,集团采取了一系列保障措施,其中最有创新特色的是引入4R业务运营体系。
何继昌介绍,所谓4R业务运营体系的核心思想是建立一个不依赖于能人的制度化执行系统,靠制度保证战略执行。“4R”取自四个英文单词的首个字母,概括了业务运营过程中最核心的四个要素:Ready经营计划、Resporisibility关键职责、Review业绩跟踪、Result业绩评估,四者相互作用并形成计划p、执行D、检查C、改善行动a的pDCa闭环管理关系,如下图:
远洲集团在引入4R业务运营体系的过程中,也进行了不断地修正:
R1(Ready经营计划):主要问题是计划目标设定不符合SmaRt要求,即目标没有量化没有可衡量的结果定义,改善方法是将“Ready经营计划”重新定义为“结果定义Results definition”,即要求设定计划目标时要有量化可衡量的、有完成时间节点的结果定义。
R2(Responsibilitity关键职责):职责划分只是明确了要求,但如果没有将目标细化落实到明确的责任人和检查人,责任落地就难于保证。解决这个问题的改善方法是将“ReSponsibility关键职责”重新定义为“一对一责任one-on-one responsibility”,在一对一责任定义中,每项有结果定义的工作事项都只有唯一责任人和检查人,同时要求责任人对承担事项作出完成时间、自我奖惩的责任承诺。
R3(Review业绩跟踪):为便于执行层理解,远洲集团将“Review业绩跟踪”重新定义为“过程检查Review”,具体措施是:每一个责任岗位都有明确的检查人,每一项工作内容都有可供检查的结果证据(如会议纪要、实际收入,招聘到岗人数、顾客满意度等),重大事项责成Coo(稽核检查官)即时跟踪进度完成情况,按重要性和成本效益平衡原则将目标事项进行分类并确定检查周期。
R4(Reset业绩评估):通过对经营业绩进行综合评价,奖优罚劣,以达到不断提升业绩的要求。但在实务中,大多数企业都将业绩评估集中于年终,缺乏全过程的业绩评估控制,导致的结果往往是执行业绩严重偏离计划目标,但因评估周期太长而导致责任追究复杂的困难。解决方法是将“ReSult业绩评估”重新定义为“即时激励Result”,即时激励周期,在远洲集团内部规定业务评估激励为每周、管理评估激励为每月。
何继昌表示,原“4R”经重新定义后就形成目标明确可衡量、责任到人、过程管理和及时激励的“围绕公司的战略目标,分配一对一责任,依靠结果的检查质询系统纠偏,用即时激励作驱动”管理过程,有效地保障了内控系统的良好运行。
分层治理的监督机制
在内控建设过程中,远洲集团集中精力对内部控制环境进行了调整优化,成立了董事会下的内部控制领导小组和制度管理委员会,将集团、事业部、经营单元三层结构扁平化为集团、经营单元两层结构,修订《远洲集团规章制度建设管理基本规范》、(《远洲集团管理纲要》、《远洲集团财务管理纲要》等文件,梳理了组织职责、权限和编制,完善了董事会领导下的制度体系和制度内容建设。
何继昌告诉我们,为提高内控监督的权威性和有效性,公司治理结构也作了较大调整,授权监事会指导监察审计部业务工作,在内控管理体制上形成了自成系统、分工协作的公司治理模式:
1 集团内控领导小组负责内控建设规划和指导,监督内控体系的科学性;
2 集团制度管理委员会负责制度规划及统筹管理,监控制度体系的完整性;
3 集团监事会主要监督集团重大事项和高管行为,重点是监督控制环境建设和战略管理风险;
4 监察审计部主要监督经营管理层及子公司的内部控制状况,重点是监督经营管理的内部控制健全性和经营风险;
5 集团财务中心负责日常财务检查,重点是监控财务风险和资产安全;
6 集团4R质询委员会负责计划统筹和执行结果质询,重点是监控经营管理执行过程的风险。
如何理解内部控制的定义篇3
关键字:内控 内部控制文化
一、转变观念
内控常被误解为仅仅是审计部门的事,其实,所有制及其组织结构并不是现代企业最本质的东西,最本质的是企业内部的控制文化和控制机制。企业管理的实践启示我们:要正确理解内控与管理的关系、内控与风险管理的关系和内控与内部审计的关系。我们要呼唤企业的控制意识,理直气壮地强化企业的内部控制。
1、转变经营管理观念
内部控制在不同的经济体制下有不同的内涵,尽管其中的某些内容会有一致性。一部分人习惯于甚至满足于传统的经营管理方式,认为只要能够规范化操作就行了,不必考虑是否先进。多数人片面强调改革组织结构的重要性,忽视了控制方式的跟进和强化。这就使企业的改革同微观治理机制相脱离。不论是维持传统的经营管理方式,还是片面以改革取代控制的观念,都已经被实践证明是有害的。
2、转变对内控目的的认识
早期学者认为,内控是为了保护企业的财产,会计记录的准确可靠和及时提供可靠的财务信息,称之为“三目的论”。后期学者补充,内控除了保全资产和检查财务资料的准确可靠性以外,更重要的是执行管理政策,提高经营效益和效率,称之为“四目的论”。
3、跟上国际内控研究的步伐
同计划经济相比,市场经济的发展更加仰仗于微观机制的作用。发达的市场经济国家非常重视对公司治理的研究,大大促进了公司治理结构趋向合理化。公司治理理论研究的是资金的供给者如何采取措施,确保其投资取得回报。强化内控已经成为发达国家治理公司的重要手段。
二、充分理解内部控制的内涵
内部控制有其科学的定义和丰富的内容。只有深刻理解内控的内涵才能明确如何强化内控。
1.准确理解内部控制的定义
不同部门的人从不同的角度对内控会有不同的看法。美国审计权威机构CoSo的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为了实现下述三大目标提供合理的保证:
⑴、操作性目标:各种经营活动的效果和效率
⑵、信息性目标:财务和管理目标的可靠性、完整性和及时性
⑶、遵从性目标:遵从现行法律和规章制度
这三大目标既满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司不能为实现经营性目而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明:①内控是一种程序,它意味着向某一终点努力,但不是终点本身;②内控是用来取得一种或多种互相区分而又紧密联系的目标;③内控受人的影响,而不只是政策、守则或表格;④只能期待内控为公司管理层提供合理的保证,而不是绝对的保证。
由此可见,审计部门以往所提的“合规性审计”、“效益性审计”和帐务检查等等都属于专项审计,也都有一定的片面性。审计工作的重心应当转向对内部控制的审计再监督,而对内控的检查评价有别于传统的审计思路,其目的要明确和全面,检评要完整和深入。
2.从总体上把握内部控制系统的框架:重要的是,现代内控理论赋予了内控广范的职能,把内控置于很高的层面上,从而强化了内控的作用。CoSo认为内部控制涵盖了五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
3.全面理解内控五大组成部分的内容:
⑴、控制环境
控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
管理监督和控制文化方面的原则包括:
①董事会应当负责批准并定期审查整个经营战略和重大政策;理解经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别,衡量,评审和控制风险;批准组织的结构;并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。
②高级管理层负责执行由董事会批准的战略和政策,维护一种组织结构,能够明确责任、授权和报告关系;确保所委派的责任能有效地执行;确定适当的内控政策;并监督评审内控系统的充分性和有效性。
③董事会和高级管理层负责按照高标准促进员工的职业道德和完整性,在机构中建立一种控制文化,在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内控程序中的作用。
⑵、风险评估
风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
⑶、控制活动:
控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
如何理解内部控制的定义篇4
1、《内部会计控制基本规范(征求意见稿)》(以下简称《规范》),涉及到两个最基本的概念:内部控制和会计控制。《规范》题为《内部会计控制基本规范》,但全文未对‘响部会计控制“作出界定。在总则第二条关于内部控制的定义中也未涉及”内部会计控制“和”内部控制“的关系,造成存在以下问题:(1)”内部会计控制“和”内部控制“两个概念混用,如规范名为《内部会计控制基本规范》,但从第
二章至第五章的章标题看均与“会计控制”的口径不符,把“会计控制”等同于“内部控制”。(2)标题与内容的不一致。在内部会计控制的总标题下,《规范》中各章的内容已经大大超出内部会计控制的范畴,但又未包揽内部控制的全部内容。而会计控制是内部控制的重要内容但不是其全部内容。我国理论界与实务界对内部会计控制只是内部控制的重要组成部分这一点应当是非常明确的。因此,建议《规范》要对二者予以明确区分和界定,将总标题、各章的章标题以及与之相应的内容按拟规范的范围
加以修改,做到总标题、章标题和各章内容之间口径一致。
2.“内部控制”概念的界定。《规范》第二条指出“本规范所称内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序”。这一条款存在两个问题:其一,既然内部控制包括会计控制,则其非常重要的目的之一是要“保证会计信息的真实、合法、完整”,而上述关于内部控制的定义中只提到了“确保资产的安全完整”,末提及保证会计信息可靠性的要求。其二,这一条款中关于“经营管理目标”的提法与第三条中关于本规范适用范围的规定相冲突。因为在第三条中提到“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织(以下统称单位)”。从国家机关、社会团体和事业单位的性质看,这几类单位与企业不同,它们有工作目标、管理目标,却未必有“经营”目标,所以,建议删去“经营”二字。
二、《规范》的适用范围问题
《规范》第三条指出“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织(以下统称单位)”。我们认为,这一条款存在两个问题:其一,将国家机关、社会团体和事业机关与公司、企业和其他经济组织放在一起有欠妥当,因为《规范》中有许多条款仅适用于公司和企业。其二,若本《规范》适用于所有单位,建议考虑两种方案:一是分两类进行规范,-类为政府及非营利组织(国家、社会团体、事业单位和公益项目),另一类为营利组织(公司。企业和其他经济组织);二是若仍统一放在一起规范,则要分清共同适用的条款和分别适用的条款。
三、单位负责人的责任问题
《规范》第五条指出“单位负责人对本单位内部控制的建立健全及有效实施负责。”这一条款拟明确内部控制的责任,但规定过于简单和笼统。首先,内部控制的建立与实施责任不仅在于单位领导,单位的部门领导、管理人员、内部审计人员乃至组织中的每一个人都对内部控制负有责任。若论“领导责任”除“单位负责人”外,是否还应包含各单位内部有关职能部门的领导,如财务主管或会计主管等。其次,一个单位内部控制的设计与运行受制于成本与效益原则,它不可能是完美无缺的,不是(也不可能)消除任何的可能性,而是要建立防止投入的成本与的累计额之间呈合理水平的机制。
内部控制可能将单位的内控风险降到合理水平,但并不能消除风险。它只能为各单位实现其目标提供“合理保证”而非“绝对保证”。事实上,即使是设计完善的内部控制也有可能因为各种原因而削弱或失效,单位负责人如何对“无过失”情况下所出现的损失负责?最后,对单位负责人应如何负责、负何责任也不够明确,建议对责任问题要再予考虑并加以明确,以便操作。
四、内部控制的内容问题
《规范》第三章第八条提出“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”。其实,内部控制内容可以有两种理解,一是指内部控制本身的内容,即本规范第二条所述的“内部控制是指为了保证……而制定和实施的一系列具有控制职能的方法、措施和程序”中的方法、措施和程序具体包含的内容;二是指内部控制的客体或对象。显然本条款反映的是第二种理解。虽然这里反映的仅仅是内部控制的主要内容,但对照本规范第二条内部控制的定义和第三条适用范围的解释,第八条内容尚不够完整。这一条款反映了对企业主要经济业务活动的控制,却没有反映对管理活动的控制,也没有反映对其他各类单位的财政财务收支活动和各种行政、业务管理活动的控制,建议予以增补。
五、内部控制的方法问题
l、《规范》第十八条列示了内部控制的主要方法:组织控制、授权批准控制、会计系统控制、预算控制、财产保全控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制等。上述内容仍不够完整,建议加上文件记录控制和内部审计。因为,文件记录控制是有关内部控制的基础性控制,内部审计则是对内部控制进行的再控制,二者对内部控制的有效实施是必不可少的。
2.《规范》第十九条组织结构控制要求贯彻不相容职务分离的原则,合理设置内部机构,科学划分职责权限,形成相互制衡机制。但此款没有涉及企业法人治理结构问题。要使内部控制在公司企业中得到有效实施,应强调完善法人治理结构,所以建议在本条中要予以明确。
3、《规范》第十九条考虑不相容职务分离问题时,在相关控制点还要注意直系亲属回避问题。
六、内部控制的检查问题
1、《规范》第二十八条指出“单位应当重视内部控制的监督检查工作,由专门机构或指定专门人员具体负责内部控制执行情况的监督检查,确保内部控制的贯彻实施”。此条中的“专门机构”和“专门人员”不明确,可以进一步明确,并注重内部审计的作用。
2.《规范》第二十九条指出“单位可以聘请中介机构对本单位内部控制的建立健全情况进行评价,接受委托的中介机构应当对委托单位内部控制中的重大缺陷提出书面报告”。内部控制的建立和完善需要单位内外部形成合力予以监督方能保证,尤其是外部的强制性监督。所以,我们认为本款所用“可以聘请”和“报告重大缺陷”的力度不够,建议改为“必须聘请”,以强制审计取代单位自愿要求的外部审计。同时,上市公司的审计结果还应当“对外”报告。
如何理解内部控制的定义篇5
综述
pCaoB多次强调有效的内部控制结构的重要性。委员会还特别说明,“有效的财务会计报告内部控制对公司管理其事务,尽到其对投资者的责任至关重要。公司管理当局、公司所有者-投资公众-和其他相关方都需依赖公司呈报的财务信息来制定决策。”
委员会在其宣布采用第二号准则的公告中还指明,财务会计报告内部控制的审计是一个牵涉面很广的程序,维持有效内部控制,包括定期评估都是有成本的。然而委员会强调开发、维护和提高内部控制系统所带来的利益是多样的,同时,“主要的利益……是给公司、公司管理当局、董事会和审计委员会、所有者和其他利益关联方提供了一个财务会计报告的可靠基础。”与准则草案相比,新准则在成本效益原则方面迈进了一大步。
管理当局的责任
准则指出了审计师执行一项符合要求的内部控制审计的必要条件。正如SeC在实施萨班斯法案404节的规定中所要求的,管理当局必须:
-对公司财务会计报告内部控制的有效性负责;
-使用适当的控制标准(如CoSo标准),评价公司财务会计报告内部控制的有效性;
-提供足够的证据,包括记录编制来支持评价,以及
-在公司最近的财年末,就公司财务会计报告内部控制的有效性出具书面评价。
审计师如果得出管理当局没有履行上面提到的责任,不能完成对内部控制的审计,就应当拒绝表示意见。
管理当局的评价程序
一个严格的内部控制有效性的评价程序应该提供信息帮助审计师理解公司的内部控制以及规划完成内部控制审计的必要工作。根据第二号准则的条款,管理当局评价内部控制有效性的程序应包括:
-确定需要测试的控制措施,包括所有与主要账户和财务报表披露相关的控制措施;
-评价控制失败导致财务报表错报的可能性、错报的重要程度、以及其它控制措施可能达成相同控制目标的程度;
-决定评价中应包括的特定地区或经营单位(适用于那些多场所或经营单位的公司);
-评价控制措施的设计和实施有效性;
-确定已识别的内部控制的缺失是否构成了重要缺失或实质性薄弱;
-将发现传达给相关方;
-对发现是否支持其评价进行评估。
有一点需要指出的是,管理当局不能使用审计师的程序或相关发现来支持其对内部控制有效性的评价。
管理当局的记录编制
管理当局所编制财务会计报告内部控制记录的深度和广度是管理当局、审计师和内部控制顾问需要深思熟虑的一个日常主题。全面且清晰的记录编制有利于管理当局对内部控制进行有效的评价和评估,同时为审计师发起审计程序提供一个坚实的平台。在确定管理当局的记录编制是否支持其评价时,审计师应评估记录编制的,包括:
-控制措施的设计,这些控制措施应覆盖所有与关键性账目和财务报表披露相关的管理当局声明;
-关于重要交易如何发起、授权、记录、处理和报告的信息;
-关于交易过程的足够充分的信息,足够充分指的是能够识别因错误或欺诈导致的实质性错报的发生;
-为预防和侦查欺诈而设计的控制措施;
-期末会计报告过程的控制措施;
-资产保全的控制措施;以及
-管理当局测试和评估的结果;
二号准则指出,管理当局的记录编制可以是纸质、格式或其它形式;记录编制的信息也可以是多样的,包括政策指南、流程模型、流程图、职位描述等。准则没有提供客观的来确定管理当局记录编制的充分性。但需要注意的是,记录编制的缺乏被认为是控制措施的缺失,审计师应就其严重程度和对审计师报告的可能进行讨论。
通过实际演练理解控制措施
二号准则要求审计师询问、观察执行控制措施的员工,检查实施控制措施的文档或实施后的文档记录,并且将这些文档与会计记录进行比较。通过这些方式审计师能够理解公司财务会计报告的内部控制。准则还进一步指出,“审计师达成这一目标最有效的方式就是对公司的关键流程进行实际演练。”
在实际演练中,审计师可以从发起点跟踪交易和事项直到财务报表,这个过程就包括公司的会计程序。准则要求审计师每年必须就每一关键交易类别执行至少一次实际演练,审计师应独立完成此项演练。准则中定义的关键交易类为那些能够给公司财务报表带来显著影响的业务。准则指出实体的期末财务报告程序就是一个关键性程序。
评价审计委员会监管的有效性
准则也强调了审计委员会在帮助制定“高层基调”时所起的关键性作用。审计师应评价发行人审计委员会的有效性,作为其对控制环境和内部控制的理解和评价的一个组成部分。审计委员会对外部财务会计报告和内部控制无效/低效的监管被认为是一个明显的缺失或内部控制实质性薄弱的标示。另外,准则要求将审计委员会监管无效的实例直接呈报给公司的董事会。
影响审计委员会监管有效性的因素包括管理当局成员的独立性,委员会责任的清晰表述,管理当局和审计委员会对责任的理解程度以及独立审计师和内部审计师的交流程度。
测试操作有效性
准则要求审计师获得控制措施关于操作有效性的证据。为了遵守准则的规定,审计师就需要测试这些控制措施的操作有效性。
在确定一项控制措施是否具备操作有效性时,审计师不仅应评价控制措施是否依照设计操作,还应该评价执行控制措施的个人具备必要的授权和资格。另外,在第二号准则下,审计师应在足够长的时期里获取控制有效性的证据。期间执行的任何测试都应及时更新以确保所测试的控制措施在年末仍然具备操作有效性。
利用他人的工作
发行人和审计师最为关注的另一个领域是审计师被允许使用他人工作的程度。在这点上,二号准则与准则草案保持了一致,准则要求在总体上,审计师自身的工作应为审计意见提供首要证据。准则定义的其他方工作包括内部审计师、公司其他个人和在管理当局或审计委员会授权下的第三方的工作。
准则指出,审计师不应使用其他人的工作来测试与控制环境相关的控制措施,包括为了预防和侦查欺诈制定的控制措施和应执行的实际演练。但准则允许审计师使用其他方提供的信息技术一般性控制措施和期末财务报告程序的相关控制措施。而在准则草案中则要求这些方面的审计工作均要由审计师执行。
准则草案中定义了三类控制措施和审计师被允许使用其他方工作来形成结论的程度。而第二号准则以一个概念框架取而代之。这一框架重点在于控制措施的性质和执行程序个人的能力和客观性。二号准则明确指出,如果管理当局在测试操作有效性时使用自我评价程序,则执行评价的个人不应视为客观,因此,独立审计师不能使用其工作。
评估测试结果
准则要求审计师评价所识别的控制措施缺失的严重程度,这点与准则草案保持了一致。实际上,在2003年10月准则草案以来,委员会就何谓“显著的缺失”展开了多次讨论。委员会指出,在反对草案“显著缺失”之定义的反馈意见中,多数认为该定义的起点过低,如果依照草案规定,大多数内部控制的缺失将被确认为“显著的缺失”。
二号准则保留了草案中对“显著缺失”和实质性薄弱的定义。在解释其定义这些项目的用意时,委员会指出,控制的缺失不应被孤立地评价,特定缺失的严重程度应同时考虑补救措施的。准则在一定程度上回应了草案的反馈意见,但在确定构成“显著缺失”或实质性薄弱的控制缺失时还需要职业判断。
依照二号准则的规定,以下方面的缺失通常被认为是“显著的缺失”:
-对政策选择和的控制措施;
-反欺诈程序和控制措施;
-对非常规和非系统化交易的控制措施;
-对期末财务会计报告程序的控制措施;
另外,以下情况属于“显著缺失”以及实质性薄弱存在的明显标示:
-为纠正错报项目,对以前所财务报表进行重述;
-审计师在当年审计中发现公司没有识别的实质性错报;
-审计委员会的监管无效;
-内部审计或风险评估机制的无效,如果这些职能对于公司财务会计报告程序非常关键的话;
-在受监管程度较高的公司,遵守法规的机制的无效。这一项只适用于守法机制的无效给财务会计报告的可靠性带来实质性影响的情况;
-发现任何程度上的高层管理人员的欺诈;
-以前所发现的缺失在一段合理的时间后仍然没有被纠正;
-控制环境的无效;
控制缺失与审计师意见
准则要求审计师在对财务会计报告内部控制执行审计后两类意见,一、关于管理当局的评价;二、关于内部控制的有效性。在这一方面准则与草案有别。准则提供了实例来解释两类意见的区别。
当发现财务会计报告内部控制的实质性薄弱时,准则要求审计师出具控制有效性的否定意见。
生效日期
如前所述,二号准则将在美国证券交易委员会(SeC)的最后审批后生效。审计师随后应依照准则审计上市公司管理当局就财务会计报告内部控制有效性出具的评价。SeC近期推迟了对交易法12b-2下所定义“加速备案公司”的内部控制有效性评价要求。原定的6月15日被推迟到2004年11月15日。非“加速备案公司”,包括小企业和外国企业将在2004年7月15日后开始应用相关规定。
如何理解内部控制的定义篇6
缘何内“困”
仔细算来,从2002年中注协正式《内部控制审核指导意见》以来,“内控”这个词汇走入中国企业,已经有十几年的时间。然而,这十几年中,内部控制在企业运营体系中“只落地不生根”,原因到底为何?
“首先在对内控的理解层面,就存在很大问题。”北京国家会计学院教授刘霄仑在接受《新理财》采访时表示,目前中国大多数企业,对内控的内涵、必要性、有益性认识不足,内部控制语言还不统一,这也从根本上,导致了我国内控问题频发、“有内控无执行”的尴尬局面。
按照CoSo内部控制框架中的定义,内部控制是由企业董事会、管理当局和其他员工实施的,为财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标的达成提供合理保证的过程。“很显然,从目标上看,合理保证经营的效率效果与提高企业的经营效率效果这两者并不相同,不能相互替代,更不能混为一谈。但对于大多数企业来说,他们在实行内部控制的过程中,并没有注意到企业开展内部控制的双面性,或者片面希望通过开展内控来提高企业经济效益,或者认为企业搞内部控制会导致控制环节增加,束缚了业务活动开展,导致营业收入和利润的下降。应该说,这两种认识都是不全面的,以偏概全的话就会犯方向性错误。”刘霄仑说。
中国国际经济会副会长、北京国家会计学院特聘教授邹志英近年来一直致力于企业内控及风险管理实践以及实战内控培训,和公司高层多有接触。她对刘宵仑的意见表示认同,但从内控的实施效果上看,她更强调内控对于不同发展阶段的企业的不同意义。“对于一家公司来说,逐利永远是其天性。一项政策能否真正落到实处,关键是其背后有着怎样的利益驱动机制设置。”如果企业不能从内部控制的实施过程中尝到甜头,企业高层或者员工对企业的内控建设就会有不理解和抵触情绪,从而不愿或者不敢在企业内部切实推行内控建设,最终导致内控体系与实际管理“两层皮”的现象。
邹志英认为,作为企业一方,应该辨证地去看待内部控制和经营效率二者之间的关系。“首先明确一点,内部控制和经营效率绝非矛盾的。内控的目的不仅仅是满足于外部监管的需求,这只是满足了最低层次的需求,一套好的内控体系可以提升企业管理的经营效率,并可以促进企业实现发展战略,为企业创造价值。比如,英国施乐公司通过优化‘特殊订单’的流程,使得‘特殊订单’的处理时间从112天减至了24小时;伦敦西林顿医院通过改造护理流程,使血液检查在5分钟内完成。内部控制还可以给企业带来哪些价值?比如,如何加速现金周期从而增加企业净利,在这个过程中应该保留、优化、增加和去除哪些流程?降低应收存款5%,可以增加税前净利多少?比如说,一家企业的销售收入5个亿,3年内要翻番,在这过程中有什么缺陷和风险,应该制定什么标准,如何考核?”如果企业能够切实地按照重要性原则和成本效益原则,找出企业经营中的关键控制点予以重点控制,而对非关键控制点或不必要控制点则少控或不控,则肯定会对经营效率的提高产生正面影响。
刘霄仑则强调,内控的成本效益原则并不是普适的。他把企业内控分成两部分:一部分是为了达成企业目标直接服务的,他将其称为“管理控制”部分,对这部分内容,成本效益原则是适用的。但是,还有一部分是为企业目标的实现“保驾护航”的,也就是合理保证的部分,即“风险控制”部分,对这部分内容而言,成本效益原则就是不适用的,而应代之以“风险效益原则”。“就像开车,车上的安全带和安全气囊对于提升车速毫无意义,它就不适用成本效益原则,但如果出现了事故,或许它可以救人一命。企业投保的保险也是同样道理”。
其次,流程、岗位和职能定位上的混乱,也是使得当今企业内控问题频出的一个重要原因。刘霄仑发现,在很多企业中,内控部门结构和技术其实已经十分完善,但在落地时,具体谁来做的问题上,定位却相当混乱。很多人认为,企业内控应该是内控部门或审计部负责的事,而和公司普通员工或者其他部门没有太多联系。正是这种职能定位不明确、责权不对等的现象,导致企业在内部控制体系建设中经常出现相互推诿、互踢皮球的情况,严重影响企业的沟通和运营效率。“企业内部控制,应该由董事长负监督责任,由总经理负实施责任,其中内控部或风险管理部应起牵头作用,但内控的设计和应用仍应由业务部门来承担。内审部门对内控的设计、应用和自我评价工作进行监督,并向董事会汇报。这就需要对现有的职权结构和岗位职责说明进行修订。”刘霄仑分析道。
此外,刘霄仑认为,监管部门监察力度不够、内控人才不足、内控体系设计不合理等因素,也在一定程度上制约着我国内控制度的发展。
解决之道
如果企业内控制度只是停留于表面而没有真正嵌入公司运营结构中,那么企业风险管理也就成了一纸空谈。内控形式化不仅会使企业运行如履薄冰,企业利益随时可能受损,而且还会打击投资者信心,造成公共资源的浪费。很显然,无论是企业、投资者,还是政府监管部门,都不期望看到这样的结果。
刘霄仑认为,内部控制是一个社会性的话题,想要尽快走出目前中国内控建设所遭遇的困境,需要各方共同努力,而不只是企业一家的事情。
从监管部门的角度,政府监管部门应当加大监管力度,提升内控法律地位,提高企业内控报告的造假成本,进而推动我国内控制度在企业的实质性融合。刘霄仑指出,在美国,上市公司主动披露内控缺陷的比例远远高于国内,其中一个主要原因就是内控报告造假的成本很高。反观中国,在法律层面并没有对内控的建立在责任和义务上予以明确规定,也没有建立比较完善的惩戒条款。
从企业层面来说,应通过多种方式加快培养内控人才,以突破当下企业所面临的内控人才不足的瓶颈。企业内部控制是一个系统而科学的管理体系,其内容涵盖营销、投资、金融、法律、生产等多方面知识,因此对内控人才的职业素质要求极高。值得欣慰的是,近期,北京国家会计学院推出了一项学制22天、分3个月授课的企业风险管理高级专业人才培养工程,在众多学员当中,大多数为企业负责内部控制工作的董、监、高人士。这也表明,目前企业已经逐渐认识到了内控人才不足的问题,并在努力弥补因此而造成的短板。
需要强调的是,企业内控建设往往离不开公司高层的支持。企业管理者的经营管理的理念、方式和风格,都有可能对内控环境造成影响。在做企业内控和风险管理实战培训时,经常有学员告诉邹志英,“当我不知道内控为何物时,我可能会感觉无所谓;但当我了解到内控的真正含义以及内控之于企业发展有哪些意义时,我却会感到很痛苦。”原因就是,在内控实施过程中,由于公司高层内控意识薄弱,对内控工作不够重视,导致内控部门开展工作时缺少足够支持。
“这就要求内控部门在企业内开展内部控制工作时,尽量去找一个突破点,寻求一块敲门砖,让企业尽量在短期内看到效能上的明显的提升,从而提高大家对内控的信心,最重要的是获得企业高管的支持。否则,企业内部控制在企业内部推行时将会非常困难。”邹志英说道。
而对于企业高层来说,经营时不能只考虑短期经济效益,邹志英强调道,企业效率高低有时只是会影响企业发展的快慢,但风险控制则会涉及企业的存亡问题。“资金崩盘、快速并购、外部环境的变化,甚至团队建设上的失误都有可能使企业瞬间遭受毁灭性灾难,而内部控制做到位的话,则能规避或者减小风险所带来的损失。”
邹志英认为:“一家企业的成功只看两点:一是对内商业模式的定位,二是对外品牌溢价。对内的商业模式就要有6大模式去支撑,包括扩张模式、管理模式、营销模式、人才管理模式、融资模式等。”这几大模式支持企业商业模式的有效定位,在这个过程中,管理会计、内部控制/风险管理,包括战略财务就发挥了巨大的作用。
在长期的实务操作中,邹志英总结出了一套“珍珠链”理论,它的核心思想体现在战略-业务-人力-财务一体化。该理论共分为9个步骤:
第一,对于一个企业来说,首先要明白企业的愿景、使命、价值观,然后在公司发展的过程中,对公司业务有选择地取舍,并将内控建设与企业发展战略结合起来,进行顶层设计,将其上升到管理提升的高度;
第二,在确定公司愿景之后,企业要通过构造合适的财务模型来促使整个财务体系从上到下、从战略到运营的全面落地;
第三,进行业务职能方面的规划,即业务和职能的路径分解;
第四,责权利的匹配、进行组织架构的对应调整以及Kpi的设置,在进行岗位分工时,对于一些不相容的岗位,实行岗位分离,以达到相互牵制,预防风险的目的;
第五,制定薪酬激励和公司联动机制;
第六,建立经营分析与预警机制,要识别哪些做得好,哪些做得不好以及背后的原因,对于做得好的方面,可以考虑加以复制,做得不好的,要有整改计划,并落实到责任人、流程、时间点、行动计划、交付物的目标及标准等;
第七,通过审计寻找偏差,定位风险的级别,比如是a类、B类还是C类,风险是怎么造成的,然后逐一确定改善方向、改善原因、改善策略,最后落到行动方案、人、系统流程上;
第八,建立完善的跟踪体系,随时对各个方面进行查缺补漏;
如何理解内部控制的定义篇7
关键词:合营安排比较评述
一、引言
当前国际上通用的iFRS11是国际会计准则理事会(iaSB)于2011年5月的,它取代了之前的国际会计准则第31号(iaS31)和解释公告第13号(SiC13),是关于合营安排的一项单独会计准则。我国长期以来没有合营安排的单独会计准则,只是将相关内容放在长期股权投资准则应用指南和相关讲解中予以规范。2001年1月颁布的《企业会计准则――投资》只是在长期投资中区分了控制与重大影响,要求分别使用成本法与权益法予以核算,但并没有涉及合营安排的定义、分类及其会计处理。2006年2月的《企业会计准则第2号――长期股权投资》虽然明确了合营企业、联营企业适用于本准则,也在应用指南中含有“共同控制经营和共同控制资产”的单独内容,但规定仍较为简单。随着我国市场经济的不断发展,合营安排日益增多,实务界、监管部门等在企业会计准则执行过程中需要一套根据我国实际情况单独制定的会计准则以规范合营安排各参与方的会计处理。另一方面,iFRS11也在2011年5月份,为保持我国企业会计准则与国际财务报告准则的持续趋同,也需要对合营安排单独制定一项会计准则。在此背景下,我国财政部于2012年11月了《企业会计准则第×号――合营安排(征求意见稿)》及其起草说明,并在广泛征求相关意见之后,于2014年2月份正式了《企业会计准则第40号――合营安排》(CaS40)。
二、CaS40与征求意见稿的比较
CaS40与2012年的征求意见稿相比,没有太大的变动。主要有以下变化:
(一)解释性定义的增加或减少。这里所说的解释性定义是指在某些条款中出现的,需要对其进行解释以便使用者阅读和理解的用语。与征求意见稿相比,CaS40中的解释条款有所改变:(1)增加了“集体控制安排”的定义。(2)删除了对“保护性权利”的解释说明。个别解释性定义的增加或者减少不会导致根本性的变化,但有了解释性条款之后,方便使用者理解相关条款,有助于其更好地利用该条款指导实务工作。
(二)个别用词的不同。在对征求意见稿进行修改之后,CaS40的用词趋向于更加准确精炼。例如,CaS40将“与合营安排中权益相关”改为“与共同经营中利益份额相关”。权益与利益份额指代的范围不同,权益是指权力和利益,范围比利益份额广一些。所以之前可以确认的资产和负债,也许之后就不再可以确认了。
(三)个别要素核算范围的改变。CaS40第十六条“合营方向共同经营投出或出售资产等(该资产构成业务的除外)”,其中的资产为不构成业务的资产,而征求意见稿中的相关表述为“子公司除外”。“构成业务”与“子公司”在范围上不一致,该区别会导致相关业务的实务处理不一样。
(四)其他考虑因素的增多。一些因素在征求意见稿中未曾出现,但在CaS40中被考虑进去,如第十条增加了“对权利和义务进行评价时应当考虑该安排的结构、法律形式以及合同条款等因素”,这使得对权利和义务进行评价时所要考虑的因素得已明确。
三、CaS40与iFRS11的比较
(一)从结构上看,两准则存在差异,各部分涵盖的内容也不一样。CaS40分为6章23条,包括总则、合营安排的认定和分类、共同经营参与方的会计处理、合营企业参与方的会计处理、衔接方法和附则。iFRS11除了引言和附录之外,正文分为7个部分27段,包括目标、范围、合营安排、共同控制、合营安排的类型、合营安排参与方的财务报表与单独财务报表。iFRS11的目标单独构成一部分(目标),而CaS40第一章则包括准则制定的目标、合营安排的定义及其特征、合营安排参与方的范围,以及合营方权益披露使用的会计准则。iFRS11第二部分(范围)单独列出,CaS40并没有单独列出来。CaS40第五章(衔接方法),iFRS11不存在此部分。其余的一些部分,则是由于排放顺序不同所导致的结构上的差异。例如,iFRS11第三部分(合营安排)的第四、五段的内容,CaS40则是放在了第一章(总则)。
(二)从内容上看,两准则存在许多异同。本文以iFRS11的7个部分为框架基础,将iFRS11与CaS40进行比较。从目标来看,两个准则的侧重点不一致,iFRS11侧重财务报表的编制,CaS40侧重会计处理。iFRS11有单独财务报表部分,给出了共同经营者或合营者以及参与合营安排但未对合营安排形成共同控制的参与方在单独财务报表中的会计处理,CaS40没有这部分内容。其余的4个部分,具体比较结果如下:
1.合营安排(主要对应部分:CaS40第一章第2条)。iFRS11规定,合营安排是由两方或多方共同控制的一项协议。其特征为:(1)参与方由合同性协议予以约束。(2)合同性协议授予两方或多方共同控制该项安排。对于一项共同控制安排,没有任何单一的一方能够独自地控制该安排,任一参与方均能控制阻止其他方或一组参与方控制该安排。CaS40规定,合营安排是指一项由两个或两个以上的参与方共同控制的安排。具有下列特征:(1)各参与方均受到该安排的约束。(2)两个或两个以上的参与方对该安排实施共同控制。任何一个参与方都不能够单独控制该安排,对该安排具有共同控制的任何一个参与方均能够阻止其他参与方或参与方组合单独控制该安排。可见,两个准则中合营安排的定义和特征基本相同,都由两个或两个以上的参与方控制,iFRS11定义合营安排是“一项协议”,而CaS40则是“安排”。
2.共同控制(主要对应部分:CaS40第二章5-8条)。在此方面,两个准则的异同主要表现为以下几点:(1)对于共同控制的定义,两个准则基本相同,都是通过合同对一项安排的协议性共享控制,而且仅在相关活动的决策需要共享控制的各方一致同意时存在。(2)当所有参与方或一组参与方必须一致行动才能决定某项安排的相关活动时,iFRS11将其定义为协同控制该安排,CaS40将其定义为集体控制该安排。(3)对于判断是否存在共同控制,两个准则的步骤及条件基本一致。(4)两个准则中的合营安排的参与方都分为存在共同控制和不存在共同控制的情况分类,iFRS11因为具有“主体必须通过判断来评估所有主体或一组主体是否控制该安排,在主体评估时,必须考虑所有的事实和情况,发生变化时,主体应重新评估是否依然共同控制一项安排”而表述得更加具体。
3.合营安排的类型(主要对应部分:CaS40第二章9-14条)。两个准则都将合营安排分为共同经营和合营企业,除此之外两者还存在以下异同:(1)iFRS11将合营安排参与方分成了共同经营者和合营者,而CaS40将其统称为合营方。(2)关于共同经营和合营企业的定义基本一致。(3)当参与方受到框架协议约束时的内容,iFRS11表述更加详细清晰,而CaS40引入“单独主体”部分划分共同经营或合营企业的部分,iFRS11未曾涉及到。(4)当事实和情况发生改变时,两者都会对合营安排的分类进行重新评估,CaS40的表述更为具体准确,涉及到了享有的权利和承担的义务。
4.合营安排参与方的财务报表(主要对应部分:CaS40第三、第四章)。iFRS11分共同经营与合营企业分别介绍了参与方的财务报表处理方法。具体比较结果见表1。
四、评述
CaS40与其征求意见稿相比,并没有发生本质性的改变,只是做了局部的修改,完善了我国的合营安排准则。我国的经济日益发展,合营安排不断增多,所以有一项高质量的会计准则来指导合营安排的会计处理就显得十分重要。另外,准则修改之后与国际会计准则更加趋同,例如,“对权利和义务进行评价时应当考虑该安排的结构、法律形式以及合同条款等因素”在征求意见稿中不存在,但出现在修改之后的CaS40中,与iFRS11一致。
CaS40与iFRS11相比,存在着不足之处,但也有长处,具体表现为以下几点:(1)在iFRS11中,“合营安排的定义及其特征”、“共同控制”是单独列出来的,而CaS40则将前者放在了第一章(总则),将后者放在第二章(合营安排的认定和分类)。笔者认为,在该准则中,合营安排、共同控制等的定义和内容是比较关键的,可以单独列出来。我国的合营安排准则中没有“单独财务报表”部分,但是单独财务报表与合并财务报表的使用者不同,对信息的要求也不同,CaS40未对单独财务报表做出合营安排的规范,应当对这方面的内容进行补充,增加我国会计准则的可操作性。(2)iFRS11将合营安排分类为共同经营和合营企业,并把各自的参与各方分别称为“共同经营者”和“合营者”。在“合营安排参与方的财务报表”中,就分为了共同经营者和合营者分别讨论如何确定各自的权益。这样的分类使得结构更加合理,易于读者的阅读。CaS40虽然在合营安排的分类上和前者保持一致,但是将参与各方统称为合营方,这将增加阅读者的难度,当出现合营方时,其还要区分是共同经营的参与方还是合营企业的参与方。所以在参与各方的分类上不如iFRS11合理化。(3)CaS40也有其相对更合理的部分。比如,我国借鉴国际财务报告准则的相关规定,引入了“单独主体”的概念,并将其作为某合营安排划分为合营企业的必要非充分条件。iFRS11中也涉及“单独主体”,但只是在附录中提及,不能很好地指导实际工作。又如,我国会计准则的第五章为衔接规定,该部分主要规定了首次采用本准则的企业以及合营企业重新分类为共同经营时,合营安排的会计处理方法。合营安排之前并没有正式的准则,所以在正式准则颁布之后,很多企业可能要按照新规定进行重新评估,之前的分类可能有所改变。所以这个部分对实际工作有很好的指导意义。但是iFRS11并没有单独涉及此方面的内容,在其他部分中也很少提及,在指导实践工作时可能会存在不足。
参考文献:
1.iaSB.iFRS11:Jointarrangements[S].2011.
如何理解内部控制的定义篇8
符合性测试概念可见于我国诸多审计之中,虽然这些文献给出的符合性测试概念不尽相同,但大至可分为二类:一类认为符合性测试是为了确定内部控制制度的设计和执行的有效性;一类则认为符合性测试的不包括对内部控制制度设计的测试,也即符合性测试仅是为了确定内部控制制度的执行的有效性。
第一类观点以注册师全国统一指定辅导教材《审计》为代表,其具体的表述为:“符合性测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试是在了解内部控制的基础上来确定其设计和执行的有效性。”
第二类观点则以《释义》为代表,其具体表述为:“符合性测试是指通过一定的审计方法,测试被审计单位业务活动的运行与相关内部控制的符合程度。通过符合性测试,注册会计师便可对内部控制的有效性作出进一步评价,并根据符合性测试结果确定实质性测试的性质、时间和范围。”
不难看出,上述二类符合性测试概念的矛盾和冲突集中体现在符合性测试的内容(或对象)是否包括内部控制的设计。因此,搞清这个问题就成为解决符合性测试概念矛盾和冲突的关键所在。
如果我们把研究和评价内部控制制度看作一个过程,然后我们再把这一过程按进展程度作一划分并作些,籍此或许能够有助于弄清我们所要讨论的问题。
研究和评价内部控制制度作为一个过程,大体上要经过以下一些步骤:
1、调查了解内部控制制度,并把调查了解的惰况记录下来形成工作底稿。内部控制制度调查记录的方法通常有三种,即调查表(问卷)、文字表述和流程图。
2、进行穿行测试。所谓穿行测试就是指在每一类交易循环中选择一笔或若干笔业务进行测试,以验证工作底稿上描述的内部控制制度信息的客观性和真实性。穿行测试(walk-throughtest)也叫全程测试、了解性测试(testofUnderstanding)、摇篮—一坟墓测试(CradletoGravetests)。实施这种测试的目的在于防止工作底稿中对内部控制的描述出现偏差;
3、初步评价内部控制制度。注册会计师每次审计时,在了解了内部控制之后,应对控制风险作初步评价。由于在这一阶段,注册会计师尚未对内部控制的执行情况进行检查,仅对内部控制作了了解和描述,因此,初步评价只能从内部控制的设计角度进行。初步评价内部控制作为一种审计程序,其实质在于把被审单位内部控制的现有模式与理想模式进行比较,从内部控制的设计方面找出被审单位内部控制的不足,以及这些不足可能对会计系统产生的影响。这里的评价主要集中在企业所设计的内部控制的系统性、有效性、协调性以及内部控制的适用性等方面。“审计实务中,审计人员可以采用‘内部控制问题或调查表’。‘内部控制问题式调查表’是将内部控制的各个要求以问题方式列出的一种表式。因此,‘内部控制问题式调查表’实际上是理想控制模式的一种表示形式,它使理想控制模式具体化,使审计人员易于用理想控制模式对实际存在的内部控制制度进行评价。”初步评价以后,如果注册会计师认为内部控制完全不能依赖,注册会计师或者放弃接受委托或者直接进入实质性测试(一般要评查),如果这样,内部控制的研究。评价到此即告结束。如果注册会计师认为内部控制可以依赖或部分可以依赖(仅从制度的设计角度)且对实际存在的内部控制运行状况的检查符合成本效益原则,注册会计师则要进入下一道程序;
4、对内部控制在受审期间运行的状况进行检查。这里的检查实际上就是查看内部控制在整个受审期间是否按照设计的要求有效地运行,其实际运行的状况与制度设计的要求符合程度有多大。因为,设计再完美的内部控制,如果没按要求运行,内部控制只能形同虚设,注册会计师同样不可对其依赖。注册会计师仅在满足下列条件下才对内部控制的运行情况进行检查:(1)存在可以依赖的内部控制;(2)对内部控制的检查可以减少实质性测试的工作量。这里的检查方法可以按交易测试和机能测试分别进行。所谓交易测试就是对某一交易事项的突个流程或整个程序所采取的一切控制措施进行审查,其目标在于查明内部控制系统中的信息流向,查明信息流经的控制环节是否都在发挥控制功能,其发挥的程度和效能如何。交易测试一般应按交易循环进行,注册会计师从每一交易循环中选择出若干交易事项进行测试,这里的测试既可以顺查也可以逆查。交易测试的实质在于是对内部控制在一个较为狭窄的时间范围内所做的横向检查;所谓机能测试是指对某控制措施(控制点)在整个受审期间是否一贯地有效执行所进行的测试。这种测试要求注册会计师从内部控制中选择出若干关键控制点,并对受审期间内所有经过这些控制点的业务进行控制情况检查(抽查)。所谓关键控制点是指一旦这些控制环节的控制失控,错弊就极易发生,符合这种特性的控制环节,就可称之为关键控制点。机能测试的实质在于是对关键控制点在整个受审期间所做的纵向检查。交易测试结合机能测试可以便注册会计师对内部控制进行较为镇密地、有效地立体检查,这里的检查仍为抽查。注册会计师对内部控制的执行。情况进行检查以后,接着就要进入下一个程序;
5、对内部控制的再评价。通过上述几个程序,注册会计师对内部控制的设计以及运行情况都有了比较全面的了解,在此基础上,注册会计师要对整个内部控制的情况也即控制风险水平进行再评价,看其控制风险是高还是低。将控制风险评价为高水平,意味着内部控制不能及时防止或者发现和纠正某项认定中的重要错报或漏报的可能性很大,如果很多认定或者所有认定的控制风险,都被评价为高水平,那么,注册会计师就应考虑是否对被审计单位会计报表进行审计。对控制风险的评价,是为了确定完成审计工作所需执行实质性测试的性质、时间和范围。评价控制风险的适当与否,直接影响到实质性测试的适当性。至此研究和评价内部控制的一般过程就全部结束。
内部控制制度的与评价肯定不等于符合性测试,但符合性测试却存在于内部控制制度的研究与评价过程之中。因此,在我们对内部控制的研究与评价程序作了划分和后,要想地界定符合性测试的内涵,还有必要对测试概念以及符合性概念作些分析。
何为测试?测试(test)的意思为检查,只不过这里的检查含有抽样检查的意思,用在审计中,则是指通过对审计对象样本的检查,以审计对象样本的特征去推断审计对象总体特征这样一种活动。至于符合性,其含义即为遵循性,符合性测试在中叫Compliancetests。因此,Compliancetests在我国也有人把它翻译成遵循性测试、依从性测试。从这些字义本身来看,内部控制的研究和评价程序中,只有第4步程序才能称之为符合性测试。因为,第4步程序只是对内部控制进行了解、描述和记录,没有测试;第2步程序虽然进行了穿行测试,但目的不是检查“符合性”,而是检查对内部控制描述记录是否有错;第3步程序为初步评价,这里的初步评价只能是从内部控制设计的角度初步评估控制风险,是在对内部控制实际执行情况没有检查情况下对控制风险的初步评估,这里不涉及符合性;至于第5步程序也与符合性测试的内涵不相吻合,符合性测试与内部控制的再评价既有联系又有区别。符合性测试是内部控制再评价的基础,没有符合性测试也就不会出现内部控制的再评价;内部控制再评价是符合性测试的必然要求,否则,符合性测试就没有任何价值,这是二者的联系。但是它们二者的区别也是非常明显的,内部控制的再评价是利用符合性测试得到的证据,对控制风险作出比较全面的分析过程,其本身作为一个相对独立的过程,并不进行任何检查,只是在利用检查所得到的资料。被西方誉为“民间审计圣经”的《蒙哥马利审计学》也认为“审计人员对其计划所依靠的各项控制进行初步评价后,接着便进行符合性测试,——符合性测试的目的是证明内部控制在打算依赖的期间内,是否在令人满意地发挥作用。它包括:检查审计客户的记录和文件,取得证据;观察审计客户职员如何执行控制;由审计人员重复进行职员的工作。”
如何理解内部控制的定义篇9
[关键词]企业管理;内部控制;CoSo报告
[中图分类号]F270.7[文献标识码]a[文章编号]1003-3890(2006)11-0052-05
内部控制是现代企业管理架构的构成部分,是企业持续发展的制度保证。现代企业理论和管理实践表明,企业一切管理工作,都是从建立和健全内部控制开始的;企业的一切活动,都无法游离于内部控制之外。可以说,“得控则强,失控则弱,无控则乱”。因此,内部控制在现代企业管理中居于战略地位。
一、关于内部控制的内涵
长期以来,人们对内部控制有不同的认识,提出了各种各样的观点。例如“过程论”把内部控制定义为实现一组目标而提供合理保证的一种过程;“程序论”则认为内部控制是指基本的内部会计控制及风险管理政策及程序;“制度论”认为内部控制是企业为实现经营目标,根据经营环境变化,对企业经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施;“系统则将内部控制定义为一种多要素构成的“系统”。另外,国内外还有“行为论”、“结果论”、“状态(环境)论”、“综合论”等其他观点。这些观点都是从不同立场或不同角度观察内部控制的结果,从不同侧面揭示了内部控制的某些特征。
那么,到底什么是内部控制呢?CoSo报告将内部控制定义为:由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规。
在这个定义中,有四个关键词值得注意:目标(objectives)、人(personnel)、过程(process)、合理保证(reasonableassurance)。也就是说,内部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。可见,CoSo报告对内部控制的定义具有丰富的内涵,同时具有科学的限定,这是截至目前最权威、最通用的内部控制定义。
二、内部控制的构成要素与整体框架
CoSo报告提出了内部控制的五个构成要素,即所谓的“五点论”,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。
(一)控制环境(Controlenvironment)
起初人们只是将控制环境作为内部控制的外部因素来看待,但渐渐地人们认识到控制环境是内部控制的一个组成部分,是充分有效的内部控制体系得以建立和运行的基础及保证,因而应该包含在企业内部控制的范围内。
CoSo报告则把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其他控制成份的基础。具体包括以下内容:(1)员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突及道德行为标准的行为准则。(2)员工的胜任能力,如雇员是否能胜任质量管理的要求。(3)董事会或审计委员会,如董事会是否独立于管理层。(4)管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。(5)组织结构,如信息是否到达合适的管理阶层。(6)授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。(6)人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。
仔细分析以上描述,控制环境可以归纳为两大方面:一是“软环境”:包括企业的管理哲学、控制文化(cultureofcontrols)、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围。二是“硬环境”:包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构,以及科学合理的组织体系,并合理配置各层次、各方面的权责,内部控制系统才有所依托并得以运转。可见,控制环境既是一个企业管理架构的组成部分,也是其内部控制系统的构成要素。控制环境确立了一个企业的基调,影响公司及人员的控制意识和导向。它是其他内部控制要素的基础,提供规则和结构。只有打牢控制环境这个根基,企业内部控制系统的“大厦”才能建立起来并真正发挥作用。
(二)风险评估(Riskassessment)
风险控制对企业来说具有特别重要的意义,不仅是企业内部控制的主要目标,而且是企业内部控制的核心要素和轴心工作。
CoSo报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。
需要特别强调的是:这里的要素是“风险评估”,而不是“风险管理”。在一般人眼里,内部控制就是风险管理。其实,两者是不同的。CoSo报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外(见表1),后来又不声不响地将风险管理绕回到报告之中(1996年,CoSo委员会的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价)。那么内部控制与风险管理之间是什么关系呢?其可以概括为:内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制并不等同于风险管理,只能防范风险,不能转嫁、承担、化解或分散风险。
(三)控制活动(Controlactivities)
控制活动是企业内部控制的实质性要素,是依托于控制环境进行的实际控制行为。CoSo报告认为,控制活动指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。在实践中,控制活动形式多样,可将其归结为以下四类。
1.业绩评价,是指将实际业绩与其他标准,如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系,如经营数据和财务数据,对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用,但一般与财务报告的可靠性和公允性相关度不高。
2.信息处理,指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类:一般控制和应用控制。一般控制与信息系统设计和管理有关,如保证软件完整的程序、信息处理时间表、系统文件和数据维护等;应用控制与个别数据在信息系统中处理的方式有关;如保证业务正确性和已授权的程序。
3.实物控制,也称为资产和记录接近控制,这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关,如在编制财务报告时,管理层仅仅依赖于永续存货记录,则存货的接近控制与审计有关。
4.职责分离,指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行为。一般来说,下面的职责应被分开:业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)及对业绩的独立检查(监督职能)。理想状态的职责分离是,没有一个职员负责超过一个的职能。
(四)信息与沟通(informationandCommunication)
信息与沟通,指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度,即由管理当局建立的记录和报告经济业务和事项,维护资产、负债和业益的方法和记录。有效的会计制度应是:(1)包括可以确认所有有效业务的方法和记录;(2)序时详细记录业务以便于归类,提供财务报告;(3)采用恰当的货币价值来计量业务;(4)确定业务发生时期以保证业务记录于合理的会计期间,在财务报告中恰当披露业务。
沟通是使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿,以及口头交流或管理示例等。
有人曾质疑信息与沟通是否应作为内部控制中一个单独的构成要素,例如加拿大CiCa下属的控制标准委员会(负责制定内部控制标准的机构,即CoCo)就认为,信息与沟通应该整合到其他的部分中去,因此CoCo没有把其作为内部控制的构成要素。笔者认为,这种观点不符合现代信息社会的普遍特征,没有认识到现代企业运行中信息的重要性,尤其是与现代企业高度信息化、电子化的特征相矛盾。我们赞同CoSo报告、巴塞尔委员会等的主流做法:把信息与沟通作为内部控制必要的、单独的构成要素予以强调。
(五)监控(monitoring)
CoSo报告认为,监控指评价内部控制质量的过程,即对内部控制改革、运行及改进活动进行评价。包括内部审计和与单位外部人员、团体进行交流。可见,监控实际上是企业对内部控制实施效果进行评价的过程,是企业站在更高的整体的层面对其他控制要素的整合及调适,是独立的、进一步的控制活动,因而是企业完整的内部控制系统必不可少的后续要素。
(六)整体框架(wholeFramework)
上述五大要素之间具有紧密的关系:控制环境是其他控制成份的基础,在规划控制活动时,必须对企业可能面临的风险有细致的了解和评估;而风险评估和控制活动必须借助企业内部信息有效的沟通;最后,实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式(如图1所示)。
三、对CoSo报告的评价
(一)CoSo报告的理论贡献
同以往的内部控制理论及研究成果相比,CoSo报告提出了许多新的、有价值的观点,代表了现代内部控制理论的最新成果和目前的最高水平。其贡献归纳起来主要表现在以下12个方面。
1.内部控制通用定义为相关团体提供了理解内部控制的共同基础。CoSo报告通过整合不同的内部控制观念,接纳多数性的观点,建立了内部控制的通用定义,为各方提供了一种通用语言和沟通平台,从而使内部控制的交流更有效果。
2.内部控制整体框架论有助于改变内部控制杂散、机械的现象。CoSo报告指出,内部控制是由五大部分组成的,而这五大部分紧密融入到企业的管理过程中,并形成了有机联系的整体,所以,内部控制不再仅仅被看作是一项制度或一条条机械的规定,而是动态的过程和有序的系统,是一个有机的整体。
3.强调内部控制是一个持续的“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
4.强调内部控制的三类目标。CoSo报告单独对内部控制的目标进行了解析和阐释,将内部控制目标分为三类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面,尤其是将内部控制观念从财务报告这一传统的、狭窄的、技术性的方面突破出来,大大拓展了内部控制的范畴。
5.强调内部控制应该与企业的经营管理过程相结合。CoSo报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由企业的某一个单位或部门进行,或由若干个单位或部门共同进行。内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。
6.强调内部控制中“人”的重要性。CoSo报告特别强调,内部控制受企业的董事会、管理阶层及其他员工影响,透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。反过来,内部控制影响着人的行动。
7.强调“软控制”的作用。相对于以前的内部控制研究成果而言,CoSo报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化和内部控制意识等。
8.强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。CoSo报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理层须密切注意各层级的风险,并采取必要的管理措施。
9.揉和了管理与控制的界限。在CoSo报告中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。
10.明确对内部控制的“责任”。在世界内部控制发展史上,CoSo报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是董事会、管理人员和内部审计人员与内部控制有关,组织中的每一个人都在内部控制中担当一定的角色,都对内部控制负有一定的责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制,而不是与管理层相互对立,被动地执行内部控制。值得注意的是,它指出外部团体如外部审计师、监管组织等并不对企业内部控制负有责任。这有利于企业完善内部治理结构,从而真正地将内部控制落到实处。
11.明确指出内部控制的“局限性”。CoSo报告认为:不论设计及执行有多么完善,内部控制都只能为管理层及董事会提供达成企业目标的合理保证,而不是绝对保证。而目标达成的可能性,尚受内部控制之先天条件所限制。内部控制的限制因素主要有:职员对与内部控制有关的决策的判断可能有错误;职员可能出现差错或错误;管理人员逾越内部控制是可能的;集体合谋或进行掩盖可能导致控制失败等。
12.提出内部控制的成本与效益原则。CoSo报告明确指出,内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何的可能性,而是要创造一种为防范而投入的成本与的累计数额之比呈合理状态(即经济原则)的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。
总之,CoSo报告在内部控制理论研究方面做出了巨大的贡献,成为当今世界关于内部控制的主流观点,被奉为经典和权威。在内部控制实务操作方面,则成为广泛接受的标准和指南,具有普遍的应用价值。
(二)CoSo报告的不足与完善
CoSo报告承认,尽管它代表了集体研究的结晶并力求完善,但它同时也标志着内部控制观念和实务上评估、创新、教育和研究的重要和全新的起点,而不应是终止。因此,内部控制理论研究和实务应用在内部控制整体框架的基础上,有可能也应该进一步发展。
在肯定CoSo报告价值的同时,我们也不应忽视一些不同的意见。比如,在CoSo报告公布不久,美国审计总署(Gao)就曾对该报告的许多方面提出过批评,并指责这个框架有严重缺陷,其内部控制定义中缺乏保障资产的概念,还认为这个框架对内部控制重要性的强调不够,丧失了改善内部控制监督和评估的机会。此外,对CoSo框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。CoSo框架声称,并不是所有的管理责任都是内部控制的组成部分,因而将战略计划、目标设定、保持核心竞争力及董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败,公司不具有效的治理结构,经营业绩明显低于业界平均水平所引起。显然,CoSo框架对这些问题的关注是不够的,它将注意力集中在如何对外披露与财务报告有关的内部控制上。
CoSo报告后,在全球范围产生了广泛的影响,许多国家予以回应或予以承认。当今世界另外几个主流内部控制报告如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会(iia)的SaC、信息系统审计与控制协会的(iSaCa)的Cobit,以及巴塞尔银行监督委员会1998年的《银行组织内部控制系统框架》都与CoSo框架紧密相关。中国有关部门制定的内部控制标准,包括证监会的《证券公司内部控制指引(2003)》、中国人民银行的《商业银行内部控制指引(2002)》、中国内部审计协会的《内部审计准则——内部控制(2003)》,其核心内容也与CoSo报告一脉相承。
2001年底美国发生的“安然事件”等一系列财务丑闻,又一次让内部控制成为关注的焦点。针对上述公司失败事件,美国国会在2002年出台了《萨班斯—奥克斯利法案》,该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。此外,美国证监会SeC对该标准的认同等于从另外一个侧面承认了CoSo报告(此前SeC一直不采纳)。这也表明CoSo框架在2004年成为了美国的内部控制标准。这是CoSo的重大胜利,是CoSo每个成员机构多年的不懈努力的结果。
不过,CoSo报告本身并不是完美无缺,毕竟,对内部控制的理解是在不断演进的。随着人们对内部控制越发熟悉,积累的经验越多,他们对内部控制的理解就会随时间而改变,而这或多或少取决于影响和决定内部控制的诸多力量。并且,不同的利益群体对内部控制的观点存在不同的认识。例如,会计行业与非会计行业在关注内部控制的问题上是有重大差别的,如何将会计界的内部控制语言转换为管理界的内部控制语言,仍是一个需要长期沟通和探索的问题。
[参考文献]
[1]马广奇.资本市场博弈论[m].上海:上海财经大学出版社,2006.
[2]史蒂文·J·鲁特.超越CoSo:强化公司治理的内部控制[m].刘霄仑译.北京:中信出版社,2004.
[3]谢荣,刘华.证券公司内部控制系统研究[m].北京:中国财政经济出版社,2004.
[4]吴水澎,邵贤弟,陈汉文.企业内部控制理论的发展与启示[J].会计研究,2000,(5).
[5]朱荣恩.内部控制的理论发展[eB/oL].,2006-01-10.
[6]刘金文.“三要素”:内部控制理论框架[eB/oL].,2006-04-24.
thenewDevelopmentoftheinternalControlofenterprises
maGuang-qi
(Schoolofmanagement,ShanxiUniversityofScienceandtechnology,Xianyang712081,China)
如何理解内部控制的定义篇10
[关键词]企业管理;内部控制;CoSo报告
[中图分类号]F270.7[文献标识码]a[文章编号]1003-3890(2006)11-0052-05
内部控制是现代企业管理架构的构成部分,是企业持续发展的制度保证。现代企业理论和管理实践表明,企业一切管理工作,都是从建立和健全内部控制开始的;企业的一切活动,都无法游离于内部控制之外。可以说,“得控则强,失控则弱,无控则乱”。因此,内部控制在现代企业管理中居于战略地位。
一、关于内部控制的内涵
长期以来,人们对内部控制有不同的认识,提出了各种各样的观点。例如“过程论”把内部控制定义为实现一组目标而提供合理保证的一种过程;“程序论”则认为内部控制是指基本的内部会计控制及风险管理政策及程序;“制度论”认为内部控制是企业为实现经营目标,根据经营环境变化,对企业经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施;“系统则将内部控制定义为一种多要素构成的“系统”。另外,国内外还有“行为论”、“结果论”、“状态(环境)论”、“综合论”等其他观点。这些观点都是从不同立场或不同角度观察内部控制的结果,从不同侧面揭示了内部控制的某些特征。
那么,到底什么是内部控制呢?CoSo报告将内部控制定义为:由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规。
在这个定义中,有四个关键词值得注意:目标(objectives)、人(personnel)、过程(process)、合理保证(reasonableassurance)。也就是说,内部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。可见,CoSo报告对内部控制的定义具有丰富的内涵,同时具有科学的限定,这是截至目前最权威、最通用的内部控制定义。
二、内部控制的构成要素与整体框架
CoSo报告提出了内部控制的五个构成要素,即所谓的“五点论”,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。
(一)控制环境(Controlenvironment)
起初人们只是将控制环境作为内部控制的外部因素来看待,但渐渐地人们认识到控制环境是内部控制的一个组成部分,是充分有效的内部控制体系得以建立和运行的基础及保证,因而应该包含在企业内部控制的范围内。
CoSo报告则把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其他控制成份的基础。具体包括以下内容:(1)员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突及道德行为标准的行为准则。(2)员工的胜任能力,如雇员是否能胜任质量管理的要求。(3)董事会或审计委员会,如董事会是否独立于管理层。(4)管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。(5)组织结构,如信息是否到达合适的管理阶层。(6)授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。(6)人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。
仔细分析以上描述,控制环境可以归纳为两大方面:一是“软环境”:包括企业的管理哲学、控制文化(cultureofcontrols)、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围。二是“硬环境”:包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构,以及科学合理的组织体系,并合理配置各层次、各方面的权责,内部控制系统才有所依托并得以运转。可见,控制环境既是一个企业管理架构的组成部分,也是其内部控制系统的构成要素。控制环境确立了一个企业的基调,影响公司及人员的控制意识和导向。它是其他内部控制要素的基础,提供规则和结构。只有打牢控制环境这个根基,企业内部控制系统的“大厦”才能建立起来并真正发挥作用。
(二)风险评估(Riskassessment)
风险控制对企业来说具有特别重要的意义,不仅是企业内部控制的主要目标,而且是企业内部控制的核心要素和轴心工作。
CoSo报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。
需要特别强调的是:这里的要素是“风险评估”,而不是“风险管理”。在一般人眼里,内部控制就是风险管理。其实,两者是不同的。CoSo报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外(见表1),后来又不声不响地将风险管理绕回到报告之中(1996年,CoSo委员会的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价)。那么内部控制与风险管理之间是什么关系呢?其可以概括为:内部控制的动力源于风险防范并构成风险管理的必要环节,但内部控制并不等同于风险管理,只能防范风险,不能转嫁、承担、化解或分散风险。
(三)控制活动(Controlactivities)
控制活动是企业内部控制的实质性要素,是依托于控制环境进行的实际控制行为。CoSo报告认为,控制活动指对所确认的风险采取必要的措施,以保证单位目标得以实现的政策和程序。在实践中,控制活动形式多样,可将其归结为以下四类。
1.业绩评价,是指将实际业绩与其他标准,如前期业绩、预算和外部基准尺度进行比较;将不同系列的数据相联系,如经营数据和财务数据,对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用,但一般与财务报告的可靠性和公允性相关度不高。
2.信息处理,指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类:一般控制和应用控制。一般控制与信息系统设计和管理有关,如保证软件完整的程序、信息处理时间表、系统文件和数据维护等;应用控制与个别数据在信息系统中处理的方式有关;如保证业务正确性和已授权的程序。
3.实物控制,也称为资产和记录接近控制,这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关,如在编制财务报告时,管理层仅仅依赖于永续存货记录,则存货的接近控制与审计有关。
4.职责分离,指将各种功能性职责分离,以防止单独作业的雇员从事或隐藏不正常行为。一般来说,下面的职责应被分开:业务授权(管理功能)、业务执行(保管职能)、业务记录(会计职能)及对业绩的独立检查(监督职能)。理想状态的职责分离是,没有一个职员负责超过一个的职能。
(四)信息与沟通(informationandCommunication)
信息与沟通,指为了使职员能执行其职责,企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度,即由管理当局建立的记录和报告经济业务和事项,维护资产、负债和业益的方法和记录。有效的会计制度应是:(1)包括可以确认所有有效业务的方法和记录;(2)序时详细记录业务以便于归类,提供财务报告;(3)采用恰当的货币价值来计量业务;(4)确定业务发生时期以保证业务记录于合理的会计期间,在财务报告中恰当披露业务。
沟通是使员工了解其职责,保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系,如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿,以及口头交流或管理示例等。
有人曾质疑信息与沟通是否应作为内部控制中一个单独的构成要素,例如加拿大CiCa下属的控制标准委员会(负责制定内部控制标准的机构,即CoCo)就认为,信息与沟通应该整合到其他的部分中去,因此CoCo没有把其作为内部控制的构成要素。笔者认为,这种观点不符合现代信息社会的普遍特征,没有认识到现代企业运行中信息的重要性,尤其是与现代企业高度信息化、电子化的特征相矛盾。我们赞同CoSo报告、巴塞尔委员会等的主流做法:把信息与沟通作为内部控制必要的、单独的构成要素予以强调。
(五)监控(monitoring)
CoSo报告认为,监控指评价内部控制质量的过程,即对内部控制改革、运行及改进活动进行评价。包括内部审计和与单位外部人员、团体进行交流。可见,监控实际上是企业对内部控制实施效果进行评价的过程,是企业站在更高的整体的层面对其他控制要素的整合及调适,是独立的、进一步的控制活动,因而是企业完整的内部控制系统必不可少的后续要素。
(六)整体框架(wholeFramework)
上述五大要素之间具有紧密的关系:控制环境是其他控制成份的基础,在规划控制活动时,必须对企业可能面临的风险有细致的了解和评估;而风险评估和控制活动必须借助企业内部信息有效的沟通;最后,实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式(如图1所示)。
三、对CoSo报告的评价
(一)CoSo报告的理论贡献
同以往的内部控制理论及研究成果相比,CoSo报告提出了许多新的、有价值的观点,代表了现代内部控制理论的最新成果和目前的最高水平。其贡献归纳起来主要表现在以下12个方面。
1.内部控制通用定义为相关团体提供了理解内部控制的共同基础。CoSo报告通过整合不同的内部控制观念,接纳多数性的观点,建立了内部控制的通用定义,为各方提供了一种通用语言和沟通平台,从而使内部控制的交流更有效果。
2.内部控制整体框架论有助于改变内部控制杂散、机械的现象。CoSo报告指出,内部控制是由五大部分组成的,而这五大部分紧密融入到企业的管理过程中,并形成了有机联系的整体,所以,内部控制不再仅仅被看作是一项制度或一条条机械的规定,而是动态的过程和有序的系统,是一个有机的整体。
3.强调内部控制是一个持续的“动态过程”。内部控制是对企业的整个经营管理活动进行监督与控制的过程,企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止。企业内部控制不是一项制度或一个机械的规定,企业经营管理环境的变化必然要求企业内部控制越来越趋于完善,内部控制是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
4.强调内部控制的三类目标。CoSo报告单独对内部控制的目标进行了解析和阐释,将内部控制目标分为三类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面,尤其是将内部控制观念从财务报告这一传统的、狭窄的、技术性的方面突破出来,大大拓展了内部控制的范畴。
5.强调内部控制应该与企业的经营管理过程相结合。CoSo报告认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。这个过程由企业的某一个单位或部门进行,或由若干个单位或部门共同进行。内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。
6.强调内部控制中“人”的重要性。CoSo报告特别强调,内部控制受企业的董事会、管理阶层及其他员工影响,透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。反过来,内部控制影响着人的行动。
7.强调“软控制”的作用。相对于以前的内部控制研究成果而言,CoSo报告更加强调“软控制”的作用。软控制主要是指那些属于精神层面的事物,如高级管理阶层的管理风格、管理哲学、企业文化和内部控制意识等。
8.强调风险意识。现代社会是一个充满剧烈竞争的社会,每一个企业都面临着成功的挑战和失败的风险,对风险的管理是现代企业的主旋律之一。风险影响着每个企业生存和发展的能力,也影响其在产业中的竞争力及在市场上的声誉和形象。CoSo报告指出,所有的企业,不论其规模、结构、性质或产业是什么,其组织的不同层级都会遭遇风险,管理层须密切注意各层级的风险,并采取必要的管理措施。
9.揉和了管理与控制的界限。在CoSo报告中,控制已不再是管理的一部分,管理和控制的职能与界限已经模糊。
10.明确对内部控制的“责任”。在世界内部控制发展史上,CoSo报告第一次明确地阐述了内部控制的制定与实施的责任问题。该报告认为,不仅仅是董事会、管理人员和内部审计人员与内部控制有关,组织中的每一个人都在内部控制中担当一定的角色,都对内部控制负有一定的责任。确立这种组织思想有利于将企业的所有员工团结一致,使其主动地维护及改善企业的内部控制,而不是与管理层相互对立,被动地执行内部控制。值得注意的是,它指出外部团体如外部审计师、监管组织等并不对企业内部控制负有责任。这有利于企业完善内部治理结构,从而真正地将内部控制落到实处。
11.明确指出内部控制的“局限性”。CoSo报告认为:不论设计及执行有多么完善,内部控制都只能为管理层及董事会提供达成企业目标的合理保证,而不是绝对保证。而目标达成的可能性,尚受内部控制之先天条件所限制。内部控制的限制因素主要有:职员对与内部控制有关的决策的判断可能有错误;职员可能出现差错或错误;管理人员逾越内部控制是可能的;集体合谋或进行掩盖可能导致控制失败等。
12.提出内部控制的成本与效益原则。CoSo报告明确指出,内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何的可能性,而是要创造一种为防范而投入的成本与的累计数额之比呈合理状态(即经济原则)的机制。因此,没有不花钱的内部控制,也不存在完美无缺的内部控制。
总之,CoSo报告在内部控制理论研究方面做出了巨大的贡献,成为当今世界关于内部控制的主流观点,被奉为经典和权威。在内部控制实务操作方面,则成为广泛接受的标准和指南,具有普遍的应用价值。
(二)CoSo报告的不足与完善
CoSo报告承认,尽管它代表了集体研究的结晶并力求完善,但它同时也标志着内部控制观念和实务上评估、创新、教育和研究的重要和全新的起点,而不应是终止。因此,内部控制理论研究和实务应用在内部控制整体框架的基础上,有可能也应该进一步发展。
在肯定CoSo报告价值的同时,我们也不应忽视一些不同的意见。比如,在CoSo报告公布不久,美国审计总署(Gao)就曾对该报告的许多方面提出过批评,并指责这个框架有严重缺陷,其内部控制定义中缺乏保障资产的概念,还认为这个框架对内部控制重要性的强调不够,丧失了改善内部控制监督和评估的机会。此外,对CoSo框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。CoSo框架声称,并不是所有的管理责任都是内部控制的组成部分,因而将战略计划、目标设定、保持核心竞争力及董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败,公司不具有效的治理结构,经营业绩明显低于业界平均水平所引起。显然,CoSo框架对这些问题的关注是不够的,它将注意力集中在如何对外披露与财务报告有关的内部控制上。
CoSo报告后,在全球范围产生了广泛的影响,许多国家予以回应或予以承认。当今世界另外几个主流内部控制报告如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会(iia)的SaC、信息系统审计与控制协会的(iSaCa)的Cobit,以及巴塞尔银行监督委员会1998年的《银行组织内部控制系统框架》都与CoSo框架紧密相关。中国有关部门制定的内部控制标准,包括证监会的《证券公司内部控制指引(2003)》、中国人民银行的《商业银行内部控制指引(2002)》、中国内部审计协会的《内部审计准则――内部控制(2003)》,其核心内容也与CoSo报告一脉相承。
2001年底美国发生的“安然事件”等一系列财务丑闻,又一次让内部控制成为关注的焦点。针对上述公司失败事件,美国国会在2002年出台了《萨班斯―奥克斯利法案》,该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。此外,美国证监会SeC对该标准的认同等于从另外一个侧面承认了CoSo报告(此前SeC一直不采纳)。这也表明CoSo框架在2004年成为了美国的内部控制标准。这是CoSo的重大胜利,是CoSo每个成员机构多年的不懈努力的结果。
不过,CoSo报告本身并不是完美无缺,毕竟,对内部控制的理解是在不断演进的。随着人们对内部控制越发熟悉,积累的经验越多,他们对内部控制的理解就会随时间而改变,而这或多或少取决于影响和决定内部控制的诸多力量。并且,不同的利益群体对内部控制的观点存在不同的认识。例如,会计行业与非会计行业在关注内部控制的问题上是有重大差别的,如何将会计界的内部控制语言转换为管理界的内部控制语言,仍是一个需要长期沟通和探索的问题。
[参考文献]
[1]马广奇.资本市场博弈论[m].上海:上海财经大学出版社,2006.
[2]史蒂文・J・鲁特.超越CoSo:强化公司治理的内部控制[m].刘霄仑译.北京:中信出版社,2004.
[3]谢荣,刘华.证券公司内部控制系统研究[m].北京:中国财政经济出版社,2004.
[4]吴水澎,邵贤弟,陈汉文.企业内部控制理论的发展与启示[J].会计研究,2000,(5).
[5]朱荣恩.内部控制的理论发展[eB/oL].省略,2006-01-10.
[6]刘金文.“三要素”:内部控制理论框架[eB/oL].省略,2006-04-24.
thenewDevelopmentoftheinternalControlofenterprises
maGuang-qi
(Schoolofmanagement,ShanxiUniversityofScienceandtechnology,Xianyang712081,China)