《全方位审视内部控制》由会员分享,可在线阅读,更多相关《全方位审视内部控制(4页珍藏版)》请在金锄头文库上搜索。
1、全方位审视内部控制 一、内部控制不同阶段 内部控制是组织为了控制资源,实现管理目标而自发的一种管 理行为和方式。内部控制的概念是审计人员为了提高审计效率,降低审计成本,从组织已 有的内部管理中概括出来的;内部控制理论研究的发起者也是审计人员,因此多数内部控 制是从注册会计师执行内部控制审核的角度定义的,内部控制理论的发展也与审计密切相 关。理论上认为内部控制经历了四个阶段:内部牵制、内部控制制度、内部控制结构和内 部控制整体框架。内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,主要目的是确保账 目正确无误。内部控制制度思想认为内部控制应分为内部会计控制与内部管理控制两个部 分。前者的目
2、的是保护资产、检查会计数据的准确性与可靠性;后者的目的是提高经营效 率,促使有关人员遵守既定的管理方针。以上两个阶段是从目标、控制措施方面对内部控 制进行的定义。由于第二个阶段扩大了内部控制的范围,导致第三阶段必须从更高、更系 统的角度定义内部控制。所以第三阶段以内部控制结构取代了内部控制制度。内部控制结 构的概念认为, “内部控制结构包括为合理保证组织特定目标的实现而建立的各种政策和程 序”,并明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。第四阶段 则进一步系统地整合了内部控制结构的概念,提出内部控制整体框架,认为内部控制是由 董事会、经理阶层和其他员工实施的,为营运的效率
3、性和效果性、财务报告的可靠性、相 关法令的遵循性等目标的达成而提供合理保证的过程,其构成要素管理阶层经营组织的方 式,并与管理过程相结合,具体包括:控制环境、风险评估、控制活动、信息和沟通、监 督五个部分,每个组成要素适用于所有的目标类别,每一个组成要素与每一个目标都相关。从内部控制发展过程,我们可以看出:1、内部控制从狭义内部控制逐步发展为广义内部控制。狭义内部控制指与会计有关 的部分,主要用以保证财务报告的可靠性,例如会计人员关注的内部会计监督制度,审计 人员所关注的内部会计控制制度等。广义内部控制除以上内容外,还包括与保证经营活动 效率有关的部分,即组织管理当局所关注的内部控制,如董事会
4、的设立、管理者的素质、 企业文化等。由于内部控制的概念是审计人员提出的,因此第一阶段内部控制的措施是会 计的方法,如账目核对。岗位分离也是指会计岗位的分离,控制目的则是以保证账目正确 无误为主。而内部控制是伴随着组织的形成而产生的,它是组织中内生的,并不是外部管 制、规范的要求和审计等外力催生的,不可避免地从第二阶段开始,内部控制就涉及到了 内部管理控制的内容。尽管从审计角度看该定义范围过于宽泛,使该定义有争议,但第三 阶段也只是从内部控制结构方面定义内部控制,并没有调整内部控制的范围。内部控制的 最新发展:COSO 定义,不仅进一步扩大了内部控制的范围,包括了控制环境、风险评估 等内容,而且
5、将前期处于分离的内部会计控制与内部管理控制用结构,系统的方式整合在 一起。甚至强调内部控制与管理过程的结合,揉合了管理与控制的界限。2、内部控制的控制对象、控制方法、研究方法从简单到复杂,定义从一般到具体。 早期内部控制,以账、钱,物为控制对象,后期则以业务过程、管理过程、信息过程等为 控制对象。早期内部控制以岗位的内部牵制为主,到后期尽管内部牵制仍为主要手段,但 它还涉及到更多的控制程序、控制方法,并从会计、审计层次的研究上升到制度、组织协 调、系统等角度的研究。从一般到具体表现为早期内部控制的定义是从控制内容、控制目 的入手,侧重于控制目的的表述。在第二阶段对内部控制的目的取得一致看法后,
6、后期对 内部控制的定义除了对目的、内容进行说明外,更多地是从内部控制的结构、框架等方面 进行具体表述。3、IT 统一了内部控制实践与理论,整合了内部控制各个部分。内部控制定义的发展,一方面是由于审计对象的发展促使内部控制定义变化,另一方面则是由于管理实践与 理论的发展引起的。两个方面中,IT 的作用都是不可忽视的。IT 在组织整个价值链中的深 入应用,使组织的业务过程、管理过程有机地整合在一起,将内部控制的理论、方法与组 织的管理实践有机结合在一起,使内部控制实践与理论殊途同归。 IT 在组织管理、会计、 审计中的全面应用,使组织从物质流、资金流、人才流中分离出了以处理信息流为主的信 息系统。
7、该信息系统从分散、零散的状态变为集中、系统状态,并将内部控制的各个部分 整合在一起。在 COSO 的定义中,信息与沟通的主要对象与工具就是以 IT 为基础的信息 系统。控制是指根据系统的目标,对系统进行调节以克服系统的不确定性,使之达到所需 要状态的活动和过程。在此定义中,系统需要达到的状态为系统目标即控制目标;为实现 控制目标采取措施的实施者为控制主体;影响系统不能达到目标的因素、控制实施的范围 则是控制客体;控制主体所采取的作用于控制客体的方法是控制手段。在整个控制过程中, 依靠信息沟通渠道进行控制主体与控制客体之间的信息交流。笔者认为,内部控制是控制 主体与控制客体处于同一系统时的控制。
8、组织是一个稳定、正式的社会结构,它从环境中利用资源并将其加工成产品又输出 给环境。组织是一个权利、特权、责任、义务的集合,其中诸方面在一定时期通过冲突及 其解决而达到微妙的平衡。从系统的角度看组织是一个系统,其模型如下:组织的特定目 标是创造价值,任何组织都由一系列相关的、相互联系的三个过程组成。一是业务过程。 用来提供商品和服务,业务过程至少有三种类型:获取支付过程,转换过程,销售收 款过程。二是管理过程。由组织领导负责,管理对象是业务过程,管理活动主要有计划、 执行、控制和评价等。三是信息过程。管理的中心是决策,决策需要信息,因此需要信息 系统。信息系统具有如下活动:记录与业务活动相关的数
9、据,维护和保持与组织相关的和 最新的数据,报告对执行、控制和评价业务过程有用的信息,这些活动构成信息过程。业务过程与向客户提供商品和服务直接相关,管理人员从信息系统获得的信息可以 辅助他们管理业务过程,他们对每个业务过程的计划、执行、控制和评价做出决策,信息 系统通过信息过程来提供对这些决策有用的信息。当组织的业务和管理过程变化时,信息 过程也必须跟着变化。当业务过程、信息过程和管理过程融为一体时,组织完成其目标的 可能性大大增强。组织的内部控制是使以上三个过程融为一体,使组织不会处于不协调和 无效状态的基本方法。影响组织完成其目标的因素很多:成本过高,技术不可靠,生产的 产品不符合市场需求,
10、经济环境不好,战争等宏观与微观的原因。为了使组织完成其目标, 创造价值,需要各种控制措施,使以上三个过程处于平衡。由于组织是社会中的一种组成 元素,对它的外部控制主要通过对其环境产生影响而进行,这主要靠国家政策、制度等宏 观政策来进行调控。组织的内部控制则是使组织在同样的外部环境中更好、更快地达到目 标的主要途径。由于系统具有层次性,组织的内部控制也具有层次,也正是这种层次性导 致了内部控制的不同视图。三、内部控制的不同视图 控制客体不同的视图根据上面的模型及其层次性,从控制客体的角度看,笔者认为内部控制分为两个层 次,四种不同的内部控制。第一个层次是以整个组织作为一个视图的内部控制,是总体上
11、的,广义上的,高层 次的内部控制,暂且称为总体内部控制。可以看出:组织的目标-创造价值就是控制的目标; 组织的所有过程是控制客体;组织中的各类人员,特别是各级管理人员是控制主体;管理 即是控制方法、措施。三过程本身就形成一种控制模型:业务过程是控制客体,管理过程 是控制主体,信息过程是控制主体与客体交流的渠道,而各种管理活动则是控制手段。第二层次则以具体的过程为视图,它们的范围较为狭窄,暂称为具体的内部控制,包括三个不同的具体视图。一是以管理过程作为视图,即为内部管理控制。管理的目标是 做出正确决策,使业务过程不偏离组织目标,这也是内部管理控制的控制目标;管理者的 行为即管理活动是内部管理控制
12、的客体;做出决策的人员及部门即管理者为内部管理控制 的主体;决策的各种方法即是控制手段或方法。二是将业务过程作为一个视图,称为内部 业务控制。业务过程的目标是以合理的成本、有效率的经营方式提供商品及服务为控制目 标;业务过程包括获取资源支付过程,转换过程,销售收款过程,为控制客体;业务 过程中的操作人员为控制主体;业务操作规程、流程等为控制措施及方法。三是将信息过 程作为一个视图,为内部信息控制。信息系统的目标是真实反映业务过程、为管理过程作 决策提供有用信息,为控制目标;信息过程中的活动是记录与业务活动相关的数据,维护 和保持与组织相关的和最新的数据,报告对执行、控制和评价业务过程有用的信息
13、等,为 控制的客体;信息系统的操作者与相关人员为控制主体;信息系统中的各种控制措施如采 集控制、输入控制等为控制方法。由于三个过程是相互联系的,共同构成一个整体。这三种内部控制也是相互联系的, 但各自控制的重点不同,它们共同与上一层次的内部控制-总体内部控制,构成完整意义上 的内部控制。相关人员的不同视图从上述分析可以看出,无论哪个层次的哪种内部控制,控制主体都是以与组织相关 的人员及部门为主的。本部分分析与组织相关的各类人员、部门及他们对内部控制的不同 视图。任何组织中,与之相关的人员及部门大体可以划分为两大类:内部人员与外部人员。 内部人员包括管理层、董事会、内部审计师、会计人员、内部其他
14、人员;外部人员包括外 部审计师、法律部门、监管部门、投资者、客户、其他往来单位、财务分析师、信用评级 公司、新闻媒体等。不同的人员对内部控制关注的重点也各不相同。1、外部人员的关注点及视图由于外部人员只可能通过组织对外提供的各类信息来了解组织,他们的关注点就是: 组织提供的信息是否真实、可靠、有用?对内部控制的视图则侧重于内部信息控制,即信 息的采集、输入、处理及输出是否采取了相应的控制措施?是否符合相关的法律规定?外 部审计师根据对内部信息控制的分析,特别是组织控制环境的分析,对组织提供的信息是 否真实、可靠、有用做出客观、独立、公正的评价。其他外部人员则根据通过审计师审计 的信息,各自做出
15、相应的决策,当然他们的侧重点也各不相同,所以组织在对外提供信息 时,一方面要保证信息的真实性、可靠性,另一方面也要根据不同人员提供不同的对其有 用的信息。2、内部人员的关注点及视图管理层关注的是业务过程是否以合理的成本,有效率的经营方式提供商品及服务, 其视图侧重于内部业务控制。董事会关注管理层是否做出正确决策,是否对业务过程进行 了正确的管理,其视图侧重于内部管理控制。无论什么视图,都需要正确的信息与沟通。 内部审计师关注信息与沟通是否正确、畅通,也关注各过程是否有机协调地运作,他侧重 于内部信息控制;会计人员关注财务会计信息的采集、处理、输出是否正确,畅通,有效, 关注反映财产、物资、资金
16、的信息处理,其视图更为狭窄。内部其他人员像会计人员一样, 根据其所处的位置,明确各自的职责,提供系统所需的信息,实现相应的控制,对经营中 出现的问题,对不合法、违规行为都有责任与上级沟通,以保证内部控制的有效实施。外部人员与内部人员由于各自关注点不同,导致了他们对具体内部控制的不同视图, 但他们都需要对组织的内部控制有一个总体的认识,即都需要关注总体的内部控制。笔者 理解这就是 COSI 定义的内部控制:控制环境、风险评估、控制活动、信息和交流、监控五个组成部分。每个组成要素适用于所有的具体内部控制,每一个组成要素与每一个具体 内部控制目标都相关。在对内部控制从时间与空间的角度进行以上分析研究之后,我们对内部控制有了一 个比较全面深入的认识。这种认识在我们进行组织的内部控制设计时是非常有用的。有了 内部控制的以上时空观,在设计内部控制时就可以不再局限于会计控制,而是扩展到整个 组织的管理与治理。从系统的、整体的角度出发,进行内部控制的设计,使设计的内部控 制具有系统性、层次性、科学性,能满足不同时期各类人员的不同控制需求。为了能够设计出科学的内部控制,也需要有科学的设计方法
