内部控制概念的发展及我国企业内控问题
对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。此后,各国政府也逐渐开始积极推动内部控制领域的进程,以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此,内部控制理论与实践的不断发展是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外,内部控制领域的发展历程显示,一些影响巨大的公司经营失败或舞弊事件的发生,往往加速了内部控制理论研究以及实践应用的发展进程,并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的《萨班斯一奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性,并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台,世通和安然的两个巨型舞弊案件可以说是“功不可没”的。那幺,内部控制的作用究竟是什幺呢?如果用一句话概括,那就是:有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产,确保财务报告的可靠性以及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重要性的背景下,本文旨在回顾有关发达国家和地区在内部控制领域的探索历程,简要介绍在各内部控制权威文件中应用最为广泛的美国COSO内部控制框架,并为我国企业加强内部控制的途径提出一些经验性的建议。
一、国际上具影响力的内部控制指南
简要回顾
关于内部控制的框架,不同机构都对其有不同的理解,其中以美国反对虚假财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架”得到最广泛的认可。除此之外,加拿大的“CoCo内部控制框架”、英国一定范围内得到了广泛的应用。
(一)COSO框架
上世纪80年代,美国企业虚假财务报告丑闻层出不穷,许多大公司突现经营失败,立法机构、政府监管机构和职业组织对虚假财务报告问题表现出了空前的关注。在这一背景下,1985年,美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际内部审计师协会(IIA)、管理会计师协会(IMA)、财务经理协会(FEI)发起成立了一个民间组织“反对虚假财务报告委员会”,希望研究虚假财务报告的产生原因并推荐解决办法(该委员会的第一任主席为JamesTreadway,是前SEC委员,因此以后该委员会也被简称为Treadway委员会)。该委员会在调查中发现,在其研究样本中,将近50%的财务舞弊事件可以全部或部分归咎于内部控制失败。该委员会同时认为,应该建立一个统一的、可操作的内部控制框架。继而,五个发起组织成立了一个委员会,即COSO。建立之初的目的是负责研究开发一个内部控制的权威性定义和指南。COSO在1992年9月完成了这项任务,公布了最终报告《内部控制——综合性框架》(通常被称为COSO 报告),在世界上第一次提出了一个系统的内部控制框架。
COSO将内部控制定义为:“内部控制是受企业董事会、管理层和其它职员共同作用,为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。”较之于传统的内部控制概念,这一定义的发展在于将内部控制作为一种动态的过程而不仅是静态的制度来阐述。内部控制不应仅仅着眼于会计和财务报告,还应针对经营活动的效率、效果和遵循法律法规。这个广义的定义体现了现代意义上的全程和全面的控制理念。相应地,内部控制框架也被划分为五个内部控制要素,如:控制环境、风险评估、控制活动、信息与沟通、监控。COSO框架是世界上最早发布的权威性内部控制框架,其它若干具有影响力的控制框架很大程度上都借鉴了COSO的工
作成果,加之美国首屈一指的经济影响力等因素,COSO直到现在仍是世界上应用最广泛的内部控制框架。
2001年12月2日,美国能源巨子安然公司(Enron)宣告破产,成为全球各界人士关注的焦点。此案与世通案件一起,直接导致了2002年7月30日((2002年萨班斯.奥克斯利法案》(以下简称“萨班斯法案”或“法案”)的出台。法案的第404条要求上市公司管理层需建立和维持充分的与财务报告相关的内部控制,并评估公司与财务报告相关的内部控制的有效性。美国证券交易会于2003 年6月份就萨班斯法案第404条所制定的“最终条例”明确表示COSO 内部控制框架可以作为评估企业内部控制的标准。虽然COSO内部控制框架在“最终条例”中并非唯一的指定标准,但是证交会、上市公司会计监督委员会(PCAOB)及美国注册会计师协会在其对审计标准的有关征求意见稿中曾多次提及COSO可以作为评估企业内部控制的标准。所以绝大多数美国上市公司皆采用了COSO内部控制框架作为评估公司内部控制的标准,以符合萨班斯法案的要求。
(二)加拿大的CoCo框架
在美国提出了COSO之后,加拿大特许会计师公会(CICA)成立了控制标准委员会(CoCo委员会)。CoCo委员会的工作目标是提高管理层决策质量,协助公司通过控制、风险管理和公司治理的手段提升经营业绩。CoCo在1995年11月开发出了“控制原则标准”(the Criteria of Control Principles,即“CoCo”框架)。CoCo框架包括“目标导向rpose)、致力投入(Commitment)、能力胜任(Capability)、监督与学习(Monitoring andLearning)”四大类控制标准。
CoCo在控制指南中明确声昵CoCo建立在COSO的基础上,但同时指出,CoCo提出了一些在COSO报告中并未明确阐述的概念。例如CoCo明确指出“组织需要定期审视其设定的目标背后的假定和前提。”这一点在COSO中是没有的。
(三)英国综合守则(Combined code)的Turnbull指南
英国的综合守则是1998年由公司治理委员会(也称Hampel委员会)综合了Hamperl、Cadbury以及Greenbury报告的成果而制定的(已于2003年7月进行了修订)。综合守则为公司治理制定了标准,并且作为伦敦证券交易所上市规则的附件,对所有英国上市公司具有约束力。综合守则中涉及内部控制的条款为C2和C2.1(98年版为D2和D2.1,内容未变),要求“董事会有责任维持一个良好的内部控制系统,以保护股东的投资和公司的资产;董事会应当至少每年一次对公司内部控制系统的有效性进行审视,并向股东报告其已经完成了此项工作。审视工作必须覆盖所有重要的控制,包括财务控制、经营控制和合规控制,以及风险管理系统”。由于许多公司并不清楚如何操作上述规定,于是在1999年9月英格兰和威尔士特许会计师协会(The Institute ofChartered Accountants inEngland&Wales)出台了Turnbull指南,即“内部控制——综合守则的董事指南”(InternalControlGuidanceforDirectorson the Combined Code),对如何满足综合守则的要求提出了操作性的指导,并最终成为综合守则的一部分,成为英国上市公司必须遵循的规定。
Turnbull指南的内部控制框架与COSO较为相似,也把控制分为经营、财务和合规控制,同样要求评估与COSO相似的内部控制元素。Turnbull指南的内部控制框架包括四项要素:风险评估、控制环境和控制活动、信息和沟通、监控,即将COS0框架中控制环境和控制活动两个要素合并为一个要素。Turnbull指南的特点是更加关注风险与控制的关系并更加着重阐述这种关系。
二、COSO内部控制框架简介
COSO内部控制框架是三维的。内部控制的目标(第一维)是合理确保经营的效率和效果、财务报告的可靠性以及对法律遵循。内部控制由控制环境、风险评估、控制活动、信息和沟通及监控五个元素(第二维)构成,五个元素间相辅相成,联系紧密,且必须共同发挥作用才能为企业目标实现提供合理保证。此外,对于企业内的任何业务单位或经营活动(第三维),同样也需要五个元素共同作用,方能达到该业务单位或经营活动的相关目标。
(一)控制环境(Control environment)
控制环境提供企业纪律与架构,塑造企业文化和正确的价值观,并影响企业员工的控制意识和工作能力是所有其它内部控制组成要素的基础。控制环境的因素具体包括:正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政策及实务。
(二)风险评价(Risk assessment)
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评价,以找出有效的应对方法。评价风险的先决条件是制定目标。风险评价就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部因素不断变化,企业主动地发现和处理由于情况变化所带来的风险是很有必要的。
(三)控制活动(Control activity)
控制活动是确保管理层的指令得以执行的政策及程序,是管理层识别和评估风险后,对控制这些风险所实行的针对性措施。政策通常回答必须做什幺事情,而程序则回答具体应该怎样做的问题。控制活动包括授权审批、核对、关键绩效指标、资产安全控制及职责分离等各种类型。企业控制活动又可以分为人工控制和信息系统控制两大类。控制活动是各控制要素中数量最大的一类,因此企业控制活动的设计必须进行成本和收益的权衡。此外,控制活动应尽可能用书面方式予以规定和沟通。
(四)信息与沟通(Informationandcommunication)
内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。在现代企业中,信息系统的广泛应用正是为了提高信息质量。同时,高质量的信息还应能够以适当的形式及时、准确地沟通至信息需求者。企业不仅应当致力于提升内部沟通的有效性,以便控制责任人能够履行其职责,还应关注与企业外部的沟通问题。外部沟通(如客户、供应商、审计师等)有助于管理层建立企业目标,向外传递企业理念和工作标准,并从外部了解内部控制的运行状况。
(五)监控(Monitoring)
内部控制系统需要监控。监控是由适当的人员,在适当及时的基础下,评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组成,其可确保企业内部控制能持续有效的运作。持续监督活动在营运过程中发生,它包括例行的管理和监督活动,以及其它员工为履行其职务所采取的行动。尽管持续监督程序可以有效地评价内部控制
体系,但企业有时需要组织例外评价(即个别评价)以直接监视控制系统的有效性。这种做法更可评价持续性监督程序。评价的范围和频率,视风险的大小及控制的重要性而定。
三.我国企业的内部控制问题和解决途径
(一)企业高层管理者应加强对内部控制工作的重视
我国许多企业,尤其是民营企业在较短的时间内经历了由小到大的快速成长期。对于小型公司而言,创建者的个人控制往往非常有效。优秀的管理者能够牢牢把握企业的方向,准确掌握企业信息,并且通过集中控制,进行高效的决策和执行,排除前进道路上的各种阻碍。然而,随着企业规模和经营复杂性的不断增加,个人控制可能会变得越来越力不从心。权责的不对等、工作程序的不统一以及管理制度的严重漏洞等,导致各种错误、舞弊事件纷纷出现。这时,仍然将内部控制视为增加成本、阻碍管理效率的管理活动,而未将其视为实现企业目标的保证,则可能导致严重的后果甚至经营失败。因此,提高中国企业高层管理者对内部控制的重视,是提升企业内部控制水平的前提条件。
(二)强化控制环境中国最大的资料库下载
许多企业把内部控制仍然视为规章制度的制定和执行问题,却忽视了控制环境基础的建设工作。突出表现在没有树立统一的,正确的企业文化和道德标准,导致许多违法经营或不公正处理与利益相关者关系的行为。例如侵害消费者利益、篡改财务数据、不公正的对待雇员等。许多管理层人士非但不能以身作则,反而推波助澜甚至授意指使,严重损害公司的控制环境。典型的一个表现就是,我国上市公司已经披露的财务报告舞弊案例,绝大多数在于公司管理层的违法、违规操作。没有良好的控制环境,公司的其它控制要素就成为空中楼阁,注定无法有效的发挥作用。强化控制环境需要全面考虑控制环境各子元素的要求,而我国企业在这一领域的当务之急是解决以下几个问题:
1.建立公司统一的价值观和道德标准,并制定员工行为准则。价值观的建立必须脱离盈利高于一切的思想,应认真考虑道德问题,考虑企业的社会责任,即合法、公平、公正地处理企业与利益相关各方的关系。正确价值观建立后,企业高层管理者还应从企业特定环境出发,对员工在工作中如何应用这些价值观提供进一步的指导,而这就是员工行为准则应当解决的问题。
2.建立对财务报告、内部控制和高层管理者行为的监督机制。这一点与公司治理结构的进步息息相关。企业应引入非执行董事,建立审计委员会,并为审计委员会制定工作制度及提供必要资源,以履行上述职责。
3.避免将业绩评估和激励机制建立在对能否实现短期财务指标的单一关注上。很多公司的业绩评估和激励机制仅仅关注短期财务指标,例如年度销售额的增长比例和净利润数额,而管理层的薪酬与这些指标的实现程度高度相关。换句话说,管理层无法实现这些指标的成本非常高。加上这些指标很可能制订得并不现实,这就给了管理层很强的舞弊动因。认识到这一点后,企业应当考虑改善管理层的业绩评估和激励机制,将长短期目标结合,例如运用平衡计分卡的思路,从而分散管理层对短期财务指标的过度关注,降低舞弊的诱惑力。
4.加强岗位分析,落实控制责任。企业应对内部关键的岗位设置及岗位的职责和权限进行系统的分析和梳理。在此基础上,对特定岗位的员工学识、经验、能力和道德素质等方面的要求予以书面规定,形成岗位说明书。企业应依据岗位说明书来指导员工招聘、考核、薪酬和职位变动等人力资源管理行为,从而确保关键岗位员工能够认同公司价值观并有能力履行内部控制责任,降低关键岗位优秀员工的流失率。
(三)建立健全风险管理机制
我国企业一般对风险管理不够重视,没有设立有效的风险监控职能。企业的内部控制必须有的放矢,针对风险而设计。如果对于企业面临的风险因素及其重大程度没有准确的掌握,内部控制设计便可能存在冗余或者不足的情况,造成企业资源的浪费或者导致不利事件的发生。因此,企业必须建立健全风险管理机制,对各种内外部情况变化进行监控,对风险因素进行识别和评估,方能在此基础上有针对性地设计合理、充分的内部控制。
择要而论,企业应当因地制宜,考虑其经营环境的特点和可利用资源情况,建立适合自己的风险管理机制。企业可以考虑建立专门的风险管理职能,例如风险管理部门,使用公认的风险管理框架(如COSO风险管理框架),牵头管理企业的风险因素监控、风险评估和风险应对等工作,并向企业的高层管理者汇报。企业也可以有效地利用内部审计部门的工作完成重大风险的管理职能。除了集中的风险管理职能外,企业也应当强化全体员工的风险管理意识,确保各级员工能够在日常工作中有效地发现新的风险因素或者原有风险因素的变化情况,并及时向风险管理责任部门和人员汇报,最终提请相关管理层设计并实施应对措施。此外,企业不仅应当对外部环境的变化(如法律法规、竞争情况、新技术、行业趋势等)进行监控和应对,还必须关注企业内部的重大情况变化,例如关键岗位员工的变动、使用新的信息系统、公司经营规模迅速增长、公司经营模式发生变化等。对于这些内部变化所导致的风险因素,必须能够准确的掌握和详细的评估,在此基础上有预见性地制定高风险防范措施并考虑对现行内部控制措施进行更新,方能确保内部控制设计始终符合企业的具体目标和风险承受能力。
(四)建立信息技术内部控制
许多国内企业管理者对内部控制的理解目前仍停留在人工控制的层面。对于以往传统型的公司而言,由于信息系统尚未成为公司实现战略的助力器,因此低水平的信息技术控制对公司的消极影响尚未完全显露。而对于现代化企业,尤其是特定行业的企业,例如网络企业、高新技术制造企业、电信企业等,大型信息系统(如ERP系统、业务支撑系统)已经成为企业经营活动赖以维持的基础,由此也带来极大的信息技术风险。而绝大多数国内的企业目前并没有建立一套完善的信息技术内部控制来降低大量使用关键的信息系统而面临的风险。具体而言,我们在实际工作中发现的主要问题包括:
1.信息技术部门之间以及信息技术部门与业务部门之间缺乏有效的沟通来保证信息技术部门的工作能够充分满足业务的需要;
2.公司缺乏有效的信息技术内部审计机制来监督信息技术部门的工作;
3.缺乏完善的对数据及系统的访问控制管理,包括对信息系统及数据的访问权限的管理、保密字的管理、系统用户的定期审阅以及信息技术部门与业务部门员工在系统中访问权限的职责分工管理等;
4.缺乏对系统变更的有效管理,导致对系统变更的随意性以及无法保证程序变更的质量;
5.缺乏完善的系统开发管理,导致开发实施的系统无法满足设计需求;
6.缺乏完善的系统运行控制,导致系统发生故障时无法及时发现解决故障而造成数据的丢失等。
上述这些问题是那些大量应用信息系统的国内企业所亟待解决的,否则风险威胁一旦转变为现实的损失,损失程度将可能是企业难以承受的。目前国际上已经有很多通用的信息技术控制框架,例如国际信息系统审计和控制协会(ISACA)下属信息技术治理研究院提出的“信息及技术控制目标”(COBIT)。国内企业的管理者应首先从风险意识上认识到信息技术控制的重要性,然后投入必要资源,参照这些框架建立自己的信息技术内部控制,并由管理层确保框架之中定义的控制能够得到有效地执行。
此外,由于信息技术控制领域对专业性和复杂性要求很高,我国企业大多数并不拥有这方面的人力资源。因此,企业往往有必要寻求外部咨询机构的帮助,以参照国际通用的标准和框架,尽快建立适合自身的信息技术控制框架。
(五)对内部控制的设计和执行进行有效的监督、检查
内部控制的设计的充分性需要定期检查,而控制是否安照设定的程序运行也需要进行监督。许多国内企业的规章制度不可谓不丰富,但其中大量制度及其中的内部控制内容已经过时,不适用于企业的当前环境。此外,许多设计良好的内部控制并未得到规范和一致的执行。对这两种情况,如果没有有效的监督机制,企业管理层根本无从准确获知。而监督机制的建立要注重自我监督与独立评估并重。各级管理层首先应在日常的经营管理过程中注重对内部控制有效性的监督,如果发现错误、舞弊等异常情况,不仅要就事论事的加以处理,还必须考虑其中是否隐含了内部控制出现漏洞的信号,亡羊补牢,惩前毖后。同时,单位或者流程的负责人应考虑使用专业化的工具,或在有关咨询机构的协助下,依据其自身对风险情况的掌握,定期对所辖单位或流程的内部控制有效性进行自我评价,并将自我评价的结果上报上级单位。这样做,一方面能够提高普通员工对内部控制工作重要性的认识,提升控制环境的水平,另一方面,管理者主导的内部控制自我评估工作如果真抓实干,不流于形式的话,往往能够比外部独立的评估做得更加细致,对成本和收益的把握能够更加准确,对于发现的漏洞所设计的改善措施也更加容易推行。
此外,企业应考虑建立和完善内部审计职能,使内部审计的独立评估成为企业内控监督机制中的重要力量。内部审计部门的工作计划和资源需求应由企业最高管理层审批(最佳模式是由董事会或审计委员会审批,但我国的企业往往做不到这一点),其工作成果也应向最高管理层汇报,以确保自身的独立性以及相关问题和建议的落实。企业同时应当评估其所拥有的审计资源情况。许多国内企业尚未组建内部审计职能,或者由于内部审计部门员工人数、知识水平和经验的局限,无法在企业内部控制系统中发挥应有的作用,尤其在信息技术审计方面,国内的合格审计人员一般集中在各大国际咨询机构和外资企业,国内企业的内部人力资源极为有限。认识到这些问题后,企业应当审慎地考虑是否将内部审计职能外包,或者与咨询机构合作开展内部审计工作,以弥补自身在资源方面的欠缺,并获取国际上最新的工作方法及成熟的工作经验。
最后,企业还应着重建立有效的舞弊汇报、监察机制,使各种舞弊事件或舞弊迹象能够迅速、有效地汇报给有能力采取行动的管理层级甚至董事会。这就要求企业有顺畅的沟通渠道,例如专门的举报邮箱、举报热线等。同时企业应有效地保护汇报人的利益不受损害,并运用经济等手段对有效举报行为加以鼓励。监察力量应有能力根据公司书面政策和有关法律法规,及时有效地采取行动,纠正、处理舞弊事件,同时应检讨导致舞弊事件出现的内部控制漏洞,查漏补缺,使内部控制真正成为闭环运行的良好过程。
内部控制概念的发展及我国企业内控问题 对内部控制的关注最初源自企业自身对规范化管理和股东掌握企业运营的准确信息的需要。此外最重要的推动因素就是外部审计师审计财务报表的要求。此后,各国政府也逐渐开始积极推动内部控制领域的进程,以期减小企业的舞弊和违规行为对市场经济秩序的消极影响。因此,内部控制理论与实践的不断发展是学术界、职业组织、大型企业及政府组织共同推动作用的结果。此外,内部控制领域的发展历程显示,一些影响巨大的公司经营失败或舞弊事件的发生,往往加速了内部控制理论研究以及实践应用的发展进程,并催生了一些里程碑式的文献和立法规定。最典型的代表莫过于美国2002年出台的《萨班斯一奥克斯利法案》。该法案的第404条款不仅要求公司管理层定期评估公司财务内控的有效性,并且要求外部审计师对管理层的评估结果和公司财务内控的有效性出具审计意见。而对于该法案的出台,世通和安然的两个巨型舞弊案件可以说是“功不可没”的。那幺,内部控制的作用究竟是什幺呢?如果用一句话概括,那就是:有效的内部控制有助于在合理的程度上提高企业运营的效果和效率、保护企业资产,确保财务报告的可靠性以及企业对法律法规的遵循。在国际经济社会日益强调企业内部控制重
要性的背景下,本文旨在回顾有关发达国家和地区在内部控制领域的探索历程,简要介绍在各内部控制权威文件中应用最为广泛的美国COSO 内部控制框架,并为我国企业加强内部控制的途径提出一些经验性的建议。 一、国际上具影响力的内部控制指南 简要回顾 关于内部控制的框架,不同机构都对其有不同的理解,其中以美国反对虚假财务报告委员会的发起组织委员会COSO发布的“COSO内部控制框架”得到最广泛的认可。除此之外,加拿大的“CoCo内部控制框架”、英国一定范围内得到了广泛的应用。 (一)COSO框架 上世纪80年代,美国企业虚假财务报告丑闻层出不穷,许多大公司突现经营失败,立法机构、政府监管机构和职业组织对虚假财务报告
一、美国内部控制的发展 内部控制是社会经济发展到一定阶段的产物,是随着单位对内强化管理,对外满足社会需要而不断丰富和发展起来的。美国作为世界上经济最发达的国家,其内部控制发展具有代表意义。美国内部控制理论的发展经过了四个历程,即20世纪40年代前的内部牵制制度,40年代末至70年代的内部控制,80年代至90年代的内部控制结构,90年代开始的内部控制综合框架。 (一)“内部牵制”阶段 “内部牵制”是以账目间的相互核对为主要内容并实施岗位分离,“内部牵制”制度的出现最早可追溯到数千年之前。20世纪初,西方资本主义迅猛发展,股份有限公司的规模迅速扩大,生产资料所有权与经营权逐渐分离,美国一些企业逐渐摸索出一些组织、调节、制约、检查企业生产经营活动的方法,逐步建立了“内部牵制制度”,规定有关经济业务或事项的处理不能由一个人或一个部门总揽全过程。 (二)“内部控制制度”阶段 进入20世纪后,生产的社会化程度空前提高,股份公司迅速发展,并逐渐成为西方各国主要的企业组织形式。随着市场竞争日益加剧,企业要想在竞争中赢得主动,就必须加强管理,采取更完善、更有效的控制方法。同时适应社会经济关系的要求,保护投资者和债权人的经济利益,西方各国纷纷以法律的形式要求强化对企业财务会计资料以及各种经济活动的管理。以账户核对和职务分工为主要内容的内部牵制,从20世纪40年代开始逐步演变为由组织结构、岗位职责、人员条件、业务处理程序、检查标准和内部审计等要素构成的较为严密的内部控制系统。 (三)“内部控制结构”阶段 控制的研究重点逐步从一般涵义向具体内容深化。1988年美国注册会计师协会颁发的《审计准则公告第55号》中,以“内部控制结构”概念取代了“内部控制制度”,指出“企业内部控制结构包括为合理保证企业特定目标的合理保证而建立的各种政策和程序。” 内部控制结构由控制环境、会计制度、控制程序三个要素组成。在三个构成要素中,会计制度是内部控制结构的关键要素,控制程序是保证内部控制结构有效运行的机制。特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用。 (四)“内部控制整体框架”阶段 1992年9月,美国COSO委员会颁布了指导内部控制实践的纲领性文件——《内部控制——整体框架》即COSO报告,并于1994年进行了增补,这份报告堪称内部控制发展史上的又一里程碑。1996年,美国注册会计师协会所属的审计程序委员会又以第78号说明书的方式对《审计准则公告第55号》中内部控制的定义和描述进行了确认并作了重要修订。COSO 委员会指出:“内部控制是由企业董事会、经理阶层以及其他员工实施的,为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过
内部控制的定义 所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。 内部控制理论的发展阶段 内部控制是社会经济发展的必然产物,它是随着外部竞争的加剧和内部强化管理的需要而不断丰富和发展的。纵观内部控制理论的发展历程,大致上经历了以下六个阶段: 1.内部牵制阶段 内部牵制(internal check),是以账目间的相互核对为主要内容并实施岗位分离,以确保所有账目正确无误的一种控制机制。 内部牵制制度的内容 内部牵制制度的核心内容是不相容职务的分离与牵制。不相容职务指的是不能同时由一个人兼任的职务。 我们知道,每项业务的处理都必须经过授权、批准、执行、记录和检查等五个步骤。在不相容职务分离控制下,为达到有效控制的目的,任何部门或个人不能独揽业务处理的全过程,不同步骤应交由不同的部门或人员去完成。换言之,有五项要求。 第一,授权进行某项经济业务的职务与执行该项业务的职务要分离; 第二,执行某项经济业务的职务与批准该项业务的职务要分离; 第三,执行某项经济业务的职务与记录该项业务的职务要分离; 第四,保管某项财产的职务与记录该项财产的职务要分离; 第五,保管与记录某项资产的职务与账实核对的职务要分离等。 由此可见,不相容职务的分离与牵制,即要求记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约。具体实行时,包括四个要点(即:不相容职务分离的四个要点)。
《企业内部控制基本规范》解读 一、内部控制概念二、内部控制规范的建设现状三、内控的内容四、内控建设方法 第一节内控的概念 内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。(2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》) COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规”。《企业内部控制基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效益合效果,促进企业实现发展战略。(一)控制什么是内控思想?过去强调的是牵制,比如,会计不能兼任出纳。过去强调的是会计控制。现在,不是会计控制,而是风险为导向的控制,强调的是企业的管理层角度的管理控制,而会计控制是内部控制的一个组成部分。(二)管理 1.企业方面作为股东投资者,由于所有权和经营权进行分离。而作为投资者,要求投资获得收益,终极目的就是获得利润。因此在加强企业管理和运作中,会在方方面面有内控的思想的覆盖和渗透。内部控制不是牵制,不是会计内控。内部控制是一种管理,内控的理想状态是无需内控就可以遵守规章制度。内控是一种管理,是对风险的管理。风险无处不再,国际风险,国家风险,政府风险,企业风险,家庭个人风险,无处不在。对于企业而言,风险可能来自业务经营、合规、运营或财务方面,内部控制应当为企业的有效运营提供辅助条件,使企业有能力对最爱目标实现的重大风险作出反应。 2.事业方面在事业单位,机关财务部门作为内控重要组成部分。财务管理,预算管理。(三)流程内控是控制的一个过程,这个过程是需要全员的参与,上到董事会、管理层、监事会,下到各级员工,都需要参与进来。通过内控要实现的目标 1.企业的经营要合法合规 2.企业资产要安全完整 3.企业财务报告的信息(财务信息)和其他信息要真实可靠完整 4.通过内控提高企业的经营效率和效果。从管理要效益。
我国内部控制的起源与发展 摘要:本文从内部控制的组织结构、会计核算、内部牵制与内部稽核去探究它的起源,通过对内部控制的古代到现代发展情况的探究,提出了一些改善内部控制的建议和措施,完善我国内部控制的发展。关键字:内部控制起源发展制度 一、内部控制的概念 内部控制是为合理保证单位经营活动效益性、财务报告的可靠性与法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。它贯穿于经营活动的全部过程,包括控制环境、风险评估、控制活动、信息与沟通,监督等要素,并受企业董事会、管理阶层及其他人员影响。内部控制制度即指各级管理部门在本单位、本部门内部因分工而产生的相互制约、相互联系的基础上,采取一系列具有控制作用的方法、措施和程序,并即时以规范化、系统化、制度化,而所形成的一整套严密的控制机制。 二、内部控制的意义 随着生产力的迅速发展,企业经营方式和制度的巨大变化,内部控制在企业的管理中地位是非常重要的,已经逐渐地成为企业防范和抵御风险的有效屏障和保障企业实现健康、科学、可持续发展的保护伞,内部控制有助于提升企业管理水平,提高企业的风险防御能力,内部控制制度在一定程度上约束管理层侵犯中小股东利益的行为,有助于维护社会公众的利益。 三、内部控制的起源 内部控制,作为一个专用名词和完整概念,直到本世纪三十年代才被人们提出、认识和接受。而在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式。在我国,内部控制制度起源于在西周时期,我国社会经济发展没有经历过工业革命,所以内部控制制度没有体现在企业的制度中,而我国古代的内部控制制度体现在统治者对政权的控制中,我国西周时期内部控制的最初产生空间、手段和雏形已经具备。 1、组织结构 我国在西周时期,官厅组织结构就已经比较完善。《周礼》中有记载,西周
《企业内部》习题和答案 第一章总论 (一)单项选择题 1.内部控制的基本概念是从早期()思想的基础上逐步发展起来的。 A. 科学管理 B.内部牵制 C. 内部审计 D.管理控制 2.内部控制结构阶段又称三要素阶段,其中不包括()要素。 A. 控制环境 B.风险评估 C. 会计系统 D.控制程序 3.COSO 著名的《内部控制——整合框架》是在()发布的,该报告是内部控制发展历程中的一座重要里程碑。 A.20 世纪 80 年代 B.1992年 C.2002 年 D.2004年 4.()是指主体对所确认的风险采取必要的措施,以保证其目标得以实现的政策和程序。 A. 控制环境 B.风险评估 C. 控制活动 D.信息与沟通 5.2002年美国国会通过的《萨班斯- 奥克斯利法案》第404 条款( SOX 404 )及相关规则采用的是()。 A. 内部控制体系 B.内部控制结构 C. 内部控制整合框架 D.企业风险管理整合框架 6. 相对《内部控制——整合框架》,ERM框架的创新之处不包括()。 A.新提出了一个更具有管理意义和管理层次的战略管理目标,同时还扩大了报告的范畴 B.新增加了目标制定、风险识别和风险应对三个管理要素 C.提出了两个新概念——风险偏好和风险容忍度 D.提出了风险评估概念
7.在 COSO 内部控制框架中,控制活动的类别可分为()。 A.经营、财务报告及合规三个类别 B.经营、信息及合规三个类别 C.信息、财务报告及监察三个类别 D.经营、信息及监察三个类别 8. 代表了成熟阶段的研究成果,堪称内部控制发展史上的里程碑的是()。 A. 美国注册会计师协会《企业准则公告第55 号》 B.英国《综合守则》 1
2.2企业内部控制的演变 企业内部控制理论的发展经历了五个发展阶段:萌芽阶段、初步形成阶段、完善阶段、成熟阶段、超越阶段。‘(⑧《企业内部控制》,张颖郑洪涛著,机械工业出版社,2009年,第5页) 第一个阶段为萌芽阶段:公元前3600年以前至20世纪30年代,主要理论是内部牵制。1912年,R.H.蒙可马利在其出版的《审计—理论与实践》一书中指出,所谓内部牵制,是指一个人不能完全支配账户,另一个人也不能独立地加以控制的制度。 第二个阶段为初步形成阶段:20世纪40一70年代,内部控制制度的概念在内部牵制思想的基础上产生了。1958年,美国注册会计师协会(AICPA)所属的审计程序委员会发布的第29号审计程序公报《独立审计人员评价内部控制的范围》(CAP No.29SeopeoftheIndependentAuditorSReviewofInternalControl)将内部控制分为内部会计控制(internalaccounting)和内部管理控制(internaladministrativeeontrol)两类,这一分类是现在我们所熟知的内部控制“制度二分法”的由来。 第三个阶段为完善阶段:20世纪80年代,人们对内部控制的研究重点逐步从 一般含义转向具体内容的深化。其标志是美国AIC以于1988年5月发布的《审计准则公告第55号》(SAS55),在公告中,“内部控制结构”的概念取代了“内部控制制度”。公告指出:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”公告认为内部控制结构由下列三个要素组成:(1)控制环境(eontrolenvironment),(2)会计制度(aeeountingsystem),(3)控制程序(eontrolProeedure)。 第四个阶段为成熟阶段:20世纪90年代,1992年9月,美国注册会计师协会(A工CPA)与美国会计学会(AAA)、财务执行官协会(FEI)、国际内部审计师(I工A)和美国管理会计师协会(工MA)组成的发起组织委员会(theColnlnitteeof SponsoringOrganizati。ns。ftheTreadwayCommission,以下简称:COSO)发布了指导内部控制实践的纲领性文件COSO研究报告《内部控制—整合框架》,并于1994年进行了增补。这份报告堪称内部控制发展史上的里程碑。 1992年COSO《内部控制一整合框架》为内部控制构建了一个框架,这份内部控制发展史上里程碑的报告提供给企业用来评价的控制系统的评价工具,该框架界定和讲述了有效的内部控制所需的五个相互关联的构成要素⑦:控制环境:(Contr。1environment)、风险评估(riskassessment)、控制活动(eontrolaetivities)、信息与沟通(informationandeommunieation)、监控(monit。ring)。⑧它们源自管理层经营企业的方式,并与管理过程融为一体。 第五个阶段为超越阶段:21世纪开始至今,2004年9月COSO委员会发布了《企业风险管理一整合框架》,该框架指出,全面风险管理是一个由企业董事会、管理层和其他员工共同参与的、应用于企业战略制定和企业内部各个层次和部门的、用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的、为企业目标的实现提供合理保证的过程。COSO制定发布的《企业风险管理一整合框架》用于管理当局评价和改进企业风险管理,目前已作为最先进的风险管理框架受到全球风险管理界的推崇。该框架披露,企业风险管理是一个过程,它由一个企业的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响企业的潜在事项,管理风险以使其在该企业的风险容量之内,并为主体目标的实现提供合理保证。其包括八个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。这些构成要素联系起来,
第一章总论 一、练习题 (一)单项选择题 1.内部控制结构阶段又称三要素阶段,其中不包括( B )要素。 A.控制环境 B.风险评估 C.会计系统 D.控制程序 2.COSO著名的《内部控制——整合框架》是在( B )发布的,该报告是内部控制发展历程中的一座重要里程碑。A.20世纪80年代 B.1992年 C.2002年 D.2004年 3.( C )是指主体对所确认的风险采取必要的措施,以保证其目标得以实现的政策和程序。 A.控制环境 B.风险评估 C.控制活动 D.信息与沟通 主要考虑控制活动的定义P6 4.2002年美国国会通过的《萨班斯一奥克斯利法案》第404条款(SOX404)及相关规则采用的是( C )。 A.内部控制体系 B.内部控制结构 C.内部控制整合框架 D.企业风险管理整合框架 5.相对《内部控制——整合框架》,ERM框架的创新之处不包括( D )。 A.新提出了一个更具管理意义和管理层次的战略管理目标,同时还扩大了报告的范畴 B.新增加了目标制定、风险识别和风险应对三个管理要素 C.提出了两个新概念——风险偏好和风险容忍度 D.提出了风险评估概念 6.不属于企业风险管理整合框架八要素的是( A )。 A.控制环境 B.事项识别 C.控制活动 D.监控 它是内部环境而不是控制环境(整合控制阶段和结构阶段的要素),此外还有目标设定、风险评估、风险应对、信息与沟通。P9 7.在COSO内部控制框架中,控制活动的类别可分为( A )。 A.经营、财务报告及合规三个类别 B.经营、信息及合规三个类别 C.信息、财务报告及监察三个类别 D.经营、信息及监察三个类别 8.在COSO内部控制框架中,属于其他内部因素根基的是( C )。 A.信息与沟通 B.监察 C.控制环境 D.控制活动 9.代表了成熟阶段的研究成果,堪称内部控制发展史上的里程碑的是( C )。 A.美国注册会计师协会的《企业准则公告第55号》 B.英国《综合守则》 C.COSO委员会的《内部控制一整合框架》P5 D.特恩布尔委员会的特恩布尔报告 10.内部控制的现实意义不包括( B )。P10-12 A.实施内部控制有助于提升企业管理水平 B.实施内部控制有助于降低企业的经营成本 C.实施内部控制有助于提高企业的风险防御能力 D.实施内部控制有助于维护社会公众的利益 11.关于我国企业内部控制规范的框架体系,下列说法错误的是( B )。 A.我国目前内部控制规范框架是由基本规范、应用指引、评价指引和审计指引四部分组成的P13 B.内部控制应用指引是内部控制体系的最高层次,起统驭作用 P18是《企业内部控制基本规范》是内部控制体系的最高层次,起统奴的作用。 C.内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引 D.内部控制审计指引是注册会计师和会计师事务所执行内部控制审计业务的执业准则 12.关于企业内部控制应用指引,下列说法错误的是( D )。 A.内部控制应用指引由三大类组成,即内部环境类指引、控制业务类指引、控制手段类指引P19 B.内部环境是企业实施内部控制的基础,包括人力资源、社会责任和企业文化等 P19包括:组织架构、发展战略、人力资源、社会责任、企业文化等。 C.控制业务类应用指引是对各项具体业务活动实施的控制,此类指引包括资金活动、采购业务、资产管理 D.控制手段类应用指引偏重于“工具”性质,往往涉及企业整体业务或管理,此类指引包括担保业务、业务外包 P19包括:全面预算、合同管理、内部信息传递和信息系统。 13.基于我国内部控制法规的发展,下列说法不正确的是(D )。 A.1985年《会计法》对会计稽核所作出的规定,是我国首次在法律文件上对内部牵制提出的明确要求 B.2001年1月,证监会发布了《证券公司内部控制指引》,要求所有的证券公司建立和完善内部控制机制和内部控制制度 C.2005年10月,国务院批转了证监会发布的《关于提高上市公司质量意见》,要求上市公司对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估 D.2010年出台的应用指引、评价指引和审计指引要求在上海证券交易所、深圳证券交易所主板上市的公司于2011年1月1日起施行是2012年1月1日P17 14.依据《企业风险管理——整合框架》的内容,下面有关内部控制的说法中错误的是( B )。 A.内部控制的思想是以风险为导向的控制
什么是内部控制 内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。 内部控制的目标 (1)企业战略; (2)经营的效率和效果; (3)财务会计报告及管理信息的真实可靠; (4)资产的安全完整; (5)遵循国家法律法规和有关监管要求。 内部控制的基本要素 1、内部环境。内部环境,是影响、制约企业内部控制制度建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。 2、风险评估。风险评估,是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施,是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通,是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查,是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包
总之,内部控制体系由上述四个层次共同构成。在四个层次中,以董事会为主体的内部控制处于最高层次,同时,由于董事会是企业的法人代表机构,董事会的内部控制目标代表着企业的内部控制目标,也是其他控制主体的直接或终极控制目标。 基本假设 会计界尚未提出内部控制假设这一命题。笔者认为,内部控制是建立在一定假设基础之上的,这些假设包括单位实体假设、可控假设、复杂人性假设和不串通假设。离开了这些假设,内部控制就不能存在。 控制实体假设 控制实体是指内部控制为之服务的特定单位或部门。控制实体假设是对内部控制活动的空间范围所作的限定。它要求内部控制应当以特定单位或部门的人、财、物及其在经营过程中所形成的一系列组合关系和组合形式进行控制。控制实体由于控制主体的不同而不同,可以是企事业单位,也可以是单位内部某个部门。 可控性假设 内部控制是控制主体对控制客体所实施的控制。相对于控制主体而言,控制客体必须是可以控制的。否则,内部控制将形同虚设。在确定各级控制主体的控制范围时,只有主体能够控制的对象,才能够纳入内部控制体系。各项内部控制制度都是在这一前提的基础上建立起来的。 人性假设 内部控制的实质是对人进行约束和激励的一种机制。这种机制必须建立在对人性假设的基础之上。人性假设就是关于人的本质是什么的假设。1965年,薛恩(E.H.Sein)将此前关于人性方面的观点归为三类,即理性—经济人假设、社会人假设、自我实现假设。薛恩在分析了这些人性假设理论之后提出复杂人性假设,他认为,人性是复杂的,人们的需要与潜在欲望是多种多样的,而且这些需要会随着各种条件的变动而不断改变。 不串通假设 内部控制的核心是内部牵制,即不相容职务恰当分离。这样可以避免或减少一人单独从事和隐瞒不合规行为的机会。但是,如果两个或更多的人串通舞弊,则可以逃避控制,使内部控制形同虚设。这既是内部控制的局限之一,也是其建立的基本前提或假设。离开了这一假设,内部控制(特别是内部牵制)根本无法建立。 编辑本段基本原则 内部控制应当遵循一定的原则,这些原则包括: 合法性
定义:内部控制信息披露是信息披露的一个重要组成部分,那么何谓内部控制 信息披露,目前我国相关法律法规没有对内部控制信息披露的概念给出明确 的定义。 建立和维护内部控制是公司管理当局的责任,管理当局应定期根据一定 的标准对本公司内部控制设计和执行的情况进行自我评价,并将评价的结果 用报告的形式披露给外部信息使用者,使其可以一定程度上了解公司内部控 制和经营活动的情况。因此,内部控制信息披露就是上市公司管理当局根据 内部控制评价的标准对本公司内部控制的完整性、合理性和有效性进行评价, 以报告的形式出具评价意见并提供给外部信息使用者。内部控制信息披露的 方式,可以包含在董事会报告或其他报告中,也可以单独提供,即所谓的内 部控制报告。我国目前并没有要求上市公司提供单独的内部控制报告,而只 要求在有关报告(董事会报告、监事会报告)中包含有关信息披露。 内部控制信息披露是指上市公司为了保障投资者、债权人等的利益,同 时为了方便公众监督,而依照相关法律的要求,定期对企业内部控制的完整 性、合理性和有效性进行评价,并通过一定的形式对外披露,以保证投资者 在充分了解企业的情况下做出决策。内部控制信息披露是建立在管理层和董 事会对内部控制的评估基础上的,为了了解内部控制的设计是否适当,执行 是否有效,管理当局需要依据一定的标准对内部控制设计和执行的有效性进 行评估。 内部控制信息披露是对财务报告披露的财务信息的一种补充,可以有助 于管理当局提高内部控制意识,重视企业的内部控制建设。另外,内部控制 信息披露可以为投资者提供企业财务报告是否可靠的间接证据,可以使其尽 可能的避开风险,做出合理的投资决策。 意义:内部控制信息的披露对企业管理当局和外部信息需求者都具有十分重要的意义,主要表现在以下几个方面:首先,内部控制信息的披露可以为信息使用者提供额外的信息,有利于投资者、债权人等利益相关者做出正确决策。内部控制信息披露能够提供财务报告所不能提供的信息,可以使信息使用者在一定程度上了解企业的管理控制是 否有效,企业的运营是否正常,企业资产是否有保障。如果企业内部控制制度 良好目_得到有效的执行,则企业经营有序,能够有效防范经营过程中的风险; 如果企业内部控制混乱,则企业经营存在较大的风险,相关利益者在做出决策
一、内部控制发展历程及概述 1. 国际概况 1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了美国反虚假财务报告委员会,旨在探讨财务报告中舞弊产生的原因。委员会调查发现其所研究的欺诈性财务报告案例中,有大约50%是由于内部控制失效造成的,于是成立了COSO委员会(美国全国虚假财务报告委员会下属的发起人委员会英文缩写)来制定内部控制指南。 1992年9月,COSO发布《内部控制—整合框架》。《内部控制—整合框架》代表着国际上在内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。此时,整体框架不仅为内部控制的控制目标指明了方向,同时也为其有效实践提供了可供遵循的五个要素。 进入21世纪,美国先后爆发了安然、世通、安达信等公司欺诈、会计造假的丑闻,使投资大众遭受巨大的损失。为了加强公司治理,重建投资者的信心,2002年7月,美国国会颁布了《萨班斯-奥克斯利法案》,该法案提出建立以COSO发布的《内部控制—整合框架》为参照基准的内部控制框架体系。这表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 2013年5月,COSO发布《2013年内部控制—整体框架》及其配套指南。新版《整体框架》在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均与原版相同,有变
化的是依据具体形势所做出的相关内控管理措施,《整体框架》明确地列出了17项原则,每一项原则均与其中一个要素相连,代表这些基本概念都与内部控制的五大要素相关联,这被业内人士称为一种升级。 2. 国内概况 在借鉴和吸收国际监管理念的背景下,2008年5月财政部联合证监会、审计署、银监会和保监会五部委发布了《企业内部控制基本规范》,就加强企业内部控制、贯彻实施内部控制规范作出了明确部署。 2010年4月五部委又联合发布了《企业内部控制配套指引》,连同此前发布的《企业内部控制基本规范》,标志着中国企业内部控制规范体系基本建成。 2012年5月财政部联合国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》要求各中央企业全面启动内部控制建设与实施工作。 2012年8月财政部联合证监会发布《关于2012年主板上市公司分类分批实施企业内部控制基本规范体系的通知》要求主板上市公司确保内部控制体系建设落到实处。 2012年11月财政部发布了《行政事业单位内部控制规范(试行)》文件的通知,加强行政事业单位内部控制规范并规定于2014年1月1日起在全国范围施行。 2015年12月21日,财政部发布了《财政部关于全面推进行政
1936年美国会计师协会(AIA)首次正式提出了内部控制的概念。此后,理论界和学术界不断推陈出新。但基本上都没有突破会计控制的范围。1992年COSO对内部控制的概念进行了突破和创新,并得到国际社会的高度认可。但COSO内部控制框架流程与内部控制目标之间存在着逻辑缺陷,致使COSO内部控制框架的概念被质疑,实践中也缺乏可操作性和普适性。实际上,COSO内部控制框架仅提供了一个较为全面的风险控制导引,各个国家和地区中的企业需要根据自身企业内部特征以及外部环境要素设计具有针对性的内部控制体系。即不同地区中的企业需要界定内部控制的边界,并基于此设计相应的内控模式、机制、方法,以实现企业的全面风险管理和高效的内部控制①。因此,无论是基于理论层面还是实物层而,重视对内部控制本质、边界和目标等基本属性的研究,是构建企业内 部控制体系的前提和基础。 既有文献针对内部控制本质及内涵的研究主要涉及两个层次的内容:一个层次是从企业系统和整体效率的视角界定内部控制的概念;另一个层次是企业内控系统的构成单元和子系统。内部控制的组成部分或子概念主要包括两个方面:一个方而是按照层级结构来分的企业治理层面的控制和企业管理控制;另一个方面是为了满足不同需要而单独界定的企业各职能部门和各层级所确立的内部控制体系,如财务报告内部控制,会一计控制等概念,I-!前比较成型和有影响力!、勺是财务报告内部控制’、「「。自华,高_立(2011)’‘在困内外相关研究的琴础_上,指出无沦从历史发展、时间考察还是理论逻辑方而看,财务报告内部控制陷入了一个为不能存在的系统寻找独立存在的理由的尴尬境地。ICI此,应该尽早用“内部拄制”取代“财务报告内部控制”。杨清香(2010) `"利用马克思认识论,对如何构建内部控制的概念框架问题进行了探讨,认为内部控制的本质是构建内部控制概念框架或理论体系的逻辑起点,内部控制的其他概念或理沦要素都是根据内部控制的木质演绛推论出来的。在此基础上,部分学者认为目标是构建内部控制概念的逻辑起点,这种观点尽管实用,Eli是犯了逻辑上的错误(李连华,2007)0 组织理论是内部控制研究范畴内的重要理论支撑,诸多文献围绕组织内部关系和契约展开对企业内部打制的研究。谢志华(2009)‘、认为,企业的两种组织关系,即契约关系和平等关系,决定了企业内部控制的本质,内部控制的木质表现为企业组织体系中各种相关的平等利益工体之问的相压制衡和各科层权利主体依_}二而F的监督。而且制衡是监督发抨效l1!的从础。李志斌(2009 ) '}"运用组织fil:会学的规则理沦解释了内部控制的规则属性。他认为内部控制在组织内部是需要强制执行的“法”,足管理权威的来源之一。而竹理权威体系既包括纵向等级制权威体系,也包括横向平行权威体系。一可以石出,卜述两者的观点具有4定的相似性。部分学者还从制度经济学的视角剖析了内部控制的本质,刘明辉,张宜t } ( 2002 ) ''认为,内部控制的本质是弥补企业契约不完备性,保i} I:企业正常运作和发展的内在机制。林钟高,徐虹,吴玉莲( 2009 )‘认为内部控制的本质属J性足种持续均衡利益关系的契约装置。 国外有关学者对内部控制与公司治理的关系研究,主要可以归纳为两个视角。这两个视角分别为:认为内部控制是公司治理的组成部分;以及认为内部控制和公司治理彼此相互影响。针对后者,又可进一步细分为三种观点,其一,公司治理影响内部控制;其二,内部控制影响公司治理;其三,内部控制与公司治理相互影响。下面针对上述本文总结的研究路径,结合具体的研究文献进行阐述。 以英国为代表的学者认为,内部控制是公司治理的组成部分。Cadbury, Hampell以及Turnbull报告共同构成了英国三个重要的公司治理、内部控制研究。英国学者指出了上述观点,即“内部控制是公司治理的组成部分”,应由董事会负责建立、维护以及评价;独立董事制及董事会下设的委员会起监督和协调作用。而美国有关学者认为内部控制和公司治理相互影响着彼此,特别是在SOX法案404条款的提出之后,利益相关者便对内部控制和公司治
内部控制理论的发展及其借鉴意义 摘要:在各种组织高效运作的今天,内部管理越来越受到人们的重视。通过介绍美国内部控制理论的发展历程,为国人打开了一扇学习国外先进经验的窗户。国人可以学习他人的成功之处,来完善自身的内部控制制度,提高自己的管理水平。 关键词:内部控制;体系和结构;国外理论;意乂 1内部控制系统理论 1936年美国会计师协会在《注册会计师对财务报表的审查》文告中提出了 以内部控制为基础的审计程序。1947年,该协会在《审计准则暂行公告》中又 重申了这一内容。这一时期,内部控制处于以查错纠弊为导向的理论初级阶段, 后被称为内部牵制理论。 1949年美国审计程序委员会下属的内部控制专门委员会发表了《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,第一次对内部控制进行定义性表述:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率、推动管理部门所制定的各项政策贯彻执行的组织计划和相互配套的各种方法及措施。”同时报告对内部控制的范围做出解释,指出内部控制既是对会计和财务部门直接有关的控制,也包括了预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门,制定计划对有关人员履行职责的能力进行培训,设立内部审计部门以保证管理部门所制定的各种程序准确、顺利贯彻执行。当时,这一定义和解释被普遍认为是对内部控制概念认识上的重大突破,但是由于该报告内容宽泛,在职责划分上缺乏可操作性。于是,1953年10月,美国审计程序委员会对上
述定义进行了第一次修正,在《审计程序公告第19号》中,修正后的定义表述为:“广义的说,内部控制按其热点可以划分为会计控制和管理控制;(1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账,编制财务报表,保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。(2)管理控制由组织计划和所有为提高经营效率,保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接关系,包括统计分析、动态研究、经营报告、员工培训计划和质量控制等。” 1963年该委员会在《审计程序公告第33号》对修正后的定义又做出进一步明确阐述:独立审计师应主要检查会计培训。会计培训一般对财务记录产生直接的、重要的影响。审计人员必须对它做出评价。管理控制通常只对财务记录产生间接影响。因此,审计人员可以不对其作评价。但是,如果审计人员认为某些管理控制影响了财务记录的可靠性,那么就要视情况予以评价,以避免管理控制给会计控制造成偏差。 然而,修正工作并没有结束。经过多年的实践检验。人们发现“会计控制” 中的保护资产和保护财务记录可靠性的定义,仍然会使人们产生“决策过程中 的任何程序和记录都可以包括在会计控制的保护财产的概念中”的误解。为解 决这一问题,美国注册会计师协会于1972年又对会计控制发布了一个更为严格 的定义:“会计控制是组织计划和所有与下面有关的方法和程序:(1)保护资 产,即在业务处理和资产处理过程中,保护资产免遭过失错误、故意致错或舞 弊造成的损失。(2)保证对外报告的财务资料的可靠性。” 从20世纪40年代末开始,内部控制理论的发展走过了漫长的道路,在实 践中充实,在实践中修正,被理论界称之为内部控制系统理论阶段。而为这一
内部控制的定义 2013新版的内部控制定义,沿用了1992年的内部控制的定义: 内部控制是一个由主体(一般指公司)的董事会、管理层和其他员工实施的、旨在为实现运营、报告和合规管理目标提供合理保证的 过程。 COSO内部控制整合框架·2013 这其实是一个解释性定义,解释了这项工作的实施主体和主要目标,这个定义中含有几个方面的内容,需要大家理解一下。 1、一个过程 内部控制这些工作最后落脚点为一个过程(process),当然,之前COSO 定义的风险管理也是一个过程,但是,现在有一些变化。 央企指引中将风险管理作为一种过程和方法。 ISO31000定义的风险管理是一系列控制和协调的活动。 新版COSO定义的风险管理是一种能力、文化和实践。
到目前为止,关于风险管理是侧重过程还是针对结果,还是有不同意见,我们和国内外的一些专家也还是在持续讨论。 内部控制的定义还算是比较统一,国内的内控规范也将其称为一个过程,当然这个过程是实现目标的过程。 这个过程和ISO风险管理标准中的过程强调的一样,是一个持续的、循环往复的过程。 2、全员实施 董事会、管理层和其他员工基本涵盖了公司的所有人,表明内控框架是需要将组织所有人都纳入遵守和执行范围,而不是为某一个特定人或特定团体服务。 这需要强调在我们前些年中国企业执行内部控制时,公司的高层特别是一把手会游离在内部控制之外,把内部控制作为其控制公司的手段,这样会使内部控制的有效性打折,当领导层带头突破内部控制时,为全员设立了一个不好的“基调”,为某些控制环节失效埋下了隐患。 3、以实现相应目标为宗旨
内部控制目前的实现目标的范畴定义在三个方面:运营目标、报告目标和合规目标。 运营目标——侧重提升对企业运营的效率和效果;关于对运营目标的支撑其实是内部控制的一个非常重要的功能,但西方最开始并没有明确这方面的具体要求,而中国内控体系中则一开始就对各个业务板块的内控提出了明确的应用指引。 报告目标——侧重对内外部财务和非财务报告的真实性、可靠性以及及时性。其中对外财务报告目标是其最原始的目标,也是最重要、最有效的一类目标。其余的报告目标为本次修订新增。 合规目标——遵守组织适用的法律法规(侧重外部)。COSO内控的合规目标并不是我们今天在国内谈的大合规的内容,它相对简单直接,就是针对对外部法律法规的遵从性。 所以今天很多企业在建立合规管理体系,其实其中很大一部分工作是内部控制工作,因为都是需要建立合规管理工作的制度性保障。 合规管理体系和内部控制体系两条线不应该被割裂开来开展。 4、只提供合理保证
企业内部控制理论的发展与启示 【摘要】本文从控制论原理出发,对内部控制作了多层面的理解;在研究了内部控制理论的最新进展,即 COSO报告出台的背景、具体内容及创新特点之后,提出该报告对构建我国企业内部控制综合框架的启发和借鉴意义体现在五个方面,即完善企业的控制环境、进行全面的风险评估、设立良好的控制活动、加强信息流动与沟通、加强企业的内部监督;同时建议有关部门和团体制定企业内部控制准则或指南,为企业内部控制建设提供一个框架和参考依据。 【关键词】内部控制控制环境风险评估内部审计 新修订的《会计法》十分强调企业内部控制制度的建设问题。企业经营失败、会计信息失真及不守法经营在很大程度上都可归结为企业内部控制的缺失或失效。研究企业内部控制的理论与实务就成了最紧迫的课题之一。但是目前学界对内部控制的认识还不足、不统一,甚至存有不少错误。我们拟从控制论的一般原理和国际上企业内部控制理论的最新发展出发,谈谈对我国企业内部控制建设的看法。 一、对内部控制的理解 内部控制理论的发展经过了一个漫长的时期,大致可以区分为内部
牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,这在早期被认为是确保所有账目正确无误的一种理想控制方法。内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制(或称内部业务控制)两个部分,前者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。西方学术界在对内部会计控制和管理控制进行研究时,逐步发现这两者是不可分割、相互联系的,因此在20世纪80年代提出了内部控制结构的概念,认为“企业的内部控制结构包括为合理保计企业特定日标的实现而建立的各种政策和程序”[1],并上明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。在90年代美国提出内部控制整体框架思想,并逐步将各界对内部控制的认识统一起来。目前,我国理论界和实务界对同部控制的认识还很不统一[2]。其中,多数学者对内部控制的认识停留在内部控制制度和内部控制结构阶段;还有很多人认为内部控制即是内部监督。实务界许多人士以为内部控制就是一堆堆的手册、文件和制度;也有些企业认为内部控制就是内部成本控制、内部资产安全性控制等;有的企业则对内部控制还没有概念,巨人集团衰败、沈阳飞龙集团“失踪”、郑州亚细亚关门。广东国投倒闭等事件都说明了这一点。 我们认为,根据控制论的一般原理,控制是作用者对被作用者的一种能动作用,被作用者按照作用者的这种作用而行动,并达到系统的预定目标。因此,可以从以下几个方面来理解内部控制。其一,内部
《企业内部控制基本规范》解读【字体:大中小】【打印】 一、内部控制概念 二、内部控制规范的建设现状 三、内控的内容 四、内控建设方法 第一节内控的概念 内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。(2009年度中国注册会计师全国统一考试辅导教材《公司战略与风险管理》) COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规”。 《企业内部控制基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标时合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效益合效果,促进企业实现发展战略。 (一)控制 什么是内控思想?过去强调的是牵制,比如,会计不能兼任出纳。过去强调的是会计控制。 现在,不是会计控制,而是风险为导向的控制,强调的是企业的管理层角度的管理控制,而会计控制是内部控制的一个组成部分。 (二)管理 1.企业方面 作为股东投资者,由于所有权和经营权进行分离。而作为投资者,要求投资获得收益,终极目的就是获得利润。因此在加强企业管理和运作中,会在方方面面有内控的思想的覆盖和渗透。 内部控制不是牵制,不是会计内控。 内部控制是一种管理,内控的理想状态是无需内控就可以遵守规章制度。 内控是一种管理,是对风险的管理。 风险无处不再,国际风险,国家风险,政府风险,企业风险,家庭个人风险,无处不在。 对于企业而言,风险可能来自业务经营、合规、运营或财务方面,内部控制应当为企业的有效运营提供辅助条件,使企业有能力对最爱目标实现的重大风险作出反应。 2.事业方面 在事业单位,机关财务部门作为内控重要组成部分。财务管理,预算管理。 (三)流程 内控是控制的一个过程,这个过程是需要全员的参与,上到董事会、管理层、监事会,下到各级员工,都需要参与进来。 通过内控要实现的目标 1.企业的经营要合法合规 2.企业资产要安全完整 3.企业财务报告的信息(财务信息)和其他信息要真实可靠完整 4.通过内控提高企业的经营效率和效果。 从管理要效益。 从产品要效益,从营销要效益,从管理要效益(从政府要效益) 5.促成企业实现战略目标 (四)合理保证 内部控制是一种合理保证,但它也存在局限性,因此不是一种绝对保证 1.在一个企业的不同岗位之间要有内部控制措施,