书城管理审计理论与案例
22211900000034

第34章 内部控制(1)

内部控制的意义与局限性

一、内部控制的意义

(一)内部控制应用的态势

内部控制是在内部牵制的基础上,由企业管理人员在经营管理实践中创造、经过审计人员的理论总结而逐步完善的自我监督和自行调整体系。20世纪以来,社会对内部控制的兴趣水平在不断提高。

内部控制按面临的逆境一般分为三个层次示。大多数企业处于第Ⅰ层次,很多逆境会出现,结果高度不确定,管理层经常受到挑战。也有很大一部分企业处于第Ⅱ层次,逆境有时会出现,尽管影响可能会很严重,但管理层有更多预见性,一般能够正确地应对逆境带来的挑战。第Ⅲ层次是最高的层次和理想的境界,但处于第Ⅲ层次的企业比较少。这一层次逆境很少出现,前途要确定得多。即使出现逆境,管理层也能够成功地把逆境的效果最小化。

内部控制按成熟度也可以分为三个层次示。处于第Ⅰ层次的企业,一般成立时间不长,内部控制的灵活性和响应性还没有达到组织继续生存所需的水平,最容易碰到频繁的危机和过早的倒闭。处于第Ⅱ层次的企业,随着组织经验的不断积累,发展更有效的内部控制技巧成为可能,增加了继续生存的可能性。处于第Ⅲ层次的企业,内部控制政策、计划和程序很有效,最大限度地保证了生存、成长和成功。

内部控制按与文化的组合关系,可分为四种形式。一是低度的文化、低度的内部控制,一般存在于起步阶段的公司;二是有效的文化、有效的内部控制,一般存在于快速成长的公司;三是高度的文化、高度的内部控制,一般存在于成熟、稳定、健康的公司;四是低度的文化、高度的内部控制,一般存在于巅峰阶段过后的公司。

(二)对内部控制的相关评论

内部控制不仅能够除弊,具有防御作用,而且能够兴利,具有建设性作用。我国的《周礼》记载,“虑夫掌财用财之吏,渗漏乾后,或者容奸而肆欺于是一毫财赋之出入,数人之耳目通焉”,道出了内部控制对除弊的作用。WillieHackett和SybilC.Mobley指出,内部控制作为一种常识出现,是利润动机的自然产物。第一位倡导者一旦发明获取利润的方法,就会建立控制和保护利润的制度,说明了内部控制对兴利的意义。COSO强调,之所以要设置内部控制,就是促使企业在迈向获利目标的路上,达成管理理念,并把路上的意外惊吓减到最少。巴塞尔银行监管委员会(BasleCommitteeonBankinGSupervision)在对20世纪90年代以来的系列银行破产案例做了深入调查之后,得出结论认为:著名商业银行失败事件的原因,除了内部控制失效外,很难再找到其他因素,进一步印证了内部控制对企业的意义。

在审计工作中,没有哪一个检查阶段比对内部控制的检查和评价更为重要。要确定适合于某一特定的审计检查程序的性质和范围,就应考虑内部控制系统的有效性。制度基础审计是注册会计师审计的常用模式,每次审计必须了解被审计单位的内部控制,每次审计一般都要对被审计单位的内部控制进行符合性测试。

二、内部控制的局限性

内部控制作为企业自我调节和自行制约的内在机制,处于单位中枢神经系统的重要位置,可以说没有健全完善的内部控制,就很难组织起现代化的社会大生产活动,也就谈不上现代化的企业生产和经营管理。但是,任何事物都不是尽善尽美的,内部控制也同样存在其固有的、不可避免的局限性。一般而言,内部控制的局限性主要表现为以下五个方面。

(一)管理越权

如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊,即使具有设计良好的内部控制,也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分,它理所当然地要按照其管理人员的意图运行,尤其是企业负责人的决策更是起决定作用。决策出了问题,贯彻决策人意图的内部控制也就失去了应有的控制效能。

(二)串通舞弊

如果企业内部不相容职务的人员相互串通作弊,与此相关的内部控制就会失去作用。内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中,如果处于不相容职务上的有关人员相互串通、相互勾结,失去了不同职务相互制约的基本前提,内部控制也就很难发挥作用。

(三)人为错误

如果企业内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。内部控制是由人建立的,也要由人来行使的,如果企业内部行使控制职能的人员在心理上、技能上和行为方式上未能达到实施内部控制的基本要求,对内部控制的程序或措施经常误解、误判,那么再好的内部控制也很难充分发挥作用。

(四)成本限制

企业实施内部控制的成本效益问题也会影响其效能。控制环节越多、控制措施越复杂,相应的控制成本也就越高,同时也会影响企业生产经营活动的效率。因此,在设计和实施内部控制时,企业必然要考虑控制成本与控制效果之比。当实施某项业务的控制成本大于控制效果而产生损失时,就没有必要设置控制环节或控制措施,这样某些小错弊的发生就可能得不到控制。

(五)业务突变

内部控制一般都是针对经常而重复发生的业务而设置的,而且一旦设置就具有相对稳定性,因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适用,临时控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时,从而影响内部控制的作用。

内部控制观念的演变

一、萌芽期——内部牵制

内部控制在其漫长的产生和发展过程中,大体经历了萌芽期、发展期和成熟期三个历史阶段。内部控制作为一个专用名词和完整的概念,直到20世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(InternalCheck)。例如,在古罗马时代,对会计账簿实施的“双人记账制”——某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。

纵观该时期的内部牵制,它基本是以查错防弊为目的,以职务分离和账目核对为手法,以钱、账、物等会计事项为主要控制对象。其概念基本如kohler‘sDic-tionaryforAccountant的定义,即:“为提供有效的组织和经营,并防止错误和其他非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”

二、发展期——内部会计控制与内部管理控制

1934年美国《证券交易法》,首先提出了“内部会计控制”(InternalAccount-inGControlSystem)的概念,要求证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统:(1)交易依据管理部门的一般和特殊授权执行;(2)交易的记录必须满足GAAP或其他适当标准编制财务报表和落实资产责任的需要;(3)接触资产必须经过管理部门的一般和特殊授权;(4)按适当时间间隔,将财产的账面记录与实物资产进行对比,并对差异采取适当的补救措施。1936年美国会计师协会发布的《注册会计师对财务报表的审查》文告,以及1947年《审计准则暂行公告》(TSAS),出于改进审计方式的需要,提出了以内部控制为基础的审计程序。但这期间,无论在审计文献中还是在其他管理著作中,均没有关于内部控制概念的权威性定义。

(一)第一个具有权威性的定义

为了赋予内部控制一个准确完整的定义,审计程序委员会下属的内部控制专门委员会经过两年研究,于1949年发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告,对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”

此定义强调,内部控制不只限于与会计和财务部门直接有关的控制方面,它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制订培训计划以培训有关人员使其能够履行职责,以及设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。此外,内部控制还包括其他领域的一些活动,例如,具有工程性质的时动分析以及在检查系统中运用的质量控制,基本上属于生产部门的活动。

(二)定义的修正

上述范围广泛的内部控制定义及其解释的发布,当时被普遍认为是对内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念,其内容如此宽泛,以致包括了审计人员对审查内部控制所不愿意、也不可能承担的职责。从与委托人讨论什么是良好的会计和经营方法的角度考虑,他们感到1949年的定义非常合适,但从承担为制订审计方案而对内部控制进行检查的责任角度考虑,他们感到这一定义范围过宽。该委员会的解决方式,是将内部控制划分为“会计控制”和“管理控制”两大类——即将与前两个目标即保护资产和保证会计资料可靠性和准确性有关的控制划分为会计控制,而将与后两个目标即提高经营效率、保证管理部门所制定的各项政策得到贯彻执行有关的控制归入管理控制。1958年10月,审计程序委员会(CAP)又发布了《审计程序公告第19号》(SAPNo.19),对内部控制作了如下划分。广义地说,内部控制可以划分为会计控制和管理控制:(1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。(2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。可见,之所以把内部控制分为会计控制和管理控制,是为了按照公认审计标准来规范内部控制检查和评价的范围。对此,1963年,审计程序委员会在《审计程序公告第33号》的结论是:独立审计师应主要检查会计控制。会计控制一般对财务记录产生直接的、重要的影响,审计人员必须对它做出评价。管理控制通常只对财务记录产生间接的影响,因此,审计人员可以不对其作评价。但是,如果审计人员认为,某些管理控制对财务记录的可靠性产生重要的影响,那么他要视情况对它们进行评价。例如,在某种特定的情况下,生产部门、销售部门和其他业务部门的统计分析需要给予评价。

1972年,美国准则委员会(ASB)《审计准则公告》的制定者,循着《证券交易法》的路线进行研究和讨论,在第1号公告(SASNo.1)中,对管理控制和会计控制提出并通过了今天广为人知的定义:(1)内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其他有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施。(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点。上述内部控制定义的演变反映出两个重点:第一,当前注册计师在开展其审计工作时所运用的会计控制概念,是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念,它的主要宗旨是预防和发现错弊;第二,自审计程序委员会于1949年提出第一个内部控制定义起,人们为完善该定义作了不懈的努力,以至于今天的内部控制定义与1949年的定义有天壤之别。

这种以会计控制为主的定义,虽为独立审计界认可,却屡屡遭到管理人员代言人的攻击。他们指出,这些定义把精力过多地放在纠错防弊上,过于消极和狭窄。凯罗鲁斯先生对于代表独立审计界观点的《特别咨询委员会关于内部会计控制的报告》,只表示有保留地同意。他认为,该报告对内部会计控制范围的讨论受现存审计文献的影响太大。凯罗鲁斯主张,内部控制范围和目标应予以扩展,以便它们更能够适应管理部门的需要。他极为主张,审计准则委员会所纳入“内部会计控制环境”的某些因素应该是设计合理、运行有效的内部会计控制系统不可分割的一个组成部分。这些因素包括:(1)组织计划;(2)责任的确定和授权;(3)预算程序和预算控制;(4)员工雇用计划和财务人员培训计划;(5)保证所有参与经济业务授权、记录、保护资产、报告财务信息的职员保持较高的行为道德水准的方法和措施。从管理人员(和其他有关第三方)的角度来看,会计控制和管理控制之间的区别并不大,甚至根本没有区别。特别是那些置身于企业经营活动的人们,他们很难接受这种区分。1980年3月在“内部审计师协会”

代表大会的发言中,凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为“将美玉击成了碎片”。他声称,在这块美玉完全修复以前,我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。

三、成熟期——内部控制结构和内部控制整体架构