李 琳
提要企业的一切管理工作都是从建立和健全内部控制开始的,企业的一切活动都无法游离于内部控制之外。本文从内部控制概念入手,对企业内部控制整体框架及内部控制的固有限制做了探讨。
关键词:内部控制;整体框架
中图分类号:F27文献标识码:A
内部控制历来是包括企业在内的所有组织和机构正常运转的制度基础,内部控制是企业各项管理工作的基础,是企业持续健康发展的保证。管理实践证明,企业的一切管理工作,都是从建立和健全内部控制开始的,企业的一切活动都无法游离于内部控制之外。管理实践还证明,得控制则强,失控制则弱,无控制则乱,在我国加入世界贸易组织及世界经济全球化的大背景下,要求各单位逐步建立符合国际全球化要求的内部管理体系,其基础就是建立现代化的内部控制系统。
一、内部控制的概念
内部控制概念的形成是一个逐步演进的过程,可分为四个阶段:最初的控制形式是内部牵制。这种古老的思想发源于古埃及的国库管理制度,其理论基础是假设两个人或两个部门无意识地犯同样错误的可能性是很小的,以及假设两个人或两个部门有意识地串通舞弊的可能性是很小的。直到20世纪初,企业管理思想依然继承了这种以业务授权、职责分工、双重记录、定期核对等内部牵制的基本思想。20世纪四十年代至七十年代初,内部制度在牵制思想与古典管理思想相结合的基础上,突破了内部牵制仅限于对会计进行控制的局面,还包括了提高经营销路,检查既定方针的遵守情况,这一阶段产生了“制度两分法”(划分会计控制和管理控制)。1988年美国注册会计师协会首次提出了内部控制结构的概念,即“为了合理保证实现公司的具体目标而建立的一系列政策和程序”,该协会还把控制结构划分为控制环境、会计制度、控制程序三个要素,进而突出了“环境”因素的重要影响。1922年美国反对虚假财务报告委员会的赞助组织委员会(COSO),提出了内部控制整体框架概念,即内部控制应包括相应联系的五个整体要素,即控制环境、风险评估、内部控制活动、信息交流、监督,从此以风险和环境为基础的审计方法日趋成熟。
内部控制概念演变的四个阶段如图1所示。(图1)
二、内部控制构成要素的相互关系
在COCO框架中,内部控制由控制环境、风险评估、控制活动、信息交流和监督五个相关要素组成。它来源于管理层经营企业方式,并且与管理过程结合在一起。
(一)控制环境。控制环境是其内部控制组成要素的基础,是所有控制方式与方法赖以生存与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。影响控制环境的因素有四个方面:企业人员的操作、价值观及能力;管理阶层的管理哲学和经营风险;管理阶层的授权方式及组织人事管理制度;最高当局及董事会对单位管理关注的焦点及指引的方向等。
(二)风险评估。每个单位均应评估来自外部和内部的不同风险。评估风险的先决条件是制定目标,各不同阶层的目标必须保持一致性。风险评估是指辨认并分析影响目标达成的各种不确定因素。风险评估是决定应如何管理的基础。由于经济、业务、主管机关和营运环境不断变化,风险也因变化而来,因此辨认并处理这些风险自然就有必要。
(三)控制活动。控制活动指确保管理阶层指令实现的各种政策和程序。单位各阶层和各种职能均掺有不同的控制活动,如核准、授权、调节、审核营业绩效、保证资产安全、职能分工,等等。由于单位性瓜规模、组织方式等不同,其控制也有所不同。
(四)信息交流。信息交流要求必须识别、获取潜在的信息,并以一定的方式使员工能够在履行他们的职责的期限内进行交流。信息系统产生报告,报告中包含经营、财务有关的信息,它使管理和控制企业成为可能。它们处理的不仅是内部产生的信息,还有有关外部事件、活动的信息以及必要通知企业决策层的情况和外部报告。有效的沟通也必须发生在一个更加广泛的意义上,自上而下、横向、自下而上在组织内流动。单位所有员工必须自最高管理阶层开始,清楚接获须谨慎承担控制责任的各种信息,了解自己在内部控制中所扮演的角色,以及每个人的活动对他人工作的影响,单位必须有向上沟通重要信息的方法,也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。
(五)监督。监督是一种随着时间的经过而评估内控制度执行质量的过程。这个过程是通过持续监督、个别评估及综合监督来完成的。持续监督发生在经营过程中,包括例行管理和监督活动,以及职工为履行其职务所采取的行为。个别评估的范围和频率取决于风险的评估和持续监督程序的有效性。持续监督和个别评估一起进行,称为综合监督。内控缺陷应向上汇报,而且重大事件要报告给最高管理层或董事会。
上述五个要素相互关联和配合,形成一个整合系统。这个系统可对改变的环境做出动态反应。内部控制与企业的经营活动缠绕在一起,应为企业基本的目标而存在。如果把控制嵌入企业的基础结构并成为企业的一个重要组成部分,那么内部控制就非常有效,也只有嵌入经营活动的控制,才能帮助单位提高管理水平和管理质量,才能避免不必要的成本,才能对改变的环境做出快速反应。
三、内部控制的局限性
从一般意义上来说,内部控制能够帮助企业实现绩效和利润目标,防止资源损失。然而,内部控制并非绝对有效,内部控制无论设计与运行多么完善都无法消除其本身所固有的局限性。
(一)成本收益制约。一个内控系统所寻求的保证水平有必要根据制度耗费的成本来决定。一般来说,控制程序的成本不能超过风险或错误可能造成的损失和浪费,否则,内控措施就不符合经济法。因此没有一种内控是完美无缺的。
(二)串通舞弊。不相容职务的分离可以为避免单独的一个人从事不合规行为提供一定的保证。但是,两名或更多的人员合伙可以逃避这种控制。对此,则有再好的控制措施也无能为力。
(三)人为错误。内控发挥作用的关键在于执行人员准确的操作。然而,人们执行控制职责是不可能始终正确无误的,执行控制人员因为生理和心理因素都会影响内控正常功能的发挥。
(四)管理越权。管理越权一般表现为挪用或者错误陈述。挪用主要指资产的违规转移和隐瞒。高层管理人员一旦越权挪用,则任何内控程序都难以防范。错误陈述指管理部门或主要管理者弄虚作假,故意错报财务状况、经营成果等。当企业出现企政不分、行政干预导致公司董事会、监事会等形同虚设,丧失控制职能时,这类错误陈述也就无法防止。长期以来,我国不少企业发生的重大舞弊等情况即由管理越权所造成。
(五)经济活动的不断变化。企业原有的内控一般都是为那些重复发生的业务类型而设计,这些控制措施对于或未能预料到的业务的控制则无能为力。内部控制可能因为经营环境、业务性质的改变而削弱或失败。
综合以上因素可知,尽管内部控制能够帮助一个企业实现它的目标,但是它不是万能药。