內部控制若干問題

第一頁，共二十七頁。隨著我國市場經濟的發展，改革的深入，國有企業股份制改造的實施，經濟環境更加復雜，市場競爭更加激烈，傳統的管理方法已明顯不能適應企業生存環境及進一步發展的需要，以至于企業管理失控，不僅給企業帶來巨大風險，給國家和股東造成巨大經濟損失，甚至導致企業的崩潰破產，并且，已經成為制約我國經濟和企業健康發展的障礙。2001年發生了一系列令國內外會計領域震驚的事件，如在中國股票市場上發生的"銀廣廈"、藍田股份等舞弊案，在美國發生的安然公司丑聞事件，都涉及財務造假，虛構利潤和資產。這些引起了政府、企業、理論界的高度關注。剖析這些經濟犯罪案件，原因是復雜而多方面的，然而，企業內部控制弱化，是其中的一個重要因素。有些案例的產生，往往是由于企業缺乏最基本的內部控制。企業經營失敗、會計信息失真及不守法經營在很大程度上都可歸結為企業內部控制的缺乏或失效。因此，要加強企業管理，提高企業經濟效益，提高會計信息質量，保護國家財產不受損失，保護股東權益，維護社會主義市場經濟秩序，營造企業發展的良好環境，其中重要的方面就是加強企業內部控制。第二頁，共二十七頁。內部控制的發展、演變

縱觀內部控制發展的歷史，基本可以分為以下幾個階段：1、內部牽制階段內部牽制是指企業內部明確各方面的權限、職責，便于在經濟活動中相互聯系、相互制約，自動檢驗錯誤、防止舞弊的一種控制機制。基于該內部牽制定義建立起來的會計工作制度，就叫做內部牽制制度。第三頁，共二十七頁。內部控制作為一個專用名詞和完整概念，直到本世紀30年代才被人們提出、認識和接受。但在此前的人類社會發展史中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制。第四頁，共二十七頁。遠在公元前3600年的美索不達米亞文化的記載中，就可找到內部牽制的蹤跡。在當時極為粗糙的財務管理活動中，記錄員要核對付款清單，并在付款清單上打上“點、勾、圈”等核對符號，表明檢查賬目的工作已經完成。這表示簡單的內部牽制措施已經出現在原始的會計實踐中。13世紀末，內部牽制的發展有了新的進步，會計上出現了以單純的記賬人與保管人相分離的、職責分工為基礎的工作方式。15世紀末，借貸復式記賬法在意大利出現。自此，開始對管理財物的不同崗位進行分離，并利用其勾稽關系進行相互核對，以達到互相牽制的目的。20世紀初期，西方經濟取得了迅速發展，股份有限公司的規模不斷擴大，內部分工越來越細，生產資料所有者和經營者相互分離已較為普遍。為了保護資產，保證會計紀錄的正確性，提高管理水平，使企業在激烈的競爭中獲勝，一些企業逐步摸索出一些組織、調節、制約和檢查企業生產活動的辦法，按照人們的主觀設想，建立內部牽制制度，以防范和發現錯誤。第五頁，共二十七頁。內部牽制的含義在于職責分離，通過職責分離，任何一個人很難進行舞弊或類似行為而不被發現，這有助于減少舞弊行為。同時，手工進行的會計操作，不可避免會發生一些錯誤，通過內部牽制，可以有效地防止錯誤的發生。因此，內部牽制基本是以查錯防弊為目的，以職務分離和賬目核對為方法，以錢、賬、物等會計事項為主要控制對象。當時的《柯氏會計辭典》(Kohler'sDictionaryforAccountant)對內部牽制的定義是“為提供有效的組織和經營，并防止錯誤和其它非法業務發生而制定的業務流程。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工，每項業務通過正常發揮其它個人或部門的功能進行交叉檢查或交叉控制。”第六頁，共二十七頁。內部牽制按其功能、執行的對象及其方式，可分為實物牽制、機械牽制、體制牽制和簿記牽制四類。即使是在現代內部控制理論中，內部牽制仍然占有重要的地位，它是有關組織機構控制和職務分離控制的基礎。第七頁，共二十七頁。2、內部控制制度階段

現代內部控制思想是為保護投資人、債權人利益而產生。20世紀初，隨著企業生產規模的進一步擴張，出現了大量籌資需求，所有權與經營權進一步分離，企業需要報告財務狀況、經營成果，使投資者、債權人據以做出投資決策，這時候，內部牽制制度不完善之處愈加顯露出來。20世紀30年代，出現了世界經濟大危機，迫使許多企業加強了對生產的控制與監督，促使企業的內部控制工作進一步超越會計及財務范疇，深入到企業所有部門及整個業務活動。1934年美國《證券交易法》，首次提出了"內部會計控制"(Internalaccountingcontrolsystem)的概念，指出：證券發行人應設計并維護一套能為下列目的提供合理保證的內部會計控制系統：a.交易依據管理部門的一般和特殊授權執行；b.交易的記錄必須滿足公認會計準則或其他適當標準編制財務報表和落實資產責任的需要；c.接觸資產必須經過管理部門的一般和特殊授權；d.按適當時間間隔，將財產的賬面記錄與實物資產進行對比，并對差異采取適當的補救措施。第八頁，共二十七頁。

1949年美國審計程序委員會下屬的內部控制專門委員會發表了題為《內部控制、協調系統諸要素及其對管理部門和注冊會計師的重要性》的專題報告，對內部控制首次做出了如下權威定義：“內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和準確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施”。此定義強調，內部控制不僅限于與會計和財務部門直接有關的控制方面，它還包括預算控制、成本控制、定期報告經營情況、進行統計分析并將統計報告送交有關部門、制定培訓計劃以培訓有關人員使其能夠履行職責，以及設立內部審計部門以保證管理部門所制定的各種程序的準確性，并保證其得到貫徹執行等內容。此外內部控制還包括其他領域的一些基本上屬于生產部門的活動。第九頁，共二十七頁。50年代，市場競爭更加激烈，促使企業將內部控制擴大到企業內部各個領域。1958年，美國審計程序委員會在內部控制的定義上指出，內部控制在廣義上包括會計控制和管理控制。會計控制包括組織計劃和一切有關并且直接目的在于保護財產和會計資料的可靠性的程序和方法。管理控制包括組織控制和一切有關營運效率、管理政策的遵循和那些間接影響會計資料的方法和程序.第十頁，共二十七頁。內部控制的定義經多次修訂，直到1973年，對管理控制和會計控制提出并通過了今天廣為人知的定義：內部會計控制由組織計劃以及與保護資產和保證財務資料可靠性有關的程序和記錄構成，會計控制旨在保證經濟業務的執行符合管理部門的一般授權或特殊授權的要求；經濟業務的記錄必須有利于按照一般公認會計原則或其它有關標準編制財務報表，以及落實資產責任；只有在得到管理部門批準的情況下，才能接觸資產；按照適當的間隔期限，將資產的賬面記錄與實物資產進行對比，一經發現差異，應采取相應的補救措施。內部管理控制包括但不限于組織計劃以及與管理部門授權辦理經濟業務的決策過程有關的程序及其記錄，這種授權活動是管理部門的職責，它直接與管理部門執行該組織的經營目標有關，是對經濟業務進行會計控制的起點。獨立審計師不負責檢查管理控制，只負責檢查會計控制，這一概念的主要宗旨是防錯糾弊。第十一頁，共二十七頁。3、內部控制結構階段第三次科技革命的到來，企業規模也更加龐大，大量混合聯合企業出現，跨國公司的分支機構幾乎布滿全球。生存環境的變化，迫使企業不得不進一步加強其管理和控制，企業內部控制的內涵大大增加。20世紀70年代，與內部控制有關的活動大部分集中在制度的設計和審計方面，重在改進內部控制制度的方法和提高審計的質量和效率效果。當時，通過水門事件的調查，揭露出200多家公司高層隱瞞的不道德交易，并揭示這些企業公司內部控制的缺陷。針對這些調查的結果，美國國會于1977年通過的《反國外賄賂法》(ForeignCorruptPracticesAct，簡稱FCPA)，規定了與會計及內部控制有關的條款。因此，各企業開始陸續建立起內部控制，很多職業團體及主管機關也就內部控制的不同層面進行研究。80年代許多財務機構破產，隨后的調查發現，大多數公司的舞弊情況不能被及時發現，50%的舞弊財務報告源于內部控制失效。經濟環境的巨大變化促使理論界不斷進行思索，在實踐中，人們在對內部控制制度進行研究時，發現內部會計控制和內部管理控制兩者是不可分割的、互相聯系的。第十二頁，共二十七頁。

1988年4月，美國注冊會計師委員會發布了《審計準則說明書第55號》，首次提出內部控制結構，指出內部控制是為合理保證企業特定目標的實現而建立的各種政策和程序，明確了內部控制結構三要素--控制環境、會計系統、控制程序及其內涵。控制環境指對建立、加強或削弱特定政策和程序效率發生影響的各種因素。會計制度規定各項經濟業務的鑒定、分析、歸類、登記和編報的方法，明確各項資產和負債的經管責任。控制程序指管理當局所制定的，用以達到一定目的的方法和程序。與以前的內部控制定義相比，內部控制結構將控制環境納入內部控制的范疇，而且不再區分會計控制與管理控制。內部控制的三個要素的劃分不再截然獨立，并且涵蓋了企業內部控制的所有內容。第十三頁，共二十七頁。4、內部控制框架階段第三次科技革命對社會經濟發展起到了極大的推動作用，使人類進入了信息時代，信息與溝通在企業管理中日益重要。雖然在內部控制結構論中提及的會計系統也反映出了信息溝通思想，但已遠遠不能滿足現代企業對信息與溝通的需求。進入90年代后，正是受信息產業和高風險行業迅速發展的影響以及吸收了管理學的新思想，加上會計舞弊現象的不斷發生，一直對內部控制研究十分重視的美國會計界逐步將各界對內部控制的認識統一起來。1992年，美國內部控制專門研究委員會—簡稱COSO委員會(CommitteeofSponsoringOrganizationsoftheTread-wayCommission)在進行專門研究后提出《內部控制—整體框架》的報告。1995年12月美注協發布《審計準則說明書第78號》，全面接受了COSO報告的內容，并將內部控制定義為：由管理當局設計（devised），董事會核準，董事會、管理當局和其他員工共同實施（maintained）的，旨在為實現組織目標：經營的效率與效果目標；財務報告可靠性目標；相關法律法規的遵循性目標，提供合理保證的一個過程（process）。內部控制包括5個相互促進聯系的構成要素，即控制環境、風險評估、控制活動、信息和交流、監督。第十四頁，共二十七頁。COSO報告是在內部控制結構的基礎上提出的，跳出了傳統的平面式的簡單思維方式，而把內控視為多維立體的空間，促使人們全面深入地理解控制和控制對象，分析解決管理控制中存在的復雜問題，并首次把“風險評估”和“信息與溝通”引入到內部控制的要素中，對其進行了理論創新。三個目標和五個要素構造了內部控制系統的整體框架，該理論對內部控制日臻完善的描述，幫助人們更全面和更深刻地理解內部控制及其控制對象。與以往的內部控制理論相比，COSO報告更強調對企業進行動態控制，并突出強調了控制環境的重要性。其構成要素應該來源于管理層經營企業的方式，并與管理的過程相結合。第十五頁，共二十七頁。通過對內部控制歷史的了解，我們可以看到，內部控制經歷了4個發展階段，即以查錯防弊為目的的內部牽制階段；將內部控制分為會計控制和管理控制的內部控制制度階段；將內部控制分為控制環境、會計系統、控制程序的內部控制結構階段；將內部控制分為控制環境、風險評估、控制活動、信息和交流、監督5個相互聯系部分的內部控制框架階段。內部控制理論的發展、演變告訴我們，內部控制起源于審計和管理的需要，隨著經濟的發展、競爭的激烈，企業內部有加強內在管理的需要，外部有審計監督的壓力，內部控制向企業全面管理控制發展。內部控制理論的不斷豐富和發展，內部控制的目標也發展得更為多樣化。管理的需要及保證資產安全和會計信息真實是內部控制發展的主要動力，其演變過程可以說是各方利益集團共同作用的結果。內部控制由簡單的崗位內部牽制向結構化的內控機制發展，內部控制逐步發展成將企業環境、業務過程和管理有機結合的綜合控制系統。第十六頁，共二十七頁。二、內部控制框架體系

1、內部控制定義理解內部控制的定義清楚地告訴我們內部控制的三個目標：（1）營運性目標，就是各種經營活動的效果和效率。（2）信息性目標，即財會報告的可靠性、完整性和及時性。（3）遵從性目標，也就是說對現行法律和規章制度的遵守。這三大目標滿足不同的需要，又相互交叉，一個良好的內控系統應能夠確保上述三大目標的實現。內部控制的定義提供了一種標準，為企業評價其控制系統和決定如何強化控制提供了依據。經營管理部門和內審部門應該參照相關法規和實施細則，設定一些具體的標準，認真考察被檢查單位的內部控制系統，看其是否能夠確保內部控制目標的實現。董事會和高級管理層是否清楚地了解確保實現內部控制目標的工作進度？企業的財務報告和各項管理信息是不是及時、可靠、完整地予以提供？企業的各項活動是否遵從了現行的法律和規章制度。細化內部控制具體標準，對內部控制的強化更有益處。第十七頁，共二十七頁。內部控制要素

(1)控制環境(Controlenvironment)。企業的核心是企業中的人及其活動，人的活動在環境中進行，人的品性包括操守、價值觀和能力等，它們既是構成控制環境的重要要素之一，又與環境相互影響、相互作用。環境要素是推動企業發展的基礎，它奠定組織的風紀和結構，并且涉及到所有活動的核心—人，特別是人的思想，塑造企業文化，還反映企業各級管理層對內部控制的要求，并影響企業員工的控制意識，是所有其它內部控制組成要素的基礎。控制環境并不是內部控制系統賴以存在的內外部環境，即不是內部控制的環境，它本身就是內部控制的一個組成部分。控制環境的要素具體包括:第十八頁，共二十七頁。a.誠信的原則和道德價值觀。企業所有人，都應當嚴格一致地保持誠信行為和道德標準;不要盲目追求不切實際的目標，以致形成不必要的壓力;對敏感職位之間的財務分工應準確明細，以確保資產安全，防止隱藏較差的績效；加強企業的內部審核制度;發揮董事會的職能，使其客觀監督企業的高級管理階層;提供道德方面的指導，使所有雇員時刻能夠保持正確的判斷;制定準則和政策，并將其傳達給全體雇員;將誘發人們不誠實、非法和不道德行為的動機降至最低。

b.評定員工的能力。管理部門須制定正式或非正式的職務說明書，逐項分析并規定各工作崗位所須具備的知識和技能。

c.董事會和審計委員會。組成這兩個機構須考慮的因素主要包括：成員的經驗;相對于管理層的獨立性;外部董事的比例;其成員參與管理的程度;所采取措施的適宜性;對管理層提出問題的深度和廣度;他們與內部、外部審計人員的關系實質。

d.管理哲學和經營風格。主要考慮:對待和承擔經營風險的方式;依靠文件化的政策、業績指標以及報告體系等與關鍵經理人員溝通;對財務報告的態度和所采取的措施;對信息處理以及會計功能、人員所持的態度;對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度。

第十九頁，共二十七頁。e.組織結構。企業的組織結構是指為公司活動提供計劃、執行、控制和監督職能的整體框架。具體應考慮：組織結構的合適性，及其提供管理企業所需信息的溝通能力;各主管人員所負責任的適當性;按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經驗;當環境改變時，企業配合改變其組織結構的程度;員工，尤其是負責管理及監督職能的員工人數的充足程度。

f.責任的分配與授權。強調對于組織內的全部活動，要合理有效地分配職責和權限，并為執行任務和承擔職責的組織成員特別是關鍵崗位的人員，提供和配備所需的資源，確保他們的經驗和知識與職責權限相匹配，要使所有員工知道他們的工作行為以及職責擔負形式和認可方式，與達成組織目標的聯系。

g.人力資源政策及實務。內部控制是由人來進行并受人的因素影響，保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。具體包括：有完善的招聘與選拔方針及操作性程序;對新員工進行企業文化和道德價值觀的導向培訓;對違反行為準則的任何事項，制訂紀律約束與處罰措施;對業績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，并避免誘發不道德行為;根據階段性的業績評估結果，對員工予以晉升、指導以及獎罰。第二十頁，共二十七頁。(2)風險評估。現代社會是一個激烈競爭的社會，所有的企業都會遭遇各種各樣不同的風險，管理層應重視并且對這些風險應加以評估，采取相應的措施。風險評估就是分析和辨認實現所定目標可能發生的風險。為此，企業也必須設立可辨認、分析和管理相關風險的機制，以了解自身所面臨的風險，并適時加以處理。每個組織所面臨的風險都是與其特定的存在環境相聯系，只有風險評估做好了，內部控制活動才有可能有的放矢。風險評估具體內容包括:第二十一頁，共二十七頁。a.目標。企業的整體目標，通常是由企業的理念及其所追求的價值所決定的。整體目標主要包括營運目標，包括績效和獲利目標及保障資產的安全，使其免受損失;財務報告目標，防止對外報送不真實的財務報告;遵循目標，企業遵循國家的相關法律法規。

b.風險。辨識和分析風險的過程是一種持續及反復的過程，也是有效內部控制的關鍵組成要素。企業的風險一般是由外部因素和內部因素所產生的。外部因素包括科技發展、顧客的需求或預期改變、競爭、新的法律和行政命令、自然災害和經濟環境改變等。內部因素包括信息系統處理的中斷、聘用員工的品質、培訓方法及激勵制度、經理人員的責任改變、企業活動的性質以及員工可接近資產的程度、董事會或監事會不夠堅定或無效等。

c.環境變化后的管理。經濟、產業及管理的環境都是會改變的，企業的管理活動也應隨之改變。因此，風險評估中最基本的部分，就是如何辨認已發生的改變，并采取必要的行動。這些因素包括行業環境的改變、新員工、業務迅速成長、新科技、新業務、產品、作業和公司重組及國外業務等。第二十二頁，共二十七頁。(3)控制活動(controlactivity)。企業管理層應能辨別風險，針對這種風險做出相應評價，繼而制定相應的控制政策及程序，并予以執行，以幫助管理層保證“為保證其控制目標的實現，其用以辨認并用以處理風險所必須采取的行動業已有效落實”。控制活動在企業內的各個管理層和各職能之間都會出現，這主要包括:第二十三頁，共二十七頁。1.高層經理人員對企業績效進行分析。管理層記錄經營活動的結果，如市場的擴展、生產過程改良、成本的控制，然后再與預算、預測及競爭者的績效相比較，以衡量目標達成的程度和監督計劃的執行情況。2.直接部門管理。負責某一部門的經理人員復核自己所負責部門的業績報告，檢查本部門各業務活動的情況，以便辨認趨勢。3.對信息處理的控制。對信息系統的控制活動可分為兩類，第一類是一般控制，它幫助管理層確保系統能持續、適當的運轉。一般控制包括:對資料中心運作的控制;對系統軟件的控制;存取安全的控制;對應用系統的發展及維護的控制。第二類是應用控制，它包括應用軟件中的電算化步驟及相關的人工程序。應用控制包括:輸入控制;輸出控制。4.實體控制。保護設備、存貨、證券、現金和其它資產的實體安全，定期盤點并與控制記錄所顯示的金額相比較。5.績效指標的比較。把不同的幾套數據資料，相互比較，分析它們之間的關系，然后再進行調查與糾正。以存貨為例，其績效指標包括:購貨價差、訂單中緊急訂貨比例、總訂單中退貨的比例。管理層需要調查超出計劃或者不正常的趨勢，辨認采購作業的目標無法達成的原因。6.分工。分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當行為的風險。第二十四頁，共二十七頁。(4)信息和溝通圍繞在控制活動周圍的是信息與溝通系統。信息系統不僅處理企業內部所產生的信息，同時也處理與外部的事項、活動及環境等有關的信息。企業在其經營過程中，需要辨識、取得確切的信息，并進行溝通。企業內部的員工取得他們在執行、管理和控制企業經營過程中所需的信息，并交換這些信息以履行其責任。企業所有員工應從最高管理層清楚地獲取承擔控制責任的信息和向上級部門溝通重要信息的方法，并與外界顧客、供應商、政府主管機關和股東等做有效的溝通。同時，應注重信息的收集與加工，不僅