什么是内部控制要素
内部控制要素是指内部控制制度的构成要素,我国的审计准则认定。
内部控制要素包括内容
内部控制要素包括控制环境、风险评估、控制活动、信息与沟通和监控。这五个要素作为内部控制系统主要组成部分,有其广泛和深刻的含义,具体如下:
1.控制环境
控制环境是内部控制整体框架的基础,支撑着整个内部控制框架,是整个控制框架的引擎,起着塑造组织控制文化、影响人员控制意识、奠定组织风格和组织结构等关键作用。对内部控制发挥此作用的环境要素包括人员操守、道德价值、能力素质,以及管理层的管理哲学、经营理念等等。具体包括:(1)诚信的原则和道德价值观。无论是企业最高管理层还是其它成员都应当做到严格一致地保持诚信行为和道德标准。(2)评定员工的能力。管理部门须制定正式或非正式的职务说明书,逐项分析并规定各工作岗位所具备的知识和技能。
(3)董事会和审计委员会。包括成员的经验;相对于管理层的独立性;外部董事的比例;其成员参与管理的程度;所采取措施的适宜性、对管理层提出问题的深度和广度;与内部、外部审计人员的关系实质。(4)管理哲学和经营风格。主要考虑对待和承担经营风险的方式;依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通;对财务报告的态度和所采取的措施;对信息处理以及会计功能、人员所持的态度;对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。(5)组织结构。
企业的组织结构是指为公司活动提供计划、执行、控制和监督职能的整体框架。(6)责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和权限,并为执行任务和承担职责的组织成员特别是关键岗位的人员,提供和配备所需的资源并确保其经验和知识与职责权限相匹配,员工行为以及职责担负形式和认可方式与达成组织目标的联系。(7)人力资源政策及实务。内部控制是由人来进行并受人的因素影响,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,是内部控制有效的关键因素之一。
2.风险评估
面对不断变化的环境,任何组织都面临各种各样的风险,必须对所面临的风险进行有效了解和估定,建立可操作的发现、判别、分析、管理、控制风险的机制,即风险评估机制。建立风险评估机制的一个重要前提是,从整体上和各单个层面上制定与不同作业层次相关联的目标,构成目标体系。风险评估就是分析和辨认实现所定目标可能发生的风险,风险评估机制实质上也是评估实现目标体系的各种不利因素的机制。风险评估的因素包括:(1)目标。企业的整体目标,通常是由企业的理念及其所追求的价值所决定的,而与之相配合的是企业下一级各部门的具体目标。(2)风险。辨识和分析风险的过程是一种持续及反复的过程,也是有效内部控制的关键组成要素。管理阶层须注意各部门阶层的风险,并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。(3)环境变化后的管理。经济、产业及管理的环境都是会改变的,企业的活动应随之改变。因此,风险评估中最基本的部分,就是如何辨认已发生的改变,并采取必要的行动。
3.控制活动
控制活动是帮助管理层确保管理方针得以贯彻的政策和程序。控制活动的目标是经过风险评估后确定的用以管理和控制风险所必须采取的各项行动能够得到有效落实。控制活动由组织各部门依据不同目标要求实施,并贯穿组织过程始终,具体包括核准、授权、验证、对账以及对经营活动的审查、对资产的保护和不相容职务的分离等。控制活动在企业内的各个阶层和职能之问都会出现,主要包括以下内容:高层经理人员对企业绩效进行分析、直接部门管理与对信息处理的控制、实体控制、绩效指标的比较与分工。
4.信息和沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
(1)信息系统。信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时,某种特定市场或行业的经济资料,用于企业生产商品的资料,显示顾客偏好的市场情报,竞争对手产品开发活动的信息,立法机关与行政机关所发布的信息。
(2)沟通。企业信息系统向员工提供有效信息,通过沟通使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。
5.监督
内部控制的过程必须施加以恰当的监督,必须不时地对内部控制运行质量进行评价。监督可分为持续性监督、独立性评估,一般需要二者结合。持续性监督通常在经营过程中进行或体现为经营过程的延续,包括日常管理、例行监督和常规性事后监督等;独立性评估的范围和频率取决于风险评估或持续性监督程序的有效性。监督应保持独立性,监督发现的内部控制缺陷应直接向最高层报告。
内部控制要素的早期阶段
(一)内部控制的初始阶段
早在19世纪40年代前,人们就运用“内部牵制”这一概念。根据《柯氏会计辞典》的解释,内部牵制是指“以提供有效的组织和经营,并防止错误和其他非法业务发生的业务流程设计。”一般来说,内部牵制机能的执行大致可分为四类:实物牵制、机械牵制、体制牵制、簿记牵制。内部牵制是基于两个基本设想:一是两个或两个以上的人或部门无意识地犯同样错误的机会是很小的;二是两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制是内部控制的起始形态,确实有效地减少了错误和舞弊行为。
(二)内部控制二要素阶段
1949年,美国会计师协会(American Institute of Certified Public Accountants,以下简称AICPA)的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中对内部控制作了如下定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”1958年10月该委员会发布的《审计程序公告第29号——独立审计人员评价内部控制的范围》对内部控制进行了重新定义,将内部控制划分为会计控制和管理控制两要素。内部会计控制的方法和程序与财产安全和财物记录可靠性有直接的联系,而内部管理控制主要与经营效率和贯彻管理方针有关,通常只与财务记录有间接关系。这种划分只是从会计角度进行的简单分类,并没有阐明其对内部控制的影响以及要素之间的相互影响和制约关系。
(三)内部控制三要素阶段
20世纪80年代后,西方会计审计界对内部控制研究的重点逐步从一般涵义向具体内容深化。1988年AICPA发布了《审计准则公告第55号——会计报表审计中对内部控制结构的关注》,从1990年起取代1972年发布的《审计准则公告第1号》。该公告首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,并提出内部控制结构包括控制环境、会计制度和控制程序等三个要素。内部控制要素的发展步入结构化、系统化的轨道,不仅将控制环境纳入内部控制的范畴,而且使会计系统较前阶段的内部会计控制更具动态性。
内部控制要素的框架阶段
(一)内部控制五要素阶段
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会等专业组织发布了《内部控制——整体框架》报告, 1996年美国注册会计师协会也发布了《审计准则公告第78号》,并从1997年1月起取代1988年发布的《审计准则公告第55号》,将内部控制的定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:A.财务报告的可靠性;B.经营的效果和效率;C.符合适用的法律和法规”。该准则将内部控制划分为五种要素,即控制环境、风险评估、控制活动、信息与沟通、监督。
内部控制整体框架报告面世后,将内部控制发展为立体框架结构,为建立控制标准奠定了基础, 也为实际应用提供了方便。与早期阶段的内部控制要素及其框架比较,内部控制框架下的五要素将风险评估纳入内部控制系统,并使其由会计系统扩展为信息与沟通,同时强调了对内部控制系统的监督。
(二)本阶段要素框架分析
COSO报告强调了控制环境是内部控制的基础,监督是内部控制得到有效实施的保障。但该报告将五个要素排列在一起,缺乏明确的划分标准,而且把风险评估、控制活动、信息与沟通三个部分分别作为与控制环境和监督同等地位的要素,在一定程度上割裂了彼此间的有机联系。我国财政部于2001年发布了《内部会计控制规范——基本规范(试行)》明确了单位建立和完善内部会计控制体系的基本框架和要求。其整体框架由总则、控制目标和原则、控制内容、控制方法、监督检查等方面构成,对控制活动的规范虽然很具体,但主要是针对会计控制及与会计有关的控制进行的规范,在内容上具有一定的局限性,而且没有将控制环境作为一个独立的构成要素,事实上并未构成完整的内部控制框架。
在《内部会计控制规范——基本规范》试行以后,我国会计理论界掀起了对内部控制研究的热潮,许多专家学者提出了内部控制框架的构想。但大多是从不同的角度或在不同的程度上理解和应用了COSO报告的内容, 是对COSO报告中某些要素进行具体的细化,虽然这些研究对企业内部控制制度的建立和实施具有重要的指导作用,但内部控制的理论框架应具有普遍适应性,不仅要适应于企业,而且要适应于企业以外的其他经济组织。理论框架的重点不是指导一个组织如何设计其内部控制制度,更重要的是要提高组织对内部控制理论的认识,从而能更全面和更广泛地理解和应用理论来加强组织的内部控制。