加载中…内部控制和财务内部控制
(2013-10-31 18:06:52)
标签:
内部控制财务内部控制杂谈 |
分类: 博观原创之理论篇 |
2007年试行的《中央企业财务内部控制评价工作指引》、09年11月由中国电力公开出版并在国家电网公司实施的《国家电网公司财务内部控制手册》,以及今年7月份交通部发布的《交通运输部部属行政事业单位财务管理内部控制评价暂行办法》等这些行政事业单位、中央企业、其它很多企业都在财务管理工作中制订了财务内部控制制度,并都提到了“财务内部控制”或“财务管理内部控制”的概念。既然财政部等五部委曾经颁布过《企业内部控制基本规范》,提出了内部控制的概念,那么财务内部控制的概念到底是什么呢,它与内部控制的概念有什么区别,以及我们在实施的过程中需要注意什么。
从内部控制的理论发展看
从内部控制的理论发展来看,可以分为内部牵制、内部控制制度、内部控制结构、内部控制整合框架、企业风险管理整合框架五个阶段。它是一个企业内部的控制管理不断强化,理论不断丰富和发展的过程。我们可以从五个发展阶段的特点来匹配财务内部控制的概念以及不同于内部控制的特点。
1)内部牵制
20世纪40年代之前,企业内部控制的发展处于萌芽状态,属于内部牵制阶段,《柯氏会计词典》给它下的定义是:“为提供有效的组织和经营,并防止错误和其他非法业务发生而制定的业务流程,其主要特点是以任何个人或部门不能单独控制任何一次或一部分业务权利的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。
内部牵制的内容
因此,内部牵制的核心内容是不相容职务的分离与牵制(不相容职务指的是不能同时由一个人兼任的职务)。我们知道,每项业务的处理都必须经过授权、批准、执行、记录和检查等五个步骤。在不相容职务分离控制下,为达到有效控制的目的,任何部门或个人不能独揽业务处理的全过程,不同步骤应交由不同的部门或人员去完成。换言之,有五项要求。
第一,授权进行某项经济业务的职务与执行该项业务的职务要分离;
第二,执行某项经济业务的职务与批准该项业务的职务要分离;
第三,执行某项经济业务的职务与记录该项业务的职务要分离;
第四,保管某项财产的职务与记录该项财产的职务要分离;
第五,保管与记录某项资产的职务与账实核对的职务要分离等。
由此可见,不相容职务的分离与牵制,即要求记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约。具体实行时,包括四个要点(即:不相容职务分离的四个要点)。
第一,识别不相容职务,即对通常不能由一个人兼任的职务必须有全面的了解,这些职务包括出纳与记账、业务经办与记账、业务经办与业务审批、业务审批与记账、财物保管与记账、业务经办与财物保管、业务操作与业务复核;
第二,合理界定不同职务的职责与权限,只有这样,才能在有关各司其职的前提下,去合理地分离不相容职务,也只有这样,一旦出现问题,才能准确地分清责任;
第三,分离不相容职务,在进行定岗和分工时,注意将不相容职务分离开来,使其相互牵制、相互制约;
第四,必要的保障措施,如物理措施(保险柜、专用钥匙等)或技术措施(网络口令等),定期的岗位轮换等。
一般而言,内部牵制制度的执行可通过以下四种方式进行。无论是哪一种方式的牵制,其立足点在于增设核对点和平衡点,以加强上下、左右的制约。
第一,实物牵制。实物牵制即由两个以上人员共同掌管必要的实物工具,共同完成一定程序的牵制。例如,将保险柜的钥匙交由两个或两个以上的工作人员保管,不同时使用这两把或两把以上的钥匙,保险柜就无法打开,以防止一个人作弊。
第二,机械牵制。机械牵制即只有按照正确的程序操作机械,才能完成一定过程的操作。它采用的是程序牵制。即将单位各项业务的处理过程,用文字说明方式或流程图的方式表示出来,以形成制度,颁发执行。它属典型的事前控制法,即要按牵制的原则进行程序设置,而且要求所有的业务活动都要建立切实可行的办理程序。程序控制的关键是实行以内部牵制为核心的不相容职务分离原则。
第三,体制牵制。体制牵制即为防止错误和舞弊,对于每一项经济业务的处理,都要求有二人或二人以上共同分工负责,以相互牵制,互相制约的机制。这主要通过组织分工来实现。其基本要求是职责分离。它不仅要求划分职责,明确各部门或个人的职责和应有的权限,同时还要规定相互配合与制约的方法。因为,恰当的组织分工是内部牵制最重要、最有效的方法。
第四,簿记牵制。簿记牵制即原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对的牵制。在某种意义上,它也是程序牵制的一个方面。
值得一提的是,内部牵制制度只是对业务活动及有关记录处理的一种程序或制度规定,该制度是否合理,执行效果如何,则应由内部审计去检查、监督与评判。
内部牵制的作用
内部牵制制度的建立主要是基于两个设想:
第一,两个人或两个以上的人或部门无意识地犯同样错误的机会是很小的;
第二,两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。
按照这样的设想,通过内部牵制机制,实现上下牵制,左右制约,相互监督,因而具有查错防弊这个主要功能。所谓的上下牵制,左右制约是指:从纵向看,每项经济业务的处理,至少要经过上下级有关人员之手,使下级受上级监督,上级受下级制约,促使上下级均能忠于职守,不可疏忽大意。从横向看,每项经济业务的处理,至少要经过彼此不相隶属的两个部门的处理,使每一部门工作或记录受另一部门的牵制,不相隶属的不同部门均有完整的记录,使之互相制约,自动检查,防止或减少错误和弊端;同时,通过交叉核对也能及时发现错误和弊病。
2)内部控制制度
20世纪50年代至70年代,内部控制处于发展阶段,被称为内部控制制度阶段。1949年美国注册会计师协会(AICPA)所属的审计程序委员会(CAP)发表了《内部控制——一个协调系统要素和它对于管理层和注册会计师的重要性》首次对内部控制给出了定义:内部控制包括组织计划和所有在企业中被采用的协调方法,目的在于保护财产,检查会计资料是否正确可靠,提高营运效率并且促进管理政策的贯彻。
1958年CAP
内部会计控制制度的基本内容包括内部会计控制体系、会计人员岗位责任制度、账务处理程序制度、内部牵制制度、稽核制度、原始记录管理制度、定额管理制度、计量验收制度、财产保护制度、预算控制制度、财务收支审批制度、成本核算制度和财务会计分析制度。各单位建立哪些内部会计控制制度以及各项内部会计控制制度包括哪些内容,主要取决于单位内部的经营管理需要。不同类型的单位会对内部会计控制制度有不同的选择,如非企业单位往往不需要建立成本核算制度等。
内部管理控制
内部管理控制是指那些对会计业务、会计记录和会计报表的可靠性没有直接影响的内部控制。例如,企业单位的内部人事管理、技术管理等,就属于内部管理控制。内部管理控制由组织的计划和主要与经营效率和坚持经营政策相关、通常只和财务记录间接相关的所有方法和程序组成,一般包括统计分析、工时和操作的研究、业绩报告、雇员的培训计划和质量控制等控制手段。
之所以将内部控制划分为内部会计控制和内部管理控制,是为了划分注册会计师(CPA)审计责任,即注册会计师只负责审查内部会计控制。
3)内部控制结构
进入20世纪80年代以来,内部控制的理论研究又有了新的发展,人们对内部控制的研究重点逐步从一般涵义向具体内容深化。其标志是美国AICPA于1988年5月发布的《审计准则公告第55号》(SAS55)。在公告中,以“内部控制结构”概念取代了“内部控制制度”,并指出:“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。”认为内部控制结构由下列三个要素组成:控制环境、会计系统和控制程序。明确了内部控制结构的三要素的内容。控制环境:所谓控制环境是指对建立、加强或削弱特定政策和程序的效率发生影响的各种因素。主要表现在股东、董事会、经营者及其他员工对内部控制的态度和行为。会计系统:规定各项经济业务的确认、计量、记录、归集、分类、分析和报告的方法。也就是要建立企业内部的会计制度。控制程序:控制程序指管理当局可制定的用以保证达到一定目的的方针和程序。
与以前的内部控制定义相比,内部控制结构有两个特点:一是将内部控制环境纳入内部控制的范畴,二是不再区分会计控制和管理控制。至此,在企业管理实践中产生的内部控制活动,经过审计人员的理论总结,已经完成从实践到理论的升华。
4)内部控制整合框架
1992年,由美国会计学会、注册会计师协会、美国内部审计师协会、财务经理人员协会和管理会计师协会等组织成立的专门研究内部控制问题的美国虚假财务报告全国委员会的后援组织委员会(Committee Of Sponsoring Organization of the Tread way Committee.简称COSO委员会)发布了指导内部控制的纲领性文件COSO报告——内部控制整体框架,并于1994年进行了增补,这份报告堪称内部控制发展史上的又一里程碑。
COSO报告指出,内部控制是由公司董事会、管理层和其他员工实施的,为实现经营的效果性和效率性、财务报告的可靠性以及适用法律法规的遵循性等目标提供合理保证的一个过程。(一个定义)。内部控制的根本目的是防范风险。根据COSO委员会的这一定义,内部控制是为达到目标提供合理保证而设计的过程。具体来说,是为了达到提供可靠财务报告、遵循法律法规和提高经营效率效果等目标(三个目标)。COSO提出了企业内部控制的整体框架,在COSO内部控制框架中,管理层需要履行的职责包括5个步骤或要素:控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息与沟通(Information and communication)和监控(Monitoring)。(五个要素)
控制环境。控制环境作为内部控制整体框架中所有构成要素的基础,为内部控制提供了前提和结构。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统做出承诺。控制环境决定了企业的基调,直接影响企业员工的控制意识。
风险评估。风险评估是确定和分析目标实现过程中的风险,并为决定如何对风险进行管理提供基础。这一环节是COSO内部控制整体框架的独特之处。把风险评估作为要素引入到内控领域,这是第一次。在风险评估过程中,管理层识别并分析实现其目标过程中所面临的风险,从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前,识别那些重大的风险,并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后,审计师对这一风险评估过程进行评价。
控制活动。控制活动是指确保管理层的指令得以实现的机制,包括那些被识别能够缓和风险的活动。控制活动存在于组织的所有层面及组织所有的功能中,如核准、授权、验证、调节、复核经营绩效、保障资产安全、职务分工及信息系统等。
信息与沟通。信息是指员工能够获得其工作中所需要的信息,是确保员工履行职责的必要条件。沟通是各级人员接收最高管理层关于控制责任的指令方式和他们对待内部控制的严肃程度,包括信息向上的、向下的、横向的、在组织内外自由的流动。在企业运行和目标实现过程中,组织的各个层面都需要一系列包括来自企业内部和企业外部的财务和运营信息。信息系统对战略行动提供支持,并融入到经营活动中。
监督。监督是由实时评价内部控制执行质量的程序组成的,这一程序包括持续监督、独立评价,或者是二者的综合。独立评价的范围和频率取决于所评估的风险程度,内部控制系统需要被监督,监督能够确保内部控制的有效运行。控制的监督要素包括经理人员日常的监督,审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行。
COSO将内部控制要素以一个金字塔结构提出,其中控制环境作为金字塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于最顶端。内部控制各要素之间的关系如图1—1所示:
http://s9/mw690/d6a869e1gx6DsLf9DbGb8&690
图1表明:五大要素中,控制环境是基础,是其余要素发挥作用的前提条件。如果没有一个有效的控制环境,其余四个要素无论其质量如何,都不可能形成有效的内部控制。风险评估、控制活动、信息与沟通是整个控制框架的组成要素,监督则是对另四个要素所进行的持续不间断的检验和再控制。
内部控制理论——COSO报告的出台,引起了世界会计学界的广泛研究兴趣,加深了各界对内部控制认识的重要性,基本上统一了业界的认识,这对人们进行企业内部控制的研究极具时代意义。
COSO报告对我国的会计理论和会计实务方面都具有重大的启示和借鉴意义。在理论方面的启示,首先体现在我国各级会计人员必须加深对内部控制的认识,内部会计控制是内部控制的核心组成部分,必须转变原有过时的内部会计控制观念和思想,以便更好地促进企业内部控制管理,使内部会计控制思想得到企业各个阶层的自觉遵守,“软控制”在企业中得到生根发芽,这是企业管理中最为推崇和有效的控制方法。在实务方面的启示,我国应吸收COSO报告的研究成果,对我国企业的内部会计的控制环境、控制过程和风险评估等进行重新审视并加以完善和提高,以便建立一套更适合我国企业的内部控制办法。
5)企业风险管理整合框架
企业风险管理架构在1992年COSO报告的基础上,结合《萨班斯-奥克斯法案》在财务报告方面的要求,进行了扩展研究。COSO对风险管理框架的定义是:“企业风险管理是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目标的实现提供合理的保证”。
与1992年COSO报告提出的内部控制整体架构相比,企业风险管理架构增加了一个观念、一个目标、两个概念和三个要素,即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。
提出了一个新的观念——风险组合观
企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可以超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。
增加了一类目标——战略目标,并扩大了报告目标的范畴
内部控制架构将企业的目标分为经营、财务报告和合规性三类目标。企业风险管理架构也包含三个类似的目标,但是其中只有两个目标与内部控制架构中的定义相同,财务报告目标的界定则有所区别。内部控制架构中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理架构中报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告,既包括内部报告,也包括外部报告;包括企业内部管理者使用的报告,也包括向外部提供的报告;包括法定报告,也包括向其他利益相关者提供的非法定报告;既包括财务信息,也包括非财务信息。此外,企业风险管理架构比内部控制架构增加了一类新的目标—战略目标。该目标的层次比其他三个目标更高。企业的风险管理在应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
提出了两个新概念——“风险偏好”和“风险容忍度”
从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来。风险容忍度的概念是建立在风险偏好概念基础上的,是指在企业目标实现的过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现的差异的可容忍限度。在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大
企业风险管理架构新增了三个风险管理要素:“目标制定”、“事项识别”和“风险反应”。此外,风险管理架构更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。在控制环境要素上,企业风险管理架构将“控制环境”扩展为“内部环境”,更加直接、广泛地关注风险是如何影响企业的风险文化。在风险评估方面,企业风险管理架构建议从固有风险和残存风险的角度来看待风险;还要求注意相互关联的风险,确定一件单一的事项如何为企业带来多重的风险。在信息与沟通方面,企业风险管理架构扩大了企业信息和沟通的构成内容,认为企业的信息应包括来自过去、现在和未来潜在事项的数据。
总的来讲,新的架构强调在整个企业范围内识别和管理风险的重要性。COSO委员会强调风险管理框架必须和内部控制框架相一致,把内部控制目标和要素整合到企业全面风险管理过程中。因此,风险管理框架是对内部控制框架的扩展和延伸,它涵盖了内部控制,并且比内部控制更完整、有效。
从内部牵制、内部控制制度、内部控制结构、内部控制整合框架、企业风险管理整合框架的定义、特点来说,财务内部控制应该属于内部控制的范畴,但是就范围来说要比内部控制的要来的小。因为如果财务内部控制与内部控制制度阶段比较来说,财务内部控制不仅包括内部会计控制和内部管理控制,它也强调控制环境、风险评估等。而与内部控制结构来说,财务内部控制不仅包括控制环境、会计系统和控制程序,在实践过程中风险评估、监督等从管理的角度来说可能更加的重要。
从相关的文件方面看
财政部2001年发布的《内部会计控制规范》基本规范及具体规范,其目的是为了资产的安全以及财务记录的准确可靠,在内容上包括了货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。因此,它不仅仅是财务内部控制的基础,也是内部控制的基础。
《中央企业财务内部控制评价工作指引》主要内容包括货币资金、应收和预付款项、存货、固定资产、无形资产、在建工程、成本费用、采购、销售、投资等,它扩展了《内部会计控制规范》的要求,不仅要求制度设计的健全性和合理性,而且还要求制度执行的有效性,这就要求对内部会计控制的管理控制。并且既然财务内部控制有评价指引,与内部控制的一样,那么整个财务内部控制体系也应该与内部控制一样。但是评价的内容与范围要小很多,财务内部控制的评价并没有组织架构、发展战略、人力资源、企业文化、社会责任等内部环境的评价,也没有风险评估等评价。因此,从整体上财务内部控制的评价仅仅限于财务的范围,并没有从控制环境和风险的角度出发,它是一种被动的、消极的、狭义的内部控制。
从财务内部控制的实践来看,国家电网公司“财务内部控制操作指南是对公司有效执行内部控制规范做出的具体规定和详细说明。财务内部控制操作指南按照公司财务不同业务将财务内部控制划分为13项具体内容”。从这里我们很明显的看出,财务内部控制是根据内部控制规范做出的且范围限制在公司财务的不同业务。而且它以业务流程为线索,以财务部业务中的风险点为起点,通过设计应对风险的控制点,完善财务内部控制建设。国家电网公司对于内部控制规范中规定的内部环境甚少提及或是在其它体系建设中完善。
总结
作者:丁佳年杭州博观企业管理咨询有限公司
喜欢
0
赠金笔