企业内部控制评价体系的构建:理论与实践
[摘 要] 内部控制评价体系是对内部控制执行有效性的检验,是对企业内部各组织机构内部控制执行过程的监控,是完善企业内部控制制度并保证其有效实施的重要手段。目前国内内部控制评价实践多受限于审计实务。本文简要介绍内部控制评价在国内外发展的情况,分析内部控制评价研究、实务的现状和问题,探讨基于业务流程和控制点建立的内部控制评价体系,并以存货管理为例加以说明。最后,结合重庆移动公司的实践经验探讨如何建立和完善内部控制评价体系。
[关键词] 内部控制;评价体系;业务流程
0 引 言
近几年,随着一些国内大型企业走出国门和在国外上市,这些企业的一些管理问题表现得越来越突出,如何建立和健全公司治理结构、优化内部控制、促进企业资源的有效利用、避免舞弊和浪费,已成为当前全社会面临的重大课题。安然、世通等一系列超大型企业陆续暴露出的财务丑闻和国内上市公司舞弊案的层出不穷,更使大家认识到,只有建立一套完整的监督和控制系统,才能彻底解决舞弊、和管理不当问题。另一方面,随着市场化的日益深入,市场竞争越来越激烈,企业内外部环境都处于不断的快速变化之中,这种变化给企业的经营管理带来了巨大的风险。长期以来,中国的企业管理者普遍缺乏风险意识,忽视企业内部控制系统和风险管理机制的建设。最近一项关于中国企业的调研报告指出,中国企业目前呈现的健康状态是一种“脆弱”的健康,因为,在它们体现的灵活性等健康特征背后,风险管理机制和专业治理架构的缺位将会使企业的健康难以持续。完善企业内部控制制度,保护投资者合法权益,将会有力地推动现代企业的科学化管理,从而使企业在日益激烈的市场竞争中长期健康地发展。
同时,内部控制制度也引起了学术界和部门的关注,在借鉴国外先进经验、学术界的一些研究成果以及在主管部门颁布规章的引导下,国内许多企业正致力于加强自身的内部控制建设,以此作为提升企业管理水平和经营绩效、建立现代企业制度的重要途径。
1关于内部控制评价的研究
1.1 内部控制评价的演进
对于内部控制评价,较早的比较系统的研究来自于审计领域。1934年美国《证券交易法》首先提出“内部会计控制” 的概念,要求证券发行人应设计并维护一套能为投资人提供合理保证的会计信息的内部会计控制系统。1953年10月,美国审计程序委员会又发布了《审计程序公告第19号》,对内部控制作了如下划分:“广义地说,内部控制按其热点可以划分为会计控制和管理控制。①会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度,记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。②管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系,包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等”。1936年美国注册会计师协会又发布《注册会计师对财务报告审查》文告,首次提出审计师在制定审计程序时,应考虑的一个重要因素是审查企业的内部牵制和控制。1939年10月美国注册会计师协会的审计程序委员公布了《审计程序文告第1号》,在修改的标准化审计报告中首次增加了对内部控制审查的内容,以后又在多个文件与法令中多次明确了以内部控制为基础的审计程序。自这一时期开始,账表导向审计逐渐为制度基础审计所取代,内部控制评价也随之成为审计的组成部分和重要特征。但戴彦(2006)研究认为:“当时无论在审计文献中还是在其他管理著作中,均没有关于内部控制概念的权威性定义”。
直到1949年,美国注册会计师协会的审计程序委员会在《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》报告中,对内部控制首次做出了权威定义:“内部控制是企业所制定的旨在保护企业资产、保证会计信息可靠性和准确性、提高经营效率及推动管理部门所制定的各项得以贯彻执行的组织计划和相互配套的各种方法及措施”。这个定义强调“内部控制不只限于与会计和财务部门直接有关的控制,还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制订培训计划以培训有关人员使其能够履行职责,以及设立内部审计部门以保证管理部门所制定的各种程序的准确性,并保证其得到贯彻执行等内容。这一定义及其解释的发布,当时被普遍认为是对内部控制这一重要概念的重大贡献”。
1988年4月美国注册会计师协会发布的《审计准则公告第55号》,规定从1990年1月起以该文告取代1972年发布的(审计准则公告第1号)。该文告首次以内部控制结构一词取代原有的“内部控制”一词,而且文告提出的内部控制内容比以前更为实在,条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。1992年,美国COSO委员会发布报告《内部控制——整体框架》,报告构建了由3个目标和5项要素组成的内部控制新框架。该框架的发布和广泛采用标志着内部控制开始在理论上和实务上走出审计范畴,而成为企业整个管理体系的有机组成部分,同时该框架也可为企业内部控制评价提供指导。在COSO框架的影响下,美国内部控制评审准则已对内部控制的定义做出修正。有关研究认为:“近年来,制度基础审计的主导地位已开始让位于风险导向审计,但内部控制评价仍是审计的核心环节,其技术方法依旧在审计体系内演进和发展。审计领域中,内部控制评价程序可作如下概括:通过对控制系统的了解和记录,
初步认定控制风险的高低;然后对拟依赖的全部或部分内部控制程序进行符合性测试,测试它们的有效程度;最后在符合性测试的基础上,对控制风险进行再评估,从而确定实质性测试的范围”。
2000年之后,在美国,安然、世通等一系列会计丑闻最终导致了《萨班斯—奥克斯利法案》(简称SOX法案)的出台,其中103、302和404条款使得管理层内部控制评价、财务报告内部控制审计“一夜之间”成为监管机构、公众公司、中介机构等关注的焦点。依法案成立的公众公司会计监察委员会(PCAOB)于2004年6月颁布了审计准则第2号,以具体指导“与财务报告审计协同进行的对财务报告内部控制的审计”。该准则中,相关的执行和报告指引正基于COSO框架。总之,当前无论对于COSO框架,还是财务报告内部控制评价和审计,所关注的范围早已超出了审计职业界。
1.2我国内部控制评价体系的发展
我国内部控制理论的研究是伴随着我国的审计事业的发展而逐步发展起来的,起步比较晚,直到20世纪80年代,学术界才开始了这一领域的探索和研究。阎达五、杨有红(2001)将内部控制框架与公司治理机制结合起来,认为内部控制外延的拓展是由公司治理机制变化所导致的。因此建议采取双管齐下和分两步走的战略建立内部控制框架,认为首先要在组织机构设置和人员配置方面做到董事长和总经理分设、董事会和总经理班子分设,避免人员重叠;特别强调董事会在公司管理中的核心地位,认为董事会应该对公司内部控制的建立、完善和有效运行负责。朱荣恩(2002)研究认为,内部控制评审是现代审计的基础,并从了解、测试和评价3个阶段内部控制的过程做了原则性的阐述。同时,介绍了文字概述、编制系统流程图、填制内部控制调查表3种常见的描述被审计单位内部控制的基本方法;从询问、审阅证据、实地观察、重复执行、计算机辅助审计技术等方面进行内部控制的测试;并将控制风险的评估与财务报表的认定联系在一起进行了简单的阐述。吴水澎(2000)运用COSO报告的标准与评价方法,引出改进我国企业内部控制的几点思考:可从两方面入手,其一是由权威部门制定内部控制的标准体系,其二是对企业内部控制的审计作出强制性的安排,做到两者并举。认为建立一套完备的内部控制标准体系,作为企业管理行为的规范标准,是达成内部控制目标的重要条件。建立内部控制标准体系有利于统一看法,更新观念。应建立一套如COSO报告那样内涵与外延统一、可操作性强的内部控制标准体系,并发布准则或提出指南,使企业管理当局或注册会计师等有据可依、有章可循。潘秀丽(2001)认为,需要尽快制定内部控制评价规范,以便改善企业内部控制现状,完善内部控制信息的披露,保护投资者的合法权益,使资本市场有效运行,有效地对内部控制进行评价。为改善企业内部控制普遍薄弱的现状,应在规范公司治理结构的同时规范公司的内部控制,并明确管理当局对企业内部控制应承担的责任,使其真正意识到内部控制的重要性,而不是仅仅为了达到上市筹集资金或维持上市资格所做的一种形式上的包装,将内部控制相关规范的制定作为完善公司治理及国有企业改革的重大举措,对内部控制的定位非常关键。此外还有田志刚 等(2003)、刘志远 等(2001)探讨现代管理信息系统内部控制的特征及其功能实现;杨雄胜(2005)、张砚(2005)强调立足于管理控制口径开展内部控制研究,等等。
