书城管理审计理论与案例
9031200000037

第37章 内部控制(4)

主要包括以下八个方面。(1)不相容职务相互分离控制。要求单位按照不相容职务相分离的原则,合理设置会计及相关工作岗位,明确职责权限,形成相互制衡机制。不相容职务主要包括授权批准、业务经办、会计记录、财产保管、稽核检查等职务。(2)授权批准控制。要求单位明确规定涉及会计及相关工作的授权批准的范围、权限、程序、责任等内容,单位内部的各级管理层必须在授权范围内行使职权和承担责任,经办人员也必须在授权范围内办理业务。(3)会计系统控制。要求单位依据《会计法》和国家统一的会计制度,制定适合本单位的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,建立和完善会计档案保管和会计工作交接办法,实行会计人员岗位责任制,充分发挥会计的监督职能。(4)预算控制。要求单位加强预算编制、执行、分析、考核等环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。预算内资金实行责任人限额审批,限额以上资金实行集体审批。严格控制无预算的资金支出。(5)财产保全控制。要求单位限制未经授权的人员对财产的直接接触,采取定期盘点、财产记录、账实核对、财产保险等措施,确保各种财产的安全完整。(6)风险控制。要求单位树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估、风险分析、风险报告等措施,对财务风险和经营风险进行全面防范和控制。(7)内部报告控制。要求单位建立和完善内部报告制度,全面反映经济活动情况,及时提供业务活动中的重要信息,增强内部管理的时效性和针对性。(8)电子信息技术控制。要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施;同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制。

企事业单位应当重视内部会计控制的监督检查工作,由专门机构或者指定专门人员具体负责内部会计控制执行情况的监督检查,确保内部会计控制的贯彻实施。内部会计控制检查的主要职责是:对内部会计控制的执行情况进行检查和评价;写出检查报告,对涉及会计工作的各项经济业务、内部机构和岗位在内部控制上存在的缺陷提出改进建议;对执行内部会计控制成效显著的内部机构和人员提出表彰建议,对违反内部会计控制的内部机构和人员提出处理意见。单位可以聘请中介机构或相关专业人员对本单位内部会计控制的建立健全及有效实施进行评价,接受委托的中介机构或相关专业人员应当对委托单位内部会计控制中的重大缺陷提出书面报告。

COSO之外的其他内部控制概念框架

一、CoCo的内部控制准则

CoCo偏爱使用控制一词而不是COSO所使用的内部控制一词,这是两者实质性的区别。与COSO相比,CoCo1995年的指南是一种更为广泛的概念化方法。COSO有意忽略的目标设定、战略计划、风险管理和纠错行动等管理活动,CoCo则将其作为控制概念的一部分。为什么CoCo决定扩展COSO精心构思的范围呢?也许只是因为它不能找到排除这些活动的合理的概念基础。COSO的做法可能的解释是要消除两难境地——在审计师被要求独立检查财务报告内部控制的情况下,不得不评估与财务报表检查相联系的这些活动。如果公开披露财务报告内部控制的效果,读者就可以推断管理层和会计师已经把他们的目标设定、战略计划、风险管理等管理活动判断为有效。当不佳的经营业绩和/或企业破产事后表明这些推断错误的时候,会计师就面临代价高昂的被起诉的危险。COSO框架制定期间,美国对会计师事务所的起诉次数空前的多,很有可能是在COSO中处于支配地位的公众会计师的责任考虑对框架制定产生了影响。而加拿大的法律环境不像美国那样,辩护律师轻率的起诉在加拿大不容易成功。另外,COSO和CoCo的效果概念也有区别。COSO没有提供任何关于效果的具体准则,而CoCo制定了一套20条可以用于评估具体内部控制目标的具体准则。CoCo认为,这些准则使得评估能够针对具体控制目标而不是目标类型进行。20条准则可以用于任何具体目标的这种想法使人们能够利用它们评估内部控制的任何方面。管理层或者实施评估的其他人可以根据他们的目标自主决定评估的范围。这种灵活性解释了为什么CoCo不像COSO那样提供人为的概念性限制。

CoCo准则分为以下四种类型:(1)目标:有关组织管理的准则;(2)解释:有关身份和道德标准的准则;(3)能力:有关能力的准则;(4)监督和学习:有关组织发展的准则。CoCo对这些类型的看法是它们以循环的方式彼此相关,也反映了控制过程是连续的。目标导致有能力的人全力以赴地根据流程采取行动。监督和学习是为了保证组织在正确的轨迹上发展和评估业绩,以便在必要时重新设置目标。

CoCo更精确地反映了企业实际组织和运行的方式,把有效控制简单地定义为使组织可靠地实现目标,如果控制能够为组织实现目标提供合理保证,那么控制就是有效的。CoCo把控制看作是组织的要素,包括组织的资源、系统、流程、结构和任务,这些要素组合到一起能够支持人们实现组织目标。CoCo很可能也意识到,如果不采取措施使得它和COSO框架相对应,它就不能发布它的概念观点。实际上,CoCo发现超越COSO框架是有必要的,而且,CoCo是足够明智的,它提供了一条回到COSO框架的路径。CoCo准则和COSO的接近性意味着,它包含了一些相同的概念性内容,如成本收益考虑、错误的判断、人类的错误和管理层的蔑视,这些都使得不可能制定和实施一种能够绝对保证实现控制目标的控制,这些内容易于限制它用于控制评估目的。CoCo讨论风险的概念时,包含了一些COSO框架中没有的评论。它认为下面两点对组织的生存和成功是很重要的:维持组织识别和利用机会的能力,维持组织的适应性——应对和适应未预期到的风险和机会的能力和在缺乏确定信息时根据警示信号做决策的能力。CoCo认识到成功地追求机会的能力和必要时灵活快速做出反应的能力对组织的发展是极其重要的。的确,控制的这个方面的重要性高于其他方面,这显示出CoCo是富有洞察力的。相反,将风险披露降低或保持在可以忍受的水平方面需要花费的时间和精力就要少得多。

二、马尔科姆·鲍尔里治国家质量奖(MBNQA)准则

从20世纪70年代开始,国际贸易和国际商务的发展使得全球的公司为获得市场优势而展开激烈的竞争,一个重要的表现就是质量运动的出现。全质量成为了获得和保持竞争优势的工具。1987年,美国设立了马尔科姆·鲍尔里治(已故的里根政府商务部长的名字)国家质量奖。由于质量渗透到组织的各个部分,它和内部控制很相似。

MBNQA准则首先于1988年制定并出版。初期的准则是方法导向的,着重强调了客户满意,给各种质量过程赋予了超过适当比例的权重,而给那些过程的结果赋予的权重过低。随着评奖经验的积累,准则强调的重点发生了变化,给经营结果赋予了更高的权重,在客户满意和经营业绩之间取得了更好的平衡。MBNQA准则的基础是这么一个信念:较好的经营结果大多是可以通过以下各项来获得:(1)所涉及的领导的一致奉献;(2)存在和实施一个制定和部署战略指示的过程,这些战略指示可以转化为行动计划;(3)一种判断客户要求和预期的工作方法以及判断客户满意度的工具;(4)普遍运用财务的和非财务的信息和数据来分析业绩;(5)开发和利用人力资源的技巧;(6)为实现更好的业绩制定、管理和改进关键过程的方法;(7)诸如客户满意度、财务和市场业绩、人力资源、供应商和合伙人业绩、工作业绩等关键经营领域的结果。准则鼓励关注流程管理、测度和指标、高业绩的工作、循环时间、行动计划、生产率、工作结果和关注客户。准则具有足够的弹性,事实上任何组织单位或组织单位的联合体都可以使用。现在使用的准则和企业如何经营以及如何实现较好的结果结合得更为紧密。从长期来看,那些使用了和该准则更一致的方法的组织更有可能获得长期的高绩效。

MBNQA准则没有对内部控制按目标进行分类,任何COSO类型目标应用它的准则都是可以接受的。例如,考虑遵守法律和规章类型的内部控制,根据MBNQA准则,任何管制机构都相当于一个客户,由于客户满意是准则的一个主要目标,遵守到客户满意的水平就是目标。在美国,对质量兴趣的高涨表现为越来越多的公司使用MBNQA准则,这种情况主要发生在COSO出版其框架之后,但却在CoCo完成其工作之前,也许CoCo意识到了MBNQA准则的优越性,CoCo指南在概念上接近MBNQA准则的程度要比接近COSO框架的程度高得多。

三、IASB的内部控制框架

IIA的内部审计标准委员会(IASB)1983年发布了第1期内部审计标准声明(SIAS),主题就是内部控制。IASB颁布的标准致力于确定内部审计业务应该是什么,而不是内部审计业务是什么的问题。标准的力量和IIA的成员接受准则的自愿程度近似,没有任何法律或规章强制性要求内部审计从业者遵守标准。美国大公司的内部审计部门中应用这些标准的比例很高。

IIA的IASB于1978年发布了一套标准,包括5条通用标准和25条具体标准,其中内部控制概念在标准300.05中得到阐述。它宣称内部控制的主要目标是确保以下事项:(1)信息的可靠性和完整性;(2)遵守政策、计划、程序、法律和规章;(3)保障资产;(4)经济而有效地使用资源;(5)实现既定经营或计划的目标和目的。1983年,IASB发布了第1期SIAS,主题是“控制:概念和责任”。IASB首先提供内部控制指南并不令人奇怪,因为评估组织的内部控制被看作是内部审计的主要责任。第1期SIAS宣称,内部控制的范围应该包括对组织内部控制系统的适当性和效果以及执行指定任务的质量进行检查和评估。IASB认为内部控制主要是与外部审计师感兴趣的更为狭隘的那部分控制相联系,而控制一词更能反映广泛的兴趣范围和管理层责任。第1期SIAS的基本概念包括:

(1)为实现既定目标和目的提供合理保证,管理层要制订计划、合理组织和提供指导;(2)内部审计师检查和评估计划、组织和指导过程,以判断是否存在实现既定目标和目的保证;(3)外部审计师评估与他们审查财务报表的检查相联系的内部会计控制;(4)审计委员会对内部和外部审计结果负有监督责任;(5)董事会对管理层有监督责任。

第1期SIAS提供了根据标准300对已有指南的解释,并且提供了新指南。对于适当的控制,它意味着管理层计划和组织的方式能够合理保证组织的目标和目的将有效而经济地实现。当采取行动把偏差限制到一个可以忍受的水平时就能够提供合理保证了。当管理层为了给实现组织目标和目的提供合理保证而指导系统时,有效的控制就已经存在了。IASB把控制的适当性和管理层的计划、组织活动联系在一起,它认为管理层的计划和组织活动就相当于设计。有效的控制和管理层的指导活动相联系。适当的控制不一定有效,而不适当的控制却有可能有效。IASB致力于将它的工作的范围尽可能扩大。它把控制看作是管理层为增加实现既定目标和目的的可能性而采取的任何行动。在SIAS之前,关于管理理论的著作一般只把控制列为管理层活动的一个方面。例如,经典的管理理论早期的基础是HenruFayol建立的,他把管理活动划分为一个功能序列:计划,组织,指导和控制。他还提出了14条管理原则,包括工作分工,权力和责任,纪律,命令的统一,指挥的统一,个人利益服从集体利益,人员的报酬,集权化,阶层链,秩序,公平,稳定性,首创精神,团体精神。通过把计划和组织与内部控制设计的适当性相联系,把指导与内部控制实施的效果相联系,IASB把控制一词的概念基础扩大到包含计划、组织和指导的范围,超越了经典的管理理论,内部审计的范围就扩大到管理活动的全部领域。

第1期SIAS的概念基础可以总结如下:(1)控制可以根据它是预防性的(设计用于阻止不合意的行为)还是检测性的(设计用于发现那些已经发生的不合意行为并消除其影响)进行分类;(2)控制一词包含其所有变体,如管理控制、经营控制、内部控制等;(3)控制可以存在于组织内部(如组织的内部过程)也可以存在于组织外部(如政府机构施加的法律和规章),包含了内部控制和外部控制;(4)全面的控制系统就是用于实现目标和目的的控制系统的综合。