一、内部控制不同阶段
内部控制是组织为了控制资源,实现管理目标而自发的一种管理行为和方式。内部控制的概念是审计人员为了提高审计效率,降低审计成本,从组织已有的内部管理中概括出来的;内部控制理论研究的发起者也是审计人员,因此多数内部控制是从注册会计师执行内部控制审核的角度定义的,内部控制理论的发展也与审计密切相关。理论上认为内部控制经历了四个阶段:内部牵制、内部控制制度、内部控制结构和内部控制整体框架。
内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,主要目的是确保账目正确无误。内部控制制度思想认为内部控制应分为内部会计控制与内部管理控制两个部分。前者的目的是保护资产、检查会计数据的准确性与可靠性;后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。以上两个阶段是从目标、控制措施方面对内部控制进行的定义。由于第二个阶段扩大了内部控制的范围,导致第三阶段必须从更高、更系统的角度定义内部控制。所以第三阶段以内部控制结构取代了内部控制制度。内部控制结构的概念认为,“内部控制结构包括为合理保证组织特定目标的实现而建立的各种政策和程序”,并明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。第四阶段则进一步系统地整合了内部控制结构的概念,提出内部控制整体框架,认为内部控制是由董事会、经理阶层和其他员工实施的,为营运的效率性和效果性、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程,其构成要素来源于管理阶层经营组织的方式,并与管理过程相结合,具体包括:控制环境、风险评估、控制活动、信息和沟通、监督五个部分,每个组成要素适用于所有的目标类别,每一个组成要素与每一个目标都相关。
从内部控制发展过程,我们可以看出:
1、内部控制从狭义内部控制逐步发展为广义内部控制。狭义内部控制指与会计有关的部分,主要用以保证财务报告的可靠性,例如会计人员关注的内部会计监督制度,审计人员所关注的内部会计控制制度等。广义内部控制除以上内容外,还包括与保证经营活动效率有关的部分,即组织管理当局所关注的内部控制,如董事会的设立、管理者的素质、企业文化等。由于内部控制的概念是审计人员提出的,因此第一阶段内部控制的措施是会计的方法,如账目核对。岗位分离也是指会计岗位的分离,控制目的则是以保证账目正确无误为主。而内部控制是伴随着组织的形成而产生的,它是组织中内生的,并不是外部管制、规范的要求和审计等外力催生的,不可避免地从第二阶段开始,内部控制就涉及到了内部管理控制的内容。尽管从审计角度看该定义范围过于宽泛,使该定义有争议,但第三阶段也只是从内部控制结构方面定义内部控制,并没有调整内部控制的范围。内部控制的最新发展:COSO定义,不仅进一步扩大了内部控制的范围,包括了控制环境、风险评估等内容,而且将前期处于分离的内部会计控制与内部管理控制用结构,系统的方式整合在一起。甚至强调内部控制与管理过程的结合,揉合了管理与控制的界限。
2、内部控制的控制对象、控制方法、研究方法从简单到复杂,定义从一般到具体。早期内部控制,以账、钱,物为控制对象,后期则以业务过程、管理过程、信息过程等为控制对象。早期内部控制以岗位的内部牵制为主,到后期尽管内部牵制仍为主要手段,但它还涉及到更多的控制程序、控制方法(如风险评估、信息与沟通),并从会计、审计层次的研究上升到制度、组织协调、系统等角度的研究。从一般到具体表现为早期内部控制的定义是从控制内容、控制目的入手,侧重于控制目的的表述。在第二阶段对内部控制的目的取得一致看法(即包括会计方面的目的与管理方面的目的)后,后期对内部控制的定义除了对目的、内容进行说明外,更多地是从内部控制的结构、框架等方面进行具体表述。
3、IT统一了内部控制实践与理论,整合了内部控制各个部分。内部控制定义的发展,一方面是由于审计对象的发展促使内部控制定义变化,另一方面则是由于管理实践与理论的发展引起的。两个方面中,IT的作用都是不可忽视的。IT在组织整个价值链中的深入应用,使组织的业务过程、管理过程有机地整合在一起,将内部控制的理论、方法与组织的管理实践有机结合在一起,使内部控制实践与理论殊途同归。 IT在组织管理、会计、审计中的全面应用,使组织从物质流、资金流、人才流中分离出了以处理信息流为主的信息系统。该信息系统从分散、零散的状态变为集中、系统状态,并将内部控制的各个部分整合在一起。在COSO的定义中,信息与沟通的主要对象与工具就是以IT为基础的信息系统。
二、内部控制与组织模型
控制是指根据系统的目标,对系统进行调节以克服系统的不确定性,使之达到所需要状态的活动和过程。在此定义中,系统需要达到的状态为系统目标即控制目标;为实现控制目标采取措施的实施者为控制主体;影响系统不能达到目标的因素、控制实施的范围则是控制客体;控制主体所采取的作用于控制客体的方法是控制手段。在整个控制过程中,依靠信息沟通渠道进行控制主体与控制客体之间的信息交流。笔者认为,内部控制是控制主体与控制客体处于同一系统时的控制。
组织是一个稳定、正式的社会结构,它从环境中利用资源并将其加工成产品又输出给环境。组织是一个权利、特权、责任、义务的集合,其中诸方面在一定时期通过冲突及其解决而达到微妙的平衡。从系统的角度看组织是一个系统,其模型如下:组织的特定目标是创造价值,任何组织都由一系列相关的、相互联系的三个过程组成。一是业务过程。用来提供商品和服务,业务过程至少有三种类型:获取/支付过程,转换过程,销售/收款过程。二是管理过程。由组织领导负责,管理对象是业务过程,管理活动主要有计划、执行、控制和评价等。三是信息过程。管理的中心是决策,决策需要信息,因此需要信息系统。信息系统具有如下活动:记录与业务活动相关的数据,维护和保持与组织相关的和最新的数据,报告对执行、控制和评价业务过程有用的信息,这些活动构成信息过程。
业务过程与向客户提供商品和服务直接相关,管理人员从信息系统获得的信息可以辅助他们管理业务过程,他们对每个业务过程的计划、执行、控制和评价做出决策,信息系统通过信息过程来提供对这些决策有用的信息。当组织的业务和管理过程变化时,信息过程也必须跟着变化。当业务过程、信息过程和管理过程融为一体时,组织完成其目标的可能性大大增强。组织的内部控制是使以上三个过程融为一体,使组织不会处于不协调和无效状态的基本方法。影响组织完成其目标的因素很多:成本过高,技术不可靠,生产的产品不符合市场需求,经济环境不好,战争等宏观与微观的原因。为了使组织完成其目标,创造价值,需要各种控制措施,使以上三个过程处于平衡。由于组织是社会中的一种组成元素,对它的外部控制主要通过对其环境(社会)产生影响而进行,这主要靠国家政策、制度等宏观政策来进行调控。组织的内部控制则是使组织在同样的外部环境中更好、更快地达到目标的主要途径。由于系统具有层次性,组织的内部控制也具有层次,也正是这种层次性导致了内部控制的不同视图。