一、内部控制不同阶段
内部控制是组织为了控制资源,实现管理目标而自发的一种管理行为和方式。内部控制的概念是审计人员为了提高审计效率,降低审计成本,从组织已有的内部管理中概括出来的;内部控制理论研究的发起者也是审计人员,因此多数内部控制是从注册会计师执行内部控制审核的角度定义的,内部控制理论的发展也与审计密切相关。理论上认为内部控制经历了四个阶段:内部牵制、内部控制制度、内部控制结构和内部控制整体框架。
内部牵制思想以账目间的相互核对为主要内容并实施岗位分离,主要目的是确保账目正确无误。内部控制制度思想认为内部控制应分为内部会计控制与内部管理控制两个部分。前者的目的是保护资产、检查会计数据的准确性与可靠性;后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。以上两个阶段是从目标、控制措施方面对内部控制进行的定义。由于第二个阶段扩大了内部控制的范围,导致第三阶段必须从更高、更系统的角度定义内部控制。所以第三阶段以内部控制结构取代了内部控制制度。内部控制结构的概念认为,“内部控制结构包括为合理保证组织特定目标的实现而建立的各种政策和程序”,并明确了内部控制结构的内容为控制环境、会计制度和控制程序三个方面。第四阶段则进一步系统地整合了内部控制结构的概念,提出内部控制整体框架,认为内部控制是由董事会、经理阶层和其他员工实施的,为营运的效率性和效果性、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程,其构成要素来源于管理阶层经营组织的方式,并与管理过程相结合,具体包括:控制环境、风险评估、控制活动、信息和沟通、监督五个部分,每个组成要素适用于所有的目标类别,每一个组成要素与每一个目标都相关。
从内部控制发展过程,我们可以看出:
1、内部控制从狭义内部控制逐步发展为广义内部控制。狭义内部控制指与会计有关的部分,主要用以保证财务报告的可靠性,例如会计人员关注的内部会计监督制度,审计人员所关注的内部会计控制制度等。广义内部控制除以上内容外,还包括与保证经营活动效率有关的部分,即组织管理当局所关注的内部控制,如董事会的设立、管理者的素质、企业文化等。由于内部控制的概念是审计人员提出的,因此第一阶段内部控制的措施是会计的方法,如账目核对。岗位分离也是指会计岗位的分离,控制目的则是以保证账目正确无误为主。而内部控制是伴随着组织的形成而产生的,它是组织中内生的,并不是外部管制、规范的要求和审计等外力催生的,不可避免地从第二阶段开始,内部控制就涉及到了内部管理控制的内容。尽管从审计角度看该定义范围过于宽泛,使该定义有争议,但第三阶段也只是从内部控制结构方面定义内部控制,并没有调整内部控制的范围。内部控制的最新发展:COSO定义,不仅进一步扩大了内部控制的范围,包括了控制环境、风险评估等内容,而且将前期处于分离的内部会计控制与内部管理控制用结构,系统的方式整合在一起。甚至强调内部控制与管理过程的结合,揉合了管理与控制的界限。
2、内部控制的控制对象、控制方法、研究方法从简单到复杂,定义从一般到具体。早期内部控制,以账、钱,物为控制对象,后期则以业务过程、管理过程、信息过程等为控制对象。早期内部控制以岗位的内部牵制为主,到后期尽管内部牵制仍为主要手段,但它还涉及到更多的控制程序、控制方法(如风险评估、信息与沟通),并从会计、审计层次的研究上升到制度、组织协调、系统等角度的研究。从一般到具体表现为早期内部控制的定义是从控制内容、控制目的入手,侧重于控制目的的表述。在第二阶段对内部控制的目的取得一致看法(即包括会计方面的目的与管理方面的目的)后,后期对内部控制的定义除了对目的、内容进行说明外,更多地是从内部控制的结构、框架等方面进行具体表述。
3、IT统一了内部控制实践与理论,整合了内部控制各个部分。内部控制定义的发展,一方面是由于审计对象的发展促使内部控制定义变化,另一方面则是由于管理实践与理论的发展引起的。两个方面中,IT的作用都是不可忽视的。IT在组织整个价值链中的深入应用,使组织的业务过程、管理过程有机地整合在一起,将内部控制的理论、方法与组织的管理实践有机结合在一起,使内部控制实践与理论殊途同归。 IT在组织管理、会计、审计中的全面应用,使组织从物质流、资金流、人才流中分离出了以处理信息流为主的信息系统。该信息系统从分散、零散的状态变为集中、系统状态,并将内部控制的各个部分整合在一起。在COSO的定义中,信息与沟通的主要对象与工具就是以IT为基础的信息系统。
二、内部控制与组织模型
控制是指根据系统的目标,对系统进行调节以克服系统的不确定性,使之达到所需要状态的活动和过程。在此定义中,系统需要达到的状态为系统目标即控制目标;为实现控制目标采取措施的实施者为控制主体;影响系统不能达到目标的因素、控制实施的范围则是控制客体;控制主体所采取的作用于控制客体的方法是控制手段。在整个控制过程中,依靠信息沟通渠道进行控制主体与控制客体之间的信息交流。笔者认为,内部控制是控制主体与控制客体处于同一系统时的控制。
组织是一个稳定、正式的社会结构,它从环境中利用资源并将其加工成产品又输出给环境。组织是一个权利、特权、责任、义务的集合,其中诸方面在一定时期通过冲突及其解决而达到微妙的平衡。从系统的角度看组织是一个系统,其模型如下:组织的特定目标是创造价值,任何组织都由一系列相关的、相互联系的三个过程组成。一是业务过程。用来提供商品和服务,业务过程至少有三种类型:获取/支付过程,转换过程,销售/收款过程。二是管理过程。由组织领导负责,管理对象是业务过程,管理活动主要有计划、执行、控制和评价等。三是信息过程。管理的中心是决策,决策需要信息,因此需要信息系统。信息系统具有如下活动:记录与业务活动相关的数据,维护和保持与组织相关的和最新的数据,报告对执行、控制和评价业务过程有用的信息,这些活动构成信息过程。
业务过程与向客户提供商品和服务直接相关,管理人员从信息系统获得的信息可以辅助他们管理业务过程,他们对每个业务过程的计划、执行、控制和评价做出决策,信息系统通过信息过程来提供对这些决策有用的信息。当组织的业务和管理过程变化时,信息过程也必须跟着变化。当业务过程、信息过程和管理过程融为一体时,组织完成其目标的可能性大大增强。组织的内部控制是使以上三个过程融为一体,使组织不会处于不协调和无效状态的基本方法。影响组织完成其目标的因素很多:成本过高,技术不可靠,生产的产品不符合市场需求,经济环境不好,战争等宏观与微观的原因。为了使组织完成其目标,创造价值,需要各种控制措施,使以上三个过程处于平衡。由于组织是社会中的一种组成元素,对它的外部控制主要通过对其环境(社会)产生影响而进行,这主要靠国家政策、制度等宏观政策来进行调控。组织的内部控制则是使组织在同样的外部环境中更好、更快地达到目标的主要途径。由于系统具有层次性,组织的内部控制也具有层次,也正是这种层次性导致了内部控制的不同视图。
三、内部控制的不同视图
(一)控制客体不同的视图
根据上面的模型及其层次性,从控制客体的角度看,笔者认为内部控制分为两个层次,四种不同的内部控制。
第一个层次是以整个组织作为一个视图的内部控制,是总体上的,广义上的,高层次的内部控制,暂且称为总体内部控制。可以看出:组织的目标-创造价值就是控制的目标;组织的所有过程是控制客体;组织中的各类人员,特别是各级管理人员是控制主体;管理即是控制方法、措施。三过程本身就形成一种控制模型:业务过程是控制客体,管理过程是控制主体,信息过程是控制主体与客体交流的渠道,而各种管理活动则是控制手段。
第二层次则以具体的过程为视图,它们的范围较为狭窄,暂称为具体的内部控制,包括三个不同的具体视图。一是以管理过程作为视图,即为内部管理控制。管理的目标是做出正确决策,使业务过程不偏离组织目标,这也是内部管理控制的控制目标;管理者的行为即管理活动是内部管理控制的客体;做出决策的人员及部门即管理者为内部管理控制的主体;决策的各种方法即是控制手段或方法。二是将业务过程作为一个视图,称为内部业务控制。业务过程的目标是以合理的成本、有效率的经营方式提供商品及服务为控制目标;业务过程包括获取资源/支付过程,转换过程,销售/收款过程,为控制客体;业务过程中的操作人员为控制主体;业务操作规程、流程等为控制措施及方法。三是将信息过程作为一个视图,为内部信息控制(其中包含内部会计控制,且以其为主)。信息系统的目标是真实反映业务过程、为管理过程作决策提供有用信息,为控制目标;信息过程中的活动是记录与业务活动相关的数据,维护和保持与组织相关的和最新的数据,报告对执行、控制和评价业务过程有用的信息等,为控制的客体;信息系统的操作者与相关人员为控制主体;信息系统中的各种控制措施如采集控制、输入控制等为控制方法。
由于三个过程是相互联系的,共同构成一个整体。这三种内部控制也是相互联系的,但各自控制的重点不同,它们共同与上一层次的内部控制-总体内部控制,构成完整意义上的内部控制。
(二)相关人员的不同视图
从上述分析可以看出,无论哪个层次的哪种内部控制,控制主体都是以与组织相关的人员及部门为主的。本部分分析与组织相关的各类人员、部门及他们对内部控制的不同视图。
任何组织中,与之相关的人员及部门大体可以划分为两大类:内部人员与外部人员。内部人员包括管理层、董事会、内部审计师、会计人员、内部其他人员;外部人员包括外部审计师、法律部门、监管部门、投资者、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等。不同的人员对内部控制关注的重点也各不相同。
1、外部人员的关注点及视图
由于外部人员只可能通过组织对外提供的各类信息来了解组织,他们的关注点就是:组织提供的信息是否真实、可靠、有用?对内部控制的视图则侧重于内部信息控制,即信息的采集、输入、处理及输出是否采取了相应的控制措施?是否符合相关的法律规定?外部审计师根据对内部信息(特别是财务会计信息)控制的分析,特别是组织控制环境的分析,对组织提供的信息(特别是财务会计信息)是否真实、可靠、有用做出客观、独立、公正的评价。其他外部人员则根据通过审计师审计的信息,各自做出相应的决策,当然他们的侧重点也各不相同,所以组织在对外提供信息时,一方面要保证信息的真实性、可靠性,另一方面也要根据不同人员提供不同的对其有用的信息。
2、内部人员的关注点及视图
管理层关注的是业务过程是否以合理的成本,有效率的经营方式提供商品及服务,其视图侧重于内部业务控制。董事会关注管理层是否做出正确决策,是否对业务过程进行了正确的管理,其视图侧重于内部管理控制。无论什么视图,都需要正确的信息与沟通。内部审计师关注信息与沟通是否正确、畅通,也关注各过程是否有机协调地运作,他侧重于内部信息控制;会计人员关注财务会计信息的采集、处理、输出是否正确,畅通,有效,关注反映财产、物资、资金的信息处理,其视图更为狭窄。内部其他人员像会计人员一样,根据其所处的位置,明确各自的职责,提供系统所需的信息,实现相应的控制,对经营中出现的问题,对不合法、违规行为都有责任与上级沟通,以保证内部控制的有效实施。
外部人员与内部人员由于各自关注点不同,导致了他们对具体内部控制的不同视图,但他们都需要对组织的内部控制有一个总体的认识,即都需要关注总体的内部控制。笔者理解这就是COSI定义的内部控制:控制环境、风险评估、控制活动、信息和交流、监控五个组成部分。每个组成要素适用于所有的具体内部控制,每一个组成要素与每一个具体内部控制目标都相关。
四、内部控制设计:协调不同需求
在对内部控制从时间与空间的角度进行以上分析研究之后,我们对内部控制有了一个比较全面深入的认识。这种认识在我们进行组织的内部控制设计时是非常有用的。有了内部控制的以上时空观,在设计内部控制时就可以不再局限于会计控制,而是扩展到整个组织的管理与治理。从系统的、整体的角度出发,进行内部控制的设计,使设计的内部控制具有系统性、层次性、科学性,能满足不同时期各类人员的不同控制需求。
为了能够设计出科学的内部控制,也需要有科学的设计方法,笔者认为可以将系统分析与设计中的思维方式和方法应用于内部控制的设计中,在进行内部控制设计的过程中同时使用生命周期法与原型法。生命周期法,即分步骤、分阶段地进行内部控制的设计;原型法,即先用生命周期法设计出一个内部控制的初始模型,然后试行使用该模型,并在使用过程中不断完善内部控制的模型。
首先使用生命周期法设计内部控制的初始模型。第一步,通过初始调查与详细调查了解不同时期、不同人员对内部控制的需求。第二步,从整个系统的角度及其他不同角度分析第一步中的内部控制需求。第三步,结合相应的控制目标、控制客体、控制方法、技术,针对整个组织进行总体设计,设计出总体内部控制框架。总体设计时要遵循成本-效益的原则,设计出完整、合理、有效的内部控制。第四步,针对业务过程、管理过程、信息过程的特点及要求进行详细设计,设计出三个具体的内部控制制度。详细设计时要先确定控制目标,找到控制点,再根据实际情况选择控制措施。在整个设计过程中要注意:第一,要充分考虑各时期、各方面的需要。从内部控制的发展看,内部会计控制始终是核心,但也要考虑目标的多样化,设计出的内部控制要有一定的适应性,即学习性。从空间方面看,总体内部控制框架应能将各个具体内部控制整合起来。第二,在设计内部控制时要灵活使用以下两种控制方法:“硬控制(即技术性控制)”与“软控制(即管理性控制)”,如果控制的风险是确定性的,可以使用技术性控制,如果控制的风险是不确定性的,则需要使用管理性控制或两者同时使用。第三,在设计每种具体内部控制时,都要考虑COSO定义中的各个部分。
然后,使用原型法使初始内部控制模型得以完善。在内部控制的初始模型设计出来之后将其应用于组织中,并在实施过程中不断使用生命周期法,分析控制目标、控制环境、控制措施的变化,并进行相应的微调式设计,如此循环反复,促使内部控制不断地改进、完善。
[参考文献]
[1] 刘明辉:《内部控制纵横谈》,《时代财会》,1:18~22.2002
[2] 吴水澎、陈汉文、邵贤弟:《企业内部控制理论的发展与启示》,《会计研究》,5:2-82000
[3] 工会杰:《试论内部控制评价标准体系框架的建立》。北京注册会计师协会2002.,2008/816
[4] 陈继云:《COSO报告与内部控制研究》。《上海会计》,2002.6:42~44
[5] 阿妮塔。S.霍兰德埃里克。L.德纳。J.欧文。彻林顿著,杨周南等译:《现代会计信息系统》。第二版。北京:经济科学出版社,1999.4~9