财务内部管控内部控制文档Word文档下载推荐.docx
《财务内部管控内部控制文档Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《财务内部管控内部控制文档Word文档下载推荐.docx(18页珍藏版)》请在冰豆网上搜索。
(3)五点论。
1992年美国反虚假财务报告委员会发起组织委员会(COSO)在其研究报告I:
内部控制——整体框架》中将内部控制定义为:
“内部控制是由企业董事会、经理阶层和其他员工实施的,为达到营运的效率效果、财务报告的可靠性、相关法令的遵循性目标而提供合理保证的过程"
该报告将内部控制分为五个要素:
控制环境、风险评估、控制活动、信息与沟通、监督。
这一理论将内部控制从平面结构发展为立体框架模型,对世界各国都产生了极为深远的影响,加拿大的COCO,英国的Cadbury等在一定程度上都借鉴了COSO的理论。
(4)八点论。
2004年COSO受到美国《萨班斯——奥克斯法案》及国际审计与鉴证准则委员会修订的审计准则的影响,发布了《企业风险管理——整体框架》(简称ERM),将内部控制框架扩展为q企业风险管理框架斗。
该框架包括四项目标和八个要素,四项目标是:
战略目标、经营目标、报告目标、合法目标,八个要素为:
内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。
可以看出,此框架与之前的框架相比,对风险管理倾注了更多的关注,而且积极倡导企业的战略规划和长远发展。
这意味着,内部控制已经由过去面向实际过程的控制发展到面向未来过程的不确定性的控制。
这无疑是内部控制理论上又一次质的飞跃。
2、国内内部控制理论研究
国内对内部控制的研究正逐步和国际接轨,但由于本身起步较晚。
上世纪90年代,我国股票市场发展初期,会计信息失真的情况愈演愈烈,从“深圳原野,,、“琼民源,,、“红光,’到后来的“郑百文,,、“银广厦,’等层出不穷。
虚假会计信息给社会带了的震荡、给社会经济带来的不良影响直接引发了对内部控制的关注,首先发难的是代表政府的监管机构,包括财政部、证券监督管理委员会(以下简称证监会)。
当然向其他学科一样,对国外、特别是对美国内部控制理论发展的关注与借鉴也大大影响了我国内部控制理论的发展。
截至目前为止,我国对内部控制研究具有代表性的成果体现在以下几个法规中。
截至目前为止,我国对内部控制研究具有代表性的成果体现在以下几个法规文件之中。
二、内部控制的理论演进
内部控制是社会生产力发展到一定阶段的产物,随着现代经济的发展而建立并得以不断发展,后逐渐成为现代企业管理不可或缺的一个部分。
关于内部控制的理论始于二十世纪四十年代的“内部牵制理论"
,其后经历了内部控制制度理论、内部控制结构理论、内部控制整体框架理论及企业风险管理框架理论等几个不同的阶段。
1、内部牵制理论
二十世纪四十年代,美国的著名审计学家蒙哥马利在其《审计学》一书中首先提出了搿内部牵制制度"
的理论,即凡涉及财产和货币资金的收付、结算及其登记的任何一项工作,规定须由两人或两人以上来分工掌管,以起到相互制约、内部牵制的目的。
其基本思想是两个人或两个以上行为主体同时犯错的可能性小于单一主体,两个人或两个人以上共同舞弊的难度远大于一个人。
主要设想是要求以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工,而每项业务可以通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制。
实践证明,内部牵制机制有效减少了错误和舞弊行为。
而且,在现代内部控制理论中,内部牵制仍占有重要的地位,是有关组织机构控制、职务分离控制的基础。
2、内部控制制度理论
二十世纪四十至七十年代,内部控制理论发展到内部控制制度阶段。
这一时期的内部控制,强调保护企业资产的完整,保证会计资料的可靠性和准确性,提高经营效率,并且推动管理部门所制定的各项政策得以贯彻执行。
前两点是会计控制的目标,后两点则是管理控制的目标。
所以,这一时期内部控制制度思想分为内部会计控制和内部管理控制两个部分。
内部会计控制由保全资产和保证财务记录的真实准确性相关的经营管理计划及程序、凭证记录组成,旨在保证:
按照管理层总的或具体的授权从事经营与交易业务;
业务活动的凭证纪录,包括财务报表,必须根据公认的会计准则或其他法规许可的标准来准备;
只有管理层授权才被允许接近资产;
定期对资产的帐面记录与现存资产进行核对,并对可能出现的任何差异采取适当的措施。
内部管理控制包括但不限于与管理层业务授权相关的组织机构的计划、决策程序及书面的规章制度。
这种授权是直接与达到机构的目标相联系的一种管理职责,是建立交易业务会计控制的起点。
3、内部控制结构理论
二十世纪八十年代以后,内部控制的理论研究又有了新的发展。
美国注册会计师协会于1988年5月发布了<
审计准则公告第55号》公告,提出了内部控制结构理论——企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。
内部控制结构包括控制环境、会计制度和控制程序三个部分:
所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。
会计制度规定各项经济业务的确认、分析、分类、记录、计量和编报的方法,明确各项资产和负债的经营管理责任。
控制程序指管理当局所制订的用以保证达到一定目的的方针和程序。
这一内部控制理论不再区分会计控制和管理控制,并将内部控制环境正式纳入内部控制范畴。
4、内部控制整体框架理论
二十世纪九十年代以后,内部控制已经成为企业管理科学化的重要标志,有关内部控制的研究也取得了新的突破,1992年9月,美国反虚假财务报告委员会发起组织委员会(COSO)提出了内部控制整体框架理论,该理论认为内部控制是一个自行检查、制约和调整内部业务活动的自律系统,其贯穿于经营活动的全部过程,并受企业董事会、管理阶层及其他人员影响。
在COSO报告中第一次提出了“内部控制系统一的概念,以此来代替从前的“内部控制结构"
报告对内部控制的定义表述为:
内部控制是一个过程,该过程受到公司董事会、管理层和其他人员的影响,其目的是为下列目标的实现提供合理的保证。
这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规。
COSO委员会认为内部控制由五大相互联系的要素构成,即:
第一,控制环境。
控制环境是推动控制工作的引擎,是所有内控组成部分的基础,反映董事会、管理者、业主和其他人员对控制的态度和行为。
主要包括以下内容:
管理哲学和经营作风、组织机构、董事会和审计委员会的职能设置、人事制度和程序、职权与责任的确认方法、管理者检查监督工作所用的控制方法,还涵盖经营计划、预算、预测、利润计划、责任会计和内部审计制度等。
第二,风险评估。
每个企业都面临来自内部和外部的不同风险,风险会直接或间接地影响企业的生存和发展,所以对于风险都应当加以评估。
评估风险首先要制定目标(包括营运目标、财务目标及遵循法律目标等),而后在经营过程中不断识别和评估实现所定目标可能会发生的风险,并有针对性地采取必要的措施。
第三,控制活动。
控制活动是确保管理方针得以实施的一系列制度、程序和措施。
它存在于企业内的各管理阶层和功能组织之间,主要包括:
高层检查分析、直接部门管理、审批、授权、对信息处理的控制、会计控制、绩效指标的比较、资产保全及职责分工等。
第四,信息和沟通。
企业在其经营过程中,必须按某种形式在一定时期内取得适当的信息,并及时沟通,以使员工能够更好地执行、管理和控制作业过程。
信息包括企业内部所产生的信息以及企业外部的事项、活动及环境等有关的信息。
企业所有员工必须从管理层清楚地获得自己应承担控制责任的信息,而且必须有向上级部门沟通传递重要信息的途径,并对外界如顾客、供应商、政府主管部门和股东等作有效的沟通。
第五,监控。
监控是确保内部控制得以有效运作的重要措施,它是一个不断评估系统的质量的过程。
监控是经营管理部门对内部控制的管理监督和稽核部门对内部控制的再监督和再评价活动的总称。
只有持续不断地、经常性地对内部控制进行监控才能维护和提高整个内部控制系统的有效性和可靠性。
5、企业风险管理框架理论
二十世纪末期,审计实务界已开始探索以风险管理为核心的审计新路子,并形成了风险导向审计的崭新模式。
COSO报告事实上已经反映了这种动向,“风险评估"
成为内部控制的五大要素之一就是证明,但与审计实务还有差距。
进入二十一世纪,这种趋势愈发明显,随着2002年底国际审计与鉴证准则委员会修订审计准则表示对风险导向审计模式的全面认同,加上美国《萨班斯——奥克斯法案》的直接影响,COSO及时充实了内部控制框架,将其扩展为“企业风险管理框架,并于2004年8月正式布。
根据该框架,企业风险管理包括了四项目标和八个要素。
四项目标是:
战略目标、经营目标、报告目标、合法目标。
八个要素为:
新的风险管理框架比起内部控制框架,无论在内容还是范围上都有所扩大和提高,具体表现在:
(1)提出一个新的观念——风险组合观。
企业风险管理要求企业管理者以风险组合的观点看待风险,对相关的风险进行识别并采取措施使企业所承担的风险在风险偏好的范围内。
对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。
因此,应从企业总体的风险组合的观点看待风险。
企业的目标分为经营、财务报告和合法目标。
企业风险管理框架也包含三个类似的目标,但是其中只有两个目标与内部控制框架中的定义相同,财务报告目标的界定则有所区别。
内部控制框架中的财务报告目标只与公开披露的财务报表的可靠性相关,而企业风险管理框架中的报告目标的范围有很大的扩展,该目标覆盖了企业编制的所有报告。
此外,企业风险管理框架比内部控制框架增加了一个目标——战略目标,该目标的层次比其他三个目标更高。
企业的风险管理既应用于实现企业其他三类目标的过
程中,也应用于企业的战略制定阶段。
(2)增加一类目标一战略目标,并扩大了报企业的目标分为经营、财务报告和合法目标。
企业的风险管理既应用于实现企业其他三类目标的过程中,也应用于企业的战略制定阶段。
(3)针对风险度量提出两个新概念——风险偏好和风险容忍度。
针对企业目标实现过程中所面临的风险,风险管理框架对企业风险管理提出风险偏好和风险容忍度两个概念。
从广义上看,风险偏好是指企业在实现其目标的过程中愿意接受的风险的数量。
企业的风险偏好与企业的战略直接相关,企业在制定战略时,应考虑将该战略的既定收益与企业的风险偏好结合起来,目的是要帮助企业的管理者在不同战略间选择与企业的风险偏好相一致的战略。
风险偏好的概念是建立在风险容忍度概念基础上的。
风险容忍度是指在企业目标实现过程中对差异的可接受程度,是企业在风险偏好的基础上设定的对相关目标实现过程中所出现差异的可容忍限度。
在确定各目标的风险容忍度时,企业应考虑相关目标的重要性,并将其与企业风险偏好联系起来。
(4)增加了三个风险管理要素,对其他要素的分析更加深入,范围上也有所扩大。
企业风险管理框架新增了三个风险管理要素——“目标制定肘、“事项识别”和“风险反应"
’。
目标制定指根据企业确定的任务或预期,管理者制定企业的战略目标,选择战略和确定其他与之相关的目标并在企业内层层分解和落实。
在风险管理框架中,由于要针对不同的目标分析其相应的风险,因此目标的制定自然就成为风险管理流程的首要步骤,并将其确认为风险管理框架的一部分。
事项识别指由于不确定性的存在,使得企业的管理者需要对这些事项进行识别。
企业风险管理和内部控制框架都承认风险来自于企业内、外部各种因素,而且可能在企业的各个层面上出现,并且应根据对实现企业目标的潜在影响来确认风险。
企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因,对企业过去和未来的潜在事项以及事项的发生趋势进行计量。
风险应对可分为规避风险、减少风险、共担风险和接受风险四类,作为风险管理的一部分,管理者应比较不同方案的潜在影响,并且应在企业风险容忍度范围内的假设下,考虑风险应对方案的选择。
在个别和分组考虑风险的各反应方案后,企业管理者应从总体的角度考虑企业选择的所有风险反应方案组合后对企业的总体影响。
除上述新增要素外,针对企业将管理的重心移至风险管理,风险管理框架更加深入地阐述了其他要素的内涵,并扩大了相关要素的范围。
以上内部控制理论的演进过程是环环相扣,循序渐进的,每一阶段都是对之前理论的丰富和扩展,内部控制的内涵和外延在此过程中得到不断地提升。
就我国目前的实际情况而言,虽然有许多人对内部控制的认识还很滞后,仍旧停留在内部控制制度理论和内部控制结构理论的阶段,但内部控制整体框架乃至风险管理框架的建立已经成为必然的趋势。
三、内部控制基本内容
1内部控制的主体
内部控制产生于单位管理的需要,存在于单位生产经营活动之中,是其内部管理的重要组成部分,这就决定了内部控制的主体只能是单位的经营管理者。
2内部控制的客体
内部控制的客体,是指内部控制的实施对象,也就是说在什么范围内对什么内容进行控制。
内部控制主要是对单位的生产经营活动进行管理和控制,因此,内部控制的客体就是单位内部的生产经营活动。
生产经营活动范围相当广泛,既包括活动的主体、活动的过程,也包括活动的结果,具体可归纳为五个方面:
单位的经营管理者和生产者:
单位内部的各组成机构:
单位的各项资产、负债和所有者权益;
单位的信息载体和信息处理,以及单位的各种经济业务活动。
3内部控制的目标
内部控制的目标,是指制定和实施内部控制要实现的目的或欲达到
的效果,它是单位内部控制的预期结果和基本任务的统称。
归纳起来,
内部控制的目标包括:
(1)维护财产物资的安全、完整;
(2)保证会计信
息的真实、可靠;
(3)保证生产经营活动的经济性、效率性和效果性;
(4)
保证各项法律规范的遵循。
四、风险管理
4.1风险和风险管理
风险自古有之,古代人类与艰难的环境进行不懈的争斗,目的就是为了减少死亡的风险,增加生存的几率。
随着人类社会和经济文化的不断发展,人类自身的生存环境已大有改善,可对于企业来说情况却恰恰相反。
尤其是二战之后,由于社会、经济结构的改变,科学技术的进步和跨国公司的大量出现,企业面临的环境瞬息万变,风险无处不在。
风险不仅伴随着企业经营的每一个时刻,亦存在于企业生产经营过程的每一个环节。
只有那些重视风险并对风险进行有效管理的企业,才能化风险为机会并在生存中求得发展。
4.2风险的定义
风险一词最初是指不确定性。
早在19世纪,西方古典经济学家就提出了风险的概念,认为风险是经营活动的副产品,经营者的收入是其在经营活动中承担风险的报酬。
最早提出风险概念的美国学者海恩斯H(yane)s在其1895年出版的著作《RiskasEconomicFactor》中写到:
“风险一词在经济学和其他学术领域中并无任何技术上的内容,它意味着损害或损失的可能性。
偶然性的因素是划分风险的本质特征,某种行为能否产生有害的后果应以其不确定性而定。
如果某种行为具有不确定性,则该行为就承担了风险”。
1972年,J.5.Rosnebloom将风险定义为损失的不确定性。
在1984年F..GCrnae认为风险是指未来损失的不确定性。
①经济学家对风险这一概念有着大量的研究。
在这方面,奈特的贡献是经典的。
其贡献在于通过对风险与不确定性的区分,来理解人的行为对风险本身的影响。
奈特指出,只有当变化及其结果是不可预测的时候,才可能带来特殊形式的收入,几这就是利润。
只有敢于创新的企业家,才可能创造出人们预料的收入,才能带来利润。
这种不可预测的变化及其结果就是不确定性。
而风险则是可以被计量的。
奈特认为,对于可确定的风险的回报与对于其价值本身不可确定的风险的回报,二者之间是具有根本差异的。
奈特的讨论不仅仅是对风险和不确定性作出了清楚的界定,其论述的重心实质上是要指出不确定性之于企业家和人类社会的重要意义,从而也指出了不确定性具有比风险更深一层的含义,不确定性实质上规定着风险。
只有在企业家的创造性活动之后,风险才开始存在。
②80年代初,日本学者武井勋在吸收前人研究成果的基础上对风险的概念作了新的表述,认为风险是特定环境中和特定期间内自然存在的导致经济损失的变化。
包括三个要素:
第一,风险与不确定性有差异;
第二,风险是客观存在的;
第三,风险可以被测量。
③我国学者则将风险定义为在以特定利益为目标的行动过程中,若存在与初衷利益相悖的可能损失即潜在损失,则称该潜在损失所引致的对行动主体造成危害的事态为该行动所面对的风险。
④从期望值的角度理解风险,风险常常是指相对于某个期望结果可能发生的变动状况,有些时候它可能就是指期望值本身(比如保险公司负担的损失的期望值)。
随后的风险概念不仅包括损失的可能性,而且将获益的可能性也包括在内。
在C.小阿瑟.威廉姆斯等人所著的《风险管理与保险》一书中,对风险的定义是结果中潜在的变化。
⑤一部分学者的定义中只包含了未来结果向不利方向变动的可能性,亦即风险损失;
而另外的学者则将未来结果向有利和不利两方面的变动都包括在内,风险之中亦存在机会。
但是在奈特之后,人们在很大程度上只是接受了奈特对于风险和不确定性的界定,而对于不确定性丰富含义的讨论却没有什么实质性进展。
围绕风险概念所进行的理论讨论也主要是技术层面上的,基本上不关注风险概念在政治、社会层面上的意义。
这一点可以说集中体现在学者们现在己不再对风险概念与不确定性概念的区分感兴趣。
在实际讨论中,风险和不确定性这两个概念在很大程度上是被混用的。
甚至有些学者断言,风险和不确定性指的是同一概念。
通常来讲,风险(就风险损失而言)包含三个要素:
危险因素h(azdar)、危险事故印erli)以及损失(1055)。
①危险因素是指导致不利后果的所有因素。
危险事故是导致风险损失的内部或外在原因,亦即风险通过危险事故的发生才能导致损失。
损失在风险管理学中定义为非故意的、非计划性的和非预期的经济价值的减少。
对于风险三要素之间的关系,至今存在两种理论:
H.W.Hel州hc的“骨牌理论”和wiliimaHdadno.rj的“能量释放理论”。
②两种理论均认为危险因素引发危险事故,而危险事故导致损失。
但他们的侧重点不同,“骨牌理论”强调危险因素、危险事故和损失三张骨牌之所以倾倒主要是人的错误所致,其侧重于人为因素。
而“能力释放理论”则强调是因事物所承受的能量超过其所能容纳的能量所致,其侧重于物理因素。
不过对上述风险因素的分类并无公认的统一标准,而对于风险类型,巴塞尔委员会和国际证券组织联合会(orSCO)于1994年发表的场外衍生工具交易的风险管理文件中定义了6种风险类型:
③市场风险:
市场风险实质上是指公司的金融工具或证券价值随市场参数变动而波动所产生的风险。
这些参数包括利率、汇率、股票指数和商品价格等。
信用风险:
对银行信用风险的传统观点一般仅指对方不履约的风险。
对风险本质的更进一步的解释是,信用风险不仅仅是对方的违约风险,还可以在更广泛的意义上看作是由于公司交易对方在履约能力上的变化而导致公司资产的经济价值遭受损失的风险。
清算风险:
是指公司不能按期收到对方的资金或工具的风险。
清算风险是一种高度复杂的风险,包括限额的制定、交易前核查资金状况、交易记录、交易确认相符、超出控制范围的报告、支付的管理、收款的确认、收款失败管理、活动分析和重点管理等。
流动性风险:
公司一般面临两种类型的流动性风险,一种与特定的产品或市场相关;
另一种与公司活动的总体资金状况有关。
前者是指由于不充足的市场深度或由于市场的中断,公司不能够或不能轻易以以前的市场价或与之相近的价格对冲某一头寸的风险;
后者是指公司不能在清算日履行付款义务或支付保证金的风险。
操作风险:
是指信息系统或是内部控制方面的缺陷,会导致意想不到的损失。
这种风险由人为错误、系统失灵和不正确的程序及控制所引起。
法律风险:
是指合同不符合法律的实施性或文件没有正确表达。
这种风险不仅包括文件是否具有法律实施性的问题,还包括金融机构是否适当地履行了它对客户的法律和条规职责。
4.2风险理论的分类
风险理论发展至今,大体上可以归纳为两类:
一是客观实体派的风险理论;
二是主观建构派的风险理论。
主观建构派主要依据心理学、社会学、文化人类学与哲学进行风险理论研究。
而客观实体派则主要依据保险精算、工程学、经济学与财务理论进行风险理论研究。
两种理论都围绕着三个基本问题:
第一,如何规范与测度不确定性田ncertainyt);
第二,不利的后果包括那些;
第三,什么是风险的真相或它的真实性R(ealiy)t。
①风险是客观的不确定(objectiveUnecrtaint力,是客观存在的实体,是可以预测的。
这些看法是现实论或实证论者的主张,称之为客观实体派。
此派主要以客观概率的概念,规范与测度不确定性。
一切不利后果,均以货币观点观察与计价。
风险真实性的认定,则以数学值的高低为认定基础。
风险主观构建派的思维主要来自心理学者、社会学者、文化人类学者与哲学家的贡献。
其中,心理学仍保留实证论者或现实论者的思维,风险可用个人主观信念强度来测度。
社会学、文化人类学与哲学则采取后实证论者或相对论者的思维。
因此,风险不是测度的问题,它是构建过程的问题。
3.3风险管理的产生与发展
同任何学科一样,风险管理也是随着人类社会自身的进步而产生和发展的。
人类为了生存和谋求社会的进步,就必须对人类周围的环境所带来的风险做出有效地反应,从而促使风险管理意识的出现。
人类早期风险意识的形成可大致分为三个阶段:
人与兽斗争阶段、人与神斗争阶段和互助共济阶段。
②在人类社会的早期,人们面临的生存威胁主要来自野兽。
人们既要猎取一定数量的野兽来充当食物,又必须防止野兽对人类的侵害。
随着人类工具使用的进步和农业的发展,人们逐渐意识到生存的风险已经不再是野兽,而是人们所无法驾驭的自然环境,一系列的自然灾害和疾病使当时的人们束手无策。
当生产力得到进一步发展以及人类协作能力的增强,人们开始相互帮助以抗拒风险,即互助共济的阶段。
企业风险管理思想在19世纪就开始萌芽,它是伴随着工业革命的诞生而产生的。
当时法国科学管理大师H.法约尔在其所著的《一般与工业管理》一书中首先把风险管理思想引入企业经营内。
风险管