内控概述及执行难题应对.docx

1、内控概述及执行难题应对内控概述及执行难题应对一、内控理论概述（一）萌芽期内部牵制 内部控制，作为一个专用名词和完整概念，直到本世纪30 年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制。内部牵制是内部控制的最初形式，在古罗马时期，就有了“双人记账制”，财产支出检查和复核制度；我国西周时期，实施了分权控制方法和交互考核制度。L.R.Dicksee 最早于 1905 年提出内部牵制概念，认为内部牵制组成要素有：职责分工、会计记录和人员轮换。 一般来说，内部牵制大致分三类：一是实物牵制，如贵重物品仓库钥匙由两个以上人员持有；二是簿记牵制

2、（如会计总账与明细账的定期核对）；三是体制牵制（如一项业务分别由不同部门或人员共同完成）。内部牵制以预防错弊为目标，重点加强内部分工控制，根本目的是关注组织或个人的财产安全，局限于会计事项的完整性，在管理上依靠个人的经验和判断，处于小生产经营管理方式。 （二）发展期内部会计控制与内部管理控制 1934 年美国 证券交易法 ，首先提出了内部会计控制概念。指出：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：a.交易依据管理部门的一般和特殊授权执行；b.交易的记录必须满足GAAP 或其他适当标准编制财务报表和落实资产责任的需要；c.接触资产必须经过管理部门的一般和特殊授权：d

3、.按适当时间间隔，将财产的账面记录与实物资产进行对比，并对差异采取适当的补救措施。这部法律涉及了注册会计师的民事责任和刑事责任。 1936 年美国会计师协会发布的 注册会计师对财务报表的审查 文告，以及1947 年 审计准则暂行公告，出于改进审计方式的需要，提出了以内部控制为基础的审计程序。但这期间，无论在审计文献中还是在其他管理著作中，均没有关于内部控制概念的权威性定义。 第一个具有权威性的定义 为了赋予内部控制一个准确完整的定义，审计程序委员会下属的内部控制专门委员会于1949 年发表了题为 内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性 的专题报告，对内部控制首次做出了如下权

4、威定义：内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。定义的第一次修正 1949 年，美国会计师协会的审计程序委员会在内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中，对内部控制作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。” 定义的第二次修正 1972 年美国注册会计师协会（AICPA ）对会计控制又提出并通过了一个较

5、为严格的定义：“会计控制”是组织计划和所有与下面直接有关的方法和程序：1 ）保护资产，即在业务处理和资产处置过程中，保护资产遭过失错误、故意致错或舞弊造成的损失。2 ）保证对外界报告的财务资料的可靠性。 定义的第三次修正 1972 年，美国准则委员会（ASB ） 审计准则公告 的制定者，循着 证券交易法 的路线进行研究和讨论，在第1 号公告（SAS No . l ）中，对管理控制和会计控制提出并通过了今天广为人知的定义： a.内部会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有

6、利于按照一般公认会计原则或其它有关标准编制财务报表，以及落实资产责任；只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。 b.内部管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。 （三）成熟期内部控制结构和内部控制整体架构 美国注册会计师协会的文献界定了会计控制概念，而公司的经理们创立并在实践中运用着管理控制概念，这两个概念形成鲜明的对照。如果对这两种善于内部控制的

7、不同解释的同时并行这一事实视而不见，那么任何设计内部控制系统的企图都是短视的，同时也是徒劳的。于是，人们提出了内部控制结构和整体架构的概念。 1988 年4 月美国注册会计师协会发布的审计准则公告第55 号，规定从1990 年1 月起以该文告取代1972 年发布的审计准则公告第l 号。该文告首次以内部控制结构一词取代原有的“内部控制”一词，而且文告提出的内部控制内容比以前更为实在，条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。以“财务报表审计对内部控制结构的考虑”为题的 审计准则公告第55 号 指出：企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政

8、策和程序，并且明确了内部控制结构的内容，具体如下： ( 1 ）控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。 ( 2 ）会计系统定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。 ( 3 ）控制程序指管理当同所制订的用以保证达到一定目的的方针和程序。 内部控制整体架构1992 年，美国“反对虚假财务报告委员会” ，所属的内部控制专门研究委员会发起机构委员会（简称COSO 委员会），在进行专门研究后提出专题报告：内部控制一一整体架构也称COSO 报告。经过两年的修改，1994 年COSO 委员会提出对外报告的修改篇，扩大了内部控制涵盖范围

9、，增加了与保障资产安全有关的控制，得到了美国审计署（General Accounting Office , GAO ）的认可。与此同时。AICPA 则全面接受COSO 报告的内容，于1995 年据以发布了审计准则公告第78 号 （SAS NO . 78 ) ，并自1997 年1 月起取代了 审汁准则公告第55 号 。 COSO 报告中把内部控制定义为：“内部控制是由企业董事会、管理当局和其他员工实施的，为保证财务报告的可靠性、经营的效率效果以及现行法规的遵循等目标达成而提供合理保证的过程。”其构成要素应该来源于管理阶层经营方式，并与管理的过程相结合。我国独立审计具体准则第 9 条内部控制与审计

10、风险所称内部控制，是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序，包括控制环境、会计系统和控制程序。 COSO 报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。当然，内部控制目标是帮助企业实现经营目标减少经营过程中的分险，而COSO只是实现目标的手段。 1 控制环境（The Control Environment），是指对建立、

11、加强或削弱特定政策、程序及其效率产生影响的各种因素，它是整个内部控制框架的基础，决定了一个组织的气氛，影响该组织中人们的内部控制意识。 2 风险评估（Risk Assessment），是判别和分析完成目标过程中的内部或外部风险，包括风险识别和风险分析。现代企业的风险来自于经济环境、规章制度，经营环境的不断变化，企业必须建立判别和处理环境变化产生相应风险的机制。 3 控制活动（Control Activities），是指保证管理目标得以实现而建立的政策和程序。控制活动能够针对企业目标完成过程中的风险采取必要的行动。控制活动贯穿于整个组织的各个层次和各个部门。控制活动包括范围的设定、授权、核实、协

12、调、经营业绩的考核、资产安全和职责划分。 4 信息与沟通（Information and Communication），是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息，并交换这些信息。信息系统提供包括经营、财务等方面信息的报告，作为经营和控制企业的依据。信息系统不仅要处理企业内部的有关信息，还要提供与企业制定决策有关的外部信息。 5 监督（Monitoring），指评价控制系统的运行质量，即对内部控制运行及改进员会，这个委员会的目标之一是增加内部控制标准和指南。 （四）后成熟期企业风险管理总体框架 2004 年9 月COSO 委员会颁布了企业风险管理 总体框架新

13、报告。新报告涵盖内部控制框架的内容，其范围和内容比内部控制框架的范围更广泛。新报告给出了企业风险管理的明确定义：企业风险管理是一个过程，该过程由企业董事会、管理层和其他员共同参与，应用于战略制定，贯穿于企业各层级和部门，为识别影响企业的潜在事项和在风险偏好范围内管理风险而设计，为企业日标的实现提供合理保证；提出了内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息、与沟通、监控八个相互联系要素。同以往的内部控制理论及研究成果相比，新报告提出了许多新的、有价值的观点。 与以往内部控制理论相比，新报告首次提出了清晰风险管理的流程：目标制定 事项识别 风险评估 风险反应 控制活动。这一流

14、程处于企业内部环境提供的规则和结构的背景下，借助于信息与沟通进行，并处于监控之下。新报告针对不同目标分析其相应风险，自然将目标设定设为风险管理流程的重要步骤。目标确定后对影响目标实现的内部与外部的潜在事项进行识别，区分机遇与风险。存在潜在正面影响的事件代表机遇，存在潜在负面影响的事件是风险。通过事项识别，引导管理层全面考虑机遇与风险，使战略和目标不被偏离。风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从风险发生可能性以及将会带来的影响进行评估。风险反应方案有四种：规避、减少、共担和接受风险。企业管理者应在企业风险偏好的前提下，比较不同方案的潜在影响，考虑风险反应方案的选择。在

15、个别和分组考虑风险的各反应方案后，企业高层管理者应从总体角度考虑所选择的所有风险反应方案组合后对企业的总体影响。控制活动包括制定的相关政策和程序，目的是为了保证正确执行风险反应方案。 将风险管理扩展到战略层面，并将战略与风险偏好保持一致新报告除了以往内部控制框架中设定的经营目标、财务报告目标和合法性目标的三个企业目标外，又增加了战略目标。战略目标的层次高于其他三类目标。企业风险管理应用于实现这四类目标的过程中，应用于企业战略制定阶段，这样风险管理范围与内容扩展到战略高度。这是新报告与其他风险管理的重要区别。 2001年出现的安然事件，以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面

16、的问题，引发了美国社会特别是经济界、金融界的诚信危机。为此，美国采取一系列措施加强了对公司治理和监管的改革，美国证监会、纽约证券交易所等机构都制定了相应的公司治理规则，其中最突出的措施2002年出台的萨班斯一奥克斯利法案。 2002年7月，美国国会出台了2002年上市公司会计改革和投资者保护法案。该法案是由美国参议院银行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出，又被称作萨班斯奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法做了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定。因为该法案出台时没有规定特别豁免的情况，因此在美国上市的外国公

17、司同样需要遵守该法的各项规定。 （五）我国内部控制的发展从20世纪90年代起，我国政府就开始加大对企业内部控制的监管，虽然在1986年财政部颁布的会计工作基础规范中对内部控制的内容有所涉及，但真正完整的定义则是1996年财政部颁布的独立审计具体准则第9号内部控制与审计风险（以下简称9号准则）：“内部控制是指被审计单位为了保证业务活动的有效进行，保证资产的安全和完整，防止、发现、纠正错误和舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序。”1999年10月，修订后的会计法首次以法律的形式对建立健全内部控制提出原则要求，其中第四章第27条要求，各单位应当建立健全本单位内部会计监督制度。

18、直至2008年五部委共同颁发企业内部控制基础规范之前，银监会、保监会、证监会等分别出台了各自行业内部控制方面的指导原则和标准，不同时期颁布的定义和概念有所差异，内部控制的概念在百花齐放式发展中并没有统一。2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布企业内部控制规范基本规范，自2009年7月1日起现在上市公司范围内实施（后又延迟到2012年执行）。新基本规范中，企业建立和实施内部控制应遵循5条原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本和效益原则。该规范的实施将有利于维护中资本市场的长期发展，并且为上市公司内部控制信息披露的规范运作提供了重要的指导条件

19、。它的发布标志着我国内部控制制度建设取得了重大突破，这是我国继实施与国际接轨的企业会计准则和审计准则之后，又一与国际接轨的重大改革。二、内部控制实际执行中存在的问题及解决办法（一）广大员工重视程度有待提高内控制度尽管目前已经比较健全，而且部分大型企业也设置了专业部门负责执行和落实，但是广大员工的认识水平却没能得要相应提升。一方面，广大员工对于内控缺乏较为全面的认知，部分关键岗位的员工甚至也知之甚少，还有部分员工甚至认为：内控是审计等专业部门的工作，与我们业务部门无关；另一方面，部分企业过于强调工作绩效和KPI，不同程度上促使广大员工忽视了内控的落实与执行。如何解决这个问题？重要是宣传教育，但是

20、对于一线员工的宣传教育切忌长篇大论的理论说教，而是要用生动的案例和浅显的道理来说服他们；在宣传形式上则要灵活多样，避免大规模的人员聚集，而是要通过彩信等信息化媒体，通过小故事的形式来做好思想宣传工作。（二）内部控制独立于现行制度流程当前，在绝多数企业中内部，内部控制与制度流程是相对独立存在的。例如在内部，控制点有200多个，涉及企业各方面的关键点。而在企业内部得到广大职工遵照执行的却是各项制度与流程。制度与流程从大方向上来讲与内控制度是保持一致的，但是在细节方面却与内控制度是相互独立存在的。例如：一线营业人员如果需要添加一个工号权限，制度流程只会要求：如何提需求、如何去审批、如何去管理、如何去

21、注销。而如果按照内控的要求，则要审核这个营业员的新工号与原有工号是否存在职责冲突，甚至会审核该营业员是否拥有多个权限。也就是说内控与制度从不同角度为工号进行了规范和约束；但是在现实工作中，广大员工却仅仅需要遵循制度流程，这也导致了内控执行的缺失。内控控制点突出的是点，而制度流程突出的是线和面，如何既遵从制度流程有兼顾内部控制？个人认为要将内控的点揉入到制度流程的线和面中，使制度流程进一步细化。这样就能实现广大员工在遵循制度流程的同时也落实了内部控制。具体的例子，我认为厨师在工作前需要洗手的案例很好的证实了这一观点。无论是哪国哪个餐馆、快餐甚至KFC的厨师在工作前都要洗手，这就好比是制度流程的约

22、束，所有厨师都会遵从。但是，在KFC中，却将内控插入到了制度流程中，KFC在洗手这个环节的要求是，1.湿润手和手臂到肘部，2.抹上抗菌洗手液，3.搓洗双手手指、指甲，直到肘部至少20秒，4.用流水彻底冲洗手和手臂，烘干双手。这就可以理解为KFC的洗手环节将内控控制点揉入到制度流程中了，能实现制度与内控的双执行。（三）由又快又好转向又好又快内控制度的执行导致了制度流程变长变厚，这一点无论我们如何解释都是毋庸置疑的。特别是随着大企业病的出现，加之竞争环境的加剧与加速，内控这一副作用会被基层员工放大。以通信行业为例，联通的县公司在一周之内就能策划实施一个新的营销方案，而在内部则大约需要一个月的时间，市场就是战场，基层人员将这种较长的流程较慢的速度在一定程度上归结于内控制度。面对这一问题，努力优化流程、提高效率是最基本的解决办法，除此之外还要提升一线员工对内控的正确认识：有效的规避风险有时比发展几千个客户更重要；公司内部确实有很多案例证明了这一点。同时，也要用国家大形势来引导员工，要将企业的增长方式由“又快又好”向“又好又快”转变。推进内部控制有效落实是企业健康发展的保证，只有真正落实好内部控制才能实现企业从“又快又好”向“又好又快”转变。参考文献：1.内部控制理论与实务 宋蔚蔚2.企业内部控制操作实务与案例分析 王保平3.企业内部控制规范讲解4.索耶内部审计