集团内部控制设计.docx

1、集团内部控制设计企業內部控制設計 清華大學會計研究所 陳關亭博士11月19日，清華大學會計研究所陳關亭博士在國家會計學院開辦的第四期財務總監高級研修班上作了題爲企業內部控制設計的報告。共分三講：內部控制概論、國外內部控制範例、內部控制設計。第一講 內部控制概論 一、內部控制的歷程內部控制，在內部牽制的基礎上，由企業管理人員在經營管理實踐中創造;並審計人員理論總結而逐步完善的自我監督和自行調整體系。在其漫長的産生和發展過程中，大體經歷了萌芽期、發展期和成熟期三個歷史階段。(一)萌芽期一一內部牽制內部控制，作爲一個專用名詞和完整概念，直到本世紀30年代 才被人們提出、認識和接受。但在此前的人類社會

2、發展史中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制(Internal check)。例如，在古羅馬時代，對會計賬簿實施的雙人記賬制-某筆經濟業務發生後，由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方賬簿記錄，以檢查有無記賬差錯或舞弊行爲，進而達到控制財物收支的目的，即是典型的內部牽制措施。縱觀該時期的內部牽制，它基本是以查錯防弊爲目的，以職務分離和賬目核對爲手法，以錢、賬、物等會計事項爲主要控制物件。其概念基本如柯氏會計辭典(Kohlers Dictionary for Accountant)的定義，即爲提供有效的組織和經營，並防止錯誤和其他非法業務發生而制定的業務流程

3、。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制。(二)發展期一一內部會計控制與內部管理控制1934年美國證券交易法，首先提出了內部會計控制 (Internal accounting control system)的概念。其中指出：證券發行人應設計並維護一套能爲下列目的提供合理保證的內部會計控制系統：a.交易依據管理部門的一般和特殊授權執行；b.交易的記錄必須滿足GAAP或其他適當標準編制財務報表和落實資産責任的需要；c.接觸資産必須經過管理部門的一般和特殊授權；d.按適當時間間隔，將財

4、産的賬面記錄與實物資産進行對比，並對差異採取適當的補救措施。!936年美國會計師協會發佈的註冊會計師對財務報表的審查文告，以及 1947年審計準則暫行公告(TSAS)，出於改進審計方式的需要，提出了以內部控制(Internal Control)爲基礎的審計程式。但這期間，無論在審計文獻中還是在其他管理著作中，均沒有關於內部控制概念的權威性定義。1.第一個具有權威性的定義爲了賦予內部控制一個準確完整的定義，審計程式委員會下屬的內部控制專門委員會經過兩年研究，於1949年發表了題爲內部控制、協調系統諸要素及其對管理部門和註冊會計師的重要性的專題報告，對內部控制首次做出了如下權威定義：內部控制是企業

5、所制定的旨在保護資産、保證會計資料可靠性和準確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。此定義強調，內部控制不只限於與會計和財務部門直接有關的控制方面，它還包括預算控制、成本控制、定期報告經營情況、進行統計分析並將統計報告送交有關部門、制定培訓計劃以培訓有關人員使其能夠履行職責，以及設立內部審計部門以保證管理部門所制定的各種程式的準確性，並保證其得到貫徹執行等內容。此外內部控制還包括其他領域的一些活動，例如，具有工程性質的時動分析以及在檢查系統中運用的質量控制，基本上屬於生産部門的活動。2.定義的第一次修正上述範圍廣泛的內部控制定義及其解釋

6、的發佈，當時被普遍認爲是對內部控制這一重要概念的重大貢獻。但該報告所定義的內部控制概念，其內容如此寬泛，以致包括了審計人員對審查內部控制所不原、也不可能承擔的職責。從與委託人討論什麽是良好的會計和經營方法的角度考慮，他們感到1949年的定義非常合適，但從承擔爲制定審計方案而對內部控制進行檢查的責任角度考慮，他們感到這一定義範圍過寬。該委員會的解決方式，是將內部控制劃分爲會計控制和管理控制兩大類-即將與前兩個目標即保護資産和保證會計資料可靠性和準確性有關的控制劃分爲內部會計控制，而將與後兩個目標即提高經營效率、保證管理部門所制定的各項政策得到貫徹執行有關的控制歸入內部管理控制。於是1953年10

7、月，審計程式委員會(CAP)又發佈了審計程式公告第19號（SAP No.19)，對內部控制作了如下劃分：廣義地說，內部控制按其熱點可以劃分爲會計控制和管理控制;1)會計控制由組織計劃和所有保護資産、保護會計記錄可靠性或與此有關的方法和程式構成;會計控制包括授權與批准制度;記賬、編制財務報表、保管財務資産等職務的分離;財産的實物控制以及內部審計等控制。2)管理控制由組織計劃和所有爲提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的方法和程式構成。管理控制的方法和程式通常只與財務記錄發生間接的關係，包括統計分析、時動研究、經營報告、雇員培訓計劃和質量控制等。 可見，所以把內部控

8、制分爲會計控制和管理控制，是爲了按照公認審計標準來規範內部控制檢查和評價的範圍。對此，1963年，審計程式委員會在審計程式公告第33號的結論是:獨立審計師應主要檢查會計控制。會計控制一般對財務記錄産生直接的、重要的影響，審計人員必須對它做出評價。管理控制通常只對財務記錄産生間接的影響，因此，審計人員可以不對其作評價。但是，如果審計人員認爲，某些管理控制對財務記錄的可靠性産生重要的影響，那麽他要視情況對它們進行評價。例如，在某種特定的情況下，生産部門、銷售部門和其他業務部門的統計分析需要給予評價。3. 定義的第二次修正 第一次修正後的定義，大大縮小了註冊會計師的責任範圍，但人們認爲對會計控制的保

9、護資産和保證財務記錄可靠性這兩點仍然可能發生誤解。即對保護一詞作廣義的解釋可能會使人們産生這樣一種印象:決策過程中的任何程式和記錄都可以包括在會計控制的保護資産概念中。爲了避免這種寬泛的解釋，1972年美國註冊會計師協會(AICPA)對會計控制又提出並通過了一個較爲嚴格的定義：會計控制是組織計劃和所有與下面直接有關的方法和程式：1）保護資産，即在業務處理和資産處置過程中，保護資産遭過失錯誤、故意致錯或舞弊造成的損失。2)保證對外界報吉的財務資料的可靠性。4.定義的第三次修正1972年，美國準則委員會 (ASB)審計準則公告的制定者，循著證券交易法的路線進行研究和討論，在第 1號公告(SAS N

10、o.1)中，對管理控制和會計控制提出並通過了今天廣爲人知的定義：（1）內部會計控制。會計控制由組織計劃以及與保護資産和保證財務資料可靠性有關的程式和記錄構成。會計控制旨在保證：經濟業務的執行符合管理部門的一般授權或特殊授權的要求;經濟業務的記錄必須有利於按照一般公認會計原則或其他有關標準編制財務報表，以及落實資産責任;只有在得到管理部門批准的情況下，才能接觸資産；按照適當的間隔期限，將資産的賬面記錄與實物資産進行對比，一經發現差異，應採取相應的補救措施。(2)內部管理控制。管理控制包括但不限於組織計劃以及與管理部門授權辦理經濟業務的決策過程有關的程式及其記錄。這種授權活動是管理部門的職責，它直

11、接與管理部門執行該組織的經營目標有關，是對經濟業務進行會計控制的起點。 上述內部控制定義的演變反映出兩個重點:第一，當前註冊計師在開展其審計工作時所運用的會計控制概念，是一種純技術的、專業化的、適用範圍具有嚴格規定性的、防護色彩很濃的概念，它的主要宗旨是預防和發現錯弊;第二，自審計程式委員會於1949年提出第一個內部控制定義起，人們爲完善該定義作了不懈的努力，以至於今天的內部控制定義與1949年的定義有天壤之別。 這種以會計控制爲主的定義，雖爲獨立審計界認可，卻屢屢遭到管理人員代言人的攻擊。他們指出，這些定義把精力過多地放在糾錯防弊上，過於消極和狹窄。凱羅魯斯先生對於代表獨立審計界觀點的特別諮

12、詢委員會關於內部會計控制的報告，只表示有保留地同意。他認爲，該報告對內部會計控制範圍的討論受現存審計文獻的影響太大。凱羅魯斯主張，內部控制範圍和目標應予以擴展，以便它們更能夠適應管理部門的需要。他極爲主張，審計準則委員會所納入內部會計控制環境的某些因素應該是設計合理、運行有效的內部會計控制系統不可分割的一個組成部分。這些因素包括： (1)組織計劃，(2)責任的確定和授權，(3)預算程式和預算控制，(4)員工雇用計劃和財務人員培訓計劃;(5)保證所有參與經濟業務授權、記錄、保護資産、報告財務資訊的職員保持較高的行爲道德水準的方法和措施。從管理人員(和其他有關第三方)的角度來看，會計控制和管理控制

13、之間的區別並不大，甚至根本沒有區別。特別是那些置身於企業經營活動的人們，他們很難接受這種區分。1980年3月在內部審計師協會代表大會的發言中，凱羅魯斯先生把美國註冊會計師協會在1958年將1949年的內部控制定義區分爲會計控制和管理控制的行爲描繪爲將美玉擊成了碎片。他聲稱，在這塊美玉完全修復以前-我們不可能有一個對管理人員有用、爲管理人員理解的內部控制定義。(三)成熟期-內部控制結構和內部控制整體架構美國註冊會計師協會的文獻界定了會計控制概念，而公司的經理們創立並在實踐中運用著管理控制概念，這兩個概念形成鮮明的對照。如果對這兩種善於內部控制的不同解釋的同時並行這一事實視而不見，那麽任何設計內部

14、控制系統的企圖都是短視的，同時也是徒勞的。於是，人們提出了內部控制結構和整體架構的概念。1.內部控制結構 (Internal Control Structure)1988年4月美國註冊會計師協會發佈的審計準則公告第55號(SAS N0.55)，規定從1990年1月起以該文告取代1972年發佈的審計準則公告第1號。該文告首次以內部控制結構(Internal Control Structure)一詞取代原有的內部控制一詞，而且文告提出的內部控制內容比以前更爲實在，條理更加清楚。該文告的頒佈和實施可視爲內部控制理論研究的一個新的突破性成果。以財務報表審計對內部控制結構的考慮爲題的審計準則公告第55號

15、指出:企業的內部控制結構包括爲合理保證企業特定目標的實現而建立的各種政策和程式，並且明確了內部控制結構的內容，具體如下:(1)控制環境所謂控制環境是指對建立、加強或削弱特定政策和程式效率發生影響的各種因素。具體包括:管理者的思想和經營作風;企業組織結構;董事會及其所屬委員會，特別是審計委員會發揮的職能；確定職權和責任的方法;管理者監控和檢查工作時所用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計；人事工作方針及其執行、影響本企業業務的各種外部關係。例如由銀行指定代理人的檢查等。(2)會計系統會計系統規定各項經濟業務的鑒定、分析、歸類、登記和編報的方法，明確各項資産和負債的經

16、營管理責任。健全的會計系統應實現下列目標:鑒定和登記一切合法的經濟業務;對各項經濟業務按時進行適當分類，作爲編制財務報表的依據;將各項經濟業務按適當的貨幣價值計價，以使列入財務報表;確定經濟業務發生的日期，以便按照會計期間進行記錄;在財務報表中恰當地表述經濟業務以及對有關內容進行揭示。(3)控制程式控制程式指管埋當同所制訂的用以保證達到一定目的的方針和程式。它包括下列內容:經濟業務和經濟活動的批准權;明確各個人員的職責分工，防止有關人員對正常業務圖謀不軌的隱藏錯弊;職責分工包括:指派不同人員分別承擔批准業務、記錄業務和保管財産的職責;憑證和賬單的設置和使用，應保證業務和活動得到正確的記載：對財

17、産及其記錄的接觸和使用要有何保護措施;對已登記的業務及其計價要進行復核。上述內部控制結構的內部與1972年頒佈的內部控制定義相比有兩個明顯的改動:一是正式將內部控制壞境納入內部控制範疇，二是不再區分會計控制和管埋控制。這些改變可以說是反映了70年代後期以來內部控制實務操作和理論研究的一個新動向。2.內部控制整體架構(Internal Control一Integrated Framework)1992午，美國反對虛假財務報告委員會(National Commission on Fraudulent Reporting)，所屬的內部控制專門研究委員會發起機構委員會(Committee of Spo

18、nsoring Organizations of the Tread-way Commission，簡稱COSO委員會)，在進行專門研究後提出專題報告：內部控制一一整體架構(Internal Control一Integrated Framework)，也稱COSO報告。經過兩年的修改，1994年COSO 委員會提出對外報告的修改篇，擴大了內部控制涵蓋範圍，增加了與保障資産安全有關的控制，得到了美國審計署(General Accounting Office，GAO)的認可。與此同時。AICPA則全面接受COSO報告的內容，於1995年據以發佈了審計準則公告第78號(SAS N0.78)，並自19

19、97年1月起取代了審汁準則公告第55號。COSO報告指出:內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認爲內部控制整體架構主要由控制環境、風險評估、控制活動、資訊與溝通、監督五項要素構成。歸結上述文獻，我們認爲:內部控制是爲合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約和調整內部業務活動的自律系統。其貫穿於經營活動的全部過程，包括控制環境、風險評估、控制活動、資訊與溝通，監督等要素，並受企業董事會、管理階層及其他人員影晌。需要指出的是，內部控制並不僅限於企業單位，同樣也存在於其他各

20、類經濟組織和行政事業單位中。只是作爲一種經濟組織，企業這種典型形式比較具有代表性，因而，本文主要以企業物件研究內部控制，但其原埋及評價的方法同樣也適用於其他各類經濟組織和行政事業單位之中。二、內部控制的要素內部控制的內容，歸恨結底是由基本要素組成的。這些要素及其構成方式，決定著內部控制的內容與形式。設計內部控制，可以根據企業特徵和需求（例如企業規模、業務構成、管理水平等），對內部控制要素加以有機組合。我們認爲，COSO報告提出的內容控制五項要素，具有較強的理論可取性和實踐可行性，本文將以此爲基礎，簡要闡述內部控制的要素及其結構。(一)控制環境控制環境提供企業紀律與架構，塑造企業文化，並影響企業

21、員工的控制意識，是所有其他內部控制組成要素的基礎。控制環境的因素具體包括:(1)誠信的原則和道德價值觀。無論是企業最高管理層還是其他成員都應當做到:嚴格一致地保持誠信行爲和道德標準;不要盲目追求不切實際的目標，以致形成不必要的壓力;對敏感職位之間的財務分工要準確明細，以避免造成偷竊資産或隱藏不佳績效的引誘；加強企業的內部審核制度;發揮董事會的職能，使其客觀監督企業的高層管理階層;提供道德方面的指導，使所有雇員在一般和特定環境下能夠保持正確的判斷;製作文字化的行爲準則和政策聲明，將其傳達給全體雇員;將誘發人們不誠實、非法和不道德行爲的動機降至最低。(2)評定員工的能力。管理部門須制定正式或非正式

22、的職務說明書，逐項分析並規定各工作崗位所須具備的知識和技能。(3)董事會和審計委員會。組成這兩個機構須考慮的因索主要包括：成員的經驗;相對於管理層的獨立性;外部董事的比例;其成員參與管理的程度;所採取措施的適宜性;對管理層提出問題的深度和廣度;他們與內部、外部審計人員的關係實質。(4)管理哲學和經營風格。主要考慮:對待和承擔經營風險的方式;依靠文件化的政策、業績指標以及報告體系等與關鍵經理人員溝通;對財務報告的態度和所採取的措施;對資訊處理以及會計功能、人員所持的態度;對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度。(5)組織結構。企業的組織結構是指爲公司活動提供計劃、執行，控制和

23、監督職能的整體框架。具體應考慮：組織結構的合適性，及其提供管理企業所需資訊的溝通能力;各主管人員所負責任的適當性;按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經驗;當環境改變時，企業配合改變其組織結構的程度;員工，尤其是負責管理及監督職能的員工人數的充足程度。 (6)責任的分配與授權。強調對於組織內的全部活動要合理有效地分配職責和許可權，並爲執行任務和承擔職責的組織成員特別是關鍵崗位的人員，提供和配備所需的資源並確保他們的經驗和知識與職責許可權相匹配，要使所有員工知道:他們的工作行爲，以及職責擔負形式和認可方式，與達成組織目標的聯繫。(7)人力資源政策及實務。內部控制是由人來進行

24、並受人的因素影響，保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。具體包括：有完善的招聘與選拔方針及操作性程式;對新員工進行企業文化和道德價值觀的導向培訓;對違反行爲準則的任何事項，制訂紀律約束與處罰措施;對業績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，並避免誘發不道德行爲;根據階段性的業績評估結果，對員工予以晉升、指導以及獎罰。(二)風險評估每個企業都面臨來自內部和外部的不同風險，這些風險都必須加以評估。評估風險的先決條件，是制定目標。風險評估就是分析和辨認實現所定目標可能發生的風險。(1)目標。企業的整體目標，通常是由企業的理念及其所

25、追求的價值所決定的，而與之相配合的是企業下一級各部門的具休目標。整體目標主要是:營運目標，包括績效和獲利目標及保障資産的安全，使其免受損失;財務報告目標，防止對外報送不真實的財務報告;遵循目標，企業遵循國家的相關法律法規。(2)風險。辨識和分析風險的過程是一種持續及反復的過程，也是有效內部控制的關鍵組成要素，管理階層須謹慎注意各部門階層的風險，並採取必要的管理措施。企業的風險一般是由外部因素和內部因素所産生的。外部因素包括:科技發展;顧客的需求或預期改變;競爭;新的法律和行政命令;自然災害;經濟環境改變等。內部因素包括:資訊系統處理的中斷;聘用員工的品質、培訓方法及激勵制度;經理人員的責任改變

26、;企業活動的性質以及員工可接近資産的程度;董事會或監事會不夠堅定或無效等。(3)環境變化後的管理。經濟、産業及管理的環境都是會改變的，企業的活動應隨之改變。因此，風險評估中最基本的部分，就是如何辨認已發生的改變，並採取必要的行動。這些改受因素包括:行業環境的改變;新員工;業務迅速成長;新科技;新業務、産品、作業;公司重組;國外業務等。(三)控制活動企業管理階層辯識風險，繼之應針對這種風險發出必要的指令。控制活動，是確保管理階層的指令得以執行的政策及程式，如核准、授權、驗證、調節、復核營業績效、保障資産安全及職務分工等。 控制活動在企業內的各個階層和職能之間都會出現，這主要包括:(1)高層經理人

27、員對企業績效進行分析。管理階層記錄經營活動 (如:市場的擴展、生産過程改良、成本的控制)的結果，然後再與預算、預測、前期及競爭者的績效相比較，以衡量目標達成的程度和監督計劃 (如:新産品開發、合資經營、融資行爲)的執訂情況。(2)直接部門管理。負責某一部門的經理人員復核自己所負責部門的業績報告，檢查本部門各業務活動的情況，以便辨認趨勢。(3)對資訊處理的控制。對資訊系統的控制活動可分爲兩類，第一類是一般控制（general control），它幫助管理階層確保系統能持續、適當的運轉;第二類是應用控制 (application control)，它包括應用軟體中的電算化步驟及相關的人工程式。(一

28、般控制包括:對資料中心運作的控制;對系統軟體的控制;存取安全的控制;對應用系統的發展及維護的控制。(應用控制包括:輸入控制;輸出控制)。(4)實體控制。保護設備、存貨、證券、現金和其他資産的實體安全，定期盤點並與控制記錄所顯示的金額相比較。(5)績效指標的比較。把不同的幾套數據資料(如:經營資料與財務資料)相互比較，分析它們之間的關係，然後再進行調查與糾正。以存貨爲例，其績效指標包括:購貨價差、訂單中緊急訂貨比例、總訂單中退貨的比例。管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認採購作業的目標無法達成的原因。(6)分工。分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當

29、行爲的風險。(四)資訊與溝通企業在其經營過程中，需按某種形式辨識、取得確切的資訊，並進行溝通，以使員工能夠履行其責任。資訊系統不僅處理企業內部所産生的資訊，同時也處理與外部的事項、活動及環境等有關的資訊。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的資訊，而且必須有向上級部門溝通重要資訊的方法，並對外界顧客、供應商、政府主管機關和股東等做有效的溝通。(1)資訊系統。資訊系統處理企業內部資訊和外部資訊。內部資訊資料包括採購資料、銷售交易資料、內部營業活動資料和內部生産過程資料;外部資訊資料包括顯示本企業産品的需求發生改變時，某種特定市場或行業的經濟資料，用於企業生産的商品的資料，顯示顧客

30、偏好的市場情報，競爭對手産品開發活動的資訊，立法機 關與行政機關所發佈的資訊。企業建立良好的資訊系統，必須做到；建立良好的資訊系統支援策略，資訊系統與企業營運應有效的結合;選擇更新資訊系統的最佳時間;有很好的資訊品質。(2)溝通。企業的資訊系統提供有效資訊給適當的人員，通過溝通，使員工能夠知悉其營業、財務報告及遵循法律的責任。企業溝通包括內部溝通和外部溝通。內部溝通需要做到:所有的員工，特別是那些負有重要營業責任或財務管理責任的員工，除了得到用 以管理其負責活動的重要資料以外，還應當得到來自最高管理層 需謹慎承擔內部控制責任的清楚資訊;必須讓每個人清楚的知道個 人所擔負的特定任務，瞭解內部控制

31、制度的各項規定、它們如何生效，以及他 (她)在控制系統中所扮演的角色及所承擔的責任;員工在其執行任務時，一旦有非預期的事項發生，除了要注意該事項本身之外，還應當注意導致該事項發生的原因，如此才有辦法辨認潛在缺失，採取行動，並預防再度發生;員工必須知道他 (她)所負責的活動是怎樣與他人的工作發生關聯的;員工必須擁有在組織中向上溝通重要資訊的方法。外部溝通應做到:顧客和供應商能經過開放的溝通管道輸入重要的資訊;與相關的外部團體溝通，以便獲悉關於本企業內部控制功能的重要資訊;外部審計人員對企業營業、相關業務問題及控制系統審計後，可以提供給管理階層及董事會重要的控制資訊;政府主要機關 (如:銀行或保險

32、機關)所報道的復核或檢查的結果，可以有效的彌補控制的缺失。(五)監督內部控制系統需被監督。監督是由適當的人員，在適當及時的基礎下，評估控制的設計和運作情況的過程。監督活動由持續監督、個別評估所組成，其可確保企業內部控制能持續有效的運作。(1)持續的監督活動。持續的監督活動在營運過程中發生，它包括例行的管理和監督活動，以及其他員工爲履行其職務所採取的行動。持續監督活動包括:負責營運的管埋階層 (operating managerment)在履行其日常的管理活動時，取得內部控制系統持續發揮功能的資料，當營運報告、財務報告與他們所得到的資料有大偏離時，可對報告提出質疑;來自外界團體的溝通，可以驗證內部資訊的正確性，並能及時反映問題的所在;適當的組織機構及監督活動，可