企業內部控制設計

企業內部控制設計 清華大學會計研究所 陳關亭博士11月19日，清華大學會計研究所陳關亭博士在國家會計學院開辦的第四期財務總監高級研修班上作了題爲企業內部控制設計的報告。共分三講：內部控制概論、國外內部控制範例、內部控制設計。第一講 內部控制概論 一、內部控制的歷程內部控制，在內部牽制的基礎上，由企業管理人員在經營管理實踐中創造;並審計人員理論總結而逐渐完善的自我監督和自行調整體系。在其漫長的産生和發展過程中，大體經歷了萌芽期、發展期和成熟期三個歷史階段。(一)萌芽期一一內部牽制內部控制，作爲一個專用名詞和完整概念，直到本世紀30年代 才被人們提出、認識和接受。但在此前的人類社會發展史中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制(Internal check)。例如，在古羅馬時代，對會計賬簿實施的雙人記賬制-某筆經濟業務發生後，由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方賬簿記錄，以檢查有無記賬差錯或舞弊行爲，進而達到控制財物收支的目的，即是典型的內部牽制措施。縱觀該時期的內部牽制，它基本是以查錯防弊爲目的，以職務分離和賬目核對爲手法，以錢、賬、物等會計事項爲重要控制物件。其概念基本如柯氏會計辭典(Kohlers Dictionary for Accountant)的定義，即爲提供有效的組織和經營，並避免錯誤和其她非法業務發生而制定的業務流程。其重要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工，每項業務通過正常發揮其她個人或部門的功能進行交叉檢查或交叉控制。(二)發展期一一內部會計控制與內部管理控制1934年美國證券交易法，一方面提出了內部會計控制 (Internal accounting control system)的概念。其中指出：證券發行人應設計並維護一套能爲下列目的提供合理保證的內部會計控制系統：a.交易依據管理部門的一般和特殊授權執行；b.交易的記錄必須滿足GAAP或其她適當標準編制財務報表和落實資産責任的需要；c.接觸資産必須經過管理部門的一般和特殊授權；d.按適當時間間隔，將財産的賬面記錄與實物資産進行對比，並對差異採取適當的補救措施。!936年美國會計師協會發佈的註冊會計師對財務報表的審查文告，以及 1947年審計準則暫行公示(TSAS)，出於改進審計方式的需要，提出了以內部控制(Internal Control)爲基礎的審計程式。但這期間，無論在審計文獻中還是在其她管理著作中，均沒有關於內部控制概念的權威性定義。1.第一個具有權威性的定義爲了賦予內部控制一個準確完整的定義，審計程式委員會下屬的內部控制專門委員會經過兩年研究，於1949年發表了題爲內部控制、協調系統諸要素及其對管理部門和註冊會計師的重要性的專題報告，對內部控制初次做出了如下權威定義：內部控制是企業所制定的旨在保護資産、保證會計資料可靠性和準確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和互相配套的各種措施及措施。此定義強調，內部控制不只限於與會計和財務部門直接有關的控制方面，它還涉及預算控制、成本控制、定期報告經營情況、進行統計分析並將統計報告送交有關部門、制定培訓計劃以培訓有關人員使其能夠履行職責，以及設立內部審計部門以保證管理部門所制定的各種程式的準確性，並保證其得到貫徹執行等內容。此外內部控制還涉及其她領域的某些活動，例如，具有工程性質的時動分析以及在檢查系統中運用的質量控制，基本上屬於生産部門的活動。2.定義的第一次修正上述範圍廣泛的內部控制定義及其解釋的發佈，當時被普遍認爲是對內部控制這一重要概念的重大貢獻。但該報告所定義的內部控制概念，其內容如此寬泛，以致涉及了審計人員對審查內部控制所不原、也不也许承擔的職責。從與委託人討論什麽是良好的會計和經營措施的角度考慮，她們感到1949年的定義非常合適，但從承擔爲制定審計方案而對內部控制進行檢查的責任角度考慮，她們感到這一定義範圍過寬。該委員會的解決方式，是將內部控制劃分爲會計控制和管理控制兩大類-即將與前兩個目標即保護資産和保證會計資料可靠性和準確性有關的控制劃分爲內部會計控制，而將與後兩個目標即提高經營效率、保證管理部門所制定的各項政策得到貫徹執行有關的控制歸入內部管理控制。於是1953年10月，審計程式委員會(CAP)又發佈了審計程式公示第19號（SAP No.19)，對內部控制作了如下劃分：廣義地說，內部控制按其熱點可以劃分爲會計控制和管理控制;1)會計控制由組織計劃和所有保護資産、保護會計記錄可靠性或與此有關的措施和程式構成;會計控制涉及授權與批准制度;記賬、編制財務報表、保管財務資産等職務的分離;財産的實物控制以及內部審計等控制。2)管理控制由組織計劃和所有爲提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的措施和程式構成。管理控制的措施和程式一般只與財務記錄發生間接的關係，涉及統計分析、時動研究、經營報告、雇員培訓計劃和質量控制等。 可見，因此把內部控制分爲會計控制和管理控制，是爲了按照公認審計標準來規範內部控制檢查和評價的範圍。對此，1963年，審計程式委員會在審計程式公示第33號的結論是:獨立審計師應重要檢查會計控制。會計控制一般對財務記錄産生直接的、重要的影響，審計人員必須對它做出評價。管理控制一般只對財務記錄産生間接的影響，因此，審計人員可以不對其作評價。但是，如果審計人員認爲，某些管理控制對財務記錄的可靠性産生重要的影響，那麽她要視情況對它們進行評價。例如，在某種特定的情況下，生産部門、銷售部門和其她業務部門的統計分析需要給予評價。3. 定義的第二次修正 第一次修正後的定義，大大縮小了註冊會計師的責任範圍，但人們認爲對會計控制的保護資産和保證財務記錄可靠性這兩點仍然也许發生誤解。即對保護一詞作廣義的解釋也许會使人們産生這樣一種印象:決策過程中的任何程式和記錄都可以涉及在會計控制的保護資産概念中。爲了避免這種寬泛的解釋，1972年美國註冊會計師協會(AICPA)對會計控制又提出並通過了一個較爲嚴格的定義：會計控制是組織計劃和所有與下面直接有關的措施和程式：1）保護資産，即在業務處理和資産處置過程中，保護資産遭過失錯誤、故意致錯或舞弊导致的損失。2)保證對外界報吉的財務資料的可靠性。4.定義的第三次修正1972年，美國準則委員會 (ASB)審計準則公示的制定者，循著證券交易法的路線進行研究和討論，在第 1號公示(SAS No.1)中，對管理控制和會計控制提出並通過了今天廣爲人知的定義：（1）內部會計控制。會計控制由組織計劃以及與保護資産和保證財務資料可靠性有關的程式和記錄構成。會計控制旨在保證：經濟業務的執行符合管理部門的一般授權或特殊授權的规定;經濟業務的記錄必須有利於按照一般公認會計原則或其她有關標準編制財務報表，以及落實資産責任;只有在得到管理部門批准的情況下，才干接觸資産；按照適當的間隔期限，將資産的賬面記錄與實物資産進行對比，一經發現差異，應採取相應的補救措施。(2)內部管理控制。管理控制涉及但不限於組織計劃以及與管理部門授權辦理經濟業務的決策過程有關的程式及其記錄。這種授權活動是管理部門的職責，它直接與管理部門執行該組織的經營目標有關，是對經濟業務進行會計控制的起點。 上述內部控制定義的演變反映出兩個重點:第一，當前註冊計師在開展其審計工作時所運用的會計控制概念，是一種純技術的、專業化的、適用範圍具有嚴格規定性的、防護色彩很濃的概念，它的重要宗旨是預防和發現錯弊;第二，自審計程式委員會於1949年提出第一個內部控制定義起，人們爲完善該定義作了不懈的努力，以至於今天的內部控制定義與1949年的定義有天壤之別。 這種以會計控制爲主的定義，雖爲獨立審計界認可，卻屢屢遭到管理人員代言人的攻擊。她們指出，這些定義把精力過多地放在糾錯防弊上，過於消極和狹窄。凱羅魯斯先生對於代表獨立審計界觀點的特別諮詢委員會關於內部會計控制的報告，只表达有保存地批准。她認爲，該報告對內部會計控制範圍的討論受現存審計文獻的影響太大。凱羅魯斯主張，內部控制範圍和目標應予以擴展，以便它們更能夠適應管理部門的需要。她極爲主張，審計準則委員會所納入內部會計控制環境的某些因素應該是設計合理、運行有效的內部會計控制系統不可分割的一個組成部分。這些因素涉及： (1)組織計劃，(2)責任的確定和授權，(3)預算程式和預算控制，(4)員工雇用計劃和財務人員培訓計劃;(5)保證所有參與經濟業務授權、記錄、保護資産、報告財務資訊的職員保持較高的行爲道德水準的措施和措施。從管理人員(和其她有關第三方)的角度來看，會計控制和管理控制之間的區別並不大，甚至主线沒有區別。特別是那些置身於企業經營活動的人們，她們很難接受這種區分。1980年3月在內部審計師協會代表大會的發言中，凱羅魯斯先生把美國註冊會計師協會在1958年將1949年的內部控制定義區分爲會計控制和管理控制的行爲描繪爲將美玉擊成了碎片。她聲稱，在這塊美玉完全修復此前-我們不也许有一個對管理人員有用、爲管理人員理解的內部控制定義。(三)成熟期-內部控制結構和內部控制整體架構美國註冊會計師協會的文獻界定了會計控制概念，而公司的經理們創立並在實踐中運用著管理控制概念，這兩個概念形成鮮明的對照。如果對這兩種善於內部控制的不同解釋的同時並行這一事實視而不見，那麽任何設計內部控制系統的企圖都是短視的，同時也是徒勞的。於是，人們提出了內部控制結構和整體架構的概念。1.內部控制結構 (Internal Control Structure)1988年4月美國註冊會計師協會發佈的審計準則公示第55號(SAS N0.55)，規定從1990年1月起以該文告取代1972年發佈的審計準則公示第1號。該文告初次以內部控制結構(Internal Control Structure)一詞取代原有的內部控制一詞，并且文告提出的內部控制內容比此前更爲實在，條理更加清晰。該文告的頒佈和實施可視爲內部控制理論研究的一個新的突破性成果。以財務報表審計對內部控制結構的考慮爲題的審計準則公示第55號指出:企業的內部控制結構涉及爲合理保證企業特定目標的實現而建立的各種政策和程式，並且明確了內部控制結構的內容，具體如下:(1)控制環境所謂控制環境是指對建立、加強或削弱特定政策和程式效率發生影響的各種因素。具體涉及:管理者的思想和經營作風;企業組織結構;董事會及其所屬委員會，特別是審計委員會發揮的職能；確定職權和責任的措施;管理者監控和檢查工作時所用的控制措施，涉及經營計劃、預算、預測、利潤計劃、責任會計和內部審計；人事工作方針及其執行、影響本企業業務的各種外部關係。例如由銀行指定代理人的檢查等。(2)會計系統會計系統規定各項經濟業務的鑒定、分析、歸類、登記和編報的措施，明確各項資産和負債的經營管理責任。健全的會計系統應實現下列目標:鑒定和登記一切合法的經濟業務;對各項經濟業務按時進行適當分類，作爲編制財務報表的依據;將各項經濟業務按適當的貨幣價值計價，以使列入財務報表;確定經濟業務發生的日期，以便按照會計期間進行記錄;在財務報表中恰當地表述經濟業務以及對有關內容進行揭示。(3)控制程式控制程式指管埋當同所制訂的用以保證達到一定目的的方針和程式。它涉及下列內容:經濟業務和經濟活動的批准權;明確各個人員的職責分工，避免有關人員對正常業務圖謀不軌的隱藏錯弊;職責分工涉及:指派不同人員分別承擔批准業務、記錄業務和保管財産的職責;憑證和賬單的設置和使用，應保證業務和活動得到正確的記載：對財産及其記錄的接觸和使用要有何保護措施;對已登記的業務及其計價要進行復核。上述內部控制結構的內部與1972年頒佈的內部控制定義相比有兩個明顯的改動:一是正式將內部控制壞境納入內部控制範疇，二是不再區分會計控制和管埋控制。這些改變可以說是反映了70年代後期以來內部控制實務操作和理論研究的一個新動向。2.內部控制整體架構(Internal Control一Integrated Framework)1992午，美國反對虛假財務報告委員會(National Commission on Fraudulent Reporting)，所屬的內部控制專門研究委員會發起機構委員會(Committee of Sponsoring Organizations of the Tread-way Commission，簡稱COSO委員會)，在進行專門研究後提出專題報告：內部控制一一整體架構(Internal Control一Integrated Framework)，也稱COSO報告。經過兩年的修改，1994年COSO 委員會提出對外報告的修改篇，擴大了內部控制涵蓋範圍，增长了與保障資産安全有關的控制，得到了美國審計署(General Accounting Office，GAO)的認可。與此同時。AICPA則全面接受COSO報告的內容，於1995年據以發佈了審計準則公示第78號(SAS N0.78)，並自1997年1月起取代了審汁準則公示第55號。COSO報告指出:內部控制是一個過程，受企業董事會、管理當局和其她員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認爲內部控制整體架構重要由控制環境、風險評估、控制活動、資訊與溝通、監督五項要素構成。歸結上述文獻，我們認爲:內部控制是爲合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約和調整內部業務活動的自律系統。其貫穿於經營活動的所有過程，涉及控制環境、風險評估、控制活動、資訊與溝通，監督等要素，並受企業董事會、管理階層及其她人員影晌。需要指出的是，內部控制並不僅限於企業單位，同樣也存在於其她各類經濟組織和行政事業單位中。只是作爲一種經濟組織，企業這種典型形式比較具有代表性，因而，本文重要以企業物件研究內部控制，但其原埋及評價的措施同樣也適用於其她各類經濟組織和行政事業單位之中。二、內部控制的要素內部控制的內容，歸恨結底是由基本要素組成的。這些要素及其構成方式，決定著內部控制的內容與形式。設計內部控制，可以根據企業特徵和需求（例如企業規模、業務構成、管理水平等），對內部控制要素加以有機組合。我們認爲，COSO報告提出的內容控制五項要素，具有較強的理論可取性和實踐可行性，本文將以此爲基礎，簡要闡述內部控制的要素及其結構。(一)控制環境控制環境提供企業紀律與架構，塑造企業文化，並影響企業員工的控制意識，是所有其她內部控制組成要素的基礎。控制環境的因素具體涉及:(1)誠信的原則和道德價值觀。無論是企業最高管理層還是其她成員都應當做到:嚴格一致地保持誠信行爲和道德標準;不要盲目追求不切實際的目標，以致形成不必要的壓力;對敏感職位之間的財務分工要準確明細，以避免导致偷竊資産或隱藏不佳績效的引誘；加強企業的內部審核制度;發揮董事會的職能，使其客觀監督企業的高層管理階層;提供道德方面的指導，使所有雇員在一般和特定環境下能夠保持正確的判斷;製作文字化的行爲準則和政策聲明，將其傳達給全體雇員;將誘發人們不誠實、非法和不道德行爲的動機降至最低。(2)評定員工的能力。管理部門須制定正式或非正式的職務說明書，逐項分析並規定各工作崗位所須具備的知識和技能。(3)董事會和審計委員會。組成這兩個機構須考慮的因索重要涉及：成員的經驗;相對於管理層的獨立性;外部董事的比例;其成員參與管理的限度;所採取措施的適宜性;對管理層提出問題的深度和廣度;她們與內部、外部審計人員的關係實質。(4)管理哲學和經營風格。重要考慮:對待和承擔經營風險的方式;依托文献化的政策、業績指標以及報告體系等與關鍵經理人員溝通;對財務報告的態度和所採取的措施;對資訊處理以及會計功能、人員所持的態度;對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度。(5)組織結構。企業的組織結構是指爲公司活動提供計劃、執行，控制和監督職能的整體框架。具體應考慮：組織結構的合適性，及其提供管理企業所需資訊的溝通能力;各主管人員所負責任的適當性;按照主管人員所擔負的責任，判斷其与否具備足夠的知識及豐富的經驗;當環境改變時，企業配合改變其組織結構的限度;員工，特别是負責管理及監督職能的員工人數的充足限度。 (6)責任的分派與授權。強調對於組織內的所有活動要合理有效地分派職責和許可權，並爲執行任務和承擔職責的組織成員特別是關鍵崗位的人員，提供和配備所需的資源並確保她們的經驗和知識與職責許可權相匹配，要使所有員工懂得:她們的工作行爲，以及職責擔負形式和認可方式，與達成組織目標的聯繫。(7)人力資源政策及實務。內部控制是由人來進行並受人的因素影響，保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。具體涉及：有完善的招聘與選拔方針及操作性程式;對新員工進行企業文化和道德價值觀的導向培訓;對違反行爲準則的任何事項，制訂紀律約束與處罰措施;對業績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，並避免誘發不道德行爲;根據階段性的業績評估結果，對員工予以晉升、指導以及獎罰。(二)風險評估每個企業都面臨來自內部和外部的不同風險，這些風險都必須加以評估。評估風險的先決條件，是制定目標。風險評估就是分析和辨認實現所定目標也许發生的風險。(1)目標。企業的整體目標，一般是由企業的理念及其所追求的價值所決定的，而與之相配合的是企業下一級各部門的具休目標。整體目標重要是:營運目標，涉及績效和獲利目標及保障資産的安全，使其免受損失;財務報告目標，避免對外報送不真實的財務報告;遵循目標，企業遵循國家的相關法律法規。(2)風險。辨識和分析風險的過程是一種持續及反復的過程，也是有效內部控制的關鍵組成要素，管理階層須謹慎注意各部門階層的風險，並採取必要的管理措施。企業的風險一般是由外部因素和內部因素所産生的。外部因素涉及:科技發展;顧客的需求或預期改變;競爭;新的法律和行政命令;自然災害;經濟環境改變等。內部因素涉及:資訊系統處理的中斷;聘任員工的品質、培訓措施及激勵制度;經理人員的責任改變;企業活動的性質以及員工可接近資産的限度;董事會或監事會不夠堅定或無效等。(3)環境變化後的管理。經濟、産業及管理的環境都是會改變的，企業的活動應隨之改變。因此，風險評估中最基本的部分，就是如何辨認已發生的改變，並採取必要的行動。這些改受因素涉及:行業環境的改變;新員工;業務迅速成長;新科技;新業務、産品、作業;公司重組;國外業務等。(三)控制活動企業管理階層辯識風險，繼之應針對這種風險發出必要的指令。控制活動，是確保管理階層的指令得以執行的政策及程式，如核准、授權、驗證、調節、復核營業績效、保障資産安全及職務分工等。 控制活動在企業內的各個階層和職能之間都會出現，這重要涉及:(1)高層經理人員對企業績效進行分析。管理階層記錄經營活動 (如:市場的擴展、生産過程改良、成本的控制)的結果，然後再與預算、預測、前期及競爭者的績效相比較，以衡量目標達成的限度和監督計劃 (如:新産品開發、合資經營、融資行爲)的執訂情況。(2)直接部門管理。負責某一部門的經理人員復核自己所負責部門的業績報告，檢查本部門各業務活動的情況，以便辨認趨勢。(3)對資訊處理的控制。對資訊系統的控制活動可分爲兩類，第一類是一般控制（general control），它幫助管理階層確保系統能持續、適當的運轉;第二類是應用控制 (application control)，它涉及應用軟體中的電算化步驟及相關的人工程式。(一般控制涉及:對資料中心運作的控制;對系統軟體的控制;存取安全的控制;對應用系統的發展及維護的控制。(應用控制涉及:輸入控制;輸出控制)。(4)實體控制。保護設備、存貨、證券、現金和其她資産的實體安全，定期盤點並與控制記錄所顯示的金額相比較。(5)績效指標的比較。把不同的幾套數據資料(如:經營資料與財務資料)互相比較，分析它們之間的關係，然後再進行調查與糾正。以存貨爲例，其績效指標涉及:購貨價差、訂單中緊急訂貨比例、總訂單中退貨的比例。管理階層需要調查超过計劃的結果或者不正常的趨勢，辨認採購作業的目標無法達成的因素。(6)分工。分工即指將責任劃分，再將不相容職務分派給不同的員工，以减少錯誤或不當行爲的風險。(四)資訊與溝通企業在其經營過程中，需按某種形式辨識、获得確切的資訊，並進行溝通，以使員工能夠履行其責任。資訊系統不僅處理企業內部所産生的資訊，同時也處理與外部的事項、活動及環境等有關的資訊。企業所有員工必須從最高管理階層清晰地獲取承擔控制責任的資訊，并且必須有向上級部門溝通重要資訊的措施，並對外界顧客、供應商、政府主管機關和股東等做有效的溝通。(1)資訊系統。資訊系統處理企業內部資訊和外部資訊。內部資訊資料涉及採購資料、銷售交易資料、內部營業活動資料和內部生産過程資料;外部資訊資料涉及顯示本企業産品的需求發生改變時，某種特定市場或行業的經濟資料，用於企業生産的商品的資料，顯示顧客偏好的市場情報，競爭對手産品開發活動的資訊，立法機 關與行政機關所發佈的資訊。企業建立良好的資訊系統，必須做到；建立良好的資訊系統增援方略，資訊系統與企業營運應有效的結合;選擇更新資訊系統的最佳時間;有较好的資訊品質。(2)溝通。企業的資訊系統提供有效資訊給適當的人員，通過溝通，使員工能夠知悉其營業、財務報告及遵循法律的責任。企業溝通涉及內部溝通和外部溝通。內部溝通需要做到:所有的員工，特別是那些負有重要營業責任或財務管理責任的員工，除了得到用 以管理其負責活動的重要資料以外，還應當得到來自最高管理層 需謹慎承擔內部控制責任的清晰資訊;必須讓每個人清晰的懂得個 人所擔負的特定任務，瞭解內部控制制度的各項規定、它們如何生效，以及她 (她)在控制系統中所扮演的角色及所承擔的責任;員工在其執行任務時，一旦有非預期的事項發生，除了要注意該事項自身之外，還應當注意導致該事項發生的因素，如此才有辦法辨認潛在缺失，採取行動，並預防再度發生;員工必須懂得她 (她)所負責的活動是怎樣與她人的工作發生關聯的;員工必須擁有在組織中向上溝通重要資訊的措施。外部溝通應做到:顧客和供應商能經過開放的溝通管道輸入重要的資訊;與相關的外部團體溝通，以便獲悉關於本企業內部控制功能的重要資訊;外部審計人員對企業營業、相關業務問題及控制系統審計後，可以提供給管理階層及董事會重要的控制資訊;政府重要機關 (如:銀行或保險機關)所報道的復核或檢查的結果，可以有效的彌補控制的缺失。(五)監督內部控制系統需被監督。監督是由適當的人員，在適當及時的基礎下，評估控制的設計和運作情況的過程。監督活動由持續監督、個別評估所組成，其可確保企業內部控制能持續有效的運作。(1)持續的監督活動。持續的監督活動在營運過程中發生，它涉及例行的管理和監督活動，以及其她員工爲履行其職務所採取的行動。持續監督活動涉及:負責營運的管埋階層 (operating managerment)在履行其平常的管理活動時，获得內部控制系統持續發揮功能的資料，當營運報告、財務報告與她們所得到的資料有大偏離時，可對報告提出質疑;來自外界團體的溝通，可以驗證內部資訊的正確性，並能及時反映問題的所在;適當的組織機構及監督活動，可用來辨識缺失;各個職務的分離，使不同員工之間可以彼此互相檢查，以避免舞弊;把資訊系統所記錄的資料同實際資産核對;內、外部稽核人員定期提出強化內部控制系統的建議；培訓課程、規劃會議和其她會議，可把控制与否有效的重要資訊反饋給管理階層;定期规定員工陳述她們与否瞭解企業的行爲準則，並加以遵守，對於負責業務和財務的員工，則规定她們陳述某些特定控制与否都予執行，管理階層或內部稽核人員還必須驗證這些陳述与否確實。(2)個別評估。儘管持續監督程式可以有效的評價內部控制體系，但企業有時需要組織例外評估以直接監視控制系統的有效性，這種做法可評估持續性監督程式。評估的範圍和頻率，視風險的大小及控制的重要性而定。(3)報告缺陷。內部控制的缺失應由下往上報告，某些缺失應報告給高層管理階層及董事會懂得。三、內部控制的組合上述內部控制要素，按照不同的標誌可以組合成不同的集合，也即按照不同分類標準可以劃分爲不同的類別形態，籍此可以揭示不同形式內部控制的特徵和功能。內部控制的組合方式或者分類形式，除了按照控制目標爲標誌，劃分爲會計控制和管理控制外(見上文)，還可按照其她標誌組合爲下列類別。(一) 按照控制內容爲標誌，可劃分爲一般控制和應用控制1.一般控制一般控制，是指對企業經營活動賴以進行的內部環境所實施的總體控制，因而亦稱基礎控制或環境控制。它涉及組織控制、人員控制、業務記錄以及內部審計等項內容。這類控制的特徵，是並不直接地作用於企業的生産經營活動，而是通過應用控制對所有業務活動産生影響。2.應用控制應用控制，是指直接作用於企業生産經營業務活動的具體控制，因此亦稱業務控制，如業務處理程式中的批准與授權、審核與復核、以及爲保證資産安全而採用的限制接近等項控制。這類控制的特徵，在於它們構成了生産經營業務處理程式的一部分，並都具有避免和糾正一種或幾種錯弊的作用。(二)按照控制地位爲標誌，可劃分爲主導性控制和補償性控1.主導性控制主導性控制，是指爲實現某項控制目標而一方面實施的控制。如憑證連續編號可以保證所有業務活動都得到記錄和反映，因此，憑證連續號對於保證業務記錄的完整性就是主導性控制。在正常情況下，主導性控制能夠避免錯弊的發生，但如果主導性控制存在缺陷，不能正常運行時，就必須有其她的控制措施進行補充。2.補償性控制補償性控制，就是指能夠所有或部分彌補主導性控制缺陷的控制。就上例而言，如果憑證沒有連續編號，有些業務活動就也许得不到記錄。這時，實施憑證、賬證、賬賬之間的嚴格核對，就可以基本上保證業務記錄的完整性，避免遺漏重大的業務事項。因此，核對相對於憑證連續編號來說，就是保證業務記錄完整性的一項補償性控制。(三)按照控制功能爲標誌，可劃分爲預防式控制和偵察式控制 l.預防式控制預防式控制，是指爲避免錯誤和非法行爲的發生，或儘量減少其發生機會所進行的一種控制。它重要解決如何能夠在一開始就避免錯弊的發生這個問題。例如對業務人員事先作出明確的批示和實施嚴格的現場監督，就能避免誤解指令和發生錯弊。2.偵察式控制偵察式控制，是指爲及時查明已發生的錯誤和非法行爲或增強發現錯弊機會的能力所進行的各項控制。它重要是解決如果錯弊仍然發生，如何查明的問題。例如，通過賬賬核對、實物盤點，以發現記賬錯誤和貨物短缺等。(四)按照控制時序爲標誌，可劃分爲因素控制、程式控制和結果控制1.因素控制因素控制，也稱事先控制，是指企業單位爲避免人力、物力、財力等資源在質和量上發生偏差，而在行爲發生之前所實施的內部控制。例如領取現金支票前的核准、報銷費用前的審批等。2.程式控制程式控制，也稱事中控制，是指企業單位在生産經營活動過程中針對正在發生的行爲所進行的控制。例如，對生産過程中使用材料的核算，對在製造産品的監督和對加工工藝的記錄等。3.結果控制結果控制，也稱事後控制，是指企業單位針對生産經營活動的 最終結果而採取的各項控制措施，例如對産出産品的質量進行檢驗， 對産品數量加以驗收和記錄等。此外，內部控制還可按照管理目標、業務迴圈和職能部門等標誌，劃分爲相應類別的組合形式。需要說明的是，各種類型的內部控制，在實際工作中多是交叉存在的。同一種內部控制措施，在不同劃分標誌下，也可轉化爲不同的類型形態。四、內部控制的局限內部控制作爲企業自我調節和自行制約的內在機制，處於單位中樞神經系統的重要位置，可以說沒有健全完善的內部控制，就很難組織起現代化的社會大生産活動，也就談不上現代化的企業生産和經營管理。健全有效的內部控制，不僅能保證企業會計資訊的真實正確、財務收支的有效合法和財産物資的安全完整，還能保證企業經營活動的效率性、效果性以及企業經營決策和國家法律法規的貫徹執行。但任何事物都不是盡善盡美的，內部控制也同樣存在其固有的、不可避免的局限性。一般而言，內部控制的局限性重要表現爲：1.如果企業內部行使控制職能的管理人員濫用職權、蓄意營私舞弊，虽然具有設計良好的內部控制，也不會發揮其應有的效能。內部控制作爲企業管理的一個組成部分，它理所當然地要按照其管理人員的意圖運行，特别是企業負責人的決策更是起決定作用。決策出了問題，貫徹決策人意圖的內部控制也就失去了應有的控制效能。2.如果企業內部不相容職務的人員互相串通作弊，與此相關的內部控制就會失去作用。內部控制的一條重要原則就是將不相容職務進行分離。在實際工作中，如果處於不相容職務上的有關人員互相串通、互相勾結，失去了不同職務互相制約的基本前提，內部控制也就很難發揮作用。 3.如果企業內部行使控制職能的人員素質不適應崗位规定，也會影響內部控制功能的正常發揮。內部控制是由人建立的，也要由人來行使的，如果企業內部行使控制職能的人員在心理上、技能上和行爲芳式上未能達到實施內部控制的基本规定，對內部控制的程式或措施經常誤解、誤判，那麽再好的內部控制也很難充足發揮作用。4.企業實施內部控制的成本效益問題也會影響其效能。控制環節越多、控制措施越複雜，相應的控制成本也就越高，同時也會影響企業生産經營活動的效率。因此，在設計和實施內部控制時，企業必然要考慮控制成本與控制效果之比。當實施某項業務的控制成本大於控制效果而産生損失時，就沒有必要設置控制環節或控制措施，這樣某些小錯弊的發生就也许得不到控制。5.內部控制一般都是針對經常而重復發生的業務而設置的，并且一旦設置就具有相對穩定性，因此如果出現不經常發生或未預計到的經濟業務，原有控制就也许不適用，臨時控制 (如實行專門的審批、報告和執行程式來處理臨時性或突發性業務)則也许不及時，從而影響內部控制的作用。第二講 國外內部控制範例在管理和審計實踐中，公司企業、政府機構和會計師事務所根據各自理解，制定了各種形式的內部控制系統。下面我們選擇西方市場經濟發達國家的若干代表性實例，藉以進一步分析和借鑒其內容和形式。一、洛杉磯會計局內部控制驗證方案本內部控制驗證方案，由洛杉磯縣（County of Los Angeles）會計局制訂，作爲政府各部門評價和改善本單位內部控制的參考。整套方案按照業務領域，劃分爲如下9套具體的驗證方案:(1)現金;（2）信用基金；（3）收入；（4）支出；（5）工資；（6）差旅費；（7）物資供應;(8)固定資産;(9)電腦系統。該會計局规定，各部門應該一方面按照其中的內部控制調查表，驗證本單位的內部控制系統，然後針對發現的单薄環節，提出改進方案及實施日期，並匯總編制內部控制弱點及改進方案，最後連同部門領導簽署的財務控制驗證表，一併呈交洛杉磯縣會計局。二、美國Washoe縣內部控制手冊美國Washoe縣內部控制程式手冊，作爲參考工具提供給本地的各政府部門，以供其建立和執行有效的內部控制。本內部控制程式手冊，涉及6個重要迴圈:(1)收入;(2)採購和現金支出;(3)資産和設備;(4)預算;(5)工資支付;(6)存貨。下面列示其收入迴圈收集並交存收入業務的控制手冊。收集並交存收入業務控制手冊財務人員收到支票後必須馬上進行背書。控制因素：該控制通過減少支票的流動性，以減少偷竊發生的也许性。及時彙集各部門的現金收入。控制因素：該控制可以減少員工偷竊現金的機會，並集中現金管理的責任。定期將所有的現金收入存入銀行。控制因素：如果不及時把現金存入銀行，就會增大偷竊的也许性，并且，也得不到存款利息。最佳是在下一個工作日之前及時存入所收現金，除非收入的現金極少，可不存入銀行。保證所有的現金和支票，在存入銀行之前妥善保管。如果收入必須過夜，必須保存在安全設施中。控制因素：該控制能夠限制未被授權的人，接近尚未存入銀行的收入。當前的價目表應該按照规定告知顧客，或在每個部門公開張貼。控制因素：這可避免雇員向顧客索取超額費用。鼓勵顧客索取所有業務票據。控制因素：這可以避免收款人員少記銷售數量，從中謀取利益。收取現金或預備存款的雇員，必須同記錄或核准本業務的人員責任分離。控制因素：此可避免一個人收取現金，並改變記錄，以隱藏貪污行爲。負責整顿硬幣的職員，應該在每份包裝物上簽注數額。控制因素：此可便於清查硬幣溢缺錯誤。去銀行交存現金的人員在途中應受到適當保護。如果存款數量巨大，應考慮与否雇用銀行押款前來提取存款。控制因素：此可保證存款人和存款的安全性。如果使用銀行押款車和保險箱，應由銀行押款人員和我司雇員同時打開保險箱。控制因素：用公司內、外職員同時監視保險箱，可以避免違規接觸保險箱中的物品。收取每筆存款的票據證明(如銀行存款單、轉賬憑單等)，並送交負責銀行對賬的人員，或者同出納員進行核對。控制因素：如果以後銀行記錄與公司記錄不符，該控制可以提出足夠的證據與銀行對證。严禁雇員或顧客在收款台兌現個人支票。控制因素：此可避免雇員通過個人支票提取現金，並掩蓋差異舞弊，也可以減少收取無效支票的風險。严禁接受遠期支票控制因素：如果將遠期支票提前交存銀行會産生托收問題，而公司每天要把現金收入存入銀行，不得持有和保存原期支票。不能收取票面數額大於應收數額的支票。控制因素：如果支票沒有信用保證，票面金額大於應收金額，會産生托收困難。所有的折扣、降價、退款及費用調整等行爲必須經過被授權人的批准。控制因素：該控制可以避免未被授權的退款，和虛?己退付款，以偷竊公司的錢財。 保存所有的銀行存款單和相應附件的備份，並提交給公司的資金主管。控制因素：此可有效的監督銀行文献的可靠性和合法性。 對各項財務工作崗位，都應該明確責任和許可權。 控制因素：明確界定各個財務工作崗位的職責是非常重要的，這可以保證每個人員不會玩忽職守，而對自己的工作認真負責。定期輪流互換財務部門每個員工的工作。控制因素：該控制可以減少財務部員工出錯的也许性，并且也起到她們互相監督的作用。三、巴塞爾銀行監管委員會內部控制系統評價框架巴塞爾銀行監管委員會(BCBS)4根據COSO報舌，按照控制要素擬訂了本框架體系，以供銀行業務監管者及其她對此感興趣的團體設計和評價內部控制系統時的使用。本框架在吸取成員國經驗教訓並採納委員會己確立準則的基礎上，描述了健全的內部控制系統應遵循的基本原則及相關要點。下面列示控制活動要素的相關內容。c:控制活動評價框架原則6:控制活動是銀行平常經營必不可少的部分，高級管理層必須建立一個適當的控制結構，以確保有效的進行內部控制、限定每個業務層面的控制活動。這應當涉及:最高管理層的審核;對不同部門適當的行爲控制;實體控制;定期的對遵從披露限制的檢查;審批與授權系統;確認與對賬系統。高級管理層必須定期地確保銀行所有的領域都與已確立的政策及程式相一致。24.控制活動的設計與實施，是針對那些銀行在上述的風險評估程式中所識別出的風險而確定的。控制活動涉及了三個步驟:(1)控制政策的建立;(2)實施與這些政策相符的控制程式;(3)確認控制政策被遵從。控制活動波及到銀行從高級管理層到前臺服務員的所有級別的職員。控制活動涉及: 高層審查:董事會和高級管理層經常规定下級上報業績報告，以便能夠瞭解銀行在實現目標上的進展。例如，高級管理層也许將實際的財務報告與預算做比較。高級管理層發現的問題將作爲這次檢查的結果，和由低層管理人員準備的相應解決措施共同代表一個控制行爲，它也许發現諸如控制单薄，財務錯報和欺詐行爲之類的間題。行爲控制:部門經理按日、按周或按月檢查執行標準和相關報告，各業務負責人對業務的直接審查比高層管理人員對此的審查更細緻。例如，一位負責商業借貸的經理也许每周審查關於失職、已收款項和所有利息收入的情況，而高級借貸經理也许每月才審查一次類似的報告，並且以更概括的形式來考慮所有的借貸業務。和高層審查一樣，作爲審查結果發現的問題與相應的措施代表一個控制行爲。實體控制:實體控制重要著眼於限制對實物資産的接觸，涉及證券及其她金融資産。控制活動涉及實體限制、雙重監管和定期盤存。遵守對披露的限制:建立一個謹慎的、可承擔風險披露限制的體系是風險管理的一個重要萬面。例如，遵從對借款人或其她相關組織的限制可以減少銀行爲借貸風險所牽制的精力，並分散風險。一般地，內部控制一個很重要的方面是定期地對与否遵從了這種限制進行審查。批准與授權:要對交易的批准與授權加以某些限制，保證適當級別的管理人員瞭解這些交易和形勢，並幫助其確認責任。確認與對賬:確認各項業務的細節、行爲以及銀行風險管理模型的輸出，是重要的控制行爲。定期對賬，例如對比現金流量報表和財産記錄報表，可以識別需要改正的業務或記錄。一般的，這些確認的結果應定期地向適當級別的管理人員彙報。25.當管理人員與其她員工將控制活動看作是銀行平常運作的一部分，而不是額外的附加活動時，它才是最有效的。當控制活動被視爲額外的平常經營活動時，她們一般不被重視，並且當員工在有限時間裏需要完毕過多工時容易被忽视。此外，被視爲平常經營的控制可以對變化的情況做出迅速的回應，並且可以避免不必要的浪費。作爲適當的銀行控制文化的一部分，高級領導層應確保適當的控制活動成爲所有相關員工的平常職能。26.高級管理層針對銀行的不同部門和不同的業務，僅僅確立簡單的政策和程式是不夠的。她們應定期確保銀行的所有部門存在充足合適的政策和程式，並保持各部門的控制活動與這些政策相一致，這個職能一般由內部審計部門來完毕。原則7:高級管理層應當確保職責分工明確，員工的責任分工沒有衝突，應當識別存在潛在利益衝突的區域，對此要謹慎地監控以使其風險降到最小化。27.在回顧由銀行单薄的內部控制而引起的重要損失時，監管者發現不當的職責分派是導致這些損失最重要的因素之一。讓一個職員負責互相關聯的職責(例如:一個負責交易的人員同時負責前臺的工作和後臺的工作)，這給她提供了接觸有價資産的機會和爲了個人利益通過更改財務資料而掩蓋舞弊的機會。銀行爲了減少財務資料被更改或資産被任意佔用的風險，一般應將某些重要的責任分派給幾個不同職員共同進行管理。28.責任分離問題不僅僅在於控制一個職員同時負責前後臺的業務，當一個職員同時負責有下列業務時，不適當的控制也會導致嚴重的間題:既負責支付基金的批准業務又負責實際支付業務;既負責記錄客戶賬又負責記錄銀行賬;既負責進行銀行賬又負責記錄業務往來賬;非正式地向某客戶提供有關她們市場形勢的資訊和其她競爭者的資訊;既負責評估貸款憑證又負責監控資款後借款人的行爲，其她嚴重的利益衝突不會因其她因素而緩和的區域。29.應當及時的識別存在潛在衝突的區域，對此要謹慎地監控並使之最小化。對於關鍵職位的責任與職能也應當做定期的審查，以保證她們不會有被掩蓋的不當行爲。一、內部控制的設計原則設計內部控制的總體思路是:借鑒內部控制理論，參考內部控制範例，根據內部控制法規，結合企業管理實際。設計健全的內部控制系統，需要定期進行評價，並根據業務變化而隨時修改。內部控制的評價和修訂職責，可以分派給企業內部審計部門負責。目前我國關於內部控制的法規制度，重要有1999年修訂的會計法，中國證券監督管理委員會證券公司內部控制指引和中國人民銀行加強金融機構內部控制的指導原則(銀髮1997199號)，此外財政部正在制訂單位內部會計控制制度。在此基礎上，設計內部控制還應遵循如下五條具體規則:1.互相牽制原則互相牽制原則，是指一項完整的經濟業務活動，必須分派給具有互相制約關係的兩個或兩個以上的職位，分別完毕。即在橫向關係上，至少要由彼此獨立的兩個部門或人員辦理以使該部門或人員的工作接受另一個部門或人員的檢查和制約;在縱向關係上，至少要經過互不隸屬的兩個或兩個以上的崗位和環節，以使下級受上級監督，上級受下級牽制。其理論根據是在互相牽制的關係下，幾個人發生同一錯弊而不被發現的概率，是每個人發生該項錯弊的概率的連乘積，因而將减少誤差率。需要分離的職責，重要是:授權、執行、記錄、保管、核對。2.協調配合原則協調配合原則，是指在各項經營管理活動中，各部門或人員必須互相配合，各崗位和環節都應協調同步，各項業務程式和辦理手續需要緊密街接，從而避免扯皮和脫節現象，減少矛盾和內耗，以保證經營管理活動的連續性和有效性。協調配合原則，是對互相牽制原則的深化和補充。貫徹這一原則，特别规定避免只管牽制錯弊而不顧辦事效率的機械做法，而必須做到既互相牽制又互相協調，從而在保證質量提高效率的前提下完毕經營任務。3.程式定位原則程式定位原則，是指企業單位應該根據各崗位業務性質和人員规定，相應地賦予作業任務和職責許可權，規定操作規程和處理手續，明確紀律規則和檢查標準，以使職、責、權、利相結合。崗位工作程式化，规定做到事事有人管，人人有專職，辦事有標準，工作有檢查，以此定獎罰，以增长每個人的事業心和責任感，提高工作質量和效率。4.成本效益原則貫徹成本效益原則，即规定企業力爭以最小的控制成本获得最 大的控制效果。因此，在實行內部控制花費的成本和由此而産生的經濟效益之間要保持適當的比例，也就是說，因實行內部控制所花費的代價不能超過由此而獲得的效益，否則應捨棄該控制措施。5.整體結構原則企業內部控制系統，必須涉及控制環境、風險評估、控制活動、資訊與溝通、監督五項要素，並覆蓋各項業務和部門。換言之，各項控制要素、各業務迴圈或部門的子控制系統，必須有機構成爲企業內部控制的整體架構。這就规定，各子系統的具體控制目標，必須對應整體控制系統的一般目標。二、內部控制的劃分方式單位總控制系統，一般適宜按照業務迴圈劃分爲子控制系統。在內部控制範例部分，曾列示了若干組合的業務迴圈。實際工作中的業務迴圈劃分及其取捨，重要取決於企業業務特徵與需求。一般情況下，應該涉及下列於控制系統。1.資訊處理控制系統(1)手工資訊控制系統(2)電腦資訊控制系統2.貨幣資金控制系統(1)現金控制系統(2)銀行存款控制系統3.存貨控制系統(1)採購控制系統(2)存儲控制系統(3)領發控制系統4.固定資産控制系統(1)固定資産購置控制系統(2)固定資産退出控制系統(3)固定資産折舊控制系統5.成本費用控制系統(1)工資費用控制系統(2)生産費用控制系統(3)産品成本控制系統6.銷售控制系統(1)銷售(非托收承付)控制系統(2)銷售(托收承付)控制系統7.投資控制系統(1)短期投資控制系統(2)長期投資控制系統8.財務成果控制系統(1)銷售利潤控制系統(2)營業外收支控制系統(3)利潤分派控制系統近來管理界認爲，應該將預算控制、物流管理、人力資源政策，作爲子控制系統加以設計，我們認爲這種強化管理控制的做法，是可取的。必須強調，各行業或各單位的業務特點，決定了內部控制的劃分方式。三、內部控制的設計步驟設計內部控制的步驟，重要是確定控制目標，整合控制流程， 鑒別控制環節，確定控制措施，最終以流程圖或調查表的形成加以體現。1.控制目標控制目標，既是管理經濟活動的基本规定，又是實施內部控制的最終目的，也是評價內部控制的最高標準。在實際工作中，管理人員和審計人員總是根據控制目標，建立和評價內部控制系統。因此，設計內部控制，一方面應該根據經濟活動的內容特點和管理规定提煉內部控制目標，然後據以選擇具有相應功能的內部控制要素，組成該控制系統。國外對內部控制的目標，一般都在內部控制的定義中加以表述。例如，本文 (內部控制概論部分曾經述及，美國註冊會計師協會的審計程式委員會在內部控制定義中，提出了四項控制目標;COSO委員會提出了三項控制目標等。我們將內部控制的基本目標概括爲六項:（1）維護財産物資的完整性。(2)保證會計資訊的準確性。(3)保證財務活動的合法性。(4)保證經營決策的貫徹執行。(5)保證生産經營活動的經濟性、效率性和效果性。(6)保證國家法律法規的遵守執行。需要指出的是，以上六項目標均爲基本目標或一般目標。在每項基本控制目標下，還可細化爲若干具體控制目標。例如，第二項基本目標保證會計資訊的準確性，即可分解爲:(1)保證會計憑證的準確性;(2)保證會計賬簿的準確性;(3)保證會計報表的準確性等幾項具體目標。而第 (1)項具體控制目標保證會計憑證的準確性，又可進一步分解爲保證會計原始憑證的準確性、保證會計記賬憑證的準確性，第 (2)(3)項具體控制目標同樣也可分解爲若干更具體的控制目標。2.整合控制流程控制流程，是依次貫穿于某項業務活動始終的基本控制步驟及相應環節。控制流程，一般同業務流程相吻合，重要由控制點組成。當企業的業務流程存在控制缺陷時，則需要根據控制目標和控制原則加以整合。3.鑒別控制環節實現控制目標，重要是控制容易發生偏差的業務環節。這些也许發生錯弊因而需要控制的業務環節，一般稱爲控制環節或控制點。控制點按其發揮作用的限度而論，可以分爲關鍵控制點和一般控制點。那些在業務處理過程中發揮作用最大，影響範圍最廣，甚至決定全局成效的控制點，對於保證整個業務活動的控制目標具有至關重要的影響，即爲關鍵控制點;相比之下，那些只能發揮局部作用，影響特定範圍的控制點，則力一般控制點。如材料採購業務中的驗收控制點，對於保證材料採購業務的完整性、實物安全性等控制目標都起著重要的保障作用，因此是材料採購控制系統中的關鍵控制點;相比之下，審批、簽約、登記、記賬等控制點，即是一般控制點。需要說明的是，關鍵控制點和一般控制點在一定條件下是可以互相轉化的。某個控制點在此項業務活動中是關鍵控制點，在此外一項活動中則也许是一股控制點，反之亦然。4.確定控制措施控制點的功能，是通過設置具體的控制技術和手續而實現的。這些爲預防和發現錯弊而在某控制點所運用的各種控制技術和手續等，一般被概括爲控制措施。如現金控制系統中的審批控制點，就設有:(1)主管人員授權辦理現金收支業務;(2)經辦人員在現金收支原始憑證上簽字或蓋章;(3)部門負責人審核該憑證並簽章批准等控制措施。銀行存款控制系統的結算控制點則設有:(1)出納員核查原始憑證;(2)填制或获得結算憑證;(3)加蓋收訖或付訖戳記;(4)簽字或蓋章;(5)登記結算登記簿等控制措施。以上兩個控制點的差異，說明由於其控制的業務內容不同，所要實現的控制目標不同，因而