浅谈企业内部控制与体系管理的融合

精品文档浅谈企业内部控制与一体化体系管理的融合在企业高效运作的今天，企业面临着更多的机遇和挑战。 规避风 险、规范运营，越来越受到各企业的重视。通过介绍内控发展的历程、 它与一体化体系管理的异同，为我们打开一扇实现内部控制与体系管 理融合的创新发展之窗，来完善自身的内控制度，提高一体化体系管 理的水平，给企业管理带来新的活力。一、内部控制理论的发展（一）初级阶段：内部控制系统理论（1936至20世纪80年代 末）内部控制系统理论的特点是将内部控制分为内部会计控制和内 部管理控制两部分。前者着力于保护资金安全及会计记录的可靠性； 后者着力于提高经营效率和确保既定的管理政策。 这一理论是内部控 制的外延得到拓宽，也是其内涵更加丰富。一直沿用到20世纪80年 代末。（二）发展阶段：内部控制结构理论（1988年至1992年） 内部控制系统理论局限性在于把精力过多的放在纠错防弊上， 内部控制的范围的目标也显得消极和狭窄。 也正因如此，才使新的内 部控制理论内部控制结构理论应运而生。内部控制结构理论观点的提出是 1988年美国注册会计师协会在 发布的审计准则公告第55号中，首次使用“内部控制结构”一 词，指出：“内部控制结构包括为合理保证企业特定目标实现而建立 的各种政策和程序”，并确定内部控制结构包含3个要素：控制环境、会计制度和控制程序。内部控制结构理论的突出特点是将控制环境纳入内部控制领域。同时，考虑到会计控制与管理控制的不可分割性， 因此不再细分会计控制和管理控制，是内部控制理论和实务操作的新 的发展。（三）最新成果：整体框架理论（1992年至今）美国“反对虚假财务报告委员会”所属的“发起人委员会”（简称COS（委员会），于1992年9月颁布其纲领性文件内部控制整体框架，是内部控制理论发展的又一个里程碑。在这部描述内部 控制的报告中，开创性的提出了内部控制整体框架的概念。1994年,该委员会又对报告进行了增补。他们在报告中指出：内部控制是由董 事会、管理层和员工共同设计并实施的，旨在为财务报告的可靠性， 经营效率与效果，相关 法律法规的遵循性等（简称三类目标）提供合 理保证的过程。它由相互关联的 5个要素构成：（1）控制环境。控制环境是内部控制整体框架的基础。人是诸 多环境因素中具有决定性的因素。 人的品行操守、道德价值观以及能 力，即使构成环境的重要因素，又与环境相互影响、相互作用。环境 要素还包括管理层的管理 哲学、管理理念等等。（2）风险评估。在变化万端的环境中，任何单位都会面临各种 各样的风险，而对风险的了解和估定是必须的， 建立可操作的风险评 估机制，发现、甄别、分析、管理、控制风险也是必须的。重要的前 提是，建立风险评估机制，要从整体上和单个层面上制定与不同作业 层次相关联的目标，建立目标体系。风险评估机制实际就是评估与实 现目标相关的各种不利因素的机制。（3）控制活动。控制活动就是制定控制的政策和程序。帮助管 理层确保管理方针得以贯彻执行。其目标是经风险评估确定的管理和 控制风险措施能够有效落实。控制活动的内容包括职能分离、实物控 制、信息处理控制、业绩评价等。（4）信息与沟通。内部控制活动必须要有信息与沟通系统的支 持。在执行、管理和控制经营过程中，部门之间、层次之间、内部外 部之间，能否顺畅传递信息、有效的沟通，是决定目标实现和员工履 行职责的必要条件。（5）监督。内部控制的过程必须加以恰当的监督，通过监督对 内部控制质量进行评估。对偏差加以修正。监督有日常监督、例行监 督和常规性事后监督等。监督应具有独立性，发现内部控制中出现的 问题，可直接报告最咼层。上述三类目标是努力方向，而五个要素则是实现目标的必要条 件，两者相互关联。五个要素之间相互协调，共同构成对不断变化的 环境做出动态反应的一个整体。该框架报告面世以后，被公认为是内部控制理论研究的最高成 就。二、内控与一体化体系（一）不同之处1、基础和背景不同（1）目前国际最新的版本或标准目前国际上对内部控制最权威的定义标准应该推美国的反虚假财务报告委员会下属的发起人委员会 （简称COSC委员会）于1992年 9月发布，1994年进行了增补的内部控制一整体框架。一体化管理体系目前最新版本包括IS09001: 2008质量管理 体系一一要求、IS022000: 2005食品安全管理体系一一食品链中 各类组织的要求、IS014001: 2004环境管理体系一一规范及使用 指南和OHSAS18O012OO7职业健康安全管理体系标准。（2）发布机构不同A、国际上发布机构内部控制一整体框架是由美国注册会计师协会（AICPA）、美国会计协会（AAA、财务经理人协会（FEI）、内部审计师协会（IIA ）、 管理会计师协会（IMA）联合创建的反虚假财务报告委员会下属的 COSO 委员会发布。一体化体系中的三个体系基本都是出自于国际标准化组织。B、中国发布或制定机构目前中国对内部控制标准进行正式定义的机构有财政部、证监 会、审计署、银监会、保监会 。而一体化体系是由中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布。（3）制度、体系制定背景或目的不同COS（报告是在美国金融风险加剧，财务欺诈抬头，社会各界 对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。内部控制基本目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。 COS侗时把内部控制细分为经营效率与效果、财务报告可靠和遵纪 守法三类具体目标。而一体化体系四个体系各有不同的具体目的。一体化体系中质 量管理体系最先出现，它的主要目的是为了证实组织具有提供满足顾 客要求和适用法规要求的产品的能力，目的在于增进顾客满意。然后随着全球化贸易的开展，企业能否在全球经贸活动中生存、竞争、 发展，质量（Q、环境（E）及职业安全健康（OSH问题已成为不 可回避的全球化的问题，如何在保证产品质量的同时对全球的环境以 及职工职业健康安全提出了要求， 所以制定ISO14000环境管理系列 标准的目的是规范全球企业及各种组织的活动、产品和服务的环境行为，节省资源、减少环境污染，改善环境质量，保证经济可持续发展。 而OHSMS18OO0SMS职业健康标准 是企业为了提高社会形象和控 制职业伤害给企业带来的损失所制定的。针对食品加工销售企业，基 于从食品企业原料供方管理到最终消费者食用安全全过程保障提出 了 ISO22000: 2005食品安全的规范性安全管理和操作要求。2、内部控制与一体化内容不同（1）内部控制A、五个要素内部控制包括5个要素，分别为控制环境、风险评估、控制活动、 信息的沟通与交流、内部的监控。任何制度都没有最完善的，都需要随着情况的变化而变化，所以 内部的监控就是对内部控制实施情况进行监督检查， 评价内部控制的 有效性，以便发现内部控制缺陷，及时加以改进。B、应当遵循的五项原则企业建立与实施内部控制，应当遵循下列原则：全面性原则、成本效益原则、制衡性原则、适应性原则、重要性原则。（2）体化体系A、实施一体化所需的流程图（PDCA一体化管理所需的流程可以概括为 PDCA是指计划（plan ）、 实施（do）、检查（check）、和处理（action ）四个阶段。计划（plan ）阶段的作用类似于内部控制的风险评估要素，实 施（do）阶段就如内部控制的控制活动要素，检查（check）和处理（action ）阶段则相当于内部控制的信息的沟通与交流、内部的监控要素。B、一体化的资源管理一体化的资源管理包括：资源提供、人力资源、基础设施、工作 环境、信息、与供方（包括合作伙伴）的关系、支持性文件。资源管理所包括的内容与内部控制的控制环境要素来对比， 感觉 资源管理更偏向于微观和企业某一层面来进行规范， 而控制环境则是 从明确治理结构和人文方面进行要求。3、制度、体系完善程度和认证、鉴证情况和证明效果不同目前内部控制还没有形成完善的体系，国内也没有官方正式公布 完整的内部控制制度，对内部控制的要求散落在诸如 内部审计具体 准则第5号内部控制审计 企业内部控制基本规范等。 对 于企业内部控制的实际执行情况也没有强制性或自愿性认证的指引， 只是对上市公司有一个2009年7月1日开始实施的企业内部控制 鉴证指引（征求意见稿）要求由会计师事务所对上市公司内部控制 情况进行鉴证，2010年4月26日国家五部委联合发布企业内部控 制应用指引（共18项），明确自2011年1月1日起首先在境内外 同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易 所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小 板和创业板上市公司施行。而一体化相比之下要完善得多，先后已经有不同的版本，同时 也有官方正式制定的适合中国企业的版本， 也在法律层面针对某些企 业有强制性的认证要求或自愿性认证的指引。 承担认证的机构要求相 比内部控制只能由有资格的会计师事务所的要求要宽松。企业对于两者的认识以及自愿认证和鉴证的要求是不同，一般企业都会自愿进行一体化认证，且认证后一般会颁发认证合格证书来证 明企业在产品质量保证、环境和职业健康安全已具有的一定的国际水 平。而内部鉴证一般只有会计师事务所出具的内部控制鉴证的报告， 而不会颁发证书证明企业在内部控制方面达到怎样的水平。4、内部控制的局限性一体化经过多年的修改，现在已经有比较先进和完善的版本， 而 内部控制却存在不少的局限性。首先：评价内部控制有效性标准过于主观。根据COS（报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程 度。但评价标准基本上都是主观判断。其实，一个企业内部控制是否 有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值， 客户满意度，持续获利能力增长情况等。其次：内部控制系统中会计与审计的色彩太重， 考虑企业现存的 和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防 范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部 控制只是财务主管和财会人员的事情。（二）共同之处虽然内部控制存在很多不完善的方面， 但从其目的来说，内部控 制与一体化体系是全面与局部的关系，一体化体系是实现内部控制三 个具体目标（经营效率与效果、财务报告可靠和遵纪守法）中的经营 效率与效果目标的很好的实施工具。一体化体系标准是基础，内部控制机制是一体化体系的延伸。三、借鉴与实践（一）借鉴1、随着我国市场 经济的不断深入和完善，在新旧体制的碰撞 中，在日趋激烈的市场竞争中，时常会冒出一些不稳定因素，不规范 的行为。究其原因，最本质的是 企业的内部控制出了问题。而这些问 题，不仅仅限制在经济领域，还有食品安全、环保事件、安全管理、 职业健康等多方面的内容。而要解决这一问题，就要深入触动微观机 制的最本质问题，关注一体化体系运行的有效性，强化企业的内部控 制。近年来，我国十分重视对内部控制的研究和推广工作，有关部门 还发布了一系列规范和指导意见，促进了各单位内部控制制度的建立 和完善。但由于规范和指导意见的内容太过宽泛， 可操作性和针对性 不强，各单位在实施过程中比较盲目，目前只是停留在自我评价的水 平，不能纳入日常的管理活动，缺乏可信度。2、学习借鉴国外的先进经验，结合我国的具体实际加以转化吸 收，取人所长，补我所短。在充分吸收内部控制理论的精华的同时， 认真掌握内部控制的方法，切实在经济活动中加以运用。目前运用的 内部控制方法主要有以下几种：（1）内部牵制法。内部牵制是通过职责分工和工作程序的适当安 排，以事物分管为核心的自检系统。其作用是使各项业务活动自主有 效的置于相关作业人员的查验核实之中。其内容包括：体制牵制； 薄记牵制；实物牵制；机械牵制。（2）一般控制法。是指根据本单位业务的性质和特点，针对容易发生错弊的业务环节所实施的控制程序、 方法和措施。目前我国多 数单位通常是针对人、财、物等要素，来设计内部管理控制和内部会 计控制的。（3）业务循环控制法。一般来说，任何经济单位的业务活动都 具有货币资金、筹资与投资、审购与付款、销售与收款等若干循环。对这些业务循环，按其顺序实行方法和程序上的控制，就是业务循环 控制法。（二）实践不论是内部控制还是一体化体系管理， 都不是单一的制度、机械 的规定，而是一个发现问题、解决问题的动态过程。1、由于内控规范和指导意见的内容太过宽泛，可操作性和针对 性不强，各单位在实施过程中比较盲目，没有日常的管理办法和实施 办法，不能像一体化体系管理一样纳入日常的管理活动。2、要确保内部控制制度的切实执行，并收到良好的效果，就必 须对内部控制过程加以恰当的监督。目前，各单位的内部控制仅限于 阶段性的自我评价，缺乏行之有效的日常管理和监督，评价结果缺乏 可信度。比如各企业一体化体系运行的有效性、符合性的检查，都需 要有外部单位认证和年度监督审核和管理，以保证企业在有序的规则 下进行，否则蚁溃大堤的情况就会发生，这不仅会对市场经济的发展 不利，也会给努力做好内部控制的企业带来消极的影响。3、企业在内部控制实施时，基本上是被动的应对，而非主动地 管控。各企业内部控制基本流于形式，没有真正成为企业在市场竞争 中发挥作用的服务手段。即上级关注什么，外部关注什么，我就评价 什么，并没有从注重企业控制环境的建设， 提高管理者的素质和管理 水平，增强竞争中抗风险意识，规范经济运作行为等方面考虑，进行 全面的风险管理，正确认识自身的优势与劣势、长处与短处。四、发展企业内部控制机制和一体化体系管理融合， 实现企业管理的有效 运作，是企业在市场经济大潮中，稳立船头，撑击风浪的新的课题和 挑战。1、处理好全局和局部的关系内部控制的目标涵盖了一体化体系管理的内容， 一体化体系管理 是实现内部控制经营效率与效果目标的实施工具。 在一体化体系建设 时，除了依照体系标准外，可以考虑用内部控制的五要素验证制度设 计的合规性，提高体系运行的质量，解决体系文件设计存在的缺陷。对于一体化体系管理不能涵盖的内部控制的另外两个目标：财务报告可靠和遵纪守法，可以用PDC/管理流程图的思路对每一个节点 进行规范，运用内部控制的方法建立 完善的内部控制制度。2、实现日常管理的一体化在一体化体系管理日常检查表的基础上， 考虑泛化体系管理的内 容，依照内部控制五要素把内部控制的三个目标纳入检查表，实现内部控制机制的日常化管理。体系检查的过程就是内部控制执行缺陷的 辩识过程，体系内审就等同于内部控制自我评估。 这样就可以实现内 部控制风险的全面识别和及时纠正。