內控定義
㈠ 會計學和財務管理兩個專業有什麼區別
一、會計學和財務管理的區別
(一)會計學:說白了,就是做賬,把企業的發票等票據做成會計憑證,再登記入賬,然後編制報表!其實質是,把已經發生的經濟業務系統的核算一遍,以便報表使用者可以很清晰的看到企業的各項業務,各項資產的金額,已經本期實現的收益!
(二)財務管理:相比較與會計,傾向於對資金在使用前和使用中的管理,當然也包括使用後的管理!說白了就是,學習如何使用企業的資金,如何籌集企業的資金(錢不夠花的時候),用完以後,反思下這么用是否合理!
二、兩者的聯系
(一)會計做的帳以及報表,是財務管理者最重要的數據來源,財務管理分析大部分就是使用報表的數據!
(二)學會計的必須得懂財務管理,學財務管理的必須要懂會計。因為,兩者很多時候是互補的!
三、關於兩個專業的其他問題
(一)會計專業的學生必定會設置財務管理課程;財務管理專業學生必定也會設置會計課程。
(二)這兩個專業的學生畢業之後,他們找的工作基本是互通的。也就是會計專業的學生可以找的工作,財務管理專業學生也可以找;財務管理專業學生可以找的工作,會計專業的學生也可以找。
四、如何選擇這兩個專業
如果你更喜歡踏踏實實,仔仔細細的核算每一筆業務,那麼去學會計專業。
如果你更喜歡思考如何使用一筆錢,如果湊集一筆錢,如何從銀行貸到款,如何讓企業少花一點錢,那麼去學財務管理!
急速通關計劃 ACCA全球私播課 大學生僱主直通車計劃 周末面授班 寒暑假沖刺班 其他課程
㈡ 內控失調是什麼意思
就是指企業內部的管理失去了其應有的效果
㈢ 內部控制重大風險的定義是什麼
內部控制重大缺陷復是指內部控制設制計或執行存在嚴重不足,使被審計單位管理層或員工無法在正常行使職能的過程中,及時發現和糾正錯誤或舞弊引起的財務報表重大錯報。
內部控制五個要素中都可能存在控制缺陷。下列情況通常表明內部控制存在重大缺陷:[1]
(1)審計人員在審計工作中發現了重大錯報,而被審計單位的內部控制沒有發現這些重大錯報。
(2)控制環境薄弱。
(3)存在高層管理人員舞弊跡象(無論涉及金額大小)。
㈣ 我國當前ERP在企業內部控制中應用的情況如何
對企業所面臨的風險而言,企業仍需要通過建立內部控制體系,提高風險管理水平,規避和弱化企業經營管理過程中遇到的各類風險
許多企業為了適應國際化和市場化的要求,紛紛建立自己的內部控制體系和應用ERP管理系統,這兩個體系都是涉及面廣、規模浩大、費用高昂的項目。那麼這兩者之間到底是什麼關系,有什麼異同,是否可以相互替代或互為補充,這是本文要探討和希望解決的問題。
一、內部控制簡介
1.內部控制的概念
控制可以分成內部控制和外部控制,外部控制是指通過企業所處的外部環境(比如影響企業外部活動的法律、法規、歷史文化和社會意識形態等企業自身功能不能左右的因素)對企業經營活動的約束和規范;而內部控制則是指企業為了實現自己的既定目標而進行的自身內部的自我組織、自我調節和自我修正。
對內部控制的認識是隨著時間和環境的變化而逐步成熟完善起來的。企業內外部環境的不同,也對內部控制的理解有差異。我國的《獨立審計具體准則第9號——內控制度與審計風險》中對內控制度的定義表述是「本准則所稱內部控制,是指被審計單位為了保證業務活動的有效進行,保證資產的安全和完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序」。
美國會計師協會對內部控製作出的權威性的定義是「內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和准確性、提高效率,推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。」。COSO委員會把這個定義進行進一步描述為:內部控制是一個過程,它受董事會、管理者當局和企業內部其他員工的影響,其目的是為了下列目標的實現提供合理的保證。這些目標包括:經營的有效性和效率性;財務報告的可靠性;法律法規的遵從性。內部控制要素有五個方面:控制環境、風險評估、控制活動、信息與溝通和監控。
基於以上概念,國內許多企業在具體進行內部控制體系建設時,認為「內部控制,是指企業為實現經營目標,確保會計信息真實可靠,保護資產安全完整,遵循有關法律法規和規章制度,提高企業運營的經濟性、效率性和效果性而制定和實施相關政策、程序和措施予以合理保證的過程。」
2.兩個定義的異同
雖然國內的定義基本上沿用了美國的定義,但是從兩個定義來看美國定義內涵和外延比國內定義的范圍要大一些,國內定義繼承和包涵了美國定義的強調部分和精髓,但對除財務信息、資產安全外的企業內部管理控制內容基本沒有涉及。雖然國內的定義更符合目前我們注冊會計師的執業水平和當前的國內經濟發展狀況,但是在適當時候國內的定義應該進行修整,使其更多地轉到內部控制因素上來進行表述。國內企業在建立自己的內部控制體系的實際操作中更多的是參照了美國的內部控制定義和COSO委員會提出的五個內部控制要素。
3.內部控制概念的內涵
美國內部控制的定義給內部控制確定了四個目標:資產的安全性、財務信息的可靠性和准確性、經營成果的效率性、法律法規的遵從性。從這四個目標我們可以看出兩點:首先是內部控制不直接產生經濟效益,而是通過控制風險、規避風險、提高運行效率為提高經濟效益作保障;其次是從注冊會計師的法律責任來考慮,內部控制已經超出了注冊會計師的法律范圍了。
美國會計師協會對內部控制還作了如下劃分:「廣義地說,內部控制按其特點可以劃分為會計控制和管理控制。」其實,這個劃分就是把內部控制的四個目標按照控制責任主體進行了歸類:前兩個目標的控制基本歸為內部會計控制,後兩個目標的控制基本歸為內部管理控制。其實在管理以及審計實務中,這兩者往往會交叉在一起,難以嚴格的界定和區別開來,就是區別開來實際意義也不大。
根據這個分類,我們可以通過分別理解內部會計控制和內部管理控制來理解和詮釋內部控制的定義。
內部會計控制:內部會計控制是由保護資產安全和保證財務信息真實可靠的相關工作流程和工作記錄構成的控制體系。內部會計控制的控制范圍是能夠用貨幣計量的經濟活動,其實現的基本手段是財務工作流程和財務控制標准,主要目的是保護企業資產的安全和財務信息的准確可靠。
內部管理控制:內部管理控制是為提高企業經營效率,促使遵行各項管理政策,以便達到既定目標的控制體系。內部管理控制的控制范圍是企業所有的內部管理活動和管理職責,是對各項經濟業務進行內部會計控制的起點,其實現的手段是制度和工作流程的控制,主要目的就是提高企業的經營效率,保證各項規章制度的順利執行。
二、ERP簡介
1.ERP的發展歷程
20世紀70年代,製造企業管理者為了有效地進行物料管理和利用,形成了物料需求計劃MRP;80年代為了解決生產與庫存控制的集成問題,又產生了製造資源計劃MRP-Ⅱ;90年代企業信息處理量不斷加大,企業資源管理復雜化也加大了,這樣信息集成度的要求就隨即擴大到了企業的整個資源利用和管理,於是就產生了管理理論與計算機系統——企業資源計劃ERP(Enterprise Resource Planning)。
MRP-Ⅱ的核心是物流,主線是計劃;而ERP的主線雖然也是計劃,但重心是財務,ERP的管理范圍涉及企業所有供需過程,是對供應鏈的全面管理。與以往的管理軟體相比,它極大地擴展了業務管理的范圍。
2.ERP的實質和優勢
ERP是一個對企業資源進行有效共享與利用的系統。ERP通過信息系統對信息進行充分整理、有效傳遞,使企業的資源在購、存、產、銷、人、財、物等各個方面能夠得到合理地配置與利用,從而實現企業經營效率的提高。從本質上講,ERP是一套信息系統,是一種工具。ERP在系統設計中可集成某些管理思想與內容,可幫助企業提升管理水平。
ERP作為企業信息化建設的核心組成部份,它的優勢不僅僅在於幫助企業建立一套信息化管理系統,更重要的是它是體現現代管理思想和方法的一種先進工具。
三、內部控制與ERP管理系統的關系
1.ERP是內部控制的工具和手段之一
內部控制內控的目標基本涵蓋了企業經營活動的全部內容,而ERP作為信息系統,是為企業經營目標服務的。ERP實施前要求有關組織重新設計和改進其業務流程,進行業務流程再造,再造後的流程成為組織必須遵循的共同標准。流程再造的設計過程中,設計人員集成某些管理思想,體現有效控制和高效配置企業資源的信息化優勢。所以在ERP的流程再造的設計過程中,可以把相關的部分內部控制要求加以考慮,以致這些要求最終成為組織內部所共同遵守的標准。
內部控制系統隨著時間、環境條件、所應用的控制方法的變化而不斷變化,ERP就是在內部控制系統發展的歷程中某個時點上的一種相對完美的控制工具和手段。內部控制五要素中控制活動的手段可以分為人工控制和自動控制,通過ERP實施控制活動就是典型的自動控制。對於一些不能通過自動控制來實現的控制活動,還要應用人工控制,比如:我們對於難以量化需要以職業判斷為主的控制手段「危險信號」的控制;對於不在ERP線上的其他信息系統控制(如與員工上下班的IC卡控制)等等。
2.ERP本身是內部控制的客體
ERP是由主觀意識的人設計和進行具體操作的,其最前端輸入的數據決定其產出產品的質量,「垃圾輸入決定了垃圾輸出」。若輸入錯誤的數據,其影響也一樣會遍及企業整個范圍和相關角落,最終可能導致嚴重的管理決策錯誤,而該數據源則由人為控制著,具有一定的主觀性;另外,ERP同其他信息系統一樣也面臨著諸如財產價值、法律責任、資產安全等風險,也需要對其進行有效的控制。
3.ERP是信息與溝通的組成部分
在COSO的內部控制框架中,信息與溝通是貫穿整個內部控制系統的要素。ERP作為信息集成系統,可以承擔量化信息的篩選、集輸、溝通。在ERP系統的設計、開發、實施、運行、維護及管理中,可以把內部控制體系中對信息的總體控制和應用控制要求加以體現,比如在ERP的設計階段就可以把信息安全、系統變更管理等思想和要求加以考慮。
ERP使得量化的信息溝通更便捷,並能達到全方位的信息共享。在企業內部,只要是ERP上的合法用戶,就可以隨時享受共享的信息,從而幫助管理者及時識別、捕捉確切的與企業經營活動相關信息,抓住判斷時機,實現信息溝通的目的。
4.ERP具有一定的局限性
ERP作為信息技術,它是企業管理工具和手段的一種,如上文所述,它不能代替所有的管理工具和技術;ERP業務復雜,運作和維護成本高,規模較小的企業不適合採用該技術;ERP各模塊是根據業務實際設置的,沒有標准化的模型,所以對於不同類型的企業,ERP的內容也不盡相同,這對於經營范圍廣的大型企業集團來講就很難設置統一量化的考核評價標准等等。
從上面的分析可以看出,ERP就是一種管理和控制的工具和手段,它的優勢在於最大化的信息集成,並把特定的管理要求固化,但是它本身並不創造控制體系;對內部控制體系而言,它是自控控制和信息與溝通的一個重要組成部分;對企業所面臨的風險而言,企業仍需要通過建立內部控制體系,提高風險管理水平,規避和弱化企業經營管理過程中遇到的各類風險。
或許部分地基於上述原因,在ERP應用已經相當成熟的美國,在安然、世通等公司出現內部管理漏洞後,其證券交易委員會又以法定的形式要求上市公司必須建立內部控制系統,以加強上市公司的內部控制,增強其抵禦風險的能力,提高財務報告的質量,明確其法律責任。
㈤ 會計內部控制和內部會計控制屬於一個概念嗎
最初沒分開,現在不是一個概念。
內部會計控制的內涵也是隨著人們實踐的發展內而不斷發展。最初,內部容會計控制並末與內部控制的定義嚴格區分開來。內部控制「是企業所制定的旨在保護資產、保證會計資料可靠性和准確性、提高經營效率、推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施。」
內部會計控制由組織的計劃和主要或直接與保障資產和財務記錄的可靠性相關的所有方法和程序組成,一般來說包括批准和授權系統、保管記錄和會計報告的人物與經營或資產保管的任務相分離、對資產的實物控制和內部審計等控制手段。內部會計控制包括資產保護、保證賬目和財務報告真實性和完整性的有關方法、程序和組織規劃。一個有效的內部會計控制制度應具有按管理部門需要來保證執行經濟業務和完成工作的職責,以及保證制度正確實施的有效程序。
㈥ 商業銀行內部控制的介紹
內部控制是20世紀中葉隨著現代經濟的發展而建立起來的一個重要管理方法。美國權威機構COSO(The Committee of Sponsoring Organizations of the Treadway Commission)委員會對內部控制的定義是:內部控制是一種為合理保證實現經營的效果和效率、財務報告的可靠性及符合法律和規章制度三大目標的程序。1998年1月巴塞爾委員會頒布的適合一切表內外業務的《內部控制系統評估框架(徵求意見稿)》,提出了新的內控定義,其中進一步強調董事會和高級管理層對內控的影響,描述了一個健全的內部控制系統及其基本構成要素,提出了供監管當局評價銀行內部控制系統的若干原則。
㈦ 內部控制審計的定義
內部控制審計復是通過對被審計單位的制內控制度的審查、分析測試、評價,確定其可信程度,從而對內部控制是否有效作出鑒定的一種現代審計方法。
內部控制審計是內部控制的再控制,它是企業改善經營管理、提高經濟效益的自我需要。
財政部、審計署、證監會、銀監會、保監會《企業內部控制基本規范》是內部控制審計的重要依據。依據滬深兩市上市公司內部控制指引,滬深兩市鼓勵上市公司董事會開展內部控制自我評估,在披露年報時披露內部控制自我評估報告,並且同時披露負責年報審計的會計師事務所的審核評價意見。
一般地,由直屬於董事會或者監事會的審計委員會、獨立董事負責內部控制審計,也可以委託不負責年審的會計師事務所開展內部控制審計。
㈧ 采購業務內部控制的定義、概念是什麼
采購與付款業務內部控制制度可以從其事前控制、事中控制和事後控制方面進行分析設計。
為規范采購與付款行為,防範采購與付款過程中的差錯與舞弊,保證企業采購在滿足生產和銷售的前提下可設計采購與付款的內部控制制度的流程如下:
一、事前控制,建立完善的采購業務內部控制制度,保證采購付款業務循環有效運行
1.合理的職責分工 ,應當建立采購與付款業務的崗位責任制,明確相關部門和崗位的職責、許可權,確保辦理采購與付款業務的不相容崗位相互分離、制約和監督。
2.完善的授權審批和審核制度 ,明確審批人對采購與付款業務的授權批准方式、許可權、程序、責任和相關控制措施,規定經辦人辦理采購與付款業務的職責范圍和工作要求。審批人應當根據采購與付款業務授權批准制度的規定,在授權范圍內進行審批,不得超越審批許可權。
二、事中控制,建立健全的付款制度,企業應當按照《現金管理暫行條例》、《支付結算辦法》和《內部會計控制規范—貨幣資金(試行)》等規定辦理采購付款業務。企業應當建立預付賬款和定金的授權批准制度,加強預付賬款和定金的管理。
三、事後控制,完善監督檢查,企業應當建立對采購與付款內部控制的監督檢查制度,明確監督檢查機構或人員的職責許可權,定期或不定期地進行檢查。
㈨ 金融企業如何加強內部控制
解決中國的國營企業問題尚需要深入觸動微觀機制的最本質的問題,即企業的控制問題。體制改革不是萬能的,要緊的是微觀機制的改造。我國企業的根本出路在於強化企業的內部控制。
轉變經營觀念,增強控制意識,提高管理水平,是我國企業迎接市場競爭的基本前提。只在宏觀經濟范圍提控制還不夠,也不能在微觀經濟中片面以改革取代控制。其實,變革本身就意味著一定的風險。片面強調改革組織結構的重要性,忽視了控制方式的跟進和強化,就使公司的改革同微觀治理機制相脫離。
強化企業的內部控制已經成為發達國家治理公司的重要手段,在國際上的研究已日漸成熟。三大目標和五大組成部分構造了內控系統的整體框架,幫助人們更全面和更深刻地理解內控及其控制對象,使企業能夠以內控為有力武器,從控制環境、風險評估、控制活動、信息與交流和監督評審五方面開展工作,為實現各項操作性目標、信息性目標和遵從性目標而自覺奮斗。
國際先進內控理論和實踐的發展啟示我們:要正確理解內控與管理的關系、內控與風險管理的關系和內控與內部審計的關系。我們要呼喚企業的控制意識,理直氣壯地強化企業的內部控制。
經過二十年的改革實踐,人們逾來逾感到強化管理的重要,也在積極探索如何才能加強管理。內部控制的概念被國際同仁所強調,引起了中國金融界,特別是銀行界的關注。自從1997年人民銀行發出「加強金融機構內部控制的指導原則」以來,各商業銀行和非銀行金融機構普遍開展了整章建制的工作。這一工作已取得了初步成績,但是新形勢下的內控工作尚處於起步階段,這項工作又常被誤解為僅僅是金融機構的事,生產企業的管理層對內部控制缺乏認識。其實,所有制及其組織結構並不是現代企業最本質的東西,最本質的是企業內部的控制文化和控制機制,中國國營企業的根本出路在於強化其內部控制。在這方面發達國家已經研究和創造出了一套比較完整的理論和方法,中國企業界的迫切任務是運用先進的內控理論和方法,強化內部控制,提高管理水平。
本文通過對部分國際先進內控理論和原則的分析,闡明內控的內涵及其與管理和內部審計(稽核)的關系,分析內控對公司治理的重要作用,以便促使經營管理者加強有效控制。
一、轉變觀念
轉變經營觀念,增強控制意識,提高管理水平,是我國企業界進行市場競爭的必要條件,也是金融機構向商業化金融機構演變的基本前提。
1.體制改革的作用是有限度的:近二十年來,舉國上下議論最多的話題莫過於改革了。「以改革帶動發展」也被一些地方當作戰略口號指導各項工作。我們一直批評計劃經濟制度管得太嚴太死,卻淡漠了經濟活動內部的至關重要的控制機制,特別是微觀領域的經濟單元(包括金融與非金融企業)的自我控制意識逐漸淡化。且不說國際理論界對計劃經濟和市場經濟的爭論尚未休止,倒是應該指出,並非一切進步都只是靠了改革才取得的。如果政治的穩定和宏觀經濟的控制不是同改革並駕齊驅,中國的局面遠不會象今天這樣好。許多問題的解決又是改革本身力所未能及的。突出的一個例子就是國營企業的經營管理。是我們對企業改革重視得不夠嗎?從中央到地方,從政府到企業,不知為改善企業傾注了多少人力、物力和財力。是改革的力度不夠嗎?從利改稅到企業轉制,從破產兼並到減員增效,各項法規和措施層出不窮。為什麼許多企業始終建立不起自我約束的機制?用經濟學家的話來說,也就是不能硬化企業的「預算約束」。顯然,只在宏觀經濟范圍提控制還不夠,也不能在微觀經濟中片面以改革取代控制。其實,體制改革不是萬能的,變革本身就意味著一定的風險。
2.轉變經營管理觀念:內部控制在不同的經濟體制下有不同的內涵,盡管其中的某些內容會有一致性。在計劃經濟體制下,國有企業的控制模式為實現國家計劃服務。由於國家計劃規避了大部分市場風險,國營企業的控制方式具有濃厚的行政管理色彩。現在,企業的控制模式為社會主義市場經濟服務,在新的形勢下有兩種傾向值得注意:一是一部分人習慣於甚至滿足於傳統的經營管理方式,認為只要能夠規范化操作就行了,不必考慮是否先進。這就混淆了不同性質經濟中的企業在服務對象和控制方式上的不同。二是雖然大家意識到改革的必要性,但是容易片面強調改革組織結構的重要性,忽視了控制方式的跟進和強化。這就使公司的改革同微觀治理機制相脫離。不論是維持傳統的經營管理方式,還是片面以改革取代控制的觀念,都已經被實踐證明是有害的。
3.轉變對內控目的的認識:搞清內控的含義,並理解內控的目的,對經營管理和內審都有直接的指導意義。內部控制的概念經過了由「部分控制論」向「全部控制論」的發展。「部分控制論」認為內控包括:1)經濟業務的有關內部會計控制;或者,2)內部牽制(會計)和內部審計兩部分。這種認識的一個缺陷是,內控只與資產管理有關,而與行政、業務管理無關。「全部控制論」克服了這個缺陷,認為控制內容已超越會計和財務范圍,滲透到經營的各個方面和管理的全過程。
內控目的論的發展也經過了下述階段:1)「三目的論」認為,內控是為了保護單位的財產,會計記錄的准確可靠和及時提供可靠的財務信息。2)「四目的論」認為,內控除了保全資產和檢查財務資料的准確可靠性以外,更重要的是執行管理政策,提高經營效益和效率。
上述發展的啟示在於,對內控的檢查評價應有別於傳統的思路,並且目的要明確和全面,檢評要完整和深入。
4.跟上國際內控研究的步伐:同計劃經濟相比,市場經濟的發展更加仰仗於微觀機制的作用。發達的市場經濟國家非常重視對公司治理的研究,大大促進了公司治理結構趨向合理化。公司治理理論研究的是資金的供給者如何採取措施,確保其投資取得回報。強化內控已經成為發達國家治理公司的重要手段。
國際上比較有名的內控模式有英國的Cadbury、美國的COSO和加拿大的COCO。它們從不同的角度剖析公司的經營管理活動,為營造良好的內控框架提供了一系列的趨於一致的政策和建議。其中尤以美國的COSO模式從理論到操作方法上闡述了一整套完整的內控框架。巴塞爾銀行監管委員會(Basle)又在這些先進模式和實際經驗的基礎上,於1998年提出了建設銀行內控系統框架的十三項原則。我國銀行和非銀行金融機構以及大量的非金融性企業在經濟體制改革以來的許多失控的教訓表明,跟上國際內控研究和發展的步伐,不斷完善自身的內控機制,是十分必要的。
二、充分理解內部控制的內涵
內部控制有其科學的定義和豐富的內容。只有深刻理解內控的內涵才能明確如何強化內控。
1.准確理解內部控制的定義:不同部門的人從不同的角度對內控會有不同的看法。現代內控理論試圖提出能被普遍接受的內控定義,以便滿足不同單位的需要。美國審計權威機構COSO(1994)的定義是:內控是一個受某單位不同層次的人影響的過程,而設計這一過程是為了實現下述三大目標提供合理的保證:經營的效果和效率;財會報告的可靠性;對現行法規的遵守。
巴塞爾銀行監管委員會參照各國的有關理論,在內控定義中進一步強調董事會和高級管理層對內控的影響,組織中的所有各級人員都必須參加內控過程,對內控產生影響。巴塞爾委員會把內控的三大目標分解為操作性目標、信息性目標和合規性目標。操作性目標不只針對經營活動,而且包括其他各種活動;在信息性目標中還把管理信息包括了進來,明確要求實現財務和管理信息的可靠性、完整性和及時性。
表1 關於內部控制的三大目標的表述
COSO 的內控目標
Basle 的內控目標
1
經營的效果和效率
操作性目標:各種活動的效果和效率
2
財會報告的可靠性
信息性目標:財務和管理目標的可靠性、完整性和及時性
3
對現行法規的遵守
遵從性目標:遵從現行法律和規章制度
資料來源:美國COSO(1994);巴塞爾銀行監管委員會(1998)。
這三大目標滿足不同的需要,又相互交叉。顯然,內控是保證各項業務發展的,而不是妨礙其發展的。在操作性目標中,經營的「效果」是根據實際產出與預期計劃的產出比較而言的;經營的「效率」是根據實際產出與實際投入比較而言的。此外,公司或銀行不能為實現經營性目而不遵從法規,也不能為實現遵從性目標或操作性目標而違反財務和管理信息的可靠性、完整性和及時性。
這是一種「全部控制論」的概念。良好的內控系統應能夠確保上述三大目標的實現。上述內控定義說明:
1)內控是一種程序,它意味著向某一終點努力,但不是終點本身;
2)內控是用來取得一種或多種互相區分而又緊密聯系的目標;
3)內控受人的影響,而不只是政策、守則或表格;
4)只能期待內控為公司管理層提供合理的保證,而不是絕對的保證。
內控的明確而科學的定義為各種單位提供了比較一致的標准,以便各單位能夠評價其控制系統和決定如何加強控制。經營管理部門和內審部門應該參照有關法規和實施細則,設定一些具體的標准,認真考察被檢查單位的內控系統,看其是否合理地確保了這些目標的實現。如果不能,總是可以從內控的某些方面找出問題的。一家銀行或公司內控抓得好不好,可以從上述三大目標加以總體考核:它的董事會和高級管理層是否合理地確保了他們理解該單位實現其操作性目標的程度?它的財務報告和各項管理信息是不是可靠、完整和及時地被草擬和提供了?它的各項活動是否遵從了現行的法律和規章制度?這些方向性的標准無疑是對一個單位比較有力的鞭策。細化這些標准,對內控的深入考核更有益處。
由此可見,審計部門以往所提的「合規性審計(稽核)」、「效益性審計(稽核)」和帳務檢查等等都屬於專項審計,也都有一定的片面性。審計(稽核)工作的重心應當轉向對內部控制的審計再監督,而對內控的檢查評價有別於傳統的審計思路,其目的要明確和全面,檢評要完整和深入。
2.從總體上把握內部控制系統的框架:重要的是,現代內控理論賦予了內控廣范的職能,把內控置於很高的層面上,從而強化了內控的作用。1994年COSO認為內部控制涵蓋了五大組成部分的豐富內容:控制環境、風險評估、控制活動、信息與交流和監督評審。而1998年巴塞爾委員會則在控制環境中強調了管理層的督促(oversight)和控制文化;在風險評估方面將風險的識別和風險的評估並舉;在控制活動方面又突出了職責分離的重要性;該委員會特別對信息與交流作了更多的解釋;除了監督評審活動之外,還把缺陷的糾正這種被COSO認為並非內控的活動也歸納為內控活動。巴塞爾委員會還在上述內控的五大組成部分之外,增加了監管當局對內控的檢查和評價,把它作為內控的另一不可忽視的內容。
表2 關於內部控制的五大組成部分的表述
# COSO的分析
Basle的分析
1
控制活動
管理層的督促與控制文化
2
風險評估
風險的識別與評估
3
控制活動
控制活動與職責分離
4
信息與交流
信息與交流
5
監督評審
監督評審活動與缺陷的糾正
資料來源:同上。
不論是COSO還是巴塞爾委員會都跳出了傳統的平面式的簡單思維方式,而把內控視為多維立體的空間,促使人們全面深入地理解控制和控制對象,分析解決管理控制中存在的復雜問題。其中還引出了「全息論」的概念:這五大組成部分和三大目標是緊密相聯的,就象一個人體的細胞包含了人體的各種信息那樣,一個組織中的任何一個機構、一項業務或一位成員都包含或反映出該組織中的三大目標和五大組成部分等各種信息。
三大目標和五大組成部分構造了內控系統的整體框架,現代內控理論對內控日臻完善的描述幫助人們更全面和更深刻地理解內控及其控制對象,使人們能夠以內控為有力武器,為實現三大目標自覺奮斗。
3.全面理解內控五大組成部分的內容:內控已經被COSO從理論上分析成為下述完整的有機結合的整體,並且得到了巴塞爾委員會的認同和發展。
1)控制環境:控制環境是推動控制工作的發動機,是所有其他內控組成部分的基礎。它奠定組織的風紀和結構,並且涉及到所有活動的核心—人,特別是人的控制覺悟,還反映政府、銀行、非銀行金融機構以及生產性企業的各級管理層對內控的要求。
控制環境中的要素有價值觀、激勵與誘導機制、精神指導、員工能力、管理哲學與經營風格、組織結構、規章制度和人事政策等等。主要的問題是管理層要充分說明內控的完整性;公司要有積極的控制環境,使整個組織中的員工具有控制覺悟和自覺的控制態度,特別是高級管理層要積極地進行控制;員工的能力與其責任要相匹配。巴塞爾委員會有關管理監督和控制文化方面的原則包括:
1.董事會應當負責批准並定期審查整個經營戰略和重大政策;理解經營的主要風險,確定這些風險的可接受水平,保證高級管理層採取必要步驟,識別,衡量,評審和控制風險;批准組織的結構;並確保高級管理層不斷評審內控系統的有效性。在確保建立和維護充分和有效的內控系統方面,董事會負有最終的責任。
2.高級管理層負責執行由董事會批準的戰略和政策,維護一種組織結構,能夠明確責任、授權和報告關系;確保所委派的責任能有效地執行;確定適當的內控政策;並監督評審內控系統的充分性和有效性。
3.董事會和高級管理層負責按照高標准促進員工的職業道德(ethics)和完整性(integrity),在機構中建立一種控制文化(control culture),在各級人員中強調和說明內控的重要性。公司機構中的所有人員都需要理解和發揮他們在內控程序中的作用。
2)風險評估:是識別和分析那些妨礙實現經營管理目標的困難因素的活動,對風險的分析評估構成風險管理決策的基礎。
風險評估中的要素包括關注對整體目標和業務活動目標的制定和銜接、對內部和外部風險的識別與分析、對影響目標實現的變化的認識和各項政策與工作程序的調整。
有關風險的識別與評估的原則強調有效的內控系統需要識別和不斷地評估有可能阻礙實現目標的種種物質風險。這種評估應包括公司和公司集團所面對的全部風險(如銀行要面對信貸風險、國家和轉移風險、市場風險、利率風險、流動性風險、經營風險、法律風險和聲譽(reputation)風險)。需要不時調整內控,以便恰當地處理任何新的或過去不加控制的風險。
3)控制活動:是為了合理地保證經營管理目標的實現,指導員工實施管理指令,管理和化解風險而採取的政策和程序,包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。
在控制活動中主要關注控制與風險評估過程的聯系、控制活動的適當形式及其實施、對執行政策和管理指令的保證、控制活動的針對性(尤其是對信息系統的控制)等等。有關控制活動和職責分離的原則包括:
1.控制活動應當是公司日常工作的不可分割的一部分。有效的內控系統需要建立適當的控制結構,明確定義各經營級別的控制活動。這些活動應當包括高層審查;對不同部門或處室的活動的適當控制;物理控制;檢查對敞口限額的遵從情況;對違規經營的跟進情況; 批准和授權制度;查證核實與對帳(reconciliation)制度。
2.有效的內控系統需要適當分離職責。人員的安排不能發生責任沖突(conflicting responsibilities)。要識別和盡力縮小有潛在利益沖突(conflicts of interest)的地方,並遵從謹慎的和獨立的監督評審。
4)信息與交流:存在於所有經營管理活動中,使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息,包括管理者對員工的工作業績的經常性評價。
在信息方面要注意內部信息和外部信息的搜集和整理;在交流方面也要注意內部和外部信息的交流渠道和方式;在信息技術的發展中注意控制信息系統。有關的原則包括:
1.一個有效的內控系統需要充分的和全面的內部財務、經營和遵從性方面的數據,以及關於外部市場中與決策相關的事件和條件的信息。這些信息應當可靠、及時、可獲(accessible),並能以前後一致的形式規范地提供使用。
2.有效的內控需要建立可靠的信息系統,涵蓋公司的全部重要活動。這些系統,包括那些以某種電子形式存儲和使用的數據的系統,都必須受到安全保護和獨立的監督評審,並通過對突發事件的充分安排加以支持。
3.有效的內控系統需要有效的交流渠道,確保所有員工充分理解和堅持現行的政策和程序,影響他們的職責,並確保其他的相關信息傳達到應被傳達到的人員。
5)監督評審:是經營管理部門對內控的管理監督和內審監察部門對內控的再監督與再評價活動的總稱。
監督評審可以是持續性的或分別單獨的,也可以是兩者結合起來進行的。主要應關注監督評審程序的合理性、對內控缺陷的報告和對政策程序的調整等等。在監督評審活動和缺陷的糾正方面應當遵循下述原則:
1.應當不斷地在日常工作中監督評審內控的總體效果。對主要風險的監督評審應當是公司日常活動的一部分,並且各級經營層和內部審計人員應當定期予以評價。
2.對內控系統應當進行有效和全面的內部審計。內審要獨立進行,應得到適合的培訓,並配備稱職和得力的人員。內審作為內控系統監督評審的一部分,應當向董事會或其審計委員會直接報告工作,並向高級管理層直接報告。
3.不論是經營層或是其他控制人員發現了內控的缺陷,都應當及時地向適當的管理層報告,並使其得到果斷處理。應當把有關物質的內控缺陷報告給高級管理層和董事會。
此外,巴塞爾委員會還針對監管當局對內控系統的評價提出,銀行的監管人員應當要求所有的銀行,不論其規模如何,都具有有效的內控系統,而且其內控系統符合他們的表內外活動的性質、復雜性和內在的風險;內控制度應當隨銀行所處環境和條件的改變而得到調整。凡監管者確定某銀行的內控系統不能充分或有效地針對銀行的具體風險內容(例如,不能涵蓋巴塞爾委員會內控文件所載的全部原則),監管者應當採取適當的行動。
以上五大組成部分與前述三大目標有機地相結合,構成了內控的完整體系。COSO是為各行各業提出這一思路的。盡管巴塞爾委員會的內控原則主要是針對銀行業的,國內外的金融和非金融機構在體制結構上也有所區別,我國的企業工作者仍然很有必要適應形勢,轉變觀念,從內控的三大目標出發,去考察本單位上述五大組成部分的各個方面,看是否建立了健全的內控制度,而且,這些制度是否得以認真貫徹實施。審計檢查的方法和評價的標准也應當沿著這條思路,按照這個有機結合的整體去設計。
三、關於內部控制與管理的關系
不了解內控與管理的關系,就不可能充分加強內控工作。內審或審計人員在檢查監督的過程中,時常發現被查單位的管理層對內控認識比較膚淺,也不甚了解內控與管理、內控與內審是什麼關系。有人認為管理就是內控,抓了管理,內控自然就到位了,因而也沒有必要特別強調內控。也有人認為內控是內審(稽核)部門的工作,抓內控應該由內審部門牽頭。有些內部或外部的審計人員在進行內控檢查的時候,也因認識模糊而無從下手。因此,很有必要搞清內控與管理的關系。
1.管理的內涵及其與內控的同異
從廣義上講,管理是管理者確立目標和戰略,並通過一定的組織形式、規章制度和操作方法去實現目標的全過程。管理者要執行聘用合同,為公司或銀行的所有者的利益確定明確的管理目標,包括全局整體性目標和各項業務活動水平上的目標,然後制定各種戰略和實施計劃。管理者要以一定的組織形式為依託,以一定的規章制度為依據,採取種種方法去實現既定的目標。管理者有責任控制局面,並解決和糾正在監督檢查各項經營管理活動中所發現的問題和錯誤,包括對有問題責任人的追究和處罰。由於所定的目標和戰略計劃會對管理單位(如企業)的行為產生影響,管理科學運用科學的原則和分析性方法,研究企業的行為。在發達國家,不論學術界還是實業界都日益重視公司治理結構的研究,以求實現投資者應得的回報。先進正確的管理方法加上計算機的廣泛運用,大大促進了管理的合理化和效率。
廣義上的管理涵蓋比內控更為廣泛的內容,並不是所有的管理活動都是內控活動,也並不是說非內控性的管理活動就都不重要了。比如,設定目標的決策就是一種很重要的管理責任,為內控提供了前提條件。在國外,公司的所有者代表(董事會)也要參與甚至領導這種決策。但是,重大目標的最初設定並不是在內控的工作范圍之內。同樣,許多管理方面的具體決策和一般性活動並不都代表內控。
然而,問題的關鍵並不在這里,而在於內控是管理中至關重要的部分(critical components)。管理的學問就在於抓住管理活動中的那些對實現目標至關重要的部分,也就是毛澤東所說的「研究任何過程……要用全力找出它的主要矛盾」。比如,COSO等理論所描述的內控內容中都列舉了許多控制要素和風險,這些都是管理者必須關注的地方。又如,盡管COSO認為錯誤的糾正行動不應屬於內控活動,但是巴塞爾委員會卻將其列為內控的范圍。原因很顯然,糾正錯誤已成為管理的一項重要內容,直接影響到目標的實現。同理,戰略計劃和風險管理這些本來被COSO視為非內控性活動,卻被巴塞爾委員會分析為內控范圍之內的活動了。盡管目標的最初設定是內控的前提條件,但是內控並沒有完全放棄對這方面的關注,內控的重要職能之一又是監督目標的設定和實現過程。至於業務活動水平上的目標的設立,雖然也被COSO視為非內控性的活動,但在COSO提出的內控操作方法中(例如在其《參考手冊》和《內部控制與風險評估工作表》中),這些目標都是內控所關注的重要內容。下表僅從一個側面說明了這個問題:
資料來源:同上。
2.風險管理與內部控制的關系
風險是針對目標而言的。風險實際上就是可能妨礙目標實現的種種問題和困難。這樣看來,風險的概念就擴大了。比如,一個武士在張弓搭箭,射向獵物的時候,他的目標是射中獵物,而他的風險就存在於他射擊獵物的全過程。首先,他本人的素質,他的精、氣、神,他的體力和視力。其次,他的弓箭的質量。再次,獵物的大小、距離和移動速度。此外,狩獵時的環境、氣候條件(風速)等外部干擾因素,也構成對擊中目標的風險。對一家公司而言,風險既預示著機遇,又會影響其競爭能力,並影響其維持融資的能力以及保持和提高其產品與服務質量的能力。
風險是如此之廣泛,以至於有人認為風險管理就是內部控制,甚至風險管理包括了內控。把兩者混淆的問題在於沒有看到內控是管理的更本質性的內容(essential part)。
誠然,風險管理是整個管理活動系列的重要組成部分。一般可指風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等等。風險管理的一系列具體活動並不都是內控要做的。特別是內控並不負責風險管理目標的具體設立,這是管理過程起始階段的活動。風險評估是對可能發生的不利條件或事件進行評價,並做出完整的專業性鑒定的一種系統過程。當然,風險評估首先要注意目標問題,因為,沒有明確的目標,也談不上目標實現的風險。但是在目標方面,內部控制並不是目標的制定活動,而是對目標制定的評價工作,特別是對目標和戰略計劃制定當中風險的評估,風險管理目標的設立為內控中的風險評估提供了前提條件。內控所負責的是風險管理過程中間及其以後的重要活動,比如,對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。
內部控制強調評估經營管理活動中突出的風險點(當然,這些風險點不是固定不變的),建議經營管理人員針對這些風險點實施必要的控制活動。這里所評估的既有內部的風險,又有外部的風險。那種以為內控只是控制某單位的內部風險的觀點是有片面性的。COSO和巴塞爾委員會都認為,內控的過程涵蓋了公司所面對的,並在公司內由各級人員所經營的所有的內部和外部的風險。
然而現實中的風險管理卻很實在,巴塞爾委員會指出,風險管理不同於內控之處在於,典型的風險管理比較關注特定業務的戰略的評審,旨在通過比較不同公司業務領域內的風險與報酬來使收益最大化。在我國一些銀行里,風險管理往往被狹義地理解為授信或部分業務(如信貸)的授權管理;廣義的風險不僅有信貸風險,還包括國家與轉移風險、市場風險、利率風險、流動性風險、操作風險、法律風險和信譽風險等等。而廣義的風險管理又似乎難以真正落實到銀行的某一具體業務或管理部門,成為它的責任。其結果,我國的銀行實業界尚不存在廣義的風險管理的概念。不少銀行不能對各種風險進行總體研究和控制,甚至連統一授信都難以在一些銀行里真正實現。
不過,現實情況中的風險管理一方面有其特有的內涵和現實的范疇,另一方面也在某些內容上與內控相交叉。在上節中,COSO認為風險管理不屬於內控的范圍,而是非內控性的管理活動,這種分析也是有片面性的。特別是風險管理在「風險的識別與評估」和「控制活動與職責分離」等內控內容中,與內控相交叉,屬於內控強化過程中的管理活動。
然而,內部控制還包括「管理層的監督與控制文化」、「信息與交流」和「監督評審與缺陷的糾正」等重要的內容。在現實中,管理層的監督並不是沒有,而是遠遠沒有強調到某種「控制文化」的程度。