企业内部控制设计讲义(doc 25页)

企业内部控制设计讲义(doc 25页)
企業內部控制設計
清華大學會計研究所陳關亭博士
11月19日，清華大學會計研究所陳關亭博士在國家會計學院開辦的第四期財務總監高級研修班上作了題爲《企業內部控制設計》的報告。

共分三講：內部控制概論、國外內部控制範例、內部控制設計。

第一講內部控制概論
一、內部控制的歷程
內部控制，在內部牽制的基礎上，由企業管理人員在經營管理實踐中創造;並審計人員理論總結而逐步完善的自我監督和自行調整體系。

在其漫長的産生和發展過程中，大體經歷了萌芽期、發展期和成熟期三個歷史階段。

(一)萌芽期一一內部牽制
內部控制，作爲一個專用名詞和完整概念，直到本世紀30年代才被人們提出、認識和接受。

但在此前的人類社會發展史中，早已存在著內部控制的基本思想和初級形式，這就是內部牽制(Internal check)。

例如，在古羅馬時代，對會計賬簿實施的"雙人記賬制"--某筆經濟業務發生後，由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方賬簿記錄，以檢查有無記賬差錯或舞弊行爲，進而達到控制財物收支的目的，即是典型的內部牽制措施。

縱觀該時期的內部牽制，它基本是以查錯防弊爲目的，以職務分離和賬目核對爲手法，以錢、賬、物等會計事項爲主要控制物件。

其概念基本如《柯氏會計辭典》(Kohler's Dictionary for Accountant)的定義，即"爲提供有效的組織和經營，並防止錯誤和其他非法業務發生而制定的業務流程。

其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工，每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制"。

(二)發展期一一內部會計控制與內部管理控制
1934年美國《證券交易法》，首先提出了"內部會計控制" (Internal accounting control system)的概念。

其中指出：證券發行人應設計並維護一套能爲下列目的提供合理保證的內部會計控制系統：a.交易依據管理部門的一般和特殊授權執行；b.交易的記錄必須滿足GAAP或其他適當標準編制財務報表和落實資産責任的需要；c.接觸資産必須經過管理部門的一般和特殊授權；d.按適當時間間隔，將財産的賬面記錄與實物資産進行對比，並對差異採取適當的補救措施。

!936年美國會計師協會發佈的《註冊會計師對財務報表的審查》文告，以及1947年《審計準則暫行公告》(TSAS)，出於改進審計方式的需要，提出了以內部控制(Internal Control)爲基礎的審計程式。

但這期間，無論在審計文獻中還是在其他管理著作中，均沒有關於內部控制概念的權威性定義。

(三)成熟期--內部控制結構和內部控制整體架構
美國註冊會計師協會的文獻界定了會計控制概念，而公司的經理們創立並在實踐中運用著管理控制概念，這兩個概念形成鮮明的對照。

如果對這兩種善於內部控制的不同解釋的同時並行這一事實視而不見，那麽任何設計內部控制系統的企圖都是短視的，同時也是徒勞的。

於是，人們提出了內部控制結構和整體架構的概念。

1.內部控制結構(Internal Control Structure)
1988年4月美國註冊會計師協會發佈的《審計準則公告第55號(SAS N0.55)，規定從1990年1月起以該文告取代1972年發佈的《審計準則公告第1號》。

該文告首次以內部控制結構(Internal Control Structure)一詞取代原有的"內部控制"一詞，而且文告提出的內部控制內容比以前更爲實在，條理更加清楚。

該文告的頒佈和實施可視爲內部控制理論研究的一個新的突破性成果。

以"財務報表審計對內部控制結構的考慮"爲題的《審計準則公告第55號》指出:"企業的內部控制結構包括爲合理保證企業特定目標的實現而建立的各種政策和程式"，並且明確了內部控制結構的內容，具體如下:
(1)控制環境
所謂控制環境是指對建立、加強或削弱特定政策和程式效率發生影響的各種因素。

具體包括:管理者的思想和經營作風;企業組織結構;董事會及其所屬委員會，特別是審計委員會發揮的職能；確定職權和責任的方法;管理者監控和檢查工作時所用的控制方法，包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計；人事工作方針及其執行、影響本企業業務的各種外部關係。

例如由銀行指定代理人的檢查等。

(2)會計系統
會計系統規定各項經濟業務的鑒定、分析、歸類、登記和編報的方法，明確各項資産和負債的經營管理責任。

健全的會計系統應實現下列目標:鑒定和登記一切合法的經濟業務;對各項經濟業務按時進行適當分類，作爲編制財務報表的依據;將各項經濟業務按適當的貨幣價值計價，以使列入財務報表;確定經濟業務發生的日期，以便按照會計期間進行記錄;在財務報表中恰當地表述經濟業務以及對有關內容進行揭示。

(3)控制程式
控制程式指管埋當同所制訂的用以保證達到一定目的的方針和程式。

它包括下列內容:經濟業務和經濟活動的批准權;明確各個人員的職責分工，防止有關人員對正常業務圖謀不軌的隱藏錯弊;職責分工包括:指派不同人員分別承擔批准業務、記錄業務和保管財産的職責;憑證和賬單的設置和使用，應保證業務和活動得到正確的記載：對財産及其記錄的接觸和使用要有何保護措施;對已登記的業務及其計價要進行復核。

上述內部控制結構的內部與1972年頒佈的內部控制定義相比有兩個明顯的改動:一是正式將內部控制壞境納入內部控制範疇，二是不再區分會計控制和管埋控制。

這些改變可以說是反映了70年代後期以來內部控制實務操作和理論研究的一個新動向。

2.內部控制整體架構(Internal Control一Integrated Framework)
1992午，美國"反對虛假財務報告委員會"(National Commission on Fraudulent Reporting)，所屬的內部控制專門研究委員會發起機構委員會(Committee of Sponsoring Organizations of the Tread-way Commission，簡稱COSO委員會)，在進行專門研究後提出專題報告：《內部控制一一整體架構(Internal Control一Integrated Framework)》，也稱COSO報告。

經過兩年的修改，1994年COSO 委員會提出對外報告的修改篇，擴大了內部控制涵蓋範圍，增加了與保障資産安全有關的控制，得到了美國審計署(General Accounting Office，GAO)的認可。

與此同時。

AICPA則全面接受COSO報告的內容，於1995年據以發佈了《審計準則公告第78號》(SAS N0.78)，並自1997年1月起取代了《審汁準則公告第55號》。

COSO報告指出:內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。

它認爲內部控制整體架構主要由控制環境、風險評估、控制活動、資訊與溝通、監督五項要素構成。

歸結上述文獻，我們認爲:內部控制是爲合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約和調整內部業務活動的自律系統。

其貫穿於經營活動的全部過程，包括控制環境、風險評估、控制活動、資訊與溝通，監督等要素，並受企業董事會、管理階層及其他人員影晌。

需要指出的是，內部控制並不僅限於企業單位，同樣也存在於其他各類經濟組織和行政事業單位中。

只是作爲一種經濟組織，企業這種典型形式比較具有代表性，因而，本文主要以企業物件研究內部控制，但其原埋及評價的方法同樣也適用於其他各類經濟組織和行政事業單位之中。

二、內部控制的要素
內部控制的內容，歸恨結底是由基本要素組成的。

這些要素及其構成方式，決定著內部控制的內容與形式。

設計內部控制，可以根據企業特徵和需求（例如企業規模、業務構成、管理水平等），對內部控制要素加以有機組合。

我們認爲，COSO報告提出的內容控制五項要素，具有較強的理論可取性和實踐可行性，本文將以此爲基礎，簡要闡述內部控制的要素及其結構。

(一)控制環境
控制環境提供企業紀律與架構，塑造企業文化，並影響企業員工的控制意識，是所有其他內部控制組成要素的基礎。

控制環境的因素具體包括:
(1)誠信的原則和道德價值觀。

無論是企業最高管理層還是其他成員都應當做到:嚴格一致地保持誠信行爲和道德標準;不要盲目追求不切實際的目標，以致形成不必要的壓力;對敏感職位之間的財務分工要準確明細，以避免造成偷竊資産或隱藏不佳績效的引誘；加強企業的內部審核制度;發揮董事會的職能，使其客
觀監督企業的高層管理階層;提供道德方面的指導，使所有雇員在一般和特定環境下能夠保持正確的判斷;製作文字化的行爲準則和政策聲明，將其傳達給全體雇員;將誘發人們不誠實、非法和不道德行爲的動機降至最低。

(2)評定員工的能力。

管理部門須制定正式或非正式的職務說明書，逐項分析並規定各工作崗位所須具備的知識和技能。

(3)董事會和審計委員會。

組成這兩個機構須考慮的因索主要包括：成員的經驗;相對於管理層的獨立性;外部董事的比例;其成員參與管理的程度;所採取措施的適宜性;對管理層提出問題的深度和廣度;他們與內部、外部審計人員的關係實質。

(4)管理哲學和經營風格。

主要考慮:對待和承擔經營風險的方式;依靠文件化的政策、業績指標以及報告體系等與關鍵經理人員溝通;對財務報告的態度和所採取的措施;對資訊處理以及會計功能、人員所持的態度;對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度。

(5)組織結構。

企業的組織結構是指爲公司活動提供計劃、執行，控制和監督職能的整體框架。

具體應考慮：組織結構的合適性，及其提供管理企業所需資訊的溝通能力;各主管人員所負責任的適當性;按照主管人員所擔負的責任，判斷其是否具備足夠的知識及豐富的經驗;當環境改變時，企業配合改變其組織結構的程度;員工，尤其是負責管理及監督職能的員工人數的充足程度。

(6)責任的分配與授權。

強調對於組織內的全部活動要合理有
效地分配職責和許可權，並爲執行任務和承擔職責的組織成員特別是關鍵崗位的人員，提供和配備所需的資源並確保他們的經驗和知識與職責許可權相匹配，要使所有員工知道:他們的工作行爲，以及職責擔負形式和認可方式，與達成組織目標的聯繫。

(7)人力資源政策及實務。

內部控制是由人來進行並受人的因素影響，保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源方針與實踐，是內部控制有效的關鍵因素之一。

具體包括：有完善的招聘與選拔方針及操作性程式;對新員工進行企業文化和道德價值觀的導向培訓;對違反行爲準則的任何事項，制訂紀律約束與處罰措施;對業績良好的員工，制訂具有獎勵和激勵作用的報酬計劃，並避免誘發不道德行爲;根據階段性的業績評估結果，對員工予以晉升、指導以及獎罰。

(二)風險評估
每個企業都面臨來自內部和外部的不同風險，這些風險都必須加以評估。

評估風險的先決條件，是制定目標。

風險評估就是分析和辨認實現所定目標可能發生的風險。

(1)目標。

企業的整體目標，通常是由企業的理念及其所追求的價值所決定的，而與之相配合的是企業下一級各部門的具休目標。

整體目標主要是:營運目標，包括績效和獲利目標及保障資産的安全，使其免受損失;財務報告目標，防止對外報送不真實的財務報告;遵循目標，企業遵循國家的相關法律法規。

(2)風險。

辨識和分析風險的過程是一種持續及反復的過程，也是有效內部控制的關鍵組成要素，管理階層須謹慎注意各部門階層的風險，並採取必要的管理措施。

企業的風險一般是由外部因素和內部因素所産生的。

外部因素包括:科技發展;顧客的需求或預期改變;競爭;新的法律和行政命令;自然災害;經濟環境改變等。

內部因素包括:資訊系統處理的中斷;聘用員工的品質、培訓方法及激勵制度;經理人員的責任改變;企業活動的性質以及員工可接近資産的程度;董事會或監事會不夠堅定或無效等。

(3)環境變化後的管理。

經濟、産業及管理的環境都是會改變的，企業的活動應隨之改變。

因此，風險評估中最基本的部分，就是如何辨認已發生的改變，並採取必要的行動。

這些改受因素包括:行業環境的改變;新員工;業務迅速成長;新科技;新業務、産品、作業;公司重組;國外業務等。

(三)控制活動
企業管理階層辯識風險，繼之應針對這種風險發出必要的指令。

控制活動，是確保管理階層的指令得以執行的政策及程式，如核准、授權、驗證、調節、復核營業績效、保障資産安全及職務分工等。

控制活動在企業內的各個階層和職能之間都會出現，這主要包括:
(1)高層經理人員對企業績效進行分析。

管理階層記錄經營活動(如:市場的擴展、生産過程改良、成本的控制)的結果，然後再與預算、預測、前期及競爭者的績效相比較，以衡量目標達成的程度和監督計劃(如:新産品開發、合資經營、融資行爲)的執訂情況。

(2)直接部門管理。

負責某一部門的經理人員復核自己所負責部門的業績報告，檢查本部門各業務活動的情況，以便辨認趨勢。

(3)對資訊處理的控制。

對資訊系統的控制活動可分爲兩類，第一類是一般控制（general control），它幫助管理階層確保系統能持續、適當的運轉;第二類是應用控制(application control)，它包括應用軟體中的電算化步驟及相關的人工程式。

(一般控制包括:對資料中心運作的控制;對系統軟體的控制;存取安全的控制;對應用系統的發展及維護的控制。

(應用控制包括:輸入控制;輸出控制)。

(4)實體控制。

保護設備、存貨、證券、現金和其他資産的實體安全，定期盤點並與控制記錄所顯示的金額相比較。

(5)績效指標的比較。

把不同的幾套數據資料(如:經營資料與財務資料)相互比較，分析它們之間的關係，然後再進行調查與糾正。

以存貨爲例，其績效指標包括:購貨價差、訂單中"緊急訂貨"比例、總訂單中退貨的比例。

管理階層需要調查超出計劃的結果或者不正常的趨勢，辨認採購作業的目標無法達成的原因。

(6)分工。

分工即指將責任劃分，再將不相容職務分派給不同的員工，以降低錯誤或不當行爲的風險。

(四)資訊與溝通
企業在其經營過程中，需按某種形式辨識、取得確切的資訊，並進行溝通，以使員工能夠履行其責任。

資訊系統不僅處理企業內部所産生的資訊，同時也處理與外部的事項、活動及環境等有關的資訊。

企業所
有員工必須從最高管理階層清楚地獲取承擔控制責任的資訊，而且必須有向上級部門溝通重要資訊的方法，並對外界顧客、供應商、政府主管機關和股東等做有效的溝通。

(1)資訊系統。

資訊系統處理企業內部資訊和外部資訊。

內部資訊資料包括採購資料、銷售交易資料、內部營業活動資料和內部生産過程資料;外部資訊資料包括顯示本企業産品的需求發生改變時，某種特定市場或行業的經濟資料，用於企業生産的商品的資料，顯示顧客偏好的市場情報，競爭對手産品開發活動的資訊，立法機關與行政機關所發佈的資訊。

企業建立良好的資訊系統，必須做到；建立良好的資訊系統支援策略，資訊系統與企業營運應有效的結合;選擇更新資訊系統的最佳時間;有很好的資訊品質。

(2)溝通。

企業的資訊系統提供有效資訊給適當的人員，通過溝通，使員工能夠知悉其營業、財務報告及遵循法律的責任。

企業溝通包括內部溝通和外部溝通。

內部溝通需要做到:所有的員工，特別是那些負有重要營業責任或財務管理責任的員工，除了得到用以管理其負責活動的重要資料以外，還應當得到來自最高管理層需謹慎承擔內部控制責任的清楚資訊;必須讓每個人清楚的知道個人所擔負的特定任務，瞭解內部控制制度的各項規定、它們如何生效，以及他(她)在控制系統中所扮演的角色及所承擔的責任;員工在其執行任務時，一旦有非預期的事項發生，除了要注意該事項本身之外，還應當注意導致該事項發生的原因，如此才有辦法辨認潛在缺失，採取行動，並預防再度發生;員工必須知道他(她)所負責的活動是怎樣與他人的工作發生關聯的;員工必須擁有在組織中向上溝通重要資訊的方法。

外部溝通應做到:顧客和供應商能經過開放的溝通管道輸入重要的資訊;與相關的外部團體溝通，以便獲悉關於本企業內部控制功能的重要資訊;外部審計人員對企業營業、相關業務問題及控制系統審計後，可以提供給管理階層及董事會重要的控制資訊;政府主要機關(如:銀行或保險機關)所報道的復核或檢查的結果，可以有效的彌補控制的缺失。

(五)監督
內部控制系統需被監督。

監督是由適當的人員，在適當及時的基礎下，評估控制的設計和運作情況的過程。

監督活動由持續監督、個別評估所組成，其可確保企業內部控制能持續有效的運作。

(1)持續的監督活動。

持續的監督活動在營運過程中發生，它包括例行的管理和監督活動，以及其他員工爲履行其職務所採取的行動。

持續監督活動包括:負責營運的管埋階層(operating managerment)在履行其日常的管理活動時，取得內部控制系統持續發揮功能的資料，當營運報告、財務報告與他們所得到的資料有大偏離時，可對報告提出質疑;來自外界團體的溝通，可以驗證內部資訊的正確性，並能及時反映問題的所在;適當的組織機構及監督活動，可用來辨識缺失;各個職務的分離，使不同員工之間可以彼此相互檢查，以防止舞弊;把資訊系統所記錄的資料同實際資産核對;內、外部稽核人員定期提出強化內部控制系統的建議；培訓課程、規劃會議和其他會議，可把控制是否有效的重要資訊反饋給管理階層;定期要求員工陳述他們是否瞭解企業的行爲準則，並加以遵守，對於負責業務和財務的員工，則要求他們陳述某些特定控制是否都予執行，管理階層或內部稽核人員還必須驗證這些陳述是否確實。

(2)個別評估。

儘管持續監督程式可以有效的評價內部控制體系，但企業有時需要組織例外評估以直接監視控制系統的有效性，這種做法可評估持續性監督程式。

評估的範圍和頻率，視風險的大小及控制的重要性而定。

(3)報告缺陷。

內部控制的缺失應由下往上報告，某些缺失應報告給高層管理階層及董事會知道。

三、內部控制的組合
上述內部控制要素，按照不同的標誌可以組合成不同的集合，也即按照不同分類標準可以劃分爲不同的類別形態，籍此可以揭示不同形式內部控制的特徵和功能。

內部控制的組合方式或者分類形式，除了按照控制目標爲標誌，劃分爲會計控制和管理控制外(見上文)，還可按照其他標誌組合爲下列類別。

(一) 按照控制內容爲標誌，可劃分爲一般控制和應用控制
1.一般控制
一般控制，是指對企業經營活動賴以進行的內部環境所實施的總體控制，因而亦稱基礎控制或環境控制。

它包括組織控制、人員控制、業務記錄以及內部審計等項內容。

這類控制的特徵，是並不直接地作用於企業的生産經營活動，而是通過應用控制對全部業務活動産生影響。

2.應用控制
應用控制，是指直接作用於企業生産經營業務活動的具體控制，因此亦稱業務控制，如業務處理程式中的批准與授權、審核與復核、以及爲保證資産安全而採用的限制接近等項控制。

這類控制的特徵，在於它們構成了生産經營業務處理程式的一部分，並都具有防止和糾正一種或幾種錯弊的作用。

(二)按照控制地位爲標誌，可劃分爲主導性控制和補償性控
1.主導性控制
主導性控制，是指爲實現某項控制目標而首先實施的控制。

如憑證連續編號可以保證所有業務活動都得到記錄和反映，因此，憑證連續號對於保證業務記錄的完整性就是主導性控制。

在正常情況下，主導性控制能夠防止錯弊的發生，但如果主導性控制存在缺陷，不能正常運行時，就必須有其他的控制措施進行補充。

2.補償性控制
補償性控制，就是指能夠全部或部分彌補主導性控制缺陷的控制。

就上例而言，如果憑證沒有連續編號，有些業務活動就可能得不到記錄。

這時，實施憑證、賬證、賬賬之間的嚴格核對，就可以基本上保證業務記錄的完整性，避免遺漏重大的業務事項。

因此，"核對"相對於憑證"連續編號"來說，就是保證業務記錄完整性的一項補償性控制。

(三)按照控制功能爲標誌，可劃分爲預防式控制和偵察式控制
l.預防式控制
預防式控制，是指爲防止錯誤和非法行爲的發生，或儘量減少其發生機會所進行的一種控制。

它主要解決"如何能夠在一開始就防止錯弊的發生"這個問題。

例如對業務人員事先作出明確的指示和實施嚴格的現場監督，就能避免誤解指令和發生錯弊。

2.偵察式控制
偵察式控制，是指爲及時查明已發生的錯誤和非法行爲或增強發現錯弊機會的能力所進行的各項控制。

它主要是解決"如果錯弊仍然發生，如何查明"的問題。

例如，通過賬賬核對、實物盤點，以發現記賬錯誤和貨物短缺等。

(四)按照控制時序爲標誌，可劃分爲原因控制、程式控制和結果控制
1.原因控制
原因控制，也稱事先控制，是指企業單位爲防止人力、物力、財力等資源在質和量上發生偏差，而在行爲發生之前所實施的內部控制。

例如領取現金支票前的核准、報銷費用前的審批等。

2.程式控制
程式控制，也稱事中控制，是指企業單位在生産經營活動過程中針對正在發生的行爲所進行的控制。

例如，對生産過程中使用材料的核算，對在製造産品的監督和對加工工藝的記錄等。

3.結果控制
結果控制，也稱事後控制，是指企業單位針對生産經營活動的最終結果而採取的各項控制措施，例如對産出産品的質量進行檢驗，對産品數量加以驗收和記錄等。

此外，內部控制還可按照管理目標、業務迴圈和職能部門等標誌，劃分爲相應類別的組合形式。

需要說明的是，各種類型的內部控制，在實際工作中多是交叉存在的。

同一種內部控制措施，在不同劃分標誌下，也可轉化爲不同的類型形態。

四、內部控制的局限
內部控制作爲企業自我調節和自行制約的內在機制，處於單位中樞神經系統的重要位置，可以說沒有健全完善的內部控制，就很難組織起現代化的社會大生産活動，也就談不上現代化的企業生産和經營管理。

健全有效的內部控制，不僅能保證企業會計資訊的真實正確、財務收支的有效合法和財産物資的安全完整，還能保證企業經營活動的效率性、效果性以及企業經營決策和國家法律法規的貫徹執行。

但任何事物都不是盡善盡美的，內部控制也同樣存在其固有的、不可避免的局限性。

一般而言，內部控制的局限性主要表現爲：。