內部控制理論
1949年美會計協會定義的理論
1949年,美國會計師協會的審計程序委員會在《內部控制:一種協調製度要素及其對管理當局和獨立註冊會計師的重要性》的報告中,對內部控制首次作了權威性定義:“內部控制包括組織機構的設計和企業內部採取的所有相互協調的方法和措施。這些方法和措施都用於保護企業的財產,檢查會計信息的準確性,提高經營效率,推動企業堅持執行既定的管理政策。”
什麼是內部控制?理論界存在各種觀點。由於表述眾多,本文僅選擇幾個權威定義進行分析。
1992年,美國“反對虛假財務報告委員會”下屬的由美國會計學會、註冊會計師協會、國際內部審計人員協會、財務經理協會和管理會計學會等組織參與的發起組織委員會(COSO)發布報告《內部控制-整體框架》(即“COSO報告”)。該報告將內部控制定義為:是受企業董事會、管理當局和其他職員的影響,目的在於取得經營效果和效率、財務報告的可靠性、遵循適當的法規等目標而提供合理保證的一種過程。
中國1997年開始實施的《獨立審計具體準則第九號-內部控制與審計風險》的定義是:“內部控制是被審計單位為了保證業務活動的有效進行,保護資產的安全與完整,防止、發現、糾正錯誤與舞弊,保證會計資料的真實、合法、完整而制定和實施的政策與程序。”
上述三個定義具有幾個共同特點:一是都將內部控制解釋為一種政策或程序(過程);二是都在定義中說明了內部控制的目標;三是都是從審計的角度做出的定義。這些定義普遍存在以下幾個缺陷:
1、定義出發點過於狹隘。控制是一個應用非常廣泛的概念,有生產控制、人口控制、經濟控制、軍事控制等,從不同的角度(學科)出發,會給出不同的控制概念。雖然內部控制與審計存在密切的聯繫,但是,不論從內部控制的產生,還是內部控制的現實需要來看,內部控制都應該屬於管理範疇。“可以肯定地說,內部控制最初是在組織中內生的,而不是外力(外部管制、規範的要求;審計)催生的。”(方紅星,2002)並且,中國建立內部控制制度,制定《內部會計控制規範》的直接目的也不是為了審計需要,而是提高會計信息質量,加強單位內部管理的迫切要求。過去,由於一直把內部控制與審計相聯繫,企業對建立內部控制制度缺乏積極性,甚至產生抵觸心理,這在一定程度上阻礙了內部控制的建立和實施。如果從管理學的角度重新認識內部控制,把它作為單位內部管理的手段和方法,相信內部控制必然會得到各單位的高度重視,從而自覺地加強內部控制制度的建設。
2、沒有明確內部控制的主體和客體。任何一種控制系統,都既應該有施控主體,也應該有受控對象(客體)。一般認為,內部控制的客體是人、財、物及其在經營過程中所形成的一系列組合關係和組合形式。這一點幾乎沒有爭論。存在爭論的主要是內部控制的主體問題,第一種觀點認為,內部控制主體是單位經營者。但是,經營者如何界定,又存在五種觀點:①包括董事長、總經理;②包括董事會成員、總經理班子;③包括董事會成員、總經理班子、黨員班子;④包括董事會成員、總經理班子、黨委班子、監事會成員;⑤包括董事會成員、總經理班子、黨委班子、監事會成員、工會主席。第二種觀點認為,單位內部經營管理者和廣大職工群眾在內的所有員工都構成內部控制的主體,單位中每一個員工既是內部控制的主體,同時又是內部控制的客體(課題組,2001);第三種觀點認為,內部控制主體既包括所有者(股東),也包括經營者,分為兩個層次(閻達五、宋建波,2002)。但有的學者將董事會納入所有者範疇,有的學者則將董事會作為經營者;第四種觀點認為,內部控制主體包括股東、經營者、管理者和職工四個層次(鄭石橋等,2000)。
要正確認識內部控制的主體,首先必須區分單位內部控制主體和單位外部控制主體。可以借鑒財務會計(外部會計)和管理會計(內部會計)的劃分方法,股東(或股東大會)屬於會計信息的外部使用者,只能作為單位外部的控制主體。股東、監事會、董事會和經理之間的相互關係,通過公司治理結構加以解決。不能混淆公司治理結構和內部控制的關係,不能把內部控制的範圍無限擴大化。監事會作為股東監督企業的代表,屬於外部監督,也不應納入單位內部控制主體。董事會雖然是所有者的代表,但同時也是企業的經營者,是企業的法人權力機構和法人代表機構,因此董事會應該作為重要的內部控制主體。另外,企業的經理人、管理者和廣大職工也都是內部控制主體。一般認為控制僅指上級對下級的控制,這其實是誤解。控制是相互的,上級控制下級,下級(職工)也可以控制上級(經營者和管理者)。中國企業提倡的民主理財、群眾監督就是一種很好的、以職工作為控制主體的內部控制方式。
3、忽視了控制主體不同,內部控制目標存在差異的客觀現實。內部控制是控制主體意志的體現,控制主體不同,控制目標也會有所不同。並且,控制目標還要受到內部控制環境的影響和制約,即使控制主體相同,控制環境發生變化,內部控制目標也會發生相應改變。例如以董事會作為控制主體的內部目標和以一般職工作為控制主體的控制目標顯然是不同的。在所流行的內部控制定義中,都把內部控制目標固定地、不分控制主體地加以籠統表述,似不科學。
綜上分析,將內部控制定義為:內部控制是在一定的環境下,單位內部控制主體為了達到其特定目標所採用的一系列的管理程序和方法。
會計界對內部控制目標的研究缺乏針對性。一般都在內部控制的定義中對內部控制目標加以籠統闡述。在現代企業中,內部控制主體包括董事會、經理人、管理者和廣大職工。內部控制目標應該針對控制主體不同存在差異。
1、以董事會為主體的內部控制目標。在公司治理結構中,董事會既是股東代表,也是企業的經營決策者,因此,其內部控制的目標既包括對外目標,也包括對內目標,對外目標是實現股東利益最大化(如英國和美國)或利益相關者利益最大化(如日本、德國)。對內目標是保證公司經營的有效性和合法性、保護公司財產安全、保證會計信息的真實和完整。
由於董事會的雙重身份,兩個目標時常會發生衝突,董事會在內部控制結構中就顯得尤為重要。然而,董事會在很大程度上掌握在“內部人”手中,經營者實質上控制了董事會,作為股東代表的控制目標很難實現,損害廣大股東的利益也就不足為奇,因此應該對董事會的職責和人員組成進行改革。
2、以經理人為主體的內部控制目標。經理人受聘於董事會,是經營執行者,是法人之代理人。因此,其內部控制的主要目標就是完成董事會的各項受託責任,包括:保證公司經營的有效性和合法性、保護公司財產安全、保證會計信息的真實和完整。該內容與董事會的內部控制目標基本一致。
3、以管理者為主體的內部控制目標。管理者是企業內部各個責任中心的負責人,是經營者的受託人。其內部控制的目標主要是完成各項責任目標。
4、以職工為主體的內部控制目標。職工是企業中委託代理關係的最後一層,其內部控制的主要目標就是完成其崗位責任。
總之,內部控制體系由上述四個層次共同構成。在四個層次中,以董事會為主體的內部控制處於最高層次,同時,由於董事會是企業的法人代表機構,董事會的內部控制目標代表著企業的內部控制目標,也是其他控制主體的直接或終極控制目標。
會計界尚未提出內部控制假設這一命題。內部控制是建立在一定假設基礎之上的,這些假設包括單位實體假設、可控假設、複雜人性假設和不串通假設。離開了這些假設,內部控制就不能存在。
控制實體是指內部控制為之服務的特定單位或部門。控制實體假設是對內部控制活動的空間範圍所作的限定。它要求內部控制應當以特定單位或部門的人、財、物及其在經營過程中所形成的一系列組合關係和組合形式進行控制。控制實體由於控制主體的不同而不同,可以是企事業單位,也可以是單位內部某個部門。
內部控制是控制主體對控制客體所實施的控制。相對於控制主體而言,控制客體必須是可以控制的。否則,內部控制將形同虛設。在確定各級控制主體的控制範圍時,只有主體能夠控制的對象,才能夠納入內部控制體系。各項內部控制制度都是在這一前提的基礎上建立起來的。
內部控制的實質是對人進行約束和激勵的一種機制。這種機制必須建立在對人性假設的基礎之上。人性假設就是關於人的本質是什麼的假設。1965年,薛恩(E.H.Sein)將此前關於人性方面的觀點歸為三類,即理性—經濟人假設、社會人假設、自我實現假設。薛恩在分析了這些人性假設理論之後提出複雜人性假設,他認為,人性是複雜的,人們的需要與潛在慾望是多種多樣的,而且這些需要會隨著各種條件的變動而不斷改變。
內部控制的核心是內部牽制,即不相容職務恰當分離。這樣可以避免或減少一人單獨從事和隱瞞不合規行為的機會。但是,如果兩個或更多的人串通舞弊,則可以逃避控制,使內部控制形同虛設。這既是內部控制的局限之一,也是其建立的基本前提或假設。離開了這一假設,內部控制(特別是內部牽制)根本無法建立。
內部控制應當遵循一定的原則,這些原則包括:
內部控制活動必須符合國家有關法律法規和公司章程的規定,包括《公司法》、《會計法》,以及財政部發布的《內部會計控制規範》等等。例如《會計法》規定:各單位應當建立健全內部會計監督制度,並對其具體內容作出了規定。各單位在建立內部控制制度時,應當符合法定要求。否則,便會被視為違法,這樣既有損企業經濟利益(被給予處罰),而且也不利於提高企業的管理水平。
就是指對一項完整的經濟業務,必須分配給具有兩個或兩個以上的職位或人員分別完成,從而形成相互制約。其理論依據在於,幾個人發生同一錯弊而不被發現的概率是每個人發生該項錯弊的概率的連乘積,因而將降低誤差率。《會計法》規定:“記賬人員與經濟業務事項和會計事項的審批人員、經辦人員、財物保管人員的職責許可權應當明確,並相互分離、相互制約”。這就體現了相互牽制原則。相互牽制原則貫穿於內部控制的全過程。
是指在建立內部控制制度時,應該根據各崗位業務性質和人員要求,相應地賦予作業任務和職責許可權,規定操作規程和處理手續,明確紀律規則和檢查標準,以使職、責,權、利相結合。崗位工作程式化,要求做到事事有人管,人人有專職,辦事有標準,工作有檢查,以此定獎罰,以增加每個人的事業心和責任感,提高工作質量和效率。
內部控制是一個系統,其內容涉及單位的各個部門、生產經營的各個環節。系統全面原則要求,一方面,內部控制的內容應當全面,不能遺漏,否則便會被不法份子“趁虛而入”:另一方面,內部控制的各部分內容應當相互協調,相互配合,形成有機系統。如果內部控制內部存在矛盾,便會使執行者無所適從。
成本效益原則要求以最小的控制成本取得最大的控制效果。實施內部控制的單位應當對內部控制成本和由此而產生的經濟效益進行權衡,如果效益大於成本,便應該建立相應的內部控制制度,否則,便得不償失。也就是說,一項內部控制制度既要有利於加強企業管理,但也不能阻礙企業的經營活動。
重要性原則要求單位的內部控制應當區別其重要程度,採用不同的控制程序和方法。對於重要的控制項目,控制程序應當更加嚴密。反之,則可以適當簡化。例如在財務收支審批中,對於超過一定金額標準的費用支出或者需要重點管理的費用支出可由總經理親自審批,一般費用支出可由總經理授權其他人員審批。
會計信息質量控制的目標是保證單位會計信息真實、完整。主要的控制方法包括:(1)會計系統控制,就是通過建立完善的複式記賬會計核算系統,保證企業遵守國家統一的會計制度,從而提供真實、完整的會計信息;(2)內部審計控制,這不僅是內部控制的有效手段,也是保證會計信息真實、完整的重要措施。在資產安全控制和經營績效控制中,也廣泛採用內部審計控制方式(以下略),因此應當充分發揮內部審計在內部控制中的重要作用。
資產安全控制的目標是維護企業財產物資的安全、完整。主要控制方法有:(1)限制接觸控制,就是指嚴格控制對實物資產的接觸,只有經過授權批准的人員才可接觸、處置資產。主要適用於現金等變現資產,以及各種存貨資產。(2)定期盤點控制,是指對各項財產物資進行定期盤點清查,進行賬實核對。如果賬實不符,應查明原因,及時處理。
經營績效控制的主要目標是保證企業經營的效率與效益。控制方法主要有:(1)授權批准控制,即對單位內部部門或職員處理經濟業務的許可權控制。單位內部某個部門或某個職員在處理經濟業務時,必須經過批准才能進行,否則就不能進行。這樣可以保證單位既定方針的執行和濫用職權。(2)獎懲激勵控制,就是通過獎勵和懲罰的手段來激勵和約束被控制者,使其更好地為實現其控制目標服務。其手段可以通過合理的薪金制度、職務晉陞制度等加以實施。(3)全面預算控制。預算管理由預算編製、預算執行、預算控制、預算分析和預算考核等一系列具有順序的環節組成。一個現代企業,如果想要提高企業經濟效益,實現企業管理目標,就需要實行全面預算體系,推行預算管理。