第八章 内部控制
第一节 内部控制的定兑和发展
一、内部控制的定义
内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理,就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。
内部控制系统包括两个因素,分别是控制环境和控制政策与程序。控制环境是指企业内对于内部控制的态度及内部控制意识,代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。控制政策及程序的设计目的在于,尽可能确保业务行为是有序且有效的。控制政策及程序必须能够根据企业面临的内外部风险而改变,并且应以企业面临的主要风险为重点,并对这些风险作出反应。
内部控制的思想和框架总体上就是对企业内资掘进行管理的体系,然而基于不同的角度和层次,对内部控制的定义有着不同的认识和分析。
(一) COSO委员会对内部控制的定义
成立于 1985年的 COSO (Committee of Sponsoring Organization)委员会为全国舞弊报告委员会提供支持。该组织包括美国会计协会 (Ame出an Ac¬counting . Association)和美国注册会计师协会 (Ame由an Institute of Ce时ified Public Accountants)。现在,COSO委员会负责制订有关大型和小型企业实施内部控制系统的指南。
1992年9月COSO委员会提出了《内部控制一一整合框架)) 0 1994年又进行了增补,简称《内部控制框架}.即 COSO内部控制框架。 COSO委员会对内部控制的定义是"公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵 守适用的法律法规。"以下章节将对内部控制框架的内容作更详尽的分析。
COSO委员会指出,从风险管理的角度来看,内部控制是必要的。但是,在实施内部控制时,有几点需要注意。首先,即使实施了优良的内部控制系统,也不一定能使一个鳖脚的管理者变得出色。其次,由于所有的内部控制系统仍然面临发生错误或出现差错的危险,因而内部控制系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部控制,也可能由于故意串通破坏、管理层逾越监控而失效。再次,大型或小型企业在建立内部控制系统时,均可能存在资惊受限的问题。
(二)美国上市公司会计监管委员会对内部控制的定义
美国上市公司会计监管委员会( PCAOB)发布的"审计准则第 5号"规定,注册会计师对企业财务报告进行审计必须关注财务报告内部控制,同时管理层应该对企业内部控制作出评估。所谓财务报告内部控制,是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程,并由公司的董事会、管理层和其他人批准生效.该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证,它包括如下政策和程序(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录 (2)为按照公认会计原则编制财务报表记录交易,以及企业的收入和支出仅是按照管理和公司董事会的授权执行,提供合理的保证; (3)为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理,提供合理保证
(三)特恩布尔委员会对内部控制的定义
1992年,英国《综合守则》(Combined Code)颁布之后,设立了特恩布尔委员会(Turnbull committee)。该委员会的职能是为上市公司执行《综合守则》规定的内部控制原则提供指南。特恩布尔报告的总体要求是,董事应实行一套完善的内部控制系统,并定期对该系统实行复核。
该报告还谈到了建立一个完善的内部控制系统的必要性。内部控制的主要组成部分包括为企业的有效运营提供辅助条件,使企业有能力对阻碍目标实现的重大风险做出反应。风险可能来自业务经营、合规、运营或财务方面。此外,内部控制还能确保对内和对外报告的质量,确保法规及内部有关业务开展的政策得以遵守。
特恩布尔报告哈还包括对内部控制系统的检查。该报告指出,对内部控制系统的检查时管理层的常规责任。不过检查可委派给审计委员会,并且董事会必须提供有关内部控制系统的信息,并进行复核。复核应为至少每年一次。
为了通过维持完善的内部控制系统来确保使企业面临的风险降至最低。特恩布尔委员会还建议应持续对内部控制情况进行监察,并建议作出关于财务及合规和运营控制的报告。此外,管理层应向董事会保证内部控制已得到监察,确认这些控制提供了“对重大风险及内部控制系统对于管理这些风险的有效性”的平衡性评价。而且,由于董事会应对内部控制系统负责,因此董事会可能需要对该系统进行复核。
(四)中国《企业内部控制基本规范》对内部控制的定义
财政部、证监会、审计署、银监会和保监会于 2008年 6月联合发布的《企业内部控制基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略。
二、内部控制的演变与发展
(一)内部控制在 20世纪 80年代的控制理论
自 20世纪 80年代以来,内部控制的理论研究有了新的发展,人们对内部控制的研究重点逐步从一般含义转向具体内容。其标志是美国注册会计师协会于 1998年 5月发布的《企业准则公告第 55号} (5A555)。在这份公告中内部控制结构"的概念取代了"内部控制制度"。公告指出企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。"公告认为内部控制结构由下列三个要素组成:
(1)控制环境。这是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括管理者的思想和经营作风;组织结构;董事会及所属委员会,特别是审计委员会发挥的职能:确定职权和责任的方法;管理者控制和检查工作时所使用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行等;影响企业业务的各种外部关系,如由银行指定代理人的检查等。