(第一节)内部控制概述
现代审计是以评价内部控制为基础的审计,内部控制的产生和发展促进了现代审计的变革。为了保证审计的质量,需要对会计信息赖以产生的内部控制进行测试和评价;对内部控制的测试和评价可以免去对大量的会计资料进行机械地审查。所以,审计人员在执行审计业务时,无论被审计单位规模大小,都要首先研究和评价内部控制,然后根据内部控制的可信赖程度,决定审计的范围、时间、程序和方法。
一、内部控制的涵义
(一)内部控制的涵义
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
为了适应现代社会经济环境的要求,任何一个经济组织都必须拥有一个强有力的、高效率的组织指挥机构和先进有效的管理体系,并建立一系列的管理与监督手段。最初的内部控制,其表现形式主要是内部牵制,即主要是从会计工作的职责分工、钱账物分管、审批手续、复核制度等方面进行控制,其目的在于查错防弊,以保证财产的安全和会计资料的正确。后来,随着经济的发展和各种现代化科学管理方法的应用,内部牵制的范围也逐渐从会计领域扩展到经济管理的各个领域。
如今的内部控制,已经成为任何经济组织管理体系中不可缺少的组成部分,其职能贯穿于企业生产经营活动的各个环节。
(二)内部控制的目标
由于内部控制是基于企业经营管理的需要而产生的,且存在于企业生产经营活动中,这就决定了建立健全内部控制是被审计单位管理当局的责任。因此,内部控制的主体是企业的管理当局、职能部门及其有关人员;内部控制的客体是企业的经济业务活动。为了控制客体,即控制企业内部的一切生产经营活动、财务收支活动和其他各项业务活动,就必须针对其具体环节,建立内部控制制度,制定一套相互联系、相互制约的程序和方法,使之能严格按照计划规定的预期目标,有秩序、有效率地进行。
内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。相关内部控制的设计和运行一般应当实现以下目标:
①保证业务活动按照适当的授权进行;②保证所有交易和事项以正确的金额在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求;③保证对资产和记录的接触、处理均经过适当的授权;④保证账面资产与实存资产定期核对相符。
二、内部控制的作用
(一)内部控制的目的
内部控制的目的,即人们希望通过实施一系列的控制措施或手段能达到的期望要求。内部控制最初由内部牵制演进而来,即最初的内部控制主要是内部牵制。因为人们在长期的实践中,逐渐意识到,一项业务如果经由两个以上的人员或部门之手完成,则发生差错舞弊可能性很小,即使发生了,在其他环节也容易被发现。因此,这种相互联系、相互制约的业务处理程序能够纠错防弊。
如出纳员兼管费用及往来账的记录是不允许的,而必须由不同职位的人员完成。因此,早期内部控制的目的主要是纠错防弊。
内部牵制,即对每一项业务的处理在程序上都须经过两个或两个以上的部门和人员之手,以共同负责,并相互制约又相互联系。内部牵制实际上是一种业务处理的程序控制,主要通过不相容职务分离来实现。
《内部会计控制规范——基本规范》将内部会计控制的目的归纳为三个方面:
(1)规范单位的会计行为,保证会计资料真实、完整。
(2)堵塞漏洞,消除隐患,防止并及时发现、纠正错误及舞弊行为,保护资产的安全完整。
(3)确保国家有关法律法规和单位内部规章制度的贯彻执行。
内部控制从最初的内部牵制发展到今天,其目的已远远超出了内部会计控制的范围。因此,内部控制的目的可归纳为:
(1)确保会计信息的质量,保证会计信息真实、准确、完整。
(2)纠错防弊,保护单位财产的安全完整。
(3)确保法规和内部规定的执行,保证经营活动和财政财务收支活动合法、合规。
(4)确保经营的高效。
(5)确保资源的最佳获取和最佳使用。
(6)识别、评估、控制经营风险,以确保单位能持续地稳定发展。
(7)确保目标、计划的完成。
在描述内部控制时一般将与第(1)至第(3)项目的有关的措施、程序、方法称为内部会计控制;而将与第(4)至第(7)项目的有关措施、程序、方法称为内部管理控制。广义的内部控制包括了内部会计控制和内部管理控制。
(二)内部控制的作用
内部控制的作用,是指内部控制的固有功能在实际工作中对企业生产经营活动及外部社会经济活动所产生的影响和效果,在现代经济管理活动中,内部控制的作用十分突出。主要表现在:
(1)保护财产物资的安全完整和有效使用。财产物资是企业从事正常经营活动不可缺少的物质条件,若财产物资管理各环节的内部控制不严密,就往往会造成企业财产物资的大量流失,使企业蒙受重大损失。因此,企业必须通过建立有效的内部控制,借以对物资的验收、保管、使用、清查、记录等环节实施控制,从而防止或减少贪污盗窃等不法行为,制止损失浪费,提高使用效率。
(2)保证会计及其他信息资料的正确可靠。会计记录及其他业务记录等资料,是企业内部决策和企业外部关系人决策的重要依据,这些资料是否真实、准确、可靠,不仅影响到决策部门能否对企业生产过程以及各种活动进行有效的控制和调节,还将影响到未来决策的合理性和正确性。如果企业建立了一套行之有效的内部控制,就可以通过对会计处理程序各环节实行标准化控制,来减少错弊的发生,这无疑将在一定程度上提高会计及其他信息资料的可信度,从而为决策者制定决策提供真实可靠的依据。
(3)促进工作效率的提高和经营目标的实现。内部控制通过建立必要的职责分工和工作程序,确保了组织内部各个职能部门既各司其职,又相互协调和制约。业务发生以后,各部门可根据各自的职责范围及时做出相应的处理,减少了不必要的请示和报告环节。当业务处理发生失误时,能尽快找到责任人,避免了责任不清、互相推诿的现象。因此,一个良好的内部控制可以有效地控制生产经营的秩序,提高生产经营的效率,促进经营目标的实现。
(4)促进国家各项政策、法规的贯彻落实。任何经济组织都是社会的一员,它的工作业绩和行为必将对社会构成影响。因此,在其运转过程中,必须自觉地接受国家的宏观控制,即必须自觉地遵守国家作为宏观控制手段而颁布的一整套的财经法规和财务会计制度。内部控制通过建立自我约束行为促使其在实现微观控制的同时,实现国家对自身的宏观控制,并通过各部门责任履行情况的及时反馈,来减少政策执行过程中出现的偏差。
三、内部控制的分类
内部控制可以根据不同的标准进行如下分类:
1.按控制范围分类,可以分为总体控制和局部控制
总体控制是指对各类业务活动都有控制作用的内部控制。例如合规合法性控制、组织机构控制、授权控制、业务记录控制等。
局部控制是指对某项业务活动所实施的控制。例如采购控制、销售控制等。
2.按控制的目的,可以分为财产物资控制、会计信息控制和经营决策控制
财产物资控制是指为了保护财产物资的安全完整所实施的控制。例如材料的验收和领用制度、固定资产的定期盘点制度等。
会计信息控制是指为保证会计信息的正确可靠所实施的控制。例如会计凭证的复核制度、会计记录的定期核对制度等。
经营决策控制是指为保证经营决策的贯彻执行所实施的控制。例如质量控制、计划控制等。
3.按控制的功能,可以分为预防式控制和察觉式控制
预防性控制是指为防止差错和弊端的行为发生或尽量减少其发生所进行的一种事前控制,其目的是防患于未然。它的最大优点是既可以保证企业经济活动的正常运行,又可以避免发生差错和弊端行为所带来的损失。预防性控制主要有钱货分管、钱账分管、出纳与会计分离、报销开支要经过审批等。
察觉性控制是指在差错和弊端行为发生以后能够自动发出信号,并及时采取纠正或补救措施所进行的事后控制。察觉性控制可以评价预防性控制的效果,它与预防性控制相比,花费的成本要高,但它是必要的。察觉性控制主要有定期进行对账、结账,定期进行财产清查,实行人员轮换等等。
预防性控制和觉察性控制似同消防系统中的防火措施和报警系统、灭火器材,缺一不可。执行中应贯彻预防性控制为主,察觉性控制为辅的原则。
4.按控制的工作内容不同,可分为内部会计控制和内部管理控制
内部会计控制是指为保护财产物资的安全完整、保证会计信息的正确真实以及财务活动的合法有效而制定和实施的有关会计业务及相关业务的政策与程序。如现金、银行存款内部控制,成本费用管理内部控制,记账程序内部控制,会计凭证保管、整理、归档内部控制等。
内部管理控制是指为保证经营决策正确、有效地贯彻执行以及经营目标的实现,促进经济活动的经济性、效率性和效果性而制定和实施的有关行政和业务管理方面的政策与程序。如合规合法性控制,劳动组织、人事内部控制,人员素质控制,计算机操作内部控制等。
这种分类说明了内部控制中不同内容与不同审计目标的关系,使得审计人员有可能只对与审计目标有关的内部控制进行了解与评价,从而限定了测试的范围,有利于提高审计工作效率。
5.按控制的时间,可以分为事前控制、事中控制和事后控制
事前、事中、事后控制分别是指对某项业务在发生前、发生过程中和发生后所实施的控制。
根据不同的具体事项,可以采用不同的时间控制。例如,对某项材料的采购业务,需从请购、审批、编制计划、签订合同、购货、验收入库、会计处理等多个环节进行事前、事中、事后的控制;而对某项产品的市场预测、某项长期投资的可行性分析等,则侧重于事前控制。一般来说,能在事前进行控制的就应尽量在事前实施;否则,会降低控制的效果,削弱控制的作用。
四、内部控制的局限性由于内部控制是被审计单位管理当局设计的,所以,内部控制总是存在着一定的局限性。审计人员在确定内部控制的可信赖程度时,应当保持应有的职业谨慎,充分关注内部控制在实践中所固有的局限性。内部控制固有的局限性主要表现在以下方面:
(1)内部控制的设计和运行受成本效益因素的制约。经济活动的目的是获取最大利润,内部控制的设计与执行也同样关系到成本与效益。一方面,内部控制的最终目的是为了保证目标利润的获得,控制环节越多,控制措施越严密,控制的效果就越好;另一方面,内部控制的实施需要成本,执行的控制环节越多,实施的控制措施越严密,成本就越高,同时也会影响企业经营活动的效率。
因此,被审计单位管理当局在设计和运行内部控制时,必然要权衡控制成本、控制效率及控制效果。如果执行某些控制程序所需的费用超过了该程序所能防止的错误本身所造成的损失,则这些控制程序将会被管理者所放弃。这样,在该业务环节,某些错误或舞弊的发生就可能得不到控制。
(2)内部控制可能因人员素质低下或有关人员相互勾结、内外串通、滥用职权而失效。如果具体操作人员业务素质不高,技术能力不适应岗位要求,比如粗心大意、精力分散、判断失误以及对指令的误解,则不论内部控制设计得如何完善,都会使内部控制失去应有的控制效能。如果担任不相容职务的有关人员(如会计和出纳、采购员与供货单位等)相互勾结、相互串通,都可能导致舞弊现象发生,从而使内部控制丧失查错防弊的能力,这种故意的人为原因使内部控制难以发挥控制作用。如果企业管理人员置内部规章于不顾,将自己的行为凌驾于内部控制之上,这种滥用职权、蓄意舞弊的情况也必然会使内部控制失效。
(3)内部控制一般仅针对常规业务活动而设计,其作用具有相对稳定性,如果发生未预料特殊事项、特殊业务或未预计到的经济业务,则可能会使现有的内部控制不适用,从而导致内部控制出现缺陷。
(4)内部控制可能会因经营环境或业务性质的改变而发生削弱或失效。内部控制一般是针对特定的经营环境和业务性质而设计的,当经营环境、业务性质变动较大后,原有的内部控制可能不再适用,而新的内部控制尚未制定,经济活动就处于失控状态。这种内部控制的改变滞后于经营环境与业务性质变迁的情况,必然使内部控制不能正常发挥其作用。
小型被审计单位拥有的员工通常较少,限制了其职责分离的程度,业主凌驾于内部控制之上的可能性较大,注册会计师应当考虑一些关键领域是否存在有效的内部控制。
综上可知,内部控制设计的出发点是查错防弊、保证经济活动合法和有效、保护资产的安全与完整、提高工作效率与经济效益。但这些作用是否能正常发挥出来,取决于企业的管理当局和全体员工素质的高低及其对内部控制的态度。要保证内部控制的实效,就必须严格遵守内部控制,相互协调、相互配合、相互支持。
(第二节)内部控制要素
内部控制要素指对内部控制产生影响的组成部分。按照中国注册会计师审计准则第1211号关于内部控制的构架中,把内部控制要素分为以下5类:控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督。
一、控制环境
注册会计师应当了解控制环境。控制环境是指对内部控制的建立和实施具有重要影响的各种因素的统称。控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
控制环境的优劣直接决定着组织各项控制措施能否执行及执行的效果。
它构成一个组织的氛围,影响组织内部人员控制意识的形成及执行控制的自觉性,是内部控制其他构成要素发挥作用的基础。控制环境的好坏直接决定着单位其他控制能否实施或实施的效果,影响着经营管理目标的实现。它主要包括以下内容:
