什么是内部控制?理论界存在各种观点。由于表述众多,本文仅选择几个权威定义进行分析。
1949年,美国会计师协会的审计程序委员会在《内部控制:一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
1992年,美国“反对虚假财务报告委员会”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的发起组织委员会(COSO)发布报告《内部控制-整体框架》(即“COSO报告”)。该报告将内部控制定义为:是受企业董事会、管理当局和其他职员的影响,目的在于取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。
我国1997年开始实施的《独立审计具体准则第九号-内部控制与审计风险》的定义是:“内部控制是被审计单位为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。”
上述三个定义具有几个共同特点:一是都将内部控制解释为一种政策或程序(过程);二是都在定义中说明了内部控制的目标;三是都是从审计的角度做出的定义。笔者认为,这些定义普遍存在以下几个缺陷:
1、定义出发点过于狭隘。控制是一个应用非常广泛的概念,有生产控制、人口控制、经济控制、军事控制等,从不同的角度(学科)出发,会给出不同的控制概念。虽然内部控制与审计存在密切的联系,但是,不论从内部控制的产生,还是内部控制的现实需要来看,内部控制都应该属于管理范畴。“可以肯定地说,内部控制最初是在组织中内生的,而不是外力(外部管制、规范的要求;审计)催生的。”(方红星,2002)并且,我国建立内部控制制度,制定《内部会计控制规范》的直接目的也不是为了审计需要,而是提高会计信息质量,加强单位内部管理的迫切要求。过去,由于一直把内部控制与审计相联系,企业对建立内部控制制度缺乏积极性,甚至产生抵触心理,这在一定程度上阻碍了内部控制的建立和实施。如果我们从管理学的角度重新认识内部控制,把它作为单位内部管理的手段和方法,相信内部控制必然会得到各单位的高度重视,从而自觉地加强内部控制制度的建设。
2、没有明确内部控制的主体和客体。任何一种控制系统,都既应该有施控主体,也应该有受控对象(客体)。一般认为,内部控制的客体是人、财、物及其在经营过程中所形成的一系列组合关系和组合形式。这一点几乎没有争论。存在争论的主要是内部控制的主体问题,第一种观点认为,内部控制主体是单位经营者。但是,经营者如何界定,又存在五种观点:①包括董事长、总经理;②包括董事会成员、总经理班子;③包括董事会成员、总经理班子、党员班子;④包括董事会成员、总经理班子、党委班子、监事会成员;⑤包括董事会成员、总经理班子、党委班子、监事会成员、工会主席。第二种观点认为,单位内部经营管理者和广大职工群众在内的所有员工都构成内部控制的主体,单位中每一个员工既是内部控制的主体,同时又是内部控制的客体(课题组,2001);第三种观点认为,内部控制主体既包括所有者(股东),也包括经营者,分为两个层次(阎达五、宋建波,2002)。但有的学者将董事会纳入所有者范畴,有的学者则将董事会作为经营者;第四种观点认为,内部控制主体包括股东、经营者、管理者和职工四个层次(郑石桥等,2000)。
笔者认为,要正确认识内部控制的主体,首先必须区分单位内部控制主体和单位外部控制主体。我们可以借鉴财务会计(外部会计)和管理会计(内部会计)的划分方法,股东(或股东大会)属于会计信息的外部使用者,只能作为单位外部的控制主体。股东、监事会、董事会和经理之间的相互关系,通过公司治理结构加以解决。不能混淆公司治理结构和内部控制的关系,不能把内部控制的范围无限扩大化。监事会作为股东监督企业的代表,属于外部监督,也不应纳入单位内部控制主体。董事会虽然是所有者的代表,但同时也是企业的经营者,是企业的法人权力机构和法人代表机构,因此董事会应该作为重要的内部控制主体。另外,企业的经理人、管理者和广大职工也都是内部控制主体。一般认为控制仅指上级对下级的控制,这其实是误解。控制是相互的,上级控制下级,下级(职工)也可以控制上级(经营者和管理者)。中国企业提倡的民主理财、群众监督就是一种很好的、以职工作为控制主体的内部控制方式。
3、忽视了控制主体不同,内部控制目标存在差异的客观现实。内部控制是控制主体意志的体现,控制主体不同,控制目标也会有所不同。并且,控制目标还要受到内部控制环境的影响和制约,即使控制主体相同,控制环境发生变化,内部控制目标也会发生相应改变。例如以董事会作为控制主体的内部目标和以一般职工作为控制主体的控制目标显然是不同的。在目前所流行的内部控制定义中,都把内部控制目标固定地、不分控制主体地加以笼统表述,似不科学。
综上分析,笔者将内部控制定义为:内部控制是在一定的环境下,单位内部控制主体为了达到其特定目标所采用的一系列的管理程序和方法。
二、内部控制的目标
目前会计界对内部控制目标的研究缺乏针对性。一般都在内部控制的定义中对内部控制目标加以笼统阐述。在现代企业中,内部控制主体包括董事会、经理人、管理者和广大职工。内部控制目标应该针对控制主体不同存在差异。
1、以董事会为主体的内部控制目标。在公司治理结构中,董事会既是股东代表,也是企业的经营决策者,因此,其内部控制的目标既包括对外目标,也包括对内目标,对外目标是实现股东利益最大化(如英国和美国)或利益相关者利益最大化(如日本、德国)。对内目标是保证公司经营的有效性和合法性、保护公司财产安全、保证会计信息的真实和完整。
由于董事会的双重身份,两个目标时常会发生冲突,董事会在内部控制结构中就显得尤为重要。然而,目前董事会在很大程度上掌握在“内部人”手中,经营者实质上控制了董事会,作为股东代表的控制目标很难实现,损害广大股东的利益也就不足为奇,因此应该对董事会的职责和人员组成进行改革。
2、以经理人为主体的内部控制目标。经理人受聘于董事会,是经营执行者,是法人之代理人。因此,其内部控制的主要目标就是完成董事会的各项受托责任,包括:保证公司经营的有效性和合法性、保护公司财产安全、保证会计信息的真实和完整。该内容与董事会的内部控制目标基本一致。
3、以管理者为主体的内部控制目标。管理者是企业内部各个责任中心的负责人,是经营者的受托人。其内部控制的目标主要是完成各项责任目标。
4、以职工为主体的内部控制目标。职工是企业中委托代理关系的最后一层,其内部控制的主要目标就是完成其岗位责任。
总之,内部控制体系由上述四个层次共同构成。在四个层次中,以董事会为主体的内部控制处于最高层次,同时,由于董事会是企业的法人代表机构,董事会的内部控制目标代表着企业的内部控制目标,也是其他控制主体的直接或终极控制目标。
三、内部控制的基本假设
目前会计界尚未提出内部控制假设这一命题。笔者认为,内部控制是建立在一定假设基础之上的,这些假设包括单位实体假设、可控假设、复杂人性假设和不串通假设。离开了这些假设,内部控制就不能存在。
(一)控制实体假设
控制实体是指内部控制为之服务的特定单位或部门。控制实体假设是对内部控制活动的空间范围所作的限定。它要求内部控制应当以特定单位或部门的人、财、物及其在经营过程中所形成的一系列组合关系和组合形式进行控制。控制实体由于控制主体的不同而不同,可以是企事业单位,也可以是单位内部某个部门。
(二)可控性假设
内部控制是控制主体对控制客体所实施的控制。相对于控制主体而言,控制客体必须是可以控制的。否则,内部控制将形同虚设。在确定各级控制主体的控制范围时,只有主体能够控制的对象,才能够纳入内部控制体系。各项内部控制制度都是在这一前提的基础上建立起来的。
(三)人性假设
内部控制的实质是对人进行约束和激励的一种机制。这种机制必须建立在对人性假设的基础之上。人性假设就是关于人的本质是什么的假设。1965年,薛恩(E.H.Sein)将此前关于人性方面的观点归为三类,即理性—经济人假设、社会人假设、自我实现假设。薛恩在分析了这些人性假设理论之后提出复杂人性假设,他认为,人性是复杂的,人们的需要与潜在欲望是多种多样的,而且这些需要会随着各种条件的变动而不断改变。
(四)不串通假设
内部控制的核心是内部牵制,即不相容职务恰当分离。这样可以避免或减少一人单独从事和隐瞒不合规行为的机会。但是,如果两个或更多的人串通舞弊,则可以逃避控制,使内部控制形同虚设。这既是内部控制的局限之一,也是其建立的基本前提或假设。离开了这一假设,内部控制(特别是内部牵制)根本无法建立。
四、内部控制的基本原则
内部控制应当遵循一定的原则,这些原则包括:
(一)合法性原则。内部控制活动必须符合国家有关法律法规和公司章程的规定,包括《公司法》、《会计法》,以及财政部发布的《内部会计控制规范》等等。例如《会计法》规定:各单位应当建立健全内部会计监督制度,并对其具体内容作出了规定。各单位在建立内部控制制度时,应当符合法定要求。否则,便会被视为违法,这样既有损企业经济利益(被给予处罚),而且也不利于提高企业的管理水平。
(二)相互牵制原则。就是指对一项完整的经济业务,必须分配给具有两个或两个以上的职位或人员分别完成,从而形成相互制约。其理论依据在于,几个人发生同一错弊而不被发现的概率是每个人发生该项错弊的概率的连乘积,因而将降低误差率。《会计法》规定:“记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约”。这就体现了相互牵制原则。相互牵制原则贯穿于内部控制的全过程。
(三)程式定位原则。是指在建立内部控制制度时,应该根据各岗位业务性质和人员要求,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,以使职、责,权、利相结合。岗位工作程式化,要求做到事事有人管,人人有专职,办事有标准,工作有检查,以此定奖罚,以增加每个人的事业心和责任感,提高工作质量和效率。
(四)系统全面原则。内部控制是一个系统,其内容涉及单位的各个部门、生产经营的各个环节。系统全面原则要求,一方面,内部控制的内容应当全面,不能遗漏,否则便会被不法份子“趁虚而入”:另一方面,内部控制的各部分内容应当相互协调,相互配合,形成有机系统。如果内部控制内部存在矛盾,便会使执行者无所适从。
(五)成本效益原则。成本效益原则要求以最小的控制成本取得最大的控制效果。实施内部控制的单位应当对内部控制成本和由此而产生的经济效益进行权衡,如果效益大于成本,便应该建立相应的内部控制制度,否则,便得不偿失。也就是说,一项内部控制制度既要有利于加强企业管理,但也不能阻碍企业的经营活动。
(六)重要性原则。重要性原则要求单位的内部控制应当区别其重要程度,采用不同的控制程序和方法。对于重要的控制项目,控制程序应当更加严密。反之,则可以适当简化。例如在财务收支审批中,对于超过一定金额标准的费用支出或者需要重点管理的费用支出可由总经理亲自审批,一般费用支出可由总经理授权其他人员审批。
五、内部控制的基本内容和方法
目前理论界关于内部控制内容的主要观点有:一是认为包括内部会计控制和内部管理控制,这是一种最常见的划分方法;二是认为包括内部会计控制、内部管理控制和内部业务控制(张国康等,2003);三是认为包括会计(财务)控制、管理控制、业务控制和规划执行控制(课题组,2001)。
笔者认为,上述观点存在一个共同的缺陷,就是将会计控制和管理控制并列作为内部控制的内容。会计活动本身就是一项管理活动,会计控制本质上属于管理控制,将二者并列是不妥当的。更何况会计控制和管理控制往往难以分割,上述划分无疑“将美玉击成了碎石”。鉴于此,我们根据内部控制的目标不同,将内部控制分为三个部分。
(一)会计信息质量控制
会计信息质量控制的目标是保证单位会计信息真实、完整。主要的控制方法包括:(1)会计系统控制,就是通过建立完善的复式记账会计核算系统,保证企业遵守国家统一的会计制度,从而提供真实、完整的会计信息;(2)内部审计控制,这不仅是内部控制的有效手段,也是保证会计信息真实、完整的重要措施。在资产安全控制和经营绩效控制中,也广泛采用内部审计控制方式(以下略),因此应当充分发挥内部审计在内部控制中的重要作用。
(二)资产安全控制
资产安全控制的目标是维护企业财产物资的安全、完整。主要控制方法有:(1)限制接触控制,就是指严格控制对实物资产的接触,只有经过授权批准的人员才可接触、处置资产。主要适用于现金等变现资产,以及各种存货资产。(2)定期盘点控制,是指对各项财产物资进行定期盘点清查,进行账实核对。如果账实不符,应查明原因,及时处理。
(三)经营绩效控制
经营绩效控制的主要目标是保证企业经营的效率与效益。控制方法主要有:(1)授权批准控制,即对单位内部部门或职员处理经济业务的权限控制。单位内部某个部门或某个职员在处理经济业务时,必须经过批准才能进行,否则就不能进行。这样可以保证单位既定方针的执行和滥用职权。(2)奖惩激励控制,就是通过奖励和惩罚的手段来激励和约束被控制者,使其更好地为实现其控制目标服务。其手段可以通过合理的薪金制度、职务晋升制度等加以实施。(3)全面预算控制。预算管理由预算编制、预算执行、预算控制、预算分析和预算考核等一系列具有顺序的环节组成。一个现代企业,如果想要提高企业经济效益,实现企业管理目标,就需要实行全面预算体系,推行预算管理。
「参考文献」
[1]方红星。内部控制审计组织效率[J].会计研究,2002,(7)。
[2]课题研究组。内部会计控制规范操作实务[M].中国商业出版社,2001.
[3]阎达五,宋建波。双元控制主体构架下现代企业会计控制的新思考[J].会计研究,2000,(3)。
[4]郑石桥等。现代企业内部控制系统[M].立信会计出版社,2000.
[5]张国康等。内部控制制度[M].立信会计出版社,2003.
[6]课题组。现代企业内控制度:概念界定与设计思路[J].会计研究,2001,(11)。