1、企业内部控制评价标准思考提要 本文从内部控制评价目标入手,分别阐述内部控制评价一般标准和具体标准,详细分析内部控制评价中一般标准的完整性、合理性、有效性及其之间的相互关系,即有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。同时,简明阐述内部控制评价标准的具体实践。 关键词:内控评价标准;内控评价具体实践 中图分类号:F27 文献标识码:A 原标题:试论企业内部控制评价标准的思考及实践 收录日期:2013 年 3 月 11 日 企业内部控制评价的目标简单地讲,就是评价企业内部控制的有效性。而内部控制的有效性从根本上来讲是要根据内部控制目标的实现来判定的。所谓内部控制:
2、是指一个企业的各级管理层,为了保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为,控制经济活动,利用企业内部分工而产生的相互制约、相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化、系统化,使之成为一个严密的、较为完整的体系。 内部控制评价标准,是企业进行内部控制评价所遵循的依据,是对内控制度建立健全及执行情况的基本要求和判断标准。从广义上看,内部控制标准,不仅是指考核与评价的标准,同时还是内部控制设计和执行应遵循的准则或要求。从狭义上看,内部控制标准,是指考核和评价企业内部控制对于保证企业管理计划实现和各项资源有效使用的标准。内部控制评价标准既可以从企
3、业管理与控制目标方面去制定,也可以从企业控制要素方面去制定。在实际工作中,对内部控制进行评价,必须有一套客观可行的基本参照标准,分为内部控制评价一般标准和具体标准。内部控制评价的一般标准,是指应用于企业内部控制评价各个方面的标准,即企业内部控制制度整体设计和运行应遵循和达到的目标,主要包括被评价内部控制的健全性、合理性及有效性。内部控制评价的具体标准是指应用于内部控制评价具体方面的标准,可分为要素标准和作业标准两个层级。内部控制具体标准是一般标准的体现,一般标准是具体标准的基础。只有从操作性较强的具体标准入手,对具体内部控制的设计与运行有了认识之后,才能通过总结、升华,从整体上对企业内部控制的
4、有效性做出判断。对于企业内部控制有效性的评价标准可从设计和执行的有效性两方面考虑。 一、内部控制评价一般标准 建立完善内部控制标准应当以“完整性” 、 “合理性” 、 “有效性”原则为指导。首先要从本企业的组织结构开始,主要包括:确定企业的组织结构形式,明确相关的管理职能和报告关系,以及为每个组织单位内部划分责任权限。 1、内部控制标准的完整性。内部控制评价标准既可以从企业管理与控制目标方面入手,也可以从内部控制要素入手,因此应当具有一定的前瞻性和多层次性。企业管理与控制目标一般包括三方面:完整性、合理性、有效性;具体由内部控制要素评价标准和作业操作层评价标准两部分组成。内部控制要素评价标准可
5、分为五个方面:控制环境、风险评估、控制活动、信息与沟通、监督;作业操作层级评价标准因其浩繁复杂,不能穷尽。以生产性企业为例亦分为五个业务循环:销售业务循环、购货业务循环、生产业务循环、薪酬业务循环、理财业务循环。 在内部控制评价的具体标准中,要素评价标准以作业操作层级评价标准为基础,确切地说就是,作业操作层级评价标准主要是控制活动要素评价标准的细化,对企业控制活动要素的评价要以作业操作层级的评价为基础和前提。但这并不意味着其他内部控制要素不体现在企业的业务活动中,恰恰相反,在进行作业操作层级评价时都会涉及到其他内部控制要素,如控制环境与风险评估要素是渗透在业务活动中的,控制活动的好坏同时也体现
6、着信息与沟通及监督的良莠。 2、内部控制标准的合理性。内部控制标准的合理性同样包括两层涵义:一是指内部控制标准设计和执行时的适用性、可控性;二是指内部控制标准设计和执行时的经济性、务实性。在满足了完整性这条首要标准之后,合理性是对内部控制更深一层次的要求。如果内部控制不具有完整性,则合理性与有效性就无从谈起;同样,若只追求全而又全的各种内部控制措施、方法等,而忽略设计和执行中的适用性、可控性和经济性、务实性,其结果只能是完全背离实施内部控制标准的初衷,甚至会给企业的正常生产经营造成负面影响,有效性也同样成了无稽之谈。 在评价内部控制的合理性时,适用性、可控性是首要的,它是指企业所建立的内部控制
7、标准应适合企业的特点和要求。各行业及各企业内部由于其组织规模、交易性质、经济技术条件、人员素质等所存在的差异,就相应地需要制定出具有不同特点的内部控制标准,照搬其他企业的做法是行不通的。对某一特定企业来说,评价其内部控制的适用性要注意以下内容:(1)控制点的设置是否合理。如:组织结构控制、授权批准控制、会计记录控制、资产保护控制、预算控制、职工素质控制、风险控制等等;(2)有没有安排过多或不必要的控制点。在每一个需要控制的地方是否都建立了控制环节,如是否遵循不相容职务相分离的原则,即一项经济活动通常可以划分五个步骤,即:授权、签发、核准、执行和记录,如果上述每一步骤均由相对独立的人员或部门实施
8、,就能够保证不相容职务的分离,便于内部控制作用的发挥;(3)控制职能是否划分清楚。各岗位人员间的分工和牵制是否恰当,即既不能分工过细,又能起到相互牵制、相互控制的作用。 然而,内部控制标准的适用性、可控性要以经济性、务实性为限制条件。内部控制标准的最终目的是提高企业的经济效益,减少低效和投资浪费。因而,制定内部控制标准要以成本效益原则为指导,一方面内部控制标准的设计和运行应有重点,对企业经济活动有重要影响的部门和环节应实施强有力的控制;另一方面要在实行内部控制所花费的成本和由此产生的经济效益之间保持适当的比例,即因实行内部控制所花费的代价不能超过由此而获得的效益,否则,就得不偿失。 3、内部控
9、制标准的有效性。内部控制标准的有效性也有两层涵义:一是指企业的内部控制政策和措施没有与国家法律法规相抵触的地方;二是指设计完整、合理的内部控制标准在企业的生产经营过程中,能够得到贯彻执行并发挥作用,实现其提高公司经营效率、效果、提供可靠财务报告和遵循法律法规提供合理保证的目标。良好的内部控制标准是实现企业的主要创意和目标根本,可以有助于消除企业管理瓶颈、冗余和不必要的步骤,有效性是内部控制标准的精髓,如果一种内部控制制度不能实现有效性、可控性,实质上就不存在什么内部控制标准了。 在内部控制评价的三个标准中,内部控制的有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。若
10、不具有完整性与合理性,则内部控制的有效性无从谈起;同理,若没有了有效性,则内部控制的完整性与合理性也就丧失了基本的意义。 在评价内部控制的有效性时,第一层涵义即不与国家法律法规相抵触是前提,只有满足了这一点,才能考虑其执行的效果;而第二层涵义对企业来说则是根本性的,也是企业追求的目标。如果只满足了合法合规的前提,而在实际中根本不予执行或执行起来达不到预计效果,则内部控制对该企业来说就相当于不存在。内部控制制度设计的再完善,若没有称职的人员来执行,也不能发挥作用。因此,企业的用人政策直接影响着企业能否吸收较高能力的人员来执行内部控制制度,重视对内部控制制度管理人员的选用和培训,也是内部控制有效性
11、的关键。 有效性要求内部控制制度能有效地防止错误与弊端的发生,产生效率和效益。这不仅需要内部控制总体上是有效的,而且需要各项具体制度也要有明确的目的并发挥其自身的作用。因此,内部控制系统要相互协调,决不能顾此失彼、自相矛盾,既要有制约作用,又要有协调机制,以有利于整体功能的发挥。控制要适度,过严会使管理活动失去生机,影响职工积极性的发挥;过宽又会引起运行的机制失调,达不到控制目的。任何制度都要有利于管理者和企业员工的理解和执行,因此要简明扼要、方便易行、讲究实效。 二、内部控制评价标准具体实践 以上三个标准属于评价内部控制的一般标准,一个企业的具体内部控制浩繁庞杂,因此无论是设计内部控制制度要
12、素评价标准,还是作业操作层级评价标准,都需要有一个较为统一的评价标准模式。笔者认为,评价标准模式可以按以下层级设计: 1、控制目标。在实际工作中,管理人员和审计人员总是根据控制目标,建立和评价内部控制,因此,设计评价标准模式,首先应根据经济活动的内容特点和管理要求提炼内部控制目标。确保企业经营活动的安全、完整,确保企业经营信息和会计信息的正确可靠。以会计记录控制为例:会计记录控制的目标是保证会计信息反映及时、完整、准确、合法。一个企业的会计机构实行会计记录控制,要建立会计人员岗位责任制,对会计人员进行科学的分工,使之形成相互分离和制约的关系。在会计核算中规定经济业务一经发生,就应对记载经济业务
13、的所有凭证进行连续编号,通过复式记账,在两个或两个以上相关账户中进行登记,以防止经济业务的遗漏、重复,对余额明细核对、各种报表相关数字核对,以及由此而规定的内部稽核制度等。 2、控制点。各项控制目标分别需要通过若干相应的控制因素予以实现,而这些控制因素作用的发挥,则是根据某些容易发生错弊的业务环节特点进行针对性控制。这些可能发生错弊的业务环节,称为控制点。如以会计记账为例:如出纳员不得兼管稽核、会计档案保管和收入、费用、债权债务账目的登记工作;银行票据的签发印鉴,必须有两人分别掌管;向银行提取较大数额现金时,必须由两人以上,对领款、点验安全入库的全过程共同负责;仓库材料明细账要设专人稽核或另设
14、记账员记账;管钱、管物、管账人员因故离开工作岗位或调动工作时,规定要由主管领导指定专人代理或接替,并监督办理必要的交接手续或正式移交清单等,通过设置各岗位职务相互分离制度都是防错防弊的内部控制制度的控制点。 3、控制措施。不同的控制点,有着不同的业务内容和控制目标,因此需要采取不同的控制手续和方法,才能预防和发现各种错弊。这些为预防和发现错弊而在某控制点所运用的各种控制手续和方法等,即为控制措施。按此模式进行内部控制标准构造,不同行业、企业为实现控制目标所采取的控制措施可能相去甚远,不能穷尽。以计算机财务管理系统操作权限和控制方法为例,加强对会计电算化系统的管理和控制是会计系统安全、正常运行的前提。对会计电算化进行内部控制,要明确系统管理人员、维护人员不得兼任出纳、会计工作,任何人不得利用工具软件直接对数据库进行操作。程序设计人员还应对数据库采用加密技术进行处理,严格按会计电算化系统的设计要求配置人员,健全数据输入、修改、审核的内部控制制度,保障系统设计的处理流程不走样变型。对存取权限进行控制,设多级安全保密措施,系统密匙的源代码和目的代码,应置于严格保密之下。从计算机系统处理方面对信息提供保护,通过用户密码口令的检查,来识别操作者的权限,操作权限(密级)的分配,应由财务负责人统一专管,以达到相互控制的目的,明确各自的责任。
