1、企業內部控制設計 清華大學會計研究所 陳關亭博士 11 月 19 日,清華大學會計研究所陳關亭博士在國家會計學院開辦的第四期財務總監高級研修班上作了題爲企業內部控制設計的報告。共分三講:內部控制概論、國外內部控制範例、內部控制設計。 第一講 內部控制概論 一、內部控制的歷程 內部控制,在內部牽制的基礎上,由企業管理人員在經營管理實踐中創造 ;並審計人員理論總結而逐步完善的自我監督和自行調整體系。在其漫長的産生和發展過程中,大體經歷了萌芽期、發展期和成熟期三個歷史階段。 (一 )萌芽期一一內部牽制 內部控制,作爲一個專用名詞和完整概念,直到本世紀 30 年代 才被人們提出、認識和接受。但在此前的
2、人類社會發展史中,早已存在著內部控制的基本思想和初級形式,這就是內部牽制 (Internal check)。例如,在古羅馬時代,對會計賬簿實施的 “雙人記賬制 “-某筆經濟業務發生後,由兩名記賬人員同時在各自的賬簿上加以登記然後定期核對雙方賬簿記錄,以檢查有無記賬差錯或舞弊行爲,進而達到控制財物收支的目的,即是典型的內部牽制措施。 縱觀該時期的內部牽制,它基本是以查錯防弊爲目的,以職務分離和 賬目核對爲手法,以錢、賬、物等會計事項爲主要控制物件。其概念基本如柯氏會計辭典 (Kohlers Dictionary for Accountant)的定義,即 “爲提供有效的組織和經營,並防止錯誤和其他
3、非法業務發生而制定的業務流程。其主要特點是以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工,每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制 “。 (二 )發展期一一內部會計控制與內部管理控制 1934 年美國證券交易法,首先提出了 “內部會計控制 “ (Internal accounting control system)的概念。其中指出:證券發行人應設計並維護一套能爲下列目的提供合理保證的內部會計控制系統: a.交易依據管理部門的一般和特殊授權執行; b.交易的記錄必須滿足 GAAP 或其他適當標準編制財務報表和落實資産責任的需要; c.接觸資産
4、必須經過管理部門的一般和特殊授權; d.按適當時間間隔,將財産的賬面記錄與實物資産進行對比,並對差異採取適當的補救措施。 !936 年美國會計師協會發佈的註冊會計師對財務報表的審查文告,以及 1947 年審計準則暫行公告 (TSAS),出於改進審計方式的需要,提出了以內部控制 (Internal Control)爲基礎的審計程式。但這期間,無論在審計文獻中還是在其他管理著作中,均沒有關於內部控制概念的權威性定義。 1.第一個具有權威性的定義 爲了賦予內部控制一個準確完整的定義,審計程式委員會下屬的內部控制專門委員會經過兩年研究,於 1949 年發表了題爲內部控制、協調系統諸要素及其對管理部門和
5、註冊會計師的重要性的專題報告,對內部控制首次做出了如下權威定義: “內部控制是企業所制定的旨在保護資産、保證會計資料可靠性和準確性 、提高經營效率,推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施 “。 此定義強調,內部控制不只限於與會計和財務部門直接有關的控制方面,它還包括預算控制、成本控制、定期報告經營情況、進行統計分析並將統計報告送交有關部門、制定培訓計劃以培訓有關人員使其能夠履行職責,以及設立內部審計部門以保證管理部門所制定的各種程式的準確性,並保證其得到貫徹執行等內容。此外內部控制還包括其他領域的一些活動,例如,具有工程性質的時動分析以及在檢查系統中運用的
6、質量控制,基本上屬於生産部門的活動。 2.定義的第一次修正 上述範圍廣泛的內部控制定義及其解釋的發佈,當時被普遍認爲是對內部控制這一重要概念的重大貢獻。但該報告所定義的內部控制概念,其內容如此寬泛,以致包括了審計人員對審查內部控制所不原、也不可能承擔的職責。從與委託人討論什麽是良好的會計和經營方法的角度考慮,他們感到 1949 年的定義非常合適,但從承擔爲制定審計方案而對內部控制進行檢查的責任角度考慮,他們感到這一定義範圍過寬。該委員會的解決方式,是將內部控制劃分爲 “會計控制 “和 “管理控制 “兩大類 -即將與前兩個目標即保護資産和保證會計資料可靠 性和準確性有關的控制劃分爲內部會計控制,
7、而將與後兩個目標即提高經營效率、保證管理部門所制定的各項政策得到貫徹執行有關的控制歸入內部管理控制。於是 1953 年 10 月,審計程式委員會 (CAP)又發佈了審計程式公告第 19 號( SAP No.19),對內部控制作了如下劃分: “廣義地說,內部控制按其熱點可以劃分爲會計控制和管理控制 ;1)會計控制由組織計劃和所有保護資産、保護會計記錄可靠性或與此有關的方法和程式構成 ;會計控制包括授權與批准制度 ;記賬、編制財務報表、保管財務資産等職務的分離 ;財産的實物控制以及內部審計等控 制。 2)管理控制由組織計劃和所有爲提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關
8、的方法和程式構成。管理控制的方法和程式通常只與財務記錄發生間接的關係,包括統計分析、時動研究、經營報告、雇員培訓計劃和質量控制等 “。 可見,所以把內部控制分爲會計控制和管理控制,是爲了按照公認審計標準來規範內部控制檢查和評價的範圍。對此, 1963 年,審計程式委員會在審計程式公告第 33 號的結論是 :獨立審計師應主要檢查會計控制。會計控制一般對財務記錄産生直接的、重要的影響,審計人員必須對它做出評價。管 理控制通常只對財務記錄産生間接的影響,因此,審計人員可以不對其作評價。但是,如果審計人員認爲,某些管理控制對財務記錄的可靠性産生重要的影響,那麽他要視情況對它們進行評價。例如,在某種特定
9、的情況下,生産部門、銷售部門和其他業務部門的統計分析需要給予評價。 3. 定義的第二次修正 第一次修正後的定義,大大縮小了註冊會計師的責任範圍,但人們認爲對 “會計控制 “的保護資産和保證財務記錄可靠性這兩點仍然可能發生誤解。即對 “保護 “一詞作廣義的解釋可能會使人們産生這樣一種印象 :“決策過程中的任何程式和記錄都可以包 括在會計控制的保護資産概念中 “。爲了避免這種寬泛的解釋,1972 年美國註冊會計師協會 (AICPA)對會計控制又提出並通過了一個較爲嚴格的定義: “會計控制是組織計劃和所有與下面直接有關的方法和程式: 1)保護資産,即在業務處理和資産處置過程中,保護資産遭過失錯誤、故
10、意致錯或舞弊造成的損失。 2)保證對外界報吉的財務資料的可靠性。 “ 4.定義的第三次修正 1972 年,美國準則委員會 (ASB)審計準則公告的制定者,循著證券交易法的路線進行研究和討論,在第 1 號公告 (SAS No.1)中,對管理控制和 會計控制提出並通過了今天廣爲人知的定義: ( 1)內部會計控制。會計控制由組織計劃以及與保護資産和保證財務資料可靠性有關的程式和記錄構成。會計控制旨在保證:經濟業務的執行符合管理部門的一般授權或特殊授權的要求 ;經濟業務的記錄必須有利於按照一般公認會計原則或其他有關標準編制財務報表,以及落實資産責任 ;只有在得到管理部門批准的情況下,才能接觸資産;按照
11、適當的間隔期限,將資産的賬面記錄與實物資産進行對比,一經發現差異,應採取相應的補救措施。 (2)內部管理控制。管理控制包括但不限於組織計劃以及與管理部門授權 辦理經濟業務的決策過程有關的程式及其記錄。這種授權活動是管理部門的職責,它直接與管理部門執行該組織的經營目標有關,是對經濟業務進行會計控制的起點。 上述內部控制定義的演變反映出兩個重點 :第一,當前註冊計師在開展其審計工作時所運用的會計控制概念,是一種純技術的、專業化的、適用範圍具有嚴格規定性的、防護色彩很濃的概念,它的主要宗旨是預防和發現錯弊 ;第二,自審計程式委員會於 1949 年提出第一個內部控制定義起,人們爲完善該定義作了不懈的努
12、力,以至於今天的內部控制定義與 1949 年的定義有天壤之別。 這種以 會計控制爲主的定義,雖爲獨立審計界認可,卻屢屢遭到管理人員代言人的攻擊。他們指出,這些定義把精力過多地放在糾錯防弊上,過於消極和狹窄。凱羅魯斯先生對於代表獨立審計界觀點的特別諮詢委員會關於內部會計控制的報告,只表示有保留地同意。他認爲,該報告對內部會計控制範圍的討論受現存審計文獻的影響太大。凱羅魯斯主張,內部控制範圍和目標應予以擴展,以便它們更能夠適應管理部門的需要。他極爲主張,審計準則委員會所納入 “內部會計控制環境 “的某些因素應該是設計合理、運行有效的內部會計控制系統不可分割的一個組成部分。這些因素包 括: (1)組
13、織計劃, (2)責任的確定和授權, (3)預算程式和預算控制, (4)員工雇用計劃和財務人員培訓計劃 ;(5)保證所有參與經濟業務授權、記錄、保護資産、報告財務資訊的職員保持較高的行爲道德水準的方法和措施。從管理人員 (和其他有關第三方 )的角度來看,會計控制和管理控制之間的區別並不大,甚至根本沒有區別。特別是那些置身於企業經營活動的人們,他們很難接受這種區分。 1980 年 3 月在 “內部審計師協會 “代表大會的發言中,凱羅魯斯先生把美國註冊會計師協會在 1958年將 1949年的內部控制定義區分爲會計控制和管理控制 的行爲描繪爲 “將美玉擊成了碎片 “。他聲稱,在這塊美玉完全修復以前 -
14、我們不可能有一個對管理人員有用、爲管理人員理解的內部控制定義。 (三 )成熟期 -內部控制結構和內部控制整體架構 美國註冊會計師協會的文獻界定了會計控制概念,而公司的經理們創立並在實踐中運用著管理控制概念,這兩個概念形成鮮明的對照。如果對這兩種善於內部控制的不同解釋的同時並行這一事實視而不見,那麽任何設計內部控制系統的企圖都是短視的,同時也是徒勞的。於是,人們提出了內部控制結構和整體架構的概念。 1.內部控制結構 (Internal Control Structure) 1988 年 4 月美國註冊會計師協會發佈的審計準則公告第 55 號 (SAS N0.55),規定從 1990 年 1 月起
15、以該文告取代 1972 年發佈的審計準則公告第 1 號。該文告首次以內部控制結構 (Internal Control Structure)一詞取代原有的 “內部控制 “一詞,而且文告提出的內部控制內容比以前更爲實在,條理更加清楚。該文告的頒佈和實施可視爲內部控制理論研究的一個新的突破性成果。 以 “財務報表審計對內部控制結構的考慮 “爲題的審計準則公告第 55 號指出 :“企業的內部控制結構包括爲合理保證企業特定目標的實現而建立的各種政策和程式 “,並且明確了內部控制結構的內容,具體如下 : (1)控制環境 所謂控制環境是指對建立、加強或削弱特定政策和程式效率發生影響的各種因素。具體包括 :管
16、理者的思想和經營作風 ;企業組織結構 ;董事會及其所屬委員會,特別是審計委員會發揮的職能;確定職權和責任的方法 ;管理者監控和檢查工作時所用的控制方法,包括經營計劃、預算、預測、利潤計劃、責任會計和內部審計;人事工作方針及其執行、影響本企業業務的各種外部關係。例如由銀行指定代理人的檢查等 。 (2)會計系統 會計系統規定各項經濟業務的鑒定、分析、歸類、登記和編報的方法,明確各項資産和負債的經營管理責任。健全的會計系統應實現下列目標 :鑒定和登記一切合法的經濟業務 ;對各項經濟業務按時進行適當分類,作爲編制財務報表的依據 ;將各項經濟業務按適當的貨幣價值計價,以使列入財務報表 ;確定經濟業務發生
17、的日期,以便按照會計期間進行記錄 ;在財務報表中恰當地表述經濟業務以及對有關內容進行揭示。 (3)控制程式 控制程式指管埋當同所制訂的用以保證達到一定目的的方針和程式。它包括下列內容 :經濟業務和經 濟活動的批准權 ;明確各個人員的職責分工,防止有關人員對正常業務圖謀不軌的隱藏錯弊 ;職責分工包括 :指派不同人員分別承擔批准業務、記錄業務和保管財産的職責 ;憑證和賬單的設置和使用,應保證業務和活動得到正確的記載:對財産及其記錄的接觸和使用要有何保護措施 ;對已登記的業務及其計價要進行復核。 上述內部控制結構的內部與 1972 年頒佈的內部控制定義相比有兩個明顯的改動 :一是正式將內部控制壞境納
18、入內部控制範疇,二是不再區分會計控制和管埋控制。這些改變可以說是反映了 70 年代後期以來內部控制實務操作和理論研究的一個新動向 。 2.內部控制整體架構 (Internal Control 一 Integrated Framework) 1992 午,美國 “反對虛假財務報告委員會 “(National Commission on Fraudulent Reporting),所屬的內部控制專門研究委員會發起機構委員會 (Committee of Sponsoring Organizations of the Tread-way Commission,簡稱 COSO 委員會 ),在進行專門研究
19、後提出專題報告:內部控制一一整體架構 (Internal Control 一 Integrated Framework),也稱 COSO 報告。經過兩年的修改, 1994 年 COSO 委員會提出對外報告的修改篇,擴大了內部控制涵蓋範圍,增加了與保障資産安全有關的控制,得到了美國審計署 (General Accounting Office,GAO)的認可。與此同時。 AICPA 則全面接受 COSO 報告的內容,於 1995 年據以發佈了審計準則公告第78 號 (SAS N0.78),並自 1997 年 1 月起取代了審汁準則公告第 55 號。 COSO 報告指出 :內部控制是一個過程,受企業
20、 董事會、管理當局和其他員工影響,旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。它認爲內部控制整體架構主要由控制環境、風險評估、控制活動、資訊與溝通、監督五項要素構成。 歸結上述文獻,我們認爲 :內部控制是爲合理保證單位經營活動的效益性、財務報告的可靠性和法律法規的遵循性,而自行檢查、制約和調整內部業務活動的自律系統。其貫穿於經營活動的全部過程,包括控制環境、風險評估、控制活動、資訊與溝通,監督等要素,並受企業董事會、管理階層及其他人員影晌。 需要指出的是,內部控制並不僅限於企業單位,同 樣也存在於其他各類經濟組織和行政事業單位中。只是作爲一種經濟組織,企業這種典型形式比較具有
21、代表性,因而,本文主要以企業物件研究內部控制,但其原埋及評價的方法同樣也適用於其他各類經濟組織和行政事業單位之中。 二、內部控制的要素 內部控制的內容,歸恨結底是由基本要素組成的。這些要素及其構成方式,決定著內部控制的內容與形式。設計內部控制,可以根據企業特徵和需求(例如企業規模、業務構成、管理水平等),對內部控制要素加以有機組合。我們認爲, COSO 報告提出的內容控制五項要素,具有較強的理論可取性和實踐可行性, 本文將以此爲基礎,簡要闡述內部控制的要素及其結構。 (一 )控制環境 控制環境提供企業紀律與架構,塑造企業文化,並影響企業員工的控制意識,是所有其他內部控制組成要素的基礎。控制環境
22、的因素具體包括 : (1)誠信的原則和道德價值觀。無論是企業最高管理層還是其他成員都應當做到 :嚴格一致地保持誠信行爲和道德標準 ;不要盲目追求不切實際的目標,以致形成不必要的壓力 ;對敏感職位之間的財務分工要準確明細,以避免造成偷竊資産或隱藏不佳績效的引誘;加強企業的內部審核制度 ;發揮董事會的職能,使其客觀監督企業的高層管理階 層 ;提供道德方面的指導,使所有雇員在一般和特定環境下能夠保持正確的判斷 ;製作文字化的行爲準則和政策聲明,將其傳達給全體雇員 ;將誘發人們不誠實、非法和不道德行爲的動機降至最低。 (2)評定員工的能力。管理部門須制定正式或非正式的職務說明書,逐項分析並規定各工作崗
23、位所須具備的知識和技能。 (3)董事會和審計委員會。組成這兩個機構須考慮的因索主要包括:成員的經驗 ;相對於管理層的獨立性 ;外部董事的比例 ;其成員參與管理的程度 ;所採取措施的適宜性 ;對管理層提出問題的深度和廣度 ;他們與內部、外部審計人員的關係實質 。 (4)管理哲學和經營風格。主要考慮 :對待和承擔經營風險的方式 ;依靠文件化的政策、業績指標以及報告體系等與關鍵經理人員溝通 ;對財務報告的態度和所採取的措施 ;對資訊處理以及會計功能、人員所持的態度 ;對現有可選擇的會計準則和會計數值估計所持有的謹慎或冒進態度。 (5)組織結構。企業的組織結構是指爲公司活動提供計劃、執行,控制和監督職
24、能的整體框架。具體應考慮:組織結構的合適性,及其提供管理企業所需資訊的溝通能力 ;各主管人員所負責任的適當性 ;按照主管人員所擔負的責任,判斷其是否具備足夠的知識及豐富的經驗 ;當環境改變時,企業配合改變其組織結構的程度 ;員工,尤其是負責管理及監督職能的員工人數的充足程度。 (6)責任的分配與授權。強調對於組織內的全部活動要合理有 效地分配職責和許可權,並爲執行任務和承擔職責的組織成員特別是關鍵崗位的人員,提供和配備所需的資源並確保他們的經驗和知識與職責許可權相匹配,要使所有員工知道 :他們的工作行爲,以及職責擔負形式和認可方式,與達成組織目標的聯繫。 (7)人力資源政策及實務。內部控制是由
25、人來進行並受人的因素影響,保證組織所有成員具有一定水準的誠信、道德觀和能力的人力資源 方針與實踐,是內部控制有效的關鍵因素之一。具體包括:有完善的招聘與選拔方針及操作性程式 ;對新員工進行企業文化和道德價值觀的導向培訓 ;對違反行爲準則的任何事項,制訂紀律約束與處罰措施 ;對業績良好的員工,制訂具有獎勵和激勵作用的報酬計劃,並避免誘發不道德行爲 ;根據階段性的業績評估結果,對員工予以晉升、指導以及獎罰。 (二 )風險評估 每個企業都面臨來自內部和外部的不同風險,這些風險都必須加以評估。評估風險的先決條件,是制定目標。風險評估就是分析和辨認實現所定目標可能發生的風險。 (1)目標。企業的整體 目
26、標,通常是由企業的理念及其所追求的價值所決定的,而與之相配合的是企業下一級各部門的具休目標。整體目標主要是 :營運目標,包括績效和獲利目標及保障資産的安全,使其免受損失 ;財務報告目標,防止對外報送不真實的財務報告 ;遵循目標,企業遵循國家的相關法律法規。 (2)風險。辨識和分析風險的過程是一種持續及反復的過程,也是有效內部控制的關鍵組成要素,管理階層須謹慎注意各部門階層的風險,並採取必要的管理措施。企業的風險一般是由外部因素和內部因素所産生的。外部因素包括 :科技發展 ;顧客的需求或預期改變 ;競爭 ;新的法律和 行政命令 ;自然災害 ;經濟環境改變等。內部因素包括 :資訊系統處理的中斷 ;
27、聘用員工的品質、培訓方法及激勵制度 ;經理人員的責任改變 ;企業活動的性質以及員工可接近資産的程度 ;董事會或監事會不夠堅定或無效等。 (3)環境變化後的管理。經濟、産業及管理的環境都是會改變的,企業的活動應隨之改變。因此,風險評估中最基本的部分,就是如何辨認已發生的改變,並採取必要的行動。這些改受因素包括 :行業環境的改變 ;新員工 ;業務迅速成長 ;新科技 ;新業務、産品、作業 ;公司重組 ;國外業務等。 (三 )控制活動 企業管理階層辯識風險 ,繼之應針對這種風險發出必要的指令。控制活動,是確保管理階層的指令得以執行的政策及程式,如核准、授權、驗證、調節、復核營業績效、保障資産安全及職務
28、分工等。 控制活動在企業內的各個階層和職能之間都會出現,這主要包括 : (1)高層經理人員對企業績效進行分析。管理階層記錄經營活動 (如 :市場的擴展、生産過程改良、成本的控制 )的結果,然後再與預算、預測、前期及競爭者的績效相比較,以衡量目標達成的程度和監督計劃 (如 :新産品開發、合資經營、融資行爲 )的執訂情況。 (2)直接部門管理。負責某一部門的經理人員復核 自己所負責部門的業績報告,檢查本部門各業務活動的情況,以便辨認趨勢。 (3)對資訊處理的控制。對資訊系統的控制活動可分爲兩類,第一類是一般控制( general control),它幫助管理階層確保系統能持續、適當的運轉 ;第二類
29、是應用控制 (application control),它包括應用軟體中的電算化步驟及相關的人工程式。 (一般控制包括 :對資料中心運作的控制 ;對系統軟體的控制 ;存取安全的控制 ;對應用系統的發展及維護的控制。 (應用控制包括 :輸入控制 ;輸出控制 )。 (4)實體控制。保護設備、存貨、證 券、現金和其他資産的實體安全,定期盤點並與控制記錄所顯示的金額相比較。 (5)績效指標的比較。把不同的幾套數據資料 (如 :經營資料與財務資料 )相互比較,分析它們之間的關係,然後再進行調查與糾正。以存貨爲例,其績效指標包括 :購貨價差、訂單中 “緊急訂貨 “比例、總訂單中退貨的比例。管理階層需要調查
30、超出計劃的結果或者不正常的趨勢,辨認採購作業的目標無法達成的原因。 (6)分工。分工即指將責任劃分,再將不相容職務分派給不同的員工,以降低錯誤或不當行爲的風險。 (四 )資訊與溝通 企業在其經營過程中,需按某種形 式辨識、取得確切的資訊,並進行溝通,以使員工能夠履行其責任。資訊系統不僅處理企業內部所産生的資訊,同時也處理與外部的事項、活動及環境等有關的資訊。企業所有員工必須從最高管理階層清楚地獲取承擔控制責任的資訊,而且必須有向上級部門溝通重要資訊的方法,並對外界顧客、供應商、政府主管機關和股東等做有效的溝通。 (1)資訊系統。資訊系統處理企業內部資訊和外部資訊。內部資訊資料包括採購資料、銷售
31、交易資料、內部營業活動資料和內部生産過程資料 ;外部資訊資料包括顯示本企業産品的需求發生改變時,某種特定市場或行業的經濟資料 ,用於企業生産的商品的資料,顯示顧客偏好的市場情報,競爭對手産品開發活動的資訊,立法機 關與行政機關所發佈的資訊。企業建立良好的資訊系統,必須做到;建立良好的資訊系統支援策略,資訊系統與企業營運應有效的結合 ;選擇更新資訊系統的最佳時間 ;有很好的資訊品質。 (2)溝通。企業的資訊系統提供有效資訊給適當的人員,通過溝通,使員工能夠知悉其營業、財務報告及遵循法律的責任。企業溝通包括內部溝通和外部溝通。內部溝通需要做到 :所有的員工,特別是那些負有重要營業責任或財務管理責任
32、的員工,除了得到用 以管理其負責活動的重 要資料以外,還應當得到來自最高管理層 需謹慎承擔內部控制責任的清楚資訊 ;必須讓每個人清楚的知道個 人所擔負的特定任務,瞭解內部控制制度的各項規定、它們如何生效,以及他 (她 )在控制系統中所扮演的角色及所承擔的責任 ;員工在其執行任務時,一旦有非預期的事項發生,除了要注意該事項本身之外,還應當注意導致該事項發生的原因,如此才有辦法辨認潛在缺失,採取行動,並預防再度發生 ;員工必須知道他 (她 )所負責的活動是怎樣與他人的工作發生關聯的 ;員工必須擁有在組織中向上溝通重要資訊的方法。外部溝通應做到 :顧客和供應商能經過開 放的溝通管道輸入重要的資訊 ;
33、與相關的外部團體溝通,以便獲悉關於本企業內部控制功能的重要資訊 ;外部審計人員對企業營業、相關業務問題及控制系統審計後,可以提供給管理階層及董事會重要的控制資訊 ;政府主要機關 (如 :銀行或保險機關 )所報道的復核或檢查的結果,可以有效的彌補控制的缺失。 (五 )監督 內部控制系統需被監督。監督是由適當的人員,在適當及時的基礎下,評估控制的設計和運作情況的過程。監督活動由持續監督、個別評估所組成,其可確保企業內部控制能持續有效的運作。 (1)持續的監督活動。持續的監督活動在營 運過程中發生,它包括例行的管理和監督活動,以及其他員工爲履行其職務所採取的行動。持續監督活動包括 :負責營運的管埋階
34、層 (operating managerment)在履行其日常的管理活動時,取得內部控制系統持續發揮功能的資料,當營運報告、財務報告與他們所得到的資料有大偏離時,可對報告提出質疑 ;來自外界團體的溝通,可以驗證內部資訊的正確性,並能及時反映問題的所在 ;適當的組織機構及監督活動,可用來辨識缺失 ;各個職務的分離,使不同員工之間可以彼此相互檢查,以防止舞弊 ;把資訊系統所記錄的資料同實際資産核對 ;內、外部 稽核人員定期提出強化內部控制系統的建議;培訓課程、規劃會議和其他會議,可把控制是否有效的重要資訊反饋給管理階層 ;定期要求員工陳述他們是否瞭解企業的行爲準則,並加以遵守,對於負責業務和財務的
35、員工,則要求他們陳述某些特定控制是否都予執行,管理階層或內部稽核人員還必須驗證這些陳述是否確實。 (2)個別評估。儘管持續監督程式可以有效的評價內部控制體系,但企業有時需要組織例外評估以直接監視控制系統的有效性,這種做法可評估持續性監督程式。評估的範圍和頻率,視風險的大小及控制的重要性而定。 (3)報告缺陷。內部控制的 缺失應由下往上報告,某些缺失應報告給高層管理階層及董事會知道。 三、內部控制的組合 上述內部控制要素,按照不同的標誌可以組合成不同的集合,也即按照不同分類標準可以劃分爲不同的類別形態,籍此可以揭示不同形式內部控制的特徵和功能。內部控制的組合方式或者分類形式,除了按照控制目標爲標
36、誌,劃分爲會計控制和管理控制外 (見上文 ),還可按照其他標誌組合爲下列類別。 (一 ) 按照控制內容爲標誌,可劃分爲一般控制和應用控制 1.一般控制 一般控制,是指對企業經營活動賴以進行的內部環境所實施的總體控制,因而 亦稱基礎控制或環境控制。它包括組織控制、人員控制、業務記錄以及內部審計等項內容。這類控制的特徵,是並不直接地作用於企業的生産經營活動,而是通過應用控制對全部業務活動産生影響。 2.應用控制 應用控制,是指直接作用於企業生産經營業務活動的具體控制,因此亦稱業務控制,如業務處理程式中的批准與授權、審核與復核、以及爲保證資産安全而採用的限制接近等項控制。這類控制的特徵,在於它們構成
37、了生産經營業務處理程式的一部分,並都具有防止和糾正一種或幾種錯弊的作用。 (二 )按照控制地位爲標誌,可劃分爲主導性控制和補 償性控 1.主導性控制 主導性控制,是指爲實現某項控制目標而首先實施的控制。如憑證連續編號可以保證所有業務活動都得到記錄和反映,因此,憑證連續號對於保證業務記錄的完整性就是主導性控制。在正常情況下,主導性控制能夠防止錯弊的發生,但如果主導性控制存在缺陷,不能正常運行時,就必須有其他的控制措施進行補充。 2.補償性控制 補償性控制,就是指能夠全部或部分彌補主導性控制缺陷的控制。就上例而言,如果憑證沒有連續編號,有些業務活動就可能得不到記錄。這時,實施憑證、賬證、賬賬之間的
38、嚴格核對,就可以基本上 保證業務記錄的完整性,避免遺漏重大的業務事項。因此, “核對 “相對於憑證 “連續編號 “來說,就是保證業務記錄完整性的一項補償性控制。 (三 )按照控制功能爲標誌,可劃分爲預防式控制和偵察式控制 l.預防式控制 預防式控制,是指爲防止錯誤和非法行爲的發生,或儘量減少其發生機會所進行的一種控制。它主要解決 “如何能夠在一開始就防止錯弊的發生 “這個問題。例如對業務人員事先作出明確的指示和實施嚴格的現場監督,就能避免誤解指令和發生錯弊。 2.偵察式控制 偵察式控制,是指爲及時查明已發生的錯誤和非法行爲 或增強發現錯弊機會的能力所進行的各項控制。它主要是解決 “如果錯弊仍然
39、發生,如何查明 “的問題。例如,通過賬賬核對、實物盤點,以發現記賬錯誤和貨物短缺等。 (四 )按照控制時序爲標誌,可劃分爲原因控制、程式控制和結果控制 1.原因控制 原因控制,也稱事先控制,是指企業單位爲防止人力、物力、財力等資源在質和量上發生偏差,而在行爲發生之前所實施的內部控制。例如領取現金支票前的核准、報銷費用前的審批等。 2.程式控制 程式控制,也稱事中控制,是指企業單位在生産經營活動過程中針對正在發生的行爲所進行的 控制。例如,對生産過程中使用材料的核算,對在製造産品的監督和對加工工藝的記錄等。 3.結果控制 結果控制,也稱事後控制,是指企業單位針對生産經營活動的 最終結果而採取的各
40、項控制措施,例如對産出産品的質量進行檢驗, 對産品數量加以驗收和記錄等。 此外,內部控制還可按照管理目標、業務迴圈和職能部門等標誌,劃分爲相應類別的組合形式。需要說明的是,各種類型的內部控制,在實際工作中多是交叉存在的。同一種內部控制措施,在不同劃分標誌下,也可轉化爲不同的類型形態。 四、內部控制的局限 內部控制作爲企業 自我調節和自行制約的內在機制,處於單位中樞神經系統的重要位置,可以說沒有健全完善的內部控制,就很難組織起現代化的社會大生産活動,也就談不上現代化的企業生産和經營管理。健全有效的內部控制,不僅能保證企業會計資訊的真實正確、財務收支的有效合法和財産物資的安全完整,還能保證企業經營活動的效率性、效果性以及企業經營決策和國家法律法規的貫徹執行。但任何事物都不是盡善盡美的,內部控制也同樣存在其固有的、不可避免的局限性。一般而言,內部控制的局限性主要表現爲: