近年来,内部控制成为会计界的一个热点问题,许多学者对如何完善我国企业内部控制进行了较为广泛和深入的研究。但是,无论是在会计界还是在企业,人们对内部控制都还存在一些错误的或不全面的认识。这不利于建立适合我国国情的内部控制体系,也会阻碍内部控制目标的实现。内部控制的几个观念误区如下:
误区之一:过分强调内部控制防止会计信息失真的目标,忽视内部控制的经营性目标。如财政部发布的《内部会计控制规范——基本规范(试行)》第2条规定:“本规范所称内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。”第6条规定,“内部会计控制应当达到以下基本目标:①规范单位会计行为,保证会计资料真实、完整。②堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整。③确保国家有关法律法规和单位内部规章制度的贯彻执行。”
事实上,内部控制是企业进行内部管理的需要,是管理控制系统的一部分,其根本作用在于衡量和纠正企业工作人员的活动,以保证事态的发展符合计划的要求。它要求按照目标和计划,对企业工作人员的业绩进行评价,找出消极偏差之所在,采取措施加以改进,以提高企业的经营效率和效益,防止损失,保征企业预定目标的实现。
内部控制的目标包括经营性目标、财务报告目标、遵循性目标等方面。有效的内部控制,应能合理地保证董事会及管理阶层了解该公司实现其经营目标的程度,对外公开的财务报告可靠并符合相关的法律法规。内部控制的目标有兴利与防弊两个方面,兴利是最主要的。防止会计信息失真虽然是内部控制的一项重要目标,但内部控制最本质的作用乃是提高经济效益,实现企业的目标。防止会计信息失真既不是内部控制的惟一目标,也不是最重要的目标。可见,将内部控制的目标仅仅定位在减少会计信息失真,不仅不利于发挥其改善经营管理的作用,而且会使企业领导及员工产生抵制情绪。而我国会计界很少淡及内部控制提高经营效率方面的作用,这与目前我国会计信息失真严重的会计环境有关。
误区之二:认为内部控制就是内部会计控制。内部控制可划分为内部会计控制和内部管理控制。前者的目的是保护企业资产,检查会计数据的准确性和可靠性;后者的目的是提高经营效率,促使有关人员遵守既定的管理方针。作这样的划分是为了按照公认审计标准来规范内部控制检查和评价的范围。这种划分思想在审计界产生了广泛的影响,促成了制度基础审计的产生。我国最近制定内部控制规范时,就将内部控制分成了内部会计控制和内部管理控制。但是,内部会计控制和内部管理控制是相互联系、不可分割的,要严格分清各项控制是内部会计控制还是内部管理控制,既很困难又无多大实际意义。
将内部控制等同于内部会计控制是不全面的。内部控制不仅仅涉及会计,它贯穿于整个企业的生产经营管理全过程,企业应当针对采购、生产经营、销售、财务管理、研究开发、人力资源等各方面全面地制定内部控制。
误区之三:认为内部控制就是内部牵制。内部牵制是内部控制的最初发展形式,如R·H·蒙哥马利在《审计——理论与实践》一书中指出,所谓内部控制是指一个人不能完全支配账户,另一个人也不能独立地加以控制的制度,即某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系。内部牵制也是现代内部控制的重要方法和原则,是组织机构控制、职务分离控制的基础。但是,现代内部控制不仅仅是内部牵制,还包括预算控制、资产保护控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制、内部审计控制等,而这些都不是内部牵制所能涵盖的。
误区之四:将内部控制与公司治理结构混同。严格地说,内部控制与公司治理结构是两个不同的概念。所谓公司治理结构或称内部监控机制,是由股东会、董事会、监事会和经理等组成的用来约束经营者行为的控制制度。而内部控制制度则是管理当局(董事会及经理阶层)建立的内部管理制度,解决的是管理当局与其下属之间的管理控制关系。
内部控制又与公司治理结构紧密联系。公司治理结构是促使内部控制有效运行、保证内部控制功能发挥的前提,是实行内部控制的制度环境;而内部控制在公司治理结构中担当的是内部管理监控系统的角色。同时,内部控制与公司治理结构都遵循相互牵制、相互制衡的原则,公司治理结构申一些内容如董事会与经理之间的授权控制等也属于内部控制。
误区之五:内部控制只针对一般员工。内部控制是整个企业都必须遵守的,包括制定内部控制的最高管理当局,也必须遵守其相关内容。内部控制是否有效,与企业领导是否重视、是否带头执行有很大的关系。一些企业之所以内部管理混乱,就是因为一些领导破坏如职责分离、授权批准等内部控制制度。
无论在理论界还是企业界,关于企业风险管理和内部控制之间的关系已经争论了好多年,多种说法都出现过,有的说企业风险管理包含内部控制;
有的说企业内部控制包含风险管理;
还有的说企业风险管理和内部控制没有关系。
但是为了方便起见,大部分企业还是将风险管理与内部控制并行管理。
我们今天就尝试带大家理一理思路,希望可以给大家带来进一步的思考。
先来看他们俩在国际战场的恩怨情仇
![]()
1992年COSO发布的《企业内部控制-整合框架》,作为在全球企业内部控制领域的老大哥,因为被美国证监会采用,作为美国资本市场公众企业的合规框架而名声大噪,同时,也被全球各个国家参考和借鉴形成了本国的企业内部控制管理框架。
但是COSO通过分析21世纪初美国公众企业一系列的企业经营失败的案例发现后便发现了一些问题,单纯建立和维护一个健全、有效的内部控制体系,还不足以防范这些失败案例的再次发生,因为有些失败的因素超出了内部控制的范畴。
所以,COSO的大佬们考虑需要从更高的层面建立一个体系来指导企业如何能够更好的保护企业价值、实现企业目标。
时隔12年之后,2004年COSO发布了《企业风险管理-整合框架》。
从名字上可以看出,从企业内部控制到风险管理,
COSO的本意表明后者要比前者定位更高一些、范围更广一些,COSO在正式文件中也阐明:
企业风险管理包含了内部控制,从两者的框架包含的内容也能得出这样的结论。
咱来看一下正规的框架图,看看从哪些方面风险框架K.O了内控框架。
通过观察两个体系的框架图,可以看出两个明明都是正方体,
显然是师出一门、同宗同源的,所以这也为日后全球范围的包含与被包含之争埋下了隐患。
企业风险管理框架只是在要素和目标层面多出了几个内容,内部控制框架隐隐的表示出委屈和不服,但是……
虽然《企业风险管理-整合框架》在国际上的一架看上去是打赢了,
但是2004年的“立方体”框架如同一个牢笼,也困住了企业风险管理放荡不羁爱自由的翅膀。
国际上战事未结,中国的战役却已打响,而中国战场的发展应该是全球中最离奇、最精彩的那一个。
中国企业风险管理实践的全面展开是以2006年国务院国资委发布的《中央企业全面风险管理指引》为标志,而企业内部控制实践的全面展开是以财政部2008年发布的《企业内部控制基本规范》为标志。
从时间线上来看,国际上两个文件的发布中间是经历了12年探索和思考的时间,而中国只用了2年;
从顺序上讲,国际上是先发布企业内部控制框架,又发展到的企业风险管理,而中国顺序正好相反。
2008年发布的企业内部控制基本规范参考了COSO 1992年的内部控制框架,而2006年发布的企业风险管理框架却是中国自创的一套,这也为这个战场增添了一些新的不确定性。
所以这一架,平局?
谁也说不好。
2017年9月,按照预定时间,COSO组织推迟了一年发布了新版企业风险管理框架,这次的框架的变动如此之大,并没有对原有的框架进行修补,而是直接抛弃了2004年的立方体风险管理框架,挣破了立方体“牢笼”的企业风险管理,又重获自由。
新框架强调风险管理不是一项独立的活动,应该和企业管理活动密切融合。
而文件中也提及了风险管理和内部控制的关系,为了避免前期混战的持续,理清双方的关系,这次的风险管理框架中,没有提及任何关于内部控制的话题,而将其都留给了内部控制体系,以此算是给两个体系做一个切割,希望双方不再有纷争、前线再无战事。
到此,吃瓜群众们可以往后退一退,这架现在看着是打不起来,之后我们会详细的介绍风险控制和内部控制的异同点。
欲知详情,且听下回分解。
往期
精彩
回顾
