控制并不是一个什么高深莫测的概念!控制在生活中无处不在:我们行使在马路上,看见红灯停车,这叫控制;走进地铁站,乘客必须对随身物品进行安检,这叫控制;上下班刷卡签到,这叫控制;在企业中也随处可见有关控制的字眼,如“财经重地,非请莫入”、“库房重地,闲人免进”等等,这也叫控制。
控制并不总是消极的,好像紧身衣或者紧箍咒,相反它对于管理者具有积极的意义,甚至是帮助管理者实现目标的积极工具。现代管理的挂断年将控制看做是帮助性的,而不是限制性的,它提倡邀请被控制的人参与设计控制方法,并把控制看成是自我评估的工具——确认是否达到标准以及是否完成期望的工作。
控制作为企业管理上的一个专有名词被提出来也仅是近现代的事情。在管理学中,人们将控制作为定义中的一个要素被提出来,人们认为控制是管理者通过影响组织的其他成员来保证组织战略实现的过程,但这还并不是我们在审计领域所理解的内部控制。最早的内部控制还只是管理控制中的一种策略,或者一种方法,或者是一种制度,体现为对完成既定任务目标的控制,还没有上升到战略的高度。这时的内部控制体现为内部牵制和内部控制制度。
内部牵制主要是以查错防弊为目的,以职务分离和交互核对为手法,以钱、账、物等会计事项为主要控制对象。内部控制制度是企业所制定的旨在保护资产、保证会计资料可靠性和准确性,提高经营效率,推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。这一定义最早是由美国注册会计师协会(1949)所属的审计程序委员会在《内部控制,协调系统诸要素及其对管理部门和注册会计师的重要性》报告中首次提出的。此后,内部控制逐步与控制环境和监督相联系,与战略目标相联系,逐步演化形成了今天的COSO(1992)的内部控制框架与COSO(2004)的风险管理框架。这一演进的结果使人们认识到内部控制是对一个企业整体风险中的固有风险所实施的管理,目的是为了降低风险引发的威胁及其所带来的严重后果,最终保证组织战略目标、运营目标、财务目标、资产完整性目标、合规目标的实现。内部控制管辖内的风险大多已经限定在经营管理者的可容忍范围内,因为针对风险评估所建立的内部控制是在考虑经营管理层及董事会的风险偏好下做出的,因此,内部控制的有效性将会直接影响到已经识别出来的那些固有风险的管理水平。这时的内部控制可以理解为将风险限定为公司容忍范围之内而采取的任何政策、程序和行为,它有利于增强企业的风险管理能力和提高实现既定目标的可能性,最终为实现组织目标提供了合理保证。
为什么内部审计师对于内部控制如此感兴趣呢?实践中,内部审计师经常进入自己不熟悉的领域。他们因此也必须具备超出自己所擅长的技术知识之外的理论和实践技能。但事实上内部审计资源的局限性使得内部审计部门不可能笼络所有领域的专家。解开这一难题的万能钥匙就是内部控制。在客观的评价内部控制系统方面,内部审计师是经过专门的训练和培训过的,这也是在他们的能力范围内的。因此内部控制会经常成为内部审计师开辟新领域进行审计的“魔杖”。
内部控制也不是万灵药,它也是有很多局限性的。现实中内部控制的目标并非总能实现,它总是受到来自管理层违规、政府政策和法律的非预期变化等威胁因素的影响,随时显现出内部控制的局限性。这种局限性集中体现在:
企业在建设内部控制的过程中很容易受到来自企业经营管理层的各种阻力,这源自于经营管理层对于内部控制的漠视。当然也与企业所处的发展阶段直接相关,因为这一时期企业最重视的是业务收入所创造的价值,内部控制最容易实现的就是通过财务制度实现对业务的监督,而这无疑会影响到业务部门的积极性,进而影响到收入的实现。这可不是经营管理层所愿意看到的。因此,面对控制与创造业务收入,经营管理层往往会牺牲控制而保留业务收入的创造,因为这与他的利益直接相关,收入会影响到他的业绩考核。一个设计良好的内部控制系统如果管理者把它搁置一边,便等于没有内部控制。管理层对于内部控制的漠视无疑为组织的其他员工传递了一个信号,内部控制仅是一种摆设。长此以往,这种风气便会盛行。在面对激烈的市场竞争与组织变革的环境下,这无疑会将组织置于危险的境地。因此,内部控制会因为经营管理层的超越处于无效境地。
内部控制的设计和运行受制于成本与效益原则,先天不足所谓成本效益原则,就是指一个内部控制程序设计、实施、运行的成本不应该超过预期的效益,设计与执行内部控制所产生的效率和效果应与为此而投入的成本之比呈合理状态。这里就要把握以下情况:首先,无论采取哪种控制都应考虑控制收益大于控制成本的基本要求,所有设置控制点应达到的控制收益应大于为此而付出的控制成本;其次,当有些业务可以不断增加控制点来达到较高的控制程序,就应考虑采用多少控制点能使控制收益减去控制成本的值最大化;再者,当控制收益难以确定时,应考虑在满足既定控制的前提下,使控制成本最小化。例如,当设置一个控制职位所支出的成本大于所避免的损失时应该放弃设置该项控制职位。
如果单纯从控制的角度来看,控制环节和控制措施越严密复杂,控制的效果也就越好。但由于控制环节越多、控制措施越复杂,相应的控制成本也就越高,同时也会影响企业生产经营活动的效率。因此,在设计和实施内部控制时,企业必然要考虑控制成本与控制效果之比。然而在实践中,控制收益有时是难以确切计量的。同样,为建立和保持许多内部控制所发生的总成本、即使可能计算、也是难以正确确定的,因此关于内部控制所耗费用适宜之点,必须使用主观判断做出决策,当人们认为实施某项业务的控制成本小于控制效果而产生损失时,就没有必要设置控制环节或控制措施,这样某些小错弊的发生就可能得不到控制。
内部控制—般是为经常重复发生的经济业务而设计的,而且一旦设置就具有相对稳定性,因此如果出现不经常发生或未预计到的经济业务,原有控制就可能不适用,特殊控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时,从而影响内部控制的作用。
很多时候,控制制度表面看起来非常完美,但实际执行的效果并不理想。例如,规定超过一定金额的采购业务必须经过严格的审批,但采购部门却通过分拆的办法来规避严格的审批手续。另外,对不相容的岗位和职务,即使采取职责分开的控制手段,如果员工们企图串通和欺诈的话,控制所防范的风险和不测事件仍会发生。
内部控制可能会因组织外部经营环境的变化或内部业务性质的变化而发生削弱或失效。内部控制一般是针对相对稳定的经营环境下,经常而重复发生的业务而设定的,而且一旦设定就具有相对的稳定性,因此如果出现经营环境变化(如国家突然限制某种产品的生产)或未预计到的经济业务,原有的控制可能不适用,而特殊的控制措施或程序还未能及时建立,从而就影响内部控制的作用。管理者一定要密切注意环境的变迁和组织运行方式的变化,这种变化要求不失时机地调整和改进内部控制系统。
如果企业内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。内部控制是由人建立的,也要由人来行使,如果行使控制职能的人员在心理上、技能上及行为方式上未能达到实施内部控制的基本要求,即使是设计完整的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误、忽视错用控制程序、以及对指令的误解而失效。内部审计师必须明白没有任何控制系统是可以消除违法行为的发生可能性。内部控制系统是由人和流程组成的,因此会受到人的影响,人是会容易犯错误或者屈从于压力的,这时的控制系统就会失灵。因此在设计和实施内部控制时,必须考虑人的行为。其中的做法可以包括与员工进行沟通,还有就是让受其影响的员工参与到控制运行的设计过程中来。
转自公众号:首席审计官
更多精彩内容可向公众号回复关键词:
内控 | 2016版《全面风险管理框架的修订版》
会计 | 史上最全IPO审计的财务问题及其规范方法
报告 | 新审计报告准则发布,你做好准备了吗?
笔记 | 做财务总监十年,总结出98条精华笔记!
四大 | 都闪开,说到黑「四大」谁有我专业
审计 | 内部审计中常见的会计舞弊手段
