一、内部控制的历史发展轨迹
内部控制的理论是近现代的事情,但是,内部控制实务却源远流长,应该说,自古有之。
1.单要素内部控制
单要素内部控制实际上是内部牵制,内部牵制是内部控制的最初形态。内部控制主要是为防止舞弊和其它错误发生,保证资产及其记录的安全。其机制是处理一项业务或记录时要求职责分离和相互制约。常见的内部牵制有实物牵制、职责牵制和簿记牵制。
2.两要素内部控制
两要素内部控制就是将内部控制分为内部会计控制和内部管理控制。1949年美国注册公共会计师协会发布的《审计准则说明》提出,内部控制应该包括组织机构和方法措施。但是为了方便注册公共会计师的审计需求,又将其分为内部会计控制和内部管理控制(如统计分析、业绩报告、培训计划、质量控制),并规定注册公共会计师的职责主要是关注内部会计控制,对于内部管理控制而言,只有必要时,才会加以适当考虑。
3.三要素内部控制三要素内部控制有一个由“制度”向“框架”转变的过程。
1981年,国家会计师联盟发布的第6号国际审计准则提出:内部控制是为实现组织管理目标而制定的组织计划、所采取的方法和程序。这个规定明显受了美国注册公共会计协会的影响。但是,该准则还特别提到监督的重要作用,这就明显的暗示了内部控制的三要素:组织机构、方法程序和内部监督。1986年最高审计机关国际组织发布的第12届大会声明进一步明确,内部控制制度应该包括组织结构、方法程序和内部审计。正式将内部审计划入内部控制范畴。
1988年,美国注册公共会计师发布的第55号《审计注册说明书》以内部控制框架概念代替了内部控制制度概念,提出内部控制框架应包括控制环境、会计制度和控制程序。
以“框架”代替“制度”不只是名词的变化,其内涵也有了明显的变动。其中,控制环境的提出应该是革命性的变革。控制环境包括管理者的经济理念和风格、组织结构、董事会及委员会的只能确认权责的方法、监控方法(如经营计划、利润计划、预算、预测、责任会计、内部审计等)、外部关系等。这些内容应该说是反映了董事会、经理层、其他管理人员对内部控制的态度、认识和行动。
三要素内部控制框架理论与前内部控制理论的明显不同是:内部控制不只是关注资产及其记录的安全问题,而且关注组织经营管理问题,这就大大拓宽了内部控制的范围。
4.1992年,美国防止虚假财务报告委员会发布的《内部控制整体框架》报告提出了五要素内部控制理论,并且沿用了“框架”的概念。该报告将内部控制要素分为控制环境、风险评估、控制活动、信息沟通和监控。该理论提出后,很快被各国政府审计和民间审计所接受。其具体内容是:
(1)控制环境
保持正直性和良好的道德观。直接影响内部控制的执行效果。
正确的激励和引导,避免负面刺激和不良诱导。例如,受短期利益的刺激和诱惑而损害组织的长远利益。
提供道德引导,彰显道德行为。
确定所有岗位所需要的能力类型和水平,包括知识和技能。
正确履行董事会和审计委员会的职能。例如,董事会是否独立于执行层,审计委员会是否能正常发挥作用。
管理层的哲学和经营风格。直接影响组织的管理方式,如激进或保守会计政策的选择。
正确地规划组织结构。直接影响组织的各项管理行为和效果。
正确地划分和确定职权与责任。制定并实施良好的人力资源政策。(2)风险评估
确定目标,并纳入总体战略。目标包括经营目标、财务报告目标、遵守法纪目标。
风险识别,辨认影响所定目标的内外风险因素。组织层面的外部因素主要有:技术进步、市场变动、竞争加剧、新法规颁布、自然灾害、经济周期波动等。组织层面的内部因素有:信息系统崩溃、雇员质量低劣、培训和激励有问题、管理职责变动、董事会和审计委员会作用不到位等。业务层面的因素主要有:销售、生产、市场开拓、产品研发、技术研发等方面的问题。
风险分析,分析所识别的风险因素。包括估计风险因素的影响力,确定其发生的可能性,考虑需要采取的措施。
识别变化的环境和条件,因为变化的环境和条件可能影响组织的目标的实现。
(3)控制活动预算控制和预测控制。报告控制,由管理人员直接检查各种业务报告。业务的记录和授权控制。实物控制,各种实物资产的安全和记录控制。
预警控制,通过对异常波动、关系和趋势的调查、分析和纠正来进行控制。
职责分离控制。
第78号《审计准则说明书》对此做了如下略有不同的概括:充分的职责分工、业务和活动的适当授权、充分的凭证和记录、对资产和记录的实物控制、独立检查。
(4)信息沟通
组织必须及时获取、正确处理和报告为达到组织目标所需的所有财务和非财务信息,因而也就是必须建立信息系统。信息系统不但要满足日常经济管理需要,而且还要满足战略决策需要。信息系统的设置和运转必须满足组织内外沟通的需要。
(5)监控
为了保证内部控制的正常有效运转,组织需要对其进行必要的监控。监控可以结合日常管理活动一并进行,也可以单独进行。监控工作可以由执行者自己做,可以由内部审计来做,还可由外部审计来做。但是,监控应该是内部审计的正常工作和固有职责。
5.八要素内部控制
2004年,美国防虚假财务报告委员会发布的《企业风险管理框架》提出了八要素内部控制理论。但是,此次是从企业风险管理角度提出,而不是从内部控制角度提出。这是值得关注的微妙变化。
从具体内容上看,八要素是控制环境、目标确定、事件识别、风险评估、风险控制、风险反应、控制活动、信息沟通和监控。其中,控制环境、控制活动、信息沟通和监控与五要素内部控制理论基本相同,不同的是五要素理论中的风险评估被细分为目标确定、事件识别、风险评估、风险反应。但是如果认真分析五要素理论中风险评估的具体内容,不难看出,这四项内容在五要素理论中的风险评估内容中也有相应的表述。因此,我们认为,八要素理论和五要素理论基本上是一致的,只不过是因为八要素理论侧重于风险管理,因此将风险评估内容细分化而已。
二、内部控制的逻辑发展轨迹
1.基于职责结果的内部控制
为防止发生舞弊行为或错误事项,人们将一个组织的各项工作职责进行了细分,并认真研究了各项职责的特性和相互关系,在此基础上,找出各项职责之间的制约关系,并将这种关系设计到资产及其记录的处理流程之中,形成了最早的内部控制理论和实务。实际这种理论和实务应该被称为“内部牵制”。例如,出纳与会计的分离、资产保管与会计记录的分离、业务授权与相关资产保管的分离、经营责任与记录责任的分离等,内部牵制是内部控制的原始或初级形态。
2.基于业务结构的内部控制
早期的内部控制主要对象物是资产及其记录的安全性。然而,如果内部控制的目的仅仅是查错防弊,那么它的成本和效率会成为一些人诘问的把柄。如果,内部控制的机制在资产保管和记录安全上能发挥作用,那么,将其拓展到其他经营管理领域,同样也会发挥作用。于是,人们又将内部管理理论和实务进一步向前发展,提出了基于不同业务类型的内部控制,将内部控制分为内部会计控制和内部管理控制。这种理论和实务既能在一定程度上解决了内部控制成本和效率问题,又扩张了其内容,使其作用范围扩大到组织的管理活动中。
但是客观地讲,这种分类弊端也非常突出。在实务中,人们极易将完整的内部控制体系割裂开来,导致履行不同职责的人只会关心于自己的控制,忽视从而也就不能很好地利用其它控制。最明显的例子就是,在工作中一般只对内部会计控制感兴趣,而对内部管理控制而言,则不闻不问。
3.基于组织结构的内部控制
基于职责结构的内部控制适用于组织规模较小、业务相对简单、控制目的单一的情况,而且主要针对执行层面。这种控制对于现代大型企业而言,应该说还是杯水车薪,无济于事。现代大型组织的控制除了关注执行层面外,更重要的是要关注决策层面、战略层面、决策与执行两层面的关系、执行与监督两层面的关系。因此,这就是需要在组织结构上进行规划,从整体关系上达到控制的要求和目的。
基于组织结构的内部控制侧重于研究组织的决策、执行、监督及其之间的相互关系,并以此为依据,设计组织的内部控制体系。此时,对内部控制的表述不再是“制度”而是“框架”。在这样的框架中,控制环境、风险评估和内部监督成为重要的要素,这些也是早期内部控制理论和实务有所忽视的。
4.基于风险结构的内部控制
面对日趋激烈的生存竞争环境,一个大型组织在重大问题上的决策稍有不慎,便可有灭顶之灾。风险管理相对于日常工作中的资产安全性及其记录正确性而言,显得更加重要。因为真正的风险一旦来临,无论资产和记录的质量如何,可能都在瞬间荡然无存。面对这种情况,不但财务人员和审计人员,而且高层管理人员;不但执行人员,而且决策人员,都将内部控制的重点由资产安全及其记录正确性逐渐向风险管理转移。风险管理要求内部控制不应仅仅局限于单个岗位、单项职责、单项业务、单项流程,而是要包括组织活动的全过程;控制视角不仅仅要放在某几个关键控制点上,而是要包括凡是可能诱发和产生风险的所有活动上。
在这种环境下,内部控制的框架被进一步扩大,特别关注了风险管理问题,将组织目标、影响目标实现的事件、风险和机会、风险反应对策等要素纳入了内部控制的视野。此时,内部控制与组织的风险管理几乎融合为一体。这不但影响了组织的管理活动,而且也影响了组织的内部审计。
5.基于信息结构的内部控制
随着组织对内部控制的需求不断扩大,内部控制的内容日益复杂,内部控制的流程也日益程序化。在这种情况下,内部控制的固有缺陷也就明显。例如,内部控制的有效性过度地依赖人和制度,过度地依赖于组织结构和管理流程的细分,过度依赖于程序的严禁。这就使得内部控制的成本偏高,效率底下,反应速度缓慢,灵活性偏差。这也正是大家在没有法律强制要求的情况下,都倾向于将内部控制简化的重要原因。
如果认真分析,我们就会发现,大家总是倾向于简化内部控制的原因可能就在于,高配置、低手段,既设计了高级的内部控制,运用的是手工方式。如果我们将手工方式作为传统方式,将信息化方式视为现代方式,那么,传统的内部控制实际上是忽视了信息化技术的作用,由于人们对信息化技术的认识不到位,所以限制了人们对内部控制的利用和作用范围。
我们应该看到,信息化技术可以降低内部控制成本,提高内部控制效率;可以将人为控制变为程序控制,并使控制变得灵活可靠;可以形成手工条件不可能设置的控制,增强控制的功能;可以快速获取和传递信息,及时反馈信息,提高控制效果。由于信息化的内部控制有无可质疑的优势,也具有不可替代性,因此,内部控制的进一步发展,方向必然是信息化,即要建立基于信息化结构的内部控制。
那么,什么是基于信息结构的内部控制?简单地说,就是将基于职责结构、业务结构、组织结构和风险结构的内部控制与信息化技术集成起来。建立基于信息化结构的内部控制,一是要利用信息化技术对职责结构、业务结构、组织结构和风险结构的内部控制进行相应的调整和改造;二是要使内部控制的运作方式信息化。
三、内部控制的信息化改造
1.控制环境的信息化
对控制环境的信息化改造实际上就是要营造一个适合于信息化工作的环境和氛围。
组织的决策层、管理层和全体员工要提高对信息化作用的认识。
决策层和管理层要改变经营管理风格,放弃粗放式管理模式,走内涵式、集约化道路。
对组织结构要按照信息化的要求进行改造重组,使之适应信息化工作的规律,并能充分利用信息化手段。
对各种职能部门、管理岗位和操作岗位,对各种管理流程、业务流程和技术工艺流程,进行梳理,明确其中可以或者必须进行信息化改造的环节,然后有针对性地设计各种相关的信息子系统,并将其集成到统一的管理信息系统之中。
对各种职能部门、管理岗位和操作岗位,对各种管理流程、业务流程和技术工艺流程,进行梳理后,应该明确其对信息化技术的要求,然后制定培训计划,进行有针对性的持续不断的培训,使所有相关的管理人员和员工都具备相应的技能。
正确确定各管理层面、职能层面、管理岗位和操作岗位在信息化的管理和业务流程中的职权和责任。
2.风险评估的信息化
风险源于组织的战略决策,不同的战略目标肯定要面临不同的风险,同时也肯定要面临不同的机会。内部控制的设置和实施,就是为了组织制定正确的战略决策,为了保证战略目标的实现,为了管理潜在和现实的影响战略决策目标实现的各种风险,为了发现有利于战略实现的各种机会。
风险可以分为决策风险和执行风险(实施风险),风险管理也就可以分为决策风险管理和执行风险管理。风险评估的信息化就是要,明确决策过程和执行构成的流程,包括管理流程、业务流程和信息流程,并将这三种流程用信息化技术加以集成,形成一个适用于组织的管理信息系统。
从内部控制的角度讲,也就是将风险评估过程进行信息化处理,也就是将确定目标、识别风险、分析风险、识别环境和条件的过程加以信息化,以便保证风险管理的科学化,保证决策的正确性和执行的合理性。
3.控制活动的信息化
内部控制的信息化要求控制活动必须与之相适应,实际上这两者在实际过程中是一致的,控制活动的信息化与其他要素的信息化也是一致并且是一体的。例如,预算控制、预测控制、报告控制、预警控制都要以组织的信息管理系统为同一基础,都要从中获取信息,相互提供信息,相互支持。同时,记录控制、授权控制、实物控制、职责分离控制也要与信息化管理相适应,因为信息化的系统内部控制与手工条件下的内部控制,在控制环境、控制手段、控制环节、控制方式等方面还是存在相当差异性的。
4.信息沟通的信息化
信息沟通的信息化改造也就是要建立起适应于组织特点和规模、业务特点和规模的管理信息系统,其中最重要的可能就是决策支持系统、会计信息系统和业务信息系统。一般而言,决策支持系统应该是一个平台,在这个平台上,可能要集成各种财务性的会计子系统、各种非财务性的业务子系统和监督性的审计子系统等。
近些年来,一些管理信息系统正在向集成化、联网化方向发展。目前,比较流行的管理信息系统有“企业资源计划”系统(ERP)、“供应链”系统(SCM)。系统集成了大量的子系统,具有财务、销售、生产、人力资源、质量、决策支持等管理控制功能。当然,没有任何一个管理信息系统是放之四海而皆准的,不同的组织还需根据自身的特点,建立适应于自身特点的管理信息系统。
5.监控的信息化
组织的监控是一个非常复杂而且重要的活动。组织的规模越大、越复杂,监控工作的难度越大,这就需要建立信息化的监控体系。监控系统应该是管理信息系统的一个组成部分。但是,从逻辑角度讲,有些类型的监控系统有可以在管理信息系统之外,因为它还要对管理信息系统进行必要的监控。
监控活动可以分三类:领导型监控、职能型监控和独立型监控。前两者应该完全嵌入管理信息系统,后者则可相对独立,即要建立相对独立的信息化的审计系统,包括审计管理系统和审计实施系统。对于大型组织而言,可能也需要向集成化、联网化方向发展。
四、内部控制演进对内部审计的影响
1.内部审计既在内部控制之中,又在内部控制之外,发挥其他监控机制所不能发挥的独特作用。
自从三要素内部控制理论提出后,内部审计就开始被认为是内部控制框架中的重要要素之一。此后,内部留神机也一直作为内部控制的重要要素之一发挥着巨大的作用。但是无可争辩的是,内部审计在内部控制框架中具有独特身份,即内部审计既是内部控制的组成部分,又具有不同于其他内部控制要素的相对独立的身份,肩负对其他内部控制要素进行再控制的职责。自上世纪90年代起,内部审计就开始大量做内部控制自我评估工作。在这种工作方式下,内部审计作为主导,其他相关部门同时参加,共同完成对内部控制健全性和有效性的检查。这种工作方式最能说明内部审计的之内加之外的独特身份。有人讲,后萨班斯时代内部审计的控制功能日益凸显,这种观点至少在实践意义上具有合理性。因为内部审计不仅可以作为控制直接作用于被控制对象,也可以通过对控制的再控制间接作用于被控制对象。
2.内部控制的发展对内部审计的工作内容产生了决定性影响
早期的单要素内部牵制关心的只是资产及其记录的安全,两要素的内部控制将关心资产及其记录安全的之外的内部管理控制纳入了控制视野,随后,控制环境又得到关注。两要素和三要素的内部控制已经不仅关注资产及其记录的安全问题,而且关注组织经营管理问题,这就大大拓宽了内部控制的范围。五要素和八要素内部控制的提出,又将控制重心进一步转移到组织的风险管理。内部控制重心的变化,引发了内部审计内容的变化,同时也造成了内部审计工作重心的转移,因为内部审计作为组织内部管理和控制系统的组成部分,理当对决策层和管理层关注的所有领域有所作为。有调查表明,大型组织的内部审计,大多已将风险管理、经营管理、经营效益和效率等内容作为自己的重要工作内容。随之,内容审计大类型也日益丰富,出现了风险管理导向审计、管理导向审计、经营导向审计和业务导向审计,甚至出现了业绩导向审计。
3.信息技术将成为内部审计高校履行其职责,实现其职能的关键影响因素。
由于大型组织的战略决策过程、经营管理过程、决策和执行内部控制过程日趋复杂,又由于组织的决策、管理、业务和信息过程的信息化水平已经发展到相当的程度,特别是风险管理导向审计等新的内部审计类型的产生,信息技术已经成为监控所必不可少的手段,进而也是成为内部审计所必不可少的手段。
为了能够在信息化环境下,正常、高校地履行内部审计职责,内部审计师不但要十分熟悉组织的信息化环境,特别是组织的管理信息系统,还必须要了解内部审计实务对信息技术的要求,掌握信息化环境下实施内部审计所必须的信息技术,掌握信息技术辅助审计(包括计算机辅助审计)的技术方法,如系统内部控制审计的技术方法、信息系统审计的技术方法、联网审计的技术方法等。内部审计师还要了解信息技术治理的理论和实务,使信息技术的应用与组织的目标相一致,并使组织的价值最大化。
有条件的组织还要培养自己的内部信息技术审计师,以便能承担起诸如信息系统战略规划审计、信息系统软硬件审计、系统开发审计、信息系统管理审计、信息安全审计等更加专业化的审计任务。
(此文系作者在9月27日本报主办的“2006内部控制与风险管理创新高峰论坛”上的发言)
内部控制的信息化改造国家审计署副审计长石爱中