内部控制概念及相关理论

　　第2章内部控制概念及相关理论

　　2.1内部控制理论的发展阶段

　　内部控制在时间上,大致经历了以下四个阶段的发展,其定义也在不同阶段有不同的诠释。

　　内部牵制阶段(20世纪30年代及以前):George E.Bennett (1930)为内部牵制作了较为完整的定义——内部牵制是账户和程序组成的协作系统,其作用是使员工在进行本职工作时,对其他员工的工作不间断地进行独立检查,从而防范舞弊发生的可能性。

　　内部控制制度阶段(20世纪40-70年代):美国会计师协会(1936)首次正式使用了“内部控制”这一专门术语;美国注册会计师协会(AICPA)审计程序委员会(1949)首次提出了内部控制的概念:内部控制包括组织结构的设计和企业内部采取的所有相互协调、管理的方法和措施。这些举措能够保护企业的财产完整、检测会计数据的精确性,大大提高经营效率。美国国会(1950)规定:政府各部门应负责对各种款项、资产和其他重要资产的会计记录、是否有效控制进行适度的内部稽核。这是世界上首次将内部控制列入政府法规。美国审计程序委员(1963)会将内部控制划分为会计控制和管理控制两类。

　　内部控制结构阶段(20世纪80年代):AICPA (1988)对内部控制进行了重新定义,以“内部控制结构”的概念取代了“内部控制制度”。其指制度和流程组成了内部控制的结构,其中包括各种政策、措施、程序,以达到企业内部管理的特定目标。

　　内部控制整体框架阶段(20世纪90年代至今):美国资助委员会(COSO) (1992)指出:内部控制是企业董事会、管理层及其他员工实施的一系列措施和程序及环境等,其目的是保证财务报告的可靠性、经营活动的效率和效果、相关法律法规的合规性。2000年发生的安然事件,催生了塞班斯法案的出台,该法案有两处与以往的迥异之处,一方面是强化内部控制与企业和管理各节点对应的责任,持续改进法人治理结构;二是重申并强调了第三方审计师的独立性与监督责任。塞班斯法案的出台,凸显了美国企业公司治理过程中存在的缺陷和独立审计师制度存在的漏洞。2004年9月29日,美国资助委员会(COSO) (2004)发布了《企业风险管理综合框架》,以企业风险管理为核心,综合描述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。提出了内部控制的五个重要要素,以风险管理为出发和关注点,为董事会、管理层识别、发现、规避风险,提升企业整体价值提供了指引。

　　内部控制相关理论经历了以上四个经历的发展阶段,目前已趋于完善。在欧美发达国家,基于诚信经营为基础的内部控制体系,非常值得我国学习。我国市场经济体系起步晚,基础差,加上计划经济的干扰和中国传统私人企业的经营理念干扰,我国企业的内部控制建设情况与发达国家相比还有很大的差距,还有相当长的路要走。观察内部控制发展的好的教科书即是上市公司。近年来,国家对上市公司内部控制建设的要求越来越严格,为了切实保护中小投资者利益,国家各部位先后出台了多项规章制度和指引,对企业加强内部控制建设提出了严格的要求,对于不认真执行或违背相关规定的上市企业及拟上市企业,制定了严格的惩罚条款。但是,相对于上市公司,千千万万的民营中小企业的内部控制却缺乏切实有效的参照。中小企业规模小,人员相对较少,抗风险能力差,但是又无法像大企业一样花费大量的人力财力和物力投入到内部控制的建设中,因此,建立切实有效、高效的内部控制机制,是民营中小企业值得探讨的话题。而互联网中小企业作为民营中小企业中的一个分支,其业态出现时间短、经营周期短、淘汰更新快、人员年轻等特点,其内部控制的建设和应用的研究更具有现实指导意义。

　　2.2内部控制的概念

　　基于2.1对于内部控制理论发展阶段的描述,笔者把内部控制总结理解为:在特定的环境下,为了达到一定的管理目标,提高企业经营效率,在企业内部实行的各种制约措施。根据内部控制整体框架理论,内部控制由相互关联的五个要素组成,分别为:控制环境、风险评估、控制活动、信息与沟通、监督。要更深刻地理解内部控制的概念,可以从以下几个方面展开:

　　1、内部控制的目标

　　内部控制的目标,是使企业在遵循成本效益原则的基础上,通过优化内部控制环境、提高员工积极性,实施企业的有序管理,防止舞弊和造假的发生,使经营有序开展,实现企业价值最大化。

　　2、内部控制的主体与客体

　　内部控制的主体主要是指企业的所有者,客体是指企业员工和相关者。内部控制的主体往往希望通过严格的内部控制的措施,防范舞弊,保障企业资产安全,但是过分严格的内控措施很容易流于形式难以执行,遭到操作人员的反感,降低员工的责任感,让员工感到不受企业信任。同时,部分同时作为企业所有者和管理者的人员,很容易凌驾于内部控制措施之上,因为一方面作为主体的他们,也充当着客体。

　　3、内部控制的假设基础

　　1)不串通

　　内部控制理论的核心假设是不串通假设,即两个或两个以上的人或者部门合谋或犯同样错误的可能性很小;两个以上,即我们常说的不相容岗位分离,以达到内部牵制的目的。但是,如果两个人以上的人或部门如果真正实现合谋舞弊,内部控制将会失灵。因此,招聘环节的人员素质的控制和员工后续职业素质教育显得尤为重要。

　　2)复杂人性

　　美国着名心里学家薛恩(1961)在理性经济人、社会人、自我实现假设基础上,提出了复杂人性假设,他认为人的潜在欲望和需求是多样的,随着人生各种变化的发生以及人所在社会及组织的经济政治地位及角色的变化,人的需求和动机也会随之发生变化。因此,不是所有人在所有时间对同样的管理策略都会作出同样的反应,并且即使是同一个人在不同时间也会对单一的管理策略做出不同反应。故而内部控制体系的设计,需要多方位考虑复杂人性因素,在分析单个企业的员工共性基础上,差别化对待员工个性。

　　3)可控性。

　　内部控制有主体和客体之分,只有能被主体控制的客体,才能被纳入内控体系。否则内部控制将是纸上谈兵。

　　4、内部控制需要遵循的基本原则

　　1)成本效益原则

　　使用最少的资源和成本,最大化完成内部控制目标,就是成本效益原则。即用最少的钱办最大的事。内部控制活动过分完美,可能会影响企业的经营效率,并且容易过分繁琐而难以执行。合理的内部控制设计,需要充分考虑企业的行业需求和实际操作需求,对于业务简单可控的企业,应尽量简化内控流程,明确各责任点的责权利。

　　2)相互牵制原则

　　即常说的不相容岗位分离。这也是内部控制的基本假设之一,贯穿于内部控制的全过程。比如:采购和库管,会计与出纳,销售与市场。

　　3)重要性原则

　　因为要讲宄成本效益原则,用最少的成本做最多的事,因此重要性原则就务必提出来。对于重要的事件,要花更多的精力和程序去设计和控制。反之,对于不具有关键性的事件,则不必花费太多资源。

　　4)合法性原则

　　内部控制体系的设计都需要遵循相关法律。在我国,《公司法》、《证券法》、《会计法》、《税法》等一系列法律法规以及财政部的相关规范都对内部控制做了一定的要求。

　　有一些举措即使对单个公司短期有利,但是因为违反了国家法律公司会遭到严厉处罚,同样会对公司造成很大损失。比如:偷税漏税。另外还有很多由道德和操作风险造成的可能的合法性缺失,都可能造成内部控制失灵。

　　5、内部控制的基本方法

　　内部控制的方法分类有很多种,笔者在本文中采取的方法主要为:内部环境控制、组织规划控制、风险评估控制、业务活动管理控制、授权审批管理控制等。

　　6、影响内部控制效果的因素

　　1)公司治理结构:有效合理的公司治理结构能够推动内部控制活动的有效运行。管理者、经营者对内部控制活动的不重视将直接导致内部控制活动松散或无效。我国企业公司治理结构大多按《公司法》相关要求进行设置,但是在实际执行中常常存在各种问题,其原因在于各公司在梳理公司治理结构时盲目抄袭,企业主不重视,不根据公司实际情况进行设置;因为各股东的利益和出发点不一致,时常存在分歧。

　　2)环境变化:内部控制系统可能会因为环境的变化发生控制效力的改变,作为管理层,需要关注环境变化对内部控制体系带来的变化要求,比如,因为企业业务扩展,需要建立分公司或增设组织机构,这就需要管理者随机应变,以自身调整去适应公司发展。

　　3)串通合谋:如果不相容职责岗位的员工串通合谋,将直接导致内控失效,给公司带来损失。例如,出纳和会计串通,将可能造成现金亏空或挪用。

　　4)利益冲突:经营者、所有者以及员工有利益冲突的时候,将影响内部控制活动的执行,降低公司运行效率。例如,员工希望通过工作能够提高薪资待遇,而股东希望能够提高分红,若员工薪资大幅增加将影响股东的分红金额。

　　5)员工道德素质:员工道德素质的高低,影响了内部控制系统的有效运行。因为世上没有无漏洞的内控,内控本身是需要有良好道德素质为保障才能有效运行的,否则企业将花费大量精力去防范员工的道德风险,增加企业成本,降低经营效率,甚至造成内控失效。

　　6)不可控:内部控制的假设基础之一就是可控性,若控制方与被控制方因为种种原因无法牵制流于形式,操作和道德风险将会加剧,内部控制将无效。

　　2.3内部控制与流程的关系

　　在上世纪80年代的内部控制结构阶段,普遍认为内部控制结构由制度和流程组成。而在COSO框架理论下,内部控制体系是以更加全面系统的角度去思考问题,而业务流程作为内部控制的一部分,是解决企业现实问题的基本途径。流程是企业为了实现业务目标而采取的一系列动作的集合。在这样的目标下,企业需要安排一系列的人员项目配合或监督完成连续的动作,形成一个个连续的节点,这些节点组合起来就成为了一个流程。流程控制作为内部控制最为有效易行的手段,被企业广泛应用。而对这些流程各步骤的详细描述又构成了制度。因此,内控流程和内控制度是企业进行有效而规范的内部控制所必须的工具。而高效的内控制度和流程,不仅减少了企业内部管理的冗余时间,更让内部管理能够更加顺畅运行。因此,并不是越复杂越细化的流程和制度越有效,而应该是越浅显易懂越易执行且被员工和管理层接受的制度和流程对企业发展更为有益。

　　表面上看,内部控制系统优化的目的是防范风险,其措施是增加流程节点和监督程序;而流程优化则是精简流程节点,提高业务效率,两者看似矛盾,但又是有机的统一体,因为流程的优化和内部控制体系的优化,都能带来企业经济效益和管理水平的提升。本文着重从企业六个方面的业务流程出发,分析业务流程中的内控缺陷和存在问题,提出优化和解决方案。

　　2.4赋能授权理论及其在内部控制中的应用

　　传统的管理学往往是定义一些如何约束员工违反操作和相关规定的措施及方法,对于授权,中国企业主大部分的理解即是委托,简单意义的委托并不能在放权的同时让员工承担相应责任并且提升员工和中层的工作积极性。随着全球化的变革,新经济的崛起,互联网时代的来临,传统的制造企业的管理模式越来越无法适应现代化服务企业的管理需求。在中国,80后已经成为就业的主力军,90后也逐步占据更多的新兴岗位。这部分年轻人相比其父辈更具有鲜明的个性,在对管理的看法上也更具有主观性,但是他们的创新能力更为企业主所看重。企业主为了让这些年轻员工更具稳定性和发挥主观能动性,授权作为一种新型的管理模式备受企业主青睐。因为授权可以促进员工积极创新,提高其主观能动性,增强其主人翁意识,并且能让员工感到受尊重,改进个人和组织的绩效。

　　哈佛商学院的着名管理学教授Rosabeth Moss Kanter近年来开始极力倡导赋能授权理论。Kanter所着《变革大师》一书为在企业中树立赋能授权的概念和使员工能够更多地参与企业管理奠定了基础。赋能授权倡导企业主在企业正常经营范围内最大限度给予员工和企业中层相应权限,以最大限度提高员工工作自主性,提髙企业主对员工的信赖度,倡导员工间互相帮助,以达到员工发展和企业发展双臝的局面。

　　赋能授权能够使企业在面对快速变化的市场环境时作出更快的反应,具有积极应对变化的特性,但是往往受制于组织机构的限制。企业内部部门与部门之间的权限责任划分在一定程度上阻碍了赋能授权理论的应用。因此,笔者认为,扁平化的简单型组织结构更有利于赋能授权的应用。而互联网行业简单快捷的特性以及市场规律,为赋能授权的应用提供了较为适合的空间和基础。

　　XY公司是一家具有代表性的互联网小型民营企业,其人员、资产结构和行业特点,需要其在经营决策上对市场的变化作出快速反应,因此,在业务系统内,适当的赋能授权能提高企业竞争力,增强其创新能力。

　　2.5相关理论在本文中的应用

　　本文拟采用内部控制风险管理综合框架理论,结合授权及赋能授权的相关理论,在本文的实践中加以应用。在XY公司的内部控制现状进行分析和XY公司的内部控制改进设计中,充分考虑影响内部控制实施效果的几个要素,包括内部控制环境一一组织结构、人力资源政策、企业文化等;控制活动一一不相容岗位分离、授权审批、会计系统控制、营运系统控制等;风险评估——风险识别、分析和应对机制;内部监督一一包括独立的内部审计、建立审计监督机制、出局内部评价报告等,对于整体的内部控制环境的改进进行了概括性地描述,针对关键业务的内部控制缺陷进行了相应的梳理和设计。