内部控制目标的有益探索
人们对内部控制目标的认识,有各种不同的看法。
1936年,美国会计师协会(美国注册会计师协会的前身)出版的《注册会计师对财务报表的检查》指出:
内部牵制和控制就是为了保护公司现金和其他资产,检查簿记事务的准确性。
1949年,AICPA下属的审计程序委员会发布的《内部控制——一种协调制度要素及其对管理当局和独立审计人员的重要性》指出:
内部控制制度是为保护其财产安全、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施为目的。
国际会计师联合会(IFAC)在1981年7月颁布的《国际审计准则指南第6号》中也认为:
内控的目标是保证其业务经营的顺序和有效性,包括严格遵守管理政策,保护资产,预防和揭发舞弊和错误,保持准确和完整的会计记录,以及适时编制可靠的财务资料。
1992年,COSO在其发布的《内部控制——整体框架》中,把内部控制的目标设定为三类:
经营的效率和效果;
财务报告的可靠性;
适用法律法规的遵循性。
在这三类目标中,第一类是针对企业的基本业务目标规定的,包括业绩要求、盈利要求和资源的安全性;第二类是针对财务信息的可靠性设定的,主要包括编制可靠的财务报告(中期简要报告、年度报告),对财务数据的精选等;第三类是针对法律的遵守设定的。1994年,COS0对报告的“向外部关系人报告”卷进行增补时,增加了资产保护的内容。但是,按照COS0的理解,这个内容是从属于经营目标的,不是一个独立的目标。
1995年,加拿大特许会计师协会(CICA)的控制标准委员会(Criteria of Control Board,CoCo)发布的《控制指南》把内部控制目标归结为三类:
经营的效率和效果;
内部和外部报告的可靠性;
遵守适用的法律法规和内部政策。
COC0认为控制是组织为了加强正确措施所做的一切,不应包括“改善措施”本身,虽然“改善措施”是COC0控制模式的内容之一,但未列入控制基准。
COC0提出的20项控制标准的目的标准是:
①应拟订与沟通各种目标。
②应识别与评估组织在达成目标期间所面临重大性的内部与外部风险。
③应制定、沟通与实施为支持组织目标达成与风险管理所设计的政策,使得成员了解组织对自身的期许以及他们能自由行动的范畴。
④应建立与沟通各种为达成组织目标所从事的计划。
⑤各种目标与相关计划应包括可衡量的绩效目标与指标。
1996年,美国财务会计准则委员会(IASB)将内部控制的目标设定为如下五项:
信息的可靠性和完整性;
遵守政策、计划、程序、法律和规章;
保障资产;
经济地、有效地使用资源。
l999年11月,美国会计总署( GA0)发布的《联邦政府内部控制准则》,把内部控制目标归结为三类:
经营的效率和效果。
财务报告的可靠性。
相关法律法规的遵守。
这同COS0委员会l994年报告关于内部控制的定义大同小异。但是,联邦政府准则认为,内部控制是一个企业管理的主要组成部分。它包括用于达到任务和目标的计划、方法、程序,为建立在营运基础上的管理提供支持。内部控制也为保护资产及发现错误和舞弊提供第一重防卫。总之,内部控制和管理控制是同义的,帮助政府项目管理者通过对公共资源的有效运用来达到预定的目的。
最高审计机关国际组织(International Organization of Supreme Audit Institutions,简称INTOSAI):内部控制是一个组织的计划,包含管理的态度、方法、程序以及其他足以确保达到下列目标的评量措施:
①配合战略目标,使各项作业均能有条不紊,且更经济有效地运作,提高产品与服务的质量;
②保护资源,以避免因浪费、舞弊、管理不当、错误、欺诈以及其他违法事件而遭致损失;
③遵循法律、规章以及各项管理规定;
④提供值得信赖的财务资料,并能适时除当地披露有关信息。
1999年,英国发布的Turnbull内部控制指南规定的内部控制目标是:
通过使公司能够对重大的商业风险、经营风险、财务风险、遵循风险和其他实现公司目标的风险做出适当的反应而促使其有效地经营,包括资产不被滥用、不受损失和欺诈等;
有助于保持内部和外部报告的质量;
有助于确保遵守相关的法律和规章制度,也有助于遵守与商业道德有关的内部政策。
这个目标相比较于其他机构所设定的内部控制目标,比较突出风险概念和对于风险的防范。
巴塞尔银行监管委员会在英国的Cadbury、美国的COS0报告和加拿大的COC0报告和实际经验的基础上,于l998年9月发布《银行组织内部控制系统框架))(Framework for Internal Control Systems in Banking Organizations,简称FICSBO),把内控的三大目标分解为操作性目标、信息性目标和合规性目标。
2004年3月美国PCAOB发布的审计准则No.2中仍然推荐使用COSO报告中的内部控制整体框架,意味着现实条件下内部控制的目标仍然强调的是营运目标、报告目标及遵循性目标。
2004年9月,COS0在其发布的《企业风险管理框架》中,把内部控制的目标分成了四类:
战略目标,这是最高层次的目标,与企业的使命相关联并支持其使命;
经营目标,指有效和高效率地使用资源;
报告目标,指报告的可靠性;
合规目标,指遵守适用的法律法规。
英国FRC2005年10月修订的内部控制指南中指出,内部控制系统包括政策、程序、任务、行为和公司的其他方面,从而:
通过保证公司对重大业务、经营、财务、遵循性及其他风险的恰当反应来保证公司经营的效率和效果,从而实现公司的目标。这些包括保障财产的安全,避免财产的不恰当的使用、损失和舞弊,以及债务的识别和管理。
帮助保证内部报告和外部报告的质量。这一方面要求保持恰当的记录和及时形成信息流的程序、组织内部和外部的相关且可靠的信息。
帮助遵循与企业运转有关的法律、法规和内部政策。
2001年,我国财政部在颁布的《内部会计控制规范——基本规范(试行)》中,将内部会计控制的基本目标设定为三项:
规范单位会计行为,保证会计资料真实、完整;
堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;
确保国家有关法律法规和单位内部规章制度的贯彻执行。
中国证监会发布的《证券公司内部控制指引》(2001)中指出:
公司内部控制的总体目标是要建立一个决策科学、运营规范、管理高效和持续、稳定、健康发展的证券经营实体。其目标具体包括:
严格遵守国家有关法律法规和行业监管规章,自觉形成守法经营、规范运作的经营思想和经营风格;
健全符合现代企业制度要求的法人治理结构,形成科学合理的决策机制、执行机制和监督机制;
建立行之有效的风险控制系统,确保各项经营管理活动的健康运行与公司财产的安全完整;
不断提高经营管理的效率和效益,努力实现公司价值的最大化,圆满完成公司的经营目标和发展战略。
中国人民银行发布的《商业银行内部控制指引》(2002)中指出商业银行内部控制的目标包括:
确保国家法律规定和商业银行内部规章制度的贯彻执行;
确保商业银行发展战略和经营目标的全面实施和充分实现;
确保风险管理体系的有效性;
确保业务记录、财务信息和其他管理信息的及时、真实和完整。
上交所发布的《上海证券交易所上市公司内部控制指引》(2006)中指出:
内部控制是指上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。在上交所上市的公司应当按照法律、行政法规、部门规章以及股票上市规则的规定建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。
深交所发布的《深圳证券交易所上市公司内部控制指引》(2006)中指出:内部控制的相关目标包括:
遵守国家法律、法规、规章及其他相关规定;
提高公司经营的效益及效率;
保障公司资产的安全;
确保公司信息披露的真实、准确、完整和公平。
中国注册会计师协会制定的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》(2006)内部控制目标包括:
合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。
2006年10月,我国财政部在《企业内部控制规范——基本规范(征求意见稿)》中,将内部控制的目标确定为:
企业战略;
经营的效率和效果;
财务会计报告及管理信息的真实可靠;
资产的安全完整;
遵循国家法律法规和有关监管要求。
这个目标体系,不仅与2001年财政部设定的控制目标不同,而且同其他国家的内部控制目标相比较也有自己的特点。
与2001年颁布的控制目标相比较,这个目标的范围要宽泛许多。如果和COS0委员会的ERM中所设定的目标相比较,它有两个特点:第一,它把资产安全明确地列为控制目标。这和把资产安全纳入经营目标之内的理解完全不同;第二,它在遵循性目标中增加了“监管要求”的内容。这样一来,在遵循性目标中就有了三项内容:法律、规章和监管要求。但是,这里的遵循性目标中没有企业内部政策的内容,应该是一个缺憾。
2008年,我国财政部颁布的《企业内部控制基本规范(试行)》明确:
内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,促进提高经营效率和效果,实现企业可持续发展战略。
龚杰,方时雄编著的《企业内部控制: 理论、方法与案例》:
我国有关“内部控制”的教材和文献中,一般提两个方面,每个方面有三项目标,共六项目标。
1.会计控制目标
(1)保财产物资的完整性。
(2)保证会计信息的准确性。
(3)确保财务活动的合法性。
2.管理控制目标
(1)保证生产经营活动的经济性、效率性和效果性。
(2)保证国家法律、法规的遵守执行。
(3)保证经营决策的贯彻执行。
这些目标是高度概括了的目标,应该说对任何企业都是适用的。
(龚杰,方时雄编著.2006.企业内部控制: 理论、方法与案例.杭州:浙江大学出版社,27~28)
龚杰,朱恩荣、应唯、袁敏编著的《企业内部控制制度设计:——理论与实践》:
特定内部控制的目标应针对组织内部的每一活动来制定,并且应当是适当、易于理解及合理的,并与整个组织目标相符合。控制目标是管理阶层计划达成的正面效果,或意图避免发生负面的效果。为发展特定控制目标,首先应对所有活动进行大致的分类。然后在每一分类内,将活动划分成一组或多组重复发生的活动,以利于处理特殊的交易或事件。这些组合应配合企业的组织结构及其责任的划分。企业的活动大致可分为:①管理活动;②经营活动;③财务活动;④行政活动。为发展控制目标,对例行重复发生的活动必须加以认定与分析。例如,有关采购材料的活动包括:①确定所需的项目;②选择供应商;③签订合约;④交货;⑤检验质量。这里所能达到的控制目标之一,可能要求请购的材料必须符合请购的规格质量方能验收等。
(龚杰,朱恩荣、应唯、袁敏编著.2005.企业内部控制制度设计:——理论与实践.上海:上海财经大学出版社,22)
关于内部控制的三大目标的表述
| COS0的内控目标 | Basle的内控目标 | |
| 1 |
经营的效果和率
|
操作性目标:各种活动的效果和效率 |
| 2 |
财务报告的可靠性
|
信息性目标:财务和管理目标的可靠性、完整性和及时性 |
| 3 |
对现行法规的遵守
|
遵从性目标:遵从现行法律和规章制度 |
(龚杰,朱恩荣、应唯、袁敏编著.2005.企业内部控制制度设计:——理论与实践.上海:上海财经大学出版社,25)
李三喜、徐荣才著《3C框架—中国式全面控制》:
综观人们对内部控制目标论述,虽表述都有所不同,但传统的以会计审计为背景的内部控制基本上是以“查错防弊”为主要目的,保证会计信息可靠。
从理论上全面控制目标要适应经济社会发展的要求,其层次应该更高,应超越传统的为会计审计的目标设定的内部控制目标。事实上“Treadway委员会”2004年发布的“企业风险管理框架”确定的内控目标增加了战略目标。加拿大的COCO报告规定的内控目标是使企业能够可靠地实现其发展目标。美国国家标准及技术协会(NIST)支持的马尔科姆•鲍德里奇国家质量奖(MBNQA)评价标准的重点目标强调客户的满意度。
我们主张全面控制的目标应该与社会发展和单位发展目标相一致。就企业的全面控制而言,至少应该与企业的管理目标相一致。在实际工作中全面控制的目标不能固定,因主体、需要的不同而不同。单位的规模、性质不同,控制目标就不同,就是一个单位具体控制活动的目标也是不同的,各有侧重。就单位的全面控制目标,总体目标是控制风险,促使组织目标的实现,具体的目标因需要的不同而不同,可根据需要分以下层次:
第一层次的目标是保障经营活动的合规合法性,保证法律法规的遵照执行;
第二层次的目标是防弊纠错,保证财产物资的安全,保证会计信息的及时与真实;
第三层次的是建立健全符合现代企业制度要求的法人治理结构,形成科学合理的决策机制,促进提高经营管理的效率和效益,实现发展战略和经营目标;
第四层次的预防和控制各种错误和弊端,及时采取有效纠正措施,防范经营管理中的各种风险。
第一、二层是与会计审计需要相关的控制目标,第三、四层与治理、管理、风险需要相关的控制目标。当然,每个目标之间是相互联系的,不可能绝对的分开来。
(李三喜、徐荣才著.2006.3C框架—中国式全面控制.北京:中国市场出版社,90~91)
