全方位审视内部控制
三、内部控制的不同视图
(一)控制客体不同的视图
根据上面的模型及其层次性,从控制客体的角度看,笔者认为内部控制分为两个层次,四种不同的内部控制。
第一个层次是以整个组织作为一个视图的内部控制,是总体上的,广义上的,高层次的内部控制,暂且称为总体内部控制。可以看出:组织的目标-创造价值就是控制的目标;组织的所有过程是控制客体;组织中的各类人员,特别是各级管理人员是控制主体;管理即是控制方法、措施。三过程本身就形成一种控制模型:业务过程是控制客体,管理过程是控制主体,信息过程是控制主体与客体交流的渠道,而各种管理活动则是控制手段。
第二层次则以具体的过程为视图,它们的范围较为狭窄,暂称为具体的内部控制,包括三个不同的具体视图。一是以管理过程作为视图,即为内部管理控制。管理的目标是做出正确决策,使业务过程不偏离组织目标,这也是内部管理控制的控制目标;管理者的行为即管理活动是内部管理控制的客体;做出决策的人员及部门即管理者为内部管理控制的主体;决策的各种方法即是控制手段或方法。二是将业务过程作为一个视图,称为内部业务控制。业务过程的目标是以合理的成本、有效率的经营方式提供商品及服务为控制目标;业务过程包括获取资源/支付过程,转换过程,销售/收款过程,为控制客体;业务过程中的操作人员为控制主体;业务操作规程、流程等为控制措施及方法。三是将信息过程作为一个视图,为内部信息控制(其中包含内部会计控制,且以其为主)。信息系统的目标是真实反映业务过程、为管理过程作决策提供有用信息,为控制目标;信息过程中的活动是记录与业务活动相关的数据,维护和保持与组织相关的和最新的数据,报告对执行、控制和评价业务过程有用的信息等,为控制的客体;信息系统的操作者与相关人员为控制主体;信息系统中的各种控制措施如采集控制、输入控制等为控制方法。
由于三个过程是相互联系的,共同构成一个整体。这三种内部控制也是相互联系的,但各自控制的重点不同,它们共同与上一层次的内部控制-总体内部控制,构成完整意义上的内部控制。
(二)相关人员的不同视图
从上述分析可以看出,无论哪个层次的哪种内部控制,控制主体都是以与组织相关的人员及部门为主的。本部分分析与组织相关的各类人员、部门及他们对内部控制的不同视图。
任何组织中,与之相关的人员及部门大体可以划分为两大类:内部人员与外部人员。内部人员包括管理层、董事会、内部审计师、会计人员、内部其他人员;外部人员包括外部审计师、法律部门、监管部门、投资者、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等。不同的人员对内部控制关注的重点也各不相同。
1、外部人员的关注点及视图
由于外部人员只可能通过组织对外提供的各类信息来了解组织,他们的关注点就是:组织提供的信息是否真实、可靠、有用?对内部控制的视图则侧重于内部信息控制,即信息的采集、输入、处理及输出是否采取了相应的控制措施?是否符合相关的法律规定?外部审计师根据对内部信息(特别是财务会计信息)控制的分析,特别是组织控制环境的分析,对组织提供的信息(特别是财务会计信息)是否真实、可靠、有用做出客观、独立、公正的评价。其他外部人员则根据通过审计师审计的信息,各自做出相应的决策,当然他们的侧重点也各不相同,所以组织在对外提供信息时,一方面要保证信息的真实性、可靠性,另一方面也要根据不同人员提供不同的对其有用的信息。
2、内部人员的关注点及视图
管理层关注的是业务过程是否以合理的成本,有效率的经营方式提供商品及服务,其视图侧重于内部业务控制。董事会关注管理层是否做出正确决策,是否对业务过程进行了正确的管理,其视图侧重于内部管理控制。无论什么视图,都需要正确的信息与沟通。内部审计师关注信息与沟通是否正确、畅通,也关注各过程是否有机协调地运作,他侧重于内部信息控制;会计人员关注财务会计信息的采集、处理、输出是否正确,畅通,有效,关注反映财产、物资、资金的信息处理,其视图更为狭窄。内部其他人员像会计人员一样,根据其所处的位置,明确各自的职责,提供系统所需的信息,实现相应的控制,对经营中出现的问题,对不合法、违规行为都有责任与上级沟通,以保证内部控制的有效实施。
外部人员与内部人员由于各自关注点不同,导致了他们对具体内部控制的不同视图,但他们都需要对组织的内部控制有一个总体的认识,即都需要关注总体的内部控制。笔者理解这就是COSI定义的内部控制:控制环境、风险评估、控制活动、信息和交流、监控五个组成部分。每个组成要素适用于所有的具体内部控制,每一个组成要素与每一个具体内部控制目标都相关。
四、内部控制设计:协调不同需求
在对内部控制从时间与空间的角度进行以上分析研究之后,我们对内部控制有了一个比较全面深入的认识。这种认识在我们进行组织的内部控制设计时是非常有用的。有了内部控制的以上时空观,在设计内部控制时就可以不再局限于会计控制,而是扩展到整个组织的管理与治理。从系统的、整体的角度出发,进行内部控制的设计,使设计的内部控制具有系统性、层次性、科学性,能满足不同时期各类人员的不同控制需求。
为了能够设计出科学的内部控制,也需要有科学的设计方法,笔者认为可以将系统分析与设计中的思维方式和方法应用于内部控制的设计中,在进行内部控制设计的过程中同时使用生命周期法与原型法。生命周期法,即分步骤、分阶段地进行内部控制的设计;原型法,即先用生命周期法设计出一个内部控制的初始模型,然后试行使用该模型,并在使用过程中不断完善内部控制的模型。
首先使用生命周期法设计内部控制的初始模型。第一步,通过初始调查与详细调查了解不同时期、不同人员对内部控制的需求。第二步,从整个系统的角度及其他不同角度分析第一步中的内部控制需求。第三步,结合相应的控制目标、控制客体、控制方法、技术,针对整个组织进行总体设计,设计出总体内部控制框架。总体设计时要遵循成本-效益的原则,设计出完整、合理、有效的内部控制。第四步,针对业务过程、管理过程、信息过程的特点及要求进行详细设计,设计出三个具体的内部控制制度。详细设计时要先确定控制目标,找到控制点,再根据实际情况选择控制措施。在整个设计过程中要注意:第一,要充分考虑各时期、各方面的需要。从内部控制的发展看,内部会计控制始终是核心,但也要考虑目标的多样化,设计出的内部控制要有一定的适应性,即学习性。从空间方面看,总体内部控制框架应能将各个具体内部控制整合起来。第二,在设计内部控制时要灵活使用以下两种控制方法:“硬控制(即技术性控制)”与“软控制(即管理性控制)”,如果控制的风险是确定性的,可以使用技术性控制,如果控制的风险是不确定性的,则需要使用管理性控制或两者同时使用。第三,在设计每种具体内部控制时,都要考虑COSO定义中的各个部分。
然后,使用原型法使初始内部控制模型得以完善。在内部控制的初始模型设计出来之后将其应用于组织中,并在实施过程中不断使用生命周期法,分析控制目标、控制环境、控制措施的变化,并进行相应的微调式设计,如此循环反复,促使内部控制不断地改进、完善。
[参考文献]
[1] 刘明辉:《内部控制纵横谈》,《时代财会》,1:18~22.2002
[2] 吴水澎、陈汉文、邵贤弟:《企业内部控制理论的发展与启示》,《会计研究》,5:2-82000
[3] 工会杰:《试论内部控制评价标准体系框架的建立》。北京注册会计师协会2002.,2008/816
[4] 陈继云:《COSO报告与内部控制研究》。《上海会计》,2002.6:42~44
[5] 阿妮塔。S.霍兰德埃里克。L.德纳。J.欧文。彻林顿著,杨周南等译:《现代会计信息系统》。第二版。北京:经济科学出版社,1999.4~9
