财务部内部控制制度

现代企业内部控制-内部控制怎么做?内部控制制度是现代企业管理的重要手段。不断完善企业内部控制制度，对于防范舞弊，减少损失，提高资本的获利能力具有积极的意义。笔者对内部控制制度的相关问题进行了思考，现成拙作，求教同仁。一、内部控制必须逾越的几个难点一项好的内控制度，应该达到以下标准。其一，控制触角涉及企业经营的各个环节和各个方面，没有留下控制死角。也即企业的各项经营管理活动均纳入了内部控制范围。其二，事权划分明确具体，具有很强的操作性。也即内控制度作为一种制度要能真正成为企业管理者的行为规范，操作方便。其三，控制程序规范，过程控制受到特别的重视。也即内部控制要形成科学的机制，尤其是要把对经营管理过程的控制放在突出的地位，通过控制，防患于未然。其四，有良好的控制效果，内部控制的功能可得到有效发挥。从目前企业内控制度实践操作看，实施有效的内部控制，必须研究和解决工作难点，具体地讲，就是解决“四个如何”。第一，如何把握授权的度。量变到质变，是事物变化的一般规律。在这里“量”上的度起决定作用，当量的变化到了极限时，必然引起质的变化。内控制度的量度界定也就成为实践中的一个难点。企业经营管理是一个复杂的系统工程，保证这个系统的正常运行，合理授权是必然的。对于企业法人代表，既要保证其经营决策的独立性和权威性，又要保证其经济行为的效益性和廉洁性，权力的量度界定是关键一环。当今社会大凡出现重大舞弊经济案件的企业，基本上均是授权不当引起的，是权力过大，且控制不力的恶果。一个方面，授权无“度”，直接制约内控制度效能的发挥，在巨大的权力面前，政策法律尚且相形见绌，何况一个内控制度，舞弊必然产生；另一方面，对内控制度执行人员的授权也有“度”的学问，对不同的控制环节要有不同授权，才能使内控制度有效运行，不然容易产生新的舞弊土壤。不管哪个环节，在具体授权时，应以既能保证经营决策有效运作，管理制度有效贯彻，又能保证权力制衡得到落实。第二，如何提高被控对象的受控度。有效的内控制度，是对企业经营的所有环节和从事经营管理活动的所有个人实施全方位控制。这里就存在一个控制与反控制的问题。社会实践告诉我们，控制与反控制的矛盾在任何地区、任何时候都存在，尤其是在中国这个受几千年封建思想影响的国度里，矛盾尤为突出。因为不少企业内控制度形同虚设，舞弊行为时有发生，所以提高被控对象的受控度就必然成为内控制度实施中的难点。一般而言，内部控制的对象是指企业的权力操纵者，是对权利操纵者的权利约束，也是对权利操纵者之间的权利制衡。这种独特的控制对象决定了提高受控度的艰巨性。就笔者的实践而言，提高被控对象的受控度关键有两点：一点是内控制度的科学性，另一点是主要决策者的受控程度。第三，如何提升规范控制程度。提起内控制度，人们往往想起出纳人员管钱不管账，管支票不管印鉴，管报销不管稽核等。其实内控制度内容极为丰富，涉及到企业经营管理的所有方面和所有环节。对于一个复杂系统工程的控制，不能靠人治，也不能靠简单的出纳控制、财务管理来实现目的，而是靠一套科学规范的内控制度，用制度来规范管理的行为，让管理者在从事经营管理活动中，知道干什么、怎么干，按照规定的程序来完成工作任务，接受规定的控制管理。这里的重点，是对企业不同的经营管理活动制定出“怎么干”的标准。完成这个任务，要有丰富的知识、超前的意识、广阔的视野和扎实的作风。这无疑又是一个难点。第四，如何提高控制人员的熟练程度。企业内控制度的中心是财务会计控制，承担内控职责的主要是会计人员。因此，财务会计人员要真正能担当内部控制的重任，更新知识，提高操作能力就显得刻不容缓。如上所述，科学的内控制度，是对企业经营管理各个环节实施有效监控的制度，它大大突破了财务会计的工作范畴，大大超过了财务会计的知识领域，是投资、金融、市场、营销、法律、材料、信息、机械、生产等多方面知识的融合；没有相应的知识支持，内部控制不可能完全到位。同时内部控制主要是做人的工作，矫正人的行为，需要有相应的组织、指挥和协调工作能力，培养大批这样的“全才”，显然需要很长的过程。二、对企业内控制度的理性思考思考之一：控与被控，需要永远协调的一对矛盾。控是规范，控是约束，控是对舞弊的否定，是对损失的扼制。市场经济条件下的企业需要内部控制，呼唤内部控制，这是主流，这是规律。越是优秀的企业，规范管理越有无形的作用。企业经营好比一湖清水，管理规范好比千里长堤，水从堤转，才能因而得福：如果大堤本身千疮百孔，水就会破堤而出，为祸一方。军中无法，等于自败，企业无规，等于自乱。内部控制对于保护企业意义非同小可。但控制毕竟是对人而言的，是对人行为的约束，对人权利的限制，矛盾永远存在，协调控制与被控制之间的矛盾事关内部制度的成败。什么时候控制与被控制的矛盾协调得好，企业经营就稳定，企业效益增长就快，这是笔者在会计管理实践中总结出来的。协调控与被控的关系，一要把握重点，描准主要目标，有针对性地工作；二要善于抓住战机，善于捕捉企业经营管理中的信息，以事实为先导，力争起到事半功倍的作用；三要把自己主动置于受控制的地位，把握自己的行为；四要根据变化了的情况不断调整内部控制的思路，使内部控制与企业经营变化相适应。思考之二：控面与控点是值得研究的课题。严谨的内控制度，不仅对企业经营管理的各个方面实行全方位的有效控制，把企业的各项经济活动全面置于经济监控之中，而且得对企业经营管理的重要方面和重要环节实行重点控制。面的控制与点的控制有机结合，内部控制才能发挥良好的效益。那么，在实施企业内部控制时，如何找到控制点，通过点的控制起到牵一发而动全身的作用，是需要认真对待的问题。根据笔者长期实践的体会，企业内部控制的点应该在三个位置上：一是资金。对企业资金筹资、调度、使用、分配等实行严格控制，防止资金进入体外循环。二是成本费用。对企业的各项成本费用支出实施严格的监管，防止出现舞弊行为。三是权力使用。对企业各经营环节经济活动操作者的权力实施有效监控，防止权力滥用，造成经济损失。思考之三：控制与创新是相依相伴的两种手段。实施内部控制是为了保证企业经营健康发展，绝不能让内部控制成为阻碍企业进步的障碍。在一定的意义上讲，控制是为企业经营导航，控制自身没有资本增值的功能，而保证企业生产经营活力的源泉是技术创新、管理创新、制度创新。只有不断创新，企业才能不断适应市场变化，生产经营才有足够的动力。这就告诉我们，保持企业发展不仅要实施内部控制，更重要的是促进企业创新。有活力的内部控制制度应是推动企业创新的制度，对企业创新工程给予足够的支持，在支持中对创新过程实施控制，防止在企业创新过程中产生舞弊行为，或者打着创新的旗号行舞弊之实。只有把控制和创新两种手段都运用好，企业才会不断发展壮大。II:内部控制框架的构建建立和完善公司内部控制制度是当前国企改革的重头戏，国内各界人士都在深入思考和偿试着实践这一重大改革措施，但是到目前为止，人们对内部控制的认识还远未取得共识，尽管政府有关部门正在制定相应的规则，我们认为有些重大的问题还有深入讨论的必要，本文拟就此发表一些看法。一、内部控制理论的嬗变及其对我们的启示如何认识内部控制及其与会计控制(含财务控制)的关系，它的游戏规则应由谁来制定，这是我们研究内部控制框架首先应当弄清楚的问题。我们认为，解决这个问题先要分析一下西方发达国家的情况。据我们所知，内部控制的思想产生于18世纪产业革命以后，它是企业大规模化和资本大众化的结果。到20世纪初，随着股份公司规模日益扩大，所有权与经营权进一步分离，实践中逐步出现了一些组织、调节、制约和监督生产经营活动的方法，为了纠错查弊，有些企业建立了简单的内部控制制度。最早涉及内部控制的职业文献是1929年美国注册会计师协会和联邦储备委员会(RB)修订发布的《会计报表的验证》(VerificationofFinancialStatements)，而最早定义内部控制的是1936年发布的《独立公共会计师对会计报表的审查》(ExaminationofFinancialStatementsbyIndependentPublicAccountants)，该文件将内部控制定义为“为了保护公司现金和其他资产的安全、检查账簿记录准确性而在公司内部采用的各种手段和方法。”1949年美国注册会计师协会将内部控制定义为：“所谓内部控制即是企业为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企业的经营效率以及促进企业贯彻既定的经营方针，所设计的总体规划及所采用的与总体规划相适应的一切方法和措施。”50年代以后，世界市场竞争的加剧，促使内部控制扩大到企业内部各个领域，其内容也愈加丰富。1963年美国审计程序委员会在其发布的"审计程序第23号文件中，对内部控制的定义作了进一步的说明，并首次将内部控制划分为内部会计控制和内部管理控制。美国管理会计师协会1994年《内部控制结构》将内部控制定义为：“内部控制是这样一个整体系统，由管理者建立的、旨在以一种有序的和有效的方式进行公司的业务，确保其与管理政策和规章的一致，保护资产，尽量确保记录的完整性和正确性。”COSO委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)1992年提出并于1994年修改的《内部控制——整体框架》中对内部控制作了如下的描述：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对内部控制发展进程的简单回顾，我们不难看出：1．保证资产安全和会计信息真实是内部控制发展的主线内部控制理论在两个世纪中得到不断丰富和发展，经历了由简单到复杂、由不完整到完整的过程，进入80年代以来，企业中逐渐形成了一套以相互制约、相互牵制和相互协调为指导思想的内部控制制度。从内部控制理论的发展进程看，内部控制与会计有着天然的血缘关系。早期的内部控制思想是以账簿之间的核对、账簿记录与财产的一致性以及会计报表数据可靠性为其核心内容。“会计系统建立在内部控制程序基础之上从而保证会计数据的可靠性。另一方面，内部控制程序利用会计数据保证资产的安全、监督各部分的业务。”内部控制制度被运用于审计也是出于保证会计信息真实性之目的。企业规模的扩大和企业结构的复杂迫使注册会计师寻找既保证审计质量又降低审计成本的办法，在这个过程中，注册会计师认识到了抽样审计可以与内部控制制度结合起来，从而使审计方式逐渐演进成以评审内部控制制度为着入点，审计也从传统的审计阶段进入到现代审计阶段。在美国，“对内部控制系统的有效性作出报告尽管并不是强制性的，但是，上市公司的管理部门有时也对此作出报告。这样作的目的在于增强其企业报告(特别是财务报告)的可信度，并且公开解释会计责任的履行情况。”内部控制管理报告到目前虽无统一的格式和内容，但以下内容是必须包括其中的:内部控制机制的构成;内部审计、独立审计以及审计委员会的角色;独特的内部控制程序。2．内部控制目标呈多元化趋势从内部控制的目标和内容的演进进程看，现代企业制度下的内部控制已不是传统的查弊和纠错，而是涉及到企业的各个方面，成为公司控制权结构的具体体现，此点与企业组织形式的演化及治理机构的发展相一致。在独资企业中，不存在现代意义上的内部控制制度，只有为保护业主资产安全面设置的内部牵制措施。在合伙制企业，虽然剩余索取权和控制权也是合一的，有限责任公司和股份有限公司从理论上讲也可以做到剩余索取权和控制权的统一，但这里的“一”指的是由若干名合伙人或股东构成的整体而非个人，因而存在着共有产权问题。公司制企业出现后，剩余索取权与控制权在一定程度上产生了分离，随之产生了代理问题和搭便车现象，内部控制由此而生，但其职能仅表现为保护资产和查弊纠错。十九世纪末至二十世纪三十年代，美国经历了二次兼并浪潮。通过兼并，公司规模不断扩大，股权进一步分散，所有权与经营权高度分离以及管理阶层的形成，公司治理结构提上人们的议事日程。在现代公司制下，以保护资产和查弊纠错为内容的内部控制显然不能满足需要，以更新内部控制结构为主体的内部控制机制应运而生，这种内部控制制度，其职责不仅包括保证财产的安全完整，检查会计资料的准确、可靠，还将促进企业贯彻经营方针以及提高经营效率纳入其中。这是公司治理结构对内部控制提出的要求。关于内部控制结构的目标及内容构成，美国注册会计师DavidM·Willis和SusanS·Ligh此两位博士最近在《内部控制管理报告》中进行了实证研究，从中不难看出内部控制结构的最新发展。他们对GeneralElectric等78家公司进行了调查，结果如下表所示：内部控制的目标及内容构成比例目标验证财务报告的可靠性87%保护资产安全81%促使业务运营与管理政策的一致性54%提升道德品行51%内容构成内部审计78%政策及程序维护63%可靠员工的选拔与培养43%职责分离42%道德规范与行为准则48%上述调查结果显示:作为公司治理中控制权合约安排的内部控制无论在目标上还是在内容构成上都远远超出了传统的内部控制制度；“人本主义”作为构建内部控制机制的信条已越来越多地被企业接受，道德品行并不单纯只是内部控制的环境因素，它也日益成为内部控制结构的有机组成部分。3．会计控制(含财务控制)是企业内部控制的核心最初的内部控制实际上就是会计控制，正如R·H，蒙哥利马在1912年出版的《审计——理论与实践》中指出的那样，所谓内部控制是指一个人不能完全支配账户，另一个人也不能独立的加以控制的制度。自从二十世纪六十年代内部控制被分为内部会计控制和内部管理控制后，内部会计控制指与会计工作和会计信息直接有关的控制。当时意义上的会计控制的目的是保护资产的安全和会计信息的真实，随着内部控制目标的多元化，会计控制涉及到企业资金运作的效率和效益。“会计控制是指通过会计工作和利用会计信息对企业生产经营活动所进行的指挥、调节、约束和促进等活动，以使企业实现效益最大化的目标。”在市场经济环境下，通过资金筹集和运作谋求效益的最大化永远是企业管理的主旋律，正因为如此，尽管内部控制的目标呈多元化趋势，会计控制在内部控制系统中的核心地位始终未动摇。从企业实践看，内部控制制度建设过程中正是围绕会计控制这一核心来抓的：从保证资产安全和信息真实着手做好基础工作，在此基础上采用预算管理、内部审计等控制措施保证管理的科学性和经营目标的实现。上述种种给我们的启示是：内部控制的发展经历了丰富多彩的历程，维护资源的安全、保证信息可靠、提高经营的效率和效益构成内部控制的基本目标，会计控制(含财务控制)始终是内部控制的核心。二、内部控制框架与公司治理的关系现代企业的规模、技术含量、市场竞争带来的机遇与风险、确立发展战略的重要性、内部资源配置的效率等问题是传统业主式企业没有碰到过的。现代企业的运行造就了职业的管理者阶层和管理者市场，出现了所有权与管理权的彻底分离，这一分离体现了这样一个契约控制权的授权过程——作为所有者的股东，除保留诸如通过投票选择董事与审计师、兼并和发行新股等剩余控制权外，将本应由他们拥有的契约控制权绝大部分授予了董事会，而董事会则保留了聘用和解雇首席行政官(CEO)、重大投资、兼并和收购等战略性的“决策控制权”外，将日常生产；销售、雇佣等“决策管理权”授予了公司经理阶层。公司治理机制是股东、董事会、总经理之间的责、权、利安排和相互制衡的机制。但是，职业管理者取代业主控制企业的经营又产生了“代理人”问题。从经济学的理性假设出发，委托人和代理人具有不同的目标函数。代理人具有道德风险，规避和搭便车等行为。公司治理所要解决的问题是通过契约关系的制度安排来确保委托人的权益不被侵害。从这个意义上讲，公司治理结构是一组规范与法人财产相关各方的责、权、利的制度安排，其中包括股东、董事会、管理者和工人，或者说它是法人财产制度的组织结构形态。这一制度安排或组织结构形态的内在逻辑是通过制衡来实现对管理者的约束与激励，以最大限度地满足股东和相关利益者(stockholdersandstakeholders)的权益。1999年，世界经济合作与发展组织(OECD)制定的《公司治理原则》中给“公司治理”作了如下的描述：“公司治理是一种据以对工商业公司进行管理和控制的体系。公司治理明确规定公司各个参与者的责任和权利分布，诸如董事会、经理层、股东和其他利害相关者，并且清楚地说明决策公司事务时所应遵循的规则和程序。同时，它还提供一种结构，使之用以设置公司目标，也提供了达到这些目标和监控运营的手段。”就企业角度而言，公司治理机制辐射两方面内容:一是企业与股东及其他利益相关者之间的责权利分配，在这一层次中，股东要授权给管理当局管理企业、采取措施保证管理当局从股东利益出发管理企业、能够获取足够的信息判断股东期望是否能真正得到实现并在管理当局损害股东权益时有权采取必要的行动；二是企业董事会及高级管理层为履行对股东的承诺、承担自己应有职责所形成的责权利在内部各部门及有关人员之间的责权利分配，有些学者将其称为狭义的公司治理。内部控制作为由管理当局为履行诸管理目标而建立的一系列规则、政策和组织实施程序，与公司治理及公司管理是密不可分的。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。在我国，内部控制外延的拓宽正是由公司治理机制变化所致。在计划经济体制下，经营管理人员缺乏自主权及会计人员的国家工作人员身份决定着内部控制的目的在于保证会计信息的真实性和国有资产的安全性。在现代企业制度的公司治理机制下，公司作为自负盈亏、自我完善、自我发展、自我消亡的经济组织，以管理监控为已任的内部控制的目的必须要拓展到保证公司政策的贯彻和公司管理目标的实现上。内部控制框架在公司制度安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。在公司治理机制框架中，内部控制的辐射面如图l。监事会股东大会董事会总经理各生产经营部门及职能部门图1按照贝利和米恩斯的“控制权与所有权分离”的命题以及“管理者主导企业”假说，由于公司制企业中所有权的广泛分散，企业的控制权转移到管理者手中，而企业的中小所有者已被贬到仅是资金提供者的地位。在这种情况下，良好的内部控制框架是公司法人主体正确处理各利益相关者关系、实现公司治理目标的重要保证。三、采取双管齐下和分两步走的战略建立内都控制框架按照COSO委员会的报告，内部控制框架由控制环境、风险评估、控制活动、信息沟通、监督五部分构成。上述框架是内部控制的理想框架。就我国目前企业管理的现状看，建立和完善内部控制申一步到位地完全达到这一框架的要求是不太可能的。因此，我们应该抓住关键因素，有步骤、分重点地构建内部控制体系。内部控制目标尽管呈多元化趋势，但概括起来主要涉及以下两点：一是合规经营，具体而言，就是保证企业依法组织经营活动，保证会计信息真实可靠、确保财产安全；二是效益性，即保证企业管理政策的贯彻实施和效益目标的实现。从上述对内部控制目标的归纳不难看出，内部控制体系的建设不只是企业自身的事情，它有着广泛的社会性。采取宏观监控措施迫使企业合规经营是政府宏观管理的重要职能，从这个角度看，政府必须将内部控制制度建设作为一项十分重要的工作来抓。事实上，我国《会计法》已对企业内部控制制度的相关内容做出了规定，国务院转发国家经贸委的《国有大中型企业建立现代企业制度和加强管理的基本规范》对法人治理结构、成本核算和成本管理、资金管理和财务会计报告管理等内部控制制度的有关内容都提出了规范性要求。在构建内部控制体系中，我们应该双管齐下，采取政府宏观指导和企业自身逐步完善相结合的战略：在现有法律规范的基础上，政府有关部门应颁布企业内部控制框架构建的基本要求和一般标准，并就货币资金管理、采购与销售等企业基本业务的内部控制做出统一的规定，作为企业制定内部控制措施的依据；各企业以统一的内部控制规范为指导，根据自身的经营规模和特点建立内部控制框架，并制定具体的控制程序和措施。企业在构建内部控制体系中，应采取分步走的策略：对于会计核算混乱、管理基础工作薄弱的企业，应该从定岗定员、明确岗位职责、完善内部牵制制度着手，按照合规经营的要求建立内部控制制度，做到财产管理制度健全、会计信息真实；在此基础上，逐步按效益性要求建立内部控制框架。内部牵制、班组(柜组)核算、责任中心管理、预算管理等基础工作做得较好的企业可以直接按效益性要求构建内部控制框架。四、内部控制框架构建中的关键因素1·健全管理机构，厘清管理权责一般而言，内部控制的建设体现在两个方面：一是健全的机构，这是内部控制机制产生作用的硬件要素；二是各内部机构间、各经办人员间的科学分工与牵制，这是内部控制机制产生作用的软件要素。公司制企业中股东大会(权力机构，、董事会(决策机构)、监事会(监督机构)、总经理层(日常管理机构，这四个法定刚性机构为内部控制机构的建立、职责分工与制约提供了基本的组织框架，但内部控制机制的运作还必须在这一组织框架下设立满足企业监控需要的职能机构。目前必须解决两个问题：(1)设立管理控制机构。例如，目前有些上市公司中依据自身经营特点设立了审计委员会、价格委员会、报酬委员会等就是完善内部控制机制的有益偿试。机构设置因单位的经营特点和经营规模而异，很难找到一个通用模式，比如设立价格委员会的企业大都是规模很大、采用集中采购方式且采购价格变动较大的企业，这些企业设立价格委员会能够有效加强采购环节的价格监督与控制。再比如，对于规模很大、技术含量很高、高知人员云集的企业，通过设立报酬委员会进行管理层持股及股票期权问题的研究，能够提高报酬计划的科学性、加强报酬计划执行中透明度和监控力度。(2)推行职务不兼容制度，杜绝高层管理人员交叉任职。交叉任职主要体现在董事长和总经理为一人，董事会和总经理班子人员重叠。在上市公司中，这一问题虽有了较大的改变，但从公司制企业的总体上看，仍普遍存在。这种交叉任职的后果是董事会与总经理班子之间权责不清、制衡力度锐减。关键人大权独揽，一人具有几乎无所不管的控制权，且常常集控制权、执行权和监督权于一身，并有较大的任意性。交叉任职违背了内部控制的基本假设，必然带来权责含糊，易开造成办事程序由一个人操纵的现象出现。事实上，资金调拨、资产处置、对外投资等方面出现的问题重要原因之一在于交叉任职，董事会缺乏独立性。因此，建立

内部控制框架首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠。2．确立董事会在内部控制框架构建中的核心地位不同的公司治理模式下，董事会在公司治理和公司管理中的地位是不同的。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看，董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责。原因在于：(1)对于董事会而言，建立内部控制框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司的目标；(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向，保证法律、公司政策及董事会决议切实贯彻实施的手段；(3)内部控制以及涉及内部控制的信息流动构成解决信息不对称、保证会计信息真实可靠的重要手段，而确保信息质量是董事会不可推卸的责任。在我国，公司制企业虽然都按《公司法》的要求设立了董事会，但对相当一部分企业来说，董事会并未发挥应有作用，有的甚至形同虚设。针对这一情况，建议政府通过制定更为具体的法规强化董事会在公司治理中的功能，同时建议政府有关部门在颁布有关内部控制制度的指导性规范申强调董事会在内部控制框架构建中的核心地位。3．内部审计机构设置与科学定位从公司治理的角度看，“内部审计机构的职责除了包括审核企业会计账目外，还包括稽查、评价内部控制制度是否完善和企业内部各组织机构执行指定职能的效率，并向企业最高管理部门提出建议相报告。”在内部控制框架构建申，内部审计的作用在于监督企业经营业务符合内部控制框架的要求，评价内部控制的有效性，提供完善内部控制和纠正错弊的建议。《公司法》和《审计法》均未对内部审计做出法律规定，《会计法》虽提出了内部审计方面的法律要求，但未对内部审计机构设置作出具体规定。因此，目前企业中关于内部审计机构的设置情况不一，有些上市公司同时设立审计委员会和审计部，大部分企业只设立审计部。只设立审计部的企业审计部的定位有以下几种情况：第一，由监事会领导；第二，由董事会领导；第三，接受总会计师或主管财务副总经理领导。这样，有关内部审计的问题目前需解决以下两点:内部审计机构的设置与内部审计机构的定位。关于前者，只是设置审计部还是同时设立审计委员会和审计部，在董事长和总经理同为一人的情况下不存在此间题。但随着规范的企业制度的实施，在董事长和总经理必须分设的情况下，这一问题就提到了议事日程。如果只设置审计部并将其置于总经理的领导之下，董事会对总经理的领导就缺乏监控措施，产生的问题是加剧内部人控制，同时也无法保证《会计法》单位负责人对本单位的会计工作和会计资料的真实性、完整性负责"这一条款落到实处。我们认为，对于规模大、经济业务复杂的企业，应同时设置审计委员会和审计部，其机构设置及定位如图2：监事会审计委员会审计部股东大会董事会总经理各职能部门在上述组织结构中，监事会、审计委员会、审计部分别对股东大会、董事会和总经理负责，同时三者存在着业务指导关系。对于规模不大、业务活动不太复杂的公司，也可只设审计部，但审计部应对董事会负责并在业务上受监事会指导。之所以选择这种制度安排，原因在于在公司治理的制约机制中，董事会是决策机构，这一机构肩负着保证公司管理行为的合法性和可信性职责。从我国公司治理实践看，审计部对董事会负责(而不是对总经理负责）这一安排，能有效减轻董事会职权弱化、内部人控制现象严重的局面。另外，在业务上接受监事会指导能够在一定程度上产生对董事会的制衡。4．强化预算管理目前，内部控制结构已不仅仅满足于传统意义上的查弊纠错和保护资产安全，其目标已延伸到提高效率和效益、保证管理政策和目标的实现。为此，预算控制已成为内部控制的重要方式。按照道格拉斯。R·卡迈克尔的观点，预算是保证内部控制结构运行质量的监督手段。预算管理是将企业的目标及其资源的配置方式以预算方式加以量化，并使之得以实现的企业内部控制活动或过程的总称。预算管理由预算编制、预算执行与控制、预算考评等环节构成。在一个信息无成本、信息可观察、计算能力无限的理想企业环境中，企业最高决策者可以适时制定出最优方案并通过内部控制保证其不折不扣地得到贯彻，在这种情况下预算的作用可能有限。但在现实条件下，预算之所以成为内部控制的重要方式，原因就在于在复杂的层级结构组成的企业中，由于信息不对称而引起企业目标在各层级间的分解以及决策权在各层级间的分享。按现行公司治理机构的规定，预算方案的制定权在董事会，组织实施权在总经理。但在实践中，大多数企业的预算是由总经理组织编制，报董事会批准后实施的，由于信息不对称，董事会不可能对预算提出实质性意见，预算管理中董事会职权弱化的现象十分突出，从而兹生了预算管理中的内部人控制现象。针对上述问题，应该在董事会下设预算委员会，具体负责预算的制订、实施过程中的监控等工作，『有这样，才能使预算制订权真正掌握在董事会手中。5．建立具有操作性的道德规范与行为准则内部控制制度的执行者是包括高层管理人员在内的全体员工，激励和约束的对象也是企业的员工，员工的道德水准和价值观念长期被认为是内部控制环境的重要因素，要求内部控制结构的建立要考虑员工道德水准和价值观念的承接性。实践表明，基于环境现状而构建内部控制机制是一种被动性的做法，故此，英美等国越来越多的公司将道德规范和行为准则的建设直接纳入内部控制结构的内容。美国注册会计师DavidM·Willis和SusanS·Lightle两位博士对78家公司的调查发现，有7个公司涉及为保证符合道德标准而建立了检查程序。例如，为了保证每个人都能持续地理解统驭企业实践的内部控制机制和政策，Merck公司制订了一个持续的针对关键管理人员和财会人员的“管理受托方案”(ManagementStewardshipProgram)，督促他们履行企业道德惯例，从而在企业运营申按照较高的道德标准来增强员工的责任感。道德规范和行为准则建设是世界各国公司管理中面临的共同课题，就我国目前公司的现状而言，道德规范与行为准则的建设并不是空白的，有的公司甚至有良好的基础和较丰富的经验，现在需要解决的问题是如何在道德规范与行为准则建设中避免空洞的说教，应根据内部控制结构的要求，针对各岗位的特点建立起具有操作性的行为规范与准则体系。内部控制是一个古老而又年轻的话题，我们很早就主张控制是会计的一项基本职能，但是由于认识上的误区和客观环境的影响，中国的财会理论工作者对此研究甚少，实践更加缺乏，现在市场经济的发展要求我们加大这一间题的研究力度，有感于此，我们略述一些意见以求教于各位同行。III企业内部控制设计（一）一、内部控制的历程内部控制，在内部牵制的基础上，由企业管理人员在经营管理实践中创造;并审计人员理论总结而逐步完善的自我监督和自行调整体系。在其漫长的产生和发展过程中，大体经历了萌芽期、发展期和成熟期三个历史阶段。(一)萌芽期一一内部牵制内部控制，作为一个专用名词和完整概念，直到本世纪30年代才被人们提出、认识和接受。但在此前的人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制(Internalcheck)。例如，在古罗马时代，对会计账簿实施的"双人记账制"--某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的，即是典型的内部牵制措施。纵观该时期的内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。其概念基本如《柯氏会计辞典》(Kohler'sDictionaryforAccountant)的定义，即"为提供有效的组织和经营，并防止错误和其它非法业务发生而制定的业务流程。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工，每项业务通过正常发挥其它个人或部门的功能进行交叉检查或交叉控制"。(二)发展期一一内部会计控制与内部管理控制1934年美国《证券交易法》，首先提出了"内部会计控制"(Internalaccountingcontrolsystem)的概念。其中指出：证券发行人应设计并维护一套能为下列目的提供合理保证的内部会计控制系统：a.交易依据管理部门的一般和特殊授权执行；b.交易的记录必须满足GAAP或其他适当标准编制财务报表和落实资产责任的需要；c.接触资产必须经过管理部门的一般和特殊授权；d.按适当时间间隔，将财产的账面记录与实物资产进行对比，并对差异采取适当的补救措施。!936年美国会计师协会发布的《注册会计师对财务报表的审查》文告，以及1947年《审计准则暂行公告》(TSAS)，出于改进审计方式的需要，提出了以内部控制(InternalControl)为基础的审计程序。但这期间，无论在审计文献中还是在其他管理著作中，均没有关于内部控制概念的权威性定义。1.第一个具有权威性的定义为了赋予内部控制一个准确完整的定义，审计程序委员会下属的内部控制专门委员会经过两年研究，于1949年发表了题为《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告，对内部控制首次做出了如下权威定义："内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施"。此定义强调，内部控制不只限于与会计和财务部门直接有关的控制方面，它还包括预算控制、成本控制、定期报告经营情况、进行统计分析并将统计报告送交有关部门、制定培训计划以培训有关人员使其能够履行职责，以及设立内部审计部门以保证管理部门所制定的各种程序的准确性，并保证其得到贯彻执行等内容。此外内部控制还包括其他领域的一些活动，例如，具有工程性质的时动分析以及在检查系统中运用的质量控制，基本上属于生产部门的活动。2.定义的第一次修正上述范围广泛的内部控制定义及其解释的发布，当时被普遍认为是对内部控制这一重要概念的重大贡献。但该报告所定义的内部控制概念，其内容如此宽泛，以致包括了审计人员对审查内部控制所不原、也不可能承担的职责。从与委托人讨论什么是良好的会计和经营方法的角度考虑，他们感到1949年的定义非常合适，但从承担为制定审计方案而对内部控制进行检查的责任角度考虑，他们感到这一定义范围过宽。该委员会的解决方式，是将内部控制划分为"会计控制"和"管理控制"两大类--即将与前两个目标即保护资产和保证会计资料可靠性和准确性有关的控制划分为内部会计控制，而将与后两个目标即提高经营效率、保证管理部门所制定的各项政策得到贯彻执行有关的控制归入内部管理控制。于是1953年10月，审计程序委员会(CAP)又发布了《审计程序公告第19号》（SAPNo.19)，对内部控制作了如下划分："广义地说，内部控制按其热点可以划分为会计控制和管理控制;1)会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成;会计控制包括授权与批准制度;记账、编制财务报表、保管财务资产等职务的分离;财产的实物控制以及内部审计等控制。2)管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。管理控制的方法和程序通常只与财务记录发生间接的关系，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等"。可见，所以把内部控制分为会计控制和管理控制，是为了按照公认审计标准来规范内部控制检查和评价的范围。对此，1963年，审计程序委员会在《审计程序公告第33号》的结论是:独立审计师应主要检查会计控制。会计控制一般对财务记录产生直接的、重要的影响，审计人员必须对它做出评价。管理控制通常只对财务记录产生间接的影响，因此，审计人员可以不对其作评价。但是，如果审计人员认为，某些管理控制对财务记录的可靠性产生重要的影响，那么他要视情况对它们进行评价。例如，在某种特定的情况下，生产部门、销售部门和其他业务部门的统计分析需要给予评价。3.定义的第二次修正第一次修正后的定义，大大缩小了注册会计师的责任范围，但人们认为对"会计控制"的保护资产和保证财务记录可靠性这两点仍然可能发生误解。即对"保护"一词作广义的解释可能会使人们产生这样一种印象:"决策过程中的任何程序和记录都可以包括在会计控制的保护资产概念中"。为了避免这种宽泛的解释，1972年美国注册会计师协会(AICPA)对会计控制又提出并通过了一个较为严格的定义："会计控制是组织计划和所有与下面直接有关的方法和程序：1）保护资产，即在业务处理和资产处置过程中，保护资产遭过失错误、故意致错或舞弊造成的损失。2)保证对外界报吉的财务资料的可靠性。"4.定义的第三次修正1972年，美国准则委员会(ASB)《审计准则公告》的制定者，循着《证券交易法》的路线进行研究和讨论，在第1号公告(SASNo.1)中，对管理控制和会计控制提出并通过了今天广为人知的定义：（1）内部会计控制。会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制旨在保证：经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表，以及落实资产责任;只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施。(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。上述内部控制定义的演变反映出两个重点:第一，当前注册计师在开展其审计工作时所运用的会计控制概念，是一种纯技术的、专业化的、适用范围具有严格规定性的、防护色彩很浓的概念，它的主要宗旨是预防和发现错弊;第二，自审计程序委员会于1949年提出第一个内部控制定义起，人们为完善该定义作了不懈的努力，以至于今天的内部控制定义与1949年的定义有天壤之别。这种以会计控制为主的定义，虽为独立审计界认可，却屡屡遭到管理人员代言人的攻击。他们指出，这些定义把精力过多地放在纠错防弊上，过于消极和狭窄。凯罗鲁斯先生对于代表独立审计界观点的《特别咨询委员会关于内部会计控制的报告》，只表示有保留地同意。他认为，该报告对内部会计控制范围的讨论受现存审计文献的影响太大。凯罗鲁斯主张，内部控制范围和目标应予以扩展，以便它们更能够适应管理部门的需要。他极为主张，审计准则委员会所纳入"内部会计控制环境"的某些因素应该是设计合理、运行有效的内部会计控制系统不可分割的一个组成部分。这些因素包括：(1)组织计划，(2)责任的确定和授权，(3)预算程序和预算控制，(4)员工雇用计划和财务人员培训计划;(5)保证所有参与经济业务授权、记录、保护资产、报告财务信息的职员保持较高的行为道德水准的方法和措施。从管理人员(和其它有关第三方)的角度来看，会计控制和管理控制之间的区别并不大，甚至根本没有区别。特别是那些置身于企业经营活动的人们，他们很难接受这种区分。1980年3月在"内部审计师协会"代表大会的发言中，凯罗鲁斯先生把美国注册会计师协会在1958年将1949年的内部控制定义区分为会计控制和管理控制的行为描绘为"将美玉击成了碎片"。他声称，在这块美玉完全修复以前--我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。(三)成熟期--内部控制结构和内部控制整体架构美国注册会计师协会的文献界定了会计控制概念，而公司的经理们创立并在实践中运用着管理控制概念，这两个概念形成鲜明的对照。如果对这两种善于内部控制的不同解释的同时并行这一事实视而不见，那么任何设计内部控制系统的企图都是短视的，同时也是徒劳的。于是，人们提出了内部控制结构和整体架构的概念。1.内部控制结构(InternalControlStructure)1988年4月美国注册会计师协会发布的《审计准则公告第55号(SASN0.55)，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(InternalControlStructure)一词取代原有的"内部控制"一词，而且文告提出的内部控制内容比以前更为实在，条理更加清楚。该文告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。以"财务报表审计对内部控制结构的考虑"为题的《审计准则公告第55号》指出:"企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序"，并且明确了内部控制结构的内容，具体如下:(1)控制环境所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。具体包括:管理者的思想和经营作风;企业组织结构;董事会及其所属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法;管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等。(2)会计系统会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类，作为编制财务报表的依据;将各项经济业务按适当的货币价值计价，以使列入财务报表;确定经济业务发生的日期，以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示。(3)控制程序控制程序指管埋当同所制订的用以保证达到一定目的的方针和程序。它包括下列内容:经济业务和经济活动的批准权;明确各个人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊;职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用，应保证业务和活动得到正确的记载：对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核。上述内部控制结构的内部与1972年颁布的内部控制定义相比有两个明显的改动:一是正式将内部控制坏境纳入内部控制范畴，二是不再区分会计控制和管埋控制。这些改变可以说是反映了70年代后期以来内部控制实务操作和理论研究的一个新动向。2.内部控制整体架构(InternalControl一IntegratedFramework)1992午，美国"反对虚假财务报告委员会"(NationalCommissiononFraudulentReporting)，所属的内部控制专门研究委员会发起机构委员会(CommitteeofSponsoringOrganizationsoftheTread-wayCommission，简称COSO委员会)，在进行专门研究后提出专题报告：《内部控制一一整体架构(InternalControl一IntegratedFramework)》，也称COSO报告。经过两年的修改，1994年COSO委员会提出对外报告的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署(GeneralAccountingOffice，GAO)的认可。与此同时。AICPA则全面接受COSO报告的内容，于1995年据以发布了《审计准则公告第78号》(SASN0.78)，并自1997年1月起取代了《审汁准则公告第55号》。COSO报告指出:内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。归结上述文献，我们认为:内部控制是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。其贯穿于经营活动的全部过程，包括控制环境、风险评估、控制活动、信息与沟通，监督等要素，并受企业董事会、管理阶层及其他人员影晌。需要指出的是，内部控制并不仅限于企业单位，同样也存在于其他各类经济组织和行政事业单位中。只是作为一种经济组织，企业这种典型形式比较具有代表性，因而，本文主要以企业对象研究内部控制，但其原埋及评价的方法同样也适用于其他各类经济组织和行政事业单位之中。二、内部控制的要素内部控制的内容，归恨结底是由基本要素组成的。这些要素及其构成方式，决定着内部控制的内容与形式。设计内部控制，可以根据企业特征和需求（例如企业规模、业务构成、管理水平等），对内部控制要素加以有机组合。我们认为，COSO报告提出的内容控制五项要素，具有较强的理论可取性和实践可行性，本文将以此为基础，简要阐述内部控制的要素及其结构。(一)控制环境控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包括:(1)诚信的原则和道德价值观。无论是企业最高管理层还是其它成员都应当做到:严格一致地保持诚信行为和道德标准;不要盲目追求不切实际的目标，以致形成不必要的压力;对敏感职位之间的财务分工要准确明细，以避免造成偷窃资产或隐藏不佳绩效的引诱；加强企业的内部审核制度;发挥董事会的职能，使其客观监督企业的高层管理阶层;提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断;制作文字化的行为准则和政策声明，将其传达给全体雇员;将诱发人们不诚实、非法和不道德行为的动机降至最低。(2)评定员工的能力。管理部门须制定正式或非正式的职务说明书，逐项分析并规定各工作岗位所须具备的知识和技能。(3)董事会和审计委员会。组成这两个机构须考虑的因索主要包括：成员的经验;相对于管理层的独立性;外部董事的比例;其成员参与管理的程度;所采取措施的适宜性;对管理层提出问题的深度和广度;他们与内部、外部审计人员的关系实质。(4)管理哲学和经营风格。主要考虑:对待和承担经营风险的方式;依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通;对财务报告的态度和所采取的措施;对信息处理以及会计功能、人员所持的态度;对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。(5)组织结构。企业的组织结构是指为公司活动提供计划、执行，控制和监督职能的整体框架。具体应考虑：组织结构的合适性，及其提供管理企业所需信息的沟通能力;各主管人员所负责任的适当性;按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验;当环境改变时，企业配合改变其组织结构的程度;员工，尤其是负责管理及监督职能的员工人数的充足程度。(6)责任的分配与授权。强调对于组织内的全部活动要合理有效地分配职责和权限，并为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配，要使所有员工知道:他们的工作行为，以及职责担负形式和认可方式，与达成组织目标的联系。(7)人力资源政策及实务。内部控制是由人来进行并受人的因素影响，保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践，是内部控制有效的关键因素之一。具体包括：有完善的招聘与选拔方针及操作性程序;对新员工进行企业文化和道德价值观的导向培训;对违反行为准则的任何事项，制订纪律约束与处罚措施;对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为;根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚。(二)风险评估每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。(1)目标。企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具休目标。整体目标主要是:营运目标，包括绩效和获利目标及保障资产的安全，使其免受损失;财务报告目标，防止对外报送不真实的财务报告;遵循目标，企业遵循国家的相关法律法规。(2)风险。辨识和分析风险的过程是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险，并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害;经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接近资产的程度;董事会或监事会不够坚定或无效等。(3)环境变化后的管理。经济、产业及管理的环境都是会改变的，企业的活动应随之改变。因此，风险评估中最基本的部分，就是如何辨认已发生的改变，并采取必要的行动。这些改受因素包括:行业环境的改变;新员工;业务迅速成长;新科技;新业务、产品、作业;公司重组;国外业务等。(三)控制活动企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现，这主要包括:(1)高层经理人员对企业绩效进行分析。管理阶层记录经营活动(如:市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如:新产品开发、合资经营、融资行为)的执订情况。(2)直接部门管理。负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。(3)对信息处理的控制。对信息系统的控制活动可分为两类，第一类是一般控制（generalcontrol），它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制(applicationcontrol)，它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。(应用控制包括:输入控制;输出控制)。(4)实体控制。保护设备、存货、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。(5)绩效指标的比较。把不同的几套数据资料(如:经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标包括:购货价差、订单中"紧急订货"比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。(6)分工。分工即指将责任划分，再将不相容职务分派给不同的员工，以降低错误或不当行为的风险。(四)信息与沟通企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。(1)信息系统。信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时，某种特定市场或行业的经济资料，用于企业生产的商品的资料，显示顾客偏好的市场情报，竞争对手产品开发活动的信息，立法机关与行政机关所发布的信息。企业建立良好的信息系统，必须做到；建立良好的信息系统支持策略，信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。(2)沟通。企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。企业沟通包括内部沟通和外部沟通。内部沟通需要做到:所有的员工，特别是那些负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息;必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他(她)在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生;员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法。外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息;与相关的外部团体沟通，以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如:银行或保险机关)所报道的复核或检查的结果，可以有效的弥补控制的缺失。(五)监督内部控制系统需被监督。监督是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。监督活动由持续监督、个别评估所组成，其可确保企业内部控制能持续有效的运作。(1)持续的监督活动。持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。持续监督活动包括:负责营运的管埋阶层(operatingmanagerment)在履行其日常的管理活动时，取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料有大偏离时，可对报告提出质疑;来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在;适当的组织机构及监督活动，可用来辨识缺失;各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊;把信息系统所记录的资料同实际资产核对;内、外部稽核人员定期提出强化内部控制系统的建议；培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层;定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，对于负责业务和财务的员工，则要求他们陈述某些特定控制是否都予执行，管理阶层或内部稽核人员还必须验证这些陈述是否确实。(2)个别评估。尽管持续监督程序可以有效的评价内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重要性而定。(3)报告缺陷。内部控制的缺失应由下往上报告，某些缺失应报告给高层管理阶层及董事会知道。三、内部控制的组合上述内部控制要素，按照不同的标志可以组合成不同的集合，也即按照不同分类标准可以划分为不同的类别形态，籍此可以揭示不同形式内部控制的特征和功能。内部控制的组合方式或者分类形式，除了按照控制目标为标志，划分为会计控制和管理控制外(见上文)，还可按照其他标志组合为下列类别。(一)按照控制内容为标志，可划分为一般控制和应用控制1.一般控制一般控制，是指对企业经营活动赖以进行的内部环境所实施的总体控制，因而亦称基础控制或环境控制。它包括组织控制、人员控制、业务记录以及内部审计等项内容。这类控制的特征，是并不直接地作用于企业的生产经营活动，而是通过应用控制对全部业务活动产生影响。2.应用控制应用控制，是指直接作用于企业生产经营业务活动的具体控制，因此亦称业务控制，如业务处理程序中的批准与授权、审核与复核、以及为保证资产安全而采用的限制接近等项控制。这类控制的特征，在于它们构成了生产经营业务处理程序的一部分，并都具有防止和纠正一种或几种错弊的作用。(二)按照控制地位为标志，可划分为主导性控制和补偿性控1.主导性控制主导性控制，是指为实现某项控制目标而首先实施的控制。如凭证连续编号可以保证所有业务活动都得到记录和反映，因此，凭证连续号对于保证业务记录的完整性就是主导性控制。在正常情况下，主导性控制能够防止错弊的发生，但如果主导性控制存在缺陷，不能正常运行时，就必须有其它的控制措施进行补充。2.补偿性控制补偿性控制，就是指能够全部或部分弥补主导性控制缺陷的控制。就上例而言，如果凭证没有连续编号，有些业务活动就可能得不到记录。这时，实施凭证、账证、账账之间的严格核对，就可以基本上保证业务记录的完整性，避免遗漏重大的业务事项。因此，"核对"相对于凭证"连续编号"来说，就是保证业务记录完整性的一项补偿性控制。(三)按照控制功能为标志，可划分为预防式控制和侦察式控制l.预防式控制预防式控制，是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。它主要解决"如何能够在一开始就防止错弊的发生"这个问题。例如对业务人员事先作出明确的指示和实施严格的现场监督，就能避免误解指令和发生错弊。2.侦察式控制侦察式控制，是指为及时查明已发生的错误和非法行为或增强发现错弊机会的能力所进行的各项控制。它主要是解决"如果错弊仍然发生，如何查明"的问题。例如，通过账账核对、实物盘点，以发现记账错误和货物短缺等。(四)按照控制时序为标志，可划分为原因控制、过程控制和结果控制1.原因控制原因控制，也称事先控制，是指企业单位为防止人力、物力、财力等资源在质和量上发生偏差，而在行为发生之前所实施的内部控制。例如领取现金支票前的核准、报销费用前的审批等。2.过程控制过程控制，也称事中控制，是指企业单位在生产经营活动过程中针对正在发生的行为所进行的控制。例如，对生产过程中使用材料的核算，对在制造产品的监督和对加工工艺的记录等。3.结果控制结果控制，也称事后控制，是指企业单位针对生产经营活动的最终结果而采取的各项控制措施，例如对产出产品的质量进行检验，对产品数量加以验收和记录等。此外，内部控制还可按照管理目标、业务循环和职能部门等标志，划分为相应类别的组合形式。需要说明的是，各种类型的内部控制，在实际工作中多是交叉存在的。同一种内部控制措施，在不同划分标志下，也可转化为不同的类型形态。四、内部控制的局限内部控制作为企业自我调节和自行制约的内在机制，处于单位中枢神经系统的重要位置，可以说没有健全完善的内部控制，就很难组织起现代化的社会大生产活动，也就谈不上现代化的企业生产和经营管理。健全有效的内部控制，不仅能保证企业会计信息的真实正确、财务收支的有效合法和财产物资的安全完整，还能保证企业经营活动的效率性、效果性以及企业经营决策和国家法律法规的贯彻执行。但任何事物都不是尽善尽美的，内部控制也同样存在其固有的、不可避免的局限性。一般而言，内部控制的局限性主要表现为：1.如果企业内部行使控制职能的管理人员滥用职权、蓄意营私舞弊，即使具有设计良好的内部控制，也不会发挥其应有的效能。内部控制作为企业管理的一个组成部分，它理所当然地要按照其管理人员的意图运行，尤其是企业负责人的决策更是起决定作用。决策出了问题，贯彻决策人意图的内部控制也就失去了应有的控制效能。2.如果企业内部不相容职务的人员相互串通作弊，与此相关的内部控制就会失去作用。内部控制的一条重要原则就是将不相容职务进行分离。在实际工作中，如果处于不相容职务上的有关人员相互串通、相互勾结，失去了不同职务相互制约的基本前提，内部控制也就很难发挥作用。3.如果企业内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。内部控制是由人建立的，也要由人来行使的，如果企业内部行使控制职能的人员在心理上、技能上和行为芳式上未能达到实施内部控制的基本要求，对内部控制的程序或措施经常误解、误判，那么再好的内部控制也很难充分发挥作用。4.企业实施内部控制的成本效益问题也会影响其效能。控制环节越多、控制措施越复杂，相应的控制成本也就越高，同时也会影响企业生产经营活动的效率。因此，在设计和实施内部控制时，企业必然要考虑控制成本与控制效果之比。当实施某项业务的控制成本大于控制效果而产生损失时，就没有必要设置控制环节或控制措施，这样某些小错弊的发生就可能得不到控制。5.内部控制一般都是针对经常而重复发生的业务而设置的，而且一旦设置就具有相对稳定性，因此如果出现不经常发生或未预计到的经济业务，原有控制就可能不适用，临时控制(如实行专门的审批、报告和执行程序来处理临时性或突发性业务)则可能不及时，从而影响内部控制的作用。VI:企业内部控制设计（二）第二讲国外内部控制范例在管理和审计实践中，公司企业、政府机构和会计师事务所根据各自理解，制定了各种形式的内部控制系统。下面我们选择西方市场经济发达国家的若干代表性实例，藉以进一步分析和借鉴其内容和形式。一、洛杉矶会计局内部控制验证方案本内部控制验证方案，由洛杉矶县（CountyofLosAngeles）会计局制订，作为政府各部门评价和改善本单位内部控制的参考。整套方案按照业务领域，划分为以下9套具体的验证方案:(1)现金;（2）信用基金；（3）收入；（4）支出；（5）工资；（6）差旅费；（7）物资供应;(8)固定资产;(9)计算机系统。该会计局要求，各部门应该首先按照其中的内部控制调查表，验证本单位的内部控制系统，然后针对发现的薄弱环节，提出改进方案及实施日期，并汇总编制《内部控制弱点及改进方案》，最后连同部门领导签署的《财务控制验证表》，一并呈交洛杉矶县会计局。二、美国Washoe县内部控制手册美国Washoe县内部控制程序手册，作为参考工具提供给本地的各政府部门，以供其建立和执行有效的内部控制。本内部控制程序手册，包括6个主要循环:(1)收入;(2)采购和现金支出;(3)资产和设备;(4)预算;(5)工资支付;(6)存货。下面列示其收入循环"收集并交存收入业务"的控制手册。收集并交存收入业务控制手册■财务人员收到支票后必须马上进行背书。控制原因：该控制通过减少支票的流动性，以减少偷窃发生的可能性。■及时汇集各部门的现金收入。控制原因：该控制可以减少员工偷窃现金的机会，并集中现金管理的责任。■定期将所有的现金收入存入银行。控制原因：如果不及时把现金存入银行，就会增大偷窃的可能性，而且，也得不到存款利息。最好是在下一个工作日之前及时存入所收现金，除非收入的现金极少，可不存入银行。■保证所有的现金和支票，在存入银行之前妥善保管。如果收入必须过夜，必须保存在安全设施中。控制原因：该控制能够限制未被授权的人，接近尚未存入银行的收入。■当前的价目表应该按照要求通知顾客，或在每个部门公开张贴。控制原因：这可防止雇员向顾客索取超额费用。■鼓励顾客索取所有业务票据。控制原因：这可以防止收款人员少记销售数量，从中谋取利益。■收取现金或预备存款的雇员，必须同记录或核准本业务的人员责任分离。控制原因：此可防止一个人收取现金，并改变记录，以隐藏贪污行为。■负责整理硬币的职员，应该在每份包装物上签注数额。控制原因：此可便于清查硬币溢缺错误。■去银行交存现金的人员在途中应受到适当保护。如果存款数量巨大，应考虑是否雇用银行押款前来提取存款。控制原因：此可保证存款人和存款的安全性。■如果使用银行押款车和保险箱，应由银行押款人员和本公司雇员同时打开保险箱。控制原因：用公司内、外职员同时监视保险箱，可以防止违规接触保险箱中的物品。■收取每笔存款的票据证明(如银行存款单、转账凭单等)，并送交负责银行对账的人员，或者同出纳员进行核对。控制原因：如果以后银行记录与公司记录不符，该控制可以提出足够的证据与银行对证。■禁止雇员或顾客在收款台兑现个人支票。控制原因：此可防止雇员通过个人支票提取现金，并掩盖差异舞弊，也可以减少收取无效支票的风险。■禁止接收远期支票控制原因：如果将远期支票提前交存银行会产生托收问题，而公司每天要把现金收入存入银行，不得持有和保存原期支票。■不能收取票面数额大于应收数额的支票。控制原因：如果支票没有信用保证，票面金额大于应收金额，会产生托收困难。■所有的折扣、降价、退款及费用调整等行为必须经过被授权人的批准。控制原因：该控制可以防止未被授权的退款，和虚?己退付款，以偷窃公司的钱财。■保存所有的银行存款单和相应附件的备份，并提交给公司的资金主管。控制原因：此可有效的监督银行文件的可靠性和合法性。■对各项财务工作岗位，都应该明确责任和权限。控制原因：明确界定各个财务工作岗位的职责是非常重要的，这可以保证每个人员不会玩忽职守，而对自己的工作认真负责。■定期轮流互换财务部门每个员工的工作。控制原因：该控制可以减少财务部员工出错的可能性，而且也起到他们互相监督的作用。三、巴塞尔银行监管委员会内部控制系统评价框架巴塞尔银行监管委员会(BCBS)4根据COSO报舌，按照控制要素拟订了本框架体系，以供银行业务监管者及其他对此感兴趣的团体设计和评价内部控制系统时的使用。本框架在吸取成员国经验教训并采纳委员会己确立准则的基础上，描述了健全的内部