第二节 内部控制的形成与发展
所谓控制,是指行为主体为了保证在不断变化的条件下既定目标仍然能顺利实现,按照事先拟订的计划和标准,通过一系列手段和方法,对影响目标完成的可控因素进行管理,以保证目标实现的管理活动。大至国家的社会、经济活动,小至一家小企业的业务活动和收支情况,都需要进行合理的控制。企业的内部控制实质上也是一种控制,是企业有效执行其战略决策的必备工具。本节将从内部控制的发展阶段、方法等角度,简要介绍企业内部控制的基本内涵。
一、内部控制的基本概念
(一)内部控制的含义
内部控制是指为了确保实现企业目标而实施的程序和政策。不同的组织和机构基于不同的角度与层次,对内部控制的定义有着不同的理解和认识。针对内部控制的不同理解,内部控制大致有以下几种典型的定义。
1. 美国注册会计师协会(AICPA)对内部控制的定义
美国注册会计师协会所属的审计程序委员会,于1949年首次提出“内部控制”这一概念,并将其定义为:“内部控制包括经济组织的计划以及经济组织为了保护其财产、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施而采取的所有方法和措施。”
2. 美国COSO对内部控制的定义
目前,国际上认同度最高、最具有权威性的内部控制概念框架当属1992年9月美国COSO提出的《内部控制整合框架》,现已更新至2013年版本。该报告认为,“内部控制是为了达成某些特定目标而设计的过程;内部控制是一种由企业董事会、管理阶层与其他人员执行,由管理阶层所设计的为达成经营管理的效果及效率,为财务报告的可靠性和相关法律的遵循提供合理保证的过程”。
3. 加拿大COCO委员会对内部控制的定义
COCO委员会是加拿大特许会计师协会(CICA)下属的控制规范委员会,专门对控制系统的设计、评估和报告进行研究,并发布相关指南。COCO的报告中认为,“内部控制是为了支援组织成员达成经营管理的效率和效果,保证内部与外部报告的可信度,遵循相关法规以及内部政策、办法等目标,而由组织资源、系统、过程、文化、结构与作业等元素组成的框架”。
4. 我国对内部控制的定义
2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称《规范》)。《规范》指出,“内部控制是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程”。由此可见,我国对内部控制的定义主要借鉴了COSO报告的相关内容。
总之,在企业管理实践中,人们逐渐认识到内部控制是一种管理体系,是整个经营管理过程中的一个重要组成部分和手段,是实现组织管理高效化、专业化、规范化和信息化的最基本条件。
内部控制的概念可以进一步分为控制主体、控制客体、控制范围和控制手段。内部控制的主体是内部控制制度设计、执行和考核评价的主体。区分内部控制与外部控制的标准就是控制主体,只要控制主体属于组织内部,这种控制就是内部控制。内部控制的客体是企业组织内部的经济、业务管理活动,即企业内的一切生产经营活动、财政收支活动、行政业务活动等。
内部控制的范围可以是部分的,也可以是全局的。部分控制是指内部控制只包括和处理与经济业务有关的内部会计控制,内部控制只与资产管理、资金管理有关,而与企业性质、业务等无关;全部控制是指内部控制应当包括企业全部管理控制,超越会计、财务的范畴,渗透经营的各个方面和管理的整个过程。
内部控制的手段,主要有牵制论和组织方法论两种观点。牵制论认为,内部控制只包括相互联系、相互牵制的管理制度或职责分工制度。组织方法论认为内部控制不仅包括牵制论的范畴,还包括组织、方法、手续等其他手段。
(二)内部控制的本质
企业内部控制的本质与企业组织管理有着密切的联系,企业内部控制就是为了维护企业内部相关各方的利益关系,它要求各方按照预先设定的规则行事。因此,内部控制的本质包括3层含义。
(1)制衡。企业组织在设立时会形成一种契约关系,此时所形成的企业内部控制的本质是制衡。企业设立时,企业所有者、企业经营者、企业员工和政府这4种不同主体提供了4种不同要素,每种要素都是不可或缺的,共同维持着企业的存在和正常运转。
(2)监督。企业组织在运行时会形成科层的等级制度,此时所形成的企业内部控制的本质是监督。监督是单向的,是高层对低层的控制。从决策人和执行人的关系来看,这也是委托代理关系的一种表现。内部控制产生的本源就是委托代理关系。
(3)激励。如上文所述,内部控制产生的本源就是委托代理关系。内部控制要解决的核心问题是信息的不对称。要解决这个问题,除了采取监督的方式,还可以采取激励的机制。例如,对经营者实行股票期权或年薪制度,使执行人能够主动有效地执行决策。
(三)内部控制的内容
内部控制制度按其内容的不同一般可以分为两大类:一类是内部管理控制制度,这是与管理方针的程序和方法、企业的经营效率有关的控制制度;另一类是内部会计控制制度,这是与财产保护和财务记录真实可靠有关的组织、计划、程序及方法相关的控制制度。管理控制制度是建立会计控制制度的基础。一般来说,管理控制职能有4个系统,即生产经营所属控制系统、财务会计控制系统、行政所属控制系统和人事所属控制系统。
内部管理控制一般包括业务流程控制、生产流程控制、技术管理控制、信息系统处理控制、行政制度控制、人事关系控制等。内部会计控制一般包括货币资金控制、实物资产控制、对外投资控制、工程项目控制、采购与付款控制、筹资控制、销售与收入控制、成本费用控制等。
二、内部控制的演变与发展
(一)内部控制的发展阶段
内部控制理论与实践随着社会、经济和技术等环境的变化经历了漫长的过程,是逐步发展和完善起来的。在动态发展过程中,内部控制从最初的内部牵制发展为内部控制制度,以及后来的内部控制结构,一直到今天的COSO内部控制整合框架和企业风险管理整合框架。我们可以从总体上将内部控制分为5个阶段。在每个阶段,理论界对内部控制都有不同的定义。
1. 内部牵制阶段
从原始的组织诞生开始,直至20世纪40年代,内部控制的发展基本停留在内部牵制阶段。内部控制的主要内容是账目间的相互核对,内部控制的主要方式是设立不兼容岗位。这在早期被认为是确保所有账目正确无误的一种理想控制方法。内部牵制的方式一般包括实物牵制、机械牵制、体制牵制、簿记牵制等。
实物牵制是指由两个或两个以上人员共同掌握必要的实物工具,共同操作才能完成某个程序的牵制。例如,保险柜的钥匙交给两个人员持有,只有两把钥匙同时使用才能打开保险柜。
机械牵制是指利用既定的标准或业务处理程序对各个部门、岗位或人员进行控制。例如,对会计凭证处理程序和处理路线做出规定,将单据、凭证、账簿、报表记录系统连接起来。
体制牵制是指通过组织规划与结构设计,把各项业务活动按其作业环节划分后交由不同的部门或人员,实行分工负责,形成相互制约。例如,将会计岗位和出纳岗位分由不同的人员担任。
簿记牵制是指利用复式记账原理和账簿之间的钩稽关系,做到相互制约。例如,原始凭证与记账凭证进行核对、记账凭证与账簿进行核对、总分类账与明细分类账进行核对等。
2. 内部控制制度阶段
20世纪40年代至70年代,内部控制的发展进入了内部控制制度阶段,内部控制的重点是建立健全规章制度。内部控制制度的形成是传统的内部牵制思想与古典管理理论相结合的产物。而企业规模的不断扩大、审计模式的不断变革,共同推动了内部控制制度的发展和完善。
内部控制制度开始出现了内部会计控制和内部管理控制的划分,内部控制制度主要通过形成和推行一整套内部控制制度来实施控制。内部控制的目标除了保护企业的资产安全之外,还包括增强会计信息的可靠性、提高经营效率等。
3. 内部控制结构阶段
20世纪80年代至90年代,内部控制的发展进入内部控制结构阶段。内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内部控制环境、会计制度和控制程序3个方面。
内部控制环境是指对建立、加强或削弱特定政策和程序效率产生影响的各种因素,包括企业文化、组织架构、人事政策和程序、经营计划、利润预测、内部审计等。
会计制度是指规定各项经济业务的鉴定、分析、归类、登记和编报,明确资产与负债的经营责任的方法,包括鉴定和登记一切合法的经济业务、对各项经济业务进行合理的分类,并以此作为编制报表的依据等。
控制程序是指企业管理者所指定的用以保证达到一定目的的方针和程序,包括经济业务的审批权、明确岗位职责分工、充分的凭证账单设置和记录等。
在内部控制结构的内容中,会计制度是内部控制结构的关键,控制程序是保证内部控制结构有效运行的机制,内部控制环境是实现内部控制目标的环境保证。
4. 内部控制整合框架阶段
20世纪80年代,美国发生了一系列财务报告舞弊和企业突发性破产事件,引起了社会各界对上市公司财务报告真实性问题的普遍关注,同时也引起了人们对内部控制的重新思考。对内部控制的权力配置机制的忽视,是影响内部控制功能发挥的重要因素。内部控制整合框架阶段就是在之前内部控制结构阶段的基础上,把内部控制要素整合成5个相互关联的部分:控制环境、风险评估、控制活动、信息与沟通、监督。
控制环境就是塑造企业文化并影响企业员工个人的控制意识,是所有其他内部控制组成要素的基础。控制环境要素包括员工的价值观、员工的胜任能力、组织结构的合理性、管理哲学和经营方式、人力资源政策等。
风险评估就是指分析和辨认实现有关目标可能发生的风险,从而形成风险管理的基础。风险评估涉及评估风险的重大程度、风险发生的可能性大小等。由于经济、产业、法律法规和经营环境的不断变化,企业需要确立一套机制来识别和应对由这些变化带来的风险。
控制活动是确保管理层指令一致性的政策及程序,如核准、授权、验证、调节、复核经营绩效、保障资产安全以及职责分工等。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。
信息与沟通是为了员工能够执行其职责,企业必须识别、捕捉、交流外部和内部的信息。从广义上来说,有效的沟通是信息的自上而下、横向以及自下而上的传递。除了上层命令的及时下达,员工也必须有向上传递重要信息的有效途径。同时,企业与外部客户、供应商、企业所有者之间也需要有效的信息沟通。
监督是由专门人员评估控制的设计和运转情况的过程。监督活动由持续监督、个别评估所组成,以确保企业内部控制能够持续有效地运转。独立的监督和评估活动的广度与频率有赖于风险预估及日常监控程序的有效性。
这5个部分既相互独立又相互联系,形成一个有机的统一体。控制环境是其他控制成分的基础。在规划控制活动时,管理人员必须对企业可能面临的风险有细致的了解和评估。风险评估和控制活动必须借助企业内部信息的有效传递和沟通。最后,实施及时有效的监督是内部控制质量的有效保证。
5. 企业风险管理整合框架阶段
1992年,COSO在广泛吸收各国学者的理论观点并综合实务界的研究成果的基础上,公布了《企业风险管理整合框架》。报告中指出,企业风险管理是一个企业的董事会、管理层和其他员工共同参与的,应用于企业的战略制定和企业内部各个层次及部门的,用于识别可能对企业造成潜在影响的事项,并在企业风险偏好范围内管理风险,为企业目标的实现提供合理保证的过程。企业风险管理整合框架包括4个目标和8大要素,如图1-2所示。
图1-2 企业风险管理整合框架
这一阶段是在内部控制整合框架阶段基础上的一次拓展,8个相互关联的要素统一成一个整体,内部控制与风险管理理念贯穿其中,内部控制是企业风险管理必不可少的一部分。因此,这一阶段被称为“企业风险管理整合框架”。
2013年5月,COSO在1992年版框架的基础上更新了企业风险管理整合框架。因为,自COSO发布1992版框架以来,现今的商业环境已变得大为不同。新生产技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,促使企业在满足旧框架运营、合规、财务报告内部控制目标的基础上,越来越关注公司治理和风险管理,越来越重视非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也进一步要求企业加强和完善内部控制标准。以上这些因素都推动了COSO对已颁布20年之久的原框架做出相应更新,以帮助企业能够高效果、高效率地制定内部控制系统,实现重要的业务目标并持续优化企业绩效;适应日益复杂和不断变化的商业环境,将风险降至可接受的水平并提高决策信息的可靠性。
(二)我国内部控制的发展阶段
企业内部控制是相对于外部控制而言的,是由于企业内部管理的需要而产生的。20世纪90年代后期,我国就开始加大对企业内部控制的推行力度。自1996年起,财政部、中国人民银行、保监会、证监会、中国注册会计师协会等先后颁布了20多项法律法规或行业准则,确定了企事业单位内部控制制度建设的目标、原则、内容、方法和监督检查等,建立了相应的内部管理和内部控制制度。
1999年颁布的新的《中华人民共和国会计法》(以下简称《会计法》)是我国第一部体现内部会计控制要求的法律,该法将企业及单位内部控制制度作为保障会计信息“真实和完整”的基本手段之一。虽然条款内没有直接提到内部控制,但是其具体监督内容都符合内部控制的基本要求。这是我国对内部控制的最高法律规范。但因为是《会计法》,规范的内容局限于内部会计控制方面,没有涉及内部控制的全部内容。
2004年,为了规范审计人员在审计过程中对被审计单位内部控制的测评行为,保证审计工作的质量,审计署根据《中华人民共和国国家审计准则》制定了《审计机关内部控制测评准则》,并规定自2004年2月1日起实行。该准则主要规定了内部控制测评的基本程序与方法。
2004年8月20日,中国银行业监督管理委员会(以下简称银监会)第25次主席会议通过了《商业银行内部控制测试评价试行办法》(以下简称《办法》)。该《办法》自2005年2月1日起施行。该《办法》明确商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展调查、测试、分析、评估等系统性活动。2007年7月26日,银监会发布《商业银行内部控制指引》,首次以法规的形式明确了商业银行内部控制。
财政部同样发布了相关的基本规范以及配套指引。2001年6月22日,财政部发布了《内部会计控制规范——基本规范(试行)》《内部会计控制规范——货币资金(试行)》等。2007年3月2日,企业内部控制标准委员会公布了《企业内部控制基本规范》和17项具体规范的征求意见稿。2008年6月12日,财政部发布了《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》,对企业在开展各项业务过程中如何建立和实施内部控制做出具体规定。2008年6月28日,《企业内部控制基本规范》正式发布。此次基本规范的印发,标志着我国企业内部控制规范体系建设取得重大突破。
三、内部控制的作用与局限
(一)内部控制的目标
从内部控制的演变与发展过程来看,早期人们对内部控制的理解仅限于内部牵制,重点关注的是资金与财产的保全,因此,内部控制的主要目标是防止欺诈与舞弊的发生。随着内部控制理念的演变与发展,其目标也在不断延伸。
1992年的COSO报告中提出了内部控制的3个目标:一是经营目标,即保障资产安全,使其免受损失,提高企业资源的使用效率和效果,获得最佳业绩和盈利水平;二是报告目标,即增强财务报告的可靠性,避免对外公布的财务报告与企业实际生产经营状况不符;三是合规目标,即企业应当严格遵守相关的法律法规,同时也受外界法律法规的保护。
2008年6月28日,我国财政部等五部委发布了《企业内部控制基本规范》。其中第三条指出,内部控制的目标是保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高企业的经营效率和效果,促进企业实现发展战略。
由此可见,在现代企业组织中,内部控制的目标已经不是传统意义上的查错和纠弊,而是涉及组织管理的方方面面,呈现出多元化、纵深化的趋势。我国的《企业内部控制基本规范》所规定的内部控制目标与COSO报告中的3个目标基本相同。我国企业内部控制目标应当包括以下5个方面。
(1)战略目标。任何组织都有其特定的目标。组织要有效地实现其目标,就必须及时对财务资源、人力资源、知识资源、信息资源等进行合理的组织、整合和利用。企业应当将短期利益与长远利益充分结合,在企业经营管理过程中充分利用所拥有的各项资源,做出符合战略要求、有利于提升企业可持续发展能力和创造长久价值的经营策略。
(2)经营目标。经营目标即实施内部控制要提高经营的效率和效果。企业的根本目标应该是实现资本保值增值,维护企业所有者的利益。经营目标是企业实现战略目标的核心和关键,战略目标的实现需要通过分解和细化为经营目标才能得以落实。没有经营目标,战略目标便失去了意义。
(3)报告目标。报告目标即内部控制要保证企业提供真实、可靠的财务报告及其他信息。它是内部控制目标体系中的基础目标,包括内部报告目标和外部报告目标。内部控制与信息是密不可分的,管理者需要利用信息来监督和控制组织的行为,同时决策信息系统也需要内部控制系统来确保能提供相关可靠、及时的信息。另外,企业保证对外披露的财务报告的真实、完整,有利于提升企业的诚信度和公信力,维护企业良好的声誉和形象。
(4)合规目标。企业必须服从政府制定的各项法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制;内部控制系统必须保证企业遵循各项法律法规和政策程序等。逾越法律法规的短期发展,最终会使企业付出沉重的代价。
(5)资产安全目标。这是内部控制的最传统的目标。只有保证了企业的资产安全,才能使投资者、债权人和其他相关者的利益得到保护。资产安全也是企业可持续发展的物质基础。良好的内部控制应当为资产安全提供坚实的制度保障。
上述内部控制5个目标之间的关系可以用图1-3表示。
图1-3 企业内部控制目标之间的关系
(二)内部控制的意义
随着市场竞争的日趋激烈和竞争环境的日趋复杂,各种潜在风险也日益显现。尽管加强企业内部控制并不能完全杜绝企业因风险而亏损、失败甚至破产倒闭,但是缺乏有效的内部控制是万万不能的。企业只有建立且有效实施科学的内部控制体系,才能夯实内部管理基础,提升风险控制能力。内部控制的积极意义主要体现在以下5个方面。
1. 内部控制是企业实现管理现代化的科学方法
企业所追求的目标是生存、发展和获利。生存是前提,获利是最终目标,发展是实现最终目标的有效途径。企业要想在市场中生存下去并不断发展壮大,最终实现获利,就需要建立现代企业管理制度。而严密的内部控制制度是企业进行现代化管理的可靠保证。科学的内部控制制度,能够合理地对企业的各职能部门及人员进行分工控制、协调和考核,促使企业各部门人员履行职责、明确目标,保证企业生产经营活动能有序、高效地进行。因此,内部控制是企业实现管理现代化的科学方法。
2. 内部控制是保护企业资产安全的重要手段
内部控制的一个重要原则就是明确企业在经济业务处理过程中各职能部门、工作人员之间的相互联系、相互制约的职责分工制度。这类制度严格地规定了在处理经济业务过程中各职能部门的权力与职责,使得各部门各司其职,这样不仅可以提高工作效率,而且保证了业务处理的正确性和财产的安全性。内部控制制度对财产物资的保管包括采取各种控制手段,以防止和减少财产物资被破坏,杜绝浪费、贪污、盗窃、挪用等现象的发生。由此可见,内部控制是保护企业资产安全的重要手段。
3. 内部控制是防范会计信息失真的有效途径
在市场经济环境中,会计信息的重要性已经日益为人们所认识。无论是国家宏观经济调控和监督、投资者的投资决策,还是企业管理当局的管理决策,都要以会计信息为基础。因此,会计信息的真实性成为相关各方利益的焦点。如上文所述,内部控制体系包括会计控制和管理控制。而会计控制运行的有效性与会计信息的质量直接挂钩,会计信息的失真必然伴随着内部控制的失效,内部控制是防范会计信息失真的有效途径。
4. 内部控制是保护投资者利益的客观要求
现代企业管理制度的一个显著特征是企业的所有权和经营权相分离。由于企业所有者和管理当局所拥有的关于企业生产经营状况的信息并不对称,由此容易引发逆向选择和道德风险。部分企业管理者损害投资者的利益从而为自己谋私利的现象时有发生,这都是内部控制薄弱的表现。企业必须高度重视财务管理与内部控制制度的建立健全,运用内部牵制、授权管理、岗位轮换、回避等有效措施,强化制约和监督。只有严格实施内部控制,才能保护投资者的利益。
5. 内部控制是应对国际化挑战的迫切需要
在21世纪的今天,企业之间的竞争已经不仅仅是技术和资本方面的竞争,管理方式的竞争也日趋激烈。我国企业管理要接近国际先进水平,就必须实现传统管理模式向现代管理模式的转变,应当以财务管理和内部控制为重点,全面提高自身经营管理水平,缩短与发达国家企业在管理水平上的差距,迎接国际竞争的挑战。
(三)内部控制的局限
内部控制固然在防弊纠错、提高经营效率和效益方面对企业具有重大意义,然而,它作为一种机制和工具,并不是包治企业“百病”的“灵丹妙药”。任何事物都不是尽善尽美的,内部控制同样如此。它存在着固有的、不可避免的局限,主要体现在以下5个方面。
1. 内部控制受成本效益原则的约束
建立和实施内部控制是有成本的。首先表现为内部控制自身的成本,如聘请会计师事务所制定内部控制制度的咨询服务费等;其次还包括人员在实施内部控制过程中的机会成本。因此,企业在设计内部控制制度时必然会比较成本和收益状况,但是这样的估计需要主观性判断。如果判断失误就可能会使需要的控制不能实现,从而给企业造成更大的损失。
2. 内部控制受滥用职权的影响
内部控制制度的重要实施手段之一是授权批准控制,这一制度使得处于不同组织层级的人员和部门拥有大小不等的业务处理和决定权限。但是,当内部人员,特别是高层管理人员的权力超过内部控制制度本身的力量时,就为内部人员滥用职权创造了条件,内部控制制度也就形同虚设了。
3. 内部控制受合谋舞弊的影响
不相容的职权相分离是内部控制的一条重要原则,可以避免一个人单独从事和隐瞒不合程序的行为。但是,当两个或两个以上人员或部门合谋串通,就可以避开此类控制。例如,出纳和会计串谋、财产保管人员和财产核对人员合伙造假等。这样,合谋舞弊的结果是完全破坏了内部牵制的设想,使得内部控制制度失效。
4. 内部控制受制度滞后的限制
内部控制一般都是针对常规事项设置的,具有相对稳定性。因此,对不经常发生的、未能预料的例外事项的控制力有限。企业所处的生产经营环境是一个不断变化的整体,为了生存和发展,企业必须相应地调整经营战略,如并购其他企业、增设新的分部等。这就可能导致原有的控制系统对新增的部分失去作用,使得内部控制制度出现滞后。
5. 内部控制受例外事件的限制
在现实社会中,复杂多变的外部环境使企业常常会面对一些意外和偶发事件,而这些业务或事项由于其特殊性和偶发性,没有现成的规章制度可循,只能凭借管理者的知识经验和对外部环境变化的感知度,从而造成内部控制的盲点。也就是说,内部控制的又一个缺陷在于它不能有效应对例外事件。
四、内部控制的方法
内部控制的方法是指为完成企业的内部控制任务、达到内部控制的目的所采用的手段和措施。内部控制在实现控制目的的过程中,可以采用的方法有很多种。只有在内部控制结构完整和内部控制全面分工的基础上,运用内部控制的多种方法,企业才能真正将内部控制落到实处。本节根据财政部颁布的《企业内部控制基本规范》,结合企业内部管理的实际情况,总结出内部控制的10种常见方法。
1. 组织机构控制
组织机构控制是对企业组织机构设置、职责分工的合理性和有效性所进行的控制。要建立健全组织机构控制,必须解决两个问题。首先,应当设立管理控制机构,如有些上市公司根据自身的生产经营特点设立了审计委员会、价格委员会、薪酬委员会等,机构的设置因单位的经营特点和经营规模而异。其次,应当推行职务不兼容制度,杜绝高层管理人员的交叉任职,如董事长和总经理由一人担任。交叉任职容易导致权责不清、制衡力度低下,决策过于随意。
组织机构控制包括组织机构设置和组织分工两方面的内容。组织机构设置是指组织机构的设置要满足企业经营管理的需要,不能过于精简,也不能冗余。组织分工是指部门内部的岗位设立和岗位之间的分工,这是保证企业正常运营,提高经营效率,增强会计信息的真实性、可靠性的重要条件。
2. 全面预算控制
全面预算包括4个方面:①运营预算,包括销售收入、管理费用、生产制造费用、销售费用等;②资本预算,包括生产项目预算、固定资产购置、投资项目计划等;③资产负债预算,即运营预算和资本预算在资产负债表中的体现;④现金流预算,即对现金的流入和流出提前进行预测、安排和计划。
全面预算控制是企业内部控制最重要的方面之一。全面预算必须有足够的科学性和权威性。它要求企业加强预算编制、执行、分析和考核等环节的管理,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,提出财务改进措施,完善预算的执行。同时,全面预算并不是一成不变的,企业必须始终掌握原则性和灵活性相结合的原则,随着具体情况的变化不断对全面预算进行更新和完善。
3. 授权审批控制
授权审批是指企业在处理经济业务时,必须经过适当的授权审批才能实施。授权审批之后,为了避免被授权者滥用职权,还应当经常对组织活动的程序进行审查。授权按其性质的不同可以分为两类:一般授权和特殊授权。一般授权是指对办理常规业务时权力、条件和责任的授予。企业中不属于常规业务的重大业务决策和特殊事项的处理,则需要特殊授权。例如,对于规定限额内的业务招待项目,相关责任人可以自行决定招待,即为一般授权;对于超过限额的业务招待项目,则需要主管人员、分管领导等另行审批才能进行招待。
授权需要有相应的记录,并提供证明文件。在现代企业中,信息化高度发达,很多授权是通过办公系统内的电子流程来完成的。在授权审批过程中要避免两个极端:一是审批层级过多,使得企业效率低下、增加管理者的工作量;二是避免权力的过于集中,避免完全按照某个管理者的主观意志来进行。总之,授权审批要做到科学性和便捷性的结合。
4. 资产保全控制
资产保全控制是指为了保护资产的安全完整所采用的控制方法。这里所说的资产不仅包括企业的实物资产和金融资产,如设备、存货、现金、银行存款等,也包括企业的无形资产,如技术、方案等;同时,还包括企业的信息资产,如经营信息、财务信息、文件资料等。
企业实施资产保全控制,首先应当限制对资产的接触,主要是限制无关人员对资产的直接接触,保证只有获取相应权限的人员才有接触资产的资格;其次,应当建立定期盘点制度,对资产进行定期盘点,并保证盘点时资产的安全性;最后,可以通过对资产投保,如火灾险、盗窃险等,增加实物资产受损后的补偿,从而保护资产的安全。
5. 内部报告控制
通常情况下,企业对外编制的资产负债表、利润表、现金流量表并不能完整地反映企业的实际情况,很难满足企业管理当局的需要。因此,为了增强内部控制的时效性和针对性,企业应当建立内部管理报告体系,全面反映企业的经济活动状况,及时提供业务活动中的重要信息,以便于企业管理当局及时有效地做出科学的决策。
常用的内部报告包括资金分析报告、费用分析报告、经营状况分析报告、投资分析报告、可行性分析和调查报告等。内部报告应当反映各个部门的经管责任,报告形式应当简明易懂。内部报告控制在实施时应当注意报告的及时性、真实性、灵活性和完整性。
6. 风险防范控制
由于生产经营内外部环境的复杂性,企业不可避免地会遇到许多风险。风险防范控制就是指以风险防范为主要目的所进行的控制。它要求企业树立风险意识,针对各个风险控制点,建立有效的风险管理系统,通过风险预警、风险识别、风险评估、风险管理、风险监控等措施,对财务风险和经营风险进行全面防范和控制。
企业风险防范控制的内容主要包括筹资风险、投资风险、信用风险、合同风险等。需要注意的是,企业不可能完全消除风险的影响,只能尽量降低风险带来的损失程度。风险防范控制是企业的一项基础性、常规性的工作,企业应当设置专业的风险评估部门或岗位,专门负责有关风险的规避和控制。
7. 信息系统控制
21世纪是信息化的时代,企业越来越重视信息系统的应用。通过高效完备的管理信息系统,企业可以在第一时间获取经营水平、价格变动、市场现状、库存状况、财务状况等方面的信息。信息系统不仅使得企业在很大程度上提高了工作效率,降低了运营成本,同时也提高了企业管理者决策的科学性,因为信息的完整性、可靠性、准确性、及时性是管理层做出科学决策的基础。
企业信息系统控制要从两方面入手:一是加强对信息系统本身的控制,包括系统开发与维护、文件资料控制、设备与网络安全控制、日常应用控制等;二是要充分运用信息技术建立控制系统,减少和消除人为因素的影响,确保企业信息系统的有效实施和高效运转。
8. 人力资源控制
人力资源是企业发展的至关重要的资源。人力资源的数量和质量、忠诚度、向心力和创造力,是企业生存、发展壮大的基础。因此,如何充分调动人力资源的积极性、主动性、创造性,已经成为企业管理的核心任务。
企业的人力资源控制是一个系统工程,涉及许多方面。例如,建立严格的招聘流程、制定员工工作规范、定期对员工进行培训、加强考核和奖惩力度、定期或不定期轮岗、提高工资与福利待遇等。
9. 会计系统控制
会计系统控制要求企业必须根据《会计法》和国家统一的会计制度等法规,制定符合本单位生产经营实际的会计制度和会计凭证、会计账簿和财务报告的处理程序,实行会计人员岗位责任制,建立严密的会计控制系统,充分发挥会计的监督职能。
会计系统控制主要包括建立健全内部会计管理规范和监督制度、统一会计政策、统一会计科目等。从作用角度来说,会计系统控制不仅可以为内部控制系统的有效运行提供信息支持,同时也可以服务于企业的资产保全控制、全面预算控制等。所以,会计系统控制是一个综合性的控制系统,其他很多控制系统和控制方式的实施都离不开它。
10. 内部审计控制
内部审计控制是指由企业内部审计部门所进行的控制,主要作用是对单位内部的各种经济活动、管理制度是否合规、合理、有效,进行独立的评价,以确定是否贯彻了既定的政策和程序,是否遵循了所建立的标准,资源利用是否合理有效,单位目标是否达到等。因此,内部审计控制本质上是对其他内部控制所进行的再控制。
内部审计的内容十分丰富,按其目的可以分为财务审计、经营审计和管理审计等。内部审计在企业中应当保持相对的独立性,独立于其他部门,不受其他经营管理部门的干涉,最好直接由董事会或者其下属的审计委员会管理。