基于COSO框架的企业内部控制问题研究(精选7篇)
【摘要】 内部控制在现代市场经济的环境下,对于企业和相关机构来说日益重要,本文针对美国虚假财务报告委员会下属的发起人委员会发布的《COSO—内部控制框架》,从几个方面阐述了企业内部控制的主要内容和体系建设。同时,鉴于现状提出了改善对策,并浅谈了报告对我国企业内部控制的启示。
【关键词】内部控制 COSO 内控体系
所谓内部控制(Interna l Control), 是在内部牵制的基础上, 由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系, 它是企业为管理当局的需要, 保证经营目标的实现而建立的一种相互联系、相互制约的控制制度和体系@。1992 年美国国会的反对虚假财务报告委员会(NCFR)下属的美国会 计 学 会(AAA)、美国注册会计师协会(A ICPA)、内部审计师协会(IIA)、财务经理协会(FE I)和管理会计协会(IM A)等参与的发起组织委员会(COSO)发布报告, 提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通、监测等 5项要素。@目前 COSO委员会提出的内部控制结构理论已在世界范围内得到广泛认可, 被认为是权威的专业机构对于内部控制整体框架的最新解释。但近年来,随着安然、世通等一批巨人企业的倒下,引发了公众对企业的信任危机,从而导致COSO新内控框架的建立,该框架提出了全新的风险管理理念和技术,对企业内部控制具有极大的理论和实践意义。
一、COSO内部控制的发展历程
内部控制的概念是在实践中逐步产生、发展和完善起来的。早在 1977 年,作为美国“水门事件”的调查结果,立法者和监管团体为了制止美国公司向外国政府官员行贿,通过了“国外腐败实务法案”并要求公司管理层加强会计内部控制的条款。1978 年,美国执业会计协会下面的柯恩委员提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980 年后,内部控制审计的职业标准逐渐成形。2002年的萨班斯—奥克斯利法案,再次表明完善公司内部控制必须以COSO 框架为基础,充分理解其财务报告的可靠性目标和合规性目标。然而十多年以后,安然、世通等新一轮财务丑闻的相继上演,在世界范围内掀起了加强企业风险管理的浪潮,要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。在这一背景下,COSO委员会在1992 年COSO报告的基础上,结合《萨班斯 - 奥克斯利法案》的相关要求,于2004年9月正式发布了《企业风险管理—整体框架》,即COSO新报告(简称“ERM”框架”)。ERM框架虽然继承了IC-IF框架的部分内容,但无 论是在内涵目标还是在要素方面均有重 1 大突破,标志着内部控制理论进入了新的发展阶段。
二、COSO内部控制系统框架五大组成部分分析
COSO认为内部控制涵盖了五大组成部分的丰富内容 :控制环境、风险评估、控制活动、信息与交流和监督评审。其中引入了“全息论”的概念 :这五大组成部分和三大目标是紧密相联的 ,就象一个人体的细胞包含了人体的各种信息那样 ,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。具体含义如下 :
1、控制环境:控制环境是推动控制工作的发动机 ,是所有其他内控组成部分的基础。它奠定组织的风纪和结构 ,并且涉及到所有活动的核心—人 ,特别是人的控制觉悟 ,还反映了企业的各级管理层对内控的要求。控制环境中的要素
有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境 ,使整个组织中的员工具有控制觉悟和自觉的控制态度 ,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
2、风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动 ,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险 ,需要不时调整内控 ,以便恰当地处理任何新的或过去不加控制的风险。
3、控制活动:是为了合理地保证经营管理目标的实现 ,指导员工实施管理指令 ,管理和化解风险而采取的政策和程序 ,包括高层检查、直接管理、信息加工、实物控制、确定指标、责分离等。在控制活动中主要关注控制与风险评估过程的联系、制活动的适当形式及其实施、对执行政策和管理指令的保证、制活动的针对性(尤其是对信息系统的控制)等等。
4、信息与交流 :存在于所有经营管理活动中 ,使员工得以搜集和交换为开展经营、事管理和进行控制等活动所需要的信息 ,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
5、监督评审 :是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的 ,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和 2 对政策程序的调整等等。
COSO所提出内控理论影响深远 ,现在无论是一般生产性企业、通领域的企业还是金融服务业等都在该框架下纷纷制订了相应具体的内控制度、建立了较为完善的内控机制 ,成为世界各国不同企业纷纷效仿和跟进的标杆。
三、内部控制体系现状分析
全面认识COSO框架的内容对我们的工作具有非常好的指导作用,在执行过程中通过对比我们可以及时发现工作中存在的不足,这也是分析和评价内部控制的关键所在,只有全面、彻底地了解其局限及当前存在的主要问题,才能切实提出加强内部控制的有力措施。
内部控制固有的局限性
内部控制体系有其固有的局限性,只能为管理人员达到其目的提供合理的保证,管理层在制定制度时会遇到许多无法预料的因素,也会遇到许多内部控制本身就无法控制的情况,例如:
(1)内部控制只适于正常且经常反复出现的业务事项,而不能对例外事项(包括意外事故)进行控制;
(2)对于工作人员因粗心、精力不集中、身体欠佳、判断失误或误解上级发出的指令而造成的这种人为错误无能为力;
(3)内部控制还受到控制成本的限制;
(4)当工作人员合伙舞弊和内外串通共谋时也无法控制;(5)当管理人员滥用职权或不能正确使用权力时无法控制;
因此,尽管管理层力争取得有效的控制效果,但由于上述及其他限制因素存在,内部控制不可能完美无缺。
当前企业内部控制存在的一些问题
目前一些企业的财务内部控制还没有达到能够使各类财务决策力、各项财会业务过程、各个操作环节、各个财会人员的行为都处于紧密的内部制约和监控之下的科学、有效的财务内部控制水平。理论上忽视对企业财务内部控制及其风险的研究,误导财务管理实际工作对财务内部控制的疏忽和松懈。主要表现在以下四个方面:
(1)企业管理层重生产、轻经营;重开发、轻内部管理,甚至把财务内部控制仅仅看成是财务管理部门的事,而没有把财务内部控制放在整个企业经营管理的策略高度来考虑;
(2)有的企业虽有为数不少的财会规章制度,但仅仅是纸上谈兵,流于形式,而未得到切实的贯彻执行;
(3)忽视财务内部稽核和内部审计的作用。有的企业没有财会部门的稽核,3 有的内部稽核不规范,未形成制度;
(4)在日常财务管理方面,思想工作不深入,对职工的个人行为和思想状况了解不够,使一些事故隐患长期得不到发现。
四、加强企业内部控制制度建设的对策
(一)建立科学有效的组织结构
组织结构是企业采用的按不同任务或职位来划分和调配劳动力的方法,设置科学合理的企业组织机构是实现公司运营目标的基础,企业的各项决策方式和最终的战略方案都会受到组织结构的影响,内控制度也不例外。组织结构的类型众多,职能制组织结构、事业部制组织结构、矩阵制组织结构以及战略业务单位组织结构等,不同的组织结构要求企业有不同的业务执行方案,部门设置也有不同,董事会在设置机构时,必须做好效率、人员成本和控制力度之间的平衡,权利明确清晰,责任到位,然后配以适用于不同组织结构的内控制度,才能充分发挥内控的监督、检查和激励作用,避免利益冲突引起的不必要的损失。
(二)增强内部控制意识
从 COSO 提出的五个要素中我们也可看出控制环境对内部控制的建设极其重要,内部控制是由单位治理层及员工共同实施的旨在实现控制目标的过程,不论是管理层还是基层员工都应该对内部控制有足够的重视,树立在内部控制制度的约束下开展经营活动的理念,使企业的各项经济活动真正纳入到企业的内部控制系统,最大限度的降低非可控性。
(三)提高内控人员素质
企业应加强内部管理人员尤其是财会人员的培训学习,培养其鉴别会计信息的真实性、完整性及财务活动合法性的能力,提高内部控制人员的自我约束力和综合素质。要定期对职工进行内控知识的宣传和教育,加强思想道德建设和法律法规的学习,使企业上下对内部控制制度有正确的认识,消除阻碍因素,顺利推动内控工作的进行。
(四)内控建设要与企业文化建设相联系
企业文化强大的整合作用,使得越来越多的高管在企业文化的建设上投入更多的精力,没有文化的企业就是一个没有灵魂的躯壳,良好的企业文化是企业可持续发展的重要基础。拥有良好企业文化的企业,能够将全体员工的积极性和责任感充分调动起来,对企业的发展予以最全力的贡献,高度关注企业的命运,这就可以自然地预防像总经理的舞弊风险、决策低效率等问题,在此基础上建立的内部控制也能够起到事半功倍的效果。海尔一直都很重视企业文化建设,力求把“质量重于一切”的理念深入到每个员工,而其内部控制的建设也与质量第一的企业文化紧密相连,两者相互促进,保证了海尔持久的市场声誉和较高的顾客信 4 任度。
(五)完善内部控制测试
完整的内控制度不仅仅是指规章制度的制定,还应该包括后期的控制测试和监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证,只有对结果进行科学的分析得出有利于改进内部控制建设的信息和措施建议,才能够达到进行制度控制的效果,避免内部控制流于形式而带来的效益小于成本的困境。目前我国三大电信运营商均在美国上市,每年均面临《萨班斯奥克斯利法案》的严格审核,为了通过审核,电信运营商采取一系列措施加强内部控制测试,全程监控,保证内部控制的有效落实,比如检查式测试、常态化测试、咨询式测试,提高了电信运营商内控建设的科学性和系统性,同时其成功实践也为其他上市公司加强内部控制管理提供了有益参考。
(六)做好内部审计工作
企业内部控制涉及企业运行过程方方面面,对其具体的执行需要进行不断地跟踪,跟踪取得的最终效果关键取决于企业自身的监督,而内部审计就是进行这种跟踪的有效措施。内部审计是企业经济活动的评价监督部门,也是内部控制系统一个特殊的构成要素,是对内部控制的再控制。与其他形式的审计相比,内部审计部门作为企业自身内部的一个职能部门对企业的经营活动、会计核算、控制程序等方面有更准确的认识和深入的了解,使其对企业内部监督的有效性成为可能。充分发挥内部审计的作用,可以为改进内部控制提供建设性意见,有效防范内部控制失控,促进企业控制目标的实现。企业对具备内审专业人员的需求以及内部审计职业考试的持续升温加也证明了内部审计对企业的重要性。
五、COSO报告对我国企业内部控制的启示
(一)建立以风险管理为核心的企业内部控制体系
新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。
我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的 5 风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。
(二)重视企业的内部环境建设,强化董事会的内部控制功能
内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源政策等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。
在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大影响,建立健全董事会功能是企业最根本的内部控制。安然、世通等特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。而在我国,受体制等方面的影响,很多企业的董事会形同虚设,内部控制缺乏应有的股东监督机制,更多地维系在经营者的觉悟上,关键人控制现象十分突出。企业应该认识到董事会对企业的所有活动负有最终责任,要充分发挥董事会的监管作用,确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围,这样才能使企业健康地发展下去。
(三)加强监督机制,提高内部控制效率
公司治理的监督机制包括内部监督机制与外部监督机制,其中内部监督机制是指股东大会、董事会、监事会等监督机制;外部监督机制是指媒体、中介机构等监督机制。在目前我国很多企业缺乏完善的公司治理机制、内部环境较差的情况下,要使内部控制有效执行,必须借助于企业内、外部的监督机制,定期和不定期地对内部控制制度的执行情况进行检查与考核,不断发现问题、解决问题,从而不断修改或调整有关的控制环节和措施,促使内部控制日趋合理有效。
(四)突出人的作用,增强内部控制执行的自觉性
无论多好的制度,若得不到切实的执行也不能发挥其应有的作用。内部控制并非仅仅是政策手册与表格,而是由具体的人来执行和实施的。在加强企业内部控制管理的过程中,人的因素十分的重要。这里所说的人,不仅仅是企业的管理人员、董事会成员或内部审计人员,而应包括来自企业内每一个阶层的每一个员工。一个良好的内部控制系统应确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任,树立每一个员工都应对企业的内部控制负有责任的观念,促使他们团结合作,主动实施并完善企业的内部控制,为企业总体目标的实现认真履行自己的职责。
结语
在现代企业管理中,依据内部控制框架建立合适规范的企业内部控制规范对经济发展具有非常重要的意义,同时对会计学尤其是内部审计的发展具有重大影响。
【参考文献】:
国务院国资委于2006年6月出台了《中央企业全面风险管理指引》,对中央企业开展全面风险管理工作的总体原则.基本流程.组织体系、风险评估.风险管理策略.风险管理解决方案、监督与改进、风险管理文化.风险管理信息系统等方面进行了详细阐述.对《指引》的贯彻落实也提出了明确要求。2010年4月26日.财政部.证监会.审计署.银监会.保监会等五部委联合并发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》.《企业内部控制评价指引》和《企业内部控制审计指引》.连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况.融合国际先进经验的中国企业内部控制规范体系基本建成。
一、目前我国内部控制体系建设存在的问题
(一)企业战略与企业风险管理不匹配
企业在制定战略时就应该对自身所承担的风险进行系统的分析,并考虑其承担的风险容量。来自一项战略的期望报酬应该与企业的风险容量相协调。由于不同的战略会使企业面临不同程度的风险.应用于企业战略制定的企业风险管理可以有效帮助企业管理当局选择一个与企业自身的风险容量相匹配的战略。而我国很多企业在战略目标的制定上有一个很大特点就是急于求成.结果使企业在发展的过程中承担了过多自身不可承受的风险,导致企业应对市场变化能力不强,产品的生命周期大大缩短、企业发展后劲不足、甚至个别企业在重大风险事件发生之时无从应对,导致巨额损失。
(二)企业内部控制制度体系与风险管理制度体系缺少有效的衔接
很多企业在制订内部控制制度体系时没有引入风险管理的内容,缺少对事项的风险识别、风险评估及风险应对措施,风险管理文化建设滞后,风险管理制度体系建设缺少.或者有的企业在现有的内部控制体系增加一套全面风险管理制度体系,现有的管理制度体系与风险管理制度没有有效的融合,形成两个独立的管理制度体系,导致在管理与业务实践过程缺乏有效的预防及风险管控手段。
(三)企业缺少持续完善规范的管理流程与制度,没有充分发挥制度执行的有效性
针对企业存在的空白点和薄弱点,出现的新情况.新问题.没有及时进行修订完善。很多企业没有建立责权分明、规章健全、运作有序.制约有效的集团内部控制制度,存在工作职责.业务范围和权限不明确,无法形成各个岗位职责分明、经营管理活动环环相扣的内控管理模式。精细化管理水平较差,企业整体优势无法发挥,优质资源有效整合力差等。
(四)重视具体的风险管理,缺乏风险管理整体策略
我国很大一部分企业更多地将精力投入到具体风险管理中.缺乏系统.整体性地考虑企业风险组合与风险的相互关系.从而导致风险管理的资源分配不均.影响企业整体风险管理的效率和效果。对公司的主要业务缺乏风险识别.评估、管理和监控。企业现有的风险管理职能、职责散落在各个部门和岗位之中,缺乏明确且针对不同层面的风险管理的职能描述和职责要求,考核和激励机制中尚未明确提出风险管理的内容,导致缺乏保障风险管理顺利运行的职能架构。
(五)企业缺乏规范、科学、合理的法人治理结构设置
企业没有设置专门机构对风险进行定期的复核和再评估.降低了企业适应环境变化.管理和规避风险的能力.也容易使企业目标发生偏离;在迅速扩张的过程中.易造成企业财务与业务失控.无法进行财务风险预警.防范。
二、基于COSO整合框架的企业内部控制体系构建
根据"持续完善、与时俱进"的原则和"全员参与,全过程控制、全方位监督"的指导思想,以完善内部控制体系为核心.以风险管理信息平台与ERP为技术平台,构建覆盖企业管理.运营及项目建设等各个业务环节的纵横结合.全员参与并实施全过程控制和全过程监督的内部控制体系,促进企业各项管理工作实现程序化.规范化、制度化.标准化.建立全面风险管理基础支持体系。
目前很多企业根据美国2002年颁布的萨班斯法案开展了内部控制合规工作.并以建立健全集团内部控制为契机,通过业务流程再造与优化,查找风险点.重新建立了全面风险管理导向的企业内部控制体系。例如,中国石油天然气集团公司以流程管理为载体,采取"自上而下.逐步延伸"的实施策略.以总部业务主管部门为引领.推进重点专业流程梳理.成熟后作为公司专业流程规范,在公司所属各单位推广实施,形成端到端的全业务流程规范.将全面风险管理工作落实到经营管理各业务环节。中国海洋总公司按照效益.效率和风险平衡的风险管理理念.结合本公司特点.逐步探索形成三级制度体系建设的内控制度体系化建设,实现企业内控制度体系化.规范化,逐级建设完善. 可在系统内逐级复制、操作性强的内控体系。
强化风险管理相关的管理理念和企业风险文化.为企业风险管理树立清晰的战略目标及工作程序与方法指引,将风险管理流程融入到企业的日常经营管理活动中.使企业所有经营管理环节都处于受控状态,并起到有效防范风险.增强抵御风险的能力,同时建立科学的内部控制评价机制.对内控体系持续监控、循环改进.不断提升整体风险管理能力,以保持企业高效高速、健康可持续发展.为实现企业战略发展目标提供合理保障。
通过以风险为导向、支撑企业正常运营的内控制度体系化建设与实施,将风险控制在可接受的范围内,将风险应对策略和方法嵌入到企业各业务流程的具体业务活动中,融入内部控制体系的各项规章制度.以基本制度.管理办法、操作细则及流程图等三个层级.不断完善并优化内控制度体系.使企业在正常运营过程中有效地防范风险、提高运营效率.从而为企业实现战略目标提供有力的制度保障。
(一)以风险管理为导向的内部控制体系框架横向结构至少应包括:风险管理制度体系、管理与业务运营制度体系
企业可以根据公司经营管理的实际情况需要.将内控制度体系从横向上划分为风险管理制度体系和管理与业务运营制度两大体系。
1. 风险管理制度体系建设
建立系统化、专业化的风险管理的工作方法,融入到企业经营的各个环节中。在构建企业风险管理制度体系的基础上,应注重向外扩展,与管理及业务内部控制相比,风险管理更偏向对企业各业务领域风险的预防管理,因此各业务领域的管理过程中,将风险管理计划、风险识别、风险评估、风险应对、策略执行、检查与评价、持续改进等科学、规范的工作方法融入到整个管理过程,形成各业务管理单元、风险管理机构、监督机构三道防线各司其职,全员参与、全方位监督、全过程控制的管理格局,从而为实现企业的战略目标提供合理的保证。
风险管理制度体系的内容应包括但不仅限于:企业全面风险管理工作(或建设)指引、风险管理组织框架、风险管理策略、风险预警体系、应急预案与危机处理和绩效、激励与监督改进机制等。风险管理基本流程主要有:初始信息收集、风险评估、制定风险管理策略、制定风险实施解决方案和监督与改进等。
2. 管理与业务运营制度体系建设
管理与业务运营制度体系建设的内容应包括但不仅限于:公司治理、战略计划、科研管理、财务管理、采办管理、物资管理、人力资源、法律管理、健康安全环保、行政管理、生产管理、销售管理、内部监督、信息技术、工程管理和党工团管理16个内控子体系。16个子体系构成集团管理与业务内控制度体系的框架,涵盖了集团运营各个业务环节,使内部控制建设清晰明了,具有可复制性、可选择性、针对性,各单位可以按照体系化的思路完善内控建设,将管理真正纳入体系化、标准化和制度化轨道。
案例1:某企业的公司治理子体系制度建设主要有(见图1):
(二)内控体系纵向结构
从纵向上,风险管理制度与公司管理和业务制度各个内控制度子体系均可按照基本制度.管理办法和操作细则等三个层级编写。
基本制度属于内控制度体系的第一层级文件.是制定管理办法.操作细则的基础和依据。
管理办法属于内控制度体系的第二层级文件.是依据基本制度建立的管理文件.是基本制度的细化和展开。
操作细则属于内控制度体系的第三层级文件,是依据管理办法编制的.指导具体操作的管理文件。操作细则主要包括文字描述,反映业务控制和流转过程的业务流程图.控制点.列明控制点责任的内控活动列表等内容。每个子体系都必须有基本制度,根据基本制度制订一个或若干个管理办法.每个管理办法下可根据需要制订一个或若干个操作细则。
案例2;某企业财务内控制度子体系建设(见图2):
该企业的财务内控制度子体系制定了包括1个基本管理制度.17个管理办法,20多个操作细则及对应的流程图,使财务管理的制度体系逐步建立健全.并根据公司业务的发展,按照系统性、专业性.强制性.适时性及财务内控制度"有效循环.适时完善"的要求.满足企业经营管理的动态需求.实现企业财务管理目标,及时完善企业财务内控制度体系。
2001年以来,全球会计舞弊案件频发。人们对企业会计信息更加关注。在过去,是单纯通過报表审计关注结果,而在新情况下,则是既通过报表审计关注结果,又要通过构建和完善与财务报告相关的内部控制关注会计信息的生成过程。
一、内部控制理论新成果——COSO报告
从历史的角度来看,内部控制理论大致可以划分为内部牵制思想、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。到上世纪90年代,美国提出内部控制整体框架思想,这一思想成果集中体现在为国际理论与实务界共同推崇的COSO报告。COSO报告认为,内部控制是一个包括概念、要素和目标在内的理论框架。
(一)内部控制概念
对COSO内部控制概念可以从3个方面来理解:
1.内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制,内部控制随环境变化而变化。
2.内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。
3.内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的只是合理的保证,而不是绝对的保证。内部控制措施,无论设计得多么完美、运行得多么好,组织目标实现的可能性受到内部控制制度所固有的局限性影响,内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。
(二)内部控制要素
在对内部控制概念进行界定的基础上,该框架认为,一个完善的企业内部控制系统应该包括五类要素:
1.控制环境
控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观;评定员工的能力;董事会和审计委员会一一组成这两个机构须考虑的因素主要包括:成员的经验,相对于管理层的独立性,外部董事的比例;其成员参与管理的程度,所采取措施的适宜性,对管理层提出问题的深度和广度,他们与内部、外部审计人员的关系实质等;管理哲学和经营风格——主要考虑:对待和承担经营风险的方式,依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通,对财务报告的态度和所采取的措施,对信息处理以及会计功能、人员所持的态度,对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度等;组织结构——即公司活动提供计划、执行,控制和监督职能的整体框架;责任的分配与授权;人力资源政策及实务。
2.风险评估
每个企业都面临着来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。
3.控制活动
企业管理阶层辨识风险,继之应针对这种风险发出必要的指令。控制活动是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现。这主要包括:高层经理人员对企业绩效进行分析;直接部门管理;对信息处理的控制;实体控制;绩效指标的比较和分工。
4.信息与沟通
企业在其经营过程中,需按某种形式辨识、取得确切的信息并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
5.监控
内部控制系统需被持续监控。监控是由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程。监督活动由持续监督和个别评估所组成,其可确保企业内部控制能持续有效的运作。
(三)内部控制目标
COSO报告认为,企业建立完善的内部控制体系,旨在达到以下三个目标:
1.经营的效率和效果;
2.财务报告真实、完整;
3.恰当地遵循了相关法律、法规。
二、COSO报告下的内部控制框架理论是否通用
同以往的内部控制理论及研究成果相比,COSO报告不管是《内部控制——总体框架》还是2004年10月增补扩充后的《企业风险管理——总体框架》,都提出了许多新的、有价值的观点。具体体现在:明确了内部控制的“责任主体”;强调内部控制应该与企业的经营管理过程相结合;强调内部控制是一个“动态过程”;强调“人”的重要性;强调“软控制”的作用;强调风险意识;强调管理与控制的界限等。
但是,值得注意的是,COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。因为英美公司治理是典型的外部控制主导型公司治理模式。在这种模式下,分散的股东无法对公司决策施加有效的影响,从而形成了“弱股东,强管理”的格局。在这种情况下,单个股东难以对企业内部控制的设计、运行和监督产生实质性作用。为了避免内部人在管理企业过程中侵犯所有者利益,强调并通过立法的形式明确并规范以独立董事占多数席位的董事会在企业内部控制中的作用,加强对公司经理层的监督和约束,从而维护股东权益。而我国的公司治理结构“内部人控制”现象严重,控股股东“一股独大”,有些控股股东操纵上市公司的股东大会、董事会和监事会,使股东大会、董事会、监事会形同虚设,造成内部控制失效。因此,在研究中国企业内部控制问题时,应在COSO报告内部控制定义的基础上,视企业的具体情况强调和注重股东会尤其是控股大股东在企业内部控制体系中的作用。在这一基础上,运用COSO报告内部控制框架研究中国企业的内部控制现状与改进才会有更强的针对性和实际意义。
三、中国企业内部控制构建与完善框架
(一)加强法律法规等强制性来约束准则规范
应尽快加强有关企业内部控制方面的法制建设以及内部审计和独立审计等相关方面的行业准则的制定,为提高企业内控提供外部监督和指导。同时,建立和强化内部控制责任机制,加大企业相关违规成本,使得建立和完善内部控制体系成为企业的一种法律责任。目前,我国《审计法》和《独立审计准则》等对企业内部控制虽有论及,但都是从审计角度出发的,对企业而言并未形成内控整体框架;《会计法》也没有对企业内部控制提出具体可行的规定。在完善内部控制规范时,有条件地借鉴COSO理论精华,要注意从以下几个方面予以加强。
1.拓展内部控制的目标
COSO报告框架的内部控制目标包括经营目标、报告目标和合规性目标三个方面,而我国内部控制的目标仅局限于报告目标和合规性目标。我国应拓展内部控制的目标,由目前的报告目标、合规性目标向经营目标扩展,以激发企业对内部控制建设的关注和需求。
2.丰富内部控制的责任主体
2006年2月我国颁布的《独立审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》已将内部控制的责任主体向上扩展到治理层(董事会),向下扩展到其他员工。应将这种理念运用到我国内部控制基本规范中,丰富内部控制责任主体,由单一主体向多元主体发展。如前面所分析,值得注意的是COSO报告下的内部控制框架对内部控制的定义及董事会作用的强调是符合美国股权高度分散这一企业所有权结构的。而同时,笔者认为,在研究中国企业股东对内部控制的影响及作用时,必须要把股东划分为大股东和中小股东两个层次。因为在中国特有的经济背景下,上市公司的股权结构基本属于“一股独大”的情况,中小股东对企业的影响很小甚至没有,而大股东通过参与高层管理操纵内部控制的情况却非常普遍。在界定董事会对内部控制所富有的职责时,必须强化大股东层面对内部控制的责任与义务。
3.建立科学的内部控制规范体系
对于我国目前内部控制规范中存在的各种缺陷,有关部门应加快对内部控制规范的修订,甚至重新制定。考虑到我国的实际情况,可以建立内部控制基本规范和具体规范两个层次:基本规范应是一套类似于美国COSO报告那样的概念性的制度框架,具有强制力;具体规范可以是具有可操作性的规则,应是参照性的。有关部门应将内部控制规范的建设提到日程上,建立一套科学的内部控制规范体系,为企业的内部控制的自我评估和外部审计师的内部控制审计提供评价依据。关于这一点,在财政部2006年起草的《内部控制征求意见稿》中,已有所体现。
(二)证券监管机构的职责界定
企业尤其是上市公司一般只对外披露财务会计信息,人们关心的也是每股收益等数字。对于企业内部控制,人们常常疏忽。而独立审计人员则体会到信息的真实可靠,来源于企业内部控制,内部控制越好,其信息就越可靠,审计实质性测试就可相应减少;注册会计师在审计中虽然会对企业内控进行评审,但一般注重内部会计控制,并且由于审计的时间范围和技术的局限性,企业内控情况并不能充分了解和揭示;为了提高企业内控意识、提高其信息质量,企业有必要在进行内部控制自我评估后,向社会公开披露其内控信息。而在这一过程中,要使得企业内部控制披露机制真正发挥作用,就必须要界定好证券监管机构的相关职责。
(三)强化企业内部控制的自我完善
1.企业内部控制目标的定位与企业的发展战略相结合
按照COSO报告框架的要求,内部控制目标应该包括三个方面:经营的效率和效果、财务报告的可靠性以及相关法规的遵循性。笔者认为,企业在构建和完善内部控制时,必須结合自己发展所处阶段和内外部条件,按照SWOT分析法,将内部控制目标的确定与企业发展战略相适应,以使内部控制体系具有可操作性和针对性。
2.在统一的框架内构建和完善符合企业情况的内部控制体系
有了微观层面统一的内部控制规范和体系,企业要按照COSO框架中的五个要素,适当借助外部中介机构的力量,在对控制环境进行深入的调研与分析的基础上,构建适合自己企业情况的、具有可操作性的微观层面内部控制制度与体系。
(四)会计师事务所的外部监督
目前我国注册会计师接受委托执行的内部控制制度审核业务,参照的是中国注册会计师协会印发的《内部控制审核指导意见》,发表的是审核意见。建议将外部审计师对内部控制的评价确定为一项独立的强制性的审计业务,并研究制定内部控制审计准则,强化外部的内部控制审计制度,促使企业管理层对内部控制的落实和运行。
笔者认为,在借鉴COSO报告内部控制理论时,必须考虑到“拿来”理论产生的环境与土壤,充分考虑中国企业的产生背景与实际情况。在此基础上,构建宏观层面的内部控制规范体系和微观层面的内部控制实施框架才是切实可行的。
关键词:COSO内部控制框架,财务内部控制
1 COSO内部控制框架概述
COSO的全称为“发起机构委员会”, 是美国的一个自愿性质的私营机构, 致力于用商业伦理、有效的内部控制和公司治理来提高财务报告的质量。1992年COSO委员会颁布了《内部控制———整体框架》报告, 设定了内部控制的定义:内部控制是受企业董事会、管理层和其他职员共同作用, 为实现经营效果性和效率性、财务报告的可靠性以及对适用的法律、法规的遵循性等目标提供合理保证的一种过程。内部控制分为五个要素:控制环境、风险评估、控制活动、信息与沟通以及监控。
2013年5月COSO委员会发布了新版的《内部控制整合框架》, 将于2014年12月正式取代已实施20年的1992年旧版。新版的内部控制框架主要内容为一个定义、三类目标、五大要素和十七项原则。新版框架对内部控制的定义为:内部控制是一个组织的董事会、管理层和其他员工共同作用的过程, 它的设计旨在为实现组织运营、报告和合规等目标提供合理保证。除了定义之外, 新版的框架所定义的目标、要素和原则和旧版相比, 更加具体, 但是主要的方向依然和旧版相同。
无论是旧版还是新版的COSO内部控制框架, 对于企业而言, 都可以为任何组织建立内部控制制度提供参考, 它是一种原则导向的方法, 能够根据组织的具体情况进行灵活设计、有针对性地实施和推进。它使得内部控制不再仅仅是着眼于会计和财务报告, 还针对经营活动的效率效果和所适用的法律法规的遵循性。
企业内部控制的有效实施需要每一个员工、每一个部门的全面参与, 财务对于一个企业而言是核心部门, 对于财务的内部控制是每一个企业必须也是最重视的板块, 财务内部控制设计是否科学、运行是否有效, 是企业内部控制是否有效的关键要素之一, 有效的财务内部控制可以促进企业财务的良性运行, 从而促进整个企业管理目标的实现。
2 财务内部控制概述
财务内部控制是指企业为了提高财务信息质量, 保护资产的安全、完整, 确保有关法律法规和规章制度的贯彻执行等, 而制定和实施的一系列控制方法、措施和程序。具体而言是指财务人员通过财务法规、财务制度、财务定额、财务计划、工作目标等对资金运动进行指导、组织、督促和约束, 确保财务计划和实现的管理活动。
我国对于财务内部控制的重视程度很高, 以财政部为首的国家五部委也陆续发布《企业内部控制基本规范》、《企业内部控制配套指引》等, 形成了一整套内部控制规范体系, 但是我国很多企业内部控制依然实施的不是很好, 很多企业对于内部控制的认识不足, 财务内部控制制定环节存在很多问题, 信息化程度也不够等原因均导致我国企业财务内部控制方面的薄弱。因此, 建立更好的财务内部控制体系, 对于我国企业发展而言很重要。
3 S公司财务内部控制制度
S公司是世界500强的德国企业, 有许多分公司分布于我国的各个城市, 但是其财务中心却仅在北京总部。那么仅由总部来进行财务管理和日常工作, 其财务状况和企业运营却依然很良好, 这其中的原因就是由于财务内部控制制度十分健全, 对于提高防范财务风险管理等方面起着至关重要的作用。
3.1 企业管理者对于企业内部控制高度重视, 是有效实施财务内部控制的首要因素
S公司高层领导者对于其财务内部控制方面高度重视, 就现任总裁凯飒而言, 其发布的2020愿景, 将原有的四个业务领域调整为九个业务集团, 使得组织结构更加扁平化, 从而使得内部控制方面更加简洁直接, 有力推进企业财务内部控制推进。
3.2 内部控制体系设计全面, 是有效实施内部控制的前提
S公司就财务内部控制方面专门设计了四个控制部门, 专门的财务控制、基础设施控制、所有者权益控制和风险内部控制, 以及有一个专门的中国基础设施处理办公室, 来进行全方面的内部控制, 有效实施了企业的财务内部控制, 使得即使有很多个分公司, 也可以仅仅由总部来进行财务管理。
3.3 建立全面的成本控制和财务风险预警系统是有效实施财务内控的手段
S公司内部有财务年度和公立年度之分, 每年的财年从十月一日开始, 次年十月一日相当于财年结束。其对于财务报表的分析也是按照财务年度进行, 每个季度都会对每个分公司的财务报表进行分析, 分三个维度, 五个指标进行分析。
S公司每个分公司都会有五个维度, 其财务报表也一般会有五个, 其商务人员会通过五个财务报表, 设计的整体财务方向的六个指标, 对不同的分公司均进行分析, 然后分别得出发生变化的原因, 然后再专门从成本和费用两个方面从不同的角度进行分析, 对财务风险进行预警和对成本进行控制。
4 基于COSO框架下S公司财务内部控制制度
4.1 控制环境
控制环境是内部控制有效运行的基础, 决定着内部控制的标准、流程和结构。一个良好的控制环境包括组织的诚信和道德价值观, 能够使得最高管理层行使治理职责的监控体系, 保证实现绩效目标的绩效衡量、激励和评价系统。
S公司的企业文化是负责, 卓越, 创新, 愿景和生存, 其企业文化带领着各个S公司员工在严谨、负责和创新的环境中进行奋斗和拼搏。S公司企业中各个岗位职责划分明确, 不同领域的员工有着各自不同的职责, 并且互不侵犯, 就财务内部控制制度方面而言, S公司不同控制部门的人员负责不同领域的控制, 报销、审批、分析等均由不同的员工来负责, 各自并不干涉, 保证了财务流程运行的程序化和简洁而严谨。并不会出现互相干涉的局面, 各司其职, 各追其咎。
这和我国很多企业的环境大相径庭, 我国许多企业职责划分不明确, 有些人身兼众致, 复核、填单等都是一人担任, 这样的环境只会使得企业的运营状况混乱, 就会出现有人为了自身的利益便利用自己的权利去谋求私利, 最终导致企业和自己都深陷其害。因此, 我国企业应向S公司学习, 建立明确的职责分工, 各个员工有自己不同的职责范围, 互不干涉, 互相监督, 将企业和财务的运营都良好运转。
4.2 风险评估
风险评估就是分析所定目标实现的风险。风险包括外部和内部的风险。外部风险主要涉及与企业相关的法律法规、监管要求等带来的风险。内部风险包括战略风险、管理风险和操作风险。
对于S公司而言, 其面临的风险如下表2。
S公司的财务内部控制制度会对这些其可能面临的风险进行专门评估, 然后对此采用相应的措施来避免和减少风险的发生, 对于我国企业而言也有着学习效应。
4.3 控制活动
控制活动是确保管理层的指令得以执行的政策及程序, 是管理层识别和评估风险后, 对控制这些风险所实行的针对性措施。
(1) 授权审批控制。以S公司工会报销为例, 其设有不同区域的工会负责人, 然后每个分公司若进行了工会活动, 会首先将报销表和发票、人员名单等报交该区域负责人进行审核, 审核通过后区域负责人会报给北京工会的财务人员, 由其还有工会总负责人进行签字后, 才可以寄往财务中心进行报销。授权审批控制方面做得严谨而又程序、简洁化, 有利于企业的发展。
(2) 业务流程控制。以S公司调账系统为例。S公司会在每个月的月初, 由财务人员发出一封邮件, 由相应的商务人员进行调账工作。商务人员完成相应的调账后, 需要报给北京的财务人员进行复核检查, 检查无误以后, 再由总商务负责人签字, 并同时提交给另一方面的财务人员进行软件调账。由该财务人员完成整个软件调账以后, 再有商务人员下载数据进行检查, 做出各个分公司的账目差额, 报交总负责人, 无太大差别后, 才算完成了调账的整个运作。业务流程完整有序, 提高了工作效率并降低了错误。
(3) 绩效考评控制。S公司建立了绩效考评体系, 对每一个员工都有绩效评价, 由员工自己进行自评, 然后再由公司进行总评, 最终对员工进行客观而又正确的绩效考评。
4.4 信息与沟通
无论是企业还是人, 想要高效、完整的完成工作和业绩, 最需要的就是有效沟通。对于S公司而言, 其信息发布和沟通体系建设完整而高效。以S公司政府领域为例, 会有专门的人员搜集和汇总每个月有关S公司和中国国家政策的消息, 进行每个领域的总结, 每个季度发布一次, 会让不同领域的员工充分了解自己领域的所有消息, 高效获得。而沟通体系, S公司建设的更加完善。每位员工都有自己独有的邮箱, 可以与别人进行充分沟通, 另外, 员工可以通过自己的邮箱实时进行在线会议, 即使不在一个地方, 也可以进行充分沟通, 视频、语音都可以实时获得最新消息和政策指令。沟通高效而顺畅。
4.5 内部监督
以S公司工会为例, 其就制定有自己的内部控制监督制度。由各个工会人员和S公司员工监督执行。每个员工都有权利获得属于自己的工会福利, 有权知道自己所属工会的一切制度, 监督工会负责人的工作, 并保障自己的工会利益。
基于COSO内部控制框架, S公司的财务内部控制做得完善而全面。对于我国企业而言, 有着很强的借鉴作用。我国企业财务内部控制制度的建立, 也可以从控制环境、风险评估、控制活动、信息和沟通以及监督活动五个方面出发, 分别从各个方面建立相应的体系和指标, 相辅相成, 共同发挥作用, 促进企业的内部控制有效运行, 为企业的良性运营奠定良好的基础。
参考文献
[1]郝振平.COSO委员会新版《内部控制整合框架》的主要内容和实施策略[J].中国内部审计, 2014:20-24.
[2]王怡心.COSO2013的“内部控制”定义[J].中国内部审计, 2013, (6) .
一、COSO内部控制整体框架概述
企业内部控制作为一项系统工程,已经在欧美等国家形成了相对完整的理论体系和严谨的操作方法。1985年,美国会计学会和美国注册会计师协会等组织牵头组成了全美反舞弊性财务报告委员会(National Commission on Fraudulent Reporting)。(1)两年之后,该委员会又发起组织了一个专门研究内部控制问题的委员会———COSO委员会(Committee of Sponsoring Organizations of the Tread-way Commission),该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。1992年,COSO委员会对内部控制提出专题报告:《内部控制———整体构架》(Internal Control—Integrated Framework)。2003年7月,COSO委员会发布了《企业风险管理框架》征求意见稿,并于2004年4月颁布了正式稿。
在COSO框架文件中,对内部控制的定义表述为:内部控制是一个系统的过程,该过程受到公司董事会、管理层和其他人员的影响,其目的是为下列目标的实现提供合理的保证,这些目标包括经营的有效性和效率、财务报告的可靠性与遵守法律法规。企业财务内部控制作为企业内部控制的重要组成部分之一,COSO内部控制框架将内部控制划分为五个相互联系的组成部分:控制环境(Control Environment)、风险评估(Risk Assessment)、控制活动(Control Activities)、信息与沟通(Information and Communication)和监控(Monitoring)。
此外,COSO内部控制框架对不同人员在内部控制中的角色和责任也进行了界定。其中,企业内部每一位成员在实施内部控制方面都扮演着一定角色,对内部控制也都负有一定的责任,具体体现为:企业的董事会及其审计委员会通过对内部控制系统进行监察,深入地参与到内部控制当中。管理人员对企业的内部控制系统负责,而首席执行官(CEO)对内部控制系统负最终责任并拥有系统的名义所有权。尽管所有的管理人员控制其营业单位活动中都扮演着重要的角色并负有责任,但其中财务和会计人员在管理人员实施控制的方式中处于中心地位,他们负责防止和发现欺诈性财务报告,并提供有价值的信息。内部审计人员在评价内部控制系统的有效性并进而增强内部控制系统的持续性效果方面扮演着重要角色。
从以上分析可以看出,COSO内部控制框架突破了财务报告目标这一传统观念的束缚,大大拓展了内部控制的范畴。但实际上,我国的内控发展还主要是以内部会计控制为主,从《会计法》和《内部会计控制规范》等法律法规均可看出,内部控制主要侧重于提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等,涵盖企业内部涉及会计工作的各项经济业务及相关岗位。
因此,目前我国企业在内控建设的过程中,应该突破内部会计控制的概念束缚,参照COSO框架的内部控制的概念,不再使内部会计控制和内部管理控制泾渭分明。完善内部财务控制,在实现财务信息的真实准确性和相关法律法规的遵循性的控制目标的同时,将内控建设的目标定位于完整的内部控制。
二、我国企业财务内部控制的设计理念
不言而喻,健全有效的内部控制制度,不仅能保证企业会计信息的真实正确、财务收支的有效合法和财产物质的安全完整,还能保证企业经营活动的效率性、效果性以及企业经营决策和国家法律法规的贯彻执行。内部控制作为企业自我调节和自行制约的内在机制,处于企业中枢神经系统的重要位置。充分借鉴COSO框架的内控设计理念,制定出适合本企业业务特点实际情况的财务内部控制方法、措施和程序,是规范企业会计工作、加强内部管理和降低企业营运风险的重要保证。
(一)转变财务内控观念,建立行之有效的内控体系
1. 企业财务内控与管理过程高度契合
企业财务内部控制是提升企业经营管理水平的主要途径,也是降低企业经营风险和法律风险的主要措施。因此,内部控制制度应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,促使经营达到预期的效果,并监督企业经营过程持续有效地进行。
2. 企业治理结构与财务内部控制相互影响,相互促进
现代企业的典型特征就是所有权与经营权的分离。为了有效规避委托-代理风险,(1)企业治理结构也就应运而生。它通过一系列的制度安排,建立一种制衡机制,合理配置所有者和经营者的权利义务关系。实践表明:完善科学的公司治理结构能促使公司内部财务控制的有效运行,是保证财务内部控制制度的前提和基础。高效的财务内部控制制度能使公司治理的制衡机制有效发挥,从而最大程度均衡所有者与经营者的利益。只有科学的企业治理结构和高效的财务内部控制制度紧密结合,相得益彰,才能真正实现董事会、监事会和经理之间的约束和制衡关系,同时,也才能切实保证企业的良好运行以及从根本上提高财务会计信息的质量。
(二)扩大内部控制的责任主体,切实保障企业利益相关者的利益
从上文分析可知,COSO内部控制体系最大的亮点在于对不同人员在内部控制中的角色和责任进行了界定,特别强调企业内部每一位成员在实施内部控制方面都扮演着一定角色,对内部控制也应该负有一定的责任。不仅要求企业的财务和会计人员在实施控制的方式中处于中心地位,负责防止和发现欺诈性财务报告,并提供有价值的信息。另外,内部审计人员也必须在评价内部控制系统的有效性,增强内部控制系统的持续性效果方面扮演重要角色。而且,企业所有的管理人员在控制其营业单位活动中都扮演着重要的角色并负有责任。同时,企业其他职员在实施内部控制方面也必须发挥一定的监控作用,如提供内部控制系统所用的信息或采取其他行动实施内部控制等,除此之外,也有责任向上层汇报营业中的问题以及违规情况,并通过职务分离实现牵制和制衡。因此,在COSO框架文件中,可以将内部控制表述为:内部控制是一个过程,该过程受到公司董事会、管理层和其他人员的影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。
只有建立这样多责任主体的内部财务控制体系,才能从根本上保证会计信息的质量,才能提高企业的经营管理水平。
三、基于COSO框架下的财务内部控制制度建设
COSO报告被认为是内部控制理论研究方面的重大突破与巨大成就,该报告提出的内控框架目前在国际上受到广泛认同。对于我国许多内控建设尚处于起步阶段的企业来说,COSO框架值得我们借鉴。再者,美国2003年颁布的《萨班斯法案》(SOX ACT)第404条款的最终细则也明确表明:COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。
2008年5月22日,财政部、证监会、审计署、银监会、保监会共同发布了《企业内部控制基本规范》,明确要求上市公司对内部控制的有效性进行自我评价,披露年度自我评价报告。
我国目前尚未正式提出权威性的内部控制标准体系,对内部控制的完整性、合理性及有效性更是缺乏一个公认的标准体系。许多企业正处于从原有的计划经济运作模式向完全的市场经济模式过渡过程中,并未意识到或是刚刚开始意识到内部控制的重要性,对内部控制的概念仍然比较模糊,造成其内部控制比较薄弱。因此,结合COSO内控框架对于我国企业目前建设企业财务内部控制体系具有非常重要的意义。
(一)财务内部控制原则
1. 成本效益原则
设置财务内部控制体系必须结合本企业的实际经营状况,在保证决策不“失策”的情况下,使控制活动的成本效益与具体的被控制情况相结合,从整个企业的角度运用财务分析法或运用宏观的经济分析法来确定其“效益”,使控制成本小于控制收益。而且,在涉及较大的社会影响的控制项目(如环保项目等),还应当着眼于社会整体利益与企业个体利益的均衡。
(1)委托-代理风险是基于现代企业的委托人和代理人之间由于所有权与经营权的分离,容易产生“信息不对称(asymmetric information)”现象。加之这二者的效用函数不一样,委托人追求的是自己的财富更大,而代理人追求的是自己的工资津贴收入、奢侈消费和闲暇时间最大化,这必然导致两者的利益冲突。在没有有效的制度安排下,代理人的行为很可能最终损害委托人的利益,从而产生道德风险(moral hazard)。
2. 系统完整原则
设计财务内部控制制度应充分体现内部控制的各个要素的要求。主要包括控制环境、控制目标、风险评估、控制活动、信息和沟通、监督等要素。设计各种业务的内部控制制度,既要在各个制度中充分表述各个要素的内容,又要相互联系、相互制约,构成企业管理中的一个完整的可持续的管理系统,能有效控制企业的经营活动,促使完成预期的控制目标。同时,还应当关注控制制度的严谨性、完善性和协调性,防止疏漏与失控,充分发挥制度的整体控制功能。
除此之外,内部财务控制体系应当贯彻“合理控制(reasonable assurance)”理念,由于企业内部控制环境的经常变化,导致内部控制制度不可能一劳永逸,其固有的局限性不可避免。换言之,在企业内部财务控制制度执行过程中,相关责任人应当审慎观察制度本身有无漏洞或失控之处,控制环境有无变化。如果现有的内部控制制度存在缺陷,必须依据实情作出相应的变更和完善,尽力消除控制“盲点”,使之满足企业内部控制的需要。
(二)财务内部控制要点分析
一般而言,实现控制目标主要是控制容易发生偏差的业务环节,这些控制环节通常称之为控制点。这些控制点在业务处理过程中发挥作用大,影响范围广,甚至决定着企业整个业务活动的控制目标的实现。内部控制的核心是有效地控制风险,而企业内部控制制度的核心是财务内部控制制度。具体来说,企业财务内部控制点主要体现在以下几方面。
1. 货币资金业务内部控制
企业对货币资金的收支和保管业务应建立严格的授权审批程序,办理货币资金业务的不相容岗位必须分离,相关机构和人员应相互制约,加强款项收付的稽核。对于资金管理,应当对资金的筹集、使用、分配、调度等实行严格控制,防止资金体外循环,造成企业失血,所涉及到的业务流程有“筹资业务管理”、“货币资金管理”、“资金收拨款管理”、“承兑汇票管理”、“资本支出”、“应收账款”、“担保业务”等。
2. 成本费用内部控制
对支出项目及金额严格监督,防止循私舞弊,所涉及到的业务流程有“采购业务”、“生产成本”、“修理费”、“人工成本”、“科技开发费”、“管理费用”、“销售费用”、“销售业务”、“存货管理”、“固定资产”、“无形资产”等。
3. 审批与授权的内部控制
按照COSO报告理念,每个层级、每个单位乃至每个成员都与内控制度有关。而在权力的使用中,应该防止滥用职权,造成经济损失。企业必须制定《权限指引》落实分级授权制度,分层分级自上而下延伸权限,须按照“更严、更细、更具体”的原则设置权限,让员工明确该做什么、做到什么程度、有什么责任、有什么提升机会。
对于我国许多内控建设尚处于起步阶段的企业来说,COSO框架值得我们借鉴。尤其是COSO强调的内部控制要为业务经营、财务报告和符合性三类目标的实现提供合理保证,并将内控分为内控环境、风险评估、控制活动、沟通与监督五个组成部分,以及COSO框架对于内控职责分布的论述对我们的内控建设均具有指导意义。只有这样,才能确保我国企业的内控体系建设从一开始就有一个比较高的起点,能够迅速适应现代企业市场竞争的需要,使内控体系成为企业长期稳定发展的重要保障。当然,我国企业在借鉴COSO框架的同时,也应该充分考虑自身特色,在此基础上设计和规划自己的内部控制建设,达到从根本上提升企业经营管理水平的目的。
参考文献
[1]刘戬.COSO框架与我国企业内部控制制度建设[J].会计师,2007,(1).
[2]孙光国,陈艳丽,刘英明.会计制度设计[M].大连:东北财经大学出版社,2007.
[3]徐德.现代内部控制制度设计理念及原则的探讨[J].财会通讯:综合版,2005,(2).
一、基于COSO-ERM框架的税务风险管理体系
2004年9月, CO SO (Com m ittee O fSponsoring O rganization) 根据萨班斯法案的相关要求, 正式发布了《企业风险管理整合框架》 (CO SO-ER M) (以下简称《框架》) 。《框架》中对风险管理的定义为:风险管理是一个过程, 受企业董事会、管理层和其他员工的影响, 包括内部控制及其在战略和整个公司的应用, 旨在为实现经营的效率和效果、财务报告的可靠性及法规的遵循提供合理保证。《框架》中明确了企业风险管理的八个组成要素, 分别是:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控。整个风险管理过程是环环相扣的, 以内部环境为平台和基础, 企业通过制定科学的目标作为起点, 根据确定的目标, 对影响该目标的风险进行事项识别, 并对相应事项进行风险评估, 随后还要对风险评估作出风险反应, 并做出相应的应对措施, 从而进一步对风险采取控制活动。同时, 在每一个环节中, 信息与沟通、监督两个要素必须贯穿于企业风险管理的整个过程, 并对其他各要素随时进行修正。这八个要素是一个有机整体, 企业风险管理是这八个要素彼此间相互作用、相互影响的过程。将企业税务风险也视为企业风险的一种, 参照《框架》给出的企业风险管理体系, 可以构建企业税务风险的管理体系, 见图1。
由图1可以看出, 在八个要素中, 信息与沟通、监控这两个要素为管理层监督各项活动和在必要时采取纠正措施提供了保证。相关信息即包括了从企业外部获取的行业、经济及监管等涉税信息, 也包括了内部生成的反馈信息。沟通则包括了企业自上而下、自下而上广泛贯穿于整个企业生产经营过程的沟通。信息与沟通是整个内部控制系统的生命线, 连接了税务风险控制体系整体框架的其他要素, 是有效实施税务风险控制的保障, 直接影响着企业税务风险控制的贯彻执行、税务风险控制目标的实现。因此, 构建企业涉税信息与沟通体系, 对于加强企业税务风险管理起着至关重要的作用。
二、企业涉税信息与沟通体系构建
其一, 信息系统的构建。根据CO SO-ER M框架, 对信息的控制目标是建立完善的识别、获得、报告及处理各种信息的体系。其控制要点包括:获取内部和外部信息, 并将企业既定目标的实现情况报告给管理层;向相关部门及时提供充分的信息, 使之能够有效、顺利地履行责任;结合企业总体战略, 制定企业信息系统战略计划, 通过对信息系统改进或修订, 帮助企业实现总体目标和活动具体目标;管理层投入必要的资源进行信息系统的开发。根据CO SO-ER M框架对信息控制的目标及要点的设定, 构建企业税务风险信息控制体系应包括以下措施: (1) 内部信息反馈制度。采购、仓储、生产、销售等部门针对各自日常工作中与购进、耗用、损失、销售及库存有关的情况, 应每月进行信息反馈。各部门主管在各阶段中定期进行数据整理统计及信息收集, 如实填写相应的信息反馈表, 按要求报送财务部门。财务部门在一周内将信息分析汇总, 上报企业管理层, 经企业管理层批准后按批准意见进行税务处理。同时, 财务部应根据每月财务报表及其他部门的涉税业务情况填写《业务涉税信息反馈表》, 并在发放给采购、仓储、生产、销售等部门的同时提交企业管理层。 (2) 外部信息征询制度。采购、仓储、生产、销售等部门应根据实际业务情况, 每月通过与采购商、供应商的沟通交流, 编制《市场信息意见征询报告》提交给财务部, 并由财务部在一周内汇总整理转交给企业管理层。同时, 在每个季度中, 财务部应针对企业在生产经营中的各类涉税信息与税务机关、技术监督机关、外汇管理机关、行业协会等有关机关进行沟通和联系, 并在一周内将信息分析汇总, 填写《涉税业务处理意见征询报告》上报公司分管财务工作的负责人, 经公司决策层批准后按批准意见进行税务处理。 (3) 信息汇总制度。为使企业税务信息分类合理并得到有效的运用, 要求对企业涉税信息按规定流程进行加工、传递和处理, 并通过《税务信息流汇总表》的形式来明确这种处理和传递。下面, 以普通工业企业部门设置为例来说明《税务信息流汇总表》的编制方法。按照企业生产经营需要, 下设经理办公室、财务部、技术开发部、人事部、生产部、销售部六个部门。当然在实际工作中, 企业的部门设置中可能还会进一步细分, 例如:生产部下又可划分为生产、采购、储运等部门。本文以上述六个部门作为范例, 各企业在实际操作过程中可根据本身的部门设置进行调整。具体内容见表1。从表1可以看出, 整个企业信息汇总制度中, 财务部起到了关键的枢纽作用, 即其他各部门的反馈表及意见征询报告首先都要提交给财务部进行审核, 然后再由财务部上交给企业管理层;同样, 企业管理层制定的决策及意见征询报告, 也需要通过财务部的审核才得以实施或转发。这样, 整个企业的涉税业务都在财务部可控制范围以内, 并由财务部进行税务风险评估, 从而可以大大降低企业税务风险。 (4) 信息处理制度。企业管理层对财务部门上报的内、外部信息处理建议, 在一周内拟定处理意见, 提交公司决策层批准。对公司决策层批准的意见在一日内下达公司财务部门执行, 财务部门在当月税务处理中遵照执行。 (5) 税务信息管理平台的建设与开发。有条件的企业, 还可以投入资源进行电脑软件的开发, 构建税务信息管理平台。该系统应按业务流程自动生成信息流、资金流和物资流“三流合一”的税务信息, 并及时传输到企业的数据仓库中进行监控和分析, 保证税务风险始终处于“受控”状态。不同业务部门的人员在同一信息管理系统上进行业务操作, 使业务数据一经录入, 即可通过信息管理平台进行汇总。
其二, 沟通活动的构建。根据CO SO-ER M框架, 沟通的控制目标是将信息提供给相关的人员, 以便于其履行职责, 使沟通贯穿于信息处理的整个过程。其控制要点包括:为各部门反映其注意到的可疑问题建立沟通渠道, 同时为供应商、采购商和外部其他方面交流建立有效的渠道;员工提出的有关提高生产力或其他改进方面的合理建议应被管理层接受;企业内部各部门之间沟通的充分性;对于来自供应商、采购商和外部其他方面的讯息, 企业管理层能够采取及时和适当的应对措施。根据CO SO-ER M框架对沟通控制的目标及要点的设定, 构建企业税务风险信息沟通活动应包括以下措施: (1) 信息沟通方式。涉税信息沟通工作由财务部门负责, 采购、仓储、生产、销售等部门协助完成。财务部门负责定期与内部经营部门和外部行政管理机关加强沟通和联系, 掌握各类与申报纳税相关的信息;采购、仓储、生产、销售人员在日常工作中发现的问题及时反映到财务部门, 以便财务部门针对不同情况及时进行税务处理。具体的沟通方式有:日常情况为口头、电话、传真;紧急情况为口头、电话;定期沟通为依照《业务涉税信息反馈表》、《外部信息意见征询报告》填写相关内容。 (2) 信息沟通工作责任追究制度。凡对涉税信息沟通工作不重视、弄虚作假、敷衍塞责的, 对工作中发现的问题不及时上报, 导致企业在申报纳税上被税务机关处罚的, 要通报批评, 追究责任。 (3) 信息沟通考核制度。向企业反馈的涉税信息直接或间接为企业降低税收负担, 或者发现往期税务处理错误, 使企业避免受到税务行政处罚的, 按照贡献大小, 适当给予物质奖励。
构建企业涉税信息与沟通体系, 要求企业在内部信息交换上, 财务部门负责定期与内部经营部门和外部行政管理机关加强沟通和联系, 随时掌握各类与申报纳税相关的信息;采购、仓储、生产、销售人员在日常工作中发现的问题及时反映到财务部门, 以便财务部门针对不同情况及时进行税务处理。在外部信息交换上, 企业定期与税务机关、技术监督机关、外汇管理机关、行业协会等有关机关进行沟通和联系, 及时掌握各类涉税政策变化。企业能够迅速掌握各类涉税信息资源, 根据获得的信息分析对当前经营活动的影响, 并及时做出响应, 最大限度的享受税收优惠政策, 最快速度地根据税收政策变化调整经营策略, 有效防范税务风险的产生。
参考文献
与企业相比,高等学校内部控制建设相对比较滞后,还没有一套对高校行之有效的内部控制指导性规范,也很少有高校聘请外部力量或自行研究设计一套系统完整、规范合理的内部控制制度体系。
《会计法》第二十七条规定,“各单位应当建立、健全本单位内部会计监督制度。”《高等学校财务制度》中规定高等学校必须“建立严密的内部监督”。这些“监督”既是高等学校管理的任务,更是内部控制的目标。因此,内部控制并非是企业的专利,它同样适用于指导高等学校教学、科研和管理等相关活动。
一、COSO内部控制框架的组成要素
COSO内部控制框架认为,内部控制是由企业董事会、管理部门和其他员工实施的,旨在实现合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略等控制目标的过程。提出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素构成,其中控制环境是核心,各要素之间又相互作用、相互影响。
(一)控制环境
控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境,包括个人诚信正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理阶层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序等,是其他一切要素的基础和核心。
(二)风险评估
风险是一个潜在事项的发生对目标实现产生的影响。任何企业都会面临来自企业内部与外部的风险,风险评估是判别和分析完成目标过程中的风险,从而为风险管理提供基础。
(三)控制活动
控制活动是指保证管理目标得以实现而建立的政策和程序。它能够针对企业目标完成过程中的风险采取必要的行动,它贯穿于整个组织的各个层次和部门。
(四)信息与沟通
信息与沟通是指企业内部各部门的人员必须能够取得他们在执行、管理和控制企业过程中所需的信息,并交换这些信息。所有的人员都必须具有从上层管理部门获取准确信息和上级部门能够获取反馈信息的通道,从而使他们理解自己在内部控制框架中的作用以及本人活动与他人工作的关系。
(五)监督
监督是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内部控制系统的监督,并在必要时对其加以纠正。
二、COSO内部控制框架的启示和借鉴
高校内部控制的好坏关系到学校的生存与发展,也必将直接影响教育资金使用效率和高校的办学效益。为了保证高等教育事业的健康发展,实现培养高质量人才和规模发展目标,有效地配置学校经济资源,充分发挥其作用,保护学校资产的安全和完整,为管理者提供真实、可靠和完整的经济信息,高校内部控制制度的机制建设显得极为重要。高校内部控制建设是一项新的工作,也是衡量一个高校管理水平的重要标志。COSO报告具有一定的启发和借鉴意义,在构建我国高校内部控制系统时,可从以下方面着手:
(一)控制环境
控制环境是推动控制工作的发动机,是所有内部控制组成部分的基础,对其他要素起着基础的先导性作用,它奠定了组织的风纪和结构,决定着一个单位的内部氛围和价值取向。近些年来,虽然高校内部控制理论、思想及其内涵得到了进一步的完善和发展,与经营目标有关的内部控制制度的建设在内容上、范围上也越来越广泛,但由于种种原因,控制环境仍不尽人意,内部控制管理观念仍然缺乏,导致责任不清、分工不明确、有章不循、违章不究,从而引发高校职务犯罪、贪污腐败和国有资产流失等现象。因此,加强和完善高校内部控制,首先是内部控制环境的建设。控制环境中的要素包括:价值观、管理哲学与组织结构、发展战略、人力资源、校园文化和社会责任等。
1. 高度重视内部控制建设
高校的内部控制建设如何,领导层起着关键性的作用。这就要求领导层要以身作则,成为内部控制制度的守护神,营造大家都来重视内部控制建设的氛围。首先,领导层必须要让学校的每一个组成人员都能够明确内控制度的目的和意义,使每一个人都能够具有控制觉悟和自觉的控制态度;其次,领导层进行内部控制的态度必须一定要积极主动:第三,必须充分考虑员工的能力与责任要相匹配。同时要时刻关注高校外部环境的变化,加强与政府、社会的联系,强化高校的外部监督机制,构建和谐的外部环境。
2. 建立有效的治理、组织结构
组织结构包括内部机构设置及管理层分工制衡及其在内部控制中的职责权限。建立组织机构,明确责任主体和责任人,其目的是为了进行协调与管理。高校要建立“党委领导,校长管理,教授治学”的内部治理结构,正确处理好学术权力、行政权力和政治权力的关系,处理好决策、行政和监督之间的关系,处理好校院系三级管理者的责、权、利,有助于各种力量之间的协调,从而维护高校发展的基本秩序、提高高校的运行效率、实现学术自由与以人为本的大学理念,进而完成大学的使命。
同时建立能够将学校财务预算层层分解、层层落实的责任中心,其目的是为了实行有效的内部协调与控制,各责任中心是高校内部的组织体系,它既可以是单独的组织机构,也可以是包含在其他组织机构中的承担特定目标和任务的责任岗位。只有将财务预算通过建立责任中心来分解落实高校内部的各个部门、各个层次、各个岗位、各个责任人,使高校的每一个职工都能够明确自己的职责和任务,这样才能实现最有效的内部控制。
3. 人力资源政策
COSO报告特别强调人在内部控制中的作用。内部控制建设的好坏关键在于人才,特别是一些高级管理人才。留住人才,也就留住了根本,因此,我们要树立“以人为本”的思想,将服务理念贯穿于人才管理工作中。要建立科学的聘用、培训、轮岗、考评、晋升、待遇及业绩考评等人力资源管理制度,做到考核及时、奖惩到位,充分激发员工的积极性和责任感。良好的人力资源政策对培养员工、提高员工的素质、更好地贯彻和执行内部控制有很大的帮助。
4. 校园文化
校园文化是指高校在长期的办学过程中创造的物质财富和精神财富的总和。它包括高校物质文化、高校行为文化、高校制度文化、高校精神文化。健康的校园文化崇尚一种严谨务实、开拓创新的思想,能激励师生弘扬传统,增强荣誉感、责任感、使命感,奋发向上的精神风貌,树立一种“校兴我荣,校衰我耻”的氛围。在这种氛围中,上至领导层,下至普通员工,都会自觉维护内部控制制度,并为内部控制建设贡献自己的智慧。校园文化集中体现了“以人为本”的高校人文主义精神,通过培育高校师生员工共同价值观和良好的文化氛围,可以充分发挥校园文化的导向、约束、激励和辐射功能,从而大大提高高校内部的凝聚力和对外界的影响力。
(二)加强风险意识,强化风险管理
风险是一个潜在事项发生对目标实现产生的影响。风险评估是单位及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对政策,是实现内部控制的重要环节。随着我国教育体制改革的不断深入,高校所处的内外经济环境发生了很多变化,高校在面对前所未有的发展机遇的同时,不可避免地会遇到各种风险。例如,许多高校只重视学校的扩张,工作重点放在招生人数的增加、校舍建设和其他基本建设的投入上,对盲目扩张、大量贷款的风险没有充分的认识。这种盲目决策行为忽视了内部风险管理,风险意识淡薄,对举债融资的还贷能力缺乏必要的可行性论证,缺乏风险识别、风险预警、风险评估等风险防范措施。对此,高校要有足够的风险管理意识,建立有效的风险管理系统,通过制定与教学、科研、招生、就业、财务等业务相关的目标,设立可辨认、分析与管理相关风险的机制,充分识别各种潜在的风险因素,运用风险应对策略对风险进行全面防范和规避。主要措施有:
1. 建立筹资、投资风险评估制度
目前高校内部所存在的风险主要是财务风险,对于财务风险的控制关键是保证有一个优化的资本结构模式。一个合理的负债规模既要充分利用举债发展来增加对扩大办学规模和提高办学层次的投入又要注意防止过度举债而引起的财务风险增大。因此,建立规范的对外筹资决策机制和程序,通过实行重大筹资决策集体审议联签等制度,加强筹资项目立项、评估、决策、实施等环节上的控制,把风险降低到最小程度。同时充分利用现有的财务和会计数据,系统全面地分析学校的财力,并建立专门的指标体系和预警系统,以便对这些问题做出及时反映,控制财务风险。
2. 建立合同风险控制制度
目前高校在合同管理方面还不够健全,因此,在高校要建立合同风险控制制度,内容包括合同起草、审批、签订、履行、监督和违约时采取应对措施的控制程序,切实减少、防范或避免合同风险发生,同时还要建立现代合同管理制度,对合同实现归口管理,明确责任。财务部门应参与合同风险控制的全过程。
另外,很多高校还存在着内部管理混乱、教育培养成本提高、教育资源浪费、教育质量下降等风险,对于这些内部风险的控制,高校要有足够的风险管理意识,并采取相应的措施,制定各项内部管理制度,设立风险控制点,建立有效的风险管理系统,进行全面的防范和控制。
(三)建立良好的控制活动
高校内部控制建设不是暂时性、偶然性的工作,它需要制度化、规范化的内部控制活动来保障。长期以来,高校的控制活动比较薄弱,内控制度的一些具体规定不科学。例如,重大财务收支活动,没有严格的审批权限,财务人员、监察审计人员不参与或很少参与,导致决策失误;预算执行力度不强,任意调整预算、突破预算,预算的严肃性受到挑战;只重视教学仪器设备的购置,不重视设备的管理、使用等等。制度建设是有效实现内部控制的保证,“以制度管人,依制度行事”应该是现代高校“依法治校”的具体表现,只有制定符合法律法规,具有经济、管理、专业理论依据的完备的、操作性强的内部控制制度,内部控制才有章可循。目前,高校迫切需要加强对以下业务活动的控制。
1. 建立全面预算控制
预算控制是内部控制的重要方面,是高校一切经济活动的指南,学校各项经济活动都必须围绕预算来进行。加强预算控制是高校内部控制的重要环节,由于预算编制涉及面广,必须成立专门的编制预算的委员会,由这一权威层次进行决策、指挥和协调;建立预算工作岗位责任制和授权审批制度,使预算编制、审批、执行、考核等不相容岗位之间能够形成有效的制衡机制;强化预算的编制控制,在科学预测和决策的基础上,制定标准与定额,推行零基预算,审查预算中所列的每一个项目、每一元支出是否合理、必要;预算一经确定,就严格执行,特殊情况需要调整的,必须建立严格、规范的调整审批制度和程序;建立预算执行情况内部报告制度和预算的跟踪、分析、评价制度,比较、分析出现差异的原因,确定责任归属,并采取措施进行控制,确保各项预算的严格执行。
2. 加强实物资产控制
高校实物资产数量多、金额大,分散到学校的教学、科研、服务、管理等各个领域。长期以来,高校总是把教学、科研放在首位,在资产管理方面比较薄弱,缺乏控制意识,控制制度不健全,“重投入,轻管理”,造成了资产流失、闲置、浪费,许多高校存在不同程度的账实不符的情况。高校必须贯彻财、物并重的原则,强化实物资产管理意识,建立资产管理的岗位责任制度,确保不相容岗位相互分离、制约和监督;建立资产管理的业务流程,明确资产的取得与验收、日常保管、处置与转移等环节的控制要求;建立资产验收制度,加强资产的日常保管控制,建立资产分级管理制度、卡片管理制度、维修保养制度、清查、盘点和处置制度,从而对实物资产的全过程进行管理和控制。
3. 加强学费收缴控制
收费工作是高校内部控制的一项重要内容,高校要建立由财务处、学生处、教务处及各学院组成的收费管理体系,明确各部门岗位的责职,建立收费系统维护、应收款编制、款项收取、稽核检查等不相容岗位的相互制衡机制;加强学费收、缴、记的会计控制,对每位学生从入学到离校的应收、已收、已退、欠费等进行全过程的跟踪控制,避免和减少恶意逃费的损失,防范收缴学费过程中的舞弊行为;建立学生收费系统与教学管理信息系统相连接,实现信息资源的共享。
另外,加强成本费用控制,进行教育成本核算。
(四)加强高校信息与沟通
高校组织机构过于庞大、层次过多,因此存在信息沟通渠道不畅通、沟通不及时、沟通机制不健全等情况。在成本效益原则下,为避免人力成本的大幅增加同时又能提高工作效率,高校可以借助于以高校财务管理信息系统为中心的高校信息管理系统平台,利用各信息管理系统之间信息交流沟通协调渠道,建立高校内部控制框架体系。通过框架体系的有机运转将各环节具体的内部控制内容和措施贯彻到高校信息管理系统中的各个内部子系统中去,从而形成一个运转有序流畅的高校内部控制有机整体,借助信息化手段,建立在以高校财务信息系统为中心、其他管理系统环绕的高校信息管理系统,实现多系统的数据共享。使每个人均了解内部控制的有关方面及其在处理业务时所处的地位、应承担的责任和与他人工作的相关性,都清楚在各种情况下应做什么和怎样做、不该做什么和不该怎样做。
(五)加强监督控制
建立高校内部和外部相结合的监督检查体系是高校内部控制实施的重要保障。内部监督是高校对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,对于发现的内部控制缺陷及时加以改进,是实施内部控制的重要保证。高校应逐步完善内部控制监督制度,在机构设置上,设立独立的内部审计机构。内部审计机构是强化内部控制制度的一项基本措施。内部审计工作的职责不仅包括审核会计账目,还包括稽核、评价内部控制制度是否合理、健全、有效,确定有关经济资料的真实性、准确性,业务活动的合规性和效益性,评价内部控制目标是否完成,及时向管理层揭示、反馈学校当前管理工作中的主要风险、薄弱环节与制度缺陷,并提出相应的改进建议。
【基于COSO框架的企业内部控制问题研究】推荐阅读:
基于平衡计分卡的战略实施框架研究02-11
基于内控要素对商业银行内部控制的研究04-13
基于实时动态技术的城市控制测量技术研究03-10
基于成本控制的制造企业财务管理探析04-19
混合式课例研究是基于对问题的研究06-03
基于SWOT分析的煤炭企业战略转型研究07-28
基于EVA的国有企业经营业绩评价研究01-12
专题研究的写作框架建议04-30
