自有企业制度以来,内部控制就伴随着企业制度的变化不断变革与创新。从山西平遥的日升昌号原始朴素但又不失缜密细致的内部控制制度,到当代美国的OSO
(发起组织委员会) 和加拿大的COCO (加拿大特许会计师协会控制委员会) 内部控制框架文件。本书不仅向读者展现了内部控制发展的跌宕史和当今内部控制中一些纷繁精彩的画卷,而且介绍了在信息技术大环境下内部控制的架构和各种控制模块及其构建方法与实用技术。
无
以我个人的观察,要让任何组织(企业、政府及非营利机构)的管理者重视内部控制,首先需要有两个前提:第一,管理者有内在动力,这有赖于激活利益动机的所有制变革,或推动激励机制的管理制度变革;第二,管理者将注意力由寻求“走捷径”转向重视“练内功”,这有赖于组织所处的法规、市场、税制等外部环境趋于规范,减少甚至消除各种“歪门邪道”。
上述两个前提在中国的经济领域中正在逐渐显现出来。所以,内部控制最近几年开始得到了实务界、理论界以及政府机构的重视。
在本前言中,我觉得有必要借此强调一些书中很少涉及而又有关的背景,以及作者对内部控制机制及实施的基本认识。
1内部控制架构
谈及内部控制,就不能不提美国的COSO报告(The Committee of Sponsoring Organizations’ Reports)。1992年,COSO报告作为针对企业内部控制的规范文件,在实务界、理论界具有相当广泛的影响力。世界各国许多企业或非企业组织在设计内部控制系统时,普遍借鉴和采用COSO报告的基本内容,如对内部控制的定义、内部控制管理目标和报告目标的阐释以及内部控制系统核心要素的划分。
2001年,美国安然公司、世通公司及之后的一系列公司财务舞弊案件引致了2002年《萨班斯-奥克斯利法案》(SOA)的诞生、颁布和实施。根据SOA第404条款的要求,在美国证券交易委员会(SEC)备案的上市公司必须提交年度内部控制报告。为此,所有公司必须建立基于COSO框架的内部控制系统,并聘请上市公司会计监督委员会(PCAOB,依据SOA而成立,对SEC负责)认可的机构,对公司内部控制系统进行审核并出具评价报告。显然,SOA更加强化了COSO报告的影响力。
考虑中国企业内部控制的演进历史和特殊的社会经济背景以及企业内部控制实务,我曾经提出在设计组织的内部控制系统框架时的“三层次模式”,以考虑企业治理机制、管理控制设计以及运营控制实施和优化,并对三者之间的逻辑联系给以充分的重视(见图01)。
图01内部控制系统框架
由图01可以看出,就控制重心和控制实施主体而言,内部控制系统由三个子系统组成:治理层面的内部控制子系统、运营层面的内部控制子系统、管理层面的内部控制子系统。从动态角度来看,在内部控制系统实施中,每个内部控制子系统与总系统都需要持续地加以测试、改进和优化。
2控制自我评估
对内部控制系统的解析、评价、优化和改进,谁是评价主体?
我认为,可以分为内部评价主体和外部评价主体两大类。内部评价主体包括组织内部上级单位对下级单位的评价和内部职能机构对组织整体的评价。外部评价主体包括注册会计师执行定期财务报告审计职能时的例行评估和注册会计师或专业咨询机构对组织进行的专项评估。
内部评价主体和外部评价主体对公司内部控制系统进行评价的立场、角度及目的会有所不同,不过,就评价内容和方法而言是相似的。
内部评价也可以说是控制自我评价(Control Self Assessment, CSA)。CSA源于20世纪80年代后期,加拿大海湾能源公司将CSA作为评估内部控制效果及商业流程、检验传统的内部审计工具能力的手段。当时该公司面临内部控制的两难境地,公司内部审计群体就发起了协调性自我评估方法,将与专门的内部控制问题或流程有关的管理人员和职员召集在一起商讨。这个过程成为了一个成功的评估机制。CSA方法已成为内部审计人员的新型的强有力的工具,有助于更好地了解组织的内部控制环境。CSA要求内部审计人员正式组成专家小组来评估组织的内部控制。
国际内部审计师协会(IIA)曾对CSA的不同方法有过推介,辅助内部审计职能查明各项控制,或是帮助其他人来评审内部控制。
3COSO企业风险管理整体框架
为了设计和建立有效的内部控制,需要理解整个COSO内部控制环境下的风险要素。
我们知道,1992年的COSO内部控制框架已经包含风险评估要素。不过,虽然COSO倾向于注重某个过程中的风险,2004年COSO新公布的“企业风险管理” (ERM)框架提供了用于评估贯穿整个组织或企业的风险的工具。ERM框架初稿最初公布于2003年7月,并在2004年9月发布终稿。ERM框架提供了用于理解和评价企业层面所有机构风险的一致性综合框架或方法。
ERM框架将企业风险管理定义为:企业风险管理是一个受机构的董事会、管理层以及其他人员影响的过程,它可以运用在战略制定上并贯穿于企业过程之中,设计企业风险管理旨在确认影响机构的潜在事件,并在风险偏好内管理风险,为机构目标的实现提供合理的保证。
4超越COSO:内部控制的其他框架
由于2002年美国《萨班斯-奥克斯利法案》对COSO内部控制框架的肯定,COSO框架正在成为定义、理解和评价内部控制系统的全球性框架基础。
然而,COSO框架并不是唯一的内部控制框架。其他可供选择的内部控制框架有:①CobiT框架。CobiT为理解和记录SOA第404条款要求下的具有高度自动化系统的组织的内部控制提供了有用的工具。②Turnbull框架。它适用于英国以及多数欧盟组织。③CoCo框架。它由加拿大特许会计师协会(CICA)制定。
上述内部控制框架同样具有国际性,与COSO一样是恰当而有力的。以CobiT框架为例,它非常有特点。
5内部控制与信息技术
如何将内部控制与信息技术两者结合起来呢?
信息技术的飞速发展使会计领域中计算机的应用越来越广泛,从计算机账务和编表处理,延伸拓展到会计核算、财务管理和管理实践的各个领域。随着信息技术在管理领域的广泛应用,原有的内部控制越来越不适应企业的业务发展和管理的提升,信息技术的应用必将对内部控制的方方面面产生深远的影响。信息技术的发展为管理工作的重心从经营成果的反映向经营过程的控制转移创造了技术条件。为了保证企业经营方针和系统最优化目标的实现,需要采用计划、预算、内部控制、分析、稽核、报告等会计方法和手段,利用财务信息对企业生产经营过程进行控制,控制的内容包括效益控制、资产控制和风险控制等。
综上所述,强化内部控制已经成了一个世界性的管理理论和管理实践的主题。研究的空间还很大,尤其在我国,还只是刚刚开始。
2007年6月于北京大学
自有企业制度以来,内部控制就伴随着企业制度的变化不断变革与创新。从山西平遥的日升昌号原始朴素但又不失缜密细致的内部控制制度,到当代美国的OSO (发起组织委员会) 和加拿大的COCO (加拿大特许会计师协会控制委员会) 内部控制框架文件。本书不仅向读者展现了内部控制发展的跌宕史和当今内部控制中一些纷繁精彩的画卷,而且介绍了在信息技术大环境下内部控制的架构和各种控制模块及其构建方法与实用技术。
王立彦 张继东:暂无简介
前言
第1章导论1
11信息技术对内部控制的影响1
12信息技术对内部控制内容的影响1
13信息技术对内部控制技术的影响4
第2章内部控制信息技术的控制架构6
21当今信息技术实现内部控制的特点6
22当今信息技术实现内部控制的架构18
第3章信息技术下的内部控制单元23
31内部控制单元的定义和外延23
32内部控制单元的类型24
第4章信息技术下的内部控制模块49
41内部控制模块的定义和外延49
42内部控制模块的类型50
第5章信息技术下的内部控制信息管理62
51信息技术条件下内部控制信息管理62
52信息技术下内部控制信息管理技术66
第6章信息技术下的内部控制设计82
61内部控制信息系统的系统设计82
62内部控制信息系统的详细设计91
第7章信息技术下内部控制的集成96
71内部控制信息系统的集成方法96
72内部控制信息系统的集成内容101
73内部控制信息系统的集成特点106
第8章信息技术下内部控制的实施110
81内部控制信息系统的实施设计110
82内部控制信息系统的实施关键116
第9章内部控制系统的过去、现在和未来128
91内部控制的兴起128
92信息技术架构的历史演变143
93各种信息技术架构下的内部控制实施之比较148
参考文献155