将内控制度当作作业标准,就可以按照控制论或管理控制的循环步骤,执行内控制度,实现内控制度的目标。
3 在外延上,内部控制包括会计(财务)控制、管理控制、业务控制和法规执行控制。会计(财务)控制的目标是保证财务报告的可*性,管理控制的目标是保证管理目标即效率和效果的实现,法规执行控制的目标是保证法规的贯彻执行。这三个目标与COSO报告完全一致。那么,我们为什么又增加一项业务控制呢?一个重要的原因是会计控制的对象为货币以及与货币有关的物,管理控制的对象为人,业务控制的对象为物。业务控制与会计控制或管理控制可能重叠,但会计控制或管理控制都不能完全涵盖业务控制。此外,法规执行控制是其他三项控制的前提条件。
4 内部控制是衡量组织风险的基础。内控制度是一种标准,而风险就是对标准的偏离程度。对一个组织来说,将内控制度设计的越符合实际,该组织的风险越小。
三、内部控制制度总体设计研究
内控制度的概念的目的在于为内控制度的设计提供理论指导。
现代企业的内控制度是一个体系。所谓体系是指一个有结构或由若干因素组成的整体。因此,我们将内控制度的设计分成总体设计和单项设计。前者说明一个现代企业的内控制度的整体结构或组成要素的设计,后者说明构成该整体结构中的每个要素内容的设计。我们认为,内控制度的整体设计可采用三条思路:
(一)三维立体的静态结构
11
一个现代企业的内控制度在总体上应该是组织、项目和流程三个方面的综合,具有三维立体性。
1 关于项目维度所谓项目,是指内控制度的基本单位。亚新科集团除质量控制外,还有88个内控项目,诸如人事招聘、危机处理、合同管理、工厂消防、成本控制、财务预算与预测、采购计划、员工绩效评估等等。
那么,如何确定内控制度项目的数量呢?由于任何两家企业、任何两位企业经理总是存在着或多或少的差别,因此,不同企业、同一企业的不同经理在项目数量上可能有不同选择。但是,下列几方面必须充分考虑:(1)企业愿景、战略和经营目标的要求;(2)管理的“粗细”;(3)体现COSO报告的总体框架;(4) 涵盖会计控制、管理控制、业务控制和法规执行控制。此外,设计内控制度项目数量时,可参照组织的供应链来进行。例如,对制造企业来说,供应链可从顾客开始,由研究开发、设计、制造、营销、配运、顾客服务等组成。供应链可以转化为流程,如下文所述,流程又可分解为作业和任务。以此为基础便可确定内控制度的数量。
其次,所有内控制度项目是不是可以等量齐观呢?答案是否定的。它取决于相对谁来设计内控制度项目。对证监会、中注协和注册会计师,会计控制可能最重要;对企业总经理,管理控制和主营业务控制可能最重要;而对车间主任,业务控制可能最重要,诸如此类,不一而足。另外,有些项目执行的结果是可以计量的,例如预算控制、成本控制等;而另一些项目的执行结果,则属于非定量的或不能直接定量的,例如危机处理等。值得注意的是,预算控制、成本控制对任何组织来说都应该放在首位。
2 关于组织维度
12
所谓组织,在这里是指具有共同行动目标的人类群体。现代企业是一个组织。它可以被分成高层、中层、基层和现场四个层级,每个层级由若干单位组成、每个单位有若干成员。按照COSO报告的思想,每个层级每个单位每个成员都与内控制度相关,应该参与内控活动。从组织维度设计内控制度,需要考虑企业的控制目标、控制环境和控制方式,进而确定企业的管理跨度与管理层级、企业是实行集权制还是分权制,并建立使组织得以运行的保证———经济责任制度和岗位职责制度。组织维度设计得好,可以营造良好的内控环境。
3 关于流程维度
所谓流程,是指企业经营过程的一个阶段,由若干项作业组成,而作业由若干项任务组成。在典型的制造业中,其经营过程有研究开发、设计、制造、营销、配运和售后服务等项流程。每项流程,例如制造流程,包括材料入库、材料存储、材料搬运、加工、半成品搬运、加工、成品入库存储、成品包装发运等项作业。而每项作业,例如材料入库,包括卸载、验收、盘点、移动、摆放、记录等项任务。特别重要的是,任务是由组织成员完成的,授权和责任在这里可以体现出来。在流程维度设计中,就是遵循着这种相对的“流程—作业—任务”三个因素之间的依次关系进行。
4 项目、组织和流程之间的关系
简单说来,每个项目都是通过组织的层级、单位和成员按照一定的流程、作业和任务的要求来完成的;从流程、作业到任务,由于任务由人或组织成员来完成,因此,完成任务的成员组成单位、单位构成层级,从流程维度很自然地过渡到组织维度。换句话说,一个内控制度项目是由组织和流程组成,是一个二维体系,当企业存在多个项目时,就可形成由组织、流程和项目组成的三维立体框架(见图1)。
13
(二)过程循环的动态结构
应该指出,现行内控制度设计上一个严重的缺陷就是没有将内控制度与公司总经理(CEO)联系起来。COSO报告和巴塞尔委员会的报告特别强调了这一点,但在操作层面上,很多人仍然在进行会计控
制,并当作财务部门“自娱自乐”节目。另一个缺陷在上文已经指出,即在设计内控制度时,很少有人站在企业立场上考虑如何执行内控制度、实现内控制度的目标的问题。我们认为,在动态上,内控制度不仅包括制定,而且包括执行,对执行情况的计量或测试、对计量或测试结果的分析和报告,根据偏差进行整改(包括预先设定奖惩制度和整改方案,修订内控制度)等。这是一个完整的动态结构或系统,可由图2表示。
图2:内控制度过程循环的动态结构图
根据图2提供的思路,在设计内控制度时可以作如下考虑:1 与上述相同,内控制度的设计首先考虑企业的愿景、战略和目标。据此设计好内控制度之后,便是内控制度的执行。但对控制者来说,最重要的不是他去执行内控制度,而是保证执行者实现内控制度的目标。
2 实现内控目标的第一步是对内控制度执行情况进行计量或测试。诚如上述,全部内控制度的项目可以分成执行结果可计量和不可计量的两类。对可计量的内控制度执行情况的计量通常由会计核算、结算和统计等途径取得,例如预算执行结果就可以从会计核算的结果得到。对不可计量的内控制度执行情况的计量通常由测试表来取得,例如对公司印鉴使用控制制度的测试就必须按照该制度的要求设计问卷调查表,来了解该制度的执行情况。应该说,一项内控制度的执行情况往往可计量部分和不可计量部分并存。在这里,我们统统用测试表来表示对内控制度执行情况的计量或测试。
14
就操作层面而言,一家企业内控制度的测试可以分成综合测试和单项测试。前者是对全部内控制度项目的测试,在现代企业中这主要是集团公司总部对子公司或二级经营单位内控制度的总体执行情况的测试,其测试表的结构按照COSO报告的整体框架设计;后者是对一个内控制度项目或一个相关的单位的测试,其测试表的结构也是按照COSO报告的整体框架设计。
3 实现内控目标的第二步是将内控制度执行情况计量或测试的结果与内控制度进行比较,然后做出项判断:
(1)测试结果是否与内控制度相符?如果相符,控制者不做任何干预,由执行者或被控者照常继续执行;如果不相符,则过渡到下一个判断。
(2)偏差是否可以接受?如果可以接受,控制者不做任何干预,由执行者或被控者照常继续执行;如果不可接受,则过渡到下一个判断。
(3)内控制度是否符合实际?如果符合,偏差则导源于执行者,应进一步分析偏差的原因,拟定纠偏措施,并向控制者提供测试报告,控制者依据测试报告采取纠偏行动,干预执行者的执行过程。如果不相符,偏差则导源于内控制度,控制者则应采取修正或补充内控制度的行动。为了形象理解控制者纠偏的过程,显现控制的地位,我们用图3予以说明。
4 内控制度执行情况的测试报告作为一种媒介,将控制者和执行者、总经理的监督和下属的现场运作巧妙地连接起来,其重要性是不言而喻的。有两个问题在设计时要特别注意:
(1)测试报告至少分成两种:一是对测试结果的汇总和详细分析,称为明细报告,留在内控部门备查;二是在明细报告基础上编制的报告,称为简式报告,要定期报告给总经理。
15
财务内部管控COSO内控框架
