财务造假监控系统的自律基础——内部控制
财务造假监控系统的自律基础-内部控制本章主要论述以下问题:内部控制与内部控制制度内部控制类型与内部控制要素内部控制系统的运行条件与局限性财务造假监控-内部控制要点的设置成功与失败-内部控制要点设置释例内部控制制度的持续建设计算机会计系统环境下的内部控制(一)内部控制与内部控制制度控制,顾名思义,是驾驭、掌握、支配之意,即要求被控对象不超出一定的范围和界限。从现代管理学的角度来说,控制就是要求被控对象既有条不紊和高效正常地运行,又不失去既定的行进目标,不偏离正常的轨道。内部控制不同于外部控制,它是动力源于内部、设计结构基于内部、部署实施限于内部的管理行为,是各级管理部门在本部门、本单位内部因分工而产生的相互制约、相互联系、相互协同的基础上,采取的一系列具有控制功能的策略、计划、方法、措施和程序之总和。内部控制制度(系统)是指将内部控制活动规范化、标准化和科学化,并形成一整套正规的、成熟的、为管理者和员工所自觉接受和遵循的制度。后者是前者的规范化、成熟化和制度化,是在前者基础上形成的一整套严密的控制体系或控制机制。内部控制自古有之,是人们用以对付财务造假和其他弄虚作假行为的传统做法,也是现代世界各国用以规范经济活动及其行为人的使用频率最高的方式之一。目前,学术界和实务界普遍认为,建立健全内部控制系统是社会大生产和对之进行科学管理的客观需要。它所具有的功能和作用已为无数实践所证明。它是组织内部管理系统的重要组成部分,成为组织内部为实现其业务和管理目标,实施自动防错、查错和纠错,实现自我约束、自我控制的不可缺少的重要手段。目前,它正逐步成为我国规范市场经营主体及其行为的常用措施,成为制度化、法规化建设的重要目标之一,也是我们防范财务造假和与此相关的经济领域违法乱纪活动的重要基础性建设项目。内部控制与外部控制有一些具有共性的内容。如两者都具有控制目标和控制手段两个基本方面,均具有特定的控制主体和控制客体,都具有控制信息反馈的渠道和方式等等。但内部控制还具有以下一些外部控制所不具备的明显特征:1.内在性。即设置内部控制是企业、事业单位的自觉管理行为,完全属组织内部的事。尽管在一定程度上说,建立健全内部控制是迫于外部控制的压力,如受制于国家法律法规对企业、事业单位建章立规、规范核算和管理行为的要求,迫于外部审计对企业、事业单位设置完备的会计核算资料体系的要求等等,但是归根到底是自身规范核算和管理行为的要求,是企业、事业单位本身追求经济利益的需求,是市场经营主体面对竞争和挑战的理性和明智的选择,这其中自觉和“内需”的成分远远大于被动和服从的成分。2.广域性。内部控制是对组织内部所有生产经营和管理业务进行考核、监督和控制。它的涉及面很广,从计划、指挥、协调到激励、考评,从生产经营实物运动到其价值运动和信息运动;从宏观层面、中观层面到微观层面;从生产、销售到采购、供应和储存;从人、财、物到信息,几乎无所不包、无所不在。内部控制广阔的覆盖域和众多的控制面、控制点,使之足以保障企业、事业单位生产经营和管理业务的整体安全和有序运行。3.适时性。内部控制与外部控制的不同,还在于内部控制的效力是连续的、适时性的。它一经启动便长期发挥效应,并融入企业、事业单位经济业务的各个方面、各个环节。它能够根据生产经营和管理业务的具体情况,进行即时控制和调整,在第一时间发现问题、分析问题和处理解决问题,而不像其他管理活动那样需要一个汇报、请示、研究和处理的过程。当然其控制和解决的问题是一般性和普遍性的,不能解决特殊的和重大的管理问题。4.潜在性。内部控制的存在并非显现于企业、事业单位生产经营和管理活动的各个方面,其行为表现有时并不十分明显和外露,而是隐藏与融汇于所有作业、工作之中。即,管理的控制意识、控制功能、控制行为都渗透于各项具体业务之中,潜移默化地发生作用。5.关联性。在组织内部,各项控制活动彼此之间都是相互关联的,一种控制活动是否发生及其有效与否,都与另一种控制活动相关,并使后者得以加强或削弱。即,各项控制活动不是单独发生作用,而是有很强的互补性、替代性或制约性。各项控制活动之间尽管在时间和空间上存在距离,但是却是内部控制系统整体的组成,其目标终点是一致的,常常是殊途同归。6.网络性。内部控制活动之间存在密切的关联,内部控制制度则不仅仅是相互的关联,而且是共同结成完整的网络系统,并与企业、事业单位生产经营和管理活动同在,覆盖和渗透至其所有经济活动之中。另一方面,内部控制系统网络与外部控制有良好的接口,两者相互补充,能够避免监督和控制的死角和盲区。基于这些特征,与外部控制相比,内部控制系统具有以下特殊功能:促进组织一切业务活动按既定的目标有计划、有步骤地推行,健康、有序地运作,并及时发现可能出现的偏差,给予迅速纠正,防范经营风险和财务造假,避免潜在危机转变为现实的损失。保证国家的法律、法规、政策的贯彻执行,自动检查、制止造假违法行为,以不断修正和调节组织内部各部门、各单位和个人的关系,保证其在法律法规规定的轨道上运行。保证国家、集体和投资者财产物资的安全完整,保证会计信息和其他信息的真实可靠,使业务处理合理,凭证有效,记录完整正确,稽核有力,有效地堵塞漏洞,防止或减少损失浪费,防上和查处贪污盗窃等违法乱纪行为。 证提高业务处理的工作效率,使各项工作分工及其程序规范化、标准化,使内部各部门各单位明确工作范围及职权、责任,并各司其职,各尽其能,减少不必要的请示、汇报环节,避免扯皮、推诿、拖拉现象的发生,等等。 总之,内部控制系统是企业、事业单位的自我增强型“免疫系统” ,是自我设计、自我制订、自我实施,最终自我受益的管理制度,是其有意识地制约内部管理和核算工作假、乱的重要工具,是扼制财务造假与经济领域违法乱纪的重要防线,是保证组织自身经济安全的屏障,也是经济监督和检查人员得以依赖的对象和手段。在国外,内部控制系统被称为组织管理系统的操作软件。需要特别强调的是,建立和健全内部控制制度不是外部经济监督和检查人员的责任,而属于单位自身的管理责任和会计责任。也就是说,一个组织内部控制的存在与否及其发挥作用的程度如何与外部检查人员(如审计人员、税务检查人员等)的职责无关。但是,内部控制的有无、好坏与打假治乱、查错防弊工作存在密切联系。内部控制系统建设已远远超出了“内部”的界限,引起了全社会的关注。这是因为:第一,内部控制系统的存在及其效果是企业、事业单位的管理工作的“晴雨表” 。凡内部控制系统已建立、健全的单位,其生产经营管理和财务核算工作就比较规范和有序,管理控制工作就比较严格,发生错误和造假舞弊的机率就相对缩小。反之,内部控制系统尚未建立或健全的单位,则其业务的规范性必然下降,产生造假错弊的可能性自然会增加,对其进行监督检查的社会压力自然会增加。第二,分析评价单位内部控制系统是监督检查工作的基础。检查工作根据分析评价结果,来决定检查人员对被查单位内部控制系统的依赖程度,进而决定进一步检查的工作重点、方向和范围。亦即检查人员将检查工作的部署建立于对被查单位内部控制系统进行测试和评价的基础之上,因此内部控制系统对检查工作具有基础性的导向功能。第三,加强和完善单位内部控制被作为会计检查和经济监督工作的治本性目标。通过检查实施有效的经济监督,发现其会计核算中存在的错弊,并找出其内部管理和控制的薄弱环节。经由这一手段,既可揭露违法乱纪现象,查处有关责任者和当事人,同时又可促进被查单位改善经营,加强管理,建立和健全内部控制系统,防范类似的财务造假和违法乱纪现象再度发生,从而达到查处一个、教育一片、长期收益的目的。可见,建立和健全内部控制系统不仅是打假治乱工作所需要的客观环境,同时也是组织内部重要的工作目标。(二)内部控制类型与内部控制要素1.内部控制类型。内部控制通过其内在功能发挥作用,实施对财务造假的监督与控制。其监控方式主要是:(1)预防性控制。预防性控制是为了防止财务造假与违法乱纪活动所采取的有针对性的防范和控制措施,是有关事前控制的程序与方法。预防性控制是在初步掌握了财务造假活动规律的基础上,在其活动领域和部位有选择地采取的监控对策。如,对组织内部管人、管钱、管物的部门实行内部牵制制度;由多人介入,共同研究决定重大业务活动,并建立必要的凭证记录的制度;或者发生了财务造假,对当事人处理后重新选择业务素质较高的人员从事核算工作,且加强监管措施,改定期报账为定期承诺或述职制度等等。这些均属于预防性控制。财务造假监控、检测与预警系统的重要基点在于预防性控制。预防性控制是操作性和程序性的,由不同的部门或人员在其履行本岗位职责中体现出来。同时它又是附加性的,即在原岗位业务职责中注入了预防财务造假和其他违法乱纪的控制环节。如,交接工作不仅要做好业务安排,而且要留下记录凭证和手续,后者就是附加的预防性控制措施,用以明确相互责任和业务界限。企业、事业单位经常对现金保险箱采取双密码和双钥匙制度,就是防范因某一当事人发生错误而导致损失。预防性控制措施的增加可能会提高交易成本。(2)检查性控制。预防性控制是预先没防,以减少错弊的发生,但却不能将已发生的错弊检查出来。检查性控制就是力图将已发生或客观存在的错误或弊端通过一定的程序和手段检查出来,以消除其危害和损失。检查性控制是难度最大的控制措施,也是“硬碰硬”的环节。检查本身就是检验经济业务是否存在错误,以提高其正确性。此类措施在经济活动中不胜枚举。如对开具的银行支票进行复核,并加盖核对者的印章,检查者所从事的就是检查性控制工作。再如业务人员与外单位草签订采购合同,但合同的正式签订要在将合同的金额报各级业务领导审批后进行。领导者对合同文本进行审阅、修改,检查其中是否存在漏洞和“陷阱” ,然后才签字同意签约,这也是检查性控制。显然检查性控制是预防性控制的延伸和补充,两者各有侧重,缺一不可。从下表可见两者的工作侧重与差异:预防性控制 检查性控制开启现金保险箱要由两人同时持钥匙且分别使用两套密码。进行现金日记账、总账的核对和盘点现金。对采购对象的选择,要求其要有信誉保障,不在本单位“黑名单”之列。对采购单位进行信誉调查,发现有信用不良记录者立即列入“黑名单” 。对建筑工程的用料、用工要有专人负责登记,并定期进行汇总,视其是否按照合同的要求施工。对工程质量进行现场检查、测试,发现问题责令其返工。对应收账款进行定期账龄分析,以及时发现异常。对应收账款,特别是期龄较长的账项进行函证或会诊,弄清事由,确定进一步需要采取的对策。在缺乏完备的、确实可行的预防控制措施的情况下,检查性控制措施是一种很有效的监督工具,也是完善内部控制系统的一个基本组成因素。有的学者认为,所有交易都是可测的,但是并非所有交易都需要测试,由此检查性成本要低于控制性成本。需要说明的是,内部控制系统中的检查性控制是一种内部检查和常设性检查,与本书下一部分所说的审计监督检查在性质、范围和力度上都是不同的。审计监督是外部的强制性监督, (外部审计)是查处财务造假和违法乱纪的执法性检查,而内部控制性检查和监督只是出于管理目的而设置的内部常规检验,两者不能相互取代。(3)纠正性控制。纠正性控制是指对检查控制中发现的问题所采取的重新执行、提示、排除、复原、补救、减少损失和影响等校正措施。纠正性控制是在发现问题后所采取的手段,而不能采用于问题出现之前,即纠正是有很强的针对性的。例如,会计核算计算机系统要求用户输入进入口令,但用户输入错误口令时,则主动提示用户进行纠正,以输入正确密码。如果操作者反复输入错误口令,则计算机要采取保护性措施。这就是典型的纠正性控制。注意纠正性控制的重点在于控制,而不是纠正。纠正并不一定是内部控制的功能,有的问题不是靠内部控制本身的机能所能纠正的。但内部控制可以做出要求纠正的提示,并在不能获得纠正时做出必要的反应。纠正性控制在一些重要的业务环节中显得特别重要,这些业务必须保证完全正确,而不能有任何偏误。如在会签合同文本时,领导发现合同中存在不明之处,则不会立即签署,而要求洽谈人员明确有关条款内容后再行执行签署程序。管理者把关的纠正性控制在此显得特别重要,它是合同发生法律效力的最后一道关口。(4)指导性控制。指导性控制是对企业、事业单位内部生产经营和管理业务产生积极影响和引导作用的控制,它旨在促进提高管理水平,降低经营风险。控制不仅仅是“管” 、 “卡” 、 “压” ,而且还有其“推” 、 “助” 、 “帮” 、 “促”的作用。通过设置内部控制,可以对有关业务进行预防、检查和纠正,提示管理者关注业务循环的重要部位,防范薄弱环节可能引发的风险。例如,通过制度规定,要求本单位新招募的员工中本籍职工不少于 50%,其中女性不少于 30%,下岗人员不少于20%。这种限定和控制旨在引导管理当局注意使本单位与社区建立良好的周边关系,打造“促进地方经济发展、关注妇女就业”的新形象,也为单位广告增加新的用语。指导性控制有时被称为弹性控制,可视为一种辅助性和基础性管理。(5)补偿性控制。补偿性控制是一个控制环节失效后,或一种控制手段无效后所采取的后续性、补充性的控制手法,用以弥补内部控制的局限或内部控制失控后所产生的漏洞。补偿性控制可以是事先设置的,也可以是发现问题或某个环节失控后重新建立的。补偿性控制可以是原控制手法的重复,也可以是新控制手法的采用,或多种强制性控制手法的集合使用。内部控制本身存在不足,不能达到百分之百的依靠,这可能是制度本身的缺陷,也可能是执行人或操作者的失误。因此补偿性控制能使内部控制更加趋于完善,能够应对多种财务造假和违法乱纪活动,也使内部控制具有更大的适应性和灵活性,有效提升防范与纠正财务造假的概率。例如,对于财会人员与外单位人员共谋舞弊,预防性控制和一般的检查性控制可能难以取得良好的效果,这时需要采取某些补偿性控制措施。将当事人调离财务核算和管理岗位,由他人接替其业务,再对其经手账项进行检查,案情才能水落石出。又如,预防性控制和检查性控制应对财务造假的有效概率为 80%,补偿性控制应对财务造假的概率为 60%则两者结合的总体有效概率为80%60%(180%)=92%,大大高于单项控制措施的效果。以上五种内部控制类型的关系总结如下表:控制类型 适应范围 控制方法 在内部控制体系中的地位与特点与防范财务造假的关联度成本费用支出水平预防性控制 广泛 追加程序和环节基础性、前提性强相关 中检查性控制 重点部位、 检验、测试、 重要性、主 强相关 中关键环节、常见错误发生部位复查、核对等导性纠正性控制 已出现问题和矛盾的部位要求重复执行、提示、排除、复原、补救等增强可靠性 相关 小指导性控制 管理存在漏洞或有潜力部位示范、提示、分析、解剖等延伸性 弱相关 小补偿性控制 内部控制失效部位原控程序重复或新程序的采用保险性和后续性强相关 大2.内部控制要素。关于内部控制要素国内外学术界有不同的表述,有“三要素说” 、 “五要素说”和“多要素说” 。但较多学者采用了美国 COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会发布的著名的 COSO 报告中所陈述的观点,即内部控制五要素论,这一观点在学术界有特别明显的地位。据此,内部控制的要素为:(1)控制环境。控制环境是对企业建立和运行内部控制有重大影响的因素的总和,是组织实施内部控制的背景和基础,也是设置内部控制制度的客观依据和选择控制手段的参考。控制环境包括控制主体及组织结构、控制客体及业务类型、经济业务规模、原有管理水平和风格等。控制环境通过人们的控制意识而影响组织的气氛,进而形成内部控制的基础。具体地说影响控制环境的有以下因素:操守及价值标准。这是内部控制运行和发生作用的基础。企业、事业单位的管理者和员工应具有基本道德水准,具有判断是非的基本能力,能够在大是大非面前做出正确选择。只有这样管理当局才能通过制定行为准则等方式,减少员工造假、舞弊等不道德、不合法的行为,才能使员工理性地遵循内部控制的有关规定,发挥防错纠弊的作用。素质与能力。设置与执行内部控制的人员需要具备基本素质并具有一定的组织能力、执行能力和技术能力。这一素质与能力直接影响内部控制本身的科学性、严密性和合理性,同时也影响内部控制执行的有效性。董事会和审计委员会。在股份制企业内部董事会和审计委员会设置的科学性和合理性,以及其成员工作的有效性直接影响着内部控制的执行。董事会和审计委员会的成员越是独立于管理当局,工作经验越丰富,工作效率越高,内部控制的效果就越明显。审计委员会是董事会的下属机构,应由公司之外的独立董事担任,其职责、权限应受到尊重和保障。组织结构。组织结构是组织内部各管理部门、执行部门和其他部门的数量、比例和相关关系的总和,也是其计划、指导和控制经营活动的整体框架。合理的组织结构有助于建立良好的控制环境,明确各部门的职、责、权、利,理顺其相互间的领导关系、隶属关系、报告关系、业务关系和经费关系,合理划分事权、责权和财权,保持清晰的管理线条和层次,是内部控制系统运行的必然要求。管理者的管理风格与经营理念。管理者是习惯于直接管理还是间接管理,是从严式管理还是宽松式管理,是主动式控制还是被动式管理;管理者对内部控制的态度,对风险的态度及其管理特点,对利润追求的程度和追求方式,等等,这些因素都影响着其对内部控制的态度,也会对内部控制的建立和健全及其作用的发挥产生促进或制约作用。管理者的授权与责任分配模式。岗位责任制的落实,特别是各级管理者权限的分配,授权方式和管理信息的传递,各级人员接受信号和工作任务的方式,处理上、下级和平级之间业务关系的方式,都对内部控制机制的形成和作用发挥有重要影响,内部控制往往是以其为基础设置和细化的。人力资源政策与措施。内部控制最终要靠人设置和执行,人员的状况和素质取决于人力资源的政策与措施。人力资源的政策与措施包括人员招聘、考核、培训、流动、升迁和奖励等方面,直接影响人员的素质与结构,影响员工的整体水平,是内部控制制度设置并发生作用的重要保证条件。(2)风险评估。风险是指威胁组织目标实现并带来损失的可能性。风险评估指组织确认、识别、鉴别和分析实现目标过程中的各种风险的过程。财务报告的风险评估主要是确认、分析财务报告出现未按照公认会计准则编制这一情况的可能性。诱发经营风险和财务报告风险的因素主要有:组织规模的迅速扩充。组织内部机构的调整。内部规章的变更。经营环境的急剧变化。关键岗位的人事变动使人员素质下降。信息系统的新建和修改。组织对外业务增多而管理系统不适应。与生产过程和信息系统有关的新技术的加入。引进新生产线、新产品和新工序。公司重组。扩展或取得境外业务。采用新的会计原则或变更会计原则。出现不可料逆和不可抗拒的突发事件。(3)控制活动。控制活动是指管理者实施的为保证其指令贯彻执行、防范造假等舞弊事件的政策和程序。控制活动一般应先明确控制目标,并根据不同的控制目标确定不同的控制方法。不论在何种情况下,常规的控制活动是企业、事业单位所必需的,其主要包括以下方面内容:业务部署与业绩检查。定期将目标任务分解,并安排落实至各个部门和人员,依此定期实施检查考核。其手法有:实际业绩与预算对比,实际业绩与前期业绩对比,实际业绩与相关的不同数据相比,包括纵向对比、横向对比和综合对比。同时确定各类对比值的合理水准,使控制与激励奖惩相互结合。责任分工。不能由一个人或一个部门完成整个交易过程,特别是重要的交易过程。交易的授权、记录、资产的保管应分开,以使多人介入,相互监督和制约。业务授权控制。经办业务必须经过一定的授权,即对经办业务的主体进行认证和批准。业务授权可分为一般授权和特殊授权。前者指对按照一定标准规范的业务进行的授权,后者指对个别特殊的业务进行的授权(具体论述见下文) 。适时充分的记录。对各类经济业务的发生、发展和结果均要有全面、及时和准确的记录,包括会计记录、统计记录和业务记录,三者缺一不可。有的学者特别强调会计记录,但相对忽视了统计记录和业务记录,这是不甚正确的,尽管会计记录在其中占据主导地位(有关会计记录的质量要求见以下的论述) 。实物核查控制。也叫实物核对、检查、盘点控制,它包括记录和实物资产的保管分开,只有经过授权的人员才能接触资产。记录和实物定期核对等是保证实物安全与完整的措施。实物的概念既包括有形资产,也包括无形资产和其他资产。(4)资讯与沟通。资讯与沟通是指保护有关信息生成的管道,对有关资讯进行识别、归集、加工、处理,并及时、有效、不失真地传递给相关人员,发挥资讯和沟通在执行和完善内部控制方面的作用。企业、事业单位内部的信息来源广泛、类别繁多,主要有会计信息、统计信息和业务管理信息。财务造假主要涉及的是会计信息,因此我们对会计核算系统更为关注。会计信息系统是识别、收集、分类、分析、记录和报告企业、事业单位发生的交易,并明确交易主体对相关资产、负债和所有者权益应负责任和义务的方法和记录体系。一个良好的会计信息系统应包括:确认和记录所有的真实交易,及时详细地描述交易,以便在财务报表中做适当的分类;以一定的方式记录交易的价值,以便在财务报告中适当地记录它的货币量;确定交易发生的时间,以使交易人恰当地记入交易期间;在财务报表中恰当地表达交易,披露相关的事项。信息的沟通是指让信息上情下达和下情上达,保证信息的畅通,没有沟通的阻碍,让每一个员工理解他们所充当的角色和与财务报告相关的责任。常见的沟通手法是政策手册、会计和报告手册、备忘录等。(5)监督。监督是评价内部控制质量和效果的程序,是保证内部控制有效性的必要手段。但这里的监督是在内部控制框架内的监督,是一种内部监督,主要包括持续监督和独立评价监督两种活动。持续监督是指经常性的监督活动和管理活动。独立评价监督主要指非常规性监督,如内部审计活动和管理者特别安排的检查性监督。(三)内部控制系统的运行条件与局限性内部控制制度这一软件要能顺利加载、运行、发挥作用,并成为对财务造假进行检查控制所依赖的基础,受到诸多主观和客观因素的制约和影响。除了受到上述内部控制要素的影响外,还不可避免地受到以下方面的制约控制目标水平的设定,组织的规模和业务特点,有关内部控制制度制订的合理性和可行性,有关内部控制制度的生存性、适应性和持续性,内部控制的成本支出,实施内部控制的人员素质,组织管理者对内部控制的态度和其他辅助条件等。有时内部控制制度健全或基本健全并能发挥相应的作用,但由于某些内部和外部因素发生变化,其作用便可能发生变异。也就是说内部控制系统由于这些因素不断发生变化,其作用可能被加强或弱化。人们能否利用组织内部控制系统和在多大程度上利用这一系统,有赖于特定环境下内部控制的运作状况及其有效程度。内部控制不是万能的,它的局限已越来越多地引起管理者的关注。关于内部控制的局限性,学术界有多种表述,但其内容异目掺半。国际审计准则-关于在审计中对会计制度和有关的内部控制的研究评价中指出,内部控制的固有限制是:管理人员通常要求一项控制是有成本效果的,即一次控制程序的费用不应与因舞弊或错误所造成的可能损失不相称。事实上大多数的控制是借以指导可能发生的那类经济业务,而不是针对所有的经济业务。由于粗心、精力分散、判断失误或误解提示而造成人为错误的可能性是存在的。存在着通过与单位的外部关系或与本单位职员共谋而设法规避控制的可能。某一运用控制的负责人可能会滥用职权,例如管理人员中的某一成员会对控制置之不理。可能会由于情况变化使控制程序变得不适当,并使对控制程序的遵守情况发生改变。中国注册会计师独立审计准则第 9 号内部控制与审计风险第 3 章第 10条认为,内部控制具有以下固有限制:内部控制的设计和运行受制于成本与效益原则。内部控制-般针对于常规业务活动而设计。即使是设计完善的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。内部控制可能因有关人员相互勾结、内外串通而失败。内部控制可能因执行人员滥用职权或屈从于外部压力而失败。内部控制可能因经营环境、业务性质的改变而削弱或失败。国际内部审计师协会指定的注册内部审计师资格考试用书内部审计原理与技术这样表述:任何一项内部控制措施都不可能尽善尽美,总是存在固有的局限。局限性的一方面是由于人为因素导致内部控制措施失效。这些人为的因素包括对责任的误解、执行控制时的粗心大意、疲劳以及舞弊等。此外,随着时间的推移,经营活动可能不断发生变化,原来完美的措施也可能会逐步失效。国内有的学者认为,内部控制的局限性主要体现在以下方面:成本限制。一个内部控制系统所寻求的保证水平有必要根据其成本而定。一般来说控制程序的成本不能超过风险或错误可能造成的损失和费用,否则再好的控制措施和方法也将失去其降低成本的意义。 串通舞弊。不相容职务的分离可以避免单独一项或个人的造假舞弊,但是对多人合伙或集团性的造假和舞弊,内部控制的效果会递减,有时甚至是无效的。人为错误。内部控制的实际效果在于操作人员不出现失误,如果操作人员不执行内部控制,再好的控制措施也只是停留于纸面。特别是工作人员粗心大意、精力分散、身体不适、理解错误、判断失误等都可能使内部控制走样变形。管理越权。内部控制适用于正常情况下的管理和监督,如果出现非正常的情形,特别是出现了管理越权,管理者超越其基本权限进行造假和违法乱纪活动,内部控制将对其无能为力。因为管理者不仅决定了内部控制的设置,也决定了其发挥作用的形式和特点。内部控制对被控制者和控制者的效果是不同的,对前者的作用容易得到体现,而对后者则要附加若干条件。修订跟不上变化。即内部控制是在一定条件下制订和设置的,但企业、事业单位生产经营和管理业务的变化是连续不断的,而内部管理和控制制度从出台到发生效应需要有一个相对稳定阶段,不能朝令夕改,因此就可能存在制度跟不上变化的情况。当内部控制制度与形势不相容和不适应时,其效力自然会有所下降。综上所述,内部控制与其他任何管理制度一样不可能是十全十美、无懈可击的,其发生作用也需要一定的条件和基础。离开了这些基础和条件,再好的内部控制也会“瞎火” 。所以内部控制的局限是不可避免的,这表现在以下几方面:其一,内部控制制度本身存在局限。制度的制定和颁布可能存在先天不足,即制度本身有缺陷。因为制度制定者的认识水平和控制能力本身是有限的,控制主体对财务造假和有关违法乱纪活动规律的认识也有一个过程,因此制定出来的制度可能某些方面是科学的可行的,某些方面不那么科学和可行,需要经过实践进一步优化,不可能一步到位,解决所有控制问题。其二,内部控制性质的局限。内部控制是总结了无数业务规律后制定的,它主要针对经常出现和反复发生的业务,因为这类业务有规律可循,能够有目标和有针对性地设置控制点,而对于非经常发生的或特殊的业务,人们的驾驭能力就相对较低,设置控制点便相对困难。这是事物本身发展的规律,体现于内部控制之中也是如此。其三,内部控制执行的局限。良好的控制制度需要良好的执行,才能转化为对财务造假和违法乱纪的具有实际意义的制约和控制。但制度转化为现实的生产力和战斗力还需要完整的转化环节,其中人为因素至关重要,任何有章不循、执行不力或执行偏误的行为都可以使制度效果不佳,甚至出现漏洞。也就是说制度的优越性不仅仅是体现于制度本身,更在于制度的执行,而执行受到的影响和制约则远比制定制度复杂得多,有更多的未知数。其四,制度发生作用的条件不满足。制度发生作用需要一系列约束条件,只有当约束条件均被满足时,制度才是完美的。约束条件不具备,或者不完全具备,内部控制的效力也相应会打折扣,特别是受到费用成本和人员素质及配合程度制约的时候。也就是说放之四海而皆准的、无条件适用的内部控制是不存在的。其五,制度外部环境的变异。内部控制的适应环境发生改变,那么内部控制的效用也会发生变异。制度的稳定性和环境的变动性本身就是一对矛盾,这对矛盾可能缓解,但永远不能彻底解决。(四)财务造假监控-内部控制要点的设置克服内部控制局限性的根本办法是,对内部控制运行经常检测,保证运行结果,诊断运行过程,适时调整、优化内部控制系统,必要时需要增加对内部控制的建设投入。特别是发现或发生了财务造假和违法乱纪的现象,内部控制系统制止不力、效果不显的时候,增加控制关键点和采取强制性的保护和防范措施是必不可少的。内部控制系统的内容很丰富,范围也很广,几乎包括了单位管理系统之全部。需要注意的是,内部控制系统是组织各项管理制度和措施的概括性称谓,在许多企业、事业单位中,业务管理人员、会计人员并不如此称呼,而是将各项制度具体称为管理制度、岗位责任制度、定额考核制度等。这些制度在组织内发生的作用往往是互相关联的、互相交错的,各项制度互相依赖、互为 依托,其控制点、覆盖面、适应性均具有很强的互补性,有时难以将它们彼此分开。有的检查人员深入企业、事业单位,发现“并没有一项制度称作内部控制制度,但又没有一项制度不属于内部控制制度” 。因此,规划、建设内部控制系统要与单位内部管理结合起来,不能将其割裂开来,另起炉灶,生搬硬套某些概念或机械模仿其他单位的成功做法,这样不易取得良好的效果。正确的做法是抓住主要矛盾,择其重点和关键点,有计划、有针对性地建设内部控制系统,并以此带动单位其他管理制度的建立和完善。内部控制系统的关键点是什么呢?关键点的特征是它与防范财务造假和违法乱纪的基本目标有关,一般与单位的会计核算和财务资料的信息有密切联系;同时它又是核算或管理中的主要环节,对信息质量起着重要作用,且对其他环节的工作有联动效力;另外它对外部经济监督检查工作的部署和深入有导向性效果,在财务资料体系中起龙头作用。关键点有时也是核算的敏感部位,在单位内部比较容易出现失控,其发生错弊的可能性较其他环节明显居高。根据企业、事业单位业务的基本特点,可以这样简便、灵巧地认定:在基础性控制(指对企业、事业单位生产经营活动的主要业务环节的一般控制)与应用性控制(指对各业务操作过程的具体控制)之间以应用性控制为主;在会计控制(指对单位的财务会计系统的运行及其结果的控制,包括会计组织机构的设计以及直接涉及到财务记录可靠性的所有方法和程序,具体有授权和批准制度、职务分离制度、实物控制制度和内部审计制度等)与管理控制(指对除单位的财会系统以外的生产经营管理系统的控制,包括供、产、销业务各个方面,具体有统计分析、质量管理、时间动作研究、职工培训、采购和营销定货等)之间以会计控制为主;在主导性控制(属第一层次的控制,是对有关业务活动的直接控制)与补偿性控制(属第二层次控制,是对主导性控制的补充控制,特别是当主导性控制出现失控或漏洞时,由其进行弥补和缓释)之间以主导性控制为主。这些作为主导方的控制对揭示管理的基本目标、防范单位内部可能存在的财务造假和违法乱纪活动具有更为明显的作用。一旦这些部位失控或出现问题,将会导致更直接、危害程度更大的财务风险和经营混乱。反之,这些环节不失,就能保证单位经济信息的基本正确。具体分解、细化开来,目前企业、事业单位一般以下列环节作为内部控制系统的关键点,因为它们既是财务造假经常出没的部位,也是防范造假和违法乱纪的重点与难点,是企业、事业单位最需要加强并能够取得自律、自控效果的环节,经常引起内部管理人员和外部经济监督、检查人员的特别关注。1.组织机构控制。指通过组织内部的机构设置的合理性和有效性所进行的控制,主要包括采用合理的组织方案,采用合理的组织结构,建立组织,系统等内容。换句话说,就是将控制的功能置入单位的组织机构之中,不使某一部门拥有过分集中的权力,而是使权力适当分散,形成互相联系、互相制约的格局,防止或减少因权力过于集中没有制衡而导致错弊发生的可能性。机构控制和适当分权原则有利于管理控制,但布点过多和过度分散会造成业务效率的下降,有碍经济效益的提高,因此机构控制应把握一个合理的限度。2.职务分离控制。指对于组织内部的不相容职务(指由一人承担容易造成差错和舞弊,且发生了错弊容易掩饰而不易被发现和查处的某一项或某几项职务) ,必须进行分工负责,不能由一人同时兼任,由此达到互相控制的作用。职务分离控制可在早期的内部牵制制度中找到雏型。它的初衷是不让某-(些)个人经办业务全程,而是通过多人的介入,相互制约,以减少错弊发生的可能性。常见的职位分离有管钱、管物和管账分离,出纳与对账分离,记账与复核分离,采购与付款、验收分离,保管与盘点分离,授权与执行分离,收款与发货分离等。3.授权批准控制。指组织内部各级工作人员必须经过授权和批准才能对有关的经济业务进行处理,未经授权和批准的人员不能接触和处理有关业务,以使管理者对有关业务实施有效控制。授权控制分为一般授权(指对常规业务进行的长期授权,授权后被授权者即可办理有关业务,而无须再行报告,除非所授权利被收回)和特殊授权(指对一些重大业务所采取的特批授权,此类授权仅一次有效,下不为例) 。对各类业务采取何种授权方式,应视单位的管理层次、管理幅度以及单位的管理特点和风格而定。授权应与被授权人的责任有关,与其业务活动的范围有关。如对采购人员授予的采购权,对财会人员和财务部门负责人授予的审批报销权,对生产调度人员授予的生产指挥权等,都应与其责任及业务活动范围相适应。对财务造假易生业务应予特殊授权或经常变换授权,以打乱造假者的部署,缩小其活动领域,增加其暴露的可能性,而对非造假易发环节可采取一般授权形式。4.人员素质控制。指采用一定的方法和手段对员工的思想品德、业务能力和工作技能实施控制,保证组织各级人员具有与其所负责的工作相适应的素质,从而保证业务活动处理的质量。素质控制是一项带有根本性的控制,是单位治本性的控制。实施人员素质控制必须对人员素质有一明晰的标准要求,并依此来进行控制,否则众人各执一说,对人员要求各异,控制就可能落空。对有财务造假前科、出现过重大工作失误和存在其他造假倾向的人员,应限制其从事或介入会计核算和财务管理工作,控制其接触现金和其他贵重财物。5.信息质量控制。指采取一定的方法和措施及时地收集经济业务活动的信息,同时保证会计信息和其他经济信息的真实、及时、可靠、明晰和准确,保证组织内部和组织外部使用人的需要。信息控制包括对信息产生、传递、集中、记录、加工、储存、报告、发送等环节的综合管理和控制,以确保信息完整、无缺地达到目的地,而不被截留、再加工和变形。除此信息控制还应包括保证经济信息应有的保密性、便于使用和易于理解等,而这方面较易被忽视,经常出现失控的现象。为了防范财务造假,应加强对复算、核对、审批、信息发送等环节的控制,监控其主要过程。6.预算责任控制。按照会计期间编制收支预算,以之统领收支管理,避免财务收支中的主观性和随意性,减少机动财力和暗箱操作。严格执行预算编制程序,加强预算执行,不允许随意改变预算指标、搞预算外预算,所有财务收支都要归入总体预算之中,并接受预算控制,在会计资料中给予反映。对预算执行要实施监督、分析和考核,分析预算执行中存在的偏差和问题,找出原因(确定是预算编制问题还是执行问题) ,并及时采取措施纠正执行的偏误,确保预算的严肃性和贯彻落实。预算内资金实行责任人审批制,超过限额以上的资金需要经过特殊的审批程序,严格控制无预算资金支出。从预算编制到决算全过程都要有安排、走程序、办手续、有考核、强检查,使财务收支均在管理者严密掌控之中,最大限度地减少“例外”原则。7.集中核算控制。这是对党政机关、行政事业单位和其他非企业性质的组织而言的。集中核算的要义是将会计核算和财务管理上划,统一财权,集中管理,以部门、行业或地区为一定范围,设立集中核算中心,统一负责本域财务收支。各单位则采取收支报账制度,而没有核算功能和财务管理职责。这样可以避免因财力分散、多层决策、各单位形成各自的财务利益而产生造假的动力和环境,减少对众多被查单位进行财务监督、检查的压力,使有限的审计和其他经济监督资源能够集中力量,对核算中心的财务收支进行重点监督,保证会计核算和财务管理的正常、有序和高效。集中核算的做法正在我国许多地方实施,收到良好效果。尽管其牺牲了部分效率,给众多基层