附录2. Hedge风险控制矩阵(样本)
企业内部控制实务(4)——采购(1)内部控制的原点
为了确保“公司健全的构造体系”,而不断进化的内部控制總
内部控制的产生和发展:
美国萨班斯(SOX)法案、日本版SOX的导入是广义内部控制的胜利
Oh When the Saint ~ Go Mar-Chin'In ~
Oh when The Saint ~ Go ~ Mar ~ Chin'In ~
Load I Want ~ To Be ~ In That Number ~
When The Saint ~ Go ~ Mar ~- Chin' ~ In ~
《圣者的前进》是一种最古老的迪克西兰爵士(Dixieland Jazz)音乐的代表作。20世纪初在美国新奥尔良把爵士乐确立为音乐类型的时候,内部控制的概念也得到了确立(1900~1910年)。
当时内部控制的焦点是现金、支票的管理,以及与之相关的支付处理。内部控制的原型是“防止与现金、支付相关的舞弊行为的架构”,因为当时代表性的舞弊行为是员工私自花掉了现金,或是下一番功夫掩盖不正当的支付等行为。
1910年开始到1920年,西方列强为富国强兵,飞速发展重工业。随着企业规模的扩大,内部控制概念也得到发展,蜕变为“确保构成财务报表数据的每笔业务是否都得到正确执行的架构”[这段时间爵士中心转移至芝加哥发展出了摇摆爵士(Swing Jazz)音乐]。
随着企业依靠银行贷款或者从股票市场融资的普及,财务报表作为对企业进行评估的资料,其重要性愈发凸显,此外,由于企业规模的扩大,审计师对公司所有的业务进行验证变得愈加困难,这样审计师需要有一个无需对全部业务进行检验就能完成审计工作的理论。也就是说,“首先确认业务是否被有效地管理,比起直接验证每笔业务要有效率得多”。
这个概念成为(美国SOX和日本版SOX公布以前的)对内部控制实施评价的理论依据,即在每个会计期间的期中对内部控制系统进行评价,在此结果的基础上决定期末余额审计必需的样本数量,通过合理的确证使工作最有效率。
广义的内部控制及狭义的内部控制
二战后的1949年,美国发表了AIA(American Institute of Accountants)审计程序委员会的特别报告书,将预算、统计分析、标准成本、员工培训计划等,与财务、会计处理不直接相关的事项都包含进了内部控制概念中。内部控制的概念进一步得到了扩大(这就是所谓的广义的内部控制)。
与此相对的是,主要的会计师团体在1940~1950年发行的案例研究及审计手册中,将需测试的内部控制的范围限定为会计控制。审计师所了解的,同时需要验证的是和会计处理相关的业务,范围进一步扩大会给审计师带来很大的困扰(这就是所谓的狭义的内部控制)。
但是,到了1950~1960年,由于环境问题等,企业的社会责任进一步扩大,对于应该最了解企业情况的外部注册会计师,社会赋予了他们更高的责任,要求其超越原来验证财务报表数字的职责,做到“对企业内部控制进行全面的把握”。1970年代,注册会计师由于管理层粉饰报表的行为而被追究责任的案例不断出现,1988年公布的审计准则公告55号(SAS55)中明确指出,作为审计程序的其中一环,外部审计人员有义务了解公司内部控制的构造,并对风险进行评价。
另外,1976年发生了Lockheed事件,美国的知名企业向日本、荷兰、墨西哥等地政府高官行贿事件被曝光,并且造成了日本当时首相辞任的重大事件,在美国也造成了很大影响,内部控制对管理层行为的监控是否有局限成了问题的焦点。内部控制本来是由业务流程层面的内部牵制发展而来的,所以的确可以说是有局限的。
将上述发展过程综合起来的是1992年公布的美国COSO内部控制整体框架报告。这里定义的内部控制框架是在最初的控制活动(业务流程层面的内部控制)基础之上,增加了控制环境(公司管理及企业文化)、风险评估、监督(内部审计的机能)、信息及传达(信息系统等)等内部控制的要素而形成。可以说,从而内部控制的概念也进一步发展成为了“确保公司健全的构造体系”。
另外2002年美国企业改革法(即萨班斯法案,美国SOX法案),将原来只作为财务报表审计的辅助程序的内部控制评价一举提高到准主角的地位。就受美国证监会(SEC)监管的在美上市企业而言,管理层有义务对财务报表的公正表述和内部控制的有效性宣誓负责。同时,外部审计师除了出具针对财务报表的审计报告外,还必须出具针对企业内部控制有效性的审计报告。
但是,美国SOX法案和与其相伴的SEC规定都限定了“对财务报表产生影响的”内部控制,从这一点继承了狭义的内部控制概念。由此,我们将其称之为“准主角”。
比较一下舞弊行为的内容
这里,让我们回到20世纪初,内部控制概念形成之初的中心是现金、存款的管理及支付程序。从那时算起,正好是在100年后的2002年,制定美国SOX法案的契机却是针对舞弊行为,比如管理层粉饰决算、虚增利润和销售额等,这是不是一个非常有意思的对照呢?
采购循环相关的内部控制的原型:
内部控制的原点是采购和支出的检查和控制
说到20世纪初的美国,公司规模还很小,还没有IR(投资关系)的理念,连信息系统的影子都还没有出现。介绍一下作为内部控制原点的采购循环在那个时代的真实情况是非常有意义的。
下面列举的未必是20世纪初企业情况的忠实再现,但都是采购循环中重要的内部控制行为的原型。
· 采购申请部门,填写申购单。
· 采购部门批准申购单内容,制作订单,在传送给供应商的同时将其中的一联交于验收部门和会计部门。
· 验收部门验收实物后,把从供应商处收到的货物与订单联相对照,确认无误后收货,填写入库通知单交给会计部门。
· 会计部门负责应付账款的人员收到从供货方传来的发票(Invoice),在与订单及入库通知单对照无误后装订到一起。(凭证)
· 会计部长(Controller)在记账凭证上盖付讫(VOID)印,交付财务部门。
· 会计部门负责银行余额调整的人员进行银行余额调整。
希望大家从中可以明白这样控制的目的,是使单独一个分管人员、管理者或者一个部门、即使是会计或者财务部门的负责人也不可能轻松地实施舞弊行为。特别是账簿和实物(支票)是分别由会计部门和财务部门管理的,这是职责分工的一个要点。假设财务部长不正当地签发了支票,由于和会计部门掌管的账簿记录不符,在银行余额调整时就能被发现。而会计部门之前填写、处理的凭证,都会经过后续部门的检查对照。
在交易频繁、信息系统发达的现代社会,仍保持像上文那样的内部控制行为的公司当然已经没有了。但是在欧美企业,尽管在形式上多少有些变化,但还是基本遵循了以上原则。
日本大部分的企业没有遵循这些原则,与其说是因为利用了信息系统或者为了提高效率,不如说多数时候仅仅是因为假设了“员工不会发生舞弊行为,或者管理者不可能舞弊”的前提。比如说会计和财务的职能分工,就算是很大的企业,不明确、不充分的情况也很多。我们当然还是希望分别设置会计部门和财务部门,如果不是这样,至少出纳和账务记录人员必须要明确职责分离。在中国,财政部于1996年颁发的《会计基础工作规范》明确记载了出纳和会计工作分离的必要性。这一点是被广泛认同的,但会计部门和财务部门的分离还不是那么普遍。此外,特别是私营企业,老板往往会亲自确认每一笔支付,做成它的内部控制。上述例子中的职责分工往往有得不到重视的倾向。
正如前文讲到的那样,控制环境正在不断地发生着变化。因此,我们必须认真考虑建立适当的架构体系,使采购和支付相关部门的分管人员或管理者即使有舞弊的念头,也不可能单独地完成,或者当发生舞弊行为时能够及时被发现。
本文已发表于《中美日企业内部控制实务》一书中,但对其内容进行了些许调整。(复旦大学出版社,2009)
中文中“财务”一词指Financial Accounting,包括了会计业务。
本文中笔者提到的财务部门和会计部门的分离,是将财务部门认定为主要负责资金管理(Treasury)的部门。
此外,日语中的“财务”仅指资金管理这一狭义概念,与中文的“财务”相对的词语是“财务会计”。有趣的是,日语中“经理”一词与中文的“会计”是同样的意思,大部分公司的会计部门都称为“经理部”。
· 财务部长(Treasurer)确认盖好VOID印章的凭证内容后,签署支票送交供应商。