内部控制的构成要素介绍

内部控制的要素是构成内部控制内容的基本单位。鉴于我国民间审计准则、国家审计准则和内部审计准则对内部控制的规范均以1992年COSO报告《内部控制——整体框架》为蓝本，本书采纳COSO发布的内部控制框架。即内部控制由五大要素构成：控制环境、风险评估、控制活动、信息与沟通和监控。

（一）控制环境

控制环境是指单位高层管理人员和其他管理人员对控制和控制重要性的态度，以及与之相关的各种行为、政策和程序。控制环境构成一个单位的氛围，它能提供组织纪律与组织结构、塑造组织文化并影响单位员工的控制意识，是内部控制其他构成要素的基础。

通常，控制环境包括以下因素。

（1）诚信原则和道德价值观。诚信原则和道德价值观是控制环境的必要要素，影响到对其他因素的设计、管理和监控。它包括：通过管理行为来消除或减少员工不诚实、不合法、不道德行为的动机；制订书面行为准则和政策声明，传达给全体员工，使所有员工在一般和特定环境下都能够保持正确的判断。

（2）胜任能力。胜任能力是指完成个人工作所必须具备的知识技能。胜任能力包括管理部门对个别工作标准的要求以及如何将这些标准转化成必要的知识技能。

（3）董事会及审计委员会。一个单位的控制自觉性在相当程度上受其董事会及审计委员会的影响。其中包括：董事会和审计委员会成员的经验，相对于管理层的独立性，外部董事的比例，其成员参与管理的程度，所采取措施的适宜性，对管理层提出问题的深度和广度，与内部和外部审计人员的关系等。

（4）管理哲学和经营风格。管理哲学与经营风格包括一系列因素。其中包括：对待和承担经营风险的态度，对财务报告的态度和所采取的措施（对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度）。对信息处理以及会计职能、会计人员所持的态度，

（5）组织结构。建立一个相关的组织机构包括：权力的主要范围，各主管人员所负责任的适当性；据主管人员所承担的责任，判断其是否具备足够的知识及丰富的经验；当环境改变时，企业配合改变其组织结构的程度；员工，尤其是负责管理及监督职能的员工的充足程度。

（6）责任的分配与授权。它特别强调对于单位的全部活动要合理有效地分配职责和权限；为执行任务和承担职责的单位成员，特别是关键岗位的人员，提供和配备所需的资源，并确保他们的经验、知识与职责权限相匹配；要使所有员工知道他们的工作行为与实现单位目标的联系、他们的职责担负形式和能被认可的方式。

（7）人力资源政策及实务。人力资源的政策及执行涉及雇用、熟悉环境、培训、评价、建议、补偿及补救措施等。具体包括：具有完善的招聘与选拔方针及操作性程序，对新员工进行企业文化和道德观的培训，对违反行为准则的事项都要制订纪律约束与处罚措施，对业绩良好的员工制订具有奖励作用的报酬计划，据阶段性的业绩评估结果对员工予以晋升、指导及奖惩。

（二）风险评估

风险评估是指单位对在经营管理中可能遇到的影响其目标实现的各种风险，如采购风险、销售风险、理财风险等，进行确认和分析的过程。它为如何管理风险提供了依据。

单位的风险一般受外部因素、内部因素和改变因素影响。

（1）外部因素。外部因素包括经营环境的变化；科技发展；顾客需求的改变；竞争；新法律和行政命令的颁布；自然灾害的发生。

（2）内部因素。内部因素包括信息系统处理的中断；企业活动的性质及员工可接近资产的程度；董事会或监事会职能未得以充分发挥等。

（3）改变因素。单位活动应随着环境的变化而改变，改变因素包括行业环境的改变；新员工；业务迅速成长；新科技；新业务、产品和作业；公司重组；国外业务等。

（三）控制活动

控制活动是指为确保管理部门针对风险做出必要的指令得以贯彻执行而采取的政策、程序和措施。控制活动是内部控制效率和效果的关键，单位一般根据其经营活动的业务循环即销售循环与收款循环、购货与付款循环、生产循环、投资与筹资循环等分别设计其控制活动。

控制活动的目标各不相同，广泛应用于不同单位或功能层次。通常，可能与审计相关的控制活动可以分为与下列事项相关的政策和程序。

（1）授权批准。授权批准控制是指各项业务的办理，必须由被批准和被授权的人去执行，即单位的各级人员必须获得批准或授权，才能执行正常的或特殊的业务。这种控制方式使单位经济业务在发生之际就可得到控制。授权批准控制的主要目的是保证交易是管理人员在其授权范围内授权才产生的，是一种事前控制。

授权包括一般授权和特别授权。授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制订的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。

（2）业绩评价。这些控制活动包括被审计单位分析及评价实际业绩与预算、预测和前期业绩的差异，将不同类别的数据（经营或财务数据）联系起来，分析之间的关系，进行调查并采取纠正措施；将内部数据与外部信息相比较；评价职能部门、项目活动的业绩。

（3）信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。应用控制运用于处理单个应用程序，信息技术一般控制是与多个应用程序相关的政策和程序，通过保证信息系统持续恰当地运行，支持应用控制作用的有效发挥。应用控制的举例包括对记录计算准确性的检查，对账户和试算平衡表的维护和审核，自动控制（如设置对输入数据和数字序号的自动检查），以及对例外报告的人工跟进调查。信息技术一般控制的举例包括程序变动控制，限制接触程序或数据的控制，对实施新发布的软件包应用程序的控制，针对限制接触或监督使用系统应用程序的系统软件的控制，使用这些系统应用程序可能更改财务数据或记录而不留下审计轨迹。

（4）实物控制。实物保护控制是指对实物资产的安全、完整所采取的各种措施和方法。实物保护控制内容包括：限制接触资产，即限制接触现金、限制接触其他易变现资产、限制接触存货；定期盘点，即定期盘点实物，进行账实核对；记录保护，即会计记录要妥加保护；保险，即通过对资产投保火灾险、盗窃险、责任险来减少实物财产受损的程度和机会。(www.xing528.com)

（5）职务分离。职责分离控制是指对于单位内部的不相容的职务必须进行分工负责，不能由一个人同时兼任。不相容职务是指某些相关联的两项或多项业务如果集中由一人办理会增大错误和弊端的可能性。这项控制保证了有关人员在处理经济业务时能够相互制约。职责分离控制是一种事前控制。

具体来讲，不相容职务主要包括以下几方面内容。

（1）授权批准某项业务与执行该项业务职责分离。

（2）执行某项业务与审核该项业务职责分离。

（3）执行某项业务与记录该项业务职责分离。

（4）保管某项财产物资与记录该项财产物资职责分离。

（5）保管某项财产物资与对该项财产物资的清查职责分离。

（6）记录总账与记录明细账、日记账职责分离。

另外，在电子数据处理系统内部，以下各主要职责也尽可能分离，包括系统分析员、编程员、计算机操作员、资料保管员及数据控制小组等。

（四）信息和沟通

1．信息系统

信息系统（包括会计系统）包括单位为了确认、记录、汇总、分析和报告其经济业务，并维持对相关资产、负债和权益的受托责任而建立的方法和记录。信息系统生成信息的质量影响着管理当局在实施企业的控制活动时进行决策的能力，及编制可靠的财务报告的能力。

有效的信息系统包括：确认、记录所有有效的业务活动；序时详细记录业务以便予以归类，提供会计报告；在财务报表中采用恰当的货币价值来计量业务；确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当提示业务。

2．沟通

单位的信息系统为适当的人员提供了有效信息，而通过沟通，使单位各部门间对信息实现共享，使员工能够知悉企业整体目标和计划的实现方式。企业的信息沟通包括内部沟通和外部沟通。

内部沟通需做到：必须让每个人清楚地知道个人所承担的特定任务，了解内部控制的各项规定、它们如何生效以及他在控制系统中所扮演的角色和所承担的责任；员工必须知道他所负责的活动是怎样与他人的工作发生联系的；员工必须拥有在单位中向上沟通重要信息的渠道。

外部沟通需做到：顾客和供应商能经过开放的信息沟通渠道输入重要的信息；与相关的外部团体进行信息沟通，使他们获悉关于本单位内部控制的重要信息；外部审计人员对单位经营业务情况及内部控制实施审计后，可以提供给管理部门重要的控制信息；通过政府机关所报道的复核或检查的结果来有效地弥补控制的缺陷。

（五）监督

监督是指单位自身对内部控制的设计和执行情况经常性地进行评估和检查的活动。监督活动包括持续监督和独立评价。

（1）持续监督。持续的监督活动建立于单位内部的一般循环活动中，包括日常的管理监督活动。

（2）独立评价。在许多单位中，内部审计人员或执行相似功能的人事部门通过独立的评价来对单位的活动进行监督。

内部控制的这五个要素相互关联，控制环境是所有员工在其中从事经营活动，履行控制职责的一种气氛，是其他要素的基础。在这种气氛下，管理部门评价影响实现单位目标的经营风险。控制活动的实施是为了确保管理部门针对风险做出的指令得以贯彻执行。同时，应搜集包括财务信息在内的各种相关信息并在全单位进行沟通，另外，管理者还要对控制的全部过程进行监督，并根据情况的变化进行修改。

在内部控制的五个构成要素中，控制环境的优劣直接决定着企业其他各项控制能否实施的效果，是内部控制其他构成要素的基础。如果没有一个良好的控制环境，其他四个控制要素无论质量如何，都难以保证形成有效的内部控制。