管理控制与内部受托责任审计
来源: 王光远
2002-07-04
普通
按照受托责任审计观,审计是确保受托责任有效履行的手段,是一种落实受托责任的控制机制。而以内部受托责任为对象的内部审计则要履行两方面的责任:一方面要审核各责任部门向上级经管部门提交的内部受托责任报告是否真实可靠;另一方面要评价各责任部门受托责任的完成情况,从而为管理当局的整个管理控制提供可靠、相关的信息。
(一)
早期的内部审计是一种会计导向型审计,它主要检查会计记录是否正确,有无疏忽引发的错误,有无营私舞弊,资产是否安全完整,公司所制定的程序与政策是否遵守。内部审计部门通常附属于财务或会计部门之下,内部审计师通常是外部独立审计师的“影子”。用沃尔特·梅格斯的话来说:一方面内部审计师要持续不断地寻找公司会计记录的错误,另一方面又充任分公司广泛分布的总公司的代理巡视人。从1940年内部管理审计发轫至今,伴随着受托责任由受托财务责任向受托管理责任的发展,内部审计逐渐地脱离会计导向,进入管理导向时代。内部审计职能的演进,与其说是审计工作的横向扩充,不如说是审计工作纵向的发展。这种演进最终使内部审计师加入了管理者的行列,内部审计成为一种重要的管理控制活动,成为一种增加组织价值、改善组织经营的高层次工作。
关于管理控制与内部审计的关系,学界专家和职业界审计师早有认识。哈佛大学的罗伯特·安东尼教授在其名著《管理会计》中,明确指出:管理控制是管理当局得以获取资源并通过组织高效运用资源、最终实现经营目标的一系列措施,管理控制是一系列作业的循环过程,它包括:①设立目标;②战略规划;③预算;④执行与反映;⑤计量与比较;⑥分析与评价;⑦拟定改进措施;⑧采取改进行动;⑨追踪考评。管理控制系统就是内部控制系统。在这一系列管理活动中,除去业务执行与指挥命令之外,几乎都与内部审计职责息息相关。内部审计作为一种管理控制的工具,以其相对独立、客观的立场和对企业经营状况的全面了解,能对管理控制的各项活动情况作出科学的评判,进而促进整个管理控制系统高效营运。另一位学者F.A.Lamperti进一步认为,管理控制可分为七大要素,它包括:①目标设立;②组织;③会计制度;④方法程序;⑤标准;⑥弹性预算;⑦内部审计。在这里,内部审计成为管理控制的七大要素之一。内部审计既是管理当局的左膀右臂,又是宣传管理政策、提高管理效率和效果的导师。
杰出的管理学家哈罗德·孔茨教授和海因茨·韦里克教授在合著的《管理学》名著中,把控制视作整体管理循环中的一个环节,他们就此讨论了控制与管理审计的关系,并明确指出:控制有直接控制和预防性控制之分,预防性控制原理带动厂几个方面的上作,其中之一就是管理审计和自我审计。管理审计与其他管理方法相比较,其宗旨不在评价主管人员个人,而是评价管理工作的质量和一个管理系统的质量;而自我审计是对组织经营状况的审计,是对组织管理系统的间接审计。管理学家们的分析说明:科学的强化控制职能的管理风格和管理循环,是管理审计发挥作用的基础,没有科学的管理,就不会有科学的管理审计。欧洲国际管理中心杰拉尔德·文滕教授曾专门对英美两国的管理审计进行了比较研究,结果发现,英国管理审计落后的主要原因在于,英国的管理不像美国那样对企业的各种活动采用正式的、固定的程序,从而不像美国那样更多地强调标准控制。管理学家们的分析也说明:管理必须依靠审计,管理控制的核心是审计,特别是管理审计;没有审计对管理系统质量的检查和评价,就不会有良好的管理效率和管理效果。
(二)
本质上讲,控制是对受托责任的控制,没有受托责任也就无所谓控制。关于控制与受托责任的关系,可以说自“控制”概念产生就已存在,据C.A.Munkman考证:“‘控制(control)’一词源于‘contra roll’,其意思是说由委托人或所有者保持一套记录,以便检查和验证受托人所编报的账项。而‘主计长’(controller or comptroller)的职能正是监督和检查账项,也可以说控制一词已经具有现代英语中‘审计’的意思。”
内部审计作为一种自我诊断、自我审计(self audit)制度,是管理控制的组成部分,是管理控制的基石。实际上管理控制的有效落实,历来都是通过会计工作实现的,正如巴里·库欣教授在《会计信息系统与企业组织》一书中所言:“控制与会计两者是不可分割的,可以说,在企业组织中控制是会计的中心观念和目的,而会计则是控制的主要工具。”在过去相当长的一段时间里,职业界曾把内部控制分为内部会计控制和内部管理控制,这里的“内部管理控制”是一种狭义的管理控制。内部管理控制着重组织目标的实现,内部会计控制则着重游戏规则的维护。内部管理控制确保组织上下在分权与制衡的机制中能够合作协调、实现目标。每一个内部管理控制点就是内部会计控制的起点,所有的内部会计控制旨在强化控制机能,监督一切交易事项是否按规则进行,至于是否达到目标,不是内部会计控制的责任,它只负责守好规矩。内部管理控制和内部会计控制,一个较强调控制人,一个较强调控制物。内部审计对管理控制系统的审计,实质上既包括对内部管理控制的审计,也包括对内部会计控制的审计。
按照理查德·威尔逊教授的分析,任何控制系统都应该具有三个基本特征:①受托责任;②可控性;③可选择性。受托责任中的许多问题都是随信息质量特征中的相关性而产生的。就会计而言,是一个利用信息来控制项定目标的控制系统,正如杨时展教授所言:“现代会计就是一个以货币量度,按照公认标准来计量、控制、认定受托责任完成情况,以便决策的控制系统。”作为一个例证,我们来看一下预算问题。从受托责任控制看,预算就是将一个组织所承担的受托责任具体化、数量化、货币化,使之成为受托人的具体目标和控制的具体标准,因此,预算实质就是受托责任关系双方当事人有关受托责任的量化协议;而与此相关的责任会计就是在分权经营的前提下,将一个组织的总目标分解为各个单位的子目标,将总体受托责任分解为组织内部各责任单位的内部受托责任,使被授权的责任单位在其职权范围内,各负其责,使影响组织受托责任目标得以实现的一切可控因素,都在某一责任中心内得到控制,以确保组织受托责任总目标的实现。
既然控制是对受托责任的控制,那么作为控制审计的内部审计,本质上就是对受托责任的审计。
(三)
国际内部审计师协会历来认为:内部审计就是通过计量和评价其他各项控制的有效性来发挥作用的管理控制。所以,在内部财务审计基础上发展起来的内部管理审计正是以内部控制为中心的审计,内部控制的性质就决定着内部审计的性质。
经过学术界专家和职业界实践者几十年的努力,在20世纪40年代,会计实现了由“记账型会计”向“控制型会计”的转变,民间审计准则也正式规范了内部控制制度。内部控制的制度化,一方面促进了民间财务审计的发展,另一方面对内部审计转向非财务会计领域产生了直接的影响。美国著名会计学家Lee·D·Parker对20世纪会计文献中控制概念的发展进行了综合研究。研究发现,从1900年至1959年,文献中已经出现了一系列控制概念,包括授权控制、纪律控制、协调控制、标准和预算控制、例外控制。从1960年至1979年,在上述控制概念得以巩固和发展的同时,文献中出现了对各种控制模型的讨论,诸如结构控制模型、行为控制模型、系统控制模型。
为了使控制能够满足受托责任的现实需要,美国内部审计师协会(IIA)于1983年发布了“内部审计准则说明书”第1号,题为“控制的概念和责任”。这份说明书解释了内部控制的定义,阐明了在建立、维持和评价控制时各个参与者的作用,这一重要公告包括以下几项内容:①控制是管理当局为达到既定目标和目的而采取的任何行动;②控制产生于管理当局的计划、组织和指挥;③控制一词的多种表述形式(如行政控制、管理控制、内部控制)可以在属概念的范围内结合应用;④总控制制度在性质上是概念性的,它是组织为了达到目标所采用制度的集合体;⑤管理当局为了对既定目标和目的的实现提供合理保证,就必须进行计划、组织和指挥;⑤内部审计对计划、组织和指挥过程进行检查和评价,以判断是否存在实现目标的合理保证;组织内所有的制度、程序、业务、职能和活动都要接受内部审计的评价;这种评价的总和,即为评价总控制制度提供了信息。
自1983年关于内部控制的公告发布之后,IIA和特雷德韦委员会(COSO)又对内部控制概念及评价作了数次修改,形成了以控制环境、风险评估、控制活动、信息与沟通、监控为内容的五要素内部控制,并于1992年发布厂第9号“内部审计准则说明书”,从六个方面对“风险评估”要素进行了规范:①确定可审活动并加以归类。经常遇到的可审活动有:方针、程序和惯例;成本中心、利润中心和投资中心;总分类账户余额;信息系统;主要合同和项目;组织单位;职能如生产、融资、营销等;交易制度;财务报表;法律和规章。②估量风险因素。常见的风险因素有:道德风气和促使管理部门完成目标的压力;人员的能力、胜任力和正直性:资产的型号、流动性或交易数量;财务和经济状况;竞争状况;活动的复杂性和反复无常;顾客、供应商和政府规章的影响;信息系统计算机化的程度;业务在地理位置上的扩展度;内部控制制度的充分性和有效性;组织、业务、技术或经济上的变化;管理判断和会计估计;对审计结果的接受和采取的纠正行动;前期审计的日期和结果。③风险评估过程应该提供一套组织和综合职业判断并改进审计工作方案的方法。④内部审计经理应该将各种来源的信息结合运用于风险评估过程。这些信息包括(但不局限于):与董事会和管理部门各种人员的讨论;管理部门职员间的讨论;与外部审计师的讨论;对可适用的法律和规章的考虑;对财务和业务数据的分析;前期审计的检查;行业或经济趋势。⑤在风险评估过程中,内部审计经理应事先制订审计方案。也可以往考虑了诸如与外部审计协调和董事会及管理部门的要求等其他信息之后,调整审计工作方案。⑥应该对可审活动目录中的任何重大变化或自审计工作方案制订后发生的有关风险因素进行周期性评估。这种评估将帮助内部审计经理对工作方案和优先审计事项作出适当的调整。所有这些规范化工作,进一步加深了人们对控制和受托责任关系的认识,加深了对控制审计和内部受托责任审计的认识。
在多层负责的组织管理体制之下,受托责任的多级化导致了管理审计的发生和发展。这仅是一般结论。到底在现实中,管理审计能否发挥对控制过程的再控制作用,还取决于组织中最高管理当局或中层管理当局等资金受托人的受托责任意识的强弱。因为内部审计的报告不论向谁提交,其隶属关系都是组织内的一个机构,各资金受托人的受托责任意识强、对内部审计重视程度高,则管理审计发挥的作用就大。历史上IIA的第1号“内部审计师责任说明书”公布于二战后不久,这段时间对内部审计职业来说是绝好的发展时期,这期间大量的企业在寻找利用其过剩生产能力的方法,由于激烈的竞争,公司对降低经营成本、增加市场利润极感兴趣,于是管理当局企求内部审计部门和内部审计师施行管理审计,但当时的内部审计师还难以提供太大的帮助,从而使它在公司扩大作用和影响的黄金时机被丧失了。那么导致这种局面出现的原因是什么呢?埃梅斯特·迈尔斯认为有以下四点原因:①内部审计师不能自由地接触整个公司,不能对管理当局的决策提供质询;②大多数内部审计机构缺少训练有素的职业会计师;③大多数内部审计机构向较低层次的管理者报告;④大多数公司只允许内部审计机构涉及财务与会计性质的事项。在这四点原因中,内部审计地位不高、公司对内部审计重视不够、管理当局受托责任意识不强,是内部审计未能在组织中发挥作用的根本原因。很快地,公司的管理当局认识到了这一点,随即采取有效措施,积极清除影响内部审计师职业地位的各种障碍。这些行动直接推动了1957年“内部审计师责任说明书”的出台。
(一)
早期的内部审计是一种会计导向型审计,它主要检查会计记录是否正确,有无疏忽引发的错误,有无营私舞弊,资产是否安全完整,公司所制定的程序与政策是否遵守。内部审计部门通常附属于财务或会计部门之下,内部审计师通常是外部独立审计师的“影子”。用沃尔特·梅格斯的话来说:一方面内部审计师要持续不断地寻找公司会计记录的错误,另一方面又充任分公司广泛分布的总公司的代理巡视人。从1940年内部管理审计发轫至今,伴随着受托责任由受托财务责任向受托管理责任的发展,内部审计逐渐地脱离会计导向,进入管理导向时代。内部审计职能的演进,与其说是审计工作的横向扩充,不如说是审计工作纵向的发展。这种演进最终使内部审计师加入了管理者的行列,内部审计成为一种重要的管理控制活动,成为一种增加组织价值、改善组织经营的高层次工作。
关于管理控制与内部审计的关系,学界专家和职业界审计师早有认识。哈佛大学的罗伯特·安东尼教授在其名著《管理会计》中,明确指出:管理控制是管理当局得以获取资源并通过组织高效运用资源、最终实现经营目标的一系列措施,管理控制是一系列作业的循环过程,它包括:①设立目标;②战略规划;③预算;④执行与反映;⑤计量与比较;⑥分析与评价;⑦拟定改进措施;⑧采取改进行动;⑨追踪考评。管理控制系统就是内部控制系统。在这一系列管理活动中,除去业务执行与指挥命令之外,几乎都与内部审计职责息息相关。内部审计作为一种管理控制的工具,以其相对独立、客观的立场和对企业经营状况的全面了解,能对管理控制的各项活动情况作出科学的评判,进而促进整个管理控制系统高效营运。另一位学者F.A.Lamperti进一步认为,管理控制可分为七大要素,它包括:①目标设立;②组织;③会计制度;④方法程序;⑤标准;⑥弹性预算;⑦内部审计。在这里,内部审计成为管理控制的七大要素之一。内部审计既是管理当局的左膀右臂,又是宣传管理政策、提高管理效率和效果的导师。
杰出的管理学家哈罗德·孔茨教授和海因茨·韦里克教授在合著的《管理学》名著中,把控制视作整体管理循环中的一个环节,他们就此讨论了控制与管理审计的关系,并明确指出:控制有直接控制和预防性控制之分,预防性控制原理带动厂几个方面的上作,其中之一就是管理审计和自我审计。管理审计与其他管理方法相比较,其宗旨不在评价主管人员个人,而是评价管理工作的质量和一个管理系统的质量;而自我审计是对组织经营状况的审计,是对组织管理系统的间接审计。管理学家们的分析说明:科学的强化控制职能的管理风格和管理循环,是管理审计发挥作用的基础,没有科学的管理,就不会有科学的管理审计。欧洲国际管理中心杰拉尔德·文滕教授曾专门对英美两国的管理审计进行了比较研究,结果发现,英国管理审计落后的主要原因在于,英国的管理不像美国那样对企业的各种活动采用正式的、固定的程序,从而不像美国那样更多地强调标准控制。管理学家们的分析也说明:管理必须依靠审计,管理控制的核心是审计,特别是管理审计;没有审计对管理系统质量的检查和评价,就不会有良好的管理效率和管理效果。
(二)
本质上讲,控制是对受托责任的控制,没有受托责任也就无所谓控制。关于控制与受托责任的关系,可以说自“控制”概念产生就已存在,据C.A.Munkman考证:“‘控制(control)’一词源于‘contra roll’,其意思是说由委托人或所有者保持一套记录,以便检查和验证受托人所编报的账项。而‘主计长’(controller or comptroller)的职能正是监督和检查账项,也可以说控制一词已经具有现代英语中‘审计’的意思。”
内部审计作为一种自我诊断、自我审计(self audit)制度,是管理控制的组成部分,是管理控制的基石。实际上管理控制的有效落实,历来都是通过会计工作实现的,正如巴里·库欣教授在《会计信息系统与企业组织》一书中所言:“控制与会计两者是不可分割的,可以说,在企业组织中控制是会计的中心观念和目的,而会计则是控制的主要工具。”在过去相当长的一段时间里,职业界曾把内部控制分为内部会计控制和内部管理控制,这里的“内部管理控制”是一种狭义的管理控制。内部管理控制着重组织目标的实现,内部会计控制则着重游戏规则的维护。内部管理控制确保组织上下在分权与制衡的机制中能够合作协调、实现目标。每一个内部管理控制点就是内部会计控制的起点,所有的内部会计控制旨在强化控制机能,监督一切交易事项是否按规则进行,至于是否达到目标,不是内部会计控制的责任,它只负责守好规矩。内部管理控制和内部会计控制,一个较强调控制人,一个较强调控制物。内部审计对管理控制系统的审计,实质上既包括对内部管理控制的审计,也包括对内部会计控制的审计。
按照理查德·威尔逊教授的分析,任何控制系统都应该具有三个基本特征:①受托责任;②可控性;③可选择性。受托责任中的许多问题都是随信息质量特征中的相关性而产生的。就会计而言,是一个利用信息来控制项定目标的控制系统,正如杨时展教授所言:“现代会计就是一个以货币量度,按照公认标准来计量、控制、认定受托责任完成情况,以便决策的控制系统。”作为一个例证,我们来看一下预算问题。从受托责任控制看,预算就是将一个组织所承担的受托责任具体化、数量化、货币化,使之成为受托人的具体目标和控制的具体标准,因此,预算实质就是受托责任关系双方当事人有关受托责任的量化协议;而与此相关的责任会计就是在分权经营的前提下,将一个组织的总目标分解为各个单位的子目标,将总体受托责任分解为组织内部各责任单位的内部受托责任,使被授权的责任单位在其职权范围内,各负其责,使影响组织受托责任目标得以实现的一切可控因素,都在某一责任中心内得到控制,以确保组织受托责任总目标的实现。
既然控制是对受托责任的控制,那么作为控制审计的内部审计,本质上就是对受托责任的审计。
(三)
国际内部审计师协会历来认为:内部审计就是通过计量和评价其他各项控制的有效性来发挥作用的管理控制。所以,在内部财务审计基础上发展起来的内部管理审计正是以内部控制为中心的审计,内部控制的性质就决定着内部审计的性质。
经过学术界专家和职业界实践者几十年的努力,在20世纪40年代,会计实现了由“记账型会计”向“控制型会计”的转变,民间审计准则也正式规范了内部控制制度。内部控制的制度化,一方面促进了民间财务审计的发展,另一方面对内部审计转向非财务会计领域产生了直接的影响。美国著名会计学家Lee·D·Parker对20世纪会计文献中控制概念的发展进行了综合研究。研究发现,从1900年至1959年,文献中已经出现了一系列控制概念,包括授权控制、纪律控制、协调控制、标准和预算控制、例外控制。从1960年至1979年,在上述控制概念得以巩固和发展的同时,文献中出现了对各种控制模型的讨论,诸如结构控制模型、行为控制模型、系统控制模型。
为了使控制能够满足受托责任的现实需要,美国内部审计师协会(IIA)于1983年发布了“内部审计准则说明书”第1号,题为“控制的概念和责任”。这份说明书解释了内部控制的定义,阐明了在建立、维持和评价控制时各个参与者的作用,这一重要公告包括以下几项内容:①控制是管理当局为达到既定目标和目的而采取的任何行动;②控制产生于管理当局的计划、组织和指挥;③控制一词的多种表述形式(如行政控制、管理控制、内部控制)可以在属概念的范围内结合应用;④总控制制度在性质上是概念性的,它是组织为了达到目标所采用制度的集合体;⑤管理当局为了对既定目标和目的的实现提供合理保证,就必须进行计划、组织和指挥;⑤内部审计对计划、组织和指挥过程进行检查和评价,以判断是否存在实现目标的合理保证;组织内所有的制度、程序、业务、职能和活动都要接受内部审计的评价;这种评价的总和,即为评价总控制制度提供了信息。
自1983年关于内部控制的公告发布之后,IIA和特雷德韦委员会(COSO)又对内部控制概念及评价作了数次修改,形成了以控制环境、风险评估、控制活动、信息与沟通、监控为内容的五要素内部控制,并于1992年发布厂第9号“内部审计准则说明书”,从六个方面对“风险评估”要素进行了规范:①确定可审活动并加以归类。经常遇到的可审活动有:方针、程序和惯例;成本中心、利润中心和投资中心;总分类账户余额;信息系统;主要合同和项目;组织单位;职能如生产、融资、营销等;交易制度;财务报表;法律和规章。②估量风险因素。常见的风险因素有:道德风气和促使管理部门完成目标的压力;人员的能力、胜任力和正直性:资产的型号、流动性或交易数量;财务和经济状况;竞争状况;活动的复杂性和反复无常;顾客、供应商和政府规章的影响;信息系统计算机化的程度;业务在地理位置上的扩展度;内部控制制度的充分性和有效性;组织、业务、技术或经济上的变化;管理判断和会计估计;对审计结果的接受和采取的纠正行动;前期审计的日期和结果。③风险评估过程应该提供一套组织和综合职业判断并改进审计工作方案的方法。④内部审计经理应该将各种来源的信息结合运用于风险评估过程。这些信息包括(但不局限于):与董事会和管理部门各种人员的讨论;管理部门职员间的讨论;与外部审计师的讨论;对可适用的法律和规章的考虑;对财务和业务数据的分析;前期审计的检查;行业或经济趋势。⑤在风险评估过程中,内部审计经理应事先制订审计方案。也可以往考虑了诸如与外部审计协调和董事会及管理部门的要求等其他信息之后,调整审计工作方案。⑥应该对可审活动目录中的任何重大变化或自审计工作方案制订后发生的有关风险因素进行周期性评估。这种评估将帮助内部审计经理对工作方案和优先审计事项作出适当的调整。所有这些规范化工作,进一步加深了人们对控制和受托责任关系的认识,加深了对控制审计和内部受托责任审计的认识。
在多层负责的组织管理体制之下,受托责任的多级化导致了管理审计的发生和发展。这仅是一般结论。到底在现实中,管理审计能否发挥对控制过程的再控制作用,还取决于组织中最高管理当局或中层管理当局等资金受托人的受托责任意识的强弱。因为内部审计的报告不论向谁提交,其隶属关系都是组织内的一个机构,各资金受托人的受托责任意识强、对内部审计重视程度高,则管理审计发挥的作用就大。历史上IIA的第1号“内部审计师责任说明书”公布于二战后不久,这段时间对内部审计职业来说是绝好的发展时期,这期间大量的企业在寻找利用其过剩生产能力的方法,由于激烈的竞争,公司对降低经营成本、增加市场利润极感兴趣,于是管理当局企求内部审计部门和内部审计师施行管理审计,但当时的内部审计师还难以提供太大的帮助,从而使它在公司扩大作用和影响的黄金时机被丧失了。那么导致这种局面出现的原因是什么呢?埃梅斯特·迈尔斯认为有以下四点原因:①内部审计师不能自由地接触整个公司,不能对管理当局的决策提供质询;②大多数内部审计机构缺少训练有素的职业会计师;③大多数内部审计机构向较低层次的管理者报告;④大多数公司只允许内部审计机构涉及财务与会计性质的事项。在这四点原因中,内部审计地位不高、公司对内部审计重视不够、管理当局受托责任意识不强,是内部审计未能在组织中发挥作用的根本原因。很快地,公司的管理当局认识到了这一点,随即采取有效措施,积极清除影响内部审计师职业地位的各种障碍。这些行动直接推动了1957年“内部审计师责任说明书”的出台。