二十世纪初,内部控制测评被民间审计组织用于财务审计成为现代审计方法运用标志。之后,不论是在经济管理界,还是在审计界;不论对民间审计组织、内部审计机构,还是对国家审计机关;不论进行财务审计,还是进行绩效审计;不论是运用内部控制基础审计方法,还是运用风险导向审计方法;不论是管理、审计手段非信息技术化处理,还是管理、审计手段信息技术化处理,内部控制一直成为理论与实践关注的热点,并随社会政治、经济和科学技术发展而发展。
随着企业管理、民间审计实践发展,计算机在企业管理和民间审计中的运用,1992年,美国防虚假财务报告委员会所属赞助组织委员会提出《内部控制整体框架》报告(COSO报告),报告拓展了内部控制要素,成为国际审计界关于内部控制最具权威的论述,进而影响了民间审计、内部审计和国家审计准则的制定与实践。随着国家审计实践的发展,反腐要求的高涨,信息技术的进一步发展,最高审计机关国际组织,不仅在2001年提出内部控制是政府责任的基础,而且历经4年更新了1992年发布的《内部控制准则指南》。更新后的准则指南是2004年第十八届最高审计机关国际会议讨论通过的《公共部门内部控制准则指南》,各成员国审计机关对该准则指南提出的内部控制概念达成共识。
相对《内部控制准则指南》的内部控制概念,《公共部门内部控制准则指南》的内部控制概念,不仅吸收了《内部控制整体框架》报告中内部控制概念模式,而且强调了信息技术控制对政府履行责任、提高办公透明度的重要性;相对《内部控制整体框架》的内部控制概念,《公共部门内部控制准则指南》不仅赋于了内部控制新内容:拓宽了内部控制目标,突出了公共资源安全控制的地位,扩大了信息控制范围,发展了信息技术控制,考虑了美国防虚假财务报告委员会所属赞助组织委员会2004年提出的《企业风险管理框架》;而且体现了公共部门内部控制的特征:公共道德控制和信息资源控制的社会政治效应,使命目标和政策执行控制的社会经济效益。
《公共部门内部控制准则指南》是最高审计机关国际组织成员国审计机关制定和实施内部控制测评准则的基本参考依据。各国因社会经济发展、政治目标不同,公共部门在公共资金运用、预算周期及重点和预算执行中存在着差异。翻译最高审计机关国际组织在《公共部门内部控制准则指南》提出的内部控制概念,有助于我国审计机关结合本国实际情况理解内部控制发展及原因,运用并发展财务审计内部控制测评,研究效益审计、信息技术审计内部控制及测评,推动审计质量控制。
一、内部控制的概念
公共部门内部控制是公共机构管理部门和员工针对风险设置、合理保障机构履行使命并实现总体目标的过程,它是机构运作不可缺少的过程。公共机构实现的总体目标是:有序、道德和经济地运作;提高运作效率,运作达到预期效果;履行责任;遵守法律、法规;维护资源安全,防止损失、滥用和毁坏。内部控制随着机构业务变化不断地更新,是一个动态的、必要的过程。针对风险合理保障机构履行使命并实现总体目标的过程与机构管理部门和各层次的员工有关。内部控制是机构运作不可缺少的过程。内部控制不是孤立的事项或环境,而是机构业务管理中存在的一系列活动。这些活动在机构业务处理期间持续地发生,处处地、内在地制约着机构业务管理。内部控制非同于某些人对它的看法,认为内部控制是强加于机构做的或机构不得不做的事情。内部控制系统是机构业务处理不可缺少的组成部分,与机构业务管理融为一体,在机构基础结构中设置,内部控制最为有效。内部控制应在机构业务处理中设置,不应在机构业务处理外设置。在机构业务处理中设置内部控制,使之成为机构管理过程的组成部分,并与计划、执行和监督过程融为一体,更为有效。
在机构业务处理中设置内部控制的重要意义还在于是减少管理成本。独立于现有的业务处理程序重新设置内部控制程序将增加机构管理成本。在现有业务处理程序基础上,调整设置内部控制,效果更好。内部控制系统与机构业务处理融为一体,业务处理通常可避免无用的程序和多余支出。
二、内部控制人员
内部控制人员指机构中从事内部控制工作者。内部控制通过机构员工的表达和行为完成。所以,内部控制由内部控制人员形成。内部控制人员必须了解其任务、责任和权限。
机构内部控制人员包括管理部门和其他员工。虽然管理部门主要实施机构内部监督,但还负责确立机构目标,并对内部控制承担全部责任。为了解机构目标环境风险,需要设置内部控制程序,管理部门为此制定内部控制措施,并对措施执行进行监督、测评。执行内部控制需要机构主管人员积极支持,并通过管理部门与其他员工及时沟通。因此,内部控制是管理部门直接用以实现机构目标的手段。严格地说,管理部门是内部控制的重要组成部分。总之,机构全体员工在设置和执行内部控制中均发挥着重要作用。
另外,员工的品行影响内部控制。准则指南认为:员工对内部控制的理解、沟通和执行并非总是一致。每个人形成特定的工作岗位环境,具备不同的工作能力,有着不同的需求,处于不同的地位。这些因素影响着内部控制,并受内部控制影响。
三、内部控制的合理保障
任何机构最关注其使命完成,机构为目标而存在公共部门通常关注服务方式和公共效益。无论何种使命,其完成可能面临着各种风险,为尽力完成机构使命,管理部门的任务是确认并应对风险。内部控制仅助于管理部门在这些风险中合理地保障机构完成使命并实现总体目标。
不管怎样合理地设置、有效地执行内部控制,它不能绝对地保障实现管理部门确立的机构总体目标。反之,指南认为:只有“合理”保障才具有可行性。
合理保障相当于内部控制达到需要的保障程度时,对内部控制成本效益和风险做出考虑。确定内部控制保障的合理程度需要判断。在实际判断,管理人员应确认环境变化中机构业务处理的内在风险、可承受风险,并评估风险的性质和程度。
合理保障体现了风险的不确定性和不可预见性的理念。内部控制外部因素和机构作用可影响机构实现总体目标。影响机构实现总体目标的因素还有:决策中判断不当;身心因素引起差错或过失;两人或多人窜通回避内部控制,或员工无视内部控制。另外,控制成本的考虑将降低内部控制系统的保障程度。这些因素致使管理部门不能绝对地保障机构实现总体目标。
合理保障被认为:内部控制成本不应大于内部控制效益。反馈风险,建立内部控制,其决定需要考虑内部控制成本和效益。成本指实现具体控制目标资源耗费的财务估量和机会成本的经济估量。实现具体控制目标如:预防工作延误、服务标准或生产率下降和员工精神状态不佳。通过降低机构预期目标无法实现的风险程度判断内部控制效益。其如:增强发现欺诈、浪费、滥用或差错的能力;预防差错发生,或加强业务处理合法、合规性。
将风险控制在可承受程度,设置内部控制符合成本效益原则,其需要管理人员清楚地明了机构全部实现的目标。此外,政府机构管理人员可能在某一业务处理系统设置过多的内部控制,对其他业务处理系统产生不利影响。不利影响如:员工可能避开繁琐的内部控制程序;低效率控制可能延误业务处理;过多的控制程序可能抑制员工的创造性,不能解决或不能及时解决问题,降低服务的成本效益或质量效益。由此,其他业务处理系统增加的成本可能会抵销设置过多控制的业务处理系统获取的效益。
还应考虑业务性质。高风险/低金额业务,其如工资、差旅费和医疗费,其合理控制或许重要。相对政府全部费用支出,高风险/低金额业务内部控制支出看似多余,但合理。其可以发现业务处理差错,维护政府及有关机构的公众信誉。
四、内部控制与机构目标的设置
总体目标通过诸多具体的子目标、职能、过程和活动实现。内部控制为实现一系列独立且相互联系的总体目标而设置。机构总体目标是:
1、有序、道德、经济地运作,提高运作效率,达到预期效果。机构业务处理应循序进行,符合道德规范,讲求经济、效率和效果,并与机构使命相符。
有序意指以合理的方式有条理地处理业务。道德意指道义原则。上世纪九十年代以来注重道德,预防、检查舞弊和腐败,其对公共部门变得更为重要。一般希望是:公务员应合理满足公众利益,严格管理公共资源;公众应受到合法、合理的公平对待。因此,公共道德奠定了公共部门的公众信誉基础,是良性治理社会的必要条件和根基。经济意指不浪费或挥霍。即以最低成本,获取适当的符合质量的资源,适地、适时地配置资源。
效率意指实现机构目标的资源投入与产出关系。即以最少的资源投入,实现既定数量和质量的产出;或以既定数量和质量的资源投入,实现最多的产出。效果意指目标完成程度符合既定目标要求或业务处理结果达到预期标准。
2、履行责任。公共责任包括公共机构及员工在公共资金使用管理、合理满足公众利益及业务处理各方面的职责,履行责任指要求公共服务机构及员工对其决策和行为承担责任的过程。
履行责任被认为是形成和处理财务和非财务信息,保持信息可用性、可靠性和相关性,合理披露信息,及时向机构内外股东报告。非财务信息指与政策及执行的经济性、效率、效果和内部控制执行及效果相关的信息。
3、遵守法律和法规。要求机构遵守大量的法律和法规,法律和法规主要指公共机构法律和法规中有关公共收支授权及管理方式,如:预算法案,国际条约,公共事务管理法,会计法或准则,环境保护和公民权力法,所得税法规,反欺诈和腐败法令等。
4、维护资源安全。防止因浪费、滥用、不当管理、差错、舞弊和违规行为引起的资源损失、浪费和毁坏。
虽然认为这一目标次于第一个目标,但维护公共部门资源安全非常重要,需要加强。公共资源一般体现为公共资金,其使用的公共效益一般需要特别地关注。此外,现金为基础的预算会计在公共部门仍普遍使用,资源的取得、使用和安排没有足够的保障。因而导致一些公共机构并不及时更新其全部财产记录,使资产更易流失。因此,在资源取得至处理资源的每一管理环节中应设置内部控制。
信息、原始凭证和会计记录资源是政府履行责任并提高办公透明度的关键,存在被盗、滥用和损坏的危险,应加保护。伴随计算机系统广泛应用,维护资源真实性和记录有效性变得甚为重要。不注意保护电脑储存的敏感信息,它可能被毁坏、复制、扩散和滥用。
五、内部控制效果的有限性
内部控制凭自身不能保障机构实现既定总体目标。
无论内部控制系统如何合理地设置、有效地执行,其效果仅能合理地,而不能绝对地保障实现管理部门确立的机构总体目标或完成内部控制任务。虽然内部控制可形成管理部门有关机构实现其目标的进度信息,或借助内部控制接近实现机构目标,但内部控制却不能变管理人员劣性为优点。政府机构修改工作政策或程序,人口结构或经济状况发生变化;这些变动显然超出管理部门控制范围,管理人员在变动中可能需要重新设置内部控制或调整可承受风险程度。
内部控制效果在于减少机构总体目标无法实现的可能性。但内部控制总存在着设置不合理或无法如期执行的风险。内部控制效果取决于人的因素,它受制于管理部门和员工对其:设置错误,判断或解释误差,理解偏差,疏忽大意,疲劳作业,注意力分散,窜通回避,肆意践踏或无视。
内部控制设置资源的制约也是个限制因素。必须结合内部控制成本考虑内部控制效益。保持内部控制系统以消除所有损失风险不切实际,由此产生的成本可能高于其带来的收益。具体的内部控制设置与否,应同时考虑内部控制设置成本和风险产生的可能性及对机构的潜在影响。
机构业务变化和管理部门的态度严重地影响着内部控制效果及内部控制人员的操作。因此,管理部门需要不断地检查和更新内部控制,与员工沟通业务变化情况,树立忠于内部控制职守的榜样。
(译者单位:审计署科研所)
