内部控制理论
现金流是指企业生产经营过程中的现金流入、现金流出以及现金流入与现金流出之间 的差额形成的现金净流量。这里，现金包括企业所拥有和控制的银行存款、库存现金、 其他货币资金以及能随时变现为确定金额用于支付的其他资产。现金流是随着市场经济 的发展逐渐受到重视的。企业经营者和其他利益相关者在关注企业经营状况的同时，也 日益重视企业现金流的流入和流出，从某种意义上说，企业获取现金的能力比获取利润 的能力更加重要。如果一个企业长期不能实现盈利，那么她必将倒闭；但是，如果一家 企业在一定时期内不能获取适当现金流，以偿还到期债务，那么，她就面临破产的威胁 。如何加强现金流的管理和控制也就成为企业关注的焦点。本文拟就运用内部控制理论 的最新进展来分析如何加强企业现金流的管理和控制，以实现企业经营管理的目标。 第一章 内部控制理论 一般认为，内部控制理论的发展是与社会经济的发展水平相适应的。当社会经济发展到 需要所有者与经营者相分离时，形成的这种委托代理关系就需要一系列严密而科学的管 理制度对这种关系加以规范和约束，以使这种委托关系得以健康的发展，并使关系双方 从中受益。同时随着组织规模的不断扩大，也需要一套科学的制度对组织的成员加以规 范和约束，以达到组织目标。这样内部控制制度就显得非常必要了，与此同时，相应的 内控理论也逐步得到完善。 1.1 内部控制理论发展历程 按照比较权威和普遍的一种归纳，内部控制理论的发展在20世纪大致经历了四个阶段 [1]： 1.1.1 内部牵制阶段（20世纪40年代以前） 在这一阶段，基本上是以查错防弊为目的。其基本假设是：两个或两个以上的部门或人 无意识犯同样错误的机会很小；两个或两以上的部门或人有意识地合伙舞弊的可能性也 大大低于单独一个人或一个部门舞弊的可能性。其主要特点以任何个人或部门不能单独 控制任何一项或一部分业务权力的方式进行组织分工，每项业务通过正常发挥其他个人 或部门的功能进行交叉控制。这样每一项业务必须经过多个人员或多个部门交叉检查和 控制，在很大程度上减少了无意识的出现差错和有意识的营私舞弊现象的发生。 1.1.2 内部控制(Internal control)制度阶段（20世纪40年代～70年代） 20世纪30年代的经济危机对内部控制理论的发展起到了巨大的推动作用。危机过后，各 企业纷纷加强了对企业生产经营的控制与监督，这些控制与监督已逐渐深入到企业的所 有部门和全部经营活动中，而这些活动也远远超出了财务与会计的控制范围。这些控制 活动的实践也促进了控制理论的发展。1949年美国会计师协会（AICPA）首次提出并解释 了内部控制的概念。“内部控制是所制定的旨在保护资产、保证会计资料可靠性和完整性 、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套 的各种方法及措施。”在这一阶段，内部控制制度被分为内部会计控制和内部管理控制两 部分。前者在于保护企业资产、检查会计数据的准确性和可靠性；后者在于提高经营效 率、促使有关人员遵守既定的管理方针。 1.1.3 内部控制结构（Internal control structure）阶段（20世纪80年代） 20世纪80年代以后，西方国家对内部控制的研究进一步深化。1988年美国注册会计师协 会发布了《审计准则文告第55号》，首次以“内部控制结构”取代“内部控制”的概念。指出 “企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序 。”具体包括三方面的内容：内部控制环境、会计制度、控制程序。 1.1.4 内部控制整体框架阶段（internal control integrated framework） 进入90年代，美国COSO委员会（Committee Of Sponsoring Organization Of The Treadway Commission）提出报告《内部控制—整体框架》指出，内部控制是由企业董事会、经理阶层 和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标 的达成而提供合理保证的过程。其构成要素包括：控制环境（control environment）、风险评估（risk appraisal）、控制活动（control activity）、信息与沟通（information and communication）、监控（monitoring）五个方面。可以说内部控制整体框架的提出标志 着内部控制理论发展到一个崭新的阶段，它是内部控制发展史上的又一里程碑。 1.2 内部控制框架的要素及主要特点 1.2.1 控制环境（control environment） 任何企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守 、价值观和能力等，它们既是构成环境的重要要素，又与环境相互影响、相互作用。环 境要素是推动企业发展的引擎，也是其他一切要素的核心。这些环境要素包括：管理者 的经营风格和经营理念、董事会与审计委员会、组织结构与权责分派体系、人员的品行 与素质、人力资源政策及实务、管理控制方法、外部影响等。 1.2.2 风险评估（risk appraisal） 企业必须制定目标，该目标必须和销售、生产、行销、财务等作业相结合。为此，企 业也必须设立可辨认、分析和管理相关风险的机制，以了解自身可能面临的各种风险， 并适时加以控制和处理。这些风险包括来自企业外部的政治、经济、社会、文化与自然 等方面的风险和企业内部的决策失误、执行不力、生产故障等方面的风险。 1.2.3 控制活动（control activity） 企业必须制定控制的政策及程序，并予以执行，以帮助管理层保证“为保证其控制目 标的实现，其用以辨认并用以处理风险所必须采取的行动业已有效落实”。这些政策和程 序包括：交易授权、职责划分、业务流程及操作流程、业务记录、规章制度、独立检查 规章制度、控制标准等。 1.2.4 信息与沟通（information and communication） 围绕在控制活动周围的是信息和沟通系统。这些系统使企业内部的员工能取得他们在 执行、管理和控制企业经营过程中所需信息，并利用它们进行相应的活动。这种信息反 馈的速度、准确性如何，直接影响到内部控制指令的正确性和纠偏措施的准确性。 1.2.5 监控（monitoring） 整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修正。这 种监控包括各单位或部门的各级人员定期或不定期对自己执行各项规章制度的检查和内 部有关内部控制的专门部门所进行的财务审计和管理审计。 和以前的内部控制理论相比，COSO报告提出了许多新的、有价值的观点[2]。表现在 以下几个方面：1、明确了对内部控制的责任。COSO报告认为，不仅仅是管理人员、内部 审计人员或董事会，组织中的每一个人都对内部控制负有责任。确立这种组织思想有利 于将企业的所有员工团结一致，使其主动地维护及改善企业的内部控制，而不是与管理 层对立，被动地执行内部控制。2、强调内部控制应该与企业的经营管理过程相结合。C OSO报告认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。 这个过程由组织的某一单位或部门进行，或由若干个单位或（及）部门共同进行。内部 控制是企业经营过程的一部份，与经营结合在一起，而不是凌驾于企业的基本活动之上 ，它使经营达到预期的效果，并监督企业经营过程的持续进行。内部控制只是管理的一 种工具，并不能取代管理。3、强调内部控制是一个“动态过程”。内部控制是对企业的整 个经营管理活动进行监督与控制的过程，企业的经营活动不停止，企业的内部控制过程 也不会停止。企业的内部控制不是一项死的制度或机械的规定，企业的经营管理环境的 变化必然要求企业内部控制越来越趋于完善。内部控制是一个发现问题、解决问题、发 现新的问题、解决新的循环往复的过程。4、强调“人”的重要性。COSO报告特别强调，内 部控制受企业的董事会、管理阶层及其他企业员工的影响，透过企业之内的人所做的行 为及所说的话而完成。企业的目标是由人来制定的，同时也是由人设定的机制来控制的 。同时，内部控制也影响着人的行为。5、强调“软控制”的作用。相对于以前的内部控制 理论，COSO报告更加强调“软控制”的作用。比如该报告认为管理者及其他管理阶层的执 行者对内部控制的态度、管理者的经营风格、管理哲学、企业文化、内控意识等都是影 响内部控制的重要因素。6、强调风险意识。现代企业时刻面临着各种来自企业内外的风 险。COSO报告认为各种组织都面临着各种风险，管理阶层必须密切注意各种风险，并采 取适当的措施加以控制。7、揉合了管理与控制的界限。在COSO报告中，已难以严格区分 控制与管理的界限，二者在企业的经营管理活动中已融合在一起了。8、强调内部控制的 分类及目标。COSO报告中单独对内部控制目标进行了解析和阐释。目标是管理过程的一 个重要组成部份，虽然它不是内部控制的组成要素，但却是内部控制的先决条件，也是 促成内部控制的要件。如果企业的没有目标，那么企业就没有存在的必要，当然内部控 制也不复存在。COSO报告将内部控制目标分为三类：与营运有关的目标、与财务报告有 关的目标和与法令遵循有关的目标。这样就高度概括了企业控制目标，有利于从不同角 度关注企业内部控制的各个方面。9、明确指出内部控制只能做到“合理”保证。COSO报告 认为，不论设计及执行有多么完善，内部控制都只能为管理阶层及董事会提供达成企业 目标的合理保证。10、强调成本与效益原则。COSO报告明确指出，内部控制要建立在成 本与效益原则的基础上。内部控制并不是为消除一切可能的滥用职权而不计成本，而是 要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态的机制 。因此，没有不花钱的内部控制，也不存在完美无缺的内部控制。 1.3 内部控制的目标、原则、方法、局限 1.3.1 内部控制的目标 按照COSO报告的论述，内部控制是指由企业董事会、经理阶层和其他员工实施的，为 营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证 的过程。因此，内部控制的目标包括三个方面的内容：经营的效率效果、财务报告的可 靠性以及法律法规的遵循性。 1.3.2 内部控制的原则[3] 1.合法性原则。 企业必须在国家法律法规规定的范围内从事其经营活动，不能进行违法经营，更不能 借助内部控制来从事非法活动，或通过内部控制来逃避国家法规的监管。 2.有效性原则。 有效的内部控制在企业的生产经营过程中能够得到贯彻执行并发挥作用，实现其为提 高经营效果、提供可靠财务报告和遵守法律法规提供合理保证的目标，内部控制必须有 效，也就是说它必须与公司的治理结构以及内部各部门或单位的特点相适应，必须能发 现和化解企业生产经营所遭遇的风险。企业制定的各项内部控制制度要与单位内部管理 和经济发展相适应，既要体现企业规模特点和管理水平的差异要求，也要体现经济发展 和各项法律、法规制度的要求。这正是内部控制的生命力之所在。 3.审慎性原则。 在企业生产经营活动中，企业要达到生存发展的目标，就必须对各类风险进行有效的 预防和控制，内部控制作为企业管理的中枢环节，是防范企业风险最为行之有效的一种 手段。内部控制的核心是有效防范各种风险，任何制度的建立都要以防范风险、审慎经 营为出发点。 4.全面性原则。 内部控制的全面性包含两层含义：一方面是指企业根据生产经营的需要，应该设置的 内部控制都已设置；另一方面是指对生活经营活动的全过程进行自始至终的控制。如果 内部控制的全面性达不到，则内部控制的有效性就无从谈起。内部控制必须渗透到企业 经营管理的各项业务过程和各个操作环节，涵盖所有的部门和岗位，不能留有任何死角 。 5.及时性原则。 企业新设立的机构或开办新的业务种类或者开拓新的市场，必须树立“内控优先”的思 想，必须首先建章立制，采取有效的控制措施，然后再进行相关的业务活动。 6.独立性原则。 内部控制的检查、评价部门必须独立于内部控制的建立和执行部门，直接操作人员和 直接控制人员必须适当公开，并向不同的管理人员报告工作；在存在管理人员职责交叉 的情况下，要为负责控制的人员提供直接向最高管理层报告的渠道。 7.成本效益原则。 这是企业行为决策普遍适用的基本原则。内部控制在保护资产完整、信息真实、企业 目标实现等方面都会有良好的效果。但是，内部控制的构建和运行是会发生成本的，如 内部控制的构建成本、内部控制运行中的人力和物力支出、不适当的内部措施对企业产 生的不良影响等。建立内部控制必须遵循效益大于成本的原则，既不能因内部控制的缺 陷对企业产生较大的负面影响，也不能一味追求完善而无节制地产生支出。 8.分步走原则。 企业在构建内部控制时，应当按照企业自身实际情况采取分步...
内部控制理论