Skip to main content
Global

8.2:定义和解释组织内的内部控制及其用途

  1. Last updated
  2. Save as PDF
  • Page ID
    201470

    • \( \newcommand{\vecs}[1]{\overset { \scriptstyle \rightharpoonup} {\mathbf{#1}} } \) \( \newcommand{\vecd}[1]{\overset{-\!-\!\rightharpoonup}{\vphantom{a}\smash {#1}}} \)\(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\) \(\newcommand{\id}{\mathrm{id}}\) \( \newcommand{\Span}{\mathrm{span}}\) \( \newcommand{\kernel}{\mathrm{null}\,}\) \( \newcommand{\range}{\mathrm{range}\,}\) \( \newcommand{\RealPart}{\mathrm{Re}}\) \( \newcommand{\ImaginaryPart}{\mathrm{Im}}\) \( \newcommand{\Argument}{\mathrm{Arg}}\) \( \newcommand{\norm}[1]{\| #1 \|}\) \( \newcommand{\inner}[2]{\langle #1, #2 \rangle}\) \( \newcommand{\Span}{\mathrm{span}}\)\(\newcommand{\AA}{\unicode[.8,0]{x212B}}\)

    内部控制是 组织用来管理风险和减少欺诈发生的系统。 内部控制结构由控制 环境、会计系统和称为 控制活动的程序组成。 几年 前,赞助组织委员会 (COSO)召开会议,讨论内部控制问题,这是一个独立的私营部门团体, 其五个赞助组织定期确定和 处理 具体的会计问题或项目各组织业务和 会计制度的缺陷。 他们随后发布了一 份名为 COSO 内部 控制集成框架的报告。 他们 认为有效的内部控制系统 必需的五个组件构成了 图 8.3 所示的内部控制三角形中的组件。

    三角形,内部控制位于顶部,则每个向下层为:环境控制、风险评估、运营活动控制、控制流程监控,基础是信息的准确沟通。
    图 8.3 内部控制环境。 (出处:莱斯大学 OpenStax 版权所有,根据 CC B Y-NC-SA 4.0 许可)

    在这里,我们将讨论内部 控制系统的一些实际方面。 内部控制系统由执行以下内容的正式 政策和程序组成:

    • 确保资产得到正确使用
    • 确保会计系统正常运行
    • 监控组织的运营,确保最大 效率
    • 确保资产安全
    • 确保员工遵守公司 政策

    设计得当和运转良好的内部控制系统 不会消除损失风险,但会降低风险。

    不同的组织面临不同类型的风险,但是如果缺乏 内部控制系统,就会出现 欺诈、滥用组织资产以及员工或 工作场所腐败的机会。 会计师的部分职能是 了解和协助维持 组织的内部控制。

    链接到学习

    访问内部审计师协会网站,详细 了解内部审计 师的许多专业职能。

    内部控制保护公司的资产安全,防止 公司违反任何法律,同时在会计记录中公平记录公司的 财务活动。 适当的 会计记录用于创建财务报表,所有 者使用这些报表来评估公司的运营,包括 所有公司和员工的活动。 内部控制 不仅仅是对公司 会计记录中项目如何记录的审查;还包括将会计 记录与公司的实际运营进行比较。

    例如,电影院的大部分利润来自在特许摊位 出售爆米花和苏打水。 尽管爆米花和苏打水的成本很低,但在特许摊位 上出售的 物品的价格通常很高。 内部控制允许 业主确保其员工不会 通过赠送苏打水和爆米花来捐赠利润。

    如果你去特许摊位要一杯 水,员工通常会给你一个透明的小 塑料杯,叫做礼宾杯。 这种内部控制是供非付费客户使用的小 塑料杯,有助于协调会计 系统和剧院的运营。 电影院不使用 系统直接核算所用爆米花、苏打水或冰块 的销售情况。 相反,它占据了容器。 销售点 系统将轮班中使用的汽水杯数量与系统中记录的销售 数量进行比较,以确保这些数字 相匹配。 同样的流程适用于爆米花桶和其他 容器。 提供礼品杯可确保免费 饮用水的顾客不使用汽水杯,因为汽水杯需要 相应的销售才能出现在销售点系统中。 爆米花、苏打水和冰的成本 将作为库存项目记录在会计 系统中,但内部控制是将记录的销售额与使用的集装箱数量进行 比较。 这只是内部控制的一种类型。 在我们讨论 内部控制时,我们发现内部控制既 用于会计,为管理层提供信息以正确 评估公司的运营,也用于业务运营, 以减少欺诈。

    应该清楚内部控制对所有 企业(无论规模大小)有多么重要。 有效的内部控制 系统允许企业监控其员工,但也可以 帮助公司保护敏感的客户数据。 以 Equifax 在2017年发生 的大规模数据泄露事件为 例,该事件泄露了超过1.43亿人的数据。 如果适当的 内部控制按预期运作,本来可以采取 保护措施来确保任何未经授权的各方都 无法访问数据。 内部控制不仅可以防止 外部访问数据,而且适当的内部控制可以 保护数据免受损坏、损坏或滥用。

    示例\(\PageIndex{1}\): 俄克拉荷马州伊尼德的银行欺诈

    俄克拉荷马州伊尼德市退休市长恩斯特·库里尔(Ernst Currier)曾担任贷款官员,然后在国家 安全银行担任高级副行长。 据称,他在 银行工作中开立了61笔欺诈性贷款。 他使用了至少九个真实人物和八个虚构 人物的 身份,偷走了大约620万美元。 4 他因33项重罪被判处13年徒刑。

    Currier 得以绕过最重要的 内部控制措施之一:职责分离。 美国注册 会计师协会(AICPA)指出, 职责分离 “基于关键流程的共同责任,将该流程的关键职能 分散给不止一个 人或部门。 如果关键流程没有这种分离, 欺诈和错误风险就难以控制。” 5 Currier利用当地居民的身份制作了虚假 证件,开立了数百万美元的贷款,然后 在没有任何其他员工监督的情况下亲自收取资金。 创建这些贷款使他能够走到银行金库, 在没有人询问他的情况下从银行提取现金。 开户贷款 没有职责分离,或者如果有的话,他 可以轻易推翻这些内部控制。

    内部控制如何帮助防止库里尔在俄克拉荷马州伊尼德的银行 欺诈?

    解决方案

    只要让其他人确认借款人的存在 并直接向借款人支付贷款,就可以 为这家小银行节省数百万美元。

    假设一家银行必须追踪成千上万 客户的存款。 如果大火烧毁了银行 服务器所在的大楼,银行怎么能找到每个客户的余额? 通常,银行等组织将其服务器镜像到世界各地的 多个地点,以此作为内部控制。 该银行 可能在田纳西州有一台主服务器,但也会将所有数据 实时镜像到亚利桑那州、蒙大拿州甚至冰岛 离岸的相同服务器上。 如果一台服务器在全国乃至世界各地的多个 地点有多个副本,则当一台服务器发生 灾难时,备份服务器可以控制 运营,保护客户数据并避免任何服务 中断。

    内部控制内部控制系统的基本 组成部分,是组织内保护 资产和数据的所有 内部控制和政策的总和。 设计得当的内部控制系统 旨在确保资产的完整性,允许提供可靠的 会计信息和财务报告,提高组织 内部的效率,并为处理违规行为提供指导方针和可能的 后果。 内部控制驱动着 组织内的 许多决策和总体运营程序。 设计得当的内部控制系统无法 防止所有损失的发生,但会大大降低 损失风险并增加查明 责任方的机会。

    继续申请

    杂货店的欺诈控制

    所有企业都关注对 报告和资产的内部控制。 对于杂货行业来说,这种担忧甚至 更大,因为商品的利润率很小,任何失去的 机会都会损害盈利能力。 个别杂货 店如何制定有效的控制措施?

    以杂货店需要 控制的两个最大物品为例:食物(库存)和现金。 库存控制的设置 是为了防止损耗(失窃)。 虽然每 条过道都由保安人员巡逻无利可图,但整个 商店与中心位置相连的摄像头允许安保人员观察 顾客。 对收银机进行了更多控制,以防止 员工窃取现金。 每个收银机上的摄像头、每次轮班变更 时的现金盘点和/或监督收银员的主管是 一些潜在的内部控制方法。 杂货店在控制现金方面投入了更多 资源,因为他们认为现金是 欺诈活动的最大机会。

    内部控制的作用

    会计系统是任何商业实体的支柱, 无论它是否以利润为基础。 管理层有责任将会计系统与业务的其他职能 领域联系起来,确保 员工、经理、客户、供应商和财务信息的所有其他内部 和外部用户之间进行沟通。 通过正确 了解内部控制,管理层可以设计一个 内部控制系统,促进积极的业务 环境,从而最有效地为客户提供服务。

    例如,客户进入零售商店购买一条 牛仔裤。 当收银员将牛仔裤输入销售点 系统时,内部会发生以下事件:

    1. 销售记录在公司的日记账中,这增加了 损益表中的收入。 如果交易是通过 信用卡进行的,银行通常会及时将资金转入 商店的银行账户。
    2. 这条牛仔裤已从购买商店 的库存中删除。
    3. 从配送中心订购了一条新的牛仔裤,以 取代从商店库存中购买的牛仔裤。
    4. 配送中心从 工厂订购了一条新的牛仔裤来替换库存。
    5. 营销专业人员可以监控一段时间内以特定尺码出售的牛仔裤的趋势和 数量。 如果注意到特定规模 的销量增加或减少,则 可以调整商店库存水平。
    6. 该公司可以随时实时查看所有商店中 所有产品的确切库存水平,这可以确保客户获得 最佳的产品渠道。

    由于许多系统是通过推动 组织内外许多利益相关者 做出决策的技术连接在一起的,因此需要内部控制来保护信息的完整性 并确保信息的流动。 内部控制系统还可以 帮助一个组织的所有利益相关者加 深对组织的了解,并确保所有 资产都得到高效、准确的使用。

    导致萨班斯-奥克斯利法案的环境问题

    作为大多数业务决策的组成部分 ,内部控制的重要性越来越大。 随着许多 公司结构的复杂性增加,这种重要性也随之增加。 尽管它们很 重要,但并非所有公司都将维护控制作为重中之 重。 此外,许多小型企业对内部控制的了解不 足,因此使用 较差的内部控制系统。 许多大公司的流程 不正规化,这可能导致系统的 效率不尽如人意。 前面讨论的 SCICAP Credit Un ion的失败是小型金融机构的内部控制系统不合格导致员工被盗的直接结果。 有史以来最大的企业倒闭之一是 安然,这种失败可以 直接归因于内部控制不力。

    安然是二十世纪后期世界上最大的 能源公司之一。 但是,腐败的管理层试图通过操纵收入确认、资产负债表上的 资产估值和其他财务报告 披露来掩盖疲软的财务表 现,从而使公司看上去实现了显著的 增长。 当这种做法被揭露时, 安然股票的所有者损失了400亿美元,因为 股价从每股91美元跌至每 股不到1美元,如 图8.4 所示。 6 如果有适当的内部控制, 这种失误本 来是可以避免的。

    例如,安及其 会计师事务所亚瑟·安德森 没有保持足够程度的独立性。 Arthur Andersen 在审计和咨询方面提供了 大量服务, 这使他们无法以适当程度的 独立性对待 安然公司的审计。 此外,在许多其他违规行为中, 安然避免正确使用 几项可接受的报告要求。

    图表显示,安然股票的价格在2000年8月23日起价为91美元,到2001年12月23日偶尔跌至略高于0美元。 在2002年1月11日图表结束之前,它一直保持在略高于0美元的水平。
    图 8.4 安然股票价格的变化。 安然 丑闻是现代 商业史上最大的欺诈行为之一。 正是主要的欺诈行为导致了 《萨班斯-奥克斯利法案》和上市公司会计 监督委员会(PCAOB)的制定。 (出处:莱斯大学 OpenStax 版权所有,根据 CC BY-NC-SA 4.0 许可)

    由于安然公司的 失败以及同一时间段内发生的其他事件, 国会通过了《萨班斯-奥克斯利法案》(SOX),以 规范管理分析师之间的冲突、维持 治理和实施犯罪行为指导方针的做法作为 对违法行为的制裁。 它确保内部 控制得到正确记录、测试和一致使用。 该法案的目的是确保公司财务 报表和披露的准确性和可靠性。 值得注意 的是,SOX 仅适用于上市公司。 上 市公司是指在有组织的证券 交易所交易(买入和卖出)股票的公司。 由于各种原因,例如成本和 资源短缺,小型 公司仍在内部控制发展和 合规方面苦苦挣扎。

    《萨班斯-奥克斯利法案》的主要会计组成部分

    由于涉及到内部控制,SOX 要求对内部控制进行 认证和记录。 具体而言, 该法案要求审计员执行以下操作:

    1. 在评估内部控制后发布 内部控制报告。
    2. 限制向客户提供的 非审计服务,例如咨询。
    3. 轮换谁可以领导审计。 审计负责人的任期不超过七年,不得 中断两年。

    此外,审计师开展的工作将 由上市公司会计监督委员会 (PCAOB)监督。 PCAOB 是一家由国会成立的 非营利性公司。 它的设立已纳入2002年《 萨班斯-奥克斯利法案》,旨在规范冲突、控制 披露并制定任何违 规行为的制裁指导方针。 PCAOB 的职责是 确保审计报告的独立、准确和内容丰富, 监督证券经纪人和交易商的审计,并 对 审计上市公司的会计师和会计师事务所进行监督。

    链接到学习

    访问上市公司会计监督委员会(PCAOB) 网站,详细了解其职能。

    任何被发现违反 SOX 标准的员工都可能受到 非常严厉的处罚,包括 500 万美元的罚款和最高 20 至 25 年的监禁。 对证券欺诈 (25年)的处罚比对邮件或电汇欺诈(20年)的处罚更为严厉。

    SOX 相对较长且详细,其中 Section 404 对内部控制的应用最多。 根据第 404 条,公司 管理层必须进行年度审计,以评估和 记录 影响组织财务报告的所有内部控制的有效性。 此外, 被审计公司的选定高管必须签署审计 报告,并声明他们证明审计公允地反映 了公司的财务记录和状况。

    必须每年对财务报告和内部控制系统进行 审计。 遵守该法案的成本非常高 ,关于该法规的有效性存在争议。 针对 SOX 要求提出的两个 主要论点 是,无论是在成本还是劳动力 方面,遵守他们的要求都很昂贵,而且结果往往不是决定 性的。 SOX 要求的支持者不接受这些 论点。

    对强制性 SOX 合规性的一种可行应对措施是 公司取消其股票的认证(移除),以便在 现有证券交易所进行交易。 由于 SOX 会影响上市 公司,因此取消其股票认证将消除 SOX 合规性要求。 但是,事实证明这不是一个可行的 选择,主要是因为投资者享有 SOX 提供的保护,尤其是 他们所投资的公司必须接受由 国家或地区会计师事务所雇用的注册会计师准备的认证审计的要求。 此外,如果一家公司从有组织的 证券交易所撤出股票,许多投资者会 认为一家公司陷入财务困境,并希望避免 进行可能发现问题的审计。

    示例\(\PageIndex{1}\):内部控制报告 的重要性与日俱增

    内部控制已成为财务 报告的一个重要方面。 作为财务报表的一部分,审计员必须出 具一份报告,就财务报表和 内部控制发表意见。 使用互联网查找公司的 年度报告,特别是内部控制报告。 这份报告告诉用户什么财务信息?

    解决方案

    年度报告向用户通报公司的财务 业绩,包括管理层的讨论和 财务报表。 部分财务报表涉及 独立审计师关于财务 报表完整性和内部控制的报告。

    链接到学习

    许多公司都有自己的内部审计员。 内部审计师的 作用是测试和确保公司 有适当的内部控制措施并确保其 正常运作。 阅读来自美国 合作伙伴的 内部审计如何运作,以了解更多信息。

    脚注