内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。
一、控制环境
控制环境是指对企业设置和实施内部控制有重大影响的因素的统称。包括以下内容:
1.管理当局的观念和经营风格。
2.组织结构的设置。
3.董事会及其所属审计委员会。
4.授权与分配责任的方式。
5.员工的素质。
6.人事政策。
7.外部影响。
二、风险评估
风险评估是指企业各级管理层对企业内部和外部风险的确认。它包括风险识别和风险分析。企业的各个部门应该能够及时识别来自于企业内、外部的各种风险,并针对每一种风险采取科学的措施加以防范,以使企业规避风险,减少损失。
三、控制活动
控制活动是指企业管理部门为了保证既定目标得以顺利实现而制定并执行的各项控制政策和程序。控制活动贯穿于企业的所有层次和各个职能部门,是内部控制的主要组成部分。就一个企业来说,控制活动一般包括业务授权控制、职责分工控制、凭证与记录控制、实物控制和独立检查等内容。
1.业务授权控制
授权可以是一般授权,也可以是特别授权。
一般授权是指经办常规业务的授权,如制定产品售价、顾客赊销限额的批准等。
特别授权是指超出常规范围的例外或特殊业务的授权,它意味着该项业务必须经过特别准许方可执行,如重大的资产购置、股票的发行等。
2.职责分工控制
职责分工控制的目的在于预防和及时发现有关人员在履行其职责时所发生的错误或舞弊行为。它要求互不相容的职责不应由一个人兼任,以减少发生错弊的可能性。主要的职责分工包括:
(1)业务的批准与执行相分工。例如,批准付款应与签发付款支票的职责相分离。
(2)业务的执行与记录相分工。如采购员、售货员不能同时兼任记账、出纳工作。
(3)各种会计责任之间相分工。例如,记录现金日记账的职责应与记录销售日记账的职责相分离,记录明细账、日记账的职责应与记录总账的职责相分离等。
(4)资产的保管与会计相分工。例如,出纳员不得既负责保管现金,又负责登记现金总账和应收账款账,否则就会为出纳员发生舞弊行为创造条件。
(5)资产的保管与账实核对相分工。负责账实核对的人员应由保管资产以外的人员来担任。
(6)计算机信息系统部门内部,以及信息部门与使用部门之间的职责分工。信息部门内部应分离的职责包括:系统分析、程序设计、电脑操作和数据控制等,此外,信息部门在组织上应独立于使用部门。
3.凭证与记录控制
凭证是证明业务发生的证据,也是执行业务和记录业务的依据。企业应设计和使用适当的凭证和记录,以确保所有的资产均能得到恰当的控制,以及所有的经济业务均能得以全面、完整和准确的记录。
凭证与记录控制一般要求:(1)建立严格的凭证制度。(2)建立严格的簿记制度。(3)建立严格的定期核对、复核与盘点制度。
4.实物控制
实物控制是指对接触、使用资产和各种记录,均应当有适当的防范措施,以限制非相关人员接近资产或接近重要的记录,从而保护资产和记录的安全。
5.独立检查
独立检查是指对已记录的经济交易和事项由具体经办人之外的独立人员进行核对或验证,以及对与该项业务相关的内部控制程序的履行情况进行检查。
四、信息与沟通
企业必须建立一个良好的信息沟通系统。所谓良好的信息沟通系统,是指该系统不仅能确保企业中的各级管理层和员工及时取得他们在履行生产经营活动时所需的信息,而且能确保企业中的每个员工都清楚地知道其在企业中所承担的特定职务或所扮演的控制角色和所担负的责任。
就信息沟通系统的构成而言,它应包括会计系统、信息系统和传导机制等内容。
五、监督
监督是指由被审计单位内部特定人员对一定时期内部控制的设置和执行情况进行评估和检查的活动。它包括适当及时地评估内部控制的设置和执行情况,以及采取必要的纠正措施。
监督可通过持续监督、个别评估或两者相结合来进行。