浅谈企业内部控制监督要素的落实

2013-09-22 06:54陈筱悦
投资与创业 2013年1期
关键词:风险导向内部控制有效性

陈筱悦

摘要:内部控制是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。内部监督是对整个内部控制系统的运行状况进行监控,是对控制的再控制,是保障内部控制持续有效的关键因素。内部控制有效性包括设计有效性和运行有效性。内部控制有效性要求所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行。

关键词:内部控制;监督要素;风险导向;有效性

一、引言

随着经济的发展,企业外部竞争加剧,上市公司舞弊的行为越来越严重,公司内部控制系统有效性缺陷导致大量舞弊与经营失败的案例屡见不鲜,如巴林银行的倒闭;雷曼兄弟申请破产保护;安然公司出具虚假财务报告最终破产;中国航油(新加坡)股份有限公司因石油衍生品交易出现巨亏,于2004年申请破产保护:四川长虹缺乏有效内部控制,在应收账款收回方面存在诸多问题,于2004年发布了上市10年以来首次预亏公告。这些大型公司由于内部控制缺陷导致经营失败,引起了人们对内部控制有效性高度关注。

COSO是这样定义内部控制的:内部控制是由企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。有效地内部控制能够帮助企业应对风险、提升管理、持续发展,能够帮助投资人进行投资决策、维护其知情权,能够帮助监管者规范秩序、维护投资人的利益。

内部控制是有目标、结构、要素三个层面构成的完整框架。目标层面包括战略目标、运营目标、报告目标和合规目标:结构层面包括企业整体层面、分支机构层面、业务单位层面、子公司层面:要素层面包括控制环境、风险评估、控制活动、信息与沟通、内部监督五要素。其中,监督是管理层对内部控制的执行进行持续或定期评价,以确保各项控制按其设计运行,以及根据情况的变化进行适应性修正。即监督是对整个内部控制系统的运行状况进行监控,是对控制的再控制,是保障内部控制持续有效的关键因素。

COSO委员会于2009年1月发布了《内部控制监督指引》,其以风险导向为核心理念,在实质上推动了内部控制监督要素的应用性发展。有鉴于此,本文以COSO委员会发布的内部控制监督指引为基础,运用风险导向审计,细致分析内部控制监督流程各环节主要风险及其应对措施,从而为企业落实内部控制监督要素设计实施方案。

二、内部控制监督流程

管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于企业日常重复的活动中,包括常规管理和监督工作。依据COSO的内部控制监督指引,有效地监督具体内容包括:建立监督基础、设计和执行监督流程、评价和报告监督结果、形成内部控制有效性的结论。

内部监督是持续演进的动态过程,如下图所示,这个模型既可以帮助企业认识到在哪些方面已存在监督,并且因良好的监督而得到好评,从而可以减少不必要的控制测试:还可以帮助企业在缺乏监督的方面有效落实内部监督。

(一)监督基础包括:(1)高层基调。建立监督基础的关键在于企业管理层的态度。管理层对内部监督的重视,有助于监督的有效执行,并减少特定监督被忽视或规避的可能性。如果高层管理人员认为控制很重要,那么组织的其他人员自然也会意识到这一点,从而能认真地遵守指定的各项规定。相反,如果组织内的成员都很清楚监督并不是高层管理人员所关心的问题,则管理层的控制目标几乎不可能会有效实现。(2)监督机构的设置。企业的监督机构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。监督机构将影响权利、责任和工作任务在组织成员中的分配。企业应当明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策执行和监督相互分离,形成制衡。管理层对组织的内部控制系统富有最主要的责任,董事会监视这个过程并提供必要的指导。(3)理解和把握内部控制有效性的依据和标准。内部控制有效性包括设计有效性和运行有效性。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当:内部控制运行有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确执行,从而为控制目标的实现提供合理保证。也就是说所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行。

(二)设计和执行监督程序包括:(1)风险排序。首先要分析企业在实现其目标过程中所面临的风险,优先考虑风险并识别能够降低风险的控制,从整体层面和业务流程层面进行了解与分析,确定可能存在风险的环节,进行风险排序。(2)识别关键控制点。在识别关键控制点时应将企业整体层面的内部控制状况和企业及其环境其他方面的情况结合起来考虑,可以重点关注整体层面内部控制的变化情况。包括企业及其环境的变化而导致内部控制发生的变化以及采取的对策。对于业务流程层面,应着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序,即重要交易流程,通过确定在哪个环节或哪些环节可能存在风险来促进关键控制的分析,从而有效识别关键控制点。(3)识别有说服力的信息。有说服力的信息是充分适当的,适当的信息应满足相关性、可靠性和及时性。当某个信息同时满足这三个要求时,评估人员就可以把他的注意力转向是否有足够的信息能形成一个合理的结论:当某个信息不同时具备这三个特征时,其可能在一定程度上是适当的,但还需得到补充资料来实现所需的适当性水平。(4)执行监督程序。监督程序包括持续监督和单独评估,企业通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于企业日常重复的活动中,包括常规管理和监督工作,能够较早识别和纠正控制缺陷。单独的评价活动是指企业可以使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。对于单独评估需要考虑两次评估之间控制失败的可能性或风险的重要性。

(三)评价和报告监督结果包括:(1)监督结果排序。内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷。根据缺陷的严重程度以及监督目的对监督结果进行排序,从而确定所要报告的层级。(2)报告监督结果。重大缺陷又叫设计缺陷,应报告给董事会层面:重要缺陷向董事会层面和经理层报告:一般缺陷向经理层报告。(3)后续追踪。对于在监督中发现的问题,应及时向相关人员汇报,并及时改正,监督人员应及时监督问题改正的情况。

(四)形成支持内部控制有效性的结论。在完成以上三个步骤之后,企业通过建立监督基础,并且进行风险排序、识别关键控制点和有说服力的信息、执行监督程序后,通过监督结果排序、报告监督结果以及后续追踪,从而形成支持内部控制有效性的结论。

三、内部控制监督流程各环节主要风险及其应对措施

为加强对监督流程的管理与控制,下表系统的梳理了内部控制监督流程各业务环节的主要风险点、关键控制点、控制目标和相关控制措施。

四、企业对内部控制监督要素的落实

企业在落实内部控制监督要素时应注意以下几点:(一)企业在确定什么是监督以及如何监督时应遵循系统的过程。(二)监督过程要考虑到整个内部控制系统如何处理重大风险,而不仅仅是个别控制活动是如何独立运行的:(三)董事会对于监督活动以及防止管理层凌驾于内控之上有着重要的责任。(四)监督者应该对以下几点引起注意:1.重要的潜在的风险:2.控制的本质就是设计用来管理或降低风险:3.应获取有说服力的信息来形成支持内部控制有效性的结论。(五)对内部控制设计和运行有效性的正确理解是有效实现监督过程的很好地开端。(六)具有专业胜任能力的且能够保持独立性的评估人员对监督过程有效性进行评估时,往往会依赖于所获取的关于控制或控制要素持续监督的有说服力的信息。(七)在考虑最佳的监督方法时应运用合理的判断。(八)监督过程通常会包括对于直接信息和间接信息的运用。

五、内部控制有效性的判断标准

内部控制有效性包括设计有效性和运行有效性。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当:内部控制运行有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确执行,从而为控制目标的实现提供合理保证。内部控制有效性要求所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行。

内部控制有效性的判断需要首先考虑控制的设计,因为评估一项无效的运行没有什么意义,而且设计不当的控制可能表明存在值得关注的内部控制缺陷。在评价控制的设计时,应涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。对控制运行的评价即是指某项控制是否存在且企业正在使用。

基于以上,内部监督是对整个内部控制系统的运行状况进行监控,是对控制的再控制,是保障内部控制持续有效的关键因素。所以实施监督流程能够帮助企业确保内部控制持续有效地运作。

猜你喜欢
风险导向内部控制有效性
班级家长会有效性的探究
思辨性阅读不能忽视“小心求证”——关于论据的有效性探讨
我国股票市场的有效性研究
我国股票市场的有效性研究
靠近“最近发展区”,增强教学有效性
基于风险导向的事业单位内部控制研究
内部审计在企业境外投资中的运用研究
我国物流企业内部控制制度的问题及建议
房地产开发企业内部控制的认识
行政事业单位内部控制存在问题及对策