国外内部控制常见实务做法分析

（安徽工商职业学院 安徽合肥 340100）

国内外财务舞弊事件的频繁发生，使内部控制成为全球性的热点问题。作为完善现代公司制度的有效方式之一，内部控制在提升上市公司运作管理水平、规避风险方面发挥着重要作用。1992年，COSO发布了《内部控制——整合框架》，该报告提出内部控制的三个目标和五个要素，受到国际内部控制理论界和实务界的广泛关注，已经被世界上许多公司运用，也被各国内部控制标准制定机构借鉴或采用。2002年，美国国会通过的《萨班斯—奥克斯利法案》，严格要求公司加强对财务制度和内部控制的完善和披露，已经得到全球范围内认可和应用。2004年，COSO发布了《公司风险管理——整合框架》，该框架不仅涵盖了原有内部控制的合理内容，而且强化了公司风险管理理念。风险管理的兴起对内部控制产生了重大的影响。2008年，我国财政部、审计署、证监会、银监会、保监会等五部门联合发布了 《公司内部控制基本规范》，2010年财政部又发布了《公司内部控制配套指引》，这标志着我国公司内部控制规范体系基本建立起来。在此背景下，探讨国外内部控制最佳实务，有助于我国公司经营管理实践的提升。

一、展开培训，培养管理层内部控制观念

管理层对内部控制的重视，将有助于内部控制的有效执行，并减少特定控制被忽视或规避的可能。衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制缺陷及违规事件的报告时，是否做出适当反应。管理层及时地下达纠弊措施，表明他们对内部控制的重视，也有利于加强公司内部控制意识。控制理念反映在管理层制定的政策、程序及所采取的措施中，而不是反映在形式上。为了培养公司的内部控制和风险管理观念，公司应该给予管理层适当的培训，使管理层正确认知内部控制、理解其目标、职能及范围。这样一方面有助于公司遵守内部控制的监管规定，同时也能为达到内部控制目标提供更大的保证。培训课程可以由公司自行开发，也可以外包给在此方面具有专长的公司。

二、董事会持续有效监控

持续有效监控是完善内部控制的要素。然而，董事会不应被动，并且不应只依据公司内嵌入的监控程序以履行其职责。董事会应定期收取、审阅内部控制报告。负有内部监控的管理层或审计部门等职能部门，应不时向董事会或董事会委员会提交工作报告，汇报公司最新的监控情况。建议公司在审计委员会下设立审计部，除了配备专职的审计人员之外，如有需要，审计部可以根据具体审计项目的需要，临时申请抽调公司经营层面相关专业人员来配合、协助、支持，保证审计工作的有效进行。审计部开展工作不受其他部门或者个人的干涉，直接向审计委员会报告工作，最大程度保证审计部对内部经营管理活动的监控职能，审计部的日常行政管理归属于董事会办公室。

三、建立审计委员会

审计委员会作为董事会里的一个主要由非执行董事组成的专业委员会，是公司治理结构中的一项重要的制度安排，其目的是监督公司的会计、财务报告以及公司会计报表的审计。审计委员会的职权范围应包括与监管上市公司财务制度及内部控制有关的职责：（1）检讨公司的财务监控、内部控制及风险管理制度；（2）与管理层讨论内部控制系统，确保管理层已履行职责，建立有效的内部控制；（3）主动或应董事会的委派，就有关内部控制的重要调查结果及管理层对该结果的回应进行研究；（4）如公司设有内部审计部门，须确保内部和外部审计师的工作得到协调；（5）确保内部审计在公司内部有足够资源，且有独立的地位；（6）检查内部审计功能是否有效；（7）检讨集团的财务及会计政策及实务；（8）对外部审计师就会计记录、财务账目或监控系统向管理层提出的任何重大疑问做出回应。综合以上可以看出，如果审计委员会能够运行有效，能够给公司经营管理带来显著的效益。

四、设置内部审计部门

内部审计是公司内部监控系统的组成部分，有助于确保监控系统的有效性。内部审计可以通过以下程序对公司做出积极和有价值的贡献：（1）对风险管理，特别是在内部监控系统的设计、执行及运作方面提供建议；（2）识别监控中潜在的机会，降低运作上有关的损失，从而加强风险管理和监控管理的效率及效果；（3）提升公司内的风险管理及内部控制观念。内部审计功能可以提供各方面的收益。如果有适当资源，内部审计应该可以：（1）就公司的风险管理与内部监控是否足够及有效，向董事会及管理层提供客观保证；（2）帮助管理层改善用以识别、管理风险的程序；（3）协助董事会履行其加强、改善风险管理和内部监控架构的职责。

五、把内部控制、风险管理嵌入到公司业务流程中

公司的营运环境持续变化，导致公司所面对的风险也不断改变。完善的内部控制系统需要对公司所承担风险的性质、程度进行全面、定期评估。内部控制系统要有足够的灵活性，以便在环境、公司组织和目标有所变更时，能做出相应改变及调整。内部控制系统应该嵌入公司的运营中，并构成公司文化的一部分；能够对由公司内在因素所产生的业务风险及经营环境的变化做出迅速应对，包括向适当的管理层及时汇报任何重大监控失误或缺陷，所采取行动的细节。

内部控制系统必须嵌入公司的业务程序中，与其发展另一套风险报告系统，不如把内部控制纳入现有的管理信息系统内。过分繁复的风险管理程序会使其偏离重点，而这个重点就是通过把监控系统结合于现存的流程内，使公司内各职能部门及人员能更加专注于达成业务目标，并管理好与各部门工作有关的重大风险。

通过把风险管理嵌入于公司业务程序中，公司有机会消除重复或不必要的监控及创造一个环境，在完善的风险管理实务规范下，赋予公司内各人更大的权力，以满足顾客的需要。

六、建立内部控制自我评价系统

COSO认为，确定公司内部控制是否“有效”，是在对八个构成要素是否存在和有效运行的评估的基础之上所做出的判断。因此，构成要素同时也是有效的公司内部控制的判断标准。如果这些构成要素存在且正常运行，那么就可能没有重大缺陷，而风险可能已经被控制在主体的风险容量以内。同时，如果确定公司风险管理在所有四类目标上都是有效的，那么就意味着董事会和管理当局对实现内部控制具有合理保证。

七、编制内部控制手册

按照COSO报告、结合公司具体情况，编制内部控制手册，对完善公司内部控制制度，进一步加强公司内部控制规范体系建设工作，持续提升公司经营管理水平和风险防范能力，保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，促进公司战略目标的实现和可持续发展具有很强的现实价值。

内部控制手册，不是新的构想、也不是新创造的体系，而是在公司现有的内部控制和管理制度基础上，借鉴COSO报告最新研究成果，将各部门、各岗位内部控制过程集合成较为系统的书面式文档，它涵盖了内部控制的五个方面，即内部环境、风险评估、控制活动、信息与沟通、持续监控，体现了公司内部控制的标准、原则和要求。在日常的生产经营活动中，应当随着公司内外部环境的不断变化，不断更新和补充手册内容，制定详细的业务操作层面细则，提高手册的可操作性与指导性，以期日渐完善。

通过编制《内部控制手册》，建立一套科学、系统的内部控制的方法和规范，为公司内部控制建设、运行和维护提供指引，并作为建立、运行及评价内部控制的依据，从而确保公司上下从思想上、行动上对内部控制体系保持高度统一。

八、考虑成本效益原则

在整体系统的设计及在风险识别、评估和确定风险的优先次序方面，必须考虑成本效益的因素。

内部控制是公司为实现既定目标而在内部建立和实施的各种控制方法、措施和程序等所形成的控制机制。这些方法、措施和程序的建立与实施需要付出一定的成本，如设计控制环节、设置岗位、配备人员，确保各控制环节的运行等都必须付出的代价。而内部控制的效益则是内部控制的方法、措施和程序在公司得到良好运行所应达到的各种目标，即：保证财务报告的真实可靠，防止舞弊行为的发生；保证公司资产的安全完整，避免因浪费、盗窃或不当经营决策而产生的损失；改善公司经营管理，提高经营效率，规避经营风险；遵守现行的法律、法规和公司内部的管理制度。内部控制所应遵循的成本效益原则指的是只要公司建立和实施内部控制的效果大于其成本，就是经济合理的，就应当设置和运行该项控制；反之，则不应当采用该项控制。

内部控制的成本是现时的，并在一定条件下是可以估量的；而控制产生的效益是建立和实施内部控制所达到的目标，是避免或减少风险和损失的可能性，很显然这种效益是未来的、具有很大的不确定性。在体现价值最大化的经营管理理念的环境中，公司不得不考虑内部控制的成本与效益问题，在建立和实施内部控制时，在可能获得的收益与不设置相应控制可能产生的损失之间做出理性的判断，进行权衡和取舍。