|
提示:本文篇幅较长,需花费较长时间阅读。 一、背景介绍 内部控制是什么?不同的人有不同的理解。 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错,但不全面。按照现代的内控理论,这些仅仅是内部控制的一部分,而不是全部。现代内控理论认为,内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。 COSO内部控制框架的产生和发展过程 内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段,账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法;在内部控制制度阶段,内部控制的重点是建立健全规章制度;在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面;内部控制整体框架阶段,就是我们下面将要讨论的COSO内部控制框架。 在美国,20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度和方法。1973年至1976年对水门事件(美国公司进行违法的国内捐款和贿赂外国政府官员)的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果,美国国会于1979年通过了《反国外贿赂法》(简称FCPA)。FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补), 即COSO内部控制框架。 COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。同时,对股份公司来说,这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,美国各大公司也正在为此而努力,虽然这必然加大企业负担,但多数公司同股份公司一样,希望通过理解和贯彻COSO内部控制框架要求,来实现提升管理水平的目的。 二、COSO内部控制框架下内控制度定义 (一)COSO内控框架对内部控制的定义 COSO内部控制框架认为,内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。 (二)对内部控制定义的理解 应该从以下几个方面理解内部控制的定义: 第一,内部控制是一个“过程”,而且是一个动态的过程。企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止,它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,它促使经营达到预期的效果,并监督企业经营过程的持续有效进行。 第二,内部控制受到“人”的因素的影响,它并不仅仅是政策手册和表格,不仅仅是管理人员、内部审计或董事会,而是组织中的每一个人,每一个人都对内部控制负有责任并受到内部控制的影响;是“人”建立企业的目标,并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限,主动地维护及改善企业的内部控制。 第三,内部控制无论设计和运行得多么完善,也只能为企业的管理层和董事会提供合理的保证,而不是绝对保证,因为内部控制本身具有局限性。 最后,内控框架将内部控制目标分为三类:与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面,这些相互有别,相互交叉的分类满足不同的需要,并且表明了不同的执行人员的直接责任。 (三) COSO内部控制框架的组成要素 内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用下面模型表示。 l 内控环境——内控环境是企业的基调、氛围,直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机,也是其他一切要素的核心,包括员工的诚信、职业道德和工作胜任能力;管理层的经营理念和经营风格;董事会或审计委员会的监管和指导力度;企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心,是构成内控环境的重要要素,又与环境相互影响、相互作用。 l 风险评估——风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。 l 内控活动——内控活动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 l 信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。 l 监督——是对内部控制系统有效性进行评估的过程,可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。 内控体系五要素之间的关系我们可以理解为:企业的核心是人,人的诚信、道德价值观和胜任能力构成了企业的内控环境,这是企业发展的基础。每个企业都有自己的发展目标,为了目标的实现,必须分析影响因素,即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理,并在企业内部传递,这就是信息与沟通,信息与沟通系统围绕在内控活动周围,反映企业各项管理活动的运转情况。为了保证内控体系的正常运转,还需要对整个内控过程进行监督。 内部控制五要素之间的配合和联系,组成了一个完整的系统,可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程,任一要素都可以影响其他要素,例如对风险的评估不仅仅影响内控活动,还可能影响信息和沟通、监督行为等。 COSO内部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业的内部控制可能不及大型企业正式、组织性强,但也可以是有效的。对此,本次培训以大型公司为例,未考虑中小公司的差异。 三、COSO内部控制框架五要素 (一)内控环境 内控环境是其他控制要素的基础。内控环境因素包括:员工的诚信和道德价值观;员工的胜任能力;董事会和审计委员会;管理层的经营理念和经营风格;组织结构;管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。 1、员工的诚信和道德价值观 内部控制是由人建立、执行和维护的,人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的行为。 员工的诚信和道德价值观是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容: 1)利益冲突 每一个员工都有责任将公司利益放在第一位,避免私人利益与公司利益的冲突。 2)合法性 公司要承诺在进行业务时是抱着诚实和诚信原则,并遵循所有适用的法律和规章制度。 3)及时向指定人员报告或检举揭发违规事项 员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题,向道德规范委员会报告,或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则,应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度,包括匿名保护。 4)遵守道德准则的责任 明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制,甚至解雇或免职。 5)公司机遇 禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。 6)保密 机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息,包括(a)属于公司商业性机密信息(b)属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后,仍然有义务保护公司的机密信息。 7)公平交易 每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众,并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关,偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下,赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。 8)公司资产的保护及恰当使用 每一个员工必须保护公司资产,包括实物资源、资产、所有权、机密信息,排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。公司资产必须用于公司业务,符合公司政策。 9)全面、公正、正确、及时地理解财务报告及其披露事项 因为公司必须提供完整、公正、及时和可理解的披露报告及文件,并存档或呈交给证监会以及公共传媒,所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控,遵循公司已有的会计准则和流程,保证交易记录的完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控,能够保证准确性,包括提供给审计和定期向证监会报告的义务。 对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如道德行为手册;其次是必须让员工知晓和理解这些规定(例如:要求所有员工定期签字确认),这是执行的前提条件;最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则,员工对于内控的态度通常会效仿他们的领导。另外,对违反准则的员工应予以相应惩罚;建立鼓励员工揭发违规行为的机制;以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。 员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为: l 不切实际的业绩目标,特别是短期业绩的压力(例如:为了实现预先设定的利润指标而在财务报告中虚报收入) l 将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关的财务信息) l 内控制度不存在或无效(例如:敏感业务区域未设立严格的职责分工,这为偷窃公司资产或隐藏不良行为提供了可能)。 l 组织高度分散,可能导致高层管理人员不清楚基层的行为,缺少必要的监管,因此,减少了基层舞弊被发现的机会。 l 内部审计职能薄弱,没有及时发现和报告不正确的行为。 l 董事会缺少对高层管理人员的客观监管,可能导致管理人员凌驾于内控制度。 l 管理层对不正确行为的惩罚力度不够或不公开,从而失去了应有的威慑力。 2、胜任能力 胜任能力是要求员工具备完成工作任务所需的知识和技能,目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务,这是维护内部控制有效性的必备条件。 为此,管理层需要设定工作岗位的知识和技能水平要求,在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时,一方面要根据工作的性质和所需的职业判断,考虑能力需求,另一方面还应考虑人力资源成本即薪酬(例如:没有必要雇佣一名电子工程师来换一只灯泡) 3、董事会和审计委员会 董事会或审计委员会的职能是实施治理、指导和监督管理层的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾于控制之上,甚至故意歪曲结果,因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要,董事会或审计委员会作用的发挥,必须具备以下条件:一是要独立于管理层,不受其影响;二是具有足够知识、行业经验和时间,以便于履行职责;三能够与财务、法律、内部审计和外部审计及时沟通,得到适当信息;四是能够控制高级管理人员的薪酬,有权聘用和解聘高级管理人员。 补充说明一点,股份公司的治理结构与国外有所不同,股份公司设置监事会,其职能类似于国外审计委员会的职能,所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。 4、管理层的经营理念和经营风格 管理层的经营理念和经营风格影响企业的管理方式,包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化,它既是一切业务实现的基础,也为内部控制的实施提供了平台。它往往是企业内部一种无形的力量,影响企业成员的思维方法和行为方式,包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如,有些公司管理层的经营理念和风格较为激进,愿意承担更高的风险以追求更高的盈利回报;而有些公司的管理层则比较保守,在风险承担方面表现得较为谨慎。可以看出,不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例,对风险承受力高的公司相比承受力低的公司,其设定的信用销售额度更高,以期望通过更优惠的政策吸引和保留客户,而获得更高的销售额。管理层的经营理念和经营风格还表现在:管理层对财务报告的态度,在会计政策选择方面是否谨慎,进行会计估计时是否遵循审慎性原则,对待数据处理、会计职能及人事管理等方面的态度等等。 5、组织结构 组织结构是权责分工的架构,在此架构中规划、执行、控制和监督为实现企业目标而进行的活动,每个企业都可根据自己的需要确定组织结构,可以是集权型,也可以是分权型,可以是直接的报告关系,也可以是矩阵型组织结构,可以按产品或行业组织,也可以按地理分布或功能组织,但不论何种组织结构,应根据公司的业务性质,进行适当的集中或分散,确保信息的上传、下达和在各业务间的流动,确保企业目标的实现。 6、管理层授权和职责分工 权力和责任分配是指对员工进行授权和分配责任,将企业的目标层层分解落实到每个员工的头上,从而将员工的行为与企业目标联系起来,增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。 7、人力资源政策和措施 人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序,目的是聘用和维持有能力的人员,保证公司的计划得以实施,目标得以实现。因此,人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员,如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求,如何通过考核、薪酬、提升等政策激励约束员工。 (二)风险评估 1、风险及风险评估的定义 风险是任何影响目标实现的因素,所有企业,无论规模、结构和行业性质,都面临着风险,可以说有经营就有风险。风险有来自企业内部的,也有来自企业外部。 为了加强对风险的控制,必须进行风险评估,风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。 企业的目标可以分为公司层面目标和业务活动层面目标,公司层面目标是指公司的总目标和相关战略计划,与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标,是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚,易于理解,以便从事该操作的人能实现其目标,同时还必须是可衡量的,以便于考核。 实现目标需要耗费资源,因此设立目标必须考虑可获得的资源,企业应该对目标进行分析,提醒自己找出与总目标不相关的操作目标,以免资源浪费,而对实现总目标至关重要的操作目标,则优先安排资源。 2、如何进行风险评估 1)风险识别 风险评估的过程首先是进行风险识别,风险识别需要考虑所有可能发生的风险,并且需要考虑企业和相关外界之间的所有重大相互影响。风险识别也是一个重复的过程,需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面: 外部因素包括: l 技术发展——影响研发的性质和时机,或带来采购的变化。(例如:出现新的、更高效的油气开采技术,未掌握相关技术的公司会导致市场竞争力降低,进而影响经营目标的实现) l 不断变化的客户需求和期望——影响产品开发、定价。(例如:纳米技术的应用,客户对产品的期望改变;) l 竞争——影响营销和服务活动。 l 新的法律和法规——影响经营政策和策略(例如:萨班斯法案)。 l 自然灾害——造成损失。 l 经济形势的变化等——影响融资、资本支出和扩张决策。 内部因素包括: l 信息系统运行的中断——影响经营运转。 l 雇员的素质和培训、激励的方法——影响控制理念。 l 管理层职责的改变——影响某些实施控制的方式。 l 企业经营活动的性质、员工对资产的接触途径——产生挪用。 l 董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。 2)风险分析 识别风险后,需要进行风险分析,分析的内容主要有: l 估计风险的重要性程度; l 评估风险发生的可能性(或频率、概率); l 考虑如何管理风险——即评估需要采取何种措施 针对风险分析的结果而采取的控制活动,管理层应仔细考虑现有内控程序对于已识别的风险是否合适。如果现有程序可能已经足够或只需要执行得更好,那么就不必制定附加程序。 管理层还应认识到,总会存在一些残留风险的可能性,不仅因为资源总是有限的,还因为每个内控系统都有内在局限性。因此,管理层的一项重要工作是权衡利弊,确定能够谨慎地接受多少风险,并尽力将风险控制在可接受的水平内。 3)应对变化 经济形势、行业和法规环境不断改变,企业业务活动不断发展。在一个环境下有效的内部控制在另一环境下未必有效。风险评估的本质就是一个识别变化的环境并采取相应行动的过程,风险评估应持续地进行, 并且应特别关注下面的情形: l 变化的经营环境——变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。 l 新的人员——新来的高层管理人员的经营风格与原先的不同。 l 新的或经修订的信息系统——能否正常运行。 l 经营的快速增长——当经营快速扩张,现有制度的局限可能导致控制失效;当程序变动或新人员增加时,现有的监督可能就不能保持充分的控制。 l 新技术——新技术被运用到生产流程或信息系统中,内部控制就很可能需要修改。 l 新业务、产品、活动——当企业进入新的商业领域或从事不熟悉的交易时,现有的控制可能就不充分了。 l 公司重组——公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组。重组可能导致内部裁员,职责分工的合并,或者,原来的一个重要控制岗位被取消,却没有相应的替代控制出现。很多公司重组后大量削减人员,就碰到了严重的控制缺陷。 l 海外经营——海外经营的扩张或收购带来了新的和独特的风险。例如,内控环境可能受到当地管理层文化和风俗的影响。另外,当地经济和法律环境可能带来独特的风险因素。 (三) 内控活动 内控活动是指为确保管理层指示得以执行的政策和程序。它有助于进行风险管理和保证企业目标的实现,内控活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动,如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。 1、内控活动类型: 控制活动可以有不同的描述方式: 针对企业的不同目标,控制活动可以分为以下三个类型:即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动; 根据控制活动的不同作用,控制活动又可以分为:预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型; 根据组织中实施人员的不同,控制活动也可以分为:高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。 l 高层复核——管理层将实际业绩情况和预算相比较,将当期业绩和前期相比较,将本企业的业绩情况与竞争对手相比较,对企业主要行为进行追踪,以衡量目标实现的程度。 l 指导并管理业务活动——负责整个板块生产的领导,分地区公司、分产品类别等内容审阅生产业绩报告,对照经营目标,分析其中反映出的生产管理方面的问题,并指出需要改进的方向。 l 信息处理——这类控制被用于核对交易的准确性、完整性和遵循性。如:系统对数据录入设定编辑复核功能,并对数据修改实行系统性控制;客户订单,只有与经批准的客户文件和信用额度相符,才能被接受;交易应按连的编号记账;系统管理员对例外事项报告进行跟踪调查,必要时向主管领导报告。 l 资产保护即实物控制——对设备、存货、证券、现金及其他资产实物采取保管措施,并定期进行盘点和帐实核对。 l 业绩指标分析——采购部门的员工分析采购价格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率,通过调查异常的结果和异常的变动趋势,关注那些可能影响目标实现的问题,并提出改进方案。 l 职责分离——职责在不同人员之间的分工或分离,可以降低发生错误或不当行为的可能性。例如,交易的授权、记录和处理相关资产的职责应予以分离;授权赊销的经理应不负责应收账款的记录或现金收入的处理。 2、控制活动的要素— 政策和程序 控制活动一般包含两个要素,即:第一个要素,政策—它描述应该做什么,第二个要素,程序—它描述应该怎样做;政策是程序的基础,同时,程序又影响政策的执行。例如,政策要求,应该由专人定期进行存货盘点,程序即盘点本身,其实施的频率、关注的要点、存货的性质、数量等等。 3、控制活动应和风险评估相结合 管理层在进行风险评估的同时,应该针对该特定风险找出并实施有效的措施,这些针对某项特定风险的具体措施也就是建立控制活动的要素,它有助于保证控制活动得以及时、有效地实施。 4、信息系统的控制 随着信息技术的发展,大多数企业,包括小公司或大公司的部门,都引进、建立和运用了现代化信息处理系统,现代化的信息系统不仅提高了企业的工作效率,而且也改变企业的经营方式和方法,甚至影响企业的战略规划,因此信息系统的控制十分重要。 信息系统内控活动可分为两大类。第一类是一般性控制——适用多数应用系统并协助确保其持续、正确地运行, 包括对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的控制。第二类是应用性控制,包括应用软件中的电算化步骤,以及用以控制不同种类交易处理过程的相关手工操作程序,它是保证交易处理的完整性、准确性、交易授权和有效性的内部控制。例如,公司的销售政策规定给予金额在20万以上订单以8折优惠;系统根据事先的设定,对于20万以上的订单自动给予20%的折扣优惠,而对于20万以下订单仅允许全价销售。 这两类对计算机系统的控制是相互关联的。一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。 (四)信息和沟通 信息和沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通,以促使员工履行自己的职责。这里所说的信息是指来源于企业内部及外部,与企业经营相关的财务及非财务的信息。信息必须在一定的时限内传递给需要的人,以帮助人们行使各自的控制和其它职能。沟通则是指信息在企业内部各层次、各部门,在企业与顾客、供应商、监管者和股东等外部环境之间的流动。 有效的沟通必须广泛的进行,自上而下、自下而上地贯穿整个组织。所有人员都要从高级管理层获得明确的信息:必须认真对待控制责任。他们必须了解各自在内部控制体系中担任的角色,以及个人行为与他人工作的相互关系。他们必须有自下而上传递重要信息的渠道和方法。同时,也要顾客、供应商、监管者和股东等外部人员建立有效的沟通。 1、信息 企业的管理活动依赖于各种信息,既包括内部生成的信息,也包括从外部获取的行业、经济、监管等方面的信息。因此,企业必需要建立良好的信息系统来识别、获得、加工和报告这些信息。有效的信息系统不仅能够识别和获得所需要的财务和非财务的信息,还能够在一定时限内根据需要加工和报告这些信息。另外,当企业面临基本的行业变化,面临有高度创新能力反应迅捷的竞争对手或面对重大的顾客需求变化时,信息系统必须随企业目标、经营环境的变化而变化,及时适应新的需求。 1)信息的识别和获取 信息的识别和获取的方式是多种多样的:信息系统可以采取监控方式,定期获取特定的数据;或者,可以采取某些特定的方式获取所需信息,如通过问卷、采访、广泛的市场需求调研或针对特定群体的调查获得顾客对产品和服务的需求信息;通过与顾客、供应商、监管者以及员工的谈话获得识别风险和机遇所必需的重要信息;参加专业或行业的研讨会也可以获得有价值的信息。 2)信息加工和报告 信息是决策的基础,但并非所有的信息都是有用的信息,因此,需要对信息进行加工整理,归纳汇总,根据需要向不同的部门和人员报告不同的信息。为了提高信息的质量,需要考虑: ·内容是否适当——它是所需要的信息吗? ·信息是否及时——当我们需要时就能获得吗? ·信息是当前的吗?——是我们能获得的最新的信息吗? ·信息是否准确——数据都准确吗? ·信息是否畅通——相应的部门能容易地获得信息吗? 在设计系统时必须考虑以上问题。如果不考虑,系统很可能无法提供管理层和其它人员需要的有用信息。 3)信息系统的整合 信息系统是经营行为的一个组成部分,它通过获取决策所需的信息来影响控制,随着信息技术的发展,信息系统可以更迅速、更广泛提供更有价值的信息,对企业的管理影响更加深远,甚至影响到企业的战略规划,一项最新发布的研究表明,信息系统的规划、设计和应用已经开始同组织的整体战略整合在一起。多数新的生产系统与企业其它的系统,可能还包括企业的财务系统,高度地整合为一体。当系统执行其它的运行时,财务数据和会计记录会自动更新。 2、沟通 沟通是信息系统固有的,是将信息提供给相关人员,以便与其履行职责,沟通必须贯穿于信息处理的整个过程,有效的沟通不仅在整个企业内进行,也包括与外部进行的沟通。 1)内部沟通 内部沟通是指企业内部上下级之间、横向部门之间的沟通,下面以例举的方式介绍内部沟通的主要内容: l 所有的人员,特别是那些有着重要的经营和财务管理职责的人员,取得管理所需信息,并清楚地知道必须严肃履行内部控制的责任。 l 每个人需要理解所负责内部控制部分如何运行及个人在系统中的职责。 l 在执行自己的职责时,每个人都应该知道,当意外发生时,不仅要注意事件本身,还要注意事件的原因。这样,就可以了解到系统潜在的缺陷,并采取预防的措施。比如,发现滞销的存货不仅要在财务报告上留下准确的记录,更重要的是对存货滞销的原因作出判断。 l 人们需要知道自己的行为怎样与他人的工作相联系。 l 需要知道什么样的行为是被期望的,什么是可以接受的,什么是不可接受的。 l 员工也需要知道在企业中自下而上传递重要信息的方法和渠道。员工必须相信他们的上级确实想了解问题并愿意有效地解决问题,在任何情况下不会因报告相关信息而受到报复。 l 在多数情况下,正常的报告渠道就是适当的沟通渠道。然而,在特定条件下,需要独立的沟通渠道作为一个预防失败的机制,在正常渠道不起作用时加以运用。例如为员工提供直接接触财务总监或企业法律顾问这样的高层领导的渠道;总裁可以定期抽出时间接待员工来访,并且让员工知道为任何事情的来访都是受欢迎的;总裁也可以定期去车间拜访他的员工,形成一种人们能够交流难题和关心的问题的氛围。 l 管理层与董事会及其委员之间的沟通至关重要。管理层必须使董事会了解最新的业绩、发展、风险、主要的革新以及其它任何相关的事件或事故。与董事会的沟通越好,董事会越能有效地行使监督职能,并能够对于关键的事务作出合理的行为,提供建议和忠告。同样,董事会也应该向管理层传达其所需要的信息,并提供指导和反馈。 2)外部沟通 企业不仅在内部需要有适当的沟通,而且与外部也是,与外部沟通的内容包括: l 通过开放的沟通渠道,了解顾客、供应商对于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好。 l 在与外部的交往中强调企业的道德标准,使外部人员知道认识到不适当的行为。比如公司可以同供应商直接沟通,解释公司期望供应商雇员在与其打交道时应怎么做,明确回扣以及其它不适当的收入,都是不能容忍的。 l 与外部审计师的沟通,管理层和董事会可以了解重要的控制信息。 l 与股东、监管者、财务分析师以及其它外界的交流,可以了解企业所面临的情况和风险。 l 管理层同外界(无论是公开的、即将进行的、严格跟踪的还是其它的)的交流也可以向整个公司内部传递信息。 3)沟通的方式 沟通可以采用诸如政策手册,备忘录,布告通知,录像录音带的形式,又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。 (五)监督 内部控制随着时间、环境而变化,曾经有效的程序可能会变得不太有效,因此需要对内部控制进行监督。监督是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效,监督可通过两种方式进行:持续性的监督活动和独立的评估。持续性的监督活动是植根于企业日常、重复发生的活动中的。与独立评估相比,由于持续性监督程序在实时基础上实施、动态地应对环境的变化,并在企业中根深蒂固而显得更加有效。不过,独立评估发生在事实之后,比起持续性监督程序,可更快地发现问题。一个感到有必要进行经常性的独立评估的企业,应重点关注改进持续性监督的途径,并强调“嵌入”而非“外加”的控制。 1、持续性监督行为 持续性的监督行为发生在经营的过程中,它包括日常管理和监督行为、比较、核对和其他常规性活动。持续性监督行为有下面一些例子: l 在执行常规管理行为时,经营管理层取得内部控制持续运转的证据。 l 与外界各方的沟通能够印证内部产生的信息或揭示问题。例如:顾客支付账单,表明其确认了帐单数据;相反地,顾客对帐单的投诉可能表明销售交易过程存在系统缺陷。公司审核有关作业安全的政策和操作步骤,从经营安全性和合规性的角度为内控是否有效运行提供信息,因而被视为一项监督;监管者就合法性或其他事项与企业进行交流,也会从某种角度反映内控系统是否有效运行。 l 适当的组织结构和监督行为不但监督内控职能的执行并且能够发现内控的缺陷。例如,财务负责人对财务人员针对交易正确性和完整性实施的内控活动实施日常的监管。另外,管理层对员工的职责分配定期进行审核,以确保合理分工以便相互制衡,有利于防止员工舞弊,并可以限制个人掩盖其可疑行为的能力。 l 将信息系统所记录的数据与实物资产相核对。例如,产成品存货应定期进行盘点,将盘点的数据与相应的会计数据核对并记录存在的差异。 l 内部及外部审计师定期为进一步加强内部控制提供建议。审计师通过评价内控的设计并测试其有效性,发现一些潜在的问题并向管理层提供解决问题的建议。 l 培训研讨会、计划会议及其他会议能向管理层提供有关控制是否有效的重要反馈。这种方式不但能指出控制中存在的个别问题,还能增强参与者的控制意识。 l 定期询问职员理解及执行企业相关规定的情况。如向经营及财务人员询问相关的控制程序是否正常运行。 2、独立评估 独立评估是独立于控制活动之外而采取的定期评估行为。尽管持续性监督程序可以提供关于其他控制要素有效性的重要反馈信息,但经常地对系统的有效性直接进行评估也是十分必要的。这样同时也提供了一个机会来评价持续性监督程序是否有效。 1)范围和频率 独立评估的范围和频率主要依赖于风险评估和持续性监督程序的有效性。由于所控制风险的大小及内部控制在减小风险中的重要性不同,对于内部控制进行评价的范围和频率也不一样。例如,那些致力于重大风险或对减小风险具有重要作用的控制就应经常地进行评价。 2)评价主体 评价主体,即由谁来实施独立评估。一般来说,评价主体包括: 一是自我评价,即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。例如,一位部门主管应指导本部门内部控制的评价活动。他或她可能亲自评价内控环境因素,然后请部门内负责各种经营活动的人员评价其他要素的有效性。 二是内部审计人员评估,有时,在董事会、高级管理层、子公司及部门主管的特殊要求下,内审人员也会对内控进行评价。同样,在评价内控时,管理层也可利用外部审计人员的工作。 3)评价程序及方法体系 首先是同企业职员进行探讨并审阅已有的文件,了解系统的运行过程或内控系统的设计;其次是根据已确定的目标分析内部控制的设计和测试结果,分析是否对既定目标提供了合理保证。 评估方法有许多可供选择,包括检查清单、调查问卷和流程图等方法。也可与那些被认为在内控系统方面具有良好声誉的公司进行比较。 4)行动计划 第一次指导评估内控系统的管理人员可以考虑下列建议,决定对何处着手和如何去做: l 决定评估的范围,包括目标的分类、内部控制要素和需采取的行动。 l 确定对内部控制的有效性提供常规保证的持续的监督行为。 l 分析内部审计的控制评估工作,考虑外部审计师与控制相关的发现。 l 按照单位、要素或高风险区域划分重要性程度和先后次序,保证及时的关注 l 在以上基础上,建立相关的评估程序。 l 汇集所有进行评估的各方,共同考虑下列问题:不仅要考虑评估范围和时间表,而且要考虑所使用的方法体系,应用的工具,来自内外部审计师和监管者的建议,报告所发现问题的方式以及设定最终的文本化程度。 l 监督进展和复核发现。 l 保证采取必要的追踪措施,必要时修改后续的评估部分。 5)报告缺陷 这里的“缺陷”被广泛定义为内控系统中值得注意的问题。缺陷可能代表一个假想的、潜在的或实际的缺点,或一个强化内控系统的机会。向恰当的当事人提供有关内部控制缺陷的必要信息,对内部控制制度的持续有效运行十分关键。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。对于发现的内部控制缺陷,不仅应向负责的个人汇报,由他采取正确的措施,还至少应向该责任人的上一级汇报。这一过程使得责任人能及时采取措施,也便于其上级提供所需的支持或进行监督,并与企业中受影响的他人进行沟通。重要事项应报知高层管理人员和董事会。 6)文本化 企业内部控制的文本化有利于评估,有利于增进员工对内控系统如何运行及各自职责的理解,更易于必要时对其修改。文本化的程度根据各企业的规模、复杂性和类似因素的不同而存在差异。大一些的公司通常有书面的政策手册、正式的组织图、书面的工作描述、经营指导、信息系统流程等。小一些的公司内部控制文本化的程度一般低得多。控制没有文本化并不意味着内控系统是无效的或无法评估,不过当需要向更多人提供有关内部控制的阐述或评估时,内部控制文本化的性质和程度将会提高。当管理层希望向外界提供关于内控系统效果的声明时,他们应当考虑形成文件来支持该声明。如果该声明今后被质询,这些文件将很有用。 四、内部控制的局限性 也许有人会认为内部控制可以确保企业万无一失,这也是我们所希望的,但事实并非如此,无论内部控制设计和执行的多好,它也只能提供合理的保证,这是内部控制系统固有的局限性。具体表现在: n 判断失误——判断是人在事情发生时依据现有信息的所做出的,个人的判断不能保证绝对正确,并且难以避免主观性,从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。 n 执行偏差——任何“完美的”内部控制系统,都会因设计人经验和知识水平的限制而带有缺陷。同时,执行人员的粗心大意、精力分散、判断失误以及对指令的误解等,也可能使内部控制系统陷于瘫痪。 例如:代替缺席或生病雇员的临时职员,可能不能正确地执行控制的职责。 n 管理层的越权——内控制度是企业最重要的管理工具,但任何内控最终都是靠人来执行的。单位或部门的经理,或者高级管理层成员会出于各种目的而愈越内控制度,例如:虚增报告中的收入来掩盖市场份额始料不及的下跌;虚增报告中的赢利以符合无法实现的预算。 n 合伙同谋——两人或更多人的合伙同谋行为,会使不同职务相互制约的作用丧失,从而导致内控的失效。 n 成本收益原则——控制环节越多,控制措施越复杂,相应的控制效果可能会越好,但控制成本也会越高。由于企业的资源有限,企业在设置和实施内部控制时,必须在控制失败可能造成的损失与建立控制所需相关的支出之间进行权衡。 当然,合理的保证并不意味着内部控制系统会经常失效。多项内部控制相互作用可以减少企业无法实现目标的危险,而日常的经营行为和不同层次人员的职责分工也有助于实现企业的目标。 五、员工在内部控制中的作用与责任 组织中的每一个人都对内部控制负有责任。 · 管理层 –总裁或总经理对内部控制负有全面的责任,可以看作是内部控制系统的“责任人”。总裁或总经理的态度对内控环境的影响很大。总经理的任务是领导和指导高级管理人员,并与这些高级管理人员一起制定价值观、原则以及重要的经营策略,例如企业的总目标、组织机构、重大制度等,并检查他们是否履行职责。依次的,高级管理人员负责建立更为具体的内部控制政策和程序,并向企业员工分配。基层的管理人员则直接参与控制政策和程序的实施。其中财务总监和他的员工的内控活动贯穿于企业各部门,是内部控制的关键。 · 董事会–管理层向董事会负责,董事会指导和监督管理层的工作。一个强大的、活跃的董事会通常能够结合有效的汇报渠道和有力的财务、法律和内部审计职能来发现和纠正管理层存在的问题。有效的董事会必须是客观的、有能力的和善于调查的,他们具有业务活动方面的知识,并有充足的时间履行董事的责任。 · 内部审计师–内部审计师在评价和维护内部控制有效性方面起着重要的作用。内部审计职能部门因为其在企业中的地位和权利,还起着重要的监督作用。 · 其他人员–内部控制从某种程度上是组织中每个人的责任,每个员工都产生内部控制系统中所使用的信息,或者用行动来影响着内部控制,因此所有的人都有责任向上汇报沟通组织中的问题,汇报违反行为准则的情况,以及违反政策或法律的行为。 另外,大量的外部单位也对企业内部控制也有所贡献。外部审计师,通过对财务报表的审计,提供关于财务报表及其相关内控的独立客观的意见,并间接向管理层和董事会提供履行职责的信息。立法机构和监管机构、客户和其他公司、财务分析员、债券评级人和新闻媒体也能为公司提供有用信息。但是外部单位不会对公司内部控制负有责任,也不是公司内部控制体系中的一部分。 六、小结 长期以来,高级管理层一直在寻找控制和管理企业的更好方法。内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展,并将这个过程中的干扰因素最小化。内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求,并针对未来的成长进行调整。内部控制促进效率性,降低资产损失的风险,并有助于确保财务报表的可靠性和对于法律法规的遵循性。 由于内部控制服务于很多重要的目标,对于更好的内部控制系统及其运行效果的要求不断增加。内部控制系统越来越多地被视为各种潜在问题的解决方案。 COSO内控框架提出的由'三个目标'和'五个要素'组成的内部控制的整体框架,已经得到各行业的公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可,因而成为迄今最权威的内部控制的概念,因为它是一个较为完整和系统化的关于内部控制的理论,而且它提出的许多新的、有价值的观点不断地在实践中找到了现实意义。按照COSO框架标准建立股份公司内部控制体系是我们本阶段的主要内容。 |
|
|
