帮助|留言交流|
首 页 阅览室 馆友 我的图书馆
来自:黔正图书 > 馆藏分类
配色: 字号:
第八章__内部控制
2014-05-21 | 阅:  转:  |  分享 
  


第八章内部控制



第一节内部控制的定兑和发展



一、内部控制的定义

内部控制是指为确保实现企业目标而实施的程序和政策。内部控制还应确保识别可能阻碍实现这些目标的风险因素并采取预防措施。内部控制和风险管理是出色的公司治理极为重要的组成部分。出色的公司治理意味着董事会必须对企业的所有风险加以识别和管理,就风险管理而言,内部控制系统涉及企业财务、运营、遵守法律法规及其他方面。

内部控制系统包括两个因素,分别是控制环境和控制政策与程序。控制环境是指企业内对于内部控制的态度及内部控制意识,代表整个企业对于内部控制的价值观。控制政策及程序是指嵌入企业运营中的具体的内部控制。控制政策及程序的设计目的在于,尽可能确保业务行为是有序且有效的。控制政策及程序必须能够根据企业面临的内外部风险而改变,并且应以企业面临的主要风险为重点,并对这些风险作出反应。

内部控制的思想和框架总体上就是对企业内资掘进行管理的体系,然而基于不同的角度和层次,对内部控制的定义有着不同的认识和分析。

(一)COSO委员会对内部控制的定义

成立于1985年的COSO(CommitteeofSponsoringOrganization)委员会为全国舞弊报告委员会提供支持。该组织包括美国会计协会(Ame出anAc?counting.Association)和美国注册会计师协会(Ame由anInstituteofCe时ifiedPublicAccountants)。现在,COSO委员会负责制订有关大型和小型企业实施内部控制系统的指南。

1992年9月COSO委员会提出了《内部控制一一整合框架))01994年又进行了增补,简称《内部控制框架}.即COSO内部控制框架。COSO委员会对内部控制的定义是"公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵守适用的法律法规。"以下章节将对内部控制框架的内容作更详尽的分析。

COSO委员会指出,从风险管理的角度来看,内部控制是必要的。但是,在实施内部控制时,有几点需要注意。首先,即使实施了优良的内部控制系统,也不一定能使一个鳖脚的管理者变得出色。其次,由于所有的内部控制系统仍然面临发生错误或出现差错的危险,因而内部控制系统只能就企业目标的实现提供合理保证。即使一个企业实施了内部控制,也可能由于故意串通破坏、管理层逾越监控而失效。再次,大型或小型企业在建立内部控制系统时,均可能存在资惊受限的问题。

(二)美国上市公司会计监管委员会对内部控制的定义

美国上市公司会计监管委员会(PCAOB)发布的"审计准则第5号"规定,注册会计师对企业财务报告进行审计必须关注财务报告内部控制,同时管理层应该对企业内部控制作出评估。所谓财务报告内部控制,是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程,并由公司的董事会、管理层和其他人批准生效.该流程可以为财务报告的可靠性及根据公认会计原则编制的对外财务报表提供合理保证,它包括如下政策和程序(1)保管以合理的详尽程度、准确和公允地反映企业的交易和资产处置的有关记录(2)为按照公认会计原则编制财务报表记录交易,以及企业的收入和支出仅是按照管理和公司董事会的授权执行,提供合理的保证;(3)为预防或及时发现对财务报表有重大影响的未经授权的企业资产的购置、使用或处理,提供合理保证。

(三)特恩布尔委员会对内部控制的定义

1992年,英国《综合守则》(CombinedCode)颁布之后,设立了特恩布尔委员会(Turnbullcommittee)。该委员会的职能是为上市公司执行《综合守则》规定的内部控制原则提供指南。特恩布尔报告的总体要求是,董事应实行一套完善的内部控制系统,并定期对该系统实行复核。

该报告还谈到了建立一个完善的内部控制系统的必要性。内部控制的主要组成部分包括为企业的有效运营提供辅助条件,使企业有能力对阻碍目标实现的重大风险做出反应。风险可能来自业务经营、合规、运营或财务方面。此外,内部控制还能确保对内和对外报告的质量,确保法规及内部有关业务开展的政策得以遵守。

特恩布尔报告哈还包括对内部控制系统的检查。该报告指出,对内部控制系统的检查时管理层的常规责任。不过检查可委派给审计委员会,并且董事会必须提供有关内部控制系统的信息,并进行复核。复核应为至少每年一次。

为了通过维持完善的内部控制系统来确保使企业面临的风险降至最低。特恩布尔委员会还建议应持续对内部控制情况进行监察,并建议作出关于财务及合规和运营控制的报告。此外,管理层应向董事会保证内部控制已得到监察,确认这些控制提供了“对重大风险及内部控制系统对于管理这些风险的有效性”的平衡性评价。而且,由于董事会应对内部控制系统负责,因此董事会可能需要对该系统进行复核。

(四)中国《企业内部控制基本规范》对内部控制的定义

财政部、证监会、审计署、银监会和保监会于2008年6月联合发布的《企业内部控制基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略。

二、内部控制的演变与发展

(一)内部控制在20世纪80年代的控制理论

自20世纪80年代以来,内部控制的理论研究有了新的发展,人们对内部控制的研究重点逐步从一般含义转向具体内容。其标志是美国注册会计师协会于1998年5月发布的《企业准则公告第55号}(5A555)。在这份公告中内部控制结构"的概念取代了"内部控制制度"。公告指出企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。"公告认为内部控制结构由下列三个要素组成:

(1)控制环境。这是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素,包括管理者的思想和经营作风;组织结构;董事会及所属委员会,特别是审计委员会发挥的职能:确定职权和责任的方法;管理者控制和检查工作时所使用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行等;影响企业业务的各种外部关系,如由银行指定代理人的检查等。

(2)会计制度。这是指为认定、分析、归类、记录、编报各项经济业务,明确资产与负债的经管责任而规定的各种方法,包括认定和登记一切合法的经济业务;对各项经济业务按时和适当的分类,作为编制财务报表的依据;将各项经济业务按照适当的货币价值计价,以便列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务及对有关的内容进行揭示。

(3)控制程序。这是指企业为保证目标的实现而建立的政策和程序,如经济业务和经济活动的适当授权;明确各个人员的职责分工,如指派不同的人员分别承担业务批准、业务记录和财产保管的职责,以防止有关人员对正常经济业务图谋不轨和隐匿各种错弊;账簿和凭证的设置、记录与使用,以保证经济业务活动得到正确的记载,如出厂凭证应事先编号,以便控制发货业务;资产及记录的限制接触,如接触电脑程序和档案资料要经过批准;已经登记的业务及记录与复核,如常规的账面复核,存款、借款调节表的编制,账面的核对,电脑编程控制,以及管理者对明细报告的检查。

(二)内部控制在成熟阶段的研究结果

如前文所述,C050委员会于1992年9月发布了指导内部控制实践的纲领性文件《内部控制一一整合框架},并于1994年进行了增补,即COSO内部控制框架。这份文件堪称内部控制发展史上的里程碑。

COSO对内部控制的定义包含大量关键概念,它们能举例说明企业内的内部控制系统有普遍影响力,而且控制是一个程序,而非结构。内部控制是公司董事会和各级管理层计划、实施和监察的不间断的一系列活动。

内部控制的目标不仅是为了保证财务报告的可靠性与合规性,而且有助于提高企业运营的效益和效率。因此,内部控制也与业绩目标(比如获利能力)的实现有关。但是内部控制只为企业目标的实现提供合理保证,而非绝对保证。

内部控制系统包括企业的政策、程序、任务、行为,使企业能够对与实现企业目标有关的重大业务、经营、财务、法规及其他风险作出适当反应,促进企业的运营效益和效率。这包括保护资产,避免被不当使用或流失和欺诈,并确保负债得到有效管理。

完善的内部控制系统还有助于确保对内及对外报告的质量。这要求维持适当的记录和程序,以提供有关企业内外部的及时、相关且可靠的信息。而且,完善的内部控制系统还有助于确保企业遵守适用的法律法规,或遵守商业行为的内部政策。

内部控制可分成五个相互关联的组成部分,在配合实现独立而又有重叠的经营、财务报告和法规遵守的目标时,这五个部分也可作为评价内部控制系统有效性的标准。这五个部分包括:控制环境、风险评估、控制活动、信息与沟通以及监察。不仅如此,COSO对内部控制系统的五大要素进行了认定。从董事会为企业制定整体管理哲学以实施内部控制,到控制环境的详情,都属于这五个要素的范畴。

1 (Controlenvironment)。内部审计师协会(TheInstituteofInternalAuditors,IIA)对控制环境的定义是董事会与管理层对待公司内部控制的重要性的态度及采取的行动"。控制环境是其他内部控制元素的根基,并提供纪律及结构。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境被称为企业的"最高层"。控制环境能说明企业的道德观和文化,为内部控制其他方面的运作提供框架。控制环境是由管理层所定的基调、管理哲学与管理风格、授权方式、组织和培养员工的方式以及董事会对执行内部控制的决心决定。

2 (Riskassessment)。风险评估是指识别和分析影响目标实现的风险(包括与监管和运营环境不断变化有关的风险),以此来确定降低和管理此类风险的依据。企业的目标与所面临的风险之间有一定关联。为了对风险进行评估,必须确立企业目标。目标一经确立,必须识别和评估为实现这些目标而面临的风险,并且该评估应构成决定如何管理该风险的基础。

企业的管理层应定时对企业内部的各类业务进行风险评估,而且需要考虑内部及外部因素。内部因素包括组织的复杂性、组织结构的变更、员下流动情况及员工素质。外部因素包括行业及经济条件的改变以及技术变革等。

风险评估程序亦应区分可控制风险和不可控制风险。对于可控制风险,管理层应决定是否承受该风险,采取措施控制或降低该风险。l对于不可控制的风险,管理层应决定是否承受该风险,或部分或完全退出此项业务,以规避风险。

3.控制活动(Controlactivity)。控制活动有助于确保管理层的指令得以执行,以及任何可能需要用来处理风险以实现企业目标的行动得以实施。控制活动是指能确保管理层的决策与指示得以执行的政策和程序。企业内部各层面均存在控制活动,控制活动包括组织控制、职责划分、调节和复核、实物控制、授权和批准、计算和会计j人员控制、监督及管理控制。

4.信息与沟通(Informationandcommunication)。信息与沟通是指在人员能够履行责任的方式及时间范围内,识别、取得和报告经营、财务及法律遵守的相关信息的有效程序和系统。企业必须收集信息并向适当人士传达。管理者制定恰当的决策时既需要内部信息也需要外部信息。此外,为了运作内部控制,管理者也是需要信息的。因此必须建立完善的信息系统,必须为管理者提供与所采取的行动相关的,及时L准确、可以理解的信息。

企业多数会运用计算机系统来提高为管理者提供的信息质量,但是如果让计算机系统为管理者提供所需的信息,则必须将计算机系统结合到业务策略中。信息系统和信息管理对于成功的运转和业务控制有着非常重要的作用。信息系统和技术管理的内容可参考本书第十二章。

5.监察(Monitoring)。监察是指持续评估内部控制系统的充分性及表现情况的程序。内部控制的不足之处应向相应的上级领导层汇报。上级领导层可以是高级管理层、审计委员会或董事会。内部控制系统必须接受监察。作为内部控制系统的因素,它与内部审计及一般监督有关。识别并向高级管理层及董事会或董事报告内部控制系统的缺陷是非常重要的。



企业可能已经建立了非常完善的内部控制系统,但是仍需要对该系统进行监察。如果内部控制系统未经监察,就很难评估它是否未受控制或需要改进。随着业务的发展,内部控制系统也在发展,因此内部控制系统不是静止不变的。内部审计部门通常是内部控制系统的主要监察人。内部审计师会对内部控制及控制系统进行检查。他们还应识别控制是否失效或是可以纠正问题,并且向管理层提出有关建立新系统或系统改进方面的建议。

COSO的上述定义对内部控制的基本慨念提供了一些深入的见解,特别是:

(1)内部控制是一个实现目标的程序及方法,而其本身并非目标;

(2)内部控制只提供合理保证,而非绝对保证;

(3)内部控制要由企业中各级人员实施与配合。

COSO的内部控制定义构成了《萨班斯一奥克斯利法案》第404节关于内部控制评估内容的基础。这些内容实质上对于全球的所有机构都非常重要,因此,管理者、审计师和其他人士应对COSO的内部控制非常熟悉。

COSO利用三维模型来描述一个机构内的内部控制系统。该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维的多个推体。这种模型的结构是5x3x2。但是,它们并不是完全独立的部分,彼此之间是相互连接的,就企业内的内部控制而言.我们将重点考察水平方向上的两层:控制环境和风险评估。

企业的内部控制系统会反映其控制环境,而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中,并成为公司文化的一部分。此外,内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险迅速作出反应。而且,内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足,及所采取的纠正行动的详细程序。

内部控制程序应保持简单直接,同时需要确保戚本没有超过效益。而且,应使各级职员能够了解维持足够内部控制的重要性,从而不会在实施控制时,因遇到不必要的复杂情况而对此产生不满。

企业应给予董事及管理层适当的培训,使他们能正确认识内部控制及职能范围。这样做一方面有助于企业高管遵守内部控制的监管规定,另一方面也为企业实现目标提供更多的保证。培训课程可以由企业内部提供,也可由相关培训机构或专业机构提供。

(三)中国内部控制的发展状况

2006年7月,受国务院委托,财政部牵头.由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。

企业内部控制标准委员会的职责和目标是总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面的积极作用,通过2-5年的努力,基本建立一套以防范风险和控制舞弊为中心,以控制标准和评价标准为主体的内部控制制度体系。并以监管部门为主导,各单位具体实施为基础,会计师事务所等中介机构咨询服务为支撑,政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力。

2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范>(下称"内控规范")。自2009年7月1日起在上市公司范围内施行,同时鼓励非上市的大中型企业执行。

1.内控规范简述

内控规范要求企业建立内部控制体系时应符合以下目标:(1)合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;

(2)提高经营效率和效果(3)促进企业实现发展战略。

内控规范借鉴了以美国COSO报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素:

(1)内部环境;(2)风险评估;(3)控制活动;(4)信息与沟通(5)内部监督。

内控规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。同时要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

执行内控规范的上市公司,在对企业内部控制的有效性进行自我评价后,应同时披露年度自我评价报告。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;并明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。

2.内控规范对企业的影响

内控规范的发布是中国在公司治理方面的一个重要里程碑,体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展与壮大,与之配套的公司治理和监督机制的需求日益增加;而随着中国企业的做大做强,企业对于内部外部的风险需要更系统有力的控制。一方面,内控规范为中国企业建立内部控制体系提供了一个标准的框架,在理念、实施和制度层面为企业提供了基础。而在另一方面,内部控制作为一个相对较新的课题,为首次系统地建立与实施内部控制的企业提出了新的挑战。

从国际上一些公司治理法案,包括美国的《萨班斯一奥克斯利法案》和日本的《金融交易法案》的实施情况来看,企业通常在内部控制实施的第一年需要投入很多时间和精力,进行反复的学习和计划的修订工作:在实施的过程中,企业需要作出许多对合规性工作的效果和效率方面产生根本影响的重要决定。这些决定包括项目计划管理、实施范围、关注的风险领域以及测试策略等。在这些领域作出正确、适当的决定对于提高基本规范的实施效率来说十分关键。

在颁布了内控规范之后,财政部陆续起草了一系列的内部控制配套指引征求意见稿,这些配套指引对于如何指导企业和会计师事务所落实和实施内控基本规范将作出进步的明确说明。



第二节COSO内部控制内容的实践



COSO内部控制框架的五个要素包括:控制环境、风险评估、控制活动、信息与沟通、监察。

一、控制环境

控制环境是其他内部控制因素的根基。控制环境因素包括人员的道德观和胜任能力、董事会提供的指示和管理的效率。控制环境应包括坚守诚信及高尚的道德观。就此而言,高级管理层必须把企业的价值观和行为守则向雇员明确传达。对违反行为守则的人员作出适当的处罚,是确保他们遵循行为守则并将其融入企业文化的重要一环

激励及诱惑是破坏深厚道德文化的可能诱因。前者包括施加压力以实现不切实际的业绩目标(特别是短期业绩)及与业绩挂钩的丰厚报酬。后者包括无效的控制(例如在敏感的领域职责划分不清)、薄弱的内部审计职能、未能察觉及报告不当行为,以及无法对高级管理者进行客观的监督的低效率董事会。

控制环境还包括其他方面。例如,管理层应说明每项工作所需的才能水平,并具体地指出满足工作必需的知识及技能。此外,董事会必须具备管理能力、专业技术及其他专长,还必须拥有履行策略和监督职能的才干及思维。董事会成员必须客观、积极地问询管理层的活动。董事会中的审计委员会成员亦应富有经验、符合资格、独立且积极。

此外,管理层应当确立报告关系及授权协定。其中主要的挑战在于下放权责,但要限于实现目标所需的程度。另一项重要挑战是,要确保所有人员明白企业的目标。控制环境在很大程度上取决于个人对其将负有多大责任的了解。企业需要优化组织结构,以便为实现目标而制定的策略能得以最有效地执行。

以下所列是控制环境因素的范围:

(一)诚信和道德观

企业领导者必须创造一种除了财富之外还重视声誉的价值观氛围。这样能够确保更好地留住员工,实现更高的销售收入和利润,创造更好的市值和更多的报酬。

诚信和道德观是企业控制环境的重要因素。如果企业已经制定了严格的商业行为守则,该守则强调诚信和道德观,并且所有的利益相关者都遵循了这一守则,那么,这意味着该组织已拥有一流的道德观。当今,行为守则是公司治理的重要组成部分。但是,即便企业制定了一份严格的行为守则,如果雇员不是故意渎职,而仅仅因为不了解该守则,也会违反守则的原则。在多数情况下,雇员可能不知道他们正在做的事情是错误的,或者可能错误地认为他们的行动符合企业的最佳利益。这种错误常常是由于高级管理层缺乏道德指南造成的,而不是雇员带有欺骗的意图。企业的政策和价值观虽然常常嵌在行为守则中,但也必须向企业内的各级人员传达。任何企业内都可能存在"害群之马但是严格的政策和以身作则的适当行动,能够促使员工采取正确行动。在对特定领域进行独立复核时,审计师或管理者应始终确定恰当的信息或信号己在企业内传达。

所有的管理者及其他股东都应该对其所在企业的行为守则及其应用和传达方式有充分的了解。如果行为守则已经过时,那么它就不能解决企业面临的道德方面的重要问题?如果公司管理者未能反复向所有利益相关者传达行为守则,那么它可能成为企业内部控制的一个重大不足。

即使行为守则描述了企业道德行为的规则,而且管理层的资深成员可能已定期传达了恰当的道德信息,但其他的激励和诱惑也可能破坏整个内部控制环境。如果企业存在促使雇员采取某些行动的巨大激励或诱惑,则员工很可能受到诱惑,作出不诚实、不合法或不道德的举动。例如,一家企业可能设立了过高的不切实际的销售或生产指标。达成这些业绩目标后能获得丰厚报酬,或者更糟糕的是,不能实现目标就要面临巨大的威胁,因而雇员会进行可疑操作,或记录虚假的账目交易,以实现这些目标。促使利益相关者编制不当的会计记录或作出类似举动的诱惑包括,缺乏控制或控制无效(比如,在敏感的领域职责划分不清),权力高度分散导致最高管理层对企业内的低级别人员所采取的行动毫不知情,从而使其被发现的机会减少,薄弱的管理职能既没有能力也没有权力侦查和报告不当行为。对于不当行为的处罚如不严厉或未公开,则无法起到威慑作用。

(二)用人唯才的承诺

如果大量岗位被缺乏必要岗位技能的人员所占据,那么企业的控制环境很可能会被严重破坏。管理者会不时地遇到如下情形:被分配了某项具体工作的人员看起来不具备完成这项工作所需的适当技能、训练或智慧。由于每个人的技能和才干水平不同,应提供充足的监督和培训,以帮助雇员获得适当的技能。

企业应说明各种工作所需的才能水平,并将其具体化为必需的知识及技能。企业用人唯才的承诺可以通过为适当的人才分派适当的工作,并在必要时提供充分的培训的方式来实现。用人唯才的承诺是企业整体控制环境的重要因素。管理者常常发现,对于职位描述是否充分,为适当的人才安排适当的工作的程序是否运转正常,以及培训和监督是否充分进行评估是具有重要价值的。

作为控制环境的一个重要部分,对员工的才能作出客观中肯的评价是比较困难的。虽然许多人力资掘部门通常都会制定详细的评级和评价机制,但是,员工常常都会被评为"高于平均水平"。就各级员工而言,管理层应切实地评估他们是否能胜任所分配的工作,以及是否能为实现整体组织目标付出努力。

(三)董事会和审计委员会

控制环境在很大程度上受董事会和审计委员会的行为影响。以往,董事会和审计委员会常常被高级管理层控制只有有限的少数代表来自外部股东。这导致董事会不能完全独立于管理层。公司管理人员在董事会任职,实际上形成了自我管理的局面,而且,与管理者个人利益相比,他们对外部股东的关注常常较少。随着时间的推移和相关法律法规的出台,上述情况得以改善。现在的董事会承担着更为重要的公司治理的职责,审计委员会必须由独立的外部董事组成。

积极且独立的董事会也是企业的控制环境的主要组成部分。董事会成员应向最高管理层提出适当的问题,并对企业的各个方面进行细致的审查。通过制定高水准的政策和审查整体业务的行为,董事会及其审计委员会对确定"企业领导层的基调"承担最终责任。

(四)管理哲学和经营风格

高级管理层对企业的控制环境有着不可忽视的影响。一些最高管理者频繁地冒险尝试新业务或新产品,使企业面临重大风险,而其他管理者却极为谨慎和保守的形事。一些管理者似乎是凭直觉做事,而其他管理者则坚持认为每件事都应得到批准并被恰当的记录下来。

管理哲学和经营风格需要考虑得上数十项,均是企业控制环境的一部分。管理者及负责评估内部控制的其他人士应了解这些因素,并在整个企业施行有效的内部控制系统时考虑这些因素。事实上,没有那一套风格和哲学是最好的。

企业要对管理层的胜任能力有要求,第一步是挑选那些诚信、独立于董事会的专业人士,他们必须通过董事会方面的培训和资格认证。

(五)组织结构

组织结构能够为规划、执行、控制和监察活动提供框架,以实现企业整体目标。有一些组织是高度集中的,而另外一些组织则按照产品或地区分散了权利。还有一些组织形式是矩阵式,不存在单一的直线报告。

企业的不同部分组合起来的方式有多种。企业控制是为了更庞大的控制程序的一部分。“组织(organization)”这一术语常常可与“使组织起来(organizing)”互换,对很多人拉说,二者的意思是相同的。“组织”有时是指人与人之间的登机关系,其更广义的用法还可能包括管理层的所有问题。

“组织”可以被描述为:个人经过分派获得的工作并在后续过程中结合起来以实现整体目标的方式。在某种意义上,这种概念可用于一个个体组织其个人工作投入的方式,也适用于大量的人员以小组的形式投入工作的情况。对于大型现代企业来说,为组织控制制定完善的计划是内部控制系统中非常重要的部分。个人和小群体应了解其所在的小组的目标及企业的总体目标。倘若缺乏这样的了解,控制可能存在重大的缺陷。

无论是商业组织、政府、慈善组织或其他部门,每个组织都需要制定有效的组织计划。对任何职能或部门负责的管理者必须对组织结构有充分的了解。组织控制的缺陷常常会对整个控制环境产生普遍影响。尽管权力界限划分明确,但企业内在的效率低下问题会随着组织规模的扩大而变得更为严重。这种效率低下问题常常会造成控制程序失灵,因此,在评估组织控制环境时,管理层应关注这些问题。

复杂的或者不容易理解的组织结构可能带来严重问题。母公司将一个部''门作为一个独立的企业分离出去的情况,在当今并不少见。这种新企业的雇员以前采用的是母公司的控制系统和程序,但是现在他们有责任为新企业设立组织结构控制。企业合并、联营和收购发生时,组织结构的权力界限对于利益相关者来说可能是不清楚的。当独立经营的业务运转起来,并且财务结构细节被确定后,内部控制结构却时常被忽视。

(六)权力和责任的分配

组织的结构对总体工作投入的分配与整合作出详细说明。权力的分配本质上是指按照工作描述确定责任,根据组织结构图形成责任。尽管工作评估无法完全避免责任的重叠或连带责任,但是这些责任的说明越准确越好。关于如何分配责任的决定,常常会在个人与小组工作投入之间造成棍乱甚至冲突。

现在,无论什么类型或规模的企业都简化了业务,并将决策权下放,且越来越接近一线工作人员。一线人员应具有在其自身业务领域作出重大决策的能力和权力,而无需请求上级作出决策。这样,授权或雇用造成的主要挑战是,尽管可以授予部分权力,以实现某些组织目标,但高级管理层仍需为这些下属所作的所有决策承担最终的责任。如果未经管理层复核,就将过多涉及更高级目标的决策交由不适当的较低级别人员负责,企业将处于危险之中。此外,企业内的每个人必须对该组织的整体目标,以及个人行为与实现目标之间的相互关联有充分的了解。COSO内部控制报告中关于架构的部分对控制环境这一重要问题作出了如下描述:个人了解自己将负有多大责任,且能够对控制环境产生重要影响。这个结论适用各级人员,包括对企业的所有活动(包括内部控制系统)承担最终责任的首席执行官。

(七)人力资源政策和实务

人力资源实务包括诸如招聘、人职培训"、在职培训11、评估、咨询、晋升、赔偿和采取适当的矫正措施。人力资漉部门应针对这些方面制定并公布充分的政策。不过,值得注意的是,对人力资源政策的操作会向雇员传达有关其预期道德行为水准和能力的信息。一旦高级别雇员公开破坏人力资惊政策,比如无视工厂禁烟令,企业的其他人将会迅速获悉。如果低级别的雇员

因为未经许可吸烟而受到处罚,但人们对违反规定的高级雇员却睁一只眼闭一只眼,那么消息扩散的速度会更快。上述人力资源政策和实务对某些方面具有特殊的重要意义,包括:

(1)招聘和雇用。企业应设法招聘最具资格的人选。应核实潜在雇员的背景,证实他们的学历和工作经验。应精心组织应聘者的面试,对应聘者具有深入的了解。人力资源亦应向潜在的雇员传递信息,使他们了解企业的价值观、文化和经营风格。

(2)新雇员的人职培训。应将企业价值观体系和不遵循这些价值观的后果明确告知新雇员。通常在向新员工介绍行为守则并要求他们正式确认接受该守则时,告知他们上述事项。如果不能向新雇员传递这些信息,那么他们在加入该组织时可能缺乏对于企业价值观的了解。

(3)评估、晋升和赔偿。应实施公平的绩效评估程序,并且使之不受额外的管理支配。由于诸如评估和赔偿的问题可能涉及雇员的隐私,因此,整个系统应对企业内的所有成员一视同仁。通常,奖金激励计划都是一项激发和强化所有雇员的出色表现的有用工具,但是应坚持以公平公正的方式发放奖金的原则。

(4)惩戒措施。应实施统一且易于理解的惩戒政策。所有雇员应了解.一旦他们违反了特定规则,将会面临不同程度的惩戒,直至解雇。企业应尽力确保惩戒措施不存在双重标准,如果存在双重标准,那么高级别的雇员违反了特定规则,将会面临更严重的惩罚。

有效的人力资源政策和程序是整体控制环境至关重要的组成部分。如果企业未设立严格的人力资源政策和措施,那么即使企业组织结构很牢固,领导层传达的信息也不会产生多少影响。管理层在对内部控制架构的其他因素进行复核时,应始终考虑控制环境的人力资源政策和因素。

COSO立体模型说明,控制环境是内部控制的根本性组成部分。以此方式说明控制环境的根基地位是恰当的。试图建立牢固的内部控制结构的企业应特别注意为控制环境结构奠定坚实的基础。

二、风险评估

按照COSO立体模型,控制活动的上一层是风险评估。企业实现其目标的能力可能受到来自多个内外部因素的不利影响。作为整体内部控制结构的一部分,企业应实施一个程序,来评估可能影响其各种内部控制目标实现的潜在风险。风险评估可能是正规的量化风险评估程序,也可能是不太正规的方法,但是应包含对风险评估程序最起码的理解。例如,企业设定的目标是不改变营销计划,那么如果出现新的竞争对手则可能对该企业设置的目标造成压力,这需要对无法实现该目标的风险作出评估。风险评估是一个具有前瞻性的过程。也就是说,许多企业已经发现,对他们的各类风险水平进行评估的最佳时机是制定年度计划或定期计划的过程。应在所有层面以及企业的所有活动中实施这样的风险评估程序。COSO内部控制架构将风险评估描述成一个可以分为三步的程序。第一步是估计风险的重要''性;第二步是评估风险发生的可能性或频率;第三步是考虑如何对风险进行管理,以及应采取何种行动。

COSO内部控制架构强调风险分析并非一个理论过程,而且常常对实体的整体成功起到至关重要的作用。管理层是内部控制整体评估的重要一环,他们应采取措施对可能影响整个企业的风险,以及不同的组织活动或实体所面对的风险进行评估。由内部或外部原因导致的各种风险可能对整个组织产生影响。COSO企业风险评估己对某些主要组成部分给出定义,做了一般性说明,并概述了一种能使组织对企业层面的风险进行更好管理的方法。

风险管理包括识别和分析影响目标实现的风险(包括与不断变化的监管、运营环境和商业策略有关的风险),以此来确定如何降低和管理此类风险的依据。第九章将针对风险管理的程序作更详尽的讨论。

三、控制活动

评估风险只是整个内部控制程序的一部分,管理层必须确定处理风险所需的行动,并付诸执行。这些行动亦应将注意力集中于控制活动的作用,目的是确保所需的行动得以有效且适时地执行。换而言之,控制活动包括多种政策和程序,有助于确保管理层的有关指示得以执行,处理风险以实现企业目标所需的行动得以实施。与大型企业相比,小型企业的内部控制程序可能不太正规且较具灵活性,但一贯地执行内部控制的有关政策及程序是十分重要的。

控制活动可为雇员提供指南(命令式的控制),设计这些活动旨在防止发生不希望出现的事情(预防性控制),或者在不希望出现的事情发生时能够加以识别(侦察式控制)。当不希望出现的事情发生时,应识别程序的缺陷,并主动采取措施加以解决,此类活动称为"纠正性控制活动"。

控制活动可分为运营、财务报告及合规三个类别,但它们之间有时可能出现重叠。常见的内部控制活动有(1)组织控制(2)职责划分;(3)调节和复核(4)实物控制(5)授权和批准(6)计算和会计;(7)人员控制(8)监督及管理控制。

(一)组织控制

组织控制是指组织结构提供的控制,比如组织活动和经营分成若干部门或责任中心,责任区分明确,在企业内授权,确立企业内的报告路径,协调不同部门或小组之间的活动,比如设立委员会或项目组。

(二)职责划分

进行职责分工的主要目的是防止具有欺骗性的活动发生或未被查出。管理层可以通过在两个或两个以上的人员之间分配工作的方式实现这一监控目标。就适当的职责分工而言,不应由一个人控制一项交易或一个事件的所有关键方面,而且一个人履行的职能可通过其他人执行的职能进行检查。

大多数交易可分成三类独立的职责:认可或发起交易、处理被交易的资产,以及记录交易。这样能降低舞弊风险,同时降低出现差错的风险。如果一个人为上述活动中的一项以上活动承担责任,则存在舞弊的可能。职责划分还能较容易地发现非本意造成的错误,因此不应仅将其视为对舞弊的控制。尽管职责划分能够避免一个人舞弊的情况,但对于两人或两人以上串通舞弊却是元效的。在董事会层面,公司治理守则(比如《英国综合守则))指出,董事会主席与首席执行官的职责应分离,以防止一个人取得董事会的支配地位。但是,如果这些职能尚未或无法分离,那么,应由管理层对相关活动进行详细的监管审核,作为一种补偿性控制。

(三)调节和复核

调节和复核业绩属于侦察式控制。所谓调节是指雇员将不同数据连接在一起,识别并找出差异,并且在必要时采取纠正措施。但是更重要的是,执行调节的人员要理解这一程序的重要性以及巳识别的差错的影响。调节包括比较总账的现金金额与银行对账单的现金余额、总账的应收款金额与相关补贴账户总额,以及固定资产的现场盘点与会计记录中记载的金额。所谓业绩复核,是指管理层将当前的业绩与预算、以前期间或其他基准相比较,以此反映目标的完成情况,并对其中的差异进行调查,以确定哪些纠正行动是必要的。

(四)实物控制

实物控制是指保护实物资产不被偷盗或未经许可而获得及被使用的措施和程序。实物控制包括使用保险箱储存现金和重要文件,为大楼或其内的区域设立门禁系统,为贵重资产采取两重保管方法,必须两人同时出现才能取得某些资产,定期对存货进行盘点,以及雇用保安和利用闭路电视摄像头。

(五)授权和批准

某些控制活动可提供其他控制活动运作正常或需要提供指南以改善这些控制活动的运作等信息。例如,被授权的雇员可能开展了达到某项限制的交易,并且须为超出规定限制的交易取得批准。批准上述超出规定限制的交易时,上级必须在核实该活动符合政策及程序的基础上,才能予以批准。就此来说,上级批准亦可作为一种监控工具,来确保政策得以遵守。由于这些控制旨在控制不希望出现的事件,因此,可视之为预防性控制。预防性控制的主要目的是防止错误的发生。

一般而言,为了帮助确保控制活动发挥最大效果,在上级批准及授权时应提供书面指南、权力限制及支持性文件。另外,上级领导严肃地履行批准职能是非常重要的。这要求他们能够积极核查文件,对异常事项进行询问,以及提醒自己不在空白表格上签字。

(六)计算和会计

此类控制要求在会计系统中正确地记录交易。依靠会计记录能够追踪每项交易,核对计算。比如,在向客户发货或批准支付前仔细检查发票上的数字,确保数字是正确的。

(七)人员控制

此类控制适用于选择和培训雇员,以确保为企业的职位指定了恰当的人

员,但个人必须具备适当的素质、经验和所需的资质。企业要向个人提供适当的人门培训,以确保他们能有效地完成任务。

(八)监督和管理控制

监督是指承担责任的某人对其他人员工作的管理。监督控制有助于确保个人按照要求恰当地完成任务。

管理控制是由管理层根据其获取的信息执行的控制。董事会或高级管理层可能要求提供关于企业目标所实现的成果的报告。那么,在部门层面上,管理层应接受对业绩进行复核或标明特殊情况的报告。部门进行复核的频率应远远高于高层进行复核的频率。

四、信息与沟通

为了控制风险,有必要设立一个完善的沟通程序,以获取必要的信息,并向需要该信息的所有人员提供。控制风险是企业各类程序涉及的所有人员的责任,因此,已识别风险的信息以及控制这些风险的方法,必须向每个相关人员传达。沟通系统的重要意义在于,沟通能够在企业以全方位的方式展开,以减少出现误解的可能。企业的较低层级应识别问题,如果这些信息未提供给那些负责采取纠正措施的人员,那么,管理者将无法及时收到所需信息。

信息与沟通是指在人员能够履行责任的方式及时间范围内,识别、取得和报告经营、财务及法律遵守的相关资讯的有效的程序和系统。这包括最高层将与控制有关的事宜的重要性及个人担当的角色向下级传达、向上级汇报重要信息的渠道以及与外部利益相关者保持有效沟通。

(一)信息

有关信息必须以适当的方式,在适当的时限内加以识别、收集和传达,以使人们能作出决策及采取适当的行动。信息系统提供运营、财务及合规的相关信息(包括内部产生及外部提供的信息),这些信息有助于运作和控制业务,也是作出精明的决策以及对外报告所必需的。

当面对重大的行业变动时,特别是富于创新精神及快速流转的行业,上述系统必须能够配合支持新的企业目标的需要。信息系统可以是正式的或非正式的。后者包括与客户、供应商、监管机构及雇员进行商讨,这可为识别风险及商机提供有用的信息。出席商务讲座和加入贸易、专业及其他团体成为会员,也可提供相关资料。

系统产生的信息的质量会影响管理层作出适当决策的能力。报告中载有足够的数据以支持有效的控制是至关重要的,而系统的设计应针对这一方面。就信息质量而言,必须能够答复诸如内容、时限、更新程度、准确性、

可靠性和可用性等方面的问题。

(二)沟通

有效的沟通必须在企业内以全方位方式进行。高级管理层应向雇员传达清晰的信息,使其明白必须认真履行控制责任。他们必须明白自身在内部控制系统中担当的角色,以及个人活动如何眼其他人的活动有所关联。他们还必须有把重要资讯向上级汇报的方法,这需要公司建立公开的沟通渠道,上级人员应乐于倾听。一个让雇员惧怕因上报有关信息而遭到报复的环境,将与目标相背离。

雇员必须被告知,每当有超出预期的事情发生,不仅要注意事件本身,还要注意确定事件发生的时间。他们必须知道他们自身的活动是如何与其他人的工作关联的,以及什么行为是被期望的或可接受的,什么行为是不会被接受的。

管理层与董事会及董事会下辖的委员会之间的沟通尤为重要。管理层必须就企业的业绩、发展、重大风险、主要举措及其他有关事项不断地向董事会提供最新消息。董事会则应向管理层明确表示其需要何种资料,并应为管理层提供指示和反馈。此外,企业还需与外界各方(比如股东、客户、供应商和监管机构)保持有效沟通。客户和供应商可在产品或服务的设计与质量方面提供非常有用的意见;与诸如外聘审计师和监管机构的外界各方进行沟通,能对企业内部控制系统的运作情况提供非常宝贵的意见;与股东及财务分析师进行坦诚的沟通,能提供他们所需要的信息。

总的来说,有效的信息与沟通系统应具备以下特点:能够生成企业经营所需的、关于财务、运营及法规遵守的报告,帮助作出精明的商业决策,以及对外发布可靠的报告。信息与沟通系统能使得雇员获得信息,且交流他们为实施、管理及控制运转情况所需的信息;能识别和传达相关信息,并且是以一种人员能够有效履行他们的职责的方式进行;使沟通在企业以全方位方式进行。此外,信息与沟通系统确立了与外部各方的有效沟通方式。作为信息与沟通系统的一部分,告知所有雇员应认真履行控制责任是很重要的。每个雇员应理解其在内部控制系统中的角色,以及他们的个人活动如何与其他人的活动相关联。雇员还需了解,在履行职责的过程中发现问题,他们有责任报告。

有关雇员应当遵循的政策及程序的信息,应在公司内从上至下得以传达。关于日常活动的信息,应从公司内准备这些信息的雇员流向需要这些信息的雇员。关于日常活动中发现的问题的信息,需要向公司上层流动,直至能够采取纠正措施的人员。

五、监察

内部控制系统必须接受监察。监察是不断对内部控制系统的表现进行评估的过程,可以通过持续的监察活动或单独的评估来实现。内部控制如有缺陷,应向上级(例如高级管理层和审计委员会或董事会等)报告。

监察可确保内部控制保持有效的运作。监察包括由适当的人员评估控制的设计及运作情况,以及采取适当的跟进行动。监察适用于企业内的活动,以及为企业提供相关服务的外部承包商。

管理层为对内部控制系统的有效性取得合理保证,而需要对内部控制系统进行的独立评估的频率,属于判断性质的问题。相关因素包括,所发生的性质改变及程度以及伴随风险、执行控制人员的才能及经验、持续监察的结果。由于持续监察程序已成为企业经常性运营活动的组成部分,且为实时执行,应根据改变作出调整,因此,原则上,它们应比独立评价所执行的程序更有效。

(一)评估

监察内部控制的方法包括:

1. 绩效计量。既然设立内部控制的目的是为实现目标提供合理的保证,那么,可以利用绩效计量来确定实现其目标的程度,这是检验管理部门内部控制有效性的一种有用的方法。如果绩效计量结果不尽如人意,那么管理者以及员工应确定可以作出哪些改变以改善业绩计量结果。

2. 对企业运营进行测试。确定程序是否按最初设计得以应用,应该是一个持续的过程。管理部门内某些较太的单位可能发现,建立内部审计职能部门来帮助内部控制的运转及己设立目标的实现,是具有成本效益的。

3. 为控制环境、风险评估、控制活动、信息及沟通,以及控制而制定的政策及程序,常常由硬性控制构成,而硬性控制是容易识别、评估及记录的。这些政策和程序的影响亦应得以识别、评估和记录。

政策和程序对相关人员的影响,可能导致产生另一种软控制,这与硬性控制同样重要。软性控制是指涉及态度、感知及能力的控制。根据其性质,这些控制不太明显,而且难以计量和评估。信任、强硬领导、开放及道德水准高等品质,对于管理部门的有效运转是至关重要的,并且,在设立或巩固企业的内部控制系统时,不应被高估或低估。

为了评估这些控制类型,管理者应确定评价的标准并达成一致。通过自我评估,管理者应向问他们是如何确信目标得以实现、政策和程序以及法规得以遵守等。通过调查,管理者应询问雇员,以确认雇员的反馈。应对软控制的结果进行评价,为控制的有效性提供进一步的证据。如果识别出控制的不足之处,管理者应把重点放在改良基本程序上。应与所有相关人员就任何修改进行讨论。

(二)记录

内部控制系统的文件记录,可能因企业的规模及复杂性等而有所不同。大型企业多半备有书面政策手册、正规的组织结构图、书面职务说明、操作指示、信息系统流程图等。规模较小的企业可能备有较少的文件记录,但这并不一定表示它们的内部控制无效。适量的文件记录能使评价变得更为有

效,还有助于雇员了解系统如何运作以及他们所担当的角色,并使得在必要

时修改系统变得更简单。

(三)报告

所有可能影响企业实现目标的内部控制缺陷,均应向能采取必要行动的人员汇报。雇员从事常规运营活动时产生的信息,通常通过正常的渠道向他们的上级报告,再由后者向上汇报。此外,还应有另一渠道供汇报非常敏感的信息,比如违法或不当举动。通常,有关缺陷的调查结果不仅应向负责有关职能或者活动的个人汇报,还应向比其至少高一级的管理层汇报。此程序可使更高级别的人员监督及支援采取补救行动,同时有助于向在公司内可能受此活动影响的其他人员传达。

向适当人士提供有关内部控制的信息,对保持系统的有效性尤为重要。企业可订立规则,确定某一级别的人员做决策时所需的资料。获知有关内部控制缺陷的信息的各方,可就需要报告的信息提供明确指示。董事会或审计委员会可要求管理层或者内部或外聘审计师只汇报达到一定严重程度或重要性的内部控制缺陷的调查结果。

总括以上对COSO内部控制内容的分析,要使内部控制系统有效,该系统必须能降低管理层己识别的业务风险。内部控制系统对于管理重大风险以实现业务目标发挥关键作用。完善的内部控制系统能极大地促进对股东投资的保护、公司资产的保护,以及确保对法律法规的遵守。内部控制系统的目标之一就是防止或降低舞弊的可能性,如发生舞弊,对舞弊进行侦察。如果控制环境不佳,内部控制薄弱,舞弊事件将会增多。

应对内部控制系统进行持续复核和管理。但内部控制的成本不得超过因风险降低而可能带来的收益。因此,具体的内部控制是否合适,会因企业的不同而有所差异。内部控制系统是企业不可或缺的一部分,并且是内部控制中的重要要素。



第三节审计委员会的监察角色



一、审计委员会与内部控制

董事会应确保内部审汁师关于控制的建议得以执行,并复核企业策略及风险限制,与管理层就内部控制的有效性进行讨论。董事会还应复核对内部控制系统的评估和评价。

审计委员会是董事会下辖的委员会,全部由独立、非行政董事组成,他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下,审计委员会负责整个风险管理过程,包括确保内部控制系统是充分旦有效的。

就内部控制而言,审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统,除非这项任务由另外的独立风险委员会或董事会承担。审计委员会还应批准年报中有关内部控制和风险管理的陈述。审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告.以及内部或外聘审计师关于对控制所执行测试的结论的报告。

二、审计委员会履行职责的方式

董事会应决定委派给审计委员会的责任,审计委员会的任务会因企业的规模、复杂性及风险状况而有所不同。

审计委员会应满足其职责的要求。建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。审计委员会应每年至少叮外聘及内部审计师会面一次,讨论与审计相关的事宜,但无需管理层出席一i!fi十委员会主席可能特别希望与其他关键人员(比如董事会主席、首席执行官、财务总监、高级审计合伙人和内部审计主管)进行私下会面。审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。

此外,审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。为了很好地完成这项工作,行政管理层必须向审计委员会提供恰当的信息。管理层对审计委员会有告知义务,并应主动提供e信息,而不应等待审计委员会索取。

三、审计委员会与合规

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财:表的编制情况户对重大的财务报告事项和别断进行复核。管理层的责任是编制财务报表,审计师的责任是编制审计计划和执行审计。

审计委员会应倾听审计师关手这些问题的看法。如果对拟蔬用的财务报告的任何方面不满意,审计委员会应告知董事会。审计委员会还应对财务报表后所附的与财务有关的信息:气比如,运营和财-务复核信息及公司治理部分关于审计和风险管理的陈述)进行复核。

四、审计委员会与内部审计

确保充分且有效的内部控制是审计委员会的义务,其中包括负责监督内审计委员会应监察和评估内部审计职能在企业整体。它应该核查内部审计的有效性,并批准对内部审计主管的任命和解聘,还应确保内部审计部门能直接与董事会主席接触并负有向审计委员会说明的责任。审计委员会复核及评估年度内部审汁工作计划。审计委员会收到关于内部审计部门工作的定期报告,复核和监察管理层对内部审计的调查结果的反应。审计委员会还应确保内部审计部门提出的建议己执行。审计委员会有助于保持内部审计部门对压力或干涉的独立性。审计委员会及内部审计师需要确保内部审计部门正在有效运作。它将在四个主要方面对内部审计进行复核,即组织中的地位、职能范围、技术才能和专业应尽义务。

(一)内部审计活动

企业应根据现行职业准则执行内部审计活动。内部审计职能部门的组成,取决于企业的规模、复杂性、经营活动范围和风险概况,以及董事会为审计部门分配的责任。就大型企业来说,首席审计师常常是在审计员了的帮助下履行其责任的管理者。内部审计职能还可由企业内部或外部服务提供商执行。在许多小企业中,被指定担任兼职审计师的高级职员或普通雇员可能承担着运营方面的责任。为了保持独立性,负责复核特定职能部门的雇员应独立于该职能部门之外,并应直接将相关发现向董事会或其下属的审计委员会报告。

内部审计师必须对他们所审计的活动保持独立性,这样他们才能够向由且客观地完成他们的t作。他们必须提供公正而无偏见的判断。内部审计师或内部审计的管理者或董事应直接且定期向董事会报告。在某些机构中,内部审计职能部门可能是管理或控制公司总体风险承担活动小组的一部分。只有审计职能直接向董事会报告并保持其独立性,这样的安排才是符合要求的。

董事会负责将必要的权力委托他人,以使内部审计师能够有效地开展他们的工作。审计师必须拥有针对企业内的所有大业务部门、部门及职能进行检查的权力,与企业的任何人员直接进行沟通的权力,以及使用审计T作所需的所有的记录、文档或数据的权力。董事会、内部审计师和管理层之间进行清晰的沟通,这对于及时地确认及纠正内部控制及运营管理的不足之处是最重要的。

在某些企业,主管审计师向高级管理者(而非董事会)报告日常行政事务。在这种情况下,董事会必须采取额外的措施,确保这种报告关系不会损害审计师的独立性,或对其独立性产生不当的影响。

内部审计师应具备必要的知识、技巧以及训练,以熟练、专业地实施审计工作。内部审计师的角色不断改变,这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当其有适当的教育背景或经验,以及与所承担的责任相匹配的组织技巧和技术。

内部审计师应该善于口头沟通及书面通信,能够理解会计及审计准则、原则及技术,认识及评估与完善的商业实务的偏离之重要性和重大程度。此外,他们能确认现有或潜在的问题,并在适当的情况下,对程序进行补充。

很重要的一点是,内部审计人员(包括审计经理或总监)要参与继续

教育和培训"。大学、团体或审计行业组织提供的课程和研讨会,为保持审计技巧和熟练度提供了许多机会。上述组织还提供注册会计师和内部审计师的培训。企业内部培训、在机构不同部门工作的经验,以及查阅当前关于审计和银行业的文献,也是保持和提高审计技巧的方法。

(二)内部审计师在企业中的地位

内部审计师的主要作用是,独立且客观地复核及评价企业的活动,以维持或改善企业风险管理、内部控制及公司治理的效益与效率。内部审计师必须了解企业的策略方向、目标、产品、服务和程序。审计师应将相关结果向董事会或其下属的审计委员会以及高级管理层报告。

内部审计师必须保持客观和独立。这意味着内部审计可向高级管理层或审计委员会报告,内部审计师不必担心因提交不利的报告而受到指责。对内部审计的任何约束,比如他们无法看到控制系统的各方面,都是对他们工作的限制,这可能暗示管理层试图掩盖矛盾。内部审计师应被允许直接与外聘审计师沟通,对此所作的任何限制,也可能印证管理层试图隐瞒某些情况。

(三)内部审计师的职能范围

外聘审计师应被允许不受限制地使用企业的账簿记录或进入控制系统。对于内部审计部门所作的任何报告和建议,均应采取相应行动,或者管理层应说明尚未针对报告采取行动的原因。

内部审计的目的有若干个,包括评价会计、运营及行政控制的可靠性、、充分性及有效性;确保银行的内部控制能使交易得以迅速及正确地记录,正确地保护资产;确定公司是否遵循了法律法规及其自身制定的政策;管理层是否采取了适当的步骤,来应对控制的不足。

越来越多的内部审计师为企业增加新产品或服务提供建设性的商业建议。他们还帮助企业制定及修订新的政策、程序、做法。而且,内部审计师常常在兼并、收购和转型活动中发挥作用。此类作用包括帮助董事会和管理层评价在收购计划及实施过程中的安全措施及控制,包括适当的文件记录及审计痕迹。

内部审计部门的工作应进行适当的规划,并被复核和记录。\缺乏文件记录,可能表明尚未执行内部审计工作,或者所执行的工作低于所要求的水平。因此,对此进行复核,将确保巳编制了充分的工作底稿,并且工作计划反映了应执行的审汁工作。

(四)内部审计报告

内部审计完成后,最后一项工作即编制审计报告。虽然审计报告没有规定格式,但是,应包含若干不同的部分。报告长度与业务性质有很大关系。通常审计报告包括工作目标、审计师已实施的程序概述、审计意见及建议。

审计工作的目标为报告使用者说明了复核的目的。审计师已实施的程序概述,、说明了审计师如何收集和整理能够支持其所发表的意见及所提出的建议的证据。审计意见对接受复核的内部控制的有效性进行总结。最后,审计师的建议突出说明了控制上的不足之处,并提出改进措施的建议。

内部审计报告应使董事会及管理层了解主要业务部门、普通部门的活动是否遵守了政策和程序,经营程序和内部控制是否有效,以及公司是否已经或必须采取哪些纠正措施。内部审计人员必须向适当的各方报告审计结果并提出建议,并尽可能在相关工作完成后发布报告。审计丁作底稿应充分记录和支持审计报告。

应对内部审计报告的结构进行设计,以满足企业内部审计职能及被审计领域的需要。审计报告通常包括主要经营成果的简明汇总及结论、审计范畴和目标、审计结果(包括任何汇总表的评级)以及建议(包括将取得的收益以及管理层作出纠正重大缺陷的承诺)。

完成审计后,内部审计师首先会与部门经理会面,审核内部审计报告草稿,更正任何不精确的信息,井就管理层的承诺和行动达成一致。然后,将内部审计报告终稿提交给有责任且有权力按照建议执行任何纠正举措的管理人员。之后,应进一步跟进,使内部审计师能够确定如何部署任何商定的举措,并将未来审计活动的重点放在新的领域中。审计师应及时跟进,并将结果向董事会或其下属的审计委员会报告。跟进活动一般首先获得审核管理层的反应,然后确认纠正措施是及时且有效的。

(五)内部审计的外包

越来越多的企业请独立的会计师事务所或其他外部专业人士来实施一般应由内部审计师执行的工作。这样的安排常常被称为"内部审计的外包"、"内部审计援助"、"审计整合"、"审计合作"或"扩展审计服务"。就任何外包安排来说,企业应指定一名保持独立性的雇员(一般是内部审计师或内部审计经理或总监),负责管理与外包企业的关系。企业一般签订内部审计外包协议,通过聘用服务提供商,协助缺乏工作所需的专门技术的内部审计人员,来提高运营或财务效率。此类工作常常是涉及专门领域的,比如信息技术和信托。服务提供商通常仅为具体领域执行商定程序,并将结果直接向企业的内部审计经理报告。

另外,某些外部服务提供商执行完全的内部审计。企业仅有的内部审计人员可能是一名审计经理。服务提供商通常协助董事会和审计经理,确定在业务期间内待复核的重要风险,向内部审计师就审计程序提出建议并实施审计程序,以及与内部审计师一起向董事会或其下属的审计委员会报告重大结果。

五、审计委员会与外聘审计师

审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任,监督新审计师的选择过程,批准外聘审计师的业务条款及审计服务的报酬。审计委员会应复核审计师的审计工作范畴,并确信该审计范畴是充分的,并确保于每次年审开始之时巳为审计制订了适当的计划。审计委员会执行审计工作完成后的复核。

审计委员会订立了年度程序,以确保外聘审计师的独立性和客观性。审计委员会确信本企业未雇用审计小组成员的家庭成员,审计师及其员工与本企业无财务、雇佣、投资或业务关系。另外,审计委员会还从审计师获取信息,以维捋独立性及对相关专业规定的遵守情况进行监察,包括关于轮换审计合伙人。

审计委员会与董事会达成一致,对企业关于雇用外聘会计师事务所原雇员的政策进行监察。审计委员会应监察有多少外聘会计师事务所原雇员现在在本企业担任高级职务。如果这是恰当的,应结合情况考虑这是否损害了审计师在本次审计中应保持的独立性。

审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策,并向董事会提出相关建议。提供非审计服务时,不得损害审计师的独立性或客观性。

审计委员会应制定一项政策,明确外聘审计师不得提供的服务类型,并且说明外聘审计师能够提供的无需请示审计委员会的服务。

六、向股东报告内部控制

企业董事会应维持完善的内部控制系统以保护股东投资及公司资产安全,并将企业业绩及内部控制情况告知股东。

股东是企业的所有者,因此,他们有权知悉内部控制系统是否充分,是否足以保障他们的投资。董事会如要为股东提供其所需的保证,则应对集团内部控制系统的有效性展开复核,并至少每年向股东汇报一次。

为了向股东汇报而执行的复核应涉及所有重大控制,包括财务、运营和合规控制以及风险管理系统。此外,年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会,并回答股东提出的关于审计委员会工作方面的问题。

企业管理层必须就企业实施的内部控制进行汇报。董事会无法亲自实施所有的复核工作,因此,需授权给审计委员会和内部审计部门。总之,审计和报告工作包括已识别和记录的控制,己核查的文件记录、重大不足,已经测试的控制及书面说明。

第四节内部控制与公司治理

一、公司治理制度和原则

公司治理是指在合法、合理、可持续性的基础上实现股东价值最大化,同时确保公平对待每一个利益相关者一一该公司的客户、员工、投资者、供应方合作伙伴、土地管理部门和社区等。因此,公司治理反映了企业的文化、政策、如何处理利益相关者之间的关系及其价值观。

良好的公司治理有一些重要的目标。它通过创造能够激励管理层最大化投资报酬率、提高经营效率和确保产量长期增长的环境来提高企业业绩。因此,这类企业会吸引全球最优秀的人才。它还通过创造员工、管理层和董事会之间的经营活动中的公平、透明度和问责制来确保企业顺应投资者和社会的利益。

长期生存是一个企业成功的重要指标,而良好的治理为企业长期生存和成长提供了必要环境。企业的成长需要投资。良好的企业治理提高了公众对企业的信心,降低了投资的资本成本。当今,全球资本已经没有国界的限制,可以自由流动。所有国家,包括发达国家和发展中国家之间存在着激烈的竞争,以吸引全球的企业家来创造高质量、高收入的就业机会。这些企业家需要大量的资本流入。他们认识到,一个有效的治理模式能够更好地吸引投资。

(一)基本的公司治理原则

1.奠定管理和监督的坚实基础

奠定管理和监督的坚实基础的方法之一是确认并公布董事会和管理层各自的作用和责任。换句话说,该公司框架的设计应使董事会能够为企业提供战略指导,并对管理层进行有效的监督,明确董事会成员和高管各自的作用和责任,以促进董事会和管理层对于公司及其股东承担责任,并确保权力的平衡,避免个人权力不受约束。为了奠定管理和监督的坚实基础,应该规范和披露董事会及管理层的职能。

(1)董事会和管理层的作用。董事会应该以书面形式明确董事会与管理层之间的权责分工,即董事会保留的职能和其授权管理层代其执行的职能。董事会保留和授权管理层的事项的性质必然取决于企业的规模、复杂程度和所有权结构,以至其传统和企业文化。

披露职责分工有助于那些受公司决策影响的人更好地了解特定公司董事会和管理层各自的责任和贡献。这种理解可以得到进一步加强,例如披露包括对于主席、主要独立董事及行政总裁之间的责任平衡的解释。

应当适当定期审查责任平衡,确保职能分工适合于公司的需要。

董事会通常负责监督公司,包括企业控制和问责机制,任免首席执行官(或相应职位),批准任免财务总监(或相应职位),最终批准管理层关于企业的发展战略和业绩目标,审查和批准风险管理系统以及内部遵循和控制,行为守则和法律的遵守情况,监测高管的业绩和战略的执行情况,并确保他ι们得到适当的资掘,审批和监督主要资本支出,资本管理,并购及资产剥离的过程,审批和监督财务和其他报告。

(2)董事及高级管理人员个人责任的分配。董事及高级管理人员清楚地理解企业对他们的期望是适当的。为此,正式的董事任命书列明了非常有用的关键条款和情况。同样,首席执行官和财务总监也应该有一个正式的职责说明和任命函,以说明他们的任期、职责、权利和责任,并有权终止其职务。

2.设计董事会的结构以增加价值

设计一个有效率、规模适当和信守承诺的董事会可以使其充分履行职责和义务。一个有效的董事会有利于履行法律赋予董事的职责,并增加企业价值。这就要求按照上述的方式来设计董事会,使它能够正确理解和解决企业中现有和新出现的问题,可以有效地审查和挑战管理层的业绩和行使独立的判断。董事是由股东选出的,但是董事会及其代表在挑选候选人时发挥着重要的作用。

(1)独立董事。近几年公司治理实践方面最重要的变化之一就是董事会的独立问题d独立性之所以关键,是因为它可以确保董事会在为利益相关者的最佳利益行动时保持足够的客观性。此外,独立性在确保董事会能够行使其监督或管理的首要责任方面(而不是过分参与企业的日常管理工作)起着关键的作用。

由于采取了这些方针,许多企业已经采取行动,以确保大部分董事能够将重要的客观性和外部观点带入良好的公司治理。许多企业的大多数董事会成员是独立的,并进行良好的公司治理实践。

董事会中大部分成员应当是独立董事。独立董事是独立于管理层,不具有任何可能会大大干扰或可以合理地认为有重大干扰的关系,从而能够不受约束地进行独立判断。董事会应根据董事们披露的利益定期评估每个董事的独立性。为了能够做到这一点,每个独立董事应当向董事会报告所有相关信息。应在年度报告的公司治理部分中披露独立董事的有关情况。此外,每名董事的任期对于独立性的评估也是非常重要的。董事会应在年度报告中的公司治理部分披露每个董事的任期。独立董事的变动,也应当立即向市场披露。

(2)独立决策。所有董事都应该在决策中进行独立判断。为推动这项工作,应该制定一个为董事会提供独立的专业意见的程序。非执行董事应考虑没有管理层的情况下进行商议的好处。他们的讨论可供主席或者独立董事们参考。

企业独立决策的另一方面在于考虑相关的利益和关系时,需要考虑家庭关系和交叉董事关系,因为这有可能损害独立性,并应由董事向董事会披露。

(3)董事长的作用。董事长负责领导董事会,以便有效地组织和行使董事会的职能,并通报董事会会议中产生的所有有关董事的问题。董事长能够促进所有董事的有效贡献,并促进董事会成员之间以及董事会和管理层之间的建设性和相互尊重的关系。这意味着董事长应当同意并且在必要时制定董事会的议程,确保定期举行董事会议。董事长应当确保董事在董事会议召开前获得相关信息,使他们在进行讨论和作出决策前就能够充分了解待议事项的全部情况。

此外,董事长的角色还应扩展至配合非执行董事的丁.作,并促进执行董事与非执行董事之间建立良好的关系。董事长需要对企业领导的责任进行明确的分工。董事民和首席执行官之间的分工应经过董事会的同意,并记录在一份职责声明中。首席执行官不应该兼任同一家公司的董事长。

对于投资者及其他外部的利益相关者或委托人,董事长是公司的代表。他常为企业建立"公众形象特别是当企业必须公开为自己进行辩解的时候c与此相关的是,董事长的角色还包括与股东的沟通。这种沟通是以法定的年报形式进行的。在许多管辖权内,董事长必须每年在年度股东大会和股东特别大会上以主席声明的形式向股东致函。

(4)提名委员会的目的。特别是在大公司,提名委员会是对选拔任用符合企业需要的人才进行详细检查的有效机制。提名委员会的存在不应当被看作是分散或减少了董事会作为一个整体的责任。

(5)董事的胜任能力。如果董事会能够胜任其使命,企业的业绩将会得到提升ζ,对于董事会成员的技能、经验和专业知识的评估有利于推荐将要任命的候选人。这种评估可以识别特定的技能、经验和专业知识。提名委员会应考虑制定和实施一项计划来识别、评估和加强董事的胜任能力。提名委员会也应考虑继任计划是否有利于董事会成员的技能、经验和专业知识能够保持适当的平衡。

(6)构成和承诺。董事会的规模和构成有利于在公司整体而不是单个股东或利益集团的情况下迅速进行决策。董事会的规模应只限于鼓励有效的决策。同样重要的是,个别董事会成员在分配给他们的重要任务上面花费了必要的时间。在此背景下,应考虑所有董事的数量和性质,并要求他们承诺投入充足的精力和时间以履行其董事职责。

3.促进道德和负责任的决策

良好的公司治理最终需要诚信的人员。每个企业应该确定自己的政策,以影响董事和关键管理人员的适当行为。行为守则是一种引导董事及主要管理人员的有效方式,并能够表明对企业的道德承诺。企业可建立一套行为守则,以指导董事、首席执行宫(或相应职务)、首席财务官(或相应职务)及任何其他关键管理人员的行为。如果企业明确声明董事和关键管理人员能够遵守行为守则,投资者的信心就会得到增强。

此外,企业还可以披露董事、经理和员工对公司证券进行交易的政策。如果没有充分了解企业在这方面的政策,公众对该企业的信心就会下降。这项政策的目的是防止拥有内幕信息的人员,包括董事、首席执行官(或相应职位)、首席财务官(或相应职位)、工作人员等利用拥有内幕信息对公司证券进行交易(..内幕信息"是有关企业的财务状况、战略或行动等如果一经公开就可能会严重影响公司证券价格的信息。

企业应考虑采取适当的遵守标准和程序,以促进实施上述的政策,并建立内部审查机制,以评估遵循情况和有效性。这种审查可能涉及内部审计职能。

4.维护财务报告的诚信

这是指企业应该有一个独立的结构以核实和维护企业财务报告的诚信。它要求公司建立一个审查和授权的结构,以保证企业的财务状况得到真实可靠的披露。该结构应当包括负责审查和审计的审计委员会和一个能够确保公司的外部审计师独立性和胜任能力的程序。

特别是对大型企业而言,审计委员会可能比董事会更加有效地关注有关验证和维护公司财务报告诚信的事项。这样的结构并没有削弱董事会对于确保企业财务报告诫信的最终责任。

企业应要求首席执行官(或相应职位)和首席财务官(或相应职位),以书面形式向董事会报告,企业的财务报告在所有重大方面按照有关的会计准则真实公允地反映了该公司的财务状况和经营成果。

独立的审计委员会的存在已经被国际公认为良好公司治理的一个重要特征。如果没有审计委员会,企业就更加需要披露替代办法是如何保证财务报表的诚信和外部审计师的独立性,以及为什么没有审计委员会。

审计委员会应审查企业财务报告的诚信和监督外部审计师的独立性。审计委员会应当向董事会报告。报告应包含有关委员会的作用和责任的事项,包括评估外部报告和评估支持外部报告的管理程序,挑选、任命和轮换外部审计师的程序,对聘用和解聘外部审计师的建议,对外部审计师的表现和独立性的评估以及审计委员会是否对由外部审计师提供的非审计服务的独立性感到满意,对业绩和内部审计客观性的评估,对风险管理、内部遵循情况和控制系统的审查结果。

5.及时且公正地披露信息

所有投资者都享有平等及时地了解公司重大信息的权利,包括公司的财务状况、业绩、所有权和治理情况。企业应向投资者披露重要信息,提高他们获得董事会运营企业的信息的方便性,这被认为是一个改善公司治理的做法的主要方式。而向投资者披露重大信息的最主要方法之一就是企业的年度报告。

此外,企业可以建立书面政策和程序,以确保遵守有关条例和信息披露要求,并建立确保高级管理人员遵循政策的问责制度。还要设计审查和审批程序,以确保企业及时、准确地公开信息,不遗漏重要信息,并以一种明确客观的方式,便于投资者在作出投资决定时评估这些信息。

企业应评注他们的财务业绩,以提高报告的清晰度和平衡度。这种评注应包括投资者对企业的经营活动和结果作出明智评估所需要的信息。

6.尊重股东的权利

企业应当能够和股东有效沟通,使他们随时能够得到公司客观公正和易于理解的信息以及企业的计划,便于他们参加股东大会。为了尊重股东的权利,企业应当设计和披露向通政策,以促进和股东之间的有效沟通,并鼓励股东有效地参与股东大会。此外,公布公司的股东沟通政策也将帮助投资者获取信息。企业可以考虑如何最好地利用新技术,提供更多的机会,以便更有效地与股东沟通并解决不能亲自出席会议的股东的问题。

7..识别和管理风险

要建立一个良好的风险监督、风险管理和内部控制体系。它可以识别、评估、监督和管理风险,告知投资者企业风险状况的重大变化。这种结构可以改善环境,以识别和利用机会,创造价值。

企业应制定政策,清楚地描述了董事会和审计委员会(或其他适当的董事委员会)、管理层和内部审计部门在风险管理方面的作用和各自的责任。这些职责应包括:监督、风险介绍、风险管理、遵守和控制,以及评估风险管理体系的有效性。

(1)风险管理体系的监督。监督风险管理制度的建立和实施是董事会或相关委员会的监督作用的一部分,董事会每年至少审查一次公司实施该制度的有效性。

董事生或相关委员会在战略层面考虑风险,并确定企业对待风险的态度、方法和可以接受的风险水平。如哪些风险是可以接受的,哪些风险是无法管理的,或者哪些风险管理措施不具有成本效益。

董事会或相关委员会有的负责推动风险管理程序的执行,确保负责实施风险管理的管理层掌握了充足的资源,为企业的战略目标提供支持。还有的是确保向企业内的其他人员传达风险管理策略,并且将风险管理策略与所有其他企业活动结合起来。最后,对风险进行审核,认定和监察风险管理计划的进展。

(2)风险描述。风险描述应涉及企业所面临的重要风险。重要风险包括财务风险和非财务风险。应定期审查和更新风险描述。

(3)风险管理、遵循和控制。管理部门应制定和执行识别、评估、监测和管理整个企业中重大风险的系统。这个系统将包括企业内部遵守和控制系统。

(4)评估有效性。企业需要对关于风险管理、内部遵守和控制系统的有效性及其执行情况进行分析。这通常属于内部审计的职责,也可以根据企业的规模、复杂程度和风险的类型来选择替代的机制。

8.鼓励建立内部审计部门

审计委员会应当向董事会就任免内部审计管理人员提供建议。内部审计部门应独立与外部审计师。

内部审计部门应和管理层进行必要沟通,并具有从管理层获得信息和解释的权利。审计委员会应具有监督内部审计的范围的权利和管理层不在场的情况下了解内部审计职能的权利。为了提高内部审计部门的客观性和业绩,内部审计部门应该直接向董事会或者审计委员会负责。

9.鼓励提升业绩

董事和主要管理人员应具备有关的知识和信息,他们必须有效地履行职责,而且个人和集体的业绩也需要进行定期和公平地审查。董事会和主要管理人员的业绩应定期通过可计量和定性的指标进行审查。提名委员会应负责评估董事会的业绩。

企业应实施岗前培训计划,让新的董事会成员尽早充分参与决策。新董事在非常熟悉企业及所在行业之后才能发挥效用。岗前培训i十划中应当使董事了解有关公司的财务、战略、业务和风险管理立场,他们的权利、义务和责任,以及各个董事委员会的作用。提名委员会应负责确保有效的岗前培训,并应定期审查其有效性。

10.公平的薪酬和责任

应当保证薪酬具有充分合理的水平和结构,及其同公司和个人绩效的关系。这意味着,企业必须采取能够吸引和挽留人才、激励董事及员工的薪酬政策,以促进公司业绩的提高。业绩和薪酬之间具有明确的关系非常重要,同时投资者应能够理解管理层的薪酬。

披露企业的薪酬政策,以使投资者了解(1)这些政策的成本和收益;

(2)董事和主要管理人员的薪酬向企业业绩之间的关系。披露薪酬政策是薪酬报告的基本要求。维护股东和市场的利益要求管理层薪酬和其成本效益具有一个透明的易理解的框架。薪酬政策的透明度应当表现为充分有效的披露。

11.确认利益相关者的合法权益

企业对于非股东的利益相关者,如员工、客户或顾客和社会整体具有很多法律和其他义务。人们越来越接受这样一个观点,即企业可以通过管理自然、人文、社会和其他形式的资本来更好地创造价值。这种情况下,企业对其经营行为中责任的承诺就非常重要。

12.履行法律义务

企业是按照法律规定来从事经营活动的。这些规定包括贸易惯例和公平交易的法律,保护消费者权益、尊重隐私、劳动合同、职业健康和安全、平等就业机会、退休金、环境保护和污染控制等方面的法律。

除了需要有效地管理风险和支持企业履行其法律义务,提高企业声誉也是一个普遍关注的问题。在这一方面,向企业经营区域的管辖政府和社区进行咨询是非常重要的。企业应该建立一项制度,用于确保遵守行为准则和处理投诉。在制订和实施这项制度时,需要考虑有关涉及诽谤和隐私权的法律。

(二)有效的公司治理制度

有效的公司治理要求董事会把工作重点放在全面地监督和公司的管理上来,井且不必参与公司的日常运作。这样,董事会能够对于企业组织结构保持一个综合和比较客观的角度,不仅使得股东获利,而且企业整体也会受益。

建立一个有效的公司治理制度,将有助于建立健康和充满活力的资本市场。以下是建立一个有效的公司治理制度时需要考虑的因素:

1.人员比过程更重要

这一点是最关键的,也是最难实现的。近年美国和欧洲公司破产的教训证明,如果企业中的经营人员没有适当的独立性、没有适合的专业性以及没有充分发挥非执行董事的重要作用,任何一种企业结构都不能保证成功。

企业应对非执行董事在公司中所起的作用有充分的了解,非执行董事的职责可以分为四种不同的角色,即战略角色、监督或绩效角色、风险角色和人事管理角色。

(1)战略角色。战略角色是指非执行董事是董事会的正式成员,因此有权利也有责任为企业的战略成功作出贡献,从而保护股东的利益。企业中管理层必须具有清晰的战略方向,而非执行董事应当利用他们从生活阅历,特别是商业经历中得出的大量经验,来确保已选定的战略是稳健的。就该角色而言,在他们认为合适的情况下,可能会对战略的任何方面提出挑战,并提供建议帮助制定成功的战略。

(2)监督或绩效角色。非执行董事应当使执行董事对巳制定的决策和企业业绩承担责任。在这方面,他们应当代表股东的利益,并致力于消除因代理问题使股东价值降低的可能性。

(3)风险角色。风险角色是指非执行董事应当确保企业设有充分的内部控制系统和风险管理系统。从成文的守则中(如英国特恩布尔委员会发布的《综合守则~),常常可以了解到内部控制等相关内容,但是其他行业,比如化工行业,应当设立其他系统,而且其中的某些系统应符合国际标准化组织(ISO)的标准。就该角色而言,非执行董事应当确信财务信息是完整的,而财务控制与风险管理系统是健全的且具有抵御风险的作用。

(4)人事管理角色。人事管理角色是指非执行董事应对董事会执行成员管理的有关责任进行监督。这一般涉及人员任命和薪酬问题,也可能包括合同或纪律方面的问题及接班人计划。

英国政府对于非执行董事作用的一项最新的调查表明了问题所在。大多数公司在选择非执行董事时,并未考虑他们的胜任能力。他们可能是董事长的朋友,可能毕业于名牌大学或学院,或者仅仅因为他们符合董事会对于董事会成员组成的需求。往往在选用非执行董事时并未要求其具备某些技能和经验,了解企业,特别是了解企业的财务状况。

有时候任命的非执行董事就像瓷器花瓶一样,他们没有为企业投入必要的时间和精力。尤其是当公司经营陷入困境,无论是战略、财务还是管理方面的困境,而这正是最需要大量的非执行董事投入时间解决这些问题的时候。

当公司在从事极其复杂的金融交易时,审计委员会所需的技能就尤为重要。安然案件就是一个警示的例子。在英国,尤其是在金融部门,有些企业决定挑选具有专业背景的人员来组成审计委员会,并在某些情况下,确保他们每周要工作2-3天。然而,更专业的审计委员会,并不能够解决整个董事会对于确认主要金融交易的要求。审计委员会往往向后看,而董事会必须向前看。

2.股东的责任

另一个问题是,股东的问责机制并非总是有效的。部分原因是因为股东只能在股东大会中行使投票权,而在公司日常工作中的重要决议中没有投票权,总的来说在危机来临之前是完全被动的。

事实上,建立一个真正强有力的公司治理制度,要求股东必须接受他们的责任,积极参与股东大会,并在股东大会中提问及投票。如果股东(无论是个人或机构)对于公司治理没有兴趣,非执行董事有效地履行其作为股东监护人的职能就非常困难。股东不应该放弃自己对于董事会的责任。公司需要积极的股东,并昕取他们的意见,否则他们就会对公司治理中的问题视而不见。

3.外部审计必须是独立的

人们也越来越多地认为,必须寻找办法保证审计师的独立性。重要的是,保持独立性就不能为审计客户提供某些可以影响其独立性的非审计服务,然而这不一定意味着审计师不能从事任何非审计工作。

在某些情况下,也可能出现审计师忘记了其作为股东代理人的基本职能,并忽略了自身在公众利益方面的作用。如果投资者不能相信审计的首要责任是审计师的专业标准和市场诚信,那么他们将失去对金融市场的信心。而且失去信心将反映在股票价格下降和资本成本增加上来。因此,在审计监督方面的额外投资,甚至花费更多的审计直接成本,是完全值得的。

4.披露和透明度对市场诚信是至关重要的

公司治理的方法之一就是适量披露信息。由于对公司治理发展的关注,除了企业自身积累汇总了一系列的行为守则外,监管机构亦颁布了公司治理守则。

主要的原则是企业应披露其年度报告和账目是否符合这些良好治理的守则,如果出于一些理由,他们未能在每个方面都符合守则,则应当进行说明井解释原因。

二、公司治理报告和披露

一个强有力的披露制度是以市场为基础的监督企业行为的关键特征,是股东有效行使其表决权能力的先决条件。拥有规模庞大且交易活跃的股票市场的国家的经验表明,披露可能是影响企业行为也是保护投资者的强大工具。

一个强有力的披露制度能够帮助吸引资本和保持资本市场的信心。股东及潜在投资者需要获得充分详细的持续、可靠和可比的资料,以评估管理层的领导能力和对估值、所有权和投票权作出明智决策的能力。不足或不明确的信息可能会妨碍市场的功能,增加资本戚本和导致错误的资源分配。

披露应当有助于提高公众理解企业的结构和行为、企业的环境政策和业绩以及道德标准和他们在社区中的关系。法定和监管要求的公司治理框架应当确保及时准确地披露公司的有关事项,包括其财务状况、业绩、所有权和治理。

信息披露应当包括但不限于企业财务和经营成果、企业目标、所有权结构和投票权、董事会成员和关键管理人员及其薪酬、重要可预见的风险因素、员工及其他股东有关的重要事项以及治理结构和政策等方面的重要信息。此外,良好的公司治理披露通常还包括超过最低法定或者监管要求的自愿性披露。

加强公司治理披露,可以通过下列途径实现:

1. 为了告知股东公司治理结构、政策和执行的力度,应当要求上市公司在其年度报告中提供一份公司治理的声明。这份有关公司治理的声明应当在年度报告中单独列报,井给予和董事报告同样的重视。

2. 为了提高董事薪酬的可比性和透明度,尤其是薪酬与企业的业绩的关联程度,应当在"绩效基础"和"非绩效基础"之间分析董事的薪酬,并披露有关董事股票期权的资料。

















第八章内部控制
献花(0)
+1
(本文系黔正图书首藏)