COSO 内部控制框架
2007-11-16 15:30
一、背景介绍
内部控制是什么?不同的人有不同的理解。 一般的人把内部
控制理解为组织为了减少决策失误和工作缺陷而实施的控制,
这些控制可能是内部监督、也可能是管理手册、规章制度等。
这种理解没有错,但不全面。按照现代的内控理论,这些仅
仅是内部控制的一部分,而不是全部。现代内控理论认为,
内部控制是一个系统化的框架,它建立在风险管理的基础上,
包括内控环境、风险分析、内控活动、信息与沟通、监督五
大要素。
(一)COSO 内部控制框架的产生和发展过程
内部控制理论的发展是一个逐步演变的过程,大致可以区分
为内部牵制、内部控制制度、内部控制结构与内部控制整体
框架四个阶段。在内部牵制阶段,账目间的相互核对是内控
的主要内容,设定岗位分离是内控的主要方式,这在早期被
认为是确保所有账目正确无误的一种理想控制方法;在内部
控制制度阶段,内部控制的重点是建立健全规章制度;在内
部控制结构阶段,内部控制被认为是为合理保证企业特定目
标的实现而建立的各种政策和程序,分为内控环境、会计制
度和控制程序三个方面;内部控制整体框架阶段,就是我们
下面将要讨论的 COSO 内部控制框架。
在美国,20 世纪 70 年代中期,与内部控制有关的活动大部
分集中在制度的设计和审计方面,重在改进内部控制制度和
方法。1973 年至 1976 年对水门事件(美国公司进行违法的
国内捐款和贿赂外国政府官员)的调查使得立法机关与行政
机关开始注意到内部控制问题。针对调查的结果,美国国会
于 1979 年通过了《反国外贿赂法》(简称 FCPA)。FCPA
除了规定了关于反贿赂的条款外,还规定了与会计及内部控
制有关的条款。因此美国许多机构都加强了对内部控制的研
究并提出许多建议。1985 年,由美国注册会计师协会、会计
协会、财务主管协会、内部审计师协会、管理会计师协会联
合创建了反虚假财务报告委员会,该委员会旨在探讨财务报
告中的舞弊产生的原因,并寻找解决措施。两年后,该委员
会提出了很多有价值的建议。基于该委员会的建议,其赞助
机构成立 COSO 委员会,专门研究内部控制问题。1992 年 9
月,COSO 委员会提出了报告《内部控制——整体框架》
(1994 年进行了增补), 即 COSO 内部控制框架。
COSO 内控框架的提出标志着内部控制理论发展到新的阶段,
对企业完善和优化内部控制、增强风险防范能力具有十分重
要的意义。COSO 内部控制框架之所以被广泛地选择作为构
建和完善内部控制体系的标准,是因为:虽然 COSO 内部控
制框架并非唯一的内部控制框架,但却是美国证券交易委员
会唯一推荐使用的内部控制框架,《萨班斯法案》第 404 条
款的「最终细则」也明确表明 COSO 内部控制框架可以作为
评估企业内部控制的标准。股份公司作为纽约证交所上市公
司,需要按照法案要求,引进 COSO 内部控制框架,整合现
有内部控制,满足法案的要求。同时,对股份公司来说,这
也是梳理管理流程、规范管理、提升整体管理水平的契机。
COSO 内部控制框架是一个较为理想的框架,几乎所有公司
的内部控制均与之有一定差距,美国各大公司也正在为此而
努力,虽然这必然加大企业负担,但多数公司同股份公司一
样,希望通过理解和贯彻 COSO 内部控制框架要求,来实现
提升管理水平的目的。
(二)XXX 目前的内部控制体系与 COSO 内部控制框架的
差距
目前,股份公司通过多年的管理实践和积累,已经建立了一
套针对 XX 行业的行之有效的内控体系,但与 COSO 内部控
制框架的要求相比还存在一些距离。这些差距主要体现在:
内部控制体系的整体框架、内控环境、风险评估等理念尚未
被广泛接受、内部控制的文档记录还不够系统规范、缺乏自
我评估机制等。 “他山之石,可以攻玉”,COSO 内控框架对
于我们加强企业内部控制具有一定的启发和借鉴意义。为此,
我们需要认真学习 COSO 内部控制框架理论,充分认识和理
解 COSO 内部控制框架,并在实际经营管理中积极实践,大
力贯彻和实施,从而优化内部控制,完善内控体系,全面提
升公司管理水平。
二、COSO 内部控制框架下内控制度定义
(一)COSO 内控框架对内部控制的定义
COSO 内部控制框架认为,内部控制是受企业董事会、管理
层和其他人员影响,为经营的效率效果、财务报告的可靠性、
相关法规的遵循性等目标的实现而提供合理保证的过程。
(二)对内部控制定义的理解
应该从以下几个方面理解内部控制的定义:
第一,内部控制是一个“过程”,而且是一个动态的过程。企
业的经营活动是永不停止的,企业的内部控制过程也因此不
会停止,它是一个发现问题、解决问题、发现新问题、解决
新问题的循环往复的过程。内部控制应该与企业的经营管理
过程相结合,而不是凌驾于企业的基本活动之上,它促使经
营达到预期的效果,并监督企业经营过程的持续有效进行。
第二,内部控制受到“人”的因素的影响,它并不仅仅是政策
手册和表格,不仅仅是管理人员、内部审计或董事会,而是
组织中的每一个人,每一个人都对内部控制负有责任并受到
内部控制的影响;是“人”建立企业的目标,并将控制机制赋
予实施。确立这种观念有利于企业的所有员工明确自己的责
任和权限,主动地维护及改善企业的内部控制。
第三,内部控制无论设计和运行得多么完善,也只能为企业
的管理层和董事会提供合理的保证,而不是绝对保证,因为
内部控制本身具有局限性。
最后,内控框架将内部控制目标分为三类:与营运有关的目
标—即经营的效率与效果、与财务报告有关的目标—即财务
报告的可靠性、以及与法规的遵循性有关的目标。上述分类
让我们专注于内部控制的各个方面,这些相互有别,相互交
叉的分类满足不同的需要,并且表明了不同的执行人员的直
接责任。
(三) COSO 内部控制框架的组成要素
COSO 内部控制框架认为,内部控制系统是由内控环境、风
险评估、内控活动、信息与沟通、监督五要素组成,它们取
决于管理层经营企业的方式,并融入管理过程本身,其相互
关系可以用下面模型表示。
内控环境——内控环境是企业的基调、氛围,直接影响企
业员工的控制意识。内控环境要素是推动企业发展的发动机,
也是其他一切要素的核心,包括员工的诚信、职业道德和工
作胜任能力;管理层的经营理念和经营风格;董事会或审计
委员会的监管和指导力度;企业的权责分配方法和人力资源
政策。可以说人及其人进行的活动是任何企业的核心,是构
成内控环境的重要要素,又与环境相互影响、相互作用。
风险评估——风险评估是识别、分析相关风险以实现既定
目标,是风险管理的基础。每个企业都面临着诸多来自内部
和外部的风险,影响企业既定目标的实现。因此必须设立一
个机制来识别、分析和管理影响目标实现的相关风险,并适
时加以管理。
内控活动——内控活动指那些有助于管理层决策顺利实施
的政策和程序,是针对风险采取的控制措施。它们包括诸如
批准、授权、查证、核对、复核经营业绩、资产保护和职责
分工等活动。
信息与沟通——是指企业经营管理所需信息必须被识别、
获得并以一定形式及时传递,以便员工履行职责。信息不仅
包括内部产生的信息,还包括与企业经营决策和对外报告相
关的外部信息。畅通的沟通渠道和机制使企业的员工能及时
取得他们在执行、管理和控制企业经营过程中所需的信息,
并交换这些信息。
监督——是对内部控制系统有效性进行评估的过程,可以
通过持续 性监督、独立评估或两者的结合来实现对内控系统
的监督。
内控体系五要素之间的关系我们可以理解为:企业的核心是
人,人的诚信、道德价值观和胜任能力构成了企业的内控环
境,这是企业发展的基础。每个企业都有自己的发展目标,
为了目标的实现,必须分析影响因素,即进行风险评估。针
对风险评估的结果需要采取相应的内控活动来控制和减少风
险。同时与内控环境、风险评估和内控活动相关的信息应及
时被获取、加工整理,并在企业内部传递,这就是信息与沟
通,信息与沟通系统围绕在内控活动周围,反映企业各项管
理活动的运转情况。为了保证内控体系的正常运转,还需要
对整个内控过程进行监督。
内部控制五要素之间的配合和联系,组成了一个完整的系统,
可以灵活地随条件变化而变化。但各要素之间并非是一项要
素影响下一项要素的顺序过程,任一要素都可以影响其他要
素,例如对风险的评估不仅仅影响内控活动,还可能影响信
息和沟通、监督行为等。
COSO 内部控制框架适用于各类企业,但是中小企业对其应
用可能不同于大型企业,中小企业的内部控制可能不及大型
企业正式、组织性强,但也可以是有效的。对此,本次培训
以大型公司为例,未考虑中小公司的差异。
三、COSO 内部控制框架五要素
(一)内控环境
内控环境是其他控制要素的基础。内控环境因素包括:员工
的诚信和道德价值观;员工的胜任能力;董事会和审计委员
会;管理层的经营理念和经营风格;组织结构;管理层授权
和职责分工、人力资源政策和措施。下面讨论各项因素的具
体内容。
1、员工的诚信和道德价值观
内部控制是由人建立、执行和维护的,人是内部控制有效运
行的根本因素。人的道德价值观影响着人的行为。企业员工
具有良好的道德标准并形成良好的道德氛围,对控制系统的
有效运行非常重要,也有助于防范那些内控系统难以控制的
行为。
员工的诚信和道德价值观是指员工行为的准则,是告诉员工
什么行为可接受、什么行为不可接受、以及遇到不正当行为
应该采取的行动。主要包括以下内容:
1) 利益冲突 每一个员工都有责任将公司利益放在第一位,
避免私人利益与公司利益的冲突。
2) 合法性 公司要承诺在进行业务时是抱着诚实和诚信原
则,并遵循所有适用的法律和规章制度。
3) 及时向指定人员报告或检举揭发违规事项 员工有义务
对所发现的关于会计、内部控制或审计等的违反法律、规章
制度或行为准则的问题,向道德规范委员会报告,或向披露
委员会或审计委员会汇报。发现任何高级管理人员违反法律、
规章制度或行为准则,应迅速向道德规范委员会等相关机构
报告。对检举人应当建立保密制度,包括匿名保护。
4) 遵守道德准则的责任 明确员工必须遵守道德准则。对
违反准则的人员建立惩罚机制,甚至解雇或免职。
5) 公司机遇 禁止员工通过利用公司财产、信息或职位为
自己或其他人牟取商业机遇。
6) 保密 机密信息是一间公司最重要的资产之一。公司建
立相应政策保护机密信息,包括(a)属于公司商业性机密信
息(b)属于非披露协议下信息。每一个员工在入职后应执行
保密协议和保护公司知识产权。员工即使在终止雇佣之后,
仍然有义务保护公司的机密信息。
7) 公平交易 每一个员工都应该努力去公平对待顾客、供
应商、竞争者、公众,并遵循商业道德规范。为了获得或维
持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业
务相关,偶尔赠送非政府雇员的价值较低的商业礼物的做法
是可以接受的。但未得到道德委员会事先批准的情况下,赠
送礼物或款待政府雇员是不允许的。员工代表公司购买商品
应遵循公司的采购政策。
8) 公司资产的保护及恰当使用 每一个员工必须保护公司
资产,包括实物资源、资产、所有权、机密信息,排除损失、
失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经
理或法律部门。 公司资产必须用于公司业务,符合公司政策。
9) 全面、公正、正确、及时地理解财务报告及其披露事项
因为公司必须提供完整、公正、及时和可理解的披露报告及
文件,并存档或呈交给证监会以及公共传媒,所以每一个员
工都有责任保证会计记录的准确性。管理层必须建立和保持
适当的内控,遵循公司已有的会计准则和流程,保证交易记
录的完整和准确。禁止干扰或不正当的影响公司财务报表审
计。要求证实会计记录和报表受控,能够保证准确性,包括
提供给审计和定期向证监会报告的义务。
对于企业来说,首要的工作是建立一套员工能够接受和理解
的诚信和道德标准,如道德行为手册;其次是必须让员工知
晓和理解这些规定(例如:要求所有员工定期签字确认),
这是执行的前提条件;最后就是贯彻执行。在公司内传递道
德标准的最有效方式是管理层以身作则,员工对于内控的态
度通常会效仿他们的领导。另外,对违反准则的员工应予以
相应惩罚;建立鼓励员工揭发违规行为的机制;以及对未能
汇报违规行为员工的教育培训都具有特别重要的意义。
员工个人可能由于下列因素而卷入不诚实、非法或不道德的
行为:
不切实际的业绩目标,特别是短期业绩的压力(例如:为
了实现预先设定的利润指标而在财务报告中虚报收入)
将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关
的财务信息)
内控制度不存在或无效(例如:敏感业务区域未设立严格
的职责分工,这为偷窃公司资产或隐藏不良行为提供了可
能)。
组织高度分散,可能导致高层管理人员不清楚基层的行为,
缺少必要的监管,因此,减少了基层舞弊被发现的机会。
内部审计职能薄弱,没有及时发现和报告不正确的行为。
董事会缺少对高层管理人员的客观监管,可能导致管理人员
凌驾于内控制度。
管理层对不正确行为的惩罚力度不够或不公开,从而失去
了应有的威慑力。
2、胜任能力
胜任能力是要求员工具备完成工作任务所需的知识和技能,
目的是保证员工能够正确理解相关规定、及时恰当分析和处
理业务,这是维护内部控制有效性的必备条件。
为此,管理层需要设定工作岗位的知识和技能水平要求,在
招聘、选用员工时作为评选的标准或条件。在设定工作所需
知识和技能时,一方面要根据工作的性质和所需的职业判断,
考虑能力需求,另一方面还应考虑人力资源成本即薪酬(例
如:没有必要雇佣一名电子工程师来换一只灯泡)。
3、董事会和审计委员会
董事会或审计委员会的职能是实施治理、指导和监督管理层
的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾
于控制之上,甚至故意歪曲结果,因此董事会或审计委员会
监督作用对确保内部控制的有效性十分重要,董事会或审计
委员会作用的发挥,必须具备以下条件:一是要独立于管理
层,不受其影响;二是具有足够知识、行业经验和时间,以
便于履行职责;三能够与财务、法律、内部审计和外部审计
及时沟通,得到适当信息;四是能够控制高级管理人员的薪
酬,有权聘用和解聘高级管理人员。
补充说明一点,股份公司的治理结构与国外有所不同,股份
公司设置监事会,其职能类似于国外审计委员会的职能,所
以股份公司的董事会、审计委员会和监事会都需要符合上述
条件。
4、管理层的经营理念和经营风格
管理层的经营理念和经营风格影响企业的管理方式,包括面
对各种风险的态度。管理层的经营理念和经营风格形成了企
业文化,它既是一切业务实现的基础,也为内部控制的实施
提供了平台。它往往是企业内部一种无形的力量,影响企业
成员的思维方法和行为方式,包括企业承受营业风险的种类、
整个企业的管理方式、企业管理阶层对法规的反应、对企业
财务的重视程度以及对人力资源的政策及看法等。它们都深
深地影响着内部控制的成效。例如,有些公司管理层的经营
理念和风格较为激进,愿意承担更高的风险以追求更高的盈
利回报;而有些公司的管理层则比较保守,在风险承担方面
表现得较为谨慎。可以看出,不同的经营理念和风格决定了
管理层在承担风险方面采取不同的态度和做出不同的决策。
以销售信贷政策为例,对风险承受力高的公司相比承受力低
的公司,其设定的信用销售额度更高,以期望通过更优惠的
政策吸引和保留客户,而获得更高的销售额。管理层的经营
理念和经营风格还表现在:管理层对财务报告的态度,在会
计政策选择方面是否谨慎,进行会计估计时是否遵循审慎性
原则,对待数据处理、会计职能及人事管理等方面的态度等
等。
5、组织结构
组织结构是权责分工的架构,在此架构中规划、执行、控制
和监督为实现企业目标而进行的活动,每个企业都可根据自
己的需要确定组织结构,可以是集权型,也可以是分权型,
可以是直接的报告关系,也可以是矩阵型组织结构,可以按
产品或行业组织,也可以按地理分布或功能组织,但不论何
种组织结构,应根据公司的业务性质,进行适当的集中或分
散,确保信息的上传、下达和在各业务间的流动,确保企业
目标的实现。
6、管理层授权和职责分工
权力和责任分配是指对员工进行授权和分配责任,将企业的
目标层层分解落实到每个员工的头上,从而将员工的行为与
企业目标联系起来,增强员工的自主控制意识。权力与责任
分配的关键是权力与责任的对等。
7、人力资源政策和措施
人力资源政策和措施是关于员工聘用、培训、考核、进升、
薪酬等方面的政策和程序,目的是聘用和维持有能力的人员,
保证公司的计划得以实施,目标得以实现。因此,人力资源
政策和措施应考虑如何招聘进来有能力、可信任的人员,如
何进行相关培训使员工意识到他们的工作职责和公司对他们
的要求,如何通过考核、薪酬、提升等政策激励约束员工。
(二)风险评估
1、风险及风险评估的定义
风险是任何影响目标实现的因素,所有企业,无论规模、结构
和行业性质,都面临着风险,可以说有经营就有风险。风险
有来自企业内部的,也有来自企业外部。
为了加强对风险的控制,必须进行风险评估,风险评估是指
对相关风险进行识别和分析,是发现和分析那些影响目标实
现的风险的过程,是确定如何管理和控制风险的基础。风险
评估的前提条件是设立目标,只有先确立了目标,管理层才
能针对目标确定风险并采取必要的行动来管理风险。
企业的目标可以分为公司层面目标和业务活动层面目标,公
司层面目标是指公司的总目标和相关战略计划,与高层次资
源的分配和优先利用相关。业务活动层面的目标是总目标的
子目标,是针对企业业务活动的更加专门化的目标。业务活
动层面的目标应该清楚,易于理解,以便从事该操作的人能
实现其目标,同时还必须是可衡量的,以便于考核。
实现目标需要耗费资源,因此设立目标必须考虑可获得的资
源,企业应该对目标进行分析,提醒自己找出与总目标不相
关的操作目标,以免资源浪费,而对实现总目标至关重要的
操作目标,则优先安排资源。
2、如何进行风险评估
1)风险识别
风险评估的过程首先是进行风险识别,风险识别需要考虑所
有可能发生的风险,并且需要考虑企业和相关外界之间的所
有重大相互影响。风险识别也是一个重复的过程,需要针对
环境的变化持续进行。导致企业经营风险的因素包括内部和
外部两个方面:
外部因素包括:
技术发展——影响研发的性质和时机,或带来采购的变化。
(例如:出现新的、更高效的油气开采技术,未掌握相关技
术的公司会导致市场竞争力降低,进而影响经营目标的实现)
不断变化的客户需求和期望——影响产品开发、定价。
(例如:纳米技术的应用,客户对产品的期望改变;)
竞争——影响营销和服务活动(例如:WTO 导致更多具
有较高竞争力国外公司进入中国市场)。
新的法律和法规——影响经营政策和策略(例如:萨班斯
法案)。
自然灾害——造成损失。
经济形势的变化等——影响融资、资本支出和扩张决策。
内部因素包括:
信息系统运行的中断——影响经营运转。
雇员的素质和培训、激励的方法——影响控制理念。
管理层职责的改变——影响某些实施控制的方式。
企业经营活动的性质、员工对资产的接触途径——产生挪
用。
董事会或审计委员会无法有效履行其职责——可能为管理
层轻率的行为提供机会。
2)风险分析
识别风险后,需要进行风险分析,分析的内容主要有:
估计风险的重要性程度;
评估风险发生的可能性(或频率、概率);
考虑如何管理风险——即评估需要采取何种措施
针对风险分析的结果而采取的控制活动,管理层应仔细考虑
现有内控程序对于已识别的风险是否合适。如果现有程序可
能已经足够或只需要执行得更好,那么就不必制定附加程序。
管理层还应认识到,总会存在一些残留风险的可能性,不仅
因为资源总是有限的,还因为每个内控系统都有内在局限性。
因此,管理层的一项重要工作是权衡利弊,确定能够谨慎地
接受多少风险,并尽力将风险控制在可接受的水平内。
3)应对变化
经济形势、行业和法规环境不断改变,企业业务活动不断发
展。在一个环境下有效的内部控制在另一环境下未必有效。
风险评估的本质就是一个识别变化的环境并采取相应行动的
过程,风险评估应持续地进行, 并且应特别关注下面的情形:
变化的经营环境——变化的法律或经济环境可能导致竞争
压力的增加和显著不同的风险。
新的人员——新来的高层管理人员的经营风格与原先的不
同。
新的或经修订的信息系统——能否正常运行。
经营的快速增长——当经营快速扩张,现有制度的局限可
能导致控制失效;当程序变动或新人员增加时,现有的监督
可能就不能保持充分的控制。
新技术——新技术被运用到生产流程或信息系统中,内部
控制就很可能需要修改。
新业务、产品、活动——当企业进入新的商业领域或从事
不熟悉的交易时,现有的控制可能就不充分了。
公司重组——公司因为收购、合并或者业务下滑、成本控
制等原因进行结构重组。重组可能导致内部裁员,职责分工
的合并,或者,原来的一个重要控制岗位被取消,却没有相
应的替代控制出现。很多公司重组后大量削减人员,就碰到
了严重的控制缺陷。
海外经营——海外经营的扩张或收购带来了新的和独特的
风险。例如,内控环境可能受到当地管理层文化和风俗的影
响。另外,当地经济和法律环境可能带来独特的风险因素。
(三) 内控活动
内控活动是指为确保管理层指示得以执行的政策和程序。它
有助于进行风险管理和保证企业目标的实现,内控活动贯穿
于企业的所有层次和部门。它们包括一系列不同的活动,如
审批、授权、确认、核对、审核经营业绩、资产保护以及职
责分工等。
1、内控活动类型:
控制活动可以有不同的描述方式:
针对企业的不同目标,控制活动可以分为以下三个类型:即
为提高经营效率效果、增强财务报告的可靠性、遵守法规等
目标的三类控制活动;
根据控制活动的不同作用,控制活动又可以分为:预防性控
制、检查性控制、指导性控制、纠错性控制、补偿性控制等
五种类型;
根据组织中实施人员的不同,控制活动也可以分为:高层复
核、指导并管理业务活动、信息处理、实物控制、业绩指标
分析、职责分离等。
高层复核——管理层将实际业绩情况和预算相比较,将当
期业绩和前期相比较,将本企业的业绩情况与竞争对手相比
较,对企业主要行为进行追踪,以衡量目标实现的程度。
指导并管理业务活动——负责整个板块生产的领导,分地
区公司、分产品类别等内容审阅生产业绩报告,对照经营目
标,分析其中反映出的生产管理方面的问题,并指出需要改
进的方向。
信息处理——这类控制被用于核对交易的准确性、完整性
和遵循性。如:系统对数据录入设定编辑复核功能,并对数
据修改实行系统性控制;客户订单,只有与经批准的客户文
件和信用额度相符,才能被接受;交易应按连的编号记账;
系统管理员对例外事项报告进行跟踪调查,必要时向主管领
导报告。
资产保护即实物控制——对设备、存货、证券、现金及其
他资产实物采取保管措施,并定期进行盘点和帐实核对。
业绩指标分析——采购部门的员工分析采购价格变动、紧
急采购订单占全部订单的比率、退货订单占全部订单的比率,
通过调查异常的结果和异常的变动趋势,关注那些可能影响
目标实现的问题,并提出改进方案。
职责分离——职责在不同人员之间的分工或分离,可以降
低发生错误或不当行为的可能性。例如,交易的授权、记录
和处理相关资产的职责应予以分离;授权赊销的经理应不负
责应收账款的记录或现金收入的处理。
2、控制活动的要素— 政策和程序
控制活动一般包含两个要素,即:第一个要素,政策—它描
述应该做什么,第二个要素,程序—它描述应该怎样做;政
策是程序的基础,同时,程序又影响政策的执行。例如,政
策要求,应该由专人定期进行存货盘点,程序即盘点本身,
其实施的频率、关注的要点、存货的性质、数量等等。
3、控制活动应和风险评估相结合
管理层在进行风险评估的同时,应该针对该特定风险找出并
实施有效的措施,这些针对某项特定风险的具体措施也就是
建立控制活动的要素,它有助于保证控制活动得以及时、有
效地实施。
4、信息系统的控制
随着信息技术的发展,大多数企业,包括小公司或大公司的
部门,都引进、建立和运用了现代化信息处理系统,现代化
的信息系统不仅提高了企业的工作效率,而且也改变企业的
经营方式和方法,甚至影响企业的战略规划,因此信息系统
的控制十分重要。
信息系统内控活动可分为两大类。第一类是一般性控制——
适用多数应用系统并协助确保其持续、正确地运行, 包括对
数据中心操作、系统软件的购买和维护、数据的安全、以及
应用系统开发和维护的控制。第二类是应用性控制,包括应
用软件中的电算化步骤,以及用以控制不同种类交易处理过
程的相关手工操作程序,它是保证交易处理的完整性、准确
性、交易授权和有效性的内部控制。例如,公司的销售政策
规定给予金额在 20 万以上订单以 8 折优惠;系统根据事先的
设定,对于 20 万以上的订单自动给予 20%的折扣优惠,而对
于 20 万以下订单仅允许全价销售。
这两类对计算机系统的控制是相互关联的。一般性控制用于
保证建立在计算机程序基础上的应用性控制得以实施。
(四)信息和沟通
信息和沟通是指相关信息以某种形式并在某个时段被识别、
获得和沟通,以促使员工履行自己的职责。这里所说的信息
是指来源于企业内部及外部,与企业经营相关的财务及非财
务的信息。信息必须在一定的时限内传递给需要的人,以帮
助人们行使各自的控制和其它职能。沟通则是指信息在企业
内部各层次、各部门,在企业与顾客、供应商、监管者和股
东等外部环境之间的流动。
有效的沟通必须广泛的进行,自上而下、自下而上地贯穿整
个组织。所有人员都要从高级管理层获得明确的信息:必须
认真对待控制责任。他们必须了解各自在内部控制体系中担
任的角色,以及个人行为与他人工作的相互关系。他们必须
有自下而上传递重要信息的渠道和方法。同时,也要顾客、
供应商、监管者和股东等外部人员建立有效的沟通。
1、信息
企业的管理活动依赖于各种信息,既包括内部生成的信息,
也包括从外部获取的行业、经济、监管等方面的信息。因此,
企业必需要建立良好的信息系统来识别、获得、加工和报告
这些信息。有效的信息系统不仅能够识别和获得所需要的财
务和非财务的信息,还能够在一定时限内根据需要加工和报
告这些信息。另外,当企业面临基本的行业变化,面临有高
度创新能力反应迅捷的竞争对手或面对重大的顾客需求变化
时,信息系统必须随企业目标、经营环境的变化而变化,及
时适应新的需求。
1)信息的识别和获取
信息的识别和获取的方式是多种多样的:信息系统可以采取
监控方式,定期获取特定的数据;或者,可以采取某些特定
的方式获取所需信息,如通过问卷、采访、广泛的市场需求
调研或针对特定群体的调查获得顾客对产品和服务的需求信
息;通过与顾客、供应商、监管者以及员工的谈话获得识别
风险和机遇所必需的重要信息;参加专业或行业的研讨会也
可以获得有价值的信息。
2)信息加工和报告
信息是决策的基础,但并非所有的信息都是有用的信息,因
此,需要对信息进行加工整理,归纳汇总,根据需要向不同
的部门和人员报告不同的信息。为了提高信息的质量,需要
考虑:
•内容是否适当——它是所需要的信息吗?
•信息是否及时——当我们需要时就能获得吗?
•信息是当前的吗?——是我们能获得的最新的信息吗?
•信息是否准确——数据都准确吗?
•信息是否畅通——相应的部门能容易地获得信息吗?
在设计系统时必须考虑以上问题。如果不考虑,系统很可能
无法提供管理层和其它人员需要的有用信息。
3)信息系统的整合
信息系统是经营行为的一个组成部分,它通过获取决策所需
的信息来影响控制,随着信息技术的发展,信息系统可以更
迅速、更广泛提供更有价值的信息,对企业的管理影响更加
深远,甚至影响到企业的战略规划,一项最新发布的研究表
明,信息系统的规划、设计和应用已经开始同组织的整体战
略整合在一起。多数新的生产系统与企业其它的系统,可能
还包括企业的财务系统,高度地整合为一体。当系统执行其
它的运行时,财务数据和会计记录会自动更新。
2、沟通
沟通是信息系统固有的,是将信息提供给相关人员,以便与
其履行职责,沟通必须贯穿于信息处理的整个过程,有效的
沟通不仅在整个企业内进行,也包括与外部进行的沟通。
1)内部沟通
内部沟通是指企业内部上下级之间、横向部门之间的沟通,
下面以例举的方式介绍内部沟通的主要内容:
所有的人员,特别是那些有着重要的经营和财务管理职责
的人员,取得管理所需信息,并清楚地知道必须严肃履行内
部控制的责任。
每个人需要理解所负责内部控制部分如何运行及个人在系
统中的职责。
在执行自己的职责时,每个人都应该知道,当意外发生时,
不仅要注意事件本身,还要注意事件的原因。这样,就可以
了解到系统潜在的缺陷,并采取预防的措施。比如,发现滞
销的存货不仅要在财务报告上留下准确的记录,更重要的是
对存货滞销的原因作出判断。
需要知道什么样的行为是被期望的,什么是可以接受的,
什么是不可接受的。人们需要知道自己的行为怎样与他人
的工作相联系。
员工也需要知道在企业中自下而上传递重要信息的方法和
渠道。员工必须相信他们的上级确实想了解问题并愿意有效
地解决问题,在任何情况下不会因报告相关信息而受到报复。
在多数情况下,正常的报告渠道就是适当的沟通渠道。然
而,在特定条件下,需要独立的沟通渠道作为一个预防失败
的机制,在正常渠道不起作用时加以运用。例如为员工提供
直接接触财务总监或企业法律顾问这样的高层领导的渠道;
总裁可以定期抽出时间接待员工来访,并且让员工知道为任
何事情的来访都是受欢迎的;总裁也可以定期去车间拜访他
的员工,形成一种人们能够交流难题和关心的问题的氛围。
管理层与董事会及其委员之间的沟通至关重要。管理层必
须使董事会了解最新的业绩、发展、风险、主要的革新以及
其它任何相关的事件或事故。与董事会的沟通越好,董事会
越能有效地行使监督职能,并能够对于关键的事务作出合理
的行为,提供建议和忠告。同样,董事会也应该向管理层传
达其所需要的信息,并提供指导和反馈。
2)外部沟通
企业不仅在内部需要有适当的沟通,而且与外部也是,与外部
沟通的内容包括:
通过开放的沟通渠道,了解顾客、供应商对于产品或服务
的设计或质量方面的要求使公司注意顾客的需求和偏好。
在与外部的交往中强调企业的道德标准,使外部人员知道
认识到不适当的行为。比如公司可以同供应商直接沟通,解
释公司期望供应商雇员在与其打交道时应怎么做,明确回扣
以及其它不适当的收入,都是不能容忍的。
与外部审计师的沟通,管理层和董事会可以了解重要的控
制信息。
与股东、监管者、财务分析师以及其它外界的交流,可以了
解企业所面临的情况和风险。
管理层同外界(无论是公开的、即将进行的、严格跟踪的
还是其它的)的交流也可以向整个公司内部传递信息。
3)沟通的方式
沟通可以采用诸如政策手册,备忘录,布告通知,录像录音
带的形式,又可采用口头传递消息的方式。另一种有影响力的
沟通手段是管理层在领导下属工作时的言行。
(五)监督
内部控制随着时间、环境而变化,曾经有效的程序可能会变
得不太有效,因此需要对内部控制进行监督。监督是评估内
控系统在一定时期内运行质量的过程,目的是保证内部控制
持续有效,监督可通过两种方式进行:持续性的监督活动和
独立的评估。持续性的监督活动是植根于企业日常、重复发
生的活动中的。与独立评估相比,由于持续性监督程序在实
时基础上实施、动态地应对环境的变化,并在企业中根深蒂
固而显得更加有效。不过,独立评估发生在事实之后,比起
持续性监督程序,可更快地发现问题。一个感到有必要进行
经常性的独立评估的企业,应重点关注改进持续性监督的途
径,并强调“嵌入”而非“外加”的控制。
1、持续性监督行为
持续性的监督行为发生在经营的过程中,它包括日常管理和
监督行为、比较、核对和其他常规性活动。持续性监督行为
有下面一些例子:
在执行常规管理行为时,经营管理层取得内部控制持续运
转的证据。
与外界各方的沟通能够印证内部产生的信息或揭示问题。
例如:顾客支付账单,表明其确认了帐单数据;相反地,顾
客对帐单的投诉可能表明销售交易过程存在系统缺陷。公司
审核有关作业安全的政策和操作步骤,从经营安全性和合规
性的角度为内控是否有效运行提供信息,因而被视为一项监
督;监管者就合法性或其他事项与企业进行交流,也会从某
种角度反映内控系统是否有效运行。
适当的组织结构和监督行为不但监督内控职能的执行并且
能够发现内控的缺陷。例如,财务负责人对财务人员针对交
易正确性和完整性实施的内控活动实施日常的监管。另外,
管理层对员工的职责分配定期进行审核,以确保合理分工以
便相互制衡,有利于防止员工舞弊,并可以限制个人掩盖其
可疑行为的能力。
将信息系统所记录的数据与实物资产相核对。例如,产成
品存货应定期进行盘点,将盘点的数据与相应的会计数据核
对并记录存在的差异。
内部及外部审计师定期为进一步加强内部控制提供建议。
审计师通过评价内控的设计并测试其有效性,发现一些潜在
的问题并向管理层提供解决问题的建议。
培训研讨会、计划会议及其他会议能向管理层提供有关控
制是否有效的重要反馈。这种方式不但能指出控制中存在的
个别问题,还能增强参与者的控制意识。
定期询问职员理解及执行企业相关规定的情况。如向经营
及财务人员询问相关的控制程序是否正常运行。
2、独立评估
独立评估是独立于控制活动之外而采取的定期评估行为。尽
管持续性监督程序可以提供关于其他控制要素有效性的重要
反馈信息,但经常地对系统的有效性直接进行评估也是十分
必要的。这样同时也提供了一个机会来评价持续性监督程序
是否有效。
1)范围和频率
独立评估的范围和频率主要依赖于风险评估和持续性监督程
序的有效性。由于所控制风险的大小及内部控制在减小风险
中的重要性不同,对于内部控制进行评价的范围和频率也不
一样。例如,那些致力于重大风险或对减小风险具有重要作
用的控制就应经常地进行评价。
2)评价主体
评价主体,即由谁来实施独立评估。一般来说,评价主体包
括:
一是自我评价,即负责某一单位或职责的人员对其控制自身
活动的有效性进行评价。例如,一位部门主管应指导本部门
内部控制的评价活动。他或她可能亲自评价内控环境因素,
然后请部门内负责各种经营活动的人员评价其他要素的有效
性。
二是内部审计人员评估,有时,在董事会、高级管理层、子
公司及部门主管的特殊要求下,内审人员也会对内控进行评
价。同样,在评价内控时,管理层也可利用外部审计人员的
工作。
3)评价程序及方法体系
首先是同企业职员进行探讨并审阅已有的文件,了解系统的
运行过程或内控系统的设计;其次是根据已确定的目标分析
内部控制的设计和测试结果,分析是否对既定目标提供了合
理保证。
评估方法有许多可供选择,包括检查清单、调查问卷和流程
图等方法。也可与那些被认为在内控系统方面具有良好声誉
的公司进行比较。
4)行动计划
第一次指导评估内控系统的管理人员可以考虑下列建议,决
定对何处着手和如何去做:
决定评估的范围,包括目标的分类、内部控制要素和需采
取的行动。
确定对内部控制的有效性提供常规保证的持续的监督行为。
分析内部审计的控制评估工作,考虑外部审计师与控制相
关的发现。
按照单位、要素或高风险区域划分重要性程度和先后次序,
保证及时的关注
在以上基础上,建立相关的评估程序。
汇集所有进行评估的各方,共同考虑下列问题:不仅要考
虑评估范围和时间表,而且要考虑所使用的方法体系,应用
的工具,来自内外部审计师和监管者的建议,报告所发现问
题的方式以及设定最终的文本化程度。
监督进展和复核发现。
保证采取必要的追踪措施,必要时修改后续的评估部分。
5)报告缺陷
这里的“缺陷”被广泛定义为内控系统中值得注意的问题。缺
陷可能代表一个假想的、潜在的或实际的缺点,或一个强化
内控系统的机会。向恰当的当事人提供有关内部控制缺陷的
必要信息,对内部控制制度的持续有效运行十分关键。内部
控制的缺陷应自下而上进行报告,重要事项应报知高层管理
人员和董事会。对于发现的内部控制缺陷,不仅应向负责的
个人汇报,由他采取正确的措施,还至少应向该责任人的上
一级汇报。这一过程使得责任人能及时采取措施,也便于其
上级提供所需的支持或进行监督,并与企业中受影响的他人
进行沟通。重要事项应报知高层管理人员和董事会。
6)文本化
企业内部控制的文本化有利于评估,有利于增进员工对内控
系统如何运行及各自职责的理解,更易于必要时对其修改。
文本化的程度根据各企业的规模、复杂性和类似因素的不同
而存在差异。大一些的公司通常有书面的政策手册、正式的
组织图、书面的工作描述、经营指导、信息系统流程等。小
一些的公司内部控制文本化的程度一般低得多。控制没有文
本化并不意味着内控系统是无效的或无法评估,不过当需要
向更多人提供有关内部控制的阐述或评估时,内部控制文本
化的性质和程度将会提高。当管理层希望向外界提供关于内
控系统效果的声明时,他们应当考虑形成文件来支持该声明。
如果该声明今后被质询,这些文件将很有用。
四、内部控制的局限性
也许有人会认为内部控制可以确保企业万无一失,这也是我
们所希望的,但事实并非如此,无论内部控制设计和执行的
多好,它也只能提供合理的保证,这是内部控制系统固有的
局限性。具体表现在:
判断失误——判断是人在事情发生时依据现有信息的所做
出的,个人的判断不能保证绝对正确,并且难以避免主观性,
从而影响内部控制的有效性。基于错误判断的管理层决策也
会导致失误。
执行偏差——任何“完美的”内部控制系统,都会因设计人
经验和知识水平的限制而带有缺陷。同时,执行人员的粗心
大意、精力分散、判断失误以及对指令的误解等,也可能使
内部控制系统陷于瘫痪。 例如:代替缺席或生病雇员的临时
职员,可能不能正确地执行控制的职责。
管理层的越权——内控制度是企业最重要的管理工具,但
任何内控最终都是靠人来执行的。单位或部门的经理,或者
高级管理层成员会出于各种目的而愈越内控制度,例如:虚
增报告中的收入来掩盖市场份额始料不及的下跌;虚增报告
中的赢利以符合无法实现的预算。
合伙同谋——两人或更多人的合伙同谋行为,会使不同职务
相互制约的作用丧失,从而导致内控的失效。
成本收益原则——控制环节越多,控制措施越复杂,相应
的控制效果可能会越好,但控制成本也会越高。由于企业的
资源有限,企业在设置和实施内部控制时,必须在控制失败
可能造成的损失与建立控制所需相关的支出之间进行权衡。
当然,合理的保证并不意味着内部控制系统会经常失效。多
项内部控制相互作用可以减少企业无法实现目标的危险,而
日常的经营行为和不同层次人员的职责分工也有助于实现企
业的目标。
五、员工在内部控制中的作用与责任
组织中的每一个人都对内部控制负有责任。
• 管理层 –总裁或总经理对内部控制负有全面的责任,可以
看作是内部控制系统的“责任人”。总裁或总经理的态度对内
控环境的影响很大。总经理的任务是领导和指导高级管理人
员,并与这些高级管理人员一起制定价值观、原则以及重要
的经营策略,例如企业的总目标、组织机构、重大制度等,
并检查他们是否履行职责。依次的,高级管理人员负责建立
更为具体的内部控制政策和程序,并向企业员工分配。基层
的管理人员则直接参与控制政策和程序的实施。其中财务总
监和他的员工的内控活动贯穿于企业各部门,是内部控制的
关键。
• 董事会–管理层向董事会负责,董事会指导和监督管理层的
工作。一个强大的、活跃的董事会通常能够结合有效的汇报
渠道和有力的财务、法律和内部审计职能来发现和纠正管理
层存在的问题。有效的董事会必须是客观的、有能力的和善
于调查的,他们具有业务活动方面的知识,并有充足的时间
履行董事的责任。
• 内部审计师–内部审计师在评价和维护内部控制有效性方面
起着重要的作用。内部审计职能部门因为其在企业中的地位
和权利,还起着重要的监督作用。
• 其他人员–内部控制从某种程度上是组织中每个人的责任,
每个员工都产生内部控制系统中所使用的信息,或者用行动
来影响着内部控制,因此所有的人都有责任向上汇报沟通组
织中的问题,汇报违反行为准则的情况,以及违反政策或法
律的行为。
另外,大量的外部单位也对企业内部控制也有所贡献。外部
审计师,通过对财务报表的审计,提供关于财务报表及其相
关内控的独立客观的意见,并间接向管理层和董事会提供履
行职责的信息。立法机构和监管机构、客户和其他公司、财
务分析员、债券评级人和新闻媒体也能为公司提供有用信息。
但是外部单位不会对公司内部控制负有责任,也不是公司内
部控制体系中的一部分。
六、小结
长期以来,高级管理层一直在寻找控制和管理企业的更好方
法。内部控制的实施促进企业朝着盈利目标和成就其使命的
方向持续发展,并将这个过程中的干扰因素最小化。内部控
制措施帮助管理层应对快速变化的经济和竞争环境以及不断
改变的客户需求,并针对未来的成长进行调整。内部控制促
进效率性,降低资产损失的风险,并有助于确保财务报表的
可靠性和对于法律法规的遵循性。
由于内部控制服务于很多重要的目标,对于更好的内部控制
系统及其运行效果的要求不断增加。内部控制系统越来越多
地被视为各种潜在问题的解决方案。
COSO 内控框架提出的由"三个目标"和"五个要素"组成的内
部控制的整体框架,已经得到各行业的公司董事会、管理当
局、投资者、债权人、审计人员及专家学者的普遍认可,因
而成为迄今最权威的内部控制的概念,因为它是一个较为完
整和系统化的关于内部控制的理论,而且它提出的许多新的、
有价值的观点不断地在实践中找到了现实意义。按照 COSO
框架标准建立股份公司内部控制体系是我们本阶段的主要内
容。
