企业可能已经建立了非常完善的内部控制系统,但是仍需要对该系统进行监察。如果内部控制系统未经监察,就很难评估它是否未受控制或需要改进。随着业务的发展,内部控制系统也在发展,因此内部控制系统不是静止不变的。内部审计部门通常是内部控制系统的主要监察人。内部审计师会对内部控制及控制系统进行检查。他们还应识别控制是否失效或是可以纠正问题,并且向管理层提出有关建立新系统或系统改进方面的建议。
COSO的上述定义对内部控制的基本慨念提供了一些深入的见解,特别是:
(1)内部控制是一个实现目标的程序及方法,而其本身并非目标;
(2)内部控制只提供合理保证,而非绝对保证;
(3)内部控制要由企业中各级人员实施与配合。
COSO的内部控制定义构成了《萨班斯一奥克斯利法案》第 404节关于内部控制评估内容的基础。这些内容实质上对于全球的所有机构都非常重要,因此,管理者、审计师和其他人士应对 COSO的内部控制非常熟悉。
COSO利用三维模型来描述一个机构内的内部控制系统。该模型在水平方向上分为五层,垂直方向有三个组成部分和跨越第三维的多个推体。这种模型的结构是 5 x3 x2。但是,它们并不是完全独立的部分,彼此之间是相互连接的,就企业内的内部控制而言.我们将重点考察水平方向上的两层:控制环境和风险评估。
企业的内部控制系统会反映其控制环境,而控制环境包括其组织结构。内部控制系统应嵌入企业运营之中,并成为公司文化的一部分。此外,内部控制系统应能够对由企业内在因素和商业环境的改变所产生的不断变化的业务风险迅速作出反应。而且,内部控制系统亦应包括向管理层及时汇报经确认的任何重大控制失误或不足,及所采取的纠正行动的详细程序。
内部控制程序应保持简单直接,同时需要确保戚本没有超过效益。而且,应使各级职员能够了解维持足够内部控制的重要性,从而不会在实施控制时,因遇到不必要的复杂情况而对此产生不满。
企业应给予董事及管理层适当的培训,使他们能正确认识内部控制及职能范围。这样做一方面有助于企业高管遵守内部控制的监管规定,另一方面也为企业实现目标提供更多的保证。培训课程可以由企业内部提供,也可由相关培训机构或专业机构提供
(三)中国内部控制的发展状况
2006年7月,受国务院委托,财政部牵头.由财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会。许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障。
企业内部控制标准委员会的职责和目标是总结我国经验,借鉴国际惯例,有效利用国际国内资源,充分发挥各方面的积极作用,通过 2 -5年的努力,基本建立一套以防范风险和控制舞弊为中心,以控制标准和评价标准为主体的内部控制制度体系。并以监管部门为主导,各单位具体实施为基础,会计师事务所等中介机构咨询服务为支撑,政府监管和社会评价相结合的内部控制实施体系,推动公司、企业和其他非营利组织完善治理结构和内部约束机制,不断提高经营管理水平和可持续发展能力。
2008年 6月 28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范>(下称"内控规范")。自 2009年 7月 1日起在上市公司范围内施行,同时鼓励非上市的大中型企业执行。
1.内控规范简述
内控规范要求企业建立内部控制体系时应符合以下目标:(1)合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整;
(2)提高经营效率和效果 (3)促进企业实现发展战略。
内控规范借鉴了以美国 COSO报告为代表的国际内部控制框架,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素:
(1)内部环境; (2)风险评估; (3)控制活动; (4)信息与沟通 (5)内部监督。
内控规范强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。同时要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。
执行内控规范的上市公司,在对企业内部控制的有效性进行自我评价后,应同时披露年度自我评价报告。国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;并明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。
2.内控规范对企业的影响
内控规范的发布是中国在公司治理方面的一个重要里程碑,体现了中国经济与全球经济的进一步接轨和整合。随着中国资本市场的发展与壮大,与之配套的公司治理和监督机制的需求日益增加;而随着中国企业的做大做强,企业对于内部外部的风险需要更系统有力的控制。一方面,内控规范为中国企业建立内部控制体系提供了一个标准的框架,在理念、实施和制度层面为企业提供了基础。而在另一方面,内部控制作为一个相对较新的课题,为首次系统地建立与实施内部控制的企业提出了新的挑战。
从国际上一些公司治理法案,包括美国的《萨班斯一奥克斯利法案》和日本的《金融交易法案》的实施情况来看,企业通常在内部控制实施的第一年需要投入很多时间和精力,进行反复的学习和计划的修订工作:在实施的过程中,企业需要作出许多对合规性工作的效果和效率方面产生根本影响的重要决定。这些决定包括项目计划管理、实施范围、关注的风险领域以及测试策略等。在这些领域作出正确、适当的决定对于提高基本规范的实施效率来说十分关键。
在颁布了内控规范之后,财政部陆续起草了一系列的内部控制配套指引 征求意见稿,这些配套指引对于如何指导企业和会计师事务所落实和实施内控基本规范将作出进步的明确说明