内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。有效的交流还必须广泛的进行,涉及机构的各个方面。所有人员都要从高级管理层获得清楚的信息,他们必须明白各自在内部控制制度中的作用,明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。 5. 监督
一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中。它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。
COSO内部控制模型强调了以下几点:
1、 强调“软控制”的功能。相对于以前的内部控制而言,框架更加强调那些属于管理文化层面的软性管理因素。
2、 强调内部控制应与企业的经营管理过程相结合。框架认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。
3、 突出强调信息系统的作用。框架认为,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。 4、 明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出,不仅仅是董事会、管理人员、内部审计人员,组织中的每一个人都对内部控制环节负有责任。 5、 强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。框架将内部控制目标分为三类:与营运有关的目标、与财务报告有关的
31
目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。
6、 内部控制只能做到“合理”保证。框架认为:不论设计及执行有多么完善完整,内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成,还受内部控制本身的限制性制约等条件。
COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,虽然这必然加大企业负担,但多数公司希望通过理解和贯彻COSO内部控制框架要求,梳理管理流程、规范管理,来实现提升整体管理水平的目的。
三、COSO框架下的内部控制设计
以COSO内部控制框架为标准的内控设计一般步骤如下: 1. 确认所要进行的内控设计针对的内控目标是什么。
2. 根据确认的内控目标,识别公司层面的内外部主要风险并进行评估。 3. 通过业务流程的全面梳理,锁定与确认的内控目标相关的业务流程。
4. 按照COSO框架提出的控制标准,对确认的主要风险提出控制要求,将梳理得出的业务流程(风险控制活动)与控制要求进行对比分析,提出整改建议。
5. 对所确定的业务流程进行分析,分析确认业务活动中存在的风险,提出整改建议。 6. 各项制度规章的完善和补充。
下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明: 风险评估实施过程说明
1. 识别风险。风险识别包括了二个层次,企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。
32
2. 评估上述识别出的风险的后果和可能性。 3. 描述公司流程。
1) 制定公司流程总目录和流程描述的规范; 2) 流程具体描述。
4. 识别与风险相关的应对流程的风险,并建立风险数据库 5. 根据上述风险评估的结果,建立持续的风险评估制度体系 控制活动设计实施说明
1. 以COSO控制框架、公司管理制度、控制理论为依据,在公司层面上确定“关键控制点和控制要点”。 2. 以公司层面“关键控制点和控制要点”为基础,对应识别的重要风险建立关键控制文档。 3. 关键控制与相关管理制度之间的比对分析。
对于企业而言控制是直接融入管理流程中的。在具体控制活动设计和改进时应遵循以下具体内部控制设计原则:
1. 相互牵制原则
相互牵制原则,是指一项完整的经济业务活动,必须分配给具有互相制约关系的两个或两个以上的部门(或岗位)分别完成。即在横向关系上,至少要由彼此独立的两个部门或人员办理,以使该部门或人员的工作接受另一个部门或人员的检查和制约;在纵向关系上,至少要经过互不隶属的两个或两个以上的岗位和环节,以使下级受上级监督,上级受下级牵制。其理论根据是在相互牵制的关系下,几个人发生同一错弊而不被发现的概率,是每个人发生该项错弊的概率的连乘积,因而将降低误差率。不相容职务相互分离控制有以下几项内容:
* 授权批准职务与执行业务职务相分离; * 执行业务职务与监督审核职务相分离; * 执行业务职务与会计记录职务相分离;
33
* 财产保管职务与会计记录职务相分离; * 执行业务职务与财产保管职务相分离。 2. 授权控制原则
授权控制原则,是指企业单位应该根据各岗位业务性质和人员要求,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,以使职、责、权、利相结合。岗位工作程式化,要求做到事事有人管,人人有专职,办事有标准,工作有检查。授权体系包括: 1) 授权批准的范围
企业所有的经营活动一般都应当纳入授权批准的范围。 2) 授权层次
授权应当是区别不同情况分层次授权。根据经济活动的重要性水平和金额大小确定不同的授权批准层次,有利于保证各种管理层和有关人员有权有责。
授权批准在层次上应当考虑连续性,要将可能发生的情况全面纳入授权批准体系,避免出现真空地带。当然,应当允许根据具体情况的变化,不断对有关制度进行修正。 3) 授权责任
被授权者应能够明确在履行权力时应对哪些方面负责,避免授权责任不清,出现问题又难咎其责的情况发生。
4) 授权批准程序
企业的经济业务既涉及企业与外单位之间资产与劳务的交换,也包括在企业内部资产和劳务的转移和使用。因此,每类经济业务都会有一系列内部相互联系的流转程序。所以,应规定每一类经济业务的审批程序,以便按程序办理审批,避免越级审批和违规审批的情况发生。 3. 成本效益原则
贯彻成本效益原则,即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比
34
例,实行内部控制所花费的代价不能超过由此而获得的效益,否则应舍弃该控制措施。 4. 整体结构原则
企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。换言之,各项控制要素、各业务循环或部门的子控制系统,必须有机构成企业内部控制的整体架构。这就要求,各子系统的具体控制目标,必须对应整体控制系统的一般目标。 结束语:
中华-博略咨询认为,COSO所提出的框架是企业内部控制建设、风险管理的指向性框架(或蓝图)。COSO框架的实施是在企业内部制度建设已经相对完备的前提下而进行的。即使美国上市公司也提出COSO框架过于“苛刻”。COSO也认识到了现有框架存在的问题,因此在发表了相关的框架文件后,COSO又提出了非大型上市公司以财务披露为核心的内部控制指导意见(征求稿)。
中华-博略咨询认为,对于中国企业而言,内部控制体系的建设是一个基础阶段,不能由于偏重于财务信息披露而仅仅关注于流程,尤其是仅仅关注与财务报告相关的流程。企业实施内部控制的核心在于对风险的控制,即通过对企业生产经营过程实施有效控制,达到风险管理的目标。而风险管理的目标有四个层次,符合法律法规、保障财务报告的可*性只是其中二个层次的部分内容,同时,内部控制的建设也要立足于实现投资回报最大化和保证企业战略的达成。因而,内部控制体系的建设必须也是各个目标的均衡发展的过程。建立内部控制制度必须要针对特定的风险,从其风险管理组织结构、管理责任、管理流程和方法、管理信息和决策等几个方面均衡建设,并考虑管理成本和风险成本的匹配。
中华-博略咨询的经验总结,均衡的企业内部控制体系建设的路线如下图3所示。
35
财务内部管控COSO内控框架
