内部控制五要素

  • 格式:pdf
  • 大小:131.37 KB
  • 文档页数:1

内部控制五要素

内部环境是基础,是企业建设内部控制的⼟壤,是⼀切内控制度、流程、控制点得以实施的根本条件。⼀个企业内控好坏,⾸先应该对其内

控环境进⾏评价,如果环境不好,就需要更仔细和深⼊的进⾏建设,换句话说,如果环境建设得好,具备良好的风险意识和内控⽂化,即使

⼀些⼩⽅⾯存在控制不⾜,也并不重要。——风险评估、控制活动、信息沟通。这是内控体系核⼼三个环节。

风险评估是内控建设的⽅向。并不是说企业所有的任何的操作都需要管控,使⽤⽆⽐繁琐的流程进⾏防范。内控体系强调成本效益原则,注

重企业经营效果效率,就必须注重风险评估,以风险为导向的建设内部控制体系,⾮重⼤风险可以酌情简化,但是重⼤风险就需要认真将制

度、流程和控制环节建设好。

控制活动是内控体系的核⼼环节,应该是嵌⼊在业务流程当中得以保证实施,并应该注意留下控制痕迹以供检查监督。

信息沟通包括信息传递和信息系统两个部分。信息采集和信息传递指的是企业部门之间、上下级之间、各管理级次之间是否存在良好的沟通

渠道。信息系统内控合规⼜是⼀个⼤课题,专门可以采⽤COBIT框架进⾏建设,主要包括信息系统基础环境、总体控制和应⽤层⾯控制三部

分。——监督检查是使内部控制成为闭环的重要组成部分。缺乏这个环节内控⼯作就不是⼀个PDCA循环,或者说就不能不断优化和提升,体系

就是⼀个静态⽽⾮动态的。监督检查⽅式包括了⾃我评价和独⽴评价,从实施频率来分可以分为⽇常监督和专项监督。

见过⼀个图,将内部环境放在第⼀排正中,风险评估、控制活动和信息沟通放在中间⼀排,相互相连,第三排正中放置监督检查,构成⼀个

相互关联的系统。

控制环境——控制环境决定了企业的基调,直接影响企业员⼯的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基

础。控制环境包括员⼯的诚信度、职业道德和才能;管理哲学和经营风格;权责分配⽅法、⼈事政策;董事会的经营重点和⽬标等。

l 风险评估——每个企业都⾯临诸多来⾃内部和外部的有待评估的风险。风险评估的前提是使经营⽬标在不同层次上相互衔接,保持⼀致。风险评估指识别、分析相关风险以实现既定⽬标,从⽽形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确⽴⼀套机制来识别和应对由这些变化带来的风险。

l 控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制⾏为有助于确保实施必要的措施以管理风险,实现经营⽬标。控制⾏为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分⼯等活动。

l 信息和沟通——公允的信息必须被确认、捕获并以⼀定形式及时传递,以便员⼯履⾏职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产⽣的信息,还包括与企业经营决策和对外报告相关的外部事件、⾏为和条件等。有效的沟通从⼴义上说是信息的⾃上⽽下、横向以及⾃下⽽上的传递。所有员⼯必须从管理层得到清楚的信息,认真履⾏控制职责。员⼯必须理解⾃⾝在整个内控系统中的位置,理解个⼈⾏为与其他员⼯⼯作的相关性。员⼯必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。

l 监控——内部控制系统需要被监控,即对该系统有效性进⾏评估的全过程。可以通过持续性的监控⾏为、独⽴评估或两者的结合来实现对内控系统的监控。持续性的监控⾏为发⽣在企业的⽇常经营过程中,包括企业的⽇常管理和监督⾏为、员⼯履⾏各⾃职责的⾏为。独⽴评估活动的⼴度和频度有赖于风险预估和⽇常监控程序的有效性。内部控制的缺陷应该⾃下⽽上进⾏汇报,性质严重的应上报最⾼管理层和董事会。

这五项要素既相互独⽴⼜相互联系,形成⼀个有机统⼀体,对不断变化的环境⾃动作出反应。内部控制制度与企业的经营⾏为紧密相连,因基本的商业动机⽽存在。内部控制成为企业内部构架的核⼼部分和基本理念时最为有效。这时内部控制可以⽀持经营质量和主动的授权,避免不必要的花费,并对环境的变化迅速作出反应。

内部控制的三类⽬标之间具有直接联系,他们代表了企业努⼒的⽬标;⽽五项要素代表了实现这些⽬标所需元素。所有五项要素都与每⼀类⽬标相联系。为实现每⼀类⽬标——如经营的效率和效果——需要五项要素共同发挥作⽤,以说明经营的内部控制是有效的。

内部控制的定义——受⼈为因素影响、提供合理保证的过程,这⼀内在基本的概念——及其不同种类的的⽬标、内部控制要素、内控有效性评价准则、与之相关的讨论,构成这本内部控制基本构架的内容。