附录A
附录B
如何监测内部控制
内部控制是任何组织有效运行的关键,董事会、执行长和内部审计人员都为实现这个企业的目标而工作;该内部控制系统是使这些团体确保那些目标的达成的一种手段。控制帮助一个企业有效率地运转。此外,运用一种有效的风险系统,风险可被降低到最小。同时,控制促进经营和与经营有关的信息的可靠性。全美反舞弊性财务报告委员会发起组织(COSO;1992) 在它发布的具有开创性的文件《内部控制整合框架》中,将内部控制定义为:企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。该委员会还指出,一个的内部控制的系统包括五个要素。它们是:控制环境、风险评估、信息和沟通、控制活动、监控。
COSO的定义及五个要素已被证明确实对不同的团体,如董事会和首席执行官起到作用。这些群体对内部控制系统的监管以及系统设计与运行有责任。而且,内部审计人员已经发现COSO的指导是有用的。这群人员可能会被董事会或管理层要求去测试控制。COSO最近发布的一份讨论文件,指出五个要素监控,其中的五个要素的确定在1992 frame work COSO原本。中国发展简报的题为《内部控制-整合框架:内部控制体系监督指南》(COSO,2007)。在文件中,COSO 强调监控的重要性,以及这些信息常常被没有充分利用。
因为董事会、执行长,和内部审计人员都在一个公司的内部控制中扮演着重要角色,内部控制的各要素,包括监测,都对所有的团体有着非常重要的意义。同时,外审计人员对监测有兴趣。《萨班斯-奥克斯利法案》(2002)为外部审计师创建了一个新的监督体制。所有的五个要素,包括监测,必须加以考虑。另外,内部控制审计必须结合对财务报告的检查。在一体化审计之前,在首席执行官的领导下,也许也在内部审计活动的支持下的管理,评估了内控制体系的有效性。随后外部审计人员对控制出具意见。起监督角色的董事会,将阅读内部审计、管理层和首席执行官出具的报告。文件关于监测对每一个团体的指导起了帮助,因为他们分别为各自的角色而劳动。
第一,什么是监测。监测的组成可评估内部控制系统在过去一段时间发挥效用的质量。其对控制功能的评估有助于企业确定其控制在有效地运作中。在执行监测活动时,相关人员参与审查系统的设计及其运行效果。这种检查必须进行及时,目的是为了提供给企业最大的利益。管理层负责做出适当的行动以回应这些结果。当事人对内部控制有兴趣,可以充分依赖这个内部控制系统,如果合适的监
测活动被有效管理且管理层根据结果采取行动。当一个高度的依赖可以连接到内部控制的监控方面,和系统的其它方面的测试,特别是控制活动,可以适当被降低。
即时控制。一些监测活动将开始执行并且持续。也就是说,他们被造进系统,沿着正常经营活动执行。典型地,连续的监测活动都是自动化的。这个系统随之产生被管理层审查的异常报告,然后适当的行动可以被采取。
不连续控制。除了用即时连续的监测技术外,企业也可以选择分开的监测活动。这些需要管理层或内部审计人员的截然不同的监控。不连续控制可能会成为收集的即时连续活动的信息的结果,或是从正在进行的,或对特定风险的回应。作为管理者设计内部控制系统,他们会识别企业要达成经营目标的风险。这些风险应被优先处理,且通过资源配置以分散风险。正如管理部门设计内部控制系统,会考虑谁将参与这些监测活动,何时且多久执行活动,和对这些元素的监测。监测环节设计的每一个方面会在下文讨论,设计内部控制的监测环节:识别风险并优先考虑,确定谁将会参与监测活动,考虑监测活动的时间,决定监测活动执行的频率。
风险,优先权,资源。为了适当地设计内部控制系统,管理部门首先会评估企业正面临的不能达到经营目标的风险。随后,一个内部控制系统,包括监测环节,会根据这些风险来设计。为了最有效地利用监测活动,它们应该被优先。也就是说,携带较大风险的交易和事项比较危险,应该增加监测活动。这些活动可能会执行得更加频繁。另一种可能是每次检查之间有较大范围的覆盖。举个例子,如果一个制造商的销售回报有所增加,但产品质量差,公司可能会选择检查更多的即将装运的产品,或者将检查的时间定在每日,而不是每周。
用于监测活动的资源必须充分。通过指定合适的资金等级,管理部门就监测活动如何重要发出了一个有力的信息。一种在最高层实施的方法是建立一个有利于增强控制的组织结构。接着,才可雇佣合格的、专业的人员来实施和运作这个系统。作为内部控制的监控环节,应该建立与那些有权采取行动的人员的正式的沟通渠道。监测活动的结果应很快在权威且有权力做出反应的个体中传开。及时纠正的措施帮助组织实现其目标有效地、有效率地进行。
第二,谁负责实施监测。为使监测有效,必须有合适的人员实施这项活动。个人可将参与监测作为工作的一个方面。而另一些人,如核查人员,质量控制人员,以及内部审计人员,监测则是他们工作的重点。管理部门必须设计内部控制系统,来监测发生并且适时的由熟练的员工指挥。只有这样监测结果才能进行处理。企业人员必须清楚明白何种信息可以对收到结果的个体起作用,以及何种信息应转到下一水平。同时, 在系统监测方面的个人的工作应该能够被总结和过滤信息,以便它对那些利用它来完善组织机构的人有用。管理是对内部控制系统最终负责
的,包括监测,而管理层的人员没有被授权执行监测活动。内部审计人员可以被要求介入。另一种选择是把此功能外包出去。这两种选择都可能是有效的。同时,利用专业的内部审计人员或第三方提供商,管理层的人员就可腾出时间进行其他活动。
第三,何时监测和监测的频率。当考虑监测活动的时间,管理层必须考虑多种因素。例如,这个行业,特定的企业,和有资格的人员执行监测职责都对决定內部控制监测的时间和频率有重要作用。
第四,监测元素。管理层负责整个的内部控制系统的设计与操作,包括监测环节。另一个环节, 环境控制,与监测是相关联的。控制环境包括最高层的组织。董事会负责为企业营造氛围。董事会若坚持有效控制对企业的运行是必不可少的,则这种态度将渗透在整个企业。此外,如果董事会成员强调监测元素的重要性,并要求查看监测活动的结果,管理层则可明确监测元素对该企业的总体目标是如何重要。举一个监督监测结果的例子,董事会的成员可能会要求监测活动每月有一个总结报告。各种各样的管理者就可被问及针对结果所采取的措施。然后,他们将很快了解监测元素对企业的治理有多么重要。
第五,对监测结果的报告和采取的措施。监测元素有效,内部控制中存在的弱点则必须传达给组织内适当的人员。每一个弱点迹象的指出应附带着对它的描述。除了报告弱点和其内部重要性, 关于内部控制的外部沟通由法律或规章规定。无论接受者对于企业是内部或外部的,及时的沟通是非常重要的。装备了及时的信息,个体负责仔细操作,就可以选择合适的行动方案。随之,企业的外部决策者就可以做出正确的选择。
