第一部分内部控制的理论发展和三大目标
案例回顾----大和银行弊案
时间: 1995年7月13日
地点: 日本大和银行纽约分行
人物: 井口俊英
事件: 在11年内伪造3万多笔的交易记录,隐藏近11亿美元的亏损
原因与影响: 井口身兼二职,既做交易,又监督自己,导致弊案隐藏11年之久
一、内部控制的理论发展
内部控制的概念经过“部分控制论”向“全部控制论”的发展。
“部分控制论”认为内控包括经济业务的有关内部会计控制和内部审计两部分。现在看来,这种认识的缺陷是,内控只与资产管理有关,而与行政、业务管理无关。
“全部控制论”克服了这个缺陷,认为控制内容应超越会计和财务范围,渗透到经营的各个方面和管理的全过程。内控目的也不仅是为了保护单位的财产、会计记录的准确可靠、财务信息的及时可靠,更重要的是执行管理政策,提高经营效益和效率。
美国“反虚假财务报告委员会”下属的组织“发起人组织委员会(COSO)”发布报告《内部控制一体化框架》,简称COSO报告,奠定了现代内部控制理论基础。
1996年美国注册会计师协会发布《审计准则公告第78号》,全面接受COSO报告的内容,加拿大,英国,南非,法国等国内部控制框架均以COSO的报告为模本,COSO报告成为现代内部控制理论和实践的基石。
巴塞尔银行监管委员会的《银行组织的内部控制系统框架》也以COSO报告为基础。
我国的《内部会计控制规范》、《证券公司内部控制指引》、《关于加强证券公司营业部内部控制若干措施的意见》也是以COSO报告为基础制定的。
二、内部控制的三大目标
建立有效的内控机制首先要理解内控的目的。不同部门的人从不同的角度对内控会有不同的看法,现代内控理论试图提出能被普遍接受的内控定义,以便满足不同单位的需要。美国审计权威机构COSO的定义是:内控是一个受某单位不同层次的人影响的过程,而设计这一过程是为了实现下面三大目标而提供合理的保证。
(1)经营的效果和效率
(2)财会报告的可靠性
(3)对现行法规的遵守
巴塞尔银行监管委员会参照各国的有关理论,在内控定义中进一步强调董事会和高级管理层对内控的影响,强调组织中的所有各级人员都必须参加内控过程,对内控产生影响。巴塞尔委员会把内控的三大目标分解为操作性目标、信息性目标和合规性目标。操作性目标不只针对经营活动,而且包括其他各种活动;在信息性目标中还把管理信息包括了进来,明确要求实现财务和管理信息的可靠性、完整性和及时性。
内控的三大目标满足不同的需要,又相互交叉。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司不能为实现经营性目而不遵从法规,也不能为实现合规性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
三、内控机制的作用
内部控制是为了实现经营目标而形成的一种内部自我协调和制约的控制系统,是一种全面控制的机制。内部控制作为控制风险和经营管理的基础,对于达到既定目标和维持良好的财务状况至关重要,但由于历史原因和外部的诸多不确定因素,我国目前企业的内控建设仍存在许多问题,如何健全和完善内部控制是亟待解决的问题。
在证券市场的发展过程中,营业部经营模式和组织结构的每次改革都伴随着一定的风险,如果忽视控制方式的跟进和强化,就会使证券公司的改革同营业部的控制机制相脱离,不仅无法实现改革的初衷,还可能陷入管理上的混乱。对于营业部的管理,仅依靠宏观上的效益和风险方面考核还不够,微观上更不能以考核取代控制,而是必须建立有效的内部控制。
第二部分内部控制的五大要素
一、五大要素的内容
现代内控理论赋予了内控广泛的职能,把内控置于很高的层面上,从而强化了内控的作用。COSO报告认为内部控制涵盖了控制环境、风险评估、控制活动、信息与交流和监督评审五大组成部分的丰富内容。
1、控制环境
控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的作风、纪律和结构,并且涉及到所有活动的核心——人,特别是人的控制觉悟,还反映了企业的各级管理层对内控的要求。控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。关键是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配等方面。
2、风险评估
风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种实质风险。这种评估应包括企业所面对的全部风险(如市场风险、经营风险、法律风险和声誉风险)。对于任何新的或过去不加控制的风险,需要不时调整内控,以便恰当地处理。
3、控制活动
控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。控制活动是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确定义各经营级别的控制活动。这些活动应当包括高层审查;对不同部门活动的适当控制;防火墙控制;检查对敞口限额的遵从情况;对违规经营的跟进情况;批准和授权制度;查证核实与对帐制度。有效的内控系统还要适当分离职责,人员的安排不能发生责任冲突。要识别和尽力缩小有潜在利益冲突的地方,并遵从谨慎的和独立的监督评审。
4、信息与交流
信息与交流存在于所有经营管理活动中,信息是指为开展经营、从事管理和进行控制等活动所需要,使员工得以搜集和交换的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理,一个有效的内控系统需要充分的和全面的内部财务、经营和遵从性方面的数据,以及关于外部市场中与决策相关的事件和条件的信息,这些信息应当可靠、及时、可获,并能以前后一致的形式规范地提供使用。在交流方面也要注意内部和外部信息的交流渠道和方式,不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理,应当把有关实质性的内控缺陷报告给高级管理层。在信息技术的发展中注意控制信息系统,有效的内控需要建立可靠的信息系统,涵盖公司的全部重要活动,这些系统,包括那些以某种电子形式存储和使用的数据的系统,都必须受到安全保护和独立的监督评审,并通过对突发事件的充分安排加以支持。
5、监督评审
监督评审是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或单独分别的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当不断地在日常工作中监督评审内控的总体效果,对主要风险的监督评审应当是公司日常活动的一部分,各级经营层和内部审计人员应当定期予以评价;对内控系统应当进行有效和全面的内部审计,内审要独立进行,应得到适合的培训,并配备称职和得力的人员,内审作为内控
