企业内部控制的新进展

fanwen 2009-10-28 09:07:40

　　需要特别强调的是：这里的要素是“风险评估”，而不是“风险管理”。在一般人眼里，内部控制就是风险管理。其实，两者是不同的。COSO报告第一稿曾将包括风险管理在内的企业管理等众多内容排除在内部控制之外（见表1），后来又不声不响地将风险管理绕回到报告之中（1996年，COSO委员会发布的《金融衍生工具运用中的内部控制问题》中强调了运用内部控制对风险管理活动进行评价）。那么内部控制与风险管理之间是什么关系呢？其可以概括为：内部控制的动力源于风险防范并构成风险管理的必要环节，但内部控制并不等同于风险管理，只能防范风险，不能转嫁、承担、化解或分散风险。

　　（三）控制活动（ControlActivities）

　　控制活动是企业内部控制的实质性要素，是依托于控制环境进行的实际控制行为。COSO报告认为，控制活动指对所确认的风险采取必要的措施，以保证单位目标得以实现的政策和程序。在实践中，控制活动形式多样，可将其归结为以下四类。

　　1.业绩评价，是指将实际业绩与其他标准，如前期业绩、预算和外部基准尺度进行比较；将不同系列的数据相联系，如经营数据和财务数据，对功能或运行业绩进行评价。这些评价活动对实现企业经营的效果和效率非常有用，但一般与财务报告的可靠性和公允性相关度不高。

　　2.信息处理，指保证业务在信息系统中正确、完全和经授权处理的活动。信息处理控制可分为两类：一般控制和应用控制。一般控制与信息系统设计和管理有关，如保证软件完整的程序、信息处理时间表、系统文件和数据维护等；应用控制与个别数据在信息系统中处理的方式有关；如保证业务正确性和已授权的程序。

　　3.实物控制，也称为资产和记录接近控制，这些控制活动包括实物安全控制、对计算机以及数据资料的接触予以授权、定期盘点以及将控制数据予以对比。实物控制中防止资产被窃的程序与财务报告的可靠性有关，如在编制财务报告时，管理层仅仅依赖于永续存货记录，则存货的接近控制与审计有关。

　　4.职责分离，指将各种功能性职责分离，以防止单独作业的雇员从事或隐藏不正常行为。一般来说，下面的职责应被分开：业务授权（管理功能）、业务执行（保管职能）、业务记录（会计职能）及对业绩的独立检查（监督职能）。理想状态的职责分离是，没有一个职员负责超过一个的职能。

　　（四）信息与沟通（InformationandCommunication）

　　信息与沟通，指为了使职员能执行其职责，企业必须识别、捕捉、交流外部和内部信息。外部信息包括市场份额、法规要求和客户投诉等信息。内部信息包括会计制度，即由管理当局建立的记录和报告经济业务和事项，维护资产、负债和业主权益的方法和记录。有效的会计制度应是：（1）包括可以确认所有有效业务的方法和记录；（2）序时详细记录业务以便于归类，提供财务报告；（3）采用恰当的货币价值来计量业务；（4）确定业务发生时期以保证业务记录于合理的会计期间，在财务报告中恰当披露业务。

　　沟通是使员工了解其职责，保持对财务报告的控制。它包括使员工了解在会计制度中他们的工作如何与他人相联系，如何对上级报告例外情况。沟通的方式有政策手册、财务报告手册、备查簿，以及口头交流或管理示例等。

　　有人曾质疑信息与沟通是否应作为内部控制中一个单独的构成要素，例如加拿大CICA下属的控制标准委员会（负责制定内部控制标准的机构，即COCO）就认为，信息与沟通应该整合到其他的部分中去，因此COCO没有把其作为内部控制的构成要素。笔者认为，这种观点不符合现代信息社会的普遍特征，没有认识到现代企业运行中信息的重要性，尤其是与现代企业高度信息化、电子化的特征相矛盾。我们赞同COSO报告、巴塞尔委员会等的主流做法：把信息与沟通作为内部控制必要的、单独的构成要素予以强调。

　　（五）监控（Monitoring）

　　COSO报告认为，监控指评价内部控制质量的过程，即对内部控制改革、运行及改进活动进行评价。包括内部审计和与单位外部人员、团体进行交流。可见，监控实际上是企业对内部控制实施效果进行评价的过程，是企业站在更高的整体的层面对其他控制要素的整合及调适，是独立的、进一步的控制活动，因而是企业完整的内部控制系统必不可少的后续要素。

　　（六）整体框架（WholeFramework）

　　上述五大要素之间具有紧密的关系：控制环境是其他控制成份的基础，在规划控制活动时，必须对企业可能面临的风险有细致的了解和评估；而风险评估和控制活动必须借助企业内部信息有效的沟通；最后，实施有效的监控以保障内部控制的实施质量。五大要素实际上构成了内部控制的立体框架模式（如图1所示）。

　　三、对COSO报告的评价

　　（一）COSO报告的理论贡献

　　同以往的内部控制理论及研究成果相比，COSO报告提出了许多新的、有价值的观点，代表了现代内部控制理论的最新成果和目前的最高水平。其贡献归纳起来主要表现在以下12个方面。

　　1.内部控制通用定义为相关团体提供了理解内部控制的共同基础。COSO报告通过整合不同的内部控制观念，接纳多数性的观点，建立了内部控制的通用定义，为各方提供了一种通用语言和沟通平台，从而使内部控制的交流更有效果。

　　2.内部控制整体框架论有助于改变内部控制杂散、机械的现象。COSO报告指出，内部控制是由五大部分组成的，而这五大部分紧密融入到企业的管理过程中，并形成了有机联系的整体，所以，内部控制不再仅仅被看作是一项制度或一条条机械的规定，而是动态的过程和有序的系统，是一个有机的整体。

　　3.强调内部控制是一个持续的“动态过程”。内部控制是对企业的整个

标签：