评价结果的目的就是认定内控是否在有效运行,从而为评价报告提供支持。比如,考虑一下对销售明细账和总账之间调节的审核及签名。审计人员必须在执行评价的基础上认定内控是否在有效地支持完整性的认定。也会对销售流程中的其他内控进行测试,来确保所有的销售交易都已经过到明细账中,从而进一步支持完整性的认定。并且,也需要对其他内控进行测试,从而支持其他相关的认定,如估价、存在性、权力和义务以及表达与披露。在评估某个特定测试的结果和相关证据时,考虑以下的问题可能会有所帮助:内控旨在化解什么风险?是否发现了例外情况?例外情况是否已经解决?是否存在避免例外情况复发的流程?
通常来说,对内控的评价是在接受或者拒绝的基础上进行的(即内控或是在可靠地运行,或者不是)。而且,也需要较高程度地保证内控在有效地运行。为了较高程度地保证内控的运行有效性,只能接受小到可以忽略的例外率。
如果在测试中有例外情况出现,管理层必须对例外情况出现的原因进行评估。通过对例外情况的调查,管理层也许可以确定内控并没有在有效地运行,或者调查的结果也许不能认定是否存在缺陷。在这种情况下,假设这个内控至少每天都会运行,那么审计人员可以选择并测试另一组相同数量的样本。如果在第二组样本中没有例外情况出现,那么可能正确的结论是总体例外率是可以忽略的。在这种情况下,因为错报的可能性是很小的,所以不将它视为缺陷。控制缺陷是指如果控制在设计或运行中,无法让管理层和员工在正常执行所分配工作时及时地预防或发现错报。设计缺陷是指缺少实现控制目标所必需的控制,或者现有控制没有得到适当的设计,即使按照设计运行,也无法实现控制目标。执行缺陷是指如果一个设计得当的控制未按照设计运行,或者执行人员没有适当的授权或能力有效地运行控制。
内部审计对管理层应该进行的内部控制五要素的设计和执行有效性进行评价,从监督管理层行为的角度,从公司整体经营管理活动出发,对内部控制的有效性进行评价,以指导公司进行防范风险的控制评估,成为对董事会和股东负责的接触并了解公司经营管理的力量。
结论
内部控制理论与其他理论一样,它的产生和发展都是基于社会经济环境的一定需要。从内部控制发展和演变的过程来看,内部控制的发展最初是基于管理的某种需要,后来基本上是外部审计的推动,可以说,企业管理的发展和外部审计在内部控制理论和实践的发展中起到了巨大的推动作用。内部控制理论的每一个阶段性成果无不与企业组织形式的变化和利益相关者的价值目标取向一致,每当企业组织形式和利益相关者发生变化时,内部控制都会面临挑战。随着社会经济环境的变化,内部控制也必然会获得新的发展。从历史发展的渊源来看,内部控制本身并不是因为审计而产生的,在审计没有提出这个术语之前,它已经有了长足的发展。而这个术语的提出也只是审计理论和实务界从业务需要出发,为了在保证审计质量的前提下提高审计效率,把企业管理中与财务报表审计有关的程序、制度抽象出来形成的一种为审计服务的工具。它是随着审计专业、审计行业的发展而发展的。所以,迄今为止,其研究组织、研究人员都是审计和会计的相关组织与机构;在内容上还仅仅限于审计理论和实务,对内部控制的定位还停留在与财务审计密切联系的“保证和防护政策、程序、过程”上。虽然随着内部控制的发展,其内容已经扩展到了企业的很多领域,但是,在内容和形式上,审计专业或行业的烙印依然很深。总之,审计不管是为了增进财务信息的价值,还是为了促进股东和企业利益的最大化,还是分担社会风险,从本质来说,它是一个评价客观事物的过程。因此,不管其采取的方式和方法如何,它都必须尽可能的客观。内部控制概念的提出是为了在保证审计质量的前提下提高审计效率,这在实践上有其积极意义。但是,从一个较长的时期来看,随着经济环境的变化,内部控制正在逐渐突破审计行业或专业的限制,开始向企业管理和企业治理拓展,形成广义内部控制的发展趋势。而且,在新的经济环境下,随着管理和审计的创新发展,内部控制的发展必将经历一个新的飞跃。
COSO内部控制框架正是随着经济环境的变化而出现的对内部控制的创新和发展,它综合了企业管理层和其他相关各方不同的需要和期望,提出了一个服务于不同各方需要的内部控制的一般定义。COSO委员会提出,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其强调的重点在于:
(1)内部控制是一种程序,它意味着向某一终点努力,但不是终点本身;
(2)内部控制是用来取得一种或多种互相区分而又紧密联系的目标;
(3)内部控制受人的影响,而不只是政策、守则或表格;
(4)只能期待内部控制为公司管理层提供合理的保证,而不是绝对的保证。
COSO内部控制框架目标体系包括三类目标:第一类目标致力于企业基本的商业目标,包括绩效和利润目标以及资源的安全保护,其出发点是企业的生产经营,是为管理者服务的;第二类目标涉及编制可靠的公开财务报表,包括中期财务报表、简略财务报表以及从这些报表中选取的数据,比如收益情况公告、公开报告,其立足点是保护企业外部投资者的利益,是为外部投资者服务的;第三类目标是要符合相关的法律和法规,是为监管者服务的。也就是说,这个目标体系中包含了至少三个方面的利益主体。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。具体包括:控制环境、风险评估、控制活动、信息和沟通以及监督。
同以往的内部控制理论及研究成果相比,COSO报告提出了许多新的、有价值的观点。它第一次明确地阐述了内部控制的制定与实施的责任问题,强调内部控制应该与企业的经营管理过程相结合,认为内部控制是企业经营过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。把内部控制应看成一个“动态过程”,内部控制是对企业整个经营管理活动进行监督与控制的过程,企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止。内部控制就是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,而且内部控制是透过企业之内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。反过来,内部控制又影响着人的行动。当然,我们应该注意,内部控制要建立在成本与效益原则的基础上。内部控制并不是要消除任何滥用职权的可能性,而是要创造一种为防范滥用职权而投入的成本与滥用职权的累计数额之比呈合理状态(即经济原则)的机制。
对于内部控制的设计,我们应着重强调高级领导层的控制责任。首先,董事会应充分理解公司的主要风险,正确设定风险的可接受水平;定期督导高级管理层识别、估量、监督和控制这些风险;确保内部控制系统的有效性;建立独立的审计委员会帮助董事会行使这方面的职责。其次,高级管理层负责制定识别、估量、监督和控制风险的程序,通过维护某种组织结构去明确职责、权限和报告关系;确保职责的有效执行;制定有效的内部控制政策;监督评审内部控制的充分性和有效性。同时我们应大力提倡和营造一种“控制文化”。一方面,董事会和高级管理层负责促进在道德和完整性方面的高标准,并在机构中建立一种文化,向各级人员强调和说明内部控制的重要性;另一方面,企业中的所有员工都需要理解他们在内部控制程序中的作用,并在程序中充分发挥他们的作用。有效的内部控制系统的一项实质性内容就是建立强有力的控制文化。另外,企业要充分关注对全部风险的评估。特别要明确银行是承担风险的机构,生产企业也需要不时调整内部控制,以便恰当地处理任何新的或过去不加控制的风险,并对企业不能够控制的风险采取正确的防范措施。
对于内部控制的应用,我们应清楚地认识到控制活动已被当作企业日常工作不可分割的一部分,而不是对经营管理的额外补充。有效的内部控制系统能够迅速采取应变措施,避免不必要的成本;建立适当的控制结构,明确定义各经营级别的控制活动。特别强调适当分离职责;识别和尽力缩小有潜在利益冲突的地方;遵从谨慎和独立的监督评审。应非常重视企业的信息与交流,保证信息的完整性、可靠性、可获性和一致性;保证信息系统应受到安全保护和独立的监督评审,防止突发事件;特别注意有效地控制电子信息系统和信息技术的使用,以及建立有效的交流渠道并确保相关信息的正确传达。
对于内部控制的监督,我们应当注意加强其检验评审活动,并强调缺陷的纠正。企业经营管理人员应不断地而不是间断性地在日常工作中监督评审企业内部控制的总体效果和主要风险;对内部控制制度定期进行独立、有效和全面的内部审计,并将结果向高级领导层直接报告;及时报告并果断处理所发现的内部控制缺陷。要使对内部控制制度的评价成为企业内审监督部门的日常监管工作和现场检查监督的一部分。内审监督部门和外部审计机构应要求企业具有有效的内部控制制度,充分和有效地化解企业的风险(特别是主要风险);监督部门应检查高级领导层的内部控制态度、内部审计部门的有关工作和外部审计的检查结果等等,对不符合要求的企业采取措施。
企业在具体设计内部控制制度时,既要借鉴国际先进的内部控制理论,如COSO框架体系,也要结合我国企业的实践经验,如一些大公司的内部控制建设实际。在这一过程中,有三点必须注意:
1.要正确理解内部控制与管理的关系,进一步认识并高度重视内部控制在管理活动中的重要地位,由公司决策层和部门领导带头,动员各级员工营造良好的控制文化,在内部控制理论与实践相结合的基础上形成共识和共同语言,按照内部控制的三大目标和五大组成部分,以规范内部控制操作方法,对经营管理中各种风险实行逐级控制,提高经营管理水平。
2.要正确理解内部控制与风险管理的关系,进一步确立内部控制在整体管理中的重要地位,按照国际规范的内部控制原则和系统框架,尽快建立适合中国国情的企业内部控制组织结构,如建设内部控制的执行系统(内部控制委员会)和监督系统(内部审计委员会),尽快在体制上明确高级管理层在这方面的责任,加强对内、外部所有风险的总体研究和控制。
3.要正确理解内部控制与内部审计的关系,明确内部控制主要是经营管理部门的责任,对内部控制的检查评价也主要是经营管理部门的责任;同时,内部审计部门要把工作的重点尽快转向对经营管理的内部控制系统进行有效的和全面的审计再监督,并在监督评审中注意保持独立性,建议和敦促经营管理部门纠正控制的缺陷。
对于内部控制评价,自从1992年Treadway委员会发布COSO报告——内部控制整体框架以后,美国的政府机构以及会计师协会等组织就对其进行了评价,并在讨论和评价中逐渐视其为内部控制理论方面的模本,受到越来越多的研究和推广。除美国之外,很多国家也在采用COSO报告。正是因为其广泛性和实用性,我国在法规和规章中也不断地引用。
从我国的现实情况来看,企业在普遍存在内部人控制的同时又表现为内部控制的普遍薄弱,使得企业所有者的权益或是企业小股东的权益得不到应有的保护,企业的经营状况呈现出大面积的业绩滑坡,企业财务等方面的风险没有得到良好的控制,乃至许多企业的生存发展能力令人堪忧。尤其是在我国加入WTO的背景条件下,由于技术、经济、历史等方面因素的影响,我国企业都面临更大的竞争压力和经营发展的更大的不确定性。因此,在不断加强和完善企业外部监控体系的同时,更应当建立和完善企业内部控制的理论体系及实务操作规范,对企业内部控制的设计和执行的有效性进行以内部审计为主体的评价,使得企业能够保持自身健康的生存和发展能力,达到各方契约人的预期目的。
现实中,国际、国内企业衰败的案例数不胜数,结论却是一致的,即内部控制是企业生存发展至关重要的因素。在内部控制基础上的风险管理是企业内部控制的目的,以使得企业能够健康发展。内部控制设计和执行基础上的内部控制评价是防范企业风险的手段。
在现阶段,我国内部控制的实际是注重设计,缺少执行,以及企业对执行中内部控制出现的问题缺乏重视,更难以对企业的内部控制进行评价。针对我国企业发展的外部环境和内部环境两个方面的考虑,我国内部控制评价应该先从企业内部做起,在达到企业对内部控制的充分认识和相当程度的有效执行后,股东和投资者对企业的内部控制状况有一定的提高后,再进行内部控制鉴证和审计,进行内部控制报告。
本书对国外内部控制评价最新的理论成果和实践研究进行了详细的分析,并对我国的内部控制评价理论发展进行了阐述。然后对我国内部控制环境和现状进行了剖析,提出了以企业董事会为主导的,其授权下的内部审计进行内部控制评价,立足于企业的资产安全、信息真实和经营的效率效果。把COSO框架引入企业的内部控制评价中,分别从其五要素即控制环境、风险评估、控制活动、信息与沟通以及监督的角度进行内部控制评价的实践探讨。
同时,本书是在研究COSO报告基础上提出,由企业进行的内部控制评价,由于COSO报告缺乏定量分析,进而在内部控制评价中也就从定性角度进行,缺乏定量分析。另外,由于时间和条件的限制,对我国企业的现状缺乏调查,只是在前人调查研究的基础上进行总结,分析出企业内部控制的现状。
内部控制建设和完善不是短期内就能完成的,也不是单靠企业自身的努力就可以达到的。国家应该给企业塑造一个重视、开发和研究内部控制的宏观环境。建议我国的立法机关或者其他职业团体对我国企业的内部控制进行全面的研究,或制定准则,或提出指南,给企业的内部控制建设提供一个框架和参考依据。此外,外界也可以给企业管理者以适当的压力和动力,让其自觉提高和完善企业的内部控制。
内部控制评价对于企业建立内部控制系统有着重要的意义,它在很大程度上能够促使内部控制系统三个目标的实现。学术界也对内部控制评价规范和标准进行了研究,并取得了一定的成果,但这些研究仍仅仅停留在定性方面,内部控制的评价仍然靠内部控制调查表、内部控制流程图等基于主观评价的方法,内部控制评价的定量研究十分罕见(几乎没有);然而,随着内部控制系统的日趋复杂,这些评价方法已暴露出很大的局限性,其评价效果已无法令人满意。因此,有必要引入新的评价方法,以提高内部控制设计和评价的效率效果。
无论是理论界还是实务界,在内部控制的研究中都忽略了风险评估因素,企业界对风险评估的探索远远落后于西方发达国家,我国政府至今没有对企业进行风险评估提出要求,没有制定相应政策或规范,使得我国企业风险管理一团混乱,损害了股东的合法权益。
中国证监会首席会计师张为国表示,美国在爆发会计丑闻后颁布的《萨班斯-奥克斯利法案》,在会计师行业监管、公司治理等方面提出了许多新的严格要求,不仅会对美国而且会对世界各国会计、公司治理以致整个证券市场产生重大而深远的影响,我国应分阶段借鉴。从中长期看,张为国认为,一两年内可借鉴,明确单位负责人和财务主管的会计责任,提高与管理层和主要股东有关的经济业务的披露要求等。今后3~5年内我国可借鉴的措施主要包括缩短财务报告披露期限、提高中期报告审阅要求、完善上市公司内部控制及其报告制度、实行灵活的会计年度、充分发挥审计委员会的作用等。长期努力可借鉴的包括成立独立的会计监察委员会、改革会计准则制定机制和提高对证券犯罪的惩罚力度。
在国内,除了UT斯达康,亚信、新浪、搜狐、中国联通、中石油、中石化等都正在进行内部控制体系建设研究,以符合《萨班斯-奥克斯利法案》的要求。
我国内部控制研究在政府的大力推动下,在那些在美国上市的中国公司的内部控制体系建设的带动下,以及企业自身在外部环境的驱动下和企业内部经营的发展动力下,内部控制的研究和实践正在如火如荼地进行。
