资源描述
财务管理内部审计内部审计讲义报告制度 COSO 报告目录目录管理层概述 1总体构架 111 定义 132 控制环境 233 风险评估 334 控制活动 495 信息和交流 596 监控 697 内部控制的局限 798 作用和职责 83附录A 学习本文的相关事项及背景知识 93B 方法体系 99C 对定义的看法和使用 105D 反馈意见 111E 术语 119第一部分:管理层概述管理层概述高层管理人员一直在探求更好的企业经营控制之道。内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。 鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。内部控制日益被视为诸多潜在问题的解决方案。什么是内部控制内部控制对不同的人有不同的含义。这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。由此造成的误解和期望值的差异往往给企业带来问题。一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。本文是针对管理层的需要和期望而写的。本文对内部控制的定义服务于以下目的:ll确立一个满足各方需要通用的定义。提供一个标准无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:lll经营的效果和效率财务报告的可靠性法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。第三类目标指企业经营必须符合相关的法律法规。以上三类目标既相互独立又相互联系,分别代表不同的需求,需要对它们作专门研究。内部控制制度依据其运行的有效性程度而有所不同。因此,这三类目标又可据此进行划分,如果董事会和经理层能够合理的保证:lll他们清楚地知道企业经营目标实现的程度公开财务报表的编制是可靠的企业适用的法律得到遵守虽然内部控制是一个过程,它的效果却表现为在某一时点上这一过程的状态。 内部控制包括五个相互联系的要素。它们源自管理层的经营方式,并与管理过程紧密相连。尽管此五项要素适用于各类企业,但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强,但其内部控制也可能是有效的。内部控制的五项要素为:l控制环境控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。l风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。l控制活动控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。l信息和交流公平的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的交流从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理 层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之间也需要有效的交流。l监控内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连,因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营质量和主动的授权,避免不必要的花费,并对环境的变化迅速作出反应。内部控制的三类目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标如经营的效率和效果需要五项要素配合发挥作用,以说明经营的内部控制是有效的。内部控制的定义受人为因素影响、提供合理保证的过程,这一内在基本的概念及其不同种类的的目标、内部控制要素、内控有效性评价准则、与之相关的讨论,构成这本内部控制基本构架的内容。内部控制能做什么?内部控制有助于企业实现其业绩和利润目标,防止资源损失,提高财务报 告的可靠性,督促企业遵守相关法律法规,避免企业名誉受到损害以及受到其他不良影响。总之,内部控制有利于企业在即定轨道中前进,避免走弯路和遭遇突然袭击。内部控制不能做什么?不幸的是,一些人对内部控制有不合实际的预期,他们存在以下幻想:l内部控制可以确保企业的成功它能确保企业实现基本经营目标,至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提给予管理层关于企业生长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外,政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功,甚至不能保证生存。l内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度,无论设计、运行多么理想,都只能就企业目标的实现向管理层和董事会提供合理的,而非绝对的保证。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况:决策判断可能失误,简单的错误可能导致大纰漏。另外,控制可能因为两个以上人的相互勾结而趋于无效,而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实,即出于资源有限性的考虑,内部控制必须考虑成本收益的匹配。因此,尽管内部控制有助于企业实现其目标,但它并非万能药。角色和职责企业的每位员工都应担负内部控制的职责。l经理层总裁应最终负责并具有内控系统的“所有权”。与其他人相比较,总裁制定了最高基调,这将影响诚信度、道德品行以及构成一个 积极的控制环境的其他因素。在大公司,总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员,则向各部门负责人分配具体的控制措施和程序。在规模小些的公司,总裁常常身兼所有者和经理人双重角色,其影响也就更加直接。在任何情况下,对于金字塔式的职责分布结构,每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属,他们的控制行为切入企业经营的各部分。l董事会经理层对董事会负责,董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境,留出足够的时间来完成董事会职责。不诚实的经理层有可能越过内部控制,忽视或压制下属的信息反馈,并故意误报结果以掩盖其行径。一个强有力、活跃的董事会,特别是具备了有效的信息自下而上传递的渠道,以及完善的财务、法律和内审职能后,往往能识别和纠正这样的问题。l内部审计人员内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性,内部审计在监控方面扮演重要角色。l其他人员从某种程度上说,内部控制是企业中每个人的职责,因此应成为每个人工作职责中明示或暗示的部分。实际上,所有职员都在产出内控系统需用的信息,或在进行与内控有效运行相关的活动。而且,所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。一些企业外部人员常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控,通过直接的财务报表审计和间接的管理建议,来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员,包括律 师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员,不属于企业内控系统的一部分,也不对企业内控系统负责。本报告的组织结构本报告分四部分。第一部分“管理层总结”,是对内部控制总体构架的高度总结,是针对总裁和高级管理人员、董事会成员、律师和监管当局而写的。第二部分“总体构架”,对内部控制进行了定义,阐述其构成要素,为管理层、董事会及他人提供了评估内部控制有效性的准则。第三部分“外部团体报告”,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供了指导第四部分“评估工具”,提供了对内控系统进行评估的有用资料。本报告目的根据本报告所能采取的行动与当事人所处的位置和承担的职责有关:l高级管理人员多数来此学习的管理人员相信其对企业能够基本控制。然而,许多人认为一些部门或控制环节的内控还处于发展阶段或需要进一步加强。没有人喜欢出漏子。本研究报告建议总裁创建一套内控系统的自我评价系统。运用此系统,总裁以及主要经营、财务管理人员就能够将注意力集中在关键问题上。一种方法是:总裁将部门负责人和业务骨干召集在一起讨论内部控制的初始评估方案,然后指导其他职员和上司讨论本报告中的概念,各职员在其职责范围内检查初始评估方案并提出反馈意见。另一种方法则包括对公司情况的初步复核、部门控制政策和内部审计程序。不管何种形式,初始评估方案应该能够决定是否有必要,或如何进行更深层次的评估。另外,它也应能保证持续的监管到位。评价内控系统所花费的时间是一种具有高回报的投资。l董事会成员董事会成员应该和高层管理人员讨论企业内部控制制度的状况并在需要时提供督导。他们应借鉴内部审计师和外部审计师 的意见。l其他人员经理和其他人员应该考虑自身控制职能在整体内控构架下如何执行,并和高级管理人员讨论加强内部控制的方法。内部审计师应该考虑其对内控系统的关注范围,并将比较其评估资料与评估工具。l立法者和监管当局立法当局认识到对任何事件都会存在误解和不同的期望。对内部控制的理解在两方面存在不同。首先,在内部控制的作用方面存在不同。如前所述,一些人认为内控系统应该能够防止企业遭受损失,或至少能够防止企业破产。其次,即使已在内控系统所能和所不能,以及“合理保证”的概念上取得一致,对于内部控制的概念和应用仍存在分歧。公司总裁非常关注监管当局在所谓内控失败事件发生后如何分析有关“合理性保证”的公开报告。在遵守有关管理层报告其内控情况的法律法规之前,需要对包括内控局限性的内部控制基本构架取得一致。本报告所阐述概念框架有助于达成以上共鸣。第二部分:定义第一章定义本章概要:内部控制被定义为一个受企业员工行为影响,用以完成特定目标的过程。这是一个广义的概念,包含了对企业进行控制的各个方面,但却强调将重点放在特定的目标上。内部控制包括五个相互联系的要素,它们都包含在管理层经营企业的方式中。五项要素相互联系,作为评判内控系统是否有效的准则。本次研究的主要目的在于协助管理层更好地控制企业行为。但内部控制对不同的人有不同的含义。大量的术语和释义妨碍人们了对内部控制的达成共鸣。因此一个重要的目标就是将形式各异的内控概念总结成一个总体构架,以确定一个通用的定义和明确各控制要素。本构架是为适应多数观点而设计的,并为企业的内控评价、立法机构的未来举措以及教学研究提供了起点。 内部控制内部控制的定义如下:内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:lll经营的效果和效率财务报告的可靠性法律法规的遵循性该定义反映了以下基本概念:ll内部控制是一个过程。它是实现目的手段,而非目的本身。内部控制受人为影响。它不仅仅是政策手册和图表,而且涉及企业各层次的人员。l内部控制只能向企业董事会和经理层提供合理的保证,而非绝对的保证。l内部控制是为了实现三类即相互独立又相互联系的目标。有两个理由使我们相信以上内部控制的定义是广泛适用的。第一,我们采访的多数经理是这样来看企业内部控制的。实际上,他们常常提及“控制”一词,而且正在“控制”。第二,它适用于内部控制的多个子集。不同人可以有不同的侧重点,例如,可以分别侧重于财务报告和法律法规的遵循性。类似的,这一定义对企业某一部门或某一行为的内部控制也适用。该定义同时也提供了决定内控有效性的基础,这在后面章节将会讨论到。以上基本定义将在以下小节详细讨论。内部控制是一个过程内部控制并非单一的事件或环境,而是针对企业行为的一系列活动。这些活动是潜移默化的,蕴含于管理层的日常经营行为中。企业横向和纵向的经营行为都是通过计划、执行和监控这一基本过程进行的。内部控制是与这一过程密不可分的一部分,使之能够良好运行,并监督运行 以保持持续的相关性。它是管理层的工具,而非管理的替代品。这一定义与很多人不同,他们认为内部控制在企业的运营过程之外,是立法者和监管当局给企业增加的负担。内控系统与企业的运营紧密相连,因基本的商业动机而存在。只有内部控制成为企业内部构架中关键的一部分时,才最为有效。内部控制应该“嵌入”企业之中,而非“外置”在企业之外。“嵌入式”控制直接影响企业实现其目标的能力,并支持企业的质量举措。对质量的要求直接与企业的运营和控制相联系。质量举措已成为企业运营构架的一部分:l高层管理人员确信质量价值蕴涵于企业的经营方式中。ll确立质量目标与企业的信息收集、分析及其他过程相联系。运用对有关竞争活动和客户期望的认知来不断推进质量的提高以上质量要素与有效的内控系统要素相重合。实际上,内部控制不仅与质量规划紧密结合,而且对其成功起关键作用。“嵌入式”控制对成本节约和减少反应时滞有重要作用。l多数企业面临高度的市场竞争和节约成本的需要。在现有的过程上增加新程序必然会增加费用。如果将重点放在当前的运营及其对有效内部控制的影响上,并将内部控制嵌入企业的日常经营中,常能使企业避免不必要的程序和成本。l将内部控制嵌入企业的运营构架中,有助于针对新的经营行为采取新的控制措施。这种自动反应增加了企业的敏捷度和竞争力。人的因素内部控制受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。人们确立企业的目标并将内控系统付诸实施。同样,内部控制也影响人们的行为。人们理解、交流和行动的方式并非一成不变,每个人都有独特的背景和才干,具有不同的需求和重点。 这些现实既对内部控制产生影响也受到其影响。人们必须知道各自的职责和权限。相应的,在不同职责和执行方式之间应有明确的分工和联系,企业的各层目标也是一样。企业员工包括董事会、经理层和其他职员。尽管董事被视为实施监管的主要人员,他们也进行工作指导,批准某些交易和政策。因此,董事会也是内部控制的一个重要元素。合理性保证内部控制,无论设计和执行多么理想,也只能就企业目标的实现向经理层和董事会提供合理的保证。企业目标实现的可能性受到内部控制内在局限的影响:包括人员决策上的失误;建立内部控制需考虑成本效益原则;人为错误和失误带来的内部控制失效。另外,内部控制会因两个或更多人的联合欺诈而失效。最后,经理层具有越过内控系统的权力。目标每个企业都有自己的使命,确立需实现的目标及相应战略。目标的设立应针对整个企业或企业内特定行为。虽然很多目标只针对特定企业,有一些还是普遍适用的,例如,几乎对所有企业普遍适用的目标是:在企业界和客户层保持良好的声誉,向股东提供可靠的财务报表,以及合法合规经营。本报告将目标分为三类:lll经营关于企业资源利用的效率、效果财务报告关于编制公开财务报表的可靠性遵循性关于法律和法规的遵循性这一分类有利于将内部控制的重点放在不同方面。这些既相互独立又相互联系的分类体现了不同的需求,也可能是不同管理人员的职责。这一分类还利于区分每类控制的可能结果。内控系统可以为实现财务报告的可靠性和法律法规的遵循性目标提供合理的保证。这些目标(很大程度上是外界施加的)的实现有赖于企业内控系统的 实施。然而,经营目标的实现如投资回报、市场份额、引进新产品并非完全在企业控制能力之内。内部控制并不能阻止决策失误和意外事件的发生。只有当管理层及时了解企业向既定目标迈进的程度,内控系统才能为企业目标的实现提供合理的保证。要素内部控制包括五项相互联系的要素。它们来自管理层经营企业的方式,并融入管理过程本身。这些要素包括:l控制环境企业的核心是人员工的特性,包括诚信、道德和能力和他们所处的环境。环境是企业发展的基础,也是推动企业发展的引擎。l风险评估企业必须了解并应对其面临的风险,设定目标,包括销售、产品、营销、财务和其他行为,使之进入即定轨道运行。还必须确立识别、分析和管理风险的机制。 图示 1内部控制要素监控控制行为信息和沟风险通评估控制环境控制环境提供了员工实施(控制)活动和履行控制责任的氛围,是其他控制要素的基础。在此环境内,经理层评估实现特定目标的风险。控制活动是为了确保经理层有关减少风险的措施的顺利实施。同时,与之相关的信息被获取和在组织内部传递。整个过程都得到监控,并随着环境的改变而更新。l控制活动必须确立和执行控制政策和程序,以确保那些被管理层认为必要的减少风险的措施得以执行。l信息和交流围绕在控制活动周围的是信息和交流系统。这些系统有利于企业员工获得及交换与运作、管理和控制企业有关的信息。l监控整个控制过程必须得到必要的监控和修订。这样,内控系统才能对环境的变化自动反应。内部控制各项要素及其间联系如图示 1。该模型描述了内控系统的运行体制。例如,对风险的评估不仅影响控制行为,还可能强调需要重新考虑信息和沟通,或重新考虑企业监控行为。因此,内部控制并非一项要素影响下一项要素的顺序过程。它是一个几乎任一要素都可以影响其他要素的多方向、相互作用的过程。 没有两个企业会或应该具有相同的内控系统。公司的内控系统因行业和规模、文化和管理层哲学而不同。因此,尽管企业都需要这几项要素来实施对企业的控制,某一公司的内控系统常常看起来与另一公司的内控系统大相径庭。目标和控制要素之间的关系在企业尽力要实现的目标,和代表实现这些目标需要什么的控制要素之间存在直接联系。它们之间的联系可用图示 2 中的三维矩阵表示:ll三类目标经营,财务报告和遵循性用垂直柱条表示五项要素用行来表示l内控系统相关的企业行为用第三维表示。每行要素都贯穿、针对所有三类目标。图例左下角部分可以作为例子:从企业内、外部而来的财务和非财务数据,作为信息和交流要素的组成部分,需要被用来有效管理企业运作,编制可靠财务报表和保证企业合法经营。另一例子(未单独列示),用以保证管理层规划、战略和其他指示得以贯彻的内部控制政策和程序的确立和执行代表了控制活动这一要素也与所有三类目标有关。图示 2控制目标和控制要素的关系经营财务报告合法性监控信息和交流控制行为风险评估控制环境左上:控制目标和要素之间具有直接联系,目标是企业尽力去实现的,而要素代表实现这些目标需要什么。右上:内部控制与整个企业,或企业的任一部门或任一行为相关。左下:所有三类目标都需要信息以有效管理企业、编制可靠财务报表及保 证合理性。右下:所有五项要素对经营目标的实现都适用和重要。 类似的,所有五项要素与每类目标都有关联。例如,对经营的效果和效率目标,所有五项要素都适用和重要。这在图例 2 的右下角已说明。内部控制与整个企业或其中某一部分有关。这一关系用第三维表示,第三维代表附属公司、部门、业务单位、职能单位或诸如购买、生产、营销在内的企业行为。相应的,每个人都可以关注三维矩阵的一个单元。例如,可以考虑矩阵左下方前侧的一个单元,其代表与公司特定部门经营目标相关的控制环境。有效性不同企业的内控系统在不同的有效性水平上运行。类似的,特定的系统在不同的时期运行,可能具有不同的效果。当内控系统满足以下标准时,我们可以认为它是有效的:如果董事会和经理层能够分别合理地保证在每类中任一类内部控制都可视为有效,:lll他们了解企业经营目标可以在多大程度上实现对外财务报表的编制是可靠的适用的法律和法规得以遵循尽管内部控制是一个过程,其有效性却是过程中某一时点的状态或情况。评价某一内控系统是否有效是一种主观判断,判断来自对五项要素是否存在及有效运行的评估。内控系统的有效运行为上述某一或多项目标的实现提供了合理保证。因此,这些要素也是有效内控系统的评价标准。尽管所有五项标准都必须满足,但并不意味着在不同企业,各项要素的功能必须完全一致或在同一水平上。在要素间存在某种平衡。由于控制服务于多重目的,服务于目的的在某一要素中的控制也可能体现在其他要素的控制上。另外,控制防范某一特定风险的程度也有所差异,因此,加入附加的控制措施(尽管各自具有有限的影响力)可以带来令人满意的效果。所有的要素和准则适用于整个内控系统,或适用于某一或多个分类目标。例如,当考虑到其中一类目标对财务报告的控制时,所有五项准则都必须被满足以得出对财务报告的控制是有效的这一结论。 当评判一个内部控制制度是否有效时,应该考虑以下的章节。应该认识到:由于内部控制是管理过程的一部分,因此对控制要素的讨论是在l管理层如何经营企业这一背景下进行的。但并非管理层的一切行为都是内部控制的元素。例如,确立目标这一管理层重要的职责,就是内部控制的先决条件。类似的,很多管理层的决策和行为不代表内部控制。图例 3 列出了管理层的日常行为,并标出哪些被视作内部控制的要素。(该列示并非对管理层行为方式全面或唯一的归纳)l讨论的原则适用于所有规模的企业。一些中小型企业对要素的应用可能不同于大企业,但其仍能拥有有效的内部控制。每一章有一部分解释这样的情形。l每一章包含了“评估”部分,列出了评价控制要素时应考虑的因素。这些因素并非涵盖一切,也不是与每种环境都相关。它们仅提供例证用以开发一个更易理解或更具有针对性的评估模型。图例 3内部控制和管理过程管理行为内部控制公司总体目标制定使命,公司价值描述战略规划建立控制环境要素操作层目标制定风险识别和分析风险管理实施控制活动信息甄别、获取和传递监控科教兴国18
展开阅读全文