构筑坚实的内部控制评价基础

1、    构筑坚实的内部控制评价基础         来源：岁月联盟    作者：吴志华刘丽芹    时间：2010-07-03                    【摘 要】 提高并保持有效性是内部

2、控制的焦点，合理地评价内部控制有效性是当前国际上努力探索的课题。COSO的关于内部控制监督检查的应用指南项目将为这两方面提供具体指导。本文首先简要介绍已发布的指南讨稿，而后对其作用展开分析，并提出了改进建议。 【关键词】 内部控制； 检查监督； 有效性； 内部控制评价 监督检查在COSO内部控制框架报告中是构成内部控制的五个要素之一。虽然这份于1992年发布的报告指出了监督检查能够帮助保持内部控制的有效性，但正如委员会主席Larry E. Rittenberg所说，很多企业在实际运用COSO内部控制框架理论过程中，没有充分利用监督检查这一要素。 2007年9月，COSO委员会发布了内部控制系统

3、监督检查指南讨论文件（Guidance on Monitoring Internal Control System，下文将其简称为指南），旨在提高对有效监督检查的理解，推动其应用，以改进内部控制系统的有效性。正式文件计划于2008年年中发布。 指南得到的反响并不很热烈，在肯定其积极意义之后，反馈意见更多的是问题和担心，如：PWC认为指南对监督检查一些概念的解释可能会产生混乱，应注意与COSO1992年和2006年的报告完全一致，而且从术语、概念和原理上应与SEC和PCAOB发布的管理层和审计师评价指南一致，当前业界最为关心的还是财务报告内部控制有效性的评价，指南应在这方面提供帮助等等。德勤也有

4、类似担心。 笔者认为，指南作为一个“后来者”，面临上述疑问是正常的。但作为监督检查这一基本内部控制要素的应用指南，不仅将在提高内部控制有效性上发挥作用，也将因其推动建立内部控制评价的基础，对外部监管方面具有不可低估的意义。 一、主要内容介绍 （一）了有效监督检查的两个原则 1.持续监督检查和/或单独评估应能使管理层了解内部控制的各要素是否随时间继续有效。 2.内部控制缺陷应被查出并及时传达到负责纠正的人员和管理层，如有必要应报告董事会。 这两个原则已经体现在1992年的COSO框架报告和2006年的小企业财务报告内部控制指南之中，指南的目的是进一步推动对有效监督检查概念的理解，使各类组织充分认

5、识和发挥监督检查要素的作用。 （二）归纳分析了影响监督检查有效性的主要因素 三个因素影响监督检查的有效性：1.监督检查开展的控制环境；2.根据风险水平采用有效监督检查程序和分配监督检查资源的能力；3.向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。 指南对三个要素进行了展开分析，详细阐述了为保证监督检查有效每个方面应有的要求或应达到的标准。一是控制环境方面的要求：首先，管理当局应对监督检查高度重视；其次，监督检查人员应专业胜任、公正并被适当授权。二是根据风险水平采用有效监督检查程序和分配监督检查资源的能力。影响监督检查计划的因素有：组织规模与复杂性、经营活动的特性（如是否经常变化、是否

6、容易发生舞弊等）、监督检查的目的（如内部管理需要还是满足外部监管法规的要求）、控制活动对达成组织目标的重要性等。应基于风险评估的结果进行优先级排序，分配资源，采取相应的监督检查方式。有效的监督检查应收集并分析充分适当的信息，形成具有说服力的关于内部控制有效性的结论。三是向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。 发现的控制缺陷必须及时通报到控制运行的责任人及其直接上级，以保证及时采取纠正措施。向其它方面报告的对象和报告频次取决于相关控制的重要性和检查出问题的严重性。应根据风险可能带来的损失及发生的可能性来评估控制缺陷的严重性，并有具备适当独立性的人员参与。 （三）不仅适用于财务报

7、告内部控制目标，也适用于其它内部控制目标 适当设计并执行的监督检查工作可为满足外部披露等监管要求提供支持。 二、意义分析 指南具有以下方面的重大意义： （一）加强对监督检查要素的理解、应用，推动提高内部控制有效性 内部控制的难点在于保持其有效性，这也从屡屡发生的因内控失效而给企业带来巨大损失案上得到印证。这种挑战也是任何一家管理先进的国际企业所面临的，如2008年1月24日刚爆出的法国SocGen银行（法国第二大银行）72亿美元损失的失控交易案。 不断发生在这些国际知名企业身上的内控“重磅炸弹”给了人们更深层面的警示：即使建立了一整套详细的内部控制制度、配备了庞大的风险管理团队，内部控制可能仍

8、不是有效的。 COSO委员会1992年内部控制框架报告和2006年小型上市公司财务报告内部控制指南引入并从原则上阐释了监督检查的角色和作用，但在指导应用方面还不够。指南分析了有效监督检查的各构成要素，并提供了具体应用的原则和方法，因而能够改变其目前未得到充分利用的状况，极大地推动这一关键内部控制要素的广泛应用。 监督检查要素作用的发挥对我国现阶段企业内部控制状况的提高尤其重要。有效的检查监督能够：1.曝光不执行制度的行为，督促制度的有效执行和完善。2.在控制缺陷造成重大损失之前发现并及时改进。 控制缺陷的存在具有一定客观性，有两个原因：内部控制设计者的认识局限性；环境或业务的变化带来新的风险或

9、使原有控制活动失效。但动态地来看，控制缺陷一开始带来重大损失的可能性很小，这是因为认识局限性普遍存在，可以利用漏洞的人员没认识到漏洞的存在，或虽然认识到，但需要时间酝酿准备。公司文化对舞弊也有不同程度的抑制作用。这还与企业阶段有关。高速成长的企业员工面临较大发展空间，从事舞弊的可能性要低。但必须清醒意识到，随时间的推延，控制缺陷被利用的可能性将显著增加。 假定内部控制检查者与可能利用控制缺陷人员对内部控制的认识大体同步，或虽然认识较晚但期间受其他因素作用，尚未造成重大损失，此时检查评估将可以发现控制缺陷并予以解决，避免重大损失的发生。 这是一个弱假定，管理基础好的企业有着强的内部控制建设专业队

10、伍，企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实：企业内部控制缺陷大量存在，正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用，做实检查监督对我国企业尤其紧迫。 （二）为内部控制的外部监管提供支撑 上世纪九十年代爆出的安然、世通等巨型公司倒闭案，促使美国于2002年颁布了SOX法案，强制要求上市公司企业管理当局报告内部控制系统的有效性，并要求从事财务报表审计的注册师就管理当局的报告出具审计意见。美国的做法在世界范围引起强烈反响，各国纷纷探讨效仿美国这一做法的可行性。但几年过去，从目前来看，这种对企业的强制要求并没有在世界范围推广开来，直接原因是强制披露内部控制有效

11、性被认为将大大加重企业负担，审计风险也显著增加。欧盟经过广泛讨论，认为内部控制应关注全方位的风险，而不应局限于财务报告目标上。我国目前也处于讨论探索阶段。 如何降低内部控制有效性评价的成本也是美国面临的难题，SOX法案正式执行后美国相关各方不断采取措施以图解决这一矛盾，如PCAOB于2007年5月颁布AS5，对审计准则进行了重大修订；COSO于2006年发布了小企业财务报告内部控制指南；SEC于2007年6月发布了管理层关于财务报告内部控制有效性的评价报告指南等等。 之所以出现企业在披露内部控制有效性时成本过大的问题，原因在于内部控制系统的监督检查没有规范化，缺乏平时积累。指南从以下方面为建立系统规范的监督检查机制提供了指导： 1.根据控制目标的重要性和控制的强弱状况，区别监督检查的主体（自己、同事、上级或/和内部审计）、方式（持续监督或/和单独评估）以及频次。 2.根据监督检查结果的重要性