企业内部控制的新进展|企业内部控制措施
[摘要]内部控制是现代企业管理架构的核心内容,是企业持续发展的制度保证。COSO报告提出了企业内部控制的总体框架,是全球企业内部控制理论的深化和实践的最新发展,对中国企业内部控制机制的建设与完善具有重要的指导价值。
[关键词]企业管理;内部控制;COSO报告
内部控制是现代企业管理架构的构成部分,是企业持续发展的制度保证。现代企业理论和管理实践表明,企业一切管理工作,都是从建立和健全内部控制开始的;企业的一切活动,都无法游离于内部控制之外。可以说,“得控则强,失控则弱,无控则乱”。因此,内部控制在现代企业管理中居于战略地位。
一、关于内部控制的内涵
长期以来,人们对内部控制有不同的认识,提出了各种各样的观点。例如“过程论”把内部控制定义为实现一组目标而提供合理保证的一种过程:“程序论”则认为内部控制是指基本的内部会计控制及风险管理政策及程序:“制度论”认为内部控制是企业为实现经营目标,根据经营环境变化,对企业经营与管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施:“系统则将内部控制定义为一种多要素构成的‘系统’”。另外,国内外还有“行为论”、“结果论”、“状态(环境)论”、“综合论”等其他观点。这些观点都是从不同立场或不同角度观察内部控制的结果,从不同侧面揭示了内部控制的某些特征。
那么,到底什么是内部控制呢?COSO报告将内部控制定义为:由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:经营的效果和效率;财务报告的可靠性;符合适用的法律和法规。
在这个定义中,有四个关键词值得注意:目标(objectives)、人(personnel)、过程(process)、合理保证(reasonableassurance)。也就是说,内部控制以过程为导向;受人的因素影响;受目标的驱动;存在局限性,即内部控制所提供的是合理的保证而非绝对的保证。可见,COSO报告对内部控制的定义具有丰富的内涵,同时具有科学的限定,这是截至目前最权威、最通用的内部控制定义。
二、内部控制的构成要素与整体框架
COSO报告提出了内部控制的五个构成要素,即所谓的“五点论”,它们分别是控制环境、风险评估、控制活动、信息与沟通、监控。
(一)控制环境(ControlEnvironment)
起初人们只是将控制环境作为内部控制的外部因素来看待,但渐渐地人们认识到控制环境是内部控制的一个组成部分,是充分有效的内部控制体系得以建立和运行的基础及保证,因而应该包含在企业内部控制的范围内。
COSO报告则把控制环境作为内部控制系统的首要因素,认为控制环境是一个企业进行内部控制的氛围,是其他控制成份的基础。具体包括以下内容:(1)员工的诚实性和道德观,如有无描述可接受的商业行为、利益冲突及道德行为标准的行为准则。(2)员工的胜任能力,如雇员是否能胜任质量管理的要求。(3)董事会或审计委员会,如董事会是否独立于管理层。(4)管理哲学和经营方式,如管理层对人为操纵的或错误的记录的态度。(5)组织结构,如信息是否到达合适的管理阶层。(6)授予权利和责任的方式,如关键部门的经理的职责是否有充分规定。(6)人力资源政策和实施,如是否有关于雇佣、培训、提升和奖励雇员的政策。
仔细分析以上描述,控制环境可以归纳为两大方面:一是“软环境”:包括企业的管理哲学、控制文化(cultureofcontrols)、风险意识、人的素质与品德等看不见、摸不着、却在内部控制中起着决定性作用的无形因素构成的氛围。二是“硬环境”:包括企业的所有权结构、法人治理结构、组织体系、权力分配等结构性因素。企业只有建立包括董事会、管理层等在内的完善的治理结构,以及科学合理的组织体系,并合理配置各层次、各方面的权责,内部控制系统才有所依托并得以运转。可见,控制环境既是一个企业管理架构的组成部分,也是其内部控制系统的构成要素。控制环境确立了一个企业的基调,影响公司及人员的控制意识和导向。它是其他内部控制要素的基础,提供规则和结构。只有打牢控制环境这个根基,企业内部控制系统的“大厦”才能建立起来并真正发挥作用。
(二)风险评估(RiskAssessment)
风险控制对企业来说具有特别重要的意义,不仅是企业内部控制的主要目标,而且是企业内部控制的核心要素和轴心工作。
COSO报告认为,风险评估指管理层识别并采取相应行动来管理对经营、财务报告、合规性目标有影响的内部或外部风险,包括风险识别和风险分析。风险识别包括对外部因素(如技术发展、竞争、经济变化)和内部因素(如员工素质、公司活动性质、信息系统处理的特点)进行检查。风险分析涉及估计风险的重大程度、评价风险发生的可能性及考虑如何管理风险等。
1/4 1234下一页尾页