陳筱悅

摘要：內部控制是由企業(yè)董事會、經(jīng)理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。內部監(jiān)督是對整個內部控制系統(tǒng)的運行狀況進行監(jiān)控，是對控制的再控制，是保障內部控制持續(xù)有效的關鍵因素。內部控制有效性包括設計有效性和運行有效性。內部控制有效性要求所設計的控制單獨或連同其他控制能夠防止或發(fā)現(xiàn)并糾正重大錯報，并得到執(zhí)行。

關鍵詞：內部控制；監(jiān)督要素；風險導向；有效性

一、引言

隨著經(jīng)濟的發(fā)展，企業(yè)外部競爭加劇，上市公司舞弊的行為越來越嚴重，公司內部控制系統(tǒng)有效性缺陷導致大量舞弊與經(jīng)營失敗的案例屢見不鮮，如巴林銀行的倒閉；雷曼兄弟申請破產(chǎn)保護；安然公司出具虛假財務報告最終破產(chǎn)；中國航油（新加坡）股份有限公司因石油衍生品交易出現(xiàn)巨虧，于2004年申請破產(chǎn)保護：四川長虹缺乏有效內部控制，在應收賬款收回方面存在諸多問題，于2004年發(fā)布了上市10年以來首次預虧公告。這些大型公司由于內部控制缺陷導致經(jīng)營失敗，引起了人們對內部控制有效性高度關注。

COSO是這樣定義內部控制的：內部控制是由企業(yè)董事會、經(jīng)理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規(guī)的遵循性等目標的實現(xiàn)而提供合理保證的過程。有效地內部控制能夠幫助企業(yè)應對風險、提升管理、持續(xù)發(fā)展，能夠幫助投資人進行投資決策、維護其知情權，能夠幫助監(jiān)管者規(guī)范秩序、維護投資人的利益。

內部控制是有目標、結構、要素三個層面構成的完整框架。目標層面包括戰(zhàn)略目標、運營目標、報告目標和合規(guī)目標：結構層面包括企業(yè)整體層面、分支機構層面、業(yè)務單位層面、子公司層面：要素層面包括控制環(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督五要素。其中，監(jiān)督是管理層對內部控制的執(zhí)行進行持續(xù)或定期評價，以確保各項控制按其設計運行，以及根據(jù)情況的變化進行適應性修正。即監(jiān)督是對整個內部控制系統(tǒng)的運行狀況進行監(jiān)控，是對控制的再控制，是保障內部控制持續(xù)有效的關鍵因素。

COSO委員會于2009年1月發(fā)布了《內部控制監(jiān)督指引》，其以風險導向為核心理念，在實質上推動了內部控制監(jiān)督要素的應用性發(fā)展。有鑒于此，本文以COSO委員會發(fā)布的內部控制監(jiān)督指引為基礎，運用風險導向審計，細致分析內部控制監(jiān)督流程各環(huán)節(jié)主要風險及其應對措施，從而為企業(yè)落實內部控制監(jiān)督要素設計實施方案。

二、內部控制監(jiān)督流程

管理層通過持續(xù)的監(jiān)督活動、單獨的評價活動或兩者相結合實現(xiàn)對控制的監(jiān)督。持續(xù)的監(jiān)督活動通常貫穿于企業(yè)日常重復的活動中，包括常規(guī)管理和監(jiān)督工作。依據(jù)COSO的內部控制監(jiān)督指引，有效地監(jiān)督具體內容包括：建立監(jiān)督基礎、設計和執(zhí)行監(jiān)督流程、評價和報告監(jiān)督結果、形成內部控制有效性的結論。

內部監(jiān)督是持續(xù)演進的動態(tài)過程，如下圖所示，這個模型既可以幫助企業(yè)認識到在哪些方面已存在監(jiān)督，并且因良好的監(jiān)督而得到好評，從而可以減少不必要的控制測試：還可以幫助企業(yè)在缺乏監(jiān)督的方面有效落實內部監(jiān)督。

（一）監(jiān)督基礎包括：（1）高層基調。建立監(jiān)督基礎的關鍵在于企業(yè)管理層的態(tài)度。管理層對內部監(jiān)督的重視，有助于監(jiān)督的有效執(zhí)行，并減少特定監(jiān)督被忽視或規(guī)避的可能性。如果高層管理人員認為控制很重要，那么組織的其他人員自然也會意識到這一點，從而能認真地遵守指定的各項規(guī)定。相反，如果組織內的成員都很清楚監(jiān)督并不是高層管理人員所關心的問題，則管理層的控制目標幾乎不可能會有效實現(xiàn)。（2）監(jiān)督機構的設置。企業(yè)的監(jiān)督機構為計劃、運作、控制及監(jiān)督經(jīng)營活動提供了一個整體框架。通過集權或分權決策，可在不同部門間進行適當?shù)穆氊焺澐?，建立適當層次的報告體系。監(jiān)督機構將影響權利、責任和工作任務在組織成員中的分配。企業(yè)應當明確董事會、監(jiān)事會和經(jīng)理層的職責權限、任職條件、議事規(guī)則和工作程序，確保決策執(zhí)行和監(jiān)督相互分離，形成制衡。管理層對組織的內部控制系統(tǒng)富有最主要的責任，董事會監(jiān)視這個過程并提供必要的指導。（3）理解和把握內部控制有效性的依據(jù)和標準。內部控制有效性包括設計有效性和運行有效性。內部控制設計有效性是指為實現(xiàn)控制目標所必需的內部控制要素都存在并且設計恰當：內部控制運行有效性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確執(zhí)行，從而為控制目標的實現(xiàn)提供合理保證。也就是說所設計的控制單獨或連同其他控制能夠防止或發(fā)現(xiàn)并糾正重大錯報，并得到執(zhí)行。

（二）設計和執(zhí)行監(jiān)督程序包括：（1）風險排序。首先要分析企業(yè)在實現(xiàn)其目標過程中所面臨的風險，優(yōu)先考慮風險并識別能夠降低風險的控制，從整體層面和業(yè)務流程層面進行了解與分析，確定可能存在風險的環(huán)節(jié)，進行風險排序。（2）識別關鍵控制點。在識別關鍵控制點時應將企業(yè)整體層面的內部控制狀況和企業(yè)及其環(huán)境其他方面的情況結合起來考慮，可以重點關注整體層面內部控制的變化情況。包括企業(yè)及其環(huán)境的變化而導致內部控制發(fā)生的變化以及采取的對策。對于業(yè)務流程層面，應著手了解每一類重要交易在信息技術或人工系統(tǒng)中生成、記錄、處理及在財務報表中報告的程序，即重要交易流程，通過確定在哪個環(huán)節(jié)或哪些環(huán)節(jié)可能存在風險來促進關鍵控制的分析，從而有效識別關鍵控制點。（3）識別有說服力的信息。有說服力的信息是充分適當?shù)?，適當?shù)男畔獫M足相關性、可靠性和及時性。當某個信息同時滿足這三個要求時，評估人員就可以把他的注意力轉向是否有足夠的信息能形成一個合理的結論：當某個信息不同時具備這三個特征時，其可能在一定程度上是適當?shù)?，但還需得到補充資料來實現(xiàn)所需的適當性水平。（4）執(zhí)行監(jiān)督程序。監(jiān)督程序包括持續(xù)監(jiān)督和單獨評估，企業(yè)通過持續(xù)的監(jiān)督活動、單獨的評價活動或兩者相結合實現(xiàn)對控制的監(jiān)督。持續(xù)的監(jiān)督活動通常貫穿于企業(yè)日常重復的活動中，包括常規(guī)管理和監(jiān)督工作，能夠較早識別和糾正控制缺陷。單獨的評價活動是指企業(yè)可以使用內部審計人員或具有類似職能的人員對內部控制的設計和執(zhí)行進行專門的評價，以找出內部控制的優(yōu)點和不足，并提出改進建議。對于單獨評估需要考慮兩次評估之間控制失敗的可能性或風險的重要性。

（三）評價和報告監(jiān)督結果包括：（1）監(jiān)督結果排序。內部控制缺陷可以分為重大缺陷、重要缺陷和一般缺陷。根據(jù)缺陷的嚴重程度以及監(jiān)督目的對監(jiān)督結果進行排序，從而確定所要報告的層級。（2）報告監(jiān)督結果。重大缺陷又叫設計缺陷，應報告給董事會層面：重要缺陷向董事會層面和經(jīng)理層報告：一般缺陷向經(jīng)理層報告。（3）后續(xù)追蹤。對于在監(jiān)督中發(fā)現(xiàn)的問題，應及時向相關人員匯報，并及時改正，監(jiān)督人員應及時監(jiān)督問題改正的情況。

（四）形成支持內部控制有效性的結論。在完成以上三個步驟之后，企業(yè)通過建立監(jiān)督基礎，并且進行風險排序、識別關鍵控制點和有說服力的信息、執(zhí)行監(jiān)督程序后，通過監(jiān)督結果排序、報告監(jiān)督結果以及后續(xù)追蹤，從而形成支持內部控制有效性的結論。

三、內部控制監(jiān)督流程各環(huán)節(jié)主要風險及其應對措施

為加強對監(jiān)督流程的管理與控制，下表系統(tǒng)的梳理了內部控制監(jiān)督流程各業(yè)務環(huán)節(jié)的主要風險點、關鍵控制點、控制目標和相關控制措施。

四、企業(yè)對內部控制監(jiān)督要素的落實

企業(yè)在落實內部控制監(jiān)督要素時應注意以下幾點：（一）企業(yè)在確定什么是監(jiān)督以及如何監(jiān)督時應遵循系統(tǒng)的過程。（二）監(jiān)督過程要考慮到整個內部控制系統(tǒng)如何處理重大風險，而不僅僅是個別控制活動是如何獨立運行的：（三）董事會對于監(jiān)督活動以及防止管理層凌駕于內控之上有著重要的責任。（四）監(jiān)督者應該對以下幾點引起注意：1.重要的潛在的風險：2.控制的本質就是設計用來管理或降低風險：3.應獲取有說服力的信息來形成支持內部控制有效性的結論。（五）對內部控制設計和運行有效性的正確理解是有效實現(xiàn)監(jiān)督過程的很好地開端。（六）具有專業(yè)勝任能力的且能夠保持獨立性的評估人員對監(jiān)督過程有效性進行評估時，往往會依賴于所獲取的關于控制或控制要素持續(xù)監(jiān)督的有說服力的信息。（七）在考慮最佳的監(jiān)督方法時應運用合理的判斷。（八）監(jiān)督過程通常會包括對于直接信息和間接信息的運用。

五、內部控制有效性的判斷標準

內部控制有效性包括設計有效性和運行有效性。內部控制設計有效性是指為實現(xiàn)控制目標所必需的內部控制要素都存在并且設計恰當：內部控制運行有效性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確執(zhí)行，從而為控制目標的實現(xiàn)提供合理保證。內部控制有效性要求所設計的控制單獨或連同其他控制能夠防止或發(fā)現(xiàn)并糾正重大錯報，并得到執(zhí)行。

內部控制有效性的判斷需要首先考慮控制的設計，因為評估一項無效的運行沒有什么意義，而且設計不當?shù)目刂瓶赡鼙砻鞔嬖谥档藐P注的內部控制缺陷。在評價控制的設計時，應涉及考慮該控制單獨或連同其他控制是否能夠有效防止或發(fā)現(xiàn)并糾正重大錯報。對控制運行的評價即是指某項控制是否存在且企業(yè)正在使用。

基于以上，內部監(jiān)督是對整個內部控制系統(tǒng)的運行狀況進行監(jiān)控，是對控制的再控制，是保障內部控制持續(xù)有效的關鍵因素。所以實施監(jiān)督流程能夠幫助企業(yè)確保內部控制持續(xù)有效地運作。