淺談企業內部控制監督要素的落實

陳筱悅

摘要：內部控制是由企業董事會、經理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。內部監督是對整個內部控制系統的運行狀況進行監控，是對控制的再控制，是保障內部控制持續有效的關鍵因素。內部控制有效性包括設計有效性和運行有效性。內部控制有效性要求所設計的控制單獨或連同其他控制能夠防止或發現并糾正重大錯報，并得到執行。

關鍵詞：內部控制；監督要素；風險導向；有效性

一、引言

隨著經濟的發展，企業外部競爭加劇，上市公司舞弊的行為越來越嚴重，公司內部控制系統有效性缺陷導致大量舞弊與經營失敗的案例屢見不鮮，如巴林銀行的倒閉；雷曼兄弟申請破產保護；安然公司出具虛假財務報告最終破產；中國航油（新加坡）股份有限公司因石油衍生品交易出現巨虧，于2004年申請破產保護：四川長虹缺乏有效內部控制，在應收賬款收回方面存在諸多問題，于2004年發布了上市10年以來首次預虧公告。這些大型公司由于內部控制缺陷導致經營失敗，引起了人們對內部控制有效性高度關注。

COSO是這樣定義內部控制的：內部控制是由企業董事會、經理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。有效地內部控制能夠幫助企業應對風險、提升管理、持續發展，能夠幫助投資人進行投資決策、維護其知情權，能夠幫助監管者規范秩序、維護投資人的利益。

內部控制是有目標、結構、要素三個層面構成的完整框架。目標層面包括戰略目標、運營目標、報告目標和合規目標：結構層面包括企業整體層面、分支機構層面、業務單位層面、子公司層面：要素層面包括控制環境、風險評估、控制活動、信息與溝通、內部監督五要素。其中，監督是管理層對內部控制的執行進行持續或定期評價，以確保各項控制按其設計運行，以及根據情況的變化進行適應性修正。即監督是對整個內部控制系統的運行狀況進行監控，是對控制的再控制，是保障內部控制持續有效的關鍵因素。

COSO委員會于2009年1月發布了《內部控制監督指引》，其以風險導向為核心理念，在實質上推動了內部控制監督要素的應用性發展。有鑒于此，本文以COSO委員會發布的內部控制監督指引為基礎，運用風險導向審計，細致分析內部控制監督流程各環節主要風險及其應對措施，從而為企業落實內部控制監督要素設計實施方案。

二、內部控制監督流程

管理層通過持續的監督活動、單獨的評價活動或兩者相結合實現對控制的監督。持續的監督活動通常貫穿于企業日常重復的活動中，包括常規管理和監督工作。依據COSO的內部控制監督指引，有效地監督具體內容包括：建立監督基礎、設計和執行監督流程、評價和報告監督結果、形成內部控制有效性的結論。

內部監督是持續演進的動態過程，如下圖所示，這個模型既可以幫助企業認識到在哪些方面已存在監督，并且因良好的監督而得到好評，從而可以減少不必要的控制測試：還可以幫助企業在缺乏監督的方面有效落實內部監督。

（一）監督基礎包括：（1）高層基調。建立監督基礎的關鍵在于企業管理層的態度。管理層對內部監督的重視，有助于監督的有效執行，并減少特定監督被忽視或規避的可能性。如果高層管理人員認為控制很重要，那么組織的其他人員自然也會意識到這一點，從而能認真地遵守指定的各項規定。相反，如果組織內的成員都很清楚監督并不是高層管理人員所關心的問題，則管理層的控制目標幾乎不可能會有效實現。（2）監督機構的設置。企業的監督機構為計劃、運作、控制及監督經營活動提供了一個整體框架。通過集權或分權決策，可在不同部門間進行適當的職責劃分，建立適當層次的報告體系。監督機構將影響權利、責任和工作任務在組織成員中的分配。企業應當明確董事會、監事會和經理層的職責權限、任職條件、議事規則和工作程序，確保決策執行和監督相互分離，形成制衡。管理層對組織的內部控制系統富有最主要的責任，董事會監視這個過程并提供必要的指導。（3）理解和把握內部控制有效性的依據和標準。內部控制有效性包括設計有效性和運行有效性。內部控制設計有效性是指為實現控制目標所必需的內部控制要素都存在并且設計恰當：內部控制運行有效性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確執行，從而為控制目標的實現提供合理保證。也就是說所設計的控制單獨或連同其他控制能夠防止或發現并糾正重大錯報，并得到執行。

（二）設計和執行監督程序包括：（1）風險排序。首先要分析企業在實現其目標過程中所面臨的風險，優先考慮風險并識別能夠降低風險的控制，從整體層面和業務流程層面進行了解與分析，確定可能存在風險的環節，進行風險排序。（2）識別關鍵控制點。在識別關鍵控制點時應將企業整體層面的內部控制狀況和企業及其環境其他方面的情況結合起來考慮，可以重點關注整體層面內部控制的變化情況。包括企業及其環境的變化而導致內部控制發生的變化以及采取的對策。對于業務流程層面，應著手了解每一類重要交易在信息技術或人工系統中生成、記錄、處理及在財務報表中報告的程序，即重要交易流程，通過確定在哪個環節或哪些環節可能存在風險來促進關鍵控制的分析，從而有效識別關鍵控制點。（3）識別有說服力的信息。有說服力的信息是充分適當的，適當的信息應滿足相關性、可靠性和及時性。當某個信息同時滿足這三個要求時，評估人員就可以把他的注意力轉向是否有足夠的信息能形成一個合理的結論：當某個信息不同時具備這三個特征時，其可能在一定程度上是適當的，但還需得到補充資料來實現所需的適當性水平。（4）執行監督程序。監督程序包括持續監督和單獨評估，企業通過持續的監督活動、單獨的評價活動或兩者相結合實現對控制的監督。持續的監督活動通常貫穿于企業日常重復的活動中，包括常規管理和監督工作，能夠較早識別和糾正控制缺陷。單獨的評價活動是指企業可以使用內部審計人員或具有類似職能的人員對內部控制的設計和執行進行專門的評價，以找出內部控制的優點和不足，并提出改進建議。對于單獨評估需要考慮兩次評估之間控制失敗的可能性或風險的重要性。

（三）評價和報告監督結果包括：（1）監督結果排序。內部控制缺陷可以分為重大缺陷、重要缺陷和一般缺陷。根據缺陷的嚴重程度以及監督目的對監督結果進行排序，從而確定所要報告的層級。（2）報告監督結果。重大缺陷又叫設計缺陷，應報告給董事會層面：重要缺陷向董事會層面和經理層報告：一般缺陷向經理層報告。（3）后續追蹤。對于在監督中發現的問題，應及時向相關人員匯報，并及時改正，監督人員應及時監督問題改正的情況。

（四）形成支持內部控制有效性的結論。在完成以上三個步驟之后，企業通過建立監督基礎，并且進行風險排序、識別關鍵控制點和有說服力的信息、執行監督程序后，通過監督結果排序、報告監督結果以及后續追蹤，從而形成支持內部控制有效性的結論。

三、內部控制監督流程各環節主要風險及其應對措施

為加強對監督流程的管理與控制，下表系統的梳理了內部控制監督流程各業務環節的主要風險點、關鍵控制點、控制目標和相關控制措施。

四、企業對內部控制監督要素的落實

企業在落實內部控制監督要素時應注意以下幾點：（一）企業在確定什么是監督以及如何監督時應遵循系統的過程。（二）監督過程要考慮到整個內部控制系統如何處理重大風險，而不僅僅是個別控制活動是如何獨立運行的：（三）董事會對于監督活動以及防止管理層凌駕于內控之上有著重要的責任。（四）監督者應該對以下幾點引起注意：1.重要的潛在的風險：2.控制的本質就是設計用來管理或降低風險：3.應獲取有說服力的信息來形成支持內部控制有效性的結論。（五）對內部控制設計和運行有效性的正確理解是有效實現監督過程的很好地開端。（六）具有專業勝任能力的且能夠保持獨立性的評估人員對監督過程有效性進行評估時，往往會依賴于所獲取的關于控制或控制要素持續監督的有說服力的信息。（七）在考慮最佳的監督方法時應運用合理的判斷。（八）監督過程通常會包括對于直接信息和間接信息的運用。

五、內部控制有效性的判斷標準

內部控制有效性包括設計有效性和運行有效性。內部控制設計有效性是指為實現控制目標所必需的內部控制要素都存在并且設計恰當：內部控制運行有效性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確執行，從而為控制目標的實現提供合理保證。內部控制有效性要求所設計的控制單獨或連同其他控制能夠防止或發現并糾正重大錯報，并得到執行。

內部控制有效性的判斷需要首先考慮控制的設計，因為評估一項無效的運行沒有什么意義，而且設計不當的控制可能表明存在值得關注的內部控制缺陷。在評價控制的設計時，應涉及考慮該控制單獨或連同其他控制是否能夠有效防止或發現并糾正重大錯報。對控制運行的評價即是指某項控制是否存在且企業正在使用。

基于以上，內部監督是對整個內部控制系統的運行狀況進行監控，是對控制的再控制，是保障內部控制持續有效的關鍵因素。所以實施監督流程能夠幫助企業確保內部控制持續有效地運作。