基于風險導向的內部控制監督要素的實施方案

【摘 要】本文通過對內部控制監督要素實施的重要性分析，以風險為導向，從監督流程的各個環節的風險點出發，針對關鍵風險點提出必要控制措施。

【關鍵詞】內部控制；風險導向；監督要素；實施方案

一、內部控制中落實監督要素的重要性

根據COSO委員會對內部控制的定義，內部控制是由企業董事會、經理層和其他員工實施的，為運營的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。如MOTOROLA總裁加力·土克所說，“內部控制能幫助我們繞過途中的陷阱，到達目的地。”內部控制是對影響企業目標實現的各種風險因素進行分析和控制，從而幫助實現企業目標的過程。COSO委員會在《內部控制整合框架》中，提出內部控制五要素框架，包括內部控制環境、風險管理、控制活動、信息與溝通和監控。這不是一個循環有序的過程，而是相互交叉，持續不斷的過程。一個主體的企業風險管理隨著時間而變化。曾經有效地風險應對可能會變得不相關；控制活動可能會變得不太有效，或者不再被執行；主體的目標也可能有變化。這些可能是由于新員工的到來、主體結構或方向的的變化或者引入新流程所造成的。面對這些變化，管理層需要確定企業風險管理的運行是否持續有效。這個時候，對企業內部控制的監控就顯得尤為重要。

二、內部控制監督的流程設計

內部監督是企業對內部控制建立與實施情況進行監督檢查，評價其健全性和有效性，發現和認定內部控制缺陷，并及時加以改進和完善的過程。COSO委員會于2009年1月發布了《監督內部控制系統的指南》，該指南以風險導向為核心理念，以將監督有效地植入公司的持續控制過程為根本目標，從而能最小化內部控制失敗并提高決策所需信息的可靠性，它在實質上推動了內部控制監督要素的應用性發展。內部控制監督的主要目標在于，當監督有效時，認可并最大程度地利用它；存在改進的可能時則加強之。因此，有效的內部控制監督在一個企業中是動態的、持續演進的過程。COSO委員會內部指引中指出內部監督的流程包括以下四個環節：

1.建立監督基礎。（1）關于內部控制重要性的高層基調。對于每一個內部控制要素，管理層和董事會表達他們對于監督重要性的看法對于內部控制的有效性有直接的影響。管理層的基調影響了員工們執行監督和對監督的反應的方式；同樣，董事會的基調會影響管理層執行監督和對監督的反應方式。這種高層基調可以通過溝通期望和必要時采取行動來表達。（2）恰當的組織結構。要考慮管理層和董事會在監督中的角色，管理層應建立系統，執行監督來確保控制在持續有效運行。董事會的作用是治理、指導和監督。董事會在履行監督職責時，有效的內部審計是一個很有用的工具。監督者和他們的信息提供者必須具備恰當的勝任能力和客觀性。（3）對內部控制有效性基準的理解。控制基準是這樣一個點， 即組織擁有有說服力的信息來支持這樣一個結論： 為實現組織內部控制目標， 已經設計和執行了貫穿于整個企業或某個領域的控制。控制基準為有效的控制監督提供了一個恰當的起點，企業通過變化識別和變化管理形成新的控制基準。

2.設計和執行監督程序。（1）將風險進行優先排序。監督是以風險為導向，把焦點放在評估應對重大風險的那些控制。重大風險是那些通過內部控制的風險評估要素確定的，在一個既定的時間范圍內可能對企業的目標產生一系列影響的事項。（2）識別關鍵控制。企業通過了解內部控制系統如何應對或減輕重大風險以及確定哪些控制對監督結論貢獻最大來確定關鍵控制。（3）識別有說服力的信息。一旦選擇了關鍵控制， 評估者就要識別那些能夠支持與這些控制是否被執行和在如期運行的結論有關的信息。識別這種信息必須知道控制失敗可能怎樣發生，以及在確定內部控制系統是否在有效運行時哪些信息是有說服力的。（4）實施監督程序。它包括持續監督和單獨評估，前者為管理層提供關于控制有效性的日常信念，后者提供定期的確認。當在持續監督中使用的信息是有說服力的情況下，這種結合的方式是最好的。

3.評估和報告監督結果。通過考慮監督的目的和缺陷的嚴重性對潛在的控制缺陷進行排序，有助于確定所要報告的層級。同時，對外報告的要求也會影響企業實施監督的類型、時間和范圍。企業實施內部監督所使用的信息質量、評估者的客觀性都會影響外部評估者使用內部監督工作的程度。

4.形成內部控制有效性結論。實施完成上述三個步驟后，企業應當根據監督結果排序、報告和糾正情況，對內部控制設計和運行的有效性進行全面評價，寫出檢查報告，找出缺陷，提出修改意見。

三、監督流程實施各環節主要風險及應對措施

內部控制有特定的流程，每一環節的實施都有很多的不確定性，因此，實施內部控制監督本身也面臨諸多風險。為提高內部監督的效率結果，企業應加強內部監督各環節的風險控制和管理，全面系統地梳理和識別各環節的風險點，分析其產生的原因，評估其對監督要素的影響。以下總結了監督環節的風險點及相應控制措施：（1）高層基調。主要風險點：高層傳達了不正確的價值觀；高層對監督重要性的認識不夠。關鍵控制點：高層培訓；企業文化建設。采取以下控制措施：加強企業文化建設；對高層進行相關培訓。（2）監管機構設置及權責分配。主要風險點：機構設置缺乏獨立性；權責配置不清晰；監督者業務勝任能力不強；監督者道德操守問題。關鍵控制點：監督獨立性評價；監督人員能力操守評價；監督資源或范圍的評價。采取的控制措施：完善公司治理結構，明確高層職責權限；為監督機構配備業務勝任力強、道德操守良好的人員；定期評估管理人員的道德操守和業務能力；為監督者和監督機構配備合理的資源。（3）理解內部控制有效性的認定標準。主要風險點：缺乏內部控制有效性認定的統一標準；相關內部人員對內部控制的標準不認同。關鍵控制點包括：制定統一的內部控制有效性認定標準；解讀并培訓有效性認定標準。采取以下措施：從認定和運行兩方面制定統一的內部控制有效性認定標準；舉辦會議解讀和培訓認定標準；通過宣傳和考試統一標準。

四、內部控制有效性的評價標準

（1）一般標準。內部控制評價的一般標準，是指應用于內部控制評價各個方面的標準，即內部控制制度整體設計和運行應遵循和達到的目標，主要包括被評價內部控制的健全性、合理性及有效性。內部控制為目標實現提供的保證程度越高，內部控制就越有效：反之，則無效。對于企業內部控制有效性的評價標準可從設計和執行的有效性兩方面考慮。（2）具體標準。內部控制評價的具體標準是指應用于內部控制評價具體方面的標準，可分為要素標準和作業標準兩個層級。

根據COSO《內部控制——整合框架》的觀點，確定某一內部控制系統的有效性，需要在評估五個內部控制組成要素是否存在以及是否運行良好的基礎上做出判斷。內部控制的有效運行為某個或某些相關的內部控制目標的實現提供了合理保證。因此，這些控制組成要素就成為有效內部控制的確定標準。內部控制要素評價標準按照我國的《企業內部控制基本規范》可分為內部環境、風險評估、控制活動、信息與溝通、內部監督五個方面來制定。

參 考 文 獻

[1]王清剛，李瑾.實施風險導向的內部控制監督要素應用研究[J].會計研究

[2]王清剛.《企業社會責任管理中的風險控制》

[3]韓洪靈，郭燕敏，陳漢文.內部控制監督要素之應用性發展——基于風險導向的理論模型及其借鑒[J].會計研究.2009（8）：73～79

[4]來自網易博客.《內部控制的評價標準是什么》

[5]王海玲.關于優化公司治理和內部控制的研究[J].企業導報.2009（8）：70

[6]陳漢文，張宜霞.企業內部控制有效性及其評價方法[J].審計研究.2008（3）：48～54

[7]企業風險管理——整合框架[M].東北財經大學出版社