第五节 内部控制要素及其基本原则

内部控制要素在内部控制框架中居于核心地位,直接影响内部控制的设计、实施和评价等环节。关于内部控制要素的认识有着不同的观点,COSO委员会1992年版《内部控制——整合框架》设置了控制环境、风险评估、控制活动、信息与沟通、监控五个要素;CO-SO委员会2004年发布的《企业风险管理——整合框架》设置了控制环境、目标设定、事项识别、风险分析、风险应对、控制活动、信息与沟通、监控八个要素;COSO委员会2013年版《内部控制——整合框架》仍以五要素为基础。我国的《企业内部控制基本规范》也是以五要素为基础制定的,但将控制环境改为内部环境,将监控改为内部监督,其他要素名称相同。

一、内部控制要素

下面以我国的《企业内部控制基本规范》为主介绍内部控制要素。

(一)内部环境

内部环境是企业实施内部控制的基础,构成企业的基本氛围,是内部控制赖以生存的土壤,是其他内部控制要素的基础,主导或左右着员工的理念和行为。内部环境的好坏直接决定其他控制要素能否发挥作用,直接或间接地影响内部控制的效率和效果,对整个内部控制体系产生了深远的影响。内部环境一般由治理结构、内部机构及权责分配、诚信和道德价值观、员工素质和人力资源政策、经营风格和管理哲学等分要素构成。我国企业内部控制规范体系通过组织架构、发展战略、人力资源、社会责任和企业文化五项配套指引来规范企业的内部环境。

(二)风险评估

风险是对实现目标可能产生影响的不确定性因素,是经济活动在实际结果出现之前可能出现的各种结果及其概率分布的组合。企业的生产经营和管理活动经常面临各种风险,风险评估是及时识别、科学分析和评价风险事件发生的可能性及其潜在影响,并采取应对策略的过程。风险评估是实施内部控制的重要环节,主要包括目标设定、风险识别、风险分析和风险应对。风险评估的先决条件是已建立了各种目标,并联结到企业内部各层级。

(三)控制活动

控制活动是企业根据风险评估结果,采取相应的控制措施,将风险控制在可接受的水平之内。控制活动是在控制目标的引导下针对风险所采取的政策、方法、程序和行动。从控制方式来看,控制活动可分为手工控制与自动控制、预防性控制与发现性控制等;从控制内容来看,控制活动存在于战略控制、管理控制、作业控制等各个层级;从控制对象来看,控制活动涉及财务控制、会计控制、资产控制、人员控制等;从控制手段来看,控制活动包括不相容职务相分离、授权审批、会计系统、财产保护、预算管理、文件记录、运营分析、绩效考评、内部报告等。

(四)信息与沟通

信息与沟通是指企业及时、准确、完整地收集与经营管理相关的各种信息,并使这些信息以适当的方式在企业内部以及企业与外部之间进行及时传递、有效沟通和正确应用的过程。信息对于企业内部各主体履行内部控制责任以促进目标的实现是非常必要的。管理层应从内部和外部来源获取或生成并使用高质量的信息,以支持内部控制的持续运行。沟通是提供、共享和获取所需信息,并做出恰当反应的过程。内部沟通是让信息在整个组织内向上、向下和横向传递的手段,它使员工能清晰获得高层要求其认真履行控制职责的资讯。外部沟通包括引入外部相关信息,以及向外部提供信息以回应利益相关者的要求和期望。信息与沟通是企业应对情况变化、保证控制有效的“神经系统”,贯穿于内部控制的全过程。企业应建立信息与沟通机制,明确相关信息的收集、处理和传递程序,确保信息真实、沟通及时。我国企业内部控制规范体系还要求企业建立反舞弊机制、举报投诉制度和举报人保护制度,这也是重要的信息与沟通机制。

(五)内部监督

内部监督是指企业对内部控制的建立与实施情况进行监督检查,评价其有效性,发现内部控制缺陷,并及时加以改进和完善的过程。内部监督的重点是及时发现和识别内部控制设计或运行的缺陷,并及时沟通、报告和改进。内部监督是内部控制得到有效实施的有力保障,具有非常重要的地位。企业应利用信息与沟通所获知的情况,提高内部监督工作的针对性和时效性。

内部控制的构成要素并不是简单相加的,而是相互联系、相互制约、相辅相成的,共同组成一个完整的框架,五个要素的关系如图1-7所示。内部环境是内部控制赖以存在的基础,提供了实施控制活动和履行控制职责的氛围,支撑着整个内部控制框架;风险评估是实施内部控制的依据,实施风险评估进而管理风险是建立控制活动的重点;控制活动是实现控制目标的手段,是内部控制的主要组成部分,企业评估影响目标实现的风险,确定合理的风险管理策略,通过控制活动确保降低风险的措施得以顺利实施;信息与沟通可以确保相关信息被获取并在组织内部和外部进行有效的传递,它贯穿于内部控制的全过程,联系着企业内外、上下和左右,将整个内部控制结构凝聚在一起,是保证内部控制过程良好运行的“润滑系统”;内部监督位于顶端的重要位置,是内部控制系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。

图1-7 我国内部控制的构成要素

二、内部控制的基本原则

尽管每家企业在组织形式、行业特点、业务类别、经营范围、规模大小、管理模式等方面存在着差异,其内部控制模式也不尽相同;但在内部控制体系建立和实施的过程中,存在着一些共性的原则理念。企业应根据内部控制目标,遵循这些具有规律性和指导性的原则建立并实施内部控制。

(一)全面性原则

企业内部控制应贯穿于决策、执行和监督的全过程,涉及事前控制、事中控制和事后控制,覆盖企业及其所属单位的各种业务和事项,包括企业整体层面的控制、业务活动层面的控制、对子公司的控制和对分支机构的控制。内部控制是全员控制,上至董事会、下至普通员工,以及中间各层级的管理者,都是内部控制实施的主体。内部控制在业务流程上应渗透到决策、执行、监督、反馈等各个环节;任何决策或操作均应有案可查,避免内部控制出现空白和漏洞。

(二)重要性原则

内部控制应在全面控制的基础上,关注重要业务事项和高风险领域,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。重要性原则的应用要求一定的职业判断,企业应根据所处行业环境和经营特点,从业务事项的性质和涉及金额两方面去考量是否及如何实行重点控制。

(三)制衡性原则

内部控制应在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督并兼顾运营效率的机制。制衡性原则要求企业完成某项工作必须经过互不隶属的两个或两个以上的岗位和环节,履行内部控制监督职责的机构或人员具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力,高级管理人员应以身作则,做好表率。

(四)适应性原则

内部控制应与企业经营规模、业务特点、业务范围、竞争状况和风险水平等相适应,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。适应性原则要求企业建立与实施内部控制应考虑各单位的具体特点,繁简适度,易于操作。内部控制建设要具有针对性和前瞻性,适时对内部控制系统进行评估,及时发现可能存在的问题,并采取措施予以补救。

(五)成本效益原则

一般而言,各项控制的设计与实施成本不应超过如不施行该控制所产生的错误或存在的潜在风险可能造成的损失和浪费。内部控制成本通常包括设计成本与运行成本。例如,增加控制流程需要增加设计和运行成本,广泛依赖信息技术控制所需要的设计成本和运行成本,聘请高技能员工需要支付更高的薪酬,等等。内部控制效益是某项控制实施、运行后产生的效益和好处。例如,内部控制可以增强董事会和管理层实现目标的信心,减少意外不利事件的发生,满足进入资本市场的特定要求,为经营管理中的判断提供依据,提高业务职能和工作流程的效率,等等。

做任何事情都需要成本,成本效益原则是企业从事一切经济活动的基本原则,设计和实施内部控制也不例外。例如,我们不能要求一家中小企业像上市公司那样实施全套的内部控制方案,那不符合成本效益原则。企业进行内部控制建设必须统筹考虑投入成本和产出效益之比,在合理保证有效性的前提下,权衡实施成本与预期效益的关系,争取以合理的成本实现更为有效的控制。在大多数情况下,直接评价内部控制设计和运行的成本效益之比并不容易,企业必须从整体利益出发,从更高、更长远的角度进行综合评估。尽管某些控制会影响工作效率,但可能会避免整个企业面临更大的损失,此时仍应实施相应的控制。

三、内部控制的规范体系

2008年5月,国家财政部、中国证监会、国家审计署、中国银监会、中国保监会五部委根据有关法律联合制定了《企业内部控制基本规范》;2010年4月,上述五部委又联合发布《企业内部控制配套指引》,并对每项指引逐项进行了深入而权威的解读;2012年2月,国家财政部会同相关部门发布了《企业内部控制规范体系实施中相关问题解释第1号》;2012年9月,又发布了《企业内部控制规范体系实施中相关问题解释第2号》;2013年12月,财政部发布《石油石化行业内部控制操作指南》;2014年12月,财政部发布《电力行业内部控制操作指南》。从而形成了较为完整的中国企业内部控制规范体系。

中国企业内部控制规范体系自2011年1月1日起在境内外同时上市的公司中施行,2012年1月1日起扩大到境内上市公司,择机放大到中小板和创业板上市公司。2012年5月,国务院国资委和国家财政部联合发布《关于加快构建中央企业内部控制体系有关事项的通知》,要求中央企业按《企业内部控制基本规范》及其配套指引的要求,建立规范、完善的内部控制体系。

如图1-8所示,中国企业内部控制规范体系由企业内部控制基本规范、企业内部控制配套指引和企业内部控制解释公告及特殊行业内部控制操作指南等层次构成。企业内部控制配套指引包括应用指引、评价指引和审计指引三个系列。

内部控制应用指引又可细分为内部环境类应用指引,包括组织架构、发展战略、人力资源、社会责任和企业文化等;控制活动类应用指引包括资金运动、采购业务、资产管理、销售业务、工程项目、担保业务、业务外包、财务报告、研究与开发等;控制手段类应用指引包括全面预算、合同管理、内部信息传递、信息系统等。

图1-8 中国企业内部控制规范体系

内部控制评价是公司董事会或类似权力机构对内部控制的健全性和有效性进行全面评价、形成评价结论、出具评价报告的过程。《企业内部控制评价指引》主要规范企业对自身内部控制的健全性和有效性进行评价的行为,用于引导企业全面评价内部控制的设计与运行状况,规范企业自我评价的主体、程序、范围和报告,揭示和防范内部控制评价过程的相关风险。

内部控制审计是会计师事务所接受委托,对客户在特定基准日内部控制设计与运行的健全性和有效性进行审计。由注册会计师对企业内部控制实施审计,是促进企业贯彻落实企业内部控制框架的重要制度安排。《企业内部控制审计指引》主要用于规范注册会计师执行内部控制审计业务,明确审计工作要求,保证执业质量。注册会计师在执行内部控制审计时,除应遵守审计指引外,还应遵守相关的执业准则。