- 供电企业内部控制与风险管理
- 孙晓红 葛岚 拜克明主编
- 2166字
- 2021-10-29 22:07:50
第三节 内部控制的要素
内部控制的要素是构成内部控制的基本单位,决定着内部控制的内容和形式。在内部控制理论的发展进程中,不同的内部控制要素构成了不同的理论框架。自内部控制结构概念形成以来,内部控制理论大体经历了“三要素———五要素———八要素”的演变历程。
一、内部控制三要素
1988年,美国注册会计师协会(AICPA)发布了第55号审计准则公告《会计报表审计中对内部控制结构的关注》,首次提出了“内部控制结构”,并指出该结构包括控制环境、会计系统和控制程序三个要素。
(一)控制环境
第55号审计准则指出:“控制环境是指对建立、增强或调节特殊政策及程序有效性有影响的各种因素所产生的综合效果。”这个定义强调了内部控制环境对内部控制设计与执行的有效性具有综合影响效果,也就是内部控制环境越良好,内部控制的作用越能充分发挥。通俗地讲,内部控制环境指企业为其雇员创造的工作氛围,包括管理当局的作风、清晰的组织结构、有效的内部审计部门等方面。
(二)会计系统
会计系统是为确认、汇总、分析、分类、记录和报告企业交易,并保持对相关资产和负债的受托责任而建立的反映监督机制。有效的会计系统能够及时反映企业的经济资源状况、详细的财务活动情况、管理层的经营业绩等,如镜子成像一般反映真实面貌,不夸大优点,也不隐藏缺点。会计系统的主要内容包括会计科目表、会计手册和标准会计分录、业务凭证制度、业务检查程序和合理的交易处理方法。
(三)控制程序
为了保证企业目标的实现,必须设置一系列程序。控制程序主要包括:职责划分和相互牵制、授权和批准制度、独立稽核、实物防护、凭证和记录。第55号审计准则将控制程序定义为包含在公司的内部控制结构中的政策和程序,涉及公司记录、处理汇总以及报告财务报表中的管理当局认定相一致的财务数据,或者审计师对于财务报表认定实施程序所用的资料。
二、内部控制五要素
著名的COSO内部控制框架认为,内部控制系统由控制环境、风险评估、控制活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用图13中的模型表示。
(一)控制环境
控制环境是其他内部控制组成要素的基础,是所有控制方式与方法赖以生存和运行的环境。它对塑造企业文化,提供纪律约束机制和影响员工控制意识有重要作用。影响控制因素有四个方面:企业人员的操守、价值观及能力;管理层的管理哲学与经营风格;管理层的授权方式及组织人事管理制度;最高管理当局及董事会对单位管理关注的焦点及指引方向,如他们对生产控制持何种态度等。
图13 COSO内部控制五要素模型
(二)风险评估
风险评估是识别并分析影响目标达成的不确定因素。首先,风险评估的前提条件是设立目标。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素,但它是内部控制得以实施的先决条件。其次,识别与上述目标相关的风险。再次,评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素,管理层就可以考虑它们的重要程度,并尽可能将这些风险因素与业务活动联系起来。最后,针对风险的结果,考虑适当的控制活动。
(三)控制活动
控制活动指为确保管理层指示得以执行而实施的削弱风险的政策(做什么)和程序(如何做)。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动,如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。
(四)信息与沟通
相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必需的外部事件、行为和条件的信息。有效的交流还必须广泛的进行,涉及机构的各个方面。所有人员都要从高级管理层获得清楚的信息,他们必须明白各自在内部控制制度中的作用,明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。企业与顾客、供应商、监管者和股东这样的外界之间也必须进行有效的沟通。
(五)监督
一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中,它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。
以上五个要素相互关联和配合,形成一个系统,覆盖了公司生产经营的所有时间与空间,包括隐性的文化理念到显性的考核评价等各个方面。这五个要素相互关联:控制环境是其他控制要素的基础;在规划控制活动时,需要对企业可能面临的风险进行详细的了解;控制活动政策和程序必须在组织内有效沟通;内部控制的设计和执行必须受到有效的监控。
三、内部控制八要素
COSO委员会在1992年报告的基础上,对2002年的《萨班斯奥克斯利法案》的要求进行扩展,于2004年9月29日发布了《企业风险管理———整合框架》(ERM框架)。该整合框架提出了风险组合观念,并增加了三个风险管理要素,即“目标设定”、“风险识别”和“风险应对”。它拓展了内部控制框架,关注企业风险管理这一更宽广的领域。拓展后的内部控制包含了八大要素,分别是内部环境、目标设定、风险识别、风险评估、风险应对、控制活动、信息与沟通、监控。