1目录管理层概述1总体构架111定义132控制环境233风险评估334控制活动495信息和沟通596监控697内部控制的局限798作用和职责83附录A学习本文的相关事项及背景知识93B方法体系99C对定义的看法和使用105D反馈意见111E术语1192内部控制——整体构架管理层概述构架对外界的报告“对外界的报告”附录3管理层概述高层管理人员一直在探求更好的企业经营控制之道。内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。内部控制日益被视为诸多潜在问题的解决方案。什么是内部控制内部控制对不同的人有不同的含义。这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。由此造成的误解和期望值的差异往往给企业带来问题。一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。本文是针对管理层的需要和期望而写的。本文对内部控制的定义服务于以下目的:确立一个满足各方需要通用的定义。提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:经营的效果和效率财务报告的可靠性法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。第三类目标指企业经营必须符合相关的法律法规。以上三类目标既相互独立又相互联系,分别代表不同的需求,需要4对它们作专门研究。内部控制制度依据其运行的有效性程度而有所不同。因此,这三类目标又可据此进行划分,如果董事会和经理层能够合理的保证:他们清楚地知道企业经营目标实现的程度公开财务报表的编制是可靠的企业适用的法律得到遵守虽然内部控制是一个过程,它的效果却表现为在某一时点上这一过程的状态。内部控制包括五个相互联系的要素。它们源自管理层的经营方式,并与管理过程紧密相连。尽管此五项要素适用于各类企业,但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强,但其内部控制也可能是有效的。内部控制的五项要素为:控制环境——控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说5是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。监控——内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连,因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营质量和主动的授权,避免不必要的花费,并对环境的变化迅速作出反应。内部控制的三类目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标——如经营的效率和效果——需要五项要素共同发挥作用,以说明经营的内部控制是有效的。内部控制的定义——受人为因素影响、提供合理保证的过程,这一内在基本的概念——及其不同种类的的目标、内部控制要素、内控有效性评价准则、与之相关的讨论,构成这本内部控制基本构架的内容。内部控制能做什么内部控制有助于企业实现其业绩和利润目标,防止资源损失,提高财务报告的可靠性,督促企业遵守相关法律法规,避免企业名誉受到损害以及受到其他不良影响。总之,内部控制有利于企业在即定轨道中前进,避免走弯路和遭遇突然袭击。内部控制不能做什么6不幸的是,一些人对内部控制有不合实际的预期,他们存在以下幻想:内部控制可以确保企业的成功——它能确保企业实现基本经营目标,至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提供给管理层关于企业成长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外,政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功,甚至不能保证生存。内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度,无论设计、运行多么理想,都只能就企业目标的实现向管理层和董事会提供合理的,而非绝对的保证。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况:决策判断可能失误,简单的错误可能导致大纰漏。另外,控制可能因为两个以上人的相互勾结而趋于无效,而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实,即出于资源有限性的考虑,内部控制必须考虑成本收益的匹配。因此,尽管内部控制有助于企业实现其目标,但它并非万能药。角色和职责企业的每位员工都应担负内部控制的职责。经理层——总裁应最终负责并具有内控系统的“所有权”。与其他人相比较,总裁制定了最高基调,这将影响诚信度、道德品行以及构成一个积极的控制环境的其他因素。在大公司,总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员,则向各部门负责人分配具体的控制措施和程序。在规模小些的公司,总裁常常身兼所有者和经理人双重角色,其影响也就更加直接。在任何情况下,对于金字塔式的职责分布结构,每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属,他们的控制行为切入企业经营的各部分。董事会——经理层对董事会负责,董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境,留出足够的时间来完成董事会职责。不诚实的经理层有可能越过7内部控制,忽视或压制下属的信息反馈,并故意误报结果以掩盖其行径。一个强有力、活跃的董事会,特别是具备了有效的信息自下而上传递的渠道,以及完善的财务、法律和内审职能后,往往能识别和纠正这样的问题。内部审计人员——内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性,内部审计在监控方面扮演重要角色。其他人员——从某种程度上说,内部控制是企业中每个人的职责,因此应成为每个人工作职责中明示或暗示的部分。实际上,所有职员都在产出内控系统需用的信息,或在进行与内控有效运行相关的活动。而且,所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。一些企业外部人员常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控,通过直接的财务报表审计和间接的管理建议,来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员,包括律师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员,不属于企业内控系统的一部分,也不对企业内控系统负责。本报告的组织结构本报告分四部分。第一部分“管理层总结”,是对内部控制总体构架的高度总结,是针对总裁和高级管理人员、董事会成员、律师和监管当局而写的。第二部分“总体构架”,对内部控制进行了定义,阐述其构成要素,为管理层、董事会及他人提供了评估内部控制有效性的准则。第三部分“外部团体报告”,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供了指导第四部分“评估工具”,提供了对内控系统进行评估的有用资料。本报告目的根据本报告所能采取的行动与当事人所处的位置和承担的职责有关:高级管理人员——多数来此学习的管理人员相信其对企业能够基本控制。然而,许多人认为一些部门或控制环节的内控还处于发展阶段或需要进一步加强。没有人喜欢出漏子。本研究报告建议总裁创建一套内控系统的自我评价系统。运用此系统,总裁以及主要经营、财务管理人员就能够将注意8力集中在关键问题上。一种方法是:总裁将部门负责人和业务骨干召集在一起讨论内部控制的初始评估方案,然后指导其他职员和上司讨论本报告中的概念,各职员在其职责范围内检查初始评估方案并提出反馈意见。另一种方法则包括对公司情况的初步复核、部门控制政策和内部审计程序。不管何种形式,初始评估方案应该能够决定是否有必要,或如何进行更深层次的评估。另外,它也应能保证持续的监管到位。评价内控系统所花费的时间是一种具有高回报的投资。董事会成员——董事会成员应该和高层管理人员讨论企业内部控制制度的状况并在需要时提供督导。他们应借鉴内部审计师和外部审计师的意见。其他人员——经理和其他人员应该考虑自身控制职能在整体内控构架下如何执行,并和高级管理人员讨论加强内部控制的方法。内部审计师应该考虑其对内控系统的关注范围,并将比较其评估资料与评估工具。立法者和监管当局——立法当局认识到对任何事件都会存在误解和不同的期望。对内部控制的理解在两方面存在不同。首先,在内部控制的作用方面存在不同。如前所述,一些人认为内控系统应该能够防止企业遭受损失,或至少能够防止企业破产。其次,即使已在内控系统所能和所不能,以及“合理保证”的概念上取得一致,对于内部控制的概念和应用仍存在分歧。公司总裁非常关注监管当局在所谓内控失败事件发生后如何分析有关“合理性保证”的公开报告。在遵守有关管理层报告其内控情况的法律法规之前,需要对包括内控局限性的内部控制基本构架取得一致。本报告所阐述概念框架有助于达成以上共识。专业组织——专业组织就企业的财务管理、审计和其他相关主题提供指引,因此必须考虑其对内控构架提出的标准和指导。一旦在概念和术语上的分歧消失,各方都会收益。学术界——本内控构架可作学术研究和分析之用,以对其进一步改进。假设本报告被普遍接收,作为基础理论,其概念和专业术语有可能进入大学的课程。我们相信本报告能带来一些益处。以此为基础达成共识,各方就有了统一的语言,能更有效地交流。商业管理人士将有一套评估内控系统的标准,以进9一步加强内控,使企业向着既定目标前进。未来关于内部控制的研究也有了明确的基础。立法者和监管当局对内控的理解