论内部控制
规章制度
资料来源:美国COSO(1994);巴塞尔银行监管委员会(1998)。
这三大目标满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司或银行不能为实现经营性目而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明:
1)内控是一种程序,它意味着向某一终点努力,但不是终点本身;
2)内控是用来取得一种或多种互相区分而又紧密联系的目标;
3)内控受人的影响,而不只是政策、守则或表格;
4)只能期待内控为公司管理层提供合理的保证,而不是绝对的保证。
内控的明确而科学的定义为各种单位提供了比较一致的标准,以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则,设定一些具体的标准,认真考察被检查单位的内控系统,看其是否合理地确保了这些目标的实现。如果不能,总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好,可以从上述三大目标加以总体考核:它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度?它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了?它的各项活动是否遵从了现行的法律和规章制度?这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准,对内控的深入考核更有益处。
由此可见,审计部门以往所提的“合规性审计(稽核)”、“效益性审计(稽核)”和帐务检查等等都属于专项审计,也都有一定的片面性。审计(稽核)工作的重心应当转向对内部控制的审计再监督,而对内控的检查评价有别于传统的审计思路,其目的要明确和全面,检评要完整和深入。
2.从总体上把握内部控制系统的框架:重要的是,现代内控理论赋予了内控广范的职能,把内控置于很高的层面上,从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促(oversight)和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面又突出了职责分离的重要性;该委员会特别对信息与交流作了更多的解释;除了监督评审活动之外,还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外,增加了监管当局对内控的检查和评价,把它作为内控的另一不可忽视的内容。
表2 关于内部控制的五大组成部分的表述
# COSO的分析
Basle的分析
1
控制活动
管理层的督促与控制文化
2
风险评估
风险的识别与评估
3
控制活动
控制活动与职责分离
4
信息与交流
信息与交流
5
监督评审
监督评审活动与缺陷的纠正
资料来源:同上。
不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式,而把内控视为多维立体的空间,促使人们全面深入地理解控制和控制对象,分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念:这五大组成部分和三大目标是紧密相联的,就象一个人体的细胞包含了人体的各种信息那样,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
3.全面理解内控五大组成部分的内容:内控已经被COSO从理论上分析成为下述完整的有机结合的整体,并且得到了巴塞尔委员会的认同和发展。
1)控制环境:控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括:
1.董事会应当负责批准并定期审查整个经营战略和重大政策;理解经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别,衡量,评审和控制风险;批准组织的结构;并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。
2.高级管理层负责执行由董事会批准的战略和政策,维护一种组织结构,能够明确责任、授权和报告关系;确保所委派的责任能有效地执行;确定适当的内控政策;并监督评审内控系统的充分性和有效性。
3.董事会和高级管理层负责按照高标准促进员工的职业道德(ethics)和完整性(integrity),在机构中建立一种控制文化(control culture),在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内
2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险(如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉(reputation)风险)。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。有关控制活动和职责分离的原则包括:
1.控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确定义各经营级别的控制活动。这些活动应当包括高层审查;对不同部门或处室的活动的适当控制;物理控制;检查对敞口限额的遵从情况;对违规经营的跟进情况; 批准和授权制度;查证核实与对帐(reconciliation)制度。
2.有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突(conflicting responsibilities)。要识别和尽力缩小有潜在利益冲突(conflicts of interest)的地方,并遵从谨慎的和独立 《论内部控制(第2页)》
本文链接地址:http://www.oyaya.net/fanwen/view/111695.html
资料来源:美国COSO(1994);巴塞尔银行监管委员会(1998)。
这三大目标满足不同的需要,又相互交叉。显然,内控是保证各项业务发展的,而不是妨碍其发展的。在操作性目标中,经营的“效果”是根据实际产出与预期计划的产出比较而言的;经营的“效率”是根据实际产出与实际投入比较而言的。此外,公司或银行不能为实现经营性目而不遵从法规,也不能为实现遵从性目标或操作性目标而违反财务和管理信息的可靠性、完整性和及时性。
这是一种“全部控制论”的概念。良好的内控系统应能够确保上述三大目标的实现。上述内控定义说明:
1)内控是一种程序,它意味着向某一终点努力,但不是终点本身;
2)内控是用来取得一种或多种互相区分而又紧密联系的目标;
3)内控受人的影响,而不只是政策、守则或表格;
4)只能期待内控为公司管理层提供合理的保证,而不是绝对的保证。
内控的明确而科学的定义为各种单位提供了比较一致的标准,以便各单位能够评价其控制系统和决定如何加强控制。经营管理部门和内审部门应该参照有关法规和实施细则,设定一些具体的标准,认真考察被检查单位的内控系统,看其是否合理地确保了这些目标的实现。如果不能,总是可以从内控的某些方面找出问题的。一家银行或公司内控抓得好不好,可以从上述三大目标加以总体考核:它的董事会和高级管理层是否合理地确保了他们理解该单位实现其操作性目标的程度?它的财务报告和各项管理信息是不是可靠、完整和及时地被草拟和提供了?它的各项活动是否遵从了现行的法律和规章制度?这些方向性的标准无疑是对一个单位比较有力的鞭策。细化这些标准,对内控的深入考核更有益处。
由此可见,审计部门以往所提的“合规性审计(稽核)”、“效益性审计(稽核)”和帐务检查等等都属于专项审计,也都有一定的片面性。审计(稽核)工作的重心应当转向对内部控制的审计再监督,而对内控的检查评价有别于传统的审计思路,其目的要明确和全面,检评要完整和深入。
2.从总体上把握内部控制系统的框架:重要的是,现代内控理论赋予了内控广范的职能,把内控置于很高的层面上,从而强化了内控的作用。1994年COSO认为内部控制涵盖了五大组成部分的丰富内容:控制环境、风险评估、控制活动、信息与交流和监督评审。而1998年巴塞尔委员会则在控制环境中强调了管理层的督促(oversight)和控制文化;在风险评估方面将风险的识别和风险的评估并举;在控制活动方面又突出了职责分离的重要性;该委员会特别对信息与交流作了更多的解释;除了监督评审活动之外,还把缺陷的纠正这种被COSO认为并非内控的活动也归纳为内控活动。巴塞尔委员会还在上述内控的五大组成部分之外,增加了监管当局对内控的检查和评价,把它作为内控的另一不可忽视的内容。
表2 关于内部控制的五大组成部分的表述
# COSO的分析
Basle的分析
1
控制活动
管理层的督促与控制文化
2
风险评估
风险的识别与评估
3
控制活动
控制活动与职责分离
4
信息与交流
信息与交流
5
监督评审
监督评审活动与缺陷的纠正
资料来源:同上。
不论是COSO还是巴塞尔委员会都跳出了传统的平面式的简单思维方式,而把内控视为多维立体的空间,促使人们全面深入地理解控制和控制对象,分析解决管理控制中存在的复杂问题。其中还引出了“全息论”的概念:这五大组成部分和三大目标是紧密相联的,就象一个人体的细胞包含了人体的各种信息那样,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。
三大目标和五大组成部分构造了内控系统的整体框架,现代内控理论对内控日臻完善的描述帮助人们更全面和更深刻地理解内控及其控制对象,使人们能够以内控为有力武器,为实现三大目标自觉奋斗。
3.全面理解内控五大组成部分的内容:内控已经被COSO从理论上分析成为下述完整的有机结合的整体,并且得到了巴塞尔委员会的认同和发展。
1)控制环境:控制环境是推动控制工作的发动机,是所有其他内控组成部分的基础。它奠定组织的风纪和结构,并且涉及到所有活动的核心—人,特别是人的控制觉悟,还反映政府、银行、非银行金融机构以及生产性企业的各级管理层对内控的要求。
控制环境中的要素有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境,使整个组织中的员工具有控制觉悟和自觉的控制态度,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。巴塞尔委员会有关管理监督和控制文化方面的原则包括:
1.董事会应当负责批准并定期审查整个经营战略和重大政策;理解经营的主要风险,确定这些风险的可接受水平,保证高级管理层采取必要步骤,识别,衡量,评审和控制风险;批准组织的结构;并确保高级管理层不断评审内控系统的有效性。在确保建立和维护充分和有效的内控系统方面,董事会负有最终的责任。
2.高级管理层负责执行由董事会批准的战略和政策,维护一种组织结构,能够明确责任、授权和报告关系;确保所委派的责任能有效地执行;确定适当的内控政策;并监督评审内控系统的充分性和有效性。
3.董事会和高级管理层负责按照高标准促进员工的职业道德(ethics)和完整性(integrity),在机构中建立一种控制文化(control culture),在各级人员中强调和说明内控的重要性。公司机构中的所有人员都需要理解和发挥他们在内
控程序中的作用。
2)风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。
风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险(如银行要面对信贷风险、国家和转移风险、市场风险、利率风险、流动性风险、经营风险、法律风险和声誉(reputation)风险)。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
3)控制活动:是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。
在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性(尤其是对信息系统的控制)等等。有关控制活动和职责分离的原则包括:
1.控制活动应当是公司日常工作的不可分割的一部分。有效的内控系统需要建立适当的控制结构,明确定义各经营级别的控制活动。这些活动应当包括高层审查;对不同部门或处室的活动的适当控制;物理控制;检查对敞口限额的遵从情况;对违规经营的跟进情况; 批准和授权制度;查证核实与对帐(reconciliation)制度。
2.有效的内控系统需要适当分离职责。人员的安排不能发生责任冲突(conflicting responsibilities)。要识别和尽力缩小有潜在利益冲突(conflicts of interest)的地方,并遵从谨慎的和独立 《论内部控制(第2页)》