一、准确理解内部监督的内涵
内部监督是对内部控制建立、执行的持续监督和独立评价,并认定内部控制存在的缺陷,出具评价报告的过程。对内部控制体系有效性的理解,可从内部监督开始。有了内部监督的意愿,才会发现内部控制在设计或执行上存在哪些不足,需要如何加强。俗话说,“魔高一尺道高一丈”。在企业内不断变化的内外部环境中,要让生产经营活动“无懈可击”,需要持续地开展内部监督。可见,内部监督首先取决于管理层的基调。也就是说,管理层乐于开展内部监督,使企业的各项活动时刻处于监控之下,是内部监督的前提。其次,内部监督是对内部控制的一种自我监督机制。通过内部监督,企业可以不断地审视内部控制的设计和执行情况,评价内部控制目标的实现程度,从而实现内部控制的自我完善和提升。内部监督与其他要素的关系所示:
内部监督与其他要素的关系如同内部控制设计、执行“嵌入”生产经营活动中一样,内部监督也只有“嵌入”生产经营活动中,才能及时发现风险并采取恰当的措施。也正是基于这样的考虑,我国《企业内部控制基本规范》将内部监督分为日常监督和专项监督,用以对内部控制进行持续性的监督。同时,《企业内部控制配套指引》将“内部控制评价”单独作为一项指引,对独立评价的内容、程序、缺陷认定及报告作出规范。
无论持续监督还是独立评价,内部监督的目的都是认定内部控制缺陷并加以整改,促进内部控制的自我完善。因此,内部控制缺陷认定是内部监督最为重要的环节。
前已提到,对内部控制体系有效性的理解,可从内部监督开始。通常,内部控制体系失效的原因,主要在于:一是,始终缺乏适当的设计或执行。二是,虽然经过适当的设计和执行,但在此过程中,内外部环境发生了变化,而内部控制体系并没有随之改变。三是,虽然经过适当的设计与执行,但执行中发生了一些变化,导致内部控制体系在管理或降低风险时无效。由此,也不难理解,内部监督的主要任务就是发现和评价内部控制中的变化,使监督者把注意力集中在由于变化引起的高风险领域,使其通过改变监督程序的类型、时间和范围,形成新的控制标准,以提高整体效果。
二、把握内部监督的原则
(一)风险导向
风险导向同样寓于内部监督之中,把焦点放在评估那些应对重大风险的控制。这就需要先了解风险及现有的内部控制系统如何应对或减轻这些风险,再通过发现和评价变化,对新产生的风险实施管理。
在设计和执行监督程序时,第一步要对风险进行排序。利用风险评估优先排序的结果,把焦点放在评估应对重大风险的那些控制,即关键控制,从而提高监督的效率和效果。
在评估和报告阶段,也体现了风险导向的原则。具体反映在:
第一,根据控制缺陷潜在的风险的可能性和重要性的判断对控制缺陷的排序。
第二,在涉嫌欺诈的情况下,监督结果直接报告给高一层级。
第三,当企业引进外部机构提供某些特定服务(如外包其信息技术、人力资源、财务等),或是企业通过利用信息技术(如控制监督工具和流程管理工具等),新的风险就随之产生了。相应地,也需要就应对这些新风险的控制进行监督。
设计和监督的程序:
(二)取得具有说服力的信息
具有说服力的信息,能够对内部控制有效性提供足够的支持。有说服力的信息首先必须是恰当的,即相关、可靠和及时。
相关、可靠、及时三要素共同发挥作用不能同时拥有这三个要素的信息可能具有一定程度的适当性,但它无法单独为控制持续有效的结论提供合理的支持。例如,信息可能是相关且可靠的,但及时性却不够。此种情况下,信息将无法为所考虑的某个特定时间段内控制的有效性结论提供支持。或者,信息可能是相关和及时的,但来自于一个不太可靠的渠道。又或者,信息可能是及时和可靠的,但与相关内部控制有效性的结论不太相关。
当某个信息同时满足这三个要素时,评估人员就可以把他的注意力转向是否有足够的信息能形成一个合理的结论。不能同时具备这三个要素特征的信息可能在一定程度上是适当的,但还需得到补充资料来实现所需要的适当性水平。
进行有效的成本效益分析,也就是说,收集充分的信息需要成本,权衡收集信息的成本和说服评估者内控持续有效运行的能力。它是有效监督的一个重要方面。这种分析一般是量化的,但也可能包含定性分析。不管哪种方法,负责监督的人在决定所需要的信息时要做出判断,使得这些信息为内部控制系统在某个既定领域持续有效的结论提供合理的但不是必须绝对的支持。在判断信息是否充分时,可能的影响因素包括控制失败的潜在影响、环境的变化程度、控制的复杂程度、监督其他控制所能提供的佐证等。
(三)细化地区分直接信息与间接信息
在获取支撑内部控制有效性的信息时,应注意区分直接信息和间接信息。直接信息能清楚地证实控制的运行情况,它是通过观察控制的运行、重新执行控制或者直接进行测试来获得的。一般来说,直接信息是高度相关的,因为它为控制的运行情况提供了一个“无障碍观点”。
间接信息是那些可能预示着控制运行发生变化或失败的其他所有信息。间接信息可以包括但不限于:(1)业务统计数据;(2)关键风险指标;(3)关键绩效指标;(4)相对的行业标准。间接信息不提供有关控制运行的“无障碍观点”,在识别控制缺陷方面不如直接信息。因此,间接信息就其本身而言,由于所提供的支持力度有限,使用间接信息进行监督会影响利用直接信息监督的类型、时间和范围。
(四)重视利用信息技术进行监督
企业通过利用信息技术,如控制监督工具和流程管理工具,可以加强监督。某些控制监督工具被用来进行实时监控。比如,利用程序对系统中的权限分配进行检查,或者开发并在系统中运行一些检查程序,以判断系统的配置是否按照审批的结果进行维护,等等。总体上来说,利用信息技术监督能提高整个内部控制系统或是接受监督的关键控制的效率和效果。
三、区分日常监督和专项监督的主要任务
(一)日常监督
日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。如何实现常态化的监督检查?首先,应将责任落实到各个职能部门;其次,要在企业管理层时刻“反省”的基调下,将各项内部监督与企业常规的、循环发生的经营活动融为一体,即“嵌入”。常见的日常监督有:
第一,在日常管理活动中,经理层能够获得内部控制是否有效运行的第一手证据,从而及时发现经营管理活动偏离控制目标的情况。例如,采购经理审阅采购问题报告,发现与了解的状况大不相同,从而深入开展调查,分析问题存在的原因。
第二,不相容部门在履行自身业务职责的过程中,能够发现其他部门发生的错弊。例如,财务部门在审核付款时,可能发现采购部门的付款在金额、期限等方面与合同约定的不一致。
第三,定期的盘点和资产清查。
第四,在一些分析会或专门召开的研讨会中,可以向管理层提供控制是否有效的重要信息,如对现有薪酬是否满意,业务流程是否适用等。这些会议比单纯性的检查要得到更多的有益信息。
第五,与外部各方沟通中印证内部生成的信息或发现问题。比如,顾客对商品投诉、外部审计师对企业内部控制有效性发表意见,等等。
第六,利用自动化的工具评估控制和交易活动。
从以上日常监督活动可以看出,内部监督的对象包括其他四项内部控制要素。
(二)专项监督
专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某个或者某些方面进行有针对性的监督检查。专项监督主要是针对一些变化情况开展的,也是持续监督的组成部分。
四、关注内部控制评价相关的主要方面
(一)内部控制评价与内部监督的关系
内部控制评价是内部监督的组成部分。在内部监督中,企业应该更多地使用日常监督和专项监督。其优势在于:节约企业内部监督的成本,同时在条件允许的情况下,实现对内部控制实时监控,及时纠正错弊。但是,定期的独立评价也是非常必要的。这是因为:一方面,评价由那些不直接参与接受监督的相对独立的人员执行,可以为控制运行情况提供更客观的分析;另一方面,可为持续监督程序的有效性提供有价值的定期反馈,防止持续监督在长期的、不变的活动中降低警惕,从而引发新的风险。
(二)评价的频率和范围
单独评价的频率需要考虑以下因素:
1.两次评价时点间隔内控制失败的可能性或重要性。这种可能性或重要性越大,则单独评价的频率应该越高。也就是说,如果两次评价之间不停地出现控制失效的事件,如新闻媒体频频曝光负面新闻,则内部控制在某些方面一定存在问题或缺陷,应该进行独立评价加以分析。
2.对于缺乏说服力的持续监督形成的信息,应认定为异常情况,需要另外进行单独评价。但这种单独评价,一般无法为内部控制在一个较长时间段内有效的结论提供必要的支持,因此,需要更为频繁的单独评价。
在相对完善的企业制度环境下,某个内部控制失效的事件一般是由几个要素共同影响构成的,而非一个因素形成。例如,一个出纳因未遵循不相容岗位分类而舞弊,很可能不仅仅是控制活动的问题,更重要的是内部环境存在薄弱环节。因此,评价的范围应取决于具体的控制目标,紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素综合进行。
(三)评价的主体和程序
由于董事会对内部控制负责,因此,内部控制评价应由董事会或其委托的机构(如审计委员会)和人员进行。评价主体的独立性是非常重要的。它可以由外部审计师进行内部控制评价,但这并不能减轻董事会对于内部控制的责任。为保持独立性,《企业内部控配套指引》明确要求,同一会计师事务所不能同时既承担某公司内部控制审计又为该公司提供内部控制自我评价服务。
内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。从一定意义上说,内部控制评价的程序能够决定评价的成败。通过评价方案的制定,可以明确评价的重点、范围、方法、以及在多大程度上利用外部审计师的成果,制定可行的行动方案,等等。
评价方法有很多,包括抽样、问卷调查、穿行测试,等等。此外,还可以使用一些定量的方法。“标杆法”也是一种有效的方法,它是对照内部控制良好的企业来衡量自己的内部控制体系的方法,其优点是简单易行,但是也会受到文化、环境等方面差异的制约。
在评价过程中,存在一个问题是,一些业务得到了有效的控制,但是可能并不能及时的记录。在这种情况下,需要评价人员积极寻找控制有效的证据,包括邮件、电话录音等等方面。
(四)内部控制缺陷
一般来说,内部控制缺陷的分类如下:
1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。
2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
内部控制缺陷认定具有一定难度,专业性较强,应力图针对控制目标加以判断,并得到管理层的重视和切实整改。
(五)评价报告
企业需要编制内部控制评价报告,以及时向有关方面说明内部控制缺陷。评价报告分为内部报告和外部报告。对于内部报告内容而言,是根据企业管理的精细化程度及风险评估情况确定的,可以从金额和性质两方面考虑。报告的对象可以按照缺陷的等级,一般缺陷应报告给直接相关者和直接上级,但是对于一般缺陷以外的缺陷,应报告给经理层或董事会。重大缺陷应直接向董事会或审计委员会报告。
对于上市公司而言,外部报告的信息应该能够对内部控制有效性体系构成充分的支撑,并按照监管要求向社会公众披露内部控制评价报告。报告至少应该分别披露“五要素”,由董事会出具真实性的声明,并说明评价的总体情况、依据、范围、程序和方法、缺陷及认定、整改情况和内部控制有效性的结论。