COSO框架主要内容及内部控制
框架
框架内容
内容提要
1 - 定义
2 - 控制环境
3 - 风险评估
4 -控制活动
5 -信息和沟通
6 -监督
7 -内部控制的局限性
8 -角色和职责
附件
A -研究的背景和相关事件
B -方法
C -对于定义的观点和应用
D -意见信的考虑
E -精选术语表
Committee of Sponsoring Orginizations of the Treadway Commission
主席
Gaylen N. Larson
会员机构
财务执行机构
美国注册会计师协会
美国会计师协会
内部审计师协会
管理会计师协会
(COSO) 代表 P. Norman Roy Philip B. Chenok Andrew D. Bailey William G. Bishop III Robert W. Liptak
内容提要
长期以来,高级管理层一直在寻找控制和管理他们所经营的企业的更好方法。内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展,并将这个过程中的干扰因素最小化。内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求,并针对未来的成长进行调整。内部控制促进效率性,降低资产损失的风险,并有助于确保财务报表的可靠性和对于法律法规的遵循性。
由于内部控制服务于很多重要的目标,对于更好的内部控制系统及其运行效果的要求不断增加。内部控制系统越来越多地被视为各种潜在问题的解决方案。
什么是内部控制
内部控制对于不同的人具有不同的意义,这造成了经商人士、立法者、监管机构和其他相关方的困惑,同时导致企业由于沟通有误和期望不同而产生问题。
在内部控制被写入法律、法规或条例中时,如果没有清晰的定义,问题会更加复杂化。
本报告针对管理层和其他方面的需求和期望,在定义和描述内部控制时考虑如下因素:
• 建立一个适用于各方需求的通用的定义
• 提供一个标准,无论是大的或小的、公众的或私人的、盈利性的或非盈利性的业务和企业,均可以参照该标准评估他们的控制系统并决定如何改进。
内部控制在广义上可以定义为一个流程,它受到企业的董事会、管理层和其他人员的影响,它为实现下述各个类型的目标提供合理的保证:
• 经营的效率和效果
• 财务报告的可靠性
• 法律法规的遵循性
第一类目标针对企业的基本业务目标,包括业绩和盈利目标以及资源的安全性。第二类目标关于编制可靠的公开发布的财务报表,包括中期和简要的财务报表以及从这些公开发布的报表中精选的财务数据,例如业绩公告。第三类目标涉及对于企业所适用的法律及法规的遵循。这些明显的但是重叠的目标类型明确了不同的需求,并允许有所偏重以满足单独的需求。
内部控制系统的运作具有不同层面的有效性。如果董事会和管理层在下述方面提供合理的保证,内部控制可以在三种类型中的每一类被分别判断为有效:
• 他们理解企业经营目标的实现程度
公开性的财务报表的编制具有可靠性
• 遵循相关的法律和法规
由于内部控制是一个流程,它的有效性表现为流程在一个或多个时点上的状态或情形。
内部控制包括五个相互关联的组成部分。它们源于管理层运作业务的方式,并且是管理流程的一部分。尽管这些适用于所有企业,中小型公司的实施过程可能有别于大型企业。中小型公司的控制可能比较非正式和缺少结构性,当然小型公司也可能拥有有效的内部控制。
这些组成部分为:
• 控制环境 – 控制环境决定了一个组织的基调,影响成员对于控制的意识。它是内部控制所有其他部分的基础,提供纲领和结构。控制环境因素包括诚信、道德价值观和企业员工的竞争力;管理哲学和经营风格;管理层如何进行授权和职责分配,如何组织和发展它的员工;董事会提供的关注和指导。
• 风险评估 -每个公司都面临着内外部风险,这些风险必须被评估。风险评估的前提是建立不同层次但具有内部一致性的目标。风险评估是发现和分析对达到目标有影响的风险的过程,是确定如何管理和控制风险的基础。因为经济状况、行业状况、法规和经营状况会不断发生变化,风险评估要发现并处理这些变化对有关风险的影响。
• 控制活动-控制活动是确保管理层指令得到执行的公司政策和流程。它确保企业针对相关的风险采取了必要的措施,以实现企业的目标。控制活动存在于整个组织的所有层次和所有职能部门中。控制活动包括一系列不同的活动,例如对经营活动的审批、授权、确认、核对、审核,对资产的保护,职权分离等。
• 信息和沟通 -相关的信息必须以某种形式并在某个时段被识别、获得和沟通,以促使职责的履行。信息系统生成报告,内容包括经营、财务和合规性方面的信息,以使得管理层能够运作和控制业务活动。信息系统不只是处理内部生成的数据,而且还处理业务决策和外部报告所必须的关于外部事件、活动和状况的信息。有效的沟通应当基于更为广泛的理解,自上而下、自下而上地贯穿整个组织。所有的人员应当获得来自最高管理层的明确的信息并认识到—他们所承担的控制责任重要性。他们必须明白自己在内部控制系统中扮演的角色以及自己的行为与他人的工作如何联系。他们必须拥有向上沟通重要信息的途径。同时,也必须和外部单位进行有效沟通,例如客户、供应商、监管部门和股东。
• 监督 -内部控制系统需要监督-一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。持续的监督是在经营活动中进行的。它包括日常的管理活动和监督活动,以及•
员工履行他们的职责时进行的活动。单独评价的范围和频率基本上取决于风险评估的结果和持续监督程序的有效性。内部控制的缺点应报告给上级部门,重大事项应报告给管理层和董事会。
这些组成部分之间的配合和联系,组成了一个完整的系统,可以灵活地随条件变化而变化。内部控制系统与企业的经营活动相互交织,并因为最基本的业务原因而存在。当内部控制嵌入于组织架构中并成为公司的核心部分时,内部控制最为有效。“嵌入式”控制可以避免不必要的成本,可以对环境变化做出快速的反映。
目标和组成部分之间有直接联系,目标是组织力争达到的,而组成部分说明要达到目标需要什么。所有的组成部分和目标是相关联的。当我们观察任何目标时-运营的效率和效果-举例来说,所有的五个组成部分必须都存在并有效运行,才能说在运营有效性方面,内部控制是有效的。
内部控制的定义-其基本的概念是一个流程,提供合理的保证-与目标和组成要素的分类、有效性标准以及相关的讨论,共同组成了该内部控制框架。
内部控制的作用
内部控制可以帮助企业实现经营和盈利目标,避免资源损失。它有助于保证财务报告的可靠性,有助于保证公司运营符合相关的法律法规,避免声誉受到伤害和其他不良结果。总之,它有助于企业按照期望的方向发展,避免陷阱和意外。
内部控制无法做到:
有些人对内部控制抱有过高的、不切实际的期望。他们寻求绝对化,认为:
• 内部控制可以保证企业的成功-也就是说,它会保证实现基本业务目标,或者至少保证企业的生存。
有效的内部控制只是帮助企业实现他们的目标。它可以向管理层提供
企业对于目标的实现程度的信息。但是内部控制不能使一个本身不好
的经理变成一个好经理。另外,政府政策或程序的变化、竞争对象的
行为或者经济状况的变化是超越于管理层可控范畴的。内部控制不能
保证成功,甚至不能保证公司的生存。
• 内部控制可以保证财务报表的可靠性和法律法规的遵循性
这种想法也是没有根据的。一个内部控制系统,无论设计和运行得多
么完善,也只能为管理层和董事会就公司目标的实现提供合理保证-
而不是绝对的保证。目标实现的可能性受所有内部控制系统本身的局
限性影响,包括做决定时依据的判断可能是错误的,而且这种失败可
能源于非常小的错误或失误。另外,控制可能被员工共谋而规避,而
且管理层有能力凌驾于控制之上。另外一个限制因素是内部控制系统
的设计受到资源的限制,考虑实施控制的好处时也要考虑控制成本。
因此,尽管内部控制可以帮助一个组织达到目标,但是内部控制不是
万能药。
任务与责任
组织中的每一个人都对内部控制负有责任。
• 管理层 -首席执行官对内部控制负有全面的责任,可以看作是内部控制系统的“责任人”。首席执行官的态度相比任何人对诚信、道德和控制环境的影响都大。在一个大公司,首席执行官的任务是领导和指导高级管理人员,检查他们经营的方式。依次的,高级管理人员向负责企业运营的员工分配建立更为具体的内部控制政策和程序的责任。在一个较小的公司,首席执行官的影响(通常所有人即是经理)更为直接。在任何情况下,在层叠式的职责中,经理是他/她自己职责范围内的首席执行官。财务总监和他的员工的责任具有重要意义,他们的控制活动贯穿于企业上下、业务活动和其他部门。
• 董事会 -管理层对董事会负责,董事会实施治理、指导和监督。有效的董事会是客观的、有能力的和善于调查的。他们具有业务活动方面的知识,有时间履行董事会的责任。管理层可能处于一个能够凌驾于控制之上的位置,忽略或者抑制下级的信息沟通,而使得不诚实的管理层故意歪曲结果以掩盖踪迹。一个强大的、活跃的董事会通常能够结合有效的汇报渠道和有力的财务、法律和内部审计职能来发现和纠正这样的问题。
• 内部审计师 -内部审计师在评价内部控制有效性方面起着重要的作用,对维持有效性也有所贡献。内部审计职能部门因为其在企业中的地位和权利,起着重要的监督作用。
• 其他人员 -内部控制从某种程度上是组织中每个人的责任,因此应当作为每个人工作范围的明确或非明确的一部分。事实上,每个员工都产生内部控制系统中所使用的信息,或者用行动来影响着内部控制。还有,所有的人都有责任向上汇报沟通组织中的问题,汇报违反行为准则的情况,以及违反政策或法律的行为。
大量的外部单位都对公司达到目标有所贡献。外部审计师,提供独立客观的意见,直接对财务报表审计,间接对管理层和董事会提供履行职责的信息。向公司提供有用信息来影响内部控制的还有立法机构和监管机构、客户和其他公司、财务分析员、债券评级人和新闻媒体。但是外部单位不会对公司内部控制负有责任,也不是公司内部控制体系中的一部分。
报告的组织
报告分为四个部分。第一部分是内容提要,是一个较高层次的内部控制框架的概括,与首席执行官和其他高级人员、董事会成员、立法机构和监管机构相关。
第二部分是框架,定义内部控制,描述它的组成部分,提供标准。据此,管理层、董事会和其他人员可以评价他们的控制系统。这部分包括内容提要。
第三部分是对于外部各方的报告,是一个补充文件,它向那些对外公告财务报表编制内部控制程序的企业和预期要这样做的企业提供指导。
第四部分是评价工具,提供评价内部控制体系时可能有用的工具。
____________________ * COSO报告于1992年9月出版,由四部分组成。1994年5月出版。在1994年的版本里,前面3部分和附录合并起来,作为一个部分出版,加强工具被放在第二部分。
应该做什么
依据该报告而采取的行动取决于所涉及各方的地位和责任。
• 高级管理层 -大多数参与这项研究的高级管理人员认为他们基本上“控制着”他们的组织。然而,很多人说,他们的公司的内部控制中的一些领域-一个分支机构、一个部门或者一个贯穿于经营活动的控制组成部分-这些方面的控制处于发展的初级阶段或者是需要加强的。他们不喜欢意外事件。这个研究建议首席执行官实施控制系统的自我评价。使用这个框架,首席执行官与运营总监和财务总监可以专著于需要重视的领域。一种方法是,首席执行官可以将业务部门的主管和主要的员工召集起来实施初步内部控制评估。领导层应给予这些人相关的指导,讨论报告概念,在他们的责任领域提供关于初步评估过程的意见,并汇报发现的问题。另一种方法可能涉及对于公司和业务单位的政策和内部审计程序的初步审阅。无论以什么形式,初步的自我评价应判断是否有必要和如何进行更广泛更深入的评估。同时,它应该保证持续的监督程序得到执行。用在内部控制评估上的时间是一种投资,一种高回报的投资。
• 董事会成员 -董事会成员应与高级管理层进行讨论,讨论企业的内部控制状况,如果需要的话,进行监督。他们应该寻找和利用来自于内、外部审计师的信息。
• 其他人员 -管理层和其他人员应考虑如何根据这个框架履行他们的控制责任,与高级管理人员讨论关于加强控制的看法。内部审计师应考虑他们关注内部控制系统的范围,可以考虑将评估资料与评估工具进行比较。
• 立法机构和监管机构-制订和颁布法律的政府官员认识到,对于任何问题的理解都可能存在误解和不同的期望。对于内部控制的期望在以下两个方面有很大差异:首先,对于什么样的控制可以实现,意见不同。正如我们所知,一些观察家认为内部控制能够或者应该避免经济损失,或者至少避免公司经营失败。第二,虽然对于内部控制可以做什么不可以做什么,以及“合理保证概念”有共识,但是对于这些概念的意义和如何应用还是有分歧的。公司的执行官员担心监管者如何在控制失败时解释报告中的“合理保证”的认定。关于内部控制的管理报告的法律法规被遵守之前,应该对内部控制框架有一个一致的认识,包括内部控制的局限性。这个框架应当有利于达成共识。
• 专业组织 -法律的制订者和其他专业组织提供对财务管理、审计和相关主题的指导,并应当根据这个框架考虑他们的标准和指导。消除概念与定义的分歧,将使所有各方受益。
• 教育者 -这个框架应该是学术研究和分析的对象,来看看是否可以在某些方
面进一步提高。假设这个报告被广泛接受和理解,它的概念和术语应被带入大学教程中。
我们相信这个报告带来很多好处。在充分理解的基础上,所有的单位团体可以使用通用的语言,可以沟通得更为有效。业务主管被委派去按照标准实施内部控制系统的评估,加强内部控制,把公司向着目标推进。未来的研究可以在已有的基础上进行。立法机构和监管机构能够提高对内部控制的理解,并认识内部控制的好处和局限性。当所有的单位团体使用通用的内部控制框架时,它的好处就可以被大家认识到了。
COSO报告:框架
第一章-定义
本章概要:内部控制被定义为一个流程,受企业中的人为因素的影响,被设计出来完成特定目标的流程。它的定义是广泛的,涵盖了业务控制的各方面因素,亦关注某项特定目标的控制。内部控制包括5个相关的组成部分,它们反映在管理层的运作企业的模式中。这些组成部分是互相联系的,并且可以当作判定系统是否有效的标准。
该研究的主要目标是帮助公司和企业的管理层更好地控制组织的活动。但是内部控制对不同的人有着不同的涵义。内部控制内涵的广泛性和多样性,使得难以对内部控制有一个公认的理解。所以一个重要的目标是将对内部控制的不同概念整合到一个框架中,从而达到对内部控制的共识,确定控制的组成部分。这个框架应包含大多数的观点,为每家企业评价内部控制、为未来法律法规的拟定以及为教育提供起点。
内部控制
内部控制被定义成:
内部控制是一个流程,受企业中董事会、管理层和其他人员的影响,
被设计出来为下列各类目标的实现提供合理的保证:
• 运行的效率和效果
• 财务报表的可靠性
• 法律法规的遵循性
这个定义反映了某些基本概念:
• 内部控制是个
• 内部控制受到的因素的影响,它并不只是政策手册和表格,而是组织中各个级别的人员
• 内部控制为企业的管理层和董事会提供 • 内部控制通过调整来达到一个或多个单独但又有交叉的目标。
由于下述两个原因,内部控制的定义是广泛的:首先,它是大多数高级管理层在管理他们的业务活动时看待内部控制的方式 。 实际上他们经常使用“控制”和“受控”这样的词汇。
第二,它包括了内部控制的子集。如果需要,就可以只专注于,诸如针对财务报告
的控制或者针对合法合规性的控制。同样,也可以直接关注企业中那些针对特定的单位或活动的控制。
这个定义也提供了本章后面讨论的定义内部控制有效性的基础。上述的基本概念将在随后段落中进行讨论。
流程
内部控制不是一个事件或者环境,而是一系列保证企业的活动得以顺利进行的行为。这些行为的范围很广泛,而且包含在管理层的运作业务的方式中。
组织单位及功能部门内部或者跨组织单位和功能部门的业务流程,是通过计划、执行和监控这些基本的管理流程来实施的。内部控制是这些流程的一部分,并与它们紧密结合。内部控制使流程可以正常运行,并监督它们的实行和保持持续相关性。这是一个管理层使用的工具,而不是管理层的替代品。
内部控制的概念不同于某些人的观点,他们认为内部控制是附加于企业活动的某些东西,或者是监管机构强加或官僚机构指定的必要负担。内部控制系统与企业的经营活动交织在一起,并因最基本的业务需求而存在。当内部控制嵌入企业的基层组织并成为企业核心部分时是最有效的。控制应该是“嵌入式”的而不是“流于表面”的。
“嵌入式”的控制可以直接影响企业完成目标的能力,并有助于提高业务质量的主动性。质量的要求与业务如何运作、如何控制是直接联系的。提高质量的主动性成为公司经营的一部分,因为:
• 高层领导对于质量价值的保证融于公司业务运作的方式
• 质量目标的建立与组织的信息收集、分析以及其他程序相联系。
• 利用竞争的经验和客户的期望,来促进质量的不断提高
这些质量因素与有效的内部控制体系是对应的。实际上,内部控制不仅与质量控制程序相结合,而且经常对质量控制的成功起到重要作用。
嵌入式的控制对成本控制和反馈时间有重要的影响。
• 大多数的公司都面临着强大的竞争和控制成本的需要。而增加独立于现有程序的新的程序会要求增加成本。公司通常可以通过关注于现有的控制活动和它们对有效的内部控制的作用,针对基本的经营活动建立控制活动,来避免设立不必要的流程和成本。
• 在经营过程中建立控制可以促进针对新的经营活动建立新的、必要的控制程序,这种连带的作用可以使公司经营更加灵活,提高公司的竞争能力。
人员
内部控制受企业中董事会、管理层和其他人员的影响。它是通过组织中人员的言行来实现的。人员确立企业的目标,并落实控制机制。
类似地,内部控制影响人的行为,内部控制认为人们并不总能理解、沟通或者一贯地执行。每个人将各自不同的背景和技术能力带到工作中,并且有着不同的需求和重点。
这些事实影响内部控制并受到内部控制的影响。人们必须知道他们的责任和权限。相应的,人们的责任和他们做事的方式、公司目标之间应该有明确、紧密的联系。
组织中的人员包括董事会、管理层和其他人员。尽管董事们被认为主要负责监督,他们也负责指明工作方向和批准某些交易和政策。所以董事会是内部控制中的重要因素。
合理保证
内部控制无论设计和运行得多么完善,也只能对管理层和董事会就组织目标提供合理的保证。实现目标的可能性受到内部控制本身局限性的影响。它包括人们进行决策判断基于的事实可能是错误的,负责设立内部控制的人员需要考虑相关的成本和收益,人为的一个小错误就可能导致内部控制的失败。另外控制也可能因两个或多个人员的共谋而被规避。最后,管理层有能力凌驾于内部控制之上。
目标
每个企业均有使命建立目标和完成目标的战略。目标可以是全公司范围的,也可以是对特定业务活动的。尽管很多目标是针对特定企业的,但有些确实是大家所共有的。例如,所有企业均要在行业内和消费者中保持良好的声誉,向股东提供可靠的财务报表,在经营方面遵纪守法。
在该研究中将目标分为以下三类:
• 经营-关于如何有效地利用企业的资源
• 财务报告-关于编制可靠的对外公布的财务报表
• 合规性-关于企业对于相关的法律法规的遵循性
上述分类让我们专注于内部控制的各个方面。这些互相有别又有交叉的分类(一个具体的目标可能属于多个分类)满足不同的需要,并且表明了不同的执行人员的直接责任。这个分类也便于区分从每一类内部控制中我们能够期望得到什麽。
内部控制系统可以合理保证财务报告的可靠性和合规性。达到这些目标在很大程度上依赖于外部各方的标准,取决于企业是如何控制其内部的行为的。
但是,经营目标的取得,例如投资报酬率、市场占有率、新产品线的介入,并不完全在公司的控制范围内。内部控制不能避免错误的判断或决定或者可能导致经营目标无法实现的外部事件。对于这些目标,内部控制系统只有在管理层和董事会在监督职责的范围内,及时地知道公司向目标迈进的程度的时候,才能够提供合理的保证。
组成部分
内部控制包括5个相互关联的组成部分。这些组成部分源于管理层经营业务的方式,并与管理的流程相结合。这些组成部分是:
• 控制环境 -任何经营活动的核心都是人-他们各自的特性,包括诚信、道德价值观和能力-以及他们工作所处的环境。他们是企业运作的发动机和基础。
• 风险评估 -企业必须了解和处理他们面临的风险。它必须设立包括销售、生产、市场、财务和其他活动的目标,这样组织才能够上下同心地运作。它还必须建立发现、分析和管理相关风险的机制。
• 控制活动 -必须建立控制政策和程序,来确保那些由管理层确定的针对风险以实现企业目标的行动被有效地执行。
• 信息和沟通 -围绕这些活动的是信息和沟通系统。它们使企业的人员可以捕获和交换那些执行、管理和控制经营过程中所需要的信息。
• 监控-整个控制过程必须被监督,并在必要时获得修改。这样,控制系统才可以灵活地发挥作用,随条件变化而改变。
这些内部控制组成部分以及它们之间的联系可以用一个模型描述,如图1所示。这个模型说明了内部控制的运行规律。例如,对风险的评估不仅影响控制活动,而且需要考虑对信息和沟通的要求,或者企业的监督活动。所以,内部控制不是一个简单的串型流程,其中的一个组成部分只能影响下一个组成部分。它是一个多方位、反复的过程,在这个过程中,几乎任何一个组成部分都可能影响其他组成部分。
没有任何两个企业会或应该具有相同的内部控制。公司和他们的对内部控制的需要由于行业、公司规模、文化和管理哲学不同,而存在很大的区别,所以,尽管所有的公司都需要具备各个控制经营活动的内控组成部分,但是公司的内部控制系统通常不同于其他公司。
内部控制组成部分
《图例》
控制环境提供人们进行活动和履行控制责任的氛围,它是其他组成部分的基础。在这个环境中,管理层评价完成特定目标面临的风险。控制活动的实施有助于来保证管理层针对风险的指示被落实。同时,人们捕获相关的信息,并在整个组织内部进行沟通。整个过程得到监督并在适当的时候得到修改和改进。
目标和组成部分的关系
在目标之间有着直接的联系,这些目标是企业力争实现的;而内控组成部分说明了实现目标需要作什么。这个关系可以用三维的矩阵图表示,见图2:
• 纵坐标代表三个目标-经营、财务报告和合规性
• 横坐标代表五个组成部分
• 与内部控制有关的部门或者活动被描述在三维矩阵图中。
每个组成部分“贯穿”并适用于所有三个目标分类。在图的右下角单独给出了一个例子,作为“延伸”部分:财务和非财务的数据从内部和外部资源中生成,是信息和沟通的一部分,亦是有效地管理业务经营、编制可靠的财务报表和判断企业是否遵守法律所必须的。
另一个例子(没有单独列示),关于建立和执行控制政策和程序以保证管理计划、程序和其他指令被执行-表示控制活动的组成部分-这也同三个目标分类相关。
类似地,看一下目标的分类,所有的五个组成部分都和每类目标有关系。举一个例子,经营的效果性和效率性,所有的五个组成部分都适用并且对目标的实现很重要。
内部控制与整个公司或者公司的一部分相关联的。这个关系由第三维来解释,它列示了子公司、部门或者其他业务单位、功能部门或活动,例如采购、生产和市场活动。因此,每个部分都可以对应到一个矩阵单元。例如,左下角最前面的一个单元格,代表了与公司某个部门的经营目标相关的控制环境。
《图例》
有效性
不同企业的内部控制系统的运行效果是不同的。类似的,某个系统在不同时期的运行效果也是不同的。当一个内部控制系统能够达到如下的标准时,它就被认为是有
效的。
如果董事会和管理层提供合理保证,内部控制能够在下述三个方面被分别认为是有效果的:
• 他们了解企业经营管理目标的实现程度
• 公布的财务报告是可靠的
• 适用的法律和法规获得遵循
因为内部控制是一个流程,它的有效性是流程在某一时点上的状况和状态。
确定某一内部控制系统的效果,需要在评估五个内部控制组成部分是否存在以及是否运行良好的基础上作出判断。内部控制的有效运行为某个或某些相关的内部控制目标的实现提供了合理保证。因此,这些控制组成部分就成为有效内部控制的确定标准。
尽管五个组成部分都应该被满足,但是这并不意味着在不同的企业中每个组成部分都得到同样的执行。不同组成部分之间存在某种平衡。因为内部控制能够满足多个目的,一个组成部分中的控制可能会满足另外一个组成部分范畴内的控制需要实现的目标。另外,控制降低风险的程度是不同的,所以效果有限的多个控制一起可以达到满意的控制效果。
这些组成部分和标准适用于整个内部控制系统,或者是一个或多个目标种类。当考虑任何一个种类的控制时,例如有关财务报告的控制,所有五个标准都应该满足才能得出有关财务报告的控制是有效的。评估内部控制系统的有效性时应当考虑以下各章的内容。
应该认识到:
• 由于内部控制是管理活动的一部分,所以我们将在管理层如何经营的层面上讨论内部控制组成部分。但是,并非所有的管理活动都是内部控制组成部分。例如:目标的建立,尽管这是一项重要的管理责任,却是内部控制的前提。类似的,管理层的许多行动和决定都不是内部控制。图3列示了一般的管理行为,并说明哪些管理活动被视为内部控制。(该列表并非要列示所有的控制活动,也不是唯一的描述管理活动的方法。)
• 讨论的原则适用于任何规模的所有企业。尽管中小规模企业的内部控制组成部分的实施与大的组织是不同的,但是中小规模的企业仍然可以建立有效的内部控制。各个章节都会有一部分来描述相关的内容。
• 各个章节均包括一个“评价”部分,提供一些在评估内控组成部分时应考虑的因素。这些因素并不全面,也不是在任何情况下都适用。它们为建立一个更为全面或更未恰当的评估程序提供解释。
图3
内部控制和管理流程
管理活动
企业层面目标的制定-使命、价值声明 战略计划
建立控制环境因素
经营层面的目标确定
风险确定和分析
风险管理 控制活动执行
信息确定、获得和沟通
监控
纠正行动
第一章的注释-定义
注释(1)
本处使用的词语“业务”指任何企业的业务活动,包括政府单位和其它非盈利组织。
注释(2)
尽管被称为一个流程,内部控制可以被看作是流程的多种形式。
内部控制