内部控制始于对监督权的追求——COSO新版内部控制框架解读(九)
《礼记·大学》中有一个概念,叫“君子慎独”,意思是品德高尚的人在独处的时候也是谨慎的。通俗一点解释,一个人独立工作、无人监督时,有做各种坏事的选择,但选择不做坏事,就叫慎独。
如果一个人做的事只和自己有关,不需要监督,需要用慎独自己约束自己。但如果一个人做事涉及另外一个或多个利益相关方,就会牵涉个人的“私”利与“公”利之间的平衡,如果一旦产生冲突不免出现损公肥私的情况,如何保障“公”利不受损害?
需要监督,包括今天我们熟知的不相容岗位的分离、交叉复核等方式,都是追求监督权,以期达到公平、公正、抑私、止恶等控制目标的手段。
内部控制始发于内部牵制、发展于所有权与经营权的分离、成熟于资本市场对公众公司保护投资者的要求,也是利益相关方为实现监督、用规则约束决策方与执行方的手段。
如何实现好的监督?
需要设定规则,用明确的规则提供确定性,将监督的内容尽量融入规则,降低监督成本,提高监督效率。
最近这几年国有企业在谈大监督机制,整合监督力量,形成合力,这样拉通职能管理的做法没有错,因为涉及国有资产所有权与经营权的分离,监督是必要的,如果以保障国有资产保值和增值为目标,监督也是非常重要的一环控制方式。
但需要注意一点,监督的成本不宜过高,因为监督本身不创造价值,而是对价值的确认与核实。
如果企业不生产价值,监督就会成为无源之水,迟早会干涸。正确的做法是用完善的规则覆盖绝大部分监督的内容,画出重要的线,挑出重要的关键点,以点带线,用线牵面,监督的力量放在点和线上。
我们现在的监督工作很多时候直接覆盖一个面,工作量巨大,而且各监督职能从不同的角度对监督对象反复翻炒,把业务部门搞得应接不暇,影响了价值创造活动,这样的成本会让企业的风格变得保守,丧失竞争力和创造力。
监督是把双刃剑,运用的好可以更好的保护价值、支持价值创造,运用的不好会流失价值或抑制创造价值。
监督评价是每一个管理体系中的必备要素,在内部控制体系中,监督活动作为最后第五个要素,监督与改进作为闭环,进行持续完善。
我们之前介绍过控制活动的内容,有人会混淆控制活动和监督活动,因为有些监督的工作也会被看做是控制活动,但两者是不同的,控制活动的对象是对具体风险,从而实施的控制行为。而监督活动的对象是对内部控制的五要素而言,确保和这些要素相关的控制活动持续有效运行。
例如对于采购管理来讲,供应商付款的控制活动是为了防止未达到付款条件即付款的情况,而监督活动关注的是,如果出现了这样的付款情况,到底是什么原因导致的,应该从内控的五要素中哪个要素进行完善,并要求管理层做管理改进。
原则16:组织应选择、开展并实施持续评估和单独评估,以确认内部控制的各要素存在并持续运行。
关注环境的变化
对于处在外部环境快速变化中的企业,应不时的评估环境变化对于内部控制各要素持续运行的影响。
熟悉控制现状
对内部控制进行评估应该对现有的控制体系设计和运行有充分的理解和掌握,这是进行内控评价的基础。
持续评估
持续评估一般由业务部门来负责,因为一线职能最有优势接收最新的信息并具有分析处理能力,所以最好的控制活动是融入到业务流程中的,最好的监督评价活动也是嵌入在业务流程中的。
单独评估
企业一般的独立监督职能是由内部审计机构来承担,内部控制的单独评估一般情况下也由内部审计部门来承担。
另外,如果企业设置有单独的内部控制职能,内部控制职能也可以进行内部控制评价,但是两者的角度是不同的,内部审计强调独立监督,置身之外;内部控制职能强调自评价,置身其中。
原则17:组织应评价内部控制缺陷,并及时与整改责任方沟通,必要时还应与高级管理层和董事会沟通。
对评估的结果进行评价
公司董事会或管理层应对监督活动(持续评估和单独评估)的结果进行讨论和评价,对监督活动中识别出的一些缺陷和改进机会进行反馈。
沟通内部控制缺陷
公司根据外部法律法规、监管机构的要求,由公司董事会和管理层根据企业自身情况建立内部控制缺陷标准。按照此标准去评价内部控制的设计和执行情况。
如2010年财政部公布的内部控制评价指引中,给出了内控缺陷的定性标准:
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
刚刚国资委公布的《关于加强重大经营风险事件报告工作有关事项的通知》中,将中央企业需要上报的重大经营风险事件或内控缺陷,分为了几种情况:
对实现年度经营业绩目标影响超过5%或造成重大资产损失风险。
被司法机关或监管机构立案调查,主要资产被查封、扣押、冻结或企业面临行政处罚等,对企业正常生产经营造成重大影响。
受到境外国家、地区或国际组织出口管制、贸易制裁等,企业国际化战略或国际形象产生面影响。
被境内或境外媒体网络刊载,造成重大负面舆情影响。
上市公司每年披露内部控制自评价报告和审计报告时,也需要披露内部控制缺陷的评价标准,一般包括定量和定性两种标准。
对这些识别出的缺陷要进行整改,整改的工作要同时报送整改实施方的上一级管理层,便于其对整改效果实施监督。
监督整改措施
负责整改实施的人和负责整改监督的人不能由一方兼任,属于不相容岗位,需要分离,可以如上面所谈的那样由实施层的上一级管理层实施监督,对于未整改完成的内部控制缺陷,公司管理层和内部控制、内部审计职能应持续关注整改进展,实施持续评估和单独评估。
本篇是内控框架中的主体五要素解读的最后一篇,希望对各位理解内部控制有所帮助。
另外,2013版的COSO内部控制框架还有一部分专门针对对外报送财务报告所适用的内部控制框架内容,最大的不同点是这部分内容专门服务于内部控制三目标中的财务报告目标。
目标聚焦了,风险也有所聚焦,所以最大的内容差异部分是风险评估这一要素,上市公司的财务报告真实准确和信息披露对上市公司至关重要,上市公司的内控职能可以好好看看这部分内容,我们就不展开给大家介绍了。