企業內部監督有效性策略研究

　　【摘要】 內部監督是對內部控制的再控制，可以確保企業內部控制體系的持續有效運行。因此，對確保企業內部監督有效性的相關策略進行研究，具有非常重要的現實意義。
　　【關鍵詞】 內部監督；有效性；策略
　　
　　隨著《企業內部控制基本規范》及其配套指引的發布，我國已基本建成融合國際先進經驗的內部控制規范體系。在內部控制五要素中，內部監督是對內部控制的再控制，但是目前針對如何維護內部監督有效性的研究并不多見。文章將提出相關策略來合理確保企業內部監督的有效性，從而實現企業內部控制體系的持續有效運行。
　　
　　一、提高文檔記錄的規范化和水平
　　
　　企業內部控制體系文檔記錄的規范化和水平隨著企業規模、復雜性等因素的不同而不同。較小規模的企業，尤其當企業管理當局對內部控制體系的設計和運行有直接了解時，可能需要較少的文檔記錄支持其與內部控制有效性相關的結論。但隨著企業規模的擴大和復雜程度的增加，最高管理層對內部控制體系設計和運行的了解程度就會降低，從而增加了其對更為規范的內部控制文檔和監督文檔的需求。大型企業通常有書面的政策手冊、正式的組織結構圖、書面的崗位描述、操作說明、信息系統流程圖等；而較小型企業的內部控制記錄一般比較少。
　　控制點是否有效與是否記錄沒有必然的聯系，有些控制點是非正式的、未加記錄的，但是其運行狀況非常有效，同時缺少記錄的控制點也不意味著是無法實施監督的，監督者①仍然可以通過訪談等形式評價其有效性。一般來說，適當的內部控制記錄可以為執行監督程序提供評價有用的直接信息，從而提高內部監督的效果和效率。除內部監督外，內部控制記錄也有助于企業員工了解內部控制體系如何運行及所起的作用，從而能在必要時協助監督者實施監督程序，并對其進行合理的修改。
　　監督者在實施內部監督的過程中，可能會決定是否記錄監督過程。在決定記錄監督文檔時，監督者有可能會利用企業內部控制體系的現有記錄，并輔之以其它的系統記錄，以及監督過程中所進行的測試、評價和成因分析的描述。通過手工流程或使用能夠維護和報告監督結果的軟件工具能夠進一步提高文檔記錄的規范程度。
　　當企業需要向其他方面提供外部報告以陳述內部控制體系有效性聲明時，管理當局應當考慮編制和保存內部控制文檔和監督文檔記錄以支持內部控制體系有效性聲明，這時內部控制文檔和監督文檔的性質和范圍通常更加重要，越規范的文檔記錄越能有效滿足這些對外報告的要求。如果企業內部控制有效性聲明日后受到質疑，審計師、監管機構或其他外部各方依據內部控制文檔和監督文檔記錄，可以更為有效地執行審計或檢查。另外，企業可以與執行獨立審計或內部控制檢查的外部各方協調文檔記錄的性質、范圍，從而提高未來執行內部控制審計或檢查的成本效益，給企業帶來益處。
　　
　　二、建立并持續改進內部控制有效性標準
　　
　　監督者在實施監督程序的過程中，需要通過對照有效性標準來判斷內部控制體系能否有效地管理或降低風險。企業可以按照內部控制五要素來建立內部控制有效性標準，一般來說，應涵蓋以下方面：
　　內部環境方面主要包括董事會是否界定了保留在董事會層級的權力和授予管理層的權力？審計委員會是否積極地監督內、外部審計工作？公司治理架構是否支持有效的內部控制？最高管理層是否對建立健全內部控制體系負責？內部審計師能否保持審計獨立并擁有足夠的權限？是否建立了對諸如客觀性、知識能力要求的人力資源實務？企業是否確立了良好的誠信和道德價值觀，并確立了控制行為準則？
　　
　　風險評估方面主要包括管理層是否清晰地確立了內部控制的戰略目標、經營目標、資產目標、報告目標和合規目標？風險識別和評估是否考慮了員工的知識能力？風險識別是否考慮內外部因素及其變化對實現控制目標的影響？是否通過估計風險發生的可能性和潛在影響來分析已識別風險？是否合理確定了風險應對策略？
　　控制活動方面主要包括控制活動是否與風險評估結果相結合以應對與實現控制目標有關的風險？控制活動的選取與開發是否符合成本效益原則？是否制定了相關控制活動，并在企業范圍內得到貫徹執行？是否在適當領域設計并實施了信息技術控制？
　　信息與溝通方面主要包括是否在企業的各個層級能夠及時識別、獲取、整理并發布內部控制信息，以支持內部控制目標的實現？在企業的各個層級上是否存在暢通的溝通渠道，以便了解相關的控制目標及其執行狀況和相關職責？企業能否與外部各方有效溝通影響控制目標實現的事項？
　　內部監督方面主要包括日常監督是否被嵌入企業的日常經營活動之中？專項監督的范圍和頻率是否合理？監督程序的實施是否科學？內部監督的效果和效率如何？缺陷信息能否及時、準確地報告給合適的管理層？缺陷整改措施能否落實？
　　任何一家企業既不會也不應有相同的內部控制有效性標準。企業的內部控制有效性標準會因政策、行業、規模、文化和管理理念等內外部因素的不同而不同。因此，內部控制有效性標準應因時、因地制宜。目前多數企業往往采用靜態的、普適性標準，缺乏自我改良、自我完善的強化機制，難以實現內部控制自我驅動的良性循環。文章認為企業內部控制有效性標準在不同企業之間、同一企業不同時期之間均不同。有效性標準的建立應結合企業實際，“量身定做”。每次內部監督所采用的內部控制有效性標準，都應在上一次內部監督和年度自我評價基礎上進行改進。
　　
　　三、制定內部控制缺陷認定標準
　　
　　企業應為監督者制定內部控制缺陷認定標準。一方面，企業可以按照缺陷成因將內部控制缺陷分為設計缺陷和運行缺陷。設計缺陷的認定標準是缺少為實現控制目標所必需的控制，或現存控制設計不適當、即使正常運行也難以實現控制目標。運行缺陷的認定標準是現存設計完好的控制沒有按設計意圖運行，或者是執行的環境發生了變化，或者是執行的過程中發生了一些變化，或者是執行者沒有獲得必要授權或缺乏必要的知識能力以有效地實施控制。存在下列情況之一，企業應當認定內部控制存在設計或運行缺陷：未實現規定的控制目標；未執行規定的控制活動；突破規定的權限；不能及時提供控制運行有效的相關證據。
　　另一方面，企業應當根據內部控制缺陷影響整體控制目標實現的嚴重程度，將內部控制缺陷分為一般缺陷、重要缺陷和重大缺陷（也稱實質性漏洞）。重大缺陷的認定標準是一個或多個缺陷的組合可能嚴重影響內部控制整體的有效性，進而導致企業無法及時防范或發現嚴重偏離整體控制目標的情形。重要缺陷認定標準是一個或多個缺陷的組合的嚴重程度低于重大缺陷，但導致企業無法及時防范或發現偏離整體控制目標的嚴重程度依然重大，須引起企業管理層關注。管理層和董事會應當合理確定相關目標發生偏差的可容忍水平（即風險容量和風險容限），從而對嚴重偏離的情形予以確定。
　　
　　企業可以為監督者設計內部監督工作底稿。在內部監督工作底稿中，企業可以根據內部控制有效性標準，將各個控制點的有效性區分為完全有效、部分有效和無效三個等級，并要求監督者指明相關證據（見表1）。對于內部監督過程中發現的問題，監督者應當依據內部監督工作底稿，結合企業的內部控制缺陷認定標準，判斷是否構成內部控制缺陷以及缺陷類型。監督者在認定內部控制缺陷是否構成重大缺陷的過程中，除了依據監督工作底稿和控制缺陷認定標準外，還應當考慮針對同一細化控制目標所采取的不同控制活動之間的相互作用、針對同一細化控制目標是否存在其它補償性控制活動等。對于為實現單個或整體控制目標而設計與運行的控制不存在重大缺陷的情形，監督者應當認定針對這些整體控制目標的內部控制是有效的。對于為實現某一整體控制目標而設計與運行的控制存在一個或多個重大缺陷的情形，監督者應當認定針對該項整體控制目標的內部控制是無效的。 對于因業務流程外包等原因造成企業無法評價特定業務、特定流程的內部控制有效性的情形，監督者應當充分考慮該項業務流程及其相關控制的重要性，確定其對整體控制目標實現的影響。
　　
　　
　　四、強化信息技術在內部監督中的應用
　　
　　由于監督者利用信息與溝通系統收集評價有用信息，并通過信息與溝通系統將監督結論匯報給合適的管理層，因此，強化信息技術在內部監督中的應用，可以提高監督的效果和效率。文章將以XBRL和ERP為例說明信息技術在內部監督中的應用。
　?。ㄒ唬BRL 在內部監督中的應用
　　XBRL是基于XML技術的具體運用，名稱空間的定義采用網址的名稱和路徑，也就是通用資源標志符（Uniform Resource Identifier，URI），將某一領域或行業規范的對標記名稱的定義放在互聯網上，便于相關用戶應用。當監督者、監督對象以及外部監管機構都使用XBRL作為標準時，交換信息就不再需要建立新的規范（見圖1）。當需要監督交易數據的完整性和準確性時，由于XBRL具有內置的校驗功能，監督者與監督對象間基本上擁有了“多對多”的校驗能力。由于相同標準軟件的使用，所以，這種監督校驗的成本很低。另外，XBRL提供了控制點運行信息溝通由供給決定型向需求決定型轉變的路徑。各個控制點員工應完整地記錄其運行狀況信息，并集中存放于數據庫，建立滿足監督者需求的數據超市。監督者通過制定規則，按自己的需求和偏好適時地進行信息選擇、加工、提煉、匯總和分析，生成或組裝相關的評價有用信息。
　?。ǘ〦RP在內部監督中的應用
　　
　　ERP系統的核心內容包括物流、財務、人力資源等模塊，具有集成性、先進性、統一性、完整性和開放性的特點。由于ERP系統采用了計算機最新的主流技術和體系結構，包括B/S、INTERNET體系結構、WINDOWS界面，所以在能通信的地方都可以方便地接入到系統中來。物流、財務、人力資源等模塊通過協助評價風險、定義和評價控制以及溝通結果等影響內部監督的活動，進而可以提高監督的效果和效率。這些流程管理工具可以使用工作流技術來設計其結構，并與內部監督程序的執行和匯報保持一致。ERP系統可以用于執行常規測試，通過檢查選定的交易或事項來確定是否存在異常。另外，監督者應確認ERP系統訪問、源數據輸入、關鍵數據變更等行為是否得到了適當的授權。
　　
　　【參考文獻】
　　［1］ COSO.內部控制體系監督指南［M］.企業內部控制標準委員會秘書處譯.大連：東北財經大學出版社，2010．
　　［2］ 樊行健，宋仕杰.企業內部監督模式研究［J］.會計研究，2011（3）．
　?。?］ 樊行健，等.成本費用內部控制[M］.大連：大連出版社，2010．