內部監督的趨同與創新
財政部、證監會、審計署、銀監會、保監會等五部委聯合發布的《企業內部控制基本規范》(以下簡稱《基本規范》),科學界定了內部監督是企業實施內部控制的重要要素,對 “內部監督”的定義實現了趨同與創新。
稱謂不同但定義沒有本質差別
在國外,美國全國虛假財務報告委員會下屬的發起人委員會(COSO)制定的內部控制報告稱,監控是一個評估系統在一定時期內運行質量的過程。
COSO制定的《全面風險管理框架》將內部監督稱為監控,即對企業風險管理進行監控———隨時對其構成要素的存在和運行進行評估。
美國《聯邦政府內部控制準則》將內部監督稱內部控制監控,并指出內部控制監控應該確保業績質量,同時,也應該確保審計或其他復核活動中發現的控制缺陷能得到恰當的解決。內部控制監控應該包括確保審計人員和其他復核人的發現能得到迅速解決。
在國內,《中國注冊會計師審計準則第1211號———了解被審計單位及其環境并評估重大錯報風險》(以下簡稱《1211號準則》)將內部監督稱為對控制的監督,注冊會計師應當了解被審計單位對與財務報告相關的內部控制的監督活動,并了解如何采取糾正措施。
《內部審計具體準則第 5 號———內部控制審計》則將內部監督稱為監督,是為了保證企業內部控制的效果,必須對整個內部控制的執行過程進行恰當的監督,并通過監督活動對內部控制的某個薄弱環節加以必要的修正。
《基本規范》稱內部監督,是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
由此可見,關于內部監督,國內外內部控制規范稱謂不同,不論是“監控”、“內部控制監控”、“內部控制的監督與糾正”、“監督”、或者是“監督檢查”等,盡管在稱謂上有差異,對“內部監督”的定義并沒有本質差別,可概括為對內部控制健全、合理、有效性進行監督檢查的過程。
內部監督方式基本一致
在國外,COSO內部控制報告指出,監控這一過程通過持續性的監控行為、獨立的評估或兩者的結合來實現。持續性的監控行為發生在經營的過程中。它包括日常管理和監管行為,以及其他人在履行職責時發生的行為。獨立評估的范圍和頻率主要依賴于風險評估和持續性監控程序的有效性。內部控制的缺陷應自下而上進行報告,重要事項應報知高層管理人員和董事會。
COSO全面風險管理框架認為,監控可以以兩種方式進行,即通過持續的活動或者個別評價。
在國內,《1211號準則》中對控制的監督描述為,注冊會計師應當了解被審計單位對控制的持續監督活動和專門的評價活動。
《內部審計具體準則第 5 號———內部控制審計》中明確,監督主要包括以下內容:內部審計機構實施的獨立監督、管理層對內部控制的自我評估。
《基本規范》將內部監督分為日常監督和專項監督。企業應當結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告。
由此可見,關于內部監督的方式,國內外內部控制相關規范的范圍基本相同,都包括持續性監控、獨立評估,根據監督情況進行自我評價,出具內部控制自我評價報告。只是《基本規范》把持續性監控改為日常監督,把獨立評估改為專項評估,這更適合中國企業的習慣。
國內外對內部監督的具體要求是有差別的
在國外,COSO內部控制報告對監控的論述有不少新觀點,幾乎每句話都是一個觀點。比如:內部控制應隨著時間而變化。實施控制的方式可能不斷發展。我們必須意識到,持續性的監控活動是植根于企業日常、重復發生的經營活動中的。在日常經營中用于監控內部控制有效性的行為是多樣化的。持續性監控行為有下面一些例子:在執行常規管理時,能夠取得內部控制持續運轉的證據。來自外界的反饋確認了內部產生的信息或信息存在明顯問題。適當的組織結構和監管行為提供了對控制行為的復核和對缺陷的確認。將信息系統所記錄的數據與實物資產核對。例如,產成品存貨應定期進行盤點,將盤點的數據與相應的會計數據核對并記錄存在的差異。內部及外部審計師定期為進一步加強內部控制提供建議。培訓研討會、計劃會議及其他會議能向管理層提供有關控制是否有效的重要反饋。定期詢問職員理解及執行企業相關規定的情況。由此可見,這些持續性監控活動關注每個內部控制要素的重要方面。
盡管持續性監控程序可以提供關于其他控制要素有效性的重要反饋信息,但經常地對系統的有效性直接進行評估也是十分必要的。這里有許多的評估方法可供選擇,包括檢查清單、調查問卷和流程圖等方法。許多工作要進行分工。但是,負責評估的人要對直至完成的全過程進行管理,這一點非常重要。企業內控系統的缺陷源自很多方面,包括企業的持續性監控行為,內控系統的獨立評估,以及外部因素。內部控制系統設計或運行的重要缺陷,其可能對企業記錄、處理、匯總和報告與管理層財務報表申明一致的財務數據產生不利影響。還明確了中小企業的運用和評估的要點。
在國內,《1211號準則》對控制的監督表明,持續的監督活動通常貫穿于被審計單位的日常經營活動與常規管理工作中。被審計單位可能使用內部審計人員或具有類似職能的人員對內部控制的設計和執行進行專門的評價。
《中央企業全面風險管理指引》中明確,企業應以重大風險、重大事件和重大決策、重要管理及業務流程為重點,對風險管理初始信息、風險評估、風險管理策略、關鍵控制活動及風險管理解決方案的實施情況進行監督。
《基本規范》要求制定內部控制監督制度,明確內部審計機構(或經授權的其他監督機構)和其他內部機構在內部監督中的職責權限,規范內部監督的程序、方法和要求,把內部監督分為日常監督和專項監督,明確了企業應當制定內部控制缺陷認定標準等應有內容,并在總則中特別要求接受企業委托從事內部控制審計的會計師事務所,應當根據本規范及其配套辦法和相關執業準則,對企業內部控制的有效性進行審計,出具審計報告。同時,為企業內部控制提供咨詢的會計師事務所,不得同時為同一企業提供內部控制審計服務。
筆者認為,《基本規范》中關于內部監督的要求是在借鑒國際權威標準的同時,總結我國已制定的內部控制規范,結合我國企業的習慣提出的,具有中國特色。
