前我們介紹了內部控制的定義和內部控制的目標、要素及原則,本章我們介紹下什么叫有效的內部控制。
一、內部控制的目標是管理風險
我們經常談起建立有效的內部控制、保持內部控制的有效性,到底如何評價內部控制的有效性呢?
按照COSO的說法,有效的內部控制的目標是什么?
將影響目標實現的風險降低至可接受的水平!
請仔細讀一下這句話,有效的內部控制是為了降低風險到可接受的程度,以增大實現組織運營、報告、合規目標的把握,這句話其實明確了以風險為導向的內部控制,也明確了內部控制是風險管理的一部分,或者說是風險管理中風險控制或應對的一種手段,這是風險管理和內部控制兩者之間關系的又一例證。
當然,COSO在發布2013年內控框架時,采用的風險定義還是老版本:
風險:事件發生并對目標實現產生負面影響的可能性。
不管是哪個版本,COSO表述內控目標的那句話其實是個重復病句,這個我們不怪COSO,很多人理解不到那個程度,如果表述更準確一些可以這么說:
將影響目標實現的不確定性降低至可接受的水平。
如果你還記得我們對風險的獨家定義:影響目標實現的不確定性(Uncertainty of achieving objectives)。
看看,這才和我們定義對上了,邏輯才通順,或者表述為:
將相關風險降低至可接受的水平。
而這個降低至可接受水平的過程就是風險管理。
二、如何實現內部控制的目標
上篇我們講了,內部控制的目標有三個:實現組織運營的效率和效果、真實可靠的內外部報告、法律法規及政策的遵從性。
本內部控制框架提供了一個五要素、17項原則、82個關注點的主體內容,如果要建立和維持一個有效的內部控制,組織需要:
1、要素和原則均存在;
在設計和運行內控體系時,要確定這些要素和原則已被考慮并存在。
2、要素和原則持續運行;
不僅是存在,是需要持續存在,不能間斷或在運行過程中消失。
3、要素和原則相互關聯、共同運行;
不僅要存在、持續存在,還要以一種相互關聯的持續存在,各要素和原則的運行不是孤立的。
COSO認為本框架提出的五要素和17個原則是普適性的,任何的組織要評價自身內控的有效性時,都應該涵蓋這些要素和其對應的這些原則,除非在一些特殊環境下(行業、監管、治理、技術應用),經過充分論證才可以決定某原則不適用或不與其要素直接關聯。
但是,對于82個關注點是否需要和要素及原則一樣需要持續存在和共同運行,COSO為了保持其框架的靈活性,在最終稿里刪除了這樣的要求。也就是說,COSO不強制要求對本框架中所列關注點進行單獨評估以得出內部控制是否有效的結論,企業根據自身情況,如有必要,可以對某一原則的體現方式——關注點進行統一評價或增刪修訂。
但就17項原則的具體體現而言,COSO羅列的這些關注點確實是都有很強的代表性和系統性。
四、內部控制缺陷
內部控制缺陷是指影響內部控制有效實施的控制薄弱環節或漏洞,會導致組織無法實現控制目標。
如果組織中存在一項重大的內部控制缺陷,表明這個組織對應的內部控制要素或原則一定有一個或多個不存在或并未持續運行或未共同運行。
在這種情況下,就可得出內部控制無效的結論。但是,重大缺陷的判定標準需要企業自行制定,不論是COSO還是中國的內控基本規范都沒有給出定量的標準,看一下我國內部控制評價指引中對于缺陷的定義:
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟后果低于重大缺陷,但仍有可能導致企業偏離控制目標。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
重大缺陷、重要缺陷和一般缺陷的具體認定標準,由企業根據上述要求自行確定。
我們看一份今年的無效內部控制評價結論的例子:
上個月天津港披露了自己的內部控制評價報告,出具了無效意見,審計機構也出具了否定意見的內部控制審計報告。
天津港如何定義的重大缺陷標準以及重大缺陷是什么呢?
與財務報告相關的內部控制缺陷評價定量標準:
與財務報告相關的內部控制缺陷評價定性標準:
據天津港早期信息披露,其全資子公司天津港焦炭碼頭有限公司一名財務人員涉嫌貪污公款1.539億元,其財務報告存在重大錯報,錯報金額與貪污金額一致。
重大缺陷的得出是根據定性標準還是定量標準呢?從結論看應該是按照定性標準達到了重大缺陷的程度。
這就是由于內部控制出現重大缺陷導致公司實現財務報告目標的控制無效,從而得出和財務報告相關的內部控制體系無效的結論。
五、有沒有與好不好
通過上面這些內容,我們知道判斷一個企業的內部控制是否有效,需要判斷這些要素和原則是否持續存在和共同運行。
但是,COSO提出的判斷標準是一個最基礎的判斷標準,就是這些要素和原則有沒有,是否在運行。
如果你可以證明這些要素和原則持續存在并共同運行,既可以得出內部控制有效的結論。
實際上從一個組織的運營的角度,還有更高的要求,那就是運行的效果如何?運行的好壞如何?這個方面是COSO沒有給出的內容,也是讓企業從重形式到重內容非常重要的部分。
這是內部控制能力和內部控制成熟度需要考慮的內容,這部分內容是目前理論界和實踐界未來要探索的方向,我其實一直在開發衡量一個企業風險管理能力和成熟度的模型,一個企業不應該僅僅為了滿足外部要求、在外部的驅動下建立風險管理和內部控制體系,很容易走形式和應付。
如果領導層真的想進行精細化管控,打牢企業管理的基礎,要進行更為主動的內部控制設計和實施,化被動為主動,變形式成內容,把表面功夫融入內里,才會是真正好用的內部控制。
COSO在本書的第三大部分專門給出了內部控制體系的評估工具模板,我們到時候再給大家詳細介紹。
