內部環境是基礎,是企業建設內部控制的土壤,是一切內控制度、流程、控制點得以實施的根本條件。一個企業內控好壞,首先應該對其內控環境進行評價,如果環境不好,就需要更仔細和深入的進行建設,換句話說,如果環境建設得好,具備良好的風險意識和內控文化,即使一些小方面存在控制不足,也並不重要。
——風險評估、控制活動、信息溝通。這是內控體系核心三個環節。
風險評估是內控建設的方向。並不是說企業所有的任何的操作都需要管控,使用無比繁瑣的流程進行防范。內控體系強調成本效益原則,注重企業經營效果效率,就必須注重風險評估,以風險為導向的建設內部控制體系,非重大風險可以酌情簡化,但是重大風險就需要認真將制度、流程和控制環節建設好。
控制活動是內控體系的核心環節,應該是嵌入在業務流程當中得以保證實施,並應該注意留下控制痕跡以供檢查監督。
信息溝通包括信息傳遞和信息系統兩個部分。信息采集和信息傳遞指的是企業部門之間、上下級之間、各管理級次之間是否存在良好的溝通渠道。信息系統內控合規又是一個大課題,專門可以采用COBIT框架進行建設,主要包括信息系統基礎環境、總體控制和應用層面控制三部分。
——監督檢查是使內部控制成為閉環的重要組成部分。缺乏這個環節內控工作就不是一個PDCA循環,或者說就不能不斷優化和提升,體系就是一個靜態而非動態的。監督檢查方式包括了自我評價和獨立評價,從實施頻率來分可以分為日常監督和專項監督。
見過一個圖,將內部環境放在第一排正中,風險評估、控制活動和信息溝通放在中間一排,相互相連,第三排正中放置監督檢查,構成一個相互關聯的系統。
控制環境——控制環境決定了企業的基調,直接影響企業員工的控制意識。控制環境提供了內部控制的基本規則和構架,是其他四要素的基礎。控制環境包括員工的誠信度、職業道德和才能;管理哲學和經營風格;權責分配方法、人事政策;董事會的經營重點和目標等。
l 風險評估——每個企業都面臨諸多來自內部和外部的有待評估的風險。風險評估的前提是使經營目標在不同層次上相互銜接,保持一致。風險評估指識別、分析相關風險以實現既定目標,從而形成風險管理的基礎。由於經濟、產業、法規和經營環境的不斷變化,需要確立一套機制來識別和應對由這些變化帶來的風險。
l 控制活動——控制活動指那些有助於管理層決策順利實施的政策和程序。控制行為有助於確保實施必要的措施以管理風險,實現經營目標。控制行為體現在整個企業的不同層次和不同部門中。它們包括諸如批准、授權、查證、核對、復核經營業績、資產保護和職責分工等活動。
l 信息和溝通——公允的信息必須被確認、捕獲並以一定形式及時傳遞,以便員工履行職責。信息系統產出涵蓋經營、財務和遵循性信息的報告,以助於經營和控制企業。信息系統不僅處理內部產生的信息,還包括與企業經營決策和對外報告相關的外部事件、行為和條件等。有效的溝通從廣義上說是信息的自上而下、橫向以及自下而上的傳遞。所有員工必須從管理層得到清楚的信息,認真履行控制職責。員工必須理解自身在整個內控系統中的位置,理解個人行為與其他員工工作的相關性。員工必須有向上傳遞重要信息的途徑。同時,與外部諸如客戶、供應商、管理當局和股東的之間也需要有效的溝通。
l 監控——內部控制系統需要被監控,即對該系統有效性進行評估的全過程。可以通過持續性的監控行為、獨立評估或兩者的結合來實現對內控系統的監控。持續性的監控行為發生在企業的日常經營過程中,包括企業的日常管理和監督行為、員工履行各自職責的行為。獨立評估活動的廣度和頻度有賴於風險預估和日常監控程序的有效性。內部控制的缺陷應該自下而上進行匯報,性質嚴重的應上報最高管理層和董事會。
這五項要素既相互獨立又相互聯系,形成一個有機統一體,對不斷變化的環境自動作出反應。內部控制制度與企業的經營行為緊密相連,因基本的商業動機而存在。內部控制成為企業內部構架的核心部分和基本理念時最為有效。這時內部控制可以支持經營質量和主動的授權,避免不必要的花費,並對環境的變化迅速作出反應。
內部控制的三類目標之間具有直接聯系,他們代表了企業努力的目標;而五項要素代表了實現這些目標所需元素。所有五項要素都與每一類目標相聯系。為實現每一類目標——如經營的效率和效果——需要五項要素共同發揮作用,以說明經營的內部控制是有效的。
內部控制的定義——受人為因素影響、提供合理保證的過程,這一內在基本的概念——及其不同種類的的目標、內部控制要素、內控有效性評價准則、與之相關的討論,構成這本內部控制基本構架的內容。