爱华网内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。 1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补),即COSO内部控制框架。COSO报告提出的由“三个目标”和“五个要素”组成的内部控制的整体框架,得到公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可。COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。同时,对股份公司来说,这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业的内部控制可能不及大型企业正式、组织性强,但也可以是有效的。
COSO内部控制框架认为,内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身。
内控环境是企业的基调、氛围,直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机,也是其他一切要素的核心,包括员工的诚信、职业道德和工作胜任能力;管理层的经营理念和经营风格;董事会或审计委员会的监管和指导力度;企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心,是构成内控环境的重要要素,又与环境相互影响、相互作用。 风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。 内控活动是指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 信息与沟通是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。 监督是对内部控制系统有效性进行评估的过程,可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。 COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,虽然这必然加大企业负担,但多数公司希望通过理解和贯彻COSO内部控制框架要求,梳理管理流程、规范管理,来实现提升整体管理水平的目的。
