公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营
的效益和效率,财务报告的可靠性和遵守适用的法律法规。
1.COSO委员会对内部控制的定义
成立于1985年的COSO (Committee of Sponsoring Organization)委员会为全国
舞弊报告委员会提供支持。该组织包括美国会计协会(American Accounting
Association)和美国注册会计师协会(American Institute of Certified Public
Accountants)。现在,COSO委员会负责制订有关大型和小型企业实施内部控制系统的
指南。
COSO委员会指出,从风险管理的角度来看,内部控制是必要的。首先,即使实施了
优良的内部控制系统,也不一定能使一个蹩脚的管理者变得出色。此外,由于所有的内部
控制系统仍然面临发生错误或出现差错的危险,因而内部控制系统只能就企业目标的实
现提供合理保证。即使一个企业实施了内部控制,也可能由于故意串通破坏、管理层逾越
监控而失效。还有,大型或小型企业在建立内部控制系统时,均可能存在资源受限的问题。
2.中国《企业内部控制基本规范》对内部控制的定义
财政部、监事会、审计署、银监会和保监会于 2008 年 6 月联合发布的《企业内部控制
基本规范》中指出,内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实
现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报
告及相关信息真实完整,提高经营效率和结果,促进企业实现发展战略。
(二)COSO 内部控制框架的五要素
要素
内容
控制环境
控制环境包括组织人员的道德观和胜任能力;管理哲学和经营风格;
管理层分配权限和责任,组织发展员工的方式;董事会提供的关注和
方向。内部控制环境影响员工的管理意识,是其他控制要素的基础。
风险评估
风险评估是指识别和分析影响目标实现的风险,以此来确定降低和管
理此类风险的依据。它随经济、行业、监管和经营条件而不断变化,需
建立一套机制来辨认和处理相应的风险。
控制活动
控制活动是帮助执行管理层指令的政策和程序。它贯穿整个组织、各种
层次和功能,包括:(1)组织控制;(2)职责划分;(3)调节和
复核;
(4)实物控制;(5)授权和批准;(6)计算和会计;(7)人员控
制;
(8)监督及管理控制。
信息与沟通
信息系统产生各种报告,包括经营、财务、合规等方面信息,使得对经
营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于
经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理
解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控
制赋予自己的责任,同时也必须同外部团体如客户、供应商、监管机构
和股东进行有效的沟通。
监察
监察在经营过程中进行,通过对正常的管理和控制活动以及员工执行
内部控制的目标不仅是为了保证财务报告的可靠性与合规性,而且有助于提高企
业运营的效益和效率。
这五个部分包括:控制环境、风险评估、控制活动、信息与沟通以及监察。