内部控制之道——控制与风险自测
发布时间:2015-07-09 10:25
萨班斯·奥克莱法案将人们的目光锁定在了内部控制的主题上。但是,ACCA却认为,萨班斯o奥克莱法案关注的焦点过于狭隘。由于萨班斯o奥克莱法案与美国证券交易委员会的关系,它仅仅只是关注财务报告有关的内部控制,以及美国证券交易委员会所要求的信息领域的内部控制。
ACCA支持用以原则为基础的方法来评估内部控制。ACCA认为萨班斯o奥克莱法案过于依靠原则和规则,并不能有效地杜绝类似安然、世通以及帕马拉特的公司财务丑闻的再度发生。ACCA回顾了英国在1999年发布的关于内部控制的特温布尔报告,该报告类似萨班斯o奥克莱法案,是英国发布的标志性报告,囊括了对组织战略、财务和操作风险的广泛分析。ACCA回顾该报告的目的是,为了使该报告持续有效地确保英国能坚持以原则为基础的控制方法。
萨班斯o奥克莱法案对内部控制评估的定义使得各公司不得不挣扎于繁重的填表打勾工作中,且评估的范围只局限在他们操作的一个很小领域内,并没有完全涵盖其操作领域。在一个对美国上市公司所进行的调查中发现,萨班斯o奥克莱法案对于内部控制的要求,使得各公司平均增加了12,000小时的内部工作量和2,000,000美元的花费。此外,萨班斯o奥克莱法案并不能将更广泛内部控制和相关风险管理过程所带来的好处表现出来。
ACCA则认为,一个目前来说最好的全面内部控制方法是“控制和风险自测”(Control and Risk Self Assessment - CRSA)。ACCA目前正领导着控制和风险自测论坛,这是英国的业内人士组织的一个专业网络。控制和风险自测,在此被定义为“一个简便易行的自测流程,用以帮助组织内的个人和团队来对公司治理的效率进行评估,对企业内进行的风险管理控制进行评估,以致达成企业目标”。
控制和风险自测有许多可行的办法,其中最核心的就是以团队的方式进行小组讨论,分析企业目标,找出并评估可能的风险,最后得出相应的对策。控制和风险控制的作用多种多样,除可以评估内部控制以外,还可以改进团队作业和沟通,帮助团队达成目标。它还可以用来评估组织内部控制中的个人因素,比如职业道德,这项个人因素用其他的办法很难测评准确。
控制和风险自测论坛的组织者之一,保罗o马科斯称:“内部控制既可以是正式的,也可以是非正式的。正式控制包括程序记录、责任分离、授权控制。这些都可以通过传统的内部和外部审计办法来评估。非正式控制包括文化、团队作业、承诺、职业道德和沟通。
最重要的是,主要的公司治理失败案例都是无效的非正式控制导致的,而非无效的正式控制造成的。不幸的是,传统的审计办法和绩效管理技巧,几乎不能评估非正式控制的各项内容。这正是控制和风险自测发挥所长的最佳领域。
控制的最高级别是董事会的治理职能;其次是高级管理层;第三则是用来控制行为的管理系统,比如财务报告系统。或许还有更多更细的级别,但都是位于管理系统这一层之下的。许多公司在控制的最低层,就是管理系统这一层迷失了自我,对琐碎的管理细节投入太多的关注,却太少考虑高级管理层和董事会自身的控制,而这两层才是内部控制的最关键部分。有观点称,公司正式发布的政策和程序只是描绘了管理层的要求;而一个公司的文化决定了什么事件将会在公司发生,亦决定了那些原则将会被遵守,哪些将会被扭曲,哪些将会被忽略。内部控制的有效程度不可能超越创造内部控制制度,执行内部控制要求,监督内部控制实施的人的道德价值观。
如果考虑到评估一个组织内的道德价值观问题,控制和风险自测流程就是唯一最有效的办法了。如果控制和风险自测流程在安然、世通、帕马拉特等公司中得到实施的话,相应的财务丑闻就不会发生了。而他们的公司文化也不可能在一个倡导控制和风险自测的组织中存在。
当一个组织或者团队可以评估非正式控制的内容,评估极有可能是主观的。这并不会削弱评估的价值,但是许多经理人,审计师对没能得到具体数字的评估过程总是感到不太舒服。而评估的主观性也可能导致在为审计委员会出具担保意见时遇到麻烦。评估的主观性将对评估的有效性产生质疑,而目前为止,还是没有对“有效性”得出一个明确的共识。这其实时一个相对的概念,并且没有一套完备的打分机制存在,也没有可以将一个公司,或者一个团队可以与其他公司或团队进行比较的完备过程存在。英国的公司已经认识到了“内部控制的有效性”是一个知易行难的头疼问题。早在1992年,吉百利爵士就已经提出了这个问题,但是后来他说,他对特温布尔报告中采取的方法感到满意,特温布尔报告中提示说:各公司董事会应该汇报评估的过程,而不是简单的对评估有效性作出的“是”或者“不是”的判断。萨班斯o奥克莱法案却忽略了英国在此问题上的经验。组织内部控制的有效性需要进行评估,同时,组织外部报告的内容也有所争议。比如,对公众报告内部控制的不足,一定会伤害到组织的生存能力。
重要的是,不论是董事会、团队还是企业都需要学习和改进。对“控制是否有效”这个问题只能得出“是”或者“不是”的简单结论的控制流程,都不能改进内部控制,反而会招致自满。几乎所有的公司的内部控制都在不断改进中前行。这个前行的过程与最后要达到的目的地一样重要,因为是这个过程逐步带来了改进和学习。财务管理经理人和审计委员会需要放开心胸接受新的方法来确保内部控制的有效。在讨论会中学习就是一个不错的办法,因为这其中包含了大量丰富的定性而不是定量的信息。控制和风险自测有希望成为不仅是最有效的评估有效性和风险管理的工具,还可能成为影响策略的有力方法。因此,控制和风险自测将会比以往得到更多的重视。
中华会计网校感谢“ACCA广州代表处”供稿
作者:保罗•莫克西 ACCA公司治理和风险管理总监
译者:陈莹 ACCA广州代表处 传讯主任
Email: @
ACCA支持用以原则为基础的方法来评估内部控制。ACCA认为萨班斯o奥克莱法案过于依靠原则和规则,并不能有效地杜绝类似安然、世通以及帕马拉特的公司财务丑闻的再度发生。ACCA回顾了英国在1999年发布的关于内部控制的特温布尔报告,该报告类似萨班斯o奥克莱法案,是英国发布的标志性报告,囊括了对组织战略、财务和操作风险的广泛分析。ACCA回顾该报告的目的是,为了使该报告持续有效地确保英国能坚持以原则为基础的控制方法。
萨班斯o奥克莱法案对内部控制评估的定义使得各公司不得不挣扎于繁重的填表打勾工作中,且评估的范围只局限在他们操作的一个很小领域内,并没有完全涵盖其操作领域。在一个对美国上市公司所进行的调查中发现,萨班斯o奥克莱法案对于内部控制的要求,使得各公司平均增加了12,000小时的内部工作量和2,000,000美元的花费。此外,萨班斯o奥克莱法案并不能将更广泛内部控制和相关风险管理过程所带来的好处表现出来。
ACCA则认为,一个目前来说最好的全面内部控制方法是“控制和风险自测”(Control and Risk Self Assessment - CRSA)。ACCA目前正领导着控制和风险自测论坛,这是英国的业内人士组织的一个专业网络。控制和风险自测,在此被定义为“一个简便易行的自测流程,用以帮助组织内的个人和团队来对公司治理的效率进行评估,对企业内进行的风险管理控制进行评估,以致达成企业目标”。
控制和风险自测有许多可行的办法,其中最核心的就是以团队的方式进行小组讨论,分析企业目标,找出并评估可能的风险,最后得出相应的对策。控制和风险控制的作用多种多样,除可以评估内部控制以外,还可以改进团队作业和沟通,帮助团队达成目标。它还可以用来评估组织内部控制中的个人因素,比如职业道德,这项个人因素用其他的办法很难测评准确。
控制和风险自测论坛的组织者之一,保罗o马科斯称:“内部控制既可以是正式的,也可以是非正式的。正式控制包括程序记录、责任分离、授权控制。这些都可以通过传统的内部和外部审计办法来评估。非正式控制包括文化、团队作业、承诺、职业道德和沟通。
最重要的是,主要的公司治理失败案例都是无效的非正式控制导致的,而非无效的正式控制造成的。不幸的是,传统的审计办法和绩效管理技巧,几乎不能评估非正式控制的各项内容。这正是控制和风险自测发挥所长的最佳领域。
控制的最高级别是董事会的治理职能;其次是高级管理层;第三则是用来控制行为的管理系统,比如财务报告系统。或许还有更多更细的级别,但都是位于管理系统这一层之下的。许多公司在控制的最低层,就是管理系统这一层迷失了自我,对琐碎的管理细节投入太多的关注,却太少考虑高级管理层和董事会自身的控制,而这两层才是内部控制的最关键部分。有观点称,公司正式发布的政策和程序只是描绘了管理层的要求;而一个公司的文化决定了什么事件将会在公司发生,亦决定了那些原则将会被遵守,哪些将会被扭曲,哪些将会被忽略。内部控制的有效程度不可能超越创造内部控制制度,执行内部控制要求,监督内部控制实施的人的道德价值观。
如果考虑到评估一个组织内的道德价值观问题,控制和风险自测流程就是唯一最有效的办法了。如果控制和风险自测流程在安然、世通、帕马拉特等公司中得到实施的话,相应的财务丑闻就不会发生了。而他们的公司文化也不可能在一个倡导控制和风险自测的组织中存在。
当一个组织或者团队可以评估非正式控制的内容,评估极有可能是主观的。这并不会削弱评估的价值,但是许多经理人,审计师对没能得到具体数字的评估过程总是感到不太舒服。而评估的主观性也可能导致在为审计委员会出具担保意见时遇到麻烦。评估的主观性将对评估的有效性产生质疑,而目前为止,还是没有对“有效性”得出一个明确的共识。这其实时一个相对的概念,并且没有一套完备的打分机制存在,也没有可以将一个公司,或者一个团队可以与其他公司或团队进行比较的完备过程存在。英国的公司已经认识到了“内部控制的有效性”是一个知易行难的头疼问题。早在1992年,吉百利爵士就已经提出了这个问题,但是后来他说,他对特温布尔报告中采取的方法感到满意,特温布尔报告中提示说:各公司董事会应该汇报评估的过程,而不是简单的对评估有效性作出的“是”或者“不是”的判断。萨班斯o奥克莱法案却忽略了英国在此问题上的经验。组织内部控制的有效性需要进行评估,同时,组织外部报告的内容也有所争议。比如,对公众报告内部控制的不足,一定会伤害到组织的生存能力。
重要的是,不论是董事会、团队还是企业都需要学习和改进。对“控制是否有效”这个问题只能得出“是”或者“不是”的简单结论的控制流程,都不能改进内部控制,反而会招致自满。几乎所有的公司的内部控制都在不断改进中前行。这个前行的过程与最后要达到的目的地一样重要,因为是这个过程逐步带来了改进和学习。财务管理经理人和审计委员会需要放开心胸接受新的方法来确保内部控制的有效。在讨论会中学习就是一个不错的办法,因为这其中包含了大量丰富的定性而不是定量的信息。控制和风险自测有希望成为不仅是最有效的评估有效性和风险管理的工具,还可能成为影响策略的有力方法。因此,控制和风险自测将会比以往得到更多的重视。
中华会计网校感谢“ACCA广州代表处”供稿
作者:保罗•莫克西 ACCA公司治理和风险管理总监
译者:陈莹 ACCA广州代表处 传讯主任
Email: @
下一篇:付款联系单制度简介