您的位置:首页 > 审计 > 正文

内部监督是内部控制的保障

2018-09-07 11:20     来源:中国会计网     
《企业内部控制基本规范》中作为内部控制构成要素之一的内部监督,它是内部控制的保障。企业在设计内部控制制度时,由于当时认识的局限或者考虑不周等原因,设计出的内部控制不可能完美无缺;在内部控制实际运行过程中,由于实际情况发生变化、或由于员工对内部控制制度理解上的差异,也可能使内部控制不能很好地发挥其应有的作用,导致内部控制实际运行中或多或少地存在着这样或那样的问题。  为此需要对内部控制运行情况实施必要的监督检查,发现其不足和问题乃至于缺陷,从而完善内部控制,提高内部控制的有效性。因此,内部监督是保证内部控制体系有效运行和逐步完善的重要措施。  根据我国《企业内部控制基本规范》,企业在建立和实施内部控制过程中,应当根据以下要求,结合自身经营活动的特点和实际情况,开展内部控制的内部监督:  (一)建立内部监督制度  内部监督制度是企业指导进行内部监督的规范,也是企业开展内部控制内部监督的依据。企业应当根据《企业内部控制基本规范》等的要求,制定内部控制监督制度。  在内部监督制度中,应当明确内部审计机构等类似其他监督机构的职责,明确内部审计机构与和其他内部机构之间的关系,明确开展内部监督的程序、方法和要求等。  (二)内部监督包括日常监督和专项监督  日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查,它实际上就是持续监控活动。日常监督应当与企业日常的经营活动相结合,整合于企业的经营活动过程之中,与日常经营活动结合起来进行;对于发现的内部控制缺陷,应当及时向有关方面报告并提出解决问题的方案,对存在的问题予以纠正。  专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一方面或者某些方面进行的有针对性的监督检查,大致与个别评价的概念相当。  企业应当定期拟定内部控制专项监督计划,确定当期专项监督的内容和对象。对于专项监督的范围和频率,企业应当根据风险评估结果以及日常监督的有效性等予以确定。对于用于控制风险评价结果确认为具有重要性的风险的内部控制以及关键业务的内部控制,应当优先对其进行专项监督。  对于专项监督中发现内部控制存在的问题,要及时向有关方面报告,提出完善内部控制的意见和建议,并监督对内部控制进行完善。  (三)制定内部控制缺陷认定标准,并对内部控制缺陷进行认定和报告  企业在对内部控制进行内部监督发现内部控制缺陷时,需要对内部控制的缺陷进行认定和报告。为此,企业应当根据自身的实际情况,制定本企业内部控制缺陷认定标准。  另外,在对内部控制进行内部监督的过程中,根据确定的标准对内部监督所发现的内部控制缺陷进行认定,分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。  企业还应当跟踪内部控制缺陷整改情况,并就内部监督中发现的重大缺陷,追究相关责任单位或者责任人的责任。  内部控制缺陷包括设计缺陷和运行缺陷。所谓设计缺陷,是指缺少为实现控制目标所必需的控制,或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷,即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。  所谓运行缺陷,是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷,即内部控制不能按照建立阶段的意图运行,或运行中错误很多,或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。某一企业的内部控制体系虽然设计得很完善,但由于实施过程中的偏差,导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷,也可以是多项组合的缺陷。  按照内部控制缺陷影响整体控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。  重大缺陷是指一个或多个一般缺陷的组合,可能严重影响内部控制整体的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。  重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。  除重要缺陷和重大缺陷以外的其他缺陷,则为一般缺陷。  (四)开展内部控制有效性的自我评价  内部控制的自我评价是对整个内部控制系统进行的评价活动,可以等同于个别评价。企业对内部控制活动进行日常监督和专项监督,前者结合各项业务活动分散进行内部监督,后者针对企业内部某一特定业务或某一特定领域或部门进行局部内部监督。由于企业内部控制体系是一个整体,内部控制体系的各组成部分相互配合发挥作用,因此还需要对企业内部控制整个系统整体进行评价,以论证其有效性。  企业应当结合日常监督和专项监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。  按照内部控制体系评价的基本原则和“以风险为导向”的内部控制评价基本方法,确定公司内部控制体系评价的基本程序,主要包括五个阶段,分别是:组织与准备、评价范围与内容的确定、内部控制测试、缺陷评估、评价报告。  (五)做好内部控制建立与实施情况记录和资料保管  内部控制的建立与完善是企业内部管理制度建设的重要内容。记录和保存内部控制设计和建立的资料,有利于内部控制的实施,也有利于未来对内部控制进一步的完善。  内部控制实施情况记录,反映着企业内部控制运行情况,是对本企业内部控制进行自我评价,发表内部控制评价意见的依据,也是未来完善内部控制体系的基础资料。企业应当以书面或者其他适当的形式,对内部控制建立与实施过程中的情况进行合理的记录,确保内部控制建立与实施过程的可验证性,对内部控制建立和实施有关情况的记录,要妥善保存。  案例  从银行金库盗窃案看内部控制缺陷  XX银行金库发现一起特大盗窃案,被盗现金人民币近5000万元。经调查发现,该银行两名金库保管员有重大作案嫌疑。公安部随即发出A级通缉令,对二人进行通缉。经过55小时的侦破,将这两名犯罪嫌疑人抓获,这起特大金库盗窃案全面告破。  通过以下对XX银行金库盗窃案的剖析,我们不难看出其内部控制体系上的重大缺陷。  一、控制环境无效,促成盗窃案的发生  企业员工正直诚信的道德价值观与胜任能力,管理阶层的管理哲学与经营风格,权责委派及组织结构、人力资源政策以及董事会和审计委员会构成企业的控制环境,决定着其他控制要素能否发挥作用。而在XX银行内部,由于忽视了员工的不良嗜好以及缺乏对其的适当引导,导致了内部控制环境的缺失,也促成了盗窃案的最终发生。  二、银行风险意识薄弱,内控机制也尚不健全  一些银行虽然已在总行层面完成了组织结构设置调整,建立起现代银行的风险管理和内部控制体系。但在广大的分支机构,原来的体制还没有发生太大改变,其分支机构风险意识薄弱、内控机制也尚不健全。在本案中,经公安机关初步排查,两名犯罪嫌疑人作案都是先切断电源,使异地监控无法实施后再盗取库款。  三、控制活动失效,监控措施虚设  如果内控严格,就算有人有作案动机,也没有作案的任何机会,内控制度是既防小人,也防君子的。但本案的发生却暴露出案发银行的很多内部监控措施并没有有效执行,控制活动总体上处于失效状态。  四、监督不力,缺乏报告缺陷的机制  监督作为内部控制体系的组成要素,是检查内控缺陷的必备手段。监督活动包括持续的监督活动、个别评估和报告缺陷。但在我国真正开始实施内部控制自我评估的企业还只是凤毛麟角,XX银行还均未涉足。而且,XX银行缺乏报告缺陷的机制。  “监守自盗”是对该案的形象总结,从上面的分析,我们可以看出,大案的发生无疑源于其内部控制的缺陷,这当中既有偶然,也是必然。

微信公众号

萨恩课堂

咨询电话:400-888-3585

在线客服:点击咨询

©2001-2023 中国会计网(CANET) All Rights Reserved 运营支持:北京萨恩教育科技有限公司

实名网站认证 京公网安备11010502037473号 京ICP备12013966号