内部控制监督要素实施方案

【摘要】内部控制是对影响企业目标实现的各种风险因素进行分析和控制，从而帮助实现企业目标的过程。内部监督是内部控制的构成要素之一，也是保障其有效性的关键。本文引介了COSO监督模型的核心内涵，并细致地分析了内部控制监督要素的实施方案。

【关键词】内部控制 监督要素 监督模型 监控是内部控制的五大要素之一，是对整个内部控制系统的运行状况进行监控，与控制环境、风险管理、控制活动、信息与沟通四个要素结合成为一个整体，相互作用以实现内部控制的目标，保证内部控制的有效运行，从而实现企业的目标。

对内部控制进行监督和控制，是内部控制过程中不可缺少的步骤，是保证内部控制有效性的关键。

一、基于风险导向的监督模型。

二、各环节的风险点及其应对措施

（一）高层基调

主要风险点：高层传达了不正确的价值观；高层对内部监督重要性的认识不够；高层对监督机构工作的重视、支持不足；高层凌驾于内部控制之上。

关键控制点：高层培训；高层行为；高层操守；企业文化建设等。

控制目标：高层保持恰当论调；高层对内部控制及其要素足够重视；高层支持监督者的工作；高层恪尽职守、以身作则，树立模范效应。

控制措施：举办会议，对董事、监事和高级管理人员进行相关培训；制定并公开高层行为和道德操守准则；加强企业文化建设，积极培育良好的价值观；建立良好的沟通机制，确保监督结果及时反馈；建立举报制度和反舞弊机制，以帮助发现和阻止不当或违规行为。

（二）监督机构设置及其权责配置

要风险点：监督机构设置缺少独立性；监督机构权责配置不清晰；监督者业务能力不胜任；监督者道德操守缺失；监督范围或资源受限。

关键控制点：监督机构设置及权责配置；监督人员配备；监督独立性评价；监督人员能力及操守评价；监督资源或工作范围评价。

控制目标：监督机构设置合理；监督机构工作独立；监督机构权责配置清晰；监督机构配备的人员能力胜任且有良好操守；监督工作或资源不受限。

控制目标：完善公司治理机构，确保股东大会、董事会、监事会和经理层的规范运作，明确决策、执行、监督等方面的职责权限；制定并公开权责配置文件，明确董事会、监事会、审计委员会和内部审计的权责关系及议事规则；为监督机构配备业务胜任和道德操守良好的人员，并定期评估；为监督机构和监督者配置相应资源，使其工作不受限。

（三）理解和把握内部控制有效性的依据和标准

主要风险点：缺乏内部控制有效性认定的统一标准；相关人员对内部控制有效性的理解不同。

关键控制点：制定内部控制有效性的认定标准；解读并培训有效性评价标准。

控制目标：确保正确理解和把握内部控制有效性的认定标准。

控制措施：结合内部控制目标，从内部控制的设计和运行两个方面，制定内部控制有效性的评价标准，评价内容应涵盖内部控制整体框架；举办会议解读和培训有效性的控制基准；通过宣传和考试等手段在企业上下统一有效性的控制基准。

（四）风险排序

主要风险点：风险识别不全面；风险分析、风险排序的方法不科学；相关人员对重大风险的衡量不同。

关键控制点：风险识别；风险分析；风险排序。

控制目标：全面识别企业面临的内部、外部的风险；对识别出的风险因素进行科学的分析排序。

控制措施：罗列可能发生的全部内部外部风险因素，根据企业具体情况具体识别；建立科学、系统的风险分析体系，统一衡量标准；注重相关人员的胜任能力，对其进行有针对性的培训。

（五）识别关键控制点

主要风险点：对关键控制点的识别不准确、不全面；对关键控制点的识别拘泥于固定形式，不注重企业内外环境的变化。

关键控制点：人员的胜任能力；对环境变化的实时关注。

控制目标：依据风险评估的结果正确识别关键控制点，识别时应全面分析内外环境的变化。

控制措施：开展培训提高相关人员的识别能力；由于关键控制点的重要作用，应由相关人员进行复核，确保正确识别。

（六）识别有说服力的信息

主要风险点：信息来源渠道不可靠；缺乏对有说服力的信息的有效判断。

关键控制点：信息的充分性；信息的适当性。

控制目标：获取充分的信息来支持监督结论；获取恰当的信息（即同时满足相关、可靠、及时的特征）。

控制措施：注重对信息搜集者能力和责任感的培养，增强其对有效信息的判断能力，并对其工作实施考评；注重对信息来源渠道可靠性的控制，拒绝不可靠的信息渠道；进行有效的成本效益分析，包括量化和定性的方面。

（七）执行监督程序

主要风险点：对持续监督的重视不够，流于形式，未将其纳入企业日常控制活动中；持续监督实时性不足，不能及时识别缺陷；单独评估的频率太低，未发挥应有的作用；内部审计方法落后。 关键控制点：持续监督的有效性；单独评估的频率及有效性。

控制目标：持续监督提供控制有效性的日常信息，并为单独评估的频率决定提供依据；单独评估提供内部控制有效性的单独确认。

控制措施：对内部审计机构人员进行定期培训，强化岗位责任意识，并保证其独立性；由内部审计的上级机构对其工作进行考评；确保公司内部审计部门能与董事长直接接触；通过‘控制失败的可能性和重要性’以及‘有说服力的信息水平’两个因素确定适当的单独评估的频率。

（八）监督结果排序

主要风险点：缺陷识别不全面；对缺陷的确认标准不明确、不统一、不科学。

关键控制点：缺陷识别；缺陷衡量

控制目标：根据缺陷的严重程度，将其分为重大缺陷、重要缺陷和一般缺陷

控制措施：根据自身实际情况制定缺陷的定量和定性确认标准；举办讲座对标准进行详细解读，并在标准修改时及时开会解读；由未参加该次监督结果排序工作的本部门人员进行复核。

（九）报告监督结果

主要风险点：信息沟通系统存在缺陷；内部控制缺陷认定汇总表编制不科学；重大缺陷未上报至正确的层级。

关键控制点：缺陷认定汇总表的编制；报告制度；信息传递的渠道。

控制目标：完善缺陷认定汇总表的编写，正确清晰地传达监督结果；内部控制缺陷按严重程度不同报告给确定的报告层级。

控制措施：建立完善的沟通渠道，确保监督结果能及时有效地反馈；缺陷认定汇总表的编制应经进行缺陷认定、排序等人员的复核，以保证正确传达了信息；建立明晰的报告制度，对于缺陷等级与上报层级之间做出明确的规定

（十）后续追踪

主要风险点：缺陷分析不正确，归因错误；资源未根据缺陷的重大程度来分配；治理层对重大缺陷的关注度不够；监督人员未有效追踪缺陷的纠正情况。

关键控制点：缺陷分析；缺陷纠正；监督缺陷的纠正状况。

控制目标：针对监督中发现的问题，相关人员应分析缺陷原因，采取相关措施进行纠正；监督人员有效监督以保证缺陷得以纠正。

控制措施：对治理层、经理层进行培训，提升他们应对重大缺陷及重要缺陷的能力和责任意识，同时要提升他们对缺陷分析的能力；配置专门人员根据缺陷程度分配资源（如人力、物力），确保重大缺陷得到足够的关注。

三、内部控制有效性的判断标准

（一）对内部控制有效性的理解

根据COSO对内部控制的定义，内部控制是由企业董事会、经理层和其他员工实施的，为运营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。

要了解内部控制有效性的判断标准，首先要理解有效性的含义。根据上述定义可以看到，若企业的内部控制能够为其目标的实现提供一个合理程度的保证水平，那么内部控制就是有效的。内部控制提供的是合理保证而不是绝对保证，因为人员在操作的过程中会由于能力不足或者疏忽等产生很难避免的错误，而且在控制的过程中有成本效益的考虑，因此内部控制不可能为企业目标的实现提供100%的绝对保证。

（二）评价标准的要求

确定内部控制的评价标准时应考虑以下因素：

（1）评价结论可靠 。提供可靠的结论是对一种评价方法的基本要求，就对内部控制有效性的评价来说，要求评价方法将评价错误的可靠性降的足够低，为内部控制有效性提供正确的判断。

（2）成本效益原则。不仅是内部控制要遵循成本效益原则，对内部控制有效性的评价也要遵循该原则，因为资源总是有限的，有限的资源要通过合理分配来追求最大的效益。

（3）评价的全面性。对内部控制应该进行全面评价，包括内部控制设计的有效性和运行的有效性。评价的范围和内容要全面，要系统分析和关注各环节的主要风险点，以便对内部控制的效果做出正确客观的评价。

（三）具体评价标准

下面，从内部控制的五大要素来分析具体的评价标准

（1）内部控制环境：①组织架构的设计，评价内容有：权利结构设置是否合理，权利制衡是否有效，是否存在的情况，权利制衡是否有效，是否存在的情况，权利分配是否科学，是否建立了统一的授权体系，利益协调是否有效，部门间、岗位间的责任是否明确，是否所有行为都有人承担，内部机构的设置是否科学，有无机构重叠，职能交叉或缺失等等。②发展战略的制定，评价内容有：发展战略的制定是否联系企业实际，是否过于激进，脱离了企业的实际能力，发展战略的制定是否通过董事会的决议等等。③人力资源状况，评价内容有：是否有标准的人员管理准则，包括人员流入、流出以及任职过程中的管理，人力资源激励约束制度的设计是否合理，人力资源激励约束制度的设计是否合理等等。④企业文化，评价内容有：企业文化是否传递了正确的价值观，员工对企业及其文化的认可程度等

（2）风险管理：①目标设定，评价内容有：是否设定了符合企业实际的风险管理目标。②风险识别，评价内容有：是否全面考虑了内部风险因素，如人员的胜任能力、职业操守，是否全面考虑了外部风险因素，如经济形势、市场竞争、资源供给等等。③风险分析，评价内容有：是否依据定性、定量的方法对风险进行分析，是否全面评估了风险的可能性和影响等等。④风险应对，评价内容有：是否全面考虑风险状况采取了恰当的应对措施。

（3）控制活动：①控制活动的设计，评价内容有：控制活动的设计是否依据细化的控制目标及风险点②不相容职务分离，评价内容有：不相容职务是否分离，如会计与出纳，存货的采购与验收，存货的请购与审批等等。③授权审批，评价内容有：三重一大问题是否有治理层审批或经过集体决策，审批人员是否有正当的权限，是否所有活动都经过了审批。④会计系统控制，评价内容有：是否有健全合理的会计核算制度，是否有完善的档案保管与交接机制，是否有明确的会计岗位责任制。⑤财产保全，评价内容有：是否所有与财产直接接触的人员都经过授权，有正当的权限，并责任明确。⑥预算控制，评价内容有：预算管理是否经编制、执行、考核的程序，预算的整合力度，预算执行力状况，是否存在预算松弛现象。⑦绩效考评控制，评价内容有：是否建立了科学的绩效考评体系，对业绩的评价是否客观，绩效考评的结果是否作为员工薪酬、晋升的标准。⑧执行效果，评价内容有：相关控制活动是否得到了持续一致的执行。

（4）信息与沟通：①内部控制，评价内容有：沟通的方式是否合理及效果。②外部控制，评价内容有：是否建立了良好的外部沟通渠道。

（5）监控。关于监控中各环节的关键控制点、控制措施、目标都都已在上了详细说明，对监控有效性的评价也即评价是否满足了上文所述的各环节的目标，故此处不再赘述。

（四）虽然内部控制五大要素各自的设计与执行都相当重要，但是它们是一个整体，对内部控制效果进行评价的时候，不应将它们割裂开来。五个要素各自都满足设计有效的要求，并不能保证它们相互协调时能够为企业目标的实现提供合理保证。因此，在进行上述表格中的各要素具体考核的同时，应将五大要素结合起来一起考虑，以免出现评价结果不可靠的问题。