内部控制体系的一些额外考虑事项——COSO新版内部控制框架解读(四)
前我们介绍了内部控制的定义和内部控制的目标、要素及原则和有效的内部控制,本章我们介绍下内部控制的额外考虑。
1、哪些问题是内控解决不了的?——管理判断的重要性
打个比方,内部控制的目标是要造一台精密的汽车发动机,但汽车要驶向哪里,并不是发动机的本身能够解决的问题。
如果我们还记得内部控制的定义中有一个关键词“合理保证”,怎么算是合理?涉及到整个公司和管理层对风险的判断,以及自身风险偏好和承受度的把握。
管理层在利用内部控制实现控制目标时,需要加入很多判断的要素,这本身并不属于内部控制的内容,但是却对内部控制的设计和实施产生重要影响。
比如我们上一节讲到的,评估内部控制的有效性需要确定相应的原则和要素都持续存在,但并没有严格标准表述这些原则和要素在组织体现到什么程度算是好的,体现到什么程度还不能满足要求,例如对于外部规章政策的遵从性具体的合规体现方式,这需要根据情况判断。
再比如管理层会评估一个或几个风险的影响导致财务报表会产生错报、漏报的金额,看这些风险是否可以被接受。
如果大家去翻一下各家上市公司的内控自评报告,你会发现不同公司对于判断内控缺陷属于重大、重要还是一般缺陷的标准是不相同的,即便是按照比率的方式。
2、内部控制是不是仅仅考虑组织内部的问题?
内部控制的名字本身就含有其对范围的界定,一是企业内部的,而是通过控制手段达到的,所以叫“内部控制”!
但是日益专业化的今天,为了提升效率和降低成本,企业和企业之间的协作是十分密切的,要达到组织的控制目标,有时需要“越界控制”。
比如,为了提升效率和降低成本,有的企业会把差旅和薪酬发放外包给专业的第三方机构进行处理,这些外包方作为我们的供应商,在协助组织进行业务处理时的控制活动是不是组织内部控制的范畴?
答案是肯定的,虽然我们将业务进行了外包,但建立和维持与外包业务相关的控制仍然是组织管理的责任,我们需要提出控制要求,让外包方来执行控制。
一般专业外包公司实现同样的控制,比原公司投入资源执行同样的控制,成本要低,这就是专业外部公司的生存空间。
对于一些重要的供应商,虽然不算是外包的形式,但对重要供应商提出基本的控制要求也是实现公司总体控制目标的一部分,比如质量、安全、时效性、供应连续性等。
3、不同规模的企业实施内部控制的标准考虑
自从美国萨班斯法案颁布以来,对于上市公司萨班斯内控合规成本过高的声音一直没有间断过,下图统计了拥有不同数量运营场所的上市公司进行萨班斯法案合规成本的统计。
为了降低小型上市企业的合规成本,COSO在2006年又发布了一份专门针对中小型上市公司执行的财务报告相关的内部控制框架。
中国财政部2008年发布的《企业内部控制基本规范》针对的也是上市公司而言,并没有划分企业的规模。
但是,对于大量的中小企业而言,规范的公司管理体系还没有建立健全的时候,执行《基本规范》还是有一定难度的,但是内部控制的一些基本要求是所有企业可以持续发展的前提。
为了解决这个问题,财政部在2017年发布了《小企业内部控制规范》,规定了一些基本的、简化版的控制要求,指导中小企业建立符合自身规模的内控控制。
4、实施内部控制的收益
衡量内部控制的收益往往是主观的和非定量化的,过去这些年一直有一些企业想衡量一下风险管理工作为企业创造了多少收益,尝试了很多方法,但是还没有形成可以普遍推广的方法。
其实,企业的风险管理和内部控制是企业管理体系的必备组成部分,它的收益是体现在公司的整体收益中,无法割裂开来。
实施内部控制可以提高企业实现控制目标的可能性,让投资者更有信心。实施风险管理可以提高实现战略和经营绩效的能力和把握,让企业更好的创造和保护价值,这些都是和公司的整体经营发展紧密结合。
内部控制是企业管理中的控制要素集合,这也是管理学中最基本的组成部分,当企业的创始人最开始创立企业的时候,内部控制就出现了。
它不是万能的,但没有它是万万不能的,这就是实施内部控制的收益。
相关扩展
精华汇总
【收藏】最全的COSO新版企业风险管理框架解读大集合
【收藏】最全的ISO31000新版风险管理国际标准解读大集合
【收藏】风险管理学习资料汇总目录,从入门到高级都有了
【收藏】大风控114篇原创分享汇总大全
【收藏】中国风控领域政策文件汇编大全(102份)—2020.3