【摘 要】 提高并保持有效性是內部控制的焦點，經(jīng)濟合理地評價內部控制有效性是當前國際上努力探索的課題。COSO的關于內部控制監(jiān)督檢查的應用指南項目將為這兩方面提供具體指導。本文首先簡要介紹已發(fā)布的指南討論文稿，而后對其作用展開分析，并提出了改進建議。
　　【關鍵詞】 內部控制； 檢查監(jiān)督； 有效性； 內部控制評價
　　
　　監(jiān)督檢查在COSO內部控制框架報告中是構成內部控制的五個要素之一。雖然這份于1992年發(fā)布的報告指出了監(jiān)督檢查能夠幫助企業(yè)保持內部控制的有效性，但正如委員會主席Larry E. Rittenberg所說，很多企業(yè)在實際運用COSO內部控制框架理論過程中，沒有充分利用監(jiān)督檢查這一要素①。
　　2007年9月，COSO委員會發(fā)布了《內部控制系統(tǒng)監(jiān)督檢查指南》討論文件（Guidance on Monitoring Internal Control System，下文將其簡稱為《指南》），旨在提高對有效監(jiān)督檢查的理解，推動其應用，以改進內部控制系統(tǒng)的有效性。正式文件計劃于2008年年中發(fā)布。
　　《指南》得到的反響并不很熱烈，在肯定其積極意義之后，反饋意見更多的是問題和擔心，如：PWC認為《指南》對監(jiān)督檢查一些概念的解釋可能會產生混亂，應注意與COSO1992年和2006年的報告完全一致，而且從術語、概念和原理上應與SEC和PCAOB發(fā)布的管理層和審計師評價指南一致，當前業(yè)界最為關心的還是財務報告內部控制有效性的評價，《指南》應在這方面提供幫助等等。德勤也有類似擔心。
　　筆者認為，《指南》作為一個“后來者”，面臨上述疑問是正常的。但作為監(jiān)督檢查這一基本內部控制要素的應用指南，不僅將在提高內部控制有效性上發(fā)揮作用，也將因其推動建立內部控制評價的基礎，對外部監(jiān)管方面具有不可低估的意義。
　　
　　一、主要內容介紹
　　
　　（一）總結了有效監(jiān)督檢查的兩個原則
　　1.持續(xù)監(jiān)督檢查和/或單獨評估應能使管理層了解內部控制的各要素是否隨時間繼續(xù)有效。
　　2.內部控制缺陷應被查出并及時傳達到負責糾正的人員和管理層，如有必要應報告董事會。
　　這兩個原則已經(jīng)體現(xiàn)在1992年的《COSO框架報告》和2006年的《小企業(yè)財務報告內部控制指南》之中②，《指南》的目的是進一步推動對有效監(jiān)督檢查概念的理解，使各類組織充分認識和發(fā)揮監(jiān)督檢查要素的作用。
　　
　?。ǘw納分析了影響監(jiān)督檢查有效性的主要因素
　　三個因素影響監(jiān)督檢查的有效性：1.監(jiān)督檢查開展的控制環(huán)境；2.根據(jù)風險水平采用有效監(jiān)督檢查程序和分配監(jiān)督檢查資源的能力；3.向適當人員及時報告包括控制缺陷在內的監(jiān)督檢查結果的能力。
　　《指南》對三個要素進行了展開分析，詳細闡述了為保證監(jiān)督檢查有效每個方面應有的要求或應達到的標準。一是控制環(huán)境方面的要求：首先，管理當局應對監(jiān)督檢查高度重視；其次，監(jiān)督檢查人員應專業(yè)勝任、公正并被適當授權。二是根據(jù)風險水平采用有效監(jiān)督檢查程序和分配監(jiān)督檢查資源的能力。影響監(jiān)督檢查計劃的因素有：組織規(guī)模與復雜性、經(jīng)營活動的特性（如是否經(jīng)常變化、是否容易發(fā)生舞弊等）、監(jiān)督檢查的目的（如內部管理需要還是滿足外部監(jiān)管法規(guī)的要求）、控制活動對達成組織目標的重要性等。應基于風險評估的結果進行優(yōu)先級排序，分配資源，采取相應的監(jiān)督檢查方式。有效的監(jiān)督檢查應收集并分析充分適當?shù)男畔?，形成具有說服力的關于內部控制有效性的結論。三是向適當人員及時報告包括控制缺陷在內的監(jiān)督檢查結果的能力。
　　發(fā)現(xiàn)的控制缺陷必須及時通報到控制運行的責任人及其直接上級，以保證及時采取糾正措施。向其它方面報告的對象和報告頻次取決于相關控制的重要性和檢查出問題的嚴重性。應根據(jù)風險可能帶來的損失及發(fā)生的可能性來評估控制缺陷的嚴重性，并有具備適當獨立性的人員參與。
　　
　?。ㄈ┎粌H適用于財務報告內部控制目標，也適用于其它內部控制目標
　　適當設計并執(zhí)行的監(jiān)督檢查工作可為滿足外部披露等監(jiān)管要求提供支持。
　　
　　二、意義分析
　　
　　《指南》具有以下方面的重大意義：
　　
　?。ㄒ唬┘訌妼ΡO(jiān)督檢查要素的理解、應用，推動提高內部控制有效性
　　內部控制的難點在于保持其有效性，這也從屢屢發(fā)生的因內控失效而給企業(yè)帶來巨大損失案上得到印證。這種挑戰(zhàn)也是任何一家管理先進的國際企業(yè)所面臨的，如2008年1月24日剛爆出的法國SocGen銀行（法國第二大銀行）72億美元損失的失控交易案。
　　不斷發(fā)生在這些國際知名企業(yè)身上的內控“重磅炸彈”給了人們更深層面的警示：即使建立了一整套詳細的內部控制制度、配備了龐大的風險管理團隊，內部控制可能仍不是有效的。
　　COSO委員會1992年《內部控制框架報告》和2006年《小型上市公司財務報告內部控制指南》引入并從原則上闡釋了監(jiān)督檢查的角色和作用，但在指導應用方面還不夠?！吨改稀贩治隽擞行ПO(jiān)督檢查的各構成要素，并提供了具體應用的原則和方法，因而能夠改變其目前未得到充分利用的狀況，極大地推動這一關鍵內部控制要素的廣泛應用。
　　監(jiān)督檢查要素作用的發(fā)揮對我國現(xiàn)階段企業(yè)內部控制狀況的提高尤其重要。有效的檢查監(jiān)督能夠：1.曝光不執(zhí)行制度的行為，督促制度的有效執(zhí)行和完善。2.在控制缺陷造成重大損失之前發(fā)現(xiàn)并及時改進。
　　控制缺陷的存在具有一定客觀性，有兩個原因：內部控制設計者的認識局限性；環(huán)境或業(yè)務的變化帶來新的風險或使原有控制活動失效。但動態(tài)地來看，控制缺陷一開始帶來重大損失的可能性很小，這是因為認識局限性普遍存在，可以利用漏洞的人員沒認識到漏洞的存在，或雖然認識到，但需要時間醞釀準備。公司文化對舞弊也有不同程度的抑制作用。這還與企業(yè)發(fā)展階段有關。高速成長的企業(yè)員工面臨較大發(fā)展空間，從事舞弊的可能性要低。但必須清醒意識到，隨時間的推延，控制缺陷被利用的可能性將顯著增加。
　　假定內部控制檢查者與可能利用控制缺陷人員對內部控制的認識大體同步，或雖然認識較晚但期間受其他因素作用，尚未造成重大損失，此時檢查評估將可以發(fā)現(xiàn)控制缺陷并予以解決，避免重大損失的發(fā)生。
　　這是一個弱假定，管理基礎好的企業(yè)有著強的內部控制建設專業(yè)隊伍，企業(yè)文化對員工也有較強的影響力。但這一假定比較符合當前我國現(xiàn)實：企業(yè)內部控制缺陷大量存在，正被不法人員利用或已達被利用的邊緣。有效發(fā)揮檢查監(jiān)督要素的作用，做實檢查監(jiān)督對我國企業(yè)尤其緊迫。
　　
　?。ǘ閮炔靠刂频耐獠勘O(jiān)管提供支撐
　　上世紀九十年代爆出的安然、世通等巨型公司倒閉案，促使美國于2002年頒布了SOX法案，強制要求上市公司企業(yè)管理當局報告內部控制系統(tǒng)的有效性，并要求從事財務報表審計的注冊會計師就管理當局的報告出具審計意見。美國的做法在世界范圍引起強烈反響，各國紛紛探討效仿美國這一做法的可行性。但幾年過去，從目前來看，這種對企業(yè)的強制要求并沒有在世界范圍推廣開來，直接原因是強制披露內部控制有效性被認為將大大加重企業(yè)負擔，審計風險也顯著增加。歐盟經(jīng)過廣泛討論，認為內部控制應關注全方位的風險，而不應局限于財務報告目標上。我國目前也處于討論探索階段。
　　如何降低內部控制有效性評價的成本也是美國面臨的難題，SOX法案正式執(zhí)行后美國相關各方不斷采取措施以圖解決這一矛盾，如PCAOB于2007年5月頒布AS5，對審計準則進行了重大修訂；COSO于2006年發(fā)布了小企業(yè)財務報告內部控制指南；SEC于2007年6月發(fā)布了管理層關于財務報告內部控制有效性的評價報告指南等等。
　　
　　之所以出現(xiàn)企業(yè)在披露內部控制有效性時成本過大的問題，原因在于內部控制系統(tǒng)的監(jiān)督檢查沒有規(guī)范化，缺乏平時積累?！吨改稀窂囊韵路矫鏋榻⑾到y(tǒng)規(guī)范的監(jiān)督檢查機制提供了指導：
　　1.根據(jù)控制目標的重要性和控制的強弱狀況，區(qū)別監(jiān)督檢查的主體（自己、同事、上級或/和內部審計）、方式（持續(xù)監(jiān)督或/和單獨評估）以及頻次。
　　2.根據(jù)監(jiān)督檢查結果的重要性確定報告的對象，但控制缺陷必須通報到控制責任人及其直接上級，以及時改進。
　　3.層層監(jiān)督。下級組織的監(jiān)督檢查活動是上級組織監(jiān)督檢查的對象，董事會及其審計委員會對企業(yè)管理當局的監(jiān)督檢查活動實施監(jiān)督檢查。
　　4.文檔積累。根據(jù)內部管理需要和外部披露要求對監(jiān)督檢查的過程和結果進行存檔。
　　《指南》還提供了從公司總體層面保持內部控制系統(tǒng)有效性的動態(tài)監(jiān)督檢查方法，如圖1所示：
　　
　　企業(yè)首先需要形成有效的控制基點，如沒有就需要對現(xiàn)行內部控制的設計和運行進行系統(tǒng)的自我評估，改進存在問題；然后通過變化識別和變化管理，改進因內外部因素變化而失效的控制，對新產生的風險實施管理，形成新的控制基點。企業(yè)需要進行階段性單獨評估來確信新控制基點的有效性。
　　遵循以上原則和方法，企業(yè)可以對內部控制實施持續(xù)有效的監(jiān)督檢查，在保持和持續(xù)改進內部控制有效性的同時，也可以容易地滿足外部監(jiān)管要求，如對外披露內部控制有效性。
　　《指南》之所以反應并不十分強烈，主要原因是美國相關方面已頒布了一系列法規(guī)或指南，如PCAOB的AS5、SEC的管理當局評價指南等，《指南》作為“后來者”，需求性自然會減??；另一方面，有關概念的一致性確實是《指南》當前需面對的現(xiàn)實環(huán)境。
　　我國還沒有就內部控制有效性向企業(yè)提出強制披露要求，注冊會計師也沒有相關審計的法定責任，相關的法規(guī)和標準尚處于論證過程之中。對企業(yè)內部控制實施外部監(jiān)督是完善公司治理、促進公司改進管理的有益手段，廣大投資人越來越強烈的需求也反映了這一趨勢?！吨改稀穼⑼苿悠髽I(yè)在各層級建立起系統(tǒng)有效的監(jiān)督檢查，為外部監(jiān)管的開展打下堅實基礎。
　　
　　三、建議
　　
　　《指南》中控制環(huán)境是影響監(jiān)督檢查有效性的三個要素之一，具體分為管理當局對監(jiān)督檢查的重視以及監(jiān)督檢查人員專業(yè)勝任、公正并被適當授權兩方面。筆者認為，控制環(huán)境不僅僅影響監(jiān)督檢查的有效性，它甚至是監(jiān)督檢查能夠有效發(fā)揮作用的前提條件。除《指南》中所述兩方面，下列控制環(huán)境要素也十分重要：
　　
　?。ㄒ唬﹥炔靠刂曝熑蔚穆鋵?br/>　　有兩個方面要求：1.各級管理人員對所負責業(yè)務內部控制的有效性負責。部門負責人因而有較強的動力對所負責的內部控制實施自我評估，對其下屬部門或人員內部控制職責履行情況實施檢查監(jiān)督。2.每個制度或流程都有其負責人（Owner），對流程的有效執(zhí)行和改進負責。這一點對橫跨多個部門的流程尤其重要，防止“鐵路警察”情形的出現(xiàn)。明確的責任分解為檢查監(jiān)督提供了有效發(fā)揮作用的環(huán)境。檢查出問題后找不到明確的責任部門或責任人將極大削弱其應有作用，是檢查監(jiān)督者的最大尷尬。
　　
　　（二）有獎有罰的激勵機制
　　問題暴露出來后，及時解決問題，找出其產生的根本原因，并從流程或機制上改進應是日常工作必需的要求。同時應對相關人員責任的履行情況有獎有罰。處罰原則有：違規(guī)而造成公司損失者應有處罰；一項制度或流程存在嚴重執(zhí)行問題而其Owner未及時應對，該Owner應有處罰；員工違規(guī)或未充分履行職責時，其直接上級甚至更高層上級也應因監(jiān)管責任而接受調查。
　　公司應鼓勵員工發(fā)現(xiàn)問題、糾正問題和改進流程。發(fā)現(xiàn)自身問題并及時改正，未給公司造成損失應免于處罰，而且這種行為應受到鼓勵；對發(fā)現(xiàn)流程漏洞并主動跟蹤解決的員工，應根據(jù)為公司帶來的利益而進行獎勵?！?br/>　　
　　【主要參考文獻】
　　[1] 趙錫堯.基于美英內部控制評價與報告體系比較的思考與借鑒.審計月刊，2007年5月.
　　[2] 潘秀麗.內部控制信息披露中相關主體責任界定的現(xiàn)狀及改進.中國注冊會計師，2006年9月.
　　[3] 陳關亭，張少華.論上市公司內部控制的披露及其審核.審計研究，2003年6月.
　　[4] 李爽，吳溪.內部控制鑒證服務的若干爭議與探討.中國注冊會計師，2003年5月.
　　[5] COSO. Internal Control - Integrated Framework （Executive Summary）. 1992.
　　[6] COSO. Guidance on Monitoring Internal Control SystemDiscussion Document， Sep. 2007.
　　[7] COSO. Internal Control over Financial Reporting —Guidance for Smaller Public Companies.2006.
　　[8] PCAOB Release No. 2007-005 May 24，2007，Auditing Standard No. 5 An Audit of Internal Control over Financial Reporting.
　　[9] Discussion Document Comments by PWC on Guidance on Monitoring Internal Control System Discussion Document.
　　[10] Discussion Document Comments by Deloitte on Guidance on Monitoring Internal Control System Discussion Document.
　　[11] The European Corporate Governance Forum， Statement on Risk Management and Internal Control， June 2006.
　　[12] Fee， Debate on internal control reporting remains open， 04 May 2006.