有效的內(nèi)部控制至少應(yīng)當(dāng)包括以下五項基本要素:
1���、內(nèi)部環(huán)境:
內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行各種內(nèi)部因素的總稱���,是實(shí)施內(nèi)部控制的基礎(chǔ)��。內(nèi)部環(huán)境主要包括治理結(jié)構(gòu)��、組織機(jī)構(gòu)設(shè)置與權(quán)責(zé)分配��、企業(yè)文化��、人力資源政策�����、內(nèi)部審計機(jī)構(gòu)設(shè)置�、反舞弊機(jī)制等。
2�、風(fēng)險評估:
風(fēng)險評估是及時識別�、科學(xué)分析和評價影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不正確因素并采取應(yīng)對策略的過程,是實(shí)施內(nèi)部控制的重要環(huán)節(jié)�。風(fēng)險評估主要包括目標(biāo)設(shè)定,風(fēng)險識別��、風(fēng)險分析和風(fēng)險應(yīng)對�。
3、控制活動:
控制活動是根據(jù)風(fēng)險評估結(jié)果����、結(jié)合風(fēng)險應(yīng)對策略采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法和手段��,是實(shí)施內(nèi)部控制的具體方式����?��?刂苹顒咏Y(jié)合企業(yè)具體業(yè)務(wù)和事項的特點(diǎn)與要求制定���,主要包括職責(zé)分工控制、授權(quán)控制�、審核批準(zhǔn)控制、預(yù)算控制�����、財產(chǎn)保護(hù)控制�、會計系統(tǒng)控制、內(nèi)部報告控制��、經(jīng)濟(jì)活動分析控制�、績效考評控制、信息技術(shù)控制等�����。
4、信息與溝通:
信息與溝通是及時���、準(zhǔn)確����、完整地收集與企業(yè)經(jīng)營管理相關(guān)的各種信息��,并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級之間進(jìn)行及時傳遞�、有效溝通和正確應(yīng)用的過程,是實(shí)施內(nèi)部控制的重要條件��。信息與溝通主要包括信息的收集機(jī)制及在企業(yè)內(nèi)部和與企業(yè)外部有關(guān)的溝通機(jī)制等�����。
5���、對控制的監(jiān)督。
監(jiān)督檢查是企業(yè)對其內(nèi)部控制的健全性����、合理性有效進(jìn)行監(jiān)督檢查與評估,形成書面報告并做出相應(yīng)處理的過程�,是實(shí)施內(nèi)部控制的重要保證�����。監(jiān)督檢查主要包括對建立并執(zhí)行內(nèi)部控制的整體情況進(jìn)行連續(xù)性監(jiān)督檢查��,對內(nèi)部控制的某一方面或者某些方面進(jìn)行專項監(jiān)督檢查����,以及提交相應(yīng)的檢查報告���、提出有針對性的改進(jìn)措施等�。企業(yè)內(nèi)部控制自我評估是內(nèi)部控制監(jiān)督檢查的一項重要內(nèi)容��。
五要素之間的關(guān)系
1����、內(nèi)部環(huán)境是基礎(chǔ),是企業(yè)建設(shè)內(nèi)部控制的土壤�����,是一切內(nèi)控制度���、流 程����、控制點(diǎn)得以實(shí)施的根本條件。一個企業(yè)內(nèi)控好壞�����,首先應(yīng)對其內(nèi)控環(huán)境進(jìn)行評價�����,如果環(huán)境不好�,就需要更仔細(xì)和深入的進(jìn)行建設(shè),換句話說�,如果環(huán)境建設(shè)得好,具備良好的風(fēng)險意識和內(nèi)控文化���,即使一些小方面存在控制不足����,也并不重要�。
2�、風(fēng)險評估、控制活動、信息溝通����。這是內(nèi)控體系核心三個環(huán)節(jié)。風(fēng)險評估是內(nèi)控建設(shè)得方向�����。并不是說企業(yè)所有的任何的操作都需要管控��, 使用無比繁瑣的流程進(jìn)行防范��。內(nèi)控體系強(qiáng)調(diào)成本效益原則�,注重企業(yè)經(jīng)營效果效率,就必須注重風(fēng)險評估����,以風(fēng)險為導(dǎo)向的建設(shè)內(nèi)部控制體系,非重大風(fēng)險可酌情簡化���,但是重大風(fēng)險就需要認(rèn)真將制度�����、流程和控制環(huán)節(jié)建設(shè)好�。 控制活動是內(nèi)控體系的核心環(huán)節(jié),應(yīng)該是嵌入在業(yè)務(wù)流程當(dāng)中得以保證實(shí) 施�,病應(yīng)該注意留下控制痕跡以供檢查監(jiān)督。
信息溝通包括信息傳遞和信息系統(tǒng)兩個部分���。信息采集和信息傳遞指的是 企業(yè)部門之間���、上下級之間、各管理級層次之間是否存在良好的溝通渠道���。信息系統(tǒng)內(nèi)控合規(guī)又是一個大課題�,專門可以采用COBIT框架進(jìn)行建設(shè)�,主要包括信息系統(tǒng)基礎(chǔ)環(huán)境、總體控制和應(yīng)用層控制三部分����。
3、監(jiān)督檢查是使內(nèi)部控制成為閉環(huán)的重要組成部分�����。缺乏這個環(huán)節(jié)內(nèi)控 工作就不是一個PDCA循環(huán)�,或者說就不能不斷優(yōu)化和提升,體系就是一個靜態(tài)兒非動態(tài)的����,監(jiān)督檢查方式包括了自我評價和獨(dú)立評價,從事實(shí)頻率來分可以分為日常監(jiān)督和專項監(jiān)督��。