根據《規範》,有效的內部控制至少應當包括:內部環境、風險評估、控制措施、資訊與溝通、監督檢查五大要素。這與COSO報告(1992)的五大要素實質上是一致的。
我國企業內部控制制度的現狀
本世紀初發生了很多影響深遠的財務醜聞,美國催生了《薩班斯———奧克斯利法案》(SOX,或者SOA),中國催生了《企業內部控制基本規範》以及《企業內部控制配套指引》。SOX法案中對內部控制主要涉及103條款、302條款、404條款,對在美上市公司影響到資訊披露委員會的組建、董事會實踐的改變、審計委員會實踐的變化等。從2006年7月15日起,所有在美上市的外國企業,必須執行SOX法案。我國亦別有深意地發起成立了一個由財政部、證監會、國資委共同參與的“企業內部控制標準委員會”,其使命是制定和發佈我國企業的內部控制標準,旨在建立一套具有權威性、公認性和統一性的內部控制標準體系,標誌着中國的內控時代的來臨。
現代企業內部控制制度的理論探索和實踐
1企業控制環境的改善。企業的經營活動離不開控制環境的影響,在控制環境中體現了一個企業的控制活動的形式和內容。企業經營的整體戰略、經營風格、經營文化,影響着整個組織成員的控制意識,控制環境是內部控制的各個組成部分的基礎。控制環境的建設最直接的影響就是企業經營目標及整體戰略目標,一個良好的控制環境能夠使企業形成健康的經營風格、經營文化,實現企業的經濟和社會價值。鑑於我國相關立法還顯滯後狀況,因此,加強和完善企業控制制度立法建設迫在眉睫。
2引入全面風險評估機制。在當前迅速發展的資訊經濟時代,除內部風險因素之外,企業面臨的外部風險因素———經營風險在不斷提高,故企業需要辨別、分析防範和控制經營風險,引入全面風險評估機制。
3設立良好的控制活動。企業在制定控制活動時關鍵就是要尋找關鍵控制點,管理學家麥克考勒把“恰當地劃分每個人的'職責範圍”作爲管理的首要原則;“組織理論之父”韋伯提出了“科層制”,嚴格地把職責與權限等級化,規定了每個人都只能在自己的權責範圍內行事。《規範》着重強調了崗位輪換制度,相應的,IIA亦給出良好的標準要求內部審計師避免確認自己以前的業務。
4以合理的管理資訊系統強化資訊與溝通機制。在資訊經濟時代,資訊的溝通機制是否有效至關重要,實踐證明,合理的管理資訊系統是良好的保障。一個良好的資訊系統在實踐上應有助於提高內部控制的效率和效果,控制標準的建立和修正、控制活動成效的評定、控制報告的擬定和以及改進建議的及時傳達等,需要一個適合企業運營實踐的管理資訊系統。
5內部監督制度的探索和實踐。內部監督制度實際上在企業中早已存在,但是在制度建設過程中缺乏相應的標準,給內部監督制度的考評帶來了隨意性。因此,引入內部審計制度顯得很有必要。在內部控制的實踐過程中,內部審計在內部監督中發揮着顯著的作用,內部審計透過對控制環境和控制程序的有效監督,並及時反饋有關執行結果的資訊,提供了使企業更有效地實現預期控制目標的管理決策資訊。
我國應積極引入企業風險管理整體框架指導企業內部控制的實踐活動:一是內部控制中觀念的轉變;二是進一步完善風險的評估與應對方法;三是要注重公司治理結構在內部控制中的作用等。隨着我國企業內部控制相關規範、制度的建立和完善,我國企業在內部控制制度建設上必將走出一條適合自己的發展道路。