【關鍵詞】 監控; 內部監視; 設計缺陷
內部監視作爲內部控制的基本要素之一,對於內部控制的有效執行,以及內部控制的不斷完善起着重要的作用。美國COSO委員會的《內部控制框架》和《企業風險治理框架》中均規定監控爲其構成要素。監控這一概念實際與我國《企業內部控制基本規範》中作爲內部控制基本要素之一的內部監視的概念是一致的。
一、《內部控制框架》中的監控
根據《內部控制框架》使用的監控的概念,是指對內部控制在一定時期內的執行質量進行評估的過程。監控是透過持續監控活動、個別評價或兩者的結合實現對內部控制執行進行監控。透過持續監控和個別評價的結合,能夠保證內部控制體系在一定時期內保持其有效性。
(一)持續監控活動
持續監控活動發生在經營活動過程之中,內含於企業治理活動之中,它包括日常治理和監控活動,以及員工在履行其職責時所採用的其他行動。持續監控活動嵌進企業日常的重複的經營活動之中,對企業經營活動實施實時的監控,能夠動態地應對環境的變化。持續監控活動涉及內部控制各個要素的主要方面。持續監控活動通常能夠及時發現題目,相對於個別評價更爲有效。
(二)個別評價
個別評價是從某一角度對內部控制進行測評,它直接關注內部控制的系統有效性。個別評價的範圍和頻率主要取決於風險評估和持續監控程序的有效性,對於應對優先考慮的風險的內部控制和對降低風險最爲重要的內部控制,一般應當經常地進行評價。在企業主要戰略或治理層發生變更、進行重大的收購或處置,或者經營或財務資訊處理方法發生重大變化的情況下,一般需要對整個內部控制系統進行評價,此時應當關注企業所有重要活動有關的每一內部控制構成要素,其評價範圍應當根據所需要實現的內部控制目標來確定。
個別評價通常採用自我評價形式,即由負責某一業務或職能的職員負責對其活動的內部控制的有效性進行評價,也可以聘請註冊會計師等中介機構進行內部控制的個別評價。企業內部審計機構通常將對內部控制進行評價作爲其常規性的職責,或根據企業董事會等上級機構的要求進行內部控制的評價。
《內部控制框架》要求進行內部控制評價時,評價者應當瞭解企業各項經營活動以及所針對的內部控制的每個構成要素,把握內部控制體系實際執行情況,並分析內部控制體系的設計和執行測試的結果。此外,《內部控制框架》還要求對評價過程進行公道的記錄,並誇大對內部控制體系有效性進行評價時,應當考慮編制和儲存內部控制相關記錄的情況,爲有效性評價提供支援。
(三)報告缺陷
對內部控制進行監控所發現的題目應當向上報告,其中嚴重的題目應當及時上報企業治理層和董事會。《內部控制框架》將內部控制體系中值得留意的一種狀態定義爲缺陷,明確了報告缺陷的內容,要求不僅要報告特定的交易或事項,更需要報告重新評價可能發生錯誤的內部控制。
二、《企業風險治理框架》中的監控
與《內部控制框架》中的監控概念相同,監控作爲企業風險治理的要素之一,在企業風險治理中透過持續的監控活動、個別評價以及兩者的結合,對風險治理構成要素的存在和執行進行評估。
持續監控活動存在於企業治理活動過程之中,它實時地、動態地應對企業變化的情況,並植根於企業之中。持續監控活動一般由經營治理職員或職能部分的治理職員實施。
個別評價是用於對企業風險治理的有效性提供公道保證而進行的評估活動。持續監控活動有效性越高,則越不需要個別評價。個別評價範圍和頻率,由治理當局根據本企業的情況作出決定,它取決於企業風險的重大性以及風險應對和治理風險過程中相關內部控制的重要性。當企業的主要戰略或治理當局發生變更、進行收購或外置、經濟或政治情況發生變化,以及經營或資訊處理方法變更時,則需要對企業風險治理進行全面評價。進行全面評價時,應當着眼於風險治理在戰略制訂以及相關重大活動中的應用。企業風險治理中,個別評價有關的評價主體、評價過程和方法等內容與《內部控制框架》的內容基本相同。