生新的成本,但是这一成本相对于较小型公众公司的规模而言,其负担可能更重。尽管资源有限,但是较小型公众公司通常能够应对这个挑战并能用按照符合成本效率原则的方式成功地实现有效的内部控制。《指南》中描述了多种用以实现这一目标的方法,其中一些已经在许多较小型公众公司得以应用,并受到管理层的好评。具体而言,常用方法包括:
(一)高层的广泛和直接控制
许多较小型公众公司受到公司创始人或其他领导人的控制,这些领导人通过大量的个人判断为公司员工指出工作的方向。这种制度安排不仅对于实现公司的增长和其他目标十分关键,同时也能够在财务报告的有效内部控制方面作出重要贡献。企业领导者在企业各方面的深厚背景知识,包括运营、程序、合约的安排以及企业风险等,使企业领导者明白知道自己需要从财务报告系统产生的报告中获取什么信息。
(二)有效的董事会
较小型公众公司通常以相对简单的企业结构进行相对直接的企业运作,这使董事们可以更深入地获取企业活动的信息。公司董事们通常在公司发展期间就已经深入参与公司的经营,这使他们能够从公司发展历史的角度来思考问题。加之经常能接触到大多数的管理层并进行沟通,这些都有助于董事会及其审计委员会更有效地执行对财务报告的监督责任。
(三)对岗位分离局限性的弥补
5
由于资源的限制,较小型公众公司的员工数量有限,有时会导致一些岗位难以单独设立。为此,管理层采取一些措施来弥补这一问题。这包括,管理层会检查细节交易的系统报告;有选择地检查某些交易的支持性文件;定期盘点实物存货、设备或其它资产,并与会计记录相对照;复核账户余额调节甚至亲自进行账户余额的调整。在许多较小型公众公司中,管理层已经在从事上述的工作以便确保报告的可靠性,这些工作将有助于确保有效的内部控制。
(四)信息技术
内部控制信息技术资源获取困难的问题通常是通过使用其他人编写和维护的软件来解决的。虽然这些软件的使用范围有限,但是也已规避了很多与内部系统相关的风险。很明显的是,由于程序转换控制通常只能由软件开发公司进行,而一般较小型公众公司的人员因缺乏专业技术知识而无法做出未经授权的修改,因此对程序转换控制的需求并不高。这种商用程序通常以附带工具的形式为公司职员的工作带来便利,包括:访问或者修改特定数据、对数据处理的完整性和精确性进行检查以及维护相关文件。
采用附带的应用型控制功能较多的软件,可以带来许多的便利,这包括:提高操作的一致性、自动化调节、方便将意外情况汇报给管理层、以及支持合理的岗位分离。较小型公众公司可以充分利用这些功能所带来的优势,保证控制环节的顺畅。
6
(五)监控活动
监控部分是《内部控制—综合框架》中重要的一部分,管理层在公司运营中执行的大量日常活动可以反映内部控制系统的其他要素所发挥的作用。许多较小型公众公司管理层经常执行这些程序,但是却并不能对提高内部控制的效果产生积极作用。这些活动一般是手动执行,有时由计算机软件支持,在设计和评估内部控制的时候应当对此予以充分的考虑。
在评估和报告内部控制的第一年之后,许多公司在第二年再次执行评估程序时,并没有降低多少的成本。然而,有一种不同的方法可以提高内部控制的效率。通过关注现有的或通过少量的努力就可以在未来实现的监控活动,管理层确定以前年度所发生的财务报告系统的变化,从而确定需要进行更进一步详细测试的环节。对于一个有效的内部控制系统而言,所有的五大内部控制要素都必须到位,且运转有效,对每一要素的部分测试也是必要的,但是有效的监控活动通常可以弥补其它要素中的缺陷,降低内部控制评估工作量从而全方位提升效率。
四、获得更高的效率
除上述方面需要纳入考虑之外,通过强调那些直接适用于公司的活动和环境的财务报告目标、基于风险的内部控制方法、恰当规模的归档、视内部控制为完整过程以及从总体上考虑内部控制各要素,可以提高公司在设计、应用或评估内部控制方面的效
1
1
《内部控制—综合框架》认为内部控制有五大要素,分别是:控制环境、风险评估、控制活动、信息和沟通和监控。
7
率。
《内部控制—综合框架》认为,一个实体必须首先确立恰当的财务报告目标。从一个较高的角度而言,财务报告的目标是编制可靠的财务报表,同时就财务报表中不存在重大错报做出合理的保证。在这个最高目标之下,管理层需要在公司的财务报表核算和相关披露中,建立与公司的经营活动、环境以及正确的反应相关的一些支持性目标。这些目标可能受监管因素或管理层制定目标时所考虑的其它因素的影响。
通过强调那些直接适用于公司以及公司活动和环境(这些活动和环境是指对公司财务报告有着重大影响的活动或环境)的财务报告目标,可以获得更高的效率。经验表明这可以通过以公司的财务报表为起始点,并为这些对财务报表产生重大影响的经营活动、过程以及事件确定支持性目标,从而最有效地得以实现。
(一)重视风险
尽管管理层需要关注多方面的风险,但是其最需要考虑的是其核心目标所面临的风险,这其中包括编制可靠的财务报告所面临风险。风险基础方法强调对财务报告产生潜在影响的定量和定性因素,并确定在交易过程或其他财务报表编制过程中哪些地方可能出错。通过重视核心目标,管理层能够确定风险评估恰当的广度和深度。通常,在最初设计和执行内部控制时,就需要对风险予以考虑,要确定目标的风险并加以分析,进而形成风险管理的基础。此外,还要评估内部控制在减轻这些目标的风险方面是
8
否有效。
在评估内部控制效果时,通常考虑的是利用具有“代表性”组织的常见控制措施来评估控制效果。但一个意料之外的结果是管理层有时会关注一些“标准的”或“代表性”控制措施,而这些控制措施与公司的财务报告目标或与这些目标相关的风险并没有什么关系。一个可能遇到的问题是,在没有确认整个评估程序是否真的与获得可靠的财务报告相关之前,就开始对会计系统的细节进行评价,并对会计系统的资料进行深入归档。并不是说,这样的做法毫无用处。但是,无论采用什么方法,只有关注管理层为公司经营活动和环境所设立的目标,才能提高内部控制的效率。
(二)恰当规模的归档
公司出于各种不同的原因对经营过程、程序以及内部控制系统的其他要素进行归档并保存。其中一个原因是保持前后商业运营实务的一致性。有效的归档有助于传递关于做了什么以及如何做的信息,还有助于提升对业绩的期望。另一方面归档可以帮助培训新的职员,或作为其它职员的学习资料或参考工具。归档同时还可以为报告内部控制效果提供证据。
不同的公司进行归档的水平和类型也截然不同。显然,大型公司通常有更多的业务需要归档,或者财务报告的制定过程更为复杂,所以与较小型公众公司相比就需要进行更大规模的归档。较小型公众公司通常对诸如完全政策手册、程序的系统流程图、
9