组织架构图、以及工作描述等进行正式归档的要求较低。在较小型公众公司中,比较典型的是,较少的职员和较少的管理层级,紧密的工作关系以及更频繁的互动,这些都推动了所预想的和已实现的沟通发生。比如一个较小型公众公司,可能以备忘录的方式对人力资源、供货合同或顾客信用政策等进行归档,并通过管理层会议所提供的指南对备忘录进行修正。大型公司可能制定更详细的政策(或政策手册)来指导其职员更好地执行内部控制。
问题在于,多大规模的归档才能确保财务报告的内部控制有效。显然,这取决于环境和期望。归档的规模应当使管理层确信其内部控制是有效的,例如,帮助管理层确保所有的出货均已入账,或者定期进行了对账。然而在较小型公众公司中,管理层通常直接参与执行控制程序,这些程序可能只需要最小规模的归档,因为管理层可以通过直接观察来决定内部控制是否有效。管理层必须了解会计系统和相关程序(其中包括与编制可靠的财务报表相关的活动)是否被很好地设计、理解并恰当地被执行。
当管理层就财务报告内部控制的设计和运行的效果向监管者、利益相关者或其他第三方进行报告时,管理层面临着更高水平的个人风险,因此需要将会计系统和重要控制行为中的大多数程序进行归档以支持其对内部控制效果的判断。在考虑所必需的归档数量时,归档的性质和规模可能受到公司监管要求的影响。尽管,这并不意味着归档将会或者应当更加正式,但是这意味着归档要能够证明内部控制被恰当的设计并很好地被执行。
10
此外,当一个外部审计师对内部控制进行审计时,管理层需要为审计师的工作提供支持。管理层应当提供证据以证明内部控制被恰当的设计并运行有效。在考虑所需要的归档性质和规模时,管理层需要考虑到,用来证明内部控制有效的归档也可能被外部审计师用来作为其审计证据的需要。
可能有些政策和程序是非正式的,且未被归档的。但前提是,管理层能够通过日常的商业活动获得证据证明全体员工在平时都执行了这些内部控制。然而,很重要的是需要明白一点,那就是诸如风险评估之类的控制程序不能仅仅存在于CEO和CFO个人的大脑中,对部分思考过程和管理层分析的归档是必要的。《指南》中的许多实例解释了管理层如何通过正常的商业过程获得证据。
内部控制的归档需要满足企业需要并与环境相称。多大规模的归档才能证明五个内部控制要素都被有效地设计并加以执行,这本身是一个需要加以判断的问题,同时还需要考虑成本效率的问题。在实务中,证据的收集和保存也要纳入不同的财务报告过程当中。
(三)视内部控制为完整过程
视《内部控制—综合框架》中的五个内部控制要素为一个完整的过程是很有必要的,而事实上内部控制也的确如此。将内部控制视为完整过程直接影响着内部控制要素间的相互关系,并有助于意识到,管理层在选择实现其目标的内部控制时具有一定的
11
灵活性,此外,组织可以随着时间的推移进行调整并提高其内部控制水平。
内部控制过程是以管理层根据公司特有的经营活动和环境所制定的财务报告目标为出发点的。一旦确定了目标,管理层需要确定并评估这些目标所面临的各种风险,确定哪些风险可能会导致财务报告的重大错报,并确定这些风险如何通过一系列控制活动来进行管理。管理层使用不同的方法获取、处理和沟通财务报告和其他内部控制要素所需要的信息。这些都由公司的控制环境加以确定。内部控制要素都需要受到监控以确保随着时间的流逝,控制一直运转正常。
(四)从总体上考虑内部控制各要素
《内部控制—综合框架》所提出的五个内部控制要素对实现可靠的财务报告目标都是至关重要的。确定一个公司财务报告的内部控制是否有效需要进行判断。内部控制的五个要素是共同发挥作用来防止、发现以及矫正财务报告的重大错报的。当内部控制的五个要素都能够得以执行并发挥作用,从而使得管理层能够合理的保证所编制的财务报表是可靠的时,内部控制就可以被认为是有效的。
尽管内部控制的五个要素都应当得到执行并发挥作用,却并不意味着在每个公司中,每一要素都必须同时或同等水平地发挥作用。这些要素之间需要加以平衡。内部控制的有效并不意味着内部控制的五个要素在每一个程序中都完美的发挥作用。某一要
12
素的不足可以通过其他内部控制要素的充分发挥作用加以弥补,这种内部控制总体上的充分足以把财务报表误报的风险降到一个可接受的水平。
五、实现有效的财务报告内部控制的基本原则
《指南》提供了一整套的20项基本原则说明与《内部控制—综合框架》内部控制的五个要素相关的基本概念,这20项原则都是从这五个内部控制要素中提炼出来的。
(一)控制环境
1.诚信与道德价值观—尤其是高层管理人员需要建立并理解正确的诚信和道德价值观,并为财务报告制定行为准则。
2.董事会—董事会应当理解并行使对财务报告和相关内部控制的监管责任。
3.管理理念与经营风格—管理理念和经营风格有助于实现有效的财务报告内部控制。
4.组织架构—公司的组织架构有助于实现有效的财务报告内部控制。
5.财务报告胜任能力—公司要确保员工个人在财务报告和相关监管角色中的胜任能力。
6.授权和责任—对管理层和员工的不同授权和他们担负的不同责任应当有助于实现有效的财务报告内部控制。
7.人力资源—人力资源政策和实务的设计和实施应当有助于实现有效的财务报告内部控制。
13
(二)风险评估
8.财务报告目标—管理层需要确定足够透明的和有具体实现标准的财务报告目标,从而确定编制可靠的财务报告所面临的风险。
9.财务报告风险—公司需要确定和分析实现财务报告目标所面临的风险,并将其作为进行风险管理的基础。
10.舞弊风险—因舞弊而引起的重大错报的可能性需要在评估实现财务报告目标所面临的风险时加以考虑。
(三)控制活动
11.风险评估整合—要采取行动以确定实现财务报告目标所面临的风险。
12.控制活动的选择和发展—控制活动的选择和发展要考虑其在降低实现财务报告目标所面临的风险上的成本和潜力。
13.政策和程序—与可靠的财务报告相关的政策要在全公司范围内执行并沟通,同时还要有确保管理层指令得以执行的相应程序。
14.信息技术—信息技术控制的设计和执行要可行并有助于财务报告目标的实现。
(四)信息和沟通
15.财务报告信息—应当在公司各个层面确认、获取及使用有关的信息,并且信息的分发形式和时间安排应当有助于财务报告目标的实现。
14