內部控制能夠幫助主體實現重要目標,并維持與提高績效。《內部控制———
整合框架》(以下簡稱“本框架”) 能夠使管理層更有效且高效地建立一個能夠
適應業務及經營環境變化的內部控制體系,將風險降至可接受水平,以幫助他們
更好地進行決策和治理。
設計并實施一個有效的內部控制體系具有非常大的挑戰性,使這一內部控制
體系每天保持有效且高效的運行也是非常艱難的。新興的和急劇變革的商業模
式、對技術的應用和依賴程度的不斷增加、日益增加的監管要求和細致審查、不
斷擴大的全球化趨勢及其他挑戰,都要求內部控制體系能更靈活地應對業務、運
營和監管環境的變化。
一個有效的內部控制體系不僅需要嚴格遵守政策和程序,還需要運用判斷。
管理層和董事會①運用判斷來確定所需控制的程度;管理層和其他人員每天都會
運用判斷在主體內選擇、開展和實施控制;管理層和內部審計人員則運用判斷來
監督和評估內部控制體系的有效性。
通過對內部控制體系構成部分的理解,以及對有效運用內部控制的時機的洞
悉,本框架可協助管理層、董事會、外部利益相關方以及其他與組織相關方履行
其內部控制職責,而不僅只是為了滿足規定要求。
本框架為管理層和董事會提供了:
? 無論主體屬于何種行業,具有何種法律架構,處于組織、業務單元或職
能部門的何種層面,都能將內部控制應用于任何類型主體的一種方法。
? 一種具備靈活性并允許在控制的設計、實施和執行中運用判斷的基于原
則的方法,并且原則可應用于組織、業務單元或職能部門中的任何層面。
? 對于有效的內部控制體系的要求,包括對于要素和原則是如何存在并持
續運行的,以及各要素如何以整合的方式共同運行的考量。
? 一種識別和分析風險以及制定管理風險應對措施的方法,以確保將風險
降至可接受的水平,同時更大程度地關注反舞弊措施。
? 一個能夠將內部控制的應用從財務報告擴展至其他報告形式及運營、合
規目標的契機。
? 一個能夠消除無效、冗余和低效率控制的契機,這些控制在降低風險以
保證主體目標的實現方面提供的價值極小。
對于主體的外部利益相關方和其他與組織相關方而言,運用本框架會提高:
? 董事會監督內部控制體系的信心。
? 主體實現其目標的信心。
3
① 框架采用“董事會” 來描述治理結構, 包括董事會、受托董事會、一般合伙人、所有者及監事
會。
內部控制———整合框架(2013)
? 組織識別、分析和應對風險及業務、經營環境變化的能力的信心。
? 對有效的內部控制體系的要求的理解。
? 對管理層可以通過運用判斷來消除無效、冗余及低效率控制的理解。
內部控制并非一個連續的過程,而是一個動態且整合的過程。本框架適用于
所有類型主體,包括大、中、小型主體,營利和非營利主體,以及政府機構。然
而每個組織所選擇的內部控制實施方式可能均有所不同。例如,一個較小型主體
的內部控制體系可能不太正式且結構化程度較低,但仍然具備有效的內部控制。
本內容摘要的其余部分提供了對內部控制的一個概述,包括其定義、目標類
別、必備要素及相關原則的描述,以及有效內部控制體系的要求。另外本內容摘
要還包括對于局限性的討論,即為何一個完美無缺的內部控制體系是不存在的。
最后,本內容摘要為各方組織和人士提供了在使用本框架時的一些考慮因素。
4
第一部分 內容摘要
內部控制的定義
內部控制的定義如下:
內部控制是一個由主體的董事會、管理層和其他員工實施的,旨在為實現運
營、報告和合規目標提供合理保證的過程。
這個定義強調內部控制是:
? 旨在實現目標———這些相互獨立但又互有重疊的目標類別包括運營、報
告和合規。
? 一個持續不斷的過程———此過程包括持續的任務和活動,是達到目的的
手段,而非目的本身。
? 由人來實施———不僅僅是單純的政策、流程手冊、系統和表單,而且包
括組織中各層級人員以及他們所實施的可能影響內部控制的行動。
? 可以提供合理保證———向組織的高級管理層和董事會提供合理保證,但
非絕對保證。
? 與組織的結構相適應———可靈活應用于整個組織或其中一個下屬單位、
分部、業務單元或業務流程。
內部控制的定義之所以被設計得很寬泛,是因為它需要體現如何設計、實施
和執行內部控制,以及開展內部控制體系有效性評估這些最為基本的重要概念,
才能為那些不同類別、行業和地區的組織在應用本框架提供基礎。
目標
框架列舉了三種類別的目標,使組織可以關注于內部控制的不同方面:
? 運營目標———組織運營的效果和效率,包括運營和財務業績目標、保護
資產以避免損失。
? 報告目標———內外部的財務和非財務報告的可靠性、及時性、透明度,
以及監管者、標準制定機構和組織政策所要求的其他方面。
? 合規目標———遵守組織所適用的法律法規及規章。
內部控制的要素
內部控制由五個不可分割的要素組成。
5
內部控制———整合框架(2013)
控制環境
控制環境是一套標準、流程和結構,能夠為組織實施內部控制提供基礎。董
事會和高級管理層應在高層建立基調,強調內部控制的重要性(包括期望的行為
準則),并應在組織的各個層級強化這種要求。控制環境包括了組織的誠信和道
德價值觀;促成董事會行使治理監督職責的各種要素;組織結構以及權力與責任
的分配;吸引、培養和留用人才的程序;用以實現績效問責的嚴密的績效衡量、
激勵和獎勵機制。控制環境會對整個內部控制體系產生深遠的影響。
風險評估
每個主體都面臨著來自內、外部的各類風險。風險是指某項事件將發生并對
組織實現其目標產生負面影響的可能性。風險評估應通過動態和反復的過程,以
識別和評估影響組織目標實現的風險。在考慮影響主體目標實現的各個方面風險
時,應與已建立的各項風險容忍度相關聯。由此,風險評估為形成如何管理風險
的決策奠定基礎。風險評估的先決條件是已建立了各種目標,并聯接到主體內不
同的層級。管理層應充分明確運營、報告和合規三大類具體目標,以便識別和評
估與這些目標相關的風險。管理層也應考慮這些目標對于主體的適用性。風險評
估還要求管理層考慮可能導致內部控制失效的外部環境和內部商業模式變化帶來
的影響。
控制活動
控制活動是通過政策和程序所確立的行動, 旨在協助確保管理層關于降低
影響目標實現的風險的方針已經落實。在主體的各個層級、業務流程的各個環
節,以及技術環境中都應實施控制活動。控制活動在性質上, 可以是預防性
的,也可以是發現性的; 可能涵蓋一系列的人工和自動化控制, 如授權和批
準、核查、對賬和企業績效評估等。不相容職責分離就是典型的應選擇和執行
的控制活動。如果不相容職責分離對主體來說難以實施, 管理層應選擇并執行
替代性的控制活動。
信息與溝通
信息對于主體履行內部控制責任以促進目標實現而言是非常必要的。管理層
應從內外部來源獲取或生成和使用高質量的、相關的信息,以支持內部控制的持
續運行。溝通是提供、共享和獲取所需信息的持續和不斷重復的過程。內部溝通
是讓信息在整個組織內向上、向下和橫向傳遞的手段,它使員工能清晰獲得高層
要求其認真履行控制職責的訊息。外部溝通則是雙重的:將外部的相關信息引
6
第一部分 內容摘要
入,以及向外部提供信息以回應相關方的要求和期望。
監督活動
主體應通過持續評估、單獨評估或者兩者的組合,以確認內部控制的五個要
素(包括實現每個要素中原則的控制活動) 是否存在并持續運行。持續評估應
被嵌入主體不同層級的業務流程中,以提供及時的信息。單獨評估應定期開展,
其評估范圍和頻率因風險評估結果、持續評估的有效性以及管理層的其他考慮而
有所不同。主體應依據監管機構、標準制定機構,或管理層和董事會所設定的標
準,對各種發現進行評估,必要時應當向管理層和董事會報告各項缺陷。
7
內部控制———整合框架(2013)
目標與要素的關系
目標是主體所致力于實現的;要素是主體實
現目標必不可少的;主體結構包括業務單元、法
人結構和其他結構, 這三者之間具有直接的聯
系,它們的關系可以用一個立方體來表示。
? 立方體的縱向代表內部控制目標的三種類
別———運營、報告、合規。
? 立方體的橫向代表內部控制的五個要素。
? 立方體的第三維層次代表主體結構。
要素和原則
框架詳細說明了17項代表著與要素相關基本概念的原則。由于這些原則是
從各要素中直接得出的,主體可以通過應用所有的原則從而實現有效的內部控
制。所有原則均適用于運營、報告及合規目標。支持各要素的原則列示如下:
控制環境
原則1?組織①應展現對誠信和道德價值的承諾。
原則2?董事會應展現出其獨立于管理層,并對內部控制的開展與成效實施
監督。
原則3?管理層為實現目標,應在董事會的監督下確立組織架構、匯報路線、
合理的權力與責任。
原則4?組織應展現出其對吸引、培養和留用符合組織目標要求的人才的
承諾。
原則5?組織為實現目標,應要求員工承擔內部控制的相關責任。
風險評估
原則6?組織應設定清晰明確的目標,以識別和評估與目標相關的風險。
原則7?組織應對影響其目標實現的風險進行全范圍的識別和分析,并以此
為基礎來決定應如何管理風險。
8
① 本框架中的“組織” 一詞是董事會、管理層和其他主體人員的統稱,在內部控制的定義中也有所
體現。
第一部分 內容摘要
原則8?組織應在評估影響其目標實現的風險時,考慮潛在的舞弊行為。
原則9?組織應識別并評估對其內部控制體系可能造成重大影響的改變。
控制活動
原則10?組織應該選擇并執行那些可以將影響其目標實現的風險降至可接受
水平的控制活動。
原則11?針對信息技術,組織應選擇并執行一般控制活動以支持其目標的
實現。
原則12?組織應通過政策和程序來實施控制活動。政策是建立預期,程序是
將政策付諸行動。
信息與溝通
原則13?組織應獲取或生成和使用高質量的、相關的信息來支持內部控制的
持續運行。
原則14?組織應在內部對內部控制目標和責任等必要信息進行溝通,從而支
持內部控制持續運行。
原則15?組織應就影響內部控制發揮作用的事項,與外部進行溝通。
監督活動
原則16?組織應選擇、開展并實施持續和(或) 單獨評估,以確認內部控制
的各要素存在并持續運行。
原則17?組織應評價內部控制缺陷,并及時與整改責任方溝通,必要時還應
與高級管理層和董事會溝通。
9
內部控制———整合框架(2013)
有效的內部控制
本框架闡明了有效內部控制體系的要求。有效的內部控制體系可為主體目標
的實現提供合理的保證,并將影響主體實現其目標的風險降低至可接受的水平,
這些風險可能涉及一種、兩種或全部三種目標類別。這就要求:
? 內部控制五個要素中的每個要素以及相關原則必須同時存在并持續運行。
“存在” 是指在內部控制體系的設計和實施以實現特定目標的過程中,應
確定各要素和相關原則存在。“持續運行” 是指在內部控制體系的執行以
實現特定目標的過程中,應確定各要素和相關原則持續存在。
? 五個要素以整合的方式共同運行。“共同運行” 是指確定五個要素共同持
續運行,以將影響目標實現的風險降低至可接受的水平。五個要素作為
一個整合的體系共同運行,不應僅考慮單個要素。各要素是相互依存的,
這是由于彼此間存在大量關聯和聯系,特別是通過各原則在相關要素內
以及各要素之間互動的方式。
若存在一項重大缺陷,而該缺陷與某要素或相關原則的存在并持續運行相
關,或與各要素未以整合的方式共同運行相關,組織就不能得出其已滿足有效內
部控制體系所有要求的結論。
當內部控制體系被確定為有效時,可以就其在主體結構內的應用向高級管理
層和董事會提供如下合理保證:
? 當外部事件對目標的實現不太可能造成重大影響,或組織可以合理地預
測外部事件的性質和發生時間,并將其影響降低到可接受水平時,組織
可以實現運營目標的效果和效率。
? 當外部事件可能對目標實現造成重大影響,且組織不能將其影響降低到
可接受水平時,需要知曉運營目標的效果和效率被控制的程度。
? 編制報告,以遵照各項適用的規章及標準,或主體特定的報告目標。
? 組織遵守適用的法律法規、規章及外部標準。
本框架要求在設計、實施和執行內部控制及評估其有效性時,應進行判斷。
運用判斷可以協助管理層在相關法律法規、規章及標準所限定的范圍內更好地作
出內部控制方面的決策,但并不能保證達到完美效果。
內部控制的局限性
本框架認為一個有效的內部控制體系,在為實現主體目標提供合理保證的同
時,其固有的局限性始終存在。內部控制無法防止錯誤的判斷和決策,也無法防
10
第一部分 內容摘要
止可能導致組織無法實現其運營目標的外部事件。換句話說,即使是一個有效的
內部控制體系也有可能出現失敗。造成這些局限性的原因如下:
? 目標設定的適當性是內部控制的先決條件。
? 在決策過程中的人為判斷可能造成錯誤和偏見。
? 因差錯等人為過失而導致的內部控制失效。
? 管理層凌駕于內部控制之上。
? 管理層、組織其他人員和(或) 第三方通過串通而規避控制。
? 發生超出組織控制能力的外部事件。
這些局限性妨礙董事會和管理層對實現主體目標獲得絕對保證,也就是說,
內部控制僅能提供合理保證而非絕對保證。雖然存在上述固有局限性,但是管理
層在選擇、執行及部署內部控制時,應清楚這些限制,并在切合實際的情況下將
這些限制最小化。
內部控制整合框架的使用
如何使用這個報告取決于當事方的不同角色:
? 董事會———董事會應與高級管理層商討組織內部控制體系的現狀,并進
行適當的監督。高級管理層就內部控制情況向董事會負責,同時董事會
應針對其成員如何對內部控制實施監督設定相關的政策和期望。董事會
應被告知如下信息:實現主體目標的各種風險、對內部控制缺陷的評估、
管理層為應對這些風險和缺陷而部署的行動,以及管理層如何評估內部
控制體系的有效性。在必要時,董事會應挑戰管理層、提出尖銳的問題,
并從內、外部審計人員或其他渠道獲取信息并尋求支持。董事會下設的
委員會通常可以協助董事會行使一些監督的職責。
? 高級管理層———高級管理層應根據本框架對內部控制體系進行評估,并
關注于組織是如何應用17項原則來支持內部控制要素的。如果曾應用了
1992年版框架,管理層在應用本框架時需先了解本框架中的更新內容
(如第二部分“框架和附錄” 中附錄F所載),并考慮這些更新對主體內
部控制體系的影響。管理層在初步比較的過程中可考慮使用工具示例,
并將其用于對主體內部控制體系的持續評估中。
? 其他管理層及人員———各級經理或其他人員應對此版本較上一版本的變
動進行查閱,并評估這些變動對主體內部控制體系的影響。此外,他們
也需要考慮如何在本框架的要求下行使其職責,并與更高級別的人員就
如何加強內部控制進行探討。具體而言,他們應考慮現有的控制是如何
在內部控制五要素中對相關原則產生影響的。
11
內部控制———整合框架(2013)
? 內部審計人員———內部審計人員應對其運用1992年版框架的情況進行回
顧,并對內審計劃進行審閱。同時,內部審計人員還需要對新版框架中
的變動進行詳細審閱,并考慮這些變動對于主體現有內部控制體系相關
的審計計劃、評估及其他報告的影響。
? 獨立審計人員———在某些司法管轄地區,獨立審計人員不僅會審計主體
的財務報表,也會對客戶的財務報告相關內部控制的有效性進行審計或
核查。審計人員會參照本框架針對主體的內部控制體系進行評估,并關注
組織如何選擇、執行及部署影響內部控制要素相關原則的控制。同管理
層一樣,審計人員也可以將工具示例應用于對內部控制體系整體有效性
的評估中。
? 其他專業機構———其他提供運營、報告及合規相關指引的專業機構可將
其制定的標準和指引與本框架進行比較,并在一定程度上通過消除概念
與術語上的分歧來使所有相關方都能夠從中受益。
? 教學者———在本框架獲得廣泛認可的前提下,應將其中的概念和術語納
入到大學課程中。
12
