美国COSO的界定:内部控制是一个受到董事会、管理者和其他人士影响的过程,这个过程是为以下目标的实现提供合理保障:经营效率和效果(Effectiveness and efficiency of operations)、财务报告的可靠性(Reliability of financial reporting)和遵守法律和条例(Compliance with applicable laws and regulations)。资产安全(safeguarding of resources)也是属于经营效率和效果的组成部分。
内部控制由五个要素组成:(1)控制环境(Control Environment):确定组织内内部控制意识(control consciousness)的基调(tone), 是其他要素的基础,包括:人的能力、诚实和道德价值观;管理哲学和经营风格;权力和责任分配方式及人员组织和发展方式;董事会对关注和指导。(2)风险评估(Risk Assessment):组织面临来自外部和内部的各种风险,风险评估的前提是确定目标(establishment of objectives),目标分层级确定并且协调协调,风险评估就是分析影响目标实现的这种风险因素,为如何管理这些风险因素提供一个基础。由于经济、产业、监管及经营条件在不断地变化,所以,需要建立机制以识别和处理这个变化此致的风险。(3)控制活动(Control Activities):控制活动是管理者指示(management directives)实施的政策和程序(policies and procedures),这些政策和程序确保采取必须的行动以应对影响组织目标实现的风险。控制活动发生于组织的所有层级和所有领域,包括:受权、审查、核对、复核、责任分离和资产安全(authorizations, verifications, reconciliation, reviews of operating performance, security of assets and segregation of duties)。(4)信息和沟通(Information and Communication):为了合组织内的人士有效地履行职责,相关信息必须及时地确认、捕获和沟通。信息系统产生的经营、财务和法规遵守性信息是业务运行和控制的基础。信息系统不仅包括内部信息,还包括外部相关信息。信息必须在组织各个层级各个组成部分之间有效地沟通。所有人士都要从最高管理者处清楚地知道控制责任必须认真对待,每个人必须理解自己在内部控制中角色及与其他人的有关系。每个人都必须有向上沟通信息的手段。同时,必须与外部人士有效地沟通,这些外部人士包括:顾客、供应商、监管者和股东。(5)监视(Monitoring):内部控制需要监视,监视是评估内部系统运行有效性的过程。监视包括运行监视(ongoing monitoring activities)和单独评估(separate evaluations)或二者的结合。运行监视是在使用过程中的监视。单独评估的频度和范围主要由风险和运行监视的效果决定。内部控制的缺陷应该向上级报告,严重的事项要报告最高管理者和董事会。
内部控制信息披露指管理当局依照一定的标准对内部控制设计和运行的有效性做出评价,并以内部控制报告的形式把评价的结果传递给外部信息使用者。
内部控制信息披露的必要性
1、信息观的解释
资源的任何配置都是特定决策的结果,而人们做出的任何决策都基于给定的信息。因此,经济活动中所面临的根本问题不是资源的最优配置问题,而是如何最好的利用分散在社会中的不同息。
一般而言,证券市场只给我们提供价格方面的信息,即财务呈报的主要目的是关于盈余及其构成的信息。会计盈余信息是一种高度概括的信息,它有很多因素的影响,如企业会计方法的选择、企业内部控制的强弱等。根据研究结论,会计信息使用者给予分列信息的比重比给予总括信息的比重要大,原因是如果以总括的数据给使用者提供有用信息,使用者须花费更大的认知成本,即分析解释信息以及拒绝不相关信息的成木。按照这种理论解释,如果单独披露内部控制信息,能降低信息披露过程的总成本,提高信息披露的效率。内部 控 制 信息属于定性信息,但应该看到,定性信息的相关性未必比定量信息逊色,货币信息未必L匕非货币信息重要,因此企业内部控制信息披露的重要性不台而喻。越来越多的投资者已经意识到,一家有投资价值的企业不仅需要具有良好的经营业绩和发展前景,还必须拥有良好的内部控制制度,在某种程度上内部控制失效比经营业绩下滑所面临的投资风险更大,这是因为内部控制对财务信息的影响是一种基础性的影响,是一种过程性的影响,直接关系到会计盈余的可靠性。在证券市场上,会计信息存在着高度的不对称,其主要原因在于企业管理者所采用的信息披露的方法。为了争取到资金这种宝贵的稀缺资源,高质量的企业会试图通过某种形式的“信号传递”行为消除信息不对称,披露相关的内部控制信息通常被认为是一种好的“信号”,这种信号把高质量的公司和低质量的公司区分开来,有效的市场会对此做出积极的反应,公司的股价会上升。“信号传递”理论也是自愿性信息披露的基础理论之一。
2、代理观的解释
代理理论认为,内部控制信息披露是管理当局解除受托责任的一种方式。资源的所有者把经济资源提供给企业,交由经理人员进行经营管理,他们的根本目的是要实现资产的保值、增值,而这种保值、增值的过程是由经理人员通过企业行为来实现的,因此在资源的所有者和使用者之间存在着委托一代理关系,管理当局承担着保护资产的安全完整的受托经济责任。理论上讲,这种责任不仅包括行为责任并且包括报告责任,并且一种行为责任就要求有相应的报告责任。由于企业管理当局对设计并实施本企业的内部控制制度负责,因此也有相应的报告内部控制的责任。委托代理的后果之一是它对管理当局和投资者之间关系的影响,具体而言就是如何解决代理人的机会主义行为,降低代理成本,减少逆向选择和道德风险给委托人造成的损失。应对的具体措施有:第一,向管理当局提供激励合约,以便把管理当局和股东的利益更紧密的联系在一起;第二,提供企业信息的公开披露以消除管理当局拥有的超级信息的位置。按照伊民雄治的观点,会计是“一个便于顺利履行各利益集团的会计责任(accoultability)关系的系统”,无论采取哪种措施,内部控制信息都是监督企业契约执行和评估契约执行结果的重要手段,因此需要把内部控制的相关信息传递给契约的缔结方,即要把内部控制信息披露给外部信息使用者。