有效的內部控制至少應當包括以下五項基本要素:
1、內部環境:
內部環境是影響、制約企業內部控制建立與執行各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。
2、風險評估:
風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不正確因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定,風險識別、風險分析和風險應對。
3、控制活動:
控制活動是根據風險評估結果、結合風險應對策略采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制活動結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。
4、信息與溝通:
信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關的溝通機制等。
5、對控制的監督。
監督檢查是企業對其內部控制的健全性、合理性有效進行監督檢查與評估,形成書面報告并做出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行連續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告、提出有針對性的改進措施等。企業內部控制自我評估是內部控制監督檢查的一項重要內容。
五要素之間的關系
1、內部環境是基礎,是企業建設內部控制的土壤,是一切內控制度、流 程、控制點得以實施的根本條件。一個企業內控好壞,首先應對其內控環境進行評價,如果環境不好,就需要更仔細和深入的進行建設,換句話說,如果環境建設得好,具備良好的風險意識和內控文化,即使一些小方面存在控制不足,也并不重要。
2、風險評估、控制活動、信息溝通。這是內控體系核心三個環節。風險評估是內控建設得方向。并不是說企業所有的任何的操作都需要管控, 使用無比繁瑣的流程進行防范。內控體系強調成本效益原則,注重企業經營效果效率,就必須注重風險評估,以風險為導向的建設內部控制體系,非重大風險可酌情簡化,但是重大風險就需要認真將制度、流程和控制環節建設好。 控制活動是內控體系的核心環節,應該是嵌入在業務流程當中得以保證實 施,病應該注意留下控制痕跡以供檢查監督。
信息溝通包括信息傳遞和信息系統兩個部分。信息采集和信息傳遞指的是 企業部門之間、上下級之間、各管理級層次之間是否存在良好的溝通渠道。信息系統內控合規又是一個大課題,專門可以采用COBIT框架進行建設,主要包括信息系統基礎環境、總體控制和應用層控制三部分。
3、監督檢查是使內部控制成為閉環的重要組成部分。缺乏這個環節內控 工作就不是一個PDCA循環,或者說就不能不斷優化和提升,體系就是一個靜態兒非動態的,監督檢查方式包括了自我評價和獨立評價,從事實頻率來分可以分為日常監督和專項監督。