為適應薩班斯奧克斯利法案404條款中對小企業的要求,COSO委員會在其最近的指南中提出有效內部控制的原則和實例。該指南以“關于財務報告的內部控制:對小型公眾公司的指導意見”為題,強調了內部控制的業務功能和成本效益原則,這些原則適用于所有組織。
該指南共包括三部分,每一部分都有明確的目的。第一部分為管理層和董事會提供了執行概要,第二部分介紹了實用指導意見,并列舉了小企業的實際例子,第三部分提供了一些評估工具以幫助管理層實施和評估財務報告內部控制。
指南指出,保持有效內部控制是一個持續的綜合的過程,當風險和過程發生變化時,控制也必須適時地做出調整。而有效的內部控制包括管理層的理解、設計、實施和監控,并且應當被視為一項重要的業務功能,財務報告內部控制的目標是提供可信的財務報告。管理層關于內部控制有效性的年度評價必須大部分建立在對內部控制有效性的監控上。此外,指南提出了選擇一種控制方式時應考慮的三個因素:降低風險至一種可接受的水平、成本效益原則、滿足COSO內部控制整體框架五個組成部分中的一個或更多。
指南提出了關于有效內部控制的二十條基本原則,包括風險評估、控制環境、控制活動、信息與溝通、監控五個部分,并闡述了每一條原則的特性,這些原則直接援引了COSO的內部控制框架。指南盡管列舉了很多小企業的例子,但這些原則同樣適用于所有組織,不論規模大小、公眾公司或非公眾公司,也適用于政府和非盈利組織。
內部控制文件為實施控制提供了一種指引,而在實施控制的過程中可以為新人員的培訓提供基礎,并且可以提供證明它們已經有效運行的證據。所有的控制及其實施都需要一些文件,當管理層和審計師需要測試內部控制的有效性時,文件必須更加正式。此外,指南有助于外部審計師對財務報告內部控制的有效性進行評估,指南應支持管理層和審計師從一種“打勾選擇”的方法轉變到對組織目標實現的關注。
最后,指南指出,實施有效的財務報告內部控制僅僅是通往成功和長遠發展的一步,企業應當將內部控制過程和一種更加全面的企業風險管理的過程相融合,實現更廣泛的戰略報告目標。
(孫志梅整理自《Journal of Accountancy》, March 2007,作者: Rittenberg, Martens and Landes.)
