监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等等。在监督评审活动和缺陷的纠正方面应当遵循下述原则:
1.应当不断地在日常工作中监督评审内控的总体效果。对主要风险的监督评审应当是公司日常活动的一部分,并且各级经营层和内部审计人员应当定期予以评价。
2.对内控系统应当进行有效和全面的内部审计。内审要独立进行,应得到适合的培训,并配备称职和得力的人员。内审作为内控系统监督评审的一部分,应当向董事会或其审计委员会直接报告工作,并向高级管理层直接报告。
3.不论是经营层或是其他控制人员发现了内控的缺陷,都应当及时地向适当的管理层报告,并使其得到果断处理。应当把有关物质的内控缺陷报告给高级管理层和董事会。
此外,巴塞尔委员会还针对监管当局对内控系统的评价提出,银行的监管人员应当要求所有的银行,不论其规模如何,都具有有效的内控系统,而且其内控系统符合他们的表内外活动的性质、复杂性和内在的风险;内控制度应当随银行所处环境和条件的改变而得到调整。凡监管者确定某银行的内控系统不能充分或有效地针对银行的具体风险内容(例如,不能涵盖巴塞尔委员会内控文件所载的全部原则),监管者应当采取适当的行动。
以上五大组成部分与前述三大目标有机地相结合,构成了内控的完整体系。COSO是为各行各业提出这一思路的。尽管巴塞尔委员会的内控原则主要是针对银行业的,国内外的金融和非金融机构在体制结构上也有所区别,我国的企业工作者仍然很有必要适应形势,转变观念,从内控的三大目标出发,去考察本单位上述五大组成部分的各个方面,看是否建立了健全的内控制度,而且,这些制度是否得以认真贯彻实施。审计检查的方法和评价的标准也应当沿着这条思路,按照这个有机结合的整体去设计。
三、关于内部控制与管理的关系
不了解内控与管理的关系,就不可能充分加强内控工作。内审或审计人员在检查监督的过程中,时常发现被查单位的管理层对内控认识比较肤浅,也不甚了解内控与管理、内控与内审是什么关系。有人认为管理就是内控,抓了管理,内控自然就到位了,因而也没有必要特别强调内控。也有人认为内控是内审(稽核)部门的工作,抓内控应该由内审部门牵头。有些内部或外部的审计人员在进行内控检查的时候,也因认识模糊而无从下手。因此,很有必要搞清内控与管理的关系。
1.管理的内涵及其与内控的同异
从广义上讲,管理是管理者确立目标和战略,并通过一定的组织形式、规章制度和操作方法去实现目标的全过程。管理者要执行聘用合同,为公司或银行的所有者的利益确定明确的管理目标,包括全局整体性目标和各项业务活动水平上的目标,然后制定各种战略和实施计划。管理者要以一定的组织形式为依托,以一定的规章制度为依据,采取种种方法去实现既定的目标。管理者有责任控制局面,并解决和纠正在监督检查各项经营管理活动中所发现的问题和错误,包括对有问题责任人的追究和处罚。由于所定的目标和战略计划会对管理单位(如企业)的行为产生影响,管理科学运用科学的原则和分析性方法,研究企业的行为。在发达国家,不论学术界还是实业界都日益重视公司治理结构的研究,以求实现投资者应得的回报。先进正确的管理方法加上计算机的广泛运用,大大促进了管理的合理化和效率。
广义上的管理涵盖比内控更为广泛的内容,并不是所有的管理活动都是内控活动,也并不是说非内控性的管理活动就都不重要了。比如,设定目标的决策就是一种很重要的管理责任,为内控提供了前提条件。在国外,公司的所有者代表(董事会)也要参与甚至领导这种决策。但是,重大目标的最初设定并不是在内控的工作范围之内。同样,许多管理方面的具体决策和一般性活动并不都代表内控。