《CIA科1-第二部分——A章节——控制类型》由会员分享,可在线阅读,更多相关《CIA科1-第二部分——A章节——控制类型(12页珍藏版)》请在金锄头文库上搜索。
1、精选优质文档-倾情为你奉上第二部分A章节控制类型第01讲内部控制、风险和治理主要内容:A1 内部控制的定义A2 控制的类型A 内部控制、风险和治理内部控制和风险管理是良好的公司治理极为重要的组成部分。良好的公司治理意味着董事会必须对企业的所有风险加以识别和管理。就风险管理而言,内部控制系统涉及运营、财务、遵守法律法规及资产安全等方面。控制权是公司治理的基础,公司治理是控制权的实现。“监督”和“控制”是公司治理程序中的核心内容。这时,如何构造公司权力机关,建立公司内部各利益主体相互制约、相互控制的制衡机制,公司所有者如何监督和控制公司经营者的运作,以实现自身目标(如资产的保值、增值等),达到自身
2、利益的最大化,便是公司治理程序需要解决的问题。公司治理程序的建立首先是以防止经营者对所有者利益的背离、保护所有者的权益为目的,公司治理程序反映公司所有者对经营者的一种监督和控制机制。然而,站在更广泛的角度上看,公司治理程序界定的不仅仅是公司所有者与经营者之间的关系,而且包括公司与所有利益相关者(如公司员工、供应商、客户、债权人等)之间的关系,公司治理程序作为一种制度安排,决定公司为谁服务,由谁控制,风险和利益如何在各利益相关者之间分配等一系列的问题。有效的治理活动在设定战略时会考虑到风险,反之,风险管理依赖于有效的治理(比如,高层基调、风险偏好和容忍度、风险文化、对风险管理的监管)有效的治理有
3、赖于内部控制以及将内部控制有效性向董事会沟通。控制和风险也是相互关联的,控制是管理层、董事会以及其他当事方为管理风险,增加既定目标实现的可能性而采取的各种行动。风险能够阻碍管理者和组织实现其经营目标,在极端情况下甚至能够摧毁组织。风险管理已迅速成为组织和内部审计职业发展的驱动因素,也就是标准中要求的内部审计要覆盖风险管理活动。公司治理指的是对公司的统治和支配,它决定运营的目标和方向。根据标准中的定义,治理是指董事会实施的各种流程和架构的组合,用以告知、指导、管理和监督组织的活动,以实现组织目标。治理程序则指组织的投资人代表(例如股东等)所遵循的程序,旨在对管理层执行的风险和控制过程加以监督。与
4、公司治理相关的主要关系人包括:股东、董事会、由总经理领导的经理人员、公司员工、供应商、客户、债权人、政府和社区在内的其他利益相关者。公司治理就是要研究这些利益相关者的权利、责任及其互相关系。对公司治理的内部审计内部审计在公司治理中得到了不断的发展。公司治理在全世界很多地方都得到了发展,内部审计角色变化只是发展中的一部分。在与内部审计相关的公司治理实务中,董事会的运作是核心内容。董事会负责公司战略计划的制定和实施,开展风险管理活动,坚持公司道德和价值取向,衡量和监控公司的业绩,评价、任命和撤换管理层等方面的工作。有效的董事会处在公司的中心位置开展运作,积极而恰当地参与公司的各项管理工作,为管理层
5、提供一切必要的帮助,为实现公司价值和股东价值的不断增加开展工作。通常组织应采取各种法律形式、结构、战略和程序,以确保组织自身:-遵守社会的法律和规章制度;-满足商业惯例、道德观念以及社会期望;-有益于全社会,并增强特定利益相关方的长期和短期利益;-全面真实地向所有者、监管人员、其他利益相关方和公众提供报告,确保履行其决定、行为、行动和业绩的责任。IIA的实务公告说明,组织选择上述四种履行责任的方式一般被称为治理过程。任何有助于完成这些职责的内部审计活动,实际上就是改善了治理过程。世界上不同地区的组织在公司治理程度上处于不同阶段,并由于文化、法律的不同而有着不同的运作模式。内部审计师应该有意考虑
6、组织治理运作和要求,并定义内部审计在确认良好治理实务方面如何能最大地影响组织。一般来说,内部审计师要对组织治理过程设计和运行的有效性提供独立、客观的评估;还可以提供咨询服务,为改进治理过程提出建议。在某些情况下,可以要求内部审计师协助董事会开展治理实务自我评估。IIA的标准对内部审计在治理中发挥的作用提出要求:内部审计活动必须评价并提出适当的改进建议,以改善组织为实现下列目标的治理过程:-在组织内部推广适当的道德和价值观;-确保整个组织开展有效的业绩管理、建立有效的问责机制;-向组织内部有关方面通报风险和控制信息;-协调董事会、外部审计师、内部审计师和管理层之间的工作和信息沟通。也就说内部审计
7、在完成上述四个特定目标过程中,必须帮助组织完成公司治理的职责,必须保证在这四个方面遵守标准。内部审计评价IT治理内部审计活动必须评估组织的信息技术治理是否持续支持组织的战略和目标,信息技术治理包括确保企业的信息技术支持组织战略和目标的领导能力、组织架构和相关流程,这是2009年生效的标准中新增的一项内部审计关注IT治理方面的任务,为内部审计在确定如何评价组织的IT治理是否维护和支持组织的战略和目标以及执行这个角色的过程提出了一项特殊挑战。内部审计开始评估IT治理,包括:-审查IT的战略规划,包括确定对于IT的使命和愿景是否有一个清晰的定义、IT的使命和愿景是否与公司保持一致、现行的IT战略规划
8、以及这项规划确定的IT主要行动和所需资源(适当的人力和财力);审查IT的战术计划,包括使用的项目管理方法、实行的项目管理控制工具、项目各个阶段对IT和业务人员的整合、大项目管理方法的变化、明确界定项目预期收益、项目范围和交付进度;-审查交付过程,包括现行的运行控制、发展和修订过程、项目管理流程、实际收益与预期收益的比较分析、规定的交付时间和实际完成时间的对比分析、实施后的审查、意见反馈以及客户满意度分析等。-审查应用程序开发的方法、实践和控制,包括应用程序开发方法的质量、用来估算项目规模和进展的度量方法以及测试技术;-审查现有系统的管理过程,包括商业战略规划流程的政策、高层管理者制定、沟通、执
9、行和监督政策遵循性的过程,高层管理者对现有系统中风险进行识别、分类和排序的程序和框架以及定期的审査;-审査管理层对投入IT的资源是否得到高效利用的评估程序。值得注意的是,在存在已知控制问题或治理过程不完善的情况下,首席审计执行官可以考虑用咨询服务替代正式的评估,以此改进控制或治理过程。内部审计对治理过程进行评估,很可能要以长期以来审计工作中获取的信息为基础。内部审计师应当考虑以下方面:-对具体的治理过程实施审计的结果(例如,对举报过程、战略管理过程实施的审计);-不是治理审计中发现的治理问题(例如,风险管理过程审计、财务报告内部控制审计、舞弊风险审计中发现的治理问题;-其他的内部和外部的确认服
10、务提供者的工作成果(例如,法律顾问聘用律师事务所对调查过程进行审核等);-关于治理问题的其他信息(例如,不利事件可能表明治理过程存在改进机会)。总之,内部审计活动是治理过程必不可少的组成部分。董事会和高级管理层应当能够依靠内部审计活动的质量保证和改进程序,结合依据标准实施的外部质量评估,保证内部审计活动的效果。内部审计了解公司治理知识内部审计必须评价并提出适当的改进建议,以改善组织治理过程,为此内部审计需要了解公司治理的基本框架和公司治理原则等相关知识,以此作为评价标准开展工作。公司治理的基本框架经济合作与发展组织理事会于1999年5月通过了OECD公司治理结构原则,其基本内容如下:-治理结构
11、框架应保护股东权利;-治理结构框架应确保所有股东,包括小股东受到平等待遇,如果他们的权利受到损害,他们将有机会得到有效补偿;-公司治理框架应确认利益相关者的合法权利,并且鼓励公司和利益相关者在创造效益和工作机会以及为保持企业良好财务状况方面积极地进行合作;-公司治理框架应保证及时准确地披露与公司有关的任何重大问题,包括财务状况、经营状况、所有权状况和公司治理状况的信息;-公司治理结构框架应确保董事会对公司的战略性指导和对管理人员的有效监督,并确保董事会对公司和股东负责。公司治理程序规定和安排公司内部各权力机关(例如,股东大会、董事会、管理层等)的权力、职能和责任,并明确它们之间的关系,形成公司
12、各权力机关之间相互监督、相互控制的有效的制衡机制;同时设计一个激励和约束机制,从而监督和控制经营者的代理行为,使之为保障和实现公司出资者和其他利益相关者的合法权益而努力工作;最后,还要构建一个包括工作报告制度、信息披露制度在内的信息系统,使重大信息在公司各利益主体之间准确、及时的传递,以保证公司治理程序的有效性。公司治理程序体现了以股东即公司所有者为主的相关利益者对公司经营者的经营管理活动的激励、约束和控制。站在公司内部经营管理的角度,公司治理程序主要表现为两个方面:-公司治理程序首先表现为公司权力机构、决策机构、执行机构三者之间的分立制衡关系。股东大会作为公司最高权力机构,主要行使包括负责制
13、定公司章程在内的重大事项的决定权;董事会作为决策机构,受全体股东的委托,具体制定和执行公司的战略决策,并受托于股东大会去监督和控制公司的管理层;高级管理层为公司决策的执行机构,依照公司章程和董事会的授权行使职责,并接受董事会的评判和监督。-公司治理程序不仅仅存在于公司的最高层,而且是分布在公司行政体系的每一个层次。这时,公司治理程序主要通过内部控制制度进行构建。在总公司和分公司之间、总经理和部门经理之间、主管和职员之间,甚至在最基层的单位(如班组)都存在着特定的委托代理关系。当所有者将财产委托给经营者经营后,经营者必须将这些财产分层委托给公司内各层次上的人员去实际占用、管理和运用,这时,所有者
14、与经营者之间的委托代理关系延伸成为公司内部各个分权层次上的委托代理关系。由于经营者和公司内部各分权层次都具有独立的目标和利益,他们之间不可避免地会产生代理问题。内部控制制度实际上是所有者对经营者的激励约束机制在公司内部的进一步延伸,通过内部控制制度来建立公司执行层和运行层的内部治理程序。除此之外,根据全球实务的发展趋势,作为构建公司治理的最佳实务框架The KingReport on Corporate Governance,本书将在“可选择的控制框架”内容里详细介绍。公司治理原则IIA 2006年发布的公司治理:内部审计指南指出:公司治理像一个“母体”,公司治理的规范能够确保组织贯彻诚信、开
15、放、尽职等理念。一个有效的公司治理程序通常包含了下列具体的治理原则:-确保合理的董事会成员数量,恰当的董事会组织结构,固定的会议机制,对组织内部的重大事项具有独立、正确的判断;-确保董事会成员具备相应的资格与经验,明确自身在治理活动中的工作职责,熟悉组织运营,对事件具有独立、客观的判断能力;-确保董事会拥有充足的授权、资金和管理资源去开展独立的调査;-董事会和髙级管理层应了解组织的运营架构,包括在透明度不高的架构下开展业务;-建立能够有效评估实现经营战略的组织架构;-建立支持关键活动运行的组织治理政策;-设置和加强清晰的贯穿组织内部的权利和义务关系;-确保董事会、管理层、外部和内部审计师以及其他监督机构之间的有效互动;-通过建立和实施一系列强有力的内部控制来确保管理层恰当的监督职能;-确保组织形成高级管理层与组织价值观、目标、战略、控制环境相关联的薪酬政策与机制,鼓励恰当的行为;-创造允许员工提出意见而免于受到打击报复的环境,有关潜在的利益冲突能够被监督并被调查,沟通并强化组织内部的道德文化、企业价值观,以及形成“最高基调(最佳行为规范)”;-有效使用内部审计师,保证内部审计师的独立性,确保审计资源、工作范围的充分性,并保证审计业务执
