Five Components of Internal Controls
Besides the three objectives, The COSO report also covers the five interconnected factors that constitute internal controls systems, which are control environment, risk assessment, control activities, information and communication and monitoring.
(一)控制環境
COSO報告除了三大目標之外還提出了組成內部控制制度、彼此互相關聯的五大要素,分別是控制環境(control environment)、風險評估(risk assessment)、控制活動(control activities)、資訊與溝通(information and communication)及監督(monitoring)。
內部控制制度既然是在一家企業內被執行,那麼這控制環境當然就是指這家企業本身,但是這環境不是在說這家企業的內部裝潢是否富麗堂皇、有沒有設置無線網路等硬體設備,換句話說,控制環境所注重的是這家企業內部的「氣氛」如何,員工都是在一種什麼樣的氛圍下從事他們手上的工作。比如說,如果公司高層將「誠信經營」作為最高準則,員工在耳濡目染的情況下發生弊案的機會就比較低;而當高層都想盡辦法、不擇手段的獲取自身的利益時,又要如何期待員工奉公守法的執行職務?
控制環境是塑造組織文化、影響員工執行控制制度成效的綜合因素。員工的操守、價值觀及能力、經營者的經營風格及管理哲學、董事會及監察人的關注及指導都是影響控制環境的因素,這些因素共同作用而形成了公司內部的控制環境。控制環境的良窳會影響企業經營者的其他內部控制活動,所以也是其他四大要素的基礎。
(二)風險評估
企業經營者必須面對各種商業上的風險,這些風險可能出自外部因素的改變,像是原料物價格提升、競爭對手的行動、政府的法令規範改變等;企業內部存在的潛在風險則有可能為決策錯誤、不當的會計處理或不實財務資訊、員工素質不佳、監督系統失靈等。這些風險的存在可能使企業獲利的目標無法達成,所以企業經營者有必要分析、認識有哪些可能的風險,並且對之採取防範方法。具體一點來說,內部控制就是一種風險評估、管理、控制的過程。
(三)控制活動
企業於評估可能會發生的風險之後,下一個步驟就是去控制風險,比如說事先避免風險的發生,縱然無法避免也要盡可能的降低風險發生後對企業本身所造成的損害。這些企業用來避免風險、降低損害的各種過程方法,就是控制活動。
控制活動出現在組織中的各個層級,會以不同的面貌呈現,諸如上級的批准、認可、授權、調節、覆核、營運表現的事後檢討、資產資訊的保護以及責任區隔等。這些方法或是企業內部的各種營運流程的建立都是控制活動的一環。
(四)資訊與溝通
相較於控制環境是內部控制制度其他四要素的基礎,資訊與溝通則是貫穿整個內部控制制度的骨幹,可以說是五個要素裡面最重要的一個。到底資訊與溝通在企業營運當中扮演什麼角色?
企業要做出任何的決策之前,都必須分析研究各種可能取得的資訊。這些資訊可能來自於企業內部,像是企業的銷售統計、財務報表;也可能是來自於企業外部,像是市場喜好、原物料價格波動。資訊的內容五花八門,可以是財務方面或是非關財務方面(企業營運、法令遵循或其他)。不論資訊的來源是內部或外部,內容是關於財務還是其他方面,資訊越充分就越容易做出正確的決策。除此之外,企業也必須因應各國法規的要求將自身的財務資訊對外揭露,當然,這些資訊必須是正確無誤的,這是企業資訊的另一個重要用途。 資訊本身必須被有效的利用才能發揮功能,此時就需要有資訊的流通、傳遞,也就是需要有溝通,企業內部由上到下需要有溝通,如此一來管理階層的企業管理、營運或是內部控制策略才能徹底被執行;企業基層到管理階層由下到上的溝通管道也必須通暢,管理階層才能適時的對第一線情況予以掌握;企業中的各部門、單位間也必須有橫向的溝通,處理各種業務才會更有效率;企業跟外界團體的溝通也不能少,與客戶、供應商、股東、政府等都溝通都關係者企業的未來。
資訊與溝通必須充份且適當,內部控制才有良好的成效,如果資訊與溝通不充足,不適當,那麼就會產生決策錯誤、弊案防不勝防的危機。除此之外,資訊與溝通其實是五大要件中最為重要的一樣個要件,容後說明。
(五)資訊與溝通
內部控制的監督,就是不時的對原本的內部控制制度做評估。諸如,了解企業的控制環境好不好,員工對於工作的態度如何?對於各種風險有沒有及時的發現、分析以及控制?企業內部的控制作業有沒有被徹底執行?資訊系統的紀錄、管理正確、適當嗎?內部同仁之間的溝通暢通無阻嗎?
內部控制制度是企業經營者掌控企業整體營運流程的方法之一,但是內部控制制度本身的成效一樣需要隨時被評估,一旦外部或內部的情況有改變,如企業目標、作業流程的改變可能使本來的內部控制作業不符合需求,當然內部控制制度也必須做出應變,才能發揮其應有的功能。