内部控制系统。古巴的监测程序

当前的工作确定了一个需要解决的问题：在情境化过程中，对于SCI的“监督和监视”部分，每个组织的特定特征的不足之处。具体目标是：拟定一个程序，该程序允许遵守有关SCI监视动作的规定，并且可以使其适应组织的时间，空间和个人环境。

在实施SCI监视过程的程序中指定了研究的科学结果。同时，其实际意义是为组织提供了一种工具，使管理人员可以有效地执行ICS监视过程，以确保ICS在组织中的有效性。

研究的科学新颖性在于，由于对实施内部控制的特定组织的背景，空间，时间和个人特征的考虑，使得监视的相关性成为可能。

该程序在卡马圭地区的公司中应用的积极经验证实了工作成果。

摘要

当前的工作被确定为一个需要解决的问题：在上下文化过程中，每个组织的特殊特征在内部（SCI）控制系统的监督和监视方面均存在不足。具体目标包括以下内容：拟定一个与SCI行动的监视相符合的程序，并且可以使它们适应组织的临时空间和个人环境。

调查的科学结果总结在实施SCI监控过程的程序中。同时，它为组织提供了一种工具，使他/她能够以有效的方式执行SCI的监视过程，以确保SCI在组织中的有效性。

调查的科学新颖性在于，由于考虑了要实施内部控制的特定组织的时间，空间和个人的背景特征，因此监视的相关性成为可能。

在卡马圭地区的公司中应用该程序的积极经验将值得这项工作的结果。

介绍

近年来，由于其作为一种管理工具的实用性，在国际上对组织实施良好的内部控制系统（ICS）的重要性的认识有所提高，因为它可以衡量企业的绩效。效率和生产力的系统化，如果内部控制关注这些组织执行的基本活动以及实现这些目标所依赖的基本活动，则该要求会得到加强。

同样，认识到实施有效的ICS对于组织的重要性，这可以保护组织免受可能威胁实现其目标的风险的显现。因此，例如，在《 COSO报告》（COSO，1992年）中，SCI对组织的重要性得到了说明，因为它可以确保其会计报表，执行信息以及适用的法规和法律对欺诈的可靠性，效率和运营效率，以确保实现目标。

根据《 COSO报告》，内部控制系统（ICS）由五个组成部分组成，这些组成部分以系统的方式相互影响，每个组成部分都为系统的正确功能和稳定性（控制环境，风险评估，控制活动，信息和沟通与监控）。监视组件负责评估SCI随时间的行为。监视的正确应用将限制系统功能的连续性以及每个组件以及监视本身的时间更新。根据COSO报告（2006年），如果不首先实现有效监控的应用，就不可能实现SCI的实施。

审查由不同作者撰写的论文，这些作者因其对控制研究的贡献而受到认可，并在工作书目中所列组织中对涉及内部控制的著作进行了咨询；以及对文件的分析，例如：财政和价格部2003年第297号决议，COSO报告（2006年），第107号法律和CGR第60/11号决议等；允许这项工作的作者得出以下结论：

-该理论没有提供有关SCI组件集成方式的精确答案。

-尽管认识到系统各组成部分之间必须存在协同作用和相互关系对于ICS有效性的重要性，但并未提供有关该过程如何表现自身以及如何在其各组成部分之间进行反馈的具体解释。组件，以及根据环境变化更新和调整SCI。

-在查阅的文献中，没有为内部控制过程的实际发展建立任何指导方针。

-没有描述组织进行SCI监视的方式，也没有描述允许评估SCI有效性的变量和精确指标。

第107/2009号法律“关于古巴共和国总审计长”在其第15章“内部控制系统”第三章中明确指出：“ 受控制行动的机构，机构，组织和实体根据本法的规定，有义务根据其特征，能力和制度属性维持内部控制制度。“

作为对该法律的补充，共和国总检察长办公室（CGR）于2011年3月1日发布了有关内部控制系统（SCI）的第60/11号决议，旨在继续改善该国的内部控制，还确立了其基本原则和一般特征（2011年，第2页）。

为此，《党与革命》的经济和社会政策指南08、11和12（2011年，第11页）确立了管理者在效率，效力和控制方面的责任的必要提升在人员雇用方面，他们管理的物质和财务资源；加上需要经理人的责任，这些经理人的决定，行动或不作为会对经济造成损害；以及通过使信息系统更加合理和对实体及其负责人的道德绩效的要求，增强其内部控制系统，以在遵守其准则方面取得预期结果来减轻外部控制的负担高效地计划，有序，纪律和绝对遵守合法性。

SCI具有被每个组织用作“量身定制的西装”的特征。因此，不能在组织范围内有效实施这一事实构成了一个至关重要的问题，需要解决，这将为实现其目标和完成任务提供合理的保证。

自从实施SCI应用程序以来，该国许多组织一直在努力实施它，但是，在许多组织中，结果与在遵守其组成部分方面的预期结果不符。作为提交人向领土内各组织执行SCI的咨询工作的一部分，发现：

•有必要永久监视ICS和

•对变量和指标没有精确定义，无法评估SCI监视的效率和有效性。

根据理论提供的信息，对事实及其相互关系的观察，现有的经验数据以及作者的实践经验，将SCI的效率和有效性提高是本研究的一个科学问题。在古巴的组织背景下。

调查的目的是定义：内部控制系统；并作为现场：监视组件是Camagüey市各个实体中SCI有效和高效运行的重要组成部分。

作为总体目标：设计一个监控程序，有助于提高在古巴组织环境中应用SCI的效率和效力。

假设：设计和应用SCI监视程序，该程序系统地考虑了组件集成发生的方式以及组织的时间，空间和个人环境的变化，这将促进SCI的实施和运营。相关的内部控制系统。

该调查的基本科学结果在设计内部监控系统的程序中进行了说明，该程序根据古巴公司的具体表现情况而定。同时，这项研究的实际意义在于，它为所研究的组织提供了一种工具，使管理人员更容易有效地理解和执行内部控制系统，同时，对其进行评估并随着时间的推移进行更新，以此作为持续改进的过程。该程序提供旨在指导每个实体的个别情况下的监视实施过程的方法和工具。

通过揭示SCI的监视过程中SCI组件集成的方式，以及由于考虑了上下文，空间，时间和个人特征而使其相关性成为可能，该研究具有了科学的新颖性。执行内部控制的特定组织。

发展历程

根据COSO（2006），SCI的前四个组成部分与内部控制系统的设计和运行有关：控制环境，风险评估，控制活动以及信息和沟通。监视的第五个组件旨在确保内部控制继续有效运行，它负责评估ICS随时间的行为。它的正确应用条件是系统功能的连续性以及每个组件和监视本身的时间更新。根据COSO（2006年），如果不首先实现有效监控，就不可能实现SCI。如果不进行监控，则ICS会变成静态的，不会随着时间的推移而更新，不再是一个系统。监视过程贯穿于组织及其区域的所有过程，除SCI的每个组成部分外，还纠正偏差并提供反馈，从而确保对SCI进行更新和适应。以将环境或控制环境部分视为SCI的基础的方式，并表达了其对于公司的计划和组织的重要性；可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。监视过程贯穿于组织及其区域的所有过程，除SCI的每个组成部分外，还纠正偏差并提供反馈，从而确保对SCI进行更新和适应。以将环境或控制环境部分视为SCI的基础的方式，并表达了其对于公司的计划和组织的重要性；可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。监视过程贯穿于组织及其区域的所有过程，除SCI的每个组成部分外，还纠正偏差并提供反馈，从而确保对SCI进行更新和适应。以将环境或控制环境部分视为SCI的基础的方式，并表达了其对于公司的计划和组织的重要性；可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。以这种方式，确保了其更新和适应新条件。以将环境或控制环境部分视为SCI的基础的方式，并表达了其对于公司的计划和组织的重要性；可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。以这种方式，确保其更新和适应新条件。以将环境或控制环境部分视为SCI的基础的方式，并表达了其对于公司的计划和组织的重要性；可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。可以将监视过程视为引导ICS高效运行的引擎，使其真正成为“ CGR第60/11号决议中所表达的“集成到运营中的过程，着重于持续改进”。

没有ICS可以保证预防和检测所有可能导致无法实现组织目标的控制缺陷。但是，如果设计和执行得当，监控将有助于确保内部控制继续有效运行。监视过程需要正确的计划，以确保管理层所管理信息的可靠性，以便进行决策，并且还必须适当，及时和更新。缺少有效监视以及一个或所有组件发生更改的真实可能性，可能导致ICS停止工作，或者由于未检测到更改而无效。 必须适当设计监视以及时发现此类更改。

当考虑到ICS作为一个整体如何能够管理与不同类型的上下文相关的风险以实现组织目标时，监视将更加有效和高效。相反，如果它不考虑实际风险水平，而是基于流程，程序，法规等列表，仅关注所选控制活动的清单或准则，则效率较低，效率较低。它们代表组织的意义或相对重要性。但是，该国坚持要求将SCI验证指南应用到SCI中，该指南对SCI的有效性进行了主观评估，而不是评估每个组织的SCI，这是一个独特且不可重复的系统。大多数古巴组织并没有根据其情况进行有效的监测，而是根据这些指南对ICS的运作进行了评估，这导致对ICS，其目标和运作的错误解释，导致结果与那些相反。所需的，例如：

-在大多数情况下，这些指南不适合每个特定组织的条件，而是直接应用，这使它们的应用变得复杂，并且需要大量的资源支出，这使得监视效率低下且效率低下的工具。

-许多审计师严格遵守现有准则，而没有考虑每个组织的个人特征，其业务目的和使命，从而导致评估结果与实际不符。一方面，组织根据指南获得了对其SCI的满意评估，因为它们显然遵守了本指南中的问题所衡量的指标，但是它们在实现其目标和业务目的方面却显示出负面结果。另一方面，由于未达到指南中反映的任何指标，因此在管理和实现目标以及业务目标方面取得很好成绩的组织却获得了较差的评估。他们并不表示要实现目标，使命和愿景的风险处于优先地位。

-各级管理人员和官员对核查指南的机械应用导致对点的评估，而不必进行任何类型的测试或审查，这是由于必须进行操作或仓促进行的结果。

-在不考虑指南可能对实现组织的目标和使命的实际影响的情况下，将指南的某些方面排在其他方面之上。

上面提到的缺点要求需要审查组织中内部控制系统的监视过程，并制定程序，以有效，高效地开发过程；它考虑到内部和外部的控制风险，这些风险与实现组织目标的过程，领域和活动的各个方面最相关，这是基于对上下文的考虑。

COSO（2006，2008）和INTOSAI（2001，2004）都开展了有关监测过程问题的研究，认识到该部分对于ICS有效运行的重要性。两者都准备了报告，指南或手册，它们以非常相似的方式描述了监控过程及其特殊性的发展。以这些研究的某些要素为基础，可以从理论上支持组织中实施监视过程的系统阶段。

COSO 2006指南中各组件之间表达的相互关系可以用图形表示（图1），其中监控组件作为评估整个内部控制系统预防或减轻风险能力的过程而呈现。与实现组织目标相关的现有和潜在的。

公司的风险预防包括将策略作为附加目标。本文档中公开的监视概念可以完全应用于监视该策略的内部控制。

图1.开发监控过程的模型。（资料来源：《 2008年COSO指南》）

这样，监控并非旨在确保内部控制组件单独运行并独立运行的有效性，而是致力于内部控制作为系统的功能，也就是说，其所有组件均以相互关联的方式运行，并在系统中进行表示。每个时间取决于系统的目标。

监控过程的这种表示方式表明，在有效的控制环境（2）的背景下，内部控制是针对一种或多种已确定的影响组织目标实现的风险而开发的（1），与组织过程有关的控制（3）以及正确的信息和沟通（4）。

考虑到上述情况，可以考虑执行监视过程，例如：

建立基础的过程，设计和实施监视过程，为此，它使用与空间，结局和个人环境有关的信息，以及ICS其他组件中指定的信息。

监视过程的实施构成一个系统，其组件与所引用过程的各个阶段一致。他们是：

1.建立监视过程的基础。

2.设计监视过程。

3.实施监控过程。

这些要素：基础的建立，监控的设计和实施，被认为是各个阶段，因为它们构成了灵活，多变的实时流程。将这样的元素考虑为相位可以强调它们之间的关系不是以单向，直线或顺序的方式发生的。相反，它们可以共存，多方向相互关联，并且每个组件的组件都可以存在于其他组件中。在不断发展，危机，挫折和进步中，这些阶段被永久地重复，螺旋地插入。（图2）

图2.监视过程实施系统的元素。

为了保证上述各阶段的整合所产生的质量是适当的，因此是有效的监测过程，有必要保证上述过程与监测工作环境之间的适当关系，该关系由其余的SCI组件。

这些阶段中的每一个阶段都由元素组成，这些元素允许根据上一阶段的结果来进行这些阶段的开发以及从一个阶段到下一个阶段的连续性：

在组织中实施监视程序是通过一个过程进行的，该过程包括四个阶段，这些阶段合并结果并最终了解组织中设计的控件，其SCI和所述系统的更新和持续改进。该设计以图表形式（见图3）表示，可以从整体上观察每个阶段的特征。

图3. ICS监视过程实施过程的各个阶段。

图3中表示的元素构成了每个阶段的一部分，构成了组织中实施SCI监视过程中要遵循的步骤。对于这些步骤中的每一个，都指定了目标，所需信息，执行这些目标的方法论指示和输出。

阶段1：建立监视基础。

这个阶段意味着要执行四个基本操作，它们是：高级管理层认识到需要监视SCI；内部控制发生的环境的准确性；确定过程的组织结构并建立SCI有效性的基础。

高级管理层认识到需要监视SCI。这意味着组织的管理者内部化，理解，区分监视的内容，并接受，理解和认识到为实现组织的目标而应用该监视的需求。

内部控制发生的环境的准确性

请记住，监视必须确保SCI的相关性，因此，在建立SCI的基础时，必须考虑到发生这种系统的环境，这一点至关重要。

确定过程的组织结构。

主任主要负责组织ICS的有效性。管理者制定系统并确保其继续有效运行。管理团队最终负责确定管理层是否有效实施了内部控制（包括监控）。这项责任的归属是基于管理团队对组织所面临的风险以及高级管理层如何管理或减轻对组织目标重要的风险的了解。

建立SCI有效性的基础。

外部环境的变化或控制功能的方式变化，为实现组织目标创造了风险，如果SCI无法系统地认识到目标，则可能会失去有效性。法律和法规，客户需求和新产品线的变化是外部环境中某些事件的示例，如果SCI停止，这些事件可能会对实现目标产生新的风险认识他们并做出适当反应。同样，现有控件的操作中未被识别或管理不当的更改（例如，您的操作，流程和技术的新手）可能会使ICS失效。

内部控制的有效性取决于定义和执行以下四个基本要素的质量：

-按键控制。

-识别变化

-变革管理

-重新验证控件。

阶段2：设计监视过程。

所有有效的监视都是该监视的经济可行设计的结果，该监视通过评估信息来评估对可能影响组织目标实现的最重大风险的控制措施的运行。真实地了解组织的流程。

要设计合理保证ICS有效性的监控，必须明确：要监控的控件，要使用的监控程序以及使用频率。监视设计过程由图4中表示的四个动作组成。

图4.-用于监视过程设计的动作。

-审查和更新风险评估。

监控过程的设计始于对影响组织目标实现的最重要风险的评估进行审查和更新。这是基于这样一个事实，即监控过程的质量在很大程度上取决于先前进行的风险评估的有效性。

-识别关键控制。

在管理整个组织中的风险时，对于风险管理至关重要的控制对于基部业务部门主管而言很重要，而对于高层管理人员而言，该控制措施可能并不是关键。目的是确定在受到监控时将提供ICS有效性必要水平的控制。关键控制对于监控以证实ICS有效运行的能力而言是最重要的。

-真实信息的识别。

一旦确定了关键控制，就必须确定真实的信息，以证实它们是否已实施以及是否正在为设计目的工作。识别此信息意味着知道如何发生控制故障以及哪些信息将准确确定控制系统是否正常工作。

在这种情况下，准确的信息既适当又充分，并且为测试人员提供了有关ICS在特定风险领域的持续有效性的合理但不一定强大的基础。为了适当，信息必须是相关的，可靠的和及时的。足够是信息量的度量（例如，测试人员是否具有足够数量的适当信息）。

阶段3：实施监控流程。

为了执行监视过程，重要的是整个组织应全力以赴有效地执行ICS的这一部分。正是在这个时候，实体的管理层发挥最大的影响力来实现监视过程所设定的目标，采取适当的行动，与组织的其他成员互动，明确说明其目标并提高过程的重要性。管理层必须建立必要的指导或操作程序，以进行评估和实现过程的有效性。，确定将在每个步骤中执行监视过程的方式，负责组织及其活动中监视过程的人员，书面告知其职能以及对表演。

设计监控过程。

一旦风险评估，选定的关键控制以及所识别出的真实信息得到审查和更新，组织就可以设计必要的监视程序，以评估ICS管理或减轻风险能力的有效性。确定。监控涉及使用程序进行永久监控活动和/或进行特定评估，以收集和分析真实信息，以通过五个组成部分支持有关内部控制有效性的结论。

在正常的操作活动中会开发使用直接和间接信息的永久监视活动，并在组织中重复进行。它们包括定期的管理和控制活动，使用内部和外部数据进行的相似度比较和趋势分析，对帐以及其他常规操作。它们还可以包括自动化工具，以电子方式监控控件和/或交易。由于它们是定期执行的，因此永久的实时监视程序通常可以提供识别和纠正控制缺陷的第一个机会。

现场评估可以采用与正在进行的监视活动相同的技术，但是旨在定期评估控制，并且与组织的日常运营没有关联。

一次性评估通常由不直接负责将要监控的控件的人员执行。同样，与永久性监视活动的程序（通常由不太客观的人员执行）相比，它们可以提供对控制有效性的更客观的分析。现场评估还可以提供有关正在进行的监视活动程序的有效性的有价值的定期反馈。

结合使用永久监视活动和特定评估，可以为组织提供更大的ICS有效性保证。永久的监控活动为管理层提供了有关控制有效性的每日主要支持，而及时的评估则可以提供定期确认。当在永久监视活动的过程中使用的信息准确时，这种组合最有效。

许多因素都会影响组织监视的类型，时间和范围。需要特别提及的两个因素是：组织的规模和复杂性。执行评估的方式必须适应组织的特征。

组织的规模会影响监控的设计和进行。在大多数大型组织中，高级管理层和管理团队都没有接近执行许多控制措施。因此，它们通常依赖于其他人员在其他管理级别上执行的监视程序。这些程序是在日常工作中通过在组织各个级别上进行的永久性监视活动制定的，通常，通过由其他实体执行的受限内部或外部审核职能进行的特定评估，这些程序将得到增强。这些定期评估提供了组织较低级别的监视系统有效运行的必要证据。

另一方面，在较小的组织中，在管理级别进行监视非常接近于风险及其相关的控制，从而为测试人员提供了有关控制操作的更多隐性知识。在最小的组织中进行监视与在大型组织中进行较低级别的监视非常相似。主要区别在于较小的测试人员对直接控制的工作方式具有更多的隐性知识。关于内部控制操作的隐性知识的增加，与规模较大的组织（测试人员远离控件的操作）相比，它可能允许规模较小的组织中的测试人员通过较少的监视来支持其控制结论。

复杂程度通常与风险程度相关。因此，在组织复杂性较高的领域，将需要使用直接信息进行更深入的评估。相反，在复杂性较小的地区，使用间接信息的永久性监视活动以及通过使用直接信息的特定评估进行的定期确认可能是适当的。

一些组织比其他组织复杂。影响复杂性的因素包括行业特征，法规要求，产品或服务类别，集中或分散级别，使用先进技术等。在组织中，复杂程度也可能因地区而异，因此，基于复杂性进行监视的适应性要比基于维度更难应用于整个组织。

评估SCI的有效性。

为了评估ICS运作的有效性，文献中认识到两个基本方面：有效性和效率。

通常，在实体中，有效性被视为活动和行动的完成，而没有考虑有效性确实衡量了预期效果的程度。功效是达到预期效果的程度或百分比，如果我们用一个简单的数学方程式对其进行分析，则在分子中，我们将具有达到预期效果的正例数，而在分母中，则是尝试次数。那么，我们不能肯定的是，当目标和目的仅涉及行动或活动的执行时，SCI仅在目标实现时才有效。SCI的有效性必须通过指标来衡量，该指标由其创建目的的正确功能决定。

一旦进行了监视，就必须建立每个缺陷与ICS组件之间的联系，这些缺陷在多大程度上可以影响组织实现其目标的脆弱性水平。

如果在执行外部或内部审核期间发现与实现组织目标有关的风险相关的缺陷，并且这些缺陷影响了ICS的多个组成部分，并且位于一个或多个关键领域或流程中，如果组织没有实现目标，而组织又没有准备好面对这些目标，那么ICS将无法有效地管理那些领域或组织中的风险，具体取决于所发现缺陷的严重程度。同样，如果发现了与实现组织目标相关的风险相关的若干缺陷，或者发生了可能影响组织目标实现的变化，但实体未考虑到这些缺陷，组织中的ICS无法有效工作。

如果通过监视和操作其五个组成部分的过程总体上运行SCI的成本高于它必须管理的风险成本，则SCI无法有效运行。

SCI更新

监视过程随着SCI的更新而达到高潮，它适应于持续改进过程的方法原理。一旦定义了缺陷并与ICS组件和标准相关联，就可以升级系统。在SCI监视过程中检测到的缺陷必须与组件有关，并且必须确定相关组件的损坏或不符合程度，例如，检测到的缺陷与缺少文档，政策，法规等有关。，则它们将涉及控制环境组件，控制活动以及信息和通信，而对它们的更正将导致SCI的更新。

结论与建议

-该程序应用的积极经验证实，可以利用其他方式来实现ICS的有效运行，同时可以有效利用资源，并可以有效地验证和更新其组件。此外，管理人员和组织的其他成员可以更好地了解ICS的运作方式，以及如何在实施ICS的过程中合理保证目标的实现，激励他们并鼓励他们继续努力。同时，它打破了基于SCI组织中根植的复杂性，官僚主义和“繁文created节”的形象。

-所描述的过程是相关的，因为它考虑了实施内部控制的特定组织的空间，结局和个人背景特征，这一问题到目前为止尚未解决。

-通过所描述的过程，确定了在古巴组织中进行的工作，以使SCI系统地工作，并以实用的方式执行其作为系统的实施，该系统会随着时间的推移而更新并适应新的条件。在环境中发生的变化。

-如过程中所述确定度量指标，可以在实践中评估组织中SCI的有效性。

-概括工作的应用，进行适当的调整，以便在概括所获得的结果的同时，可以在需要它的方面进行改进。

-通过对管理人员的改进措施及其对SCI的保留意见，促进对此问题的研究和讨论。

参考书目

1.特雷德韦委员会赞助组织委员会。关于监控内部控制系统的指南2008。内部控制-COSO集成框架。

2.特雷德韦委员会赞助组织委员会。财务报告内部控制-小型上市公司指南（COSO的2009年指南）。2009年

3.特雷德韦委员会赞助组织委员会。内部控制。COSO报告。第四版。翻译塞缪尔·阿尔贝托·曼蒂拉B.大学教材。ECOE版本。波哥大特区2005年4月。

4.内部控制：提供政府问责制的基础。政府组织管理人员内部控制简介。国际最高审计机构组织（INTOSAI）内部控制标准委员会，2001年。

5.陆军上将劳尔·卡斯特罗·鲁兹1日在国民议会第七届议会第七次常会期间的讲话。2011年8月。

6.古巴的内部控制。商业现实。链接到审核。作者：Elvira Armada Trabas博士。第六届国家审计与控制研讨会。2005年11月。