《内部控制评价》word版.docx
《《内部控制评价》word版.docx》由会员分享,可在线阅读,更多相关《《内部控制评价》word版.docx(7页珍藏版)》请在冰豆网上搜索。
《内部控制评价》word版
内部控制评价
内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。
对于这一定义,可从以下三个角度进行理解。
(一)内部控制评价的主体是董事会或类似权力机构
内部控制评价的主体是董事会或类似的权力机构,是指董事会或类似的权力机构是内部控制设计和运行的责任主体。
董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责,并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作,但董事会仍对内部控制评价承担最终的责任,对内部控制评价报告的真实性负责。
对内部控制的设计和运行的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式,董事会可以聘请会计师事务所对其内部控制的有效性进行审计,但其承担的责任不能因此减轻或消除。
(二)内部控制评价的对象是内部控制的有效性
内部控制评价的对象是内部控制的有效性,所谓内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。
从控制过程角度,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。
内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。
内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。
其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
评价内部控制设计的有效性,可以考虑以下三个方面,一是内部控制的设计是否做到以内部控制的基本原理为前提,以《企业内部控制基本规范》及其配套指引为依据;二是内部控制的设计是否覆盖了所有关键的业务与环节,对董事会、监事会、经理层和员工具有普遍的约束力;三是内部控制的设计是否与企业自身的经营特点、业务模式以及风险管理要求相匹配。
评价内部控制运行的有效性,也可以从三个方面进行考察,一是相关控制在评价期内是如何运行的;二是相关控制是否得到了持续一致的运行;三是实施控制的人员是否具备必要的权限和能力。
需要说明的是,由于受内部控制固有局限(如评价人员的职业判断、成本效益原则)的影响,内部控制评价只能为内部控制目标的实现提供合理保证,而不能提供绝对保证。
(三)内部控制评价是一个过程
内部控制评价是一个过程,是指内部控制评价要遵照一定的流程来进行。
内部控制评价工作不是一蹴而就的,它是一个涵盖计划、实施、编报等多个阶段、包含多个步骤的动态过程。
编辑本段内容
内部控制评价的对象是内部控制的有效性,而内部控制的有效性,是企业建立与实施内部控制对实现控制目标提供合理保证的程度。
内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。
因此,内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。
具体地说,内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。
1.内部环境评价。
企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据。
其中,组织架构评价可以重点从组织架构的设计和运行等方面进行;发展战略评价可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
2.风险评估评价。
企业组织开展风险评估评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
3.控制活动评价。
企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
4.信息与沟通评价。
企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
5.内部监督评价。
企业组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对于内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
具体的内部控制评价内容可通过设计内部控制评价指标体系来确定,评价指标是对内部控制要素的进一步细化,评价指标可以有多个层级,大体可分为核心评价指标和具体评价指标两大类,企业可根据其实际情况进行细分。
具体的评价内容确定之后,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、评价指标、评价标准、评价和测试的方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
工作底稿可以是通过一系列评价表格加以实现,通过对每个要素核心指标的分别分解、评价,最终汇总出评价结果。
编辑本段原则
企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。
评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。
评价工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
(三)客观性原则。
评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
编辑本段方法
从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。
一、详细评价法
在《企业内部控制——整合框架》中,COSO指出,确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断,这些要素也是有效内部控制的标准。
COSO还指出,认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断,构成要素也是判定企业风险管理有效性的标准。
在美国
证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC,2003)以及后来发布的管理层评价指南中,都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。
因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。
这种方法的基本思路是:
以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大漏洞(materialweaknesses,MW),确定内部控制是否有效。
二、风险基础评价法
企业内部控制的另一种思路和方法不是从控制到风险,而是从风险到控制,即从内部控制相关目标实现的风险到内部控制。
首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。
对于不同的目标来说,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。
《企业内部控制评价指引》第十五条规定,内部控制评价工作组对被评价单位进行现场测试时,可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访问法
个别访问法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。
访问前应根据内部控制评价需求形成访谈提纲,撰写访问纪要,记录访问的内容。
为了保证访谈结果的真实性,应尽量访谈不同岗位的人员以获得更可靠的证据。
如分别访问人力资源部主管和基层员工,公司是否建立了员工培训长效机制,培训是否能满足员工和业务岗位需要?
2.调查问卷法
调查问卷法主要用于企业层面评价。
调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。
比如你对企业的核心价值观是否认同?
你对企业未来的发展是否有信心?
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。
如针对销售交易,选取一批订单,追踪从订单处理一-核准信用状况及赊销条款一-填写订单并准备发货一-编制货运单据一-订单运送/递送追踪至客户或由客户提货-一开具销售发票一-复核发票的准确性并邮寄/送至客户一-生成销售明细账一-汇总销售明细账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。
4.抽样法
抽样法分为随机抽样和其他抽样。
随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
使用抽样法时首先要确定样本库的完整性,即样本库应包含符合控制测试的所有样本;其次要确定所抽取样本的充分性,即样本的数量应当能检验所测试的控制点的有效性;最后要确定所抽取样本的适当性,即获取的证据应当与所测试控制点的设计和运行相关,并能可靠地反映控制的实际运行情况。
5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。
如实地盘点某种存货。
6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。
数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
比如针对具体客户的应收账款周转率进行横向或纵向比较,分析存在异常的应收客户款,进而对这些客户的赊销管理控制进行检查。
7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制管理部门组织召开专题讨论会议,综合
升级会员 