公司內控制度測試評價
A. 企業內部控制怎樣評價
內部控制檢查與評價業務流程
1. 目標
通過規范內部控制的檢查與評價工作流程,確保檢查評價工作按規定程序和適當授權進行,實現預期目標;確保檢查評價工作的方法和標准一致,減少檢查評價工作的隨意性;確保集團公司和企業在年度財務決算中恰當披露內部控制制度執行情況,符合國家有關法律法規和外部監管機構的要求,並促進各項內部控制制度的不斷改進、完善和嚴格執行。
2. 風險
由於檢查與評價工作流程設計不合理或控制不當,可能導致對內部控制制度及執行情況評價不恰當;可能導致各項內部控制制度的檢查評價工作存在隨意性;可能導致年度財務決算對內部控制制度的執行情況對外披露的信息失當而受到外部監管機構的處罰。
3. 工作流程步驟與控制點
3.1 成立和確定檢查評價領導小組和工作組
★3.1.1 企業(或總部)應當成立內部控制檢查評價工作領導小組(以下簡稱「檢評領導小組」),組長由主要負責人擔任,副組長由總會計師/分管財務領導擔任,成員由財務、審計、人事、監察、銷售、采購等部門的主要負責人組成。
★3.1.2 檢評領導小組應當根據實際情況,按照成本和效益原則,確定或組建內部控制檢查評價工作組(以下簡稱「檢評組」)。檢評組可以設在(或授權)財務或審計部門,也可另行組成由財務、審計、人事、監察等有關部門相關人員參加的檢評組,組長可由審計部門負責人擔任。
3.2 制定檢查評價工作計劃
3.2.1 檢評組每年年初根據本流程規定和檢評領導小組的要求,編制內部會計控制檢查評價工作計劃,具體明確各類業務定期抽查的時間(按季或半年或年進行抽查)、抽查樣本量的比例(5%~15%)以及隨機抽查的方法,明確檢查人員的分工和各有關部門的配合責任,以及完成檢評工作的時間目標和要求。
★3.2.2 檢評組將檢評工作計劃報總會計師/分管財務領導審閱後,提交檢評領導小組審定。
3.3 實施檢查和計算得分
3.3.1 檢評組人員根據工作計劃,按規定的抽樣比例和方法,隨機抽取各類業務的樣本。同時依據各自的分工,對所抽取的業務樣本控制點,按照規范的業務流程表中控制點和不相容職務/崗位分離及授權等要求,實施符合性測試。
★3.3.2 檢評組人員將檢查測試情況按每筆業務逐筆如實進行記錄(包括抽查時間、抽查方法、抽查的具體業務合同或憑證編號、檢查測試得分結果等),建立檢查評價工作底稿,簽字後交檢評組負責人或其授權人員審核簽字。
3.3.3 對檢查測試中發現控制點缺失或控制點雖然存在但未按規定實施控制的,一律按扣減法扣減該控制點的權重得分。每筆業務控制點權重總分為100分,扣除扣減分數後即為該筆業務內部會計控制執行的實際得分。
3.3.4 同類業務逐筆得分相加除以筆數即可得出該類業務內部控制執行情況的實際得分。各類業務簡單平均得分相加除以類別數即可計算出全部業務的內部控制執行情況的實際綜合得分。
3.4 編寫檢查評價報告
3.4.1 檢查人員根據抽查業務的內部控制檢查測試的得分情況,可以對各類業務的內部控制執行情況做出定量和定性的評價,也可對全部業務內部控制執行總體情況做出定量和定性的綜合評價。
3.4.2 凡內部控制檢查測試平均得分在95分(含)以上的,且在實際執行中未出現一般性問題或實質性問題,內部控制執行情況可認定為「無疏漏」或者存在「輕微疏漏」,執行情況可評價為好;在85-94分(含)之間,且在實際執行中未出現一般性問題或實質性問題,可認定為存在「一般疏漏」,執行情況可評價為較好;在70-84分(含)之間,且在實際執行中未出現實質性問題,可認定為存在「一般缺陷」,執行情況可評價為一般;在70分以下,不管在實際執行中是否出現一般性問題或實質性問題,可認定為存在「重大缺陷」,執行情況可評價為差。及時檢查測試平均得分在70分(含)以上,但在實際執行中發生了一般性問題或實質性問題,則相應認定為存在「一般缺陷」或「重大缺陷」。
3.4.3 檢評組根據內部控制業務檢查結果情況,編寫《內部控制檢查評價報告》。檢查評價報告的主要內容包括:(1)檢查評價工作的組織開展情況;(二)檢查樣本的抽取方法和測試結果情況;(三)內部控制執行情況的具體分析;(四)加強改進內部控制的意見和建議。檢查評價報告要有定性和定量分析,以數據和事實為依據。
★3.4.4 檢評組負責人對各檢查人員的檢查工作底稿和扣(計)分情況以及《內部控制檢查評價報告》進行審核修改並簽字,報分管內控領導/總會計師審閱。
3.5 審定上報檢查評價結果
3.5.1 檢評組將內部控制檢查情況和初步評價意見向內部控制檢評領導小組匯報,如實反映檢查測試結果和定性定量評價意見,並將《內部控制檢查評價報告》報領導小組審定。
★3.5.2 檢評領導小組審議內部控制檢評結果,並對存在的缺陷和問題,以及檢評組提出的意見和措施予以研究,形成具體改進措施貫徹落實。
★3.5.3 將經審定的《內部控制檢查評價報告》和有關業務內部控制檢查得分情況匯總表一並上報集團公司內控辦公室備案,或對外發布。
3.6 考核獎懲
3.6.1 每年年度終了後,檢評組應當根據全年檢評綜合得分及評價情況(按季檢查的為4次平均得分,按半年檢查的為2次平均得分,按年檢查的為1次平均得分)提出內部控制執行的獎懲意見,報檢評領導小組審議。
★3.6.2 檢評領導小組審核獎懲意見,並將審核結果報企業辦公會議審定後兌現。
3.7 集團公司整體內部控制執行情況的評價
3.7.1 集團公司內控辦公室根據企業上報備案的內部控制檢查評價情況,對企業年度內部控制執行情況做出基本評價。
★3.7.2 為增強集團公司檢查評價的科學性和可靠性,集團公司內控辦公室評價企業時還可將集團公司財務、審計部門或社會審計中介機構在本年度開展的財務稽核、財務(決算)審計中對企業內部控制執行情況所進行的檢查評價結果納入評價范圍,並按企業自我評價得分權重40%、企業外部評價得分(如兩家或三家都有評價得分則取平均得分)權重60%計算,得出新的綜合得分和評價結果。
3.7.3 集團公司內控辦公室再以各直屬企業為權數,計算出全部企業內部控制執行情況的平均得分,從而得出集團公司內部控制執行情況的年度總體得分和評價結論。
★3.7.4 集團公司內控辦公室依據各企業或總部有關部門對內部控制執行的檢查測評情況,編寫集團公司年度《內部控制執行情況檢查評價報告》,報經集團公司領導或總經理辦公會審定後,即可對外發布,並進行獎懲。
★3.7.5 集團公司有關部門應當針對內部控制的薄弱環節和存在的缺陷,採取有力措施加以改進和完善。
B. 內部控制評估和測試的方法主要包括哪些具體解釋。
內部控制與內部審計之間存在著一種相互依賴、相互促進的內在聯系。內部控制本質上是組織為了達到一定目標所採取的=系列行動和過程,主要目的包括:信息的可靠性和完整性:政策、計劃、程序、法規的遵循性;資產的安全性:資源使用的經濟性和有效性;為經營和計劃所確定的目的和目標完成情況。而內部審計的主要目的是評價組織控制,它既對內部控制的健全和有效進行評價,以確保揭露組織潛在的風險和運行的經濟達到組織的目標。其本身又是內部控制的重要組成部分。一個經濟實體所提供的會計信息和其他經濟信息的真實、完整與否,與該實體是否存在具有規范的內部控制制度有效執行,有著相當程度的因果關系。內部控制的存在與否,對內部審計方式的選擇有著至關重要的意義。由於內部控制是為了推進經濟實體的有效運營,而內部審計則在於協助管理層調查、評估內部控制制度,適時提供改進建議,以求內部控制制度得以持續實施。在通常情況下,內部控制系統由經濟實體經營管理部門指定並在實施執行中評價和改進,通過內部審計部門評價內部控制系統的健全性和有效性。由於內部審計是在有限的時間與合理的成本條件下進行的。同時,審計主體對審計結論負有相應的責任。因此,審計工作必須講究效率與結果,保證內部控制的合理性和運行的有效性。 適當的組織目標和合理的評價標準是管理和內部審計工作走向規范的標志。沒有合理的評價標准,就等於沒有實質意義的管理,缺少有效的內部控制,內部審計工作展開也就無法真正發揮其作用,以風險評估為基礎的風險導向審計屬於開放式的模型。審計人員當開始一項審計項目時,必須首先評估組織面臨的經營、管理、財務,風險,考慮組織目標是否適當和是否有相應的控制,這不僅體現在具體項目及與部門的相互溝通方面,而且還反映在宏觀上審計目標的不斷演變。由此可見,內部審計人員根據風險評估的思路開展對內部控制的評價,以組織目標為起點和核心,能夠更加有效地發揮建設性作用,完成由監督控制到風險基礎,為組織做好服務。 現代企業內部審計工作主要涵蓋以下內容: 1、財務收支審計。主要是評價和監督企業是否做到資產完整、財務信息真實及經濟活動收支的合規性、合理性及合法性,對會計記錄和報表分析提供資料真實性和公允性證明; 2、經濟責任審計。是評價企業內部機構、人員在一定時期內從事的經濟活動,以確定其經營業績、明確經濟責任,這里包括領導幹部任期經濟責任審計和年度經濟責任審計。 3、經濟效益審計。審計重點是在保證社會效益的前提下 以實現經濟效益的程序和途徑為內容,對企業的經營效果、投資效果、資金使用效果做出判斷和評價,其中基建工程預決算審計應為重中之重。 4、內部控制制度評審。主要是對企業內部控制系統的完整性、適用性及有效性進行評價。 5、開展明晰產權的審計。審計明晰其產權歸屬,避免造成國有資產、集體資產流失或其他有損企業利益的行為。 6、其他審計。結合企業自身行業特點,開展對經營、管理等方面的審計工作,以增強醫院後備能量。 內部控制是企業有效組織經營,進行管理及各項經濟業務有序開展的必要保證。內部審計通過對內部控制進行測試,可以評價企業內部控制制度的健全性、遵循性和有效性,能針對內部控制中的薄弱環節及時提出相應改進建議,促使企業以合理的成本促進有效控制,達到改善企業內部經營狀況的目的。內部審計在當前企業轉機建制過程中,應抓住時機,認真總結經驗,研究和探討審計工作的新方法、新思路,拓寬視野,盡快消除舊的思維方式和工作模式,跳出常規的財務收支審計局限,向經濟效益審計、經濟責任審計、管理審計領域進一步延伸。參考資料:
C. 怎樣進行企業內部控制測評
從審計意義上來說,內部控制測評(簡稱「內控測評」)是指審計人員採用一定的技術和方法,對被審計單位內部控制的設置和執行情況進行調查了解和測試,並對內部控制的健全性和有效性作出評價,以確定審計范圍和審計重點的過程或活動。現實中,多數企業或單位內部控制存在著這樣、那樣的缺陷與不足,與理想狀態有著一定的差距。本文就怎樣結合被審計單位的具體情況開展內控測評談點看法。
一、收集與內部控制有關的文件資料。審計人員在對某個單位進行審計時,首先應當詳細調查了解被審計單位內部控制的詳細情況和管理現狀,並盡可能地收集齊全該單位涉及內部控制的所有文件資料,特別是比較重要的控制環節和控制因素。調查了解收集的文件資料既包括被審計單位形成書面文字的規章制度、崗位職責、工作流程、操作程序等,也包括沒有留下文字記錄,僅僅以討論通過、領導拍板、電話通知等形式所作出的一些具有遵循執行作用的規定等。
二、搜集、查找與被審計單位及審計目標有關的外部法律法規、政策制度等規定。一般認為,審計人員搜集、查找有關的制度規定,很多情況下是在查出問題後用作處理處罰的依據,其實不然。許多法律法規、政策制度等規定的制定,其出發點本身就是為了規范,為了管理的需要,尤其是一些操作性強、內容具體的制度等,審計人員完全可以用來作為內控測試的依據和內容。這就要求審計人員要盡可能多地找尋到與被審計對象、與本次審計目標有關的各種外部規定,獲得最大范圍可以進行內控測試的原始資料。
三、編制內控測試審計工作底稿。上述兩步工作完成後,接下來就是對被審計單位的內控管理制度規定情況和搜集好的原始資料進行認真仔細研究,並把它們分類、歸納和整理,然後用簡明扼要的語言編製成能進行具體測試的審計工作底稿。這種自己編制的審計工作底稿,一戶一用,比較符合被審計單位內部控制的具體情況,具有較強的針對性和適用性。
四、測試、修正和補充審計工作底稿。審計人員在用上述審計工作底稿或審計程序表進行具體測試時,仍有可能遇到與實際狀況不太一致或不相符合、不適用的情況。這時,審計人員應當及時對原測試內容進行調整、修正和補充,或者直接在測試底稿中加以註明,說明被審計單位的實際狀況,使他人通過查閱審計工作底稿,能夠對被審計單位的內部控制現狀有個比較概要、真實和正確的印象。總之,內控測試要緊緊抓住被審計單位實際,以反映被審計單位真實內控狀態為目標,而不是其他。
五、評價與對照。審計人員用自己編制的審計工作底稿完成對被審計單位內控初步測試後,便可根據測試結果得出內控評價。由於測試內容是根據被審計單位情況進行設計的,因此測試結果一般比較符合被審計單位的實際情況,所得出的內控評價也一定比較客觀、正確,使下一步要進行的實質性測試有了比較明確的方向和范圍。
採用上述步驟所進行的內控測評,難點在於編制適合被審計單位實際情況的審計工作底稿上,因為編制的審計工作底稿內容越貼近被審計單位實際情況,所得出的內控評價也就越真實正確,可信度越高。這就要求審計人員開動腦筋,花費大力氣對被審計單位的內控狀況和外部管理的各項規定進行認真仔細的研究。
相關熱詞:內部控制
D. 內部控制制度的檢查評價
內部控制的檢查與評價是通過內部審計來完成的。內部審計在某種程度上可以理解為對內部控制的控制。通常可按以下程序和步驟:
1.確定被審計單位內部控制的標准。內部審計將根據標准對被審計單位的內部控制的現狀進行檢查和判斷。
2.檢查、判斷被審計單位內部控制的健全情況,在分析被審計單位控制缺陷及潛在影響的基礎上,即可對被審計單位內部控制的健全性作出評價。
3.測試被審計單位內部控制的有效性。內部審計應當科學地選定具有代表性的測試樣本,藉以正確判斷被審計單位內部控制的質量狀況。
4.寫出內部控制檢查與評價的最終報告。內部審計人員在其最終報告中,提出若干具體調查結論、意見、評價和建議,供單位最高管理層採納,同時送交被審計單位的管理人員以改進內部控制。
E. 內部控制評價有哪些內容
關於內部控制評價內容,從范圍看,一般認為企業內部控制評價應根據資源情況和組織需求來決定,既可以是全面內部控制評價,如對整個內部控制系統進行評價,然後把信息反饋給最高管理當局;也可以是局部評價,如對某個部門或某個控制進行評價,然後把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次,而局部內部控制評價視需要而定。從內容看,大多從內部控制要素角度,要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然,還有把內部控制評價分為內部控制設計和執行,自我評估和獨立評估,全面內部控制和業務控制,過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面,治理結構層面、財務控制層面和業務控制層面等三個層面。從標准看,有些內部控制規范和理論認為,內部控制評價無論是總體還時局部,無論是設計還是執行,都應當以內部控制的健全性、恰當性(或者稱為合理性、科學性)和有效性為標准。有些規范和理論認為,內部控制評價,包括對內部控制設計有效性和運行有效性的評價。還有人認為,內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣於把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價,就是對整體層面控制有效性的評價過程,是一個流程。這個流程包括:確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境;識別整體層面控制的弱點,這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價,內部控制總體評價,是對各種控制過程與因素的綜合考慮,從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標,但評價時應將控製作為一個整體,而不是單獨的控制目標。如一個控制領域的弱點,可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的?整體層面控制必須達到最高水平的可靠性才能有效嗎?在決策時,應考慮以下事項:一是整體考慮。最終,內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時,機構就應進行權衡,是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基於財務報表的整體作出判斷,因此應從財務報表的整體來考慮,內部控制未能防止或發現的錯報是否重要。用於評價整體層面控制的的流程包括:使用內部控制可靠性模型,為每一個控制目標的有效性分級;將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價?加拿大特許會計師協會對此進行了研究,一個特別的結論值得注意。證據不僅僅是事實的集合,而且是審計人員所了解的每一件事的整合。證據不是以整齊的先後順序出現的——它是非線性的、零散的,必須進行整理、歸類和綜合。一些證據是具體的事實,可以客觀地證實,但大多是所見、所聽或所感的印象,它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中,人們會考慮所有這些因素——當形成結論時,把它們作為證據。業務層面控制評價,就是對業務層面控制有效性的評價過程,是內部控制評價的核心內容。
中天恆3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面,會計控制評價是基礎,業務控制評價是核心,管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面,但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常,計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用於較寬范圍的風險,這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險(如工資、應收賬款和采購應用系統等),其風險來源於信息系統中應用系統本身的漏洞,直接威脅到數據的安全、准確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利於企業內部控制目標的實現,並以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,並以此評價相關應用系統操作數據的真實性、准確性和合規性。
關於內部控制評價的內容,理論上可繼續探索,但實際執行中,還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點,以企業設計的《企業內部控制手冊》為依據,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定,不能固定化和模式化。
這里需要特別強調的,內部控制評價內容不能僅僅限於對五要素的總體評價,而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別,規模大小也不一樣,但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。
F. 上市公司內部控制評價體系
企業內部控制評價是對內部控制執行有效性的檢測,目前我國的內部控制評價標准體系尚未建立。今年3月,財政部發布了財會便(2007)7號關於印發《企業內部控制規范-基本規范》和17項具體規范(徵求意見稿)的通知,其目的在於推動國內上市公司實行內部控制自我評價制度和注冊會計師審計制度,填補企業內部控制標準的空白,從而為建立企業內部控制評價體系打下基礎。
在實際審計工作中,對被審計單位企業的內部控制進行評價,必須要有一套客觀可行的基本參照標准。這套標准不僅可為企業自我評估和改進其內部控制以及注冊會計師發表評價意見提供依據,還可以為各方面的溝通與理解提供統一的基礎。我國在內部會計控制的建設與完善方面雖已進入起步階段,但有關內部會計控制的標准和評價體系較為薄弱,制約了企業內部控制的有效執行。因此,建立一套完善的、符合實際的、具有可操作性的企業內部控制評價體系已勢在必行。
內部控制評價體系框架
研究、制定一套具有統一性、公認性和完善性,既符合實際又具有可操作性的評價標准體系,應從目標定位、內容範圍以及設置方式等方面來綜合考慮,既可以從企業管理與控制的目標入手,也可以從內部控制要素入手。但無論怎樣,企業內部控制評價標准都可以分為一般標准和具體標准兩部分,一般標准以具體標准為基礎,同時也是具體標準的升華,二者相輔相成,缺一不可,共同構成一個完整的評價體系。
這里所說的一般標准大致包括3方面,即完整性、合理性、有效性。具體標准由內部控制要素評價標准和作業層級評價標准兩部分組成,其中要素評價標准可分為5個方面,即控制環境、風險評估、控制活動、信息與溝通、監督;作業層級評價標准因其繁瑣復雜,難以窮盡,如以生產性企業為例進行框架構建,可分為5個業務循環,即銷售業務循環、購貨業務循環、生產業務循環、薪金業務循環和理財業務循環。在內部控制評價的具體標准中,要素評價標准以作業層級評價標准為基礎。
一般標准測試的3大方面
首先是完整性。企業內部控制是否完整是評價一般標准中首要的一條,同時又是基礎。若內部控制的完整性都達不到,則內部控制的合理性與有效性就無從談起了。
從系統的觀點出發,可以從企業資源利用角度去審視:應有「人力資源控制系統、物力資源控制系統、財力資源控制系統、信息資源控制系統」;從經營環節角度去審視:應有「供應環節控制系統、生產環節控制系統、銷售環節控制系統」;等等。在對內部控制的完整性作出判斷時,還應當考慮到企業經營規模及業務復雜程度的影響。一般情況下,企業經營規模愈大,業務復雜程度就愈高,對內部控制的完整性要求也愈高。
其次是合理性。企業設置內部控制切忌照抄照搬,因此應當考慮企業內控設計和執行時的適應性和經濟性。因為,企業所處行業、組織規模、交易性質、經濟技術條件、人員素質等方面存在著很大的差異,不同的企業就應當根據其不同的特點設置內部控制制度。
在對某一企業評價其內部控制的適用性時,要注意控制點的設置是否合理,有沒有安排過多或不必要的控制點;在每一個需要控制的地方是否都建立了控制環節;控制職能是否劃分清楚;人員間的分工和牽制是否恰當,既不能分工過細,又能起到相互牽制的作用。同時,內部控制的適用性要以經濟性為限制條件。
第三是有效性。企業內部控制的有效性應該體現在是否能為提高經營效益、提供可靠財務報告和遵循法律法規方面提供合理保證,有效性是內部控制的精髓。在內部控制評價的3個一般標准中,內部控制的有效性以其完整性與合理性為基礎,內部控制的完整性與合理性則以其有效性為目的。
在對企業內控制度的有效性進行審核評價時,要注意內部控制不僅僅需要在總體上是有效的,而且需要各項具體制度也要有明確的目的並發揮其自身的作用。要審核內部控制系統是否相互協調,自相矛盾;是否顧此失彼、相互制約;是否有利於整體功能的發揮。要關注內部控制是否適度,如果過嚴則會使管理活動失去活力,影響相關方積極性的發揮;過寬又會引起運行的機制失調,達不到控制目的。
具體標准測試的5大要素
在對內控制度進行評價時,只有先從操作性較強的具體標准入手,對具體內控制度的設計與運行有了認識之後,才能從整體上對企業內部控制的完整、合理、有效作出判斷。對具體標準的評價方法常用的有「詢問、觀察、檢查、重新執行」。企業內部控制評價可以按下列步驟展開:
首先是企業控制環境。以《上市公司內部控制指引》為依據,對企業進行測評。主要有:企業治理結構是否完善,董事會、監事會和股東大會等管理架構是否合法運作和科學決策;是否建立有效的激勵約束機制和樹立風險防範意識;企業管理層及業務環節是否開展內控培訓,讓內部風險防範成為高管的共識;是否培育良好的企業精神和內部控制文化,創造全體職工充分了解並履行職責的環境;企業高管人員和采購人員是否簽訂誠信承諾書,對所有的重要原材料及設備供應商,在購銷活動中首先簽訂陽光協議,要求其操作過程透明公開,禁止商業賄賂等行為。
其次是企業風險。企業管理層應對影響企業目標實現的內、外部各種風險進行分析,考慮其可能性和影響程度,制定必要的對策。在對企業風險防範作測評時,應重點關注企業是否建立完整的風險評估體系,是否建立審計委員和風險管理部門,是否對經營風險、財務風險、市場風險、政策法規風險和道德風險等進行持續監控;是否對已發現的企業各類風險有控制措施,如內控制度執行情況的檢查和監督,以及相關制度是否向子公司延伸,以確保子公司的經營安全。
同時,還要關注對相關業務項目及已知風險點是否進行定期檢查評估、提示及完善,如在日常經營風險管理中對「重大采購二次詢價」,建立「不合格供應黑名單」是否有實時監控。是否對客戶建立資信信息檔案、是否定期梳理與公司發展戰略不符的業務或項目等等。
第三是企業控制活動。企業管理層為確保風險對策有效執行和落實所採取的措施和程序,主要包括批准、授權、驗證、協調、復核、定期盤點、記錄核對、財產的保護、職責的分離、績效考核等內容。
在對企業控制活動測試時,要重點審核組織機構方面採取的控制活動和內控制度方面採取的控制活動。在組織結構方面重點審核:機構、崗位及職責許可權是否合理設置和分工,不相容職務是否相互分離,是否成立相關法律事務部門和職能,對采購與驗收等環節是否設置相互監督制度,做到人員分離。企業是否把業務流程作為內部控制制度建設的重點,設置關鍵控制點和反饋系統。在內控制度建設方面重點審核:企業是否制定了董事會的議事規則、總經理事權規則、財務管理制度、采購管理制度、投資管理制度、合同管理制度、子公司管理制度、內控檢查監督制度等。
第四是企業信息與溝通。在對企業信息活動測試時,要重點審核公司是否已制定公司內部信息和外部信息的管理政策,確保信息能夠准確傳遞,確保董事會、監事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況,確保各類風險隱患和內部控制缺陷得到妥善處理;公司的日常業務包括資產、財務管理等是否實行流程表單化管理和建立ERP系統。
第五是企業檢查與監督。在對企業該項活動測試時,要重點審核公司是否已制定了內部控制檢查監督辦法,該項工作是否在董事會或審計委員會直接領導下,有風險管理部門或審計部門具體負責實施,並有相關制度。如:基建項目是否有竣工決算審計制度、主要領導的離任是否實施責任審計,重大投資、擔保、抵押、關聯交易是否建立審核會簽制度;以及是否有對公司重要物資、設備、原材料定期盤點和不定期的抽查制度,對公司現金、銀行賬戶的抽查制度等。
綜上所述,注冊會計師對企業內部控製作出評價,包括被評價的企業內控制度是否符合我國有關法律法規和證券監管部門的要求,是否對企業重大風險、嚴重管理舞弊及重要流程錯誤等方面有控制和防範作用等,都有賴於建立一個完善的企業內部控制評價標准體系。相信通過有關部門的高度重視和實踐的積累,一套比較成熟的、適合中國國情的企業內部控制評價標准體系不久將會建立。
G. 簡述內部控制評價的一般程序
內部控制檢查與評價業務流程
1. 目標
通過規范內部控制的檢查與評價工作流程,確保檢查評價工作按規定程序和適當授權進行,實現預期目標;確保檢查評價工作的方法和標准一致,減少檢查評價工作的隨意性;確保集團公司和企業在年度財務決算中恰當披露內部控制制度執行情況,符合國家有關法律法規和外部監管機構的要求,並促進各項內部控制制度的不斷改進、完善和嚴格執行。
2. 風險
由於檢查與評價工作流程設計不合理或控制不當,可能導致對內部控制制度及執行情況評價不恰當;可能導致各項內部控制制度的檢查評價工作存在隨意性;可能導致年度財務決算對內部控制制度的執行情況對外披露的信息失當而受到外部監管機構的處罰。
3. 工作流程步驟與控制點
3.1 成立和確定檢查評價領導小組和工作組
★3.1.1 企業(或總部)應當成立內部控制檢查評價工作領導小組(以下簡稱「檢評領導小組」),組長由主要負責人擔任,副組長由總會計師/分管財務領導擔任,成員由財務、審計、人事、監察、銷售、采購等部門的主要負責人組成。
★3.1.2 檢評領導小組應當根據實際情況,按照成本和效益原則,確定或組建內部控制檢查評價工作組(以下簡稱「檢評組」)。檢評組可以設在(或授權)財務或審計部門,也可另行組成由財務、審計、人事、監察等有關部門相關人員參加的檢評組,組長可由審計部門負責人擔任。
3.2 制定檢查評價工作計劃
3.2.1 檢評組每年年初根據本流程規定和檢評領導小組的要求,編制內部會計控制檢查評價工作計劃,具體明確各類業務定期抽查的時間(按季或半年或年進行抽查)、抽查樣本量的比例(5%~15%)以及隨機抽查的方法,明確檢查人員的分工和各有關部門的配合責任,以及完成檢評工作的時間目標和要求。
★3.2.2 檢評組將檢評工作計劃報總會計師/分管財務領導審閱後,提交檢評領導小組審定。
3.3 實施檢查和計算得分
3.3.1 檢評組人員根據工作計劃,按規定的抽樣比例和方法,隨機抽取各類業務的樣本。同時依據各自的分工,對所抽取的業務樣本控制點,按照規范的業務流程表中控制點和不相容職務/崗位分離及授權等要求,實施符合性測試。
★3.3.2 檢評組人員將檢查測試情況按每筆業務逐筆如實進行記錄(包括抽查時間、抽查方法、抽查的具體業務合同或憑證編號、檢查測試得分結果等),建立檢查評價工作底稿,簽字後交檢評組負責人或其授權人員審核簽字。
3.3.3 對檢查測試中發現控制點缺失或控制點雖然存在但未按規定實施控制的,一律按扣減法扣減該控制點的權重得分。每筆業務控制點權重總分為100分,扣除扣減分數後即為該筆業務內部會計控制執行的實際得分。
3.3.4 同類業務逐筆得分相加除以筆數即可得出該類業務內部控制執行情況的實際得分。各類業務簡單平均得分相加除以類別數即可計算出全部業務的內部控制執行情況的實際綜合得分。
3.4 編寫檢查評價報告
3.4.1 檢查人員根據抽查業務的內部控制檢查測試的得分情況,可以對各類業務的內部控制執行情況做出定量和定性的評價,也可對全部業務內部控制執行總體情況做出定量和定性的綜合評價。
3.4.2 凡內部控制檢查測試平均得分在95分(含)以上的,且在實際執行中未出現一般性問題或實質性問題,內部控制執行情況可認定為「無疏漏」或者存在「輕微疏漏」,執行情況可評價為好;在85-94分(含)之間,且在實際執行中未出現一般性問題或實質性問題,可認定為存在「一般疏漏」,執行情況可評價為較好;在70-84分(含)之間,且在實際執行中未出現實質性問題,可認定為存在「一般缺陷」,執行情況可評價為一般;在70分以下,不管在實際執行中是否出現一般性問題或實質性問題,可認定為存在「重大缺陷」,執行情況可評價為差。及時檢查測試平均得分在70分(含)以上,但在實際執行中發生了一般性問題或實質性問題,則相應認定為存在「一般缺陷」或「重大缺陷」。
3.4.3 檢評組根據內部控制業務檢查結果情況,編寫《內部控制檢查評價報告》。檢查評價報告的主要內容包括:(1)檢查評價工作的組織開展情況;(二)檢查樣本的抽取方法和測試結果情況;(三)內部控制執行情況的具體分析;(四)加強改進內部控制的意見和建議。檢查評價報告要有定性和定量分析,以數據和事實為依據。
★3.4.4 檢評組負責人對各檢查人員的檢查工作底稿和扣(計)分情況以及《內部控制檢查評價報告》進行審核修改並簽字,報分管內控領導/總會計師審閱。
3.5 審定上報檢查評價結果
3.5.1 檢評組將內部控制檢查情況和初步評價意見向內部控制檢評領導小組匯報,如實反映檢查測試結果和定性定量評價意見,並將《內部控制檢查評價報告》報領導小組審定。
★3.5.2 檢評領導小組審議內部控制檢評結果,並對存在的缺陷和問題,以及檢評組提出的意見和措施予以研究,形成具體改進措施貫徹落實。
★3.5.3 將經審定的《內部控制檢查評價報告》和有關業務內部控制檢查得分情況匯總表一並上報集團公司內控辦公室備案,或對外發布。
3.6 考核獎懲
3.6.1 每年年度終了後,檢評組應當根據全年檢評綜合得分及評價情況(按季檢查的為4次平均得分,按半年檢查的為2次平均得分,按年檢查的為1次平均得分)提出內部控制執行的獎懲意見,報檢評領導小組審議。
★3.6.2 檢評領導小組審核獎懲意見,並將審核結果報企業辦公會議審定後兌現。
3.7 集團公司整體內部控制執行情況的評價
3.7.1 集團公司內控辦公室根據企業上報備案的內部控制檢查評價情況,對企業年度內部控制執行情況做出基本評價。
★3.7.2 為增強集團公司檢查評價的科學性和可靠性,集團公司內控辦公室評價企業時還可將集團公司財務、審計部門或社會審計中介機構在本年度開展的財務稽核、財務(決算)審計中對企業內部控制執行情況所進行的檢查評價結果納入評價范圍,並按企業自我評價得分權重40%、企業外部評價得分(如兩家或三家都有評價得分則取平均得分)權重60%計算,得出新的綜合得分和評價結果。
3.7.3 集團公司內控辦公室再以各直屬企業為權數,計算出全部企業內部控制執行情況的平均得分,從而得出集團公司內部控制執行情況的年度總體得分和評價結論。
★3.7.4 集團公司內控辦公室依據各企業或總部有關部門對內部控制執行的檢查測評情況,編寫集團公司年度《內部控制執行情況檢查評價報告》,報經集團公司領導或總經理辦公會審定後,即可對外發布,並進行獎懲。
★3.7.5 集團公司有關部門應當針對內部控制的薄弱環節和存在的缺陷,採取有力措施加以改進和完善。
內部控制檢查與評價業務流程表
業務流程及控制點 權重 控制風險說明 不相容職務/崗位 授權及要求
3.1 成立和確定檢查評價領導小組和工作組
★3.1.1 企業(或總部)應當成立內部控制檢查評價工作領導小組(以下簡稱「檢評領導小組」),組長由主要負責人擔任,副組長由總會計師/分管財務領導擔任,成員由財務、審計、人事、監察、銷售、采購等部門的主要負責人組成。
★3.1.2 檢評領導小組應當根據實際情況,按照成本和效益原則,確定或組建內部控制檢查評價工作組(以下簡稱「檢評組」)。檢評組可以設在(或授權)財務或審計部門,也可另行組成由財務、審計、人事、監察等有關部門相關人員參加的檢評組,組長可由審計部門負責人擔任。
3.2 制定檢查評價工作計劃
3.2.1 檢評組每年年初根據本流程規定和檢評領導小組的要求,編制內部控制檢查評價工作計劃,具體明確各類業務定期抽查的時間(按季或半年或年進行抽查)、抽查樣本量的比例(5%~15%)以及隨機抽查的方法,明確檢查人員的分工和各有關部門的配合責任,以及完成檢評工作的時間目標和要求。
★3.2.2 檢評組將檢評工作計劃報總會計師/分管財務領導審閱後,提交檢評領導小組審定。
3.3 實施檢查和計算得分
3.3.1 檢評組人員根據工作計劃,按規定的抽樣比例和方法,隨機抽取各類業務的樣本。同時依據各自的分工,對所抽取的業務樣本控制點,按照規范的業務流程表中控制點和不相容職務/崗位分離及授權等要求,實施符合性測試。
★3.3.2 檢評組人員將檢查測試情況按每筆業務逐筆如實進行記錄(包括抽查時間、抽查方法、抽查的具體業務合同或憑證編號、檢查測試得分結果等),建立檢查評價工作底稿,簽字後交檢評組負責人或其授權人員審核簽字。
3.3.3 對檢查測試中發現控制點缺失或控制點雖然存在但未按規定實施控制的,一律按扣減法扣減該控制點的權重得分。每筆業務控制點權重總分為100分,扣除扣減分數後即為該筆業務內部控制執行的實際得分。
3.3.4 同類業務逐筆得分相加除以筆數即可得出該類業務內部控制執行情況的實際得分。各類業務簡單平均得分相加除以類別數即可計算出全部業務的內部控制執行情況的實際綜合得分。
3.4 編寫檢查評價報告
3.4.1 檢查人員根據抽查業務的內部控制檢查測試的得分情況,可以對各類業務的內部控制執行情況做出定量和定性的評價,也可對全部業務內部控制執行總體情況做出定量和定性的綜合評價。
3.4.2 凡內部控制檢查測試平均得分在95分(含)以上的,且在實際執行中未出現一般性問題或實質性問題,內部控制執行情況可認定為「無疏漏」或者存在「輕微疏漏」,執行情況可評價為好;在85-94分(含)之間,且在實際執行中未出現一般性問題或實質性問題,可認定為存在「一般疏漏」,執行情況可評價為較好;在70-84分(含)之間,且在實際執行中未出現實質性問題,可認定為存在「一般缺陷」,執行情況可評價為一般;在70分以下,不管在實際執行中是否出現一般性問題或實質性問題,可認定為存在「重大缺陷」,執行情況可評價為差。及時檢查測試平均得分在70分(含)以上,但在實際執行中發生了一般性問題或實質性問題,則相應認定為存在「一般缺陷」或「重大缺陷」。
3.4.3 檢評組根據內部控制業務檢查結果情況,編寫《內部控制檢查評價報告》。檢查評價報告的主要內容包括:(1)檢查評價工作的組織開展情況;(二)檢查樣本的抽取方法和測試結果情況;(三)內部控制執行情況的具體分析;(四)加強改進內部控制的意見和建議。檢查評價報告要有定性和定量分析,以數據和事實為依據。
★3.4.4 檢評組負責人對各檢查人員的檢查工作底稿和扣(計)分情況以及《內部控制檢查評價報告》進行審核修改並簽字,報分管內控領導/總會計師審閱。
3.5 審定上報檢查評價結果
3.5.1 檢評組將內部控制檢查情況和初步評價意見向內部控制檢評領導小組匯報,如實反映檢查測試結果和定性定量評價意見,並將《內部控制檢查評價報告》報領導小組審定。
★3.5.2 檢評領導小組審議內部控制檢評結果,並對存在的缺陷和問題,以及檢評組提出的意見和措施予以研究,形成具體改進措施貫徹落實。
★3.5.3 將經審定的《內部控制檢查評價報告》和有關業務內部控制檢查得分情況匯總表一並上報集團公司內控辦公室備案,或對外發布。
3.6 考核獎懲
3.6.1 每年年度終了後,檢評組應當根據全年檢評綜合得分及評價情況(按季檢查的為4次平均得分,按半年檢查的為2次平均得分,按年檢查的為1次平均得分)提出內部控制執行的獎懲意見,報檢評領導小組審議。
★3.6.2 檢評領導小組審核獎懲意見,並將審核結果報企業辦公會議審定後兌現。
3.7 集團公司整體內部會計控制執行情況的評價
3.7.1 集團公司內控辦公室根據企業上報備案的內部控制檢查評價情況,對企業年度內部控制執行情況做出基本評價。
★3.7.2 為增強集團公司檢查評價的科學性和可靠性,內控辦公室在評價企業時還可將集團公司財務、審計部門或社會審計中介機構在本年度開展的財務稽核、財務(決算)審計中對企業內部控制執行情況所進行的檢查評價結果納入評價范圍,並按企業自我評價得分權重40%、企業外部評價得分(如兩家或三家都有評價得分則取平均得分)權重60%計算,得出新的綜合得分和評價結果。
3.7.3 集團公司內控辦公室再以各直屬企業為權數,計算出全部企業內部控制執行情況的平均得分,從而得出集團公司內部控制執行情況的年度總體得分和評價結論。
★3.7.4 集團公司財會部門依據各企業或總部有關部門對內部控制執行的檢查測評情況,編寫集團公司年度《內部控制執行情況檢查評價報告》,報經集團公司領導或總經理辦公會審定後,即可對外發布,並進行獎懲。
★3.7.5 集團公司有關部門應當針對內部控制的薄弱環節和存在的缺陷,採取有力措施加以改進和完善。