csa內控
『壹』 內部控制評價方法有哪些
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
『貳』 急!求內部控制評價方法的案例
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。
◎詳細全面評價。
詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。
◎風險導向評價。
風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
『叄』 簡述如何理解評價內部控制的風險水平
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節
『肆』 控制自我評估的CSA的產生
CSA最早在1987年由加拿大海灣公司(Gulf Canada)首次提出。促成該公司實施的環境因素主要有兩個:(1)一項法庭判決要求該公司報告內部控制;(2)傳統審計程序在解決油和氣的計量問題方面碰到了困難。會計人員和審計人員決定召開引導會議(facilitated meeting)來說明雙方的問題。他們發現這種方法是一種比一對一審計訪談更為有效的實現其目標的方法。於是,在接下來的十年之中,該組織不斷使用 CSA來評價和改進它的內部控制系統。
雖然CSA最早出現在20世紀80年代末期,但其最主要的發展是在90年代,特別是在1992年COSO報告公布之後。COSO報告首次把內部控制從原來自上而下財務模式的平面結構發展為更具彈性的企業整體模式的立體框架。此後,一些國家發布的有關內部控制的報告,均以COSO報告為模本。我國的《內部會計控制規范》和巴塞爾銀行監管委員會的《銀行組織的內部控制系統框架》也是以COSO報告為基礎的。傳統的內控評價方法只能用來評價諸如財務報告,資產與記錄的接觸、使用與傳遞,授權授信,崗位分離,數據處理與信息傳遞等的「硬控制」。在新的內部控制模式下,迫切需要評價包括公司治理,高層經營理念與管理風格,職業道德,誠實品質,勝任能力,風險評估等的「軟控制」。在這種情況下,作為一種既可以用來評價傳統的硬控制,又可以用來評價非正式控制即軟控制的機制,CSA得到了普遍的信賴。
如今,世界上越來越多的公司和其他組織已經或正在實施一些成功的CSA計劃。例如美國聯邦存款保險公司(FDIC)和加拿大存款保險公司(CDIC)要求美加金融機構據以評價內部控制。世界銀行專門出版了一本有關CSA實施經驗的書。為了適應這種潮流,安永、德勤等會計師事務所也都各自開發了CSA實施軟體;國際內部審計師協會也專門成立了CSA中心。可以說,在國際上已經掀起了一股CSA熱。
『伍』 CIA證書有沒有用中國認可度怎麼樣
同學你好,很高興為您解答!
國際注冊內部審計師( Internal Auditor)簡稱CIA,不僅是國際內部審計領域專家的標志,也是目前國際審計界惟一公認的職業資格。
CIA資格考試方式為分科閉卷筆試。我國的考試語種包括中文、英文,在同一考試年度里不能兩種語種混用。考試共分4個部分,考試科目包括《內部審計程序》、《內部審計技術》、《管理控制與信息技術》、《審計環境》。其中第4部分《審計環境》部分考生(符合條件)可以免考。第一部分、第二部分、第三部分由國際內部審計師協會命題,第四部分由中國內部審計學會命題,國際內部審計師協會統一閱卷。
國際內部審計師協會將內部審計作為一種職業,包括了職業標准、道德准則、證書項目三個要素。《內部審計實務具體標准》、《內部審計師協會道德准則》和《內部審計職責說明》是國際內部審計師協會對會員管理的重要制度規定,它為我們提供了從事內部審計職業所必須的基本知識與技能,以及內部審計師必須遵循的職業道德規范,是指導和衡量內部審計工作的准繩,也是CIA考試中《內部審計程序》和《內部審計技術》兩科目的考試重點。參加CIA資格考試除了要熟練掌握內部審計的基本概念,深入理解實務標准與道德准則的思想精髓之外,還要了解掌握審計抽樣、舞弊審計、風險評估、內控自我評估(CSA)等先進的審計理論。
CIA已經有20多年的歷史,全球約有4萬人已獲得了CIA資格,獲得該項認證意味著內審原理和實務上具備很強的競爭力。在我國組織CIA考試,對社會而言可以借鑒西方先進的科學管理技術和方法,提高我國的現代科學管理水平,培養一批具有國際水平的企業管理人才,使之取得與國外同行在同一層次上對話的資格;對我國的內審人員而言,參加CIA資格考試,有利於促進其專業知識和技能的提高,使已經達到國際水平的專業人才顯現出來,向國際同行證明我們的實力;也有利於加快我國內部審計工作與國際慣例接軌的進程,進一步提高我國內部審計的國際地位。
CIA資格需經國際內部審計師協會(Institute of Internal Auditors,簡稱IIA)組織的考試取得。組織CIA資格考試的IIA,是世界范圍的內部審計師組織。該協會1941年成立於美國紐約,在聯合國經濟和社會開發署享有顧問地位,是最高審計機關國際組織的常任觀察員,是國際政府財政管理委員會、國際會計師聯合會的團體會員。協會現有近200個分會,分布在100多個國家和地區。中國內部審計學會於1987年加入該協會,成為國家分會。
IIA自1974年起在全球指定地點舉行注冊內部審計師資格考試,給考試合格者頒發注冊內部審計師證書,授予「注冊內部審計師」稱號。全球已有40多個國家和地區參加了這項考試。考試語種有英語、法語、德語、西班牙語、希伯來語、義大利語和新開辟的中國漢語等。1998年中國內審協會與IIA簽訂協議,將IIA在國際上舉辦的國際注冊內部審計師考試引入中國,並取得成功。
IIA還舉辦一些其他資格證書考試,如,為首席審計執行官(CAE)專門設立的CIA測試,還有三種特長考試。IIA總部為首席審計執行官(CAE)專門設立的CIA測試項目,為合格的CAE提供參加CIA考試的機會,CAE們的考試以自己選擇考試的時間和地點,安排在正常的五月和十一月考試之外的時間進行。IIA將指派人員進行監考。而三種特長證書考試,即內部控制自我評估認證(CCSA)、注冊政府審計專家(CGAP)、注冊金融服務審計師(CFSA)是來幫助那些有別於CIA的其他專長需要者。在2003年5月,有24個國家分會舉辦了內部控制自我評估認證(CCSA)考試。另外,還有一些國家分會已向IIA總部表明有興趣舉辦CGAP和CFSA的考試。但迄今為止,三種特長證書考試都用英語進行,沒有翻譯成其他語種。
作為全球領先的財經證書網路教育領導品牌,高頓財經集財經教育核心資源於一身,旗下擁有高頓網校、公開課、在線直播、網站聯盟、財經題庫、高頓部落會計論壇、APP客戶端等平台資源,為全球財經界人士提供優質的服務及全面的解決方案。
高頓網校將始終秉承"成就年輕夢想,開創新商業文明"的企業使命,加快國際化進程,打造全球一流的財經網路學習平台!
高頓祝您生活愉快!如仍有疑問,歡迎向高頓企業知道平台提問!
『陸』 淺談信息化環境下如何加強企業內部控制
企業信息化當前企業信息化應用正逐步深入,財務管理軟體、企業資源規劃(ERP)、供應鏈管理(SCM)、客戶關系管理(CRM)、電子商務(EC)等應用日益廣泛。企業信息化建設促使企業的組織形式、管理體制、控制要點發生相應的改變,企業組織結構趨向扁平化,管理人員越來越依賴於管理信息平台經營和控制企業,電子商務也成為企業進行全球貿易經營的發展方向。與此同時,企業信息化也給企業的內部控制提出了新的挑戰,本研究擬探討信息化應用對內部控制產生的影響,為適應變化內部控制應進行的改變以及企業應該如何加強信息化環境下的內部控制。
一、企業信息化對內部控制提出挑戰 內部控制是現代企業管理的重要內容,也是國家五部委對上市企業提出規范管理的明確要求。企業建立內部控制制度的目的在於: (1)保障企業生產經營的效果與效率; (2)保證財務報告的可靠性,以堵塞企業內部管理漏洞,確保企業生產、業務數據的真實性,制定合理的績效考核指標及依據; (3)使企業自覺遵循國家、地方相關法令、法規,預防、控制企業內部的舞弊行為。 按照國際權威美國COSO委員會定義,企業內部控制包括5個要素: (1)控制環境 影響企業員工內部控制意識,使內部控製得以貫徹執行,確保企業經營戰略目標的實現。 (2)風險評估 在市場日趨激烈競爭中,企業內部控制必須分析、了解自身所面臨的各種風險,並適時加以處理。 (3)控制活動 確保企業管理層的指令得以實現的政策和程序。控制活動主要包括:交易授權、職責分離、監管、業務記錄、接觸控制和獨立稽核。 (4)信息和溝通 企業必須保證員工能夠取得他們在執行、管理和控制企業經營過程中所需的信息,使員工順利履行其職責。 (5)監督 整個內部控制的過程必須施以恰當的監督,並在必要時對其加以修正。 企業信息化增加了企業內部控制的潛在風險,在企業由傳統管理向信息化管理轉變過程中,構建系統、嚴密、完善的內部控制體系,不僅是現代企業必須遵循的基本管理法則,也是企業提高防範風險能力和經營管理水平的內在要求。二、企業信息化對內部控制的影響 2.1 主要體現方面 一企業信息化應用增加了企業決策者的管理幅度,使企業組織結構扁平化,優化、固化了業務流程,內控制度必須與之相適應; (1)企業信息化改變了管理信息的採集、存儲及整理方式,數據及時、准確、真實性大大提高,為實施更有效的內部控制打下了基礎; (2)企業信息化改變了管理信息的溝通、處理方式,提高了管理效率和信息的集成性,企業內部控制由傳統控制轉向實時控制。 實時控制主要體現在: (1)控制目標,由「確保資產安全完整」變為「提高企業經營效率和效益,實現價值增值」; (2)控制內容,由「資金或資本會計要素的單項變動控制」發展為「企業價值鏈系統及網路的多維控制」; (3)控制方式,由「只限於經營活動過程中的適時控制」變為「實時控制」; (4)控制信息,由「以貨幣價值量的控制」發展為「利用時間量、實物量和貨幣量的信息控制」; (5)控制屬性,由靜態控制拓展為動態控制,由局部控制轉向經營活動全過程的控制,以滿足信息使用者任何時間、地點獲取所需的信息。
2.2 對內部控制五要素的影響 (1)對控制環境的影響 企業信息化使企業組織結構趨向扁平化,管理層次減少,對企業管理者的素質提出了更高的要求,有利於決策者全面、及時地掌握企業運營情況,為正確制定戰略、資源分配和績效評價等企業決策提供依據。 (2)對風險評估的影響 企業信息化規范、固化了業務流程,系統控制降低了人員疏漏或舞弊的風險;同時信息存儲高度集中,系統失靈、崩潰和數據竊取等風險增加,需建立良好的IT 治理機制,防範災難和減少災難發生時的損失。 (3)對控制活動的影響 ①控制活動是根據企業業務流程的節點控制進行設置,業務控制對象是企業生產經營過程,對業務控制由信息系統自動完成; ②業務授權由信息系統完成,但授權過程不明顯,控制的失效往往在發生損失後才被察覺。應關注、檢查系統授權的正確性和完整性; ③業務職責分離、監管及獨立稽核仍是重要的控制措施,信息系統應建立規范的審批工作流程; ④信息化環境下,業務記錄不再是書面的簽章、編碼、交叉索引等,而是通過登錄密碼、操作日誌等技術手段進行業務記錄,其有效性受信息系統的正確性、完整性和安全性的影響; ⑤信息化環境下,對於信息資產的接觸控制,由於網路的遠程接入性,應當通過防火牆、操作員許可權設置、登錄密碼安全策略、信息系統審計等技術手段和管理措施加以實現。 (4)對信息和溝通的影響 企業信息化有利於內部控制的信息和溝通,利用完善的企業信息系統,企業員工能夠更好地取得他們在執行、管理和控制企業經營過程中所需的信息,順利履行其職責。當然,也要警惕信息過量及藉助高速信息處理能力造假的問題。 (5)對監督的影響 藉助信息系統,可以實現實時監督,從而提高監督效果和效率,對信息系統的開發、實施和維護過程所進行的監督,應當成為監督的重點。企業應運用CSA做法,定期或不定期地對內部控制系統進行評估,評估其有效性及實施的效率效果,以期能更好地達到內部控制的目標。三、加強內部控制的對策 3.1 建立與信息化建設相適應的內部控制制度 企業信息化應服從企業整體發展戰略,要站在企業治理的高度,制定與企業發展戰略相融合的信息化戰略,從戰略投資、企業管理變革的角度,降低企業信息化風險。幫助企業管理層建立以企業戰略為導向,以外界環境為依據,以業務和信息化整合為中心,針對不同業務發展要求,整合信息資源,制定並執行推動企業發展的信息化戰略。 3.2 加強信息系統控制及審計 在企業信息化環境下,對信息系統的有效控制是企業開展正常生產經營活動的前提和保障。內部審計機構是信息系統控制最重要的執行者之一,在信息系統的開發、實施、維護和操作過程中應當進行嚴格的獨立審查和監督,保證信息系統的正確性、完整性和安全性。 信息系統審計主要包括以下方面: (1)評價信息系統的管理、規劃與組織方面的策略、政策、標准、程序和相關實務。 (2)評價企業在信息系統技術基礎設施與操作實務的管理和實施方面的有效性及效率,以確保其充分支持企業的運營目標。 (3)對邏輯、環境與信息技術基礎設施的安全性進行評價,確保其能支持企業保護信息資產的需要,防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失。 (4)評價災難恢復與業務持續計劃,這些計劃保證在發生災難時,能夠使企業持續處理業務。 (5)對應用系統的開發、獲得、實施與維護方面所採用的方法和流程進行評價,以確保其滿足企業的業務目標。 (6)評估業務系統與處理流程,確保根據企業的業務目標對相應風險實施管理。 3.3 實施業務流程優化和固化 企業信息化系統,蘊含了先進管理思想,但其業務流程仍然保持手工環境下的狀態,必然造成信息系統與業務流程之間的沖突,從而使企業生產經營管理出現低效率,而且會形成內部控制的弱點和許多問題。因此,企業信息化過程中實施業務流程優化、固化,具有十分重要的意義。 3.4 加強企業人力資源管理 企業管理要以人為本,人力資源管理是合理配置和開發企業的人力資源,以實現企業目標的管理活動。在信息化環境下,企業加強內部控制的一個重要方面就是加強對人力資源的管理。 對於內部控制而言,人力資源管理的目標主要是保證和提高員工的素質和品行。信息化環境對員工的素質提出了更高的要求,員工不但要熟悉業務,還要掌握軟體系統的操作。企業應該通過完善的內控制度來約束企業員工行為,建立良好的績效評價、激勵機制,防止掌握企業重要信息資源的人才流失以及相應的信息資源損失。 3.5 重在執行 企業管理效率取決於管理流程的規范、業務流程的暢通以及信息上傳下達的及時准確,企業內部控制、ISO9001、TQM等管理體系,無不強調的是過程式控制制,一切由數據說話。企業信息化建設目標之一就是為管理者提供及時、准確、全面的管理數據。 企業建立內部控制制度是規范管理、保證企業信息化系統有效運行的基礎,而信息化系統是提高工作效率,保證管理信息及時、准確,量化考核做到公正、客觀,制度得以真正落實下去的關鍵。因此,無論是內部控制,還是企業信息化應用,有效執行是關鍵。
『柒』 風險管理內部控制機制的評價方法有哪些
(一)傳統的內部控制機制評價方法
傳統內部控制機制評價方法主要描述和分析內部控制機制的恰當性和有效性,以及在完成所指派職責時的執行效果。其對內部控制的測試與評價所遵循的邏輯順序是「控制→風險→評價控制目的是否實現」,可見,更多的是一種事後的反饋,在確認內部控制薄弱環節之後,提供信息以幫助管理層增強和完善內部控制。這種事後的評價是一種「亡羊補牢」式的滯後的方法,而不是「未雨綢繆」預防式的方法,這些方法無法根據企業目標考察風險,也未能根據風險安排相應的措施以控制風險,因此,已越來越不能適應現代管理的需要。
(二)基於風險管理的現代內部控制評價方法
現代內部控制的測試與評價遵循的邏輯順序是「目標→風險→控制」,同時將根據企業風險評估調整審計戰略,確定審計重點,緊密關注高風險的領域,以提供更相關、更符合管理層和董事會需求的確證信息,從而保證要素投入主體的利益。基於此,以下介紹幾種以風險為導向的現代內部控制機制評價方法。
1.標桿比較法
標桿比較法(benchmark)就是將本企業各項活動與從事該項活動a1者進行比較,從而提出行動方法,以彌補自身的不足。(美國ALLTEL公司運用了此種辦法進行內部控制)它一般分為以下兩個步驟:
首先,企業需要建立或確認自身所在行業的a1實務。
其次,了解企業風險管理整體框架實際情況並將其與a1實務進行對比,用定量或定性方式評估差距。
2.風險控制矩陣
風險控制矩陣(Risk and Control Matrix,RCM)是審計人員根據企業經營目標、風險與控制之間的聯系,為確保審計建議能針對重要的風險而建立的一張工作表,如表2。
風險控制矩陣是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態等提供了一個控制範例。
3.控制自我評價法
內部控制自我評價(Control Self-assessment,CSA)是近年來產生的一種新的內部控制評價方法,體現了內部控制評價的新觀念控制自我評估。控制自我評價法是在1987年由加拿大海灣資源有限公司首先採用的,是一種來檢查和評估內部控制有效性的新方法,是由組織成員在內部審計機構的推進和協助下評估組織活動的風險和控制的過程。
CSA強調內部控制系統既不是內部審計工作的責任,也不僅僅是高級管理層應關心的問題,相反,應該把它看成是所有雇員共同的責任。控制自我評估體現了應該*8詢問那些參與了風險評估過程以及執行了整個控制過程的人,它所包含的不斷改善與現代的全面質量管理概念非常匹配,與整體協作的概念及群體學習的模式也有相通之處,因而在今天的商業社會中存在著巨大的潛能。
內部控制理論的研究與實踐發展到今天,國家政府對內部控制管理的法規在不斷改進,其指導性意義顯而易見。在實務中,企業內部控制機制的各種評價方法也在不斷改進與更新,力求更大程度地促進企業發展,保證要素投入主體的經濟利益。內部控制的發展和更新,將更好地強化我國企業內部管理和有效要素投入者的利益,更好地評價經營者經營的有效性和管理水平。
『捌』 如何對內控制度健全性進行檢查
現在評估內控的方法不外乎訪談或問卷吧。
另一種比較先進的方法是CSA研討會,不過這需要上面有強力的領導支持,而且組織內公開溝通的氛圍要好。
至於著手點,因為是評估健全性,那重點就是目前的內控做的夠不夠,是否將風險有效控制在管理層接受的范圍內。因此,先給該領域管理層做一次訪談,了解一下他們的關注點,以及當前對這些風險點所設置的控制。有時該領域管理層可能沒辦法從戰略上考慮全局風險,所以也可以訪談一下他的上一層級。
這種內控評估只能一個領域一個領域來做,一個成功後把評估流程固化下來,以後就輕鬆了。
『玖』 控制自我評估的在我國運用CSA應注意的幾個問題
在現代經濟生活中,控制結構的非正式性和靈活性已經越來越高,這就要求大部分組織採取更強有力的控制監控技術。CSA作為一種有助於管理當局和內部審計人員判斷內部控制質量的方法,也許是一種能達到這種目標的工具。在我國,公司內部控制不如人意已是不爭的的事實,紅光、瓊民源、鄭百文、深華源、銀廣廈等業已暴露的上市公司違規事件幾乎都與內部控制特別是控制環境弱有著千絲萬縷的聯系。所以,現階段我國企業界在建立公司治理、強化內部控制建設中,應當適時引進CSA方法,既加強對軟控制的評價,也不斷促進控制環境的提升。然而,在具體實施時,應當注意以下幾個方面的問題:
評估組織文化,適當選擇CSA方法。作為一種相對比較新的發展中的方法,CSA的成功與員工的有效參與直接相關。他們的反應和接受能力在很大程度上是一個企業組織文化的函數,組織文化反映了管理當局對CSA指導原則的態度。在一個結構化的環境(structured environment)中,CSA過程才能得到充分徹底的支持並得到不斷的重復以求不斷改進。CSA執行者應基於對組織文化的分析結果來選擇CSA方法 和形式。在公司文化不支持一種參與式CSA方法的情況下,問卷調查和內部控制分析會有助於提升控制環境。另外,在選擇實施CSA時,執行者還應當就以下問題進行決策:
要在組織的哪一分部實行CSA
需要考慮哪些職能或目標
評價過程具體應包含哪個層次(車間、分區、分部等等)
發揮內審人員作用,形成內控評價合力。關於內審人員在CSA中的作用問題,有兩種不同的看法。有些CSA參與者認為,CSA應包含內部審計,視內部審 計為CSA的恰當驅動者;還有一些CSA參與者則認為,CSA只能由經營管理當局或工作小組來有效執行。我們認為,在我國現階段,為了確保各相關集團的利 益得到保護,不論CSA過程是由內部審計還是經營管理當局來驅動,內審人員都應持續監控並參與CSA,使內、外部審計和CSA在內控評價方面形成的合力。