內控運行評價
① 內部控制評價有哪些內容
關於內部控制評價內容,從范圍看,一般認為企業內部控制評價應根據資源情況和組織需求來決定,既可以是全面內部控制評價,如對整個內部控制系統進行評價,然後把信息反饋給最高管理當局;也可以是局部評價,如對某個部門或某個控制進行評價,然後把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次,而局部內部控制評價視需要而定。從內容看,大多從內部控制要素角度,要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然,還有把內部控制評價分為內部控制設計和執行,自我評估和獨立評估,全面內部控制和業務控制,過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面,治理結構層面、財務控制層面和業務控制層面等三個層面。從標准看,有些內部控制規范和理論認為,內部控制評價無論是總體還時局部,無論是設計還是執行,都應當以內部控制的健全性、恰當性(或者稱為合理性、科學性)和有效性為標准。有些規范和理論認為,內部控制評價,包括對內部控制設計有效性和運行有效性的評價。還有人認為,內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣於把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價,就是對整體層面控制有效性的評價過程,是一個流程。這個流程包括:確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境;識別整體層面控制的弱點,這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價,內部控制總體評價,是對各種控制過程與因素的綜合考慮,從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標,但評價時應將控製作為一個整體,而不是單獨的控制目標。如一個控制領域的弱點,可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的?整體層面控制必須達到最高水平的可靠性才能有效嗎?在決策時,應考慮以下事項:一是整體考慮。最終,內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時,機構就應進行權衡,是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基於財務報表的整體作出判斷,因此應從財務報表的整體來考慮,內部控制未能防止或發現的錯報是否重要。用於評價整體層面控制的的流程包括:使用內部控制可靠性模型,為每一個控制目標的有效性分級;將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價?加拿大特許會計師協會對此進行了研究,一個特別的結論值得注意。證據不僅僅是事實的集合,而且是審計人員所了解的每一件事的整合。證據不是以整齊的先後順序出現的——它是非線性的、零散的,必須進行整理、歸類和綜合。一些證據是具體的事實,可以客觀地證實,但大多是所見、所聽或所感的印象,它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中,人們會考慮所有這些因素——當形成結論時,把它們作為證據。業務層面控制評價,就是對業務層面控制有效性的評價過程,是內部控制評價的核心內容。
中天恆3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面,會計控制評價是基礎,業務控制評價是核心,管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面,但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常,計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用於較寬范圍的風險,這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險(如工資、應收賬款和采購應用系統等),其風險來源於信息系統中應用系統本身的漏洞,直接威脅到數據的安全、准確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利於企業內部控制目標的實現,並以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,並以此評價相關應用系統操作數據的真實性、准確性和合規性。
關於內部控制評價的內容,理論上可繼續探索,但實際執行中,還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點,以企業設計的《企業內部控制手冊》為依據,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定,不能固定化和模式化。
這里需要特別強調的,內部控制評價內容不能僅僅限於對五要素的總體評價,而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別,規模大小也不一樣,但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。
② 內部控制評價是指評價內部控制運行的有效性是對還是錯
內部來控制有效性包含兩個層面,一是自內部控制設計的有效性,二是內部控制的執行有效性。所謂內部控制設計的有效性是指內部控制的設計覆蓋了所有組織應關注的重要風險,且設計的風險應對措施適當。通俗的說就是應該有的制度都有,且這些制度符合內控規范要求,從設計角度而言,能夠達到控制風險的作用。所謂內部控制執行的有效性是指內部控制能夠按照設計要求嚴格(有效)執行。在我國,問題往往出在執行層面,有制度不執行或亂執行。只有有效執行才能發揮制度功能,有效控制風險,才能發現制度本身可能存在的設計缺陷,從而改進制度。
③ 內部控制評價方法有哪些
轉載以下資料,供您參考:
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
④ 內部控制評價的報告
內部控制評價報告可分為對內報告和對外報告,對外報告是為了滿足外部信息使用者的需求,需要對外披露,在時間上具有強制性,披露內容和格式強調符合披露要求;對內報告主要是為了滿足管理層或治理層改善管控水平的需要,不具有強制性,內容、格式和披露時間由企業自行決定。
企業因其外部環境和內部條件的變化,其內部控制系統不可能是固定的、一成不變的,而是一個不斷更新和自我完善的動態體系,因此對內部控制需要經常展開評價,在實際工作可以採用定期與不定期相結合的方式。
對外報告一般採用定期的方式,即企業至少應該每年進行一次內部控制評價並由董事會對外發布內部控制報告。年度內部控制評價報告應當以12月31日為基準日。值得說明的是,如果企業在內部控制評價報告年度內發生了特殊的事項且具有重要性,或因為具有了某種特殊原因(如企業因目標變化或提升),企業需要針對這種特殊事項或原因及時編制內部控制評價報告並對外發布。這種類型的內部控制評價報告屬於非定期的內部控制報告。
內部報告一般採用不定期的方式,即企業可以持續地開展內部控制的監督與評價,並根據結果的重要性隨時向董事會(審計委員會)或經理層報送評價報告。從廣義上講,企業針對發現的重大缺陷等向董事會(審計委員會)或經理層報送的內部報告(內部控制缺陷報告)也屬於非定期的報告。
企業應盡量按照統一的格式編制內部控制評價報告,以滿足外部信息使用者對內控信息可比的要求。
根據《評價指引》第二十一條和二十二條規定,內部控制評價對外報告一般包括以下內容。
1.董事會聲明。聲明董事會及全體董事對報告內容的真實性、准確性、完整性承擔個別及連帶責任,保證報告內容不存在任何虛假記載、誤導性陳述或重大遺漏。
2.內部控制評價工作的總體情況。明確企業內部控制評價工作的組織、領導體制、進度安排,是否聘請會計師事務所對內部控制有效性進行獨立審計。
3.內部控制評價的依據。說明企業開展內部控制評價工作所依據的法律法規和規章制度。
4.內部控制評價的范圍。描述內部控制評價所涵蓋的被評價單位,以及納入評價范圍的業務事項,及重點關注的高風險領域。內部控制評價的范圍如有所遺漏的,應說明原因,及其對內部控制評價報告真實完整性產生的重大影響等。
5.內部控制評價的程序和方法。描述內部控制評價工作遵循的基本流程,以及評價過程中採用的主要方法。
6.內部控制缺陷及其認定。描述適用本企業的內部控制缺陷具體認定標准,並聲明與以前年度保持一致或做出的調整及相應原因;根據內部控制缺陷認定標准,確定評價期末存在的重大缺陷、重要缺陷和一般缺陷。
7.內部控制缺陷的整改情況。對於評價期間發現、期末已完成整改的重大缺陷,說明企業有足夠的測試樣本顯示,與該重大缺陷相關的內部控制設計且運行有效。針對評價期末存在的內部控制缺陷,公司擬採取的整改措施及預期效果。
8.內部控制有效性的結論。對不存在重大缺陷的情形,出具評價期末內部控制有效結論;對存在重大缺陷的情形,不得作出內部控制有效的結論,並需描述該重大缺陷的性質及其對實現相關控制目標的影響程度,可能給公司未來生產經營帶來相關風險。自內部控制評價報告基準日至內部控制評價報告發出日之間發生重大缺陷的,企業須責成內部控制評價機構予以核實,並根據核查結果對評價結論進行相應調整,說明董事會擬採取的措施。
⑤ 內部控制評價是指評價內部控制運行的有效性這說法對嗎
內部控制有效性包含兩個層面,一是內部控制設計的有效性,二是內部控制的執行有效性回。所謂內部控答制設計的有效性是指內部控制的設計覆蓋了所有組織應關注的重要風險,且設計的風險應對措施適當。通俗的說就是應該有的制度都有,且這些制度符合內控規范要求,從設計角度而言,能夠達到控制風險的作用。所謂內部控制執行的有效性是指內部控制能夠按照設計要求嚴格(有效)執行。在我國,問題往往出在執行層面,有制度不執行或亂執行。只有有效執行才能發揮制度功能,有效控制風險,才能發現制度本身可能存在的設計缺陷,從而改進制度。
⑥ 如何開展 內部控制的有效性進行評價
企業內部控制評價是對內部控制執行有效性的檢測,目前我國的內部控制評價標准體系尚未建立。今年3月,財政部發布了財會便(2007)7號關於印發《企業內部控制規范-基本規范》和17項具體規范(徵求意見稿)的通知,其目的在於推動國內上市公司實行內部控制自我評價制度和注冊會計師審計制度,填補企業內部控制標準的空白,從而為建立企業內部控制評價體系打下基礎。在實際審計工作中,對被審計單位企業的內部控制進行評價,必須要有一套客觀可行的基本參照標准。這套標准不僅可為企業自我評估和改進其內部控制以及注冊會計師發表評價意見提供依據,還可以為各方面的溝通與理解提供統一的基礎。我國在內部會計控制的建設與完善方面雖已進入起步階段,但有關內部會計控制的標准和評價體系較為薄弱,制約了企業內部控制的有效執行。因此,建立一套完善的、符合實際的、具有可操作性的企業內部控制評價體系已勢在必行。內部控制評價體系框架研究、制定一套具有統一性、公認性和完善性,既符合實際又具有可操作性的評價標准體系,應從目標定位、內容範圍以及設置方式等方面來綜合考慮,既可以從企業管理與控制的目標入手,也可以從內部控制要素入手。但無論怎樣,企業內部控制評價標准都可以分為一般標准和具體標准兩部分,一般標准以具體標准為基礎,同時也是具體標準的升華,二者相輔相成,缺一不可,共同構成一個完整的評價體系。這里所說的一般標准大致包括3方面,即完整性、合理性、有效性。具體標准由內部控制要素評價標准和作業層級評價標准兩部分組成,其中要素評價標准可分為5個方面,即控制環境、風險評估、控制活動、信息與溝通、監督;作業層級評價標准因其繁瑣復雜,難以窮盡,如以生產性企業為例進行框架構建,可分為5個業務循環,即銷售業務循環、購貨業務循環、生產業務循環、薪金業務循環和理財業務循環。在內部控制評價的具體標准中,要素評價標准以作業層級評價標准為基礎。一般標准測試的3大方面首先是完整性。企業內部控制是否完整是評價一般標准中首要的一條,同時又是基礎。若內部控制的完整性都達不到,則內部控制的合理性與有效性就無從談起了。從系統的觀點出發,可以從企業資源利用角度去審視:應有「人力資源控制系統、物力資源控制系統、財力資源控制系統、信息資源控制系統」;從經營環節角度去審視:應有「供應環節控制系統、生產環節控制系統、銷售環節控制系統」;等等。在對內部控制的完整性作出判斷時,還應當考慮到企業經營規模及業務復雜程度的影響。一般情況下,企業經營規模愈大,業務復雜程度就愈高,對內部控制的完整性要求也愈高。其次是合理性。企業設置內部控制切忌照抄照搬,因此應當考慮企業內控設計和執行時的適應性和經濟性。因為,企業所處行業、組織規模、交易性質、經濟技術條件、人員素質等方面存在著很大的差異,不同的企業就應當根據其不同的特點設置內部控制制度。在對某一企業評價其內部控制的適用性時,要注意控制點的設置是否合理,有沒有安排過多或不必要的控制點;在每一個需要控制的地方是否都建立了控制環節;控制職能是否劃分清楚;人員間的分工和牽制是否恰當,既不能分工過細,又能起到相互牽制的作用。同時,內部控制的適用性要以經濟性為限制條件。第三是有效性。企業內部控制的有效性應該體現在是否能為提高經營效益、提供可靠財務報告和遵循法律法規方面提供合理保證,有效性是內部控制的精髓。在內部控制評價的3個一般標准中,內部控制的有效性以其完整性與合理性為基礎,內部控制的完整性與合理性則以其有效性為目的。在對企業內控制度的有效性進行審核評價時,要注意內部控制不僅僅需要在總體上是有效的,而且需要各項具體制度也要有明確的目的並發揮其自身的作用。要審核內部控制系統是否相互協調,自相矛盾;是否顧此失彼、相互制約;是否有利於整體功能的發揮。要關注內部控制是否適度,如果過嚴則會使管理活動失去活力,影響相關方積極性的發揮;過寬又會引起運行的機制失調,達不到控制目的。具體標准測試的5大要素在對內控制度進行評價時,只有先從操作性較強的具體標准入手,對具體內控制度的設計與運行有了認識之後,才能從整體上對企業內部控制的完整、合理、有效作出判斷。對具體標準的評價方法常用的有「詢問、觀察、檢查、重新執行」。企業內部控制評價可以按下列步驟:首先是企業控制環境。以《上市公司內部控制指引》為依據,對企業進行測評。主要有:企業治理結構是否完善,董事會、監事會和股東大會等管理架構是否合法運作和科學決策;是否建立有效的激勵約束機制和樹立風險防範意識;企業管理層及業務環節是否開展內控培訓,讓內部風險防範成為高管的共識;是否培育良好的企業精神和內部控制文化,創造全體職工充分了解並履行職責的環境;企業高管人員和采購人員是否簽訂誠信承諾書,對所有的重要原材料及設備供應商,在購銷活動中首先簽訂陽光協議,要求其操作過程透明公開,禁止商業賄賂等行為。其次是企業風險。企業管理層應對影響企業目標實現的內、外部各種風險進行分析,考慮其可能性和影響程度,制定必要的對策。在對企業風險防範作測評時,應重點關注企業是否建立完整的風險評估體系,是否建立審計委員和風險管理部門,是否對經營風險、財務風險、市場風險、政策法規風險和道德風險等進行持續監控;是否對已發現的企業各類風險有控制措施,如內控制度執行情況的檢查和監督,以及相關制度是否向子公司延伸,以確保子公司的經營安全。同時,還要關注對相關業務項目及已知風險點是否進行定期檢查評估、提示及完善,如在日常經營風險管理中對「重大采購二次詢價」,建立「不合格供應黑名單」是否有實時監控。是否對客戶建立資信信息檔案、是否定期梳理與公司發展戰略不符的業務或項目等等。第三是企業控制活動。企業管理層為確保風險對策有效執行和落實所採取的措施和程序,主要包括批准、授權、驗證、協調、復核、定期盤點、記錄核對、財產的保護、職責的分離、績效考核等內容。在對企業控制活動測試時,要重點審核組織機構方面採取的控制活動和內控制度方面採取的控制活動。在組織結構方面重點審核:機構、崗位及職責許可權是否合理設置和分工,不相容職務是否相互分離,是否成立相關法律事務部門和職能,對采購與驗收等環節是否設置相互監督制度,做到人員分離。企業是否把業務流程作為內部控制制度建設的重點,設置關鍵控制點和反饋系統。在內控制度建設方面重點審核:企業是否制定了董事會的議事規則、總經理事權規則、財務管理制度、采購管理制度、投資管理制度、合同管理制度、子公司管理制度、內控檢查監督制度等。第四是企業信息與溝通。在對企業信息活動測試時,要重點審核公司是否已制定公司內部信息和外部信息的管理政策,確保信息能夠准確傳遞,確保董事會、監事會、高級管理人員及內部審計部門及時了解公司及其控股子公司的經營和風險狀況,確保各類風險隱患和內部控制缺陷得到妥善處理;公司的日常業務包括資產、財務管理等是否實行流程表單化管理和建立ERP系統。第五是企業檢查與監督。在對企業該項活動測試時,要重點審核公司是否已制定了內部控制檢查監督法,該項工作是否在董事會或審計委員會直接領導下,有風險管理部門或審計部門具體負責實施,並有相關制度。如:基建項目是否有竣工決算審計制度、主要領導的離任是否實施責任審計,重大投資、擔保、抵押、關聯交易是否建立審核會簽制度;以及是否有對公司重要物資、設備、原材料定期盤點和不定期的抽查制度,對公司現金、銀行賬戶的抽查制度等。綜上所述,注冊會計師對企業內部控製作出評價,包括被評價的企業內控制度是否符合我國有關法律法規和證券監管部門的要求,是否對企業重大風險、嚴重管理舞弊及重要流程錯誤等方面有控制和防範作用等,都有賴於建立一個完善的企業內部控制評價標准體系。相信通過有關部門的高度重視和實踐的積累,一套比較成熟的、適合中國國情的企業內部控制評價標准體系不久將會建立。
⑦ 內部控制評價方式有哪些
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
⑧ 內部控制評價的概述
對於這一定義,可從以下三個角度進行理解。
(一)內部控制評價的主體是董事會或類似權力機構
內部控制評價的主體是董事會或類似的權力機構,是指董事會或類似的權力機構是內部控制設計和運行的責任主體。董事會可指定審計委員會來承擔對內部控制評價的組織、領導、監督職責,並通過授權內部審計部門或獨立的內部控制評價機構執行內部控制評價的具體工作,但董事會仍對內部控制評價承擔最終的責任,對內部控制評價報告的真實性負責。對內部控制的設計和運行的有效性進行自我評價並對外披露是管理層解除受託責任的一種方式,董事會可以聘請會計師事務所對其內部控制的有效性進行審計,但其承擔的責任不能因此減輕或消除。
(二)內部控制評價的對象是內部控制的有效性
內部控制評價的對象是內部控制的有效性,所謂內部控制的有效性,是指企業建立與實施內部控制對實現控制目標提供合理保證的程度。
從控制過程角度,內部控制的有效性可分為內部控制設計的有效性和內部控制運行的有效性。內部控制設計的有效性是指為實現控制目標所必需的內部控製程序都存在並且設計恰當,能夠為控制目標的實現提供合理保證;內部控制運行的有效性是指在內部控制設計有效地前提下,內部控制能夠按照設計的內部控製程序正確地執行,從而為控制目標的實現提供合理保證。內部控制運行的有效性離不開設計的有效性,如果內部控制在設計上存在漏洞,即使這些內部控制制度能夠得到一貫的執行,那麼也不能認為其運行有效的。
從控制目標的角度來看,內部控制的有效性可分為合規目標內部控制的有效性、資產目標內部控制的有效性、報告目標內部控制的有效性、經營目標內部控制的有效性、戰略目標內部控制的有效性。其中,合規目標內部控制的有效性是指相關的內部控制能夠合理保證企業遵循國家相關法律法規,不進行違法活動或違規交易;資產目標內部控制的有效性是指相關的內部控制能夠合理保證資產的安全與完整,防止資產流失;報告目標內部控制的有效性是指相關的內部控制能夠防止、發現並糾正財務報告的重大錯報;經營目標內部控制的有效性是指相關的內部控制能夠合理保證經營活動的效率和效果及時為董事會和經理層所了解或控制;戰略目標內部控制的有效性是指相關的內部控制能夠合理保證董事會和經理層及時了解戰略定位的合理性、實現程度,並適時進行戰略調整。
評價內部控制設計的有效性,可以考慮以下三個方面,一是內部控制的設計是否做到以內部控制的基本原理為前提,以《企業內部控制基本規范》及其配套指引為依據;二是內部控制的設計是否覆蓋了所有關鍵的業務與環節,對董事會、監事會、經理層和員工具有普遍的約束力;三是內部控制的設計是否與企業自身的經營特點、業務模式以及風險管理要求相匹配。評價內部控制運行的有效性,也可以從三個方面進行考察,一是相關控制在評價期內是如何運行的;二是相關控制是否得到了持續一致的運行;三是實施控制的人員是否具備必要的許可權和能力。
需要說明的是,由於受內部控制固有局限(如評價人員的職業判斷、成本效益原則)的影響,內部控制評價只能為內部控制目標的實現提供合理保證,而不能提供絕對保證。
(三)內部控制評價是一個過程
內部控制評價是一個過程,是指內部控制評價要遵照一定的流程來進行。內部控制評價工作不是一蹴而就的,它是一個涵蓋計劃、實施、編報等多個階段、包含多個步驟的動態過程。