公司内控制度测试评价
A. 企业内部控制怎样评价
内部控制检查与评价业务流程
1. 目标
通过规范内部控制的检查与评价工作流程,确保检查评价工作按规定程序和适当授权进行,实现预期目标;确保检查评价工作的方法和标准一致,减少检查评价工作的随意性;确保集团公司和企业在年度财务决算中恰当披露内部控制制度执行情况,符合国家有关法律法规和外部监管机构的要求,并促进各项内部控制制度的不断改进、完善和严格执行。
2. 风险
由于检查与评价工作流程设计不合理或控制不当,可能导致对内部控制制度及执行情况评价不恰当;可能导致各项内部控制制度的检查评价工作存在随意性;可能导致年度财务决算对内部控制制度的执行情况对外披露的信息失当而受到外部监管机构的处罚。
3. 工作流程步骤与控制点
3.1 成立和确定检查评价领导小组和工作组
★3.1.1 企业(或总部)应当成立内部控制检查评价工作领导小组(以下简称“检评领导小组”),组长由主要负责人担任,副组长由总会计师/分管财务领导担任,成员由财务、审计、人事、监察、销售、采购等部门的主要负责人组成。
★3.1.2 检评领导小组应当根据实际情况,按照成本和效益原则,确定或组建内部控制检查评价工作组(以下简称“检评组”)。检评组可以设在(或授权)财务或审计部门,也可另行组成由财务、审计、人事、监察等有关部门相关人员参加的检评组,组长可由审计部门负责人担任。
3.2 制定检查评价工作计划
3.2.1 检评组每年年初根据本流程规定和检评领导小组的要求,编制内部会计控制检查评价工作计划,具体明确各类业务定期抽查的时间(按季或半年或年进行抽查)、抽查样本量的比例(5%~15%)以及随机抽查的方法,明确检查人员的分工和各有关部门的配合责任,以及完成检评工作的时间目标和要求。
★3.2.2 检评组将检评工作计划报总会计师/分管财务领导审阅后,提交检评领导小组审定。
3.3 实施检查和计算得分
3.3.1 检评组人员根据工作计划,按规定的抽样比例和方法,随机抽取各类业务的样本。同时依据各自的分工,对所抽取的业务样本控制点,按照规范的业务流程表中控制点和不相容职务/岗位分离及授权等要求,实施符合性测试。
★3.3.2 检评组人员将检查测试情况按每笔业务逐笔如实进行记录(包括抽查时间、抽查方法、抽查的具体业务合同或凭证编号、检查测试得分结果等),建立检查评价工作底稿,签字后交检评组负责人或其授权人员审核签字。
3.3.3 对检查测试中发现控制点缺失或控制点虽然存在但未按规定实施控制的,一律按扣减法扣减该控制点的权重得分。每笔业务控制点权重总分为100分,扣除扣减分数后即为该笔业务内部会计控制执行的实际得分。
3.3.4 同类业务逐笔得分相加除以笔数即可得出该类业务内部控制执行情况的实际得分。各类业务简单平均得分相加除以类别数即可计算出全部业务的内部控制执行情况的实际综合得分。
3.4 编写检查评价报告
3.4.1 检查人员根据抽查业务的内部控制检查测试的得分情况,可以对各类业务的内部控制执行情况做出定量和定性的评价,也可对全部业务内部控制执行总体情况做出定量和定性的综合评价。
3.4.2 凡内部控制检查测试平均得分在95分(含)以上的,且在实际执行中未出现一般性问题或实质性问题,内部控制执行情况可认定为“无疏漏”或者存在“轻微疏漏”,执行情况可评价为好;在85-94分(含)之间,且在实际执行中未出现一般性问题或实质性问题,可认定为存在“一般疏漏”,执行情况可评价为较好;在70-84分(含)之间,且在实际执行中未出现实质性问题,可认定为存在“一般缺陷”,执行情况可评价为一般;在70分以下,不管在实际执行中是否出现一般性问题或实质性问题,可认定为存在“重大缺陷”,执行情况可评价为差。及时检查测试平均得分在70分(含)以上,但在实际执行中发生了一般性问题或实质性问题,则相应认定为存在“一般缺陷”或“重大缺陷”。
3.4.3 检评组根据内部控制业务检查结果情况,编写《内部控制检查评价报告》。检查评价报告的主要内容包括:(1)检查评价工作的组织开展情况;(二)检查样本的抽取方法和测试结果情况;(三)内部控制执行情况的具体分析;(四)加强改进内部控制的意见和建议。检查评价报告要有定性和定量分析,以数据和事实为依据。
★3.4.4 检评组负责人对各检查人员的检查工作底稿和扣(计)分情况以及《内部控制检查评价报告》进行审核修改并签字,报分管内控领导/总会计师审阅。
3.5 审定上报检查评价结果
3.5.1 检评组将内部控制检查情况和初步评价意见向内部控制检评领导小组汇报,如实反映检查测试结果和定性定量评价意见,并将《内部控制检查评价报告》报领导小组审定。
★3.5.2 检评领导小组审议内部控制检评结果,并对存在的缺陷和问题,以及检评组提出的意见和措施予以研究,形成具体改进措施贯彻落实。
★3.5.3 将经审定的《内部控制检查评价报告》和有关业务内部控制检查得分情况汇总表一并上报集团公司内控办公室备案,或对外发布。
3.6 考核奖惩
3.6.1 每年年度终了后,检评组应当根据全年检评综合得分及评价情况(按季检查的为4次平均得分,按半年检查的为2次平均得分,按年检查的为1次平均得分)提出内部控制执行的奖惩意见,报检评领导小组审议。
★3.6.2 检评领导小组审核奖惩意见,并将审核结果报企业办公会议审定后兑现。
3.7 集团公司整体内部控制执行情况的评价
3.7.1 集团公司内控办公室根据企业上报备案的内部控制检查评价情况,对企业年度内部控制执行情况做出基本评价。
★3.7.2 为增强集团公司检查评价的科学性和可靠性,集团公司内控办公室评价企业时还可将集团公司财务、审计部门或社会审计中介机构在本年度开展的财务稽核、财务(决算)审计中对企业内部控制执行情况所进行的检查评价结果纳入评价范围,并按企业自我评价得分权重40%、企业外部评价得分(如两家或三家都有评价得分则取平均得分)权重60%计算,得出新的综合得分和评价结果。
3.7.3 集团公司内控办公室再以各直属企业为权数,计算出全部企业内部控制执行情况的平均得分,从而得出集团公司内部控制执行情况的年度总体得分和评价结论。
★3.7.4 集团公司内控办公室依据各企业或总部有关部门对内部控制执行的检查测评情况,编写集团公司年度《内部控制执行情况检查评价报告》,报经集团公司领导或总经理办公会审定后,即可对外发布,并进行奖惩。
★3.7.5 集团公司有关部门应当针对内部控制的薄弱环节和存在的缺陷,采取有力措施加以改进和完善。
B. 内部控制评估和测试的方法主要包括哪些具体解释。
内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的=系列行动和过程,主要目的包括:信息的可靠性和完整性:政策、计划、程序、法规的遵循性;资产的安全性:资源使用的经济性和有效性;为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制,它既对内部控制的健全和有效进行评价,以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否,与该实体是否存在具有规范的内部控制制度有效执行,有着相当程度的因果关系。内部控制的存在与否,对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营,而内部审计则在于协助管理层调查、评估内部控制制度,适时提供改进建议,以求内部控制制度得以持续实施。在通常情况下,内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进,通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时,审计主体对审计结论负有相应的责任。因此,审计工作必须讲究效率与结果,保证内部控制的合理性和运行的有效性。 适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准,就等于没有实质意义的管理,缺少有效的内部控制,内部审计工作展开也就无法真正发挥其作用,以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时,必须首先评估组织面临的经营、管理、财务,风险,考虑组织目标是否适当和是否有相应的控制,这不仅体现在具体项目及与部门的相互沟通方面,而且还反映在宏观上审计目标的不断演变。由此可见,内部审计人员根据风险评估的思路开展对内部控制的评价,以组织目标为起点和核心,能够更加有效地发挥建设性作用,完成由监督控制到风险基础,为组织做好服务。 现代企业内部审计工作主要涵盖以下内容: 1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明; 2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任审计和年度经济责任审计。 3、经济效益审计。审计重点是在保证社会效益的前提下 以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果做出判断和评价,其中基建工程预决算审计应为重中之重。 4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。 5、开展明晰产权的审计。审计明晰其产权归属,避免造成国有资产、集体资产流失或其他有损企业利益的行为。 6、其他审计。结合企业自身行业特点,开展对经营、管理等方面的审计工作,以增强医院后备能量。 内部控制是企业有效组织经营,进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试,可以评价企业内部控制制度的健全性、遵循性和有效性,能针对内部控制中的薄弱环节及时提出相应改进建议,促使企业以合理的成本促进有效控制,达到改善企业内部经营状况的目的。内部审计在当前企业转机建制过程中,应抓住时机,认真总结经验,研究和探讨审计工作的新方法、新思路,拓宽视野,尽快消除旧的思维方式和工作模式,跳出常规的财务收支审计局限,向经济效益审计、经济责任审计、管理审计领域进一步延伸。参考资料:
C. 怎样进行企业内部控制测评
从审计意义上来说,内部控制测评(简称“内控测评”)是指审计人员采用一定的技术和方法,对被审计单位内部控制的设置和执行情况进行调查了解和测试,并对内部控制的健全性和有效性作出评价,以确定审计范围和审计重点的过程或活动。现实中,多数企业或单位内部控制存在着这样、那样的缺陷与不足,与理想状态有着一定的差距。本文就怎样结合被审计单位的具体情况开展内控测评谈点看法。
一、收集与内部控制有关的文件资料。审计人员在对某个单位进行审计时,首先应当详细调查了解被审计单位内部控制的详细情况和管理现状,并尽可能地收集齐全该单位涉及内部控制的所有文件资料,特别是比较重要的控制环节和控制因素。调查了解收集的文件资料既包括被审计单位形成书面文字的规章制度、岗位职责、工作流程、操作程序等,也包括没有留下文字记录,仅仅以讨论通过、领导拍板、电话通知等形式所作出的一些具有遵循执行作用的规定等。
二、搜集、查找与被审计单位及审计目标有关的外部法律法规、政策制度等规定。一般认为,审计人员搜集、查找有关的制度规定,很多情况下是在查出问题后用作处理处罚的依据,其实不然。许多法律法规、政策制度等规定的制定,其出发点本身就是为了规范,为了管理的需要,尤其是一些操作性强、内容具体的制度等,审计人员完全可以用来作为内控测试的依据和内容。这就要求审计人员要尽可能多地找寻到与被审计对象、与本次审计目标有关的各种外部规定,获得最大范围可以进行内控测试的原始资料。
三、编制内控测试审计工作底稿。上述两步工作完成后,接下来就是对被审计单位的内控管理制度规定情况和搜集好的原始资料进行认真仔细研究,并把它们分类、归纳和整理,然后用简明扼要的语言编制成能进行具体测试的审计工作底稿。这种自己编制的审计工作底稿,一户一用,比较符合被审计单位内部控制的具体情况,具有较强的针对性和适用性。
四、测试、修正和补充审计工作底稿。审计人员在用上述审计工作底稿或审计程序表进行具体测试时,仍有可能遇到与实际状况不太一致或不相符合、不适用的情况。这时,审计人员应当及时对原测试内容进行调整、修正和补充,或者直接在测试底稿中加以注明,说明被审计单位的实际状况,使他人通过查阅审计工作底稿,能够对被审计单位的内部控制现状有个比较概要、真实和正确的印象。总之,内控测试要紧紧抓住被审计单位实际,以反映被审计单位真实内控状态为目标,而不是其他。
五、评价与对照。审计人员用自己编制的审计工作底稿完成对被审计单位内控初步测试后,便可根据测试结果得出内控评价。由于测试内容是根据被审计单位情况进行设计的,因此测试结果一般比较符合被审计单位的实际情况,所得出的内控评价也一定比较客观、正确,使下一步要进行的实质性测试有了比较明确的方向和范围。
采用上述步骤所进行的内控测评,难点在于编制适合被审计单位实际情况的审计工作底稿上,因为编制的审计工作底稿内容越贴近被审计单位实际情况,所得出的内控评价也就越真实正确,可信度越高。这就要求审计人员开动脑筋,花费大力气对被审计单位的内控状况和外部管理的各项规定进行认真仔细的研究。
相关热词:内部控制
D. 内部控制制度的检查评价
内部控制的检查与评价是通过内部审计来完成的。内部审计在某种程度上可以理解为对内部控制的控制。通常可按以下程序和步骤:
1.确定被审计单位内部控制的标准。内部审计将根据标准对被审计单位的内部控制的现状进行检查和判断。
2.检查、判断被审计单位内部控制的健全情况,在分析被审计单位控制缺陷及潜在影响的基础上,即可对被审计单位内部控制的健全性作出评价。
3.测试被审计单位内部控制的有效性。内部审计应当科学地选定具有代表性的测试样本,借以正确判断被审计单位内部控制的质量状况。
4.写出内部控制检查与评价的最终报告。内部审计人员在其最终报告中,提出若干具体调查结论、意见、评价和建议,供单位最高管理层采纳,同时送交被审计单位的管理人员以改进内部控制。
E. 内部控制评价有哪些内容
关于内部控制评价内容,从范围看,一般认为企业内部控制评价应根据资源情况和组织需求来决定,既可以是全面内部控制评价,如对整个内部控制系统进行评价,然后把信息反馈给最高管理当局;也可以是局部评价,如对某个部门或某个控制进行评价,然后把发现的不足或某一方面控制精确度的信息反馈给某些管理人员。全面内部控制评价一般每年进行一次,而局部内部控制评价视需要而定。从内容看,大多从内部控制要素角度,要求内部控制评价内容至少包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素。当然,还有把内部控制评价分为内部控制设计和执行,自我评估和独立评估,全面内部控制和业务控制,过程评价和结果评价两个层面的。还有把内部控制评价的内容分为公司治理层面、业务流程层面、信息科技层面,治理结构层面、财务控制层面和业务控制层面等三个层面。从标准看,有些内部控制规范和理论认为,内部控制评价无论是总体还时局部,无论是设计还是执行,都应当以内部控制的健全性、恰当性(或者称为合理性、科学性)和有效性为标准。有些规范和理论认为,内部控制评价,包括对内部控制设计有效性和运行有效性的评价。还有人认为,内部控制评价要对内部控制系统设计的有效性、内部控制运行的有效性和内部控制系统设计及运行的经济性进行评价。
人们习惯于把内部控制评价的内容分为整体层面控制评价和业务层面控制评价。整体层面控制评价,就是对整体层面控制有效性的评价过程,是一个流程。这个流程包括:确定整体层面控制是否创建了一个使业务层面控制有效执行的总体环境;识别整体层面控制的弱点,这些弱点会影响业务层面控制测试的设计。整体层面控制评价不是内部控制总体评价,内部控制总体评价,是对各种控制过程与因素的综合考虑,从而得出一个总体的评论。整体层面控制的测试是针对具体的控制目标,但评价时应将控制作为一个整体,而不是单独的控制目标。如一个控制领域的弱点,可通过其他领域有效控制的设计和执行予以弥补。控制需有多可靠才能被认为是有效的?整体层面控制必须达到最高水平的可靠性才能有效吗?在决策时,应考虑以下事项:一是整体考虑。最终,内部控制有效性应以系统整体而不是单个组成要素来评估。在设计系统时,机构就应进行权衡,是改进系统中某些要素抑或是通过其他更有效的控制进行弥补。二是合理保证和重要性。内部控制仅能提供合理的而不是绝对的保证。内部控制有效性的评价应基于财务报表的整体作出判断,因此应从财务报表的整体来考虑,内部控制未能防止或发现的错报是否重要。用于评价整体层面控制的的流程包括:使用内部控制可靠性模型,为每一个控制目标的有效性分级;将单个控制目标融入组织整体层级控制之中。究竟如何对控制有效性进行最终评价?加拿大特许会计师协会对此进行了研究,一个特别的结论值得注意。证据不仅仅是事实的集合,而且是审计人员所了解的每一件事的整合。证据不是以整齐的先后顺序出现的——它是非线性的、零散的,必须进行整理、归类和综合。一些证据是具体的事实,可以客观地证实,但大多是所见、所听或所感的印象,它包括组织中人们的态度和意图、组织文化和道德论调。在有意或无意的过程中,人们会考虑所有这些因素——当形成结论时,把它们作为证据。业务层面控制评价,就是对业务层面控制有效性的评价过程,是内部控制评价的核心内容。
中天恒3C框架一直主张内部控制评价应当包括会计控制、业务控制和管理控制三个方面,会计控制评价是基础,业务控制评价是核心,管理控制评价是努力的方向。内部控制评价肯定包括设计和执行两个方面,但关键还是执行。
在信息系统环境下与手工处理环境下的内部控制评价内容肯定不同。通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
关于内部控制评价的内容,理论上可继续探索,但实际执行中,还是要统一到《企业内部控制评价指引》的要求上来。我国企业内部控制评价的内容应以《企业内部控制基本规范》及配套指引为起点,以企业设计的《企业内部控制手册》为依据,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容。当然要对内部控制设计与运行情况进行全面评价。企业内部控制评价具体内容应由企业经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定,不能固定化和模式化。
这里需要特别强调的,内部控制评价内容不能仅仅限于对五要素的总体评价,而要对企业财务、业务、管理控制进行具体评价。企业的业务千差万别,规模大小也不一样,但企业内部控制评价具体内容应至少包括已经颁布的企业内部控制配套指引主要内容。
F. 上市公司内部控制评价体系
企业内部控制评价是对内部控制执行有效性的检测,目前我国的内部控制评价标准体系尚未建立。今年3月,财政部发布了财会便(2007)7号关于印发《企业内部控制规范-基本规范》和17项具体规范(征求意见稿)的通知,其目的在于推动国内上市公司实行内部控制自我评价制度和注册会计师审计制度,填补企业内部控制标准的空白,从而为建立企业内部控制评价体系打下基础。
在实际审计工作中,对被审计单位企业的内部控制进行评价,必须要有一套客观可行的基本参照标准。这套标准不仅可为企业自我评估和改进其内部控制以及注册会计师发表评价意见提供依据,还可以为各方面的沟通与理解提供统一的基础。我国在内部会计控制的建设与完善方面虽已进入起步阶段,但有关内部会计控制的标准和评价体系较为薄弱,制约了企业内部控制的有效执行。因此,建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系已势在必行。
内部控制评价体系框架
研究、制定一套具有统一性、公认性和完善性,既符合实际又具有可操作性的评价标准体系,应从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。
这里所说的一般标准大致包括3方面,即完整性、合理性、有效性。具体标准由内部控制要素评价标准和作业层级评价标准两部分组成,其中要素评价标准可分为5个方面,即控制环境、风险评估、控制活动、信息与沟通、监督;作业层级评价标准因其繁琐复杂,难以穷尽,如以生产性企业为例进行框架构建,可分为5个业务循环,即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。在内部控制评价的具体标准中,要素评价标准以作业层级评价标准为基础。
一般标准测试的3大方面
首先是完整性。企业内部控制是否完整是评价一般标准中首要的一条,同时又是基础。若内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起了。
从系统的观点出发,可以从企业资源利用角度去审视:应有“人力资源控制系统、物力资源控制系统、财力资源控制系统、信息资源控制系统”;从经营环节角度去审视:应有“供应环节控制系统、生产环节控制系统、销售环节控制系统”;等等。在对内部控制的完整性作出判断时,还应当考虑到企业经营规模及业务复杂程度的影响。一般情况下,企业经营规模愈大,业务复杂程度就愈高,对内部控制的完整性要求也愈高。
其次是合理性。企业设置内部控制切忌照抄照搬,因此应当考虑企业内控设计和执行时的适应性和经济性。因为,企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异,不同的企业就应当根据其不同的特点设置内部控制制度。
在对某一企业评价其内部控制的适用性时,要注意控制点的设置是否合理,有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,既不能分工过细,又能起到相互牵制的作用。同时,内部控制的适用性要以经济性为限制条件。
第三是有效性。企业内部控制的有效性应该体现在是否能为提高经营效益、提供可靠财务报告和遵循法律法规方面提供合理保证,有效性是内部控制的精髓。在内部控制评价的3个一般标准中,内部控制的有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。
在对企业内控制度的有效性进行审核评价时,要注意内部控制不仅仅需要在总体上是有效的,而且需要各项具体制度也要有明确的目的并发挥其自身的作用。要审核内部控制系统是否相互协调,自相矛盾;是否顾此失彼、相互制约;是否有利于整体功能的发挥。要关注内部控制是否适度,如果过严则会使管理活动失去活力,影响相关方积极性的发挥;过宽又会引起运行的机制失调,达不到控制目的。
具体标准测试的5大要素
在对内控制度进行评价时,只有先从操作性较强的具体标准入手,对具体内控制度的设计与运行有了认识之后,才能从整体上对企业内部控制的完整、合理、有效作出判断。对具体标准的评价方法常用的有“询问、观察、检查、重新执行”。企业内部控制评价可以按下列步骤展开:
首先是企业控制环境。以《上市公司内部控制指引》为依据,对企业进行测评。主要有:企业治理结构是否完善,董事会、监事会和股东大会等管理架构是否合法运作和科学决策;是否建立有效的激励约束机制和树立风险防范意识;企业管理层及业务环节是否开展内控培训,让内部风险防范成为高管的共识;是否培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境;企业高管人员和采购人员是否签订诚信承诺书,对所有的重要原材料及设备供应商,在购销活动中首先签订阳光协议,要求其操作过程透明公开,禁止商业贿赂等行为。
其次是企业风险。企业管理层应对影响企业目标实现的内、外部各种风险进行分析,考虑其可能性和影响程度,制定必要的对策。在对企业风险防范作测评时,应重点关注企业是否建立完整的风险评估体系,是否建立审计委员和风险管理部门,是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控;是否对已发现的企业各类风险有控制措施,如内控制度执行情况的检查和监督,以及相关制度是否向子公司延伸,以确保子公司的经营安全。
同时,还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善,如在日常经营风险管理中对“重大采购二次询价”,建立“不合格供应黑名单”是否有实时监控。是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。
第三是企业控制活动。企业管理层为确保风险对策有效执行和落实所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。
在对企业控制活动测试时,要重点审核组织机构方面采取的控制活动和内控制度方面采取的控制活动。在组织结构方面重点审核:机构、岗位及职责权限是否合理设置和分工,不相容职务是否相互分离,是否成立相关法律事务部门和职能,对采购与验收等环节是否设置相互监督制度,做到人员分离。企业是否把业务流程作为内部控制制度建设的重点,设置关键控制点和反馈系统。在内控制度建设方面重点审核:企业是否制定了董事会的议事规则、总经理事权规则、财务管理制度、采购管理制度、投资管理制度、合同管理制度、子公司管理制度、内控检查监督制度等。
第四是企业信息与沟通。在对企业信息活动测试时,要重点审核公司是否已制定公司内部信息和外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况,确保各类风险隐患和内部控制缺陷得到妥善处理;公司的日常业务包括资产、财务管理等是否实行流程表单化管理和建立ERP系统。
第五是企业检查与监督。在对企业该项活动测试时,要重点审核公司是否已制定了内部控制检查监督办法,该项工作是否在董事会或审计委员会直接领导下,有风险管理部门或审计部门具体负责实施,并有相关制度。如:基建项目是否有竣工决算审计制度、主要领导的离任是否实施责任审计,重大投资、担保、抵押、关联交易是否建立审核会签制度;以及是否有对公司重要物资、设备、原材料定期盘点和不定期的抽查制度,对公司现金、银行账户的抽查制度等。
综上所述,注册会计师对企业内部控制作出评价,包括被评价的企业内控制度是否符合我国有关法律法规和证券监管部门的要求,是否对企业重大风险、严重管理舞弊及重要流程错误等方面有控制和防范作用等,都有赖于建立一个完善的企业内部控制评价标准体系。相信通过有关部门的高度重视和实践的积累,一套比较成熟的、适合中国国情的企业内部控制评价标准体系不久将会建立。
G. 简述内部控制评价的一般程序
内部控制检查与评价业务流程
1. 目标
通过规范内部控制的检查与评价工作流程,确保检查评价工作按规定程序和适当授权进行,实现预期目标;确保检查评价工作的方法和标准一致,减少检查评价工作的随意性;确保集团公司和企业在年度财务决算中恰当披露内部控制制度执行情况,符合国家有关法律法规和外部监管机构的要求,并促进各项内部控制制度的不断改进、完善和严格执行。
2. 风险
由于检查与评价工作流程设计不合理或控制不当,可能导致对内部控制制度及执行情况评价不恰当;可能导致各项内部控制制度的检查评价工作存在随意性;可能导致年度财务决算对内部控制制度的执行情况对外披露的信息失当而受到外部监管机构的处罚。
3. 工作流程步骤与控制点
3.1 成立和确定检查评价领导小组和工作组
★3.1.1 企业(或总部)应当成立内部控制检查评价工作领导小组(以下简称“检评领导小组”),组长由主要负责人担任,副组长由总会计师/分管财务领导担任,成员由财务、审计、人事、监察、销售、采购等部门的主要负责人组成。
★3.1.2 检评领导小组应当根据实际情况,按照成本和效益原则,确定或组建内部控制检查评价工作组(以下简称“检评组”)。检评组可以设在(或授权)财务或审计部门,也可另行组成由财务、审计、人事、监察等有关部门相关人员参加的检评组,组长可由审计部门负责人担任。
3.2 制定检查评价工作计划
3.2.1 检评组每年年初根据本流程规定和检评领导小组的要求,编制内部会计控制检查评价工作计划,具体明确各类业务定期抽查的时间(按季或半年或年进行抽查)、抽查样本量的比例(5%~15%)以及随机抽查的方法,明确检查人员的分工和各有关部门的配合责任,以及完成检评工作的时间目标和要求。
★3.2.2 检评组将检评工作计划报总会计师/分管财务领导审阅后,提交检评领导小组审定。
3.3 实施检查和计算得分
3.3.1 检评组人员根据工作计划,按规定的抽样比例和方法,随机抽取各类业务的样本。同时依据各自的分工,对所抽取的业务样本控制点,按照规范的业务流程表中控制点和不相容职务/岗位分离及授权等要求,实施符合性测试。
★3.3.2 检评组人员将检查测试情况按每笔业务逐笔如实进行记录(包括抽查时间、抽查方法、抽查的具体业务合同或凭证编号、检查测试得分结果等),建立检查评价工作底稿,签字后交检评组负责人或其授权人员审核签字。
3.3.3 对检查测试中发现控制点缺失或控制点虽然存在但未按规定实施控制的,一律按扣减法扣减该控制点的权重得分。每笔业务控制点权重总分为100分,扣除扣减分数后即为该笔业务内部会计控制执行的实际得分。
3.3.4 同类业务逐笔得分相加除以笔数即可得出该类业务内部控制执行情况的实际得分。各类业务简单平均得分相加除以类别数即可计算出全部业务的内部控制执行情况的实际综合得分。
3.4 编写检查评价报告
3.4.1 检查人员根据抽查业务的内部控制检查测试的得分情况,可以对各类业务的内部控制执行情况做出定量和定性的评价,也可对全部业务内部控制执行总体情况做出定量和定性的综合评价。
3.4.2 凡内部控制检查测试平均得分在95分(含)以上的,且在实际执行中未出现一般性问题或实质性问题,内部控制执行情况可认定为“无疏漏”或者存在“轻微疏漏”,执行情况可评价为好;在85-94分(含)之间,且在实际执行中未出现一般性问题或实质性问题,可认定为存在“一般疏漏”,执行情况可评价为较好;在70-84分(含)之间,且在实际执行中未出现实质性问题,可认定为存在“一般缺陷”,执行情况可评价为一般;在70分以下,不管在实际执行中是否出现一般性问题或实质性问题,可认定为存在“重大缺陷”,执行情况可评价为差。及时检查测试平均得分在70分(含)以上,但在实际执行中发生了一般性问题或实质性问题,则相应认定为存在“一般缺陷”或“重大缺陷”。
3.4.3 检评组根据内部控制业务检查结果情况,编写《内部控制检查评价报告》。检查评价报告的主要内容包括:(1)检查评价工作的组织开展情况;(二)检查样本的抽取方法和测试结果情况;(三)内部控制执行情况的具体分析;(四)加强改进内部控制的意见和建议。检查评价报告要有定性和定量分析,以数据和事实为依据。
★3.4.4 检评组负责人对各检查人员的检查工作底稿和扣(计)分情况以及《内部控制检查评价报告》进行审核修改并签字,报分管内控领导/总会计师审阅。
3.5 审定上报检查评价结果
3.5.1 检评组将内部控制检查情况和初步评价意见向内部控制检评领导小组汇报,如实反映检查测试结果和定性定量评价意见,并将《内部控制检查评价报告》报领导小组审定。
★3.5.2 检评领导小组审议内部控制检评结果,并对存在的缺陷和问题,以及检评组提出的意见和措施予以研究,形成具体改进措施贯彻落实。
★3.5.3 将经审定的《内部控制检查评价报告》和有关业务内部控制检查得分情况汇总表一并上报集团公司内控办公室备案,或对外发布。
3.6 考核奖惩
3.6.1 每年年度终了后,检评组应当根据全年检评综合得分及评价情况(按季检查的为4次平均得分,按半年检查的为2次平均得分,按年检查的为1次平均得分)提出内部控制执行的奖惩意见,报检评领导小组审议。
★3.6.2 检评领导小组审核奖惩意见,并将审核结果报企业办公会议审定后兑现。
3.7 集团公司整体内部控制执行情况的评价
3.7.1 集团公司内控办公室根据企业上报备案的内部控制检查评价情况,对企业年度内部控制执行情况做出基本评价。
★3.7.2 为增强集团公司检查评价的科学性和可靠性,集团公司内控办公室评价企业时还可将集团公司财务、审计部门或社会审计中介机构在本年度开展的财务稽核、财务(决算)审计中对企业内部控制执行情况所进行的检查评价结果纳入评价范围,并按企业自我评价得分权重40%、企业外部评价得分(如两家或三家都有评价得分则取平均得分)权重60%计算,得出新的综合得分和评价结果。
3.7.3 集团公司内控办公室再以各直属企业为权数,计算出全部企业内部控制执行情况的平均得分,从而得出集团公司内部控制执行情况的年度总体得分和评价结论。
★3.7.4 集团公司内控办公室依据各企业或总部有关部门对内部控制执行的检查测评情况,编写集团公司年度《内部控制执行情况检查评价报告》,报经集团公司领导或总经理办公会审定后,即可对外发布,并进行奖惩。
★3.7.5 集团公司有关部门应当针对内部控制的薄弱环节和存在的缺陷,采取有力措施加以改进和完善。
内部控制检查与评价业务流程表
业务流程及控制点 权重 控制风险说明 不相容职务/岗位 授权及要求
3.1 成立和确定检查评价领导小组和工作组
★3.1.1 企业(或总部)应当成立内部控制检查评价工作领导小组(以下简称“检评领导小组”),组长由主要负责人担任,副组长由总会计师/分管财务领导担任,成员由财务、审计、人事、监察、销售、采购等部门的主要负责人组成。
★3.1.2 检评领导小组应当根据实际情况,按照成本和效益原则,确定或组建内部控制检查评价工作组(以下简称“检评组”)。检评组可以设在(或授权)财务或审计部门,也可另行组成由财务、审计、人事、监察等有关部门相关人员参加的检评组,组长可由审计部门负责人担任。
3.2 制定检查评价工作计划
3.2.1 检评组每年年初根据本流程规定和检评领导小组的要求,编制内部控制检查评价工作计划,具体明确各类业务定期抽查的时间(按季或半年或年进行抽查)、抽查样本量的比例(5%~15%)以及随机抽查的方法,明确检查人员的分工和各有关部门的配合责任,以及完成检评工作的时间目标和要求。
★3.2.2 检评组将检评工作计划报总会计师/分管财务领导审阅后,提交检评领导小组审定。
3.3 实施检查和计算得分
3.3.1 检评组人员根据工作计划,按规定的抽样比例和方法,随机抽取各类业务的样本。同时依据各自的分工,对所抽取的业务样本控制点,按照规范的业务流程表中控制点和不相容职务/岗位分离及授权等要求,实施符合性测试。
★3.3.2 检评组人员将检查测试情况按每笔业务逐笔如实进行记录(包括抽查时间、抽查方法、抽查的具体业务合同或凭证编号、检查测试得分结果等),建立检查评价工作底稿,签字后交检评组负责人或其授权人员审核签字。
3.3.3 对检查测试中发现控制点缺失或控制点虽然存在但未按规定实施控制的,一律按扣减法扣减该控制点的权重得分。每笔业务控制点权重总分为100分,扣除扣减分数后即为该笔业务内部控制执行的实际得分。
3.3.4 同类业务逐笔得分相加除以笔数即可得出该类业务内部控制执行情况的实际得分。各类业务简单平均得分相加除以类别数即可计算出全部业务的内部控制执行情况的实际综合得分。
3.4 编写检查评价报告
3.4.1 检查人员根据抽查业务的内部控制检查测试的得分情况,可以对各类业务的内部控制执行情况做出定量和定性的评价,也可对全部业务内部控制执行总体情况做出定量和定性的综合评价。
3.4.2 凡内部控制检查测试平均得分在95分(含)以上的,且在实际执行中未出现一般性问题或实质性问题,内部控制执行情况可认定为“无疏漏”或者存在“轻微疏漏”,执行情况可评价为好;在85-94分(含)之间,且在实际执行中未出现一般性问题或实质性问题,可认定为存在“一般疏漏”,执行情况可评价为较好;在70-84分(含)之间,且在实际执行中未出现实质性问题,可认定为存在“一般缺陷”,执行情况可评价为一般;在70分以下,不管在实际执行中是否出现一般性问题或实质性问题,可认定为存在“重大缺陷”,执行情况可评价为差。及时检查测试平均得分在70分(含)以上,但在实际执行中发生了一般性问题或实质性问题,则相应认定为存在“一般缺陷”或“重大缺陷”。
3.4.3 检评组根据内部控制业务检查结果情况,编写《内部控制检查评价报告》。检查评价报告的主要内容包括:(1)检查评价工作的组织开展情况;(二)检查样本的抽取方法和测试结果情况;(三)内部控制执行情况的具体分析;(四)加强改进内部控制的意见和建议。检查评价报告要有定性和定量分析,以数据和事实为依据。
★3.4.4 检评组负责人对各检查人员的检查工作底稿和扣(计)分情况以及《内部控制检查评价报告》进行审核修改并签字,报分管内控领导/总会计师审阅。
3.5 审定上报检查评价结果
3.5.1 检评组将内部控制检查情况和初步评价意见向内部控制检评领导小组汇报,如实反映检查测试结果和定性定量评价意见,并将《内部控制检查评价报告》报领导小组审定。
★3.5.2 检评领导小组审议内部控制检评结果,并对存在的缺陷和问题,以及检评组提出的意见和措施予以研究,形成具体改进措施贯彻落实。
★3.5.3 将经审定的《内部控制检查评价报告》和有关业务内部控制检查得分情况汇总表一并上报集团公司内控办公室备案,或对外发布。
3.6 考核奖惩
3.6.1 每年年度终了后,检评组应当根据全年检评综合得分及评价情况(按季检查的为4次平均得分,按半年检查的为2次平均得分,按年检查的为1次平均得分)提出内部控制执行的奖惩意见,报检评领导小组审议。
★3.6.2 检评领导小组审核奖惩意见,并将审核结果报企业办公会议审定后兑现。
3.7 集团公司整体内部会计控制执行情况的评价
3.7.1 集团公司内控办公室根据企业上报备案的内部控制检查评价情况,对企业年度内部控制执行情况做出基本评价。
★3.7.2 为增强集团公司检查评价的科学性和可靠性,内控办公室在评价企业时还可将集团公司财务、审计部门或社会审计中介机构在本年度开展的财务稽核、财务(决算)审计中对企业内部控制执行情况所进行的检查评价结果纳入评价范围,并按企业自我评价得分权重40%、企业外部评价得分(如两家或三家都有评价得分则取平均得分)权重60%计算,得出新的综合得分和评价结果。
3.7.3 集团公司内控办公室再以各直属企业为权数,计算出全部企业内部控制执行情况的平均得分,从而得出集团公司内部控制执行情况的年度总体得分和评价结论。
★3.7.4 集团公司财会部门依据各企业或总部有关部门对内部控制执行的检查测评情况,编写集团公司年度《内部控制执行情况检查评价报告》,报经集团公司领导或总经理办公会审定后,即可对外发布,并进行奖惩。
★3.7.5 集团公司有关部门应当针对内部控制的薄弱环节和存在的缺陷,采取有力措施加以改进和完善。