第三部分 企業(yè)內(nèi)部控制評價指引
《第三部分 企業(yè)內(nèi)部控制評價指引》由會員分享,可在線閱讀,更多相關(guān)《第三部分 企業(yè)內(nèi)部控制評價指引(18頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、 企業(yè)內(nèi)部控制評價指引 ? ? 字體:大 中 小 打?。菏〖埌?> 清晰版>> 自定義>> ? 行距: 單倍 1.2單倍 1.5倍 1.7倍 2倍 字體: 大 中 小 隱藏: 答疑編號 手寫板 ? 一、內(nèi)部控制評價產(chǎn)生的歷程: 1978年,美國柯恩委員會(Cohen Commission)就建議企業(yè)管理當局在披露財務(wù)報告時,提交一份關(guān)于內(nèi)部控制系統(tǒng)的評價報告,說明管理當局對公司會計系統(tǒng)及其控制的評估,包括對控制系統(tǒng)固有限制及公司對獨立注冊會計師認定的重大缺陷做出反應(yīng)的描述,并要求獨立注冊會計師對該報告進行證明。 1987年,全美反舞
2、弊財務(wù)報告委員會在其報告中也提出了類似的建議,雖然全美反舞弊財務(wù)報告委員會未對內(nèi)部控制提出結(jié)論,但其報告立刻引起了廣泛的反應(yīng)。 1992年在《內(nèi)部控制——整體框架》中提出了內(nèi)部控制報告的框架。美國柯恩委員會(Cohen)報告、全美反舞弊財務(wù)報告委員會報告、COSO報告均認為,內(nèi)部控制報告應(yīng)著重說明控制系統(tǒng)的有效性。 在1979年和1998年,美國證券交易委員會(SEC)分別提議強制要求提供內(nèi)部控制報告。 1989年,美國政府審計署(GAO)也曾提議在存貸機構(gòu)緊急援助議案中,應(yīng)規(guī)定管理當局和審計人員報告內(nèi)部控制,但都沒有形成最終議案。 2001年以來,美國安然、世通等許
3、多著名公司暴露出的一系列財務(wù)舞弊問題引起了社會公眾的關(guān)注,嚴重影響了公眾對公司會計實務(wù)、財務(wù)報告的信心以及投資者的信心,迫于這種壓力和形勢。 2002年7月,美國國會通過并頒布了SOX法案,致力于治理財務(wù)丑聞和財務(wù)報告中可能出現(xiàn)的問題,目的是為了恢復公眾對公司會計實務(wù)和財務(wù)報告的信心。SOX法案結(jié)合公司的財務(wù)報告全面提高了對上市公司內(nèi)部控制的要求,把過去的很多自愿和選擇性做法變成了法定的、強制性的要求,其中302節(jié)和404節(jié)尤為具體,對內(nèi)部控制的評價和報告進行了明確的規(guī)定和要求。 美國上市公司內(nèi)部控制的評價和報告體系應(yīng)當包括:公司管理層對財務(wù)報告內(nèi)部控制的有效性進行評價,對內(nèi)向?qū)徲?/p>
4、委員會報告,對外發(fā)布公開報告;注冊會計師對財務(wù)報告內(nèi)部控制進行的審計,對管理層財務(wù)報告內(nèi)部控制有效性評價發(fā)表鑒證意見以及對公司財務(wù)報告內(nèi)部控制的有效性發(fā)表意見等兩個方面。 二、管理層對財務(wù)報告內(nèi)部控制評價 ?。ㄒ唬┕芾韺訉ω攧?wù)報告內(nèi)部控制評價標準 管理層斷定公司財務(wù)報告內(nèi)部控制有效的限度:如果管理層識別出公司財務(wù)報告內(nèi)部控制中的一個或多個重要弱點,管理層就不能確定公司的財務(wù)報告內(nèi)部控制是有效的。管理層的報告必須包含對管理層在評價過程中確定的公司財務(wù)報告內(nèi)部控制中所有重要弱點的披露。 ?。ǘ┕芾韺訉ω攧?wù)報告內(nèi)部控制評價內(nèi)容和方法:對公司財務(wù)報告內(nèi)部控制的評估必須根據(jù)
5、既能評價內(nèi)部控制的設(shè)計又能測試內(nèi)部控制運行有效性的程序進行。要受到這種評價的控制包括但不限于:1.對發(fā)起交易、記錄、處理和調(diào)節(jié)賬戶余額、交易分類和披露以及財務(wù)報告中包含的相關(guān)認定的控制;2.與非常規(guī)和非系統(tǒng)交易的動機和處理相關(guān)的控制;3.與適當會計政策的選擇和應(yīng)用相關(guān)的控制;4.與防止、識別和發(fā)現(xiàn)舞弊相關(guān)的控制。 ?。ㄈ┕驹趯嵺`評價并形成有關(guān)財務(wù)報告內(nèi)部控制有效性的評價結(jié)論時,要求保存證據(jù),為管理層對財務(wù)報告內(nèi)部控制有效性的評價結(jié)論提供合理的支持。 這些證據(jù)可以證明:1.對內(nèi)部控制是用來防止或發(fā)現(xiàn)重要錯報或遺漏的評價;2.對測試進行了適當?shù)囊?guī)劃和實施;3.測試的結(jié)果得到了適當考慮
6、。 ?。ㄋ模槭裁匆M行內(nèi)部控制的自我評價: 內(nèi)部控制自我評價提倡的是以研討會的方式讓全體員工參與內(nèi)部控制的建設(shè)。不僅有助于降低成本,而且符合人本管理的理念。因此,內(nèi)部控制自我評價對企業(yè)的重要性不言而喻?!镀髽I(yè)內(nèi)部控制基本規(guī)范》第二章內(nèi)部環(huán)境中要求審計委員會負責“審查企業(yè)內(nèi)部控制,監(jiān)督內(nèi)部控制的有效實施和自我評價情況”,內(nèi)部控制自我評價的現(xiàn)實意義是什么?如何具體實施內(nèi)部控制自我評價等問題是每個企業(yè)應(yīng)該關(guān)注的重要問題。 (五)內(nèi)部控制自我評價的概述: 《企業(yè)內(nèi)部控制規(guī)范-基本規(guī)范》所稱的內(nèi)部控制,是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。
7、 某公司的內(nèi)部控制評價辦法是這樣定義的,“內(nèi)部控制評價是指對內(nèi)部控制體系建設(shè)、實施和運行結(jié)果獨立開展的調(diào)查、測試、分析和評估等系統(tǒng)性活動?!? 建議將內(nèi)部控制運行結(jié)果評價修改為對內(nèi)部控制運行過程評價。 企業(yè)內(nèi)部控制的 “控制自我評估”,是指每個企業(yè)不定期或定期地對自己的內(nèi)部控制系統(tǒng)進行評估,評估內(nèi)部控制的有效性及其實施的效率效果,以期能更好地達成內(nèi)部控制的目標。 其基本的特征是:1)關(guān)注業(yè)務(wù)的過程和控制的成效;2)由管理部門和職員共同進行;3)用結(jié)構(gòu)化的方法開展評估活動?!翱刂谱晕以u估”是為提高組織內(nèi)部控制的自我意識所做的努力,這種活動經(jīng)常以研討會的形式進行。 目的:是使
8、人們了解哪里存在缺陷以及可能引致的后果,然后讓他們自己采取行動改進這種狀況,而不是坐等內(nèi)部審計人員站出來。研究表明,實施“控制自我評估”的方法對于一個企業(yè)加強管理、提高勞動生產(chǎn)率、改進內(nèi)部審計程序和業(yè)務(wù)經(jīng)營程序以及控制風險等有著積極的作用。 內(nèi)部控制自我評價是指公司管理層和員工共同在公司內(nèi)部為實現(xiàn)目標、控制風險,而進行的內(nèi)部控制系統(tǒng)的有效性和恰當性實施的自我評價方法。有效的內(nèi)部控制自我評價是一個對內(nèi)部控制效果的監(jiān)督和測試的持續(xù)過程。 (六)內(nèi)部控制自我評價工作開展 評價工作必須獲得公司所有階層/級別支持,通常要成立并維持強而有效的指導委員會,對其成員要進行持續(xù)的培訓以確保其勝
9、任水平,要大力加強指導委員會的權(quán)力以確保政令的暢通,可以先以某些部門、業(yè)務(wù)單元作為試點,及時總結(jié)經(jīng)驗,使方案得到完善,然后大面積推開。評估、匯報及持續(xù)改善是確保效益的重要元素。對涉及內(nèi)控評價的各個方面,必須清楚界定各角色職責并傳達到位, 有效溝通必不可少,不僅包括公司內(nèi)部與管理層的溝通,公司內(nèi)部各個部門之間的溝通,還包括與獨立審計師溝通,了解雙方的項目范圍及工作方式,對項目的重要、潛在的問題及時交流。及早將注意力集中到關(guān)鍵的問題,關(guān)注與財務(wù)報表有聯(lián)系的事項以及有可能導致重大錯誤的流程及其影響范圍。 另外,要建立相應(yīng)的內(nèi)控評價工作制度,并指定特定機構(gòu)、人員負責并監(jiān)督制度的貫徹實施;安
10、排適當培訓,加強有關(guān)人員對內(nèi)部控制的認識與控制負責人的責任意識,確保知識與技術(shù)的傳遞;要學會利用適當?shù)墓ぞ?,以確保內(nèi)控評價工作系統(tǒng)有效地進行;合理的項目組織與管理,明確項目的主導部門,與各部門的合作與協(xié)調(diào)方法,對項目進度的監(jiān)控及形成定期的工作結(jié)果報告渠道。 注意文檔記錄。由于內(nèi)控評價的過程都要留下文檔記錄,作為所做工作的證據(jù),以便日后外部審計人員的審核評價以及明確責任,對所做評價的記錄必須十分謹慎。尤其要注意避免在缺少對風險進行有效評估的情況下記錄內(nèi)控缺陷。 對于需要按照監(jiān)管要求實施內(nèi)部控制評價的企業(yè),為了在有限的時間內(nèi)富有成效地完成大量相關(guān)工作,高級管理層需要對該工作給予足夠的重
11、視,必須十分清楚有關(guān)的內(nèi)控規(guī)范要求以及監(jiān)管部門的具體部署。 企業(yè)應(yīng)當根據(jù)評價指引,結(jié)合內(nèi)部控制設(shè)計與運行的實際情況,制定具體的內(nèi)部控制評價辦法,規(guī)定評價的原則、內(nèi)容、程序、方法和報告形式等,明確相關(guān)機構(gòu)或崗位的職責權(quán)限,落實責任制,按照規(guī)定的辦法、程序和要求,有序開展內(nèi)部控制評價工作。企業(yè)董事會應(yīng)當對內(nèi)部控制評價報告的真實性負責。 三、企業(yè)內(nèi)部控制評價指引的講解 第一節(jié) 框架概述 《企業(yè)內(nèi)部控制評價指引》分為5章27條,從內(nèi)部控制評價的各個方面闡述了其具體內(nèi)容: ?。ㄒ唬┑谝徽驴倓t(第1~4條)。說明內(nèi)部控制評價指引制定的依據(jù)、定義、遵循的原則等
12、方面。 第1條,說明內(nèi)部控制評價指引出臺的目的和依據(jù),主要的依據(jù)為《企業(yè)內(nèi)部控制基本規(guī)范》。 第2條,指出內(nèi)部控制評價的定義,內(nèi)部控制評價是針對內(nèi)部控制有效性的評價、報告過程。 第3條,說明企業(yè)實施內(nèi)部控制評價應(yīng)遵循的原則。即全面性原則、重要性原則和客觀性原則。 第4條,指明企業(yè)依據(jù)內(nèi)部控制評價指引應(yīng)當履行的職責,并明確企業(yè)董事會應(yīng)當對內(nèi)部控制評價報告的真實性負責。 ?。ǘ┑诙聝?nèi)部控制評價的內(nèi)容(第5~11條)。 首先明確內(nèi)部控制評價的內(nèi)容是與五要素(內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督)相聯(lián)系的,然后分別闡述了對該五要素進行評價時,應(yīng)當遵
13、循的依據(jù)和要求,最后指明內(nèi)部控制評價工作應(yīng)當形成工作底稿,詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容。 ?。ㄈ┑谌聝?nèi)部控制評價的程序(第12~15條)。 第12條,內(nèi)部控制評價工作開展的程序。 程序:制定評價方案→組成評價工作組→實施現(xiàn)場測試→認定控制缺陷→匯總評價結(jié)果→編制評價報告 第13條,明確擬訂的評價工作方案要報經(jīng)董事會或其授權(quán)機構(gòu)審批后實施。 第14條,評價工作組的成員及回避事項。 第15條,內(nèi)部控制評估和測試的方法。包括個別訪談、調(diào)查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法。 ?。ㄋ模┑谒恼聝?nèi)部控制缺陷認定(第16~19條)。
14、第16~17條,內(nèi)部控制缺陷的分析、判斷因素和程度的劃分。 內(nèi)部控制的缺陷一般劃分為設(shè)計缺陷和運行缺陷。 內(nèi)部控制缺陷分為一般缺陷、重要缺陷和重大缺陷。 第18條,內(nèi)部控制評價工作的質(zhì)量交叉復核。 第19條,對內(nèi)部控制評價工作中發(fā)現(xiàn)的內(nèi)部控制缺陷進行分析,并報告相關(guān)部門。 重大缺陷應(yīng)當由董事會予以最終認定。 ?。ㄎ澹┑谖逭聝?nèi)部控制評價報告(第20~27條)。 第20~21條,內(nèi)部控制評價報告應(yīng)分別就五要素進行設(shè)計,并就相關(guān)內(nèi)容作出披露。 第22條,內(nèi)部控制評價報告中至少應(yīng)當披露的內(nèi)容。 第23~26,內(nèi)部控制評價報告報送部門、報告基準日及報送
15、時限。 第27條,建立內(nèi)部控制評價工作檔案管理制度。 第二節(jié) 重要條款解讀 一、內(nèi)部控制評價概述 內(nèi)部控制評價是企業(yè)董事會或類似權(quán)力機構(gòu)對內(nèi)部控制的有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程。企業(yè)應(yīng)當根據(jù)國家有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》的要求,結(jié)合企業(yè)實際情況,對戰(zhàn)略目標、經(jīng)營管理效率和效果目標、財務(wù)報告及相關(guān)信息真實完整目標、資產(chǎn)安全目標、合法合規(guī)目標等單個或整體控制目標的實現(xiàn)進行評價。 (一)內(nèi)部控制評價的目標 企業(yè)內(nèi)部控制評價的目標是通過對企業(yè)內(nèi)部控制體系的健全性、合理性和有效性的評價,促使企業(yè)切實加強內(nèi)部控制體系的建
16、設(shè)并認真執(zhí)行,并保證內(nèi)部控制體系得以持續(xù)、有效的改進。 1.強化內(nèi)部控制意識,建立健全內(nèi)部控制機制,嚴格落實各項控制措施,確保內(nèi)部控制體系有效運行。 2.提高風險管理水平,為實現(xiàn)企業(yè)發(fā)展戰(zhàn)略和經(jīng)營目標提供保障。 3.增強企業(yè)業(yè)務(wù)、財務(wù)和管理信息的真實性、完整性和及時性。 4.保障企業(yè)資產(chǎn)的安全和完整。 5.確保企業(yè)各項活動的合法合規(guī)性。 6.為企業(yè)的風險管理提供信息服務(wù)和決策支持。 內(nèi)部控制的目標:1)提高企業(yè)運營的效果和效率。2)財務(wù)報告的可靠性和完整性。3)法律法規(guī)和合同的遵循性。 ?。ǘ﹥?nèi)部控制評價的原則 在《企業(yè)內(nèi)部控制評價指引》中
17、規(guī)定:企業(yè)實施內(nèi)部控制評價,應(yīng)當遵循下列原則: 1.全面性原則。評價工作應(yīng)當包括內(nèi)部控制的設(shè)計與運行,涵蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項。 企業(yè)內(nèi)部控制是否完整是評價標準中首要的一條,同時又是基礎(chǔ)。若內(nèi)部控制的完整性都達不到,則內(nèi)部控制的合理性與有效性就無從談起了。 2.重要性原則。評價工作應(yīng)當在全面評價的基礎(chǔ)上,關(guān)注重要業(yè)務(wù)單位、重大業(yè)務(wù)事項和高風險領(lǐng)域??陀^的評價內(nèi)部控制,及時發(fā)現(xiàn)問題,及時予以更正,以使企業(yè)良好發(fā)展下去。 3.客觀性原則。評價工作應(yīng)當準確地揭示經(jīng)營管理的風險狀況,如實反映內(nèi)部控制設(shè)計與運行的有效性?! ? 在對某一企業(yè)評價其內(nèi)部控制的適用性時
18、,要注意控制點的設(shè)置是否合理,有沒有安排過多或不必要的控制點;在每一個需要控制的地方是否都建立了控制環(huán)節(jié);控制職能是否劃分清楚;人員間的分工和牽制是否恰當,既不能分工過細,又能起到相互牽制的作用。同時,內(nèi)部控制的適用性要以經(jīng)濟性為限制條件。 企業(yè)設(shè)置內(nèi)部控制切忌照抄照搬,因此應(yīng)當考慮企業(yè)內(nèi)控設(shè)計和執(zhí)行時的適應(yīng)性和經(jīng)濟性。因為,企業(yè)所處行業(yè)、組織規(guī)模、交易性質(zhì)、經(jīng)濟技術(shù)條件、人員素質(zhì)等方面存在著很大的差異,不同的企業(yè)就應(yīng)當根據(jù)其不同的特點設(shè)置內(nèi)部控制制度。 (三)內(nèi)部控制評價的組織機構(gòu) 企業(yè)內(nèi)部控制評價是一項難度非常大的工作,需要強有力的組織保障。應(yīng)該是企業(yè)最高級次的組織和人員
19、進行總體負責。董事會下設(shè)審計委員會,在行政系統(tǒng)——經(jīng)營管理系統(tǒng)設(shè)置審計機構(gòu);審計委員會成員由董事長、非執(zhí)行董事、總審計長和非公司董事(外聘)等組成。 二、內(nèi)部控制評價的內(nèi)容 具體內(nèi)容由內(nèi)部控制要素評價標準和作業(yè)層級評價標準兩部分組成,其中要素評價標準可分為5個方面,即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督;作業(yè)層級評價標準因其繁瑣復雜,難以窮盡,如以生產(chǎn)性企業(yè)為例進行框架構(gòu)建,可分為5個業(yè)務(wù)循環(huán),即銷售業(yè)務(wù)循環(huán)、購貨業(yè)務(wù)循環(huán)、生產(chǎn)業(yè)務(wù)循環(huán)、薪金業(yè)務(wù)循環(huán)和理財業(yè)務(wù)循環(huán)。在內(nèi)部控制評價的具體標準中,要素評價標準以作業(yè)層級評價標準為基礎(chǔ)。 (一)內(nèi)部控制五要素的評價
20、 《企業(yè)內(nèi)部控制基本規(guī)范》頒布后,企業(yè)內(nèi)部控制評價有了統(tǒng)一的標準,企業(yè)應(yīng)當根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》、應(yīng)用指引以及本企業(yè)的內(nèi)部控制制度,圍繞內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等要素,確定內(nèi)部控制評價的具體內(nèi)容,對內(nèi)部控制設(shè)計與運行情況進行全面評價。 1.內(nèi)部環(huán)境的評價。 企業(yè)控制環(huán)境。控制環(huán)境設(shè)定了一個組織的基調(diào),影響其員工的控制意識。企業(yè)控制環(huán)境決定其他控制要素能否發(fā)揮作用,是內(nèi)部控制其他控制要素發(fā)揮作用的基礎(chǔ),直接影響到企業(yè)內(nèi)部控制的貫徹和執(zhí)行以及企業(yè)內(nèi)部控制目標的實現(xiàn),是企業(yè)內(nèi)部控制的核心。任何新生事物的成長,都要有與之適應(yīng)的土壤。 我國大多數(shù)企業(yè)的
21、公司治理結(jié)構(gòu)不合理,鑒于一股獨大現(xiàn)象的嚴重性和普遍性,使得公司董事會、監(jiān)事會以及獨立董事制度的作用發(fā)揮非常有限,審計委員會和內(nèi)審部門的監(jiān)管職能也無法正常行使,究其原因,中國設(shè)立監(jiān)事會和建立獨立董事制度,是基于上市公司的要求,從形式上滿足規(guī)定,但是從《公司法》中對于監(jiān)事會成員的要求可以看出,監(jiān)事會成員與董事會成員的身份和地位是比較懸殊的,他們是依附于董事會和CEO的,因此很難發(fā)揮其應(yīng)有的作用,如果監(jiān)事會不對董事會的行為提出反對意見的時候,它還會成為董事會的保護傘。 企業(yè)組織開展內(nèi)部環(huán)境評價,應(yīng)當以組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等應(yīng)用指引為依據(jù),結(jié)合本企業(yè)的內(nèi)部控制制度,對
22、內(nèi)部環(huán)境的設(shè)計及實際運行情況進行認定和評價。 2.風險評估的評價。企業(yè)組織開展風險評估機制評價,應(yīng)當以《企業(yè)內(nèi)部控制基本規(guī)范》有關(guān)風險評估的要求,以及各項應(yīng)用指引中所列主要風險為依據(jù),結(jié)合本企業(yè)的內(nèi)部控制制度,對日常經(jīng)營管理過程中的風險識別、風險分析、應(yīng)對策略等進行認定和評價。 企業(yè)風險。企業(yè)管理層應(yīng)對影響企業(yè)目標實現(xiàn)的內(nèi)、外部各種風險進行分析,考慮其可能性和影響程度,制定必要的對策。在對企業(yè)風險防范作測評時,應(yīng)重點關(guān)注企業(yè)是否建立完整的風險評估體系,是否建立審計委員和風險管理部門,是否對經(jīng)營風險、財務(wù)風險、市場風險、政策法規(guī)風險和道德風險等進行持續(xù)監(jiān)控;是否對已發(fā)現(xiàn)的企業(yè)各類風險
23、有控制措施,如內(nèi)控制度執(zhí)行情況的檢查和監(jiān)督,以及相關(guān)制度是否向子公司延伸,以確保子公司的經(jīng)營安全。 同時,還要關(guān)注對相關(guān)業(yè)務(wù)項目及已知風險點是否進行定期檢查評估、提示及完善,如在日常經(jīng)營風險管理中對“重大采購二次詢價”、建立“不合格供應(yīng)黑名單”是否有實時監(jiān)控。是否對客戶建立資信信息檔案、是否定期梳理與公司發(fā)展戰(zhàn)略不符的業(yè)務(wù)或項目等等。 內(nèi)部審計關(guān)注風險識別的充分性;風險分析的恰當性;風險應(yīng)對策略的充分性、有效性。 首先,應(yīng)對企業(yè)的固有風險進行評估。確定對固有風險的風險反應(yīng)模式才能夠確定對固有風險的管理措施。 其次,管理者應(yīng)在對固有風險采取有關(guān)管理措施的基礎(chǔ)上,對企業(yè)的殘
24、存風險進行評估。 對風險影響的分析則可采用簡單算術(shù)平均數(shù)、最差的情形下的估計值或事項的分布等技術(shù)來分析企業(yè)風險評估的方法,分為定量分析和定性分析兩種。企業(yè)無須對所有的風險采用同樣一種評估方法,可根據(jù)不同的風險目標確定相應(yīng)的風險評估方法,達到成本最低情況下的效益最大化目的。(1)風險發(fā)生的概率很低,損失程度也很小。(2)風險發(fā)生的概率很高,但損失程度很小。(3)風險發(fā)生的概率很低,但造成的損失很大。(4)風險發(fā)生的概率很高,造成的損失也很大。 風險評估與舞弊行為:隨著經(jīng)濟的發(fā)展和外部環(huán)境的復雜化,企業(yè)面臨的風險也越來越大,而風險評估是提高企業(yè)內(nèi)部控制效率和效果的關(guān)鍵,因此對企業(yè)面臨的
25、風險進行合理的評估是很有必要的。風險評估是一個動態(tài)的過程,主要分為三個步驟:第一,估計風險的嚴重程度;第二,評估風險發(fā)生的可能性(或頻率);第三,考慮應(yīng)如何管理風險??梢?,通過風險評估過程,可以及時發(fā)現(xiàn)企業(yè)經(jīng)營過程中風險高發(fā)點和財務(wù)報表存在重大錯報和漏報的可能性。 以醫(yī)院為例闡述風險評估方面的評價: 為避免管理風險,要求每個項目均進行預決算審計。我們審計了:車庫改造工程、1號樓安保監(jiān)控系統(tǒng)改造工程、1號樓消防系統(tǒng)改造工程、1號樓11層凈化手術(shù)部凈化系統(tǒng)及設(shè)備管理維護、拆除及修補工程。對工程、設(shè)備維修審計,我們關(guān)注合同保修期,承包與分包的執(zhí)行力。如:2009年4月7日,按院部要求審計
26、科對《1號樓11層凈化手術(shù)部凈化系統(tǒng)及設(shè)備管理維護合同》進行內(nèi)部審計調(diào)查?;厩闆r:醫(yī)院的1號樓11層潔凈手術(shù)室安裝工程是上海某潔凈工程有限公司施工的。2008年竣工投入使用。工程最后審定價約為1,648,085.00元(區(qū)財政局提供數(shù)據(jù))。2009年3月份科室提出該凈化系統(tǒng)及設(shè)備需要進行管理維修,醫(yī)院與該公司暫簽了1個2年期的“維護”合同,合同價款(人民幣大寫)暫定貳拾肆萬元整(240,000.00元)。 調(diào)查說明:我們從后??铺幍玫搅嗽撓到y(tǒng)的原“工程分包施工合同”的復印件。合同為三方合同,即總包單位某建設(shè)工程發(fā)展有限公司,分包單位某潔凈工程有限公司,建設(shè)單位是我們醫(yī)院。工程分包項目基
27、本情況明確反映,本專業(yè)分包合同保修期為2年。2009年科室提出該凈化系統(tǒng)及設(shè)備需要進行管理維修屬于合同保修期范圍內(nèi),正常維護。 調(diào)查建議:醫(yī)院(目前)無需與上海某潔凈工程有限公司簽訂“維護合同”。2008年竣工的項目2年的維修期,應(yīng)執(zhí)行合同約定。認真閱讀合同,可以避免醫(yī)院成本重復支出。醫(yī)院在收入一定的情況下,履行減少支出的職責,有利于醫(yī)院發(fā)展。醫(yī)院的風險評估是提供符合公認會計原則的財務(wù)報告有關(guān)風險的確認、分析和管理。風險評估過程必須判明醫(yī)院完成既定的目標存在的外部風險,分析各風險的類型和程度,為風險管理提供依據(jù)。醫(yī)院管理層應(yīng)制訂計劃、程序或行動來避免具體風險。 3.控制活動的評價。
28、企業(yè)組織開展控制活動評價,應(yīng)當以《企業(yè)內(nèi)部控制基本規(guī)范》和各項應(yīng)用指引中的控制措施為依據(jù),結(jié)合本企業(yè)的內(nèi)部控制制度,對相關(guān)控制措施的設(shè)計和運行情況進行認定和評價。 企業(yè)控制活動。企業(yè)管理層為確保風險對策有效執(zhí)行和落實,所采取的措施和程序,主要包括批準、授權(quán)、驗證、協(xié)調(diào)、復核、定期盤點、記錄核對、財產(chǎn)的保護、職責的分離、績效考核等內(nèi)容。 控制活動是企業(yè)根據(jù)風險評估結(jié)果,采用相應(yīng)的控制措施,將風險控制在可承受度之內(nèi)??刂拼胧┮话惆ǎ翰幌嗳萋殑?wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。 控制措施的實施就形成了內(nèi)部控制制度,這是內(nèi)部
29、審計評價的重要內(nèi)容。評價不相容職務(wù)分離控制的實施,內(nèi)部審計應(yīng)當系統(tǒng)分析業(yè)務(wù)流程中的控制點;評價授權(quán)審批控制的實施,內(nèi)部審計對企業(yè)編制的常規(guī)授權(quán)權(quán)限指引進行審查;內(nèi)部審計通過對財產(chǎn)的記錄、盤點資料、報表等定期或不定期的進行重點抽查,審查相關(guān)手續(xù)、記錄是否完整,賬務(wù)處理是否及時正確來評價企業(yè)財產(chǎn)保護措施實施情況;關(guān)注企業(yè)預算控制的有效性,一方面是預算編制的可行性、準確性,另一方面是可行準確的預算得到了切實的執(zhí)行;評價營運情況,分析制度的有效運行,關(guān)注其是否能合理分析企業(yè)獲取的各類信息,改善企業(yè)運營狀況,將風險控制在可承受度之內(nèi);內(nèi)部審計要關(guān)注企業(yè)是否建立科學有效的績效考評制度,是否以考評結(jié)果為依據(jù)
30、決定企業(yè)員工的崗位安排。 在對企業(yè)控制活動測試時,要重點審核組織機構(gòu)方面采取的控制活動。在組織結(jié)構(gòu)方面重點審核:機構(gòu)、崗位及職責權(quán)限是否合理設(shè)置和分工,不相容職務(wù)是否相互分離,是否成立相關(guān)法律事務(wù)部門和職能,對采購與驗收等環(huán)節(jié)是否設(shè)置相互監(jiān)督制度,做到人員分離。 針對信息系統(tǒng)設(shè)置相應(yīng)的控制環(huán)節(jié)和程序。 控制活動是管理者為了確保管理指令能夠得以有效實施而制定的各項政策和程序。政策是控制活動應(yīng)遵循的原則,程序是具體的控制活動。我國存在著授權(quán)不足的現(xiàn)象,這樣容易出現(xiàn)侵權(quán)行為,使得管理層逾越到內(nèi)部控制之上,從而導致舞弊行為的發(fā)生。此外,如控制活動設(shè)計不合理、缺乏完整有效執(zhí)行的規(guī)章制度
31、,企業(yè)的各項政策和程序就難以發(fā)揮有效作用,也可能會給有舞弊動機的人以可乘之機。 以醫(yī)院為例闡述控制活動的評價: 對醫(yī)院中心實驗室的審計工作。醫(yī)院中心實驗室成立于2000年,成立初期院部并沒有“建賬立制”的要求,在規(guī)范流程上有一些欠缺之處。而實驗室從成立開始就自發(fā)地建立了自己的“臺帳”,同時對一些“合同協(xié)議”用自己的方式方法進行管理。幾年后實驗室又成立了“藥物臨床試驗機構(gòu)”,同時科室每年都有自己的課題與科研經(jīng)費。經(jīng)過對中心實驗室基金、藥物臨床試驗基金和課題經(jīng)費的審計,發(fā)現(xiàn)主要存在以下薄弱環(huán)節(jié): 財務(wù)科沒有分項目核算每項“基金”,造成基金的收、付、存“統(tǒng)賬”;“統(tǒng)賬制”核算,財務(wù)
32、監(jiān)督管理比較薄弱,合同協(xié)議檔案保管不規(guī)范。 具體表現(xiàn)在中心實驗室基金使用方面:財務(wù)科賬務(wù)處理記錄“其他應(yīng)付款”,不分具體項目核算。 使用臨床試驗基金方面:財務(wù)方面不夠規(guī)范,會計科目“專用基金-科研基金-藥物臨床試驗經(jīng)費-中心實驗室”設(shè)置欠規(guī)范。表現(xiàn)為項目基金實行“流水賬”核算,各項目沒有建立對應(yīng)核算關(guān)系,不能反映各項目基金的取得、使用、結(jié)余。隨著年份的增加,分類分項目比較困難,財務(wù)科監(jiān)控力度漸顯弱化,不便于檢查、考核、細化賬務(wù)管理。 檔案管理欠規(guī)范:年的項目協(xié)議與合同均有中心實驗室科室自己保管,審計核對協(xié)議或合同缺乏核對資料。不符合“檔案管理登記試行辦法”的有關(guān)規(guī)定。合同或協(xié)
33、議沒有明確編號,歷年的合同或協(xié)議“對應(yīng)”區(qū)分比較困難。 科研基金的使用:課題經(jīng)費“統(tǒng)賬”核算,分類分項困難。分析其原因科室反映主要是一些預實驗項目或已立項尚未批準的科研項目啟動基金無法落實。 (二)內(nèi)部審計開展內(nèi)部控制評價的途徑 4.信息與溝通的評價。企業(yè)開展信息與溝通評價,應(yīng)當以內(nèi)部信息傳遞、財務(wù)報告、信息系統(tǒng)等相關(guān)應(yīng)用指引為依據(jù),結(jié)合本企業(yè)的內(nèi)部控制制度,對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務(wù)報告的真實性、信息系統(tǒng)的安全性,以及利用信息系統(tǒng)實施內(nèi)部控制的有效性等進行認定和評價。 信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息,確保信息在
34、企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。信息是企業(yè)的資源,是企業(yè)各種經(jīng)營管理行為的依據(jù),信息的質(zhì)量對管理層能否作出恰當?shù)慕?jīng)營管理決策具有重大影響。充分、及時的溝通有助于管理層了解經(jīng)營活動存在的問題,客觀地評價各部門的工作。迅速采取有效的管理措施來保證企業(yè)經(jīng)營活動的健康運行。 信息與溝通評價主要包括企業(yè)獲取及處理信息的能力。內(nèi)部審計要對企業(yè)信息系統(tǒng)的健全性、有效性和安全性進行審查與評價。 公允的信息必須被確認、捕獲并以一定形式及時傳遞,以便員工履行職責。信息系統(tǒng)產(chǎn)出是涵蓋經(jīng)營、財務(wù)外報告相關(guān)的外部事件、行為和條件等。有效的溝通從廣義上說是信息的自上而下、橫向以及自下而上的傳遞。所有員工
35、必須從管理層得到清楚的信息,認真履行控制職責。員工必須理解自身在整個內(nèi)控系統(tǒng)中的位置,理解個人行為與其他員工工作的相關(guān)性。員工必須有向上傳遞重要信息的途徑。同時,與外部諸如客戶、供應(yīng)商、管理當局和股東的之間也需要有效的溝通。 沃爾瑪信息系統(tǒng)的組建過程,從董事到部門主管,全部參與,使得投入的人力、物力和資金嘆為觀止,收到的效益也是令人乍舌。這幾年來,我國大部分企業(yè)顯然已經(jīng)開始逐漸加大對信息系統(tǒng)的重視。許多公司成立了相應(yīng)的IT部,并且其地位開始從二級管理輔助部門向“一把手工程”轉(zhuǎn)變。北京翠微集團在創(chuàng)建之始就提出:管理手段要采用高新技術(shù)。正是在現(xiàn)代科技手段與現(xiàn)代管理理念相結(jié)合的基礎(chǔ)上,翠微集團
36、在短時間內(nèi)崛起,并在中國商界占有一席之地。 以醫(yī)院為例闡述信息系統(tǒng)和溝通的審計 醫(yī)院對于怎樣提高臨床科室的經(jīng)濟效益方面的內(nèi)部控制制度有一些規(guī)定:選定了“面神經(jīng)癱瘓”、“扁桃體手術(shù)”和“突發(fā)性耳聾”三個項目進行了解和評價,對其病種的發(fā)病原因(醫(yī)生協(xié)助分析)、年齡段、性別類型、費用明細以及比重分析分別作了詳細的表格式說明。通過對單病種的治療、檢查、用藥和收費等方面了解剖析,提出一些比較有用的信息供臨床科主任參考,制定有科學依據(jù)的措施,降低或解決病人看病貴的問題。對于病種經(jīng)濟負擔的計算控制,抽取樣本數(shù)164例。時間跨度是:2006年—2009年5月 1.“面神經(jīng)癱瘓癱”單病種基本費
37、用表;2.“扁桃體手術(shù)”單病種基本費用表;3.“突發(fā)性耳聾”單病種基本費用表。 住院人數(shù)分別是面神經(jīng)癱瘓51例,扁桃體手術(shù)41例,突發(fā)性耳聾72例。 住院總費用分別面神經(jīng)癱瘓32.81萬元,扁桃體手術(shù)17.12萬元,突發(fā)性耳聾45.49萬元。 平均住院天數(shù)分別是面神經(jīng)癱瘓27天,扁桃體手術(shù)10天,突發(fā)性耳聾24天。 平均住院費用分別是面神經(jīng)癱瘓6433.33元,扁桃體手術(shù)4175.61元,突發(fā)性耳聾6318.06元。 患病人群統(tǒng)計(男女老少)來醫(yī)院診斷的男女老少人數(shù):男性病人75例,女性病人89例。其中老年病人58例,扁桃體手術(shù)16歲以下病人4例,16~60歲人群
38、患病102例,占總樣本數(shù)62.2%。同時“統(tǒng)計表”也反映了面神經(jīng)癱瘓與突發(fā)性耳聾中老年人較多,慢性扁桃體炎年輕人比較多。統(tǒng)計中還發(fā)現(xiàn)面神經(jīng)癱瘓病人男性比較多,而突發(fā)性耳聾病人則女性比較多。 三種單病種的平均住院費用分別為:面神經(jīng)癱瘓6433.33元,扁桃體手術(shù)4175.61元,突發(fā)性耳聾6318.06元。 調(diào)查總結(jié):單病種核算模式為醫(yī)院提供有效的決策支持。為今后開展項目成本、病種成本核算打基礎(chǔ),為醫(yī)院持續(xù)發(fā)展提供信息資料。一個健全的醫(yī)院內(nèi)部控制系統(tǒng)必須擁有一套完善的有關(guān)信息傳遞、溝通與反饋的信息系統(tǒng)。信息是組織的命脈,不只因為信息能夠在結(jié)構(gòu)、技術(shù)、創(chuàng)新等方面輔助決策制定,還因為信息
39、是組織連接醫(yī)生和患者的“紐帶”。溝通則是要讓每個職工對于其在內(nèi)部控制及財務(wù)報告中的作用與責任有充分的了解,它包括個人對于其行為對他人造成的影響的認識以及各部門之間業(yè)務(wù)活動的相互協(xié)調(diào)。 5.內(nèi)部監(jiān)督的評價。企業(yè)組織開展內(nèi)部監(jiān)督評價,應(yīng)當以《企業(yè)內(nèi)部控制基本規(guī)范》有關(guān)內(nèi)部監(jiān)督的要求,以及各項應(yīng)用指引中有關(guān)日常管控的規(guī)定為依據(jù),結(jié)合本企業(yè)的內(nèi)部控制制度,對內(nèi)部監(jiān)督機制的有效性進行認定和評價,重點關(guān)注監(jiān)事會、審計委員會、內(nèi)部審計機構(gòu)等是否在內(nèi)部控制設(shè)計和運行中有效發(fā)揮監(jiān)督作用。 企業(yè)檢查與監(jiān)督。在對企業(yè)該項活動測試時,要重點審核公司是否已制定了內(nèi)部控制檢查監(jiān)督辦法,該項工作是否在董事會或?qū)?/p>
40、計委員會直接領(lǐng)導下,有風險管理部門或?qū)徲嫴块T具體負責實施,并有相關(guān)制度。 內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查,評價內(nèi)部控制的有效性,發(fā)現(xiàn)內(nèi)部控制缺陷,應(yīng)當及時加以改進。內(nèi)部控制是一個動態(tài)管理過程,隨著時間的推移和環(huán)境的變化,曾經(jīng)有效的內(nèi)部控制可能會變得無效,因此,對內(nèi)部控制的制定、執(zhí)行及效果需要進行跟蹤式的監(jiān)督與評價,以便滿足管理當局根據(jù)環(huán)境變化適時調(diào)整內(nèi)部控制系統(tǒng)的需要,確保內(nèi)部控制系統(tǒng)完整、有效。 內(nèi)部監(jiān)督評價主要就是評價監(jiān)督機制是否執(zhí)行并有效。監(jiān)控是為了保證內(nèi)部控制的有效實施,對企業(yè)內(nèi)部控制框架進行評價的過程。通過對內(nèi)部控制的監(jiān)控,可以發(fā)現(xiàn)內(nèi)控制實施過程中存在
41、的問題,針對發(fā)現(xiàn)的內(nèi)控漏洞予以盡快修補,可以達到防范舞弊和完善內(nèi)控制度的目的。我國對內(nèi)部控制進行監(jiān)控的主體應(yīng)該是內(nèi)部審計部門及類似機構(gòu),然而目前企業(yè)內(nèi)部審計的監(jiān)督職能并沒有真正實現(xiàn),而是依靠行政干預建立起來的審計機制很難受到重視,在這種情況下,不可避免的出現(xiàn)舞弊行為。 以醫(yī)院為例闡述對控制的監(jiān)督管理的審計 醫(yī)院的制度規(guī)定,內(nèi)部審計部門參與對“醫(yī)院藥品、醫(yī)療器械、醫(yī)用試劑和總務(wù)物資采購相關(guān)遴選會議”。對醫(yī)院的財產(chǎn)物資購置提前介入,便于醫(yī)院監(jiān)督資產(chǎn)的管理。這就強化了一個內(nèi)部審計部門的監(jiān)督的職能。 ?。ǘ┯涗泝?nèi)部控制評價工作 內(nèi)部控制評價工作應(yīng)當形成工作底稿,詳細記錄企業(yè)執(zhí)行
42、評價工作的內(nèi)容,包括評價要素、主要風險點、采取的控制措施、有關(guān)證據(jù)資料以及認定結(jié)果等。 評價工作底稿應(yīng)當設(shè)計合理、證據(jù)充分、簡便易行、便于操作。 三、內(nèi)部控制評價的程序 ?。ㄒ唬﹥?nèi)部審計開展內(nèi)部控制評價的途徑 1.參與企業(yè)內(nèi)部控制制定,改變內(nèi)部控制在制定階段主要交由相關(guān)業(yè)務(wù)部門完成的傳統(tǒng)做法,使內(nèi)部控制在建立之時就交由內(nèi)部審計進行評價。內(nèi)部審計師應(yīng)站在企業(yè)內(nèi)部控制全局的高度,統(tǒng)籌考慮并提出自己的建議,最大限度地克服內(nèi)部控制建立時可能就有的天然缺陷。 2.在日常審計項目中,不僅通過內(nèi)部控制評價,確定審計重點和審計風險,用以指導審計工作,而且還要對該項業(yè)務(wù)涉及到
43、的內(nèi)部控制的健全性、適當性、執(zhí)行的有效性進行評價,評價其關(guān)鍵控制和程序能否保證內(nèi)控目標的實現(xiàn),能否有效抵御和控制企業(yè)各種風險,發(fā)現(xiàn)控制弱點和控制缺陷,及時報告管理層。 3.對企業(yè)內(nèi)部控制單獨立項,專門評價。 隨著現(xiàn)代企業(yè)制度的建立和企業(yè)內(nèi)部控制建設(shè)進程的加快,傳統(tǒng)的報表審計、經(jīng)濟責任審計已遠遠不能滿足管理層對內(nèi)部審計的要求,內(nèi)部審計應(yīng)該在企業(yè)內(nèi)部控制中發(fā)揮更大的作用,將內(nèi)部控制的監(jiān)督、評價作為重要的工作內(nèi)容,單獨立項,專門評價。分步驟、有計劃地對企業(yè)各部門、各環(huán)節(jié)的內(nèi)部控制進行綜合評價和全面測試,衡量企業(yè)內(nèi)部控制建立健全程度和抵御風險能力,尋找內(nèi)部控制薄弱環(huán)節(jié),提出強化內(nèi)控建設(shè)的措
44、施,以防范和化解企業(yè)各種經(jīng)營風險,提高企業(yè)管理水平。 4.組織管理部門開展內(nèi)部控制自評。內(nèi)部控制自評是指由內(nèi)部審計人員與被審部門管理人員組成審計小組,管理人員在內(nèi)部審計人員的幫助下,對本部門內(nèi)部控制的恰當性和有效性進行評估,提出報告。內(nèi)部控制自評可以讓管理部門更好地熟悉本部門內(nèi)部控制情況,明確本部門對企業(yè)內(nèi)部控制的責任,促進其更好地履行職責;同時,還可以從執(zhí)行者的角度更好地反映當前內(nèi)部控制中存在的問題。既降低了審計成本,減少了審計人員工作量,又使內(nèi)部審計達到了更好的效果。 評價企業(yè)內(nèi)部控制的有效性實質(zhì)是評價內(nèi)部控制為相關(guān)目標的實現(xiàn)提供的保證水平是否達到或超過合理保證的水平。如果保證
45、的水平處于有效內(nèi)部控制的區(qū)間內(nèi),則內(nèi)部控制是有效的,如果保證的水平低于合理水平,則內(nèi)部控制是無效的。從另一個角度來看,就是評價相關(guān)目標的風險在經(jīng)過內(nèi)部控制之后是否已經(jīng)降低到了一個適當?shù)乃?,如果已?jīng)降到了一個適當?shù)乃?,則內(nèi)部控制是有效的;反之,則無效。 ?。ǘ﹥?nèi)部控制評價的程序 企業(yè)應(yīng)當按照內(nèi)部控制評價辦法規(guī)定的程序,有序開展內(nèi)部控制評價工作。 內(nèi)部控制評價的具體組織實施工作可以授權(quán)給內(nèi)部審計部門或?qū)iT機構(gòu)負責。內(nèi)部控制評價程序一般包括: 1.制定評價工作方案。評價方案應(yīng)明確評價范圍、工作任務(wù)、人員組織、進度安排和費用預算等相關(guān)內(nèi)容,報經(jīng)董事會或其授權(quán)機構(gòu)審批后實施。
46、 內(nèi)部審計開展內(nèi)部控制評價的范疇不應(yīng)局限于內(nèi)部會計控制。長期以來,人們對內(nèi)部控制評價的定位,一直站在制度基礎(chǔ)審計的角度,集中于會計控制。會計控制是企業(yè)內(nèi)部控制系統(tǒng)最基礎(chǔ)的控制平臺,是企業(yè)內(nèi)部控制的主要內(nèi)容,但絕不是惟一內(nèi)容。以目前我國許多上市公司為例,有些公司雖然會計制度比較健全,但由于忽略控制環(huán)境問題,使管理環(huán)節(jié)存在諸多缺陷,導致會計控制失效的事例頻頻發(fā)生。 每個企業(yè)關(guān)于內(nèi)部控制自我評價范圍、原則和目標并不相同,但一般應(yīng)采用全員參與的、整個流程范圍的自我評價。并要在所有的關(guān)鍵的利益相關(guān)者之間進行交流、調(diào)整,如內(nèi)部審計師、高層管理人員和董事會。 內(nèi)部控制評價范圍的確定應(yīng)當遵循
47、風險導向、自上而下的原則來確定需要評價的分支機構(gòu)、重要業(yè)務(wù)單元、重點業(yè)務(wù)領(lǐng)域或流程環(huán)節(jié)。 2.作用和責任的限定 有效的內(nèi)部控制自我評價關(guān)鍵在于對參與者的作用和責任的限定。包括控制活動過程的崗位責任者,內(nèi)部控制自我評價的測試人員以及復核人員。一般而言,一個過程的崗位負責人應(yīng)該是一個擁有較強的項目管理技術(shù)的專家并且足夠資深,以確保無論在何種情況下,內(nèi)部控制自我評價能對風險優(yōu)先排序。對測試人員要實行詳細的檢驗,并將相應(yīng)的結(jié)果文件化,測試人員必須對自我評價的過程理解并對所測試的基本控制進行適當?shù)臋?quán)衡,并且以合理程度的專業(yè)懷疑態(tài)度和獨立性進行測試。內(nèi)部控制自我評價的復核人員也必須對實施有效
48、的復核過程有足夠的理解。對某一個既定的過程而言,自我評價復核人員邏輯上通常是這個過程的崗位負責人。 3.組成評價工作組。評價工作組應(yīng)當吸收企業(yè)內(nèi)部相關(guān)機構(gòu)熟悉情況的業(yè)務(wù)骨干參加。評價工作組成員對本部門的內(nèi)部控制評價工作應(yīng)當實行回避制度。 企業(yè)可以委托中介機構(gòu)實施內(nèi)部控制評價。但是為企業(yè)提供內(nèi)部控制審計服務(wù)的會計師事務(wù)所,不得同時為同一企業(yè)提供內(nèi)部控制評價服務(wù)。 由企業(yè)內(nèi)部審計人員組成評價工作組的:出于遵循法律法規(guī)的需要,一般都由內(nèi)部審計人員正式地對內(nèi)部控制自我評價進行評估并發(fā)表相應(yīng)的意見;或者他們只是簡單地對某個既定過程的基本的內(nèi)部控制在一般的基于風險的審計范圍內(nèi)進行審計。
49、無論內(nèi)部控制自我評價在結(jié)構(gòu)上采用何種方式,關(guān)鍵的是對上述人員的作用加以規(guī)定,并從項目涉及的各個參與人的視角進行協(xié)調(diào),達成一致意見。 企業(yè)(或總部)應(yīng)當成立內(nèi)部控制檢查評價工作領(lǐng)導小組(以下簡稱“檢評領(lǐng)導小組”),組長由主要負責人擔任,副組長由總會計師/分管財務(wù)領(lǐng)導擔任,成員由財務(wù)、審計、人事、監(jiān)察、銷售、采購等部門的主要負責人組成。 檢評領(lǐng)導小組應(yīng)當根據(jù)實際情況,按照成本和效益原則,確定或組建內(nèi)部控制檢查評價工作組(以下簡稱“檢評組”)。檢評組可以設(shè)在(或授權(quán))財務(wù)或?qū)徲嫴块T,也可另行組成由財務(wù)、審計、人事、監(jiān)察等有關(guān)部門相關(guān)人員參加的檢評組,組長可由審計部門負責人擔任。 4
50、.提出實施的具體要求 對每一個關(guān)鍵控制的目標如何進行測試要制定測試手冊。包括事先確定樣本的規(guī)格、具體測試的步驟、步驟保留的證據(jù)以及每項測試通過與不通過的組成內(nèi)容??梢远嗦犎⊥獠繉徲嫀熂捌渌麑<业囊庖?。 檢評組人員根據(jù)工作計劃,按規(guī)定的抽樣比例和方法,隨機抽取各類業(yè)務(wù)的樣本。同時依據(jù)各自的分工,對所抽取的業(yè)務(wù)樣本控制點,按照規(guī)范的業(yè)務(wù)流程表中控制點和不相容職務(wù)/崗位分離及授權(quán)等要求,實施控制測試。 5.實施現(xiàn)場測試。評價人員應(yīng)綜合運用個別訪談、調(diào)查問卷、專題討論、穿行測試、抽樣等方法,充分收集被評價單位內(nèi)部控制設(shè)計和運行是否有效的證據(jù),按照評價的具體內(nèi)容,如實填寫評價工作底稿
51、,研究分析內(nèi)部控制缺陷。 企業(yè)層面評估測試方法主要有:調(diào)查問卷、管理層訪談、獲取并審閱相關(guān)文檔抽樣進行測試等。 6.認定控制缺陷。 當某項控制或若干項控制的設(shè)計或運行不能使管理層或員工在日常履行其職責,及時防止或發(fā)現(xiàn)差錯,則說明存在著控制缺陷。分為設(shè)計缺陷和運行缺陷。當存在設(shè)計缺陷時,表明必要的控制或控制的必要成分缺失,無法達到控制目標或者現(xiàn)有的控制設(shè)計不當,即使按設(shè)計執(zhí)行后仍無法滿足控制目標。 在內(nèi)部控制自我評價測試中,如果內(nèi)部控制的缺陷已經(jīng)被確認,或者是對所設(shè)計的控制有某些擔心或者失敗已確認,則應(yīng)盡快啟動對差異的矯正。確認已有的控制和最佳的控制之間的差距,從而不斷
52、改善、發(fā)現(xiàn)和掌握使內(nèi)部控制程序和內(nèi)部控制本身更有效的方法。 如果最終獲得的支持性文檔不能支持控制活動的存在性與有效性,而導致判斷該控制存在缺陷,則需要將該文檔內(nèi)容的具體描述、不能滿足要求的原因詳細填寫在“附注/解釋”一欄中。 企業(yè)層面內(nèi)部控制評估中要形成如下主要文檔:企業(yè)層面內(nèi)部控制調(diào)查問卷;控制測試工作底稿;支持性文檔檢查清單與支持性文檔;發(fā)現(xiàn)問題匯總表等。 7.匯總評價結(jié)果。 實施內(nèi)部控制自我評價后,要正式地征求反饋意見,總結(jié)經(jīng)驗和教訓,使其不斷得到完善。 檢評組人員將檢查測試情況按每筆業(yè)務(wù)逐筆如實進行記錄(包括抽查時間、抽查方法、抽查的具體業(yè)務(wù)合同或憑證編號
53、、檢查測試得分結(jié)果等),建立檢查評價工作底稿,簽字后交檢評組負責人或其授權(quán)人員審核簽字。 企業(yè)需要從定性和定量兩方面進行衡量,判斷是否構(gòu)成內(nèi)部控制缺陷。如果存在下列情況之一,則可認定內(nèi)部控制存在設(shè)計或運行缺陷:(1)未實現(xiàn)規(guī)定的控制目標;(2)未執(zhí)行規(guī)定的控制活動;(3)突破規(guī)定的權(quán)限;(4)不能及時提供控制運行有效的相關(guān)證據(jù)。 針對每一個控制缺陷,都必須提出整改建議。整改建議需要由問卷和測試的填寫人與執(zhí)行人在問卷和測試填寫完成后與相關(guān)部門管理層討論后擬定完成;整改建議必須內(nèi)容具體,切實可行。而且要列出控制缺陷的風險級別,最好由內(nèi)控評價負責人評估及填寫。 8.編報評價報告。評
54、價人員對檢查出來的各類問題統(tǒng)一進行復核和確認,匯總檢查評價結(jié)果,根據(jù)評價實施情況,編制評價報告,并向有關(guān)人員和機構(gòu)報告。 四、內(nèi)部控制評價的方法 傳統(tǒng)的內(nèi)部控制評價模式主要是采用“內(nèi)部控制調(diào)查問卷”和符合性測試,對企業(yè)已經(jīng)存在的內(nèi)部控制進行評價,審計報告中的建議也是管理當局早已經(jīng)知道的,缺乏新意。風險導向?qū)徲嫹ㄒ髢?nèi)部審計人員改變傳統(tǒng)的評價模式,把審計的起點放在關(guān)注企業(yè)發(fā)展戰(zhàn)略和識別企業(yè)業(yè)務(wù)流程的風險上,分析風險,并提出控制風險的建議和方法。從內(nèi)部控制評價本身以及目前的發(fā)展情況來看,主要存在詳細評價法和風險基礎(chǔ)評價法兩種方法。 1.詳細評價法 詳細評價法的邏輯和程序
55、如圖1所示: 2.風險基礎(chǔ)評價法 風險基礎(chǔ)評價法的邏輯和程序如圖2所示: 風險基礎(chǔ)評價法與詳細評價法的區(qū)別類似于財務(wù)報表的詳細審計與財務(wù)報表的風險基礎(chǔ)審計,主要體現(xiàn)在以下幾個方面: 第一,風險基礎(chǔ)法首先評估實現(xiàn)內(nèi)部控制相關(guān)目標的風險,根據(jù)風險評估的結(jié)果對照企業(yè)的內(nèi)部控制,參考內(nèi)部控制框架來判斷企業(yè)內(nèi)部控制設(shè)計的有效性。 第二,風險基礎(chǔ)法需要更高程度的專業(yè)判斷。無論是評價內(nèi)部控制設(shè)計的有效性,還是測試內(nèi)部控制運行的有效性都是根據(jù)最初的風險評估和后續(xù)的風險評估進行的,這與詳細評價法下根據(jù)一個確定的框架來評價相比需要更高程度的專業(yè)判斷。 比較上
56、述兩種評價方法的優(yōu)劣以及從國際發(fā)展的總體趨勢來看,風險基礎(chǔ)的內(nèi)部控制評價方法必然是未來的發(fā)展方向,因為無論是基于成本效益的考慮,還是與企業(yè)的實際情況相結(jié)合,從確保評價的合理性來說,風險基礎(chǔ)評價法都比詳細評價法具有明顯的優(yōu)勢。 在內(nèi)部審計領(lǐng)域,人們似乎對風險導向?qū)徲嫹椒ㄓ兄c外部審計不同的理解。內(nèi)部審計師更多地將風險導向?qū)徲嬛械摹帮L險”擴大為企業(yè)或組織在經(jīng)營過程中面臨的不能實現(xiàn)其目標的各種風險,并將其作為確定審計項目及其審計重點的依據(jù)。內(nèi)部審計領(lǐng)域的風險導向?qū)徲嬍且杂绊懫髽I(yè)經(jīng)營目標實現(xiàn)的經(jīng)營風險為依據(jù)確定審計項目,以企業(yè)進行的所有降低風險的活動為測試重點,評價風險降低的充分性和有效性,并提
57、出恰當?shù)慕档惋L險的建議的一種方法。 在內(nèi)部審計領(lǐng)域?qū)嵤╋L險導向?qū)徲?,改變了?nèi)部審計人員探討風險和內(nèi)部控制的方法,改變了過去那種內(nèi)部審計人員以檢查歷史業(yè)務(wù)記錄和內(nèi)部控制系統(tǒng)的歷史運營情況提出建議和意見的方式,變?yōu)楦雨P(guān)注企業(yè)面臨的風險和企業(yè)未來的發(fā)展及企業(yè)為降低風險所進行的一項管理活動。 評價內(nèi)部控制并非為了控制本身,而應(yīng)針對企業(yè)經(jīng)營過程中可能面臨的風險。在風險導向?qū)徲嫹ㄏ?,?nèi)部審計更為關(guān)心的是下列問題:與控制相關(guān)的目標是什么?這種控制要解決的問題是什么?這種控制是否對被審計單位的經(jīng)營活動有益?是否存在重復控制?什么樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?只有清楚地
58、了解了這些,內(nèi)部審計人員才能辨別何處控制環(huán)節(jié)過多,何處控制環(huán)節(jié)不充分,何處控制滿意,何處控制需要改善。 對企業(yè)內(nèi)部控制評價具體實施的方法主要包括: 1.個別訪談。是指企業(yè)根據(jù)檢查評價需要,對被檢查單位員工進行單獨訪談,以獲取有關(guān)信息。通過找有關(guān)人員談話,可以調(diào)查了解內(nèi)部控制制度,還可以針對可疑賬項或異常情況等向有關(guān)人員提出詢問。具體的運用流程是: ?。?)設(shè)計訪談提綱。 ?。?)恰當進行提問。 ?。?)準確撲捉信息,及時收集有關(guān)資料。 ?。?)適當?shù)刈龀龌貞?yīng)。 ?。?)及時作好訪談記錄,一般還要錄音或錄像。 2.調(diào)查問卷。是指企業(yè)設(shè)置問卷調(diào)查表,分別對不同
59、層次的員工進行問卷調(diào)查,根據(jù)調(diào)查結(jié)果對相關(guān)項目做出評價。 是一種用于只需簡單回答為是/否或者有/無的調(diào)查工具。業(yè)務(wù)流程的具體操作者使用調(diào)查結(jié)果去評估他們的控制結(jié)構(gòu)。 設(shè)計企業(yè)層面調(diào)查問卷和問題清單。負責內(nèi)控評價的部門必須負責設(shè)計調(diào)查問卷用以記錄公司部門/分支機構(gòu)在各關(guān)鍵控制領(lǐng)域具體執(zhí)行情況與評價過程。調(diào)查問卷通常包含如下的欄目: 控制要求(應(yīng)根據(jù)確定的關(guān)鍵控制領(lǐng)域的規(guī)范要求進行細化和明確);實際操作描述;規(guī)章制度索引/實施記錄索引;負責部門;控制設(shè)計缺陷。 問卷的審閱人(內(nèi)控評價人員)必須非常了解問卷的整體構(gòu)架和編制思路,能夠做到對整體內(nèi)容的把握。他們需要仔細閱讀各部門的回答
60、,判斷其內(nèi)容是否一致、邏輯性是否清晰,提出問卷描述中不夠詳盡的地方,要求問卷填寫人補充。問卷的審閱人在審閱過程中需要及時與負責內(nèi)控評價的部門就難以把握的問題進行討論;可以在原有的問卷中增加一列,標注審閱意見(已填寫的內(nèi)容是否存在不清楚,不夠完整等情況),以此作為訪談提綱。在訪談時,即可在這些審閱意見下加注訪談對象的回答,最后進行修改問卷。 3.專題討論會。是指通過召集與業(yè)務(wù)流程相關(guān)的管理人員就業(yè)務(wù)流程的特定項目或具體問題進行討論及評估的一種方法。 如果企業(yè)能夠有效地接受和支持參會者實事求是的發(fā)言,如果組織文化屬支持性的,推薦采用研討會法;如果組織文化不屬于支持性的,那么調(diào)查問卷的回
61、復和管理層對內(nèi)控制度分析能夠強化控制環(huán)境。 研討會法是一種從代表組織不同層次尤其是風險薄弱環(huán)節(jié)的工作組中收集內(nèi)部控制信息,召集盡可能多的業(yè)務(wù)人員共同分享信息、討論問題的方法。 研討會主要有基于控制、流程、風險和目標的四種基本形式。在實踐中,企業(yè)往往同時使用一種以上的形式組合。 1)基于控制的研討會形式 該形式研討會重點關(guān)注內(nèi)部控制的實際運行狀況,即內(nèi)部控制執(zhí)行的有效性。 2)基于風險的研討會形式 該形式研討會重點關(guān)注風險識別和風險管理。該形式研討會容易為正確行動識別出顯著的剩余風險,也較其他方法更易做出全面的自我評估。 3)基于流程的研討會形式
62、該形式研討會重點檢查所選擇過程內(nèi)的執(zhí)行活動情況。該研討會的意圖是評價、更新或改進選擇過程。 4)基于目標的研討會形式 該形式研討會重點關(guān)注完成目標的最優(yōu)途徑的選擇方面。研討會的目的是確定是否選擇了最佳的內(nèi)控技術(shù),是否這些技術(shù)在可接受的剩余風險水平下得到有效的運行。 4.管理層分析法。是任何不使用上述方法的方法。管理層可生成一種業(yè)務(wù)流程的全員研究的內(nèi)控環(huán)境。內(nèi)部審計師將研究結(jié)果與其他經(jīng)理和關(guān)鍵人物收集的信息結(jié)合起來。通過綜合這些素材,開發(fā)出一種業(yè)務(wù)流程的具體操作方法,可以在控制中運用的分析框架。 5.穿行測試。是指通過抽取一份全過程的文件,來了解整個業(yè)務(wù)流程執(zhí)行情況的評估
63、評價方法。 6.抽樣。是指企業(yè)針對具體的內(nèi)部控制業(yè)務(wù)流程,按照業(yè)務(wù)發(fā)生頻率及固有風險的高低,從確定的抽樣總體中抽取一定比例的業(yè)務(wù)樣本,對業(yè)務(wù)樣本的符合性進行判斷,進而對業(yè)務(wù)流程控制運行的有效性做出評價。 五、內(nèi)部控制缺陷認定和評價報告 ?。ㄒ唬﹥?nèi)部控制缺陷認定 1.內(nèi)部控制缺陷的分類 內(nèi)部控制缺陷,是指內(nèi)部控制的設(shè)計存在漏洞,不能有效防范錯誤與舞弊,或者內(nèi)部控制的運行存在弱點和偏差,不能及時發(fā)現(xiàn)并糾正錯誤與舞弊的情形。內(nèi)部控制缺陷包括設(shè)計缺陷和運行缺陷。企業(yè)對內(nèi)部控制缺陷的認定,應(yīng)當以日常監(jiān)督和專項監(jiān)督為基礎(chǔ),結(jié)合年度內(nèi)部控制評價,由內(nèi)部控制評價部門進行綜合分析
64、后提出認定意見,按照規(guī)定的權(quán)限和程序進行審核后予以最終認定。 ?。?)設(shè)計缺陷 設(shè)計缺陷是指缺少為實現(xiàn)控制目標所必需的控制,或現(xiàn)存控制設(shè)計不適當,即使正常運行也難以實現(xiàn)控制目標。 內(nèi)部控制不健全是指缺少實現(xiàn)內(nèi)控目標必需的控制,即在企業(yè)生產(chǎn)經(jīng)營活動過程中的某些環(huán)節(jié)、某些方面無章可循。這種情況長期下去,勢必會導致經(jīng)營秩序混亂、賬目不清、決策失誤,降低企業(yè)的抗風險能力,甚至使企業(yè)最終破產(chǎn)倒閉。內(nèi)部控制制度不適當是指現(xiàn)有內(nèi)控設(shè)計不合理,以至于即使按設(shè)計運行,通常也無法實現(xiàn)內(nèi)控目標。企業(yè)建立的內(nèi)部控制制度不符合企業(yè)生產(chǎn)經(jīng)營活動的實際情況,或生搬硬套其他企業(yè)的內(nèi)部控制制度,或內(nèi)部控制制度陳
65、舊過時,不能適應(yīng)變化了的內(nèi)控環(huán)境的需要。 ?。?)運行缺陷 運行缺陷是指現(xiàn)存設(shè)計完好的控制沒有按設(shè)計意圖運行,或執(zhí)行者沒有獲得必要授權(quán)或缺乏勝任能力以有效地實施控制。 有些企業(yè)表面上似乎建立健全了企業(yè)內(nèi)部控制制度,但往往只是寫在紙上,掛在墻上,形同虛設(shè),這種現(xiàn)象在相當一部分企業(yè)中存在。他們這樣做的目的不過是做做樣子,應(yīng)付檢查,實際上還是我行我素。此外,企業(yè)內(nèi)部普遍存在授權(quán)不明、權(quán)責不清的情況,這也是內(nèi)部控制不能有效運行的重要原因。內(nèi)部控制在我國的發(fā)展比較快,但是人員素質(zhì)還沒跟上,員工必要的勝任能力不夠,這在中小型企業(yè)中還是比較普遍的現(xiàn)象。 2.內(nèi)部控制缺陷的認定標準
66、 企業(yè)在日常監(jiān)督、專項監(jiān)督和年度評價工作中,應(yīng)當充分發(fā)揮內(nèi)部控制評價工作組的作用。內(nèi)部控制評價工作組應(yīng)當根據(jù)現(xiàn)場測試獲取的證據(jù),對內(nèi)部控制缺陷進行初步認定,并按其影響程度分為重大缺陷、重要缺陷和一般缺陷。 重大缺陷、重要缺陷和一般缺陷的具體認定標準,由企業(yè)根據(jù)上述要求自行確定。 美國上市公司會計監(jiān)管委員會(PCAOB)審計準則第2號指出審計師必須評估已發(fā)現(xiàn)的控制缺陷,并且決定這些缺陷單獨或累加之后,是否是重要缺陷或?qū)嵸|(zhì)性漏洞。根據(jù)缺陷對企業(yè)影響的嚴重程度可以分為3類。對缺陷的嚴重性進行評估應(yīng)當包括定量和定性兩個方面。 重大缺陷(或稱實質(zhì)性漏洞)實質(zhì)性漏洞是指一個或多個一般缺陷的組合,可能嚴重影響內(nèi)部整體控制的有效性。進而導致企業(yè)無法及時防范或發(fā)現(xiàn)嚴重偏離整體控制目標的情形。 重要缺陷是指一個或多個一般缺陷的組合,其嚴重程度低于重大缺陷,但導致企業(yè)無法及時防范或發(fā)現(xiàn)偏離整體控制目標的嚴重程度依然重大,須引起企業(yè)管理層關(guān)注。 一般缺陷沒有特別規(guī)定,但可以推測是以上兩種缺陷之外的缺陷沒有特別規(guī)定,但可以推測是以上兩種缺陷之外的缺陷。 根據(jù)上述定義,判斷和
- 溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024《增值稅法》全文學習解讀(規(guī)范增值稅的征收和繳納保護納稅人的合法權(quán)益)
- 2024《文物保護法》全文解讀學習(加強對文物的保護促進科學研究工作)
- 銷售技巧培訓課件:接近客戶的套路總結(jié)
- 20種成交的銷售話術(shù)和技巧
- 銷售技巧:接近客戶的8種套路
- 銷售套路總結(jié)
- 房產(chǎn)銷售中的常見問題及解決方法
- 銷售技巧:值得默念的成交話術(shù)
- 銷售資料:讓人舒服的35種說話方式
- 汽車銷售績效管理規(guī)范
- 銷售技巧培訓課件:絕對成交的銷售話術(shù)
- 頂尖銷售技巧總結(jié)
- 銷售技巧:電話營銷十大定律
- 銷售逼單最好的二十三種技巧
- 銷售最常遇到的10大麻煩