论文部分内容阅读
摘要 2009年7月1日开始施行的内部控制基本规范,对上市公司和中介审计机构提出了对内部控制评价的要求,根据俭业内部控制基本规范》和俭业内部控制鉴证指引》的相关内容,结合内部控制评价体系的基本要素,探讨CPA视角下如何构建企业整体层面的内部控制评价体系,以对企业整体层面的内控实施效果进行评价。
关键词 内部控制;评价;体系
美国《萨班斯法》提出应由管理层出具内部控制评估报告,并须经过外部审计师签证才有效。2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制鉴证指引》(征求意见稿),要求2009年7月1日开始施行,并对上市公司和中介审计机构提出了对内部控制评价的。本文拟探讨CPA视角下如何构建企业内部控制评价体系。
一、内部控制评价的意义
内部控制评价是对企业内部控制系统的设计和执行的有效性进行调查、测试、分析和评价的活动。它是内部控制中必要的系统性活动,是内部控制设计、实施、评价、反馈、改进等连续的动态过程。
内部控制评价主体可以是由监事会、审计委员会及其领导下的内部审计机构对企业内部控制的自我评估,也可以是社会中介审计。管理当局出于长期利益的考虑,需要在CPA的协助下真正关注内部控制的缺陷,不断完善企业的内部控制。
二、内部控制评价体系构建的理论依据
在实际审计工作中,对被审计单位企业的内部控制进行评价,需要有一套客观可行的评价体系。这套体系一方面可以为企业自我评估和改进其内部控制提供依据,也可以为注册会计师发表评价意见提供依据,同时还可以为不同使用者的沟通与理解提供统一的基础。建立内部控制评价体系已经成为一种趋势。
在内部控制评价体系的构建中,最具影响力的当属美国COS0委员会于1992年提出的“内部控制整体框架公告”。COS0报告中认为内部控制是由企业董事会、管理当局和其他员工实施的,为保证财务报告的可靠性、经营的高效率以及现行法规的遵循等目的达成而提供合理保证的过程。其构成要素来源于管理层经营的方式,并与管理过程相结合。其整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成。该报告的提出具有划时代的意义,提出后不仅很快受到了广泛的认可,很多国家及各专业团体也都仿效COS0对内部控制进行了重新研究,并采纳其最新理念,发布了自己的文告,形成了自己的内部控制评价标准体系。2008年,我国在借鉴1992年的COS0报告和2004年的COS0-ERM(即风险管理基本框架)的基础上,也发布了《企业内部控制基本规范》,从而形成了我国内部控制建设及评价体系。
三、基于整体层面的内部控制评价体系的构建与实施
(一)了解和评价控制环境
1 对诚信和道德价值观念的沟通与落实
主要了解是否制定了员工行为守则:这一守则和其它政策是否得到有效执行;是否建立信息传达机制,使员工能够清晰了解管理层的理念:是否与公司的利益相关者(如投资者、债权人等)保持良好的关系;是否能对背离公司规定的行为及时采取补救措施,并将这些措施传达至相应的员工;是否对背离公司现有控制的行为进行调查和记录;员工和管理层的工作压力是否恰当。
2 对胜任能力的重视
考虑公司是否保持岗位责任明确,任职条件清晰,能持续培训员工。
3 治理层的参与程度
了解在董事会内部是否建立了监督机制,保证董事会成员具备适当的经验和资历,并保持成员相对的稳定性。董事会、审计委员会或类似机构是否独立于管理层。审计委员会是否能正常运作。
4 管理层的理念和经营风格
了解管理层是否由一人或少数几人控制。对非经常的经营风险,管理层能否采取稳妥措施。管理层对信息技术的控制是否给予适当关注。高级管理层对业务分支机构是否保持有效控制。管理层对财务报告的态度是否合理。管理层是否对于重大的内部控制和会计事项,征询注册会计师的意见。
5 组织结构
分析组织结构是否合理,具备提供管理各类活动所需信息的能力。对交易授权的控制是否建立在适当的层次上,对于分散(分权)的交易存在适当的监控。管理层是否参与制定和修订会计系统和控制活动的政策。了解保持员工,特别是负有监督和管理责任的员工数量是否充足以及管理层定期评估组织结构的恰当性。
6 职权与责任的分配
了解员工的岗位职责,包括具体任务、报告关系及所受限制等是否明确制定并传达到本人。在被审计单位内部是否有明确的职责划分和岗位分离,保持权力和责任的对等,对授权交易及系统改善的控制有适当的记录,对数据处理的控制适当记录。
7 人力资源的政策与实务
了解关键管理人员是否具备岗位所需的丰富知识和经验,人事政策中是否强调员工需保持适当的伦理和道德标准,人力资源政策与程序是否清晰,定期发布和更新。
(二)了解和评价被审计单位风险评估过程
了解是否建立公司整体目标并传达到相关层次。具体策略和业务流程层面的目标与整体目标协调。明确影响整体目标实施的关键因素。各级管理人员的参与制定目标。建立风险评估方法。建立风险识别、应对机制处理具有普遍影响的变化。对于可能产生迅速、巨大并持久影响的变化,建立相应的识别和应对机制。会计部门建立流程适应会计准则的重大变化。当被审计单位业务操作发生变化并影响交易记录的流程时,及时通知会计部门。风险管理部门建立流程以识别经营环境的重大变化。政策和程序得到有效执行。
(三)了解和评价控制信息系统与沟通
1 与财务报告相关的信息系统
建立信息系统能否向管理层提供有关被审计单位经营的相关信息;能否向适当人员提供充分、具体且及时的信息,保证其能够有效地履行职责。与财务报告相关的信息系统的开发及改善是否基于战略考虑;与被审计单位整体层面的信息系统紧密相关,有助于实现被审计单位整体层面和业务流程层面的目标。是否提供适当的人力和财力开发必需的信息系统,监督信息系统的开发、变更和测试工作。
2 沟通
了解是否就岗位职责与员工进行有效沟通。针对不恰当事项和行为建立沟通渠道。组织内部有充分畅通的横向沟通渠道,横向信息传递完整、及时,并能提供有关人员履行其职责所需的充分信息。管理层能否认真听取和采纳员工提出的改进意见。管理层与客户、供应商、监管者和其他外部人士有效地沟通。外部人士是否了解被审计单位的行为守则。员工职责适当分离,以降低舞弊和不当行为发生的风险。会计系统中的数据与实物资产是否做到定期核对。
(四)了解和评价被审计单位对控制的监督
1 持续监督
了解内部控制是否定期评价。内部控制制度对常规工作活动有效运行的保障程度能否评价。外界沟通所获取的信息能否反映内部控制运行的有效性。管理层对内部审计人员和注册会计师提出的内部控制方面的意见和建议能否进行适当地处理。管理层能否获得关于控制有效的反馈信息。定期询问员工遵循公司行为守则的情况、重要控制活动执行的有效性。内部审计工作是否有效。政策和程序是否得到有效执行。
2 专门评价
了解是否对内部控制进行专门评价,专门评价的范围、频率、过程、适当、用以评价内部控制系统的方法是否适当,并合乎逻辑。书面记录是否适当。内部审计是否主要集中于经营责任审计,工作能够降低财务报表重大错报风险。内部审计的独立性是否适当。信息系统审计人员能否胜任职责。内部审计人员能否坚持适用的专业准则,内部审计人员是否记录了计划、风险评估和执行的过程并形成结论。内部审计部门活动的范围是否适当。
四、结论
内部控制评价是基于对企业内部控制实施效果的评估过程,有效的内部控制评价能帮助企业更好地完善内部控制建设。通过对内部环境、风险评估、信息与沟通及监督四个维度的了解及评价,可以对被审计单位的内部控制有了总体的把握,为提供内部控制鉴定提供基础。值得关注的是,在了解与评价过程中,除了取得相应的制度文件等书面证据外,与员工的交流也是十分关键的,建立有效的制度固为重要,但制度如何有效执行更为重要。
参考文献:
[1]财政部等,企业内部控制基本规范,2008,6
[2]财政部等,企业内部控制鉴证指引(征求意见稿),2008,6
[3]陈吉东,如何内部控制的自我评估[J],财会月刊(理论),2007,(12):84~86
[4]陈志斌,陆瑶,内控规范制定机制研究[J],会计研究,2008,(4):62~69
[5]原东平,试论内部控制评价标准体系框架的建立[J],会计之友,2008,(2):50。
关键词 内部控制;评价;体系
美国《萨班斯法》提出应由管理层出具内部控制评估报告,并须经过外部审计师签证才有效。2008年6月28日,我国财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制鉴证指引》(征求意见稿),要求2009年7月1日开始施行,并对上市公司和中介审计机构提出了对内部控制评价的。本文拟探讨CPA视角下如何构建企业内部控制评价体系。
一、内部控制评价的意义
内部控制评价是对企业内部控制系统的设计和执行的有效性进行调查、测试、分析和评价的活动。它是内部控制中必要的系统性活动,是内部控制设计、实施、评价、反馈、改进等连续的动态过程。
内部控制评价主体可以是由监事会、审计委员会及其领导下的内部审计机构对企业内部控制的自我评估,也可以是社会中介审计。管理当局出于长期利益的考虑,需要在CPA的协助下真正关注内部控制的缺陷,不断完善企业的内部控制。
二、内部控制评价体系构建的理论依据
在实际审计工作中,对被审计单位企业的内部控制进行评价,需要有一套客观可行的评价体系。这套体系一方面可以为企业自我评估和改进其内部控制提供依据,也可以为注册会计师发表评价意见提供依据,同时还可以为不同使用者的沟通与理解提供统一的基础。建立内部控制评价体系已经成为一种趋势。
在内部控制评价体系的构建中,最具影响力的当属美国COS0委员会于1992年提出的“内部控制整体框架公告”。COS0报告中认为内部控制是由企业董事会、管理当局和其他员工实施的,为保证财务报告的可靠性、经营的高效率以及现行法规的遵循等目的达成而提供合理保证的过程。其构成要素来源于管理层经营的方式,并与管理过程相结合。其整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督等五项要素构成。该报告的提出具有划时代的意义,提出后不仅很快受到了广泛的认可,很多国家及各专业团体也都仿效COS0对内部控制进行了重新研究,并采纳其最新理念,发布了自己的文告,形成了自己的内部控制评价标准体系。2008年,我国在借鉴1992年的COS0报告和2004年的COS0-ERM(即风险管理基本框架)的基础上,也发布了《企业内部控制基本规范》,从而形成了我国内部控制建设及评价体系。
三、基于整体层面的内部控制评价体系的构建与实施
(一)了解和评价控制环境
1 对诚信和道德价值观念的沟通与落实
主要了解是否制定了员工行为守则:这一守则和其它政策是否得到有效执行;是否建立信息传达机制,使员工能够清晰了解管理层的理念:是否与公司的利益相关者(如投资者、债权人等)保持良好的关系;是否能对背离公司规定的行为及时采取补救措施,并将这些措施传达至相应的员工;是否对背离公司现有控制的行为进行调查和记录;员工和管理层的工作压力是否恰当。
2 对胜任能力的重视
考虑公司是否保持岗位责任明确,任职条件清晰,能持续培训员工。
3 治理层的参与程度
了解在董事会内部是否建立了监督机制,保证董事会成员具备适当的经验和资历,并保持成员相对的稳定性。董事会、审计委员会或类似机构是否独立于管理层。审计委员会是否能正常运作。
4 管理层的理念和经营风格
了解管理层是否由一人或少数几人控制。对非经常的经营风险,管理层能否采取稳妥措施。管理层对信息技术的控制是否给予适当关注。高级管理层对业务分支机构是否保持有效控制。管理层对财务报告的态度是否合理。管理层是否对于重大的内部控制和会计事项,征询注册会计师的意见。
5 组织结构
分析组织结构是否合理,具备提供管理各类活动所需信息的能力。对交易授权的控制是否建立在适当的层次上,对于分散(分权)的交易存在适当的监控。管理层是否参与制定和修订会计系统和控制活动的政策。了解保持员工,特别是负有监督和管理责任的员工数量是否充足以及管理层定期评估组织结构的恰当性。
6 职权与责任的分配
了解员工的岗位职责,包括具体任务、报告关系及所受限制等是否明确制定并传达到本人。在被审计单位内部是否有明确的职责划分和岗位分离,保持权力和责任的对等,对授权交易及系统改善的控制有适当的记录,对数据处理的控制适当记录。
7 人力资源的政策与实务
了解关键管理人员是否具备岗位所需的丰富知识和经验,人事政策中是否强调员工需保持适当的伦理和道德标准,人力资源政策与程序是否清晰,定期发布和更新。
(二)了解和评价被审计单位风险评估过程
了解是否建立公司整体目标并传达到相关层次。具体策略和业务流程层面的目标与整体目标协调。明确影响整体目标实施的关键因素。各级管理人员的参与制定目标。建立风险评估方法。建立风险识别、应对机制处理具有普遍影响的变化。对于可能产生迅速、巨大并持久影响的变化,建立相应的识别和应对机制。会计部门建立流程适应会计准则的重大变化。当被审计单位业务操作发生变化并影响交易记录的流程时,及时通知会计部门。风险管理部门建立流程以识别经营环境的重大变化。政策和程序得到有效执行。
(三)了解和评价控制信息系统与沟通
1 与财务报告相关的信息系统
建立信息系统能否向管理层提供有关被审计单位经营的相关信息;能否向适当人员提供充分、具体且及时的信息,保证其能够有效地履行职责。与财务报告相关的信息系统的开发及改善是否基于战略考虑;与被审计单位整体层面的信息系统紧密相关,有助于实现被审计单位整体层面和业务流程层面的目标。是否提供适当的人力和财力开发必需的信息系统,监督信息系统的开发、变更和测试工作。
2 沟通
了解是否就岗位职责与员工进行有效沟通。针对不恰当事项和行为建立沟通渠道。组织内部有充分畅通的横向沟通渠道,横向信息传递完整、及时,并能提供有关人员履行其职责所需的充分信息。管理层能否认真听取和采纳员工提出的改进意见。管理层与客户、供应商、监管者和其他外部人士有效地沟通。外部人士是否了解被审计单位的行为守则。员工职责适当分离,以降低舞弊和不当行为发生的风险。会计系统中的数据与实物资产是否做到定期核对。
(四)了解和评价被审计单位对控制的监督
1 持续监督
了解内部控制是否定期评价。内部控制制度对常规工作活动有效运行的保障程度能否评价。外界沟通所获取的信息能否反映内部控制运行的有效性。管理层对内部审计人员和注册会计师提出的内部控制方面的意见和建议能否进行适当地处理。管理层能否获得关于控制有效的反馈信息。定期询问员工遵循公司行为守则的情况、重要控制活动执行的有效性。内部审计工作是否有效。政策和程序是否得到有效执行。
2 专门评价
了解是否对内部控制进行专门评价,专门评价的范围、频率、过程、适当、用以评价内部控制系统的方法是否适当,并合乎逻辑。书面记录是否适当。内部审计是否主要集中于经营责任审计,工作能够降低财务报表重大错报风险。内部审计的独立性是否适当。信息系统审计人员能否胜任职责。内部审计人员能否坚持适用的专业准则,内部审计人员是否记录了计划、风险评估和执行的过程并形成结论。内部审计部门活动的范围是否适当。
四、结论
内部控制评价是基于对企业内部控制实施效果的评估过程,有效的内部控制评价能帮助企业更好地完善内部控制建设。通过对内部环境、风险评估、信息与沟通及监督四个维度的了解及评价,可以对被审计单位的内部控制有了总体的把握,为提供内部控制鉴定提供基础。值得关注的是,在了解与评价过程中,除了取得相应的制度文件等书面证据外,与员工的交流也是十分关键的,建立有效的制度固为重要,但制度如何有效执行更为重要。
参考文献:
[1]财政部等,企业内部控制基本规范,2008,6
[2]财政部等,企业内部控制鉴证指引(征求意见稿),2008,6
[3]陈吉东,如何内部控制的自我评估[J],财会月刊(理论),2007,(12):84~86
[4]陈志斌,陆瑶,内控规范制定机制研究[J],会计研究,2008,(4):62~69
[5]原东平,试论内部控制评价标准体系框架的建立[J],会计之友,2008,(2):50。