内部控制
内部控制评价实务标准
来源:财会信报 添加日期:2013年10月14日
续上期
5、认定范围。在跟单测试、关键控制测试、公司层面测试、信息系统总体控制测试中发现的控制缺陷。
6、认定程序。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
在具体的认定过程中,评价人员应将已经调查了解到的内部控制系统的现状与事先确定的内部控制标准模式进行对照,以揭示哪些法规规定的控制程序未被采用。对照中发现的控制缺陷,应当按照不同内容分类,并汇集在“内部控制系统缺陷登记表”中记录。对已发现的内部控制重大缺陷,应及时以书面形式与被评价单位进行沟通,核对测试结果和数据,确认内部控制缺陷事实并在缺陷认定底稿上签章。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时,应当考虑潜在的错误或舞弊可能导致错报的金额和性质。
内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
7、认定底稿。发现内部控制缺陷时,评价人员应编制内部控制缺陷认定底稿。缺陷认定底稿要详细描述缺陷事项情况并提出改进意见和建议。
8、改进缺陷。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
(四)综合评价。综合评价,是指在内部控制现场测试结果的基础上对内部控制有效性做出的最终评价,主要工作是汇总评价结果。在充分揭示其缺陷和薄弱环节后,评价人员需要对这些缺陷和薄弱环节作进一步分析,确定其对整个内部控制有多大的影响,然后对内部控制的有效性做出综合评价。综合性评价应按以下步骤进行:
1、整理资料。将大量零散的资料加以汇集整理,是进行分析评价的基础。评价人员应将内部控制评价各阶段工作的有关资料按一定的标志加以汇总,特别要把与内部控制制度缺陷有关的《内部控制制度缺陷登记表》和《符合性测试登记表》等资料全面地汇集起来并整理好。评价人员可先按业务系统(如按销售业务、采购业务等)归集各种控制缺陷;然后再按控制目标(如有效性、准确性、完整性、实物安全等)作进一步分类;最后,再按控制点(如审批、核发、审核、复核等)加以整理。通过汇集整理有关资料,使控制缺陷归集到与其相关的控制目标和控制点上,既便于评价人员对控制缺陷的作用和影响进行分析,也有利于提高综合评价的准确性和科学性。
2、分析影响。各项具体的控制措施和控制点对业务处理系统内部控制制度的影响是有很大差别的。有些控制措施或控制点即使比较薄弱,甚至不存在,也可能不会导致太大的错弊发生;有些控制措施或控制点比较薄弱或不存在,则有可能发生较大的错弊,甚至使整个业务处理系统失去控制。而且各种控制缺陷可能产生的错弊类型也不相同,有的控制缺陷(如审批、实物保管控制、审核等方面存在的缺陷)可能会导致贪污舞弊行为的发生;有的控制缺陷(如复核、揭核对等方面存在的缺陷)可能会导致记录发生错误。这就要求评价人员必须认真分析所揭示的控制缺陷,以确定其在整个内部控制制度中的影响。
分析控制缺陷的影响,可以分为两个层次进行:
一是分析各项具体控制措施方面存在的缺陷对相应的控制点的影响。例如,凭证连续编号这项控制措施如果没有得到执行,可能会致使审批这个控制点未能起到对所有业务活动的发生均加以批准或授权的作用。通过这种分析,评价人员可以认识到各控制点发挥作用的条件,进而能够比较准确地确定在存在某种控制缺陷的条件下,控制点的控制功能发挥作用的情况。
二是分析控制点方面存在的缺陷在业务处理系统内部控制制度中的影响。不同的控制点是为了保证相应的控制目标的实现而设置的,如“审批”这个控制点主要是要保证“经济业务发生的有效性”这一控制目标的实现。因此,确定某个控制点是否有效,就可以确定相应的控制目标是否能够实现,并进而可以判断该项业务内部控制制度能否发挥其应有的作用。通过大量的检查、分析和评价,评价人员逐渐认识到各项控制措施和控制点与各种错弊的对应关系,发现其内在的客观规律,这就为更迅速、准确地判断各种控制缺陷对内部控制制度的影响提供认识的基础。
当然,也应注意到,这些从经验积累得到的规律性认识还必须与对具体企业的控制环境的分析相结合。各个企业经营管理的特点不同,其内部控制制度的结构也不尽相同。在某些企业中,一些控制缺陷可能会被其他方面较强的控制措施和控制点所补救,因而控制缺陷的影响相对地减少,而在另一些企业中,可能就不具备这样的控制措施和控制点。这就需要评价人员对具体问题作具体分析,不能生搬硬套。
3、形成结论。对于大多数企业而言,都不同程度地存在着内部控制制度不尽完善或存在个别薄弱环节的现象,但内部控制制度完全失效的情况则属少见。因此,评价人员应根据评价结果,做出内部控制设计和执行是否有效的评价结论。
4、反馈意见。评价人员应在对被评价机构内部控制体系进行综合评价后,与被评价机构管理层沟通,以核对数据,确认事实。
评价报告
内部控制评价报告,是评价人员根据内部控制评价结果编制的全面、客观、准确地反映企业内部控制状况的书面文件,是内部控制评价工作的重要环节。COSO把报告缺陷作为监控的一个重要要素,主体内部控制体系中的缺陷会从许多渠道显现出来,包括主体的持续监控程序、内部控制体系的个别评价以及外部各方。
根据《企业内部控制评价指引》要求,企业应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。编制内部控制评价报告是项比较复杂的工作,根据中天恒的经验,内部控制评价报告的基本流程包括撰写评价报告、沟通协调报告事项、报送报告。当然,广义上说,调整期后事项、内部控制评价工作总结、档案管理及其持续改进也是报告阶段的工作。
(一)撰写报告。在全面汇总评价成果、初步做出评价结论后,评价组应撰写内部控制评价报告。这同撰写其他管理报告一样,是一个不断修改完善的过程,可以先拟定评价报告的提纲,然后逐项撰写。根据评价项目的大小和复杂程度,评价报告撰写的组织形式也应有所不同。一般的项目只要一人执笔,重大的、复杂的项目,可以成立起草小组,根据确定的提纲分头撰写,最后通常由组长总纂。在形成一个整体报告后,还需集体讨论修改。如果认为对评价事项的某些方面还不清楚,评价人员可以扩大评价范围,继续取证,在此基础上形成评价报告。
(二)沟通协调。评价报告是否要征求相关人员的意见,没有明确的规定,但就有关事项进行有效沟通是必要的。在草拟内部控制评价报告期间,应该与独立审计师和法律顾问协调,并就以下问题达成共识:报告内容、报告语言、对“重要缺陷”和“重大弱点”的定义、披露存在于报告日的重大弱点、未报告的重大弱点等。
(三)报送报告。内部控制评价发现的缺陷应及时报告给负责所涉及职能或活动的人员,必要时还应该至少报告给直接负责人员的上一个管理层级。重要缺陷应当向最高管理层和董事会或审计委员会沟通。这个过程使得这些人能够为采取矫正措施提供所需的支持或监督,并且使他们能够与主体中业务活动可能受到影响的其他人员进行沟通。如果发现的问题跨越了组织界限,就应该相应地交叉报告,并且报告给足够高的层级,以便采取适当的行动。管理层建立替代渠道,以便报告类似非法或不当行为等性质上比较敏感的缺陷。根据问题的性质和所涉及的人员的不同,相应地直接向高级管理层的成员或董事会报告。
内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。由于企业内部控制建设由董事会负责,内部控制评价报告对外披露就必然要经其批准。
根据我国《企业内部控制评价指引》要求,企业应当以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。显然,指引明确内部控制评价报告在某时点,而不是一定期间的内部控制的有效性。时点报告要求的控制测试范围大大小于对一定期间控制有效性报告的测试要求,更有助于识别和纠正缺陷。
(四)调整事项。内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。
(五)总结归档。内部控制评价工作完成后,评价机构应对评价过程、评价方法、评价组织等方面进行总结,以及时积累经验,改进问题,不断提高内部控制评价质量。企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。
内部控制评价过程中应形成必要的评价记录,同时要妥善保管评价档案。具体注意事项为:评估过程中每一步骤的测试都要遵照要求并且留有痕迹,需要签字确认的,要求被评价人员签字确认;评价结果的所有支持性文件要统一编号,与评价点对应,以便日后查阅;评估过程中产生的所有记录文档,如访谈纪要、收集的规章制度、控制测试底稿、评估表等,应妥善保管,保管期限遵从企业的档案管理规定,中天恒建议至少要保存3年。
(六)持续改进。持续改进就是考虑从内部和外部渠道报告的缺陷,并及时采取矫正措施。(完)