企业内部控制评价体系之研究
发布时间:2011-08-03 点击数:2439  正文:【 放大 】【 缩小
简介:近年来,随着市场经济的发展和市场开放程度的加大,风险已成为企业关注和管理的焦点,作为企业内部管理核心的内部控制日益受到重视。要想发挥其应有的作用,必须不断充实和发展,以求跟上市场发展的步伐,正是基于这个基础,内部控制的研究和实践越来越重要。笔者拟从内部控制评价的概 ...
近年来,随着市场经济的发展和市场开放程度的加大,风险已成为企业关注和管理的焦点,作为企业内部管理核心的内部控制日益受到重视。要想发挥其应有的作用,必须不断充实和发展,以求跟上市场发展的步伐,正是基于这个基础,内部控制的研究和实践越来越重要。笔者拟从内部控制评价的概述、内部控制评价体系的要素、内部控制评价方式三个方面对内部控制评价体系进行探讨。
  一、内部控制评价概述
  (一)内部控制评价的定义
  内部控制评价是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。企业应结合本企业的实际情况制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法以及报告形式等相关内容。同时,企业应当建立内部控制评价结果分析和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据,企业主要负责人应对内部控制评价结论的真实性负责。
  (二) 我国内部控制评价的现状
  从20世纪90年代以来,我国的内部控制评价规范体系经历了从无到有,从个别到一般的发展过程。总而言之,我国内部控制制度和评价规范的建设起步较晚,已出台的相关规范还有许多需要完善的地方,内部控制制度的有效实施还有赖于企业治理结构的进一步完善。
  (三)评价内部控制有效性的标准
  1.内部控制有效性的概念
  内部控制有效性是指企业建立与实施内部控制,能够为控制目标的实现提供合理的保证,具体又分为内部控制设计的有效性和运行的有效性。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
  2.衡量内部控制有效性的标准
  (1)内部控制的系统性
  内部控制是企业内部的管理控制系统。有效的内部控制要求能够防止错误与弊端的发生,并产生效率和效益。这不仅仅需要内部控制在总体上是有效的,而且需要各项具体制度也有明确的目的并发挥各自的作用。
  (2)内部控制的稳定性
  企业内部控制是一个整体系统,是为相关目标乃至企业目标的实现提供合理保证,而整体系统的有效性就必须具有一定的稳定性。
  3.判断内部控制设有效性应考虑的因素
  (1)是否针对风险设置了合理的细化控制目标;(2)是否针对细化控制目标设置了对应的控制活动;(3)相关控制活动是如何运行的;(4)相关控制活动是否得到了持续一贯的运行;(5)实施相关控制活动的人员是否具备必需的权限和能力。
  (四)内部控制评价的原则
  1.风险导向原则 。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业中单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
  2.一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
  3.公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
  4.独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
  5.成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
  二、内部控制评价体系的要素
  (一)内部控制评价主体
  内部控制评价主体是公司股东大会委托的内部控制管理机构,即监事会、审计委员会和公司内部审计部门,其职责都是对内部控制进行不同程度的再控制。
  (二)内部控制评价客体
  内部控制评价客体是内部控制的实施对象,即对企业战略和内部控制目标实现具有影响作用的部门或个人。按照委托代理层级关系,可将其依次分为:董事会、高级管理层和下级执行单位与个人三个层次。
  (三)内部控制评价的要素
  1.控制环境评价
  控制环境评价确定了机构的总体态度,是内部控制所有其他组成要素的基础。评价控制环境时应考虑的要素包括:管理层对各项工作所需能力的要求;管理层传达不能损害诚信和道德价值的宗旨及管理层的典范作用;管理层理念和经营风格;企业的组织结构、职责分配、授权和政策制定及其应用等要素。
  2.风险评估评价
  风险评估评价一般要经过如下几个步骤。
  (1)识别风险。识别风险的具体方法有头脑风暴、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断等方法。
  (2)评估上述识别出的风险的后果和可能性。
  (3)描述企业流程。包括制定企业流程总目录和流程描述的规范,流程具体描述两个环节。
  (4)识别与风险相关的应对流程的风险,并建立风险数据库。
  (5)根据上述风险评估的结果,建立持续的风险评估制度体系。
  3.控制活动评价
  企业应当充分评估下列因素导致内部控制失效的风险:控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现性控制等;控制活动的复杂性;实施控制活动所需要的职业判断的程度;控制活动所针对风险事项的性质及其重要性;一项控制活动对其他控制活动有效性的依赖程度。
  4.信息与沟通评价
  在信息与沟通系统的评价中主要考虑以下两方面。
  (1)在信息方面的评价包括:①获取外部和内部信息,向管理层提供有关与实现主体既定目标的相关业绩的必要报告;②向适当的人员及时提供足够详细的信息,使他们能够有效和高效地履行其责任;③提供适当的人力和财力资源来证明管理层对开发必要的信息系统的支持。
  (2)在沟通方面主要评价:①就员工义务和控制职责所进行的沟通的有效性;②具备沟通的渠道,使员工能够报告怀疑的不当行为;③管理层对员工建议提高生产力、提高质量或其他类似改进方案的接受程度;④组织内部沟通的充分性,信息的完整性和及时性,以及是否足以使员工有效地履行职责;⑤管理层根据与客户、供应商、监管者或其他外部信息的沟通,所采取的追查措施的及时性和适当性。
  5.监督评价
  监督评价时,应同时考虑内部控制制度的持续监督活动和个别评价。对于持续监督而言,应评价的内容包括:员工在开展常规性活动中获取有关内部控制制度是否持续运行的证据的程度;来自外部各方的沟通印证内部生成的信息或指明问题的程度等。个别评价应考虑:对内部控制制度进行个别评价的范围和频率;评价过程的适当性;评价内部控制制度的方法是否合理、适当;记录程度的适当性。
  三、内部控制评价方式
  (一)内部控制评价指标
  内部控制评价指标是内部控制评价的载体,也是内部控制评价内容的外在表现。在具备清晰的内部控制流程和权责明确的组织体系中,有必要构建内部控制评价体系。
  (二)内部控制评价的程序和方法
  内部控制评价可以采用内部审计单独评估和自我评估两种方式。前者可由内部审计人员等评价主体定期进行,后者则要求被审计单位或部门在内部审计人员的帮助下,对本部门或内部控制实施的恰当性和有效性进行评估。具体而言,可以采用如下方法。
  1.个别访谈法。是指企业根据检查评价需要,对被查员工进行单独访谈,以获取有关信息。
  2.调查问卷法。是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。
  3.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
  4.标杆法。是指通过与企业内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。
  5.穿行测试法。是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。
  6.抽样法。是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。
  7.实地查验法。是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
  8.重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
  9.专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
  (三)内部控制的反馈与修正机制
  内部控制存在与生俱来的缺陷,要通过对历史的分析,对现状的判断以及对未来的预测,测定各项业务环节抵御风险的能力,从中发现问题、反馈信息、弥补缺陷、修正程序和指标,实现对业务操作和管理行为的超前预防性检查和监督。
  (四)内部控制评价报告
  企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:组织实施内部控制评价的总体情况;内部控制责任主体的声明;内部控制评价的范围和内容;内部控制评价的标准和依据等。
  (五)建立健全内部控制体系
  信息反馈的重点即是内部控制的重点,信息反馈机制配置的优劣,是对内部控制成功实现实时控制的关键。在实际工作中,应视部门或个人的责任大小,将内部控制的执行效果与其等级评定、评选表彰、领导考核以及奖励性工资的分配结合起来。

责任编辑:

参与评论

验证码: 看不清楚么?点我刷新认证码 用户名