第十章 内部控制评价体系
- 格式:doc
- 大小:271.00 KB
- 文档页数:18
第十章 内部控制评价体系
第一节 内部控制评价的目标
如前文所述,内部控制评价,是通过评价主体对企业现有的内部控制系统的设计和执行的健全性和有效性进行审查、测试、分析和评价的活动。通过内部控制评价,企业管理层能够发现内部控制是否符合企业的生产经营特点,是否在全体员工、生产的全过程中得到了贯彻执行,是否能够保证提供真实与有用的信息,是否能够及时防范和发现错误与弊端,是否能够识别经营中的风险因素,是否有助于战略目标的实现等。从这一层面上理解,内部控制评价是内部控制的再控制,因此,其最终目的就是为了实现内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
在具体界定内部控制评价目标时,不同的评价主体对内部控制评价目标的侧重有所不同。内部评价主体,如审计委员会、管理层和内部审计部门关注所有的内部控制目标,但更侧重于经营目标和战略目标,因为他们对企业内部控制的评价是出于内部管理的需要,评价企业为达到经营效果和效率所付出努力的有效性,以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部评价主体,如政府监管机构和注册会计师实施的内部控制评价一般侧重于报告目标和合规目标的实现。注册会计师在管理咨询内部控制评价中还会关注经营目标的实现。
第二节 内部控制评价的主体和客体
一、内部控制评价主体
评价主体是指由谁来实施内部控制评价。内部控制是由包括董事会、总经理、员工在内的所有人员实施的控制过程,因此,内部控制评价主体也应该由董事会、总经理和其他全体员工构成。然而,传统的内部控制自我评价方法将内部控制的评价完全交给审计人员,主要依靠内部或者外部审计人员来实施,传统内部审计方法适用于内部控制,诸如财务报告、资产与记录相分离、岗位处理等“硬控制”的评价,但无法对高层管理理念、员工胜任能力等“软控制”进行有效评价。外部审计人员由于不熟悉企业业务,有时无法对内部控制作出准确评价。因此,完整的评价主体应包括内部评价主体和外部评价主体。
(一)内部评价主体
为了保证内部控制评价的效率和效果,企业需要将评价主体进行适当分类。
1.审计委员会
借鉴美国的审计委员会制度,我国企业可在董事会下面设审计委员会机构,其是内部控制的最高管理机构。审计委员会的工作重点集中在检查和评价关键内部控制指标制定及执行的有效性,检查和评价关键员工的责任、业绩与品质,以及监督内部审计部门方面。审计委员会受公司董事长的直接领导,具有较强的独立性和权威性,其工作范围不受管理部门的限制,能够确保评价工作的顺利进行,评价结果受到足够的重视,进而提高内部审计的效率。
审计委员会通过内部审计部门来开展内部控制的具体评价工作。审计委员会可以充分利用其自身的人力资源优势,对内部审计部门的内部控制评价进行业务上的指导。当内部审计部门在工作中遇到阻力时,审计委员会可以利用自身的超然地位为内部审计部门保驾护航,可以将内部控制评价结果快速、及时地传递给董事会。 2.监事会
监事会作为企业最高的监控评价主体,主要工作是对董事和经理内部控制执行情况的评价以及对审计委员会工作的评价、指导和监督。
3.内审部门
内审部门是内部控制评价的组织者和主要参与者。由于内部审计提供的内部控制评价服务与传统审计不尽相同,这就要求内审人员的胜任能力随之转变。国际内部审计师协会(以下简称IIA)发布的《内部审计人员胜任能力框架》研究报告,对内审人员的任职条件提出了新的要求(见表10—1)。
表10—1 IIA《内部审计人员胜任能力框架》提出的内审人员任职条件
知识技能 能力 能够熟练地根据确定的路线工作
分析设计技能 识别问题、确定任务并构建典范的解决方案
鉴别技能 在复杂环境中能作出准确的、有创意的判断
行为技能 个人技能 能应付挑战、压力、冲突、时间紧迫,以及各种变化
人际技能 通过人际互动能够取得收获
组织能力 运用组织网络能够取得收获
4.其他员工
内部控制评价最终应实现全员参与,即采用控制自我评估(CSA)的方式。作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,可以说每一项作业和每一个员工都是控制的对象,仅仅依靠个别部门实施评价工作显然是不够的。通过员工的广泛参与,一方面可以对企业和业务层面的各类风险进行更透彻的分析和评估,并进一步对控制政策和程序的完善性实施有效评价,另一方面可以增强员工的风险管理和内部控制意识,此种意识在原先仅处于被控制地位时是很难自觉形成的。当然,完善的控制自我评估的实施需要一定的过程。为此,企业应对员工进行适当培训。在前期阶段,可以选择某些业务作为试点,一旦成功后,再逐渐推广。
(二)外部评价主体
外部评价主体包括注册会计师和监管当局。监管当局实施的内部控制评价体现了对内部控制的强制性披露要求。2002年7月美国发布的《萨班斯-奥克斯法案》强制要求企业披露有关内部控制的信息,但是披露主体为企业和注册会计师。我国银监会颁布的《商业银行内部控制评价试行办法》是银监会及其派出机构自行实施的监管行为,当然,披露主体也就是评价主体。
注册会计师在内部控制评价方面一直起着重要的作用。但是,有观点认为,注册会计师实施内部控制评价,存在诸多不足之处:第一,不符合内部控制的原理;第二,会降低披露的准确性;第三,不利于改进内部控制;第四,不利于注册会计师行业的健康发展。笔者认为,我国可以借鉴美国的经验:现有企业管理定期对内部控制设计和执行的有效性进行评估,出具评估报告,然后再由注册会计师进行审核,其审核并不是对内部控制作出直接评价意见,而是对管理层的内部控制评价报告发表意见。
二、评价客体
内部控制评价的客体是指内部控制评价的实施对象,即对什么内容进行控制。内部控制评价客体的确定应遵循以下原则:
(一)全过程性原则
从时间范畴看,COSO报告认为,内部控制是一个过程,其有效性是该过程在特定时点的状态和情况,因此,评估者要分析内部控制设计和执行在某一时点的效果,以决定这些制度是否能对已制定目标的达成提供合理保证,同时,由于内部控制是动态变化的,因此,还要将内部控制评价作为一个过程,内部控制评价应贯穿于企业日常业务和企业业绩评价中。
从空间范畴看,内部控制是对企业的生产经营活动全过程进行的控制,即包括对计划、营销、供应、生产、销售、财务、人力资源等方面的控制。因此,内部控制评价应当打破传统内部控制的狭隘性,拓宽内部控制的内涵,由局部的会计控制、财务控制扩展到整个企业的生产过程的控制,从而可以更系统、更全面地构建内部控制评价体系。
(二)分层次原则
COSO报告认为,内部控制体系分为公司层面和业务层面。在公司层面和业务层面都应从控制环境、风险评估、控制活动、信息与沟通和监督五个方面加以控制,但是侧重点有所不同。因此,在进行内部控制评价时,评价内容也会有所不同。
以控制环境的人力资源政策与实务为例,将COSO报告应用于公司层面控制的评价时,可以将人力资源政策划分为若干关注点,企业可以根据自身具体情况,增加或删除关注点问题。在进行业务层面内部控制评价时,企业更关注控制活动的有效性。COSO框架在公司层面内部控制的评价内容见表10—2。
表10—2 COSO框架在公司层面内部控制的评价内容
COSO要素 子要素 关注点
控制环境 诚信及道德观 (略)
员工胜任能力 (略)
董事会及审计委员会 (略)
管理层的经营理念与风格 (略)
组织架构 (略)
职责及权限分配 (略)
人力资源政策与实务 在员工的招聘、支付薪酬、晋升、培训和解聘方面是否有一定的政策、程序和有效的流程?
员工是否清楚自己的角色、权限、责任和公司对他们的期望?
员工是否清楚自己与控制相关的责任?
现有的行为准则是否已得到巩固?必要时是否采取惩罚措施以严格纪律?
是否检查拟招聘员工的背景和经历以及已经获取相关检查的推荐资料?
(略)
第三节 内部控制评价的标准
内部控制评价的标准是指进行内部控制评价时遵循的范本。内部控制评价的标准分为一般标准和具体标准。
一、内部控制评价的一般标准
内部控制评价的一般标准,是指应用于内部控制评价的各个方面的标准,即内部控制制度整体运行应遵循和达到的目标,主要包括被评价企业内部控制的完整性、合理性及有效性。
1.内部控制的完整性
内部控制的完整性包含两层含义:一是企业应根据生产经营的需要,制定全面的内部控制制度;二是企业应对生产经营活动的全过程自始至终进行控制。完整性控制是其他一般标准的基础,若企业内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起。完整性标准要求对内部控制以不同方法进行评价时,都能呈现出一种系统性,内部控制本身并不是一种单独的管理制度或者管理活动,也不是所有管理制度或管理活动的综合体,它实质上是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。
2.内部控制的合理性
内部控制的合理性同样也包含两层含义:一是指内部控制设计和执行的适用性;二是指内部控制设计和执行的经济性。合理性是对内部控制更深一层次的要求。如果片面追求内部控制的完整性而忽略了其适用性和经济性,势必给企业带来负面影响,这样就完全违背了企业实行内部控制的初衷,更加谈不上其有效性了。
合理性要求中的适用性是首要的,各行业、各企业都有其自身的各方面的特点,所以,各企业应该根据自身的特点制定出适用的内部控制制度,完全照搬别人的控制制度是完全错误的。而内部控制的适用性要以经济性为限制条件,内部控制的最终目的是提高企业的经济效益,减少资源浪费,实现企业可持续发展。
3.内部控制的有效性
内部控制的有效性也有两层含义:一是指企业的内部控制政策和措施应符合国家法律、法规的相关规定,不能有与法律、法规相抵触的地方;二是指内部控制制度应设计完整、合理,在企业生产过程中能够得到有效贯彻执行,并实现内部控制的目标。有效性以其完整性与合理性为基础,内部控制的完整性和合理性则以其有效性为目的。在评价内部控制的有效性时,第一层含义,即不与国家法律、法规相抵触是前提,只有满足了这一点,才能考虑其执行的效果。而第二层含义对企业来说则是根本性的,也是企业的追求目标。如果只满足了合法、合规的前提,而在实践中根本不予执行或执行起来达不到预计效果,则内部控制对此企业来说就相当于不存在。
二、内部控制评价的具体标准
内部控制评价的具体标准是指应用于内部控制评价具体方面的标准,它是在一般标准指导下形成的,可分为要素标准和作业标准两个层级。内部控制具体标准是一般标准的体现,一般标准是具体标准的基础。只有先从操作性较强的具体标准入手,对具体内部控制的设计与运行有了认识之后,才能通过总结、升华,从整体上对企业内部控制的完整性、合理性和有效性作出判断。
1.内部控制要素评价标准
内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个方面。每一个要素又分为更多的项目,例如,控制环境要素涵盖的项目就有诚信度、员工的能力、董事会和审计委员会管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策与实务等。
2.内部控制作业层次评价标准