内部控制评审
- 格式:doc
- 大小:167.50 KB
- 文档页数:19
内部控制评审
【字体:大 中 小】【打印】
一、内部控制再次引起关注
二、内部控制的基本理论
三、COSO《内部控制——整合框架》
四、如何评价内部控制有效性
五、我国企业内部控制体系建设
六、案例
一、内部控制再次引起关注
(一)控制的重要性
内部控制是什么?通俗的回答是:“企业防止舞弊的工具。”
控制是指管理层为实现既定目的或目标而采取的任何行动。其重要性在于:
(1)降低错误及舞弊发生的可能性;
(2)减少违法事件的发生;
(3)降低企业失败的概率;
(4)提高企业的竞争力 。
内部控制能做什么?
帮助组织实现绩效和盈利目标,防止资源流失;
有助于财务报告的可靠性;
有助于确保组织遵守法律法规要求,避免对其名誉造成损害以及其它后果;
帮助组织实现其既定目标,防止危险和意外事件的发生。
内部控制不能做什么?
有些人对内部控制期望过高且不切实际。他们认为:
——内部控制能保证组织的成功,实现其基本商业目标,至少保证组织能够生存。(内控只能帮助组织实现目标,却无法将糟糕的经理人变成优秀,法规、竞争者行为或经济环境的变化可能超出管理层的控制);
——内部控制可以保证财务报告的可靠性,并符合法律法规的要求。(内控制能提供合理保证,而不是绝对保证。决策失误、合伙串通舞弊、高管逾越内控等都可能导致内控失效)。
(二)影响企业内部控制的因素
公司治理方式
风险与机会
政府管理或法律管理,例如《萨·奥法案》
企业文化
科技进步
企业社会责任
萨班斯法案302条款
第302节 公司对财务报告的责任
要求公司首要官员及首要财务官在季度/年度报告中保证对信息披露的控制和程序负责(含刑事责任);
设计必要的内部控制手段并确保其执行可使高层及时获得重要信息;
对披露控制的有效性进行主平估,评估结果需存档;
不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为;
存档描述内部控制的重大变化;
介绍信息披露的控制和程序;
强调财务人员的正直和财务报告系统控制的完整性;
需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以法律诉讼;
美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证;
将内部评估及改为财务报告截止日。
萨班斯法案404条款
404条款:管理层对内部控制的评价(management assessment of internal control)
要求公司管理层在年度报告中:
描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任;
对财务报告系统内部控制有效性以一个公认架构进行评估(例如coso内控架构);
同时要求外部审计人员对管理层评估结果进行签证;
将内控评估日改为财务报告截止日。
有关规则、规章与审计准则的关系
(三)加强内部控制需要做的事情
高级管理层:
——开展控制自我评估;
——对公司与业务单元的政策和内部审计方案进行初步审核;
——保证有适当的实时监控过程。
董事会成员:
——与组织高级管理层讨论内部控制现状,提供必要的监督;
——从内部和外部审计师那里获取信息。
其他人员:
——执行他们的控制职责,讨论如何加强控制的建议;
——内部审计师应关注内控设计与执行的有效性。
监管者:
——对内部控制期望在两个方面存在的重大差异以及“合理保证”概念的正确性达成一致;
——对内部控制框架的优势及其局限性达成共识。
专业组织:
——制定规则以及其他对财务管理、审计和相关课题提供指导;
——根据内控框架考虑他们的标准和指南,消除在概念和标准方面的差异。
研究与教育工作者:
——了解和研究内控框架将来可以改进的地方;
——将内控框架的概念和内容引入大学课程。
二、内部控制的基本理论
(一)影响内部控制的历史事件
1934年美国《证券交易法》首先提出了“内部会计控制制度”的概念,对交易是授权、交易记录、接触资产和定期核对资产等提出控制要求;
1938年美国麦克森-罗宾斯案件直接促成了注会职业界对内部控制的关注。1939年AICPA特别委员会发布《审计程序文告第一号》首次增加了对内部控制审查的内容;
1949年,AICPA出版了《企业内部控制——协调系统的要素及其对管理层和独立会计
师的重要性》的专题报告,对“内部控制”首次作出定义:“内部控制是企业所制定的旨在保障资产、检查会计资料的准确性和可靠性、提高经营效率,推动管理层所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。”
1953年,AICPA审计程序委员会发布的内部控制定义包括:会计控制和管理控制;
1977年美国《外国反贿赂法案》出台,该法案规定:内部控制不是会计部门的责任,而是美国公司董事会的责任;
1985年, COSO发起成立了美国反欺诈财务报告委员会(Treadway Committee) ,1987年该委员会提交了调查报告,说明华尔街众多金融机构破产的原因——50%的原因是内部控制失效;
1992年,COSO《内部控制——整合框架》出台。
(二)内部控制结构(20世纪80~90年代)
内部控制被认为是合理保证组织实现特定目标而建立的各种政策和程序。
(三)COSO内部控制五要素
控制环境(Control environment)
风险评估(Risk assessment)
控制活动(Control activities)
信息与沟通(Information and communication)
监控(Monitoring)
内部控制与管理过程
管理活动 内部控制
组织层面的目标设定
战略规划
建立控制环境因素 √
各项活动层面的目标设定
风险确认与分析 √
风险管理
开展控制活动 √
信息确认、收集与沟通 √
监控 √
纠正措施
(四)内部控制自我评估(Control Self-Assessment, CSA)
CSA最早是由加拿大的海湾资源公司在20世纪八十年代开始运用的控制自我评估,亦称为风险控制自我评估的方法或管理工具。通过自我评估,大大推动了该公司内部控制的发展和完善。
目前,这种方法在美国、加拿大及欧洲得到广泛运用,是西方发达国家公司内部控制的一个新趋势。
1.CSA方法及其流程
控制自我评估,亦称为风险控制的自我评估(CRSA),CSA方法是内部审计人员与被评价单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制设计的有效性和实施效果进行评价,然后根据评价和集体讨论的改进建议出具评估报告,由管理者实施,以期能更好地实现内部控制的目标。
CSA流程
(1)设计和引进CSA概念;
(2)确定目标;
(3)讨论重大问题和计划;
(4)确定影响实现目标的风险;
(5)确定需解决的风险;
(6)考虑解决重大风险的当前安排;
(7)确定为正确管理风险而需要在现有风险战略中添加的内容;
(8)评估新措施在多大程度上能够促进组织实现目标;
(9)以一种有意义的方式报告结果和行动计划。
2.CSA评估环节
CSA的基本特征是:关注业务流程和控制效果;由职能部门和业务部门共同进行;从内部审计人员到业务流程具体执行人员全体参与;用系统化的方法开展评价活动。完整的控制自我评估环节包括以下几个方面:
(1)管理者的支持
CSA开始于内部审计部门和其他管理部门间良好的合作关系和相互的理解。内部审计人员应清楚地理解单位的文化、政治和环境,这些知识将有助于确立最适当的评价框架。管理者还要根据需要建立工作小组并了解小组及其成员。
(2)研讨会
召开研讨会有助于对选题进行交流和探讨。研讨会的基调是双向发现问题和共同分享信息。参加研讨会的对象应尽可能多,与讨论的业务流程相关的人员,特别是风险薄弱环
节的工作人员必须到场参加讨论。现场讨论应做到人尽其言,所有的观点都应记录在案。
研讨会的风险分析逻辑有两种:
①顺时针法
目标—风险评估—控制—流程,
重点保证内部控制制度的完整性;
②逆时针法 流程—控制—风险评估——目标,
重点保证内部控制的适当性和有效性。
自我评估报告
报告主要有三个部分:
本次评价的内部控制范围和评价过程中的特殊情况;
内部控制各个环节的风险程度。风险程度可分为最高、较高、中度、较低和最低5个等级;
对最高和较高这2个等级的高风险环节进行具体描述,说明其状况、影响,并提出改进方案和方案的完成时间、确定责任人。如果管理层对该高风险决定不采取措施,而是接受这一风险,应有管理层的书面承诺。
行动计划
行动计划是实施CAS的必然结果。CSA帮助被评价单位建立一个大家共同认同的目标,所有的问题虽然不会立即解决,但能有效地控制风险,使被审计单位向预定目标前进。
在制定行动计划时应特别关注控制点和相应的控制措施。不同的控制点,有着不同的业务内容和控制目标,因此需要采取不同的控制措施,才能预防和发现各种错弊。不同的行业、不同的公司为实现控制目标所采取的控制措施也不可能相同,这就需要审计师根据具体情况,运用职业判断能力进行确认。
三、COSO《内部控制——整合框架》
(一)COSO内部控制三大目标:
绩效、报告、合规
COSO内部控制的定义是:“内部控制是受企业董事会、管理部门和其他职员的影响,旨在取得(1)经营的效果和效率;(2)财务报告的可靠性;(3)遵循适当的法规等目标而提供合理保证的一种过程。”
1.内部控制定义所反映的基本概念
内控是一个过程,是实现目标的手段,而不是目标本身;
内控是受到组织各层面人的影响,而不仅仅是一堆政策手册和表格;
内控仅能看作是向组织机构的管理层和董事会提供的合理保证,而不是绝对保证;
内部控制适合于单个或多个单独目标的实现,但不适合相互重叠的目标类型。
2.内部控制的局限性
内部控制为组织实现其财务报告目标提供合理保证而非绝对保证。即使是有效的内部控制系统,也会因以下原因而经历失败:
人为错误——实施内部控制的人员可能作出拙劣的决策从而导致控制失败。员工还可能犯一些简单的错误。
管理层推翻——即使在一个控制良好的单位,管理层也可能出于不合法的目的而推翻内部控制。
合谋——两人或多人有可能合谋,绕开原本有效的控制。
3.内部控制的基本要素(COSO和巴塞尔委员会)
管理监督和控制文化(控制环境);