时间:2022-07-16 19:53:42
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业内部控制评价,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:内部控制;评价指标体系
中图分类号:F275 文献标识码:A 文章编号:1006-8937(2013)15-0051-02
1 内部控制评价基础理论体系简介
内部控制体系的建立,来自于企业资产安全保证的要求,以及外部监管者对会计信息安全性和真实完整性的要求。内部控制理论大致经历了内部牵制、内部控制制度、内部控制结构、内部控制整合框架及企业风险管理框架五个发展阶段,其中后两个阶段标志着内部控制成为现代风险管理理论的重要组成部分。1992年,美国反舞弊性财务报告委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting, COSO)《内部控制整合框架》,是第一次对内部控制理论进行了框架性的阐述。2004年9月,COSO委员会又在《萨班斯一奥克斯利法案》的基础上,《企业风险管理框架》,成为内部控制理论发展的里程碑,将风险管理作为企业管理的核心要件。作为企业风险管理框架中最重要的组成成分,内部控制主要致力于财务和经营风险的管理。
内部控制可以被视为一个系统过程,企业要改善内部控制水平,就必然经历内部控制评价这个过程,它通过对设计合理性和执行有效性进行测试、分析、评价,找出企业内部控制中存在缺陷和薄弱的环节并且有针对性的提出改进建议,从而进一步完善企业的内部控制系统建设。
2 我国企业内部控制制度的发展
1999年,我国立法机关对《会计法》进行了修订,企业建立健全内部控制体系自此成为了法律要求,我国的内部控制体系建设开始起步。以《会计法》为基础,财政部又先后了《内部会计控制规范―――基本规范》等7个有关企业内部控制的相关规范指引。
实际上,直到2002年,受美国安然事件影响,我国才真正把内部控制和风险管理形成法规。2006年,中国成立了企业内部控制标准委员会,国资委同时了《中央企业全面风险管理指引》,首次对全面风险管理的内部控制原则提出要求,这是我国在全面风险管理领域首份指导性文件,标志着我国内部控制风险管理体系的正式确立。2008年6月28日,财政部联合证监会、审计署等五部门联合了《企业内部控制基本规范》(以下称《规范》)。《规范》首先适用对象即为上市公司,同时也鼓励其他非上市公司积极适用。《规范》的,是中国企业内部控制规范体系的又一次重大的突破,被业内人士誉为“中国版的萨班斯法案”。
2010年,财政部联合证监会、银监会等五部委共同《企业内部控制配套指引》(下称:《指引》),《指引》共包括《企业内部控制应用指引》、《企业内部控制评价指引》等18个详细规则,同时还有《企业内部控制基本规范》作为基础性指导性法规。至此,我国已经建立了一套符合国际通例又贴合中国实际,比较完整的企业内部控制规范体系。实施时间表的制定,确保了这一体系的顺利实施。首先在境内外同时上市的公司实施,然后扩大至在国内交易所主板上市的公司;最后,在中小板和创业板上市公司实施。
3 企业内部控制评价体系基本框架
企业内部控制评价体系的基本框架,一般是由评价目的、评价主体与客体、评价标准和评价方法几个部分组成。
3.1 评价目的
对企业内部控制状况进行评价的目的主要是使企业了解内部控制状况,找出内部控制薄弱环节,提升企业经营的质量;从而对上市公司行为进行有效约束,促进企业积极完善内部控制体系,保护投资者权益。
3.2 评价主体和客体
根据《内部控制评价指引》相关规定, “内部控制评价,是指董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程”。而客体主要指内部控制设计和运行的有效性,如图1所示。
3.3 评价标准
①完整性。主要指企业根据业务流程需要,主要风险事项都已设置了针对性的控制措施,还包括对业务流程各主要风险点进行自始至终的控制。
②合理性。首先需要关注的是,内部控制体系中内部控制流程执行时的合理性,同时还需考虑的是整个内部控制流程在设计、执行时的经济性,即控制要以成本效益原则为指导。
③有效性。控制措施执行的有效性是指,一套完善合理的内部控制体系,能够在企业的生产经营中得到严格的贯彻执行并发挥其应有作用,从而保障财产安全、保证财务报告的报告质量。评价控制措施执行的有效性是确定每项控制性措施的执行能否有效防范风险。
3.4 评价方法及过程
我们应依据已建立的内部控制框架对内部控制的合理性和有效性进行评价,在此过程中,可采用不同的评价方法。目前方法主要有风险目标导向评价法和详细评价法两种。
①详细评价法。该方法将企业内部控制框架标准作为参考,考察内部控制体系中的主要构成要素的存在性,从而对内部控制运行的有效性进行初步评价。然后对内部控制运行的有效性进行测试,最后基于上述两个方面的评价对内部控制体系的有效性作出总体评价,通过识别出内部控制体系存在的缺陷,以及评估内部控制目标的风险,来确定内部控制的有效性。
②风险基础评价法。该方法首先要识别出实现内部控制目标的风险。然后考察针对这些风险,企业是否已建立了相应的风险防范机制措施,并由此来评价内部控制设计的有效性。最后,评估整个体系中存在的缺陷,判断是否构成了实质上的内部控制漏洞,并依此来判定内部控制的有效性。
4 我国内部控制制度存在的问题
①相关责任主体不明确。美国法律对管理层有关内部控制的法律责任做出了明确规定。《萨班斯――奥克斯利法案》中明确要求公司CEO与CFO对上报给SEC的财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以保证,并有严格的处罚措施保证法案有效执行。然而在我国法律中,并未明确规定这方面的法律责任。《上市公司治理准则》、《年度报告编报规则》等规定并未明确内部控制的制定与运行的负责人,而仅仅强调审计委员会和监事会对内控运行的督促、监察责任,导致了内部控制责任主体不明确的问题。
②内部控制评价标准不完善。“有效的内部控制评价”一直缺乏有效明确的定义,这就造成内部控制的评价标准具有可选性,然而评价结果却是固定强制的。这就造成了评价报告具有主观随意性、缺乏客观性,甚至有企业利用内部控制评价标准的可选性进行财务舞弊。
③企业内部控制评价报告的使用率较低。由于内部控制评价信息的质量较低,也导致了我国内部控制评价信息未引起市场的重视,这就让“更好的内部控制产生更加可靠的财务信息披露”这一理念的在现实中无法得到有效实践。投资者对内部控制评价报告的关注度低,内部控制水平高的企业披露内部控制评价信息的激励不足,资本市场中的内部控制信息出现“逆向选择”的现象,不利于资本市场的健康发展。
5 我国开展内部控制评价的建议
5.1 明确管理层内部控制相关法律责任
通过清晰的责任划分,可以明确管理层有关内部控制的法律责任。首先,借鉴美国经验,明确规定企业CEO和CFO对企业内部控制评价报告的客观性和准确性负有最直接的责任。管理层应该对内部控制体系设计与执行是否符合企业利益进行评价,是否完整详细的记录了企业内部控制的程序。此外,应制定相关法律细化明确企业管理层内部控制职责。对于未能有效执行内部控制的情况,能够依法区分出明确的责任人并严格追究法律责任。
5.2 完善内部控制评价标准体系
对企业内部控制有效性的评价结论目前多为 “是”或“否”的二项选择模式,在这种模式下只要企业存在某一项重大控制缺陷,企业内控评价的结果就只能是“否”,严重影响了企业披露控制缺陷的积极性。因此评价结论需要突破简单的二项选择模式,在单一的某项控制缺陷被披露出来后,如果企业其他部分内控评价是有效的,那么该企业的整体评价应该被客观的披露出来而不是简单的以“是”或“否”来定性。
内部控制评价指引应该明确不同企业所采取的评价标准,让评价过程具体化、清晰化。使管理层在进行内控评价时有切实可行的参考标准,以此对评价的核心指标进行统一标准的评价。还应对内控缺陷的补救和完善提供参考意见。
5.3 大力推广内部控制评价报告的使用
为了增强投资者对内部控制评价报告的关注度,中国注册会计师协会、中国证监会等行业协会和监管机构应通过指导和宣传,同时提高外部审计监督的有效性,大力推广内部控制评价报告的使用,使投资者认可内部控制评价信息的指导作用。通过内部控制信息需求与供给双方相互影响和相互作用,形成对高质量内部控制信息的有效需求,让内部控制评价报告真正为企业及其利益相关者服务。投资者意识到内部控制信息的重要性,促使内部控制水平较高的企业更多的披露内部控制信息,也促使内部控制体系不健全的公司切实有效的完善其内部控制体系,资本市场内部控制信息的需求和供给就可以进入一个良性循环。
【关键词】内部控制;内部控制评价系统
内部控制的理论研究和实践研究都已经发展到了一定的程度。COSO在2004年9月的风险管理整合框架是内部控制理论研究的代表作,很多大型企业都在执行此框架的内容以此来规避风险。然而,这些企业,比如美国的雷曼、美林等,并没有因为执行了该框架而逃脱在金融危机中被收购或者破产的命运,这引起了人们对内部控制理论的质疑和新一轮的思考。很多学者认为,这些公司的内部控制之所以失效是因为公司治理存在缺陷而且内部控制评价标准的可操纵性较低、指导性较差。因此,对内部控制评价系统的研究有助于帮助企业发展并完善内部控制制度,从而提高企业的整个管理水平。
一、内部控制评价涵义、目的及作用
内部控制自我评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕《基本规范》提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《基本规范》及《应用指引》中的内容。在确定具体内容后,企业制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性,同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等。企业还应在评价工作中明确内部控制缺陷的认定准则。完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露。企业董事会应当对内部控制评价报告的真实性负责。
根据《评价指引》的要求,企业应当按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
企业进行内部控制评价的目的主要有三个:第一,进行内部控制评价可以找出企业内部控制的缺陷,通过整改环节的完善可以提高企业经营质量;第二,政府和监管部门可以通过科学合理的内部控制评价了解企业状况;第三,内部控制评价系统最终可以使投资者的权利得到保护。
内部控制评价系统的作用有:第一,内部控制评价有助于审计职能的充分发挥;第二,内部控制评价可以完善企业的内部管理,提高经营质量,提高企业竞争力;第三,企业进行内部控制评价并向外提供评价报告可以帮助外部信息使用者进行有效决策。
二、内部控制评价系统的构建原则
根据《评价指引》的要求,内部控制评价系统的构建应当遵循一定的原则。
(1)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。每个企业都面临着千变万化的外部环境和内部环境,这也就造成企业时时刻刻都在面对无处不在、无时不有的风险,而内部控制则可以在一定程度上控制风险。因此,内部控制评价系统就要发挥其作用,客观的反映企业内部控制的设计是否具有科学性和有效性以及整个企业对内部控制制度的执行程度。
(2)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。《基本规范》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由于内部控制贯穿企业决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,所以内部控制评价也应当具有全面性,这样才能找出内部控制设计和执行中存在的不足,进而完善企业的内部控制制度,提高经营质量。
(3)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。内部控制评价系统是内部控制循环过程中重要的一环,从动态角度看,在设计并执行了内部控制制度后,企业需要对此制度进行评价才能判断其有效性和合理性,才能发现此制度的缺陷并进入到下一环节即整改环节。企业的各项任务和事项总有轻重缓急之分,而企业的资源是有限的,因此内部控制评价系统应在全面评价的基础上抓住主要矛盾,集中力量解决矛盾的主要方面,重点关注企业的高风险领域。在企业运行的某些环节上如果控制不佳则很容易出现问题,这些关键的控制点是企业内部控制能否有效发挥作用的重中之重,所以企业应当遵循重要性原则,对这些关键控制点进行重点评价。
综上所述,客观性原则、全面性原则和重要性原则是企业内部控制评价系统科学合理的保证,企业应遵循以上原则构建该系统。
三、构建内部控制评价系统的框架
整体框架和逻辑框架是企业构建科学合理的内部控制评价系统必须要明确的问题。整体框架所解决的问题是内部控制评价系统由哪些内容构成;逻辑框架则着重说明企业内部控制评价的切入点也就是评价的角度问题,即从哪些方面来进行评价。解决好整体框架和逻辑框架的问题,才能构建出科学、合理的内部控制评价体系。
(1)整体框架
评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告是一个有效的、科学的、合理的内部控制评价体系应当具备的七个要素,这七个相互依存、相互支撑的要素之间具有内在联系性和整体目的性且他们之间是密不可分的关系,这些都构成了内部控制评价体系这一综合体。
合理、科学的内部控制评价可以有效反映企业的内部控制情况,企业在确立了七要素中的评价指标和评价标准后,通过合理有效的评价方法可以得到一个衡量企业内部控制有效性的量化指标,此指标可以作为评价内部控制的一个最终结果,我们称之为评价指数。由以上的分析可以看出,评价指标并不独立存在于构成内部控制评价体系的七要素中,它的得出有赖于七要素中的评价指标、评价标准和评价方法的确定。但是这并不能说明评价指数在构建内部控制评价体系的过程中不重要,相反,它的作用是极为重要的。首先,评价指数作为评价内部控制的最终结果经过比较和分析形成七要素中的评价报告。其次,在集团内部,经过比较和分析各子公司的评价指数可以判断其内部控制的水平和执行程度,进而发现内部控制存在的问题,改善内部控制制度改善评价体系,从而提升各子公司的经营质量,最后使整个集团的管理水平提高。最后,评价指标还可以为政府、市场监管者和其他利益相关者提供依据,因为评价指数是企业内部控制水平的一个量化指标,所以不同企业、不同行业之间可以由此进行比较,从而使利益相关者更加了解情况。
(2)逻辑框架
我国学者对内部控制逻辑框架的理论研究和实践研究大多从内部控制五要素这一逻辑角度出发,也有少数学者构建了新的逻辑角度,比如引入了ERM框架。韩传模、汪士果两位学者分别从控制目标、风险要素、流程控制等多角度,引入层次分析法,建立递阶层次模型对内部控制进行了评价。根据本文对内部控制评价体系的分析,本人认为我国大部分学者从内部控制五要素这一逻辑出发是一种合理的逻辑框架选择。一方面,内部控制五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督,COSO框架将这五大方面作为内部控制的要素有着很强的科学性和逻辑性。它们之间是相互依存相互牵制紧密联系的,它们共同构成一个企业的内部控制制度。另一方面,《基本规范》和配套指引归纳了企业内部控制的五要素,这使得从五要素出发的逻辑框架更容易被大众接受、实施和推广。
参考文献:
[1]陈汉文,张宜霞.企业内部控制的有效性及其评价方法[J].审计研究,2008(3):48-54.
[2]刘玉廷.《企业内部控制基本规范》导读[J].会计研究,2010(5):3-16.
[3]王素莲.企业内部控制评价指标体系研究[J].山西大学学报2005(11):10-14.
[4]张先治.内部管理控制论[M].北京:中国财政经济出版社,2004.
[5]朱荣恩,应唯,袁敏.美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(8):
48-53.
[6]池国华.基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10)58-65.
一、内部控制评价与内部控制审计
内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。不可否认,对内部控制的有效性发表审计意见,本质上就是对内部控制做出的评价,属于“广义的”内部控制评价的范畴。
由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同,所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价,由企业自己完成,董事会对内控有效性所做评价负责;内部控制审计作为特定的外部评价形式,由会计师事务所完成,注册会计师对内控有效性发表的意见承担责任。笔者认为,在内部控制规范体系实施时间较短的情况下,如果从字面意思理解,把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈,很容易将内部控制评价和内部控制审计混淆。
二、内部控制评价与内部监督
开展内部控制评价需要“对内部控制的有效性进行全面评价”,而《企业内部控制基本规范》要求,企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中,内部监督“是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。所以,进行内部控制评价,必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念,发现两者的核心内容都是“评价内部控制的有效性”,如何理解二者之间的关系、有没有重复劳动?
笔者认为,企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一,两者都是自我评价,两个定义没有强调彼此差异;第二,在企业实施内部控制过程中,内部监督是贯穿始终的一个要素,基本规范第六章还详细列出了日常监督、专项监督等内容,可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说,而且,内部控制评价的内容还包括对“内部监督”的评价,如果套用内部监督的概念,内部控制评价是对“评价内部控制的有效性”的评价,这个表达确实不好理解。第三,在基本规范中,内部控制自我评价报告的内容出现在第五章“内部监督”部分,又让人感觉内部控制评价是内部监督的一个部分;但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”,明确表达了对包括内部监督在内的五个要素进行评价的思想,似乎不宜将内部控制评价视为内部监督的一部分。
虽然内部控制规范体系对内部监督和内部控制评价的规定,无论是条文安排方面还是概念的逻辑关系方面,都有可进一步探讨之处,但是规范体系对企业做的事情表述得很清楚:企业实施内部控制过程中,必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督;同时,还要根据基本规范和评价指引的要求,对包括内部监督在内的五要素进行自我评价。
三、内部监督与内部审计
内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会的《中国内部审计准则第1101号―内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。给人的感觉是,内部审计的一部分内容是“审查和评价内部控制的有效性”,与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”,而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里,内部监督、内部审计就像一对双胞胎,难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。
另外,内部控制基本规范规定,企业应“制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。显然,内部控制基本规范认为企业内部监督的主体主要就是内部审计机构(或经授权的其他监督机构)。也就是说,在实务工作中,内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分,因此有的人干脆把两者合二为一、不分彼此,统称“内部审计监督”。
但是,两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定,“内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明,内部审计机构和人员不得负责该单位内部控制的决策与执行,是独立于内部控制系统之外的一项审查评价活动。因此,内部审计当然也独立于内部监督之外,完全不是一回事更加不能相互替代。企业家们的困惑由此产生:内部控制规范体系要求企业建立与实施内部控制,而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员”,而且,后者规定两个系统必须相对独立,未必企业必须、且确有必要同时搞两套功能近似的内部管理系统?
笔者认为,内部审计、内部控制(包括内部监督)都属于企业内部管理的范畴,整体上属于企业内部事务,由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位,国家可能通过法规(规章和规范性文件)对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看,《中国内部审计准则》由民间机构中国内部审计协会,不具有法律约束力;企业内部控制规范由国家五部委联合,对相关企业具有强制力。因此,某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作,应视行业管理部门和企业主管机关的要求而定;如果没有这方面的要求,企业可以根据内部管理的需要,自主决定开展或者不开展内部审计和内部控制工作。
四、分属内部审计和外部审计的“内部控制审计”
企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述,企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念,指的是会计师事务所依照有关法规制度和审计指引的要求,对企业内部控制进行的审计;另一个是《中国内部审计准则第2201号内部审计具体准则―内部控制审计》第二条提出的,“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计,但是两者的差别还是比较明显:前者是企业内部控制规范体系的要求,本质上是内部控制的外部审计评价;后者是企业内部审计工作的一部分,本质上是企业自身对内部控制进行的内部审计评价。为便于表达,笔者将前者称为企业内部控制的外部审计,将后者称为企业内部控制的内部审计。
企业家们由此产生的又一个问题:内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价,应如何看待两者关系并组织实施?笔者认为,从制度规范的角度来看,内部控制评价和内部控制内部审计之间的关系,实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作,然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过,由于两者都是企业对内部控制进行的自我评价,评价主体、对象、采用的方法、评价的用途大同小异,在技术上可以相互借鉴。
五、内部控制、内部审计的组织实施
内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施,归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作,既是企业面临的现实问题,也是无法回避的理论问题。
文献对于内部控制与内部审计的关系有不同看法:第一种观点是,认为两者是相互交织、相辅相成共同构成的一个系统,而且不存在谁主谁次、谁包含谁的问题。如,田彦霞在《对内部控制与内部审计关系的探讨》中提出,内部审计是内部控制的重要组成部分,内部审计又是对内部控制的控制,二者相辅相成,缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出,内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是,内部审计是内部控制的一部分。如,胡以亮在《构建以内部审计为核心的内部控制框架体系》中,用北京市燃气集团构建的以内部审计为核心的内部控制框架为例,论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中,将整个内部控制体系划分为三个相对独立的控制层次,第一个层次是经济业务发生部门严格按照企业内部设计的程序,相互牵制开展业务活动;第二个层次是财务部门在事后建立起第二道监控防线;第三个层次是内部审计部门要建立起以查为主的监督防线,也是监督要素中的最高层次。第三种观点是,内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出,内部控制是内部审计的主要产品和对象,主要依据是,国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是,内部控制和内部审计是具有内在联系的两个独立体系。如,王华在《试论内部审计与内部控制体系的关系》中提出,两者之间既相互联系、又相互区别,既相互作用、又各自独立存在。
笔者认为,上述四种观点都有其合理性,实际工作中也都存在这四种做法。但是,应该注意到,内部控制、内部审计都是一个动态的、发展的、开放的概念;内部控制和内部审计的发展历史表明,两者无论是理论和实践中,还是内容和形式上,都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述,两者都将促进企业(组织)目标的实现作为自己的目标(或者目标之一),对于组织而言,这就是终极目标和最高追求;两者采用的方法并不存在绝对的边界和特殊范畴,而是都处于不断借鉴、吸纳、丰富和完善过程中。因此,从目前的情况看,企业在内部控制和内部审计的过程中,工作组织非常接近,两者发挥的作用也基本同质,如果已经实施了内部审计,也许稍加改造就能符合内部控制规范的要求;反之,如果有效实施了内部控制规范,很可能只要略微调整,也就达到内部审计工作的效果。
在实际工作中,企业可以在已经开展的内部监督、审计或者其他控制活动的基础上,根据有关方面或者自身需要做出适当完善,就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统,也能够承受相关成本,那么也可以设置两个相互独立的机构,分别开展内部审计和内部控制。换一个粗浅的说法,如果实施有效,内部控制和内部审计无需改头换面就能做到对方能做的事。
一、企业内部控制评价概述
1.内部控制评价的定义
内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责 任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
2.内部控制评价原则
企业实施内部控制评价至少应当遵循下列原则:(1)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。(2)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。(3)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
3.内部控制评价的内容
企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制
制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。我国内部控制评价指引则在此基础上更进一步,还进一步要求企业根据基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性。
二、内部控制评价体系的构建
内部控制评价体系是对内部控制执行有效性的检验,是对企业内部各组织机构内部控制执行过程的监控,是完善企业内部控制制度并保证其有效实施的重要手段。
1.内部控制评价体系的构建原则
内部控制评价体系的构建需要建立在一定原则的基础上的,只有遵循一定可行性原则的基础上构建起来的内部控制评价体系才具有可实现性、可操作性和科学性。因此,在构建内部控制评价体系应遵循以下原则:目标协同性原则、可理解原则、可操作原则、平衡性原则。
2.内部控制评价体系的构建过程
内部控制体系的构建可以利用企业的运营业务流程,逐个分解业务工作,并对每一个业务进行内部控制体系的构建。总的来说,可以划分为以下几个步骤:
第一步,构建业务控制目标体系
第二步,流程分析和风险评估
第三步,控制点设计的选择
第四步,评价指标及其标准设计
第五步,权重设定
第六步,现场测试和制度设计
3.内部控制评价体系的构建指标
针对内部控制工作的特点,单一使用定量评价或定性,评价方法 都难以达到满意的效果,因此,内控评价指标的构建应坚持定量指标与定性指标相结合的方式,其中,定量指标主要是具有代表性的财务指标,其目的是增强评价内控工作的客观性;定性指标主要是根据报告对内部控制八要素的划分,结合现代公司治理结构的特点,分别选取针对内控要素的具体评价指标。
定量指标,主要包括以下四项指标:⑴盈利能力指标。⑵偿债能力指标。⑶资产运营能力指标。⑷企业发展潜力指标。
定性指标,主要包括以下内容:⑴内部控制环境评价指标。⑵风险评估评价指标。⑶控制活动评价。⑷信息与沟通评价指标。⑸监督控制评价指标。
三、内部控制评价体系的评价方法
1.内部控制评价体系的评价标准
内部控制评价的具体标准,可分为两个层次即:内部控制要素评价标准;内部控制作业层级评价标准。
2.内部控制评价的程序
企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作。
3.内部控制评价体系的评价方法
(1)自我评价法自我评价法是企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评价的方法。这种方法一般是通过内部控制自我评价会议把相关的管理当局和员工召集起来就特定的问题或过程进行面谈和讨论。内部控制自我评价的总基调是双向发现问题并共同分享问题。
(2)业绩评价法
在内部控制评价体系的构建中,须将企业业务划分成各个小目标,直到确定各类业务控制总目标并对其进行分解,直到可直接操作的控制子目标。一个完善的业绩评价是一项复杂、多层次的企业规划控制活动,要达到良好的效果,就需要在企业内部控制得到自上而下的贯彻,也就是说在组织内,从企业到部门再到个人都得到恰当的考核评价。
(3)详细评价法
以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大漏洞,确定内部控制是否有效。这种思路和方法的特点是从控制到风险,即从内部控制到相关目标实现的风险。
(4)风险基础评价法
首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。
论文关键词:ERP;内部控制评价;信息系统
ERP环境下的内部控制不但要关注传统的内部控制环节,还要关注信息系统本身的内部控制。以往的研究成果,对公司的传统内部控制评价已有了深入详尽的研究,本文将在此基础上,探讨如何在信息化管理基础上开展内部控制评价命题。
一、ERP与内部控制概述
1.ERP概念
ERP(Enterprise Resources Planning—企业资源计划)是建立在信息技术基础上,利用现代企业的先进管理思想,将企业所有资源信息有机集成在一起,有效利用企业各种资源,为企业决策、计划、控制、经营业绩评估提供全面支持的系统化管理平台。ERP的基本思想是将企业的运营流程看作是一个紧密连接的供应链;将企业内部划分成几个相互协同作业的子系统,如财务管理、生产制造等。
2.企业内部控制的目标和评价要素
2008年5月22日,我国了《企业内部控制基本规范》,将企业内部控制目标定位为“遵循、资产安全、报告、经营和战略”五方面。这个目标在第二点和第五点甚至超过了美国COSO的《内部控制——整体框架》的要求,因而有一个很高的起点。而对内部控制的五要素,则是全盘借鉴了COSO的分类,即控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。我国内部控制制度的建立和评价都是按照这五个要素展开的。内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。在评价内容上,要求对五要素进行全面的、有针对性的评价。企业评价的结果,除了对内控整体目标是否有效下结论外,还需对报告中列示的问题进行改进,并追究相关人员责任。
二、ERP环境对企业内部控制评价的影响
内部控制环境,原来是作为内部控制评价的外部条件和因素存在的,企业实施ERP后,内部控制环境成为了控制手段、评价对象,和整个控制过程融合在一起。因此,ERP环境下的内部控制评价与传统状态下的评价相比,发生了较大的变化,主要体现在以下四个方面。
1.内部控制评价的目标由以纠错防弊为重点转变为持续优化
随着企业内外部环境的发展变化及各利益相关者对企业的要求日益提高,内部控制的目标由内部牵制时代简单的以纠错防弊为重点转变为在ERP环境下的持续优化,提高业务活动准确性、运行效率及企业整体绩效,并支持企业战略目标的实现。
2.内部控制评价的范围扩大、内容更广
传统手工环境下,记录的内容多为结果性的内容,频率较低、数量较少;内部控制的评价也以此为对象;此外由于纸质材料传递麻烦,审计人员的工作范围受到地域的限制;在ERP环境下,记录的内容大大增加,除结果性内容外还增加了大量过程性的内容,在信息集成条件下内部控制评价由定期转变为实时,可以跨地域进行;同时,由于对系统审计的重要性增加,内部控制评价的内容除了传统手工环境下的所有内容外,还包括对基于ERP系统的业务流程的评价;对ERP系统中权限设置、流程的规范程度等的评价;对ERP系统本身的安全性、有效性、准确性的评价。
3.内部控制评价的手段发生变化
企业内部控制评价的对象由传统手工环境下主要以部门为对象的模式转变为在ERP环境下以业务流程为主线对涉及的各个部门内控措施的设计和执行进行评价;传统手工环境下的人工手段、纸质记录等简单模式转变为电子化的、基于系统的、即时的记录;零散的、依靠经验为主的评价手段转变为可以依靠系统实现标准化和统一化并迅速推广创新的模式。
4.内部控制评价的时效发生变化
由于传统会计系统的业务核算和数据统计不可避免的存在时滞性,对经济业务的控制实质上都是事后进行的,在实务中表现为对业务的单点控制。在信息高度集成环境下,控制活动是否有效、有效控制是否贯穿整个评价期间等信息能够实时反映到内部控制评价部门。因此,控制信息的实时共享为实施实时评价创造条件,同时为企业及时发现内部控制设计缺陷和执行不力,及时控制业务风险和管理风险提供更加有效的依据。
三、ERP环境下的企业内部控制评价
企业应当结合ERP系统自身的特点及具体实施情况,按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
1.制定ERP系统内部控制评价方案
企业内部控制评价部门应根据ERP系统自身的特点及具体实施情况拟订评价工作方案。在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。制定ERP系统的内部控制评价方案可循以下基本的思路:评价范围应涉及到信息系统应用的全生命周期过程,按照风险导向原则,着重关注重点的关键风险因素和关键控制点;ERP系统相关内部控制评价应首先分析评价企业层面的控制环境,进而开展部门层面的控制评价;分析信息系统相关的风险影响因素时,应充分考虑不同行业的特性差异;选择适应信息系统要求的评价方法,注意将定量和定性评价有效结合,依据综合评价的结果,采取合适的动态监控和管理措施。
2.ERP系统控制评价
信息系统内部控制是企业在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,为确保信息系统提供的信息真实、合法、完整而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。信息系统内部控制评价分为一般控制评价和应用控制评价。
(1)ERP系统一般控制评价。一般控制评价应着重考虑与ERP系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。其主要内容包括:ERP系统的组织与管理情况;硬件和网络管理情况;系统访问控制措施;系统的安全性和灾难恢复控制措施等。
(2)ERP系统应用控制评价。应用控制评价是ERP系统内部控制评价在业务流程和管理流程方面的延伸,应用控制评价应当结合企业业务流程特点,按照业务类型进行组织,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。其主要内容包括:描述企业现有的业务流程、管理流程,找出其中的关键控制点,并据以评价关键控制点是否适当和健全;评价实现关键控制点的控制措施是否健全和合理;评价措施的运行是否持续有效。
ERP系统内部控制评价可遵循以下步骤进行:调阅关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解;通过与相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境;检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等;描述业务流程,从中找出关键控制点和控制措施;设计调查问卷和问题清单,交由相关人员据实填写,再进行检查核实;实行白箱法对计算机系统应用控制的输入控制、处理控制和输出控制进行测试;汇总并确认发现问题。
3.ERP环境下的内部控制评价报告
摘要:内部控制评价是完善企业内部控制制度并保证其有效实施的重要手段,对建立健全内部控制系统、促进内部控制目标的实现有着重要的意义。本文运用主成分分析法构建了上市公司的内部控制评价指标及综合评价模型,对我国高速公路上市公司内部控制进行了分析,发现高速公路上市公司内部控制有待加强,并提出了完善内部控制的对策。
关键词:内部控制 评价体系 主成分分析
一、引言
内部控制是对企业经济业务活动的过程以及经营管理工作的控制,而内部控制评价则是对内部控制本身所应该产生的功能的维护,是内部控制目标实现以及作用发挥的重要和关键环节。做好内部控制的评价工作,能促进企业内部控制系统的建立和完善,又可以保证切实贯彻实施内部控制系统,可以充分发挥内部控制的功能与作用,实现内部控制的最终目标,提高企业经营管理效率和效果。我国《内部控制基本规范》中对内部控制评价的内容规定基本上是借鉴用了COSO《内部控制——整体框架》中的规定。《企业内部控制评价指引》第五条规定,“内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。”COSO于1992年在《内部控制——整体框架》中提出了内部控制报告的框架。COSO报告认为,内部控制报告应着重说明控制系统的有效性。在1979年和1998年,美国证券交易委员会(SEC)分别提议强制要求提供内部控制报告。美国公众公司会计监管委员会PCAOB(2004)了第二号审计准则(AS NO.2),该准则要求审计师在评价管理层内部控制报告时,应重点评价以下内容:管理层是否适当表示了其建立和维护充分财务报告内部控制的责任;管理层实施评价所应用的框架是否适当;管理层对财务报告内部控制公司是近财务年度有效性的评价是否没有重要错报;管理工作层是否以可以接受的形式表述了评价结果;管理层需要说明公司的财务报告内部控制是否有效;说明“管理层当局没有注意到表明公司财务报告内部控制无效的事项”的消极保证声明是否能接受;如果公司的财务报告内部控制存在一个或多个重要弱点,那么,就不允许管理层得出公司的财务报告内部控制有效的结论;如果公司的财务报告内部控制中识别出了重要弱点,那么这些弱点是否得适当的披露。英国的特恩布尔Turnbull(1999)报告规定,上市公司有必要建立一个完善的内部控制系统,对内部控制系统进行检查是管理层的责任,但可以委任给审计委员会,董事会应至少每年一次对内部控制的有效性进行复核审查并向股东会报告。而监管部门要求注册会计师对董事会内部控制声明进行审查,对不一致的情况应予以说明。另外,特恩布尔(Turnbull)报告中的内部控制是包括了所有的内部控制,而不仅仅指与财务报告有关的内部控制。我国《企业内部控制评价指引》第二条规定,由企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、并出具评价报告。《企业内部控制审计指引》第二条规定,由会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。可见,我国也是双重主体并重的格局。与美英相比,在评价主体和评价内容方面各有所不同。
二、研究设计
( 一 )指标选取 (1)过程性指标的选取。本文对过程性评价具体指标的选取是基于《内部控制基本规范》规定,将五个要素划分为具体指标,并进一步细分为各项子指标,各个指标的评价范围采用十分制,6分为临界点,此值表示内部控制基本有效。按照表(1)所示的评分标准,将各个指标的定性评价量化,以更加直观的反映企业内部控制的实施状况。(2)结果性指标的选取。从内部控制建立目的来看,企业经营管理和财务管理结果不是内部控制的具体表现,但却是内部控制的运行的结果。一般来讲,内部控制与企业经营绩效之间是必要非充分关系,即有效的内部控制不一定能导致良好的经营效果和财务状况,但良好的经营效果与财务状况在一定程度上可以说明内部控制是有效的。经营效果和财务绩效某些指标值在一定程度上反映企业内部控制有效性。结果性评价指标,主是要指运用定量的价值指标从效果上评价内部控制。本文由于不是纯粹的财务绩效评价,这里只选取经典财务绩效评价方法——杜邦分析体系的核心指标,净资产收益率。净资产收益率是一个综合性很强的指标,能全面反映企业的运营效果。净资产收率=净利润/净资产。
( 二 )模型构建 (1)数据处理方法。本文拟采用主成分分析法,它是将众多具有一定相关性指标通过线性变换重新组合成一组线性无关的综合指标来描述原始指标所代表的信息。主成分分析法特点在于,可以用较少的指标去解释原有绝大部分信息,即原有信息的主成分。同时可以将一些线性相关指标变成线性无关的,避免信息重叠。更重要的是,它可以通过统计软件直接实现,克服了数据处理的主观性,操作简单方便,实用性强。(2)综合评价模型。本文构建如下内部控制综合评价模型:Z=MX+NY
其中,X代表过程性评价的最终评分值,其经过两次主成分分析法获得;Y代表结果性评价最终评分值。M,N代表对应的权重。M,N 的权重值的确定方法,在这里借鉴我国《商业银行内部控制评价试行办法》中的规定,M值为70%,而N值为30%。对于这一比例的合理性,本文在这里不做探讨,需要在今后更加深入的研究。
( 三 )样本选取 本文选取了18家高速公路上市公司,这些高速公路上市公司大多成立时间较早,经营业绩稳定,资本比较雄厚,具有一定行业代表性。通过对这18家高速公路上市公司内部控制的研究,我们可以基本了解整个高速公路行业的内部控制运行状况。本文以上述18家公司2009年和2010年度在其各自的官方网站、巨潮资讯网、上海证券交易所、深圳证券交易等公开的数据(如各样本年报中的“公司基本情况”、“公司治理结构”、“股东大会情况简介”、“董事会报告”、“监事会报告”、“重要事项”等章节或者单独披露的“内部控制自我评估报告”等)作为评价的原始资料,严格按照本文所设计的标准进行评分。
关键词:内部控制;控制评价;现代企业治理
一、现代企业治理视角下企业内部控制评价体系存在的问题
(一)现代企业治理结构存在缺陷,内部控制评价主体及其定位不明确
现阶段很多企业仅仅通过注册会计师定期实施外部评价已经不能够满足上市现代企业内部管理和战略目标实现的要求,同时,注册会计师评价的局限性也越来越明显,所以需要将内部控制的评价主体内部化。
(二)缺乏清晰的内部控制自我评价主体
一直以来,我国各现代企业始终以现代企业中间管理层和内部审计部门为内部控制主体,忽视了董事会、普通员工评价的重要性,以此不仅给予现代企业评价主体带来了巨大的负担,而且还因内部审计部门权威度低下影响到内部控制评价结果的真实性、可靠性。
(三)缺乏完备的内部控制评价标准
综合可知,《企业内部控制基本规范》、《企业内部控制引用指导》(征求意见稿)、《企业内部控制评价指引》(征求意见稿)等相关规章制度为编制现代企业内部控制框架提供了理论依据,但是内部控制框架无法作为现代企业内部控制评价标准规范现代企业内部控制评价实践。当前,我国各现代企业将内部控制目标视为评价标准,这种评价标准虽有一定的指导性作用,但不能够满足各现代企业内部控制评价的需求,极易造成现代企业内部控制评价流于形式,难以充分发挥其高效性职能。
(四)缺乏成熟的内部控制评价指标体系
内部控制评价指标体系是现代企业确定内部控制评价标准的关键。调查研究显示,我国现行各现代企业均缺乏成熟的内部控制评价指标体系,导致各现代企业内部控制评价标准模糊不清。因此需要各现代企业重视起内部控制评价指标体系建设问题,即现代企业结合自身的特点和需求,吸取国外成功的经验逐步加大内部控制评价指标体系建设力度。
二、现代企业治理视角下企业内部控制评价体系完善措施
(一)健全内部控制规范体系,为开展内部控制评价提供依据
现阶段,国内现存的关于内部控制的相关法律法规较多,这些法律法规既有针对于上市现代企业的,又有针对非盈利组织及事业单位的,而关于内部控制评价的相关法律法规极少,以致内部控制工作难以高效有序开展。另外,研究发现,截止当前,国内多数现代企业均缺乏完善的内部控制规范体系,使得内部控制评价构建及内部控制发展严重受阻,一定程度上制约了现代企业可持续发展。
所以需要落实好对现代企业内部控制规范工作,结合现代企业的特点与需求建立完善的内部控制规范体系,之后依托于内部控制规范体系进一步规范现代企业内部控制及其评价行为。同时,为确保将规范工作落实到位,需要相关部门组织构建内部控制整体框架,协调好审计准则与相关各界的内部控制规范之间的关系,加强现代企业各部门之间交流,从而充分发挥现代企业内部控制高效性职能及科学合理内部控制评价。总结而言,现代企业建立完善的内部控制规范体系,加强对内部控制及其评价方面的规范工作,对实现现代企业长期稳定发展具有极其重要的现实意义。
(二)调整优化现代企业治理结构,促进内部控制评价高效有序运行
现代企业治理结构与内部控制及其评价工作相互影响,其中现代企业内部控制及其评价既以现代企业治理结构为基础,又以现代企业治理结构为依据。因此为推进现代企业内部控制及其评价工作高效有序运行,需要做好对现代企业治理结构的调整优化。
第一,建立健全的审计委员会制度。《中国上市现代企业治理准则》明确指出,上市现代企业董事会下应设立审计委员会,并由审计委员会承担起财务、审计监管职能。同时,还需要现代企业组织资深的财务会计人员担任相关职位,这样才能够准确挖掘出现代企业潜在的各种经营风险及财务风险。另外,聘请外部审计委员会或委托内部审计委员会负责现代企业内部控制评价工作,以防范现代企业各项活动中出现不合规现象的发生。
第二,完善现代企业监事会制度,对现代企业监事会职能进行适当调整。当前,国内多数现代企业实行单层董事会制度,监事会只具备监督权,不具备参与控制权和战略决策权,因此不能够参与到现代企业任何决策管理环节,由此以来,使得监事会在现代企业内形同虚设,毫无积极作用可发挥。为改变这一现状,充分发挥监事会在现代企业内的积极效应,需要完善现代企业监事会制度,对现代企业监事会职能进行适当调整,即在保证监事会基本监督权的前提下,赋予监事会一定的战略决策权与参与控制权,这样监事会便能够参与到现代企业董事会或经理层决策过程中,及时制止各种不合规、不合理决策,促进现代企业持续平稳发展。
(三)加大内部控制自我评价力度
上市现代企业通过开展内部控制自我评价工作,不仅有助于规范现代企业业务经营程序及内部审计程序;而且还有效控制了现代企业资金风险与经营风险,为现代企业达到可持续发展战略目标提供强大的驱动力。
(四)逐步推广风险导向型的内部控制评价方法
现阶段,国内仍有相当一部分现代企业未能够正确认识风险导向审计工作,事实上,风险导向审计通过作用现代企业经营活动以达到股东权益价值最大化目标。其中做好风险控制工作是实现经济效益与社会效益价值最大化前提条件,若是现代企业未能够落实好风险工作,则风险引发的一切后果均须由现代企业自行承担。随着现代企业规模不断壮大及各项经济体制改革不断深入,现代企业逐渐认识到风险控制及管理的重要性,此时现代企业将着手于多个环节采取有效的措施进行风险控制及管理,力求营造一个和谐稳定的生产经营环境。
计划经济背景下,现代企业所采取的内部控制评价模式以内部控制调查问卷与符合性测试为主,并且始终围绕现代企业早已存在的内部控制予以评价,而且内部控制评价报告中的相关建议已被管理当局熟知,这种内部控制评价模式对现代企业发展所产生的积极影响不大。市场经济背景下,现代企业应打破这一滞后的内部控制评价模式,积极推行风险导向评价法,将评价重点转移至现代企业发展战略及业务流程等方面,以挖掘现代企业资金风险及经营风险为切入点,并有针对性的制定风险防范与解决措施。特别注意的是这里的评价并不是对内部控制的评价,而是挖掘内部控制过程中存在的各种风险。归纳而言,风险导向评价法下,现代企业着重评价下述问题:(1)确定与内部控制相关的目标?(2)确定内部控制是否对被评价部门产生积极效应?(3)确定内部控制的效果是否对管理当局决策造成影响?(4)怎样才能够取得良好的内部控制效果?值得注意的是现代企业可以风险回避、风险转移、风险分散等方式达到风险控制的目标,保障现代企业各项经营活动正常有序运行。
(五)加强固定资产的内部控制
固定资产既是反映企业经济实力、规模大小及事业水平高低的重要指标,又是企业开展各项业务等各项工作的物质基础,所以要不断加强对固定资产的内部控制,即由财务部承担起企业固定资产的数量与金额管理职责,同时,财务部门做好对固定资产的金额控制。现阶段,国内多家企业均已经引进固定资产动态管理信息系统,依托于该系统实现对购入固定资产分类代码编号、规格型号、使用方向、购买金额等相关事项的准确录入,之后将其记入基础数据库,并上报至财政局。另外,由会计人员依据每月的固定资产制定固定资产明细账,并将其上报至财务部门,由财务部门进行核对,为确保账账相符、账卡相符,需要财务部门每年至少开展一次固定资产清查工作。(作者单位:成都铁山实业集团有限公司)
参考文献
[1]梁素萍. 企业内部控制评价指标体系构建与实践 [J]. 财会通讯. 2010 (01)
[2]张宜霞. 企业内部控制评价方法的比较 [J]. 会计之友(上旬刊). 2009 (01)
[3]赵爱玲. 我国上市现代企业内部控制评价与报告体系的构建 [J]. 财经理论与实践. 2009 (04)
[4]阮班鹰,杨锡才,王创. 企业内部控制评价指标体系的构建与应用 [J]. 山西财税. 2009 (08)
一、企业内部控制评价的定义及其重要性
企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制是企业的灵魂所在,而内部控制评价是内部控制中的重要组成部分,它在评估、回馈、再评估的循环往复过程中实现对内部体制的修正和完善。它同样是具有制度性的,根据评价的结果来考核管理层及员工的绩效,是对内部控制系统的反思与重新审视。
首先,企业内部控制评价能发现并纠正内部控制体系中存在的缺陷,让内部控制日臻完善。任何内部控制制度的成功运行都要依靠强大的评价系统做支撑。内部控制评价系统通过对制度执行情况的调查、评估和反馈,找出内部控制制度中存在的问题以进行有针对性的修正和整改。也就是说,内部控制评价是对内部控制的再控制。事实上,真正有效的内控系统是处于动态发展之中的,是一个依靠不断评价、反馈以实现动态平衡的过程。
同时,内部控制评价能够强化公司制企业的受托责任,加强对企业内部的监督管理。现代企业的经营管理模式决定了大多数企业都面临着委托风险,如何实现有效的牵制,如何获取有关内部控制的整体概况以降低委托风险就显得尤为重要。而内部控制评价报告正是解决问题的有效手段,定期的内部控制评价报告为股东及董事会跟踪了解企业经营状况以及内部控制水平提供了平台。同时,评价报告同样是对管理层及企业员工的有形约束,促进内部控制制度的不断改进与完善。
更重要的是,内部控制评价能提高企业经济和财务行为的透明度使利益相关者更深入地了解企业的发展情况。随着内部控制在企业中的影响力逐渐扩大,出具真实可靠的内部控制评价报告已成为市场对企业的基本要求。企业的投资者、债权人以及其它的利益相关者透过内部控制评价报告可以对企业的目标、运作模式、风险管理水平等进行更深入的了解。此举不仅强化了企业主体的责任意识,也为企业树立了良好的形象,更营造了有利的外部环境增强了市场对企业的信赖度与认可度。
二、企业运用《企业内部控制评价指引(征求意见稿)》进行内部控制评价的执行难点
(一)内部控制评价主体的界定
《企业内部控制评价指引(征求意见稿)》第七条明确指出“企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构”。首先,表述中只是说“可以设立专门的内部控制评价机构”,但是对于内部控制评价机构应该如何构成则并未做出详细规定。首先,内部审计部门并不等同于内部控制评价机构,“若将内部控制授权给内部审计机构,应明确内部控制和内部审计的联系与区别。内部审计是内部控制评价的重要组成部分,但其所执行的工作并不足以代替内部控制评价的所有方面”。内部审计主要侧重于对财务报表等的复核与测试,而内部控制还包含多种非财务因素,即单纯的内部审计不足以完成内部控制评价报告。而恰当的内部控制评价主体是内部控制评价结果的可靠性和公允性的保证。因此,组织构建一个完整、健全的内部控制评价机构是内部控制评价有效性的关键所在。
(二)内部控制评价内容的复杂性与全面性
《企业内部控制评价指引(征求意见稿)》的第九条规定“企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价”,由此可见,内部控制评价涉及到企业整个运营过程的所有方面。评价指引要求要对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制有效性进行评价。在评价活动中要形成工作底稿,详细记录评价过程,内容涵盖内部控制五要素、主要的控制点及规章制度等。此外,评价指引更是罗列了用于评价的各种方法,例如,“标杆法”“穿行测试法”“抽样法”等这些控制测试方法都是建立在专业的统计、审计基础知识之上的。显然,内部控制评价已经不再仅仅是对内部财务报表的审查。要完成高质量的内部控制评价报告,就要综合企业生产经营链的各个方面对企业内部控制进行全面考察。
(三)对内部控制缺陷的鉴定及相应的整改措施
《企业内部控制评价指引(征求意见稿)》的第二十六条规定“企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大缺陷)”。对于缺陷的鉴定是内部控制评价中极为重要的环节,内部控制评价的目的就是找出缺陷实施整改以提高内部控制的有效性。这样一来,缺陷程度的评价标准就成为了企业必须考虑的问题,要实现有效的内部控制评价就必须有完善的缺陷程度评价标准及相应的整改措施指导思想。但问题在于,企业之前对这一领域的制度和规范涉及地很少,缺乏丰富的经验和借鉴的模板。因此,缺陷程度评价标准的制定对于企业来说是一项十分艰巨的任务。
三、针对企业进行内部控制评价的执行难点提出改善的策略
(一)综合多方面因素界定内部控制评价主体
事实上,评价主体的界定与内部控制目标是紧密联系的。譬如说,美国更看重内部控制的有效性,故而SOX法案规定管理层对内部控制报告的评估负责。在我国的评价指引中明确指出“企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督”,这体现的正是评价指引对评价主体全面性的要求。内部控制是基于企业内部管理的各个方面所进行的控制活动,其涵盖面之广泛同样要求在界定内部控制评价主体时要综合考虑多方面的因素。当然,在界定评价主体之前必须明确的是内部控制评价应与内部控制设计相分离。
笔者认为,在界定评价主体时应至少考虑四个方面内容。前已提及,内部控制评价的具体实施是由内部控制评价小组负责的,而评价小组则由企业董事会和内部审计委员会直接领导。首先,评价小组里必须有内部审计人员。因为,对财务报表的审计和考核是内部控制评价系统的重要组成部分,而且对内部财务状况的评价无疑是管理层最关心的问题。更重要的是,诸如测试内部控制等的评价工作需要大量的审计专业知识及方法技巧。“COSO报告指出,当内部控制能纳入企业的基本框架之内,而且是企业本体的一部分时,它最有效”,流程管理部门人员和财务人员由于直接从事具体实践工作,对内部控制制度的流程最熟悉,体会也最深刻。正所谓:“实践是检验真理的唯一标准”,所以流程管理人员和财务人员必须包括在评价小组中。此外,现代企业对完善的内部管理信息系统要求越来越高,计算机管理信息系统已然成为内部控制不可或缺的一部分。设计合理且高效运转的计算机管理信息系统是提高企业日常工作管理效率的关键。因此,对管理信息系统的评价也是内部控制评价的重要内容之一,需要计算机技术人员的参与。
综合上述,企业内部控制评价小组应是在董事会的领导下,综合各方面因素,由内部审计人员、流程管理人员、财务人员以及计算机技术人员构成。
(二)从关键控制点入手以全面性、合理性为基础评价内部控制
内部控制体系的设计就是在所有的关键控制点设计相应的控制程序。“关键控制点是对企业内部控制的有效性具有关键意义的因素或业务过程环节,这些环节如若疏于控制很容易出现问题,企业内部控制就不能发挥其合理保证作用”,即关键控制点构成了内部控制的关节点。内部控制评价内容的全面性决定了在进行评价工作时企业应该综合考虑包括内部环境、风险评估、控制活动、信息与沟通、内部监督等多种因素。而如此繁多复杂的内容在评价工作中不可能一一进行测试。因此,重点把握关键的风险控制点是全面完成评价工作并提高工作效率的必然要求。企业应有效地将对内部控制的评价转化为对控制流程中关键控制点的评价,依据关键控制点的设置思路对内部控制完整性进行考核。这样企业就能确保对内部控制评价的内容进行全面的考察。
在保证内部控制评价完整性的同时还应兼顾内部控制体系设置的合理性。这就是说,在以关键控制点为依据开展评估工作的基础上更应重新审视关键控制点本身的设置合理性问题。从某种程度上说,对合理性的评价甚至比对完整性的评价更为重要,关键控制点合理性的设置是内部控制完整性评估的前提条件。所谓合理性就是评价关键控制点的确定能否有效控制相关风险,能否纠正内部的违规操作,能否为企业的盈利能力提供良好的内部基础。评价内部控制体系是否合理的实质就是评价相关关键控制点的合理性。企业应当采用专业的控制测试方法,对关键风险控制点进行测试,以严谨专业的态度得出关键控制点合理性的结论。
内部控制评价对完整性与合理性的要求均是建立在专业的评估知识与技能基础上的,这对评估人员的专业胜任能力与综合素质提出了较高的要求。企业应针对内部控制评价的相关内容开展员工培训,加强员工对《企业内部控制评价指引(征求意见稿)》的理解与运用,提高评估人员的评估能力与综合素养。
(三)建立针对内部控制缺陷的评价标准及整改方案
企业应当建立完善的内部控制缺陷评价标准以使对内部控制缺陷的界定标准化、制度化。《企业内部控制评价指引(征求意见稿)》明确指出“内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定”,这就是说,对内部控制缺陷程度的判断应结合企业的具体情况。不同企业有不同的风险容忍度,这对于缺陷程度的确定是很重要的。结合企业的可容忍水平,将缺陷对企业包括财务、人力资源、销售情况、运营管理等具体方面的影响划分为不同的等级。这就是说,既要对企业整体内部控制建立缺陷评价标准,又要针对不同的内部管理分支建立具体的缺陷评价标准。在建立不同管理分支缺陷评价标准时,要具体结合该管理分支的职能与属性加以确定。缺陷评价标准应构成企业规章制度的一部分,参与企业日常运行,对企业运营状况提供实时监督。
“内部控制缺陷是表述内部控制有效性的一个负向的维度,企业开展内部控制评价主要就是要找出内部控制缺陷并有针对性地进行整改”,企业进行缺陷评级的最终目的是要在正确分析经营活动链条和内部控制体系的基础上进行评价从而客观地认识内部控制。所以,对应不同程度的缺陷要有配套的整改方案以实现对内部控制的完善。当然,整改方案的确定是具有灵活性的,并没有固定的标准,针对不同的缺陷所涉及的企业生产经营的不同方面有不同的整改办法。关于整改办法的确立,应由内部控制评价小组成员和出现问题的部门成员共同协作依据缺陷的属性和相关的专业知识来解决问题。同时,整改方案的制定应从企业大局出发,充分考虑方案对整个企业生产经营链的影响,能够在平衡企业各部门利益的同时适应企业外部环境的发展变化。
参考文献
[1] 张建儒,陈欢.浅议企业的内部控制评价[J].会计之友,2011(5).
关键词:内部控制 评价指标 应用
一、案例概况与分析
陈某原来是南京某集团出纳。自2000年以来,他私自对销售款截留、利用现金支票等编造各种的理由进行提取现金,将公款用来赌博,造成了公司直接经济损失达70余万元。经调查,陈某挪用的公款手段很简单:(1)直接挪用了销售款,陈某多次从营业额中直接取走现金,两年时问里共挪用公款50万元;(2)隐匿了5笔出口结汇的收入共20万元,将其提现金额和隐匿收入相抵,使13笔收支的业务未在银行的日记账以及银行余额的调节中反映;(3)伪造了11张银行的对账单,将提现的整数金额都改成带尾数金额,并将银行代码“11”改为托收代码“88”或者外汇买卖代码“18”。
事实上,陈某能够在任期内进行作案贪污70余万元,究其根本在于缺乏了一套能相互牵制约束的机制。因此,运用企业内控原则,尤其是按COSO报告的要求来建立内部控制,对上市公司而言势在必行。
二、企业内部控制体系的评价标准
企业内部控制评估的一般标准,指的是适用于企业内部控制评价的各方面标准,也就是内部控制整体的运行应该遵循的相关标准以及要实现的目标。它需要考核以下几个方面:
第一,企业内部控制的整体性。企业内部控制的整体性包括了两层的涵义:企业按照生产经营的需要,在不同的层面必须设置的相关内部控制已经设置。还有一层含义是对生产经营的活动全过程实施控制。在对企业的内部控制整体性进行判断时,还要考虑到企业的经营规模和业务的复杂程度等影响。
第二,企业内部控制合理性。合理性是对企业内部控制更高层次的深入要求,它同样也包括了两层的涵义:首先指的是企业内部控制的制度设计以及执行适用性;二是指企业内部控制的制度设计以及执行的相关经济性。
第三,企业内部控制有效性。内部控制有效性有两层的涵义:首先指的是企业内部控制政策以及措施和国家的法律法规没有相抵触的条款;二是指企业中设计完整的企业内部控制的制度在企业生产经营的过程中可以贯彻执行并且发挥其作用,实现其为企业提高经营的效率、提供可靠的财务报告以及遵循法律和法规提供出合理确保的目标。
三、内部控制定量评价指标(Y)
1、财务类的指标
企业内部控制服务于企业的经营活动以及财务管理的活动,健全并且有效的企业内部控制要能够保证企业的经营活动以及财务的活动进行顺利地开展,并确保不出现错误以及舞弊的情况。尽管企业的经营指标以及财务的指标并不是企业的内部控制活动相关具体表现,但经营以及财务活动方面的一些指标能够在一定程度上反映企业内部控制有效性。财务类的指标包含以下方面:
(1)反映企业盈利的能力指标。企业净资产的收益率=净利润/净资产,这项指标能够反映公司所有者的权益报酬率,具有较强的参考性和综合性,可用来衡量企业经营目标的达成程度。销售净利率=净利润/销售收入,这个指标代表着每1元销售收入能够产生的利润,反映了销售总额的收益水平。企业销售的净利率高低和经营管理的好坏之问有密切的关系,企业内部控制对企业的经营管理事项有直接的影响,所以企业的销售净利率的指标可以用来评价和销售利润的水平有关系的内部控制。
(2)反映企业营运的能力指标。总资产周转率=销售收入/平均资产总额,这个指标反映出企业资产总额周转的速度,它是经过经营效率来考察企业内部控制的效果指标。
(3)反映企业偿债的能力指标。权益乘数=总资产/所有者权益,这个指标能够反映企业的负债能力和程度,权益乘数和负债程度成正比。从企业经营者的立场上看,举债如果超过了债权人自身的心理承受力,企业就会借不到资金;不举债或举债的比例过低,能反映企业将债权人的资本用于开展经营项目的能力比较差。这个指标不仅可反映出企业的经营活动方针以及管理人员的能力素质,也能从这个角度反映出企业内部控制的能动作用。
(4)反映企业发展的能力指标。营业收入增长率=本年营业收入增长额/上年营业收入总额,这个是衡量一个企业的经营状况以及市场的占有能力、进行预测企业的经营业务进展趋势的有效指标,可用来评价和发展能力有关联的企业内部控制。资本积累率=本年所有者权益增长额/年初所有者权益,资本的积累率反应了企业的资本积累概况,能够展示出企业发展的潜力,也可以用来评价和发展能力有关的企业内部控制。
2、要素类指标
结合企业内部控制五个构成部分定性分析的指标,还能够针对它可以进行量化的相关内容来设计定量分析的指标。比如在企业信息和沟通评价这方面,可以设计企业信息的沟通覆盖率、信息的处理率等各项指标,作为定性评价的指标补充。
四、企业内部控制i平价指标体系的相关运用
对企业内部控制整体的评价是由定性评价以及定量的评价构成的,所以应该将两部分综合计算起来(公式1计算)从而得出结论。
Z=Xp+Yq(公式1)
注释:z表示综合的评价得分;x表示定性的评价得分;Y表示定量的评价得分;p表示定性的评价得分权重;q表示定量的评价得分权重。
1.内部控制定性评价的常规程序
企业内部控制定性的评价可以分四个步骤来进行:
(1)对具体的指标给予相关评价。通过完成事先设计的评价表对企业内部控制各个评价的指标进行逐项的评价,分别填写出对应的评价等级,比如优、良、中、差等。
(2)将具体的指标等级量化成分数。比如“优”对应的是90分,“良”对应的是80分,“中”对应的是70分,“差”对应的是50分等,最后将分数集合统计,取它们的平均值为指标值(a1,a2,…,an)。
(3)确定各项的指标权重(j1,j2,…,jn)。通常可以采用德尔菲的专家评判法来确定指标权重。
(4)确定评价的结果。按照权重法的计算公式来计算各项指标的相关分值,并求总和得到一个定性评价最终的得分(公式2)。x=j1a1+j2a2+j3a3+…+jnan(公式2)
2.定量评价的基本程序
(1)建立企业内部控制的定量评价的模型。理论界运用的数学模式对数学知识的相关要求很高,一般的普通评价者在短时问内是很难掌握的,所以本文建议对财务的综合预警模型进行借鉴,利用多因素的分析方法来建立企业内部控制的评价模型(公式3)。
Y=k1b1+k2b2+k3b3+…+knbn(公式3)
注释:bn表示的是评价的指标值;kn表示的是各项的指标权重。根据多因素的分析方法,可以先选取出评价的指标以及确定权重,利用实证分析来判定内部控制较好的企业以及较差的企业Y值区间。在评价一个企业内部控制的具体状况时,将企业的实际指标值代进模型中计算出Y的值,并判断它所处的区间,得出最终的结论。这个模型所有的指标都采取相对的指标形式,这便于利用模型来比较和分析不同大小规模的企业内部控制的状况。
(2)确定各项的指标权重。在选定好评价的指标后,必须要为每个指标确定好相对应的权重。指标的权重要能够反映评价指标对企业内部控制的效果影响。权重可以是由国家或者行业的管理部门进行定期的测算公布,这样就可以兼顾到评价标准稳定性以及灵活性。在评价的框架一样的基础上,要考虑到行业的特殊性,确保企业的内部控制评价和经济发展的水平同步。通过参照历史的经验以及粗略的估算,本文认为指标权重可以安排为:反映企业盈利能力指标的权重规定为55%,反映企业营运能力指标的权重可以是15%,反映企业偿债的能力指标的权重可以是15%,反映企业发展的能力指标的权重可以是15%。
(3)确定评价的结果。按照被评价的企业财务数据和上述的公式,可以最终计算出Y的值。
3.定性评价和定量的评价结果进行综合
考察指标定性评价以及定量评价,结合它们在评价体系里的地位和重要性,从而来确定它们的权重,再结合指标的定性评价以及定量评价具体的得分(x和Y),就可以计算内部控制的综合评价的得分(z)。
内部控制是一种持续的管理活动,贯彻于决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,实现全过程、全员性控制。为了检查监督内部控制的建立和有效运行,强化企业监督、防范企业风险,仅仅进行内部控制评价和注册会计师内部控制审计远远不能满足企业管理的现实需求,企业自身还要动态、不定期、有针对性和突击性地开展内部控制审计,以便向最高管理当局及时提供内部控制建立、运行的实际状况,查找内部控制缺陷和风险隐患,发现管理的薄弱环节,提出整改建议,促进企业持续、稳定、健康发展。
但是,《企业内部控制基本规范》及配套指引只是从外部监管的角度规范企业内部控制评价和注册会计师内部控制审计,对企业自身开展的内部控制审计并没有作具体规范,企业究竟是遵守《企业内部控制基本规范》及配套指引还是遵守《企业内部审计准则》,目前没有一个明确的说法。因此,企业自身到底如何开展内部控制审计,笔者认为可以从以下方面着手。
1 企业要根据《企业内部审计准则》的要求开展内部控制审计
企业自身开展的内部控制审计,是指由企业内部审计部门对企业内部控制设计和运行的有效性进行审计,是内部审计的一种业务类型,也是一种持续的过程审计,具有前瞻性、时效性、预防性和突击性的特点,是对内部控制的再控制。因此,既然是内部审计,就应该遵守《企业内部审计准则》,并根据《企业内部审计准则》的规定来计划和实施审计工作,出具审计报告。
2 企业要从深入业务的角度开展内部控制审计
业务活动是企业规章制度的有效载体,没有业务活动的支撑,任何规章制度都只是无本之木,都是一纸空文,《企业内部控制基本规范》及配套指引的有效实施,也应该深深扎根于企业的业务活动。而企业自身开展内部控制审计,是出于企业内部管理的需要,是为加强动态监管和管理层决策服务的,监管和决策的效果最终是通过业务活动来体现,因此,企业开展内部控制审计必须深入到业务,通过对业务活动的审查来评价内部控制设计和运行的有效性,用业务数据来说明内部控制运行情况,是一种非常有说服力的审计证据。
3 企业开展内部控制审计应该和内部控制评价有机结合
虽然企业内部控制审计和内部控制评价目的不同、责任和实施主体以及报送要求均不同,但是两者在许多方面还是有许多共同点,企业内部控制审计应该在以下方面和内部控制评价有机结合起来:
1)企业内部控制审计应该和内部控制评价一样关注企业层面和业务层面的内部控制,企业层面和业务层面是企业的两个方面,是企业的有机结合,无论是企业对内部控制审计还是进行内部控制评价,缺少其中任何一方面的内容其结果都是不完整的,都是不合要求和充满风险的。
2)企业应该结合运用审核、观察、询问、函证及分析性复核等内部审计方法和个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样及比较分析等内部控制评价方法,来获取充分、相关、可靠的审计证据,以支持审计结论和建议。
3)企业内部控制审计应该使用和内部控制自我评价相一致的缺陷认定标准。
4 企业内部控制审计可借鉴的程序和方法
关键词:电力企业内部控制评价体系
随着电力体制改革不断深入,我国电力企业面临的压力增大,遇到的挑战也日益严峻。企业中存在着各种各样的风险,要减少和避免这些风险的发生,需要加强和完善企业内部控制,而构建内部控制评价体系对于改善企业内部管理体系将起到积极的促进作用。
一、电力企业内部控制的含义
从狭义上讲,内部控制是从内部牵制出发,由企业管理人员通过经营管理实践,并由审计人员总结而成的一种自行调整和自我监督体系。一般而言,内部控制由企业管理人员制定的协调体制和组织体制两方面组成。从广义上说,内部控制是管理中最为关键的部分。但是不能把内部控制与管理混为一谈。管理涵盖的内容更为广泛。内部控制在不同的经济体制下有不同的诠释。为了维护资产和资源的安全性,保证管理决策的准确性,促进企业的业务有规律有秩序地进行。
二、当前电力企业内部控制的现状
(一)内部控制体制不够健全,执行力度不强
目前,电力企业尚未建立类似COSO权威性的内部控制标准体系,主要原因在于许多电力企业对内部控制认识不全面,内控意识比较淡薄,对建立内部控制体制的重视度不高,缺乏统一的内部控制指导依据。同时有些虽有制度,但由于执行力度不强,致使内部控制制度局限于形式,失去了原有的价值和作用。
(二)内部控制股权分配不合理
电力企业的股权主要由法人股,国家股和社会股组成。其中社会股持股份小,数量多,政府由于身份和能力的限制,只能通过委托的方式,把部分股权转交给企业的管理人员。同时,企业的管理层成员和董事会成员集中重叠, 形成了内部控制权责不清,、等现象频繁出现。此外也因激励和约束措施的缺乏,导致企业管理者的剩余索取权和剩余控制权急速膨胀,造成了企业内部人员控制不力。
(三)内外控制监督乏力
由于缺少有效的内部控制监督机制,致使企业内部控制的缺陷不能被及时发现,严重影响企业的正常运转。有的企业虽设立了内审监察部门,但往往只注重表面上的“财务监督”与纪检监察角色,造成内部控制监督职能弱化,无法充分发挥内部控制的监督作用。企业外部监督体系,由于长期的职责交叉,各管一段,客观上形成谁都不负责任的混乱局势。
三、电力企业内部控制评价分析
电力企业内部控制评价是内部控制的再控制,因此其最终目的就是为了实现内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。完整的评价主体应包括内部评价主体(管理层、内审部门及其他员工)和外部评价主体(注册会计师和监管当局)。电力企业内部控制评价的客体是指内部控制评价的实施对象,即对什么内容进行控制。内部控制评价客体的确定应遵循以下两个原则:全过程性原则。从时间范畴看,内部控制是一个过程,因此还要将内部控制评价作为一个过程,内部评价应贯穿于企业日常业务和企业业绩评价中。从空间范畴看,内部控制是对企业的生产经营活动全过程进行的控制,包括对计划、营销、供应、生产、销售、财务等方面的控制。因此电力企业内部控制评价应当打破传统内部控制的狭隘性,由局部的会计控制、财务控制扩展到整个企业的生产过程的控制。分层次原则。内部控制体系分为企业层面和业务层面。在企业层面和业务层面都应从内部环境、风险评估、控制活动、信息与沟通和监控五个方面加以控制,但侧重点有所不同。因此在进行内部控制评价时,评价内容也会有所不同。
三、电力企业内部控制评价体系的构建
内部控制评价体系的构建无论在理论界还是实务界,都是一个较为前沿而有待进一步研究和探索的问题。因此,合理、恰当地定位是顺利构建内部控制评价体系的前提和基础。构建电力企业内部控制评价指标体系,其内容是通过对企业内部控制系统的研究分析,设计出用于评价的指标体系,其中包括各项指标的名称、内容、标准、权重等。图1为内部控制评价体系。
由于电力企业所涵盖与涉及的经济业务较多,因而其是一个审批、计划与执行的过程。因此,为提升电力企业服务质量,促进企业获取较大经济利益,企业应促使上下级之间、相关部门之间的形成相互制约,加强和完善企业内部控制,积极构建电力企业内部控制体系,减缓当前市场经济环境对电力企业所面临的发展压力及
面临的挑战。同时,我国电力企业还应紧跟时展潮流,促使ERP与企业财务控制的融合与互动。
参考文献:
[1]郝荣娟.《内部会计控制在 电力 企业 中的 应用》[J]现代企 业 2005(10)
[2]单丹.《我国电力企业内部会计控制若干问题的思考》 [J]审计与理财 2007(4)
论文摘要:随着经济全球化趋势的日益加深和我国资本主义市场经济的不断发展,加强企业内部控制建设正成为大势所趋、潮流所向。内部控制评价是内部控制的重要组成部分,也是保证内控制度发挥作用的重要方法。从内部控制评价出发,以COSO内部控制整合框架为基础,首先回顾了内部控制及内部控制评价理论的发展演变,继而分析企业内部控制实施存在的问题,并提出建立健全内部控制评价体系的我见。
论文关键词:内部控制评价;内部审计;COSO框架
1 内部控制评价理论
1.1 内部控制概述
(1)内部控制溯源。
①“内部牵制”阶段。
一般认为,20世纪40年代以前的时期属于“内部牵制”阶段,是内部控制的萌芽时期。内部牵制是指将一项业务交由多人去执行,同时规定业务的交叉检查或交叉控制,客观上造成了业务执行者之间相互牵制的关系,从而减少了错误及舞弊行为的发生。
②“内部控制制度”阶段。
20世纪40年代末至80年代,在内部牵制制度的基础上逐渐产生了内部控制制度的概念。内部控制制度阶段主要以内部会计控制为核心,重点在于建立健全规章制度。
③“内部控制结构”阶段。
20世纪80年代末至90年代初,“内部控制结构”阶段跳出了“制度二分法”的限制,不再区别会计控制和管理控制,并强调了企业经营活动中控制环境的重要性,被认为是内部控制理论研究上的突破性成果。
④“内部控制整合框架”阶段。
20世纪90年代开始,随着财务舞弊案件的频频发生,监管部门出台了一系列指导性法规文件,内部控制理论研究步入成熟时期。
1992年,美国“反对虚假财务报告委员会”下属的发起机构委员会颁布了《内部控制——整合框架》(即COSO报告),并于1994年进行增补,COSO报告堪称内部控制理论发展上的又一里程碑。
(2)内部控制的发展:《萨班斯法案》。
2002年,美国国会通过了《萨班斯法案》。纵观整个法案,最主要的是对企业内部控制提出新的更严格的要求,对企业内部控制及财务成果的披露提出更高更明确的要求,对企业内部控制体系的失效提出了严厉的处罚。
(3)内部控制的发展:企业风险管理框架。
2004年9月,美国正式颁布了《企业风险管理整合框架》,在内部控制整合框架的基础上,该框架将企业风险管理的要素增加到八个:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控。
1.2 内部控制评价的基本概念及发展历程
内部控制建立之后,企业应该定期对内部控制的有效性进行自我评价。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。因此,为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,财政部等五部委专门制定了《企业内部控制评价指南》。指南第二条规定:“内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。”
(1)内部控制评价的产生与发展。
内部控制评价真正受到关注并得以发展,是与审计需求的不断提高息息相关的。
①内部控制评价引入审计领域。内部控制评价最初受到关注,是因为外部审计师在审计实践中发现可以将内部牵制系统的评价与审计范围、重点等的确定联系起来,利用这种评价可以减少工作量、提高审计效率。
②制度基础审计下的内部控制评价。
19世纪40年代以后,随着内部控制制度在企业内部逐渐形成,制度基础审计也逐步发展起来。在制度基础审计下,内部控制评价作为审计程序的一部分,其目标主要是为审计服务,确定审计范围,提高审计质量和审计效率。
③风险导向审计下的内部控制评价。
20世纪中后期,随着管理舞弊的盛行,审计人员面临的审计风险越来越大,与此同时,不确定性的增加、竞争的激烈等因素导致了被审计单位面临的经验风险越来越大,制度基础审计的弊端逐渐暴露,制度基础审计已不再适合于新的环境。
2 内部控制评价概述 1 内部控制评价的内容
COSO框架将内部控制划分为五个相互关联的要素:控制环境、风险评估、控制活动、信息与沟通以及监控。
(1)控制环境。
控制环境是企业的基调和氛围,是其他内部控制组成部分的基础,决定着企业员工的内部控制责任意识,包括管理层的管理理念和经营风格、组织结构、人力资源政策及实践、董事会和审计委员会的参与情况,以及权力和责任的分配等。
(2)风险评估。
风险评估是指对企业内外部相关风险进行识别、分析的过程。企业的生产经营活动处于动态变化的环境中,风险评估可以帮助企业管理者和内部审计人员在必要时采取行动来管理风险。
(3)控制活动。
控制活动是指一系列的政策和程序,存在于整个机构的所有职能部门,为管理层指令的贯彻执行及风险的有效管理提供合理的保证,具体包括批准、授权、查证、核对、经营业绩评价、资产保全及分工活动等。
(4)信息与沟通。
信息与沟通立足于企业中信息的获取和流通。沟通信息应该在企业的各个层面得以传递,以帮助企业管理层掌握公司运营情况,同时有助于企业员工更好的了解自己在内部控制体系中的责任,降低由于信息不对称带来的企业经营成本的提高。
(5)监控。
监控是指对内部控制体系进行评估,以保持其有效性。具体可以通过持续监督、独立评估或两者的结合来实现。 2 审计需求下内部控制评价的目标
内部控制评价目标随着审计的发展而变化。早起的审计是以查错防弊为目的,审计人员从公司的账目、凭证出发,进行全面详细的账账核对、账证核对,在那时内部控制评价对于审计的作用尚未受到重视。
而在当今风险导向审计的需求下,内部控制评价目标是通过对控制风险的评价来确定相关的审计程序,从而控制审计风险。审计师的主要目标为向公众揭示被审计单位诸如经营风险、现金流风险等潜在风险,揭示企业未来所面临的不确定性,从而提高利益相关方的决策有效性,避免报表被误读。
2.3 内部控制评价在资本市场中的作用
(1)内部控制评价有助于发现并克服内部控制缺陷。
内部控制本身是不完善的,这不仅仅有制度本身的原因,也因为制度在执行的过程中存在漏洞。这就要求我们进行内部控制评价,找出内部控制的缺陷并有针对性地进行克服。
(2)内部控制评价有助于寻找并改善内部控制薄弱环节。
(3)内部控制评价有助于促进企业健康发展。
内部控制评价既是维持企业生存与发展的内在要求,也是促进企业成功的动力机制。内部控制评价提高了企业内部控制的执行力,有助于形成良好的企业文化、保证组织的核心竞争优势,从而推动企业的健康稳步发展。
(4)内部控制评价的主要途径。
内部审计是企业内部的独立监督、评价活动,是企业内部控制评价的主要途径。内部审计的评价职能体现在两方面:一是可以对企业及各部门组织的经营活动进行分析判断,从而帮助企业改进经营管理水平,增强竞争力;二是可以对企业内部控制的有效性进行评价,从而不断完善企业的内控系统。
3 内部审计在内部控制评价实践中存在的问题 1 对内部控制认识不足,内控意识薄弱
随着全球金融危机的蔓延以及监管机构监管力度的加大,不少企业制定了内控制度,并组织企业内部控制的梳理工作,但大部分企业只是在形式上满足监管机构的要求,并未将内部控制融入到日常经营活动中。事实上,多数管理者认为实施内部控制增加了运营成本,使得内控制度流于形式,管理层对内部控制的错误认识往往使得内控制度残缺不全或是得不到真正意义上的应用。在这种条件下要求注册会计师出具内部控制评价报告,存在很大困难,也达不到要求注册会计师出具内部控制评价报告的最初目的。 2 内部审计职能弱化,独立性较差
简言之,内部审计是对其他内部控制的再控制,通过协助管理者监督控制政策和程序的有效性,以建立良好的控制环境。笔者曾经对企业内部审计实效性进行了问卷调查,其中43.3%的人员选择了“一般”或“很差”,可见,我国企业内部审计独立性较差,未发挥实质意义。究其原因,主要有几下几点:①由于资金及人事约束,我国内部审计机构一般依附于公司管理层,故而不能客观、真实、有效地开展工作;②由于企业管理层的不重视,内部审计人员专业技能及综合素质与内部审计的要求相差甚远,难以正确识别风险,这将造成企业内控的弱化。 3 内部审计的评价标准倾向于定性标准,对内部控制的现状反映不够充分
我国以COSO框架为核心的内部控制体系已经建立,但并没有对内部控制制度有效性评价提供实质性的指导,从而导致不同公司对内部控制有效性的评价缺乏统一的标准。大部分公司的内控评价规范也只是停留在定性标准,很难客观、准确地反映企业内控体系的整体现状,从而使得内部控制的实施效果大打折扣。
4 建立健全内部控制评价之我见 1 加强内控意识
大部分企业开展内部控制的最初动机都只是满足监管机构的要求,由于其对内部控制的了解和认识不到位,导致内部控制收不到实效,从而造成成本的增加,却得不到应有的收益,这在一定程度上更进一步使得管理者无法正确认识内部控制的作用。事实上,健全的内控体系将内控理念融入日常生产经营的方方面面,有助于各部门的高效运行及部门间的密切配合,可以更好地实现企业目标;其次,企业管理层可能仅仅考虑到实施内部控制的成本费用,而忽视了内部控制可能带来的潜在收益。因此,企业应该由外部推动转为内部主动,使管理者加深对内部控制内涵的理解,将内部控制无缝嵌入到企业业务活动之中。 2 提高内部审计的独立性
