论文部分内容阅读
摘 要:随着新的企业内控规范体系的发布,企业内控的评价问题受到越来越多的学者关注。本文综合考虑内控体系的建设和运行两个方面因素,设计一种企业内部控制运行有效性评价方法,希望为完善企业内部控制建设及运行提供帮助。
关键词:内部控制;有效性;评价
1.引言
企业的规范运作是我国经济社会持续、健康发展的基石,而企业的规范运作则依赖于内部控制运行的有效性。我国于2010年4月26日由财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》。且自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。因此,对企业内部控制运行有效性进行研究,有助于企业建立完善的内部控制制度,提高企业管理效率,实现企业的各项目标。
2.企业内部控制运行有效性的内涵
从国内外对内部控制运行有效性的研究评述中,可以得出内部控制运行有效性包含两层意思:(1)指企业的内部控制相关的政策和措施遵循国家相关的法规和制度;(2)指能够合理保证公司经营效率效果的提高、财务报告的真实可靠性以及法律法规的遵守。
通过对企业内部控制运行有效性进行评价,可以规范其内部控制制度,推动我国企业向现代企业管理转换,提高经营管理效率。有助于企业与监管部门间的协调互动,使监管部门掌握我国企业内部控制的总体运行质量,发现企业中存在的问题,并针对这些问题采取有效措施,从而降低企业的运营风险。同时企业公开内部控制的运行质量,有助于树立良好的企业形象,提升公众认可度。
本文借鉴国内外现有的研究成果,内部控制有效性是指建立在持续监督基础上,完成内部控制制度计划以及达到计划结果的程度。当企业认为完善的内部控制制度不能杜绝本应杜绝的错弊行为时,内部控制无效;否则,认为内部控制制度是有效的,有效程度取决于其在多大程度上保证目标的实现。
3.企业内控控制有效性评价
3.1内部控制有效性概述
企业内部控制有效性的评价是通过评价主体对企业现有的内部控制系统的设计和运行的健全性和有效性进行审查、测试、分析和评价的活动。主要分成两部分,一部分是内控的建设阶段,主要对企业内部控制设计有效性进行评价,主要评价的内容包括内部控制文档记录是否完整、准备及重要控制设计是否有效。另一部分是内控的运行阶段,主要对企业内部控制运行有效性进行评价,主要评价内容包括相关控制在评价期内是如何运行的,相关控制是否得到了持续一致的运行以及实施控制人员是否具备必要的权限和能力。
3.2评价指标体系的主要框架
本文基于企业经营管理中普遍应用的COSO《内部控制—整合框架》,参考我国《企业内部控制基本规范》和《企业内部控制评价指引》,综合目前学术界关于内部控制有效性评价的主流观点,主要从公司控制活动执行的有效性角度来设计内部控制活动质量评价体系,分别从内部控制环境、风险评估、控制活动、信息与沟通及监督活动五个方面,拟定出企业内部控制有效性测评的16个主要指标体系,进行比较全面、系统地分析和研究。
3.3评价方法
在《企业内部控制-整合框架》中,COSO指出,确定某一内部控制系统是否有效是在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断。强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,然后测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞(MW),确定内部控制是否有效。
3.4内部控制有效性测试原则
以内部控制框架中16项主要指标中的关键控制点为对象,编制测试底稿,针对每项待测试关键控制点判断测试方法,设计测试要点,明确测试属性和工作步骤。根据测试底稿,取得样本总体,并通过适当抽样方法选取一定数量样本作为测试对象。通过询问、观察、检查及重新执行等方式进行测试,以评价相关控制活动的执行情况。在测试底稿中记录测试结果,进行缺陷认定,并留存相关可验证的文档。其中关键控制点的选取原则采用的是RAPSBS原则。其中Relevant指的是相关性,是指所选择的控制能够实现控制目标;Adequate指的是充分性,是指所选择的控制能够充分起到防止或发现并纠正在认定层面重大错报的作用; Pervasive指的是全面性,是指所选择的控制在风险防范和发现功能上较其他控制而言具有更广泛的适用性;Sensitive指的是敏感度,是指在错报发生前,控制能够及时察觉并防止其发生,在错报发生后,控制能够及时察觉该错报,并起到纠正的作用;Balance of Prevent and Detect指的是合理平衡预防性不检查性控制;Suite of Controls指的是控制组合观,是基于控制属性而做的安排,合理设计/执行不同属性的控制组合可以有效从多维度防范和发现风险。
3.5内部控制有效性测试方式
内部控制有效性的测试主要通过(1)询问:询问公司内部或外部的适当人员,以获取信息。询问可分为书面形式和口头形式,提供的保障程度最低。(2)观察:观察公司经营活动以及员工执行控制的过程等,只能保证测试者在观察时内部控制得到了有效执行。(3)检查:检查内部控制执行过程中所保留的记录戒文档,通过检查手工控制留下的证据可以作为测试手工控制的较好方法,所获评价证据的可靠程度较高。(4)重新执行:提供了最高程度的保证。这四种方式级别是有效递增的。
3.6准备阶段 (1)熟悉相关制度、流程,包括企业各项内控文件(如内控制度、业务程序手册、岗位说明书等)以及相关控制的信息资料.(2)选定样本。样本应依据内控评价的侧重点,选择最能代表企业主要经营活动的项目,以便确定不同部门之间内部控制的衔接和是否存在内部控制重叠或空白的现象。
3.7实施阶段
(1)拟订测试流程,找出风险点。这个步骤是决定测试成败的关键,是准备阶段全部成果的集中体现。由于企业业务的多样性,内控评价人员不可能精通每一项具体业务,因此在设计测试流程,设定风险点时,要始终坚持内部控制的基本原则,以合理保证评价结果的有效性。
(2)实施测试,记录工作底稿。在实施过程中重要控制点简单归纳起来就是被测试循环是由谁来做(是否具备必要的权限和能力) ——做什么(职责范围) ——怎么做(是否遵照流程,有无相关证据)——谁审核(关注不相容职务分离控制)一一怎么审核(授权审批控制)一一实施证据(规定的相关表单、合同、凭证)等,同时结合前期测试结果关注整改情况,使每次评价过程都能促进企业的内控水平的提高。对测试过程中出现的每一个疑点都不放过,必要时可以增加新的测试项目,测试结果填写统一格式的工作底稿。
(3)交叉复核。在评价过程中的交叉复核其实也是评价人员对本次评价流程进行的穿行测试,以检验评价工作相关内控制度的运行有效性,为评价质量提供合理保证。
3.8总结阶段
(1)汇总测试结果进行分析。可以得出达标、未达标、不适用、样本量不足、未发生交易五种结果。其中达标指的是对于每个控制活动,只有当抽取的样本达到规定的样本量且每个样本全部满足要求后,此控制活动才被认为是得到了有效执行,测试结果为“达标”。未达标指的是对于某个控制活动,一旦某一个样本不满足控制活动要求时,选择测试结果为“未达标”。
(2)通过测试结果分析公司内控缺陷,对内控缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
(2)测试中发现的重大缺陷应及时和企业领导层进行沟通,并针对发现的控制风险提供专业意见,督促企业尽快完善有关内控建设。
4.结语
企业内部控制有效性评价是企业内部控制建设中的重要组成部分。对内部控制有效性进行评价,旨在探索企业内部控制的本质与运行规律, 为企业制订相关政策、提高抗风险和竞争力提供参考。然而,我国对内部控制有效性的评价研究还处于探索阶段,企业内部控制自我评估和社会评价都是以定性评价为主, 定量研究文献相对较少,也缺乏系统的评价指标体系。本文所构建的评价指标体系能否客观充分的评价企业内部控制有效性尚待实证检验和改进。
参考文献:
[1]财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范.2008,6
[2]池国华. 基于管理视角的企业内部控制评价系统模式 [J]. 会计研究, 2010, 10: 55-61.
[3]张先治, 戴文涛. 中国企业内部控制评价系统研究 [J]. 审计研究, 2011, 1: 69-78.
关键词:内部控制;有效性;评价
1.引言
企业的规范运作是我国经济社会持续、健康发展的基石,而企业的规范运作则依赖于内部控制运行的有效性。我国于2010年4月26日由财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》。且自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。因此,对企业内部控制运行有效性进行研究,有助于企业建立完善的内部控制制度,提高企业管理效率,实现企业的各项目标。
2.企业内部控制运行有效性的内涵
从国内外对内部控制运行有效性的研究评述中,可以得出内部控制运行有效性包含两层意思:(1)指企业的内部控制相关的政策和措施遵循国家相关的法规和制度;(2)指能够合理保证公司经营效率效果的提高、财务报告的真实可靠性以及法律法规的遵守。
通过对企业内部控制运行有效性进行评价,可以规范其内部控制制度,推动我国企业向现代企业管理转换,提高经营管理效率。有助于企业与监管部门间的协调互动,使监管部门掌握我国企业内部控制的总体运行质量,发现企业中存在的问题,并针对这些问题采取有效措施,从而降低企业的运营风险。同时企业公开内部控制的运行质量,有助于树立良好的企业形象,提升公众认可度。
本文借鉴国内外现有的研究成果,内部控制有效性是指建立在持续监督基础上,完成内部控制制度计划以及达到计划结果的程度。当企业认为完善的内部控制制度不能杜绝本应杜绝的错弊行为时,内部控制无效;否则,认为内部控制制度是有效的,有效程度取决于其在多大程度上保证目标的实现。
3.企业内控控制有效性评价
3.1内部控制有效性概述
企业内部控制有效性的评价是通过评价主体对企业现有的内部控制系统的设计和运行的健全性和有效性进行审查、测试、分析和评价的活动。主要分成两部分,一部分是内控的建设阶段,主要对企业内部控制设计有效性进行评价,主要评价的内容包括内部控制文档记录是否完整、准备及重要控制设计是否有效。另一部分是内控的运行阶段,主要对企业内部控制运行有效性进行评价,主要评价内容包括相关控制在评价期内是如何运行的,相关控制是否得到了持续一致的运行以及实施控制人员是否具备必要的权限和能力。
3.2评价指标体系的主要框架
本文基于企业经营管理中普遍应用的COSO《内部控制—整合框架》,参考我国《企业内部控制基本规范》和《企业内部控制评价指引》,综合目前学术界关于内部控制有效性评价的主流观点,主要从公司控制活动执行的有效性角度来设计内部控制活动质量评价体系,分别从内部控制环境、风险评估、控制活动、信息与沟通及监督活动五个方面,拟定出企业内部控制有效性测评的16个主要指标体系,进行比较全面、系统地分析和研究。
3.3评价方法
在《企业内部控制-整合框架》中,COSO指出,确定某一内部控制系统是否有效是在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断。强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,然后测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞(MW),确定内部控制是否有效。
3.4内部控制有效性测试原则
以内部控制框架中16项主要指标中的关键控制点为对象,编制测试底稿,针对每项待测试关键控制点判断测试方法,设计测试要点,明确测试属性和工作步骤。根据测试底稿,取得样本总体,并通过适当抽样方法选取一定数量样本作为测试对象。通过询问、观察、检查及重新执行等方式进行测试,以评价相关控制活动的执行情况。在测试底稿中记录测试结果,进行缺陷认定,并留存相关可验证的文档。其中关键控制点的选取原则采用的是RAPSBS原则。其中Relevant指的是相关性,是指所选择的控制能够实现控制目标;Adequate指的是充分性,是指所选择的控制能够充分起到防止或发现并纠正在认定层面重大错报的作用; Pervasive指的是全面性,是指所选择的控制在风险防范和发现功能上较其他控制而言具有更广泛的适用性;Sensitive指的是敏感度,是指在错报发生前,控制能够及时察觉并防止其发生,在错报发生后,控制能够及时察觉该错报,并起到纠正的作用;Balance of Prevent and Detect指的是合理平衡预防性不检查性控制;Suite of Controls指的是控制组合观,是基于控制属性而做的安排,合理设计/执行不同属性的控制组合可以有效从多维度防范和发现风险。
3.5内部控制有效性测试方式
内部控制有效性的测试主要通过(1)询问:询问公司内部或外部的适当人员,以获取信息。询问可分为书面形式和口头形式,提供的保障程度最低。(2)观察:观察公司经营活动以及员工执行控制的过程等,只能保证测试者在观察时内部控制得到了有效执行。(3)检查:检查内部控制执行过程中所保留的记录戒文档,通过检查手工控制留下的证据可以作为测试手工控制的较好方法,所获评价证据的可靠程度较高。(4)重新执行:提供了最高程度的保证。这四种方式级别是有效递增的。
3.6准备阶段 (1)熟悉相关制度、流程,包括企业各项内控文件(如内控制度、业务程序手册、岗位说明书等)以及相关控制的信息资料.(2)选定样本。样本应依据内控评价的侧重点,选择最能代表企业主要经营活动的项目,以便确定不同部门之间内部控制的衔接和是否存在内部控制重叠或空白的现象。
3.7实施阶段
(1)拟订测试流程,找出风险点。这个步骤是决定测试成败的关键,是准备阶段全部成果的集中体现。由于企业业务的多样性,内控评价人员不可能精通每一项具体业务,因此在设计测试流程,设定风险点时,要始终坚持内部控制的基本原则,以合理保证评价结果的有效性。
(2)实施测试,记录工作底稿。在实施过程中重要控制点简单归纳起来就是被测试循环是由谁来做(是否具备必要的权限和能力) ——做什么(职责范围) ——怎么做(是否遵照流程,有无相关证据)——谁审核(关注不相容职务分离控制)一一怎么审核(授权审批控制)一一实施证据(规定的相关表单、合同、凭证)等,同时结合前期测试结果关注整改情况,使每次评价过程都能促进企业的内控水平的提高。对测试过程中出现的每一个疑点都不放过,必要时可以增加新的测试项目,测试结果填写统一格式的工作底稿。
(3)交叉复核。在评价过程中的交叉复核其实也是评价人员对本次评价流程进行的穿行测试,以检验评价工作相关内控制度的运行有效性,为评价质量提供合理保证。
3.8总结阶段
(1)汇总测试结果进行分析。可以得出达标、未达标、不适用、样本量不足、未发生交易五种结果。其中达标指的是对于每个控制活动,只有当抽取的样本达到规定的样本量且每个样本全部满足要求后,此控制活动才被认为是得到了有效执行,测试结果为“达标”。未达标指的是对于某个控制活动,一旦某一个样本不满足控制活动要求时,选择测试结果为“未达标”。
(2)通过测试结果分析公司内控缺陷,对内控缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
(2)测试中发现的重大缺陷应及时和企业领导层进行沟通,并针对发现的控制风险提供专业意见,督促企业尽快完善有关内控建设。
4.结语
企业内部控制有效性评价是企业内部控制建设中的重要组成部分。对内部控制有效性进行评价,旨在探索企业内部控制的本质与运行规律, 为企业制订相关政策、提高抗风险和竞争力提供参考。然而,我国对内部控制有效性的评价研究还处于探索阶段,企业内部控制自我评估和社会评价都是以定性评价为主, 定量研究文献相对较少,也缺乏系统的评价指标体系。本文所构建的评价指标体系能否客观充分的评价企业内部控制有效性尚待实证检验和改进。
参考文献:
[1]财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范.2008,6
[2]池国华. 基于管理视角的企业内部控制评价系统模式 [J]. 会计研究, 2010, 10: 55-61.
[3]张先治, 戴文涛. 中国企业内部控制评价系统研究 [J]. 审计研究, 2011, 1: 69-78.