第四节 企业内部控制评价的程序
本节主要内容简介
内部控制评价的程序
内部控制缺陷的认定
内部控制评价报告
内部控制自我评价
内部控制自我评价由董事会和管理层实施
具体内容围绕内控五要素、《内控规范》、《配套指引》
内容确定后,要制定内部控制程序,进行全面评价(财务报告内部控制和非财务报告内部控制)
要为内部控制评价工作形成工作底稿
在年报中披露内部控制自我评价报告
董事会对评价报告的真实性负责
一、内部控制评价的程序
(一)制定评价控制方案
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。
该评价部门或机构应具备以下条件:(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。
表8-2 内部控制工作评价项目计划
| 工作步骤 | 第一月 | 第二月 | 第三月 | 第四月 | |||||||||||||
| 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | 1 | 2 | 3 | 4 | ||
| A.计划 | |||||||||||||||||
| 1 | 确定评价范围 | ||||||||||||||||
| 召开会议、确认范围,确认管理层对项目的义务、角色、责任、时间和工作完成关键里程碑的日期 | |||||||||||||||||
| 2 | 分配预算的小时数,最终确定的人力、物力资源投入 | ||||||||||||||||
| B.评价和定义 | |||||||||||||||||
| 获得目前对流程层面控制活动的了解 | |||||||||||||||||
| 确定目前具有流程层面控制活动方面工作知识的被访问者 | | ||||||||||||||||
(二)组成评价工作组
评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
表8-3列示具体内控评价工作中的职责分工的模版。
对于拥有内部审计部门的企业来说,内审部很大可能也同样地担当内部控制评价组的工作。
如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据《内控规范》的要求,这所事务所不应同时为企业提供内部控制的审计服务。
表8—3内控评价工作中的职责分工
| 评价单位 | 评价时间预算 | 评价内容(涉及流程) | 评价项目负责人 | 评价具体工作执行人 | 评价具体工作审核人 |
(三)实施评价工作与测试
图8-2内部控制的评价方法
1.了解公司层面基本情况。(主要了解的是内控五要素,例如内部环境的情况)
2.了解各业务层面的主要流程及风险。(工作重点放在主要业务流程中,如资金管理流程、销售流程、采购流程等)
【例8-1】在资金管理流程中可能涉及的子流程包括
相关文档:
| (1)风险控制矩阵文档 | 关注点:复核风险流程的合理性。 例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。 |
| (2)流程图文档 | 关注点:流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚地标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作以及相应的控制活动。 |
| (3)审批权限表档案 | 关注点:部门及岗位的描述是否准确、权限的划分和设置是否合理。 |
【例8-2】业务流程中的关键业务或固有风险的认定以及识别有关的风险关注点
| 资金管理流程: | |
| 关键业务风险 固有风险:是指假设不存在相关的内部控制,某一业务风险事项发生的可能性 | 【客户需求】 —— 下降 需求下降 → 收入减少 → 资金短缺 → 资金需求上升 → 债务融资增加 → 财务费用增加 |
| 【行业性质】 该企业所处行业的性质决定资金、在建工程与固定资产的交易比存货的交易更容易出现差错 | |
| 【产生经营风险的外部因素】 如“节能减排” | |
【例】评价工作组识别出的风险点及相关控制举例
| 【银行账户管理】: | |
| 风险点 | 相关控制举例 |
| 银行账户的开立、变更及撤销未经合理的审批及授权 | 1.提交给银行的开立账户申请书需要经过公司总经理书面批准(签章) |
| 2.提交给银行的变更账户申请需要经过财务经理和总经理审批 | |
| 3.提交给银行的撤销账户申请需要经过财务经理和总经理审批 | |
| 公司票据及印鉴未实行适当的职责分离或妥善保管 | 1.开具支票所需法人名章、财务专用章和空白支票分别由现金出纳、主管会计和公司的银行出纳员分别保管 |
| 2.在开具现金支票时,公司的银行出纳根据付款申请填写现金支票后上交主管会计和现金出纳审核,审核无误后,由主管会计加盖财务专用章,由现金出纳加盖法人名章 | |
3.确定检查评价范围和重点。
4.开展现场检查测试。
评价工作组可综合运用不同评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。
如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。
| 评价方法 | 做法 | 适用情况 |
| (1)个别访谈 | 个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。 | 用于企业层面与业务层面评价的阶段 |
| (2)调查问卷 | 通过扩大对象范围,如企业中的全体员工收集简单结果。 | 多用于企业层面的评价(内部环境) |
| (3)专题讨论 | 集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论。 | 常用于控制活动评价 |
| (4)穿行测试 | 在流程中任意选取一项交易为样本,获取原始单据、跟踪交易从最初起源,到会计处理,信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。 | 可获取确定对一个流程的了解,查找潜在的内控设计问题及识别出相关控制 |
| (5)实地查验 | 例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。 | 用于业务层面评价(针对资产安全目标) |
| (6)抽样 | 抽样方法可以分为随机抽样和其他抽样法。 随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用电脑来完成。 | 业务层面 |
| (7)比较分析 | 通过数据分析,识别评价关注点的方法。 | |
| (8)审阅与检查 | 通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。 | 业务层面评价 |
【例8-3】综合运用测试方法的举例 —— 银行余额调节表
| 询问 | 询问负责准备及审阅银行余额调节表的人员,了解在流程中如何发现银行调节表中出现的差异,确认有关差异原因,人员实施的步骤以确保相应的财务记录得到及时更正 |
| 穿行测试、观察 | 观察调节表准备的过程,在穿行测试中记录流程 |
| 审阅与检查 | 选择某些年份的调节表,检查表上存在的差异,追溯到银行对账单以支持有关调节项目的合理性以及检查相关负责人签字 |
(四)汇总评价结果
评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。
企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认,与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
二、内部控制缺陷的认定
(一)内部控制缺陷的分类
| 分类标准 | 名称 | 解释 | 例子 | 缺陷的认定 |
| 按照内部控制本质上的不同 | 设计缺陷 | 指企业缺少为实现控制目标的必需控制,或现存的控制并不合理及未能满足控制目标。 | 例如,“未建立定期的现金盘点程序”即属于控制设计问题。 | 以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门或机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。 |
| 运行缺陷 | 指设计合理及有效的内部控制,但在运作上没有被正确地执行。 | 例如,“物资采购申请金额已超其采购权限,却未向上级公司申请安排大宗物品采购”(这存在权限管理规定,却未在实际操作中妥善执性)。 | ||
| 按照内部控制严重程度分类 | 重大缺陷(也称实质性漏洞) | 指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。 | 例如,有关漏洞为企业带来重大的损失或造成企业财务报表重大的错报、漏报。 | 合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。 |
| 重要缺陷 | 指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大,需引起管理层关注。 | 例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。 | ||
| 一般缺陷 | 除重要缺陷、重大缺陷外的其他缺陷。 |
(二)内部控制认定程序与整改
整改方案应根据缺陷的不同类别制定不同的整改方式。
| 内控设计缺陷:企业需在已有的内控管理制度体系中补充相关规定或修改原有规定,按照企业既定的管理制度报批程序对做出的补充或修改进行审批。 内控执行缺陷:企业需加强内控的执行力度,要求控制执行人严格按照相关规定执行。 |
| 重大缺陷和重要缺陷:整改方案应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不合适向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。 一般缺陷:可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。 |
三、内部控制评价报告
按照《评价指引》规定,企业应根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制评价报告。
内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。
对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。
《评价指引》要求企业在评价报告中至少披露以下内容:
1.董事会对内部控制报告真实性的声明,实质就是董事会全体成员内部控制有效性负责。
2.内部控制评价工作的总体情况,即概要说明。
3.内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。
4.内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。
5.内部控制评价的程序和方法。
6.内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
8.内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
【例8-4】以银行账户管理的子流程中,假如已认定当中存在缺陷,在企业编制的内部控制评价报告中,应对包含具体、可行整改措施。
| 银行账户管理 | |
| 发现问题及分析 | 管理层整改计划举例 |
| 缺乏定期对于公司银行账户的检查工作 | 财务部相关负责人,应定期检查银行账户的情况,并将有关规定流程包含于内部流程的操作手册中,以确保负责人员能够在处理银行账户的开立/变更/撤销按照规定流程合理正确的进行 |
| 银行印鉴及票据等均由一人保管,违背职责分离的原则 | 严格按照职责分离的原理,开具支票所需法人名章、财务专用章和空白支票分别由现金出纳、主管会计和公司的银行出纳员分别进行保管。在开具现金支票时,公司的银行出纳根据付款申请填写现金支票后上交主管会计和现金出纳审核,审核无误后,由主管会计加盖财务专用章,由现金出纳加盖法人名章 |
相关推荐:
更多注会考试信息请关注读书人网(http://www.reader8.net)
注会考试频道(http://www.reader8.net/exam/cpa)