关键词:内部控制 效果评价 评价标准
一、内控评价体系构建的目标和原则
(一)内控评价体系概述
企业进行内部控制的目的规范业务流程、提高资金使用效率、提升企业整体管理水平等,目前许多企业都建立了相应的内部控制体系,但是对于内控运行效果的评价体系却不够健全。内部控制评价是这个内部控制体系的收尾环节也是极其重要的一个环节。如果没有有效的评价体系,企业内部控制体系的运行效果便无法体现,企业难以发现内控体系中存在的问题。企业进行内部控制是一项动态性的长久工作,而科学有效的评价体系可以不断修正内控运行中存在的问题,不断促进内控体系向着更为完善、更为有效的方向发展。然而,目前许多企业仍然没有建立起相关的评价体系,这在一定程度上影响了企业内部控制体系的发展。
(二)内控评价体系的目标
内部控制评价体系首先应当制定明确的评价目标。制定明确的评价目标是整个内部控制评价体系重要参照和指引,评价体系框架的设计和运行都应当围绕着目标体系进行。只有明确了评价体系的目标才能对评价范围、评价方法、评价标准等进行科学合理的构建。企业从完善治理结构以及提高内部控制体系运作效率的角度出发,制定的评价目标应当围绕着内控体系运行的可行性、有效性、合理性状况。具体来说,应当达到以下几方面的评价目标:第一,保证企业经营的合法性和规范性,及时发现生产经营活动中的违规行为并加以处理。第二,提高企业对于风险的管理能力。在市场化经济和全球经济一体化的大背景下,企业经营活动面临的各类风险不断增多,内部控制系统是否能够提高企业对于风险预测和风险控制的能力是内控评价体系的重要目标之一。第三,提高企业全体人员的内控意识,做到全员管理、全员内控。不仅仅是企业领导者,一般员工对于内部控制的参与性也是内控体系运行效果的重要体现。第四,保证企业会计信息的真实性、完整性和有效性。
(三)内控评价体系的原则
内控评价体系的构建应当遵循一定的原则进行:
一是目的性原则。如上文所述,企业内部控制评价体系应当制定相应的评价目标,只有明确了评价目标才能整个评价体系构建起到有效的指引作用。二是科学性原则。企业内控评价体系的构建应当根据企业的发展目标进行科学化构建,特别是评价内容和评价标准的确定应当综合考虑评价目标、数据收集难易以及市场环境等因素。各评价标准之间应具备一定独立性,尽可能避免显见的包含关系。三是完备性原则。评价体系内容应当涉及企业经营活动的各个环节,全面体现企业内部控制体系对于在各环节工作中的运行情况。四是有效性原则。评价体系应能准确反映企业业务的重要岗位和风险岗位与内部控制的关系,内部控制应当约束单位内部涉及内部控制关键人员。
二、内部控制评价体系的构建
(一)评价指标的选取
选取合理的评价指标是提高企业内部控制评价系统效率的关键。目前我国对于企业内部控制规范的主要文件主要有《基本规范》、《评价指引》、《企业内部控制应用指引》等,这些文章介绍了内部控制构建的要素以及企业内控过程中的主要风险点,为企业内部控制评价体系的构建提供了政策指导。本文在结合其相关内容以及企业先行指标体系选取的基础上,进行了指标体系的再设计,如下表所示:首先第一层级为目标层级,评价指标的选取是检验企业内部控制的有效性;第二层级为要素层级既内部控制五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督;第三层级为指标层级,是对要素层级的进一步细分,企业应当根据指标层级内容对各要素运行状况进行评价。
(二)评价标准的设定
评价标准将评价指标的运行状况进行定性化细分,让企业能够清楚了解内控运行的现状。评价标准的设定应当具有科学性、有效性和适当性,既应当考虑评价体系的选取情况还应当考虑企业当前的发展状况,在这里,我们借鉴《基本规范》、《评价指引》和《应用指引》中对于评价标准的相关内容,将内控评价体系的评价标准分为五个层级:优秀、良好、掌握、一般、较差。下面我们就内部控制五要素既内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面进行评价标准的具体阐述。
1、内部环境
[分值\&层级\&描述\&备注\&90― 100\&优秀\&公司的治理结构完善,对于各环节工作内容、相关责任人划分明确,人力资源管理有序、后备力量雄厚,拥有成熟的企业文化\&内部环境状况良好,企业内部管理水平较高\&80― 90\&良好\&企业的治理结构依然完善,明确了各部门的业务范围和相关负责人,但是企业决策机制不够完善,各部门的协调性不足\&企业决策需要各部门的积极参与,决策力不足会影响企业的长远发展\&60― 80\&掌握\&企业的治理架构较为简单,但是业务责任范围划分,企业运营当中容易出现多头管理\&责任划分不清极易造成部门“踢皮球”\&40― 60\&一般\&虽然进行了相关规定,但是企业各部门之间协调不少\&\&0― 40\&较差\&企业治理结构混乱,各部门之间的权责划分不清,人力资源的配置和考核系统不完善,企业文化建设不足,员工缺乏创新力\&企业没有完备的职能管理流程,内部管理水平较低\&]
2、风险评估
3、控制活动
建立健全并有效实施内部控制是公司的责任。本公司主要负责人保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对其内容的真实性、准确性和完整性承担责任。
本公司内部控制设有检查监督机制,对内部控制进行定期或不定期的检查监督,内控缺陷一经识别,本公司将采取相应整改措施。现对本公司内部控制评价工作总结如下。
一、内部控制建设情况
公司已成立了基础管理标准委员会,负责组织、协调公司管理标准的编制修订、审核、批准和发布。2020年按照“版面净、逻辑清、全覆盖、可执行”的标准,形成了综合管理、经营管理、人力资源管理、党群纪检管理、安全管理、生产管理6个分册,共337项管理制度(标准),实现了对公司重要业务、事项和高风险领域的全覆盖。
二、专项内部控制评价工作情况
2020年以来公司开展了两项关于内部控制方面的工作。一是。根据提出问题,修订了。二是公司开展的内控专项审计。
三、年度内部控制评价工作总体情况
按照文件要求,公司高度重视本次内部控制评价工作,公司负责人牵头主抓,公司审计部具体负责组织评价工作,制定工作方案,下发工作通知,进行细化分工。公司各部门对照风险描述,填列了实际控制措施、剩余风险等级、管理制度名称、控制证据、控制方式等内容,形成了详细的内部控制自评工作底稿。
四、年度内部控制评价范围和内容
(一)纳入评价范围的单位
公司,属于行业,公司个部门业务事项全部纳入内控体系。
(二)纳入评价范围的业务和事项
本次内控评价,对公司的内部控制环境、重要的经营活动,资金活动、采购业务、资产管理、销售业务、财务报告、全面预算、合同管理及内部信息与沟通等方面进行了检查。本公司在以下事项进行披露。
1.组织架构
公司设置12个部室,分别为
2.发展战略
3.人力资源管理
4.社会责任
5.企业文化
6.资金活动
7.采购业务
8.资产管理
9.销售业务
10.研究与开发
11.工程项目管理
12.担保业务
13.业务外包
14.财务报告
15.全面预算
16.合同管理
17.内部信息传递
18.信息系统管理
19.“三重一大”决策管理
20.生产管理
上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重大遗漏。
五、内部控制缺陷及整改情况
根据《企业内部控制评价指引》中规定的缺陷认定标准,结合公司具体情况,发现1条一般缺陷(附件:2020年内控缺陷汇总表)。
1.缺陷描述
2.整改情况
六、内部控制有效性的结论
通过对公司内部控制系统的检查和评价,对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行客观评价。对于检查评价中发现的缺陷,进行了整改。由于内部控制固有的局限性和持续改进的特性,本公司将继续加大内部控制建设及其资源投入,不断提升内部控制管理水平。
七、内控评价期后事项披露
公司对所有的事项均进行了客观公正的披露,没有需要披露的内部控制评价期后事项。
关键词:内部控制评价 内部控制评价指引 内部控制评价报告
内部控制是企业现代化管理的必然要求。伴随着全球经济的不断发展,现代化企业管理理论的不断进步,世界各国企业将关注的焦点对准了内部控制,进一步关注的还有内部控制评价。我国新颁布的《企业内部控制评价指引》(以下简称“评价指引”)对企业合理保证内部控制的有效性提出自我完善、自我评价的实施依据,使企业有的放矢。我国大多数企业已经认识到有效的内部控制是提高经营管理水平和防范风险的保障,而要合理保证内部控制的有效性,内部控制评价将起到关键的作用。
一、内部控制评价的概念及作用
按照《企业内部控制基本规范》规定企业应当结合内部监督情况,定期开展内部控制评价。所谓企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。在企业风险管理中全面、客观的内部控制评价将发挥重要作用。
(一)有助于企业完善内部控制体系
内部控制评价是对企业现行的内部控制设计和执行情况的有效性进行检查,发现建立和运行中的问题,提请管理层重视和改进,需要将此过程反复执行,持续的自我完善内部控制的过程。企业只有通过不断的自我评价,才能根据企业实际情况和发展战略调整、改进内部控制,建立适应企业需要的内部控制体系,真正实现对经营风险的防范。
(二)有助于提高企业信息质量
企业要想实现可持续发展,必须取得企业的利益相关者的信任和认可,企业对外披露的内控评价报告中将反映其内部控制状况,风险管理水平,企业发展战略和经营目标等情况。这些都将展现出企业诚实、高效、负责任的企业形象,是社会公众深入了解企业的重要途径。所以内部控制评价可提升社会公众对披露信息质量的信任和对企业经营管理的认可。
(三)有助于建立内部控制要素和配合外部监管部门
内部控制评价过程将涉及企业各个生产环节和各职能部门,这样可以逐渐深化每个员工对内部控制认识和理解,逐步形成良好的内部环境,建立健全企业内部控制各要素。同时,对企业内部控制进行评价的还有会计师事务所和政府监管部门等外部机构,他们将对企业内部控制进行更为严格和专项的监督检查并向社会公布检查结果,企业应将外部评价与自我评价相配合,更好的发挥他们的协同作用。
二、内部控制评价指引带来的挑战
根据内部控制评价指引的要求,企业在管理过程中,为有效降低营运中的各种风险,应从企业实际情况出发,对企业遵循相关法律法规目标、资产安全完整目标、信息真实可靠目标、经营管理的效率和效果目标、发展战略和企业价值实现目标进行自我评价。[3]只有有效的内部控制评价才能发挥其应有的作用,对于大多数企业而言,面临内部控制评价这一新的工作,都将是一项艰巨的挑战,具体表现在如下几方面:
(一)内部控制评价的内容和范围广泛
企业进行内部控制评价主要从内部控制要素入手,包括企业内部结构和政策环境、经营活动中各种风险的识别与应对、采取的各项控制措施、信息系统与沟通制度、内部的日常和专项监督等内容;通常还要满足企业自己经营特色和管理要求制定具体的评价内容和建立有效的核心评价指标体系。从而可以看出,评价的内容和范围十分广泛,基本囊括企业的方方面面,对于企业来说将会遇到很多困难。
(二)内部控制评价的程序和方法接近专业审计的标准
评价指引中规定内部控制评价的程序要求企业设置内部控制评价部门,制定评价工作方案,组成评价工作组,实施现场测试,汇总评价结果和编制评价报告,审定后的评价报告还需向社会公众披露。采用的内部控制评价方法在评价指引中规定了七种,这些程序和方法与专业审计有很多相似之处,都需要企业相关评价人员认真的学习和在实践中反复的应用才能有效的实施,这些都对于企业内部评价人员提出了新的要求。
(三)内部控制缺陷的认定难度高
内部控制评价人员在检查过程中,对发现的内部控制缺陷要进行认定,通过综合分析内部控制缺陷的成因、表现形式及重要程度,结合企业实际情况将内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷。缺陷认定的划分是评价工作中非常重要的内容,将决定内部控制评价的效果。但是,由于缺陷认定工作现在还缺少相关制度和操作规范的指导,其判定对评价人员有很高的难度。
(四)内部控制评价报告应与外部评价相符合
内部控制评价完成后,企业要根据评价结果出具内部控制评价报告并对外报出,同时,根据国家相关规定,企业还应当接受会计师事务所对内部控制的审计和政府有关部门对内部控制的专项监督和检查,他们将出具内部控制审计报告和内部控制专项评价意见。如果企业的评价人员在自我评价的过程中没有发现审计和监管部门提出的重大内部控制缺陷,未能在评价报告中反映,将面临很大的压力。
三、应对挑战的措施
虽然企业将面临评价指引要求的各种挑战,但是只要企业持有正确的态度采用科学的方法来积极应对,将使内部控制评价工作按照评价指引的要求保证质量的完成,实现对企业内部控制有效性的评价,进而保证内部控制目标的实现。企业应该开展对评价指引的深入学习并充分考虑自身特点的前提下,对战胜困难和挑战采取如下措施:
基金项目:国家社会科学基金重大招标项目“完善国有控股金融机构公司治理研究”(10zd&035);国家社会科学基金项目“企业内部控制综合评价模型与中国上市公司内部控制质量研究”(12BGL032);教育部博士研究生学术新人奖资助
作者简介:戴文涛(1971-),男,江苏丰县人,高级统计师,高级会计师,博士后,主要从事内部控制、公司理财等方面的研究。E-mail:
王 茜(1981-),女,吉林四平人,博士研究生,主要从事财务管理、内部控制等方面的研究。
谭有超(1982-),男,山东德州人,博士研究生,主要从事公司治理与公司财务研究。
摘 要:企业内部控制评价概念框架涉及企业内部控制评价的最基本概念和理论要素,这些概念和理论要素界定了企业内部控制评价研究对象的性质、功能和范围,指导着实务层面上的技术方法和制度建设。鉴于现有成果仅仅研究了企业内部控制评价概念框架的某一方面,有必要以内部控制评价的本质属性作为逻辑起点,研究企业内部控制评价的环境、主体、客体、目标、方法、规范及其它们之间的逻辑关系,从而建立起一个完整的企业内部控制评价概念框架。
关键词:企业内部控制评价;概念框架;逻辑起点;理论要素
中图分类号:F275 文献标识码:A 文章编号:1000-176X(2013)02-0115-08
一、问题的提出
内部控制是现代企业极为重要的一项内部治理机制,担负着纠错防弊、预防和降低企业内部风险、保证组织健康发展的重要职能。本世纪初,美国频发的安然、世通等一系列知名公司的财务舞弊事件导致前总统布什于2002年7月30日紧急签署了被誉为自富兰克林·罗斯福总统时代以来“最彻底的公司改革法案”——萨班斯-奥克斯利法案(Sarbanes-Oxley Act of 2002,简称SOX法案)。该法案的103、302、304条款是针对上市公司内部控制的,它要求公司的管理层对财务报告内部控制有效性进行评价,注册会计师对企业财务报告内部控制进行审计,并将评价结果对外披露。为执行SOX法案,美国Treadway委员会重新审视了1994年的内部控制整体框架存在的问题,并于2004年9月正式《企业风险管理——整合框架》。企业风险管理整合框架涵盖了原来的内部控制整体框架,风险管理的引入,拓展和细化了内部控制[1]。
新的内部控制框架的被公认为是内部控制理论研究的最高成就。然而,雷曼、美林等一些自称或被外部审计鉴证为拥有“健全的内部控制”或“完善的风险管理”的大公司在2008年的金融危机中纷纷破产或被收购,这不仅对内部控制理论形成了巨大的挑战,也使公司风险行为成为学术界、实务界以及政府监管部门关注的焦点[2]。公司内部治理机制的一个基本目标是监管公司的经营政策和财务决策,来保护投资者的利益;风险承担导致的公司价值损失以及当前危机的发生,已经被许多人视为公司内部治理机制的失灵[3-4-5]。从表面看,美国一些知名公司破产或被收购源于次贷危机、监管机构渎职以及政策失误等外部因素,但深层次的原因在于公司内部控制、风险管理机制形同虚设,内部控制信息披露徒具形式。在这样的背景下,公司内部控制质量引起世人强烈关注,从而引发了国外学者展开了新一轮的内部控制评价方法研究。
在我国,随着 “蓝田股份”、“银广厦”、“郑百文”、“中信泰富”和“中航油”等一系列财务舞弊和内控失效事件的频频发生,公司内部控制也成为社会各界尤其是政府监管部门日益关注的问题。借鉴美国COSO内部控制五要素框架形式,同时在内容上体现其风险管理八要素框架实质,我国财政部等五部委在2008年6月28日联合了《企业内部控制基本规范》(简称《基本规范》),并随后了18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》(简称《配套指引》)。《基本规范》连同《配套指引》,共同构建了中国企业内部控制规范体系[6]。
为解决《基本规范》及其配套指引的落地生根问题,我国学者也展开了内部控制评价的相关研究。陈汉文和张宜霞[7]、张龙平等[8]、朱荣恩[9]、杨有红和李宇立[10]、刘明辉[11]、吴秋生和杨瑞平[12]研究了内部控制有效性评价、内部控制审计准则、审计鉴证、内部控制缺陷的识别以及内部控制评价整合等理论问题。杨雄胜[13]、上海市内部审计协会课题组[14]基于案例研究了中国企业内部控制评价制度的现实模式、企业内部控制自我评价。骆良彬和王河流[15]、韩传模和汪士果[16]、王海林[17]、李小燕和田也壮[18]对内部控制评价数学模型、评价指标体系和内部财务控制有效性标准体系进行了探讨;厦门大学内控指数课题组[19]、戴文涛[20]、王宏等[21]、张兆国等[22]基于内部控制要素、内部控制目标实现程度构建了企业内部控制指数。张先治和戴文涛根据我国内部控制内外部监督评价体系目标,结合国内外企业内部控制评价理论和实践状况,构建了中国企业内部控制评价系统[23]。
企业内部控制评价概念框架在内部控制评价研究中处于根基地位,规定着企业内部控制评价研究对象的性质、功能、范围以及实务层面上的技术方法和制度建设。科学地构建企业内部控制评价概念框架对于内部控制评价理论发展和应用研究有着十分重要的意义,但上述内部控制评价研究成果仅仅研究了企业内部控制评价概念框架的某一方面,并没有建立起一个科学、系统的内部控制评价概念框架。基于此,本文在已有研究成果的基础上,对企业内部控制评价概念框架逻辑起点、包含的内容及其逻辑关系进行研究。
二、企业内部控制评价概念框架的逻辑起点
企业内部控制评价概念框架涉及内部控制评价研究的最基本的概念和理论要素,这些概念和理论要素并不是简单地堆砌,而是按照一定的逻辑关系连接成一个具有整体性、系统性和有序性的基本理论结构,决定着企业内部控制评价研究对象的性质、功能和范围。要建立起企业内部控制评价概念框架,其首要问题就是要从诸多基本概念或理论要素中选择一个能够充当构建企业内部控制评价概念框架的逻辑起点。那么,哪一个基本概念或理论要素可以充当企业内部控制评价概念框架的逻辑起点呢?
参照内部控制评价的相关学科如内部控制、公司理财、财务会计的概念框架都是目标起点的做法,国内很多学者认为企业内部控制评价概念框架的逻辑起点是内部控制评价目标。但问题是,内部控制、西方财务学、财务会计概念框架真的把目标作为起点了吗?
首先,看一看内部控制概念框架。美国COSO的内部控制报告分为四个部分,第一部分 “管理层总结”,是对内部控制总体构架的高度总结,是针对总裁、高级管理人员、董事会成员、律师和监管当局而写的;第二部分“总体架构”,对内部控制进行定义,阐述其构成要素,为管理层、董事会及他人提供评估内部控制有效性的准则;第三部分“外部团体报告”,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供指导;第四部分“评估工具”,提供对内部控制系统进行评估的有用资料。我们一般所说的COSO内部控制整体框架主要指总报告的第二部分内容,该部分共分八章,包括定义、控制环境、风险评估、控制活动、信息与沟通、监控等,有研究者如赵顺娣和陈留平将其概括为“一个定义、三个目标、五个要素”[24]。我国五部委联合的《基本规范》第三条首先对内部控制进行定义,指出内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,然后阐释内部控制目标,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。由此可见,COSO的内部控制整体框架和我国的《基本规范》并不是以目标作为起点,而是在对内部控制进行定义(即确定内部控制的性质)的基础上,才最终确定内部控制目标。
其次,看一看公司理财概念框架。李心合认为,从形式上看,西方财务学的起点选择都是目标概念,但是一个值得关注但被忽视的现象是,很少有财务学教科书在阐释目标函数之前不首先对“公司财务”进行“定性”[25]。在研究了美国学者Eugene与Michael合著的《财务管理理论与实践》、William的《财务管理实务》、Stephen等的《公司理财基础》、英国学者PeterAtrill的《财务管理基础》后,李心合指出,西方财务管理学教科书从来都是“性质或本质起点论”,所谓的目标起点论只是国内学者对西方财务学理论的一种不恰当的归纳和认识[25]。
最后,看一看财务会计概念框架。国际会计准则理事会(IASB)的编报财务报表框架和美国财务会计准则委员会(FASB)的财务会计概念框架是国际公认的财务报告概念框架。由于双方意识到消除各自概念框架差异的重要性,2002年10月,IASB与FASB签署“诺沃克协议”致力于会计准则国际趋同,并将建立“联合概念框架”项目列入其趋同计划中。之后,经过六年的精心研究、讨论和反复征求意见,双方终于在确立“决策有用性”为主导的财务报告目标观的基础上,确定了有用财务信息质量特征的新层次结构(见表1所示),并于2010年9月28日正式了自2004年以来合作开展的共同概念框架联合项目(简称“联合概念框架”)第一阶段的成果“目标和质量特征”。作为财务报告概念基础和质量要求的两章框架,总体上说,是有着显著改进和提高的高质量框架文献,是编报企业财务报告基础概念的新篇章[26]。这给了人们一种认识:似乎概念框架的逻辑起点应该是目标。这种认识实际上是一种误解。IASB与FASB的概念公告尽管在阐释形式上“是以目标作为研究起点”,然而事实上,对财务会计的“定性”始终都是“定位”(目标)的前提。如果FASB不是把会计定义为一个经济信息系统, “一项为决策提供经济信息的服务活动”,就不可能有目标概念的“决策有用性”的观点,从这个意义上,财务会计的性质和作用仍是财务会计的前提或基石,是概念框架中高于目标概念的实质上的研究起点[25]。
一项事物,在没有对它“定性”(本质)之前,是不可能有所谓的 “目标”定位的[25]。因此,企业内部控制评价概念框架的逻辑起点应是企业内部控制评价本质。
表1联合概念框架中的有用财务
信息质量特征层次结构
三、企业内部控制评价概念框架内容及其逻辑关系
企业内部控制评价概念框架应该包括哪些基本概念或理论要素,并不取决于人们的主观臆断,而是取决于内部控制评价实践的一般性质(即本质)和要素结构。李心合、张兆国等、杨清香等认为,概念框架主要包括本质、对象、主体、目标、方法、规范(标准)和环境。基于上述观点,下面阐释一下内部控制评价概念框架内容及其逻辑关系[25-27-28]。
1.企业内部控制评价本质——企业内部控制评价是什么
在过去的理论研究和实际操作中,为了一定的实践目的而进行的内部控制评价最为典型,也最为常见。如早期的基于审计目的的内部控制评价、基于企业战略的控制自我评价(Control Self-Assessment,简称CSA)。这种基于实践目的的内部控制评价具有很强的针对性,其本质是作为审计人员和企业的一种审计方法和管理手段而存在,是现代企业内部控制评价的一个测度环节,为具体的实践目标服务。
将企业内部控制评价作为实践中的一个环节来认识,确实可以有效地指导实践。但这种认识往往存在较大的局限性,这就给构建一般的企业内部控制评价概念框架带来了巨大困难,甚至会出现较大的分歧和争议。原因是针对企业内部控制评价本质的认识不同,就会出现完全不同的内部控制概念框架和实践体系。因此,要构建一个一般的内部控制评价概念框架就必须撇开具体的评价实践活动,上升到企业经济本质的高度。按照现代企业理论,企业的经济性质是一个企业与其利益相关者制定的关系契约集合,只要企业同其利益相关者能够建立一个较为合理的契约,并能够有效地加以履行,企业的经营目标就必然能够实现,即企业的经营目标保证了企业与其利益相关者制定的关系契约得以有效的制定和执行。但是由于人的有限理性、信息不对称以及投机倾向的客观存在,使得企业同利益相关者之间最优契约的建立和履行常常存在较大的交易成本。为降低企业同其利益相关者之间的信息不对称,减少企业利益相关者的有限理性和投机倾向给企业经营带来的危害,进而保证各利益相关者能够制定和履行最优契约,保证企业的可持续发展,就必须通过有效的内部控制信息披露。
因此,从经济学的角度看,企业内部控制评价的目的是满足企业利益相关者在制定和履行契约时对企业经营、资产安全和法规遵守等方面的信息需求,企业内部控制评价的本质是一种信息披露形式,它不直接作用于企业的经营活动,仅仅是企业各个利益相关者的决策支持系统。
2.企业内部控制评价环境——在何种制度安排下实施评价
对任何事物进行评价总要基于一定的制度环境。企业内部控制评价环境是指实施内部控制评价所基于的制度安排。由于各国企业制度背景、法律环境、公司治理状况和资本市场发展水平存在着较大差异,所以企业内部控制评价环境存在着显著的不一致。美国基于其企业制度主要形式是公司制、股权较分散、公司法只存在于州的层面、公司治理及资本市场较为完善等特点,建立了“管理层财务报告内部控制有效性评价+注册会计师对管理层财务报告内部控制有效性发表意见+注册会计师对财务报告内部控制进行审计”这样一种制度安排,其目的是通过财务报告内部控制评价强制要求确保财务报告的可靠性,维护市场秩序和市场的有效性。与美国的企业内部控制评价制度安排不同,英国根据其实行自由企业制度、机构投资者持股比重较大以及独特的内部控制法律框架等因素,建立了“董事会内部控制有效性评价+注册会计师对董事会内部控制声明进行审查” 这样一种制度安排,企业内部控制评价范围不仅包括财务报告内部控制,而且涵盖了所有类型的控制,尤其是强调了企业内部控制与企业风险的关系,主要目的是满足企业经营管理需要。
中国存在的特殊制度环境如股权结构较特殊、投资者法律保护不健全、资本市场发展不完善、公司治理机制有缺陷等一方面使得中国不可能完全照搬美国或英国的内部控制评价制度安排,另一方面也决定了中国企业内部控制评价的视角也必须是规制或监管。按照财政部等五部委的《基本规范》及其配套指引的相关规定,结合我国提出的企业内部控制制度体系建立目标,即“通过三至五年的努力,基本建立以监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系”,我们认为,张先治和戴文涛提出的“董事会内部控制评价+注册会计师财务报告内部控制审计+政府监管部门(或非盈利性机构)内部控制综合评价”模式是较适合我国制度环境的内部控制评价制度安排[23]。
3.企业内部控制评价主体——企业内部控制评价由谁来实施
从现实情况看,企业内部控制评价主体有谁来担当,这似乎是一个已经解决的问题,因为不论是美国的内部控制法律法规,还是我国五部委的《配套指引》,都规定公司管理层或董事会对企业财务报告内部控制的有效性进行自我评价、注册会计师对财务报告内部控制的有效性进行审计。按照内部控制法律法规的相关规定(不论是美国的还是中国的),董事会(或管理层)和注册会计师确实是企业内部控制评价主体,但必须明确的是,董事会(或管理层)和注册会计师仅仅是企业内部控制内部评价主体。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳出(Thomas,1993),企业董事会按照内控五要素进行评价,注册会计师对企业内部控制的有效性发表审计意见,其评价目的主要是满足企业自身评估需要,从评价的过程和目的看,他们都是内部控制内部评价主体。
企业内部控制评价活动按照评价主体的不同可以分为两类:一类是内部评价主体进行的评价活动,另一类是外部评价主体进行的评价活动。在将内部控制评价本质确定为一种信息披露形式、并不直接作用于企业的经营活动、仅仅是企业各个利益相关者决策支持系统的情况下,企业内部控制评价主体主要是指内部控制外部评价主体,而且最好由独立的第三方如政府监管部门和外部评价机构(比如科研机构或类似于美国的标普、穆迪和惠誉等评级机构)组成。在我国,政府监管部门要对企业施行内部控制规范体系的情况进行监督检查[6],要建立以“政府监管部门为主导的,各企业、会计师事务所和中介机构等共同参与的内外部监督评价体系”,所以,我国内部控制评价外部评价主体主要是政府监管部门或外部非营利性机构(比如科研机构)。
在我国,注册会计师不能充当主要的外部评价主体由于以下三种原因:(1)按照《审计指引》,注册会计师仅对企业财务报告内部控制有效性进行评价,而对内部控制审计过程中注意到的非财务报告内部控制重大缺陷是在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这在一定程度上降低了注册会计师的责任,有可能导致注册会计师对企业非财务报告内部控制缺陷重视不够,忽视影响内部控制目标实现的其他重要控制活动的评价(即注册会计师内部控制评价范围不包括企业所有重要的控制)。(2)注册会计师的内部控制评价缺乏综合性。企业内部控制影响因素较多,要对企业内部控制质量作出独立、客观和公正的评价,并指导利益相关者进行决策,就不能仅由注册会计师对企业财务报告内部控制状况作出定性评价,而应当建立一套反映企业内部控制评价本质特征和目标要求的评价指标体系,然后利用科学的方法对评价指标体系的评价结果进行综合,以便对企业内部控制状况进行对比和分析。(3)会计师事务所具有公共性和企业性双重属性。它一方面为股东、 债权人和潜在投资者等提供企业审计报告 ,承担着重大的社会责任;另一方面又是独立经营、自负盈亏的企业。这就使其难以完全保持公正性。
4.企业内部控制评价客体——企业内部控制评价什么
在实务界和理论界看来,在美国COSO内部控制整体框架逐渐获得公众认可、越来越多的美国公司按照内部控制五要素评价企业内部控制状况和我国的《企业内部控制评价指引》和《企业内部控制审计指引》已经正式的情况下,按照《企业内部控制评价指引》和《企业内部控制审计指引》,企业董事会或类似权力机构要围绕内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素对内部控制的有效性进行全面评价,注册会计师要在实施审计的基础上对内部控制的有效性发表意见。内部控制五要素是董事会(或管理层)和注册会计师的评价对象、是内部控制评价的客体是无需再探讨的问题,但实际上并非如此。内部控制五要素及其范围主要是基于企业管理者的自我评估模型需要而归纳出,评价结果主要满足企业自身的经营管理需要。所以,在内部控制评价本质被界定为一种信息披露形式、并不直接作用于企业的经营活动、仅仅是企业各个利益相关者决策支持系统以及内部控制评价主体主要由政府监管部门或外部非营利性机构(比如科研机构)组成的情况下,将内部控制五要素作为内部控制评价对象显然是不合适的。企业实施内部控制的目的是合理保证内部控制目标的实现,企业内部控制的有效性源自企业内部控制目标的实现程度,内部控制的有效性应当是内部控制为内部控制有关目标提供合理保证的程度和水平;有效的内部控制是为企业内部控制目标的实现提供合理保证的内部控制[7]。因此,企业内部控制评价是对企业内部控制的有效性进行的评价活动,更进一步地,就是指内部控制评价主体根据一定的内部控制评价标准对企业在一定时期内(通常是一个财务年度)的内部控制合理保证内部控制目标的实现程度或水平所进行的评价活动[23],内部控制评价的客体是企业内部控制目标的实现程度和水平。
5.企业内部控制评价目标——企业内部控制评价要达到什么目标
任何一种概念框架都有目标,如财务概念框架、内部控制概念框架和公司财务概念框架,内部控制评价概念框架也不例外。内部控制评价是对企业内部控制进行的评价活动,是对企业内部控制的再控制,所以,内部控制评价目标应当与内部控制目标相适应,内部控制评价目标的确定应当依据内部控制目标。
美国的COSO把内部控制界定为合理保证财务报告的可靠性、经营活动的效率、效果以及法律法规的遵循等三个目标的实现,我国的《基本规范》为企业内部控制规定了五个方面的目标,即合规性目标、安全目标、报告目标、经营目标和战略目标。但是我们认为:企业目标是企业的最高目标或终极目标,不管是COSO的企业风险管理四目标,还是中国的内部控制五目标,都应当与企业目标相一致。为此,企业内部控制目标应分为整体目标(或基本目标)和具体目标两个层次,以解决和企业目标的协调问题。
当今企业是在一个经济全球化、市场竞争日趋激烈的环境中经营,风险是每一个企业面临的最大危险,生存即企业可持续是企业最基本的需求,其次是发展和盈利。发展是企业可持续的重要保证,而盈利则是企业的最根本目的。按照一般公认的观点:企业目标是企业价值最大化,所以企业内部控制的整体目标(或基本目标)是实现企业的可持续发展和企业价值的最大化。在该目标下,可以将其细分为保证财务报告的真实可靠,防止错误和舞弊的发生;加强企业的经营管理,提高经营的效率和效果;保障企业资产的安全和完整;遵守现行的法律和法规以及促进企业战略目标的实现等具体目标。
企业内部控制评价是对企业内部控制活动的再控制,其目标要与内部控制目标相适应,在企业内部控制整体目标(或基本目标)确定为实现企业的可持续发展和企业价值最大化的情况下,内部控制评价目标就是降低或规避企业风险、增加企业价值。
6.企业内部控制评价方法——如何实施企业内部控制评价
对企业内部控制状况进行评价,并要保证评价结果的可接受性,就必须选择科学、有效的评价方法。企业内部控制评价方法按照评价结果表现形式的不同可以分为两类:一类是定性评价方法,另一类是定量评价方法。
定性评价方法与内部控制评价程序(或步骤)相联系,通常根据评价步骤的不同又可选择不同的评价方法。内部控制评价步骤一般包括调查了解、健全性测试、符合性测试和综合评价四个阶段。在制度调查阶段,可供选择的评价方法主要有查阅法、询问法、观察法和调查表法等;在健全性测试阶段,通常使用记述法(文字说明法)、调查表法和流程图法等评价方法;在符合性测试阶段,证据检查法、穿行试验法和实地观察法等是常用的评价方法,而在综合评价阶段,对比分析法、资料汇总法、逐项列举法等较为常用。
定量评价方法是在一套反映企业内部控制评价本质特征和目标要求的评价指标体系基础上,通过一定的评价模型,将企业内部控制状况评价结果转化成一个具体分值(通常称作内部控制指数)的评价方法。定量评价方法按照权数产生方法的不同大致可以分为两类,即主观法和客观法。所谓主观法,即根据经验和重要程度人为给出权数大小,再对指标进行综合评价。主观定权的方法有层次分析法、综合评分法、功效系数法、指数加权法和模糊评价法等。所谓客观法,即根据指标自身的作用和影响确定权数再进行综合评价。这类方法有熵值法、主成分分析法、变异系数法、聚类分析、判别分析等多元统计分析方法。由于上述综合评价方法各有所长,人们往往根据评价指标性质和评价目的选择配合使用。将层次分析法(即AHP方法)与模糊综合评价方法相结合构造多层模糊综合评价模型是一种综合运用两种方法优点的科学方法,非常适合企业内部控制综合量化评价。
7.企业内部控制评价规范——企业内部控制评价标准
对企业内部控制状况进行评价,还必须要有一定的的评价规范(或评价标准),没有评价标准,企业内部控制质量就无法判断。美国的COSO委员会在其《内部控制整体框架》不久,就提出了判断内部控制有效性的三项标准,即公司董事会和管理层了解经营目标的实现程度;公布的财务报告的编制是可靠的;使用的法律法规得到了遵循。随后,加拿大的CoCo委员会、英格兰和威尔士特许会计师协会、最高审计机关国际组织、我国的《基本规范》等纷纷推出了自己的内部控制评价标准。但总的来说,这些标准过于原则和抽象化(虽然加拿大的CoCo制定了用于评价各项内部控制目标的20条具体标准),还不能有效地指导内部控制评价实践。
内部控制评价方法有定性评价方法和定量评价方法,与之相对应,内部控制评价标准也存在定性评价标准和定量评价标准。定性评价标准是对评价对象做出定性结论的价值判断标准,可分为一般标准和具体标准。内部控制评价的一般标准是应用于内部控制评价的各个方面的标准,是企业内部控制系统整体运行应遵循和达到的目标;内部控制评价具体标准是应用于内部控制评价具体方面的标准,是具体的内部控制系统运行应遵循和达到的目标。内部控制评价一般标准和具体标准之间存在密切的关系,内部控制评价具体标准是一般标准的基础,一般标准是具体标准的升华。
关键词:内部控制评价;失效;有效性
2001年正式了《证券公司内部控制指引》,对证券公司内部控制的基本要求、内部控制的主要内容都做出了明确的规范。2006年证监会在《首次公开发行股票并上市管理办法》中首次对上市公司内部控制做出明确规定。同时,上海证券交易所和深圳证券交易所分别出台《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》。2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制基本规范》。接着2010年4月正式《企业内部控制审计指引》《企业内部控制应用指引》《企业内部控制评价指引》等三个配套指引,拉开了我国内部控制制度体系建立的序幕。这一系列文件的公布也意味着我国内控评价有了突破式的进展。然而,这一系列的指引缺乏实践操作性,缺少具体的内控评价方法。近年来,我国很多企业财务舞弊、会计信息失真等现象仍经常出现,从一系列的会计造假案件发生后,人们逐渐意识到其中真正的原因是企业内部控制评价失效,采取内部控制评价的强制披露至关重要。
一、内部控制评价体系的组成内容
一个完整的内部控制评价体系一般包括四个方面:原则、目标、方面和标准。
(1)内部控制评价的原则。要使得评价人员在日常工作过程中达到高效率高质量的效果,公司必须要有一个正确的指引方法,主要是评价原则,具体有:1)全面性原则,对企业内部控制活动的评价范围及内容要做到全面完整。2)系统性原则,要求内部控制评价体系设计能够做到科学、系统和准确。3)重要性原则。4)经济性原则,重视内部控制自我评价的设计成本。5)客观性原则,要求企业制定的内部控制必须实事求是。
(2)内部控制评价的目标。目标是通过相关评价标准对内部控制的设计与运行情况进行评价,以及企业为达到经营目标所做出的工作其有效性的评价,来确保企业建立的内部控制制度有利于企业目标的实现。通过对内部控制的评价,企业管理层能够发现制度上的不足之处,并能够第一时间做出相应的调整,确保企业经营效益。
(3)内部控制评价的方法。内部控制评价方法与内部控制评价程序存在一定关系,所以不同内控评价方法应对应不同的评价程序。内部控制评价的方法主要有:文字表述法、专题讨论法、实地考察法、证据检查法、穿行试验法,各种方法有自己的优劣,企业根据实际情况加以采纳。
(4)内部控制评价的标准。企业运营必定是由多个环节组成的,但是要实现多个环节之间相互衔接平衡,各环节上下运行有序,需要制定一个内部控制程序以控制各个环节。因此,就需要有一定的评价标准来衡量企业运行环节是否出现差错,这个整体的评价标准就是一般标准。
二、企业内部控制评价体系存在的问题及分析
(1)企业内部控制评价目的不合理。内部控制的目标规范主要是站在监管者的角度来制定的,其重点是在强调企业在实施过程中的合规性,而对战略目标等涉及企业自身利益的问题则不够重视。内控评价的目标是针对企业的各种规章制度进行检测考察,对制定不合理的部分进行优化,提高实用性,使得物尽其用,但是很多旧的习惯、旧的理论思想已经不能顺应企业的发展,误导企业把内部控制当成是一项顺应外部监管要求的事项,正是这种观念很难使企业主动审视自身不足,很难形成主动意识。内部控制目标的不确定性势必导致评价活动的目标不够合理,阻碍了内部控制的发展,进而也影响了评价活动的有效性。
(2)企业内部控制评价方法缺乏独立性。我国很多公司虽设有专门的内部审计机构或者专门的内部风险管理部门,但是很多时候却没有实际的执行权,有的权力控制在财务部门,有的权力还是掌握在公司高层手中,缺乏独立性。内部审计部门在对内部控制评价时,其独立性既关系到评价的权威性,又影响到评价的实际效果。
(3)内部控制评价、考核和监督机制不完善。虽然很多企业在响应政府的号召,根据相关规定制定了很多内部控制制度,但这些制度很多只停留在应付考察和文件罢了,忽视了内部控制制度的真正执行情况。公司的内部控制制度之所以会成为一纸空文是因为没有成立一个相对完善的评估考核规定,员工之间相互监督检举方面没有实际进展,甚至会出现相互包庇的情况,公司也没有实际行动上的处罚奖赏行动,甚至有时公司高层也会因为利益的诱惑在处理有些工作时绕过已经制定的制度,这使得制度成了摆设,没有其存在的价值和意义。
(4)企业缺乏良好的内部控制环境。在我国,企业往往看重盈利,而忽视内部控制的重要性,公司内部逐渐形成了以各自利益为中心的风气,为企业的长期发展埋下了隐患。首先,一般而言,企业管理层在内部控制上没有提高认识,就容易造成公司运营上的问题。例如,在采购环节,如果缺乏控制就容易产生采购人员吃回扣,虚报产品价格等损害公司利益的事,而财务部门要是没有充分内部控制问题就会更加严重。其次,公司的职工对内部控制的认识不够,在日常工作中就容易形成排斥情绪,抵制内部控制的实施。在一般职工眼里,一些内控就是在损害他们的利益,而无法从更高的高度认识内控的意义。因此,企业的一些内控程序很难畅行,内控意识不能在公司形成烙印。
(5)内部控制评价标准不统一。企业实行内部控制的目的当然是为了使企业能够形成良性运作,促进企业的长期稳定发展,为了实现这个目的,企业就需要一套科学有效的内部控制体系。因此,评价标准在此时就显得尤为重要。每一家企业都觉得自己的内控体系是最好最科学的,因为他们依据的评价标准不一样,这就很容易导致问题,都无法发现企业自身内控存在的问题,也就更无法解决这些问题。这些内控体系就形同虚设,不但没有为企业带来实质的效益,反而增加了成本。
(6)企业内部控制意识淡薄,对内控评价报告不重视。内部控制的有些流程对专业技术知识要求较高,主要涉及的知识面也比较广泛,所以在实际工作过程中也比较麻烦。因此,内部控制评价人员的观念、业务技能和责任意识都直接影响着内部控制评价的效率和效果。我国采取的是全面内部控制评价模式,对内部控制的评价不仅仅局限于财务报告领域,评价人员必须对整个内部控制体系做出评价。内部控制评价是一个需要拥有许多测试环节的工作,对于规模较大的企业,这种环节会更多,而在真正开展内控评价工作时,对每一个环节都进行测试的话会增加很多成本,要想降低成本对工作人员的能力有很高的要求,必须能够准确地判断出需要重点测试的环节,这种判断不但需要足够的专业知识,还需要一定程度的实践经验。所以一个合格的内部控制评价人员必须具有跨专业的知识体系和一定的评价经验,而目前,这样的专门人才在中国的资本市场中还是比较缺乏。
三、提高内部控制评价体系有效性的建议
(1)完善企业章程、创建良好的内部控制环境。企业应该参照相关文件来陆续修正和完善企业内部的《公司章程》《财务审计工作章程》《财务管理制度》等文件,依照《关于董事会下设专门委员会规章》的要求,合理调整公司董事会下设的专门委员会的组织结构。专门委员会的成员、公司管理人员及职工在企业内部控制制度方面的知识还应该提高,这能够不断深化公司管理层及职工对内部控制的认识。企业的内部控制环境比较薄弱,公司员工的风险控制意识整体比较差。加之控制范围涉及公司的各个部门、流程、员工,并不只是管理层、财务人员掌握内控知识就能够完成内控目标,抵御风险。只有人人参与,认真学习,让职工充分了解内控原理,认识它,并且在工作中充分运用,这不仅能够配合公司内控的实施,更能使职工积极的配合,促使员工在日常工作中就能自觉履行自己的岗位职责。对整体员工进行培训之前,公司可以先制作一套培训流程,编制一本学习课本,将复杂的内控形象生动地描述出来,并且在操作上应该简化程序,才能在真正意义上让职工有兴趣去了解,有能力去了解。培训的过程中针对公司内部控制制度执行中的问题和实施中的意见,进行重点培训。
(2)加强对企业的全面监督与管理。公司应当根据内控的需要制定出一套完整的与之相辅相成的制度,同时,内部控制要按照规定按章执行。在内部控制评价中,不仅要对日常操作过程和相应的制度进行评价,还要根据企业实际需要对内部控制执行的有效性进行评价、监督和考核,以防内部控制制度形同虚设,毫无用武之地。明确责任主体,强化外部监管。我国目前是以董事会集体为内控责任主体,责任区分不明确,出了问题会出现大家相互推卸责任的现象。国家公司都应做好责任到人,明确化,具体化,在加大责任承担力度的同时其实也在改善内控制度,这样一举两得,平常也要定期不定期的检查,提高内外部的监督力度。
(3)建立统一内部控制评价标准。在内部控制评价过程中,大多数企业都会面临这样的问题:虽然已采用内部控制评价定量化的评分系统,但由于缺乏统一的内部控制定量化评分标准,得出的分数也无法对其有效性进行判定。如果各个企业都坚持自己的标准是正确的,都认为自己的评价分数具备有效性,那么必然会导致评价结果的随意性、缺乏科学性,这种结果更是无法拿来横向比较的。甚至有些企业连自己的评价标准都没有,这样就更无法有效的开展自我评价工作。因此,建立统一的定量化评价标准是很有必要的。
(4)加强社会公众对于内部控制评价报告的需求。社会上对企业内部控制评价报告需求越来越多就会促进企业提供更加优质的报告文件,如果社会公众对于内部控制评价报告的态度不积极,那么企业开展的内部控制评价工作也必然会成为一个用来应付监管部门规定的形式,评价报告的内容也是官样文章,所以,要想企业开展内部控制评价工作,就必须提高公众对内控信息的需求。
(5)国家应该制定相关法律法规。政府致力于完善企业内部控制建设,了《基本规范》和《评价指引》如果得不到有效的执行,也只是空谈。执行力是指对目标和方法的讨论、坚持以及对责任的具体落实的一套系统化的流程。只有提高企业的执行力,才能将有关政策的规定认真有效的执行,才能把这些政策落到实处,使之真正有助于公司完善内部控制和投资者决策。企业要提高执行力,具体可以从战略、人员和运营方面着手。企业应当以一个固定的标准来对企业的内部控制评价进行认定。
随着我国经济的快速发展,企业内部控制评价问题得到大家的关注,国家出台了很多相应的法律法规来规范企业内控制度,所以企业自身内控也开始规范化。企业在内部控制评价时必须结合自身实际情况,这样评价结果才能够为企业发展提供帮助,评价结果对投资者和利益主体才具有意义,切实提高内部控制及内部控制评价的有效性。
参考文献:
关键词:国有企业 内部控制 评价
内部控制评价,是企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。国有企业肩负着振兴民族经济、参与国际竞争的重任,在国有企业实施内部控制评价,有利于企业加快完善内部控制体系,提高管理水平;有利于企业全面提升风险防范能力,增强国际竞争力。
一、国有企业内部控制评价的目的
(一)完善内部控制体系
通过内部控制评价查找内部控制缺陷,促进企业及时堵塞管理漏洞,防范各种风险,健全优化管控制度,使企业内控体系不断完善。
(二)提升市场形象和公众认可度
通过内部控制评价披露企业内部控制设计与运行情况,有利于树立诚信、透明的企业形象,增强公众的信任度、认可度,促进企业长远可持续发展。
(三)实现与政府监管的协调互动
通过内部控制评价排查管控风险,在政府监管中赢得主动,并借助政府监管成果进一步改进企业内控工作,实现与政府监管的协调互动。
二、国有企业内部控制评价的内容和重点
(一)内部控制评价的内容
内部控制评价主要分为企业层面内部控制评价和流程层面内部控制评价两个方面进行
1、企业层面内部控制评价
企业层面控制是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业层面控制是内控梳理工作的起点,是业务流程控制的基础。企业层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。测试企业层面控制应当重点关注:与内部环境有关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。
2、流程层面内部控制评价
流程层面控制是指企业在实际业务操作中,综合运用各种控制手段和方法,针对具体业务和事项实施的控制。流程层面控制评价的基础是流程,从主要风险出发,按照重要性的原则,根据流程中的具体风险、管理重点和责任主体,进行内部控制的自我检查和评价。企业应结合公司风险评价结果,由内控评价主责部门确定内控评价所需涉及的业务流程。
(二)内部控制评价的重点
1、流程和制度设计的有效性
主要检查内部控制是否涵盖了企业经营管理中需关注的重点问题及重点风险;是否明确了各项经营活动的管理要求;风险控制措施是否能有效降低和控制经营管理中的风险;各控制点、控制标准、各个岗位间的职责分工是否明确。
2、流程和制度运行的有效性
主要检查各项经营活动是否按已制定的流程文档规范执行;是否保留了完整和可靠的文档记录。在验证业务控制流程设计和执行的一致性时,从业务发生开始,抽取一定数量的样本,通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评,验证业务控制流程设计和执行是否一致。
三、国有企业内部控制评价的工作流程
国有企业内部控制评价工作流程分为内控评价启动和准备、内控评价实施、内控缺陷认定及整改和评价报告编制四个阶段。
(一)内控评价启动和准备阶段
1、编制内控评价工作方案
评价主责部门依据相关法律法规、监管要求及内部控制评价工作总体安排,制定企业内控评价工作方案,明确内控评价工作的目标、方法、机构、人员组织、时间安排、内控评价工作所关注的重点测试领域,经董事会审议通过后实施。
2、确定内控评价工作机构
根据内控评价的要求,确定内部控制评价工作组,具体组织开展本单位内部控制评价工作。评价机构的组成和人员数量、结构,应结合业务内容、工作量、人员水平和独立性等因素考虑。评价工作组成员至少应包括主要业务管理部门人员。
(二)内控评价实施阶段
1、召开内控评价工作会,进行宣传、动员,对开展内控评价做出部署,提出要求。
2、依据企业所处的经营环境及面临的主要管控问题,识别和评估业务和管理流程中的风险事项,确定企业的主要管理问题和风险管控重点。
3、选择适当的评价方法进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,对发现的内部控制缺陷进行初步认定。
(三)内控缺陷的认定及整改阶段
内控缺陷是指某个控制的设计或运行使管理层或企业员工在日常工作中不能及时预防或者查找错误,从而导致对业务的控制失效或部分失效的行为。内控缺陷按照规定的权限和程序进行审核后予以最终认定,并提出整改建议。存在缺陷的部门要制定切实可行的整改方案,及时整改,将风险控制在可承受度内。
(四)评价报告的编制阶段
企业根据年度内部控制评价结果,针对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,编制内部控制评价报告。对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性等相关内容做出披露,提交董事会审议通过后对外报送。
五、国有企业内部控制评价应关注的问题
(一)关注内部控制失效的问题
企业因人为判断、串通舞弊、越权管理、执行不力、权衡成本与效益等可能导致内部控制失效。由于内部控制存在上述固有局限,在进行内部控制评价时,应当立足于“合理保证”的概念,不应不切实际期望内部控制能够绝对保证内部控制目标的实现。
(二)关注内部控制评价人员素质问题
内部控制贯穿决策、执行和监督的全过程,对评价人员素质有严格的要求。企业应根据自身条件,建立长效内部控制评价培训机制,提高评价人员专业知识和业务能力,保证评价工作质量。
参考文献:
【关键词】内部控制内部控制评价评价体系
一、企业内部控制的发展历史
内部控制概念的提出迄今为止已经有80多年的历史了。内部控制的首次定义是出现在美国会计师协会的审计委员会于1924年做的报告中,该报告名为《内部制度:一种调节制度以及对独立的注册会计师和管理者的重要性》。1958年,审计委员会了《审计程序公告第二十九号》,该公告将内部控制分为内部的会计控制和内部的管理控制两种形式。1988年,美国会计师协会了《审计准则公告第五十五号》,在该公告中提出了控制的环境、控制的程序和会计系统是内部控制的三要素,并提出了“内部控制结构”以代替“内部控制”。1922年,美国会计学会、美国注册会计师协会等各团体组织做的“发起组织委员会”报告中,又提出了内部控制包含控制环境、控制活动、信息与沟通、风险评估和监控者五个相互联系要素。在过去的半个多世纪里,内部控制有了飞速的发展。这其中既包括企业内部管理的自身因素,也有外部因素的作用,而政府的推动亦是关键的外部因素。美国政府实施了一系列的措施和通过了一些法规来推动内部控制的发展。1970年,美国国会推出了《反国外行贿法案》,该法案中明确规定企业必须建立内控制度;八九十年代,美国的企业界出现的一系列的舞弊事件使得美国修正了内部控制的定义,规范了内部控制的标准和指南,提出了著名的COSO报告。
到目前为止,内部控制的演进经历了内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段和企业风险管理整体框架阶段等五个发展阶段。其中,内部牵制是内控制度发展的第一阶段,内部牵制能在一定程度上明确职责并实现业务间的相互检查和控制;在内部控制制度阶段,内部控制首次有了明确的定义,在该阶段,内部控制已经超越了与财务部门直接相关的事项;在内部控制结构阶段,美国注册会计师协会公告了《审计准则公告第五十五号――关于对财务报表审计中的内控结构的考虑》,该公告提出了内部控制结构应当包括三个要素,即:控制环境、会计制度和控制程序;在内部控制整体框架阶段,COSO内部控制框架提出了内部控制整体框架应该包括控制活动、控制环境、风险评估、信息与沟通和监督五个相互联系、相互作用的要素;在企业风险管理整体框架阶段,内部控制实现了控制目标、控制的内部要素、管理者在内部控制中的任务的扩展、深化和变化。
内部控制并不是独立存在的,是为了实现企业的目标而出现的。因此,我们必须关注内部控制的有效性。从本质上讲,内部控制的有效性是指内部控制保证内部控制相关目标实现提供一种保证的程度或水平,不同程度的内控有效性可以提供不同的程度的保证。因此为了保证内部控制的持续有效性,必须实施一定的内部控制评价程序。
二、企业内部控制评价的一般理论
(一)企业内部控制评价的含义
内部控制评价的定义已经被学术界做了充分的研究和归纳。其中最具代表性的是“PCAOB Audit Standard No.5”的观点,认为内部控制评价是由企业内部的管理者和外部的独立评价单位实施的,是对内部控制的实施效果做出分析和评估的一种过程,并具有一定的风险性。我国的《内部控制评价指引》也对内部控制评价做出了明确的定义,指出了内部控制评价的内容和要求――评价内容为内部控制的有效性并要求内部控制应该具有全面性。因此,我们定义内部控制评价主要着眼于内部控制评价的主体、评价的范围和内容以及评价的效果。
(二)企业内部控制评价标准
就目前的情况来看,内部控制评价的标准主要有以下三种代表性观点:
一是认为内部控制的标准应该就是内部控制的目标;一是以内部控制五要素作为内控评价的标准;一是认为内部控制评价的标准包括一般的标准和具体的标准。企业内部控制的完整、合法和有效既是内部控制一般的标准,而具体标准是指对企业内部控制评价具体应用的标准,包括内控要素评价标准、内控类别评价标准和内控具体细节评价标准。
三、企业内部控制评价体系的构建
(一)构建企业内控评价体系的原则
1.保证内控评价体系的全面性。企业的内控评价体系应当涵盖企业内部控制的规划和运行,涉及企业的各种交易和事项,既应该全面地反映被评估企业的内控制度的总体质量状况,也要反映企业的内部环境,控制的活动、风险的评估、信息与沟通和内部监督等内控五要素的具体情况。
2.贯彻重要性原则。内部控制评价体系指标的设计要在全面评价的基础上,重点关注企业的重大业务事项、重要业务活动和高风险领域所涉及的内控制度的有效性和完善性。
3.系统性原则。内部控制评价体系的建立必须高屋建瓴,从整体上来考虑相关指标的相互关系,保证内控评价体系指标数量选取的合理性,并使个指标之间具有一定的逻辑性。
4.融合定量和定性分析的原则。企业的内控体系涉及到企业运营的方方面面,既要考虑到内部控制具有的主观性,也要考虑到其具有的客观性,使内控评价指标体系融合定量指标和定性指标,最终量化评价指标。
(二)构建企业内部控制评价体系的思路
我们在建立企业内部控制评价体系时的思路主要是通过企业内控五要素了作为评价内控制度的基本框架。通过这样的基本模式来确定评价要点,评价各要素的主要内容和实施情况。
确定评价指标的过程中,要将层次化、条理化相关的制约因素,集中反映评价目标的特征,并合理确定各层次目标对整体评价的影响。在选取评价指标时,要选择合理的定量指标的评价标准,并采用适当方法量化定性指标。合理有效的指标体系应该针对具体的评价目标和评价对象进行分析,并尽量简化评价体系,以保证评价活动的实用性和经济性。
参考文献
[1]林钟高,王书珍.论内部控制与企业价值[J].财贸研究,2006.
[2]李光忠.内部会计控制的评价和测试问题[J].财政监察,2002.
[摘要]现代企业要完善法人治理结构,建立现代企业制度,就必须加强企业内部控制,以提高企业自身的“免疫力”和“抗干扰”能力,否则现代企业制度的建立就毫无意义。企业内部控制作为提升企业管理水平的重要手段,贯穿于企业经营活动的各个方面,在企业生产、经营管理活动中发挥着自我约束和自我调节作用。完善企业内部控制制度,构建完整有效的内部控制评价体系,对于保证会计信息质量,完善公司治理结构和信息披露制度,保护投资者合法权益及保证资本市场有效运行,均有着非常重要的意义。
[关键字]内部控制;评价体系;构建
一、企业内部控制体系的基本涵义
企业内部控制是指为了保证企业业务活动的有效运行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证业务资料的真实、合法、完整而制定和实施的政策与程序。它包括控制环境、会计系统(会计控制)和控制程序三要素。现实中,人们往往把内部控制等同于内部会计控制,甚至认为这仅是财会部门的事,与其他部门无关。这种以内部会计控制替代全面内部控制的认识存在着局限性。企业内部控制模式是针对业务程序和内容以及需要实现的控制目标,设置相应的控制点和控制措施的。控制点是指需要控制的业务环节,可分为关键控制点和一般控制点。关键控制点是指业务处理过程中作用最大,影响范围最广,甚至决定全局的控制点,对于保证最终控制目标具有至关重要的影响。如现金控制中的“审批”、“核对”和“清查”,对于保证现金收支正确、合法,现金安全和完整等控制目标起到重要的保障作用。而一般控制点是那些只能发挥局部作用,影响特定范围的控制点,如现金的“收付”、“记帐”等控制点。控制措施是指为预防和发现错误或舞弊而运用的各种控制程序和方法。如材料采购控制中的“审批”,应设有主管人员审核采购凭证并签章批准等控制措施。
二、企业内部控制评价的目标与原则
(一)企业内部控制评价的目标
企业内部控制评价目标是企业内部控制评价存在的根本所在,也是建立内部控制评价框架体系以及进行内部控制评价设计、测试评价和考核的基础。内部控制评价目标定位决定评价内容范围、评价方式以及评价标准体系的建立。从完善公司治理和改善企业内部控制现状的角度,企业内部控制评价的目标应是通过评价企业内部控制体系的充分性、循环性、有效性和适宜性,促使企业切实加强内部控制体系的建设和执行。具体要达到以下评价目标:第一,促进企业严格遵守国家法律法规和企业审慎经营原则:第二,促进企业提高风险管理水平,保证其发展战略和经营目标的实现;第三,促进企业管理者和各级员工强化内部控制意识,建立健全内部控制机制,有效贯彻各项控制惜施,确保内部控制体系得到严格执行:第四,促进企业增强业务、财务和管理信息的可靠性、完整性和及时性;第五,促进企业提高风险管理水平,及时有效地评估和控制可能出现的风险。
(二)企业内部控制评价的原则
1、目的性原则。评价体系应是对内部控制的本质特征、结构及其构成要素的客观描述,并为评价的目的服务,为评价结果的判定提供依据。
2、科学性原则。评价体系应该围绕评价目的,科学反映内部控制及其特征,标准概念正确、涵义清晰,各标准之间不应有很强的相关性,尽可能避免显见的包含关系。
3、系统性原则。评价体系应该涵盖单位内部各项经济业务及相关岗位,全面地反映企业内部控制的各个要素和整体情况,并且从中抓住主要因素,以保证综合评价的全面性和可信度。
4、有效性原则。评价体系应能准确反映企业业务的重要岗位和风险岗位与内部控制的关系,内部控制应当约束单位内部涉及内部控制关键人员。
5、适用性原则。评价体系的设计应考虑到现实的可能性,以适应评价人员对标准的理解程度和判断能力,便于评价操作。
三、企业内部控制评价的内容
企业作为市场经济的主体,权利与义务在日渐规范。在社会经济生活中的作用也至关重要。同时,与企业内部会计控制相关内容在范围上也越来越宽泛。企业的外部环境、文化理念、经营哲学等控制环境因素与风险因素都应纳入企业内部控制的范围。内部控制评价的内容有以下五个方面。
1、控制环境。控制环境由控制行为、控制政策和控制措施组成,反映了企业管理者、董事会和企业所有者对企业内部控制的态度和认识,是推动控制工作的发动机及所有其他内控组成部分的基础。控制环境的要素有价值观、激励与诱导机制、员工能力、精神指导、管理哲学与组织结构、经营风格、规章制度和人事政策等。评价的主要问题是管理者要充分说明内控的完整性,促使组织中所有员工具有主动控制的觉悟,特别是高级管理者要积极地进行控制,员工的能力与其责任要相匹配。
2、风险评估。风险评估是识别和分析那些妨碍实现经营管理目标困难因素的活动,是风险管理决策的基础。风险评估中的要素,包括关注对整体目标和业务活动目标的制订和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。
有关风险的识别与评估原则,强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险,如市场风险、利率风险、流动性风险、经营风险、法律风险和声誉风险等。需要不时调整内控,以便恰当地处理任何新的或过去不加控制的风险。
3、控制活动。控制活动是为了合理地保证经营管理目标的实现,指导员工实施管理指令,管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性,尤其是对信息系统的控制等。
4、信息与交流。内部控制评价内容的信息与交流存在于企业所有经营管理活动中,使员工得以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在内部控制信息评价方面要注意内部信息和外部信息的搜集和整理,同时在交流方面应注意内部和外部信息的交流渠道和方式,特别是在现代高度发展的信息技术环境中,要注重信息的全面性、信息的安全性、信息的通畅性。
5、监督评审。是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。内部控制的监督评审可以是持续性的或分别单独的,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和对政策程序的调整等。
四、企业内部控制评价标准
(一)内部控制评价的一般标准
企业内部控制评价的一般标准是指应用于内部控制评价的各个方面的标准,即内部控制制度整体运行应遵循和达到的目标。企业内部控制评价应具有完整性、合理性及有效性等特征。
为达到内部控制评价的一般标准,应从以下四个层次对内部控制体系进行评价:过程和风险是否已被充分识别;过程和对风险 的控制措施是否被规定并遵循相关监管要求;规定是否得到实施和保持;控制措施是否有效和适宜。
(二)内部控制评价的具体标准
企业内部控制评价的具体标准是指应用于内部控制评价具体方面的标准,是具体内部控制制度运行应遵循和达到的目标。对内部控制评价的具体标准,根据财政部颁布的内部控制方面的具体规范项目设置相应的具体标准。
1、组织规划控制标准。包括:授权批准职务与执行业务职务相分离;业务经办职务与审核监督职务相分离:业务经办职务与会计记录相分离;财产保管职务与会计记录相分离;业务经办职务与财产保管职务相分离。
2、授权批准控制标准。包括:授权批准的范围;授权批准的层次,应根据经济活动的重要性和金额大小确定不同的授权批准层次;授权批准的责任,应当明确被授权者在履行权力时应对哪些方面负责,避免授权责任不清:授权批准的程序,应规定每一类经济业务审批程序,以便按程序办理审批;以避免越级审批,违规审批的情况发生。
3、文件记录控制标准。主要包括:建立企业组织机构职能图和授权审批权限一览表;建立全员岗位说明书;业务程序手册;统一会计政策;凭证编号;统一会计科目。
4、全面预算控制标准。要抓好以下环节:预算体系的建立,包括预算项目、标准和程序;预算的编制和审定;预算指标的下达及相关责任人或部门的落实;预算执行的授权;预算执行过程的监控:预算差异的分析与调整;预算业绩的考核。
5、实物保全控制标准。主要内容有:限制接近。要求只有经过授权批准的人员才能够接触现金、其他易变现资产、存货等资产;定期盘点:记录保护。应对企业各种文件资料妥善保管,避免记录受损、被盗、被毁的可能;财产保险;财产记录监控。
6、职工素质控制标准。包括:建立严格招聘程序;制定员工工作规范;定期对员工进行培训:加强考核和奖惩力度,奖惩分明:对重要岗位员工(如销售、采购、出纳)建立职业信用保险机制;工作岗位轮换。
7、风险防范控制标准。内容有:筹资风险评估;投资风险评估;信用风险评估;合同风险评估。
8、内部报告控制标准。包括:资金分析报告;经营分析报告;费用分析报告;资产分析报告:投资分析报告;财务分析报告等。
9、电算化控制标准。内容有:一般控制。主要是对电算系统构成及环境实施的控制,常用的方法有系统组织和管理控制、系统开发和维护控制、文件资料控制、系统设备、数据、程序、网络安全的控制;应用控制。是对电算化处理活动进行的控制,常用的方法有输入控制、处理控制、输出控制。
10、内部审计控制标准。内部审计是内部控制的一种特殊形式,内部审计内容按其目的可分为财务审计、经营审计和管理审计。内部审计在企业应保持相对独立性,应独立于其他经营管理部门。
五、内部控制评价程序及评价等级
(一)内部控制评价程序
在企业内部控制评价体系中,内部控制评价的内容和标准更多地体现在科学合理行之有效的内部控制评价程序和方法上。一般来讲,内部控制评价程序可以描述为评价准备、评价实施、形成评价报告和反馈等步骤。
1、评价准备。在评价实施前应组成评价组。评价组根据日常监管和非现场监管掌握的情况,综合分析和评议被评价机构的内部控制状况,梳理被评价机构内部控制的弱点和盲点,制定评价方案。
2、评价实施。内部控制评价实施分为了解内部控制体系的健全性和测试其有效性两部分。评价人员首先应了解被评价机构内部控制体系的基本情况,确定评价范围,确定被评价机构的内部控制体系的健全程度。在了解内部控制体系的基础上对被评价机构的内部控制体系的运行与绩效进行评价。评价实施过程中,需要运用内部控制评价方法实现评价目的,评价内控体系健全性和有效性的主要方法是询问、文档检查、流程图法、检查验证等。
3、形成评价报告。评价组在综合评价的基础上,出具被评价机构的内部控制评价报告。报告内容主要包括概述、评价组工作开展情况、被评价机构内部控制体系状况、综合评价、存在问题及原因、整改意见等。
4、评价结论反馈。评价组做出综合评价后,应召集被评价机构董事会、管理者和部门负责人会议,核对数据和事实,征求意见,在现行法律和政策规定的基础上统一认识,形成本次评价的报告。管理机构根据评价组的结论,对被评价机构做出评价结论,以书面形式正式发送被评价机构并限期改正、反馈。
(二)内部控制评价等级
内部控制评价可以采取评分制,即对内部控制的过程和结果分别设置一定的标准分值,并根据评价得分确定被评价机构的内部控制等级。在对内部控制过程评价时,按照内部控制评价内容的要求,结合内部控制评价的一般标准展开,将其转换为具体评价问题及评价标准,并根据评价方法的测试情况对被评价项目进行评分。
论文关键词:erp;内部控制评价;信息系统
erp环境下的内部控制不但要关注传统的内部控制环节,还要关注信息系统本身的内部控制。以往的研究成果,对公司的传统内部控制评价已有了深入详尽的研究,本文将在此基础上,探讨如何在信息化管理基础上开展内部控制评价命题。
一、erp与内部控制概述
1.erp概念
erp(enterprise resources planning—企业资源计划)是建立在信息技术基础上,利用现代企业的先进管理思想,将企业所有资源信息有机集成在一起,有效利用企业各种资源,为企业决策、计划、控制、经营业绩评估提供全面支持的系统化管理平台。erp的基本思想是将企业的运营流程看作是一个紧密连接的供应链;将企业内部划分成几个相互协同作业的子系统,如财务管理、生产制造等。
2.企业内部控制的目标和评价要素
2008年5月22日,我国了《企业内部控制基本规范》,将企业内部控制目标定位为“遵循、资产安全、报告、经营和战略”五方面。这个目标在第二点和第五点甚至超过了美国coso的《内部控制——整体框架》的要求,因而有一个很高的起点。而对内部控制的五要素,则是全盘借鉴了coso的分类,即控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。我国内部控制制度的建立和评价都是按照这五个要素展开的。内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。在评价内容上,要求对五要素进行全面的、有针对性的评价。企业评价的结果,除了对内控整体目标是否有效下结论外,还需对报告中列示的问题进行改进,并追究相关人员责任。
二、erp环境对企业内部控制评价的影响
内部控制环境,原来是作为内部控制评价的外部条件和因素存在的,企业实施erp后,内部控制环境成为了控制手段、评价对象,和整个控制过程融合在一起。因此,erp环境下的内部控制评价与传统状态下的评价相比,发生了较大的变化,主要体现在以下四个方面。
1.内部控制评价的目标由以纠错防弊为重点转变为持续优化
随着企业内外部环境的发展变化及各利益相关者对企业的要求日益提高,内部控制的目标由内部牵制时代简单的以纠错防弊为重点转变为在erp环境下的持续优化,提高业务活动准确性、运行效率及企业整体绩效,并支持企业战略目标的实现。
2.内部控制评价的范围扩大、内容更广
传统手工环境下,记录的内容多为结果性的内容,频率较低、数量较少;内部控制的评价也以此为对象;此外由于纸质材料传递麻烦,审计人员的工作范围受到地域的限制;在erp环境下,记录的内容大大增加,除结果性内容外还增加了大量过程性的内容,在信息集成条件下内部控制评价由定期转变为实时,可以跨地域进行;同时,由于对系统审计的重要性增加,内部控制评价的内容除了传统手工环境下的所有内容外,还包括对基于erp系统的业务流程的评价;对erp系统中权限设置、流程的规范程度等的评价;对erp系统本身的安全性、有效性、准确性的评价。
3.内部控制评价的手段发生变化
企业内部控制评价的对象由传统手工环境下主要以部门为对象的模式转变为在erp环境下以业务流程为主线对涉及的各个部门内控措施的设计和执行进行评价;传统手工环境下的人工手段、纸质记录等简单模式转变为电子化的、基于系统的、即时的记录;零散的、依靠经验为主的评价手段转变为可以依靠系统实现标准化和统一化并迅速推广创新的模式。
4.内部控制评价的时效发生变化
由于传统会计系统的业务核算和数据统计不可避免的存在时滞性,对经济业务的控制实质上都是事后进行的,在实务中表现为对业务的单点控制。在信息高度集成环境下,控制活动是否有效、有效控制是否贯穿整个评价期间等信息能够实时反映到内部控制评价部门。因此,控制信息的实时共享为实施实时评价创造条件,同时为企业及时发现内部控制设计缺陷和执行不力,及时控制业务风险和管理风险提供更加有效的依据。
三、erp环境下的企业内部控制评价
企业应当结合erp系统自身的特点及具体实施情况,按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
1.制定erp系统内部控制评价方案
企业内部控制评价部门应根据erp系统自身的特点及具体实施情况拟订评价工作方案。在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。制定erp系统的内部控制评价方案可循以下基本的思路:评价范围应涉及到信息系统应用的全生命周期过程,按照风险导向原则,着重关注重点的关键风险因素和关键控制点;erp系统相关内部控制评价应首先分析评价企业层面的控制环境,进而开展部门层面的控制评价;分析信息系统相关的风险影响因素时,应充分考虑不同行业的特性差异;选择适应信息系统要求的评价方法,注意将定量和定性评价有效结合,依据综合评价的结果,采取合适的动态监控和管理措施。
2.erp系统控制评价
信息系统内部控制是企业在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,为确保信息系统提供的信息真实、合法、完整而制定和实施的一系列政策与程序措施。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。信息系统内部控制评价分为一般控制评价和应用控制评价。
(1)erp系统一般控制评价。一般控制评价应着重考虑与erp系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。其主要内容包括:erp系统的组织与管理情况;硬件和网络管理情况;系统访问控制措施;系统的安全性和灾难恢复控制措施等。
(2)erp系统应用控制评价。应用控制评价是erp系统内部控制评价在业务流程和管理流程方面的延伸,应用控制评价应当结合企业业务流程特点,按照业务类型进行组织,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。其主要内容包括:描述企业现有的业务流程、管理流程,找出其中的关键控制点,并据以评价关键控制点是否适当和健全;评价实现关键控制点的控制措施是否健全和合理;评价措施的运行是否持续有效。
erp系统内部控制评价可遵循以下步骤进行:调阅关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解;通过与相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境;检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等;描述业务流程,从中找出关键控制点和控制措施;设计调查问卷和问题清单,交由相关人员据实填写,再进行检查核实;实行白箱法对计算机系统应用控制的输入控制、处理控制和输出控制进行测试;汇总并确认发现问题。
3.erp环境下的内部控制评价报告
【关键词】内部控制 有效性 内部控制方法 内部控制评价
内部控制是市场经济发展到一定阶段的必然产物,作为一种管理手段,企业对内部控制制度的要求也随着对内强化管理,对外满足社会需要而不断丰富和发展。有效的内部控制不仅能提高企业资源有效配置,还能防范和发现企业内部和外部的潜在风险。
但就现状而言,相当一部分企业对建立内部控制制度重视不够,导致企业资产流失,经营效率低下。为解决这些问题,完善内部控制制度迫在眉睫。有效性是内部控制的精髓,如果一种内控制度不能实现“有效控制”,则内部控制就失去了其存在的价值。内部控制的有效性取决于两个变量:一是内部控制设计的合理性。内部控制的设计应结合企业的自身特点进行,这样的设计就更合理,控制的效果就更好,为主体目标的实现提供更高的合理保证程度;另一个是内部控制执行的有效性。内部控制执行得越好,内部控制的有效性就越高。
一、内部控制影响因素分析
为有针对性的提高企业内部控制的有效性,本文首先对内部控制有效性的影响因素进行梳理和分析。
(一)企业所处的内外部环境
企业环境是推动企业发展的引擎,也是其他一切要素的核心与基础,决定了其他控制要素能否发挥作用,是内部控制有效执行的必要保证。(李建华,2012)控制环境的好坏直接关系到企业其他内部控制实施的效果,好的控制环境能增强内部控制的有效性,不良的控制环境则会削弱特定控制的有效性。
(二)企业所处发展阶段
Maijoor(2000)、Doyle(2006)、郑石桥(2009)等研究了企业所处发展阶段对内部控制有效性的影响,结论显示,当企业处于成熟期时,其内部控制更加有效;朱荣恩(2004)、Ge和McVay(2005)、Doyle(2006)对企业规模与内部控制有效性之间的关系进行研究得出企业规模与内部控制有效性呈现出正相关关系。
根据生命周期理论,企业的成长发展可分为四大阶段:初创期、成长期、成熟期和衰退期。由于各个阶段的企业所面临的外部环境和所拥有的内部条件有所差异,企业所设定的经营目标会因此而有所不同,经营管理会出现不同的侧重点,企业面临不同的内部控制结构选择。
(三)内部控制执行因素
内部控制的目的就是在每个可能的风险点上进行控制与保护,对可能发生的风险实施控制,既是企业内部控制的最初目的,也是内部控制的最终目标对企业风险的准确评估,是实现企业内部控制有效性的关键。
控制活动是在控制环境和风险评估的基础上,为保证控制目标有效落实,确保风险被有效控制而制定并实施的各种科学合理的方法、程序和控制措施。企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措施,将风险控制在可承受度之内。
(四)内部控制成本因素
控制活动在整个企业的经营活动中无处不在,控制对象涉及到人、财、物、产、供、销等各个方面,远远超出了原来的会计控制范围。如果实施面面俱到、事无巨细、毫无重点的内部控制,会导致内部控制的成本相对较高,不符合成本效益原则。一般来说控制程序的成本不能超过因风险或错误可能造成的损失或浪费,否则再好的控制促使和方法也将失去降低成本的意义。内部控制应坚持重要性原则,找准重点环节、关键控制点,对重点环节进行重点控制,不仅能起到控制作用,也能使控制收益达达高于成本。
(五)企业内审机构运行效率
企业应当根据内部控制基本规范及其配套办法,制定内部控制监督制度,明确内部审计机构在内部监督中的职责权限,规范内审的程序、方法和要求。内审机构是需要长时间运作而评估执行质量的过程,它可以保证企业内部控制制度的有效性得以实现,并使之不断得到完善。
二、如何加强企业内部控制的有效性
企业应从优化内部控制环境、规范内部控制过程,控制内部控制成本和合理利用内外部监督等几方面着手,增强内部控制的有效性。
(一)优化内部控制环境
事实上,内部控制系统必须与外界经常进行能量交换,而控制环境正是能量的直接承受者。所以,要提高内部控制的有效性,必须从改善企业内部控制的环境入手。
1.完善公司治理结构。科学的公司治理结构包括民主、透明的决策程序和管理议事规则,高效、严谨的业务执行系统,以及健全有效的内部监督和反馈系统。
2.完善组织结构控制制度。组织结构是内部控制骨架,包括企业内组织机构的设置和职能责任的分配与授权。组织结构的设置应坚持相互制约原则和协调配合原则。企业在设置各工作机构的职责分工时需考虑相互制约原则,即相互制约关系的两个或两个以上的职位分别完成:不同经济业务的运行必须经过不同部门,避免越权事件发生;将经济业务的授权与执行、执行与记录、记录与审核、保管与记录等不相容职务进行分离,避免舞弊发生;明确各机构负责人的具体批准权限,防止职责不清及现象。另外在设置各工作机构的职责与分工时,还应考虑协调配合原则,即要求在各项经营管理活动中,各部门和人员必须相互配合,各岗位和环节都应协调同步,各项业务办理程序和办理手续需要紧密衔接,从而避免脱节现象,减少矛盾和内耗,以保证经营管理活动的连续性和有效性。
3.建立良好的企业文化氛围。企业文化是企业在发展过程中逐步形成的、企业员工均认同的共有的价值体系,包括道德和行为标准以及如何在业务中沟通与强化该标准。优秀的企业文化应该以人为本、以顾客为中心、努力服务社会,同时平等对待员工、平衡相关者的利益、提倡团队精神,并鼓励创新。
企业文化是一种软约束,通过情感激励、道德感化等方式来激发全体员工为企业发展目标而奋斗的热情与责任感。良好的企业文化氛围能为内部控制程序的执行创造良好的人文环境,在很大程度上决定了内部控制是否有效。企业内部控制应当建立在共同的伦理道德规范的基础上,形成真正意义上的团队精神。企业经营者应注重对企业文化的培养与优化,树立以人为本、服务社会的核心价值观,建立起自己独特的企业文化,增强企业内部凝聚力,并长期保持一种健康的文化氛围,使其与公司战略目标趋于一致。
4.提高全体人员的素质。要保证内部控制的有效性,必须提高企业全体人员尤其是管理人员的素质。内部控制受企业的董事会、管理阶层及其他员工影响,透过企业内的人所做的行为及所说的话而完成。只有人才可能制定企业的目标,并设置控制的机制。只有提高了员工的基本道德素质和职业素养,内部控制的各种工作才能顺利进行。
企业必须重视对内部控制制度管理人员的选用和培训,提高财会人员的素质,培养全体员工的参与意识,定期进行考评,奖优罚劣。重视管理人员的培训,企业需要加强对管理人员的职业培训(尤其是财经法纪方面的教育),选用有能力有经验的人去完成管理工作,保证内部控制制度更加完善严密,杜绝管理人员所造成的内部控制制度形同虚设的情况;提高财会人员的素质,企业不仅需要加强其道德水平,还应提高其业务素质,通过宣传教育影响财会人员的道德思想,通过引导财会人员加强自学、努力钻研业务提高其业务能力,通过加强财会人员定期轮岗实现其全面发展;培养员工的参与意识,应充分调动各个部门员工的积极性,使其不仅承担被考核者的被检查者的义务,还主动担任内部控制的实施者与考核者角色。
设计有效的人力资源政策是保障企业人员素质的有效措施。有效的人力资源政策包括:完善的招聘与选拔方针及操作性程序;对新员工进行企业文化和道德价值观的导向培训;对违反行为准则的任何事项制订纪律约束与处罚措施;对业绩良好的员工制订具有奖励和激励作用的报酬计划,并避免诱发不道德行为;根据阶段性的业绩评估结果,对员工予以晋升、指导以及奖罚等。
(二)规范内部控制过程
1.提高风险识别和评估水平。对于内控的研究,不可能脱离其赖以存在的环境及企业内部各种风险因素。风险防范既是企业管理的必要部分,也是内部控制机制建立的内在动力。提高风险识别和评估水平,对于提高内控执行的有效性,有着积极的作用。
环境的变化使企业经营风险增大,正因为存在各种各样的风险,企业才应该建立良好的内部控制系统,配合风险管理,实现企业目标。对一个持续经营的企业而言,常见的企业风险包括:战略风险,经营风险,财务风险,市场风险,信息风险,环境与法律风险,灾害风险等等。企业必须注意风险的防范和管理,对内分析自身优势与劣势、长处与短处,对外分析外界的机会和威胁,找出影响企业整体目标和各活动层目标实现的各种内在和外在因素。找出风险之后,再运用一系列的风险评估方法、技术、程序等对企业的风险进行全面分析,判断风险发生的概率及可能的后果,并采取相应的控制措施。也就是说,内部控制的建立是与风险管理的要求相并存的。
2.接合控制活动与企业经营活动。经营过程是指由某一单位、部门进行,或由多个单位、部门共同进行的,通过规划、执行及监督等基本的管理过程对企业加以管理的过程。控制活动是在控制环境和风险评估的基础上,为确保控制目标有效落实,确保风险被有效控制而制定并实施的各种方法、程序和控制措施,包括经营活动的复查、业务活动的批准和授权、责任分离、保证对资产记录的接触和使用的安全、独立审核等,内部控制要坚持全面性原则与重要性原则的有机结合,不能将所有经营活动中的每个控制点都进行同等的控制,要符合成本效益原则,对企业经营管理的重要方面、重要环节实行重点控制。
3.确保信息沟通与反馈的通畅。信息与沟通贯穿于企业风险管理和内部控制的所有活动之中,是实现内部控制目标及其有效性的重要保障。企业的高效运转有赖于管理层的计划准确及时地贯彻到各部门以及各部门计划执行情况及时反馈至管理层,而这一过程中高效的信息沟通至关重要。
企业应设计和维护畅通的信息沟通渠道,一方面通过拓展信息获取及传递途径,使员工懂得自己在控制系统中的作用、责任,更好地履行职责;另一方面通过形成有利的外部沟通环境,保持经营信息和控制信息畅通,减少因信息不对称导致的企业经营成本和社会监督成本的提高;第三通过建立良好可靠的、涵盖企业全部重要活动的信息系统支持策略,保证信息的搜集、存储、加工、输出和使用等各个环节的正常运行,并及时更新系统,使企业拥有良好的信息品质。
(三)控制内部控制成本
1.加强预算管理。内部控制的目标不能再仅仅满足于查弊纠错和保护资产安全,应该延伸至提高效率和效益、保证管理政策和目标的实现。为此,应逐步加强前馈控制,预算管理已成为内部控制的重要方式。预算管理是将企业的目标及其资源的配置方式以预算方式加以量化,并使之得以实现的企业内部控制活动或过程的总称。
加强预算管理,首先要将预算管理与企业整体发展目标相结合。即全面预算管理的组织、编制和实施都应该与企业长期发展战略相一致,以企业未来发展为核心,优化企业资源配置,完善考评与控制制度。其次要将预算管理与各部门的业绩考核相挂钩。在公司治理结构的基础上将预算管理的制定与执行贯穿于企业生产经营的总体过程,加强各部门、各岗位人员对全面预算管理的重视,落实各项内部控制制度。再次,预算的制定要遵循“适应性”与“效益性”原则。即将预算制定的详细程度控制在合理的范围内,使其真正发挥资源的优化配置与合理控制。
2.节约控制成本。在体现价值最大化的经营管理理念的环境中,企业不得不考虑内部控制的成本与效益问题,在建立和实施内部控制时,在可能获得的收益与不设置相应控制可能产生的损失之间做出理性的判断,进行权衡和取舍。
严谨的内部控制,应坚持重要性与全面性有机结合。在资源充足的条件下则可考虑进行全方位的内部控制,但一定要坚持成本效益原则,即内部控制的成本不能超出其所带来收益;在资源有限的情况下,应当实行有重点的控制,将控制成本花费在那些影响企业成败和经营效率的重要事项,以提高内部控制的效果。只有做到全面控制与重点控制的有机结合,加强关键控制点的管理,内部控制才能发挥良好的效率。
(四)形成有效的内部控制监督
1.发挥内部审计的作用。根据国际内部审计协会的解释,内部审计是在一个组织内部,通过对各种业务活动及相应管理控制系统的独立评价,确定组织既定的政策和程序是否贯彻,建立的标准是否遵循,资源的利用是否合理有效,以及组织的行为目标是否达到。可见,内部审计既是内部控制的重要组成部分,又是内部控制的一种特殊方式。为保证内部审计作用得以有效发挥,首先管理当局应给与其支持,授予内部审计部门足够的权限,保证其对重大疑点拥有相关的审查权力,当内部审计人员报告的信息显示公司必须采取某些行动时,管理人员应迅速对行动作出反应。其次,要保持和提高内审人员的素质,注重对内审人员进行内部控制知识和相关审计及会计知识方面的培训,使其掌握最新的行业知识,具备岗位胜任能力。再次,具备条件的企业还应单独设置内部审计机构,使其独立于财务部与人事部,并逐步将内部审计的范围由财务收支审计、设备购置审计等扩展到管理审计方面。
2.对内控系统进行持续监督。监督是对企业内部控制体系有效性进行评估的持续过程。设计有效的监督才能保证内部控制执行的有效性。企业内部应由有关管理人员和职员定期、独立地自上而下对各部门的控制进行独立的评价、持续的监督。对内部控制制度的执行情况实行严格的检查和反馈,并向董事会和总经理报告,确保公司各项经营管理活动的有效运行。
由于内部控制具有时间性和差异性,今天有效的内部控制,明天不一定有效,内部控制设计好后,不仅要坚持不懈地执行,还应适时对内部控制进行评估,以发现可能存在的重大缺陷,并采取措施予以补救,或者根据市场环境、新的金融工具、新的技术应用和新的法律法规等情况变化,提请董事会或管理层适时改进内部控制。
三、内部控制有效性的评价
内部控制的有效性源于控制目标的实现,那么,评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到合理保证水平。从另一角度来讲,也就是相关目标的风险控制是否降到了一个适当的水平。从国外最新的内部控制评价研究成果来看,主要存在详细评价方法和风险基础评价法两种。
(一)详细评价法
COSO委员会2004年的报告将企业风险管理分为内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相关联的要素。认定企业的风险管理是否“有效”,是对八个构成要素是否存在和有效运行进行评估的基础之上的评价。基于此思路,很多企业都曾采用详细评价法。
具体来说,详细评价法以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大漏洞,确定内部控制是否有效。
为了解决以上的问题,美国的实务界和理论界又提出了风险基础评价法。
(二)风险基础评价法
风险基础评价法的思路不是从控制到风险,而是从风险到控制,即从内部控制目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。
由于目标的差异性,目标风险的含义、内部控制着重点的含义是不同的,在评价每一类目标时都需要做具体设定。当然,这种评价方法也需要评价主体具备更高的职业判断能力。
(三)两种评价方法的比较
首先,风险基础评价法是从相关目标的风险评估出发,根据评估结果判断企业内部控制制度设计和实施的有效性。这种思路和方法能够考虑到不同企业的特点,避免与内部控制框架简单对应,具有更高的灵活性和针对性。
其次,风险基础评价法在确定内部控制测试范围,评估内部控制制度的设计和运行整个过程都以风险评估为基础,提高了评价的成本效益和效率。
最后,风险基础评价法在识别和评估企业应对内控目标风险时需要更高的专业判断。与详细评价法根据一个确定框架来评价相比,风险基础法需要对风险评估进行不断的调整和判断,对评价人员的专业要求更高。
通过比较以上两种方法和行业发展趋势来看,风险基础的内部控制评价方法必然是未来的发展方向。无论是基于评价方法与企业的贴合性,还是从成本效益的考虑,风险基础评价法都具有更高的合理性。只有评价方法合理,才能为完善企业内部控制提供依据。
四、小结
综上,内部控制是一套企业内部管理的体系,不是控制手段的简单叠加。企业应该在深入分析内部控制有效性的基础上,设计有针对性的有效性实现框架,并通过实际运行进行检验和修正。对内部控制有效性评价时,应强调风险控制导向,不仅更贴合不同企业需求,也能提高成本效益和效率。
参考文献
[1]潘琰.内部控制[M].北京:高等教育出版社,2007.
[2]朱荣恩.内部控制评价[M].北京:中国时代经济出版社,2003.
[3]张宜霞.企业内部控制评价方法的比较[J].会计之友,2009(1).
代写文章微信:13258028938 代写文章微信:13258028938