为了确保事情或工作得以顺利进行,通常需要预先制定一份完整的方案,方案一般包括指导思想、主要目标、工作重点、实施步骤、政策措施、具体要求等项目。方案的格式和要求是什么样的呢?本页是细致的小编给大家分享的如何加强企业内部控制评价(最新11篇),欢迎借鉴,希望对大家有一些参考价值。
企业内部控制评价 篇一
【关键词】内部控制,内部控制评价,风险
近年来在世界范围内,由于企业内部控制缺失所引起的各种经营、财务问题,给企业造成了重大损失,引起了企业和理论界的高度关注。内部控制是企业管理中重要的手段与方法,能够实现企业的经营目标、保证企业的财产安全和规避企业的运营风险。我国企业内部控制评价如何开展以保证内部控制制度的不断完善,如何立足于我国的实际情况推动内部控制评价的研究和完善是需要认真考虑的问题。
一、我国内部控制评价的发展综述
20世纪80年代末到90年代初,我国内部控制评价仅仅作为一种审计方式,其目的是通过了解、测试与会计报表相关的内部控制制度,评估审计风险,据以确定实质性测试的性质、时间和范围。从20世纪90年代起,财政部、证监会和银行系统等部门开始加大对企业内部控制和内部控制评价的推行。我国内部控制评价的发展体现在上述相关部门的一些规定中。目前,我国相关监管部门已经对内部控制评价作出了规定,涉及评价的内容、评价标准的选择和评价主体以及评价报告的内容:并且逐渐认识到风险在内部控制评价中的重要性。但目前这些部门均是各自为政,相关规定虽然对内部控制的完善有推动作用,但作用范围受限,对于企业内部控制评价和评价信息的披露,亟待出台一套统一的、权威的规范。
二、我国企业内部控制评价的现状分析
(一)内部控制评价内容现状分析。
在过去很长一段时间里,内部控制评价更多的用处是为外部提供审计服务,所以主要是评价企业内部控制制度中与财务报告相关的可靠性、合规性、资产安全性、战略目标性等预期目标的实现。在实务操作中,内部控制评价更注重可靠性和规范性的要求,对其他则关注的较少。在时间方面,由于财务报表审计时间和审计技术的限制,评价也只是针对某一时点的内部控制发表意见,不能做到持续评价。内部控制目标应与战略目标一致,制度化的建立有利于提高企业经营的效率、价值的增加。内部控制评价的主要目标就是促成内部控制目标的实现,所以评价的范围也扩展到控制环境,而不仅是针对财务报告的控制。除了空间范围,时间范围上企业通过植入到系统中的软件程序,在经营过程中对企业实时进行评价,以此保证了企业经营效率、效果。
(二)内部控制评价方法现状分析。
从目前的研究来看,内部控制评价的思路主要有详细评价法和风险基础评价法两种。详细评价法通过内部控制框架与企业内部控制的情况一一对照,对五个内部控制要素逐一检查,评价内部控制的有效性,最终得到企业内部控制的评价结论。在我国的理论研究中,大都是基于这个原理来设计的,如前文中提到的较为先进的——模糊层次分析法。风险基础评价法通过调查了解内部环境,以风险为导向,对可能存在的风险进行识别,然后基于这些风险重点评价内部控制,最终得到企业内部控制的评价结论。
三、完善企业内部控制评价体系的建议
(一)确立合理的内部控制目标和评价理念。
内部控制目标是内部控制评价的出发点,要使其更加科学、合理,应当至少在以下两个方面作出努力:首先,充实内部控制目标的内涵。内部控制的目标应当将战略目标作为第一位,这样才能体现企业的职能。鉴于我国当前的市场环境,应当着重强调企业合法合规经营,因此合规性应该作为内部控制的第二层次目标,经营目标和报告目标则分列第三、第四层次。其次,构建基于全面风险管理的评价体系。企业在进行内部控制评价时,应当从战略的高度对整个内部控制体系进行评估,将评价和控制的目的落实在更加长远的利益上,从而达到对企业进行全面风险管理的目的。
(二)规范企业内部控制评价主体与监管机制。
根据内部控制评价的内涵,不妨对内部控制评价进行这样的解读:评价的责任方应当是董事会,董事会根据实际情况可将决策权赋予监事会,并由董事会下属的审计委员会对评价工作进行全程监督。监事会确立评价的总体思路,并将主要评价工作交由内部审计部门执行,由其牵头其他相关部门进行评价。值得注意的是,要保证内部控制评价工作的可靠性,就需要将内部控制活动中的所有参与者均作为评价主体执行评价工作,形成全面评价的良好氛围。为调动员工的积极性,可尝试将评价结果纳入员工绩效考评系统。
针对我国内部控制评价监管缺失的问题,我国相关部门可以在适当时机尝试确立内部控制评价的监管主体机构,并且出台相应的监管政策,明确监督机构对企业内部控制评价效率和效果进行监督和检查的职责。
(三)充分发挥内部控制评价和披露的双向推动作用。
内部控制评价信息的披露是内部控制评价主体对企业内部控制进行全面评价获得的评价结果,即对内部控制情况及其有效性作出判断,并将该结果以适当的载体进行揭示的行为,是内部控制评价结果的具体体现。对企业内部控制评价信息予以披露,既是信息提供者的价值取向要求,也是信息需求者的利益取向要求。事实上,对内部控制评价进行披露,不仅能够增进外部信息使用者对企业的了解,有利于化解信息不对称带来的不信任感,增强投资者的投资信心,而且能反向推动企业加强内部控制建设,改善经营管理,实现双赢。
参考文献:
[1]陈汉文,张宜霞。企业内部控制的有效性及其评价方法。审计研究,2008;3
企业内部控制评价 篇二
关键词:内部控制;民营企业;现状;改进建议
内部控制,作为一个专用名词和完整概念,直到本世纪30年代才被人们提出、认识和接受。几十年来,随着内部控制理论以及认识的不断发展,其概念的内涵和外延也都发生了较大变化。得到广泛认可和作为内部控制体系理论依据的是1992年美国COSO委员会的定义。该定义指出:内部控制是由企业董事会、经理阶层和其他员工实施的,为提高运营的效率效果、财务报告的可靠性,相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制实质上是企业在长期的经营实践中,随着对内加强管理,对外满足社会需要,而逐步产生并发展起来的自我检查、自我调整和自我制约的系统。
一、我国民营企业内部控制的现状分析
西方国家对上市公司内部控制的研究在经过漫长的发展后,已经形成了一套比较完整有效的内部控制系统,并始终指导着中国企业内部控制发展的方向。然而,由于国外没有民营企业这个概念,所以并没有纯粹针对民营企业的内部控制设计研究。民营企业对内部控制的认识还没达到成熟阶段,其发展初期的内外环境又是不规范的,内部控制的失灵直接导致企业缺乏竞争优势,阻碍企业长期发展。总体来说,我国大部分民营企业内部控制实施过程中还存在以下问题:
(一)企业内部控制环境薄弱
①民营企业创始人普遍直接参与公司经营管理,董事会成员大都由家族内部人员兼任,使得董事会不能发挥应有监督和控制作用。监事会职能的发挥受到重大限制,企业在处理“三重一大”问题上没有按照规定的程序实行集体决策审批或者联签制度。
(二)风险评估体系不健全、评估意识淡薄
①面对不同的风险因素,民营企业主要由少数高层人员根据以往经验商讨决定,而不是采用科学的方法评估风险发生的可能性,以及对风险进行分析和排序。当今民营企业面临着规模上重大轻小、嫌贫爱富的融资歧视,靠高利息的民间借贷已经带来了巨大的债务纠纷风险,而企业家没有与时俱进的风险控制思想和管理水平,只是根据他们的经验去实现企业的扩张政策,无法及时识别和规避风险,往往会因外部环境的剧变导致资金链断裂或资不抵债。
(三)控制活动执行不到位
不相容岗位分离控制形式化。由于民营企业人员流失率很高,企业为了节约成本,难以落实监管审核制度,一人多职的现象普遍发生,如出纳员负责会计处理的全过程,极易导致侵占资产和财务舞弊,营运分析控制能力不足。
(四)信息与沟通系统不完善
完善的信息与沟通系统是指企业人员在有限的时间范围内,能够履行各自的责任,识别、取得和报告经营、财务及法律遵守的相关咨询的有效系统。良好的系统能保证企业管理层做出正确的决策,提高运营效率,及时沟通传达信息使得员工明确职责。
(五)内部监督机制不健全
以中小企业为主的民营企业由于其规模小、业务少、权利集中等特点,忽视审计监督及预防功能,没有设置内部审计部门或设置的缺乏独立性,审计人员通常与会计人员交叉,缺乏必要的专业技能,只是简单的对会计账目查错纠弊,漠视对企业发展战略、组织结、经营活动、业务流程、关键岗位等重大变化的监督检查,各职能机构执行任务的效率低下,导致内部控制制度执行无效。
二、民营企业内部控制评价的必要性
民营企业是国民经济增长的动力,是就业的稳定器。随着企业内外部竞争日趋激烈,从战略布局、产业结构、人力资源、财务管理等方面完善内部控制评价已是民营企业管理层不能回避的问题。通过以上对民营企业内部控制现状的分析,可以看出民营企业发展初期内部控制制度还很不健全,随着市场经济的不断变化,很多企业内部管理、人员素质和文化理念已经跟不上企业的发展速度,内部控制的缺失直接导致企业失去竞争优势,影响企业扩大规模,阻碍企业实现长远发展规划。
基于我国内部控制评价的现状,有必要尽快构建民营企业内部控制评价体系。第一,规范、系统的内部控制评价体系有利于分析企业潜在的管理漏洞,指导企业该如何规避经营过程中潜在的控制风险,帮助企业降低运营成本。第二,规范、系统的内部控制评价体系有利于民营企业通过自身设立的监事会或者侧重不同控制点的审计委员会进行独立审计,既保证了内部控制评价的独立性,又提高了评价结果的可靠性。第三,规范、系统的内部控制评价体系有利于企业兼顾对内部会计控制和内部控制框架要素进行评价,使内部控制评价的内容更加全面,以更好地实现民营企业价值最大化目标。
三、民营企业内部控制改善的建议
(一)优化内部控制环境。内部控制环境是内控的基础,针对大多数民营企业内部控制现状,主要从以下方面进行改进:首先,民营企业应该根据现代管理制度形成合理的法人治理结构,企业的所有者、经营者,按照公司章程形成独立又相互牵制的治理结构;其次,企业管理层要建立良好的选人和用人制度,根据企业自身的特点针对不同层次的员工引进期权、红利、员工持股等方法以创新薪酬发放模式;最后,企业本身要建立自己的品牌,对管理层及业务环节人员开展内控培训,让内部风险防范成为高管的共识。
(二)健全风险评估体系,强化评估意识。企业要有效控制风险,就必须建立全面的风险评估体系,提高评估人员的专业技能,明确评估方法,对经营风险、财务风险、市场风险等进行持续监控;企业家不能盲目追求利润,应注重金融风险控制体系的建立,不断提升自身素质,并结合内外部环境的变化评估企业的债务风险,避免因债务纠纷导致的资金链断裂。
(三)加强内部控制活动的执行。内部控制活动在内部控制中处于特殊的位置,总是与企业目标相联系,是实现内控目标的关键要素,控制活动的执行可以提高企业的效益。控制活动要求企业确保管理层指令得以实施,管理者充分授权,倡导人性化管理,建立合理公平的绩效评价制度,调动员工的积极性;企业根据业务性质制定合理的财务管理制度、资金管理制度、采购管理制度、合同管理制度等,监督各环节的会计记录并及时核对,提高企业营运效率、降低营运成本。
(四)完善信息与沟通系统。信息的及时性特点要求企业建立信息反馈系统和ERP系统,利用互联网向供应商提供订单等实时信息,资产、财务管理等要实行流程表单化管理,确保各类风险隐患和内部控制缺陷得到妥善处理;保证内部信息及时处理,传导顺畅的同时,管理者也要与职业经理人及时沟通,掌握市场中原材料价格的波动、利息调整等外部信息,通过供应链管理使成本最小化。
企业内部控制评价 篇三
【关键词】内部控制;内部控制评价系统
内部控制的理论研究和实践研究都已经发展到了一定的程度。COSO在2004年9月的风险管理整合框架是内部控制理论研究的代表作,很多大型企业都在执行此框架的内容以此来规避风险。然而,这些企业,比如美国的雷曼、美林等,并没有因为执行了该框架而逃脱在金融危机中被收购或者破产的命运,这引起了人们对内部控制理论的质疑和新一轮的思考。很多学者认为,这些公司的内部控制之所以失效是因为公司治理存在缺陷而且内部控制评价标准的可操纵性较低、指导性较差。因此,对内部控制评价系统的研究有助于帮助企业发展并完善内部控制制度,从而提高企业的整个管理水平。
一、内部控制评价涵义、目的及作用
内部控制自我评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕《基本规范》提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《基本规范》及《应用指引》中的内容。在确定具体内容后,企业制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性,同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等。企业还应在评价工作中明确内部控制缺陷的认定准则。完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露。企业董事会应当对内部控制评价报告的真实性负责。
根据《评价指引》的要求,企业应当按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
企业进行内部控制评价的目的主要有三个:第一,进行内部控制评价可以找出企业内部控制的缺陷,通过整改环节的完善可以提高企业经营质量;第二,政府和监管部门可以通过科学合理的内部控制评价了解企业状况;第三,内部控制评价系统最终可以使投资者的权利得到保护。
内部控制评价系统的作用有:第一,内部控制评价有助于审计职能的充分发挥;第二,内部控制评价可以完善企业的内部管理,提高经营质量,提高企业竞争力;第三,企业进行内部控制评价并向外提供评价报告可以帮助外部信息使用者进行有效决策。
二、内部控制评价系统的构建原则
根据《评价指引》的要求,内部控制评价系统的构建应当遵循一定的原则。
(1)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。每个企业都面临着千变万化的外部环境和内部环境,这也就造成企业时时刻刻都在面对无处不在、无时不有的风险,而内部控制则可以在一定程度上控制风险。因此,内部控制评价系统就要发挥其作用,客观的反映企业内部控制的设计是否具有科学性和有效性以及整个企业对内部控制制度的执行程度。
(2)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。《基本规范》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由于内部控制贯穿企业决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,所以内部控制评价也应当具有全面性,这样才能找出内部控制设计和执行中存在的不足,进而完善企业的内部控制制度,提高经营质量。
(3)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。内部控制评价系统是内部控制循环过程中重要的一环,从动态角度看,在设计并执行了内部控制制度后,企业需要对此制度进行评价才能判断其有效性和合理性,才能发现此制度的缺陷并进入到下一环节即整改环节。企业的各项任务和事项总有轻重缓急之分,而企业的资源是有限的,因此内部控制评价系统应在全面评价的基础上抓住主要矛盾,集中力量解决矛盾的主要方面,重点关注企业的高风险领域。在企业运行的某些环节上如果控制不佳则很容易出现问题,这些关键的控制点是企业内部控制能否有效发挥作用的重中之重,所以企业应当遵循重要性原则,对这些关键控制点进行重点评价。
综上所述,客观性原则、全面性原则和重要性原则是企业内部控制评价系统科学合理的保证,企业应遵循以上原则构建该系统。
三、构建内部控制评价系统的框架
整体框架和逻辑框架是企业构建科学合理的内部控制评价系统必须要明确的问题。整体框架所解决的问题是内部控制评价系统由哪些内容构成;逻辑框架则着重说明企业内部控制评价的切入点也就是评价的角度问题,即从哪些方面来进行评价。解决好整体框架和逻辑框架的问题,才能构建出科学、合理的内部控制评价体系。
(1)整体框架
评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告是一个有效的、科学的、合理的内部控制评价体系应当具备的七个要素,这七个相互依存、相互支撑的要素之间具有内在联系性和整体目的性且他们之间是密不可分的关系,这些都构成了内部控制评价体系这一综合体。
合理、科学的内部控制评价可以有效反映企业的内部控制情况,企业在确立了七要素中的评价指标和评价标准后,通过合理有效的评价方法可以得到一个衡量企业内部控制有效性的量化指标,此指标可以作为评价内部控制的一个最终结果,我们称之为评价指数。由以上的分析可以看出,评价指标并不独立存在于构成内部控制评价体系的七要素中,它的得出有赖于七要素中的评价指标、评价标准和评价方法的确定。但是这并不能说明评价指数在构建内部控制评价体系的过程中不重要,相反,它的作用是极为重要的。首先,评价指数作为评价内部控制的最终结果经过比较和分析形成七要素中的评价报告。其次,在集团内部,经过比较和分析各子公司的评价指数可以判断其内部控制的水平和执行程度,进而发现内部控制存在的问题,改善内部控制制度改善评价体系,从而提升各子公司的经营质量,最后使整个集团的管理水平提高。最后,评价指标还可以为政府、市场监管者和其他利益相关者提供依据,因为评价指数是企业内部控制水平的一个量化指标,所以不同企业、不同行业之间可以由此进行比较,从而使利益相关者更加了解情况。
(2)逻辑框架
我国学者对内部控制逻辑框架的理论研究和实践研究大多从内部控制五要素这一逻辑角度出发,也有少数学者构建了新的逻辑角度,比如引入了ERM框架。韩传模、汪士果两位学者分别从控制目标、风险要素、流程控制等多角度,引入层次分析法,建立递阶层次模型对内部控制进行了评价。根据本文对内部控制评价体系的分析,本人认为我国大部分学者从内部控制五要素这一逻辑出发是一种合理的逻辑框架选择。一方面,内部控制五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督,COSO框架将这五大方面作为内部控制的要素有着很强的科学性和逻辑性。它们之间是相互依存相互牵制紧密联系的,它们共同构成一个企业的内部控制制度。另一方面,《基本规范》和配套指引归纳了企业内部控制的五要素,这使得从五要素出发的逻辑框架更容易被大众接受、实施和推广。
参考文献:
[1]陈汉文,张宜霞。企业内部控制的有效性及其评价方法[J].审计研究,2008(3):48-54.
[2]刘玉廷。《企业内部控制基本规范》导读[J].会计研究,2010(5):3-16.
[3]王素莲。企业内部控制评价指标体系研究[J].山西大学学报2005(11):10-14.
[4]张先治。内部管理控制论[M].北京:中国财政经济出版社,2004.
[5]朱荣恩,应唯,袁敏。美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(8):
48-53.
[6]池国华。基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10)58-65.
[7]谢志华。内部控制:本质与结构[J].会计研究,2009(12):70-75.
企业内部控制评价 篇四
关键词:内部控制评价;实施现状;上市公司
中图分类号:D9
文献标识码:A
doi:10.19311/ki.16723198.2017.14.058
为了促进我国企业内部控制建设,2006年6月和9月,上海和深圳证券交易所分别颁布了《上市公司内部控制指引》。2008年5月,五部委联合颁布了具有“中国版SOX法案”之称的企业基本规范。在财政部和其他四部门的共同努力下,2010年4月26日,配套指引开始实施,其主要体现在三大方面:企业内部控制应用指引、评价指引及审计指引。这些规范和配套指引的实施,说明我国企业内部控制已初步建立。为进一步加强上市公司的内部控制体系建设,五部委做出规定:2011年初,开始在境内外上市的公司展开行动,到2012年初,实行范围进一步扩大,包括上海证券交易所和深圳证券交易所主板上市的公司;在此基础上,可以考虑在中小板和创业板上市公司施行;另外,也可以选择在非上市大中型企业执行。
同时根据证监会2011年31号文的要求,试点开展内部控制建设工作的上市公司,都必须按要求制订“内部控制实施工作方案”,工作方案是指导该公司对内控进行评价的具有操作性的文件,体现了该公司对评价指引和解读及其相关规定的理解程度,该公司将会据此展开内部控制评价工作。那么,工作方案就可以在一定程度上反映出评价指引的实施状况。
1 《企业内部控制评价指引》实施要求分析
我国上市公司应当遵守以上相关文件指引作为自我评价依据,进一步规范其评价工作之外,对于内部控制评价原则,2010年财政部在评价指引的解读中指出:内部控制评价的原则是开展评价工作不可或缺的一个标准,是为了更好地指导并约束企业实施内控评价工作,但其与内控的原则是不一样的。我国评价指引指出评价工作应遵循全面性、重要性及客观性原则;关于内部控制评价主体,进行评价工作前不仅要明确说明哪个层次的管理机构对报告的真实性负责,也要明确各评价主体的相互关系,明确其各项职能范围;关于内部控制评价方法,当然其评价方法需综合运用评价指引及相关文件规定的,不能丢弃指引的硬性要求而南辕北辙,应根据需要采取如个别访谈、穿行测试、比较分析等方法,去充分收集能够实施内控评价的证据,根据所搜集的事实材料去评价工作底稿,将内部控制缺陷找出来并改正;事实上,企业内控自我评价范围有公司层面和业务层面两部分。在传统意义上,内部控制评价人员往往只倾向业务层面,这样就形成了一种片面思考的方式,这些忽略的部分,容易成为影响组织成功的关键性因素。
关于内部控制评价内容,在评价内控五要素这几个大的维度时,要结合财政部评价指引解读中对其评价内容具体核心指标的规定,要有重点和方向地去评价。也要注意对监事会等权力机构是否发挥其监督作用,要对其监督的有效性和合理性进行评价和认定。评价工作还应该形成一个文件,即设计科学合理的评价工作底稿,其要对评价工作的内容进行有效记录,内容包括评价要素、关键风险点、实施的措施、相关资料和最终的认定结果等;关于内部控制评价程序,从准备阶段开始做好相关准备工作、认真实施、然后在其基础上进行汇总评价,最后才进入报告反馈和跟踪阶段,企业应当按照指引规定的程序有序开展内部控制评价工作;关于内部控制评价缺陷认定,我国上市公司监管部颁布的31号文指出,内部控制缺陷的评价标准分为两类:定性和定量标准。而缺陷则分为三类:一般、重要和重大缺陷。确认之后要评价内控缺陷,汇总所有的缺陷评价将其列入总表中,并对发现的缺陷提出改进建议,然后形成一个整改任务单。评价指引中指出内部控制缺陷包括设计和运行两大缺陷。财政部评价指引解读指出,按照形成主体、报送的对象和时期,内部控制评价报告分为对外和对内两种报告。同时还介绍了内部控制评价报告的内容和格式、编制和报送、披露和使用等内容。
2 内部控制评价工作方案存在的问题
首先,内部控制评价意愿的不足,部分公司评价工作方案在评价内容、程序、缺陷认定及评价报告上都没有合理遵循评价指引等文件规定,由于内部控制在我国起步相对稍晚,所以还未全面为企业所接受并熟知,大多企业没有认识到内控对企业的积极意义,进而企业也很少主动去进行自我评价。同时有些公司会担心披露评价缺陷或风险,会对企业商誉带来不利。再加上管理层的认知及重视程度不同,管理层的态度直接影响着内部控制环境;其次,内控评价成本制约及其自身能力的不足,如果上市公司实行内控评价工作所花费各项成本能会给公司带来更多的相关经济利益,那么企业则更愿意主动来披露内部控制信息;反之亦然。此外,企业的内控是一套较复杂而又完整的体系,几乎涉及了企业日常经营、管理活动的方方面面,其评价工作要想详细科学合理开展起来也很不易。这个过程不仅要求企业拥有先进管理技术,同时也要求企业具备高水平的内部审计人员,所以不具备健全瓤靥逑档墓司很难合规遵循评价指引的规定;再次,评价指引缺乏内控评价缺陷认定的具体强制标准,导致部分公司忽视缺陷认定的重要性,甚至选择相对对自己有利的来评价披露内部控制的情况,规避一些不利因素;最后,缺乏对内控评价的相关监管,监管机构虽然对上市公司董事会在年度报告中披露内部控制有关信息进行了强行规定,但是由于起步晚环境不宽松等因素,我国证券市场监管体系不那么顺畅,监管方式未能够完全摆脱传统的行政方式的影响,可想而知监管机构的职能作用将得不到很好地发挥。
3 政策建议
上文先结合评价指引的实施要求和实施现状况进行分析,然后通过对我国上市公司内控评价工作方案对评价指引的遵循状况进行统计研究后,根据相关的研究结果和现状提出了以下建议以供参考。
3.1 强化内部控制及其评价意识
首先,强化内控文化建设的重要性,不仅要深入领导层,更要深入到每个员工的心里。同时也要对员工进行培训,让其认识到内部控制及其评价的重要性,促使其从思想层面开始转变,进而积极配合审计人员的工作,这将对实施科学的内控工作将减少很大的阻力。其次,明确划分评价工作组内每个成员的职责,以促进评价工作的顺利开展,同时也要加强对公司管理者和员工的专业培训,提升其专业知识水平,以满足工作需要。最后,强调公司潜在的风险性,以风险为导向贯穿内控实施工作的整个流程。内部控制评价是要考察内部控制对控制目标合理保证作用的发挥情况,所以若能让各个公司主动地、积极地在企业内部实施内部控制自我评价、强化企业风险管理意识,那将有利于公司长期健康发展,所以一定要积极营造一个正直诚信的内部控制环境。
3.2 细化缺陷认定标准
由于目前的相关指引中没有对各种缺陷的相关认定标准给出具体规定,而是由企业根据缺陷的定义并结合自身情况去自行确定,这在一定程度上使企业认定内控缺陷的难度增加,甚至可能导致某些重大缺陷无法被合理认定和及时披露。同样也给企业带来很大的判断空间,这样的规定将会可能导致使部分企业随意掩盖缺陷,使其内控存在很大风险。所以鉴于企业内部控制缺陷界定模糊及混乱的现状,相关政策制定部门更应当进一步明确划分每种缺陷类型的衡量标准,以在一定程度防止因为标准模糊而将相关重大缺陷划分为成重要缺陷甚至一般缺陷的现状出现。
3.3 健全内部控制自我评价监督机制
考虑到以上状况,首先,企业要积极营建一个守法、公平、正直的内部环境,健全内部审计机构的设置。其次,要保证内审部门的独立性,增强监管力度。再次,合理分配监事会职能,保证其监事会与董事、管理层之间具有必要的独立性,这样可以更好地发挥其监督职能。最后,适当借助外部咨询机构的力量,提升内控建设和评价的专业性,也为其有效运行提供合理保证。同时也考虑到一些企业的自身能力可能存在一定的不足,那么其可以将业务适量外包,聘请会计师事务所来评价,以加强与注册会计师的沟通。
3.4 加强外界对上市公司的全方位监管
可以知道,国家监管部门也对上市公司的内部控制评价体系进行了关注,主要目的也是为了保证其内部控制的顺利实行。因此,完善内控建设,一方面,加强培训,尤其是法律法规相关的,相关监管部门对上市公司进行业务培训,从而提高其建立健全评价内控工作的能力。另一方面,加强信息披露监管,时刻监督上市公司按照基本规范的指引,按时进行公布内控自我评价报告,从而达到信息公开化,体现披露的作用。
参考文献
[1]上海证券交易所。上海证券交易所上市公司内部控制指引[Z].2006,(6).
[2]财政部等五部委。企业内部控制基本规范[Z].2008,(6).
[3]深圳证券交易所。深圳证券交易所上市公司内部控制指引[Z].2006,(9).
[4]财政部等五部委。企业内部控制评价指引[Z].2010,(4).
[5]南京大学会计与财务研究院课题组。论中国企业内部控制评价制度的现实模式――基于112个企业案例的研究[J].会计研究,2010,(6):5261.
企业内部控制评价 篇五
关键词:国有企业 内部控制 评价
内部控制评价,是企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。国有企业肩负着振兴民族经济、参与国际竞争的重任,在国有企业实施内部控制评价,有利于企业加快完善内部控制体系,提高管理水平;有利于企业全面提升风险防范能力,增强国际竞争力。
一、国有企业内部控制评价的目的
(一)完善内部控制体系
通过内部控制评价查找内部控制缺陷,促进企业及时堵塞管理漏洞,防范各种风险,健全优化管控制度,使企业内控体系不断完善。
(二)提升市场形象和公众认可度
通过内部控制评价披露企业内部控制设计与运行情况,有利于树立诚信、透明的企业形象,增强公众的信任度、认可度,促进企业长远可持续发展。
(三)实现与政府监管的协调互动
通过内部控制评价排查管控风险,在政府监管中赢得主动,并借助政府监管成果进一步改进企业内控工作,实现与政府监管的协调互动。
二、国有企业内部控制评价的内容和重点
(一)内部控制评价的内容
内部控制评价主要分为企业层面内部控制评价和流程层面内部控制评价两个方面进行
1、企业层面内部控制评价
企业层面控制是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业层面控制是内控梳理工作的起点,是业务流程控制的基础。企业层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。测试企业层面控制应当重点关注:与内部环境有关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。
2、流程层面内部控制评价
流程层面控制是指企业在实际业务操作中,综合运用各种控制手段和方法,针对具体业务和事项实施的控制。流程层面控制评价的基础是流程,从主要风险出发,按照重要性的原则,根据流程中的具体风险、管理重点和责任主体,进行内部控制的自我检查和评价。企业应结合公司风险评价结果,由内控评价主责部门确定内控评价所需涉及的业务流程。
(二)内部控制评价的重点
1、流程和制度设计的有效性
主要检查内部控制是否涵盖了企业经营管理中需关注的重点问题及重点风险;是否明确了各项经营活动的管理要求;风险控制措施是否能有效降低和控制经营管理中的风险;各控制点、控制标准、各个岗位间的职责分工是否明确。
2、流程和制度运行的有效性
主要检查各项经营活动是否按已制定的流程文档规范执行;是否保留了完整和可靠的文档记录。在验证业务控制流程设计和执行的一致性时,从业务发生开始,抽取一定数量的样本,通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评,验证业务控制流程设计和执行是否一致。
三、国有企业内部控制评价的工作流程
国有企业内部控制评价工作流程分为内控评价启动和准备、内控评价实施、内控缺陷认定及整改和评价报告编制四个阶段。
(一)内控评价启动和准备阶段
1、编制内控评价工作方案
评价主责部门依据相关法律法规、监管要求及内部控制评价工作总体安排,制定企业内控评价工作方案,明确内控评价工作的目标、方法、机构、人员组织、时间安排、内控评价工作所关注的重点测试领域,经董事会审议通过后实施。
2、确定内控评价工作机构
根据内控评价的要求,确定内部控制评价工作组,具体组织开展本单位内部控制评价工作。评价机构的组成和人员数量、结构,应结合业务内容、工作量、人员水平和独立性等因素考虑。评价工作组成员至少应包括主要业务管理部门人员。
(二)内控评价实施阶段
1、召开内控评价工作会,进行宣传、动员,对开展内控评价做出部署,提出要求。
2、依据企业所处的经营环境及面临的主要管控问题,识别和评估业务和管理流程中的风险事项,确定企业的主要管理问题和风险管控重点。
3、选择适当的评价方法进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,对发现的内部控制缺陷进行初步认定。
(三)内控缺陷的认定及整改阶段
内控缺陷是指某个控制的设计或运行使管理层或企业员工在日常工作中不能及时预防或者查找错误,从而导致对业务的控制失效或部分失效的行为。内控缺陷按照规定的权限和程序进行审核后予以最终认定,并提出整改建议。存在缺陷的部门要制定切实可行的整改方案,及时整改,将风险控制在可承受度内。
(四)评价报告的编制阶段
企业根据年度内部控制评价结果,针对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,编制内部控制评价报告。对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性等相关内容做出披露,提交董事会审议通过后对外报送。
五、国有企业内部控制评价应关注的问题
(一)关注内部控制失效的问题
企业因人为判断、串通舞弊、越权管理、执行不力、权衡成本与效益等可能导致内部控制失效。由于内部控制存在上述固有局限,在进行内部控制评价时,应当立足于“合理保证”的概念,不应不切实际期望内部控制能够绝对保证内部控制目标的实现。
(二)关注内部控制评价人员素质问题
内部控制贯穿决策、执行和监督的全过程,对评价人员素质有严格的要求。企业应根据自身条件,建立长效内部控制评价培训机制,提高评价人员专业知识和业务能力,保证评价工作质量。
参考文献:
[1]财政部等五部委。企业内部控制基本规范[M].中国财政经济出版社,2009
企业内部控制评价 篇六
【摘要】企业内部控制评价的标准通常是一个框架体系,它必须满足一定的条件。而英美的企业内部控制标准基本上形成了一定的层次,但二者又不尽相同,各有特色。笔者在借鉴其成功经验的基础上,提出对其总体设计的思路。
一、企业内部控制评价标准的性质与内容
(一)企业内部控制评价的目标
简单地讲,企业内部控制评价的目标就是评价企业内部控制的有效性。而内部控制的有效性从根本上来讲是要根据内部控制目标的实现来判定的。而内部控制的有效性又具有时点性、互补性和完整性等特征。
(二)企业内部控制评价标准的性质和内容
内部控制的有效性,要从其目标的实现情况进行界定。鉴于内部控制目标实现程度的局限性,对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况,而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此,企业内部控制评价标准要解决的问题就是:什么样的内部控制才是有效的内部控制?如果把评价方法也包括在内的话,还要包括如何评价的问题,即评价的方法。当前,对这一问题的解决方法是设计内部控制的一个框架体系,即首先确定内部控制的范围和目标,然后确定一个有效内部控制应当具备的要素,如COSO的《内部控制――整合框架》、Turnbull指南等都是这样一个基本的思路。因此,在制定一个特定背景(如国家)下的内部控制标准时,必然面临的问题是要确定:企业内部控制的范畴与目标;内部控制应当包含的要素;这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题,从而也就引发出另一个问题:什么样的评价标准才是适当的。
(三)内部控制评价标准的适当性
一个适当的内部控制评价标准至少应当满足以下条件:
1.相关性。与所要评价的内部控制的目标相关。
2.没有偏见。制定过程遵循了透明的程序并保持更新。
3.一致性。可以适当一致地、定性和定量地衡量公司的内部控制,在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。
4.可验证性。有适当的评价轨迹,没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程。
5.充分完整。没有忽略会改变公司内部控制有效性结论的相关要素。
按照这些条件,COSO内部控制框架、企业风险管理框架和Turnbull指南都是适当的内部控制框架或评价标准。
(四)企业内部控制评价标准的体系和分类
由于不同规模企业的内部控制差别较大,所以,评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制标准。
从内部控制评价的整个过程来看,不但要明确什么样的内部控制是有效的内部控制,还要明确如何有效地评价内部控制的有效性。因此,评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。
从内部控制涵盖的范围来看,针对范围大小不同的内部控制,可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。
二、美英企业内部控制评价标准的体系及特点
(一)美国上市公司的内部控制评价标准体系
尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准,而是规定了评价标准适当与否的条件,但指出COSO的内部控制框架为适当的标准,PCAOB也以此制定审计准则,从总体上来看,形成了一个层次清晰的体系。
1.评价标准。根据适用企业的规模与内部控制的内容分为:
(1)COSO《内部控制――整合框架》:适用于一般企业,涉及经营、财务报告和合规三类目标。它由COSO,包括5个要素,得到了公司管理层、审计师的认可和广泛应用,也得到了SEC和PCAOB的认可,适用于一般上市公司。它提供了一个识别内部控制要素和目标的整合框架和评价有效性的标准,但没有对评价过程中必须遵循的步骤提出详细的指南。
(2)COSO《财务报告内部控制――小规模公众公司指引》:适用于小规模企业,涉及财务报告的可靠性一类目标。它由COSO,主要基于内部控制评价的成本效益性考虑,适用于小规模企业财务报告内部控制的评估,它有与《内部控制――整合框架》相一致的原则和特征,内部控制框架不变。目的是应对财务报告目标的唯一需求,但许多原则和特征适用于所有三类控制目标。主要内容包括5个要素,20条原则和79个属性。
(3)COSO《企业风险管理――整合框架》:适用于一般企业,涉及战略、经营、财务报告和合规四类目标。它由COSO,包括八个要素,在范围上风险管理包括内部控制;在构成上,以“内部环境”取代“控制环境”,体现风险管理的理念,拓展风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。
2.评价实施标准,用来规范、指导如何评价和审计内部控制,它包括:
(1)COSO《内部控制――整合框架》中的内部控制要素评估工具。COSO在《内部控制――整合框架》的同时的内容,它对于内部控制的评价具有一定的指导作用。
(2)SEC的管理层评价内部控制的解释性指南。SEC指出,上市公司的管理层按照这一指南实施的内部控制评价能满足SEC相关规则的要求,因此,它应当是半强制性的。
(3)PCAOB的内部控制审计准则。PCAOB的内部控制审计准则是注册会计师在审计上市公司的内部控制时必须遵守的规则,它是强制性的。
(二)英国上市公司内部控制评价的标准
英国上市公司内部控制评价的标准具有高度的原则性和市场导向,没有提出非常具体的要求,只有一个Turnbull指南对内部控制评价标准进行了原则性规定,但包含了许多规制方面的内容。Turnbull指南具有以下特点:
1.既要帮助公司遵守《联合规则》有关内部控制的要求,又要反映优良的业务实践,不限制公司以适合其特定情况的方式应用指南的能力。
2.涵盖所有内部控制,而不仅仅是财务方面的。
3.高层次和原则导向,使用风险基础方法。
4.指出有效内部系统的构成要素包括:控制活动;信息与沟通过程;监督内部控制系统持续有效性的过程。
5.只给出一些在控制风险时应当考虑的原则,并没有规定应该实施哪些步骤和程序。一方面,这些原则很难变成直接的行动指南,可操作性不强;另一方面,采用原则的形式使之具有充分的弹性,公司可以根据变化的业务环境对这些原则进行取舍,以实施、强化和整合其风险控制战略。
6.不要求董事会对内部控制的有效性做出对外报告。
7.不要求外部审计师审计内部控制。
8.“遵守或解释”原则,可以不遵守相关要求,只需说明原因。
COSO内部控制框架与Turnbull指南的比较如下表所示:
三、我国企业内部控制评价标准体系的设计
(一)我国企业内部控制评价标准的总体设计思路
基于上述理论分析和比较研究,我国企业内部控制评价标准的总体设计思路应当是:
1.将内部控制定位于广义的内部控制。选择战略、经营、报告和合规的四目标模式,以保证广泛的适用性、企业管理的实用性与内部控制发展的前瞻性。
2.从企业经营管理的实际出发,以最佳实践为基础,充分满足企业战略管理和经营管理的需要,提高其对企业的价值,避免仅仅成为一种法规的遵循。
3.应当考虑规模不同企业内部控制的差异,优化标准的可伸缩性,以提高效率和成本效益。
4.原则基础。为了保证标准的适用性以及允许企业有充分的灵活性,无论是评价标准还是评价实施指南都应当是原则性的。
5.建立完整的内部控制标准体系。从大的方面可以分为内部控制评价的标准和内部控制评价(审计)实施的标准。
(二)我国企业内部控制评价标准体系的设计
我国企业内部控制评价标准体系总体上包括两个组成部分:内部控制评价的标准和内部控制评价(审计)实施的指南。
1.内部控制评价的标准
我国企业内部控制评价的标准应当包括:
(1)《企业内部控制基本规范》,将其作为内部控制评价的一般标准,适用于上市公司及大型企业。
(2)《小企业内部控制基本规范》,将其作为适用于中小型企业内部控制评价的一般标准,可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。
2.内部控制评价(审计)实施的标准
我国企业内部控制评价(审计)实施的标准应当包括:
(1)《企业内部控制评价规范》。将其作为企业管理层评价内部控制的实施指南,对内部控制评价的基本方法和程序进行指导。
(2)《中国注册会计师审计准则第X号――内部控制审计》,用来规范和指导注册会计师对内部控制的审计。
总之,我国应当在借鉴美、英等国上市公司内部控制规制的成功经验、吸取相关教训的基础上确定自己的总体设计思路,制定和形成广义的、基于最佳实践的、原则基础的、完整的企业内部控制评价标准体系。
如何加强企业内部控制评价 篇七
关键词:内部控制评价 内部控制评价指引 内部控制评价报告
内部控制是企业现代化管理的必然要求。伴随着全球经济的不断发展,现代化企业管理理论的不断进步,世界各国企业将关注的焦点对准了内部控制,进一步关注的还有内部控制评价。我国新颁布的《企业内部控制评价指引》(以下简称“评价指引”)对企业合理保证内部控制的有效性提出自我完善、自我评价的实施依据,使企业有的放矢。我国大多数企业已经认识到有效的内部控制是提高经营管理水平和防范风险的保障,而要合理保证内部控制的有效性,内部控制评价将起到关键的作用。
一、内部控制评价的概念及作用
按照《企业内部控制基本规范》规定企业应当结合内部监督情况,定期开展内部控制评价。所谓企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。在企业风险管理中全面、客观的内部控制评价将发挥重要作用。
(一)有助于企业完善内部控制体系
内部控制评价是对企业现行的内部控制设计和执行情况的有效性进行检查,发现建立和运行中的问题,提请管理层重视和改进,需要将此过程反复执行,持续的自我完善内部控制的过程。企业只有通过不断的自我评价,才能根据企业实际情况和发展战略调整、改进内部控制,建立适应企业需要的内部控制体系,真正实现对经营风险的防范。
(二)有助于提高企业信息质量
企业要想实现可持续发展,必须取得企业的利益相关者的信任和认可,企业对外披露的内控评价报告中将反映其内部控制状况,风险管理水平,企业发展战略和经营目标等情况。这些都将展现出企业诚实、高效、负责任的企业形象,是社会公众深入了解企业的重要途径。所以内部控制评价可提升社会公众对披露信息质量的信任和对企业经营管理的认可。
(三)有助于建立内部控制要素和配合外部监管部门
内部控制评价过程将涉及企业各个生产环节和各职能部门,这样可以逐渐深化每个员工对内部控制认识和理解,逐步形成良好的内部环境,建立健全企业内部控制各要素。同时,对企业内部控制进行评价的还有会计师事务所和政府监管部门等外部机构,他们将对企业内部控制进行更为严格和专项的监督检查并向社会公布检查结果,企业应将外部评价与自我评价相配合,更好的发挥他们的协同作用。
二、内部控制评价指引带来的挑战
根据内部控制评价指引的要求,企业在管理过程中,为有效降低营运中的各种风险,应从企业实际情况出发,对企业遵循相关法律法规目标、资产安全完整目标、信息真实可靠目标、经营管理的效率和效果目标、发展战略和企业价值实现目标进行自我评价。[3]只有有效的内部控制评价才能发挥其应有的作用,对于大多数企业而言,面临内部控制评价这一新的工作,都将是一项艰巨的挑战,具体表现在如下几方面:
(一)内部控制评价的内容和范围广泛
企业进行内部控制评价主要从内部控制要素入手,包括企业内部结构和政策环境、经营活动中各种风险的识别与应对、采取的各项控制措施、信息系统与沟通制度、内部的日常和专项监督等内容;通常还要满足企业自己经营特色和管理要求制定具体的评价内容和建立有效的核心评价指标体系。从而可以看出,评价的内容和范围十分广泛,基本囊括企业的方方面面,对于企业来说将会遇到很多困难。
(二)内部控制评价的程序和方法接近专业审计的标准
评价指引中规定内部控制评价的程序要求企业设置内部控制评价部门,制定评价工作方案,组成评价工作组,实施现场测试,汇总评价结果和编制评价报告,审定后的评价报告还需向社会公众披露。采用的内部控制评价方法在评价指引中规定了七种,这些程序和方法与专业审计有很多相似之处,都需要企业相关评价人员认真的学习和在实践中反复的应用才能有效的实施,这些都对于企业内部评价人员提出了新的要求。
(三)内部控制缺陷的认定难度高
内部控制评价人员在检查过程中,对发现的内部控制缺陷要进行认定,通过综合分析内部控制缺陷的成因、表现形式及重要程度,结合企业实际情况将内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷。缺陷认定的划分是评价工作中非常重要的内容,将决定内部控制评价的效果。但是,由于缺陷认定工作现在还缺少相关制度和操作规范的指导,其判定对评价人员有很高的难度。
(四)内部控制评价报告应与外部评价相符合
内部控制评价完成后,企业要根据评价结果出具内部控制评价报告并对外报出,同时,根据国家相关规定,企业还应当接受会计师事务所对内部控制的审计和政府有关部门对内部控制的专项监督和检查,他们将出具内部控制审计报告和内部控制专项评价意见。如果企业的评价人员在自我评价的过程中没有发现审计和监管部门提出的重大内部控制缺陷,未能在评价报告中反映,将面临很大的压力。
三、应对挑战的措施
虽然企业将面临评价指引要求的各种挑战,但是只要企业持有正确的态度采用科学的方法来积极应对,将使内部控制评价工作按照评价指引的要求保证质量的完成,实现对企业内部控制有效性的评价,进而保证内部控制目标的实现。企业应该开展对评价指引的深入学习并充分考虑自身特点的前提下,对战胜困难和挑战采取如下措施:
(一)全面而细致的开展内部控制评价
首先,明确内部控制评价的对象:内部控制的有效性,即指企业建立和实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其次,在开展内部控制评价时应遵守全面性原则、重要性原则和客观性原则,评价人员应客观的认识企业整个生产程序和管理过程的内部控制情况,以风险发生可能性的大小及对内控目标的影响程度确定需要重点关注的领域,制定评价核心指标。最后,评价部门应该确定评价工作的具体内容、制定评价工作方案,指导和监督评价工作组执行评价程序、采用有效的评价方法,确保能够取得足够、适当的证据证明内部控制有效性,得出评价结论,编制评价报告并采取相应的报送程序。同时,还要注意保管评价工作形成的访谈录、调查问卷、盘点表等工作底稿和相关资料,以便与下期工作相衔接。
企业内部控制评价 篇八
(一)评价目标不明确 《企业内部控制评价指引(征求意见稿)》第四条“企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”但是我国大多数企业没有把内部控制评价作为内部控制的有机组成部分,内部控制评价制度的建立和执行只是流于形式,没能真正通过内部控制评价来改善经营管理水平,再加上各企业的评价主体定位层次不齐,评价目标不明确,导致在实践中弱化内部控制评价,搞形式主义。
(二)评价主体不明确从实践来看,仅仅通过注册会计师定期地对公司财务报告内部控制进行外部评价,已经不能满足上市公司内部管理和战略目标实现的要求,不能对上市公司内部控制报告的有效性进行全面评价。现代企业愈加重视企业的内部评价。但我国上市公司董事会中,有相当一部分没有正式的审计委员会,很多上市公司中虽也设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。据德勤2009年的内部控制调查报告显示,约64.71%的企业由内部审计部门牵头,对企业的内部控制有效性进行评价,由财务部门、董事会办公室或其他部门牵头的企业均为11.76%。因此,上市公司必须明确内部控制评价的主体定位问题。
(三)评价方式过于简单目前的内部控制评价主要是依靠内部控制调查表、内部控制流程图和叙述法等基于主观的定性评价方法,致使内部控制评价的效率较低,效果较差。有些上市公司虽然也借鉴了一些西方国家的内部控制评价方法,但执行效果较差。虽然《企业内部控制评价指引》第四条也指出“企业应当结合内部控制设计与运行的实际情况,制订具体的内部控制评价方法”,但是对企业具体采取何种措施并没有做出清晰的界定,这也使企业在内部控制评价工作中缺乏统一的形式和标准的指导。
(四)披露不充分 企业内部控制有效性的最终评价结果如何,内部控制评价能否最终发挥其作用,需要借助于声誉机制的作用,通过内部控制评价结果的披露促使内部控制的改善。随着资本市场的发展,对上市公司内部控制评价结果的披露要求越来越高。就我国目前的情况看,尚没有强制要求所有上市公司披露内部控制信息,也没有统一的披露格式和要求,导致自愿披露其内部控制信息的上市公司比例较低,即使披露了,也比较简单。
二、企业内部控制评价体系完善措施
(一)明确评价目标 内部控制目标的实质是帮助企业实现企业价值最大化目标,减少经营过程中的风险。事实上,内部控制评价目标与内部控制目标是一致的。因为内部控制评价的最终目的是实现内部控制系统的有效性,完善内部控制,使其充分发挥作用,从这一层面上理解,内部控制评价是内部控制的再控制,其最终目的就是为了实现内部控制目标。在具体执行内部控制评价的过程中,评价者普遍关注的是报告的可靠性和企业的合规性。COSO委员会在ERM框架中充分考虑到了上述现象,对内控目标的界定打破了以往的内控规范。企业也日益认识到构建内部控制体系的目标不单纯是为了满足监管部门对于信息提供和披露方面的需求,更重要的是内控制度有助于企业战略目标以及经营目标的实现。
总体而言,在上市公司内部,内部控制评价的目标,是为了审查公司为达到经营效果和效率所付出努力的有效性,以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部的内部控制评价目标一般侧重于报告目标和合规目标的实现,在管理咨询内部控制评价中还会关注经营目标的实现。而内部的内部控制评价目标主要侧重于企业战略目标和经营目标的实现程度,但也关注合法合规目标的实现,如图1所示。
(二)理清评价主体企业内部控制评价系统的主体是指谁对客体进行评价。从内部控制评价的产生及发展来看,它是为解决经济活动过程中存在的委托―矛盾而建立的。在单一外部评价主体时期,对内部控制进行评价的主体是注册会计师,其对内部控制评价的目的是为确定审计中实质性测试的范围和程度提供依据。但内部控制评价应是企业全体员工共同参与的管理工作(如内部控制的自我评估),特别是高层管理人员却必须及时、全面地了解所分管业务甚至企业整体的内部控制水平,这种评估要以正式或非正式的方式经常进行。因此,在内外部多元评价主体时期,企业内部控制的评价活动也要从利益相关者的需求出发,对企业的战略活动、经营管理活动以及企业各项活动的合法合规性进行评价。
综上所述,本文所研究的是上市公司的内部控制评价主体问题是基于利益相关者的角度,因此上市公司内部控制的内部评价主体应界定为内部控制管理机构,即监事会、审计委员会和公司内部审计部门,其职责都是对内部控制进行不同程度的再控制;企业在日常的运营过程中也应开展内部控制的自我评估(CSA)活动;同时内部控制评价的外部主体主要包括注册会计师、政府部门和其他监管机构等利益相关主体。
(三)界定评价客体内部控制评价的客体是内部控制评价的对象和内容,即内部控制的构成。根据《企业内部控制评价指引》规定,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价,内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。由于评价指引意见稿中指出要对“运行的有效性”进行评价,而“运行”是指事物的循序运转,“执行”是指按照规定的原则、办法办事。从这两个词的词义上来看,征求意见稿的规定似乎将“内部控制”置于客观的位置上,剔除了人为因素的影响,但实际上却忽略了内部控制评价中对人的评价。而且指引中对“内部控制运行有效性”的解释与运行的内涵并不一致,“内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行”。企业内部控制无论是设计还是执行,人作为主体是不可忽视的一个要素,即企业内部控制执行有效性的评价中除了要对企业的产、供、销等活动的运转情况进行评价之外,还要对人的责任履行情况进行评价。因此,本文将上市公司内部控制评价的客体界定为对内部控制设计有效性和执行有效性的评价。
(四)确定评价模式 内部控制评价的模式就是评价活动的模型、样式,对构成评价活动的各要素之间的关系和形式的规定。它具体规定了评价的目的、基本范围、内容和过程,包括评价活动的逻辑和程序。企业面临的风险和不确定性越来越多,因此本文认为现代企业内部控制评价模式的采用也要引入风险管理的理念,将内部控制的评价与企业风险管理的过程紧密结合,即采用以风险为基础的评价模式。采用以风险为基础的评价模式时首先要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标而言,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序,如图2所示:
以风险为基础的评价模式首先评估实现内部控制相关目标的风险,根据风险评估的结果对照企业的内部控制参考内部控制框架来判断企业内部控制设计的有效性。这样做一方面可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性和灵活性;另一方面,关注最重要的风险,提高了评价的成本效益和效率。此外,在确定内部控制的测试范围和收集证据时也是以风险评估为基础的,这样同样可以提高评价的成本效益和效率。
(五)讲究评价方法《企业内部控制评价指引》规定,内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据。由此可见,企业的内部控制评价活动也越来越重视定量分析的评价方法。
定性评价方法主要是对上市公司内部控制制度的合法性、有效性、可操作性和经济合理性进行评价。定量评价方法需要建立定量评价标准,通过内部控制制度评价的数学分析模型来评价上市公司内部控制制度的健全性和有效性。由于定性评价易受评价人员主观判断的影响,往往缺乏客观性,定量评价则以其科学、精确、可比的特点为上市公司内部控制制度的实施效果做出较为恰当的评价。因此,上市公司内部控制的内外部评价应采用定性评价和定量评价相结合的方式,着重考虑扩大定量分析评价的范围。
参考文献:
[1]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
企业内部控制评价 篇九
关键词:内部控制;内部控制评价系统;构建
中图分类号:F231.省略2010年4月26日财政部等五部委联合了企业内部控制配套指引,其中就包括《企业内部控制评价指引》(以下简称《评价指引》)。但该指引主要侧重原则性的指导意见,不够具体。内部控制评价实施难的问题仍没有得到实质性解决。
国内学者围绕内部控制评价作了一系列努力。有些学者从评价目标、评价指标、评价方法等方面对内部控制评价要素进行了有益探讨。如,陈汉文和张宜霞[1]对内部控制的有效性和评价方法进行了详细阐述;骆良彬和王河流[2]、韩传模和汪士果[3]相继探讨了层次分析法在内部控制评价中的应用。有些学者通过案例研究了企业内部控制评价实践经验的借鉴。如,张谏忠和吴轶伦[4]、戴彦[5]、于增彪等[6]、上海市内部审计师协会课题组[7]分别研究了上海宝钢集团、A省电网公司、亚新科工业技术有限公司和上汽集团的内部控制评价实施情况。还有一些学者通过对国外内部控制评价的研究,得出了诸多有益启示,如朱荣恩等[8]、阚京华[9]、张龙平等[10]。关于内部控制评价所取得的研究虽然较过去有较大进展,但是也存在着一定的问题。一方面,研究探索侧重于外部审计或者外部监督角度,而不是基于管理的视角;是以纠错防弊确保信息真实和资产安全为目的,以财务报告为主线,而不是以满足管理需要为目的[11]。另一方面,研究探索多是解决内部控制评价系统的某个或某几个点的问题,缺乏基于整体的评价系统研究。
二、内部控制评价系统的特性与构建原则
内部控制评价系统的构建是一项复杂的系统工程。其复杂性主要源于三个方面:首先,内部控制评价的对象是企业整个内部控制体系,而内部控制本身就是一个开放、动态的复杂系统[3]。这就必然决定了内部控制评价系统的构建不是轻而易举的事情。其次,内部控制评价的结果需面向社会公众,因而评价系统构建就必然要考虑利益相关者的信息需求和市场反应,其复杂性可想而知。最后,内部控制评价系统的运行环境是复杂多变的,这必然对其本身的构建提出了更高要求。
既然内部控制评价系统的构建具有复杂性,那么我们就需要一定的原则引导。以下,我们将通过企业的组织背景、内部控制系统和内部控制评价系统本身三个层次,来分析一个合理、科学的内部控制评价系统应该具有的特性,进而明确构建的基本原则。
1.组织背景
一个企业的组织背景,即指该企业组织所面临的外部环境和内部环境。每一个企业不仅所面临的外部环境千变万化,而且所具备的内部条件也千差万别,这就意味着,企业面临的风险是无处不在、无时不有的。风险管理是企业必须永远面对的话题。而控制风险是内部控制的重要功能之一。因此,内部控制评价系统也就必须以风险管理为主线。
风险的最大特性在于不确定性。内部控制评价系统要以风险管理为主线,就必须在构建评价系统时充分考虑这一不确定性,以做到因时、因势而变。因此,权变原则是内部控制评价系统构建必须坚持的基本原则之一。
2.内部控制系统
从内部控制系统整体角度来看,内部控制评价系统应该具有什么特性呢?我们将从内部控制的本质说起。内部控制的本质是由企业的组织关系特征决定的;企业组织的契约关系和科层关系决定了内部控制具有制衡和监督的本质[12]。然而,唯物辩证法告诉我们要用矛盾的观点看待问题。基于此,内部控制的本质应当体现在约束和激励两个方面。内部控制除了制衡与监督的约束性功效外,还具有激励性的积极作用。因此,内部控制的本质是制衡、监督与激励。
制衡、监督与激励属于管理的范畴。故从本质看,内部控制是一种管理的手段,属于企业管理这个大系统的子系统之一[11]。《基本规范》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此,不论内部控制本质,还是其定义,都告诉我们内部控制首先应当为内部运营管理服务;基于内部管理视角应是内部控制评价系统的又一特性。
在构建内部控制评价系统时,从管理视角出发是一种必然;而实现该目的的一个有效途径就是以内部控制的五大目标
根据《企业内部控制基本规范》,五大目标包括战略目标、经营目标、报告目标、合规目标和资产目标。为导向。内部控制目标不仅概括了内部控制的应有功效,而且反映了我国企业对内部控制的实际需求,同时也内含了利益相关者的信息要求。因此,目标导向也是内部控制评价系统构建的一项基本原则。
3.内部控制评价系统
企业内部控制评价实施效果的好坏取决于内部控制评价系统的可行性[13]。而制约内部控制评价系统可行性的关键因素在于资源的约束。企业对内部控制的某些方面难于评价,多数情况下,并不是没有合适的方案、恰当的指标、合理的标准,而只是因为实施所占用的资源过多。企业在特定时期内,所控制的资源是有一定限度的,并不能保证所有合理活动都得到执行。因此,企业内部控制评价系统的构建必须要以资源约束为条件。
在资源约束的条件下,构建企业内部控制评价系统就必须坚持经济性原则。经济性是指为获得一定的产出或服务所耗费的资源最少。发挥内部控制评价系统的功效是目的,而在目的实现的前提下,尽量耗费最少的资源,是构建内部控制评价系统必须考虑的问题。我国上市公司披露内部控制自我评价报告数量很少、比例很低的一个重要原因就是评价成本过高[14]。因此,经济性原则也成为构建内部控制评价体系的一项基本原则。
综上所述,合理、科学的内部控制评价系统应当具备的特征是:以风险管理为主线,以内部管理为视角,以资源约束为条件。在系统构建时,必须坚持权变、目标导向和经济性三项基本原则。其逻辑构成体系可见图1所示。
需要特别强调以下两点:
其一,权变、目标导向和经济性三项基本原则不是各自分离的,它们存在相互依存、相互影响的关系。比如,目标导向原则在具体执行时需要权变思想。内部控制的五大目标在不同时期、不同企业的情况下,并不处于同一层次。在构建内部控制评价系统时,应权变地设立目标导向。
其二,权变、目标导向和经济性三项原则为基本原则,还可分别派生出其他具体原则。比如目标导向原则可引申出全面性和重要性,经济性原则可引申出成本效益原则等。但是,基于原则太多反而不易于把握的角度考虑,我们认为,抓住最基本的原则才是最切合实际的。
三、内部控制评价系统的整体架构及逻辑框架
“逻辑框架”一词的选用参考厦门大学内控指数课题组的《中国上市公司内部控制指数(2009):制定、分析与评价》。
要构建一个合理、科学的内部控制评价系统,就必须要明确该系统的整体架构和逻辑框架。整体架构就是要解决内部控制评价系统的内容构成问题;而逻辑框架解决的是评价角度或切入点的问题,也就是从哪些方面来对内部控制作出评价。显然,这是两个重要而且必须解决的问题。
1.整体架构
内部控制评价本质上属于一个由各个要素组成的具有整体目的性和内在联系性的综合体。一个有效的内部控制评价系统应当包含评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告七个要素。而且,各个要素之间存在相互依存、相互支持的关系[11]。
内部控制评价系统通过选取评价指标,确立评价标准,并经由一定的评价方法,最终得到一个评价指数。评价指数即为评价系统的最终评价结果,是企业内部控制有效性的一个量化反映。评价指数不是内部控制评价系统的独立构成要素,但是其在内部控制评价系统的运行和应用中起着极其重要的作用。首先,评价报告的得出依赖于评价指数,是在对评价指数比较和分析的基础上形成的。其次,评价指数可用作评判企业集团内部各子公司内部控制水平的标准,经过比较、分析,找出缺陷和改进措施,进而提升集团整体的管理水平。最后,评价指数可用作不同企业、不同行业内部控制水平的比较标准,为投资者决策和市场监管提供重要依据。
评价指数的得出依赖于评级指标、评价标准和评价方法。基于评价指数的重要性,评价指标、评价标准和评价方法可视作整个内部控制评价系统设计的重心。
2.逻辑框架
在我国,不论是企业实际应用还是学者的理论研究,大多还是以内部控制的五要素为评价系统的逻辑框架。只有少数的学者尝试引入ERM框架
COSO于2004年提出了《企业风险管理框架》(Enterprise Risk Management Framework,简称ERM框架)。该框架指出全面风险管理包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控八个要素。或者重新确立一个逻辑角度。韩传模、汪士果[3]通过引入层次分析法,建立基于风险导向和示意结构的内部控制递阶层次模型,分别从控制目标、风险要素、流程控制等多角度对内部控制进行评价。
我们认为,将内部控制的五要素框架作为内部控制评价系统的逻辑框架,是一种合理选择。一方面,五要素联系紧密、互相牵制,具有很强的逻辑性和科学性,能够全面反映一个企业的内部控制状况。另一方面,基于五要素框架设计的内部控制评价系统与《基本规范》和配套指引相契合,易于被接受、实施和推广。
四、逻辑框架下的一种设计方案
在内部控制评价系统中,评价主体、评价客体和评价目标是基本确定的,而评价指标、评价标准和评价方法却需要确定具体方案。
1.评价指标的选取
内部控制评价系统的有效运行,合理选取评价指标是关键。我们严格遵循内部控制系统构建原则,以《基本规范》的内部控制五要素为逻辑框架,以《评价指引》为指导,以《企业内部控制应用指引》(以下简称《应用指引》)所诠释的企业内部经营和管理活动中存在的风险点为参考,借鉴国内外已有的内部控制评价指标体系,分四级设计了评价指标。
一级指标是要素层指标,即内部控制五要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。
二级指标是准则层指标,与要素的具体业务或具体步骤相对应,主要依据内部控制的18项应用指引中所分析的风险为导向设计。一级指标“内部环境”对应组织架构、发展战略、人力资源、社会责任和企业文化;“风险评估”对应风险识别、风险分析和风险应对;“控制活动”对应不相容职务分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制和合同管理;“信息与沟通”对应信息传递和信息系统;“内部监督”对应内部审计、检查监督和内部控制评价。
三级指标和四级指标是措施层指标,考虑具体业务或步骤实施过程中主要风险的控制措施,差异在于四级指标是三级指标的细化。有的三级指标被细化为四级指标,而有的三级指标没有细化。
由于篇幅所限,以下仅以内部环境的部分指标为例说明指标体系的构建,见表1所示。
内部环境类应用指引有5项:组织架构、发展战略、人力资源、企业文化和社会责任,我们以此设置了5个二级指标。《企业内部控制应用指引第1号――组织架构》着力解决企业应如何进行组织架构设计和运行,核心是如何加强组织架构方面的风险管控。组织架构设计方面的主要风险具体表现在:公司治理机构形同虚设,董事会、经理层和大股东之间的独立性问题,关联交易的公平性和重大决策的科学性。基于此,我们在组织架构下设置了2个三级指标,分别是公司治理结构(应用指引中称作“组织架构设计”)和组织架构运行。公司治理结构下设置6个四级指标:制衡机制、专门委员会、独立董事、关联交易、三重一大事项和交叉任职。
2.评价标准的设定
评价标准设定的恰当与否直接关系到评价系统的科学实用性,因此我们在评价标准设定方面严格遵循《基本规范》、《评价指引》和《应用指引》关于评价指标的相关规定,同时考虑评价指标类型的影响。我们借鉴中国内部控制评价指数[15]的做法,以指标的得分情况(设定满分为100分)衡量指标运行的有效性:90―100好、80―90较好、60―80中、40―60较差、0―40差(分值区间为左闭右开),同时借鉴国资委的《中央企业综合绩效评价实施细则》(2006)确定定性评价指标评价标准的做法,将制度执行的程度划分为5级:完全执行、基本执行、执行一般、执行较差、未执行,分别一一对应上述的五个分值区间。如此就可以按照指标执行情况赋予指标科学的分值。至于制度执行有效性的评价标准则定性描述,依据制度执行效果的好坏程度,对照指标运行有效性区间,赋予其合适的分值。
由于篇幅所限,以下仅以内部环境的部分指标为例说明评价标准的构建,见表2所示。
3.评价方法的选择
评价方法是评价指标到评价指数的必经之路;选择正确的评价方法是得出科学评价结果的前提。因为内部控制评价指标体系包含众多单项评价指标,这些指标既有定性的,又有定量的,并且还是分层级的。要想得出最终的综合评价结果,我们所选择的评价方法必须能够实现若干个单项指标实际值到综合性评价结果的技术转换[16]。鉴于这些情况,我们借鉴中国公司治理指数(CCGINK,简称南开治理指数)[17]的做法,引入分层处理的方法(具体可考虑层次分析法AHP,该方法适用于多目标规划问题的评价),并将主观赋值与客观赋值相结合。对于最底层指标(三级或四级指标)按照评价标准采用模糊评价法赋予分值,一级、二级、三级指标(有四级指标的三级指标)得分通过本级各指标对应下属的各指标分值的加权平均计算得出,依次层层递进,最终通过一级指标的加权平均得出评价指数。
因此,需要解决的关键问题便是各级指标的赋权问题。基于指标体系中指标类别和具体指标的四个层次,我们借鉴企业会计指数的指标赋权方法[18],将指标赋权分为类别赋权和具体指标赋权两类,分类处理赋权问题。一级指标的赋权通过类别赋权实现,由于类别赋权难以通过直接的统计量分析实现,因此我们主要利用问卷调查方式获得,调查对象为被评价企业的管理者和投资者。二、三、四级指标的赋权采用具体指标赋权方式,结合主观赋权和客观赋权,分别利用主成分分析法和行业风险分析法得到两种方法下每一指标的权重,然后各按50%的比例加权生成每一指标的最终权重。利用主成分分析思想,根据具体指标的方差贡献率计算每一具体指标的权重,以此得到客观赋权的标准;利用行业风险分析法,考虑到风险的行业性和同行业内部控制制度设置的类似性,通过分析不同行业的行业风险区分相应控制措施的重要程度,以各指标的相对重要程度赋予适当的权重。
有了评价指标、评价标准和评价方法,评价主体即可利用评价系统评价内部控制系统的有效性,最终以评价指数客观反映之。其评价指数编制的流程概括为图2所示。
五、结束语
目前,企业内部控制评价系统的构建是一项极具重要性和迫切性的工作。本文详细阐述了内部控制评价系统应当具有的特性,提出了系统构建的基本原则,分析了内部控制评价系统的整体架构以及构建的逻辑框架,并据此提出了一种设计方案。系统性地研究内部控制评价,在借鉴前人研究成果基础上提出共识性的设计方案,是本文的创新所在。当然,该方案仍处于理论的设想阶段,是否能够具有普遍适用性,还有待进一步研究和企业的实践检验。
参考文献:
[1] 陈汉文,张宜霞。企业内部控制的有效性及其评价方法[J].审计研究,2008,(3): 48-54.
[2]骆良彬,王河流。基于AHP的上市公司内部控制质量模糊评价[J].审计研究,2008,(6):84-90.
[3]韩传模,汪士果。基于AHP的企业内部控制模糊综合评价[J].会计研究,2009,(4):55-61.
[4]张谏忠,吴轶伦。内部控制自我评价在宝钢的运用[J].会计研究,2005,(2): 11-17.
[5]戴彦。企业内部控制评价体系的构建――基于A省电网公司的案例研究[J].会计研究,2006,(1):69-76.
[6]于增彪,王竞达,瞿卫菁。企业内部控制评价体系的构建――基于亚新科工业技术有限公司的案例研究[J].审计研究,2007,(3):47-52.
[7]上海市内部审计师协会课题组。企业内部控制自我评估研究――基于上汽集团借助IT系统平台的CSA实践[J].审计研究,2009,(6):34-40.
[8]朱荣恩,应唯,袁敏。美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003,(8):48-53.
[9]阚京华。美国强制性双重内部控制评价制度的解析与启示[J].经济管理(新管理),2007,(22):13-18.
[10]张龙平,陈作习,宋浩。美国内部控制审计的制度变迁及其启示[J].会计研究,2009,(2):75-80.
[11]池国华。基于管理视角的企业内部控制评价系统模式[J].会计研究,2010,(10):58-65.
[12]谢志华。内部控制:本质与结构[J].会计研究,2009,(12):70-75.
[13]董美霞。增强企业内部控制评价效果的思考――基于《企业内部控制评价指引(征求意见稿)》[J].审计与经济研究,2010,(1):73-80.
[14]杨有红,陈凌云。2007年沪市公司内部控制自我评价研究――数据分析与政策建议[J].会计研究,2009,(6):58-64.
[15]厦门大学内控指数课题组。中国上市公司内部控制指数(2009):制定、分析与评价[N].上海证券报,2010-06-01.
[16]陆庆平。企业绩效评价论[M].北京:中国财政经济出版社,2006.31.
[17]南开大学公司治理研究中心公司治理评价课题组。中国上市公司治理评价系统研究[J].南开管理评论,2003,(3):5-12.
[18]财政部企业会计指数评价体系研究课题组。企业会计指数编制的基本思路与调查问卷设计[Z].财政部调查研究栏目,2010,(1).
企业内部控制评价 篇十
【关键词】 ERP; 内部控制; 评价系统; 评价模式
一、引言
内部控制的动态性决定了内部控制的建设必定是一个不断解析、评价、优化和改进的过程,在此过程中内部控制的评价作用尤为关键。近年来,特别是在《企业内部控制基本规范》(以下简称《基本规范》,2008)、《企业内部控制配套指引》(以下简称《配套指引》,2010)出台以后,在《基本规范》、《配套指引》框架下进行内部控制评价体系的研究已成为内部控制领域的一个热点。主要文献有:论中国企业内部控制评价制度的现实模式(南京大学会计与财务研究院课题组,2010);基于PDCA循环的内部控制有效性综合评价(杨洁,2010);基于管理视角的企业内部控制评价系统模式(池国华,2010);基于流程的战略性并购内部控制评价研究(崔永梅、余璇,2011);内部控制缺陷的识别、认定与报告(杨有红、李宇立,2011);企业内控评价体系框架构建研究(熊婷、程博,2012)等。这些成果是对《基本规范》、《评价指引》框架性概念的具体补充,加深了我们对于内部控制评价的认识和理解,增强了内部控制评价体系的构建可操作性,然而对内部控制建设的现实环境即信息化下相关研究却鲜有涉及。本文以此为切入点,探究一种基于ERP环境下的内部控制评价体系新模式,从而为我国企业内部控制的有效实施和持续改进提供切实可行的操作指南。
二、ERP下内部控制评价体系构架的现实基础
内部控制的评价是对内部控制有效性的评价,主要针对的是内控设计及运行的缺陷评价,而内控的设计与运行离不开内控依存的现实环境。现今,在我国率先进行内部控制建设的企业,大多经历了或正在经历全面信息化建设的过程,以ERP(Enterprise Resource Planning,企业资源计划)为代表的信息化软件系统开始在企业中普及应用。在经过了对信息化的质疑、认识、实施、受益之后,企业的管理当局再次面对如内部控制建设这般系统工程之时,内部控制与ERP结合成为首选,这种考量主要是基于以下几个方面:
1.内部控制的建设需要对控制环境进行梳理,而ERP的实施已经使企业在组织结构、岗位分工、人员配备、业务流程甚至企业文化上经历了深层次的变革,这就会大大缩短控制环境的梳理时间。
2.ERP的实施是一项复杂、全员动员的系统工程,在实施过程中得到锻炼的团队可较快地投入内部控制建设的过程中,而优秀的实施团队是内控建设成败的关键。
3.从成本效益的角度出发,ERP系统模块化的设计方式有利于环境变化,对系统的局部调整而降低投入成本,内部控制的动态性也要求未来的内控系统应具备这一特性。
4.ERP业务涉及企业的各个环节,程序化的运行方式使得内部控制的控制方式能够有效地在系统中得到执行,减少因人为因素导致的失效,降低了控制风险。
5.ERP还可以大大提高信息的透明度,并且能为内部控制提供实时的数据支持,特别是基于日常处理的日志记录可以为内部控制的监督、评价提供依据。
由此可见,当内部控制的实施主体倾向于一种嵌入ERP系统的内部控制架构时,作为内部控制的自适应子系统,内部控制评价系统也应从ERP的特征出发来重新构架新的评价系统。
三、ERP下内部控制评价的特征
内部控制的评价是以评价客体为基础的,并且会因评价客体的变化而做出适应性的调整。嵌入ERP的内部控制系统,就是采用软件开发中普遍使用的结构化的设计方法,将内部控制功能自顶向下的逐层分解,分解成若干个相对独立却又具有一定耦合关系的子模块,每一个单独的控制子模块都能够完成一定控制目标,同时相关的子模块可以集成控制单元完成较高层次的控制目标,这些子模块并不是单独存在的,而是采用程序化的手段将其固化在ERP功能模块中,成为ERP各功能子模块下的某些控制菜单。这种内部控制系统的信息化必然会影响内部控制评价系统的改变,形成ERP下内部控制评价系统的新特征。
(一)评价主体的多元化
《基本规范》关于内部控制评价概念的描述是“企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”从定义中可以看出,内部控制的评价主体应当是企业的决策层,这种规定实际上是从社会监督的立场出发,对企业对外披露内部控制评价报告层面的规定,体现的是内部控制评价的社会职能。但实际上,通过内部控制的自我评价,可以不断地对内部控制系统进行优化、改进,从而提升全员的风险意识、增强职工对于内部控制系统的认同感、顺利实现控制目标、提升企业价值,这体现的是内部控制评价的企业价值。嵌入ERP的内部控制系统将控制目标以模块化的形式分解到ERP系统的子系统中,将其扩展到决策层、管理层、操作层三个层面,使全员参与评价成为可能,同时信息系统的透明度,也可以更好地为社会评价提供数据支持。因此ERP下的内部控制评价主体必然是一种内外结合、全员参与的多元化主体。
(二)评价报告的多样性
《基本规范》第四十六条规定:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。”《评价指引》将企业对外评价报告的报出时间定为“企业应当以12月31日作为年度内部控制评价报告的基准日,也可选择6月30日为基准日。内部控制评价报告应于基准日后4个月内报出。”这两项内容说明企业对外披露内部控制评价报告是企业应尽的义务,体现的是内部控制的社会职能,属强制性规定。同时,基于内部控制自我评价的企业职能,企业可在《基本规范》框架内自行设定。嵌入ERP的内部控制系统模块化,有利于企业进行制定范围的局部评价;同时信息系统实时化的信息处理方式又可以缩短评价收集整理资料的周期,使不定期评价成为可能。这样ERP下的企业内部控制评价报告就是一个全面与局部、定期与不定期报告组成的多维体系,至于报告的格式可参考《评价指引》的规定,此处不再赘述。
(三)风险的有效控制
基于风险导向的内部控制系统被寄希望于一个企业成长的保护神,被要求事无巨细、面面俱到,这种全面性同时也加大了内部控制自身的风险。内部控制系统本身是一个动态系统,不能脱离一定的控制对象而独立存在,企业经营环境、经济业务、人力资源等任何的变化都可能导致内部控制风险的加大。风险是不可避免的,关键的问题是如何有效控制风险,传统方式上,内部控制最大的风险来自于内部控制评价的滞后性,特别是在信息化的今天,当时间成为导致风险的重要因素时,就必须以信息化的方式来降低这种风险。嵌入ERP的内部控制系统,将内部控制指标融入信息系统,可以敏锐的捕捉到来自业务端的处理数据并加以计算进行符合性的测试,同时这种内部控制数据的实时处理,会使得评价人员做出及时的判断并加以处理,这样使事后评价成为事中评价,大大减少了时间因素导致的经营风险,保证了内部控制职能的有效性。
四、ERP下的内部控制评价体系
内部控制评价的核心内容是内部控制评价指标,评价指标设定的科学性、评价标准设置的合理性决定了评价质量的好坏。《评价指引》给出了企业内部控制评价的框架标准,“企业应当针对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。”ERP下的内部控制评价也应在此框架内,结合自身特点来设置评价标准体系。
(一)评价指标设定的原则
内部控制评价指标的设定原则是整个评价指标体系的指导思想,会影响评价指标的范畴、评价的标准以及评价具体的实施方法。企业在设计内部控制评价指标体系时,应遵循以下四个基本原则:
1.风险导向原则。管理实践中有句至理名言“正确地做事不等于做正确的事”,这句话说的是一个方向性的问题。风险导向就是内部控制评价的纲领,所有的评价都应以是否产生风险以及造成风险的程度来评价内部控制的合理性和有效性。
2.相关性原则。内部控制评价指标的设定应与内部控制评价报告使用者的决策需求相关,以便于使用者对企业的内部控制情况做出评价。
3.可比性原则。内部控制评价通常是定性分析与定量分析相结合,需要以一定的事项作为参照而做出评价,因此,内部控制评价指标应当考虑应具备一定的普遍性,同时要保持评价指标统计口径与方法的前后一致性。
4.成本效益原则。内部控制评价是一项涉及面广,耗费人力、财力、物力的工作,应当以成本效益的原则对评价指标的设定进行指导,以评价目标确定评价指标的详略程度,突出重点指标,弱化或减少不必要项目,以减少成本开支,实现经济有效的评价。
(二)评价指标
内部控制评价指标是内部控制评价工作的核心,决定着内部控制评价报告的质量,基于以上内部控制评价指标设定的原则,本文采用结构化设计方法,对内部控制评价指标(如表1所示)进行分解处理,以达到每一个指标易于理解和可操作。结构化设计方法是工程学中应用最广泛的方法,基本思路是:由于人的理解力、记忆力的限制,不可能一下子触及到问题的所有方面以及全部的细节,为了降低理解的复杂性,最常用的方法是把大问题分解为若干个小问题,称为“分解”。如果每个小问题还不够简单,那么还可以继续分解,直到每个问题均可被理解为止。
(三)评价标准
从以上对于内部控制评价指标的划分可以看出,内部控制评价既涉及定量分析,也要有定性分析,两者应该是统一且相互补充的,但是不论是定性还是定量分析都必须以客观存在的分析对象为基础。企业性质不同、经营范围不同、经济能力、技术能力甚至评价主体的风险偏好都可能会影响最终的分析结果,使评价标准很难实现一个确定的、统一的标准。即使是《基本规范》、《评价指引》也只是规定企业应当就内部控制的健全性、合理性、有效性按企业自身的特点做出评价,将内部控制缺陷的认定划分为一般缺陷、重要缺陷、重大缺陷三个层次,而并未给出确认此三种缺陷的具体标准。因此,关于内部控制有效性的评价只能是“符合性”的概念,而不是一个绝对的数值。评价标准就是要确定这样的符合区间,以0为下限最高至100,其间分割若干首尾相连的刻度,区间的多少以及每个区间应有的上限下限的数值,取决于评价者对于内部控制健全性、合理性、有效性的认识。结合ERP下内部控制的特点,内部控制的评价不仅是一个有效性的问题,也应包含系统对于风险的敏感性和应对环境变化的灵活性,可划分为弱、较弱、一般、较强、强五个区间,每个区间的边界应是一个经验值,可由企业对连续若干年度区间的测算并参考行业一般标准而确定。
(四)评价方法
嵌入ERP的内部控制系统最大的优势在于以结构化的方式将内部控制的相关设定分解成一个个相对独立的子模块,并将其写入ERP系统的功能模块中,实施对业务流程的实时控制。这就为针对内部控制系统的评价提供了更多、易实现的评价手段方法。
1.单元评价。结构化的设计方式是内部控制的内容被分解成可以独立实施的控制单元,这样就可以针对这种独立控制实施的结果进行单独评价。
2.集成评价。结构化设计是一种将内部控制总体目标自顶向下、层层分解成若干子目标的方法,同一层次的子目标可以采用某种耦合关系集成上一级的控制目标,以此类推从而完成总的控制目标。那么,对内部控制的评价也可以采用这种由下而上的逐级汇总的方式进行单元集成性的评价。
3.定点评价。对于可能产生重大内部控制缺陷的控制要点,通过计算机的实时数据,可采用定向、定时的方式对其加以监控,防止产生大的经营风险。
4.调查分析评价。内部控制评价体系是一个涵盖全部控制单元,综合所有评价指标的整体性评价,既包括数字部分的评价也包括非数字的评价。对于非数字部分的内容可以采用传统方式进行,如员工座谈、调查问卷、典型分析等。
五、结束语
本文基于内部控制评价实施的视角,对ERP下的企业内部控制评价系统架构模式进行研究,内容涉及评价主体、评价报告、评价指标、评价标准、评价方法以及指标设定原则等方面,目的就是为将内部控制嵌入信息系统的企业,对内部控制的评价提供一种易于理解的评价模式。但受困于每个企业的具体实际,内部控制制度差异性,未能对内部控制评价指标的权重给出一个可验证的标准,降低了本模式的操作性。
【参考文献】
[1] 刘玉廷。全面提升企业经营管理水平的重要举措――《企业内部控制配套指引》解读[J].会计研究,2010(5):3-16.
[2] 朱华建,张盛勇,高宏伟。21世纪以来我国内部控制研究主题及述评[J].会计研究,2011(11):57-64.
[3] 杨雄胜,夏俊,等。内部控制评价――理论、实务、案例[M].大连:大连出版社,2009.
[4] 南京大学会计与财务研究院课题组。论中国企业内部控制评价制度的现实模式――基于112个企业案例的研究[J].会计研究,2010(6):51-61.
[5] 杨洁。基于PDCA循环的内部控制有效性综合评价[J].会计研究,2011(4):82-87.
[6] 池国华。基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10):55-61.
[7] 崔永梅,余璇。基于流程的战略性并购内部控制评价研究[J].会计研究,2011(6):57-62.
[8] 杨有红,李宇立。内部控制缺陷的识别、认定与报告[J].会计研究,2011(3):76-80.
[9] 熊婷,程博。企业内控评价体系框架构建研究[J].财务与金融,2012(2):50-55.
企业内部控制评价 篇十一
摘要在企业内部控制实务中,内部控制评价是极为重要的一环,是对企业内部控制的再监督有效措施。本文分析了内部控制评价的五个方面主要内容,并提出评价和控制内控的组织是重要工作。
关键词企业内控内部控制评价
企业经营风险越来越多,对风险的管控重要性和必要性愈加凸显,对管控的评价也显得作用巨大,为此要做好内控评价和控制工作。学术概念上,内部控制评价是对企业内部控制制度的设计、运行的有效性进行评估分析的活动,是内部控制系统的一个必要环节,其操作过程和结果往往影响着一个内控制度的运行,因而非常重要。但是在实际操作层面,一些企业的内控评价活动和制度设计不甚清晰、或者对评价不够重视,导致内控评价流于形式、没有深度,影响着内控的运行。因此笔者觉得有必要对内控评价的相关方面做一个系统的阐述和分析,以助相关企业明细评价的各方面内容和操作方法,并助其对内控评价引起足够的重视,以更好推动内部控制的运行,从而创建一个更好的企业运营环境效果。
一、内部控制评价的主要内容
随着中国经济发展,企业的内外部环境正在发生巨变,对内控制度来说内涵和外延都随之发生着巨变,因而内部控制的内容也正在不断拓展,对内控的评价维度也越来越多、越来越细化。比如对某上市公司的内控评价,其要素既要包括公司层面的组织架构、会计审计、预算管理和人力资源、企业文化建设等各方面,也应该包括公司业务流程层面的销售与收款循环、筹资与投资循环、货币资金业务循环、采购与付款循环、存货与生产循环、成本费用控制、固定资产控制等项目进行评价。具体分析,笔者认为,总结来说,应该从以下五个方面开展评价:
(一)内控环境
内部控制本质上是对企业运行风险的识别过程,其持续性决定了控制体系必须具有完整性和实在性,即要有从宏观政策到微观措施的一系列对策,并能够在现实中真正实施。如内控环境在根本上应该有宏观的政策到微观的行为和措施组成,并且这些对策都能够被应用。那么,内控环境建设就要求对企业管理者是否真正意识到内控环境的重要性、对策等各方面有一定的理解和重视,它评价的主要是风险价值观、员工的工作能力、内控架构、企业风险意识导向等较为抽象的内容。
(二)风险评估
风险评估是对有害企业健康运行的负面因素进行识别和分析的过程,是风险管理的基础。评估要素包括内外部风险的类别和权重,各种隐患的存在和重要程度,应对风险的企业内外部举措和有效性,对内外部环境的整体认识和应对之策等等。对风险的评估,应该包括企业的内外部风险,也包括企业小到质量风险大到国际环境风险等,需要按照实际情况进行调整风险评估的要素和过程,这样才能真正对风险进行识别并加以解决。
(三)控制活动
控制活动是开展内控的具体行动,包括各种检查、管理预防、监督考核等,这些控制活动本质上是一种微观的内控环境,但是在具体行动上是一种管理活动,所以将其从内控环境中脱离出来单独考察。值得注意的是,在控制活动中,尤其重要的是对信息的控制,因为企业内控活动在现代化、信息化的今天,更多是对信息的处理,而不是针对具体人、具体事务的直接控制,更多是对同类型的信息流的监察和处理。
(四)信息交流
如上所述,信息交流是开展内控评价的重要方面,只有信息能够全面、及时、深度地汇集,才能明确内控的有效性和针对性,才能更好管理企业,有效预防风险并采取最佳措施加以解决。值得注意的是,在内控信息交流方面,要特别注意外部信息的获取和分析,很多企业只关注自己系统内的风险信息,而对国际环境等外部重要信息视而不见,这是内控的主要盲点之一,另外还要注意信息的全面性、安全性和通畅性。
(五)监督评审
内控本身是需要再监督和再审查的,而这是很多企业内控活动的最重要盲点,他们往往认为内控制度是自洽性和自运行的,只要建立内控体系就不再需要对内控本身进行监察。一般来说,监督评审主要是对内控的合理性、程序性和持续性等进行宏观审查。
二、内控评价的组织
内控评价在理论上重要,效果则要通过实践来显现,因此对评价活动的组织就显得尤为重要,笔者认为要重点做好组建专门评价职能机构这一工作。企业应该授权特别任命小组作为来进行内控评价工作,最好是审计部门为主、其他业务部门各出一名负责人参与,这样才能够充分显示评价活动的重要性,更能有利于评价活动。这一特别任命小组还需要一定的设置条件和特性,一是有权利能够独立地对企业内部控制系统的运行和结果进行全方位的监督和分析,二是具备一定的专业技能和职业道德,使得这种再监督能够不是形式上的重复设置,而是能够及时、充分地发掘出内部控制的缺陷,并根据分析提出对策建议以加以有效解决,三是这种对内控的评价和监督与其他其他财务监督等监督形式保持一致和协调,并能够相互制约和促进,在效率上满足企业的种种要求,四是能够得到各级领导层的重视和支持,尤其是企业董事会和经理层这一最高层级的鼎力支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。
参考文献:
[1]陈耀敏。基于公司治理的企业内部控制评价体系研究。企业经济。2011(01).
[2]陈永。浅议上市公司内控评价问题。消费导刊。2009(20).
[3]张兆国,张旺峰,杨清香。目标导向下的内部控制评价体系构建及实证检验。南开管理评论。2011(01).
[4]魏巍。基于灰色层次分析的内部控制综合评价模型――以上市公司为例。中小企业管理与科技(上旬刊).2011(02).