一、内部控制评估的涵义
根据COSO框架的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循,而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标:遵守有关法律法规和组织内部规章制度;信息的真实、可靠;资产的安全、完整;经济有效地使用资源;提高经营效率和效果;实现企业战略。
内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的,是指为保障内部控制系统的有效性,由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况,发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员(如事务所)进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制,共同构成公司内部控制评估体系。
二、内部控制评估的目标、对象与原则
(一)内部控制评估的目标
内部控制评估的目标应从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。
(二)内部控制评估的对象
内部控制评价的对象是内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看,内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当,能够为控制目标的实现提供合理保证;内部控制运行的有效性是指在内部控制设计有效地前提下,内部控制能够按照设计的内部控制程序正确地执行,从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性,如果内部控制在设计上存在漏洞,即使这些内部控制制度能够得到一贯的执行,那么也不能认为其运行有效的。
从控制目标的角度来看,内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中,合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规,不进行违法活动或违规交易;资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整,防止资产流失;报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报;经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制;战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度,并适时进行战略调整。
(三)内部控制评估的原则
企业实施内部控制评估至少应当遵循以下原则:
1.全面性原则。评估工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评估工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
3.客观性原则。评估工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、风险导向内部控制评估的程序
(一)确定风险领域,制定内控评估计划
内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等,结合企业管理目标,进行充分的调查,可采用问卷调查、座谈会等方式,初步确定企业所面临的风险,对重要性做出初步判断编制整体审计计划。
风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前,审计人员应对企业的风险进行识别、分析并分类,对组织目标实现有重要影响的风险事项进行重点评估。
(二)对确定的风险事项进行评估
评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据,确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下,在开展内控评估时,可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点,进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点,应及时对内控实施细则进行补充和完善,以确保及时防范重大内控风险,使内控评估成为一种积极、主动的全过程动态防范风险机制,为管理层进行风险管理提供有用信息,为公司治理提出建议和整改措施。
可以采取以下审计程序:(1)研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息,确定是否存在可能影响组织的风险,是否存在监督、评价、管理这些风险的控制程序;(2)检查公司政策、董事会和审计委员会会议记录,确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度;(3)检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告;(4)与被审单位管理层及相关人员交流,了解被审单位存在的风险及采取的风险控制、管理措施;(5)独立评价被审单位风险管理程序的有效性,评估风险管理结果报告的充分性和及时性;(6)评估管理层风险分析是否全面、正确,风险管理措施是否适当,并提出改善建议,说明风险管理实务中存在薄弱环节的问题。
(三)得到评估结论,出具评估报告
内部控制人员在评估结束后,实施必要的审计程序后,以经过核实的证据为依据,形成评估结论与建议,出具评估报告。评估报告中一般包括单位内部控制工作组织安排,评估期间及范围,评估方法,所发现问题的表现、面临的风险、成因、影响、改进建议等,以及单位内控控制设计及执行是否有效的结论。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)