|
Hello今天给大家介绍下什么是内控评价以及如何进行企业内控评价。 企业内控评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。 第一章《企业内控评价指引》解读 2010年4月15日财政部、证监会、审计署、银监会、保监会联合发布《企业内控评价指引》(财会〔2010〕11号)。 《企业内控评价指引》共分为五章分别是总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告。 各章主要内容及要求: 第二章内部控制评价工作解析 (一)内部控制评价工作概况 (二)内部控制评价的组织与人员 1.内部控制评价的职责分配: a董事会:负责内控建立健全,有效实施和评价。 b监事会:对董事会建立与实施内部控制进行监督。 c审计委员会:监督内控的有效实施和内控自我评价情况。 d经理层:组织领导内控的日常运行。 e专门或适当机构:负责组织协调内控建立实施及日常工作。 f内部审计机构:(1)对内控有效性进行监督检查;(2)监督检查中发现的内控重大缺陷,有权向董事会/审计委员会/监事会报告。 g公司高层在内控评价中的职责: ·管理层对建立健全内部控制柄保持其有效性负责; ·管理层需对内部控制的有效性进行评价; ·管理层需作出特定日期与会计报表相关的内部控制有效性的认定; ·管理层需向注册会计师告知内部控制在设计和执行方面存在的重大缺陷; ·管理层需注册会计师告知发生的重大舞弊,以及虽不重大但涉及管理人员或在内部控制过程中企关键作用的员工的其他舞弊; 其中: ·公司董事会及审计委员会负责领导本公司的内部控制评价工作,独立的内审人员负责实施现场审核,并就管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。 财政部解释1号:对于少数企业受制于岗位编制、专业人员等条件限制,目前尚不具备成立专门的内部控制管理机构的,可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟,企业应考虑成立专门机构,保证有足够的资源支持和协调内部控制工作的开展,确保内部控制工作的相对独立性。 所以内控评价在人员选择上也是需要考虑独立性的! (三)内部控制评价的程序和方法 1.评价过程的整体概念: 2.内部控制评价范围的确定:. 看看确定范围要做些什么? a按照法规及指引要求,企业应对公司内部控制进行全面评价,出于对部分监管方的要求,还需重点考虑财务报告内部控制为评价的重要主题。 b需要确定三个方面的范围: ·所需要覆盖的单位; ·所需要覆盖的业务流程; ·需要纳入到测试范围的控制; c单位的覆盖范围一般以相关单位的重要性为判断标准: ·包括总部和下属单位; ·单独重大、存在特殊风险、整合后重大; ·重要性一般以资产、利润或收入作为判定的标准; d业务流程和控制点的覆盖面以风险为导向: ·风险的程度:是否有可衡量的水平; ·基于风险来挑选需要被测试的控制点; 财政部解释第2号,集团性企业应如何确定内部控制评价的范围? 3.区分财务报告内部控制 财务报告内部控制是指,由公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制如图所示: 财务报告内部控制主要包括下列方面的政策和程序: a保存充分、适当的记录,准确、公允地反映企业的交易和事项; b合理保证按照企业会计准则的规定编制财务报表; c合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权; d合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。 4.设计有效性与执行有效性: 内部控制的设计有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计合理、恰当: a存在性:过程和风险已被充分识别,过程和风险的控制措施得到明确规定并得以保持; b合理性:内部控制的设计在符合内部控制原理的同时,本着客观、公平、公正的原则制定,对董事会、监事会、经理层和员工具有执行的基础和约束力; c恰当性:内部控制的设计结合企业自身的环境条件、业务范围、经营模式等进行风险识别和评估,确定主要及重大风险控制措施,从而有利于实现控制目标。 内部控制的执行有效性,是指现有内部控制按照规定程序得到了正确执行。评价运行有效性,可考虑的因素包括: a相关控制是否得到持续一致的运行; b相关控制是否由适当的人员执行(执行人员具有相应的权限和能力); c相关控制是否在适当的时间被执行(例如,某交易在发生前得到相应的授权和审批,而不是在事后补齐授权审批手续); d 执行方式恰当(例如,某控制按规定应执行管理层审批程序,但实际执行人仅进行审阅,没有批示决策意见,则该控制执行不当); e执行结果进行了适当的记录(重要控制环节需要签字、邮件、会议纪要等记录)。 执行时发现的差异及时得到了跟进(例如对账环节,核对并不是最终目的,最终目的是核对过程中发现的差异均进行了调查跟进。
内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和有效运行是否有效,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。 ——企业内部控制评价指引 第十五条 5.发现设计有效性的方法:
6.发现执行有效性的方法:
7.内部控制评价结果记录: 内部控制的测试评价方法多样,包括个别访谈、调查文件、穿行测试、抽样测试、实地查验、比较分析等。相应地,内部控制评价工作的记录方式也有多种选择。评价测试工作底稿中通常应记录以下信息: a测试时间 b测试内容(控制点) c测试步骤 d样本来源和样本量 e测试结果(包括发现问题描述) 总体来说,评价工作的记录应具有可追踪性,即评价工作结束后,独立的检查人员可以根据评价记录,追踪至执行评价时抽取的样本、访谈的人员、采取的评价步骤等等。
8.内部控制缺陷分类:
9.内部控制缺陷的整改: 评价人员对发现的内部控制缺陷提出整改建议,根据重要程度,通报经理层、董事会(审计委员会)、监事会。 经理层及董事会根据内部控制缺陷的性质以及对业务的考虑,制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。 整改期限超过一年的,应区分近期整改目标和远期整改目标以及相应的工作内容。 很多公司会忘记或忽略这一步骤,而这恰好是内部自我评价工作的核心组成。 常见的整改措施: a制度建设:根据内控改进建议,对缺失的重要内控制度进行修补,对已有的内控制度进行完善明确控制目标、风险、关键控制点、执行者、执行方法等 b宣贯培训:针对修补后的制度向员工进行适当的宣贯和培训,确保控制执行人理解到位 c监督检查:建立监督机制,对内控执行情况进行监督检查,对执行不到位情况进行矫正,对内控设计不合时宜之处进行改进更新 10.内部控制评价结果的沟通:
11. 内部控制缺陷的报告:
第三章企业评价工作的困难、误区及应对 (一)内控评价工作的困难
(二)内控评价工作的误区 误区一:如何评价企业内部控制的有效性是管理层的决定,内控评价方法、缺陷评级标准、结果等不需要和审计师的审计方法和审计结论一致。 解答:《评价指引》适用于所用企业,《审计指引》是审计师使用的,和企业无关。
误区二:企业内控评价要抓住重点,关注日常监督。内控评价没有固定频率,样本量等要求,都是管理层的决定。 解答:内控自我评价从属于内部监督,是监督结果的总体体现;自我评价要倚重日常监督与专项监督;自我评价是一次性、大规模、地毯式评价和日常监督检查的结合。评价频率没有硬性要求,也不可能规定样本量。注册会计师可以提供协助,但是如何评,评什么,是企业的自主决定。
(三)对企业开展内控评价工作的建议 企业应当建立自身的内部控制体系的愿景目标,由此制定基本规范实施项目的目标、成果运用、内控常态化的组织体系、职责分工、以及日常信息积累和汇报机制。 a 确认重大风险事项及相关管理手段及控制 · 根据企业目标确认重大的经营操作领域 · 明确相关领域的主要风险事项,以及相关的管理机制 · 了解企业对所确认的风险的承受的程度 b流程梳理和控制评价 ·根据企业对风险的承受程度,梳理和分析流程的管理手段是否合理、足够 · 不存在“标准”的流程 · 考虑信息系统控制 · 评价控制手段的设计有效性和执行有效性 c建立内部控制持续维护机制 · 监督职能,如内部审计、纪检监察等职能的协同效果 d建立可持续的评价机制:如何在确保评价质量的同时平衡评价成本 e管理层内控评价机制的关键成功因素: ·高级管理层和审计委员会的支持 ·明确业务部门和分行承担确保内控自评严肃性和真实性的责任 ·多方面的考虑来增强内控执行状况信息搜集的真实完整 f企业对自我评价保留充分的评价依据和相关文档 g和审计师积极的、开诚布公的交流各自的内控发现 h审计师独立审计及管理层内部控制自我评价不尽相同: ·方法可以不同 ·样本量可以不同 ·范围可以不同 但:缺陷评价标准和结论需要在一定程度上保持一致 i培训和学习:针对最新的指引及提升对内部控制理念的理解 j持续完善内部控制体系:内部控制不可能也不应该做到完美 k搭建企业内部控制评价机制:进一步结合所有和内部控制相关的活动 l搭建内部控制问题的相关评价标准和程序:支持在总部层面所需要进行的内部控制有效性评估 m试点、预演:确保工作方法符合实际需求 n沟通 最后请大家帮忙做个投票~ - END- 谢谢观赏! |
|
|
