考点四:内部控制评价
企业内部控制的一个新趋势是实行“控制自我评估”,即每个企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。
企业董事会或类似权力机构应当定期对內部控制的有效性进行全面评价、形成评价结论、出具评价报告。
评价主体:董事会或类似权力机构
评价性质:自我评价
评价内容:內部控制设计的有效性;內部控制运行的有效性
实施部门:内部审计部门或其他专门机构
一、内部控制评价的原则
企业对内部控制设计与运行的有效性实施评价,应当遵循下列原则:
(一)全面性原则
内部控制评价应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项,对实现控制目标的各个方面进行全面、系统、综合评价。
(二)重要性原则
内部控制评价应当在全面评价的基础上,以风险为导向,根据风险发生的可能性及其对实现控制目标的影响程度,确定需要评价的重要业务单位、重大业务事项和高风险领域。
(三)客观性原则
内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际,准确揭示经营管理中的风险状况,以事实为依据,如实反映内部控制设计与运行的有效性,确保评价结果有充足且适当的证据支持。
二、内部控制评价的内容与核心指标
《企业内部控制基本规范》颁布后,企业内部控制评价有了统一的标准,企业应当根据《企业内部控制基本规范》、《企业内部控制应用指引》以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,并建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。
具体内容与核心指标见大纲。
注意:应与本章第一部分的五要素比照学习。
(一)内部环境的评价
第一部分内部环境包括:治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化。
本部分内部环境评价包括:组织架构、发展战略、人力资源政策、社会责任、企业文化、内部审计。
企业应以应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
(二)风险评估的评价
第一部分风险评估包括:目标设定、风险识别、风险分析、风险应对。
本部分风险评估评价包括:风险识别、风险分析、风险应对。
企业应以基本规范及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(三)控制活动的评价
第一部分控制活动包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制。以上内容实际上均为控制措施。
本部分控制活动评价包括:控制活动的设计、控制活动的运行、特殊性控制活动
企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
(四)信息与沟通的评价
第一部分信息与沟通包括:信息质量、沟通制度、信息系统、反舞弊机制
本部分信息与沟通评价包括:信息质量、沟通制度、信息系统、反舞弊机制
(五)内部监督的评价
第一部分内部监督包括:日常监督、专项监督
本部分内部监督评价包括:内部监督制度、内部缺陷认定、控制文档记录
三、内部控制评价的程序
企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价的具体组织实施工作可以授权给内部审计部门或专门机构负责。企业开展内部控制评价工作,一般程序为:设置内部控制评价部门、制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。
(一)设置内部控制评价部门
被授权的内部审计部门或其他专门机构。
具备条件:
权威(经董事会授权);独立;专业胜任;职业道德;沟通与有效。
(二)制定评价工作方案
内部控制评价部门应当根据企业实际情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,制定科学合理的评价工作方案,经董事会批准后实施。
评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主,也可以根据需要采用重点评价的方式,一般而言,内部控制建立与实施初期,实施全面综合评价有利于推动内部控制工作的深入有效开展;内部控制系统趋于成熟后,企业可在全面评价的基础上,更多地采用重点评价或专项评价,以提高内部控制评价的效率和效果。
(三)组成评价工作组
评价工作组在内部控制评价部门领导下,具体承担内部控制检查评价任务。内部控制评价部门根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。
实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利义务、纪律要求及评价中需重点关注的问题等。
(四)实施现场测试
评价工作组根据评价工作方案确定的内部控制评价范围,入驻被评价单位,实施现场测试。
(五)汇总评价结果
内部控制评价部门汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总,对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
对于认定的内部控制缺陷,内部控制评价部门应当提出整改建议,要求责任单位及时整改,并跟踪其整改落实情况;已经造成损失或负面影响的,企业应当追究相关人员的责任。
(六)编报评价报告
内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会,由董事会最终审定后对外披露或以其他形式加以合理利用。
