内控有效性
① 如何保证内部控制评价的有效性和充分性
内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
② 内部控制评价是指评价内部控制运行的有效性这说法对吗
内部控制有效性包含两个层面,一是内部控制设计的有效性,二是内部控制的执行有效性回。所谓内部控答制设计的有效性是指内部控制的设计覆盖了所有组织应关注的重要风险,且设计的风险应对措施适当。通俗的说就是应该有的制度都有,且这些制度符合内控规范要求,从设计角度而言,能够达到控制风险的作用。所谓内部控制执行的有效性是指内部控制能够按照设计要求严格(有效)执行。在我国,问题往往出在执行层面,有制度不执行或乱执行。只有有效执行才能发挥制度功能,有效控制风险,才能发现制度本身可能存在的设计缺陷,从而改进制度。
③ 如何开展 内部控制的有效性进行评价
企业内部控制评价是对内部控制执行有效性的检测,目前我国的内部控制评价标准体系尚未建立。今年3月,财政部发布了财会便(2007)7号关于印发《企业内部控制规范-基本规范》和17项具体规范(征求意见稿)的通知,其目的在于推动国内上市公司实行内部控制自我评价制度和注册会计师审计制度,填补企业内部控制标准的空白,从而为建立企业内部控制评价体系打下基础。在实际审计工作中,对被审计单位企业的内部控制进行评价,必须要有一套客观可行的基本参照标准。这套标准不仅可为企业自我评估和改进其内部控制以及注册会计师发表评价意见提供依据,还可以为各方面的沟通与理解提供统一的基础。我国在内部会计控制的建设与完善方面虽已进入起步阶段,但有关内部会计控制的标准和评价体系较为薄弱,制约了企业内部控制的有效执行。因此,建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系已势在必行。内部控制评价体系框架研究、制定一套具有统一性、公认性和完善性,既符合实际又具有可操作性的评价标准体系,应从目标定位、内容范围以及设置方式等方面来综合考虑,既可以从企业管理与控制的目标入手,也可以从内部控制要素入手。但无论怎样,企业内部控制评价标准都可以分为一般标准和具体标准两部分,一般标准以具体标准为基础,同时也是具体标准的升华,二者相辅相成,缺一不可,共同构成一个完整的评价体系。这里所说的一般标准大致包括3方面,即完整性、合理性、有效性。具体标准由内部控制要素评价标准和作业层级评价标准两部分组成,其中要素评价标准可分为5个方面,即控制环境、风险评估、控制活动、信息与沟通、监督;作业层级评价标准因其繁琐复杂,难以穷尽,如以生产性企业为例进行框架构建,可分为5个业务循环,即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。在内部控制评价的具体标准中,要素评价标准以作业层级评价标准为基础。一般标准测试的3大方面首先是完整性。企业内部控制是否完整是评价一般标准中首要的一条,同时又是基础。若内部控制的完整性都达不到,则内部控制的合理性与有效性就无从谈起了。从系统的观点出发,可以从企业资源利用角度去审视:应有“人力资源控制系统、物力资源控制系统、财力资源控制系统、信息资源控制系统”;从经营环节角度去审视:应有“供应环节控制系统、生产环节控制系统、销售环节控制系统”;等等。在对内部控制的完整性作出判断时,还应当考虑到企业经营规模及业务复杂程度的影响。一般情况下,企业经营规模愈大,业务复杂程度就愈高,对内部控制的完整性要求也愈高。其次是合理性。企业设置内部控制切忌照抄照搬,因此应当考虑企业内控设计和执行时的适应性和经济性。因为,企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异,不同的企业就应当根据其不同的特点设置内部控制制度。在对某一企业评价其内部控制的适用性时,要注意控制点的设置是否合理,有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,既不能分工过细,又能起到相互牵制的作用。同时,内部控制的适用性要以经济性为限制条件。第三是有效性。企业内部控制的有效性应该体现在是否能为提高经营效益、提供可靠财务报告和遵循法律法规方面提供合理保证,有效性是内部控制的精髓。在内部控制评价的3个一般标准中,内部控制的有效性以其完整性与合理性为基础,内部控制的完整性与合理性则以其有效性为目的。在对企业内控制度的有效性进行审核评价时,要注意内部控制不仅仅需要在总体上是有效的,而且需要各项具体制度也要有明确的目的并发挥其自身的作用。要审核内部控制系统是否相互协调,自相矛盾;是否顾此失彼、相互制约;是否有利于整体功能的发挥。要关注内部控制是否适度,如果过严则会使管理活动失去活力,影响相关方积极性的发挥;过宽又会引起运行的机制失调,达不到控制目的。具体标准测试的5大要素在对内控制度进行评价时,只有先从操作性较强的具体标准入手,对具体内控制度的设计与运行有了认识之后,才能从整体上对企业内部控制的完整、合理、有效作出判断。对具体标准的评价方法常用的有“询问、观察、检查、重新执行”。企业内部控制评价可以按下列步骤:首先是企业控制环境。以《上市公司内部控制指引》为依据,对企业进行测评。主要有:企业治理结构是否完善,董事会、监事会和股东大会等管理架构是否合法运作和科学决策;是否建立有效的激励约束机制和树立风险防范意识;企业管理层及业务环节是否开展内控培训,让内部风险防范成为高管的共识;是否培育良好的企业精神和内部控制文化,创造全体职工充分了解并履行职责的环境;企业高管人员和采购人员是否签订诚信承诺书,对所有的重要原材料及设备供应商,在购销活动中首先签订阳光协议,要求其操作过程透明公开,禁止商业贿赂等行为。其次是企业风险。企业管理层应对影响企业目标实现的内、外部各种风险进行分析,考虑其可能性和影响程度,制定必要的对策。在对企业风险防范作测评时,应重点关注企业是否建立完整的风险评估体系,是否建立审计委员和风险管理部门,是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控;是否对已发现的企业各类风险有控制措施,如内控制度执行情况的检查和监督,以及相关制度是否向子公司延伸,以确保子公司的经营安全。同时,还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善,如在日常经营风险管理中对“重大采购二次询价”,建立“不合格供应黑名单”是否有实时监控。是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。第三是企业控制活动。企业管理层为确保风险对策有效执行和落实所采取的措施和程序,主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。在对企业控制活动测试时,要重点审核组织机构方面采取的控制活动和内控制度方面采取的控制活动。在组织结构方面重点审核:机构、岗位及职责权限是否合理设置和分工,不相容职务是否相互分离,是否成立相关法律事务部门和职能,对采购与验收等环节是否设置相互监督制度,做到人员分离。企业是否把业务流程作为内部控制制度建设的重点,设置关键控制点和反馈系统。在内控制度建设方面重点审核:企业是否制定了董事会的议事规则、总经理事权规则、财务管理制度、采购管理制度、投资管理制度、合同管理制度、子公司管理制度、内控检查监督制度等。第四是企业信息与沟通。在对企业信息活动测试时,要重点审核公司是否已制定公司内部信息和外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况,确保各类风险隐患和内部控制缺陷得到妥善处理;公司的日常业务包括资产、财务管理等是否实行流程表单化管理和建立ERP系统。第五是企业检查与监督。在对企业该项活动测试时,要重点审核公司是否已制定了内部控制检查监督法,该项工作是否在董事会或审计委员会直接领导下,有风险管理部门或审计部门具体负责实施,并有相关制度。如:基建项目是否有竣工决算审计制度、主要领导的离任是否实施责任审计,重大投资、担保、抵押、关联交易是否建立审核会签制度;以及是否有对公司重要物资、设备、原材料定期盘点和不定期的抽查制度,对公司现金、银行账户的抽查制度等。综上所述,注册会计师对企业内部控制作出评价,包括被评价的企业内控制度是否符合我国有关法律法规和证券监管部门的要求,是否对企业重大风险、严重管理舞弊及重要流程错误等方面有控制和防范作用等,都有赖于建立一个完善的企业内部控制评价标准体系。相信通过有关部门的高度重视和实践的积累,一套比较成熟的、适合中国国情的企业内部控制评价标准体系不久将会建立。
④ 如何评价内控有效性的分析与研究
(一)有效的内部控制是一个范围,不是绝对的保证
有效的内部控制是提供合理保证,不是100%的保证。美国《证劵交易法》对合理保证的解释是:“这是一种详细的水平和保证程度,它能够使谨慎的高级职员在处理事务的时候感到满意”。所谓的一个范围指的是有效的内部控制不是一个点,而是一个区间,在合理保证和绝对保证之间必然存在一个区间(陈汉文和张宜霞,2008)。这个区间之间只有上限,即100%,下限是人们根据实际情况作出的判断,这是一个不确定的数值。所以,有效的内部控制仅仅为企业目标的实现提供一个合理的保证,而不是绝对的保证,也可以说有效的内部控制仅仅是存在的一个判定的区间,而不是一个点。内部控制的目标实现如果在这个范围内,就可以说这个内部控制是有效的,反之,则是无效的。
(二)内部控制目标不同,有效的内部控制含义也不同
每个企业的内部控制目标是不同的,所以有效的内部控制的概念也会因此有差别,当然合理保证的内容也会不同。遵循法规和财务的可靠性两个目标通常在企业的可控范围之内,因此,内部控制一般都能合理保证其实现。而对企业的战略目标,企业的内部控制不可能完全杜绝错误的判断和决策,因为战略目标不仅仅受到自身因素的影响,还受到外部环境的影响,而外部环境是复杂多变的,这个时候,企业就很难以控制。因此,企业管理层为了做出更好的决策,都会利用内部控制,然而此时,仍然不能保证这些目标的实现。因此,有效的内部控制对于财务报告的可靠性和企业的战略目标而言是不同的。那么这个时候对企业的内部控制有效性如何做出评价呢?仍然是判断企业内部控制目标的实现是否属于该范围,如果属于,内部控制就是有效的内部控制,否则,就是无效的内部控制。
(三)内部控制的认定环节应该是执行的有效性
为了实现设计有效、全面和详细,在进行内部控制制度设计时,必须考虑到内部控制的五大目标的实现,然而最终使得相关机构设计出来的内部控制制度不符合企业的实际情况,最终大部分都没有被企业接受。实际上,对于认定环节到底是“设计有效”更重要还是“执行有效”更重要,这个问题一直面临一个很难抉择的处境,因为要使内部控制制度的设计更有效,内部控制的构建既要考虑到全面性,也要考虑设计的详细,又要考虑成本效率和效益的原则,还要考虑易于用到实践中去,“这就充分暴露出内部控制在‘设计有效’和执行有效之间存在着相互替代的矛盾效应”,内部控制的这种替代效应会造成企业管理者顾此失彼,在进行选择的时候,到底是考虑“设计有效”更重要还是“执行有效”更重要呢?毫无疑问,当然是内部控制制度的执行更重要,这也是内控的最终目标,当两者出现冲突的时候,内部控制执行的有效性是首先要考虑到的。
如何才能做到内部控制的执行有效性呢?主要有以下两个方面:
1.内部控制制度的设计要以执行有效为基础
成本效益原则是在设计内部控制制度时首先要考虑的。要设计一个符合企业实际情况的内部控制制度一定要花费成本,比如在聘请注册会计师实施内部控制审计或者引入外部咨询机构进行内部控制设计和评价工作,一定会增加企业的成本。但是在执行内部控制制度的时候,只有建立一套科学且符合企业实际情况的内控体系,内部控制制度才能得到真正得到落实。企业才能真正做大做强,打造成“百年老店”,同时,内部控制制度的设计必须遵循内部控制框架理论,并且结合企业的实际情况,体现企业的经营理念和组织结构等个性特征。
2.建立风险管控为导向的内部控制制度
内部控制制度是在管控企业风险的基础上建立的,首先要对企业的业务流程进行全面的梳理,找到企业的主要风险控制点,根据企业的风险控制点有针对性的去设计内部控制制度;其次,将内部控制制度应用于实践,任何一个内控制度是否有效且能否得到良好的执行,不能仅局限于理论上,必须接受实践的检验。最后,结合企业的实际情况,发现内部控制实际运行的时候存在问题,并不断改进。
内部控制有效性的评价方法:
对内部控制设计和执行两个方面进行评价是目前国内外得到普遍认可的观点。很显然,内部控制设计有效,但并不意味着内部控制就能得到很好的执行,因此内部控制有效性既要设计有效,还要执行有效,美国证券交易委员会(SEC)也规定:在进行内部控制有效性评价的时候,应该考虑内控设计和执行两个方面的有效。目前对内部控制有效性的评价主要定性和定量两种方法,基于对内部控制有效性理论框架的构建,然后在此基础上,构建数学模型,运用数据和指标进一步对内部控制有效性进行评价。
(一)定性方法
国内外对于内部控制有效性评价的定性评价研究主要有风险基础法和详细评价法两种方法,这两种方法都是基于COSO提出的内部控制整体框架理论中的三大目标和五要素。
1.详细评价法。这种方法首先以权威机构制定出的内部控制制度框架为参考标准,根据内部控制构成的要素去评价内部控制的设计有效性,然后,再对内部控制运行有效性进行测试之后,最后做出内部控制设计和实施的有效性的评价,最终确定内部控制是否有效。此种方法优点是不需要高度的专业判断,但也有很多缺点,一方面因为这种简单的对照方法去评价会造成高成本、低效率;另一方面这样得出的结论不可靠。尽管权威制定且得到普遍认可的内部控制框架理论是一个通用的标准,但是并没有考虑到企业本身所处的实际情况,比如企业的规模、企业的行业以及外部的环境。由于这些缺点,美国实务和理论界后来提出了风险基础法
2.风险基础法。风险基础法是风险到控制,首先评估内部控制的风险,在识别风险产生的原因;最后对存在的内部控制缺陷进行评估,确定其是否有效。这种方法的优点是:一方面,可以结合每个企业的特定情况,比如企业所处的规模、所处的行业和所处的国家等情况,避免详细解释法的简单核对,能提高广泛的适用性和灵活性,降低成本,提高效率;另一方面,风险基础法是在进行风险评估的基础上,对内部控制的有效性进行测试范围以及收集证据,这样同样可以降低成本,提高效率。风险基础法的唯一缺点是需要更高程度的专业判断。
(二)定量法
内部控制有效性评价的定量方法是选取指标建立模型,主要有模糊综合评价法,层次分析法和经验判断法等。模糊综合评价法有以下研究:以货币资金会计控制、实物资产会计控制等9个方面为要素(周春喜,2002),此种方法的有点事方法使用、简洁和可操作,缺点是综合评价设计因素多且复杂,研究如何建立与评价内部会计控制的问题仍然有必要;以控制环境、风险评估、内部管理控制、内部会计控制和监督控制为要素(温涛,2004),优点是建立多层模糊综合评价模型将定性指标定量化,更有利于实践工作,但缺点是权重因和因素集代表性有待进一步探讨;层次分析法有以下研究:以风险评估、控制点确定、关键控制点确定、对应设计指标为要素(戴彦,2006),优点是重点提出在企业庞大的体系运作下,要找准切入点进行评价,不足之处还需要更多实例验证;以内部环境、目标制定等7项为要素(姚靠华、蒋玲玲,2007),优点是有效解决了各因素重要性难以量化的问题,达到了定量定性相结合的目的,但是如何推广需要进一步探讨。
从上述方法可知内部控制有效性的评价方法有了一定的完善和发展,但目前仍然有不少缺陷,比如模糊数学方法运用使得一些定量指标模糊化,使得评价结果不准确,而且其运作起来也很复杂。因此,采用单一的指标和模型不能对内部控制有效性进行科学合理的评价,将来研究发展更倾向于采用综合指标和综合的评价体系对内部控制有效性进行评价。
⑤ 如何判断内部控制运行的有效性
评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。如果保证的水平处于有效内部控制的区间内,则内部控制是有效的,如果保证的水平低于合理水平,则内部控制是无效的。从另一个角度来看,就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平,如果已经降到了一个适当的水平,则内部控制是有效的;反之,则无效。从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。
⑥ 建立有效的内部控制至少应包括哪些基本要素
由于美国COSO报告对内部控制基本要素的定义在全世界范围内被广泛采用,我们借鉴了COSO的表述,该表述将内部控制的基本要素定义为:
1、内部环境。
内部环境,是影响、制约企业内部控制制度建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。
2、风险评估。
风险评估,是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
3、控制措施。
控制措施,是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
4、信息与沟通。
信息与沟通,是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
5、监督检查。
监督检查,是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。
⑦ 求 什么是控制测试如何判断内部控制运行的有效性
①控制测试复指的是测试制控制运行的有效性。控制运行有效性强调的是控制能够在各个不同的时点按照既定设计得以一贯执行,是为了确定被审计单位控制政策和程序的设计与执行是否完整与有效而实施的审计程序。②内部控制系统有效与否在于其能否发挥作用并实现既定的目标.当错弊发生时,如果内部控制对杜绝错弊的发生无能为力,则判断内控无效,如果内部控制能够发挥作用,则说明内控有效.内部控制系统有效程度取决于有效程序的过程性、结果性等要素.
⑧ 注册会计师是否需要对被审计单位内部控制有效性发表审计意见
注册会计来师可以承接多种业务流自程。
年报的审计,资产鉴证,内控的鉴证,内控也包括多种,有专门针对销售控制,投资控制,财务管理控制等。
如果是一般的年报审计,资产鉴证,注册会计师没有必要一定要对被审计单位内控有效性发表审计意见,但是可以提出内部管理建议书。
但是如果注册会计师承接的就是对于被审计单位的内控进行检验,鉴证的业务,那就必须在报表中给出被审计单位内控有效性的审计意见。
⑨ 如何建立健全有效的内部控制制度
(一)建立科学的企业内部控制体系具体包括以下三个控制层次:
1、建立以防为主的监控防线,即在企业供、产、销全过程中建立相互制约的制度,各部门人员要各守其责、相互监督、相互制衡。
2、建立以查为主的监督防线,即以现有的稽核、审计、纪检监察部门为基础,成立一个直接归董事会管理并独立于审计对象的审计委员会。审计委员会通过内部常规审计、离任审计、落实举报、监督审查企业的会计报表等手段,对会计部门实施内部控制。
以上三个层次内部控制体系构筑的“防、堵、查”递进式监督控制,对于及时发现问题,防范和化解企业经营风险和会计风险,具有重要作用。
(二)内部控制能否得到有效执行,关键在于对人的控制内部控制不仅仅是一系列的规章制度、文件,它还是企业生产经营管理的一部分,是对企业的整个经营管理活动进行监督和控制的过程。要想把内部控制工作落到实处,企业就要着重加强对内部控制行为主体“人”的控制。企业内部控制失效,经营风险、会计风险的产生,其责任主要是行为主体者即企业领导人及有关业务经办人员,要搞好内部控制,就要提高人的综合素质。综合素质既包括知识和技能,又包括道德观、价值观和世界观等各个方面。应深入进行职业道德教育,从正反两方面加强对他们的法纪政纪、反腐倡廉的教育,增强自我约束能力。使其自觉遵守和执行各项法律、法规和有关制度。同时要对相关人员开展持续有效的专业知识教育,以不断提高其专业知识和业务能力,使各岗位人员均能胜任其工作,减少业务处理上的技术错误,并及时发现生产经营过程中的异常情况。企业要避免空洞的说教,按照内部控制的要求,针对各岗位的特点建立其具有操作性的职业道德规范和行为准则,从而为内部控制发挥作用提供良好的人文环境。
(三)建立有效的激励机制为保证内部控制的有效执行,企业应建立有效的激励和约束机制,把员工的责、权、利统一起来,把员工的切身利益与企业兴衰息息相关,调动起员工参与内部控制的积极性。企业要建立科学的聘用、培训、轮岗、晋升、淘汰等人事制度,制定严格的个人收入和工作业绩挂钩的薪酬制度和分配制度,并做到考核及时、奖罚到位,另外,要彻底改变长期以来形成的“人控”现象,树立制度优先的思想,让全体职工认识到自己在内部控制中所负的责任及内部控制对于企业及自身的重要意义,从而使所有的员工都处于制度的控制之中。
(四)建立良好的信息沟通系统信息与沟通是指单位为了提高管理效能、促进员工全面正确履行职责而搜集、识别、交流各种内部和外部信息。良好的信息沟通系统可以促使企业及时掌握企业运营状况和发生的各种情况,及时为企业的生产经营决策提供全面、及时、准确的信息。信息与沟通的主要环节有:确认、计量。记录有效的经济业务;在财务报告中恰当揭示财务状况、经营成果和现金流量;保证管理层与单位内部、外部的顺畅沟通,包括与利益相关者、监管部门、注册会计师、供应商等的沟通。信息与沟通的方式是灵活多样的,但无论哪种方式,都应当保证信息的真实性、及时性和有用性。
⑩ 请问,内部控制的执行与内部控制的有效性的区别
内部控制有效性包含两个层面,一是内部控制设计的有效性,二是内部控制的执行有效性。所谓内部控制设计的有效性是指内部控制的设计覆盖了所有组织应关注的重要风险,且设计的风险应对措施适当。通俗的说就是应该有的制度都有,且这些制度符合内控规范要求,从设计角度而言,能够达到控制风险的作用。所谓内部控制执行的有效性是指内部控制能够按照设计要求严格(有效)执行。在我国,问题往往出在执行层面,有制度不执行或乱执行。只有有效执行才能发挥制度功能,有效控制风险,才能发现制度本身可能存在的设计缺陷,从而改进制度。