中天华溥许风:企业如何开展内控体系的评价
作者:中天华溥高级项目经理 许风
一、内控评价目的
内部控制评价的目的是全面评价内部控制的设计与运行情况,揭示和防范经营风险。内部控制评价目的通过企业管理层对内部控制有效性进行全面测试评价、形成评价结论、出具评价报告等过程来实现的,促使企业切实加强内部控制体系建设并认真执行,保证内部控制体系得到持续优化和改进。
二、内控评价原则
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务事项和高风险领域。
(三)客观性原则。评价工作应当准确揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
三、内控评价内容
公司内部控制评价应以企业正式颁布实施的《内部控制管理手册》所列控制措施为评价内容,对控制措施进行了分项,分别为内部环境、风险评估、控制活动、信息与沟通和内部监督,并对每一分项中控制措施执行的有效性进行检查、测试和评价。
(一)内部环境
公司评价内部环境应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合《内部控制管理手册》及相关管理制度、文件等,对内部环境的实际运行情况进行认定和评价。
(二)风险评估
公司开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合企业内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(三)控制活动
公司开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合企业《内部控制管理手册》及相关管理制度、文件等,对相关控制措施的设计和运行情况进行认定和评价。
(四)信息与沟通
公司组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合企业内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(五)内部监督
公司组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常监督和持续监控的规定为依据,结合企业内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
内部控制评价一般采取评分制,每个控制点对应的控制措施均设定基本分值,经测试或检查后根据结果判定实际得分,所有评价内容的得分总和即为当前公司内部控制体系总评价得分,如下图所示:
内部控制评价工作应当形成工作底稿(见附件),详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
四、内部控制评价程序
(一)制定评价工作方案
内部控制评价机构在实施评价工作前拟定评价工作方案,明确评价主体范围、人员组织、进度安排等相关内容,报经公司审批后实施。
(二)组成评价工作组
内部控制评价机构根据经批准的评价工作方案,组成内控评价工作组,实施内部控制评价工作。组建内控评价工作组应当充分考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
(三)实施现场测试
实施现场测试包括评价资料准备、确定测试点等内容。
1.评价资料准备。制定抽样计划,编制被评价单位需提交资料清单,取得并研读被评价单位内部控制相关资料,初步了解其业务特点及内部控制管理情况。
2.根据评价实施方案的要求和对被评价单位的了解,初步确定拟测试的控制点。
3.根据确定的控制点采用抽样、个别访谈、专题讨论、穿行测试、比较分析、实地查验等方法进行相关测试。
4.根据测试结果,对内部控制要素进行评价。内部控制评价采取评分制,每个控制点对应相应的控制要素分配分值,所有控制要素评价得分总和即为被评价单位总得分。
5.整理评价证据
进行内部控制评价时,应当取得充分、适当的评价证据,为支持评价结论提供有力保障。
(四)认定控制缺陷
内部控制缺陷包括设计缺陷和运行缺陷。企业为实现内控目标必需的重要控制措施不足,或者设计不合理,致使内部控制目标不能实现属于设计缺陷;内部控制执行者没有依据内部控制制度的要求执行,或者执行者不具备有效地实施内部控制的能力,致使内部控制目标不能实现属于运行缺陷。
内部控制评价工作组根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。缺陷认定的基本原则包括:
1.重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
2.重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
3.一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
企业可以根据《企业内部控制基本规范》、《企业内部控制评价指引》对重大缺陷、重要缺陷和一般缺陷的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,研究确定适用本公司的内部控制缺陷具体认定标准。
五、汇总评价结果
内控评价组在实施内部控制评价后,应与被评价单位主管领导沟通,以核对数据,确认事实。
根据评价结果反馈意见,内控评价组编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其表现形式、成因、影响程度进行分析,提出认定意见,向公司领导层报告。
对于认定的重大缺陷,公司应及时采取应对策略,切实将风险控制在可承受范围内,并追究有关机构或相关人员的责任。
六、编报评价报告
内控评价组应根据《企业内部控制基本规范》及配套指引和《企业内部控制评价指引》的要求,设计内部控制评价报告的体系、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。
根据充分、适当的评价证据,形成评价结论,撰写评价报告,评价报告至少应当披露下列内容:
(一)董事会对内部控制报告真实性的声明。
(二)内部控制评价工作的总体情况。
(三)内部控制评价的依据。
(四)内部控制评价的范围。
(五)内部控制评价的程序和方法。
(六)内部控制缺陷及其认定情况。
(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(八)内部控制有效性的结论。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。