内部控制评价方法有哪些?
从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。
详细评价法
在《企业内部控制——整合框架》中,COSO指出,确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断,这些要素也是有效内部控制的标准。COSO还指出,认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断,构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC,2003)以及后来发布的管理层评价指南中,都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大漏洞(material weaknesses,MW),确定内部控制是否有效。
风险基础评价法
企业内部控制的另一种思路和方法不是从控制到风险,而是从风险到控制,即从内部控制相关目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标来说,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。
《企业内部控制评价指引》第十五条规定,内部控制评价工作组对被评价单位进行现场测试时,可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访问法
个别访问法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲,撰写访问纪要,记录访问的内容。为了保证访谈结果的真实性,应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工,公司是否建立了员工培训长效机制,培训是否能满足员工和业务岗位需要?
2.调查问卷法
调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。比如你对企业的核心价值观是否认同?你对企业未来的发展是否有信心?
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。如针对销售交易,选取一批订单,追踪从订单处理一-核准信用状况及赊销条款一-填写订单并准备发货一-编制货运单据一-订单运送/递送追踪至客户或由客户提货-一开具销售发票一-复核发票的准确性并邮寄/送至客户一-生成销售明细账一-汇总销售明细账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。
4.抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性,即样本库应包含符合控制测试的所有样本;其次要确定所抽取样本的充分性,即样本的数量应当能检验所测试的控制点的有效性;最后要确定所抽取样本的适当性,即获取的证据应当与所测试控制点的设计和运行相关,并能可靠地反映控制的实际运行情况。
5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较,分析存在异常的应收客户款,进而对这些客户的赊销管理控制进行检查。
7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制管理部门组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
在实际评价工作中,以上这些方法可以配合使用。此外,还可以使用观察、检查、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
内部控制评价方式,是指内部控制评价工作的基本形式,是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行,从内部控制评价本身以及目前的发展情况来看,主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价,就是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在,评价内部控制的设计有效性;然后,测试内部控制的运行有效性;最后,综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞,确定内部控制是否有效。显然,详细全面评价是一种传统的内部控制评价方式,企业最初进行内部控制建设或日常的评价中应用较多,主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当,存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注内部控制的“What and Why”,尽管这些框架或标准提供了评价有效性的标准,但不够细致,不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价,就是以风险为导向,首先,要评估相关目标实现的风险;其次,识别和确定组织充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。这种方式是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了“自上而下,风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始,然后到具体作业层级控制的测试,主要体现在:从财务报表整体开始,然后到账户、披露;从公司层面的控制开始,然后到活动层面的控制。“风险基础”主要体现在:以评估控制目标实现的风险为起点;关注重要的财务报告和披露风险与问题;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性及灵活性;关注最重要的风险,提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式,要求评价人员改变传统的评价模式,把评价的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向评价方式下,评价人员更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策?风险为导向评价方式下,评价人员大多采用内部控制自评(CSA)、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一方式,英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则:采用一种自上而下的重视风险的方法,即着眼于与财务报告相关重要虚假记载相联系的风险,对业务流程相关的内部控制进行评价,具体策略:运用自上而下的风险方法;内部控制缺陷的分类,将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类;不采用直接业务报告的做法;内部控制审计与财务报表审计一并实施;内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。详细评价法
在《企业内部控制——整合框架》中,COSO指出,确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断,这些要素也是有效内部控制的标准。COSO还指出,认定一个主体的企业风险管理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断,构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC,2003)以及后来发布的管理层评价指南中,都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在重大漏洞(materialweaknesses,MW),确定内部控制是否有效。
风险基础评价法
企业内部控制的另一种思路和方法不是从控制到风险,而是从风险到控制,即从内部控制相关目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标来说,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。
《企业内部控制评价指引》第十五条规定,内部控制评价工作组对被评价单位进行现场测试时,可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访问法
个别访问法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲,撰写访问纪要,记录访问的内容。为了保证访谈结果的真实性,应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工,公司是否建立了员工培训长效机制,培训是否能满足员工和业务岗位需要?
2.调查问卷法
调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。比如你对企业的核心价值观是否认同?你对企业未来的发展是否有信心?
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。如针对销售交易,选取一批订单,追踪从订单处理一-核准信用状况及赊销条款一-填写订单并准备发货一-编制货运单据一-订单运送/递送追踪至客户或由客户提货-一开具销售发票一-复核发票的准确性并邮寄/送至客户一-生成销售明细账一-汇总销售明细账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。
4.抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性,即样本库应包含符合控制测试的所有样本;其次要确定所抽取样本的充分性,即样本的数量应当能检验所测试的控制点的有效性;最后要确定所抽取样本的适当性,即获取的证据应当与所测试控制点的设计和运行相关,并能可靠地反映控制的实际运行情况。
5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。
6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较,分析存在异常的应收客户款,进而对这些客户的赊销管理控制进行检查。
7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制管理部门组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
在实际评价工作中,以上这些方法可以配合使用。此外,还可以使用观察、检查、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
答:将风险控制在可承受度之内。(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
答:这种方式的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当,存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注...
答:评价过程中可同时采用两重分析的方法。研讨会的风险分析逻辑有两种。一种是顺时针法,即由目标——风险评估——控制——流程,重点保证内部控制制度的完整性。另一种是逆时针法,即由流程——控制——风险评估——目标,重点保证内部控制制度的适当和有效性。笔者在实践中发现研讨会可考虑两种方法结合运用,...
答:2、风险评估评价 企业组织开展风险评估评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。3、控制活动评价 企业组织开展控制活动评价,应当以《企业...
答:具体标准测试的5大要素在对内控制度进行评价时,只有先从操作性较强的具体标准入手,对具体内控制度的设计与运行有了认识之后,才能从整体上对企业内部控制的完整、合理、有效作出判断。对具体标准的评价方法常用的有“询问、观察、检查、重新执行”。企业内部控制评价可以按下列步骤:首先是企业控制环境。以《上市公司内部...
答:商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素,尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时,目标应用...
答:(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。 管理过程中的控制 控制的定义。是指管理人员为了保证组织目标的实现,对下属工作人员的实际工作进行测量、衡量和评价,并采取相应措施纠正各种偏差的过程。 控制的要点。1、建立标准 标准是...
答:四、弹性控制的原则 企业要制定汤性的计划和弹性的衡量标准,要求一切控制从实际出发,设计良好的控制系统。五、客观控制的原则 有效地控制必须是客观的、符合企业实际的,主要包括控制标准的客观性和实际绩效评价的客观性两个方面。要进行客观控制,管理者首先要建立客观的计量方法,把定性的内容具体化,...
答:2.被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。3.被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。4.被评价单位是否开展内部控制自查并上报有关 自查报告 。5.被评价单位是否建立有利于促进内部控制各项政策措施落实和...
答:内部控制检查与评价业务流程(仅供参考!)1. 目标 通过规范内部控制的检查与评价工作流程,确保检查评价工作按规定程序和适当授权进行,实现预期目标;确保检查评价工作的方法和标准一致,减少检查评价工作的随意性;确保集团公司和企业在年度财务决算中恰当披露内部控制制度执行情况,符合国家有关法律法规和外部...
