上市公司内部控制评价体系
在实际审计工作中,必须有一套客观可行的评价被审计企业内部控制的基本参考标准。这套标准不仅可以为企业自我评价和改进内部控制提供依据,也为各方面的沟通和理解提供了统一的基础。虽然我国内部会计控制的建设和完善已进入起步阶段,但内部会计控制的标准和评价体系相对薄弱,制约了企业内部控制的有效实施。因此,建立一套完善、实用、可操作的内部控制评价体系势在必行。
内部控制评价体系框架
研究制定一套统一的、公认的、完善的、具有实用性和可操作性的评价标准体系,应从企业管控目标和内部控制要素入手,综合考虑目标定位、内容范围和设定方法。但是,无论如何,企业内部控制的评价标准可以分为一般标准和具体标准两部分。一般标准是在具体标准的基础上发展起来的,也是具体标准的升华。两者相辅相成,缺一不可,共同* * *构成了一个完整的评价体系。
这里所说的一般标准一般包括三个方面,即完整性、合理性和有效性。具体标准由内部控制要素评价标准和操作层面评价标准两部分组成,其中要素评价标准可分为控制环境、风险评估、控制活动、信息与沟通、监督五个方面;由于其复杂性,活动水平的评价标准难以穷尽。例如,一个生产性企业的框架构建可以分为五个业务周期,即销售业务周期、采购业务周期、生产业务周期、薪酬业务周期和财富管理业务周期。在内部控制评价的具体标准中,要素的评价标准是以操作层面的评价标准为基础的。
通用标准测试的三个方面
首先是诚信。企业内部控制是否完备是第一位的,也是评价通用标准的基础。如果不能实现内部控制的完整性,内部控制的合理性和有效性就无从谈起。
从系统的角度,可以从企业资源利用的角度来考察:应该有“人力资源控制系统、物质资源控制系统、财务资源控制系统、信息资源控制系统”;从业务环节来看,应该有“供应环节控制系统、生产环节控制系统、销售环节控制系统”;等一下。在判断内部控制的完整性时,还应考虑经营规模和业务复杂程度的影响。一般来说,企业规模越大,其业务的复杂程度越高,对内部控制完整性的要求也越高。
第二是理性。企业应避免照搬内部控制,因此应考虑内部控制设计和实施的适应性和经济性。由于行业、组织规模、交易性质、经济技术条件、人员素质等存在较大差异,不同企业应根据各自不同的特点建立内部控制制度。
评价企业内部控制的适用性时,应关注控制点的设置是否合理,控制点是否过多或不必要;是否在每个需要控制的地方都建立了控制链接;控制功能是否划分清楚;人员之间的分工和牵制是否合适,不能太细,也要起到相互牵制的作用。同时,内部控制的适用性要受到经济的限制。
第三是有效性。企业内部控制的有效性应体现在能否为提高经营效率、提供可靠的财务报告和遵守法律法规提供合理的保障。有效性是内部控制的本质。在内部控制评价的三个一般标准中,内部控制的有效性以其完整性和合理性为基础,内部控制的完整性和合理性以其有效性为目标。
在审计和评价企业内部控制制度的有效性时,要注意内部控制不仅在总体上是有效的,而且每个具体的制度都要有明确的目的,发挥自己的作用。审查内部控制系统是否协调和矛盾;是否顾此失彼,相互制约;是否有利于整体功能。要注意内部控制是否适度,如果过严,会使管理活动失去活力,影响相关方的积极性;如果过宽,会造成运行的机制失衡,达不到控制目的。
特定标准测试的五个要素
评价内部控制制度时,只有从操作性强的具体标准入手,对具体内部控制制度的设计和运行有所了解,才能从整体上判断企业内部控制的完整性、合理性和有效性。具体标准常用的评价方法是“询问、观察、检查、再执行”。企业内部控制评价可以按照以下步骤进行:
首先是企业控制环境。依据上市公司内部控制指引,对企业进行评价。主要包括:公司治理结构是否完善,董事会、监事会、股东大会等管理架构是否合法运作、科学决策;是否建立有效的激励约束机制,树立风险防范意识;企业管理层和业务环节是否开展内部控制培训,使内部风险防范成为高管人员的知识;是否培育良好的企业精神和内控文化,营造全体员工充分理解和履行职责的环境;企业高级管理人员和采购人员是否签订了诚信承诺书,在购销活动中首先对所有重要原材料和设备供应商签订阳光协议,要求其操作过程透明公开,禁止商业贿赂等行为。
其次,企业风险。企业管理层应分析影响企业目标实现的内外部风险,考虑其可能性和影响程度,制定必要的对策。在评价企业风险防范时,应重点关注企业是否建立了完整的风险评估体系,是否建立了审计委员会和风险管理部门,是否持续监控业务风险、财务风险、市场风险、政策法规风险和道德风险。对企业内部发现的各类风险是否有控制措施,如对内部控制制度执行情况的检查和监督,相关制度是否延伸到子公司,以保证子公司的运营安全。
同时,还应关注相关业务项目和已知风险点是否定期检查、评估、提示和改进,如日常业务风险管理中是否有“重大采购二次询价”和“不合格物资黑名单”的实时监控。是否为客户建立征信档案,是否定期梳理与公司发展战略不符的业务或项目等等。
第三是企业控制活动。企业管理层为确保风险对策有效实施而采取的措施和程序主要包括批准、授权、验证、协调、评审、定期盘点、记录检查、财产保护、职责分离、绩效考核等。
测试企业控制活动时,应重点审计组织采取的控制活动和内部控制系统采取的控制活动。在组织架构方面,重点审核:机构、岗位、职责权限是否合理设置和划分,不相容岗位是否相互分离,是否建立相关法律事务部门和职能,采购和验收是否建立相互监督制度,做到人员分离。企业是否将业务流程作为内控体系建设的重点,设置关键控制点和反馈系统。在内部控制制度建设方面,重点审核:企业是否制定了董事会议事规则、总经理权力规则、财务管理制度、采购管理制度、投资管理制度、合同管理制度、子公司管理制度、内部控制检查监督制度等。
第四是企业信息与沟通。测试企业信息活动时,重点审查公司是否制定了公司内外部信息的管理政策,确保信息能够准确传递,确保董事会、监事会、高级管理人员和内部审计部门及时了解公司及控股子公司的经营和风险状况,确保各类潜在风险和内部控制缺陷得到妥善处理;公司的日常业务,包括资产和财务管理,是否实行流程表单管理,建立ERP系统。
五是企业检查监督。在测试企业的这项活动时,重点审查公司是否制定了内部控制检查和监督措施,这项工作是否由董事会或审计委员会直接领导,是否由风险管理部门或审计部门具体负责执行,是否有相关制度。比如基建工程决算是否有审计制度,主要领导离任是否实行责任审计,重大投资、担保、抵押、关联交易是否建立审计会签制度;以及是否有对公司重要材料、设备、原材料的定期盘点和不定期抽查制度,对公司现金、银行账户的抽查制度。
综上所述,注册会计师对企业内部控制的评价,包括被评价企业内部控制制度是否符合我国相关法律法规和证券监管部门的要求,是否控制和防范重大风险、严重管理舞弊和重要流程错误,有赖于建立完善的企业内部控制评价标准体系。相信通过相关部门的高度重视和实践的积累,一套比较成熟的适合我国国情的企业内部控制评价标准体系将很快建立起来。