寿险公司内部控制评价手册
人们习惯于将内部控制评价的内容分为整体层面的控制评价和业务层面的控制评价。总体水平控制评价是评价总体水平控制有效性的过程。这个过程包括:确定整体层面控制是否为业务层面控制的有效实施创造了整体环境;识别整体水平控制的弱点,这些弱点将影响业务水平控制测试的设计。总体水平控制评价不是对内部控制的总体评价,内部控制总体评价是对各种控制过程和因素的综合考虑,从而得到一个总体评价。总体水平控制的测试是针对具体的控制目标,但应将控制视为一个整体,而不是单个控制目标。例如,一个控制领域的弱点可以通过设计和实施其他领域的有效控制来弥补。控制需要有多可靠才能被认为是有效的?整体水平控制必须达到最高水平的可靠性才有效吗?决策时要考虑以下事项:第一,统筹考虑。最后,内部控制的有效性应该由整个系统而不是单个组成部分来评价。在设计体系时,组织应该权衡是改进体系中的某些要素,还是通过其他更有效的控制来弥补。二是合理保障和重要性。内部控制只能提供合理而非绝对的保证。内部控制有效性的评价应以整体财务报表为基础,所以要从整体财务报表中考虑内部控制未能防止或发现的错报是否重要。用于评价整体水平控制的过程包括:使用内部控制可靠性模型,对每个控制目标的有效性进行分级;将单一控制目标整合到组织的整体层级控制中。如何最终评价控制的有效性?加拿大特许会计师协会对此进行了研究,有一个特别的结论值得注意。证据不仅是事实的集合,也是审计人员所知道的一切的整合。证据不会以整齐的顺序出现——它是非线性的、分散的,必须进行整理、分类和综合。有些证据是可以客观证实的具体事实,但大多数是看到的、听到的或感受到的印象,包括组织中人们的态度和意图、组织文化和道德争论。在有意或无意的过程中,人们会考虑所有这些因素——在形成结论时把它们作为证据。业务层控制评价是评价业务层控制有效性的过程,是内部控制评价的核心内容。
中天恒3C框架一直主张内部控制评价应包括会计控制、业务控制和管理控制,会计控制评价是基础,业务控制评价是核心,管理控制评价是努力方向。内部控制的评价当然包括设计和执行两个方面,但关键是执行。
信息系统环境下的内部控制评价的内容肯定与手工处理环境下的不同。一般来说,计算机信息系统的内部控制可以分为一般控制和应用控制。一般控制适用于广泛的风险,这些风险系统地威胁信息系统环境中所有应用程序的完整性。应用控制是控制特定应用系统(如工资、应收账款和采购应用系统等)的风险。),其风险来自于信息系统中应用系统本身的漏洞,直接威胁数据的安全性和准确性。一般控制评价应重点关注信息技术控制目标、程序变更、计算机操作以及与信息系统开发相关的数据接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应结合企业业务流程的特点,重点关注信息系统中与业务流程相关的控制点,评价相关应用系统运行数据的真实性、准确性和合规性。
内部控制评价的内容在理论上可以探索,但在实践中应统一到《企业内部控制评价指引》的要求。中国企业内部控制评价的内容应依据《企业内部控制基本规范》和配套指引,以及企业自行设计的《企业内部控制手册》,重点关注内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容。当然,有必要对内部控制的设计和运行进行全面的评价。企业内部控制评价的具体内容应由企业的业务调整、环境变化、业务发展状况和实际风险水平决定,不能固定化、模式化。
这里需要特别强调的是,内部控制的评价内容不应局限于五要素的总体评价,而应具体到企业的财务、业务和管理控制上进行评价。企业的业务千差万别,规模大小不一,但企业内部控制评价的具体内容至少应包括已颁布的企业内部控制配套指引的主要内容。
延伸阅读:如何买保险,哪个好,教你如何避开保险的这些“坑”。