企业建立内部控制后,判断内部控制是否健全、有效,必须构建一套完整的内部控制评价指标体系。企业经营中运用内部控制评价系统进行监督评价,要以防范风险、堵塞管理漏洞、提高经营效率为宗旨。内部控制评价系统建立的必要条件有:存在预先确定的标准;能够计量结果;能够纠正偏差。因此,内部控制评价系统的目的是完成既定目标或标准。一旦目标确立,组织中所有成员都明确与自己奖惩相结合的业绩目标及成果。企业内部控制制度的制定、执行和评价,三者是一个密不可分的有机整体。只有通过三者的高效互动,企业才可能达成既定的内部控制目标。而在此过程中,内部控制评价起到了承前启后的重要作用。
在内部控制评价理论和实务的发展方面,美国一直走在世界前列。最初美国的独立审计的业务范围主要侧重于财务鉴证方面,从20世纪80年代开始,独立审计的范围开始扩展为包含内部控制评价在内的管理鉴证。而随着安然、世通等一系列会计案件的出现,美国对内部控制评价的重视程度则更为加强。2002 年7月,美国国会通过的《萨班斯—奥克斯利法案》第一次对财务报告内部控制有效性提出了明确要求。该法案涉及内部控制评价的条款主要有:①第103款规定,审计师在对企业的内部控制进行评估时,需要评价公司的内部控制政策和程序的完整性、记录的合理性以及授权等。②第302款规定,公司提交的年度或季度报告中应该含有对内部控制有效性的评价以及审计委员会报告发现的内部控制设计或运行中的所有重大控制缺陷以及重要控制要点。③第404款规定,管理层需要对财务报告的内部控制进行报告。同时审计师应该对管理层的评价进行认证和报告。第404款的规定使法律界和职业界对内部控制评价的关注进一步加强。
20世纪80年代末至90年代初,随着内部控制的发展,内部控制评价才开始受到我国专业人员的关注和使用,但内部控制评价仍停留在对内部管理制度执行的一般了解上,内部控制评价还只是起辅助作用,有的甚至流于形式。此时的内部控制评价只是作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,据以确定实质性测试的性质、时间和范围,还没有作为一项专项鉴证业务使用,企业自身也没有对内部控制评价产生关注。90年代后期,我国政府才开始积极推进内部控制评价的规范化建设。2004年12月,针对近年来国内企业频繁发生重大金融案件,企业自身免疫力还不高,内部控制仍存在严重缺陷的现状,银监会发布了《企业内部控制评价试行办法》,旨在通过建立一套对企业内部控制评价的框架和方法,规范和加强对企业内部控制的评价,督促其进一步建立内部控制体系,健全内部控制制度,形成风险管理的长效机制。
本书在比较国内外内部控制评价成功经验基础上提出企业内部控制评价基本内容、方法和程序,以便能为各母、子公司评价内部控制提供一个参考模式。
第一节 企业内部控制评价目标
企业内部控制评价是指对企业内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。
从中、西方内控评价的发展史来看,原有的内控评价目标大都从审计角度出发考核企业所制定和执行的内控制度能否达到可靠性、合法合规性、经营效率和效果。而在具体执行中,其侧重点更是关注于可靠性和合法合规性,至于经营效率和效果在内控评价中受到的关注程度历来较少。
COSO委员会在《企业风险管理控制框架》中将内控目标界定为四类:战略目标、经营目标、报告目标以及合规目标,已经远远超出以往的内控规范。企业也日益认识到构建内部控制体系的目标,不但是要满足监管部门对于信息提供和披露方面的需求,更重要的是,内控制度要有助于企业战略目标、企业经营的效果和效率的实现。应该说,内控制度的立足点之一是要通过制度化规范标准的构建,来规范企业员工的行为,加强行为理性,提高企业的经济效益。由此立论,内部控制评价的目标应该是从内部控制的目标出发,来对内部控制的设计和执行进行评价,考核内部控制所规定的目标实现与否。在具体界定内部控制评价目标时,不同的评价主体可能对内部控制评价的目标界定也不同,如监管部门推动实施的内控评价,其目标可能更多地关注内控制度所达到的报告目标和合规目标;而企业自身进行的内控评价,其目标就不应局限于报告目标和合规目标,还应该包括内控对企业战略目标和经营目标实现的作用程度。就企业来说,内部控制体系是企业为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。具体地说,企业内部控制评价的目标主要包括:
(1)促进企业严格遵守国家法律法规。
(2)促进企业提高风险管理水平,保证其发展战略和经营目标的实现。
(3)促进企业增强业务、财务和管理信息的真实性、完整性和及时性。
(4)促进企业各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。
(5)促进企业在出现业务创新、机构重组及新设等重大变化时,及时、有效地评估和控制可能出现的风险。
第二节 企业内部会计控制评价原则
在对内部会计控制进行评价时,首先需要建立评价标准体系,然后采用适当的标准进行评价。建立内部会计控制评价标准体系应当遵循以下原则:
(1)全面性原则。评价范围应覆盖企业内部控制活动的全过程及所有的系统、部门和岗位。
(2)统一性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价过程的准确及评价结果的客观和可比。
(3)独立性原则。评价应由集团公司总部或受委托评价机构独立进行。
(4)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(5)重要性原则。评价应依据风险和控制的重要性确定重点,关注重点区域和重点业务。
(6)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时重新评价。
第三节 企业内部控制评价内容
内部控制评价应从充分性、合规性、有效性和适宜性四个方面进行:
(1)过程和风险是否已被充分识别。
(2)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。
(3)控制措施是否有效。
(4)控制措施是否适宜。
内部会计控制健全性的评价,是指企业内部会计控制是否健全、完整,手续是否严密,措施和方法是否适当、有力等方面的评价。一般来说,健全的内部会计控制,能预防错误和弊端的发生,即使发生了,也容易及时发觉和纠正。评价内容包括:内部控制环境、风险评估、控制措施、信息沟通和内部监督五个方面。
一、企业内部控制环境评价
企业内部控制环境内容包括:公司治理结构、岗位职责、控制政策、控制目标、组织结构和企业文化六个方面。
(一)公司治理结构
企业应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作,分权制衡。
(1)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序。
(2)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。
(3)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
(4)建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
(二)董事会、监事会和高级管理层的责任
董事会负责保证企业建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保企业在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。
监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害企业利益的行为并监督执行。
高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
(三)内部控制政策
企业应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(1)与企业的经营宗旨和发展战略相一致。
(2)体现持续改进内部控制的要求。
(3)符合现行法律法规和监管要求。
(4)体现出侧重控制的风险类型。
(5)体现出对不同地区、行业、产品的风险控制要求。
(6)传达给适用岗位的员工,指导员工实施风险控制措施。
(7)可为风险相关方所获取,并寻求互利合作。
(8)定期进行评审,确保其持续的适宜性和有效性。
(四)内部控制目标
企业应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。
在建立和评审内部控制目标时,应考虑法律、法规、监管要求和其他要求,以及技术、财务、经营和风险等相关因素,尤其应考虑监管部门的内部控制指标要求。
内部控制目标应可测量。有条件时,目标应用指标予以量化。
(五)组织结构
企业应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:
(1)建立相应的授权体系,实行统一法人管理和法人授权。
(2)必要的职责分离,以及横向与纵向相互监督制约关系。
(3)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。
(4)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(5)建立关键岗位定期或不定期的人员轮换和强制休假制度。
(6)企业应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,明确其责任、权限和报告路线。
企业应设立垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得企业的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正、整改;内部审计负责人的聘任和解聘应当经董事会或监事会同意。
(六)企业文化
企业应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
(七)人力资源
企业应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和意识。
企业应明确与风险和内部控制有关人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,以确保相关人员的胜任。
高级管理人员必须满足监管机构对高级管理人员资质的要求。
企业应制订并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
企业应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。
二、风险识别与评估
COSO报告中提出了两种评估工具:一种是供单位全体控制事务使用的“组成要素评估工具”;另一种则是作业阶层检讨使用的风险评估工具。风险评估并非新鲜事物,之所以被内部审计部门选用为工具之一,主要基于下述几个理由:
它能促使单位内部审计工作从上到下、由整体到个别贯彻风险评估思考过程。
它能使审计人员集中于高风险领域,而非仅凭主观的控制抽查,使得审计的实施更有效果与效率。
它能提供具有专业素养的评估方式,专为评估新的或是经过重大改变的营运作业。这点对组织再造过程,以及故意消除多数的传统控制作业方面显得特别重要。
它适用于柔性与硬性控制,具有专业素养,并能弥补传统文件记录控制方法的不足。
CSA专题讨论方式是表达控制柔性一面的最具威力的工具。但实施CSA需要相当大的付出。风险评估模式是根据与CSA相同的风险评估思考过程,如果内审人员与管理阶层一起实施此项工具的话,其中还可能存在一种强烈的自我评估元素。因此,对于大多数内审人员来讲,风险评估工具较为实用,能成为大多数专题讨论所能做到的一种方式。
(一)风险评估过程
风险评估是识别与分析企业营运、财务报告与遵循目标的风险,目的是为了决定应该如何管理这些风险。风险识别是指对有可能破坏达成控制目标的事物的识别。风险分析,主要包括评估风险发生的或然率(或频率);如果风险即将发生,则预估潜在冲击并考虑定性与定量成本;决定应如何管理该项风险及应采取哪些必要措施(管理风险)。各部门应集中全力去管理重大风险,也即具有合理发生的或资本及高度潜在冲击的风险。
识别风险与评估以及产生控制目标,对于辨识控制弱点与改良计划至关重要。识别风险与评估一般属于中层管理人员的责任,而且最理想的也是应该在这个层级实施。识别风险与评估主要过程包括:
(1)确认单位整体目标与层级目标。
(2)识别影响目标实现的内部和外部风险。
(3)分析风险发生的原因、或然率、重大性及后果。
(4)提出管理风险的措施。
识别风险与评估,一般由管理阶层交由内部审计部门组织专题讨论,并按上述步骤实施。可根据单位大小,组织整个单位或以部门为单位进行研讨。如果选择部门为单位进行研讨,则必须注意确认所研讨的结果与单位整体目标是否一致。
识别风险与评估过程中应注意的问题是:
(1)确定部门是否有任务声明、书面目的与目标。
(2)评估部门层级的所有风险。
(3)评估作业(或过程)层级的风险。
(4)确保在部门层级所识别出的所有风险都在风险/控制工作清单中被评估到。第二层级的事业单位管理阶层应审核风险与控制明细表的初稿以确保这些明细表包括了在各该责任领域内的所有主要风险,以及这些明细表内容的说明与分类皆适当。
(5)应每年更新一次“风险控制明细表”并每年由单位管理小组核准。
(6)使用风险评估工具,不仅仅是填表而已,其价值是在于使用者完成一种具专业素养的思考过程。配合该种思考过程最常见的变项是:目标、风险、或然率/重大性、控制项目、适当性评估、有效性抽查与管理风险。
1)目标。进行风险评估,首先应进行目标确认。目标应视评估的目的而定。目标有广义的营业目标,也有明细的作业目标;有涵盖的整体目标,也有各层级的目标。进行控制目标确认,主要考虑目标与单位经营的连接、整体目标与层级目标的一致性,以及目标的恰当性、明确性、稳定性与是否以书面表达。
2)风险。所谓风险指可能破坏达成目标的事物。一般所指营业风险是指那些可能出错的事。而偶然险则是风险造成的冲击,如营业收入损失、顾客不满意等。风险评估主要是指固有风险的评估。在目标确认的基础上应进行风险识别,即识别实现目标的过程中可能会遭遇的风险。风险识别应从因果两个方面去进行分析。如果不找出风险发生的原因,我们就无法判定风险发生的或然率(或频率)或找出预防风险的方法;如果不知道其结果,我们就无法判定风险的重大性,或我们该用多少资源来控制风险。进行风险识别,首先应分析单位可能面临来自哪些方面的风险。任何单位所面临的外部风险,一般有竞争者、主管单位、环保、卖方/供应商、政治、购并、大众媒体、灾害、可用资本等。单位所面临的内部风险,一般有技术的可能性、正确/完整、机密、效率等;人力资源的可用性、能力、发展、安全、正直诚信、沟通、领导统御、授权、奖赏等;财务的利率、市场、货币、清偿、对方、诱导等;财务/法规/管理报告方面的存在性、完整性、正确性、所有权、揭露、评价等;营运的顾客满意、营业中断、产品开发、品牌形象、第三者供应商、行销/广告、事业绩效管理、联盟、经销等;资源分配等。
为了更好识别风险,应注意下列问题:
a.哪些地方会出错?
b.我们可能会失败的方式?
c.若要成功则我们必须采取哪些正确的措施?
d.我们的弱点在哪里?
e.有哪些资产需要我们保护?
f.我们是否拥有流动资产或具有不同用途的资产?
g.部门可能遭窃的方式?
h.部门的营运可能遭到他人中断的方式?
i.我们如何知道是否已达成目标?
j.我们最依赖的资讯是什么?
k.我们最大的开销是什么?
l.我们用来开立账单与收账的方法是什么?
m.最需要高度判断的决策有哪些?
n.有哪些活动性质最复杂?
o.有哪些活动受到法规规范?
p.我们最大的合法性风险是什么?
最为重要的是全面识别风险,也即针对部门层级与作业或过程层级的营运、财务报告与遵守目标的风险辨认。一般就各个目标可识别出数项风险。
3)或然率/重大性。指每一种风险发生的或然率(L)以及其可经判定为高度、中度或低度风险的重大显著性(S)。经评定为双高(或然率高、重大性高)的风险当然要进一步进行分析;若经评定为双低(或然率低、重大性低)的风险则可以不必考虑。至于其他的风险是否需要进一步分析,则要看评估人员如何界定实质风险性。或然率/重大性的界定,主要通过风险分析的方法进行确认。风险分析,主要是将一种风险区分为三个层面:一是风险原因。指引起偶发性风险事件发生的人或事。这可能为某一类型的人,如员工或外人;也可能是事件,如火灾、水灾;或者可能是未采取适当的行动。二是风险性质。指风险或偶发性风险的类型。最好的表达方式是实际发生的事情,如舞弊、盗窃、资料损失等。西欧一些企业把风险划分为8种类型,如财务资讯与准度,财务管理与结果、法令与规章遵行、授信品质、内部舞弊与越权、犯罪与外部舞弊、系统/营业、管理等。把控制标准分为13类,如人、组织、政策、程序、组织安全保障、系统/资料安全保障、实体安全保障、资料质量核对、财务资讯/正确性检查、资产/完整性检查、记录、管理/例外报告和外部控制。三是风险后果。指潜在风险转变成实际风险的逻辑结果。这点应该用质量指标表示,如新增费用、所得损失等。后果应进行量化。
4)控制项目。对各项风险的控制皆应列示,即包括硬性与柔性的控制项目在内。在实际评估中,应区别不同作业细项,列出其控制目标、存在风险及控制措施。
5)适当性评估。评价人员在决定抽查控制项目之前,应先对各项风险控制的设计适当性进行评估。所谓适当性评估,也即根据所设计的控制作业,分析其是否能有效地防范风险而达到控制目标,如果能,那么就可以认定控制作业是合适的,否则就认为不合适或不完全合适,在结论中就应说明理由。如:某单位在控制环境一细项的控制目标是“管理阶层已经建立‘领导意识’”,包括明确提示有关对与错的道德规范,并已将这些规范与整个组织成员沟通过。其控制作业是“管理阶层已经对员工的期望进行非正式沟通,包括诚信、忠心与不得有非法行为。建立包括接纳问题在内的自由与公开的沟通哲理。”通过两者比较后,评估人员在“评估与结论”指明“控制合适”。
6)有效性抽查。如果对于一种风险的控制未经适当的设计,审计人员一般不再查核而直接进入报告阶段。如果控制适当的话,审计人员仍需要对控制作业的有效性进行抽查,也即查明主要控制事实上是否如预期一般运作。有效性抽查一般是通过观察、查阅及重做等传统交易抽查技术完成的,或者在遇到柔性控制时使用访谈或员工调查的方式。有效性抽查结果一般要记入工作底稿。
评价人员如要验证价值观是否业已开诚布公的问题,应借助观察办公室并询问员工管理阶层是否以文字与行为来表达价值观,并且能接纳员工反映的意见。评价人员如要验证管理阶层是否适当地处理偏离既定政策的行为,应同管理阶层检讨最近发生的事件,询问他们所采取的特定行动,以及必要时可采取复查人事档案或与员工面谈的方式确认他们的说法。
7)管理风险。在风险评估思考过程中,最后一个步骤即为风险管理。管理风险的主要方法是:一是避险。或许风险过大不宜承担,应予回避,或者使用一种消除风险的方式修改作业过程,以回避风险。二是转嫁。通过购买保险、签订协约等将部分风险转嫁另外一方。三是平衡风险。管理阶层为了达到目标,需要有效平衡风险与控制,以获得“合理的保证”。由于平衡方式与财务及遵守目标有关,若失衡则会出现过度风险与过度控制。过度风险会造成资产、捐赠或补助款损失,营业决策欠佳,未遵行法令规章等;过度控制会造成官僚主义抬头,生产力降低,增加复杂性,循环时间延长和无附加价值的作业。内部控制应为自发性的,有附加价值与成本效益。
(二)风险评估问卷
在风险识别中,首先应编制合适的“风险评估问卷”以便于调查风险存在情况。风险评估问卷主要包括两大项内容:一是应调查风险内容,也即要求被调查者应回答问题的内容;二是回答的意见,分为非常同意(SA)、同意(A)、不同意(D)、非常不同意(SD)、不知道(DK)。回答问题时,每题各圈选一个答案。下面就内部控制五要素风险评估问卷内容列示如下(也即向您任职的单位或部门调查五要素、风险评估的内容):
(1)单位文化(控制环境)。单位的文化将会设定组织的格调,会影响单位员工们对控制的注意,单位文化是单位内部控制五大要素中最基本的要素。
我任职的单位高层主管展现高度职业道德。
我任职的单位高层主管致力于遵行法令、规章。
我的直属主管遵守与单位相关的法令、规章。
在我任职工作单位的绩效目标是实际的且可达成的。
在我任职工作单位的同仁们具有专门的知识、技能及训练来执行他们的工作。
我任职的部门从工作错误中学习经验。
员工离职率不会影响我们完成工作的能力。
诚信、正直是单位经营政策最优先考虑的重点。
我们的同仁均被公平地一视同仁地对待。
我们的同仁不必冒着生命危险去完成工作任务。
假如您不同意或非常不同意上述10个有关文化的问卷,请列示原因。
(2)目标与障碍(风险评估)。组织应去辨识及分析可能会阻碍达成目标的障碍,以利于决定如何管理这些障碍。
这几年来,我负责制定及衡量我的工作目标。
我有足够的资源、工具及时间完成我的目标。
在我的部门里,我们辨识出目标的障碍并给予解决,完成我们的目标。
我的部门里,大力支持开发新产品、新技术,重大改变等程序均被适当地管理。
我们的同仁以客户对我们的影响来决策及改善措施。
假如您不同意或非常不同意上列有关目标与障碍的问卷,请列示为何您有这种想法?
依您的意见,您的单位面临的主要业务/财务风险是什么?请列举之。
(3)办法与程序(控制作业)。制定制度办法与作业程序以确信能完成既定目标。
我任职的单位所制定的办法及程序能让我有效地完成工作。
员工窃取单位的财产、金钱及资讯将被发现。
员工窃取单位财物一经发现将被诉之适当的处理直到有所交代。
员工违反法令、规章以致影响公司者将被发现。
员工违反法令、规章影响公司一经发现者,将被诉之适当的处理直到有所交代。
假如您不同意或非常不同意上列有关办法及程序的问卷,请列示为何您有这种想法。
(4)信息与沟通。必须辨认有关的重要信息并适时地提供给同仁,以利于履行他们的职责。我们的资讯系统定期地提供有关本单位为达成目标的实际绩效成果给主管们了解。
单位有建立激励的体制来鼓励员工寻求改善程序的建议提案。
单位与高层主管的共识,能使我们做得更有效益。
单位内各部门之间的横向沟通,能使我们做得更有效益。
跨各事业单位之间的沟通,能使大家做得有效益。
我有足够的资讯来执行我的工作。
本单位的高层主管了解我们事业单位实际的绩效。
既有的沟通渠道可以传达可能存在的不当事项。
员工检举可能存在的不当事项,将被匿名保护避免遭受报复。
如我向直属主管上司检举犯罪事项,我相信举报的罪行将被制止。
假如您不同意或非常不同意上列有关资讯与沟通的问卷,请列示为何您会有这种想法?
(5)评估与反馈(监控)。通过评估与回馈的过程,一个组织评估、追踪及监控过去的绩效。
报告给高层主管的资讯均能反映我们所在部门的实际经营结果。
我有足够的资讯来监视供应商的绩效。
我有足够的资讯来监控客户的满意或不满意程度(不论内部或外部客户)。
外部或内部客户的回馈及抱怨都已及时、有效地被追踪、改善。
我任职的部门或绩效的质量是可以衡量的。
我们的同仁知道当他们发现错误或成果有落差时,如何提出改善措施。
每隔适当的时间,我的直属主管会和我一起审查工作成果。
我知道当发生不道德或舞弊行为时,当如何处理。
假如您不同意或非常不同意上列有关评估与回馈的问卷,请列示为何您会有这种想法?
我怀疑或知道在我工作场所里发生了舞弊的情形。
假如上述最后一问的答案是“是”,请继续回答下列问题:
那么到底发生了些什么事情?
您是否将这些情形提出报告?
假如否,为何您不向主管举报这些舞弊情形?
(三)商业风险评估
1.识别风险原因与效应
商业风险原来就存在每一种商业过程当中。管理阶层应了解主要商业风险并判断该项风险是否需要改善措施。实施具体风险评估的最佳方式是,首先应识别风险原因及其影响。以下一些问题,可能有助于您思考一些商业风险的原因:
如果最坏的商业情境确实出现时该怎么办?您是否有应付之道?
如果您得力的人员跳槽或离职时该怎么办?是否适当分配职位,以及是否有合格且经过训练的储备人员?
如果质量、正确性与及时性等目标由于受限于人事或制度方面无法达成时该怎么办?
如果技术上未能如预期那样运作时该怎么办?是否备妥手册或其他临时的控制以维持生产、报告与产量?
各项过程是否具有弹性,能容纳变动的环境、产业、经济、法规与立法规定?
如果竞争迫使企业产生变动时该怎么办?过程是否能够作出适切与及时的反应以维持竞争优势,市场占有率、市场占有量与利润?
对于将新风险导入过程的人事、过程或制度有何作为?
竞争、产业、立法、法规或公共领域当中是否有可能将新风险导入过程的情境或变动条件?
人员需要了解本业的程度,需要沟通的预期事项以及为了参与这个事业必须授权的层级?
有文件记录或者缺乏文件记录会以何种方式影响到商业与人事?
其他应考虑的因素还有:
过去因为发生风险而未能符合目标。
执行职务人员的经验水平。
地域性的分散活动可能导致系统连接性、每日协调或双向沟通、了解或上报的困难。
活动的复杂性。
2.商业风险处理
一旦尽力获知各种风险的原因后,接着才能决定补救这项风险的处理方式。这些处理方式一般称为控制技术。控制技术总是与风险产生原因相关。假如造成某项风险的原因是员工不了解新产品的特性,则补偿的控制技术可能是:提供人员训练以增加他们对产品报价的知识与了解;依实际所需为基础,分发一种供定期沟通变动产品的特性与条件的工具给所有受到影响的人员以利维持他们对产品的认知。不是所有的风险都能进行分摊、转嫁和化解,任何管理人员在其职务范围内均要承担一定的风险。每一位经理对于承受风险的意愿不一,同时各具有一明显的满意区域或风险承受门槛值。大多数的风险都需要采取改善措施,但还有一些风险是可以由经理们自行决定的,如:非常低的优先顺序;对于资源投资不具有具体的报酬率;仅受到非常独特情况或事件影响者;预期不太可能经常发生,而且一旦发生,冲击力也相当轻微的风险;就在您的满意区而您选择不寻求解决者。利用经理责任领域内的资源或工具可以更容易控制风险,您承担这些风险也就可能很自在。但管理来自其他内部或外部会对您的事业造成冲击的风险可能就比较困难了。如果您计划承担某种风险,同时又不寻求解决方案,则您必须确保您了解到所有可能受到影响的方面、商业过程与系统的各种层面,并且要将您的决策与相关管理阶层沟通。如果经理愿意承担风险,必须正式记录您所愿意承担的风险层级,您所预期风险变成过度或遇到不及的参数,规划管理或减轻风险的方法,承受多大程度的风险。承担风险是一种每一位员工必须面临的挑战,它可驱动过程改良与每一种过程中的决策。如果不能充分了解和关注风险,风险将会导入事业之中,进而影响到参与此过程的每一个人。作为经理及各阶层的主管,其责任是:知道各项风险所在;化解并适当评估这些风险对您事业潜在的影响;备有管理结果控制弱点的计划。
管理阶层接受已知风险,并选择不寻求解决时,评估中应记录这种决策使得所有的人了解管理者的立场。一旦了解风险存在及其原因后,必须应用控制技术减少这些风险发生的概率。每一种风险都应该有一种或多种管理阶层用来消除或减少风险的控制技术。
3.控制技术
控制技术是控制管理事业以符合目标的方法。如果商业过程的目标是要“将高质量房贷销售给投资人”,则我们用来管理出售给投资人的房贷品质的就是控制技术。如管理阶层审核提高授信的特性并核准他们可提出押汇;在授权范围内作业人了解如何在契约范围内提高授信作价的方法;作业人应精通授信的各项条款与协议,并且能够成功地与顾客进行押汇。
对管理阶层所采用的控制技术应进行记录,以利于管理阶层能针对漏失或减弱的控制调节其评估,以利于制订一套有效的改善措施计划。
4.企业风险评估建议
本书认为,企业应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。企业的主要风险包括信用风险、市场风险(含利率风险)、操作风险、流动性风险、法律风险以及声誉风险等。
应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。
应依据法律、法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制措施。
企业对各类风险进行识别与评估时应充分考虑内部和外部因素。其中,内部因素包括组织结构的复杂程度、业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。
当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
风险识别与评估应:依据业务范围、性质和时限主动进行;评估风险的后果、概率和风险级别;必要时开发并运用风险量化评估的方法和模型。
企业应建立并保持识别和获取适用法律、法规、监管要求和其他要求的程序,作为风险识别与评估、制定控制目标和控制方案的依据。
企业应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。
三、内部控制措施评价
企业应确定需要采取控制措施的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。
(1)控制措施包括:
1)高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况,以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况,督促职能管理部门改进。
2)行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告,提出问题,要求采取纠正、整改措施。
3)实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。
4)风险暴露限制的审查。审查遵循风险暴露限制方面的合规性,违规时继续跟踪检查。
5)审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级管理责任。
6)验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,并向职能管理部门报告。
7)不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。
(2)控制要点包括:
1)对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准。
2)对于重要活动应实施连续记录和监督检查。
3)在可能的情况下,应考虑运用计算机系统进行控制。
4)对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守企业相关的控制要求。
5)对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。
四、计算机系统环境下的控制评价
企业应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
企业应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急处置,以预防或减少可能造成的损失,确保业务持续开展。
企业应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。
企业应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括事故、险情)的性质相适应。
五、监督评价与纠正
监督评价与纠正包括内部控制绩效监测、预防措施、内部控制体系评价、管理评审等方面。
(一)内部控制绩效监测
企业应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。
监测内容包括:内部控制目标实现程度;法律、法规及监管要求的遵循程度;事故、险情和其他不良的内部控制绩效的历史情况。
(二)违规、险情、事故处置和纠正及预防措施
企业应建立并保持书面程序,对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定,包括:
(1)发现违规、险情、事故并及时报告,必要时,可越级报告。
(2)及时处置违规、险情、事故。
(3)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致。
(4)纠正与预防措施在实施之前应进行风险评估。
(5)实施并跟踪、验证纠正与预防措施。
(6)险情和事故的责任追究。
(三)内部控制体系评价
企业应建立并保持书面程序,对内部控制体系实施评价,确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。
评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等,覆盖体系范围内的所有活动。
可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。
评价应由与评价的活动无直接责任的人员进行,评价人员应具备相应的知识,能够胜任评价工作。
(四)管理评审
董事会应采取措施保证定期对内部控制状况进行评审,确保体系得到持续、有效的改进。
管理评审应包括以下方面的内容:
(1)内部控制体系评价的结果。
(2)内部控制政策执行情况和内部控制目标实现情况。
(3)对内部控制体系有重要影响的外部信息,如法律、法规的重大变化。
(4)组织结构的重大调整。
(5)事故和险情以及重大纠正和预防措施的状况。
(6)以往管理评审的跟踪情况。
(7)内部控制体系改进的建议。
管理评审应就以下方面提出改进措施并落实:
(1)内部控制体系及其过程的改进。
(2)内部控制政策、目标的变更。
(3)与内部控制有关资源的需求。
企业应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等,持续提高内部控制体系的有效性。
六、信息交流与反馈
信息交流与反馈评价包括信息交流、文件控制评价、记录控制评价三个方面。
(一)信息交流
企业应建立并保持信息交流与沟通的程序,明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
企业应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(1)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。
(2)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。
(3)险情、事故发生时,相关信息能得到及时报告和有效沟通。
(4)及时、真实、完整地向监管机构和外界报告、披露相关信息。
(5)国内外经济、金融动态信息能够取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
(二)文件控制评价
建立和保持文件化体系是实现信息交流与反馈的重要途径。企业应建立并保持必要的内部控制体系文件,包括:
(1)对内部控制体系要素及其相互作用的描述。
(2)内部控制政策和目标。
(3)关键岗位及其职责与权限。
(4)不可接受的风险及其预防和控制措施。
(5)控制程序、作业指导、方案和其他内部文件。
企业应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(1)易于查询。
(2)实施前得到授权人的批准。
(3)定期评审,必要时予以修订并由授权人员确认其适宜性。
(4)所有相关岗位都能得到有效版本。
(5)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(6)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(7)留存的档案性文件和资料应予以适当标识。
(三)记录控制评价
企业应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、储存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第四节 企业内部控制评价标准
制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学、合理的评价标准而进行的内部控制评价,其结果可能不能真实地反映企业内部控制的健全和有效与否。在对内部控制进行评价时,首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。考虑到内部控制的战略目标、经营目标和合法合规性目标,内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度,是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行,按照风险管理思想,根据风险管理框架中的五个要素来设定控制标准。
在对内控制度进行评价时,确定适当的评价标准非常重要。实务中有几种内控评价标准模式被采用。第一种是COSO报告中的五个要素标准,即将内控项目按COSO五个要素进行细分,再按照COSO中每一要素的必要条款确定评价标准;第二种是采用一般标准和具体标准作为评价标准,其中的一般标准主要指内控制度的完整、合理和有效性,而具体标准又可以划分为要素标准和作业标准;第三种模式是结果评价标准和过程评价标准,其中结果评价标准主要是考核内控目标的达到程度,而过程评价标准主要指内控执行过程中的有效程度如何。在选用内控评价标准时,采用的是以COSO报告的五个要素所要求具备的基本条款作为评价标准。
一、内部会计控制评价的一般标准
内部会计控制评价的一般标准是指内部会计控制评价的各个方面的标准,即内部会计控制制度整体运行应遵循和达到的目标。注册会计师执行内部会计控制评价业务的目标应该是对被评价企业内部会计控制的完整性、合理性及有效性发表意见,即内部会计控制评价的一般标准是内部会计控制的完整性、合理性及有效性。
(1)内部会计控制的完整性。内部会计控制的完整性包含两层含义:一方面是指企业根据生产经营的需要,应该设置的内部会计控制都已设置;另一方面是指对生产经营活动的全过程进行自始至终的控制。完整性是内部会计控制评价一般标准中首要的一条,也是其他一般标准的基础。若内部会计控制的完整性都达不到,则内部会计控制的合理性与有效性就无从谈起。完整性标准还要求对内部会计控制以不同方式进行评价时,都能呈现出一种系统性,如从经营环节看应有供应环节控制系统、生产环节控制系统和销售环节控制系统。注册会计师在对内部控制的完整性作出判断时,还应当考虑到企业经营规模及业务复杂程度。一般而言,企业经营规模越大,业务复杂程度越高,则对内部会计控制完整性的要求就越高。另外,在对内部会计控制的完整性作出评价时,还应该充分注意到企业控制环境的影响,企业管理当局对内部会计控制及其重要性的态度、认识等都是内含于内部会计控制整体的。
(2)内部会计控制的合理性。内部会计控制的合理性同样包括两层含义:一是指内部会计控制设计和执行时的适用性;二是指内部会计控制设计和执行时的经济性。在评价内部会计控制的合理性时,适用性是首要的。它是指企业所建立的内部会计控制制度适应企业的特点和要求。各行业及各企业由于其组织规模、交易性质、经济技术条件、人员素质等所存在的差异,就相应地需要制定出不同特点的内部会计控制制度,照搬其他企业的做法是行不通的。对某一特定企业来说,评价其内部会计控制的适用性要注意以下内容:控制点的设置是否合理;有没有安排过多或不必要的控制点;在每一个需要控制的地方是否都建立了控制环节;控制职能是否划分清楚;人员间的分工和牵制是否恰当,即既不能分工过细,又能起到相互牵制的作用。然而,内部会计控制的适用性要以经济性为限制条件。内部会计控制的最终目的是提高企业的经济效益,减少低效和投资浪费,因而制定内部会计控制本身也应讲求经济效益,应尽量以少量的控制成本去获取较好的控制效果。
(3)内部会计控制的有效性。内部会计控制的有效性也有两层含义:一是指企业的内部会计控制政策和措施没有与国家法规相抵触的地方;二是指设计完整、合理的内部会计控制在企业的生产经营过程中,能够得到贯彻执行并发挥作用,实现其为提高经营效率效果、提供可靠财务报告和遵循法律、法规提供合理保证的目标。有效性要求内部会计控制制度能有效地防止错误与弊端的发生,产生效率和效益。这不仅仅需要内部会计控制在总体上是有效的,而且需要各项具体制度有明确的目的并发挥其自身的作用。因此,内部会计控制系统要相互协调,绝不能顾此失彼、自相矛盾,既要有制约作用,又要有协调机制,以有利于整体功能的发挥。控制要适度,过于严格会使管理活动失去生机,影响职工积极性的发挥;过于宽松又会引起运行的机制失调,达不到控制的目的。任何制度都要有利于管理者和职工群众的理解和执行,因此要简明扼要、方便易行、讲究实效。
二、内部会计控制评价的具体标准
内部会计控制评价具体标准是指应用于内部会计控制评价具体方面的标准,是具体内部会计控制制度运行应遵循和达到的目标。注册会计师在对内部会计控制进行评价时,只有先从操作性较强的具体标准入手,对具体内部会计控制的设计与运行有了认识之后,才能通过、升华,从整体上对企业内部会计控制的完整性、合理性和有效性作出判断。内部会计控制评价的具体标准,可以依据集团公司颁布的内部会计控制方面的具体规范项目。虽然各个具体规范项目所规定的业务内容不同,但都有一个大体相同的评价标准模式。
三、内控评分标准确定
在确定内控评分标准和方法时,考虑到内控评价需要定期进行,并且与前期评价相关,首先确定整体内控评分由三部分构成:基本项目、以前评价中发现的问题纠正情况、外部评价师管理建议落实情况。然后再按照每一部分的具体内容确定相应的评分标准和方法。
第一部分:基本项目(该部分满分为70分)。
基本项目评分是指内控评价人员依据内控评价项目评分和各项目权重加权得出的评价分,是评分评价的主体。由于内控评价项目中各个具体评分内容所包含的风险不同,对每一个具体评分内容,将根据其风险大小分为高、中、低三级;同时为了体现不同风险等级问题分值的区别,使高风险问题在整个项目值中占较大比例,低风险问题占较小比例,给每个风险等级赋予了一个权重,分别设为5、3、1。权重间距越大,不同风险等级问题的区别会体现得越明显。这样每一个具体的评分内容的分数将根据该评价项目的总分及其风险等级来确定(即按权重分配,当评价内容增加时,在总分内容一定的情况下,会自动减少每一项评价内容的分值分配情况)。
为有效凸显企业管理水平,将企业的每个具体评分项目所对应的业务完成程度分为5级(见表1)。
表1 具体评分项目业务完成程度分级
每个评价项目的得分=∑(该评价项目中每个评分项目的权重×完成程度)
基本项目得分=∑(评价项目分值×70%)
第二部分:以前评价中发现的问题纠正情况得分(该部分满分为20分)。
这是为了跟踪运营公司及时解决已经发现的内控薄弱环节情况而进行的评价,该项得分和内控薄弱环节跟踪改进完成程度直接相关。
第二部分项目得分= 20%×已经改进完成的问题数/上年评价师提出的薄弱问题数
第三部分:外部评价师管理建议落实情况(该部分满分为10分)。
该部分是指企业的外部评价师在进行年度评价后针对企业存在的管理风险提出的改进建议。这些管理建议是否得到了被评价企业的重视并被贯彻落实的情况需要进行检查评价。
第三部分项目得分的计算公式如下:
第三部分项目得分= 10%×已经完成整改数/上年度外部评价师提出的整改数
基本项目得分、以前评价中发现的问题纠正情况得分、外部评价师管理建议落实情况得分三个部分的得分分别占总分的70%、20%、10%。在按照上述做法得到每个部分的分值之后,三个部分得分总和即为各运营公司的内控得分。
四、内控评价等级评定
在采用一定的内控评价方法和内控评分方法得到总体内控得分后,需要对企业的内控制度进行一个总体评价。内控评分采用的是百分制,评价等级按五级确定,如表2所示。
表2 评价等级
如果内控审计后得到的内控得分是90分以上,则可以认为该企业的内控执行有效性评价结果为优;如果得分是71~89分之间,则可以认为该企业的内控执行有效性评价结果为良好,其余结果可依次类推。
第五节 企业内部控制评价程序和方法
《世界最高审计机关组织内部控制准则》第77条指出:内部控制评估应依据最低需求的程序而制订。管理阶层应有明确的计划以定期评估其内部控制、报道问题及改善解决。可列入考虑的程序类型包括:将组织划分成若干个单元;验证每一个单位的计划与行政功能;对于一般控制环境与任何造成浪费、损失、不当或无法达成预定目标的活动加以评估;规划并安排所选择的内部控制评估的计划与功能;评估并预测内部控制的计划与功能;制定并安排必要的改善措施;报告整体评估与改善措施执行的结果。在第82条中指出:当评估内部控制时,审计人员应考虑的步骤是:判断计划主要事项的重要性与敏感性,以助评估控制;评估资源误用、目标未达成、不符合法令规定的感受性;验证并了解相关的内部控制;决定已知的什么是有效控制;评估控制设计的恰当性;通过测试决定控制是否有效;报告内部控制评估结果并提供改善建议。
基于以上权威指南,本书认为,内部控制评价程序一般应包括评价准备、评价实施、评价报告形成等步骤。
一、评价准备
(1)组成评价组。评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
(2)制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
(3)准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
在现场评价前应先与被评价机构建立初步联系,以便确认有关评价事项和安排。
二、评价实施
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。
三、评价报告形成
评价人员进行内部控制制度评价的最终目的,在于确定被审计单位内部控制制度的可靠性,从而决定对它的依赖程度,确定实质性测试的性质、范围、重点及时间安排。内部控制制度评价一般分为初评和总评两个阶段。
(一)内部控制评价形式
初评是在内部控制制度健全性测试以后进行,主要目的是为了决定是否需要进行符合性测试。如有些控制制度可依赖,应进行符合性测试;有些控制制度根本不存在,或极不健全,无须进行符合性测试;有些控制制度虽然存在,也很健全,但进行符合性测试很不经济。初评主要考虑的问题是:根据一般规律和被审计单位的具体情况,被评单位可能会发生哪些方面的差错、舞弊、浪费、低效率、失职等不良行为;按照内部控制的原理,被评单位应该建立哪些方面的控制制度,才能有效地防止和纠正各种失控现象;被评单位是否具有应有的控制制度,如果没有,是否存在相应的补救措施,对它们进行符合性测试是否经济合算?也即依赖某一控制制度(措施)而减少的实质性测试工作量,是否大于符合性测试的工作量,否则就不合算。
总评或称进一步评价、再评价、综合评价,是要在初评的基础上,根据符合性测试的结果,评价被评单位现行内部控制制度的可靠性。值得提出的是,只有那些经过初评,评价人员决定依赖的内部控制制度,才有必要进行总评。总评应考虑的问题是:经过初评,被评单位现行内部控制制度中有哪些可以依赖的制度;经过符合性测试,可依赖的制度是否能发挥应有的作用?其符合程度如何?是否仍然可以依赖?其可信赖程度如何?原定的实质性测试的性质、范围、重点和时间安排是否需要修订?
无论是初评还是总评,都不可能是泛泛评价,都要针对具体制度或具体问题评价,都要抓住以下重点进行评价:
(1)单位的组织机构是否健全,职责分工是否明确。
(2)反映制度的各种文件是否规范。
(3)各种管理制度、会计制度及审计制度是否完整。
(4)业务处理与记录程序是否完善、正确。
(5)授权、批准、执行、记录、核对、报告等手续是否完备。
(6)干部、职工的选聘、使用、培训、考核、晋升及职务轮换是否合理、科学。
(7)是否有严格的岗位责任制和奖惩制度。
(8)关键的控制是否都建立有必要的控制措施。
(9)内部控制制度及有关措施是否经济、有效。
通过对上述重点内容的评价,对被评单位的概况就有了全面的了解。再根据合理的判断,就可以明确哪些方面控制严格,能发挥控制功能;哪些方面控制不严,尚有漏洞。综合评价的具体方法,有可信赖程度评价和薄弱的环节评价。
(二)内部控制评价报告
评价人员应根据健全性测试及符合性测试中发现的问题,在充分分析的基础上与管理人员协商后,提出进一步加强和完善内部控制的具体措施,并将其传达给管理者。需要强调的是,提出的措施仍必须符合内部控制的基本要求,同时在单位内切实可行。传达改进建议有两种方式:一是口头传达;二是书面传达,传达方式的选择视制度的重要性而定。但无论是口头传达,或者是书面传达,评价人员均应起草一份书面材料。这份材料中,一般应阐明被评单位制度中存在的问题,这些问题不予解决将导致的后果,改进的具体建议,在可能的情况下还应提出改进后将对单位带来的好处等内容。报告中应说明内控程序是否符合国家有关规定,内控是否符合单位的管理方针与政策,内控措施是否能满足单位管理的需要。如果采用书面传达方式,则再在以上的基础上起草一份致管理部门的意见书。不论是改进建议,还是意见书,既可作为管理者改进内部控制、加强经营管理的依据,也可作为评价人员履行职责的依据,还可以作为下次检查评价选择重点或线索的依据。
世界最高审计机关组织内部控制准则中也规定,无论如何,最有效的方法为通过立法命令要求管理者每年均须评估内部控制并向立法机关提出报告。报告内容应包括:
(1)达成内部控制的目标与目的效果与效率。
(2)改进缺失的计划。
有些国家最高审计机关也规定,内部控制评价部门最后应提交一份报告,报告基本内容包括:
(1)主要的建议或必要补救措施以改进、完善内部控制。
(2)作为决定审计需要进行抽样的基础(或是决定审计范围的基础)。此项报告是审计机关与被审计单位进行接触的开始,同时,也是同内部审计部门的汇合点。
国际审计准则6号关于《内部控制缺陷的通知》中指出:审计人员通过对内部控制的研究与评价以及其他审计程序所得出的结果,可以得知内部控制中的缺陷。为了委托人的利益,审计人员应当使管理人员及时了解他所注意到的严重缺陷,以引起他们的注意。对于这种缺陷通常要用书面通知。在通知中应着重指出这里只论述审计人员在他的审计结果中所注意到的重要缺陷,并说明他的检查不是试图确定内部控制对管理人员的适当性。如果仅仅是对内部控制制度进行评价,结果报告后,评价步骤就已结束。如果是制度基础审计,对内部控制制度进行评价后,便可按照原定的审计方案执行实质性测试,或者对原定审计方案修改以重新安排实质性测试的性质、范围、内容、重点、顺序和时间。实质性测试也叫真确性测试,其总目标是检查财务会计信息是否真实、正确和完整,当然也可以按照会计要素的内容确定具体的测试目标。
本书认为,评价组根据评价实施情况,撰写评价报告,应重点分析以下方面:
(1)被评价机构内部控制体系现状、存在的问题及趋势分析。
(2)同类公司比较。
(3)监管建议。
(4)可能的谅解因素。
四、评价反馈
对被评价机构内部控制体系进行综合评价后,应与被评价机构管理层沟通,以核对数据,确认事实,并就评价中的问题征求意见。
集团总部及其派出机构根据评价报告,依据有关法律和规定,做出评价结论和处理决定,并以书面形式正式发送给被评价机构,限期整改。同时,评价结论应报上级机构。
内部控制评价方法是为实现评价目的,对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。
五、内部控制评价实施
内部控制评价实施包括:
(一)了解内部控制体系
了解被评价机构内部控制体系是内部控制评价实施的第一步。评价人员应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。
实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等,其中,对内部控制过程评价主要采取符合性测试法;对内部控制结果评价,主要采取指标分析法。
了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的充分性和合规性。
(二)符合性测试(www.xing528.com)
对内部控制制度的系统、功能及优缺点有了初步了解之后,便可据此确定内部控制大概可依赖的程度。但是,可依赖的确切程度,还取决于内部控制制度的执行情况与结果,即各项活动及项目的执行是否遵循了合适的法律和规定,是否处于经济性、效率性和效果性的方式之中。因此,评价人员还有必要对单位现行内部控制进行认真的审查和符合性测试,以确定其是否实际存在,其执行情况符合制度规定的程度,是否发挥作用。根据规定的控制制度对实际生产、技术、经营或是会计、财务活动进行检查,以确定这些控制环节是否确实存在,是否始终相符,有无失控之处等。把这种符合性测试同这些控制的辨认结合起来,就可以确定该制度产生正确结果的可依赖程度。符合性测试旨在检查现行制度是否充分有效或能否取得预定结果。由于单位业务繁杂,不可能进行全面检查,只能根据生产经营活动的特点以及不同业务环节,进行抽样检查。抽样检查重点应根据业务性质与控制目的重要性而定。一般测试程序如下:
1.符合性测试方案
进行符合性测试首先要编制一个符合性测试的方案,该方案的内容应包括:测试目标;确定失控的标准及可允许的失控程度;具体说明要使用的技术,如要检查的证据材料,需要重新操作的内部控制,需要加以观察的程序,需要询问的人员及要提的问题等;确定需要检查的项目的数量及要采用的审计方法;根据选出的内部控制,为所有需要测试的关键控制制定方案与步骤。如关键控制属于检查性质,则抽样规模可以小一些。但如果关键控制是对每一笔业务的控制,那么审计人员就要对所有受控制的业务进行抽样。样品规模取决于拟对内部控制依赖的程度及期望可能发生的偏差,一般在30~100个之间,用随机抽样方法。抽样检查后,如发现样本偏差较大,评价人员就要修改符合性测试的抽样计划,或采用较低的置信度,或扩大抽样范围。仅通过抽样测试往往不能形成最后定论,因此审计人员还采用观察、会谈、业务重新处理等技术方法来取得符合性证据。符合性测试过程中如发现失控,评价人员要对失控的性质与原因、失控对财务报告的影响、失控对原先拟定的依赖内部控制程度的影响等方面进行分析。最后,评价人员作出符合性测试的评价并据以修正原来的初步计划。
2.业务测试
业务测试是指检查人员按照业务对每个类型编号,对单位重要经济业务所做的检查,借以判明内部控制系统中不应缺少的几个控制在业务处理过程中是否确实存在。在进行业务测试时,一般要根据单位的经营环节或重要业务划分成若干类型或子系统。每个类型中的有关业务应具有内在联系,否则没有必要归属为一个子系统;对每一种类型或子系统的业务进行抽样检查,检查其业务有没有按既定的方式处理,如果没有,则说明该控制系统出了故障,凡经该系统处理过的业务都存在有误差的可能。
3.功能测试
功能测试是指对内部控制功能进行抽样检查,也即对关键控制点作用发挥的情况进行检查。测试的目的是为了查明关键控制是否切实存在,是否有效地发挥了作用而有利于目标的实现,其有效程度是否令人满意,该控制点有无漏过不正确的业务。功能测试根据各种控制功能及其作用可划分为合法性、有效性、完整性、估算或计价、分类、截止期、过账与汇总等七个方面的测试,但主要是合法、有效性及完整性测试。功能测试方法主要有检查文件资料记录、重复必要的手续进行重新处理、实地观察手续履行情况等。
(三)测试抽样
抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。
根据业务频次确定的抽样量参考标准如下:
(1)每月执行一次的业务或事项,抽样量应保持在2~6个之间。
(2)每周执行一次的业务或事项,抽样量应保持在4~10个之间。
(3)每日执行一次的业务或事项,抽样量应保持在10~25个之间。
(4)每日执行多次的业务或事项,全年10000次以下的,抽样量应保持在25~50个之间;全年10000次以上的,抽样量应保持在50个以上。
六、内部控制评价方法
内部控制评价的主要步骤,包括制度调查、符合性测试和综合评价等。其评价方法,主要是指在上述步骤中所经常使用的一些方法。
(一)制度调查方法
单位的内部控制制度是由存在于内部管理和业务经营之中的内部控制方法、措施和程序所组成的,因此,制度调查内容应包括:单位概况,如单位创建的年代与目标、发展概况与规模、业务性质、服务方向、业务经营范围、主要经营管理制度、历年业绩比较等;经营政策;单位的组织与功能,包括组织机构的设置、职能部门的权责或组织机构与岗位职责说明;计划预算制度;组织人事控制制度,如组织机构设置制度、人员配备制度、人员选拔制度、人员使用与考核制度、人员培养与开发制度等;行政领导控制制度,如决策过程授权管理、领导程序与方法等方面的控制;生产管理控制制度,如生产计划及预算控制、生产进度控制、成本费用控制、质量控制、生产开发控制等;销售控制,如销售预测与计划控制、销售过程与方法控制、销售价格控制、销售费用控制及市场开发控制等;现金内部控制;银行存款内部控制;固定资产内部控制;材料、商品采购供应内部控制;商品、材料存储内部控制等。以上的每项内容,都还有许多具体的控制需要进一步了解,如内部审计控制的调查还需要进一步了解内部审计的机构设置、管理体制、在组织中的地位、组织规模、人员数量及其素质与培训、基本目标、职权与任务、应负责任以及作用的发挥情况等。又如现金内部控制的调查,还需进一步了解钱账分管情况、收付业务的入账情况、收付款凭证的保管与作用情况、现金收付范围的遵守情况、出纳纪律的执行情况等。为确保应予调整的内容及要点不至遗漏,应使用调查清单。应该说明,并非对任何被评价单位确定的调查内容都是一样的,在具体确定时至少应考虑两点要求。一是内部控制的理想模式。作为理想内容的内部控制制度,应该符合单位的管理要求,需要控制的领域都要实行有效控制,所有的控制制度都有特定的控制目标,并符合国家法规的要求,实施控制后能明显地提高工作效率,减少错弊,控制费用应远低于可能的损失等。概括地说,理想控制模式至少应该符合全面控制、目标性、合法性、经济性及有效性的基本要求。二是被评价单位的实际情况。内部控制首先应该与内部管理的要求相适应,体现自身的特点,包括业务的性质、经营方针、规模大小、组织机构状况、人员素质、管理水平、控制成本、预期损失等。
调查制度的根本目的是了解被评价单位内部各项控制制度的目标,能发挥什么样的控制职能,为实现特定目的而采取哪些控制措施和方法,以便进一步弄清单位的各项制度设计是否有效,可能存在哪些弱点,哪些地方需要改进或加强等。制度调查技术主要包括审阅(查阅)法、询问法、观察法和调查表法(问卷法)等。
(1)审阅法。运用审阅法调查、了解内部控制制度,主要是通过查阅有关文件或书面资料材料,它是调查制度的一种重要技术。通过对被审单位有关文件或资料的审阅,可以获得概括性的整体印象。审阅的内容主要包括:以前的各种检查资料;被评价单位的职责说明书或程序手册;有关业务处理流程图;单位组织机构系统图;有关管理决策与经营计划资料;有关会计资料、统计资料或其他核算资料;其他内部规章或管理制度等。审阅时应认真做好记录,为测试制度提供依据。
(2)询问法。运用询问法调查、了解内部控制制度的方法主要是找有关人员谈话。如了解内部控制制度的内容与实施情况、职务分工情况、人员胜任情况等。使用询问法调查、了解制度虽然方便、灵活,但绝不可掉以轻心,应特别注意以下几点:选择的询问对象应包括管理人员与非管理人员,尤其是那些管理者想极力掩盖问题的单位,更应重视对非管理人员的询问;询问的内容应该明确、具体,能让被询问者理解,便于回答;为了使询问顺利进行,最好能事先拟订出询问提纲;询问时应注意一定技巧,包括询问人员的行为举止等;应对询问内容认真做好记录。
(3)观察法。运用观察法调查了解制度,主要是对被评价单位有关部门进行实地考察。观察能进一步印证审阅与询问了解的制度是否真实、可信。如到办公室、车间或仓库等地观察主要业务的操作与流程,了解经营活动的特征及实际运用的内部控制措施,了解业务文件资料的种类、作用、编制单位及人员、传递方式与保管使用状况等。观察最好在被审计单位管理人员(或审计协调人)的陪同下进行,由陪同人介绍有关制度,评价人员则结合实际来判明制度的优劣状况及其有效程序。
(4)调查表法。按照内部控制的一般要求,考虑理想的控制模式,将需要调查的全部内容以提问的方式列出,并制成固定式样的表格,然后交由被评价有关部门和人员回答,以此了解制度的方法即为调查表法。把调查作为收集资料的工具来使用,有其优缺点。优点是:对调查表中提出的每一个问题都要回答,从而使不存在于制度的重要控制不至于被调查人员忽略;如果调查表中所有的问题都要经过深思熟虑,制度就将被恰当地做成文件,即使是交给一个没有经验的调查人员也能使用。调查表的三条缺点或者潜在的弊病在于其篇幅、结构和标准化。调查表过长会使问题回答表面化或机械化;照抄上年调查表的回答,而不是从审核当年的业务中去得到回答;把对每一个问题的回答仅作为孤立的业务,而不是作为整个制度中不可分的部分;在审计和验证之后才完成对调查表的回答,而不是在其开始时进行,结果又回到了通过测试来收集资料的办法只是无效地多填写了一张表格而已;调查表的结构使得到的回答是一种合乎要求的回答,而不是对这个制度合乎逻辑的理解。调查表的标准化将使它应用于某一活动或制度时产生各种困难,评价人员可能浪费时间于研究对标准问题的回答,而这些问题对特定的活动或制度却无关。当某一类似的问题应以“是”或“否”作答时,许多标准问题的回答却可能是“不适合”。例如,有一个标准问题是:“货物装运了吗?”对于一个不是经营货物而是提供服务的单位来说,对这个问题的回答是“不适用”。适当的提问应当是“服务提供了吗?”然而此问题却可能不考虑,因为它并不是一个标准问题。
(二)制度描述方法
在调查的基础上,对制度进行描述是评价制度的前提。描述制度的方法主要包括文字说明法、制表法。
(1)文字说明法。以书面语言将被评价单位的内部控制情况进行说明的方法即为文字说明法。该方法一般按照不同的业务经营环节及主要业务(或岗位),分别说明其具体内容及特征、经办的部门及人员、具体控制措施及方法,并提出有效控制的方面与可能存在的问题。文字说明法是通过使用一种叙事性的描述对制度加以说明,采用这种方法时,评价人员仅仅是询问该制度或活动的执行人员,他们做什么,怎么做的,同时将他们的回答综合在这份叙事性的文字说明里。评价人员对工作人员会询问如下的问题:①他们处理了些什么业务或凭证;②这些业务或凭证是怎样发生的;③要求什么样的批准手续;④要求什么会计分录;⑤产生了什么样的记录。
这种叙事性的方法也有其优缺点。优点是这个方法对于制度给予了系统连贯的了解,它会把制度中的未被察觉到的前后矛盾和遗漏的风险减至最小程度。其缺点(特别是在规模较大的系统中运用时)是:在叙事长的时候,难于将该制度中的各个组成部分完整地结合起来。在评价人员不得不用很大的篇幅把制度中的各个部序组成整体的时候,其中存在的前后矛盾和遗漏的部分又可能难于发现。并且很难将制度及时制成文件,因为这种方法不得不把全部叙事性的文字说明重写成新的。由于意思含混或者文字蹩脚,其他复核者或其他人员审核该制度时,会因这种书面表达上的差异而造成困难。
(2)制表法。将了解的有关制度用一定的表格概括表示的方法即为制表法。用表格描述内部控制制度情况,条理清楚,问题突出,比较直观,便于理解、阅读和评价。评价人员可直接通过询问、观察和审阅、使用调查表后获取的有关制度情况,经过分析归纳,编制内部控制制度弱点记录表和强点记录表。弱点情况栏填列没有控制制度的地方,管理人员意见栏填列被审单位对未能进行控制的看法;可能出现问题栏填列不控制将产生的影响及后果,该栏可等初步评价后填,亦可在最后评价阶段填;改进控制意见栏填列加强控制的措施及办法,一般应在最后评价阶段填。强点情况栏填列单位实施控制希望达到的目的,即防止出现哪些可能的问题;功能的发挥情况栏填单位的控制制度实现是否达到了预期的目标,一般等符合性测试完毕后再填;完善控制意见栏填列需要进一步改进的具体措施和办法,一般在最后评价阶段填列。但如果在调查制度时采用的是调查表法,则描述制度时可用调查表代替。
(三)制度初评方法
所谓制度初评是指在对内部控制制度调查和描述以后,评价人员应将现行制度文件与其所设想的理想模式进行比较。通过比较,对现行制度的有效性及其控制进行评估。在比较时,应注意现行的控制程序与理想的控制目标是否相联系;现行的控制方法是否适合于完成既定的控制目标,是否满足控制标准的需要;现行制度与理想模式存在差距的主要方面。对现行制度进行分析性初评时,主要识别出关键性的控制以及控制的强点和弱点。所谓关键性控制,是指假如执行这些控制,就会避免错误和弊端的滋生,应会使人们深信这个制度能产生的正确结果。对于内部控制的弱点,应寻找补救性的控制措施。对制度的强点应进一步进行符合性测试。为了便于以上工作的进行,应编制制度的弱点记录表和强点记录表。即使人们具有最良好的意图,也不免或早或迟发生错误,使他们的工作结果受到影响,如果是那些不具有良好意图的人,更不免故意伪造结果。每个组织都需要在有秩序和有效率的方式下从事自己的经营,都需要产生可靠的不良后果减少至最小限度。评价人员必须有系统地评价一个组织的业务和性质,评价它的内部控制制度,来估计其可信赖的程度,以保证会计和其他情报的完整;保证遵从法定的要求和规章;提高管理工作的成本效果;依照管理工作的规定和其他适当的标准,使资源有效地使用和遵守政府的政策。建立和保持适当的内部控制的责任在管理人员。正是管理,才要对财产的安全负责,保证会计资料的准确、可靠,提高经营效率,执行规定的政策。内部控制制度不应认为是为满足审计人员的需要而设计的,而应认为是管理上为履行其责任所必需的制度。审计并不减轻管理上的责任,也不能将审计认为是一种适当的内部控制制度的代用品。有秩序和有效率地经营管理目的可以细化为:财产的安全,会计记录的可信性,及时提供可靠的财务资料,盈利性和把不必要的开支减至最低限度,避免意外风险,预防或察觉错误或不法行为,保证授予的责任恰当地完成,解除法定的责任。显然,对过去的成果不知爱惜却说要使未来的收益最大,将毫无意义。因此,大多数内部控制制度都包括许多保证财产安全的规定。所谓保护财产的安全照通常的理解是指保护如像现金、有价证券、存货这些财产免受以下的影响:有意的错误,例如顾客的夹带,职工的偷盗,或者伪造记录以便夸大佣金、红利或使用费;无意的错误,例如偶尔少开顾客的账单,对供应单位多付,或者财产本身的有形损失或损坏。
为了获得可靠的财务报告,首先需要有可靠的会计记录。只有产生这种记录的制度可靠,记录方能可靠。因此,如果某单位将每月照例做调整折旧的分录为会计记录制度的必要部分,而这项分录有意或无意地被遗漏,这种会计分录就应认为是不可靠的。内部控制应当设法保证:会计记录提供的资料正是设计时所要产生的资料。会计记录之所以要可靠,其目的之一就是要便于及时提供可靠的财务情报。财务情报之所以要可靠,是为了管理人员可以为经营企业作出有情报为据的决策,也是为了便于其他的人员作出有关投资、贷款和各种有关问题的决策。如果内部控制能够使不必要的开支,例如,未经批准的开支或对顾客发送未经批准的货物,减少到最低限度,就有助于使所得的盈利水平达到与所承担的风险同等的程度。
为获得盈利而承担某些风险,是多数企业经营的原则,因此,内部控制的目的并不在于消除一切风险,而在于限制管理上意识到的风险的发生。比如:在仓库区筑围墙,就是一种防止发生某种形式的存货丢失的风险的控制方式。有时,管理人员也可能决定省去这种控制,因为它所费太高,与存货损失不成比例。这也就是等于作出一种有意识的决策,准备承担以后的风险。管理人员希望风险极小,但很明显,它们不会等于零。如果实际上存货丢失的现象发生了,这并不意味着从管理上看控制有缺点,而只是说:对于每一个自觉承担的风险,可能随时都不免自食其果。相反,如果财产丢失,是由于不在意的疏忽,由于根本没有想到要筑围墙,那就可以说是内部控制不适当的反映。
预防或查明错误和不法行为不是一个孤立的目标,它包括在已经讨论过的目标之中。外部审计虽也能查明错误和不法行为,但是错误和不法行为的预防和查明主要还是依靠适当的内部控制制度,注意到这点是很重要的。从管理上的观点说,如果控制的成本和消灭这一损失对比起来是合理的话,就应设计这种制度来减少一切能避免的错误或损失的风险。
有许多责任应该由每一级管理人员授予下属各级。一个设计良好的控制制度的作用之一,就在于使每一级管理人员满意地感到:它授予其下属各级的职责已恰当地履行了。比如,授权某一级去采购一定金额的物品,那么,内部控制制度就应包括:不发生未经许可的采购,或支出超过批准限额的采购。
法定责任是通过立法赋予的,它通常包括一种明确的或不言而喻的责任,使管理人员对第三者负责。内部控制能够帮助管理人员适应这种责任。
建立一个良好的内部控制有各种各样的方法和技术,通常应对以下各点特加注意:要有一个组织计划,以便将职能责任适当分工;要有批准手续和记录手续,规定一个制度,以便进行资产、负债、收入和费用的控制;实际工作要健全,使每一个组织部门的责任与职能得以完成;要有能力与其责任相称的工作人员。
在主要各部门间适当地划分责任,并维持这些部门的组织独立性对一个良好的组织计划是不可少的。通常,不应将一个交易的各个方面都交给一个部门去负责处理,如有可能,在责任的分工中应把经营和保管人的职务同会计分开。这种责任分工,可使工作因专业化而提高效率,并且可以相互牵制,促使工作准确而不致发生重复或无效劳动。
要使单位的经营有条理和有效率,需要控制;要使会计记录可靠,要及时提供可靠的财务情报,也要控制,同时还要保证凡是授予(下级的)责任,都要很好地完成。
至于负责的人和他们应负的责任,这就很明显了,没有任何制度能比执行制度的人更好,会计人员缺乏适当的训练和能力,就不可能建立良好的会计记录,或者提供有用的和可靠的会计报表。外部审计人员对于建立和保持内部控制是不负责的。然而,他的责任是对内部控制进行复审和评价,他要靠内部控制决定如何工作,使他表述的意见能有根有据。
内部控制制度的评价,中心是控制效果的评价,以保证制度能经济而有效率地完成目标。评价人员对内部控制制度的评价包括三个主要的阶段:
(1)明确受审制度的理想模式“应当是什么”。
(2)明确现行的控制制度“是什么”。
(3)将两者进行比较,以决定是否存在必要和足够的控制。
评价过程的第一阶段,是明确理想的控制模式。这一阶段包括明确控制的目标和理想的控制模式的特征。为了帮助审计人员完成这一任务,他可以使用以下这些资料:任何制度的总体控制目标;一般采用的评价标准;管理上规定的成绩标准;法定的义务和规定;健全的财务和管理控制所公认的原则。
有些控制目标适用于任何一种制度,如:坚持管理政策;经营效率和节约使用资源;保护资产;全面、准确、及时、可靠的管理和会计数据。有一些是各种职业团体一般公认的评价标准:职业会计和审计标准及实务说明;职业工作指导书,例如加拿大特许会计师协会的“计算机控制指导书”。
管理上规定的成绩标准,包括:各种工作手册和岗位工作说明书、管理用的凭证系统。法定义务和规定,包括:各种立法需要的指示(各种法令)、与各种法令有关的各种条例和指示、签订的各种协议。
财务和管理控制公认的原则一般可从以下各项中发现:审计人员对各种可比活动或制度的知识;从有较丰富经验的同事处获得知识;从书本中获得的知识;工业规范。
为了明确理想的控制模式,评价人员应当了解,这项制度要做什么,如何运行,这项制度与其他的制度怎样相互影响,以及它对一个单位各个方面的重要性。控制应该有和执行制度相当的环境。评价人员还必须在控制已经足够时防止控制模式过分详细,超过实际控制的要求,又须在冒错误、欺诈、疏忽的风险和制度的节约和效率之间相互权衡。
评价人员必须分析没有控制的风险。由于没有特殊的控制而可能引起的结局,必须使用可能性或概率等术语来估计风险发生对组织的不利影响以及任何不利影响的重要性。判断控制是否得当应以评价人员对风险、后果和重要性的判断为依据。
对内部控制制度进行评价的第二个阶段,在于确认“是什么”。评价人员需要通过实地观察制度的运行来达到这一点。为了便于对制度的运行分析,评价人员通常是将这个制度做成流程图,这就是用图表的形式将制度加以图解。为了使评价人员能够准确而全面地记录这个制度,并便于以后的复习,一些权威组织已经制定了许多标准化的制度流程图。
评价人员在了解了制度的运行后,还要了解该项制度的内部机制,以便根据评价的目的认识控制的必要性。评价人员还必须对控制稍微测试一下以便判定:这个控制是否真正在有效地和一贯地运行。
评价的最后一个阶段,是要求评价人员将“应当是什么”和“是什么”进行比较,然后估计是否已有足够和必需的控制,以保证达到的目标。如果评价人员认为已有足够的内部控制,他就必须了解他认为可以依赖的控制的内部机制,这就成为通常说的关键控制。正是由于这种关键控制,在受评期内评价人员要深入地检查,以便根据它来决定制度有效和连续运行的程度。如果评价认为不存在足够控制,他就不会依赖这种制度,也就应从其他方面寻找根据使他的意见能站得住脚。根据评价人员的观点来说,评价内部控制的重要性是和考虑用什么方法和技术来充分履行其评价责任相关联的。评价人员面临两个风险:错误可能发生;错误已发生但将不会被发现。
(四)符合性测试方法
百分之百的检查不叫测试,只抽查整体中的一部分才叫测试。测试是有效地进行审计的一个核心问题,是建立在逻辑基础上的。评价人员要对整体下结论,测试是很关键的问题。通过调查、描述与比较等健全性测试,评价人员对内部控制制度的系统功能及优点有了初步了解,并可据此决定大概可信赖的程度。但是,对内部控制度依赖、利用的确切程度,还取决于它的实际执行情况与结果,即各项活动及项目的执行是否遵循合适的法律和规章,是否处于经济性、效率性和效果性的方式之中。因此,评价人员还必须对单位现行内部控制进行认真审查和符合性测试,以确定其是否实际存在,其执行情况符合制度规定与要求的程度,有无发挥作用。根据规定的控制制度对实际的生产、技术、经营或是会计、财务活动进行检查,以确定这些控制环节是否确实存在,是否始终相符,有无失控之处,即为符合性测试。这种测试,同这些控制的辨认结合起来,就可确定该制度产生正确结果的可以信赖的程度。评价人员通过对具体工作活动的测试,取得控制系统在实际工作中是否有适用性和有效性的信息,可以进一步确认,再合理、完善的内部控制制度也有因得不到很好的贯彻实施,或有关管理人员的疏忽或有意不执行而不能实现预期的控制目标的可能性。可以据此判断管理工作或内部控制中可能存在的缺陷,以便确定实质性测试的范围和重点,并针对薄弱环节提出改进的建议等。
符合性测试旨在检查现行制度是否有效执行或能否取得预定结果。由于企业的业务繁杂,不可能进行全面检查,一般是根据单位生产经营活动的特点以及不同业务环节,采取抽查方法进行检查。即从大量的经济业务或有关记录中选择一定数量的样本,进行详细检查,然后根据样本检查结果,判断整体的有效性。评价人员在进行测试的时候要考虑一些主要因素,从计划角度来说是很重要的。这些因素有:
(1)时间因素。即评价人员什么时候去进行检验。如什么时候检查应收账款,什么时候盘点存货等。
(2)种类因素。评价人员要考虑测试性质,也就是要进行什么样类型的测试,这在很大程度上取决于评价人员的目的,就是需要验证什么材料。
(3)范围因素。即测试范围,如对存货盘点后要抽验多大范围。销售单据要抽查几百张还是几千张等。这些都是总体的概念,也是比较抽象的概念。
测试计划要包括下列内容:
(1)测试的目的。
(2)测试的时间。
(3)测试的性质。测试的性质要考虑两个因素:一是特定的步骤,即抽查多少项方能证明测试水平;二是适当的证据,指证据必须直接和测试相联系,是可以信赖的证据。
(4)选择证据的方法。
(5)证据的数量。即为了证明问题,需要多少证据。如计算上的差错,单纯一个证据不能说明问题,必须有一定数量的差错,然后求出一个差错率来证明问题。
测试重点要根据业务性质与控制目的的重要性而定。测试主要类型有业务测试和功能测试两类。这两种测试类型,前文已述,在此不再重述。
1.测试程度的确定方法
测试程度,即指能够对控制的执行情况作出评价时的测试数量极限。进行测试时,到底需要检查多少业务量才能达到目的,是需要解决的一个重要问题。太多,无疑会增大工作量,太少又达不到预期的目的。具体确定业务量可使用两种方法:一种是使用统计抽样法确定,即按照估计的差错率、允许的误差大小、应该达到的保证程度以及总体业务量的多少等,运用公式计算或查表确定(属性抽样法);另一种是运用经验估计法确定,因为,控制制度执行的次数越多,发生差错的概率越大。因此,审计人员可以凭经验按制度执行的次数多少来估计应该抽查的业务量。
2.具体测试技术
抽查的业务量确定以后,就需要运用随机抽样的方法从总体中抽取相应的样本项目进行检查,具体检查测度的方法有三种,即检查证据法、重新处理法和实地观察法。
(1)检查证据法。又称结合会计资料检查法,即测试人员通过对抽取的部分资料的审核检查,查明应有的内部控制措施是否存在,是否发挥作用的方法。如一张报销单据应该有领导的审批、会计的复核和出纳付款记录,如果该报销单据未经领导批准,会计复核未能发现其中的差错,出纳付款后未加盖“付讫”的戳记,则现金报销的内部控制功能未能发挥。
(2)重新处理法。又称重做或重复执行,即指测试人员根据有关的资料和业务处理程序,重复做一遍已经完成的业务,并比较处理结果,从而判明内部控制制度是否有效的方法。如根据销售发票的记账联月终汇总编制“产成品发出汇总表”与原来的汇总表核对,根据有关原始记录重新编制“产品成本计算单”计算出产品成本和期末在产品成本,并与原来的成本计算单进行比较等。如果处理后的新结果与被审单位处理结果相同,则说明制度已发挥了其功能。
(3)实地观察法。即指测试人员到现场察看某些业务的处理是否与制度的要求相符,从而判明内部控制制度是否有效的方法。如购进货物应组织人员验收质量与数量并填列验收单,审计人员则可到仓库实地察看是否确实办理了上述验收手续,若没有,则制度未发挥功能。但应注意的是,采用实地观察法进行测试时,应充分考虑到测试人员不在现场时未按制度要求执行的可能性。因此,最好不要以一次观察的结果作结论,如能采取突击观察的方式也许效果会更好。
符合性测试方法应根据不同的控制种类加以运用,如:基础控制的符合性测度应当采用审查证据和重做的方法,当然在某些场合,也可考虑使用观察方法(如在测试盘点和审查收入商品时)。实施会计程序和内部会计控制的职务分工的符合性测试采用观察或审查证据的方法,检查文件或记录原始情况和签字情况。通常,职务分工控制的重做测试是与基础控制符合性测试一起,而不单独进行。监督控制的符合性测试主要是审查证据和观察。实行观察控制的其他证据可以包括那些反映不令人满意,已被监督控制后怀疑文件和记录状况的报告。另外,审计人员可能要求观察目前业务处理中监督控制实施情况。如果监督人员随意采用监督方法并以此进行监督,那么重做的方法对监督控制是不适用的。如果监督控制有固定承担的工作,那么,重复的方法是适用的。在这时,应当审查那些已由实施监督控制人员查看的那些原始凭证和附件。监督人员实施的监督控制与审计人员实施的基础控制符合性测试有许多相同之处。两者的设计均是为了证实基础控制的基本实施情况,所以使用同一样本,同时进行监督控制和基础控制的符合性测试是十分有效的。实物控制的符合性测试包括观察会计处理程序以及安全措施,并审查控制实物进出的批准文件等证据。业务测试说明既定控制系统是否实际存在,而功能测试则说明这些控制的机能是否令人满意。但测试人员进行测试时,一定要注意选择合适的业务,否则难以奏效:一是注意要选择的该类型业务是否都通过测试的控制点;二是要注意被测试的业务能否代表全年,否则难以判明该制度在整个年度中是否运转无误。
(五)综合评价方法
内部控制应该评价的内容很多,但不可能事无巨细地一一评价,必须掌握以下重点内容:
(1)单位组织机构与职责分工的健全状况。
(2)反映制度的各种文件是否规范。
(3)管理制度、会计制度及内审制度是否完整。
(4)业务处理与记录程序是否正确。
(5)授权、批准、执行、记录、核对、报告等手续是否完备。
(6)干部职工的选用、培训、考核、职务、轮换是否科学。
(7)是否有严格的岗位责任制和奖惩制。
(8)关键控制点是否都有必要的控制措施。
(9)内部控制是否讲究经济性。
对内部控制进行符合性测试之后,应根据这些测试结果来决定他的初步估价是否需要修改,并作出最后评价。这种评价的方法主要有以下几个方面:
(1)可信赖程度评价。当测试结束以后,评价人员就应该考虑:被检查单位的内部控制制度在健全性和有效性方面,有多大把握能保证单位控制目标的实现。内部控制是否健全,能否纠错防弊;如果出现失控,可能会造成什么样的错弊;查不出错弊可能对控制目标产生什么样的影响;内部控制是否能以合理的偏差水平令人满意地发挥作用。对内部控制可信赖程度评价,有的把它分为四类,有的把它分为三类。分为四类的是优良、良好、一般、差。所谓“优良”,是指内部控制令人满意并能有效运行,可以提供较高的保证;“良好”是指内部控制基本令人满意,但其运行有些微低效,能提供中等程度的保证;“一般”是指内部控制基本满意,但有一些控制失灵,提供的保证程度较低;“差”则是指内部控制不能令人满意,或者说大多数内部控制不能奏效,不能提供任何保证。分为三类的是可信赖程度高、可信赖程度一般和可信赖程度低三个层次。内部控制健全并且有效地执行,经营业务或各种记录发生差错可能性很小,则可信赖程度高;内部控制较好,但存在一定的错误或缺点,可能会影响信息资料的真实可靠性,其可信赖程度一般;内部控制明显无效,大部分经营业务和信息资料失控,差错发生频繁,则不可信赖和利用。在第三种情况下,符合性测试已失却了意义,审计人员必须扩大审计范围,进行实质性测试,搜集足够的证据作出审计结论。
(2)薄弱环节评价。薄弱环节评价,国外一般叫做对易损部门的评价。主要是指对控制不足或存在有缺陷、容易造成损失浪费的部门进行分析和研究。这种评价的目的是找出控制失败的原因所在,同时提出相应的改进、补救措施。分析时,应将不足或缺陷与标准结构进行比较,借以发现差距;评价人员还应根据自己的分析,提出自己的见解,作出有价值的判断和评价。对薄弱环节的研究,主要是对存在缺陷后果影响的研究。这一方面研究,一是要查明造成缺陷的原因,二是分析缺陷存在对控制效果的影响,三是要寻求克服缺陷的措施。评价时应注意以下三个方面问题:
1)对部门内部控制的研究。首先,必须完全掌握和了解风险大和所谓“危险”的部门。重点在掌握和了解控制工作业务的所谓标准结构或者程序、方法和日常事务。然而还应该评价组织结构、信息体系以及人员等;同时应把内部审计部门进行的测试列入评价范围。具体的工作是通过举行会晤、会议以及查阅资料(包括手册、决策、备忘录、内部资料等)的方式来进行。在了解和掌握最容易出问题的薄弱环节之后,审计人员必须要证实调节和控制内部控制运行的标准结构是否按原计划有效正常地发挥其作用。接着要进行所谓符合性测试,目的是为了证实工作业务和其他日常事务的实际状况,通过采用小部分抽样的方法,以检查流程图中的关键控制点是否有效。当对被认为是容易出问题的部门的内部控制进行评价时,也只有在这时内部控制的评价方法才能最大限度地发挥作用。
2)对发现的缺陷的分析。对某部门所发现控制不足或缺陷之处所进行的分析,应与标准结构做比较。实际上每一个单位都有一个模式或理论上最理想的环境来和所发现的不足、缺陷做比较。这类分析应该建立在行政管理的基础上,尤其应建立在内部控制的原则基础上。为完成这一阶段评估的任务,重要的一点是要求评价人员根据自己的经验,提出自己的见解,做出有价值的判断和评价。
3)发现的缺陷的影响。最后是对内部控制缺陷以及后果的研究,这也就是说必须测定每一缺陷的影响,它应有两个层次的工作:一是建立可行的备以替换的控制。在行政管理上以及工作业务上出现缺陷并影响了效益、效率和效果的情况下,要对缺点进行认真研究。在对内部控制缺陷分析基础上,建立防止缺陷再次发生的控制秩序。二是设计关键控制点。这些缺陷的发生是源于过去控制不到位,关键环节控制不力,关键控制点不清晰。增加关键控制点是防止差错与舞弊的有效措施。
第六节 内部控制评价、组织和实施
为了体现评价的权威性和公平性,内部控制评价、组织和实施应该由集团总部统一负责,按照“统一领导,分级管理”的原则进行,并由集团总部确定评价范围和频率。内部控制的目的和评价的目的是一致的,评价是为了验证内部控制的有效性和可靠性,既不能大量加重公司成本,也不能为了评价而评价,因此,合理的评价范围和频率是非常重要的。根据企业特点,内部控制评价分为两个层次较为合适:第一,企业集团总部对企业法人机构的整体评价,原则上每四年一次。第二,企业集团总部派出机构对企业不同层次分支机构的评价,每四年为一个评价周期。
集团总部根据风险大小和重要性确定对企业及其分支机构内部控制评价的频率和范围,当企业发生管理层重大变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况,应对企业内部控制进行整体评价。
集团总部或其派出机构应对被评价机构内部控制体系的改进情况进行后续跟踪,责令被评价机构针对发现的违规或风险隐患制定纠正措施,并对纠正情况及其有效性进行验证。
内部控制评价各阶段涉及的有关记录、表格、评价报告以及跟踪验证的相关资料均应作为监管档案妥善保管。
集团总部可根据需要委托外部中介机构对企业内部控制体系进行评价。受托中介机构和人员必须熟悉企业的业务和运作,具备企业内部控制体系建立或评价方面的经验。
第七节 评价举例:商业银行内部控制评价试行办法
(2004年12月银监会发布)
第一章 总 则
第一条 为规范和加强对商业银行内部控制的评价,督促其进一步建立内部控制体系,健全内部控制机制,为全面风险管理体系的建立奠定基础,保证商业银行安全稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本办法。
第二条 商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。
内部控制评价包括过程评价和结果评价。过程评价是对内部控制环境、风险识别与评估、内部控制措施、监督评价与纠正、信息交流与反馈等体系要素的评价。结果评价是对内部控制主要目标实现程度的评价。
第三条 商业银行内部控制体系是商业银行为实现经营管理目标,通过制定并实施系统化的政策、程序和方案,对风险进行有效识别、评估、控制、监测和改进的动态过程和机制。
第四条 商业银行应建立并保持系统、透明、文件化的内部控制体系,定期或当有关法律法规和其他经营环境发生重大变化时,对内部控制体系进行评审和改进。
第五条 商业银行内部控制评价由中国银行业监督管理委员会(以下简称银监会)及其派出机构组织实施。
第六条 内部控制评价人员应接受有关内部控制评价知识和技能的培训,具备相应的资质和能力。
第二章 评价目标和原则
第七条 商业银行内部控制评价的目标主要包括:
(一)促进商业银行严格遵守国家法律法规、银监会的监管要求和商业银行审慎经营原则。
(二)促进商业银行提高风险管理水平,保证其发展战略和经营目标的实现。
(三)促进商业银行增强业务、财务和管理信息的真实性、完整性和及时性。
(四)促进商业银行各级管理者和员工强化内部控制意识,严格贯彻落实各项控制措施,确保内部控制体系得到有效运行。
(五)促进商业银行在出现业务创新、机构重组及新设等重大变化时,及时、有效地评估和控制可能出现的风险。
第八条 内部控制评价应从充分性、合规性、有效性和适宜性等四个方面进行:
(一)过程和风险是否已被充分识别。
(二)过程和风险的控制措施是否遵循相关要求、得到明确规定并得以实施和保持。
(三)控制措施是否有效。
(四)控制措施是否适宜。
第九条 内部控制评价应遵循以下原则:
(一)全面性原则。评价范围应覆盖商业银行内部控制活动的全过程及所有的系统、部门和岗位。
(二)统一性原则。评价的准则、范围、程序和方法等应保持一致,以确保评价过程的准确及评价结果的客观和可比。
(三)独立性原则。评价应由银监会或受委托评价机构独立进行。
(四)公正性原则。评价应以事实为基础,以法律法规、监管要求为准则,客观公正,实事求是。
(五)重要性原则。评价应依据风险和控制的重要性确定重点,关注重点区域和重点业务。
(六)及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时重新评价。
第三章 评价内容
第一节 内部控制环境
第十条 商业银行公司治理。
商业银行应建立以股东大会、董事会、监事会、高级管理层等为主体的公司治理组织架构,保证各机构规范运作,分权制衡。
(一)完善股东大会、董事会、监事会及下设的议事和决策机构,建立议事规则和决策程序。
(二)明确董事会和董事、监事会和监事、高级管理层和高级管理人员在内部控制中的责任。
(三)建立独立董事制度,对董事会讨论事项发表客观、公正的意见。
(四)建立外部监事制度,对董事会、董事、高级管理层及其成员进行监督。
第十一条 董事会、监事会和高级管理层责任。
董事会负责保证商业银行建立并实施充分而有效的内部控制体系;负责审批整体经营战略和重大政策并定期检查、评价执行情况;负责确保商业银行在法律和政策的框架内审慎经营,明确设定可接受的风险程度,确保高级管理层采取必要措施识别、计量、监测并控制风险;负责审批组织机构;负责保证高级管理层对内部控制体系的充分性与有效性进行监测和评估。
监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会及董事、高级管理层及高级管理人员履行内部控制职责;负责要求董事、董事长及高级管理人员纠正其损害商业银行利益的行为并监督执行。
高级管理层负责制定内部控制政策,对内部控制体系的充分性与有效性进行监测和评估;负责执行董事会决策;负责建立识别、计量、监测并控制风险的程序和措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行。
董事会和高级管理层还应培育良好的内部控制文化,提高员工的风险意识和职业道德素质,建立通畅的内外部信息沟通渠道,确保及时获取与内部控制有关的人力、物力、财力、信息以及技术等资源。
第十二条 内部控制政策。
商业银行应在各项业务和管理活动中制定明确的内部控制政策,规定内部控制的原则和基本要求,并为制定和评审内部控制目标提供指导。内部控制政策应:
(一)与商业银行的经营宗旨和发展战略相一致;
(二)体现持续改进内部控制的要求;
(三)符合现行法律法规和监管要求;
(四)体现出侧重控制的风险类型;
(五)体现出对不同地区、行业、产品的风险控制要求;
(六)传达给适用岗位的员工,指导员工实施风险控制措施;
(七)可为风险相关方所获取,并寻求互利合作;
(八)定期进行评审,确保其持续的适宜性和有效性。
第十三条 内部控制目标。
商业银行应在相关职能和层次上建立并保持内部控制目标。内部控制目标应符合内部控制政策,并体现对持续改进的要求。
在建立和评审内部控制目标时,应考虑法律法规、监管要求和其他要求,以及技术、财务、经营和风险相关方等因素,尤其应考虑监管部门的内部控制指标要求。内部控制目标应可测量。有条件时,目标应用指标予以量化。
第十四条 组织结构。
商业银行应建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关的部门、岗位、人员的职责和权限,并形成文件予以传达。特别应考虑:
(一)建立相应的授权体系,实行统一法人管理和法人授权。
(二)必要的职责分离,以及横向与纵向相互监督制约关系。
(三)涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。
(四)明确关键岗位、特殊岗位、不相容岗位及其控制要求。
(五)建立关键岗位定期或不定期的人员轮换和强制休假制度。
商业银行应设立负有内部控制体系建立、实施特殊责任的专门委员会或部门,明确其责任、权限和报告路线。
商业银行应设立全行系统垂直管理、具有充分独立性的内部审计部门。内部审计部门应配备具有相应资质和能力的审计人员;应有权获得商业银行的所有经营、管理信息;应根据对辖属机构的风险评级结果确定审计频率,以及对机构和业务的审计覆盖率,定期或不定期对内部控制的健全性和有效性实施检查、评价;应及时向董事会或董事会审计委员会提交审计报告;董事会及高级管理层应保证审计报告中指出的内部控制的缺失得到及时纠正整改;总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
第十五条 企业文化。
商业银行应培育健康的企业文化,对企业文化的内涵及其策划、渗透、评估与改进做出明确的规定。特别应向员工传达遵守法律法规和实施内部控制的重要性,引导员工树立合规意识和风险意识,提高员工职业道德水准,规范员工职业行为。
第十六条 人力资源。
商业银行应完善人力资源政策和程序,确保与风险和内部控制有关人员具备相应的能力和意识。
商业银行应明确与风险和内部控制有关人员的适任条件,明确有关教育、工作经历、培训和技能等方面的要求,以确保相关人员的胜任。
高级管理人员必须满足监管机构对高级管理人员资质的要求。
商业银行应制定并保持培训计划,以确保高级管理层和全体员工能够完成其承担的内部控制方面的任务和职责。培训计划应定期评审,并应考虑不同层次员工的职责、能力和文化程度以及所面临的风险。
商业银行应对员工引进、退出、选拔、绩效考核、薪酬、福利、专业技术职务管理处罚等日常人事管理做出详细规定,并充分考虑人力资源管理过程中的风险。
第二节 风险识别与评估
第十七条 经营管理活动风险识别与评估。
商业银行应建立和保持书面程序,以持续对各类风险进行有效的识别与评估。商业银行的主要风险包括信用风险、市场风险(含利率风险)、操作风险、国家和转移风险、流动性风险、法律风险以及声誉风险等。
应识别并确定常规和非常规的业务和管理活动,并识别这些活动中的风险(无论是否由内部产生),考虑其类型、来源及其影响范围,特别应考虑计算机系统的运用可能带来的风险。
应依据法律法规、监管要求以及内部控制政策确定风险是否可接受,以确定是否进一步采取措施。风险可接受时,应监测并定期评审,以确保其持续可接受;风险不可接受时,应制定控制措施。
商业银行对各类风险进行识别与评估时应充分考虑内部和外部因素。其中,内部因素包括组织结构的复杂程度、银行业务性质、机构变革以及员工的流动等;外部因素包括经济形势的波动、行业变动趋势等。
当环境和条件发生变化时,应及时对风险进行再识别和再评估,以确保任何新的和以前未曾予以控制的风险得到识别和控制。
风险识别与评估应:
(一)依据业务范围、性质和时限主动进行。
(二)评估风险的后果、概率和风险级别。
(三)必要时开发并运用风险量化评估的方法和模型。
第十八条 法律法规、监管要求和其他要求的识别。
商业银行应建立并保持识别和获取适用法律、法规、监管要求和其他要求的程序,作为风险识别与评估、制定控制目标和控制方案的依据。
商业银行应及时更新法律法规、监管要求和其他要求的信息,并将这些信息传达给相关员工和其他风险相关方。
第十九条 内部控制方案。
商业银行应制定内部控制方案,以控制已识别的不可接受风险。内部控制措施方案应包括以下内容:
(一)为实现对风险的控制而规定的相关职责与权限。
(二)控制的策略、方法、资源需求和时限要求。
若涉及组织结构、流程、计算机系统等方面的重大变更,应考虑可能产生的新风险。
第三节 内部控制措施
第二十条 运行控制。
商业银行应确定需要采取控制措施的业务和管理活动,依据所策划的控制措施或已有的控制程序对这些活动加以控制。
(一)控制措施包括:
1.高层检查。董事会与高级管理层应要求下级部门及时报告经营管理情况和特别情况,以检查内部控制的实施状况以及在实现内部控制目标方面的进展。高级管理层应根据检查情况提出内部控制缺失情况,督促职能管理部门改进。
2.行为控制。各级职能管理部门审查每天、每周或每月收到的经营管理情况和特别情况专项报表或报告,提出问题,要求采取纠正整改措施。
3.实物控制。主要的控制措施包括实物限制、双重保管和定期盘存等。
4.风险暴露限制的审查。审查遵循风险暴露限制方面的合规性,违规时继续跟踪检查。
5.审批与授权。根据若干限制条件对各项业务、管理活动进行审批与授权,明确各级的管理责任。
6.验证与核实。验证各项业务、管理活动以及所采用的风险管理模型结果,并定期核实相关情况,及时发现需要修正的问题,并向职能管理部门报告。
7.不兼容岗位的适当分离。实行适当的职责分工,认定潜在的利益冲突并使之最小化。
(二)控制要点包括:
1.对于可能导致偏离内部控制政策、目标的运行情况,应建立并保持书面程序和要求,并在程序中规定操作和控制标准。
2.对于重要活动应实施连续记录和监督检查。
3.在可能的情况下,应考虑运用计算机系统进行控制。
4.对于采购或外包的设施、设备、系统和服务中已识别的风险,应建立并保持控制程序,并将有关程序和要求通报供方,确保其遵守商业银行相关的控制要求。
5.对于产品、组织结构、流程、计算机系统的设计过程,应建立有效的控制程序。
第二十一条 计算机系统环境下的控制。
商业银行应考虑计算机系统环境下的业务运行特征,建立信息安全管理体系,对硬件、操作系统和应用程序、数据和操作环境,以及设计、采购、安全和使用实施控制,确保信息的完整性、安全性和可用性。明确计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
第二十二条 应急准备与处置。
商业银行应建立并保持预案和程序,以识别可能发生的意外事件或紧急情况(包括计算机系统)。意外事件和紧急情况发生时,应及时做出应急处置,以预防或减少可能造成的损失,确保业务持续开展。
商业银行应定期检查、维护应急的设施、设备和系统,确保其处于适用状态。如可行,应定期测试应急预案。
商业银行应评审其应急预案,特别是意外事件或紧急情况发生之后。应急准备应与可能发生的意外事件或紧急情况(包括事故、险情)的性质相适应。
第四节 监督评价与纠正
第二十三条 内部控制绩效监测。
商业银行应建立并保持书面程序,通过适宜的监测活动,对内部控制绩效进行持续监测。
监测内容包括:
(一)内部控制目标实现程度。
(二)法律、法规及监管要求的遵循程度。
(三)事故、险情和其他不良的内部控制绩效的历史情况。
第二十四条 违规、险情、事故处置和纠正及预防措施。
商业银行应建立并保持书面程序,对违规、险情、事故的发现、报告、处置和纠正及预防措施做出规定,包括:
(一)发现违规、险情、事故并及时报告,必要时,可越级报告。
(二)及时处置违规、险情、事故。
(三)制定纠正与预防措施,防止违规、险情、事故的发生和再发生,并与问题的大小和风险危害程度相一致。
(四)纠正与预防措施在实施之前应进行风险评估。
(五)实施并跟踪、验证纠正与预防措施。
(六)险情和事故的责任追究。
第二十五条 内部控制体系评价。
商业银行应建立并保持书面程序,对内部控制体系实施评价,确保内部控制体系的充分性、合规性、有效性和适宜性。程序应包括评价的目的、准则、范围、频率、方法以及职责与要求。
评价应考虑活动的风险评估结果、业务和管理流程和以前的评价结果等,覆盖体系范围内的所有活动。
可根据评价结果确定内部控制水平的等级。被评价机构的管理者应采取措施消除违规原因,并验证所采取措施的效果。
评价应由与评价的活动无直接责任的人员进行,评价人员应具备相应的知识,能够胜任评价工作。
第二十六条 管理评审。
董事会应采取措施保证定期对内部控制状况进行评审,确保体系得到持续、有效的改进。
(一)管理评审应包括以下方面的内容:
1.内部控制体系评价的结果。
2.内部控制政策执行情况和内部控制目标实现情况。
3.对内部控制体系有重要影响的外部信息,如法律、法规的重大变化。
4.组织结构的重大调整。
5.事故和险情以及重大纠正和预防措施的状况。
6.以往管理评审的跟踪情况。
7.内部控制体系改进的建议。
(二)管理评审应就以下方面提出改进措施并落实:
1.内部控制体系及其过程的改进。
2.内部控制政策、目标的变更。
3.与内部控制有关资源的需求。
第二十七条 持续改进。
商业银行应利用内部控制政策、内部控制目标、评价结果、绩效监测和数据分析、纠正和预防措施以及管理评审等,持续提高内部控制体系的有效性。
第五节 信息交流与反馈
第二十八条 交流与沟通。
商业银行应建立并保持信息交流与沟通的程序,明确对财务、管理、业务、重大事件和市场信息等相关信息识别、收集、处理、交流、沟通、反馈、披露的渠道和方式。
商业银行应识别其内部和外部的风险相关方,考虑他们的要求和目标,建立与这些相关方进行信息交流的机制,确保:
(一)董事会和高级管理层能够及时了解业务信息、管理信息以及其他重要风险信息。
(二)所有员工充分了解相关信息、遵守涉及其责任和义务的政策和程序。
(三)险情、事故发生时,相关信息能得到及时报告和有效沟通。
(四)及时、真实、完整地向监管机构和外界报告、披露相关信息。
(五)国内外经济、金融动态信息的取得和处理,并及时把与企业既定经营目标有关的信息提供给各级管理层。
信息交流与沟通应考虑信息的安全性和保密性要求。相关信息报告、发布、披露应经过授权。
为保持信息交流沟通的可追溯性,必要时,应保持相关信息交流与沟通的记录。
第二十九条 内部控制体系对文件的要求。
建立和保持文件化体系是实现信息交流与反馈的重要途径。商业银行应建立并保持必要的内部控制体系文件,包括:
(一)对内部控制体系要素及其相互作用的描述。
(二)内部控制政策和目标。
(三)关键岗位及其职责与权限。
(四)不可接受的风险及其预防和控制措施。
(五)控制程序、作业指导、方案和其他内部文件。
第三十条 文件控制。
商业银行应建立并保持书面程序,以确保内部控制体系所要求的文件满足下列要求:
(一)易于查询。
(二)实施前得到授权人的批准。
(三)定期评审,必要时予以修订并由授权人员确认其适宜性。
(四)所有相关岗位都能得到有效版本。
(五)失效时,及时从所有发放处和使用处收回,或采取其他措施防止误用。
(六)及时识别、处置外来文件并进行标识,必要时转化为内部文件。
(七)留存的档案性文件和资料应予以适当标识。
第三十一条 记录控制。
商业银行应建立并保持书面程序,以规定内部控制相关活动中所涉及记录的标识、生成、储存、保护、检索、保存期限和处置。
记录应保持清晰、易于识别和检索,以提供符合要求和内部控制体系有效运行的证据,并可追溯到相关的活动。
第四章 评价程序和方法
第三十二条 内部控制评价程序一般包括评价准备、评价实施、评价报告形成和反馈等步骤。
第三十三条 评价准备。
组成评价组。评价组应考虑组成人员的背景和能力。必要时,可聘请业务或管理方面的专家。
制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。
准备必要的工作文件。主要包括评价问卷、抽样计划、被评价机构的内部控制体系文件及相关记录等。
在现场评价前应先与被评价机构建立初步联系,以便确认有关评价事项和安排。
第三十四条 评价实施。
评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价机构之间的沟通做出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。
评价实施的具体方法见第三十九条 至四十三条。
第三十五条 评价报告形成。
评价组根据评价实施情况,撰写评价报告,应重点分析以下方面:
(一)被评价机构内部控制体系现状、存在问题及趋势分析。
(二)同类银行比较。
(三)监管建议。
(四)可能的谅解因素。
第三十六条 评价反馈。
对被评价机构内部控制体系进行综合评价后,应与被评价机构管理层沟通,以核对数据,确认事实,并就评价中的问题征求意见。
第三十七条 银监会及其派出机构根据评价报告,依据有关法律和规定,做出评价结论和处理决定,并以书面形式正式发送被评价机构,限期整改。同时,评价结论应报上级机构。
第三十八条 内部控制评价方法是为实现评价目的,对被评价机构内部控制体系进行分析和评价而采取的技术和手段的总称。
第三十九条 内部控制评价实施包括:
了解内部控制体系。应了解被评价机构内部控制体系的基本情况,确认评价范围,确定被评价机构的内部控制体系的健全程度,然后决定实施测试所采取的方法。
实施测试和分析。实施测试和分析是在了解内部控制体系的基础上,评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等,其中,对内部控制过程评价主要采取符合性测试法;对内部控制结果评价,主要采取指标分析法。
第四十条 了解内部控制体系。
了解被评价机构内部控制体系主要通过询问、查阅、观察、流程图等方法进行,以初步评价被评价机构内部控制体系的充分性和合规性。
第四十一条 符合性测试。
符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性,即相关规定在实际中是否被一贯执行,控制措施能否达到控制目的,控制措施是否恰当。符合性测试分为两种形式:
(一)业务测试,即对重要业务或典型业务进行测试,按照规定的业务处理程序进行检查,确认有关控制点是否符合规定并得到认真执行,以判断内部控制的遵循情况。
(二)功能测试,即对某项控制的特定环节,选择若干时期的同类业务进行检查,确认该环节的控制措施是否一贯或持续发挥作用。
符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。
第四十二条 测试抽样。
抽样样本取决于被评价机构或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上,结合被评价项目的风险和重要性进行调整。
根据业务频次确定的抽样量参考标准如下:
(一)每月执行一次的业务或事项,抽样量应保持在2~6个之间。
(二)每周执行一次的业务或事项,抽样量应保持在4~10个之间。
(三)每日执行一次的业务或事项,抽样量应保持在10~25个之间。
(四)每日执行多次的业务或事项,全年10000次以下的,抽样量应保持在25~50个之间;全年10000次以上的,抽样量应保持在50个以上。
第四十三条 指标分析。
应收集被评价机构内部控制结果指标的相关信息,进行核实、对比分析和趋势分析,从而对内控目标实现情况做出评价。
第五章 评分标准和评价等级
第四十四条 内部控制评价采取评分制。对内部控制的过程和结果分别设置一定的标准分值,并根据评价得分确定被评价机构的内部控制等级。
第四十五条 内部控制过程评价的标准分为500分,其中:内部控制环境100分、风险识别与评估100分、内部控制措施100分、信息交流与反馈100分、监督评价与纠正100分。上述五部分评价得分加总除以5,得到过程评价的实际得分。
第四十六条 在对内部控制过程评价时,应按照第三章评价内容的要求,结合本办法第八条 的四个方面展开,转换为具体评价问题,并根据测试情况对被评价项目进行评分。
第四十七条 初次实施内部控制评价时,须对所有业务活动、管理活动和支持保障活动进行评价。再次评价时,至少应包括:授信业务、资金业务、存款及柜台业务、主要中间业务、计划财务、会计管理、计算机信息系统等。其他活动在每三次再次评价周期内应至少覆盖一次。
第四十八条 内部控制过程评价的具体评分标准如下:
(一)被评价对象的过程和风险已被充分识别的,可得该项分值的20%。
(二)在满足前项的基础上,被评价项目的过程和对风险的控制措施被规定并遵循要求的,可得该项分值的30%。
(三)在满足前两项的基础上,被评价项目的规定得到实施和保持,可再得该项分值的30%。
(四)在满足前三项的基础上,被评价项目在实现风险控制的结果方面,控制措施有效且适宜的,可再得该项分值的20%。
第四十九条 在测试过程中遇有业务缺项或问题“不适用”时,应将涉及到的分值在评价项目总分中扣减。为了保持可比性,在得出其余适用项的总分后,还应将该评价项目的总得分进行调整。
调整后评价项目总得分=所有适用项目得分/(评价项目总分-不适用项目总分)×100%
单项分值小计和总分分值有小数时四舍五入。
第五十条 若涉及需要采取抽样测试确定评价结论的,应根据以下情况确定:
(一)如果在抽样范围内未发现违规,该项评价得满分;在抽样范围内,发现两项以上违规(含两项),该项评价不得分;仅发现一项违规的,应扩大一倍抽样,在扩大抽样范围内未发现新的违规的,可得该评价项目分值的50%,在扩大抽样范围内又发现新的违规的,该评价项目不得分。
(二)发现险情或事故的,直接扣除该评价项目的分值。
第五十一条 内部控制的结果评价。结果评价主要评价内部控制目标的实现情况,对这些指标的量化评价可以通过非现场的方式进行。结果评价主要包括十项指标:资本利润率、资产利润率、成本收入比、大额风险集中度指标、关联方交易指标、资产质量指标、不良贷款拨备覆盖率、资本充足指标、流动性指标、案件指标等,指标说明及控制比例见附录。内控结果评价指标的标准分值为500分,转化为百分制后得出实际得分。
银监会可以根据商业银行整体风险情况、经济金融情况和银监会工作的重点,补充、修订或调整有关评价指标及其标准分值。
第五十二条 根据过程评价和结果评价综合确定内部控制体系的总分。其中,过程评价的权重为70%,结果评价的权重为30%,两项得分加总得出综合评价总分。
第五十三条 根据综合评价总分确定被评价机构的内部控制体系评价等级,应按评分标准对被评价机构内部控制项目逐项计算得分,确定评价等级。定级标准为:
一级:综合评分90分以上(含90分)。指被评价机构有健全的内部控制体系,在各个环节均能有效执行内部控制措施,能对所有风险进行有效识别和控制,无任何风险控制盲点,控制措施适宜,经营效果显著。
二级:综合评分80~89分。指被评价机构内部控制体系比较健全,在各个环节能够较好执行内部控制措施,能对主要风险进行识别和控制,控制措施基本适宜,经营效果较好。
三级:综合评分70~79分。指被评价机构内部控制体系一般,虽建立了大部分内部控制,但缺乏系统性和连续性,在内部控制措施执行方面缺乏一贯的合规性,存在少量重大风险,经营效果一般。
四级:综合评分60~69分。被评价机构内部控制体系较差,内部控制体系不健全或重要的内部控制措施没有贯彻执行或无效,管理方面存在重大问题,业务经营安全性差。
五级:综合评分60分以下(不含60分)。被评价机构内部控制体系很差,内部控制体系存在严重缺失或内部控制措施明显无效,存在明显的管理漏洞,经营业务失控,存在重大金融风险隐患。
上述等级也适用于单项评级,单项评级结果主要用于对比分析。
第五十四条 若被评价机构在评价期内发生重大责任事故,应在上述评级的基础上下调一级。
重大责任事故包括:
(一)因安全防范措施不当,发生金融诈骗、盗窃、抢劫、爆炸等案件,造成重大影响或损失。
(二)因经营管理不善发生挤提事件。
(三)业务系统故障,造成重大影响或损失。
(四)经查实的重大信访事件。
第五十五条 内部控制体系连续在三个评价期内得不到改善的机构,其内部控制评价等级应适当下调。
第六章 组织和实施
第五十六条 内部控制评价按照“统一领导,分级管理”的原则进行。
第五十七条 根据评价的范围,内部控制评价可分为以下层次:
(一)银监会及其派出机构对商业银行法人机构的整体评价,原则上每两年一次。
(二)银监会及其派出机构对商业银行总部的评价,原则上每两年一次。
(三)银监会及其派出机构对商业银行不同层次分支机构的评价,每三年一个评价周期,每年至少覆盖三分之一以上的分支机构,三年内必须覆盖全部分支机构。
第五十八条 应当根据风险大小和重要性确定对商业银行及其分支机构内部控制评价的频率和范围,当商业银行发生管理层重大变动、重大的并购或处置、重大的营运方法改变或财务信息处理方式改变等情况,或银监会认为必要时,应对商业银行内部控制进行整体评价。
第五十九条 银监会对商业银行法人机构整体评价时,总部占整体评价得分的60%,分支机构平均得分占整体评价得分的40%,形成最终评级结果。其中,初次整体评价时,应覆盖总行和所有分支机构;再次进行整体评价时,应抽取不少于三分之一的分支机构。
银监会各派出机构对辖内商业银行分支机构的内部控制评价可比照进行。
第六十条 银监会及其派出机构应及时整理、分析和掌握被评价机构报送的非现场监管数据、国家审计部门的审计结果和被评价机构的内部审计信息,充分利用监管部门对被评价机构的各种现场检查结果。
第六十一条 银监会或其派出机构应对被降价机构内部控制体系的改进情况进行后续跟踪,责令被评价机构针对发现的违规或风险隐患制定纠正措施,并对纠正情况及其有效性进行验证。
第六十二条 内部控制评价各阶段涉及的有关记录、表格、评价报告以及跟踪验证的相关资料均应作为监管档案妥善保管。
第六十三条 银监会可根据需要委托外部中介机构对商业银行内部控制体系进行评价。受托中介机构和人员必须熟悉商业银行业务和运作,具备商业银行内部控制体系建立或评价方面的经验。各派出机构选聘中介机构时,必须报银监会批准。
受托中介机构对商业银行的内部控制评价须按照本办法执行。
第七章 罚 则
第六十四条 银监会根据评级结果及评价报告所反映的情况,针对被评价机构内部控制体系存在问题的性质及严重程度,可分别采取以下一项或多项监管措施:
(一)约见被评价机构第一负责人或董事长。
(二)就评价对象内部控制体系存在问题可能引发的风险,向被评价机构进行提示和警告。
(三)要求被评价机构对内部控制体系存在的问题限期整改。
(四)加大现场检查力度及频率。
(五)建议调整管理层。
(六)取消有关人员一定期限或终身银行业从业资格。
(七)责令整顿或暂停办理相关业务。
(八)延缓批准或拒绝受理增设分支机构、开办新业务的申请。
第六十五条 对内部控制评价中发现的违规、违法行为,应根据有关规定,采取相应处罚措施。
第六十六条 未经批准或许可,任何单位和个人不得对外公布对被评价机构的内部控制体系等级评定结果。凡擅自公布等级评定结果,应追究有关人员的责任。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。