在實際審計工作中,必須有壹套客觀可行的評價被審計企業內部控制的基本參考標準。這套標準不僅可以為企業自我評價和改進內部控制提供依據,也為各方面的溝通和理解提供了統壹的基礎。雖然我國內部會計控制的建設和完善已進入起步階段,但內部會計控制的標準和評價體系相對薄弱,制約了企業內部控制的有效實施。因此,建立壹套完善、實用、可操作的內部控制評價體系勢在必行。
內部控制評價體系框架
研究制定壹套統壹的、公認的、完善的、具有實用性和可操作性的評價標準體系,應從企業管控目標和內部控制要素入手,綜合考慮目標定位、內容範圍和設定方法。但是,無論如何,企業內部控制的評價標準可以分為壹般標準和具體標準兩部分。壹般標準是在具體標準的基礎上發展起來的,也是具體標準的升華。兩者相輔相成,缺壹不可,共同* * *構成了壹個完整的評價體系。
這裏所說的壹般標準壹般包括三個方面,即完整性、合理性和有效性。具體標準由內部控制要素評價標準和操作層面評價標準兩部分組成,其中要素評價標準可分為控制環境、風險評估、控制活動、信息與溝通、監督五個方面;由於其復雜性,活動水平的評價標準難以窮盡。例如,壹個生產性企業的框架構建可以分為五個業務周期,即銷售業務周期、采購業務周期、生產業務周期、薪酬業務周期和財富管理業務周期。在內部控制評價的具體標準中,要素的評價標準是以操作層面的評價標準為基礎的。
通用標準測試的三個方面
首先是誠信。企業內部控制是否完備是第壹位的,也是評價通用標準的基礎。如果不能實現內部控制的完整性,內部控制的合理性和有效性就無從談起。
從系統的角度,可以從企業資源利用的角度來考察:應該有“人力資源控制系統、物質資源控制系統、財務資源控制系統、信息資源控制系統”;從業務環節來看,應該有“供應環節控制系統、生產環節控制系統、銷售環節控制系統”;等壹下。在判斷內部控制的完整性時,還應考慮經營規模和業務復雜程度的影響。壹般來說,企業規模越大,其業務的復雜程度越高,對內部控制完整性的要求也越高。
第二是理性。企業應避免照搬內部控制,因此應考慮內部控制設計和實施的適應性和經濟性。由於行業、組織規模、交易性質、經濟技術條件、人員素質等存在較大差異,不同企業應根據各自不同的特點建立內部控制制度。
評價企業內部控制的適用性時,應關註控制點的設置是否合理,控制點是否過多或不必要;是否在每個需要控制的地方都建立了控制鏈接;控制功能是否劃分清楚;人員之間的分工和牽制是否合適,不能太細,也要起到相互牽制的作用。同時,內部控制的適用性要受到經濟的限制。
第三是有效性。企業內部控制的有效性應體現在能否為提高經營效率、提供可靠的財務報告和遵守法律法規提供合理的保障。有效性是內部控制的本質。在內部控制評價的三個壹般標準中,內部控制的有效性以其完整性和合理性為基礎,內部控制的完整性和合理性以其有效性為目標。
在審計和評價企業內部控制制度的有效性時,要註意內部控制不僅在總體上是有效的,而且每個具體的制度都要有明確的目的,發揮自己的作用。審查內部控制系統是否協調和矛盾;是否顧此失彼,相互制約;是否有利於整體功能。要註意內部控制是否適度,如果過嚴,會使管理活動失去活力,影響相關方的積極性;如果過寬,會造成運行的機制失衡,達不到控制目的。
特定標準測試的五個要素
評價內部控制制度時,只有從操作性強的具體標準入手,對具體內部控制制度的設計和運行有所了解,才能從整體上判斷企業內部控制的完整性、合理性和有效性。具體標準常用的評價方法是“詢問、觀察、檢查、再執行”。企業內部控制評價可以按照以下步驟進行:
首先是企業控制環境。依據上市公司內部控制指引,對企業進行評價。主要包括:公司治理結構是否完善,董事會、監事會、股東大會等管理架構是否合法運作、科學決策;是否建立有效的激勵約束機制,樹立風險防範意識;企業管理層和業務環節是否開展內部控制培訓,使內部風險防範成為高管人員的知識;是否培育良好的企業精神和內控文化,營造全體員工充分理解和履行職責的環境;企業高級管理人員和采購人員是否簽訂了誠信承諾書,在購銷活動中首先對所有重要原材料和設備供應商簽訂陽光協議,要求其操作過程透明公開,禁止商業賄賂等行為。
其次,企業風險。企業管理層應分析影響企業目標實現的內外部風險,考慮其可能性和影響程度,制定必要的對策。在評價企業風險防範時,應重點關註企業是否建立了完整的風險評估體系,是否建立了審計委員會和風險管理部門,是否持續監控業務風險、財務風險、市場風險、政策法規風險和道德風險。對企業內部發現的各類風險是否有控制措施,如對內部控制制度執行情況的檢查和監督,相關制度是否延伸到子公司,以保證子公司的運營安全。
同時,還應關註相關業務項目和已知風險點是否定期檢查、評估、提示和改進,如日常業務風險管理中是否有“重大采購二次詢價”和“不合格物資黑名單”的實時監控。是否為客戶建立征信檔案,是否定期梳理與公司發展戰略不符的業務或項目等等。
第三是企業控制活動。企業管理層為確保風險對策有效實施而采取的措施和程序主要包括批準、授權、驗證、協調、評審、定期盤點、記錄檢查、財產保護、職責分離、績效考核等。
測試企業控制活動時,應重點審計組織采取的控制活動和內部控制系統采取的控制活動。在組織架構方面,重點審核:機構、崗位、職責權限是否合理設置和劃分,不相容崗位是否相互分離,是否建立相關法律事務部門和職能,采購和驗收是否建立相互監督制度,做到人員分離。企業是否將業務流程作為內控體系建設的重點,設置關鍵控制點和反饋系統。在內部控制制度建設方面,重點審核:企業是否制定了董事會議事規則、總經理權力規則、財務管理制度、采購管理制度、投資管理制度、合同管理制度、子公司管理制度、內部控制檢查監督制度等。
第四是企業信息與溝通。測試企業信息活動時,重點審查公司是否制定了公司內外部信息的管理政策,確保信息能夠準確傳遞,確保董事會、監事會、高級管理人員和內部審計部門及時了解公司及控股子公司的經營和風險狀況,確保各類潛在風險和內部控制缺陷得到妥善處理;公司的日常業務,包括資產和財務管理,是否實行流程表單管理,建立ERP系統。
五是企業檢查監督。在測試企業的這項活動時,重點審查公司是否制定了內部控制檢查和監督措施,這項工作是否由董事會或審計委員會直接領導,是否由風險管理部門或審計部門具體負責執行,是否有相關制度。比如基建工程決算是否有審計制度,主要領導離任是否實行責任審計,重大投資、擔保、抵押、關聯交易是否建立審計會簽制度;以及是否有對公司重要材料、設備、原材料的定期盤點和不定期抽查制度,對公司現金、銀行賬戶的抽查制度。
綜上所述,註冊會計師對企業內部控制的評價,包括被評價企業內部控制制度是否符合我國相關法律法規和證券監管部門的要求,是否控制和防範重大風險、嚴重管理舞弊和重要流程錯誤,有賴於建立完善的企業內部控制評價標準體系。相信通過相關部門的高度重視和實踐的積累,壹套比較成熟的適合我國國情的企業內部控制評價標準體系將很快建立起來。