内部控制评价产生的历程
一、内部控制评价产生的历程:
1978年,美国柯恩委员会(Cohen Commission)就建议企业管理当局在披露财务报告时,提交一份关于内部控制系统的评价报告,说明管理当局对公司会计系统及其控制的评估,包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反应的描述,并要求独立注册会计师对该报告进行证明。
1987年,全美反舞弊财务报告委员会在其报告中也提出了类似的建议,虽然全美反舞弊财务报告委员会未对内部控制提出结论,但其报告立刻引起了广泛的反应。
1992年在《内部控制——整体框架》中提出了内部控制报告的框架。美国柯恩委员会(Cohen)报告、全美反舞弊财务报告委员会报告、COSO报告均认为,内部控制报告应着重说明控制系统的有效性。
在1979年和1998年,美国证券交易委员会(SEC)分别提议强制要求提供内部控制报告。
1989年,美国政府审计署(GAO)也曾提议在存贷机构紧急援助议案中,应规定管理当局和审计人员报告内部控制,但都没有形成最终议案。
2001年以来,美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注,严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心,迫于这种压力和形势。
2002年7月,美国国会通过并颁布了SOX法案,致力于治理财务丑闻和财务报告中可能出现的问题,目的是为了恢复公众对公司会计实务和财务报告的信心。SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求,把过去的很多自愿和选择性做法变成了法定的、强制性的要求,其中302节和404节尤为具体,对内部控制的评价和报告进行了明确的规定和要求。
美国上市公司内部控制的评价和报告体系应当包括:公司管理层对财务报告内部控制的有效性进行评价,对内向审计委员会报告,对外发布公开报告;
注册会计师对财务报告内部控制进行的审计,对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。
二、管理层对财务报告内部控制评价
(一)管理层对财务报告内部控制评价标准
管理层断定公司财务报告内部控制有效的限度:如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点,管理层就不能确定公司的财务报告内部控制是有效的。管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露。
(二)管理层对财务报告内部控制评价内容和方法:对公司财务报告内部控制的评估必须根据既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。要受到这种评价的控制包括但不限于:1.对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报告中包含的相关认定的控制;
2.与非常规和非系统交易的动机和处理相关的控制;
3.与适当会计政策的选择和应用相关的控制;
4.与防止、识别和发现舞弊相关的控制。
(三)公司在实践评价并形成有关财务报告内部控制有效性的评价结论时,要求保存证据,为管理层对财务报告内部控制有效性的评价结论提供合理的支持。
这些证据可以证明:1.对内部控制是用来防止或发现重要错报或遗漏的评价;
2.对测试进行了适当的规划和实施;
3.测试的结果得到了适当考虑。
(四)为什么要进行内部控制的自我评价:
内部控制自我评价提倡的是以研讨会的方式让全体员工参与内部控制的建设。不仅有助于降低成本,而且符合人本管理的理念。因此,内部控制自我评价对企业的重要性不言而喻。《企业内部控制基本规范》第二章内部环境中要求审计委员会负责“审查企业内部控制,监督内部控制的有效实施和自我评价情况”,内部控制自我评价的现实意义是什么?如何具体实施内部控制自我评价等问题是每个企业应该关注的重要问题。
(五)内部控制自我评价的概述:
《企业内部控制规范-基本规范》所称的内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
某公司的内部控制评价办法是这样定义的,“内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。”
建议将内部控制运行结果评价修改为对内部控制运行过程评价。
企业内部控制的 “控制自我评估”,是指每个企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。
其基本的特征是:1)关注业务的过程和控制的成效;
2)由管理部门和职员共同进行;
3)用结构化的方法开展评估活动。“控制自我评估”是为提高组织内部控制的自我意识所做的努力,这种活动经常以研讨会的形式进行。
目的:是使人们了解哪里存在缺陷以及可能引致的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员站出来。研究表明,实施“控制自我评估”的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等有着积极的作用。
内部控制自我评价是指公司管理层和员工共同在公司内部为实现目标、控制风险,而进行的内部控制系统的有效性和恰当性实施的自我评价方法。有效的内部控制自我评价是一个对内部控制效果的监督和测试的持续过程。
(六)内部控制自我评价工作开展
评价工作必须获得公司所有阶层/级别支持,通常要成立并维持强而有效的指导委员会,对其成员要进行持续的培训以确保其胜任水平,要大力加强指导委员会的权力以确保政令的畅通,可以先以某些部门、业务单元作为试点,及时总结经验,使方案得到完善,然后大面积推开。评估、汇报及持续改善是确保效益的重要元素。对涉及内控评价的各个方面,必须清楚界定各角色职责并传达到位,
有效沟通必不可少,不仅包括公司内部与管理层的沟通,公司内部各个部门之间的沟通,还包括与独立审计师沟通,了解双方的项目范围及工作方式,对项目的重要、潜在的问题及时交流。及早将注意力集中到关键的问题,关注与财务报表有联系的事项以及有可能导致重大错误的流程及其影响范围。
另外,要建立相应的内控评价工作制度,并指定特定机构、人员负责并监督制度的贯彻实施;
安排适当培训,加强有关人员对内部控制的认识与控制负责人的责任意识,确保知识与技术的传递;
要学会利用适当的工具,以确保内控评价工作系统有效地进行;
合理的项目组织与管理,明确项目的主导部门,与各部门的合作与协调方法,对项目进度的监控及形成定期的工作结果报告渠道。
注意文档记录。由于内控评价的过程都要留下文档记录,作为所做工作的证据,以便日后外部审计人员的审核评价以及明确责任,对所做评价的记录必须十分谨慎。尤其要注意避免在缺少对风险进行有效评估的情况下记录内控缺陷。
对于需要按照监管要求实施内部控制评价的企业,为了在有限的时间内富有成效地完成大量相关工作,高级管理层需要对该工作给予足够的重视,必须十分清楚有关的内控规范要求以及监管部门的具体部署。
企业应当根据评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。
三、企业内部控制评价指引的讲解
第一节 框架概述
《企业内部控制评价指引》分为5章27条,从内部控制评价的各个方面阐述了其具体内容:
(一)第一章总则(第1~4条)。说明内部控制评价指引制定的依据、定义、遵循的原则等方面。
第1条,说明内部控制评价指引出台的目的和依据,主要的依据为《企业内部控制基本规范》。
第2条,指出内部控制评价的定义,内部控制评价是针对内部控制有效性的评价、报告过程。
第3条,说明企业实施内部控制评价应遵循的原则。即全面性原则、重要性原则和客观性原则。
第4条,指明企业依据内部控制评价指引应当履行的职责,并明确企业董事会应当对内部控制评价报告的真实性负责。
(二)第二章内部控制评价的内容(第5~11条)。
首先明确内部控制评价的内容是与五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督)相联系的,然后分别阐述了对该五要素进行评价时,应当遵循的依据和要求,最后指明内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容。
(三)第三章内部控制评价的程序(第12~15条)。
第12条,内部控制评价工作开展的程序。
程序:制定评价方案→组成评价工作组→实施现场测试→认定控制缺陷→汇总评价结果→编制评价报告
第13条,明确拟订的评价工作方案要报经董事会或其授权机构审批后实施。
第14条,评价工作组的成员及回避事项。
第15条,内部控制评估和测试的方法。包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。
(四)第四章内部控制缺陷认定(第16~19条)。
第16~17条,内部控制缺陷的分析、判断因素和程度的划分。
内部控制的缺陷一般划分为设计缺陷和运行缺陷。
内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
第18条,内部控制评价工作的质量交叉复核。
第19条,对内部控制评价工作中发现的内部控制缺陷进行分析,并报告相关部门。
重大缺陷应当由董事会予以最终认定。
(五)第五章内部控制评价报告(第20~27条)。
第20~21条,内部控制评价报告应分别就五要素进行设计,并就相关内容作出披露。
第22条,内部控制评价报告中至少应当披露的内容。
第23~26,内部控制评价报告报送部门、报告基准日及报送时限。
