内部控制评价的内容可以按照COSO框架下的五个要素分别进行评价,在具体的组织实施过程中分成90个小项,我们可以通过设计调查表的形式来完成对内部控制的评价工作。其中,调查表中的分数采用六级制,在同意与不同意之间的程度用5、4、3、2、1和0这六个数字表示,5代表最高程度的同意,再依次递减,0则代表完全不同意,在符合被调查者想法的每个数字对应的下方打“√”。
一、控制环境评价
控制环境确定了机构的总体态度,是内部控制所有其他组成要素的基础。COSO确定了控制环境包含的七个子要素:诚信和道德价值观;致力于提高员工工作能力及促进员工职业发展的承诺;管理层的理念和经营风格;组织结构;权限及职责的分配;人力资源政策及程序和监管部门的参与(即董事会、审计委员会)等。
内部审计在评估其控制环境时应考虑的要素包括:管理层对各项工作所需能力的要求及最终达到这些要求;管理层传达不能损害诚信和道德价值的宗旨以及保证所有员工接受到并理解这一宗旨;管理层从说和做两方面不断发挥典范作用,以坚定的决心实现较高的道德水平;管理层理念和经营风格对整个机构具有指导和积极的影响;组织结构既不简单到管理层无法对机构的活动进行充分的监督,也不复杂到阻碍信息的顺畅流通;充分了解内控职责并具备与职位相称的经验和知识的高级管理人员;职责分配、授权和政策制定可以为责任和控制提供基础以及规定机构内各员工的职责;人力资源部的政策能够吸收和留住人才,从而保证机构的计划得以执行和实现。
(一)诚信和道德价值观
一个公司的目标和获得目标的方法基于偏好、价值观和管理风格。这些偏好和价值观转化成行为标准影响管理者的诚信和对道德价值的承诺。一个公司好的诚信具有很大的价值。行为标准必须更加遵守法律法规。拥有最好声誉的公司其好处是,社会更加尊重它。内部控制体系的效益不能提升到高于那些创造、管理和监督内部控制人员的诚信和道德价值观。诚信和道德价值观是控制环境重要的因素,影响其他内部控制要素的设计、管理和监督。
内部审计人员进行相应的诚信和道德价值观的评价可以使用下面的调查表,根据被调查人员的回答填写分数和意见。
(二)致力于提高员工工作能力及促使员工职业发展的承诺
管理者应该详细说明特定工作所需能力水平并把这些能力转化为必备的知识和技能。这些必需的知识和技能可以依赖于个人的教育培训和经验。在学习知识和发展技能水平上要考虑很多因素,其中有适用于特定工作判断的性质和程度。要在管理程度和个人必需能力水平之间达到协调。
(三)董事会和审计委员会
董事和审计委员会对控制环境和“高层基调”有很大的影响。因素包括董事会或者审计委员会与管理者之间的独立性,成员的经验和身份,参与和监督活动的程度,行为的适当性。另一个因素是关于计划或者业绩等方面与管理者之间产生问题和解决难题的程度。董事会或审计委员会和内部及外部审计者相互作用是影响控制环境的另一个因素。
(四)管理哲学和经营风格
管理哲学和经营风格影响公司的管理方法,包括可接受业务风险的种类。一个成功采取措施应对重要风险的公司和一个因为投机于危险领域而面临危难的经济或者法律后果的公司可能对内部控制有不同的观点。一个非正式管理的公司在对关键人员的管理中可能要有大量的控制活动。一个正式管理的公司可能更多地依赖于书面政策、业绩指标和例外报告。
(五)组织结构
一个公司的组织结构提供了一个框架,在这个框架内为实现公司目标的活动被计划、被执行、被控制和被监督。建立一个相应的组织结构的重要因素包括定义授权和责任的关键领域以及建立适当的报告流程。
(六)权限及职责分配
包括经营活动的权限和职责分配以及建立报告关系和授权协议。它包括个人和团体被激励主动地发现问题并解决问题以及他们权限的程度。它也处理描述适当的经营实践,关键人员的知识和经验,提供给执行职责的资源政策。一个关键的挑战是要代表实现目标的要求程度。这要求确保风险接受时基于识别和最小化风险的有效实施,包括计量风险和衡量潜在损失与在实现好的经营决策的收益。另一个要素是确保所有人员理解公司目标。每个个人知道他或她的行为与目标实现的关联和贡献是重要的。控制环境受到个人认识他们的职责程度的很大影响,包括主席和CEO。他或她对公司内所有活动最终负责,包括内部控制体系。
(七)人力资源政策及程序
人力资源程序向员工传递关于期望的诚实水平、道德行为和能力的信息。这些程序与雇用、职务定位、培训、业绩评价、咨询服务、提升、补偿和补救行为相关。
二、风险评估评价
内部控制的另一个组成要素是风险评估。为有效执行内部控制,机构必须制定目标并了解实现目标时所面临的风险。在风险评估中,管理层应明确和分析对实现目标具有阻碍作用的风险的影响,并提供管理这些风险的基础。
所有公司不论规模、性质,或者行业如何,在它们的组织内面临着所有层次的风险。风险影响每个公司在行业内生存、成功竞争、获得财务优势和积极的公司形象以及实现它的产品、服务和人力资源的能力。没有方法可以把风险减少为零。在经营中的决策是在创造风险。管理者必须决定可以接受多少风险,并在这个层次上努力应对风险。目标设定是风险评估的一个前提。在管理者能够识别实现他们目标的风险之前必须设立目标并采取必需的措施管理风险。因而,目标设定是管理过程中的一个关键部分。它不是一个内部控制要素,它是先决条件和内部控制的一个能动者。控制的风险评估要素基于以下因素被评估:公司层目标;经营层目标;风险识别;管理变革。
(一)公司层目标
目标设定是一个高层次的构建或者一个非正式的过程。目标可以被清晰地描述,或者是隐含的,就如业绩的往后延伸一样。在公司层,目标经常被公司的使命和价值声明界定。公司优势和劣势的评估,以及机会和威胁,将形成一个全面的战略。通常,战略计划被广泛地描述,处理高层次资源分配和优先次序。更多的特定目标紧跟着公司层战略。公司层目标与各种活动所建立的更多特定目标相连接和整合。通过在公司层和经营层设立目标,一个公司能识别出关键的成功因素。这些是目标实现所必须做好的关键事情。目标设立能够使管理者识别业绩计量标准,继而关注关键的成功因素。
(二)经营层目标
更多的特定目标随着公司战略而产生。公司层目标与每个职能的各种过程所建立的更多的特定目标相关联和整合。不仅公司层目标必须与公司能力和愿景一致,它们也必须与经营业务单元和职能的目标一致。公司层目标必须分解成经营层目标,与整体战略一致,通过整个组织和活动相联系。经营层目标需要被执行人员清晰地和容易地理解,并有利于计量并明确它们的责任。
(三)风险识别
识别和分析风险的过程是一个持续的过程,并是有效内部控制体系的一个关键要素。管理者必须认真地关注公司所有层次的风险和采取必要的措施管理它们。由于内部或外部因素,一个公司的业绩可能处在风险之中。反过来,这些因素能影响企业明确的目标或者隐含的目标。目标风险越高越表示公司的成就不同于过去的业绩。风险应该在公司层和经营层被识别与评估。
(四)管理变革
随着经济、行业和法律环境变化,一个公司的活动也应对那些变化做出反应。作为一个公司活动的变化,内部控制体系也要求变化,因为一个在一系列条件下有效的制度在另一种情况下将不会有效。管理变化的机制应该具有前瞻性,所以一个公司可能对重要的变化进行预见和计划。风险评估的基本原则是识别变化的条件和做出必要的行动的一个过程。预警系统及早而有效地识别产生新风险的条件。
三、控制活动评价
控制活动是建立的有助于确保管理层的指令得到实施的政策和程序。控制活动在整个机构内所有级别和所有职能部门内进行。活动包括批准、授权、验证、核对、审核工作业绩、资产的安全性以及职责分工。
控制活动是运用于保证管理者实现公司目标的政策和程序。依据被减弱风险的性质不同控制活动也就不同。它被执行来确保风险最小化至一个可接受的水平。根据公司目标性质的不同,控制活动能够被分为三个方面,即经营、财务报告、合法。依据环境,三个要素中的一个或者两个及以上的控制能够有助于确保公司目标。控制活动的要素基于以下因素被评估:政策和程序,正在进行的控制活动。
(一)政策和程序
控制活动通常包括两个方面:应该被执行的已经建立的政策以及影响这个政策的程序。很多时候,政策以口头形式进行沟通。未记录的政策可能是有效的,由于这个政策是一个常设的和很好理解的惯例,以及沟通渠道只包括有限的管理层级和较近的沟通与人员监督,无论这个政策是否成文,它必须被认真地和一贯地执行。如果机械地执行而没有一个对政策所需要的条件进行连续关注的过程,那么这个程序将是无效的。
(二)正在进行的控制活动
控制活动是公司努力实现其经营目标过程中的一个重要部分。控制活动作为一个机制服务于管理和减弱风险,从而能够使目标实现。控制是直接植入管理过程中并且总是与它被设计去减弱的风险相关。控制活动被设置于反映不重要的或不存在的风险,可能导致多余控制和繁重的层级,从而提高成本和影响效率。
(三)COSO将控制活动分为多种类型
包括预防性控制、检查性控制、人工控制、计算机控制和管理层控制。人工控制包括以人工方式执行而不是计算机系统进行的内部控制。预防性控制旨在防止可能导致内部控制出现错误或舞弊的发生。
(四)信息处理目标
控制活动重视具体信息处理目标,四个信息处理目标即完整性、准确性、有效性和接触限制,如确保数据处理的完整性和准确性。
信息处理目标是评估流经某流程的数据正确性的标准方法。
(五)COSO控制活动是在机构的不同层面普遍执行
1.高层审核。将实际经营成果与预算、预测、前期经营成果和竞争者进行比较的审核。对主要活动(如市场营销工作、生产流程改进以及成本控制政策或成本节约工作等)进行跟踪,以评测目标实现的程度。对计划的实施进行监督,包括新产品的开发、合营或融资等领域。管理层和内部审计对此类报告的分析和跟进属于控制活动。
2.直接的职能管理/业务管理。由经理审核工作报告,对其部门或职能领域的工作情况实施监督。
3.信息处理。执行多种内控程序,对交易的准确性、完整性和授权进行检查,对输入电脑应用程序的数据进行检查或与已批准的内控文件进行比对。比如,客户的订单只有在对照已批准的客户文件和信用额度之后才可以受理;对连续编号的交易进行处理;文件记录的数据总和与前期的数额及控制科目进行比较和调节。必要时,将出现的例外事项上报监管人员并进行调查。新系统的开发和当前系统的变动得到了控制,如数据、文档和程序的接触限制。
4.资产保护/实物性控制。保护设备、存货、证券、现金和其他资产,定期进行盘点,并与内控记录中的数额进行比较。这些控制活动也是管理层反舞弊程序中的一部分。
5.业绩考核指标。业绩考核指标包括采购价格差异,“紧急订单”和退货订单占总订单的比例等。通过对事先未预料到的结果或异常趋势进行调查,管理层可以明确可能造成目标无法实现的各种异常情况。经理是否仅将这些信息用于经营决策或是进一步对财务报告系统报告的异常结果进行跟踪,决定了分析业绩考核指标的目的只是针对日常经营还是同时也针对财务报告的内部控制。
6.职责分工。在不同员工间进行职责分工可以降低出现错误或不当操作的风险。比如,交易授权、记录和处理相关资产的责任是分开行使的。负责授权赊销交易的经理不应负责保管应收账款记录和处理现金收款(其中的每项工作都是一个基本的业务子流程)。同样,销售人员也无权修改产品价格文件或佣金。
四、信息与沟通评价
信息与沟通要素包括一套能够支持信息确认、信息获取和信息交流的系统,使员工能够按照一定的形式和时间行使职责以及正确编制财务报告。信息与沟通还渗透在内控的其他组成要素中。在评估信息与沟通要素时,管理层必须考虑内部和外部生成的数据,使管理层做出有效的业务决策。相关的外部信息包括行业、经济和法律方面的信息。在公司各个层面对相关信息进行有效的沟通和将其传达给相关的外方都是内控的重要内容。
管理层必须关注对收集财务信息至关重要的系统和程序的了解,包括保证信息安全性的内控系统、授权交易的程序以及保管记录文件的系统等。在对信息和沟通情况进行评估时,管理层必须重视质量,比如:内容是否恰当——是否提供了所需的信息?信息是否及时——在需要时是否能够提供?信息是否是更新后的信息——是否提供了最新信息?信息是否准确——数据是否准确?信息是否可获得——相关方是否可以容易地获得相关数据。
系统设计应将所有这些问题纳入考虑之中。如果没有考虑,那么系统无法提供管理层和其他员工进行准确的企业经营管理活动和财务报告所需的信息并进行控制。
有关的信息必须以一定的形式和时间框架被识别、捕捉与沟通,并使人们执行他们的职责。信息收集机制产生的报告包含经营、财务报告和相关信息的合法,这些能够使执行和控制活动成为可能。有效的沟通也必须发生在一个较广泛的范围内,从上至下、从下至上和交叉于组织中。所有人员必须从高级别的管理者那里接受一个清晰的信息即控制责任必须被认真地执行。他们必须理解他们自己在内部控制体系中的角色,还有个人行为怎样与其他人的工作相联系。他们必须有一个沟通重要信息流的方法。还需要与外部人员进行有效的沟通,如顾客、供应商、法规制定者和股东。控制的信息和沟通要素基于以下要素被评估:信息质量;沟通有效性。
(一)信息质量
信息必须在组织的各个层次推动业务活动,促进公司目标的实现,包括经营、财务报告和合法目标。信息被信息系统识别、捕捉、加工和报告。信息收集机制可能是自动化的、人工的或者是它们的组合。它们可能是正式的或非正式的。当一个公司面对基础行业变化、高创新和快速发展的竞争者或者重要的客户需求变化时保持信息与需求一致变得特别重要。对于有效性,信息收集机制必须不仅识别和捕捉需要的财务与非财务信息,它们还必须以实用的时间框架和方法加工与报告信息来控制公司活动。
(二)沟通有效性
沟通内在于信息收集机制之中。信息必须被提供给合适的人并执行他们的经营、财务报告和合法责任。沟通也必须发生在一个比较广泛的范围中,处理期望、个人和团体的责任及其他重要的事情。
五、监督评价
内部控制体系需要被监督——评估经过一段时间实施后的内部控制体系业绩质量的一个过程。
一般的监督工作可以由内部审计、管理层审核、审计委员会的工作、披露委员会的工作、自身评估结果的审核。
(一)持续监督
持续监督程序建立在公司正常的重复发生的执行行为中。它们在真实的时间基础上动态地反映变化的情况下执行。监督程序是公司内在的一部分比单独评估(审计)相联系的执行程序更有效。因为单独评估在事情发生之后,问题常常被持续监督程序更快地识别。一个公司应该关注于加强其持续监督活动并因此强调“嵌入”而不是“增加”控制。
(二)独立评估
对于管理者进行独立评估的频率,对内部控制体系的有效性是一个合理保证,并需要管理者判断独立评估的频率。在做出这个决定的过程中,考虑事项应该根据以下几个方面:变化的发生和与它们相关联的风险的性质和程度;执行控制人员的能力和经验;持续监督的结果。
(三)控制缺陷报告
一个公司内部控制体系中的缺陷有很多来源,包括公司持续监督程序、内部控制体系的单独评估和外部组织。“缺陷”一词被广泛地定义为在一个内部控制体系中值得注意的情形。因此,一个缺陷可能代表一个认识到的、潜在的或者真实的缺点,或者提供给公司加强控制体系的一个机会。
