第四节 内部控制评价
一、内部控制评价的概述 (一)定义
内部控制评价是指对内部控制有效性的评价,包括内部控制设计有效性和运行有效性的评价。其中设计有效性是指实现控制目标所必需的内部控制要素都存在并且设计恰当;运行有效性是指内部控制按照规定程序得到了正确执行。 (二)内部控制评价应遵循的原则
1、风险导向性原则。是指内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。内部控制审计地首要步骤就是了解组织的内部控制,但是在之后对内部控制进行评价时,并非是对所了解的内容进行同等程度的评价,应根据风险评估地结果,分层次进行优先顺序、主次顺序评价。
2、一致性原则。是指内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
3、公允性原则。是指内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
4、独立性原则。是指内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
5、成本效益原则。是指内部控制评价应当以适当的成本实现科学有效的评价。评价内部控制时,应该根据行为所带来的收益以及不行为所带来的成本之间进行衡量,以选择恰当的行为方式。 (1)全面性和系统性原则
全面性原则要求选择的指标要尽量能涵盖内部控制的各个方面。系统性原 则要求指标体系的设计要力求科学、系统、准确地反映公司内部控制指标之间 的关系和层次结构。
二、内部控制评价的应用 (一)评价的程序
组织进行内部控制评价的程序可分为制定评价方案、实施评价活动、编制评价报告三个程序。其中制定评价方案,主要是根据组织整体控制目标,明确评价的目的、范围、标准、方法、进度安排等内容,并报组织相关人员审批。实施评价活动是指根据经过审批的评价方案,通过适当的方法收集、确认、分析相关信息,按照确定的评价方法对所评价的内容进行测试与评价,并且获取充分、相关、
可靠的证据予以支持评价结果的过程。编制评价报告是指内审人员根据评价结果和经核实的证据,确认内部控制评价缺陷,出具评价结论,编制评价报告,并报送组织相关人员审阅。
在具体操作中,总体来看,内部控制评价需要解决三个方面的问题:1、是评价内容的详细确定,解决具体评价项目是什么的问题;2、是评价方法的确定,解决怎么评价具体项目的问题;3、是评价结果的确定,解决怎么由对具体评价项目的评价转为综合评价,以及评定综合评价是否存在缺陷的问题。 (二)内部控制评价内容的确定
1、评价内容确定的总体原则
内审人员应遵循风险导向、自上而下的原则确定评价的内容,且至少要考虑以下几个方面:
(1)单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险;
(2)单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理;
(3)单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理;
(4)单位是否开展内部控制自我评估。
(5)单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。 (6)单位在评价期间是否出现过重大风险事故等。 2、评价内容确定的具体操作
内审人员在确定具体的评价项目时,可以从企业层面、业务层面进行确定,并辅以信息系统有效性的评价。
(1)企业层面内部控制系统评价的内容
企业层面的内部控制系统评价是结合与实现整体目标相关的内部环境、风险管理、控制活动、信息与沟通、监督五大内部控制要素对单位内部控制系统的总体情况进行评价。
内审人员以内部控制五大要素作为一级评价指标,并在此基础上,根据具体情况和需求确定进一步将五大要素细分为二级评价指标、三级评价指标等,最后一级的指标则为具体的评价项目。详见下表一“企业层面内部控制系统评价内容表”这里控制活动主要是针对业务的控制,因此,控制活动的相关内容主要通过业务层面的内部控制系统评价来开展。
表一:企业层面内部控制系统评价内容表
(2)业务层面内部控制系统评价的内容
业务层面的内部控制系统评价是指对组织各业务控制系统设计的有效性和执行的有效性进行评价。其内容的确定主要是按照如下以下顺序进行:
第一步,分解内部控制系统
将组织的业务划分为几大类业务,比如高等教育业务可以划分为教学业务、科研业务、社会服务业务、人力资源管理业务、财务管理业务、资产管理业务。 在业务类别的基础上再将业务细化为各业务模块。
第二步,分析内部控制目标
各个业务模块按照内部控制的五要素进一步确定具体评价项目。
由于各项业务的内部控制系统评价主要内容是针对风险评估而设置的控制活动,因此,对各业务的控制活动评价内容的确定,应根据总体目标和风险评估的基础上,先确定控制的细化目标。 第三步,梳理业务流程
控制的细化目标确定可以 按照业务流程的逻辑顺序展开。比如对资产管理
业务就可以根据“取得与验收——日常管理——处置与报废”这样的逻辑顺序展开。
第四步,选择关键控制点
在确定控制子目标的基础上确定是否设置对应的控制活动,分析出各控制点和关键控制点。
第五步,建立具体评价项目
内审人员根据控制的需求选择适当的控制点或者关键控制点作为具体的评价项目。
下面通过一个案例分析来予以详细说明。
在确定高校的业务层面内部控制评价系统的内容时,首先对业务类别和业务模块进行划分;其次,对每一业务模块按照内部控制五要素进行分析,确定除控制活动以外的各要素的具体内部控制项目,比如教学业务中本科生教育的控制环境中的诚信与道德就是一个具体的内部控制评价项目。这个分析过程可以通过下表二“业务层面内部控制评价系统内容表(一)”来实现,横向是高校的各个业务,纵向是各业务对应的评价指标,内审人员可以根据实际情况,通过该表来设定各业务模块的具体评价内容。
表二:业务层面内部控制评价系统内容表(一)
上表是对各业务模块按照五要素的内容展开设定具体的评价指标,在对内部控制评价时,主要是针对控制活动的评价。因此,内审人员可以就每个业务模块的业务流程所对应的控制活动来选择关键的控制点,并据以确定具体评价项目。该过程可以以下表三“业务层面内部控制评价系统内容表(二)”来体现,具体的业务科参照表四:继续教育学历教育评价系统内容表
表三:业务层面内部控制评价系统内容表
7
8
9
10
11
12
(3) 信息系统内部控制系统评价的内容
信息系统的内部控制评价:一般控制和应用控制;般控制评价应当着重考虑
与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接
触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此
评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程
特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统
操作数据的真实性、准确性和合规性。
(三)内部控制评价方法的确定
内部控制评价方法是解决如何评价内部控制系统的问题。目前,对内部控制
进行评价主要有定性和定价两种方法,其中:定性评价是利用审计资料、知识、
经验和判断进行评审和比较的评价方法;定量评价是按照一定的方法给出内部控
制具体一个分数的评价方法。
1、定性法
在对内部控制进行评价时,定性的方法是通过观察、检察书面文件、穿行测
试等方法后,对内部控制各具体评价项目进行描述评价,并在此基础上对内部控
制的设计与运行情况作一个总体的描述评价。比如采用定性的方法对企业层面内
部控制系统中控制环境以及整体进行评价时,其可以参照如下表五:“企业层面
内部控制系统定性评价一览表”来实施;对业务层面内部控制系统中日常教学教
务管理的学费收取业务流程活动以及整体进行评价时,其可以参照如下表六:“业
务层面内部控制系统定性评价一览表”来实施;
表五:企业层面内部控制系统定性评价一览表(一)
13
14
表五:企业层面内部控制系统定性评价一览表(二)
表六: 业务层面内部控制系统定性评价一览表(一)
15
表六: 业务层面内部控制系统定性评价一览表(二)
2、定量法
在对内部控制进行评价时,定量的方法是通过观察、检察书面文件、穿行测试等方法后,对内部控制各具体评价项目给出一个具体分数,并将该分数与设定好的标准相比较而确定内部控制系统的等级或者评定内部控制系统是否合理、有效。定量法主要是解决三个方面的问题:如何给各具体评价项目的打分,如何设定评价各具体项目的权重,如何设定内部控制可比较的标准。
内部控制可比较标准的设定一般是根据行业标准或者相关制度而设定的。各具体评价项目的打分以及权重的设定目前理论和实践一般采用下述两种方法来解决。
一是构建数学模型,采用模糊综合评价和层次分析法来确定各具体项目的打分和权重的设定。其中模糊综合评价是对受多种因素影响的事物做出全面评价的一种十分有效的多因素决策方法,评价的结果不是绝对地肯定或者否定,而是以一个模糊的集合表示。层次分析法是通过将决策问题的有关元素分解成目标、准则、方案等层次,建立一个彼此相关因素的层次递阶系统结构,然后构造一个关 16
于各个因素相对于其他因素对上层目标的影响程度的比较判别矩阵,之后根据数学模型的构建而得出每个因素的权重。
二是直接打分法。比如中国农业银行系统内部控制综合评价体系中,其首先是根据风险程度对各具体评价项目设定一个权重,比如在评价关于制度建设的业务时,假设其权重为30%,按照百分制其规定及时转发上级行有关制度文件的满分为40分 ,员工对各项规章制度掌握程度的满分为40分,按规定制定有关实施细则的满分为20分。那么在评价时,其根据银行系统各项规章制度,对各具体评价项目制定了完善的打分制度,比如在“按规定制定有关实施细则”一项时,其具体评价方法为:(1)提供本行根据上级行文件及时分解制定的实施细则得10分,缺一个扣2分,扣完为止;(2)制定的实施细则符合总行制度精神得10分,否则不得分等;具体评价依据为:(1)总行有关文件制度中“附则”部分的有关条款要求。(2) 《中国农业银行基层营业机构负责人办事规则》(农银发【1998】14号)第五条 主要负责人的基本职责“对所属员工有一定的奖励处罚权,可研究员工奖金发放的再分配方案,可在本单位内部进行人员岗位调整”1。
在根据这些具体评价方法和评价依据对各具体评价项目打分后,再按照加权平均的方法对整体的内部控制进行打分。最后通过该分数的横向比较、纵向比较,以及与行业标准比较而得出各分行、总行内部控制系统是否有效。 在进行定性、定量法对内部控制系统进行评价时,通常要运用个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法等方法辅助进行。
(四)内部控制评价的结论
将根据定性、定量或者两者结合的方式对内部控制进行评价后,对内部控制的设计、执行是否有效给出结论。如果存在下列情况之一,可以认定内部控制存在设计或运行缺陷:
(1)未实现规定的控制目标
(2)未执行规定的控制活动
(3)突破规定的权限
(4)不能及时提供控制运行有效的相关证据
根据内部控制缺陷影响整体控制目标实现的严重程度,对内部控制缺陷,进行不同措施的整改,并结合整改结果,编制评价报告。
(五)内部控制评价报告的编制 1 赵开元,《中国农业银行内部控制综合评价》,中国物价出版社2000年出版
17
内部控制评价报告的编制主要是对内部控制评价的目的和责任主体、内部控制评价的内容和所依据的标准、内部控制评价的程序和所采用的方法、被评估的内部控制是否有效以及其存在的重大缺陷的可能性、所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等内容进行总结编报。
内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。 内审人员应当向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
18
第四节 内部控制评价
一、内部控制评价的概述 (一)定义
内部控制评价是指对内部控制有效性的评价,包括内部控制设计有效性和运行有效性的评价。其中设计有效性是指实现控制目标所必需的内部控制要素都存在并且设计恰当;运行有效性是指内部控制按照规定程序得到了正确执行。 (二)内部控制评价应遵循的原则
1、风险导向性原则。是指内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。内部控制审计地首要步骤就是了解组织的内部控制,但是在之后对内部控制进行评价时,并非是对所了解的内容进行同等程度的评价,应根据风险评估地结果,分层次进行优先顺序、主次顺序评价。
2、一致性原则。是指内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
3、公允性原则。是指内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
4、独立性原则。是指内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
5、成本效益原则。是指内部控制评价应当以适当的成本实现科学有效的评价。评价内部控制时,应该根据行为所带来的收益以及不行为所带来的成本之间进行衡量,以选择恰当的行为方式。 (1)全面性和系统性原则
全面性原则要求选择的指标要尽量能涵盖内部控制的各个方面。系统性原 则要求指标体系的设计要力求科学、系统、准确地反映公司内部控制指标之间 的关系和层次结构。
二、内部控制评价的应用 (一)评价的程序
组织进行内部控制评价的程序可分为制定评价方案、实施评价活动、编制评价报告三个程序。其中制定评价方案,主要是根据组织整体控制目标,明确评价的目的、范围、标准、方法、进度安排等内容,并报组织相关人员审批。实施评价活动是指根据经过审批的评价方案,通过适当的方法收集、确认、分析相关信息,按照确定的评价方法对所评价的内容进行测试与评价,并且获取充分、相关、
可靠的证据予以支持评价结果的过程。编制评价报告是指内审人员根据评价结果和经核实的证据,确认内部控制评价缺陷,出具评价结论,编制评价报告,并报送组织相关人员审阅。
在具体操作中,总体来看,内部控制评价需要解决三个方面的问题:1、是评价内容的详细确定,解决具体评价项目是什么的问题;2、是评价方法的确定,解决怎么评价具体项目的问题;3、是评价结果的确定,解决怎么由对具体评价项目的评价转为综合评价,以及评定综合评价是否存在缺陷的问题。 (二)内部控制评价内容的确定
1、评价内容确定的总体原则
内审人员应遵循风险导向、自上而下的原则确定评价的内容,且至少要考虑以下几个方面:
(1)单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险;
(2)单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理;
(3)单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理;
(4)单位是否开展内部控制自我评估。
(5)单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。 (6)单位在评价期间是否出现过重大风险事故等。 2、评价内容确定的具体操作
内审人员在确定具体的评价项目时,可以从企业层面、业务层面进行确定,并辅以信息系统有效性的评价。
(1)企业层面内部控制系统评价的内容
企业层面的内部控制系统评价是结合与实现整体目标相关的内部环境、风险管理、控制活动、信息与沟通、监督五大内部控制要素对单位内部控制系统的总体情况进行评价。
内审人员以内部控制五大要素作为一级评价指标,并在此基础上,根据具体情况和需求确定进一步将五大要素细分为二级评价指标、三级评价指标等,最后一级的指标则为具体的评价项目。详见下表一“企业层面内部控制系统评价内容表”这里控制活动主要是针对业务的控制,因此,控制活动的相关内容主要通过业务层面的内部控制系统评价来开展。
表一:企业层面内部控制系统评价内容表
(2)业务层面内部控制系统评价的内容
业务层面的内部控制系统评价是指对组织各业务控制系统设计的有效性和执行的有效性进行评价。其内容的确定主要是按照如下以下顺序进行:
第一步,分解内部控制系统
将组织的业务划分为几大类业务,比如高等教育业务可以划分为教学业务、科研业务、社会服务业务、人力资源管理业务、财务管理业务、资产管理业务。 在业务类别的基础上再将业务细化为各业务模块。
第二步,分析内部控制目标
各个业务模块按照内部控制的五要素进一步确定具体评价项目。
由于各项业务的内部控制系统评价主要内容是针对风险评估而设置的控制活动,因此,对各业务的控制活动评价内容的确定,应根据总体目标和风险评估的基础上,先确定控制的细化目标。 第三步,梳理业务流程
控制的细化目标确定可以 按照业务流程的逻辑顺序展开。比如对资产管理
业务就可以根据“取得与验收——日常管理——处置与报废”这样的逻辑顺序展开。
第四步,选择关键控制点
在确定控制子目标的基础上确定是否设置对应的控制活动,分析出各控制点和关键控制点。
第五步,建立具体评价项目
内审人员根据控制的需求选择适当的控制点或者关键控制点作为具体的评价项目。
下面通过一个案例分析来予以详细说明。
在确定高校的业务层面内部控制评价系统的内容时,首先对业务类别和业务模块进行划分;其次,对每一业务模块按照内部控制五要素进行分析,确定除控制活动以外的各要素的具体内部控制项目,比如教学业务中本科生教育的控制环境中的诚信与道德就是一个具体的内部控制评价项目。这个分析过程可以通过下表二“业务层面内部控制评价系统内容表(一)”来实现,横向是高校的各个业务,纵向是各业务对应的评价指标,内审人员可以根据实际情况,通过该表来设定各业务模块的具体评价内容。
表二:业务层面内部控制评价系统内容表(一)
上表是对各业务模块按照五要素的内容展开设定具体的评价指标,在对内部控制评价时,主要是针对控制活动的评价。因此,内审人员可以就每个业务模块的业务流程所对应的控制活动来选择关键的控制点,并据以确定具体评价项目。该过程可以以下表三“业务层面内部控制评价系统内容表(二)”来体现,具体的业务科参照表四:继续教育学历教育评价系统内容表
表三:业务层面内部控制评价系统内容表
7
8
9
10
11
12
(3) 信息系统内部控制系统评价的内容
信息系统的内部控制评价:一般控制和应用控制;般控制评价应当着重考虑
与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接
触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此
评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程
特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统
操作数据的真实性、准确性和合规性。
(三)内部控制评价方法的确定
内部控制评价方法是解决如何评价内部控制系统的问题。目前,对内部控制
进行评价主要有定性和定价两种方法,其中:定性评价是利用审计资料、知识、
经验和判断进行评审和比较的评价方法;定量评价是按照一定的方法给出内部控
制具体一个分数的评价方法。
1、定性法
在对内部控制进行评价时,定性的方法是通过观察、检察书面文件、穿行测
试等方法后,对内部控制各具体评价项目进行描述评价,并在此基础上对内部控
制的设计与运行情况作一个总体的描述评价。比如采用定性的方法对企业层面内
部控制系统中控制环境以及整体进行评价时,其可以参照如下表五:“企业层面
内部控制系统定性评价一览表”来实施;对业务层面内部控制系统中日常教学教
务管理的学费收取业务流程活动以及整体进行评价时,其可以参照如下表六:“业
务层面内部控制系统定性评价一览表”来实施;
表五:企业层面内部控制系统定性评价一览表(一)
13
14
表五:企业层面内部控制系统定性评价一览表(二)
表六: 业务层面内部控制系统定性评价一览表(一)
15
表六: 业务层面内部控制系统定性评价一览表(二)
2、定量法
在对内部控制进行评价时,定量的方法是通过观察、检察书面文件、穿行测试等方法后,对内部控制各具体评价项目给出一个具体分数,并将该分数与设定好的标准相比较而确定内部控制系统的等级或者评定内部控制系统是否合理、有效。定量法主要是解决三个方面的问题:如何给各具体评价项目的打分,如何设定评价各具体项目的权重,如何设定内部控制可比较的标准。
内部控制可比较标准的设定一般是根据行业标准或者相关制度而设定的。各具体评价项目的打分以及权重的设定目前理论和实践一般采用下述两种方法来解决。
一是构建数学模型,采用模糊综合评价和层次分析法来确定各具体项目的打分和权重的设定。其中模糊综合评价是对受多种因素影响的事物做出全面评价的一种十分有效的多因素决策方法,评价的结果不是绝对地肯定或者否定,而是以一个模糊的集合表示。层次分析法是通过将决策问题的有关元素分解成目标、准则、方案等层次,建立一个彼此相关因素的层次递阶系统结构,然后构造一个关 16
于各个因素相对于其他因素对上层目标的影响程度的比较判别矩阵,之后根据数学模型的构建而得出每个因素的权重。
二是直接打分法。比如中国农业银行系统内部控制综合评价体系中,其首先是根据风险程度对各具体评价项目设定一个权重,比如在评价关于制度建设的业务时,假设其权重为30%,按照百分制其规定及时转发上级行有关制度文件的满分为40分 ,员工对各项规章制度掌握程度的满分为40分,按规定制定有关实施细则的满分为20分。那么在评价时,其根据银行系统各项规章制度,对各具体评价项目制定了完善的打分制度,比如在“按规定制定有关实施细则”一项时,其具体评价方法为:(1)提供本行根据上级行文件及时分解制定的实施细则得10分,缺一个扣2分,扣完为止;(2)制定的实施细则符合总行制度精神得10分,否则不得分等;具体评价依据为:(1)总行有关文件制度中“附则”部分的有关条款要求。(2) 《中国农业银行基层营业机构负责人办事规则》(农银发【1998】14号)第五条 主要负责人的基本职责“对所属员工有一定的奖励处罚权,可研究员工奖金发放的再分配方案,可在本单位内部进行人员岗位调整”1。
在根据这些具体评价方法和评价依据对各具体评价项目打分后,再按照加权平均的方法对整体的内部控制进行打分。最后通过该分数的横向比较、纵向比较,以及与行业标准比较而得出各分行、总行内部控制系统是否有效。 在进行定性、定量法对内部控制系统进行评价时,通常要运用个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法等方法辅助进行。
(四)内部控制评价的结论
将根据定性、定量或者两者结合的方式对内部控制进行评价后,对内部控制的设计、执行是否有效给出结论。如果存在下列情况之一,可以认定内部控制存在设计或运行缺陷:
(1)未实现规定的控制目标
(2)未执行规定的控制活动
(3)突破规定的权限
(4)不能及时提供控制运行有效的相关证据
根据内部控制缺陷影响整体控制目标实现的严重程度,对内部控制缺陷,进行不同措施的整改,并结合整改结果,编制评价报告。
(五)内部控制评价报告的编制 1 赵开元,《中国农业银行内部控制综合评价》,中国物价出版社2000年出版
17
内部控制评价报告的编制主要是对内部控制评价的目的和责任主体、内部控制评价的内容和所依据的标准、内部控制评价的程序和所采用的方法、被评估的内部控制是否有效以及其存在的重大缺陷的可能性、所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等内容进行总结编报。
内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。 内审人员应当向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。
18