企业内部控制评价 如何加强企业内部控制评价【范例4篇】
【导言】此例“企业内部控制评价 如何加强企业内部控制评价【范例4篇】”的范文资料由阿拉题库网友为您分享整理,以供您学习参考之用,希望这篇资料对您有所帮助,喜欢就复制下载支持吧!
企业内部控制评价【第一篇】
摘要在企业内部控制实务中,内部控制评价是极为重要的一环,是对企业内部控制的再监督有效措施。本文分析了内部控制评价的五个方面主要内容,并提出评价和控制内控的组织是重要工作。
关键词企业内控内部控制评价
企业经营风险越来越多,对风险的管控重要性和必要性愈加凸显,对管控的评价也显得作用巨大,为此要做好内控评价和控制工作。学术概念上,内部控制评价是对企业内部控制制度的设计、运行的有效性进行评估分析的活动,是内部控制系统的一个必要环节,其操作过程和结果往往影响着一个内控制度的运行,因而非常重要。但是在实际操作层面,一些企业的内控评价活动和制度设计不甚清晰、或者对评价不够重视,导致内控评价流于形式、没有深度,影响着内控的运行。因此笔者觉得有必要对内控评价的相关方面做一个系统的阐述和分析,以助相关企业明细评价的各方面内容和操作方法,并助其对内控评价引起足够的重视,以更好推动内部控制的运行,从而创建一个更好的企业运营环境效果。
一、内部控制评价的主要内容
随着中国经济发展,企业的内外部环境正在发生巨变,对内控制度来说内涵和外延都随之发生着巨变,因而内部控制的内容也正在不断拓展,对内控的评价维度也越来越多、越来越细化。比如对某上市公司的内控评价,其要素既要包括公司层面的组织架构、会计审计、预算管理和人力资源、企业文化建设等各方面,也应该包括公司业务流程层面的销售与收款循环、筹资与投资循环、货币资金业务循环、采购与付款循环、存货与生产循环、成本费用控制、固定资产控制等项目进行评价。具体分析,笔者认为,总结来说,应该从以下五个方面开展评价:
(一)内控环境
内部控制本质上是对企业运行风险的识别过程,其持续性决定了控制体系必须具有完整性和实在性,即要有从宏观政策到微观措施的一系列对策,并能够在现实中真正实施。如内控环境在根本上应该有宏观的政策到微观的行为和措施组成,并且这些对策都能够被应用。那么,内控环境建设就要求对企业管理者是否真正意识到内控环境的重要性、对策等各方面有一定的理解和重视,它评价的主要是风险价值观、员工的工作能力、内控架构、企业风险意识导向等较为抽象的内容。
(二)风险评估
风险评估是对有害企业健康运行的负面因素进行识别和分析的过程,是风险管理的基础。评估要素包括内外部风险的类别和权重,各种隐患的存在和重要程度,应对风险的企业内外部举措和有效性,对内外部环境的整体认识和应对之策等等。对风险的评估,应该包括企业的内外部风险,也包括企业小到质量风险大到国际环境风险等,需要按照实际情况进行调整风险评估的要素和过程,这样才能真正对风险进行识别并加以解决。
(三)控制活动
控制活动是开展内控的具体行动,包括各种检查、管理预防、监督考核等,这些控制活动本质上是一种微观的内控环境,但是在具体行动上是一种管理活动,所以将其从内控环境中脱离出来单独考察。值得注意的是,在控制活动中,尤其重要的是对信息的控制,因为企业内控活动在现代化、信息化的今天,更多是对信息的处理,而不是针对具体人、具体事务的直接控制,更多是对同类型的信息流的监察和处理。
(四)信息交流
如上所述,信息交流是开展内控评价的重要方面,只有信息能够全面、及时、深度地汇集,才能明确内控的有效性和针对性,才能更好管理企业,有效预防风险并采取最佳措施加以解决。值得注意的是,在内控信息交流方面,要特别注意外部信息的获取和分析,很多企业只关注自己系统内的风险信息,而对国际环境等外部重要信息视而不见,这是内控的主要盲点之一,另外还要注意信息的全面性、安全性和通畅性。
(五)监督评审
内控本身是需要再监督和再审查的,而这是很多企业内控活动的最重要盲点,他们往往认为内控制度是自洽性和自运行的,只要建立内控体系就不再需要对内控本身进行监察。一般来说,监督评审主要是对内控的合理性、程序性和持续性等进行宏观审查。
二、内控评价的组织
内控评价在理论上重要,效果则要通过实践来显现,因此对评价活动的组织就显得尤为重要,笔者认为要重点做好组建专门评价职能机构这一工作。企业应该授权特别任命小组作为来进行内控评价工作,最好是审计部门为主、其他业务部门各出一名负责人参与,这样才能够充分显示评价活动的重要性,更能有利于评价活动。这一特别任命小组还需要一定的设置条件和特性,一是有权利能够独立地对企业内部控制系统的运行和结果进行全方位的监督和分析,二是具备一定的专业技能和职业道德,使得这种再监督能够不是形式上的重复设置,而是能够及时、充分地发掘出内部控制的缺陷,并根据分析提出对策建议以加以有效解决,三是这种对内控的评价和监督与其他其他财务监督等监督形式保持一致和协调,并能够相互制约和促进,在效率上满足企业的种种要求,四是能够得到各级领导层的重视和支持,尤其是企业董事会和经理层这一最高层级的鼎力支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。
参考文献:
[1]陈耀敏。基于公司治理的企业内部控制评价体系研究。企业经济。2011(01).
[2]陈永。浅议上市公司内控评价问题。消费导刊。2009(20).
[3]张兆国,张旺峰,杨清香。目标导向下的内部控制评价体系构建及实证检验。南开管理评论。2011(01).
[4]魏巍。基于灰色层次分析的内部控制综合评价模型――以上市公司为例。中小企业管理与科技(上旬刊).2011(02).
企业内部控制评价【第二篇】
关键词:内部控制评价;实施现状;上市公司
中图分类号:D9
文献标识码:A
doi:/
为了促进我国企业内部控制建设,2006年6月和9月,上海和深圳证券交易所分别颁布了《上市公司内部控制指引》。2008年5月,五部委联合颁布了具有“中国版SOX法案”之称的企业基本规范。在财政部和其他四部门的共同努力下,2010年4月26日,配套指引开始实施,其主要体现在三大方面:企业内部控制应用指引、评价指引及审计指引。这些规范和配套指引的实施,说明我国企业内部控制已初步建立。为进一步加强上市公司的内部控制体系建设,五部委做出规定:2011年初,开始在境内外上市的公司展开行动,到2012年初,实行范围进一步扩大,包括上海证券交易所和深圳证券交易所主板上市的公司;在此基础上,可以考虑在中小板和创业板上市公司施行;另外,也可以选择在非上市大中型企业执行。
同时根据证监会2011年31号文的要求,试点开展内部控制建设工作的上市公司,都必须按要求制订“内部控制实施工作方案”,工作方案是指导该公司对内控进行评价的具有操作性的文件,体现了该公司对评价指引和解读及其相关规定的理解程度,该公司将会据此展开内部控制评价工作。那么,工作方案就可以在一定程度上反映出评价指引的实施状况。
1 《企业内部控制评价指引》实施要求分析
我国上市公司应当遵守以上相关文件指引作为自我评价依据,进一步规范其评价工作之外,对于内部控制评价原则,2010年财政部在评价指引的解读中指出:内部控制评价的原则是开展评价工作不可或缺的一个标准,是为了更好地指导并约束企业实施内控评价工作,但其与内控的原则是不一样的。我国评价指引指出评价工作应遵循全面性、重要性及客观性原则;关于内部控制评价主体,进行评价工作前不仅要明确说明哪个层次的管理机构对报告的真实性负责,也要明确各评价主体的相互关系,明确其各项职能范围;关于内部控制评价方法,当然其评价方法需综合运用评价指引及相关文件规定的,不能丢弃指引的硬性要求而南辕北辙,应根据需要采取如个别访谈、穿行测试、比较分析等方法,去充分收集能够实施内控评价的证据,根据所搜集的事实材料去评价工作底稿,将内部控制缺陷找出来并改正;事实上,企业内控自我评价范围有公司层面和业务层面两部分。在传统意义上,内部控制评价人员往往只倾向业务层面,这样就形成了一种片面思考的方式,这些忽略的部分,容易成为影响组织成功的关键性因素。
关于内部控制评价内容,在评价内控五要素这几个大的维度时,要结合财政部评价指引解读中对其评价内容具体核心指标的规定,要有重点和方向地去评价。也要注意对监事会等权力机构是否发挥其监督作用,要对其监督的有效性和合理性进行评价和认定。评价工作还应该形成一个文件,即设计科学合理的评价工作底稿,其要对评价工作的内容进行有效记录,内容包括评价要素、关键风险点、实施的措施、相关资料和最终的认定结果等;关于内部控制评价程序,从准备阶段开始做好相关准备工作、认真实施、然后在其基础上进行汇总评价,最后才进入报告反馈和跟踪阶段,企业应当按照指引规定的程序有序开展内部控制评价工作;关于内部控制评价缺陷认定,我国上市公司监管部颁布的31号文指出,内部控制缺陷的评价标准分为两类:定性和定量标准。而缺陷则分为三类:一般、重要和重大缺陷。确认之后要评价内控缺陷,汇总所有的缺陷评价将其列入总表中,并对发现的缺陷提出改进建议,然后形成一个整改任务单。评价指引中指出内部控制缺陷包括设计和运行两大缺陷。财政部评价指引解读指出,按照形成主体、报送的对象和时期,内部控制评价报告分为对外和对内两种报告。同时还介绍了内部控制评价报告的内容和格式、编制和报送、披露和使用等内容。
2 内部控制评价工作方案存在的问题
首先,内部控制评价意愿的不足,部分公司评价工作方案在评价内容、程序、缺陷认定及评价报告上都没有合理遵循评价指引等文件规定,由于内部控制在我国起步相对稍晚,所以还未全面为企业所接受并熟知,大多企业没有认识到内控对企业的积极意义,进而企业也很少主动去进行自我评价。同时有些公司会担心披露评价缺陷或风险,会对企业商誉带来不利。再加上管理层的认知及重视程度不同,管理层的态度直接影响着内部控制环境;其次,内控评价成本制约及其自身能力的不足,如果上市公司实行内控评价工作所花费各项成本能会给公司带来更多的相关经济利益,那么企业则更愿意主动来披露内部控制信息;反之亦然。此外,企业的内控是一套较复杂而又完整的体系,几乎涉及了企业日常经营、管理活动的方方面面,其评价工作要想详细科学合理开展起来也很不易。这个过程不仅要求企业拥有先进管理技术,同时也要求企业具备高水平的内部审计人员,所以不具备健全瓤靥逑档墓司很难合规遵循评价指引的规定;再次,评价指引缺乏内控评价缺陷认定的具体强制标准,导致部分公司忽视缺陷认定的重要性,甚至选择相对对自己有利的来评价披露内部控制的情况,规避一些不利因素;最后,缺乏对内控评价的相关监管,监管机构虽然对上市公司董事会在年度报告中披露内部控制有关信息进行了强行规定,但是由于起步晚环境不宽松等因素,我国证券市场监管体系不那么顺畅,监管方式未能够完全摆脱传统的行政方式的影响,可想而知监管机构的职能作用将得不到很好地发挥。
3 政策建议
上文先结合评价指引的实施要求和实施现状况进行分析,然后通过对我国上市公司内控评价工作方案对评价指引的遵循状况进行统计研究后,根据相关的研究结果和现状提出了以下建议以供参考。
强化内部控制及其评价意识
首先,强化内控文化建设的重要性,不仅要深入领导层,更要深入到每个员工的心里。同时也要对员工进行培训,让其认识到内部控制及其评价的重要性,促使其从思想层面开始转变,进而积极配合审计人员的工作,这将对实施科学的内控工作将减少很大的阻力。其次,明确划分评价工作组内每个成员的职责,以促进评价工作的顺利开展,同时也要加强对公司管理者和员工的专业培训,提升其专业知识水平,以满足工作需要。最后,强调公司潜在的风险性,以风险为导向贯穿内控实施工作的整个流程。内部控制评价是要考察内部控制对控制目标合理保证作用的发挥情况,所以若能让各个公司主动地、积极地在企业内部实施内部控制自我评价、强化企业风险管理意识,那将有利于公司长期健康发展,所以一定要积极营造一个正直诚信的内部控制环境。
细化缺陷认定标准
由于目前的相关指引中没有对各种缺陷的相关认定标准给出具体规定,而是由企业根据缺陷的定义并结合自身情况去自行确定,这在一定程度上使企业认定内控缺陷的难度增加,甚至可能导致某些重大缺陷无法被合理认定和及时披露。同样也给企业带来很大的判断空间,这样的规定将会可能导致使部分企业随意掩盖缺陷,使其内控存在很大风险。所以鉴于企业内部控制缺陷界定模糊及混乱的现状,相关政策制定部门更应当进一步明确划分每种缺陷类型的衡量标准,以在一定程度防止因为标准模糊而将相关重大缺陷划分为成重要缺陷甚至一般缺陷的现状出现。
健全内部控制自我评价监督机制
考虑到以上状况,首先,企业要积极营建一个守法、公平、正直的内部环境,健全内部审计机构的设置。其次,要保证内审部门的独立性,增强监管力度。再次,合理分配监事会职能,保证其监事会与董事、管理层之间具有必要的独立性,这样可以更好地发挥其监督职能。最后,适当借助外部咨询机构的力量,提升内控建设和评价的专业性,也为其有效运行提供合理保证。同时也考虑到一些企业的自身能力可能存在一定的不足,那么其可以将业务适量外包,聘请会计师事务所来评价,以加强与注册会计师的沟通。
加强外界对上市公司的全方位监管
可以知道,国家监管部门也对上市公司的内部控制评价体系进行了关注,主要目的也是为了保证其内部控制的顺利实行。因此,完善内控建设,一方面,加强培训,尤其是法律法规相关的,相关监管部门对上市公司进行业务培训,从而提高其建立健全评价内控工作的能力。另一方面,加强信息披露监管,时刻监督上市公司按照基本规范的指引,按时进行公布内控自我评价报告,从而达到信息公开化,体现披露的作用。
参考文献
[1]上海证券交易所。上海证券交易所上市公司内部控制指引[Z].2006,(6).
[2]财政部等五部委。企业内部控制基本规范[Z].2008,(6).
[3]深圳证券交易所。深圳证券交易所上市公司内部控制指引[Z].2006,(9).
[4]财政部等五部委。企业内部控制评价指引[Z].2010,(4).
[5]南京大学会计与财务研究院课题组。论中国企业内部控制评价制度的现实模式――基于112个企业案例的研究[J].会计研究,2010,(6):5261.
企业内部控制评价【第三篇】
(一)评价目标不明确 《企业内部控制评价指引(征求意见稿)》第四条“企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”但是我国大多数企业没有把内部控制评价作为内部控制的有机组成部分,内部控制评价制度的建立和执行只是流于形式,没能真正通过内部控制评价来改善经营管理水平,再加上各企业的评价主体定位层次不齐,评价目标不明确,导致在实践中弱化内部控制评价,搞形式主义。
(二)评价主体不明确从实践来看,仅仅通过注册会计师定期地对公司财务报告内部控制进行外部评价,已经不能满足上市公司内部管理和战略目标实现的要求,不能对上市公司内部控制报告的有效性进行全面评价。现代企业愈加重视企业的内部评价。但我国上市公司董事会中,有相当一部分没有正式的审计委员会,很多上市公司中虽也设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。据德勤2009年的内部控制调查报告显示,约%的企业由内部审计部门牵头,对企业的内部控制有效性进行评价,由财务部门、董事会办公室或其他部门牵头的企业均为%。因此,上市公司必须明确内部控制评价的主体定位问题。
(三)评价方式过于简单目前的内部控制评价主要是依靠内部控制调查表、内部控制流程图和叙述法等基于主观的定性评价方法,致使内部控制评价的效率较低,效果较差。有些上市公司虽然也借鉴了一些西方国家的内部控制评价方法,但执行效果较差。虽然《企业内部控制评价指引》第四条也指出“企业应当结合内部控制设计与运行的实际情况,制订具体的内部控制评价方法”,但是对企业具体采取何种措施并没有做出清晰的界定,这也使企业在内部控制评价工作中缺乏统一的形式和标准的指导。
(四)披露不充分 企业内部控制有效性的最终评价结果如何,内部控制评价能否最终发挥其作用,需要借助于声誉机制的作用,通过内部控制评价结果的披露促使内部控制的改善。随着资本市场的发展,对上市公司内部控制评价结果的披露要求越来越高。就我国目前的情况看,尚没有强制要求所有上市公司披露内部控制信息,也没有统一的披露格式和要求,导致自愿披露其内部控制信息的上市公司比例较低,即使披露了,也比较简单。
二、企业内部控制评价体系完善措施
(一)明确评价目标 内部控制目标的实质是帮助企业实现企业价值最大化目标,减少经营过程中的风险。事实上,内部控制评价目标与内部控制目标是一致的。因为内部控制评价的最终目的是实现内部控制系统的有效性,完善内部控制,使其充分发挥作用,从这一层面上理解,内部控制评价是内部控制的再控制,其最终目的就是为了实现内部控制目标。在具体执行内部控制评价的过程中,评价者普遍关注的是报告的可靠性和企业的合规性。COSO委员会在ERM框架中充分考虑到了上述现象,对内控目标的界定打破了以往的内控规范。企业也日益认识到构建内部控制体系的目标不单纯是为了满足监管部门对于信息提供和披露方面的需求,更重要的是内控制度有助于企业战略目标以及经营目标的实现。
总体而言,在上市公司内部,内部控制评价的目标,是为了审查公司为达到经营效果和效率所付出努力的有效性,以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部的内部控制评价目标一般侧重于报告目标和合规目标的实现,在管理咨询内部控制评价中还会关注经营目标的实现。而内部的内部控制评价目标主要侧重于企业战略目标和经营目标的实现程度,但也关注合法合规目标的实现,如图1所示。
(二)理清评价主体企业内部控制评价系统的主体是指谁对客体进行评价。从内部控制评价的产生及发展来看,它是为解决经济活动过程中存在的委托―矛盾而建立的。在单一外部评价主体时期,对内部控制进行评价的主体是注册会计师,其对内部控制评价的目的是为确定审计中实质性测试的范围和程度提供依据。但内部控制评价应是企业全体员工共同参与的管理工作(如内部控制的自我评估),特别是高层管理人员却必须及时、全面地了解所分管业务甚至企业整体的内部控制水平,这种评估要以正式或非正式的方式经常进行。因此,在内外部多元评价主体时期,企业内部控制的评价活动也要从利益相关者的需求出发,对企业的战略活动、经营管理活动以及企业各项活动的合法合规性进行评价。
综上所述,本文所研究的是上市公司的内部控制评价主体问题是基于利益相关者的角度,因此上市公司内部控制的内部评价主体应界定为内部控制管理机构,即监事会、审计委员会和公司内部审计部门,其职责都是对内部控制进行不同程度的再控制;企业在日常的运营过程中也应开展内部控制的自我评估(CSA)活动;同时内部控制评价的外部主体主要包括注册会计师、政府部门和其他监管机构等利益相关主体。
(三)界定评价客体内部控制评价的客体是内部控制评价的对象和内容,即内部控制的构成。根据《企业内部控制评价指引》规定,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价,内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。由于评价指引意见稿中指出要对“运行的有效性”进行评价,而“运行”是指事物的循序运转,“执行”是指按照规定的原则、办法办事。从这两个词的词义上来看,征求意见稿的规定似乎将“内部控制”置于客观的位置上,剔除了人为因素的影响,但实际上却忽略了内部控制评价中对人的评价。而且指引中对“内部控制运行有效性”的解释与运行的内涵并不一致,“内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行”。企业内部控制无论是设计还是执行,人作为主体是不可忽视的一个要素,即企业内部控制执行有效性的评价中除了要对企业的产、供、销等活动的运转情况进行评价之外,还要对人的责任履行情况进行评价。因此,本文将上市公司内部控制评价的客体界定为对内部控制设计有效性和执行有效性的评价。
(四)确定评价模式 内部控制评价的模式就是评价活动的模型、样式,对构成评价活动的各要素之间的关系和形式的规定。它具体规定了评价的目的、基本范围、内容和过程,包括评价活动的逻辑和程序。企业面临的风险和不确定性越来越多,因此本文认为现代企业内部控制评价模式的采用也要引入风险管理的理念,将内部控制的评价与企业风险管理的过程紧密结合,即采用以风险为基础的评价模式。采用以风险为基础的评价模式时首先要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标而言,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序,如图2所示:
以风险为基础的评价模式首先评估实现内部控制相关目标的风险,根据风险评估的结果对照企业的内部控制参考内部控制框架来判断企业内部控制设计的有效性。这样做一方面可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性和灵活性;另一方面,关注最重要的风险,提高了评价的成本效益和效率。此外,在确定内部控制的测试范围和收集证据时也是以风险评估为基础的,这样同样可以提高评价的成本效益和效率。
(五)讲究评价方法《企业内部控制评价指引》规定,内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据。由此可见,企业的内部控制评价活动也越来越重视定量分析的评价方法。
定性评价方法主要是对上市公司内部控制制度的合法性、有效性、可操作性和经济合理性进行评价。定量评价方法需要建立定量评价标准,通过内部控制制度评价的数学分析模型来评价上市公司内部控制制度的健全性和有效性。由于定性评价易受评价人员主观判断的影响,往往缺乏客观性,定量评价则以其科学、精确、可比的特点为上市公司内部控制制度的实施效果做出较为恰当的评价。因此,上市公司内部控制的内外部评价应采用定性评价和定量评价相结合的方式,着重考虑扩大定量分析评价的范围。
参考文献:
[1]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
企业内部控制评价【第四篇】
关键词 ERP; 内部控制; 评价系统; 评价模式
一、引言
内部控制的动态性决定了内部控制的建设必定是一个不断解析、评价、优化和改进的过程,在此过程中内部控制的评价作用尤为关键。近年来,特别是在《企业内部控制基本规范》(以下简称《基本规范》,2008)、《企业内部控制配套指引》(以下简称《配套指引》,2010)出台以后,在《基本规范》、《配套指引》框架下进行内部控制评价体系的研究已成为内部控制领域的一个热点。主要文献有:论中国企业内部控制评价制度的现实模式(南京大学会计与财务研究院课题组,2010);基于PDCA循环的内部控制有效性综合评价(杨洁,2010);基于管理视角的企业内部控制评价系统模式(池国华,2010);基于流程的战略性并购内部控制评价研究(崔永梅、余璇,2011);内部控制缺陷的识别、认定与报告(杨有红、李宇立,2011);企业内控评价体系框架构建研究(熊婷、程博,2012)等。这些成果是对《基本规范》、《评价指引》框架性概念的具体补充,加深了我们对于内部控制评价的认识和理解,增强了内部控制评价体系的构建可操作性,然而对内部控制建设的现实环境即信息化下相关研究却鲜有涉及。本文以此为切入点,探究一种基于ERP环境下的内部控制评价体系新模式,从而为我国企业内部控制的有效实施和持续改进提供切实可行的操作指南。
二、ERP下内部控制评价体系构架的现实基础
内部控制的评价是对内部控制有效性的评价,主要针对的是内控设计及运行的缺陷评价,而内控的设计与运行离不开内控依存的现实环境。现今,在我国率先进行内部控制建设的企业,大多经历了或正在经历全面信息化建设的过程,以ERP(Enterprise Resource Planning,企业资源计划)为代表的信息化软件系统开始在企业中普及应用。在经过了对信息化的质疑、认识、实施、受益之后,企业的管理当局再次面对如内部控制建设这般系统工程之时,内部控制与ERP结合成为首选,这种考量主要是基于以下几个方面:
1.内部控制的建设需要对控制环境进行梳理,而ERP的实施已经使企业在组织结构、岗位分工、人员配备、业务流程甚至企业文化上经历了深层次的变革,这就会大大缩短控制环境的梳理时间。
的实施是一项复杂、全员动员的系统工程,在实施过程中得到锻炼的团队可较快地投入内部控制建设的过程中,而优秀的实施团队是内控建设成败的关键。
3.从成本效益的角度出发,ERP系统模块化的设计方式有利于环境变化,对系统的局部调整而降低投入成本,内部控制的动态性也要求未来的内控系统应具备这一特性。
业务涉及企业的各个环节,程序化的运行方式使得内部控制的控制方式能够有效地在系统中得到执行,减少因人为因素导致的失效,降低了控制风险。
还可以大大提高信息的透明度,并且能为内部控制提供实时的数据支持,特别是基于日常处理的日志记录可以为内部控制的监督、评价提供依据。
由此可见,当内部控制的实施主体倾向于一种嵌入ERP系统的内部控制架构时,作为内部控制的自适应子系统,内部控制评价系统也应从ERP的特征出发来重新构架新的评价系统。
三、ERP下内部控制评价的特征
内部控制的评价是以评价客体为基础的,并且会因评价客体的变化而做出适应性的调整。嵌入ERP的内部控制系统,就是采用软件开发中普遍使用的结构化的设计方法,将内部控制功能自顶向下的逐层分解,分解成若干个相对独立却又具有一定耦合关系的子模块,每一个单独的控制子模块都能够完成一定控制目标,同时相关的子模块可以集成控制单元完成较高层次的控制目标,这些子模块并不是单独存在的,而是采用程序化的手段将其固化在ERP功能模块中,成为ERP各功能子模块下的某些控制菜单。这种内部控制系统的信息化必然会影响内部控制评价系统的改变,形成ERP下内部控制评价系统的新特征。
(一)评价主体的多元化
《基本规范》关于内部控制评价概念的描述是“企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”从定义中可以看出,内部控制的评价主体应当是企业的决策层,这种规定实际上是从社会监督的立场出发,对企业对外披露内部控制评价报告层面的规定,体现的是内部控制评价的社会职能。但实际上,通过内部控制的自我评价,可以不断地对内部控制系统进行优化、改进,从而提升全员的风险意识、增强职工对于内部控制系统的认同感、顺利实现控制目标、提升企业价值,这体现的是内部控制评价的企业价值。嵌入ERP的内部控制系统将控制目标以模块化的形式分解到ERP系统的子系统中,将其扩展到决策层、管理层、操作层三个层面,使全员参与评价成为可能,同时信息系统的透明度,也可以更好地为社会评价提供数据支持。因此ERP下的内部控制评价主体必然是一种内外结合、全员参与的多元化主体。
(二)评价报告的多样性
《基本规范》第四十六条规定:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。”《评价指引》将企业对外评价报告的报出时间定为“企业应当以12月31日作为年度内部控制评价报告的基准日,也可选择6月30日为基准日。内部控制评价报告应于基准日后4个月内报出。”这两项内容说明企业对外披露内部控制评价报告是企业应尽的义务,体现的是内部控制的社会职能,属强制性规定。同时,基于内部控制自我评价的企业职能,企业可在《基本规范》框架内自行设定。嵌入ERP的内部控制系统模块化,有利于企业进行制定范围的局部评价;同时信息系统实时化的信息处理方式又可以缩短评价收集整理资料的周期,使不定期评价成为可能。这样ERP下的企业内部控制评价报告就是一个全面与局部、定期与不定期报告组成的多维体系,至于报告的格式可参考《评价指引》的规定,此处不再赘述。
(三)风险的有效控制
基于风险导向的内部控制系统被寄希望于一个企业成长的保护神,被要求事无巨细、面面俱到,这种全面性同时也加大了内部控制自身的风险。内部控制系统本身是一个动态系统,不能脱离一定的控制对象而独立存在,企业经营环境、经济业务、人力资源等任何的变化都可能导致内部控制风险的加大。风险是不可避免的,关键的问题是如何有效控制风险,传统方式上,内部控制最大的风险来自于内部控制评价的滞后性,特别是在信息化的今天,当时间成为导致风险的重要因素时,就必须以信息化的方式来降低这种风险。嵌入ERP的内部控制系统,将内部控制指标融入信息系统,可以敏锐的捕捉到来自业务端的处理数据并加以计算进行符合性的测试,同时这种内部控制数据的实时处理,会使得评价人员做出及时的判断并加以处理,这样使事后评价成为事中评价,大大减少了时间因素导致的经营风险,保证了内部控制职能的有效性。
四、ERP下的内部控制评价体系
内部控制评价的核心内容是内部控制评价指标,评价指标设定的科学性、评价标准设置的合理性决定了评价质量的好坏。《评价指引》给出了企业内部控制评价的框架标准,“企业应当针对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。”ERP下的内部控制评价也应在此框架内,结合自身特点来设置评价标准体系。
(一)评价指标设定的原则
内部控制评价指标的设定原则是整个评价指标体系的指导思想,会影响评价指标的范畴、评价的标准以及评价具体的实施方法。企业在设计内部控制评价指标体系时,应遵循以下四个基本原则:
1.风险导向原则。管理实践中有句至理名言“正确地做事不等于做正确的事”,这句话说的是一个方向性的问题。风险导向就是内部控制评价的纲领,所有的评价都应以是否产生风险以及造成风险的程度来评价内部控制的合理性和有效性。
2.相关性原则。内部控制评价指标的设定应与内部控制评价报告使用者的决策需求相关,以便于使用者对企业的内部控制情况做出评价。
3.可比性原则。内部控制评价通常是定性分析与定量分析相结合,需要以一定的事项作为参照而做出评价,因此,内部控制评价指标应当考虑应具备一定的普遍性,同时要保持评价指标统计口径与方法的前后一致性。
4.成本效益原则。内部控制评价是一项涉及面广,耗费人力、财力、物力的工作,应当以成本效益的原则对评价指标的设定进行指导,以评价目标确定评价指标的详略程度,突出重点指标,弱化或减少不必要项目,以减少成本开支,实现经济有效的评价。
(二)评价指标
内部控制评价指标是内部控制评价工作的核心,决定着内部控制评价报告的质量,基于以上内部控制评价指标设定的原则,本文采用结构化设计方法,对内部控制评价指标(如表1所示)进行分解处理,以达到每一个指标易于理解和可操作。结构化设计方法是工程学中应用最广泛的方法,基本思路是:由于人的理解力、记忆力的限制,不可能一下子触及到问题的所有方面以及全部的细节,为了降低理解的复杂性,最常用的方法是把大问题分解为若干个小问题,称为“分解”。如果每个小问题还不够简单,那么还可以继续分解,直到每个问题均可被理解为止。
(三)评价标准
从以上对于内部控制评价指标的划分可以看出,内部控制评价既涉及定量分析,也要有定性分析,两者应该是统一且相互补充的,但是不论是定性还是定量分析都必须以客观存在的分析对象为基础。企业性质不同、经营范围不同、经济能力、技术能力甚至评价主体的风险偏好都可能会影响最终的分析结果,使评价标准很难实现一个确定的、统一的标准。即使是《基本规范》、《评价指引》也只是规定企业应当就内部控制的健全性、合理性、有效性按企业自身的特点做出评价,将内部控制缺陷的认定划分为一般缺陷、重要缺陷、重大缺陷三个层次,而并未给出确认此三种缺陷的具体标准。因此,关于内部控制有效性的评价只能是“符合性”的概念,而不是一个绝对的数值。评价标准就是要确定这样的符合区间,以0为下限最高至100,其间分割若干首尾相连的刻度,区间的多少以及每个区间应有的上限下限的数值,取决于评价者对于内部控制健全性、合理性、有效性的认识。结合ERP下内部控制的特点,内部控制的评价不仅是一个有效性的问题,也应包含系统对于风险的敏感性和应对环境变化的灵活性,可划分为弱、较弱、一般、较强、强五个区间,每个区间的边界应是一个经验值,可由企业对连续若干年度区间的测算并参考行业一般标准而确定。
(四)评价方法
嵌入ERP的内部控制系统最大的优势在于以结构化的方式将内部控制的相关设定分解成一个个相对独立的子模块,并将其写入ERP系统的功能模块中,实施对业务流程的实时控制。这就为针对内部控制系统的评价提供了更多、易实现的评价手段方法。
1.单元评价。结构化的设计方式是内部控制的内容被分解成可以独立实施的控制单元,这样就可以针对这种独立控制实施的结果进行单独评价。
2.集成评价。结构化设计是一种将内部控制总体目标自顶向下、层层分解成若干子目标的方法,同一层次的子目标可以采用某种耦合关系集成上一级的控制目标,以此类推从而完成总的控制目标。那么,对内部控制的评价也可以采用这种由下而上的逐级汇总的方式进行单元集成性的评价。
3.定点评价。对于可能产生重大内部控制缺陷的控制要点,通过计算机的实时数据,可采用定向、定时的方式对其加以监控,防止产生大的经营风险。
4.调查分析评价。内部控制评价体系是一个涵盖全部控制单元,综合所有评价指标的整体性评价,既包括数字部分的评价也包括非数字的评价。对于非数字部分的内容可以采用传统方式进行,如员工座谈、调查问卷、典型分析等。
五、结束语
本文基于内部控制评价实施的视角,对ERP下的企业内部控制评价系统架构模式进行研究,内容涉及评价主体、评价报告、评价指标、评价标准、评价方法以及指标设定原则等方面,目的就是为将内部控制嵌入信息系统的企业,对内部控制的评价提供一种易于理解的评价模式。但受困于每个企业的具体实际,内部控制制度差异性,未能对内部控制评价指标的权重给出一个可验证的标准,降低了本模式的操作性。
参考文献
[1] 刘玉廷。全面提升企业经营管理水平的重要举措――《企业内部控制配套指引》解读[J].会计研究,2010(5):3-16.
[2] 朱华建,张盛勇,高宏伟。21世纪以来我国内部控制研究主题及述评[J].会计研究,2011(11):57-64.
[3] 杨雄胜,夏俊,等。内部控制评价――理论、实务、案例[M].大连:大连出版社,2009.
[4] 南京大学会计与财务研究院课题组。论中国企业内部控制评价制度的现实模式――基于112个企业案例的研究[J].会计研究,2010(6):51-61.
[5] 杨洁。基于PDCA循环的内部控制有效性综合评价[J].会计研究,2011(4):82-87.
[6] 池国华。基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10):55-61.
[7] 崔永梅,余璇。基于流程的战略性并购内部控制评价研究[J].会计研究,2011(6):57-62.
[8] 杨有红,李宇立。内部控制缺陷的识别、认定与报告[J].会计研究,2011(3):76-80.
[9] 熊婷,程博。企业内控评价体系框架构建研究[J].财务与金融,2012(2):50-55.