内部控制自我评价
2024-05-09 19:20
1. 内部控制自我评价
内部控制自我评价
怎样写内控 自我评价 ?
一般情况下,根据自我评价报告内容和内控体系实际建设情况,外部审计机构对于企业的内部控制体系会出具三种意见的某一种:
达到内控要求:同意评价报告意见;
有重大缺陷:否定意见;
有范围限制:撤消业务约定,或无法表示意见。
上述意见并非仅凭借企业出具的自我评价报告,还需要依据:
内部控制文档(内控管理手册+管理 制度 汇编目录);
内控控制程序相关审计结果(如果有);
内控控制程序测试结果;
实质性业务活动过程文件;
企业内部评估自查结果(如果有)。
问询会是一种方式,但不作为审计底稿的依据。因此,一份内控自我评价报告的意义确实没有多大,虽然是自我评估的表达,但能否让外部审计机构接受,他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件,外部审计机构很难出具第一种意见,如果真出具了,对于广大的中小投资者也是很不负责任的行为。
如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施,那在撰写内控自我评价报告的时候可以有所侧重。常规意义上,一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调):
内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述);
内部控制有效性评估(包括经营环境控制情况评述,重点内部控制活动和重点业务活动内部控制情况描述,问题及整改计划以及综合评价)
内容不复杂,主要是针对报告期间(一般是1.1-12.31)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业,在撰写自我评价报告前,会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时,对于集团型企业来说还是检查和评价各分支机构内控执行情况,并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险,是否进行了重大调整,对于调整部分内部控制是如何做的。对于业务活动部分,除了结合企业内部控制应用规范中要求逐一检查的内容外,主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样,内控的意义是防止出现重大管理问题,督促企业进行规范运作,如果报告期间内企业已经出现了重大问题,内控评价报告怎样写都无法得到外审出具的第一种意见。
正如,重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段,不重视的企业,会将内控做成只有一纸文书的应付差事。即使企业什么都没做,写出内控自我评价报告也是完全可能的,毕竟没有企业是没有任何规章制度规范,在完全失控的状态去管理的。
公司内部控制自我评价
在以企业为纽带的博弈各方中,内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息,使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,本文主要对沪市862家通过指定报纸和网站披露了2007年年度报告的上市公司其内部控制自我评价情况进行统计,分析内部控制自我评价产生的效果和存在的问题,并提出针对性建议。本文分为四个部分:第一部分阐述评价依据,第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析,分析内控自我评价的效果及存在的问题,最后一部分提出相应建议。
一、评价依据
内部控制自我评价是由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台,但无论是财政部2001年颁布的《内部会计控制基本规范》,还是上海证券交易所的《上市公司内部控制指引》,遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此,披露内部控制自我评价报告的公司,大都将财政部的《内部会计控制基本规范》,或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。
二、数据分析
对包括投资者在内的企业外界各利益相关者而言,披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力,增强投资者信心的措施;对企业管理层而言,内部控制自我评价过程,能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度,不断消除内部控制缺陷,增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。
按照《内部会计控制基本规范》和《上市公司内部控制指引》,一个内部控制系统有效运行的企业,至少要做到企业经营中严格执行国家的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险,从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的'五个目标提供合理保证,但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此,我们将上市公司未受到证监会的处罚和交易所的谴责、对外发布的财务报表未出现会计差错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。
三、存在的问题
根据我们对沪市862家上市公司2007年年报中内部控制信息披露状况的统计分析,可以发现,自愿披露内部控制自我评估报告的公司虽然比2006年有所提高,但占比仍然比较低,上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比,我们发现,两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明,就以上三个内部控制目标而言,披露自我评估报告的公司其内部控制有效性更强。
2. 内部控制自我评价
怎样写内控 自我评价 ? 一般情况下,根据自我评价报告内容和内控体系实际建设情况,外部审计机构对于企业的内部控制体系会出具三种意见的某一种: 达到内控要求:同意评价报告意见; 有重大缺陷:否定意见; 有范围限制:撤消业务约定,或无法表示意见。 上述意见并非仅凭借企业出具的自我评价报告,还需要依据: 内部控制文档(内控管理手册+管理 制度 汇编目录); 内控控制程序相关审计结果(如果有); 内控控制程序测试结果; 实质性业务活动过程文件; 企业内部评估自查结果(如果有)。 问询会是一种方式,但不作为审计底稿的依据。因此,一份内控自我评价报告的意义确实没有多大,虽然是自我评估的表达,但能否让外部审计机构接受,他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件,外部审计机构很难出具第一种意见,如果真出具了,对于广大的中小投资者也是很不负责任的行为。 如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施,那在撰写内控自我评价报告的时候可以有所侧重。常规意义上,一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调): 内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述); 内部控制有效性评估(包括经营环境控制情况评述,重点内部控制活动和重点业务活动内部控制情况描述,问题及整改计划以及综合评价) 内容不复杂,主要是针对报告期间(一般是1.1-12.31)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业,在撰写自我评价报告前,会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时,对于集团型企业来说还是检查和评价各分支机构内控执行情况,并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险,是否进行了重大调整,对于调整部分内部控制是如何做的。对于业务活动部分,除了结合企业内部控制应用规范中要求逐一检查的内容外,主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样,内控的意义是防止出现重大管理问题,督促企业进行规范运作,如果报告期间内企业已经出现了重大问题,内控评价报告怎样写都无法得到外审出具的第一种意见。 正如,重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段,不重视的企业,会将内控做成只有一纸文书的应付差事。即使企业什么都没做,写出内控自我评价报告也是完全可能的,毕竟没有企业是没有任何规章制度规范,在完全失控的状态去管理的。 公司内部控制自我评价 在以企业为纽带的博弈各方中,内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息,使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,本文主要对沪市862家通过指定报纸和网站披露了2007年年度报告的上市公司其内部控制自我评价情况进行统计,分析内部控制自我评价产生的效果和存在的问题,并提出针对性建议。本文分为四个部分:第一部分阐述评价依据,第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析,分析内控自我评价的效果及存在的问题,最后一部分提出相应建议。 一、评价依据 内部控制自我评价是由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台,但无论是财政部2001年颁布的《内部会计控制基本规范》,还是上海证券交易所的《上市公司内部控制指引》,遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此,披露内部控制自我评价报告的公司,大都将财政部的《内部会计控制基本规范》,或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。 二、数据分析 对包括投资者在内的企业外界各利益相关者而言,披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力,增强投资者信心的措施;对企业管理层而言,内部控制自我评价过程,能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度,不断消除内部控制缺陷,增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。 按照《内部会计控制基本规范》和《上市公司内部控制指引》,一个内部控制系统有效运行的企业,至少要做到企业经营中严格执行国家的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险,从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的五个目标提供合理保证,但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此,我们将上市公司未受到证监会的处罚和交易所的谴责、对外发布的财务报表未出现会计差错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。 三、存在的问题 根据我们对沪市862家上市公司2007年年报中内部控制信息披露状况的统计分析,可以发现,自愿披露内部控制自我评估报告的公司虽然比2006年有所提高,但占比仍然比较低,上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比,我们发现,两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明,就以上三个内部控制目标而言,披露自我评估报告的公司其内部控制有效性更强。
3. 内部控制评价的方法
内部控制评价的程序
4. 内部控制自我评价顺序正确的是什么
一、评估准备。 1、组建评估组。 2、制定评估方案。 3、评估资料准备。 二、评估实施。 分公司层面内部控制和业务层面内部控制分别进行。 三、评估与反馈。 四、缺陷报告与整改计划。 1、汇总评估和反馈结果,编制缺陷报告。 2、根据缺陷报告编制相应整改计划。 3、将缺陷报告和整改计划提交公司经理层批阅。 4、落实经理层批阅的整改计划。 5、进行整改的再测试和补充测试。
5. 如何完善企业内部控制自我评价报告
(1)文字描述法。就是通过现场询问、观察等手段将了解到的内部控制情况,用文字形式描述下来的方法,表述其组成控制情况的内容,再由审计人员对这个系统的控制情况进行判断分析,判断其控制点的控制措施是否完整,以确定其健全性。 (2)调查法。内部控制调查表一般是审计人员针对各项具体的控制措施事先拟定一系列问题,并列于设计好的表格中,然后通过一定的方式填制问卷,请被审计单位的有关人员回答,从中检查和分析某项控制措施是否存在,并以此作为评价内部控制制度是否健全的依据。内部控制调查表法有利于提高审计工作效率,也大大节约了审计时间,加大审计工作力度。 (3)流程图法。这种方法只要把被审计单位的经济业务处理程序以流程图的形式绘制出来,就可以反映出被审计对象内部控制系统情况。流程图用特定语言符号表示被审计单位内部控制系统运行状况,直观地反映各项业务流程,表明其职责分离、权责划分的状况,突出关键控制点,是审计人员据以分析、研究被审计单位内部控制系统的有效方法。 内部控制自评情况 (一)内部环境 本公司以《企业内部控制基本规范》有关内部环境的要求,以及应用指引中关于组织架构、发展战略、人力资源、企业文化、社会责任等内容为依据,对公司内部环境要素进行了认定和评价。 简要叙述治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等内部控制基础情况。 (二)控制活动 本公司以《企业内部控制基本规范》有关控制活动的要求,以及应用指引中关于资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、全面预算、合同管理等内容为依据,对公司控制活动的有效性进行了认定和评价。 1、不相容职务分离控制 公司在设定组织机构和岗位时,全面系统地分析和梳理了公司的业务流程,对容易产生舞弊风险的岗位实施相应的分离措施,形成了各司其职、相互制约的工作机制。 2、授权审批控制 本公司根据公司章程,对董事会及管理层的职责进行了明确的划分,制定了有效的议事规则,各司其职、相互独立、相互监督、相互促进。对金额和性质不同的各项一般交易、关联交易和风险投资项目的授权程序,本公司都进行了详细的规定,保障公司的运营和安全。 3、会计系统控制 本公司严格执行国家统一的会计准则制度,严格按相关规定进行会计基础管理工作,完善财务报告编制、合并、内部审核、披露、报送、审计和分析利用制度。
6. 如何完善企业内部控制自我评价报告
按照企业内部控制规范体系的规定,建立健全和有效实施内部控制,评价其有效性,并如实披露内部控制评价报告是公司董事会的责任。监事会对董事会建立和实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。公司董事会、监事会及董事、监事、高级管理人员保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带法律责任。
公司内部控制的目标是合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略。由于内部控制存在的固有局限性,故仅能为实现上述目标提供合理保证。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制评价结果推测未来内部控制的有效性具有一定的风险。
二、内部控制评价结论
根据公司财务报告内部控制重大缺陷的认定情况,于内部控制评价报告基准日,不存在财务报告内部控制重大缺陷,董事会认为,公司已按照企业内部控制规范体系和相关规定的要求在所有重大方面保持了有效的财务报告内部控制。根据公司非财务报告内部控制重大缺陷认定情况,于内部控制评价报告基准日,公司未发现非财务报告内部控制重大缺陷。自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素。
三、内部控制评价工作情况
(一)内部控制评价范围
公司按照风险导向原则确定纳入评价范围的主要单位、业务和事项以及高风险领域。纳入评价范围的单位包括:公司各职能部门及其大邑分公司、全资子公司成都西菱动力部件有限公司。纳入评价范围单位资产总额占公司合并财务报表资产总额的100%,营业收入合计占公司合并财务报表营业收入总额的100%。
纳入评价范围的主要业务和事项包括:
1、组织架构
公司建立了以股东大会为权力机构、董事会为决策机构、经理层为执行机构、监事会为监督机构的运行体制,依法制订了《董事会议事规则》《独立董事工作制度》《董事会秘书工作制度》《董事会提名委员会实施细则》《董事会审计委员会实施细则》《董事会薪酬与考核委员会实施细则》《董事会战略委员会实施细则》等规章制度,明确了决策、执行、监督等方面的职责权限,形成了科学有效的职责分工和制衡机制。
7. 内部控制评价的方法
从内部控制评价本身以及目前的发展情况来看,主要存在详细评价法和风险基础评价法两种方法。 企业内部控制的另一种思路和方法不是从控制到风险,而是从风险到控制,即从内部控制相关目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标来说,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。《企业内部控制评价指引》第十五条规定,内部控制评价工作组对被评价单位进行现场测试时,可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。1.个别访问法个别访问法主要用于了解公司内部控制的现状,在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲,撰写访问纪要,记录访问的内容。为了保证访谈结果的真实性,应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工,公司是否建立了员工培训长效机制,培训是否能满足员工和业务岗位需要?2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。比如你对企业的核心价值观是否认同?你对企业未来的发展是否有信心?3.穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。如针对销售交易,选取一批订单,追踪从订单处理一-核准信用状况及赊销条款一-填写订单并准备发货一-编制货运单据一-订单运送/递送追踪至客户或由客户提货-一开具销售发票一-复核发票的准确性并邮寄/送至客户一-生成销售明细账一-汇总销售明细账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。4.抽样法抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性,即样本库应包含符合控制测试的所有样本;其次要确定所抽取样本的充分性,即样本的数量应当能检验所测试的控制点的有效性;最后要确定所抽取样本的适当性,即获取的证据应当与所测试控制点的设计和运行相关,并能可靠地反映控制的实际运行情况。5.实地查验法实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。6.比较分析法比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较,分析存在异常的应收客户款,进而对这些客户的赊销管理控制进行检查。7.专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷,往往需要由内部控制管理部门组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。在实际评价工作中,以上这些方法可以配合使用。此外,还可以使用观察、检查、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在方法上注意与人工控制、发现性控制的区别。
8. 什么是内控自我评价?
这样的一个内控自我评价其实就是一个企业内部的自我审计,这还是一种比较新兴的审计技术。内控自我评价,这样的一种方式,可以让企业的管理者以及部门的管理者能够及时的了解一下自己有什么样的问题,应该采取什么样的对症措施来解决。这样的话也是可以减少一定的人力和物力,更好的提高工作效率。 内控自我评价这样的一个风险管理工具,为企业的管理者和审计的提供了一个共同的平台,来更好的管控企业的风险,加强企业的管理。公司可以更好地反映出来,企业内部存在什么问题,可以更加直观的了解,也要管理层能够有一个清晰的认识。对于一些管理部门,也可以让他们能够清晰地了解到,自己本部门的问题,也是可以更好地对症下药。 当然内控自我评价也是有一些需要注意的事项,就是说你在上一个评价之后一定要,在下一个评价周期,到时候看一下有没有什么样的进步,是不是又出现了新的问题?这都是要重新进行评估的。
最新文章
热门文章
推荐阅读