国美京华城
内部控制自我评价
怎样写内控 自我评价 ?
一般情况下,根据自我评价报告内容和内控体系实际建设情况,外部审计机构对于企业的内部控制体系会出具三种意见的某一种:
达到内控要求:同意评价报告意见;
有重大缺陷:否定意见;
有范围限制:撤消业务约定,或无法表示意见。
上述意见并非仅凭借企业出具的自我评价报告,还需要依据:
内部控制文档(内控管理手册+管理 制度 汇编目录);
内控控制程序相关审计结果(如果有);
内控控制程序测试结果;
实质性业务活动过程文件;
企业内部评估自查结果(如果有)。
问询会是一种方式,但不作为审计底稿的依据。因此,一份内控自我评价报告的意义确实没有多大,虽然是自我评估的表达,但能否让外部审计机构接受,他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件,外部审计机构很难出具第一种意见,如果真出具了,对于广大的中小投资者也是很不负责任的行为。
如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施,那在撰写内控自我评价报告的时候可以有所侧重。常规意义上,一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调):
内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述);
内部控制有效性评估(包括经营环境控制情况评述,重点内部控制活动和重点业务活动内部控制情况描述,问题及整改计划以及综合评价)
内容不复杂,主要是针对报告期间(一般是)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业,在撰写自我评价报告前,会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时,对于集团型企业来说还是检查和评价各分支机构内控执行情况,并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险,是否进行了重大调整,对于调整部分内部控制是如何做的。对于业务活动部分,除了结合企业内部控制应用规范中要求逐一检查的内容外,主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样,内控的意义是防止出现重大管理问题,督促企业进行规范运作,如果报告期间内企业已经出现了重大问题,内控评价报告怎样写都无法得到外审出具的第一种意见。
正如,重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段,不重视的企业,会将内控做成只有一纸文书的应付差事。即使企业什么都没做,写出内控自我评价报告也是完全可能的,毕竟没有企业是没有任何规章制度规范,在完全失控的状态去管理的。
公司内部控制自我评价
在以企业为纽带的博弈各方中,内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息,使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》,本文主要对沪市862家通过指定报纸和网站披露了2007年年度报告的上市公司其内部控制自我评价情况进行统计,分析内部控制自我评价产生的效果和存在的问题,并提出针对性建议。本文分为四个部分:第一部分阐述评价依据,第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析,分析内控自我评价的效果及存在的问题,最后一部分提出相应建议。
一、评价依据
内部控制自我评价是由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台,但无论是财政部2001年颁布的《内部会计控制基本规范》,还是上海证券交易所的《上市公司内部控制指引》,遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此,披露内部控制自我评价报告的公司,大都将财政部的《内部会计控制基本规范》,或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。
二、数据分析
对包括投资者在内的企业外界各利益相关者而言,披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力,增强投资者信心的措施;对企业管理层而言,内部控制自我评价过程,能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度,不断消除内部控制缺陷,增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。
按照《内部会计控制基本规范》和《上市公司内部控制指引》,一个内部控制系统有效运行的企业,至少要做到企业经营中严格执行国家的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险,从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的'五个目标提供合理保证,但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此,我们将上市公司未受到证监会的处罚和交易所的谴责、对外发布的财务报表未出现会计差错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。
三、存在的问题
根据我们对沪市862家上市公司2007年年报中内部控制信息披露状况的统计分析,可以发现,自愿披露内部控制自我评估报告的公司虽然比2006年有所提高,但占比仍然比较低,上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比,我们发现,两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明,就以上三个内部控制目标而言,披露自我评估报告的公司其内部控制有效性更强。
怀疑本身
步骤/方法
审计准备阶段
1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助,以保证在需要时,进行适当的监督。
2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括:审计师决定应当对哪些控制实施测试,包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下,实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足,来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。
3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息,包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制,包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。
4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。
5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。
6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。
7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分,审计师应当评估:公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如,标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。
审计实施阶段
1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程,以及对每个被审计的重要流程所进行的控制,包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据:确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解,包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解,并且根据每个相关的财务报表认定,判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。
2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后,审计师应当对如下进行评估以识别出可以进行测试的控制:发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标,是否需要一个以上的控制,或者为实现某一特定目标,补入一个以上的控制是必要的;以及控制不能有效实施的风险。
3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时,内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制:识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制,是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。
4.形成关于内部控制是否有效的'意见。在对内部控制发表意见时,审计师应当对获得的所有证据进行评估并发表意见,只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下,审计师才可以发表无保留意见。如果存在实质性漏洞,审计师应当对财务报告的内部控制发表否定意见,如果工作范围受到限制,审计师应当发表保留意见或无法表示意见,视受限制的范围所定。
5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷,并且决定这些缺陷单独或累加之后,是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面:某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。
审计报告形成阶段
1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告,审计师应当评估下列事件:管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时,管理层内部控制有效性的评估,是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。
2.报告的修订。如果存在以下任何一种情况,审计师就应当修订标准报告:管理层的评估是不充分的,或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告,审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来,发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。
3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时,管理层就有责任来确定和审计师就应当评估:变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。
优质审计师问答知识库
