保积良
摘要:文章结合我国企业管理现状和实践经验。就一套完整系统的内部控制评价体系应关注的几个问题进行了分析和探讨。
关键词:内部控制;评价;体系
在现代企业治理模式下,董事会等类似权利机构应当承担此项职责,对内部控制的有效性进行全面评价、形成评价结论,从而提高公司治理水平。但是目前大多数企业的内部控制并不是完善的,内部控制的评价体系更是探索阶段,本文拟结合我国企业管理现状和实践经验简要分析一套完整系统的内部控制评价体系应关注的几个问题。
一、评价范围的界定
《内部控制—整合框架》,其中提出内部控制包括5个相互关联的构成要素,即控制环境、风险评估、控制活动、信息与沟通和监控。五要素论优化了内部控制的结构与体系,整合了对内部控制的不同理解,构造了一个共识性的概念平台和框架。2008年5月22日及2010年4月26日财政部、证监会、审计署、银监会、保监会等五部委联合发布的《基本规范》及《配套指引》借鉴了COSO的内部控制五要素框架,并结合中国国情进行了创新,提出内部控制由内部环境、风险评估、控制活动、信息与沟通及内部监督构成。因此,一套完整的内部控制评价体系应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
二、评价指标体系的设计
(一)内部环境评价指标。内部控制环境评价是从企业内部控制建立条件评价企业内部控制。对企业内部环境的评价指标可以从公司治理结构、企业文化、激励制度几方面进行设计。
(二)风险控制评价指标。风险控制评价应改变传统评价模式,重点关注企业发展战略和业务流程中存在的风险,并提出控制风险的建议和方法。由于企业在不同时期的战略目标不同,分解出的关键控制点也会有所不同,应根据具体企业的情况,找准关键控制点、风险点,合理设计风险控制评价指标。
(三)控制活动评价指标。应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度。对各项控制措施的设计和运行情况进行认定和评价。在设计这部分评价指标时尤其要结合实际情况,区分出重大的业务控制环节,恰当设计控制活动的评价指标。
(四)信息与沟通指标。评价企业内部控制信息方面的指标主要有:信息取得充分程度、信息传导顺畅程度、信息处理及时准确程度。评价企业内部控制沟通方面的指标至少应当包括:员工的意见是否得到充分反映、管理者对员工意见的获取和采纳程度。
(五)内部监督指标。在监控控制方面,主要从预算控制和内部审计两方面来评价。预算控制方面的评价指标至少应当包括:是否设立预算委员会、预算是否由股东会或代表股东权益的相应机构批准、总经理对预算修改的权利、预算执行情况、预算考核制度。内部审计方面的评价指标主要有:内部审计机构是否对董事会负责、高管层对内部审计的重视程度、内部审计人员素质。
指标体系应在五项评价内容的基础上细分为“评价内部控制设计有效性”和“评价内部控制执行有效性”的指标两个部分。前者应参照最新的《企业内部控制评价指引》从内部控制的五要素出发,结合被评价企业实际情况来设计指标:后者根据执行力理论从战略、人员和运营三个方面,结合被评价企业实际情况来设计指标。在实际操作时可能还需结合定性和定量的评价方法,才可得出对企业内部控制评价的结果。
三、内部控制评价方法选择
(一)定性的内部控制评价方法选择
定性的内部控制评价方法非常多,包括问卷调查法、穿行测试法、抽样法、比较分析法、流程图法、分析性复核法、引导会议法、详细评价法、风险基础评价法等等很多种方法可供选择。那么在具体选用时,面对不同的评价对象,评价方法是应该有所区别的。如果所选用的方法和所评价的对象不是最佳搭配,那么评价结果一定会适得其反、无法准确地反映内部控制的真实情况,当然也不排除有几种最佳方法可供使用的情况。不论在那种情况下都应注意所评价内容和方法的适用性。可以对一个对象选择一种或几种最适合的方法进行评价,并在评价结束后对其差异进行分析和修正。
结合实际情况对所采用的方法的固有缺陷要有足够的估计,比如采取问卷调查法,那么大量的工作就必须放在前期,研究问卷设计的适用性,研究调查对象的可理解性,还要注意调查过程的相对隔离。如果使用比较分析法,那么大量的工作不应该是机械的计算和套路化的比较,而应当是基础数据的调整和校验。
(二)定量的内部控制评价方法选择
定量的内部控制评价方法也非常多,有层次分析法、模糊综合分析法、经济数量分析法、数据包网络分析法、矩阵分析法、灰色系统综合评价法、人工神经网络法等等很多种方法可供选择,在选用时也要遵循同评价对象相适用的原则和固有缺陷的考虑。
在此要强调的是国内运用不多,但在国外发达国家的内控评价中已经广泛运用并取得良好效果的层次分析法。层次分析法在20世纪70年代中期由美国运筹学家托马斯·塞蒂正式提出。它是一种定性和定量相结合的、系统化、层次化的分析方法。我在实践中运用时往往把控制的管理目的设为第一层,控制效率、控制成本等等因素设为第二层及以下,构筑矩阵,从而得到最利于企业目标的最优控制方案。在实际工作中,层次可以根据被评价企业的具体情况加以划分。
四、评价结论的形成和利用
根据抽查业务的内部控制检查测试的得分情况,可以对各类业务的内部控制执行情况做出定量和定性的评价。也可对全部业务内部控制执行总体情况做出定量和定性的综合评价。
一般来说,凡内部控制检查测试平均得分在95分(含)以上的,且在实际执行中未出现一般性问题或实质性问题,内部控制执行情况可认定为“无疏漏”或者存在“轻微疏漏”,执行情况可评价为好;在85-94分(含)之间,且在实际执行中未出现一般性问题或实质性问题,可认定为存在“一般疏漏”,执行情况可评价为较好;在70-84分(含)之间,且在实际执行中未出现实质性问题,可认定为存在“一般缺陷”,执行情况可评价为一般:在70分以下。不管在实际执行中是否出现一般性问题或实质性问题,可认定为存在“重大缺陷”,执行情况可评价为差。及时检查测试平均得分在70分(含)以上,但在实际执行中发生了一般性问题或实质性问题,则相应认定为存在“一般缺陷”或“重大缺陷”。董事会等类似权利机构应当针对评价结论,对内部控制的薄弱环节和存在的缺陷,采取有力措施加以改进和完善。
五、结语
综上,在全面评价内部控制的基础上,应关注重要业务事项和高风险领域,做到全面性和重要性的统一:在评价过程中,根据实际情况,客观、准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性:在具体情况发生变化时,及时开展内部控制的评价工作,运用科学的方法和完整的指标体系,客观评价内部控制的现状。