内部控制工程的评价体系是对内部控制工程各阶段工作执行情况进行评价的标准和方法,是内部控制工程的重要组成元素,贯穿内部控制工程建设和使用的整个生命周期。
3.6.1 内部控制工程评价的分类
现代管理科学中的评价技术是指主体(管理者)对客体(管理对象),以确认的某些标准为度量尺度,采用相应的科学方法来衡量这种管理对象,将所得到的结果与原先预定的目标相比较,从而获得最佳结果的过程①。内部控制工程评价的分类可以从两个角度进行,即按照时序划分和按照主体划分。
(1)按照时序划分。
内部控制工程评价根据生命周期各阶段的目标、特点、参与者的不同分为项目前评价、项目中评价、项目后评价或称项目评价、建设评价和执行评价。
①项目前评价(项目评价)。项目评价通常在系统生命周期的初始立项阶段进行,通常是可行性分析阶段。一般是对拟实施的内部控制系统的先进性、合理性、可行性和风险性进行全面、科学的分析。通过预测、论证和评价,为项目决策者提供项目决策参考,所依据的主要是预测数据,带有强烈的估计色彩,因此常常被称为“项目评估”。通过项目评价来确定是否投入资源建设与使用内部控制系统,各种建设方案的优劣、是否可行等以供决策参考。
②项目中评价(建设评价)。项目中评价也称建设评价,是在项目执行过程中进行,通过对项目状态、进展的衡量、监测和对已完成的工作的评价。
项目中评价所要解决的问题是,确定工程的设计和建设是否合理、适当,是否满足、达到内部控制的要求和目标,是对系统的健全性进行评估测试,贯穿于系统建设的各个阶段,在系统建设完工投入运行时,进行严格和详细的验收评估测试,将测试结果与理想的内部控制模式进行比较,识别出不足与差距,寻找解救性措施进行弥补,这些阶段性及验收性评估结果以及处理的对策和结果一般都要在各阶段的工作记录和系统说明中做准确的记录。
③项目后评价(执行评价)。项目后评价是指在项目已经完成并运行一段时间后,对项目的目的、执行过程、效益、作用和影响进行系统、客观的分析和总结的一种技术经济活动①。
系统执行效果评价即我们通常所说的内部控制评价,所要解决的问题是现行的内部控制是否存在并发挥作用,即对系统的内部控制的有效性进行评估测试。包括日常评估和改进性评估。日常评估通常由审计人员进行,改进型评估是针对环境的变化对系统的是否造成潜在威胁或系统在环境变化的条件下是否会出现漏洞进行评估,一般由审计人员和工程人员协作进行。
执行效果评价的发展至今已有很长的一段历史,一直受到高度重视,是内部控制系统重要的组成环节,国内外都有明确的规定和成熟的操作手法,美国1993年AICPA颁布的一系列鉴证业务准则,包括《鉴证业务准则第2号———财务报告外的内部控制报告》、《鉴证业务准则第3号———符合性鉴证》及其说明书与修改准则,2002年,SEC发布的第33———8138号提案等;我国也逐步加大对内部控制评价的研究,并积极完善内部控制的环境。其主要成果包括:1996年财政部发布《独立审计具体准则第9号———内部控制和审计风险》,要求注册会计师审查内部控制;2000年,深交所发布的《公开发行证券公司信息披露编报规则》第7号和第8号,还分别规定商业银行和证券公司需提供内部控制评价报告;2002年5月1日起执行的《内部控制审核指导意见》指导了注册会计师对与会计报表相关的内部控制的有效性如何进行专项审核并发表意见,《独立审计实务公告———内部控制审核》(征求意见稿)对现行注册会计师对上市公司内部控制评价有一定的指导作用,在一定程度上规范了上市公司内部控制审核。而且,企业内部审计部门从加强企业管理,健全内部控制的角度出发纷纷从内部进行内部控制评价和完善。
(2)按照主体不同划分。
对内部控制系统的审核和评估,根据执行主体、目标、责任的不同,分为由企业的高级管理层、系统维护师、内部审计师进行的系统自我评估和由注册会计师执行的内部控制制度审计两类。在这两类审核和评估中,内部控制工程都能发挥应有的作用,特别是在内部控制工程各个阶段所建立的完备的说明、管理文档,为内部控制审核和评估提供了评价和审计的证据、依据和标准。
①内部控制的自我评估。
内部控制工程的评价体系是内部控制工程的五要素之一,贯穿内部控制工程从立项到废弃的整个生命周期。内部控制自我评估(ContolSelfAppraisal,CSA)是内部控制的一个新趋势,意指每个企业不定期或定期对自己的内部控制系统进行评估,评估内部控制的有效性及实施的效率效果,以便能更好地达成内部控制的目标。在系统的运行阶段,主要由系统维护师、系统审计师主动或依据管理层的要求进行定期或不定期地巡查和评估,以检验和发现系统是否有效执行及执行过程中是否出现漏洞为主要目的而进行的内部控制自我评估。内部控制的自我评估日益受到重视,成为必需履行的强制性义务。《萨班斯法案》第404款规定,管理层需要对财务报告的内部控制进行报告。同时,该条款要求这些公司的审计师对管理层的评估进行认证和报告。
内部控制自我评估的简单来说是公司定期或不定期对自己及所属的子公司的内部控制系统进行评价,评价内部控制的有效性及其实施的效率效果,以期能更好地实现内部控制的目标,普遍的方法是内部审计人员与被评价单位管理人员组成小组,管理人员在内部审计人员的帮助下,常以研讨会的形式进行,对本部门内部控制的恰当性和有效性进行评价,然后根据评价和集体讨论来改进建议出具报告,由管理者实施。CSA通常用结构化的方法进行评估活动,为提高组织内部控制的自我意识做多种努力,设计CSA的目的是使人们了解哪里存有缺陷以及可能引致的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员指出。实践证明,CSA是组织监督和评估内部控制系统的主要工具,它将运行和维持内部控制的主要责任赋予公司管理层,同时使员工和内部审计与管理层一起承担对内部控制评估的责任。这使以往由内部审计对控制的充分性和有效性进行独立验证发展到全新的阶段,即通过设计、规划和运行内部控制自我评估程序,由组织整体对管理控制和治理负责,对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。CSA最早是由加拿大资源公司在20世纪80年代开始运用的内部控制自我评价系统,目前在北美及欧洲得到广泛应用,推动与丰富了内部控制的理论与实践。
在施行内部控制工程管理的系统中,企业在进行内部控制的自我评估过程中,系统的建设者和维护者是评估小组不可或缺的组成部分,他们对系统的了解和建议将是内部审计人员和管理人员在评估系统的安全性、健全性的重要参考,是对系统提出改进建议能否通过并实施的重要审核者。同时,内部控制自我评估的研讨会也是系统维护者了解系统使用者能否正确、充分发挥内部控制功能的重要途径。
②内部控制系统审计。
通过对内部控制系统审计,审计人员可以确定被审计单位内控系统的可信赖程度,有利于从薄弱环节入手,有效地迅速地明确审计重点和方向,克服详查或大量抽查浪费人力和时间的不足,从而提高审计效率和质量,达到深化审计监督的目的。同时有助于完善内控制度。对内控制度审计,可以发现被审计单位内控制度是否完善、合理、有效。审计工作不仅要揭露经济活动中的问题,还要在内控制度中找出产生问题的症结所在,并有针对性地提出改进措施,从而使被审计单位不断完善内控制度,堵塞漏洞,有利于加强管理,提高管理效率,做到防查结合,以防为主,达到抓标治本的目的。
在内部控制系统的运行阶段,对其进行的审核和评估是保障内部控制有效运行的重要手段。对内部控制系统的审核与评估主要有三方面的功能①:
①前导功能:为确定进一步的审计程序提供依据,这是注册会计师进行内部控制审核的原始功能和基本功能,是从详细审计到以审核内部控制为基础的抽样审计转变的基础。
②鉴证功能:为了解公司内部控制提供鉴证。是前导功能的衍生功能,是对内部控制自我评价报告由注册会计师进行的测试和审核。
③咨询功能:为公司改进内部控制提供建议,是前导功能的派生功能,是注册会计师在执行审计业务时对发现的内部控制的缺陷并由此对管理当局出具的有针对性的建议。
管理层对内部控制有效性负责,必须选择适当的控制标准对公司的内部控制有效性进行评价,并获取足够的证据来支持最终的评价结果,同时需要签署一份关于公司内部控制有效性的书面申明。而审计师需要对管理层最终形成的内部控制评价报告意见提供足够恰当的证据。所以管理层应该加强与外部审计师的交流和沟通,例如所确定的重要的内部控制内容及原因;对重要内部控制形成的文件的完整性以及设计的合理性如何;在进行重要控制的执行有效性评价时采取的程序是否科学合理;发现的内部控制缺陷及其重要性如何,采用的改进措施是否有效等。管理层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员内部控制评价工作的一部分,但审计师还需要重复相关的测试工作,并进行执行有效性的独立测试,以保证审计结论的公允。
3.6.2 内部控制工程评价的程序
内部控制工程的评价可以分为六个步骤,即:评价目的的确定、评价范围的划定、评价咨询专家的选择、执行评价、评价报告、评价反馈。
(1)评价目的的确定。
在对内部控制工程进行评价时,首先需要确定评价的目的,不同的评价目的对应着不同的实施主体、评价范围、评价标准。在确定评价的目标时,首先要弄清评价的类别,即是项目评价、建设评价还是执行评价。然后确定评价的具体目标、阶段性目标和局部目标。
(2)评价范围的划定。
根据目标、需要和实际情况,确定评价人物的内容、深度、时间、费用和抽样条件,以科学合理地安排资源。根据具体目标选定已有的评价标准体系,如技术、成本、质量、效率等,为客观公正的评价结果做相应的准备。
(3)评价咨询专家的选择。
在不同的评价中,评价主体的组成也不同,项目评价的主体一般是由企业的决策层、建设者构成;建设评价主要由建设者、评审专家、管理者构成;执行评价主要由内部审计者、管理者、独立第三方组成。在每个评价组中,都要尽可能地聘请和组织独立客观的专家组,他们可以是建设者与使用者的同行、注册会计师、未参与被评价系统建设与操作的人员等。
(4)执行评价。
评价的执行完成三方面的工作。首先收集资料信息,包括系统的各项资料(如执行评价中需要可行性研究报告、竣工验收报告、设计方案等);其次进行现场调查,了解系统的基本情况,目标实现程度,产生的直接影响和间接影响等;最后作分析和结论。在收集资料和现场调查后进行全面认真的分析,得出结论性的答案,如系统的成功度、项目的投入产出比、成败原因、经验教训、风险大小、更新的成本等等。在执行评价时可采用的方法有:统计预测法、对比分析法、逻辑框架法、效益分析法等。
(5)评价报告。
汇总评价结果,真实反映情况、客观分析问题、认真总结经验。评价报告应包括的内容有:摘要、评价概况、评价内容、主要问题、原因分析、经验教训、结论和建议、评价方法的选择和说明等。评价报告应重点分析如下内容:
评价客体的现状、存在问题及趋势分析。
同行、同类比较(包括建设者、使用者能力、内部控制系统本身的比较等)。
改进建议。
(6)评价反馈。
反馈机制是评价体系的重要组成环节,是一个表达与传递评价结果的动态过程。反馈过程有两个要素:一是评价信息的报告和扩散,包含了评价者的工作责任。评价的结果和问题应反馈到决策、规划、立项、监督等机构和部门;二是应用评价结果及经验教训,以改进和调整内部控制系统的方案设计、建设进程和使用,这是反馈最重要的目的,在反馈程序里,内部控制的评价者与内部控制的建设者、使用者通过评价结果紧密地联系起来。
