韋祖彬 汪子林 費韞婷 趙承康

摘 要：內(nèi)部控制是近年來國內(nèi)外理論與實務界一直研究的課題，理論界直到以COSO委員會發(fā)布的內(nèi)部控制整體框架階段，方形成一個較為完整的體系。在實務界，由于以“安然破產(chǎn)”為代表的控制失效事件頻發(fā)，企業(yè)實務界和政府監(jiān)管部門也加大了對內(nèi)部控制的重視，以美國政府部門頒布的薩班斯法案為代表的一系列監(jiān)管制度出臺，逐步加強了對內(nèi)部控制審計與評價的力度。在我國，國家層面雖然已經(jīng)頒布了一整套的規(guī)范與指引，但我們看到在具體操作層面始終沒有建立起類似作業(yè)指導書的文件。筆者在多年實踐基礎上，探索并構(gòu)建了一套操作性的內(nèi)部控制評價體系。

關(guān)鍵詞：內(nèi)部控制;內(nèi)部控制評價體系

1 內(nèi)部控制評價體系建設背景

內(nèi)部控制理論與實踐歷史源遠流長，內(nèi)部控制較為完善且得到理論界和實務界公認的代表理論當屬COSO于1992年發(fā)布的《內(nèi)部控制整合框架》，而把內(nèi)部控制真正提到法律高度的是美國國會和政府通過的《薩班斯法案》，不難發(fā)現(xiàn)美國人在經(jīng)歷了“慘痛教訓”之后，對內(nèi)部控制的重視不言而喻。在中國，國家層面2008年印發(fā)了《企業(yè)內(nèi)部控制基本規(guī)范》，并于2010年印發(fā)了企業(yè)內(nèi)部控制配套指引。

近年來，我們在審計中發(fā)現(xiàn)，由于內(nèi)部控制缺失或失效而產(chǎn)生的問題非常之多，有些地方甚至存在重大控制缺陷，如無規(guī)范的審批控制制度，隨意對外提供擔保、出借資金產(chǎn)生損失;廢舊物資源頭控制缺失，回收率低，處置程序缺乏監(jiān)督;不相容職務未分離，預算控制剛性較差;計劃體系不完善，計劃執(zhí)行偏差大。

為解決此類問題，我們曾在2005年至2008年間建設了一套內(nèi)部控制評價體系并進行廣泛應用，效果非常顯著。但自2008年公司上線SAP管理系統(tǒng)后，原先的內(nèi)部控制環(huán)境及公司業(yè)務所依存的載體、業(yè)務流程、業(yè)務風險點均發(fā)生了變化，因此，我們于2011年啟動了信息化環(huán)境下內(nèi)部控制評價體系的建設研究。

2 信息化環(huán)境下內(nèi)部控制評價體系的內(nèi)涵

信息化環(huán)境下的內(nèi)部控制評價體系是一個對內(nèi)部控制系統(tǒng)健全性和有效性進行科學、系統(tǒng)和綜合評價的專用工具。該體系是基于COSO內(nèi)部控制整合框架理論、國家五部委發(fā)布的《內(nèi)部控制基本規(guī)范》和配套指引而建設，體系結(jié)合了我公司的業(yè)務特點，充分研究了SAP系統(tǒng)的特征，剖析了主要業(yè)務在系統(tǒng)內(nèi)、外的運行狀況。該體系本質(zhì)是一個評價工具，目前已經(jīng)建成的是基于SAP系統(tǒng)環(huán)境下的內(nèi)部控制評價體系，該體系五個部分的核心是控制活動評價，也是評價體系的主體，其評價包括兩部分內(nèi)容，一是控制分析，二是控制評價。體系的主要構(gòu)成內(nèi)容如圖所示：

控制分析以剖析業(yè)務模塊的流程、環(huán)節(jié)乃至風險點為主線，得出風險點的控制內(nèi)容作為評價的基礎?？刂圃u價則以測試內(nèi)容為目標，針對測試對象的不同類型，運用觀察、詢問、審查、重做等不同的測試方法進行內(nèi)部控制測試，并對測試結(jié)果進行定性和定量打分，形成對風險點、流程、模塊乃至系統(tǒng)、目標的整體內(nèi)控評價，并最終形成內(nèi)控系統(tǒng)自我評價、自我完善的循環(huán)。

3 信息化環(huán)境下內(nèi)部控制評價體系的具體做法

3.1 控制分析

控制分析是制定標準體系的過程，既要分析業(yè)務的風險點所在，也要給評價者一個標準控制措施的參照物?？刂拼胧┑闹贫ɑ咀裱瓘拿娴近c的設計思想，層層分解，不斷細化，即：模塊到流程到環(huán)節(jié)到風險點的過程。

3.1.1 模塊選擇

經(jīng)過調(diào)研及參照《內(nèi)部控制基本規(guī)范》及指引，我們選擇SAP系統(tǒng)中的財務管理、物資管理、資產(chǎn)管理、項目管理四個模塊作為評價對象，從范圍上基本上可以履蓋企業(yè)管理的重點領(lǐng)域和重點環(huán)節(jié)。

3.1.2 環(huán)節(jié)分析

環(huán)節(jié)分析是將模塊按照便于評價的需要和經(jīng)營業(yè)務本身的特點進行細化的結(jié)果，根據(jù)各自的特征，各模塊的分解方法不同、環(huán)節(jié)也不相同。

3.1.3 流程描述

流程描述是將管理模塊中的所有環(huán)節(jié)之間的關(guān)系及先后順序等繪制在圖上，流程描述的主要作用是讓評價者通過看圖可以對管理環(huán)節(jié)一目了然，便于在評價時做到準確定位。

3.1.4 風險點確定

在公司管理制度基礎上、結(jié)合《內(nèi)部控制基本規(guī)范》及指引確定各模塊風險點，確定風險點后我們對每一風險點的特征及控制措施又作了進一步說明?？刂品治霰砣缦拢?/p>

[模塊＼&流程＼&環(huán)節(jié)＼&風險點＼&控制措施＼&目標關(guān)聯(lián)＼&控制屬性＼&控制載體＼&財

務

模

塊＼&貨

幣

資

金＼&崗位設置＼&崗位分工＼&建立崗位分工制度，制度規(guī)定崗位職責，崗位資格等＼&合規(guī)＼&線外＼&崗位制度＼&不相容職務＼&是否在崗位設置時確保辦理貨幣資金業(yè)務不相容崗位的相互分離（重點是錢賬分離、審核支付記帳分離、銀行帳戶印鑒管理以及貨幣資金票據(jù)管理分離等），相關(guān)業(yè)務人員實現(xiàn)內(nèi)部制約、監(jiān)督機制＼&營運＼&線內(nèi)＼&票據(jù)及銀行印鑒章保管制度＼&定期輪崗＼&建立輪崗制度，崗位定期輪換＼&營運＼&線外＼&財務人員輪崗制度＼&資金收入＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&資金支出＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&]

3.2 控制評價

運用本體系進行內(nèi)控評價的程序如下圖所示：

3.2.1 明確評價類型

內(nèi)部控制評價主要分為兩大類：一類是審前內(nèi)部控制評價，另一類是專題內(nèi)控評價。

3.2.2 制訂評價方案

評價方案主要內(nèi)容包括：明確評價目標及對象;選定評價人員及明確人員分工;確定評價業(yè)務模塊;結(jié)合實際進行分值與權(quán)重設計。

3.2.3 控制調(diào)查

該環(huán)節(jié)將通過問卷調(diào)查的方式對內(nèi)部控制狀況進行初步了解，這是后續(xù)確定評價重點的基礎?？刂普{(diào)查借助調(diào)查問卷的形式開展，調(diào)查問卷針對被評價對象的關(guān)鍵業(yè)務流程、各業(yè)務模塊內(nèi)部控制現(xiàn)狀、相關(guān)制度建立及執(zhí)行情況、內(nèi)控過程中存在哪些缺失或不足等內(nèi)容進行編制。

3.2.4 符合性測試

符合性測試階段的關(guān)鍵是樣本規(guī)模和樣本范圍的確定，樣本可以是某一制度或文件，也可以是具體的基建項目等等。樣本規(guī)?？梢圆捎媒y(tǒng)計抽樣的方法確定，也可以采用判斷抽樣，我們在實踐中根據(jù)評價類型的不同而采用了不同的抽樣方法，如屬于審前調(diào)查時則采用判斷抽樣方法，對于獨立評價時，我們采用統(tǒng)計抽樣與判斷抽樣相結(jié)合的方法。當總體的差異性較大時，采用分層抽樣，如財務類樣本因其周期性較明顯，抽樣時可以按月份進行劃分，將年初、年末作為重點實施抽樣。

測試結(jié)果同時運用定量和定性評價方式，一般來說，定量評價可以用“符合率”指標反映，即抽取的樣本量中符合規(guī)定的比率，定性評價則主要針對被評價單位制度建立健全及執(zhí)行情況、重大經(jīng)營決策事項或只有一個樣本的情況進行。

3.2.5 評分及評價

①風險點評分

對于定量部分，取滿分與符合率的乘積作為測試得分;定性部分，根據(jù)設置的分數(shù)檔次確定測試得分。風險點中有點分項內(nèi)容的，則各分項內(nèi)容得分之和便是該風險點的測試得分。

②模塊的評分

評分中有兩類權(quán)重，一是風險點權(quán)重，二是模塊權(quán)重。在業(yè)務模塊中需要設置風險點權(quán)重，風險點得分與權(quán)重乘積得到權(quán)重分，模塊中各風險點的權(quán)重分之和便是模塊的測試得分。

風險點權(quán)重確定的關(guān)鍵是模塊中各風險點重要性程度。通常依據(jù)模塊業(yè)務性質(zhì)和失控風險概率來確定。在具體評價中，如果不存在對某個環(huán)節(jié)或者風險點的評價，可將該風險點的權(quán)重設置為0，同時調(diào)整其他風險點權(quán)重，使得整個業(yè)務模塊的權(quán)重合計為1。

③綜合評價

綜合評價需要確定各模塊權(quán)重比例，模塊的權(quán)重取決于模塊的重要性程度。以下是我們設置的綜合權(quán)重表（表1）：

為準確形象反應內(nèi)部控制評價的結(jié)果，我們設定了如下的確控制評價區(qū)間（表2）：

④目標評分

在計算風險點和模塊評價得分的同時，計算與風險點相關(guān)聯(lián)的控制目標得分，目標得分的計算不考慮任何權(quán)重，主要是由于一個風險點可能與多個控制目標相關(guān)聯(lián)，因此我們只是通過計算目標得分后進行粗略計算，比較分析內(nèi)部控制評價的結(jié)果對三大控制目標的影響程度，以便于給管理層提供內(nèi)部控制改善的總體方向性的建議。

⑤評價結(jié)果及反饋

評價結(jié)果分兩類，一是評價報告，評價報告描述評價過程、內(nèi)部控制現(xiàn)狀、控制薄弱及風險點。二是風險報表，風險報表重點對風險進行匯總列示，風險報表簡明扼要，結(jié)果一目了然。

4 信息化環(huán)境下內(nèi)部控制評價體系的應用效果

信息化環(huán)境下內(nèi)部控制評價體系于2012年建成后，在公司系統(tǒng)得到廣泛應用，主要成交如下：

4.1 節(jié)約審計資源、節(jié)約審計成本

在審計項目符合性測試中運用該評價模塊，可以迅速確定重點，減少實質(zhì)性測試的時間。經(jīng)初步測算，至少可以節(jié)約實質(zhì)性測試三分之一的時間。目前省公司大部分項目，所屬單位的大部分項目在審前調(diào)查中都使用該體系進行了測試，效果明顯。

4.2 量化風險、降低風險

通過對控制環(huán)節(jié)的評估可以客觀地評價各控制環(huán)節(jié)的風險大小，通過提供合理化建議可以不斷完善內(nèi)部控制，達到降低風險乃至消除風險，為企業(yè)健康經(jīng)營保駕護航。

4.3 提供建議、堵塞漏洞

在測試運用和使用有反饋統(tǒng)計，全省截止目前共提供建議和意見542條，完善內(nèi)部控制重大缺陷和堵塞漏洞108個。

4.4 梳理流程， 完善控制

相關(guān)業(yè)務部門通過用評價標準與實際流程的對比，可以發(fā)現(xiàn)實際流程中的不合理和不完善地方。通過借鑒評價標準中標準流程可以對現(xiàn)有流程進行修改完善，達到梳理的目的。