基本规范颁布以后,企业内部控制评价终于有了统一的标准。企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。
有效性是企业内部控制评价的一个重要方面,但比较恰当地说法是,企业实施内部控制评价,包括对内部控制健全性、设计合理性(或科学性)和运行有效性的评价。
应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
企业应以基本规范为抓手,根据《企业内部控制基本规范》及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。
企业集团对被评价单位内部控制评价,应当至少涉及下列内容:被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险;被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理;被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理;被评价单位是否开展内部控制自查并上报有关自查报告;被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制;被评价单位在评价期间是否出现过重大风险事故等。这是主要的,但企业内部控制还是要以基本规范为抓手,围绕基本规范所确定的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行评价。
根据中天恒会计师事务所内部控制评价实践,企业内部控制评价应突出以下重点:
在内部环境方面,评价重点为:经营活动的复杂程度;管理权限的集中程度; 管理行为守则的健全性和有效性;管理层对逾越既定控制程序的态度;组织文化的内容及组织成员对此的理解与认同;法人治理结构的健全性和有效性;组织各阶层人员的知识与技能;组织结构和职责划分的合理性;重要岗位人员的权责相称程度及其胜任能力;员工聘用程序及培训制度;员工业绩考核与激励机制。
在风险评估方面,评价重点重点为被评价企业对抗风险的能力和风险管理的具体方法及效果。
在控制活动方面,评价重点为控制活动建立的适当性;控制活动对风险的识别和规避;控制活动对组织目标实现的作用;控制活动执行的有效性。
在信息与沟通方面,评价重点内容:获取财务信息、非财务信息的能力;信息处理的及时性和适当性;信息传递渠道的便捷与畅通;管理信息系统的安全可靠性。
