摘要:
内部控制评价的五维度法
内部控制评价是企业对内部控制体系定期进行体检、发现和纠正问题的重要手段。为确保企业内部控制评价的有效性,找出企业管理短板,提出有针对性的管理建议,使得内部控制评价报告能够满足企业管理层和有关监管机构的要求,笔者基于工作经验提炼总结出内部控制评价的五维度法。
维度一:内部控制手册
通常,内部控制手册的核心内容是风险控制矩阵,即针对识别出的风险点制定具体的控制措施。为便于内部控制评价人员使用,控制措施的描述一般要求遵循5W+1H(即对选定的流程,都要从原因<何因讨卜丫>、对象(何事What>、地点<何地讨卜©例>、时间(何时When>、人员<何人Who>、方法(何法How>六个方面提出问题进行思考)的原则,为统一和提高内部控制评价质量,部分企业还会在内部控制手册的基础上制定内部控制评价手册,即以风险控制矩阵为基础,增加关键控制点的抽样样本要求、评价步骤、评价记录等内容,便于评价人员开展内部控制评价工作。
内部控制手册及内部控制评价手册的使用对评价人员来说是最简单也最能满足内部控制评价全面性原则的要求,但缺点也比较明显:一是部分企业内部控制手册仅满足合规性要求,缺...
内部控制评价的五维度法
内部控制评价是企业对内部控制体系定期进行体检、发现和纠正问题的重要手段。为确保企业内部控制评价的有效性,找出企业管理短板,提出有针对性的管理建议,使得内部控制评价报告能够满足企业管理层和有关监管机构的要求,笔者基于工作经验提炼总结出内部控制评价的五维度法。
维度一:内部控制手册
通常,内部控制手册的核心内容是风险控制矩阵,即针对识别出的风险点制定具体的控制措施。为便于内部控制评价人员使用,控制措施的描述一般要求遵循5W+1H(即对选定的流程,都要从原因<何因讨卜丫>、对象(何事What>、地点<何地讨卜©例>、时间(何时When>、人员<何人Who>、方法(何法How>六个方面提出问题进行思考)的原则,为统一和提高内部控制评价质量,部分企业还会在内部控制手册的基础上制定内部控制评价手册,即以风险控制矩阵为基础,增加关键控制点的抽样样本要求、评价步骤、评价记录等内容,便于评价人员开展内部控制评价工作。
内部控制手册及内部控制评价手册的使用对评价人员来说是最简单也最能满足内部控制评价全面性原则的要求,但缺点也比较明显:一是部分企业内部控制手册仅满足合规性要求,缺乏个性化内容,存在内部控制和管理“两张皮”的问题;二是内部控制手册和评价手册未能根据业务发展及时更新关键控制点和评价步骤;三是围绕 5W+1H的评价工作,其评价重点是不相容岗位职责是否分离、资产接触有无限制、是否经过适当审核审批等控制措施,只能覆盖操作层面风险,很难发现战略和战术层面的管理机制问题,特别是时间长了之后,评价人员对评价底稿很难做到知其所以然,只能机械地进行清单式检查。
维度二:管理制度
实务中,部分企业没有做过专门的内部控制建设项目,或其内部控制建设项目成果并不包括专门的内部控制手册。针对这部分企业,通常的做法是需要对其现有管理制度进行审阅,通过对标内部控制规范体系和行业经验,对其管理制度进行内部控制设计有效性的初步评价,提炼关键控制点形成评价底稿,并结合后续的抽样检查进一步对其内部控制设计和内部控制执行有效性进行检查。这种评价维度的优点简便易行且能满足内部控制评价全面性原则的要求,但缺点也显而易见:一是如果评价人员经验不足,面对大量的制度文件可能无法在短时间内完成关键控制点的识别和提炼工作,造成过度评价或评价不足,降低评价工作的效率;二是与内部控制手册维度类似,管理制度维度也容易让评价人员陷入操作层面控制风险的检查,而忽略对企业真正业务风险
谢力李倩茹宣晗倩 ■
的诊断和评价;三是如果企业自身管理制度内容不全面或未根据业务发展及时进行更新,也很容易陷入形式上的评价,而无法关注企业真实的业务风险。
维度三:风险事件库
风险事件库维度就是通过建立风险事件库,汇集企业内、外部的各类风险事件,以此作为内部控制评价的重点。风险事件的常见来源包括监管文件、国有企业巡视巡察报告、首次公开募股(正。)审核意见、新闻和自媒体报道、风险事件案例、企业内外部审计报告、上年度缺陷汇总表等。
风险事件库评价维度较好地体现了内部控制评价的重要性原则,在制定内部控制评价计划阶段,可通过风险事件库快速确定内部控制评价的重点业务范围和高风险领域,并通过制定相应的评价程序提高评价的针对性。比如,针对违规投资风险的评价程序,检查内容包括:被投资单位的基本情况信息,分析投资项目是否属于被评价单位主业范围等;可行性研究报告与投资方案是否存在未做充分尽职调查或可行性分析的问题,投资方案是否按照可行性研究报告进行编制;投资协议内容是否与项目最终批复文件一致;经批准的项目,项目实施条件是否已成熟并能够得到较好的落实等。
实务中,风险事件库中汇集的风险事件通常会涉及企业战略和战术管理层面,其预设的评价程序也跳出了基于内部控制手册检查时通常关注的岗位职责分离、审核审批等操作层面的程序检查,而更关注企业是否建立了某些管理机制等。风险事件库维度的缺点是因其基于面向过去的特性,事件库中的案例通常是过去经验教训的总结,具有滞后性,无法及时发现各种新出现的重大风险因素。
维度四:数据分析
数据分析维度处于内部控制评价项目的计划阶段,即对企业 3〜5年的财务和核心业务数据进行各种结构、比率、趋势和明细等
的分析。当发现财务或业务指标存在异常时(如各年度间波动幅度较大、趋势向坏等)就要进行初步的原因分析和探讨,确定业务流程中可能存在的问题,制定现场评价的具体程序,以明确现场评价工作的重点,提高现场评价工作效率。比如,在对某上市公司进行内部控制评价中,通过对其前期财务指标分析发现,该公司应收账款余额增长率大于收入的增长,同时应收账款账龄逐年提高。因此,项目组将应收账款管理作为现场评价阶段的重点,评价中发现该企业应收账款管理还存在年末集中回款、逾期金额和坏账风险较大等问题。项目组进一步分析发现,造成这种局面的根本原因在于绩效考核指标设定存在问题,导致业务人员的工作行为产生了偏差。
数据分析体现了内部控制评价风险导向和结果导向的原则,从财务和业务结果倒推可能存在的流程问题,且通常都能倒推排查出比较重大的管理机制问题。而且通过数据分析发现问题后,可较好地量化问题的影响,更能得到管理层的重视。但结果导向原则也给数据分析维度带来比较大的
表 1
缺陷甚至导致其失效,这个时候就需要引入企业价值链维度进一步提高内部控制评价的效果。
维度五:企业价值链
企业价值链维度是一种目标导向的风险评估方式,在开展内部控制评价工作前需要完成几项重要的工作:
一是评价人员需要仔细研读企业的战略规划文件,了解企业的业务模式和战略目标。实务中,部分企业的战略规划目标制定比较模糊和笼统,评价人员可通过与管理层进行沟通来了解企业的战略目标,并进行必要的细化和分解。
二是评价人员需要结合企业战略目标和业务模式进行行业研究,形成最佳业务实践的价值链地图及标杆流程框架,即研究企业为达成战略目标需要做好哪些具体工作。
三是通过审阅企业现有管理制度和内部控制手册,梳理出企业现有流程框架,并与标杆流程框架进行比对,识别企业现有业务流程的缺失环节,并评估其对企业战略目标实现的风险和影响等。实务中,还可审阅部门职责说明书,对照企业现有流程框架分析是否有部分部门职责尚未得到有效落实,并有针对性地评估其风险和影响。企业价值链维度分析与其他维度相比最大的特点就是采用了自上而下的方式,围绕企业的战略目标进行风险识别和评估,能快速了解企业重要业务领域,并进行有针对性的评价。比如,在某国有企业内部控制评价项目中,项目组在对企业近 5年的财务报表及明细数据进行分析后,发现企业各项指标都达标且处于持续改善中。但当项目组在审阅了企业的“十三五”规划后,发现企业的经营模式与“十三五”规划差异极大。根据其“十三五”战略规划,其战略定位是发展成为一家特色连锁经营企业,但其实际业务本质是“二房东”,即通过低价租入商铺打造成门店,再将门店柜台转租给入驻的商户。由于企业没有为商户提供任何的增值服务,导致企业对商户的吸引力不大,无法形成良性循环。基于此,在内部控制评价报告中,项目组建议:增加门店流量管理流程,通过提升门店流量提高竞争力;增加商户增值服务流程,通过营业数据分析发现商户经营中存在的问题,并提出改善建议;增加品类管理流程,围绕绩效开展品类管理,淘汰低价值品类商品,引入高价值品类商品等。
综上所述,内部控制评价的五个维度各有其优劣,其具体特点见表 1。在执行具体的内部控制评价项目时,唯有根据评价项目的目标和可供投入的资源,综合运用五维度法,才能得到最大的投入产出比。 B
(作者单位:天职国际会计师事务所<特殊普通合伙>)