风险导向内部控制评审的具体运用——广东省机场集团风险导向内控评审实践,本文主要内容关键词为:导向论文,风险论文,广东省论文,内部控制论文,内控论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2009年,我们通过对单位业务性质、流程管理、内控环境及风险机制等方面全方位的分析考量,确定对广州白云机场铂尔曼酒店等单位开展内控评审。在实践中摸索出了风险导向内部审计的范围、方法、内容、步骤等。现将具体经验与大家交流,以期不断完善。
一、确定评审范围的具体方法和步骤
以确定财务管理测评范围为例,谈谈具体方法和步骤:第一步,确定重要性水平。以合并财务数据为准,选择几个关键的财务指标及一定比例作为重要性水平的标准,一般可选择总资产、净资产、主营业务收入、税后利润等;“一定比例”并没有一个确定的数字,一般选择可能性较高的是税前净利润的5%~10%,资产总额的0.5%~1%,净资产的1%;第二步,根据重要性水平,选择单独重要的单位,超过重要性水平的,将其确定为单独重要的单位;第三步,考虑定性因素,确定单独重要的单位。有个别单位存在特殊性,如产生错报和舞弊发生的可能性更大、涉及交易更复杂等,这些单位虽然在定量方面不超过重要性水平,但从定性来看会有重大影响,应该纳入测试范围;第四步,考虑覆盖率,确定重要单位。对于风险较低的单位,可以考虑将其公司层面控制纳入工作范围,具体来说可以利用重要财务指标覆盖率来决定,如净资产等;第五步,确定重要的会计报表科目和披露事项。如果资产负债表中科目余额或利润表中的发生额大于重要性水平,该科目应确认为重要报表科目;第六步,利用覆盖率,确定需要纳入范围的具体业务流程。对选定的重要会计科目或披露事项设定另一类覆盖率,然后计算上述各步骤中,已经确定纳入工作范围单位的重要会计科目或披露事项的合计数,是否达到覆盖率要求;第七步,最后的定性考虑。一般考虑的因素包括但不限于以下项目:容易造成财务报表和舞弊的高风险交易。
二、风险导向内部控制测试(评分)的主要方法
1、风险坐标图法。风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度,作为两个维度绘制在同一个平面上(即绘制成直角坐标系)。对风险发生可能性的高低、风险对目标影响程度的评估有定性、定量等方法,见下表。
2、风险热力图法。这种方法通过区别“一般”、“中等”、“重要”等级的风险,从而评估出风险的重要性水平,企业可以有重点地投入资源加以应对和控制。
三、风险导向内部控制测试的主要内容
1、预算管理。具体包括职责分工、权限范围和审批程序是否明确规范,机构设置和人员配备是否科学合理;预算编制、执行、调整、分析考核的控制流程是否清晰严密;对预算编制、调整、执行结果的分析考核等是否有明确的规定等。
2、合同管理。包括是否实行分级授权,归口管理;签约主体资格及合同协议订立的程序、形式、内容等是否合法合规;合同协议履行、变更或解除是否得到有效监控;合同协议违约风险是否及时识别和有效处理。
3、采购业务。包括职责分工、权限范围和审批程序是否明确规范;机构设置和人员配备是否科学合理;请购事项是否明确,请购依据是否充分适当;采购行为是否合法合规,采购与验收流程及有关控制措施是否明确规范。
4、销售业务。包括职责分工、权限范围和审批程序是否明确规范,机构设置和人员配备是否科学合理;销售政策和信用管理是否科学合理,销售渠道或控制流程是否规范严密。应收账款是否有效管理,及时催收;往来款项是否定期核对。销售的确认、计量和报告是否符合国家统一的会计准则制度和规范。
5、资金活动。包括职责分工、权限范围和授权审批程序是否明确规范,机构设置和人员配备是否科学合理;重大筹资方案是否经过科学论证和严格审批,筹资行为是否合法合规;投资方案是否符合企业规划,投资的论证、实施过程是否得到全面监控,投资的效益情况是否定期报告。
6、资产管理。包括职责分工、权限范围和审批程序是否明确规范,机构设置和人员配备是否科学合理;资产取得依据是否充分适当,决策过程是否科学规范;资产取得、验收、使用、维护、处置和转移等环节的控制流程是否清晰严密;资产的确认、计量和报告是否符合国家统一的会计准则制度的规定。
7、银行业务。对于信贷业务,是否制订并落实明确统一的授信管理制度、客户信用评级制度、贷款分级管理制度,明确信用审批权限,加强贷前、贷中、贷后各环节的审查,并对抵押物进行定期评估,积极催收逾期贷款,妥善处理不良资产。
8、财务报告。包括采用的会计政策和会计估计等是否经过审批,符合国家相关的规定;会计记录、报表及应披露信息的汇总、合并过程是否符合规定,并经过审核;财务报告对外披露的程序和方式是否符合国家相关法律法规的规定。
9、信息系统。包括是否加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的授权制度执行和控制;是否保证信息系统安全稳定运行等。
四、风险导向内部控制测试的主要步骤
1、内控调查访问。走访公司总部、分子公司,并与其管理层及部门主管面谈,以了解企业目标、营运模式、经营环境及企业风险等。对于流程层面的基本情况,也是在访谈过程中需要了解的,包括:根据企业的目标、运作模式、经营环境及风险,列出各个业务的主要业务流程;根据风险发生对公司财务报告的影响及严重性,分析其业务流程;识别各业务单位的关键业务流程。
2、风险识别。风险识别的方法有很多,如经验反馈法、现场调查法、列表检查法、流程图法等。在这里简要介绍以下方法:
2.1 财务状况分析法。这是一种特殊的列表检查法,主要是通过对资产负债表、利润表等财务报表的分析来识别风险。根据资产负债表的主要项目很容易找出各部分面临的主要风险,如存款项目要注意防范银行存款被挪用、盗用的风险,资产项目应主要注意自然灾害和人为事故造成的损失,建筑物及设备有贬值的风险,应收账款有形成呆账的风险等。
2.2 流程图法,主要是通过对企业管理流程和业务流程等的梳理,按生产经营过程的内在逻辑联系做出作业流程图,然后对流程的每个环节、每个岗位可能存在的风险事件进行识别,并针对其中的关键步骤或薄弱环节进行重点调查和分析,进而识别流程中的风险。
3、内控测试,这是内控评审的最主要内容和关键环节
3.1 设计的有效性测试
该流程中最重要的环节是执行现场测试。设计有效性和执行有效性测试的要求和步骤有所不同,项目组开展设计有效性测试时,一般应执行的程序包括但不限于如下步骤:(1)根据访谈和流程描述确定各个业务流程;(2)对每个业务流程选取一笔业务;(3)就该笔业务,确定其在流程的各个环节中所涉及的整套文档;(4)就确定的整套文档向被测试公司索要复印件;(5)核对原件与复印件;(6)检查原件是否存在;(7)检查原件上是否有流程描述所指出的相关人员的签字或其他痕迹;(8)根据检查结果判断内部控制是否存在和执行;(9)将收集的复印件按照统一的编号规则在右上角编号后存档。
3.2 执行的有效性测试
一般的测试步骤如下:(1)测试人员仔细分析研究被测试单元的实际情况和控制活动的设计特点,并修改相关工作底稿内容,确保测试方法、抽样方法和测试步骤能有效检查各控制点实际执行情况;(2)测试人员在测试年度内抽取样本进行测试,并详细记录测试结果;(3)测试人员应要求控制点负责人对运行有效性测试的结果进行签字确认;(4)测试人员需要按计划进度及时将测试工作底稿提交相关人员进行审阅,确保测试工作已按计划表全部完成;(5)若测试过程中发现任何问题,测试人员必须及时与被测试单位的负责人进行沟通并记录;(6)及时跟踪反馈情况;(7)所有工作底稿和复印的文件、单据应进行统一的按顺序编号,最后汇总归档。
4、内控评估
4.1 公司层面。评估阶段主要的工作内容是评估内部控制设计的有效性和健全性,即按照既定的框架,了解企业内部控制的现状,并与监管部门颁布的标准进行对比,检查出内部控制设计方面的缺陷,找到改善的办法,编制出一套具有适用于全企业集团的、有推广意义的内部控制标准模版。在评估阶段,值得重视的一个工作是为推广阶段储备内控及评审人才。
4.2 流程层面。对流程层面的风险评估需要将关键的财务报告科目对应到流程和系统上,再考虑公司的固有风险;可以将科目和流程分类为重要和不重要、系统和非系统以及常规和非常规,并结合可能的动机、机会和经济性等因素评估每个业务流程的欺诈风险,包括:授权审批控制;异常报告、文档编辑记录控制;数据传递、数据转换控制;业绩考核指标;独立符合控制;核对控制;职责分离控制;系统接触控制;系统设置、会计科目的系统设置等。对上述业务流程进行分析和记录,可在同一表格中列示出科目与流程的对应关系来分析。通过上述评估,企业可以明确流程层面与财务报告相关的控制活动目标,采用“科目—流程—系统”矩阵来识别关键流程。
4.3 评价方法。铂尔曼酒店审计中的内控评审中,我们运用了以下方法:①个别访谈法;②调查表法。③比较分析法;④标杆法;⑤穿行测试法;⑥抽样法;⑦实地检验法;⑧专题讨论会法。
5、撰写内控评审报告
通常的内部控制评价报告至少应当包括以下内容:
①内部控制评价的目的和责任主体;②内部控制评价的内容和所依据的标准;③内部控制评价的程序和所采用的方法;④被评估单位的内部控制整体目标是否有效的结论;⑤被评估单位的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响;⑥所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
标签:内部控制论文; 企业流程管理论文; 内控管理论文; 内部控制缺陷论文; 风险内控论文; 控制测试论文; 投资论文;