董仲彬,米娜久尚网,livia0806
摘要:本文根据萨班斯法案和COSO报告,结合实际工作经验,提出了把控内部控制评价的三大关键点,分别是:评价内部控制体系的设计;考察内部控制措施是否执行及评价内部控制执行的有效性。本文以A公司发放临时工工资业务为例,就如何在实际运作中把控内部控制评价关键点做出了详细说明。
关键词:内部控制评价 设计风险 执行风险 执行有效性
根据《萨班斯-奥克斯利法案》404条款(以下简称“SOX404”)规定,公司的年报中必须包含一份内部控制报告。在这份报告中,公司管理层需要在财务年度期末对与财务报告相关的内部控制体系及程序做出有效性评估[1-2]。企业围绕这一要求对内部控制有效性进行评估、得出结论、最终出具报告的过程,就是内部控制评价。倍受业界认可和推崇的COSO内部控制框架是如今最具权威性的内部控制框架,SOX404也建议企业以COSO内部控制框架作为评价内部控制的标准[3-4]。2010年4月,我国财政部、证监会、审计署联合颁布了《企业内部控制评价指引》,对我国企业建立、实施和评价内部控制提出了明确要求。
尽管与企业内部控制评价相关的监管法规在中国日渐完善,不过部分学者认为,内部控制框架只提供了一些原则。在实际工作中,公司管理层应该如何科学地评价企业内部控制状况,把控内部控制评价,仍旧是相关从业人员和国内外研究者一直关注的议题。本文在综合萨班斯法案和COSO报告的基础上,结合实际工作经验,总结提炼出了企业做好内部控制评价的三大关键点,并以A公司发放临时工工资为例,就三大关键点在评价流程中的体现和应用做出了具体说明。
一、内部控制评价的三大关键点
在进行内部控制评价的过程中,企业管理层要注意以下三大关键点:一是评价内部控制体系的设计,二是考察内部控制措施是否执行,三是评价内部控制执行的有效性。只有做到这三点,才能确保得出客观和全面的内部控制评价。
评价内部控制体系的设计是为了防范因内部控制措施的设计缺陷导致财务报表出现重大错报或其他财务问题的风险。若企业的某项业务存在风险,却没有设计相应的内部控制措施,就表明该内部控制体系存在设计漏洞。在这种情况下,评价人员应从完善规章制度、规范业务流程等方面向企业提出建议。
在确保内部控制措施合理有效的前提下,评价人员还需进一步了解内部控制措施的执行情况,考察企业相关人员是否按照要求执行相关步骤。如果控制单位已经为某项业务建立了相应的内部控制机制,但是相关人员却没有按照流程要求规范执行,则会产生执行风险。为了消除执行风险对企业内部控制评价的影响,评价人员可以从明确职责权限、增强执行人的胜任能力、加大对内部控制培训和宣传力度等方面建议被评价单位。
在决策时,人为操作失误,或者是人为判断出错都有可能导致内部控制失效。此外,内部控制措施还可能由于多人串通,或者是管理层不当凌驾于内部控制之上而被规避。考虑到上述人为因素可能对内部控制执行造成的影响,在确保内部控制体系设计和执行均无误的情况下,评价人员还要对内部控制执行的有效性进行评价,以考察某项具体控制措施是否达到了预期效果。
二、案例描述
为了更直观地说明企业管理层要如何在实际运作中做好内部控制评价的三大关键点,本文以A公司发放临时工资业务为例,从内部控制评价的相关流程着手进行了解释和说明。
根据SOX404对内部控制评价的要求,评价人员需要通过多个程序获取内部控制在业务层面有关设计、执行和有效性的证据。为了实现这一目的,评价人员首先需要收集企业中需要建立内部控制评价体系的所有业务;然后针对每一项业务,完成内部控制评价流程操作,形成相应文件。其中,主要流程包括:绘制业务流程图;描述风险点,制作风险记录表;查找问题并提出整改建议[5]。
(一)步骤一:绘制业务流程图
流程图能够描绘出某项业务的执行过程,体现各个操作之间的联系。评价人员可以通过与企业内部人员进行访谈收集相关资料和文件,并根据这些资料绘制业务流程图。 
本文以某上市公司发放临时工工资业务为例,绘制了业务流程图,具体见下图1所示。业务流程图左边是按顺序对业务具体流程的简单描述。对于某一子流程可能存在的风险点,需要在处理框左边以编号标记出来,如“B1-1-2-1”。在业务流程图的右边,是对流程执行的详细说明,其中描述了各个流程中的操作人员该如何完成本职工作。
(二)步骤二:描述风险点,制作内部控制风险记录表
针对业务流程图出现的风险点,评价人员需要对此进行更深入地描述和调查,并编制内部控制风险记录表,如下表1所示。在风险记录表中,“控制编号”与业务流程图左侧标记出的风险点对应;“主要风险”具体阐述了某一流程可能存在的风险;“控制目标”针对的是“主要风险”中所反映出来的问题;“内部控制程序”与业务流程表中对应子流程的流程描述一致。如果某子流程的“内部控制程序”无法实现控制目标,则认定该子流程存在问题,并在“是否存在缺陷”一栏中填入“是”。
(三)步骤三:查找问题并提出整改建议。
对于在内部控制风险记录表中存在缺陷的风险点,评价人员会进行更加深入地调查,并制作内部控制问题整改表,描述问题,并判断该缺陷属于设计缺陷、执行缺陷还是有效性问题,最后提出整改建议,具体见表2所示。
三、案例分析
利用业务流程图、风险记录表和问题整改表,评价人员可以深入考察某项业务是否存在设计风险或执行风险,检验控制运行的有效性。
通过上例不难看出,业务流程图能够还原业务的实际操作流程,风险记录表能够对业务流程图中存在设计风险或执行风险的流程节点进行记录。利用业务流程图和风险记录表,评价人员可以更好地分析某项业务内部控制体系的设计,检验是否存在设计风险或执行风险。 在A公司发放临时工工资的业务流程图中(见图1),第一步和第二步的流程操作分别是“各领工区计工员填写临时工工资支付单”和“各领工区领工员审核该支付单并加盖自己名章”。这意味着,临时工工资支付单的填写和审核分别由领工员和计工员负责,实现了职责分离,该流程节点不存在设计风险。不过,填写人员和审核人员在实际执行中是否真正做到了职责分离尚不明确,该流程节点可能存在执行风险。为了检验内部控制措施是否按规定执行,评价人员可以采用抽样调查法,对过去多个记录周期中的临时工工资支付单进行检查。如果抽查到的支付单上既有领工员又有计工员的签章,则表明这两人职责分离,该项内部控制措施得到了执行。反之,如果抽查到的支付单中存在领工员和计工员没有签章或者填写和审核是同一人的情况,则表明内部控制措施没有得到执行,评价人员需要将其认定为一个风险点标记在业务流程图中,并在风险记录表中对其进行更详细地描述。 
如果评价人员已经掌握了充分的审计证据证明内部控制措施被准确执行,接着,评价人员就可以对内部控制执行的有效性进行评估了。针对这一步,评价人员可以采用个别访问法、问卷调查法等手段对人为因素的干扰进行侦查和分析,并将调查结果展现在业务流程图右侧和风险记录表中的“内部控制程序”一栏。这些内容不仅能够反映某一流程节点是否存在设计风险和执行风险,还能反映该流程节点在执行过程中是否做到了执行的有效性。比如,图1子流程“各领工区领工员审核临时工工资支付单并加盖自己的名章”的右侧是对领工员具体操作的详细描述。在实际访谈中,如果评价人员确证领工员执行了该项操作,则说明该流程节点不存在执行有效性的问题;如果评价人员发现领工员未能察觉到自己在审核支付单中明显不合规的行为,也无法对此做出合理解释,那么则认定该控制未得到有效执行。
对于内部控制评价中存在的缺陷需要反映到问题整改表中,并提出整改建议。在本例中,有缺陷的风险点是“B1-1-2-3”,因为在其对应的子流程中,临时工工资汇总审批单的审核人和编制人存在职责没有分离的设计风险。对此,评价人员要在内部控制问题整改表中做出详尽的描述和说明。由于该问题主要反映出了内部控制体系的设计风险,因此,评价人员从规范工作流程方面提出了整改建议。
四、总结
本文提出,做好内部控制评价有三大关键点,分别是评价内部控制体系的设计,考察内部控制措施是否准确执行和评价内部控制执行的有效性。接着,本文以A公司发放临时工工资业务为例,就如何利用业务流程图、风险记录表和问题整改表深入考察某项业务是否存在设计或执行风险,以及如何检验控制运行的有效性做出了详细说明。除上述三大关键点之外,企业还可以从以下两方面确保内部控制评价的全面性、客观性和专业性。
重视思维方式。内部控制评价人员的思维方式和思想基础是发现内部控制缺陷和问题的基础。作为内部控制评价人员,应当树立对各项业务的执行人员不信任的思想。在考察某项业务时,通常需要假定如果没有实施相应的内部控制措施,该项业务的执行人员就会钻空子,该项业务就会存在风险。这样的思维方式有助于评价人员保持警惕性,更快地发现内部控制设计和执行的风险,准确判断控制执行的有效性。
重视胜任能力。内部控制评价工作不能仅仅局限于财务部门,它需要企业全体员工的共同参与。内部控制评价可以出现在企业的战略制定以及各个单元的主要业务活动中,以规范各主要业务活动的流程,规避可能产生的风险,为企业整体目标的实现提供合理保证。不过,内部控制评价工作对相关人员提出了一定专业要求,在企业中成立专门的内部控制评价工作组对做好内部控制评价工作至关重要。为了实现这一目标,企业需要吸收内部相关机构熟悉情况的业务骨干,挑选出一批具备独立性、业务胜任能力和职业道德素养的评价人员。在选拔后和实施评价前,企业需要为这些评价人员安排相关的培训,提高他们的专业水平。在内部控制评价工作组中,最好要有财会专业背景或从事过企业财务管理工作的职工参与或提供咨询,因为只有熟悉了企业的各项财务及相关规章制度,了解了企业的部门设置及其具体情况,才能在工作中用专业的态度发现问题、处理问题、解决问题。
参考文献:
[1] 孟焰,张军.萨班斯法案404条款执行效果及借鉴[J].审计研究,2010(3):96- 100.
[2] 陈汉文,吴益兵,李荣,徐臻真.萨班斯法案404条款:后续进展[J].会计研究,2005(2):82- 86.
[3] 李玉环.内部控制中的风险评估[J].会计之友,2008(10):10- 11.
[4] 王双,赵毅.内部控制评价系统研究述评——评价标准、指标、方法[J].会计之友,2008,8: 87- 91.[5]张继德,王再文等.企业内部控制配套指引解读及应用指南[M].北京:中国商业出版社,2016(6): 337- 365.
