实施内部控制自我评估(CSA)的要点
内部控制是由内部环境、风险评估、控制活动、信息与沟通、内部监督这五大要素构成的。企业在开展内部控制自我评估时就应该对应这五大构成要素进行全面系统、有针对性的评估。
(一)内部环境评估
内部环境是企业实施内部控制的基础。任何企业的内部控制都是在特定的内部环境中实施的,内部环境不但直接影响内部控制的建立,还直接决定内部控制实施的效果。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
内部控制自我评估在进行内部环境评估时重点关注治理结构是否形同虚设,机构设置是否重叠,权责分配是否明晰,人力资源政策和激励约束机制是否科学合理,企业文化是否促进员工勤勉尽责等。
(二)风险评估评价
风险是指对企业达到自身经营目标和执行战略产生不利影响的威胁,通常由发生的可能性和产生影响的程度两个要素组成。企业面临风险会对其实现既定目标产生影响。风险评估是企业为及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
内部控制自我评估关注风险识别的充分性;风险分析的恰当性;风险应对策略的充分性、有效性。
(三)控制活动评估
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。
控制措施的实施就形成了内部控制制度,这是内部控制自我评估的重要内容。评价不相容职务分离控制的实施,内部控制自我评估应当系统分析业务流程中的控制点,关注企业内岗位职责的设定,是否存在相互制约的控制点被安排在同一岗位的职责中;评价授权审批控制的实施,内部控制自我评估对企业编制的常规授权权限指引进行审查,看企业的各项业务流程是否都合理安排授权、审批程序;对会计系统控制的评价一直就是内部控制自我评估的基本内容之一;内部审计通过对财产的记录、盘点资料、报表等定期或不定期进行重点抽查,审查相关手续、记录是否完整,账务处理是否及时正确来评价企业财产保护措施实施情况;内部控制自我评估关注企业预算控制的有效性,一方面是预算编制的可行性、准确性,另一方面是可行准确的预算得到了切实的执行;内部控制自我评估营运情况分析制度的有效运行,关注其是否能合理分析企业获取的各类信息,改善企业运营状况,将风险控制在可承受度之内;人是内部控制自我评估制度的主体,各种控制措施都需要具有相应素质的人员来执行,如果人员素质不符合要求,控制措施就会失效,因此,内部控制自我评估要关注企业是否建立科学有效的绩效考评制度,是否以考评结果为依据决定企业员工的岗位安排。
(四)信息与沟通评价
信息与沟通是企业及时、准确地收集、传递与内部控制自我评估相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。信息是企业的资源,是企业各种经营管理行为的依据,信息的质量对管理层能否作出恰当的经营管理决策具有重大影响。充分、及时的沟通有助于管理当局了解经营活动存在的问题,客观地评价各部门的工作。迅速采取有效的管理措施来保证企业经营活动的健康运行。
信息与沟通评价主要包括企业获取及处理信息的能力。内部控制自我评估要对企业信息系统的健全性、有效性和安全性进行审查与评价,关注反舞弊 该内 容由 中审 网 校所 属 ww w.audi tcn .com机制的有效运行,举报投诉制度和举报人保护制度的建立健全。
(五)内部监督评估
内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部控制是一个动态管理过程,随着时间的推移和环境的变化,曾经有效的内部控制可能会变得无效,因此,对内部控制的制定、执行及效果需要进行跟踪式的监督与评价,以便满足管理当局根据环境变化适时调整内部控制系统的需要,确保内部控制系统完整、有效。内部监督评估主要就是评价监督机制是否执行并有效。
上一篇:内部控制自我评估的方法及其适用性