掃碼下載APP
及時接收最新考試資訊及
備考信息
內(nèi)部控制評審(以下簡稱“內(nèi)控評審”)是指對內(nèi)部控制制度的健全性和執(zhí)行有效性進行審查和評價,旨在發(fā)現(xiàn)和改進內(nèi)部控制薄弱環(huán)節(jié),促進公司強化管理,提高經(jīng)營效益,實現(xiàn)健康可持續(xù)發(fā)展。薩班斯法案第404條款對此提出了嚴格而明確的要求,即公司管理層要對本公司內(nèi)控制度的有效性作出自我評審,向資本市場簽署內(nèi)控有效性聲明;而管理層對內(nèi)部控制的評價,擔任公司年報審計的會計公司應當對其進行測試并提出獨立評審意見,覆蓋范圍包括內(nèi)控設計及執(zhí)行的有效性。中國聯(lián)通作為在上海、香港和紐約上市的公司,自2005年末開始就把內(nèi)控評審作為保證內(nèi)控建設有效性的一項重大項目來抓,經(jīng)過兩年多的摸索、實踐,逐步建立健全了內(nèi)控評審體系,積累了一些經(jīng)驗。
中國聯(lián)通內(nèi)控評審建設及實施過程
一、制定評審工作計劃
中國聯(lián)通在2006年初根據(jù)公司的業(yè)務特點,制定了內(nèi)控評審工作計劃,明確了各個層面以及各個部門的職責:總部各部門、各省分公司的主要負責人是內(nèi)控建設工作的第一責任人,從總部到各省級分公司、各地市級分公司均要設立內(nèi)控辦公室,負責具體的組織協(xié)調(diào)工作。在確定評審范圍時,重點關注重要會計科目、重要經(jīng)營場所、重要業(yè)務流程、流程風險評估、關鍵控制及相互之間的匹配關系,還制定了統(tǒng)一的記錄、測試和報告標準及對應的測試方法。為保證評審工作的有效執(zhí)行,在確定測試執(zhí)行人員、職責分工后,明確分段測試具體時間,如應當在年末以前就對其年末流程和程序進行復核,以確保年末流程和程序設計的有效性等。
二、確定重要經(jīng)營場所的覆蓋率
1、確定重要經(jīng)營場所的原則
中國聯(lián)通根據(jù)經(jīng)營場所相關財務狀況和經(jīng)營狀況、出現(xiàn)重大錯報的風險、該經(jīng)營場所的業(yè)務流程/循環(huán)和內(nèi)控程序在集中處理或共享服務環(huán)境中所占的比重,把被評審經(jīng)營場所分為四類,即:A類:單一地市重要的經(jīng)營場所(公司資產(chǎn)或收入金額占公司總額的0.4%以上);B類:具有特殊風險會計科目的經(jīng)營場所;C類:匯總后被認為重要的經(jīng)營場所;D類:單一地市不重要或匯總后仍不重要的經(jīng)營場所。根據(jù)2006年6月30日上市公司合并財務報表數(shù)據(jù),被評審的經(jīng)營場所中A類公司占60.3%,保證了管理層直接評審的公司覆蓋公司資產(chǎn)或收入總額達到了60%以上。
2、確定重要經(jīng)營場所的數(shù)量
?。?)按照自上而下的原則,省分公司為必審單位;(2)按照重要性原則,省會城市和資產(chǎn)或收入規(guī)模占全國匯總的0.4%以上的地市分公司為必審單位;(3)按照風險的重要程度,以前年度發(fā)生過財務報告錯報、舞弊行為,或公司內(nèi)、外各項檢查、審計中發(fā)現(xiàn)重大問題的地市分公司為必審單位;(4)各省隨機選擇一個C類地市分公司對其公司層面控制的有效性(包括期末關賬程序、財務報表分析、監(jiān)控、反舞弊程序等總體控制活動)進行獨立評估。但一旦被抽查到的C類地市分公司出現(xiàn)任何例外,審計師和公司管理層必須對所有C類地市公司的所有關鍵控制進行測試。
3、確定評審組織方式
任何成功的活動都離不開正確的、與實際相結合的組織方式。中國聯(lián)通將評審分為總部直接評審和各省級分公司組織評審、委托評審三種方式。
?。?)總部直接評審??偛颗沙?0個評審組對中國聯(lián)通所屬31個省分公司、27個省會分公司以及資產(chǎn)或收入占全國總額0.4%以上的30個地市分公司、聯(lián)通紅籌公司下的聯(lián)通國際、聯(lián)通(澳門)子公司及10個華盛省分公司進行現(xiàn)場評審;(2)對總部層面各部門的評審,委托會計師事務所按總部層面的關鍵控制點進行現(xiàn)場評審;(3)其余的地市分公司由總部委托所在省分公司評審。
三、確定評審面
內(nèi)部控制按照控制方式分為:公司層面控制、信息系統(tǒng)控制、業(yè)務流程控制。中國聯(lián)通內(nèi)控評審相應的也從這三個方面分別開展。
1、公司層面控制(即控制環(huán)境)的評審
公司層面控制是整個內(nèi)控活動的前提和基礎,對公司內(nèi)控的效率和效果起關鍵作用。中國聯(lián)通公司層面控制分總部、省級分公司、市級分公司三個層面,對其評審包括以下13項主要內(nèi)容:員工行為準則、審計委員會的監(jiān)督、會計政策和程序手冊、期末財務報告(其中財務報告程序和期末結賬程序是重要的一項測試項目)、董事會及高級管理層的監(jiān)督、人力資源管理、權限與職責分配、反舞弊、風險評估、經(jīng)營業(yè)績分析、內(nèi)部審計職能、管理層的自我評估、信息披露委員會。
2、信息系統(tǒng)控制的評審
信息系統(tǒng)控制是指管理和控制公司內(nèi)部與信息技術有關的活動,它是滲透到公司各個管理環(huán)節(jié)的控制措施。信息系統(tǒng)控制評審的內(nèi)容包括兩個部分:信息系統(tǒng)總體控制、信息系統(tǒng)應用控制。中國聯(lián)通的經(jīng)營資料和經(jīng)營所得絕大部分依靠計費系統(tǒng)、營賬系統(tǒng)中的運算結果反映。尤其是各項業(yè)務收入報告,各項資費套餐的計費及分析,代理傭金的計提、稽核和支付,有價卡、手機終端等資產(chǎn)的進銷存管理,這些復雜的數(shù)據(jù)必須依靠信息系統(tǒng)的支撐才能完成。因此,中國聯(lián)通的信息系統(tǒng)控制內(nèi)控評審關注的重點是:各個相關的IT系統(tǒng)應用控制是否按照規(guī)定的內(nèi)容提供與形成財務報告相關的數(shù)據(jù)。如月末財務確認收入數(shù)據(jù)是否通過系統(tǒng)形成;代理傭金,手機攤銷,積分管理的核算、支付、審批、稽核等功能是否通過系統(tǒng)實現(xiàn)。
3、業(yè)務流程控制(控制活動)的評審
業(yè)務流程控制是指在業(yè)務層面上確保管理層的指令得到實施的政策和程序。業(yè)務流程控制評審的內(nèi)容按照財務報告重要科目的對應關系來設置,中國聯(lián)通公司通過系統(tǒng)梳理從業(yè)務活動發(fā)生起點到最終形成財務報告的全過程,將業(yè)務流程控制(控制活動)的評審分為以下6個部分:資本性支出、收入、成本費用、資金及資產(chǎn)、財務及信息披露、其他共性部分。
四、確定關鍵控制點
根據(jù)重要性原則,內(nèi)控評審主要圍繞關鍵控制點進行。中國聯(lián)通全國各個分公司中,目前只有山東、浙江和廣東三個省實施ERP系統(tǒng)管理,所以在確定關鍵控制點時按是否實施ERP系統(tǒng)分別確定:ERP省分公司關鍵控制點共有676個點、非ERP省分公司共有583個點、華盛公司共有63個點;總部各部門共有392個點。
五、組織評審人員培訓
中國聯(lián)通公司在進行內(nèi)控評審前,組織評審人員進行了集中培訓,對參與培訓的人員明確內(nèi)控建設評審工作的整體要求,要求參與培訓的人員重點掌握內(nèi)控建設評審的方法和對關鍵控制點的分析評價,統(tǒng)一評價標準,并教育評審人員要遵循以下5項原則:獨立性、客觀性、規(guī)范性、全面性的原則,自上而下的原則,關注重點的原則,注重效果的原則,注重文檔記錄的原則。
六、評審實施
各評審小組成員要根據(jù)《中國聯(lián)通省級分公司內(nèi)部控制規(guī)范》所確定的控制措施編制《內(nèi)控評審工作底稿》,依據(jù)該《底稿》的具體要求對《內(nèi)控制度規(guī)范》設計的健全性與執(zhí)行的有效性進行現(xiàn)場測試。
1、中國聯(lián)通公司內(nèi)控評審的主要內(nèi)容包括控制環(huán)境評審、控制活動評審和IT信息系統(tǒng)控制評審。
(1)公司層面控制(控制環(huán)境)評審。①檢查《員工職業(yè)道德守則》、《不相容職務相互分離暫行規(guī)定》、《風險評估管理辦法》及《反舞弊暫行規(guī)定》等制度的培訓和規(guī)范執(zhí)行情況;②檢查經(jīng)營信息定期分析、財務數(shù)據(jù)出現(xiàn)重大波動的分析報告,主要經(jīng)濟活動授權審批,經(jīng)營發(fā)展目標實施以及人力資源政策等控制要求的落實執(zhí)行情況。
?。?)控制活動評審。圍繞資本性支出、收入、成本費用、資金及資產(chǎn)、財務及信息披露以及其他共性6個影響財務信息真實性的業(yè)務流程,檢查各分公司內(nèi)控制度的健全性及執(zhí)行的有效性;依據(jù)控制活動發(fā)生的頻率,抽取一定數(shù)量的樣本,測試各項控制措施的執(zhí)行情況和效果。①在檢查內(nèi)控設計是否健全時,主要檢查內(nèi)部控制是否結合被測評省分公司的實際并涵蓋了公司經(jīng)營管理中需關注的重點問題及重點風險;內(nèi)控制度是否明確了公司各項經(jīng)營活動的管理要求;風險控制措施是否存在缺陷和漏洞,能否防范經(jīng)營管理中的不規(guī)范行為,有效降低和控制經(jīng)營管理中的風險;是否制定了清晰、明確的業(yè)務流程,流程的起點、終點以及中間涉及的各控制點、控制標準、各個崗位間的職責分工是否明確。②在檢查內(nèi)控執(zhí)行是否有效時,主要檢查各項經(jīng)營活動是否按已制定的流程文檔規(guī)范執(zhí)行;實際執(zhí)行與流程文檔的描述存在什么差異;實際執(zhí)行中各項流程文檔是否有效地涵蓋和控制了經(jīng)營活動中的主要風險點;各級公司各個崗位的相關人員是否理解掌握內(nèi)控流程文檔的控制要求、本崗位的主要職責、主要風險點以及相應的控制措施;能否有效地控制當前公司經(jīng)營過程中存在的風險,解決公司在經(jīng)營活動中的突出問題。③在檢查執(zhí)行過程是否保留了完整和可靠的文檔記錄時,要注意驗證每個業(yè)務控制環(huán)節(jié),核實實際執(zhí)行情況與流程圖、流程描述及風險控制文檔的描述是否一致;驗證業(yè)務活動所經(jīng)過的流程和控制是否有完整和可靠的文檔記錄,是否保留了控制實施證據(jù)。④在驗證業(yè)務控制流程設計和執(zhí)行的一致性時,從業(yè)務發(fā)生開始,抽取一定數(shù)量的樣本,通過對用戶入網(wǎng)資料的審核、服務的開通、網(wǎng)絡運行、網(wǎng)間結算、計費出賬、確認收入等一直到壞賬的追繳、收回及生成會計報表的全過程測評,驗證業(yè)務控制流程設計和執(zhí)行是否一致。
(3)IT信息系統(tǒng)控制評審。圍繞信息系統(tǒng)總體控制和應用控制的要求,中國聯(lián)通對系統(tǒng)開發(fā)及變更管理、數(shù)據(jù)備份管理、日常維護管理、安全管理、系統(tǒng)自動控制、系統(tǒng)用戶權限和電子表格管控等情況進行檢查,同時針對各省分公司IT管控指標達標率進行評審。
2、為保證公司資金安全,中國聯(lián)通在進行內(nèi)控各環(huán)節(jié)的評審的同時,也對資金安全狀況進行了調(diào)查。內(nèi)容包括非正常開立銀行賬戶或存款、3個月以上(含3個月)銀行未達賬項、12個月以上應收款項等。
3、中國聯(lián)通在完成上述工作的基礎上,統(tǒng)一了現(xiàn)場評審需提交的主要工作文檔,要求各評審小組按照文檔內(nèi)容的要求填寫完整,并經(jīng)評審人員、評審小組負責人、被測評單位簽字蓋章確認,以利于評審各環(huán)節(jié)的責任認定。
4、在現(xiàn)場評審工作中,中國聯(lián)通從以下3個方面入手,確保評審的有效性:
?。?)強調(diào)時點:內(nèi)控評審不同于傳統(tǒng)財務報表審計,后者可以通過結賬日后的調(diào)整實現(xiàn)財務報表的公允反映。而內(nèi)控是否有效(包括設計的有效、執(zhí)行的有效以及保留準確、完整的文檔記錄)是基于財務報告結賬日(即資產(chǎn)負債表日)是否存在并有效地執(zhí)行了控制活動,并保留執(zhí)行后的文檔記錄,因此整改完成日不能遲于財務報告結賬日。
?。?)強調(diào)文檔記錄的重要性:包括業(yè)務流程文檔、控制活動證據(jù)和評審工作底稿,缺一不可,而且文檔的記錄必須準確、完整、詳實,以備外部審計師審閱。開始評審工作前,控制活動責任人必須將重要控制活動證據(jù)按次序準備齊全。
?。?)強調(diào)評審工作底稿:評審工作底稿應滿足美國公認審計準則的基本要求,以作為外部審計師用以評價公司自我評估是否有效的基礎。中國聯(lián)通要求各評審小組對不同階段進行的測試工作底稿分別妥善保管,以備日后進行整改后的更新測試參考。
七、提交評審報告
中國聯(lián)通要求各評審小組在評審現(xiàn)場結束后一周內(nèi)提交評審報告和現(xiàn)場評審工作文檔,并對評審報告的編制提出了具體的要求,即評審小組出具的評審報告要說明分公司內(nèi)部控制建設的總體概況、整改目標完成進度,并詳細描述未整改的問題,與業(yè)務流程相關的關鍵控制點設計和執(zhí)行的缺陷,以及有關問題對財務報告的影響,分析問題形成的原因、存在的風險和對分公司整改的具體要求。
八、評估測試結果
為了確認內(nèi)控是否有效運行,中國聯(lián)通還要求各評審小組在測試后編制一個有關所有內(nèi)控缺陷、重要缺陷和實質(zhì)性漏洞的清單,記錄每個缺陷的原因并且評估必要的糾正行動,還要對每個糾正后的內(nèi)控缺陷進行重新測試,以證明它的運行有效性,從而為財務報表認定提供支持。
中國聯(lián)通內(nèi)控評審建設的實施效果和啟示
中國聯(lián)通內(nèi)控評審實施兩年來,為公司內(nèi)控建設取得階段性的重要成果提供了堅實的保障。在對香港披露的2006年度內(nèi)控評審報告中,普華審計機構對中國聯(lián)通內(nèi)部控制建設和評審結果給予了肯定并出示了無保留意見,同時,公司以零缺陷報告順利通過了薩班斯法案審計。通過對中國聯(lián)通內(nèi)控評審建設的實例分析,筆者認為內(nèi)控評審的質(zhì)量直接決定了內(nèi)控建設的效果。結合上述分析,筆者談幾點心得和建議,以供參考與討論。
第一,內(nèi)控工作具有強制性,不能以個人意志為轉移。薩班斯法案是一部保護投資者的法律,具有強制性。因此任何在美國上市的公司都必須嚴格執(zhí)行。不論管理者是否情愿,也不管企業(yè)管理水平高低,都必須無條件提供經(jīng)過外部審計師進行評估的管理層內(nèi)控報告。
第二,內(nèi)控的目的是推動公司高效運轉,不能為了內(nèi)控而內(nèi)控。內(nèi)部控制是提升公司經(jīng)營效益及財務報告真實性的重要舉措,注重研究探討問題產(chǎn)生的原因并尋求解決辦法。因此做內(nèi)控不能搞形式主義,應該根據(jù)本單位的業(yè)務情況制定具體的風險控制措施,把復雜問題簡單化,使工作流程制度化,更好地為經(jīng)營發(fā)展服務。
第三,內(nèi)控評審的各環(huán)節(jié)應規(guī)范化、格式化、明確化,不能隨意認定。中國聯(lián)通在2006年度內(nèi)控評審建設中,從重要經(jīng)營場所覆蓋率、樣本量、工作底稿、關鍵控制點到現(xiàn)場工作記錄、文檔依據(jù)登記表和缺陷評估表等均設定了明確的格式和標準,使得公司在實施與評審時有法可依、有據(jù)可查。而統(tǒng)一的工作底稿也便于評審人員和被審人員的溝通,同時評審人、責任人、整改時限等細化要求也便于認定和考核。
?。ㄗ髡邌挝? 中國聯(lián)通有限公司廣西分公司)
Copyright © 2000 - m.jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號