上市公司内部控制评价流程分析.doc

上市公司内部控制评价流程分析 关于美国内部控制报告的研究和争论始于上世纪70年代，安然等财务舞弊事件的出现催生了美国《公司改革法案》（SOA 2002）的颁布，于是内部控制报告成为各界讨论的热点问题。内部控制关注的焦点主要集中在一套科学合理行之有效的风险管理和控制程序。建立一套科学系统的内部控制评价流程，对于企业高效的执行内部控制有效性的评价至关重要。本文在整合美国研究报告的基础上，将内部控制的评价程序分解为7个步骤，以便于企业管理层理解并评价内部控制有效性，一套完整内部控制建立和评价的步骤可以概述如下： 步骤1：确立内部控制评价项目小组和明确项目中职责 对于管理层内部控制评价项目的执行，应区分为首次执行和后续执行两种情况分析。对于首次执行管理层内部控制评价项目的，其在项目执行之前，公司应确立专门的项目执行小组以保证公司内部控制评价的有效执行。而在后续内部控制评价中，即内部控制的评价已经成为公司常规的工作，则可以考虑撤销项目小组，并将内部控制评价的工作安排由相关部门，如公司内部审计部门、风险管理部门或财务等部门负责具体执行。管理层应确定一名内部控制评价项目的负责人，由其负责和协调整个评价工作，并组建一个评价工作小组。内部控制评价小组成员应来自于公司相关部门或单位的员工和管理层，其组成人员包括来自经营活动部门、财务会计部门、人力资源部门、信息系统、税务、法律以及内部审计等部门的员工。进行评价的人员应该具有恰当的技能，即需要有一定的胜任能力，熟悉公司经营情况，了解控制的缺陷所在，并能够了解公司高级管理层所要求的内部控制评价的标准、内容、范围和程序。必要的时候，高级管理层对其进行培训和督导，使其更好地完成评价工作。 确立内部控制评价项目小组后，明确公司各岗位在执行内部控制评价过程的具体职责是极为重要的，是有效执行内部控制评价的基本保证。只有使得各岗位的管理层和职员清晰的认识自身在内部控制评价中的职责，内部控制评价才能在整个公司中有效的开展。 步骤2：确定管理层内部控制评价计划和评价范围 要对公司内部控制进行很好的评价需要制定一个详细的计划安排。公司内部控制评价的计划应包括：评价项目的范围、重要控制经营区域或业务部门的确定、评价的方法，重要的时间进度安排和预计完成时限。计划应允许管理层有充分的时间来完成内部控制有效性的评价，采取改进措施，及外部审计师完成其对管理层报告的审计测试。 评价项目小组应通过建立具体评价过程的政策和程序，以形成一个有效的信息沟通和交流的渠道，创造交互式环境，使小组成员之间可以得到有效充分地沟通和交流。 步骤3：针对重要的控制建立文件记录 在确定了内部控制评价的重要区域或重要控制之后，需要对所有重要的区域和业务单位的重要控制的设计进行文件记录并加以存档。对公司内部控制建立文件记录是管理层评价过程的一个基本组成部分，其目的是为管理层最终的评价结果提供证据，表明管理层已经识别相关的风险，并建立相关的控制来加以监控。如果文件记录建立的不充分，可能导致内部控制的重要控制缺陷或重大控制弱点。 具体的控制文件内容包括：对设计的用来防止或发现财务报表中重要的账户余额、交易的分类以及披露错误表述的所有重要控制进行建档，文件内容可以涵括相关的财务报表申明以及COSO确定的内部控制的五个方面，如控制的设计、控制目标、风险点、责任人、职务分离、以及业务的开始、过账以及重大账户余额的记录和交易的分类等等。 在公司要求下，公司的外部审计师可以辅助公司文件记录准备和收集工作，包括那种 的控制应进行记录。只是在这种情况下，管理层和外部审计师应考虑监管法规中对非审计业务的规定，并提前获得审计委员会的批准。 管理层在建立内部控制文件时，可采用手工法、自动生成法和二者兼用的方法。不论公司应用怎么样的文件记录方法，都应当建立公司统一的记录格式和要求。KPMG开发了一些自动生成法可以应用的软件。 步骤4：评价内部控制设计和执行有效性 一．评价的主要内容 这部分内容是内部控制有效性评价的核心，工作的重点主要是对内部控制的设计和执行有效性进行评价，并对评价结果形成文件。具体包括： 1、对内部控制所建档案的完整性进行评价，即对评价计划所确定的重要及重要分部的控制政策、制度和程序是否建立了完整的文件，这些文件是否包括了所有应该涵括的重要业务流程、区域和职能部门； 2、设计有效性主要评价的是公司已设计的控制是否能有效防止或发现特定财务报表项目表述的重大错误，需要考虑的是相关的控制希望达到的财务报告目标。在此评价过程中要求评价人员具有相关的专业知识和职业技能，能很好地对设计的有效性提出意见； 3、执行有效性主要评价的所设计的内部控制是否得到有效的执行，这部分工作类似于审计中的实质性测试，管理层需要收集相关的证据来表明这些控制是如何运用的，执行的一致性怎样以及由