信息化环境下内部控制评价体系构建与应用.docVIP

信息化环境下内部控制评价体系构建与应用 　　摘 要：内部控制是近年来国内外理论与实务界一直研究的课题，理论界直到以COSO委员会发布的内部控制整体框架阶段，方形成一个较为完整的体系。在实务界，由于以“安然破产”为代表的控制失效事件频发，企业实务界和政府监管部门也加大了对内部控制的重视，以美国政府部门颁布的萨班斯法案为代表的一系列监管制度出台，逐步加强了对内部控制审计与评价的力度。在我国，国家层面虽然已经颁布了一整套的规范与指引，但我们看到在具体操作层面始终没有建立起类似作业指导书的文件。笔者在多年实践基础上，探索并构建了一套操作性的内部控制评价体系。 　　关键词：内部控制;内部控制评价体系 　　1 内部控制评价体系建设背景 　　内部控制理论与实践历史源远流长，内部控制较为完善且得到理论界和实务界公认的代表理论当属COSO于1992年发布的《内部控制整合框架》，而把内部控制真正提到法律高度的是美国国会和政府通过的《萨班斯法案》，不难发现美国人在经历了“惨痛教训”之后，对内部控制的重视不言而喻。在中国，国家层面2008年印发了《企业内部控制基本规范》，并于2010年印发了企业内部控制配套指引。 　　近年来，我们在审计中发现，由于内部控制缺失或失效而产生的问题非常之多，有些地方甚至存在重大控制缺陷，如无规范的审批控制制度，随意对外提供担保、出借资金产生损失;废旧物资源头控制缺失，回收率低，处置程序缺乏监督;不相容职务未分离，预算控制刚性较差;计划体系不完善，计划执行偏差大。 　　为解决此类问题，我们曾在2005年至2008年间建设了一套内部控制评价体系并进行广泛应用，效果非常显著。但自2008年公司上线SAP管理系统后，原先的内部控制环境及公司业务所依存的载体、业务流程、业务风险点均发生了变化，因此，我们于2011年启动了信息化环境下内部控制评价体系的建设研究。 　　2 信息化环境下内部控制评价体系的内涵 　　信息化环境下的内部控制评价体系是一个对内部控制系统健全性和有效性进行科学、系统和综合评价的专用工具。该体系是基于COSO内部控制整合框架理论、国家五部委发布的《内部控制基本规范》和配套指引而建设，体系结合了我公司的业务特点，充分研究了SAP系统的特征，剖析了主要业务在系统内、外的运行状况。该体系本质是一个评价工具，目前已经建成的是基于SAP系统环境下的内部控制评价体系，该体系五个部分的核心是控制活动评价，也是评价体系的主体，其评价包括两部分内容，一是控制分析，二是控制评价。体系的主要构成内容如图所示： 　　lt;D：＼123456＼中小企业管理与科技?下旬刊201511＼1-297＼123-1.jpggt; 　　控制分析以剖析业务模块的流程、环节乃至风险点为主线，得出风险点的控制内容作为评价的基础。控制评价则以测试内容为目标，针对测试对象的不同类型，运用观察、询问、审查、重做等不同的测试方法进行内部控制测试，并对测试结果进行定性和定量打分，形成对风险点、流程、模块乃至系统、目标的整体内控评价，并最终形成内控系统自我评价、自我完善的循环。 　　3 信息化环境下内部控制评价体系的具体做法 　　3.1 控制分析 　　控制分析是制定标准体系的过程，既要分析业务的风险点所在，也要给评价者一个标准控制措施的参照物。控制措施的制定基本遵循从面到点的设计思想，层层分解，不断细化，即：模块到流程到环节到风险点的过程。 　　3.1.1 模块选择 　　经过调研及参照《内部控制基本规范》及指引，我们选择SAP系统中的财务管理、物资管理、资产管理、项目管理四个模块作为评价对象，从范围上基本上可以履盖企业管理的重点领域和重点环节。 　　3.1.2 环节分析 　　环节分析是将模块按照便于评价的需要和经营业务本身的特点进行细化的结果，根据各自的特征，各模块的分解方法不同、环节也不相同。 　　3.1.3 流程描述 　　流程描述是将管理模块中的所有环节之间的关系及先后顺序等绘制在图上，流程描述的主要作用是让评价者通过看图可以对管理环节一目了然，便于在评价时做到准确定位。 　　3.1.4 风险点确定 　　在公司管理制度基础上、结合《内部控制基本规范》及指引确定各模块风险点，确定风险点后我们对每一风险点的特征及控制措施又作了进一步说明。控制分析表如下： 　　[模块＼amp;流程＼amp;环节＼amp;风险点＼amp;控制措施＼amp;目标关联＼amp;控制属性＼amp;控制载体＼amp;财 　　务 　　模 　　块＼amp;货 　　币 　　资 　　金＼amp;岗位设置＼amp;岗位分工＼amp;建立岗位分工制度，制度规定岗位职责，岗位资格等＼amp;合规＼amp;线外＼amp;岗位制度＼amp;不相容职务＼amp