内部控制评价方法有哪些
内部控制评价到底包括哪些方法,在理论界和实务界认识是不同的,做法也是不一样的。美国COSO指出现有的评价方法和工具多种多样,包括核对表、问卷和流程图技术。商务和学术文献中提供了定量方法。还列出了控制目标的清单,以便识别内部控制的各类目标。我国《企业内部控制评价指引》要求内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法对内部控制进行评价。中天恒3C框架理解,在内部控制评价过程中,应当采取适当的方法收集与评价目标、范围和标准有关的信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价。企业可以运用的内部控制评价方法很多,主要方法如下:
◎审阅法。审阅法主要通过查阅有关文件或书面资料,可以获得概括性的整体印象。审阅法是被人们长期使用的基础方法。审阅的内容主要包括:以前的各种检查资料;被评价单位的职责说明或程序手册;有关业务处理流程图;单位组织机构系统图;有关管理决策与经营计划资料;有关会计资料、统计资料或其他核算资料;其他内部规章或管理制度等。审阅时应认真做好记录,为现场测试提供依据。
◎询问法。询问法,就是向被评价单位的管理当局及相关人员进行询问,以了解内部控制的内容与实施情况、职务分工情况、人员胜任情况等。个别访谈法应该属于询问法的范畴,是指评价人员根据内部控制评价的需要,对被评价单位员工进行单独访谈,以获取有关信息。询问的总体目的是收集关于内部控制有效性的证据,主要目的并非收集政策是什么的信息,而是确定既定的政策是否如预期般发挥作用。在具体应运这一方法时应特别注意以下几点:一是问谁。选择的询问对象应包括管理人员与非管理人员,尤其是那些管理者想极力掩盖问题的单位,更应重视对非管理人员的询问。二是问什么。应主要询问那些能够评价政策有效性的问题,询问的内容应该明确、具体,能让被询问者理解,便于回答。三是如何问。为了使询问顺利进行,最好能事先拟订出询问提纲;向不止一个人询问,当不同的人讲述同样的内容时,收集的证据很可能是可靠的;询问时应注意一定技巧,包括询问人员的行为举止、先询问经验性问题、不要表明你的观点等;应对询问内容认真做好记录,但交谈中不要做冗长的笔记,而应是简单扼要地记录,在访谈结束后,迅速补充笔记。评价人员在询问被评价单位有关人员或查阅被评价单位有关资料时,针对所了解到的有关内部控制方面的情况,通常需要以文字记录的形式加以描述。
◎调查法。调查法,即为调查表法或调查问卷法,就是评价人员按照内部控制的一般要求,考虑理想的控制模式,将需要调查的全部内容以提问的方式列出并制成固定式样的表格,然后将由被评价有关部门和人员回答,以此来了解、测试内部控制的一种方法。调查表是一种有效收集信息的方法,这些信息直接来自于员工,而不是文件。该方法的优点是调查范围明确,问题突出,容易发现被评价单位内部控制系统中存在的缺陷和薄弱环节;设计合理的标准调查表,可广泛适用于同类型单位,从而减少评价工作量;调查表可由若干人分别同时回答,有助于保证调查效果。该方法的缺点是反映问题不全面,仅限于被调查事项的范围;调查表仅要求做出“是”或“否”的回答,难以反映被评价事项的具体情况和存在问题的程度;标准格式的调查表缺乏弹性,难以适用于各类型企业,尤其是小型企业或特殊行业的企业,往往会因“不适用”的回答太多而影响调查效果。不管怎么说,用表格描述内部控制制度情况,条理清楚,问题突出,比较直观、便于理解、阅读和评价。评价人员可直接通过询问、观察和审阅、使用调查表后获取的有关制度情况,经过分析归纳,编制内部控制制度弱点记录表和强点记录表。在具体应运时应特别注意以下几点:一是调查谁以及调查多少人。显然,调查结果的可靠性与被调查者和收到多少反馈正相关。因此,在调查设计中采用统计抽样方法的主要思想是必要的,这包括:回答者越多,结果越可靠。在项目资源可行和必要的情况下,应调查尽可能多的员工。将样本分层,结果会更好。调查应包括企业内不同层级的员工(从高层管理者到底层员工),这也很重要。为使结果有效,样本必须代表总体。简单的随机抽样使调查中每个员工都有同样被选中的机率,这可以得到一个代表总体的样本,相反,整群抽样法不会得到有代表性的样本。当需要从总体中排除一部分样本时,应仔细考虑。确定是否收到足以得出有效结论的反馈,需要作出判断。为有助于做出判断,此时需要考虑通过其他测试收集到的信息。二是时间和频率。内部控制评价测试都要考虑时间问题。如果执行测试的时间远远早于报告日,可能需要更新或在稍晚之后重新执行测试;如果测试时间太接近报告日,一旦测试结果识别了弱点,则仅有较少或甚至没有时间采取纠正措施。调查可能花费大量时间。员工需要时间回答问题,如果他们不作答,则有必要采取进一步行动并获取更多反馈。同样,评价调查结果,特别是包含开放式、非数字表示的回答时,也会花费很多时间。三是考虑调查的模拟测试。通过模拟测试,再对问卷进行必要的修改,将会提高回答率并得到更可靠有效的结果。四是数据分析和报告结果。当计划调查时,应考虑如何分析和解释数据,并向管理层报告结论。当项目组在设计调查,并发现很难或甚至不可能说明如何分析数据并报告结论时,应重新考虑调查设计。
不可否认,在实际调查中存在着问卷太长或很难理解;语言晦涩难懂,提出不止一个问题,回答者不具备回答问题所需的信息;在一个多项选择的问题中,选项不完整、很难理解,或不是相互排斥的;问卷各个部分的填写说明难以执行等突出问题。根据中天恒内部控制评价实践,调查问题设计得是否得当是该方法运用得当的关键,也直接关系到检查和评价的工作质量。
从长期的审计实践看,审计人员为满足规范要求做大量的内部控制调查表,大多是为满足调查而调查的走形式的,有些甚至是事后补填的。调查表或许对总体上了解内部控制情况是比较适用的,但不适应非常具体业务层面的内部控制调查,更难以此形成审计或评价结论。
◎观察法。观察法就是对被评价组织有关部门进行实地考察,印证审阅与询问了解的制度是否真实可信。如到办公室、车间仓库等地观察主要业务的操作与流程,了解经营活动的特征及实际运用的内部控制措施,了解业务文件资料的种类、作用、编制单位及人员、传递方式与保管使用状况等。观察最好在被评价单位管理人员(或协调人)的陪同下进行,由陪同人介绍有关制度,评价人员则结合实际来判明制度的优劣状况及其有效程度。实地查验法应该属于观察法的一类,是指企业对财产进行盘点、清查,并对存货出、入库等控制环节进行现场查验,以检查验证其规定的控制措施是否得到严格执行的一种方法。根据中天恒内部控制评价实践,该方法适合测试某些不留线索的控制,以及测试执行控制的到位程度。前者如实物控制、职务分离等,如评价人员实地察看存货仓库,判断仓储物资是否按要求的储存条件贮存,除存货管理部门及仓储人员以外的其他部门和人员是否可以接触存货等;后者如材料验收、门卫检查是否严格等,如评价人员实地观察材料的验收程序,是否按内部控制规定的程序执行。评价人员在实施这一方法时,最好采用突击的形式执行实地查验程序,这样才会取得比较理想的效果。
◎讨论法。讨论法,即专题讨论法,就是是指通过召集与业务流程相关的管理人员,就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
◎穿行测试法。穿行测试即全程测试或了解性测试或摇篮-坟墓测试,是指在对企业进行内部控制评价时,通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。例如,为了评价采购内部控制,评价人员或以选取一笔或若干笔材料采购,依据“请购单→订货→验收入库→库存保管→核准发票→付款→记账”的业务流程,对整个采购程序进行详细检查,以确定材料采购各个环节的实际执行情况是否与其所了解的内部控制一致。
◎抽样法。抽样法是指针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而评价业务流程控制运行的有效性。如何确定内控测试评价的抽样规模,目前尚未形成具有统一性、公认性的抽样标准,但部分国际会计公司在执行404审计中逐步探索出一些经验数据,值得研究思考并在此基础上予以完善。
◎比较分析法。比较分析法是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。作为评价方法的一部分,有些公司把它们的内部控制体系与其他主体进行比较,这种方法通常被称为“标杆瞄准”(benchmarking)。
◎文字说明法。文字说明法就是指将对被评价单位内部控制的调查结果,以简洁的文字加以叙述的方法。该方法优点是可以对调查对象做出比较深入和具体的描述,使用范围广泛,不受企业类型的限制;缺点是难以用简明的语言描述内部控制系统的细节,对于规模较大、内部控制系统复杂的企业,用文字说明势必显得冗长、头绪繁多,不便从总体上对内部控制系统做出全面评价等。实务中它还适用于记录控制环境、一般控制和实物控制方面的情况。该方法一般按照不同的业务经营环节及主要业务(或岗位),分别说明其具体内容及特征、经办的部门及人员、具体控制措施及方法、并提出有效控制的方面————与可能存在的问题。
◎控制矩阵法。控制矩阵描述了由被评价单位设计的用于达到内部控制目标的主要控制程序。通过控制矩阵,评价人员可以取得有关基本控制以及这些控制的明显缺陷的信息,这些信息一方面有助于评价人员就是否对交易处理系统方面的控制进行更为详细的评价做出决定,另一方面有助于保证评价人员在设计实质性测试时充分了解控制缺陷可能产生的内在影响。控制矩阵可以作为评价内部控制系统的辅助方法,甚至可以替代内部控制问卷。
◎流程图法。流程图法,是指用特定的符号和图形来描述某项业务的整个处理过程,将凭证和记录的产生、传递、检查、保存及其相互关系,用图解的形式直观地表达出来的方法。用特定符号编制的流程图表示业务处理标准化程序,可以直观地反映某项业务处理的全过程,它是实现管理现代化的一项基础工作。该方法的优点是可以将各项业务活动的职责分工、授权批准和复核验证等项控制措施与功能完整地显示出来,并且形象直观,能够突出现有的控制点,有助于评价人员全面了解内部控制系统的运行情况,及时识别系统中的不足之处,便于随时根据业务控制程序的变化对流程图做出修改。该方法的不足之处是由于缺少文字说明,较复杂的业务不易理解;绘制流程图需要一定的技术,尤其是较复杂的业务,绘制难度更大。一般说来,绘制流程图可以采用以下两种方式:一种是按照业务处理的先后顺序绘制成纵式的流程图。另一种是以业务处理过程中所涉及的部门为基础绘制成横式的流程图。评价人员在充分了解主要经济业务经营环节的基础上,应用如下方法编制所需的业务流程图:选用特定的流程图符号和线条;按照业务处理应经过的处理部门划分流程图绘制的区间,每一个区间只能从上到下绘制某一个部门的不同岗位处理业务的情况;从左到右、从上至下列明业务处理及业务处理流向;标明业务处理的职责分工及相关控制措施;注明每张文件凭单的出处与去向;对流程图符号或线条应具体说明其代表的含义。
上述方法并不相互排斥,而是相互依赖和相互补充的,在内部控制评价工作经常结合使用。这里要特别说明的是企业内部控制评价是一项非常复杂的工作,在具体评价时,应采用定性和定量相结合的方式。
内部控制评价工作离不开定性与定量的分析与计量,要使评价结果更精确、符合实际,必须有强大、健全的信息系统作强有力的支持。为此,应加快嵌入内部控制信息系统的建立,建立信息数据系统作为量化风险评估支持,以信息系统支持内部控制评价工作开展。为此,中天恒开发了3C内部控制评价信息系统,以达到以下目标:一是确保评价机构及时、充分获取评价对象相关数据,在充足的信息支持下,得出客观、全面的评价结果。二是提供自动计算功能,由系统完成固有风险、控制有效性和剩余风险的繁复计算过程。三是利用信息系统减少繁杂的内部控制评价工作底稿和内部控制评审报告的编制工作,提高评价效率。