第一篇:浅议内部控制缺陷的认定标准
浅议内控缺陷的认定标准
广州青叶浩勤会计师事务所 张俊杰
在内控审计中,对内控缺陷性质如何认定大多依靠注册会计师的职业判断能力,要判断就要有个基本的标准,没有标准的判断往往容易出现偏差,影响审计效率和审计质量,根据《企业内部控制基本规范》和《应用指引》等相关规定,现对内部控制缺陷的认定标准进行了梳理,供大家参考。
内部控制缺陷认定标准是公司内部控制评价结论形成的依据。对于内部控制评价过程中发现的控制缺陷,企业应当根据评价指引,结合自身的实际情况和关注重点,制定适应企业的内部控制重大缺陷、重要缺陷和一般缺陷的认定标准。
鉴于内部控制缺陷的表现形式和影响目标不同,可从公司层面与业务层面、财务报告与非财务报告两个方面来区分内部控制缺陷的认定标准。
一、公司层面内部控制缺陷的认定标准
(一)公司层面内部控制是业务层面内部控制的基础,属于与财务报告间接相关的内部控制。应关注如下定性因素:
1、缺陷在公司中的普遍性,是否具有广泛性影响;
2、缺陷对公司层面控制各组成要素的相对重要性;
3、管理层凌驾的风险包括考虑舞弊的可能性、以往内部控制缺陷记录、表明内部控制风险增加的迹象等;
4、控制运行有效性方面已发现的例外情形的性质、原因和频次;
5、缺陷可能造成的潜在影响。
(二)公司层面内部控制缺陷具体认定标准如下:
1、重大缺陷:
(1)识别出高级管理层中任何程度的舞弊行为,包括财务报告舞弊;资产不当使用;不实的收入、费用及负债;资产的不当取得;偷税和高层舞弊等方面;
(2)对已签发的财务报告进行重报,以反映对错报的更正;(3)外部审计发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报;
(4)审计委员会对公司的对外财务报告和财务报告内部控制监督无效,包括审计委员会不能履行对公司的财务报告和财务报告的内部控制实施有效的监督或不具备监控财务报告准确的资质及能力。
2、重要缺陷:
(1)沟通后的重大缺陷没有在合理的期间得到纠正;
(2)控制环境无效。例如,高级管理层不能或未在全公司范围内推动内部控制管理程序,管理层没有建立适当机制以获得会计准则变化及其他涉及财务报告要求的法规的更新,缺乏针对非常规、复杂或特殊交易的财务处理的控制等;
(3)公司内部审计职能无效。例如,未制定内部审计工作的相关制度,未明确内部审计工作的目标、职责、权利、标准等,或未按制度规定执行;内部证券法律部门缺乏独立性,内部审计人员资质不够等;
(4)对于是否根据一般公认会计原则对会计政策进行选择和应用的控制方面,没有相应的控制措施或有一项或多项措施没有实施,而且没有补充、补偿性控制的情况;
(5)对于非常规、复杂或特殊交易的账务处理的控制,没有建立相应的控制机制或没有实施,且没有相应的补充、补偿性控制;(6)未建立反舞弊程序和控制。例如,没有建立有效执行的职业道德规范、未建立举报和报告机制,董事会和审计委员会对反舞弊采取消极态度,管理层、审计委员会和董事会对认定的重大缺陷、重要缺陷及已发现的舞弊或疑似舞弊没有采取恰当的补救措施等。
3、一般缺陷:不属于重大缺陷、重要缺陷判断标准范畴内的缺陷
二、业务层面内部控制缺陷的认定标准
业务层面内部控制可以分为与财务报告直接相关的内部控制和与财务报告间接相关的内部控制。业务层面内部控制缺陷的认定可以采用定性、定量或定性与定量相结合的方法。
(一)财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。财务报告内部控制缺陷的认定标准,可由该缺陷可能导致财务报表错报的重要程度来确定。
财务报告内部控制缺陷一般通过定量的方法予以确定:
1、重大缺陷:如果一项内部控制缺陷单独或连同其他缺陷,具备合理可能性而导致不能及时防止或发现并纠正会计报表中的重大错报,应将其认定为重大缺陷。其中,重大错报中的“重大”,涉及公司确定的财务报告的重要性水平。可采用绝对金额法或相对比例法来确定重要性水平。
2、重要缺陷:如果一项内部控制缺陷单独或连同其他缺陷,具备合理可能性导致不能及时防止、发现并纠正会计报表中的错报,虽然未达到和超过重要性水平,但仍应引起董事会和经理层的重视,应将其认定为重要缺陷。
3、一般缺陷:不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为一般缺陷。
(二)非财务报告内部控制缺陷的认定标准
非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制,如战略目标、经营目标、合规目标等。公司可根据实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。
业务层面非财务报告内部控制缺陷具体认定标准:
1、重大缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消息流传全国各地,被政府或监管机构专项调查,引起公众媒体连续专题报道,公司因此出现资金借贷和回收、行政许可被暂停或吊销、资产被质押、大量索赔等不利事件
2、重要缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消息,被全国性媒体持续报道3次以上,受到行业或监管机构关注、调查,在行业范围内造成较大不良影响
3、一般缺陷:关于公司安全、环保、社会责任、职业道德、经营状况的负面消息,被全国性媒体报道2次(含)以下,省、自治区、直辖市政府部门或公司要求报告,对公司声誉造成一定不良影响
三、其他常见的内部控制重大缺陷举例参考
1、注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;
2、公司会计报告已经或很可能被注册会计师出具否定意见或拒绝表示意见;
3、公司审计委员会和内部审计机构未能有效发挥监督职能;
4、公司董事、监事和高级管理人员已经或涉嫌舞弊,或者公司员工存在串通舞弊情形并给公司造成重要损失和不利影响;
5、公司更正已公布的财务报告;
6、公司缺乏民主决策程序,如缺乏“三重一大”决策程序等;
7、公司决策程序不科学,如决策失误,导致并购不成功;
8、公司在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故,给公司造成重要损失和不利影响,或者遭受重大行政监管处罚;
9、管理人员或技术人员纷纷流失;
10、重要业务缺乏制度控制或制度系统性实效;
11、媒体负面新闻频现;
12、内部控制评价的结果特别是重大或重要缺陷未得到整改。
在日常审计工作中,由于各各公司经营模式、企业文化、历史背景不同,缺陷体现的方式和对财务报告的影响程度也不同,因此缺陷认定标准也不会完全一致,希望大家在实务中摸索出一套适合自己的缺陷认定标准。
2013年8月25日于上海
第二篇:内部控制缺陷认定的制约因素及应对策略
内部控制缺陷认定的制约因素及应对策略
摘 要:随着我国经济的高速发展,企业内部控制体系建设驶入加速发展的“快车道”。如何在实践在中探索一套科学有效的认定方法,正确判断内部控制缺陷、理清缺陷类型,对于持续改进企业内部控制体系、完善流程、防范风险、提升绩效,具有重要意义。
关键词:控制;缺陷;认定;制约因素;策略
一、内部控制缺陷的实质、类型及认定方法
(一)概念及类型。内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷,不断提高为内控目标实现提供合理保证的程度。正如COSO-RM(2004)对控制缺陷下的定义:“已经察觉的、潜在的或实际的缺点,抑或通过强化措施能够带来目标实现更大可能性的机会”。
我国2010年颁布的《企业内部控制评价指引》和《企业内部控制审计指引》,根据缺陷导致企业偏离控制目标的可能性大小,将缺陷分为重大缺陷、重要缺陷和一般缺陷,其中“可能导致企业严重偏离控制目标”的缺陷为重大缺陷;“严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标”的缺陷为重要缺陷;“除重大缺陷、重要缺陷之外的其他缺陷”为一般缺陷。
(二)认定方法。(1)定量判断法。通过评估内部控制缺陷可能导致财务报表错报的影响进行定量判断。(2)定性判断法。通过对非财务报告内部控制缺陷可能造成企业偏离战略目标、降低运行效率或损害社会形象等负面影响进行定性判断。
依据内控缺陷的严重程度,对企业内部控制缺陷进行逐一分级、认定。重大缺陷的认定。发现高级管理层任何性质的舞弊行为(无论舞弊是否重大);对以往发表的财务报表进行重报,以反映对错误或舞弊导致的错报纠正;内部审计发现出企业当期的财务报表重大误报,而内部控制在运行过程中未能发现该错报;内部审计对企业外部财务报告及对于财务报告的内部控制监督失效。重要缺陷的认定。对非常规和非系统交易的内部控制;对期末财务报告流程的内部控制;对监管严格的行业中的复杂公司,合规性监管职能失效;已向管理层和审计委员会汇报且经过合理期限后,重要缺陷仍未被纠正等等。
一般缺陷认定。对内部控制中存在的、除重大缺陷和重要缺陷之外的缺陷,列为一般缺陷。
二、制约内部控制缺陷合理认定的主要因素
(一)治理结构制约:内部控制设计缺陷“先天不足”。各个系统部门或下属单位“自己编筐装自己”,他们往往总是设计对自己有利的制度且要求较低,内部控制制度原始设计的低层级造成内部控制的先天性不足。
(二)评价方法制约:财务报告内部控制缺陷认定“力不从心”。由于非财务报告内部控制缺陷的认定和披露等要求没有做出明确界定,难以通过定量分析法予以认定,且国外没有先例可以参考,这就给企业的实际操作带来了难度,也降低了这项制度要求的效力和严肃性。
(三)个性差异制约:不同企业内部控制缺陷认定标准“参差不齐”。由于企业的目标不尽相同,经营业务范围和业务规模存在较大差异,因此,企业的内部控制也必然是个性化的。从严格意义上讲,不同企业内部控制缺陷的认定标准不能“一刀切”,需要因地制宜、因时而异,具体分析和评价。
三、解决内部控制缺陷认定制约因素的对策措施
(一)明晰内部控制缺陷的相关制度要求。为推进《基本规范》及配套指引的有效实施,国家有关部门应通过内部控制指引配套讲解等方式,针对内部控制缺陷评价和披露出台更加具体和有操作性的实施意见。有关内部控制缺陷的信息至少应披露以下内容:(1)内部控制缺陷的认定标准;(2)缺陷对外披露的标准;(3)按认定标准和披露标准确定的应对外披露的内部控制缺陷;(4)采取的缺陷整改措施;(5)采取整改措施后的剩余风险。同时,监管部门要完善责任追究制度,对因故意行为造成投资者重大误读及实际损失的,要加大监管处罚力度,为信息披露创造良好的外部环境。
(二)完善企业内部治理结构。完善企业治理结构是内部控制的基本要素。当前,企业应顺应内部控制发展的要求,通过理顺所有者、董事会和管理层等不同层面之间的关系,确保经营行为符合股东和利益相关者的利益。对于企业存在的机制或制度缺陷,以及管理层偏离企业目标等行为,内部审计部门不受管理层的限制,可向高管层直接发表独立意见,并实施内部控制评价工作,保障信息披露真实、透明。
(三)发挥内部审计的监督评价作用。《基本规范》及配套指引明确规定,内部审计是企业进行内部控制监督与评价的监督机构。内部审计要承担起企业内部控制的监督与评价职责,坚持源头介入、全程跟踪,充分发挥“建设性”作用,积极参与内部控制的原始设计以及运行过程的修改、补充和完善,力求使内部控制体系既体现企业的管理理念、经营风格、企业文化等特点,又符合具体业务流程和控制点的实际情况,并要有较强的针对性。要站在独立客观的角度,评价企业内部控制的有效性,既关注企业运行执行层面的具体风险,更从全局和整体上把握存在于部门、业务及流程间缺陷和漏洞,并通过提出合理化的审计建议,帮助企业及时改进控制、防范风险,充分发挥内部审计监督评价作用,为企业提供增值服务。
第三篇:内部控制评价标准的思考
内部控制评价标准的思考
平湖支行 谢晓
摘要:本文简述内控评价的解释和由来,分析我国内控评价的现状,再研究、探讨国际上内控评价体系的发展历程,从中得到一些体会和经验,最后根据借鉴国际经验和个人分析得出一些建立科学的内控评价体系的思考。
关键词:内控评价 国际经验 科学体系
一、内控评价的由来
内部控制评价是内部控制发展到一定阶段的必然产物。内部控制是指通过制定和执行一系列具体的制度、程序和方法,对相关风险进行识别、分析和应对的机制和动态过程。内部控制评价是对被评价对象内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动,是对内部控制制度性安排进行的验证、审视和判断。
二、我国内控评价的现状
我国对内部控制评价的研究起步较晚,尤其是对中央银行内部控制评价的研究发展较为滞后。20世纪80年代末至90年代初,随着内部控制的发展,以内部控制评价为主的符合性测试开始受到专业人员的关注和使用,但内.部控制评价仍停留在对内部管理制度执行的一般了解上,内部控制评价还只是起辅助作用。20世纪90年代中后期,我国政府才开始积极推进内部控制和内部控制评价的规范化建设。1997年5月,中国人民银行颁布了《加强金融机构内部控制的指导原则》,对金融机构内部控制的定义、目标、原则和内容等做出了规定。2002年,中国人民银行借鉴COSO报告,颁布了《商业银行内部控制指引》,指出内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。2006年4月,中国人民银行出台《中国人民银行分支机构内部控制指引》(以下简称《指引》)。这是一份主要基于COSO整体框架思想的内部控制建构指引,它的颁布为人民银行分支机构内部控制建设提出了框架性意见和方向性指导。但是,该指引在范围上没有包括人民银行总行,仅针对人民银行分支机构,在对象上是针对内部控制,并非内部控制评价。
三、国际内控评价发展概况
综观内部控制理论和实践产生和发展的演进历程,可以将内部控制的发展划分为五个阶段,即内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整体框架阶段、风险管理总体框架阶段。20世纪30年代以来,世界各国行政管理机构、审计部门、企业及研究人员对内部控制进行了理论和实践探讨,取得大量成果。
(一)、美国的内部控制评价
1978年,美国柯恩委员会(Cohen Commission)就建议企业管理当局在披露财务报告时,提交一份关于内部控制系统的评价报告,说明管理当局对公司会计系统及其控制的评估,包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反应的描述,并要求独立注册会计师对该报告进行证明。
1987年,Treadway委员会(全美反舞弊财务报告委员会)在其报告中也提出了类似的建议,虽然Treadway委员会未对内部控制提出结论,但其报告立刻引起了广泛的反应。随后Treadway委员会发起的组织(COSO),于1992年在《内部控制——整体框架》中提出了内部控制报告的框架。Cohen报告、Treadway报告、COSO报告均认为,内部控制报告应着重说明控制系统的有效性。
在1979年和1998年,美国证券交易委员会(SEC)分别提议强制要求提供内部控制报告。1989年,美国政府审计署(GAO)也曾提议在存贷机构紧急援助议案中,应规定管理当局和审计人员报告内部控制,但都没有形成最终议案。2001年以来,美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注,严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心,迫于这种压力和形势,2002年7月,美国国会通过并颁布了SOX法案,致力于治理财务丑闻和财务报告中可能出现的问题,目的是为了恢复公众对公司会计实务和财务报告的信心。SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求,把过去的很多自愿和选择性做法变成了法定的、强制性的要求,其中302节和404节尤为具体,对内部控制的评价和报告进行了明确的规定和要求。
SEC根据SOX法案的规定,于2003年6月发布的“最终规则:管理层的财务报告内部控制②报告和交易法案定期报告中披露的确认”要求,管理层对公司财务报告内部控制有效性的评价必须依据一个适当的、公认的控制框架,并同时指出,COSO框架满足它们的要求。SOX法案为上市公司规定了一个内部控制的评价和报告体系,以提高内部控制的有效性,加强内部控制信息的透明度。根据SOX法案302节“公司对财务报告的责任”和404节“管理层对内部控制的评价”以及SEC的相关规定和PCAOB的ASNo.2,美国上市公司内部控制的评价和报告体系应当包括:公司管理层对财务报告内部控制的有效性进行评价,对内向审计委员会报告,对外发布公开报告;注册会计师对财务报告内部控制进行的审计,对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。
(二)、英国的内部控制评价
英国内部控制的特色是建立在其特定的内部控制法律框架基础之上的。英国内部控制的法律框架主要包括四个部分:一是公司法和普通法;二是上市股票登记规则;三是公司治理的联合规则;四是Turnbull指南③。其中Turnbull指南把风险管理、内部控制和商业目标联系了起来,指出风险管理是企业内每个人的责任;认为董事会应当在获得信息和做出承诺时仔细检查公司制度的有效性,确保风险管理流程已经成为公司日常程序的一部分,并能够在遇到风险时做出快速反应;强调内部审计的职能以确保公司经营目标的实现。2005年,Turnbull指南在保持基本原则不变的情况下进行了局部修改,并于2005年10月颁布了修改后的Turnbull指南。其内容包括:保持健全的内部控制系统,审查内部控制的有效性,内部控制的董事会报告书,内部审计等四项内容。该指南规定董事会在定期审查内部控制报告以及实施评价时,需要重点考虑内部控制系统的风险评估、控制环境与控制活动、信息与沟通和监控等四个构成要素的相关问题。Turnbull指南认为评价内部控制的有效性是董事会责任的重要组成部分,并要求董事会必须对内部控制进行评价并报告。早在1994年,Cadbury委员会④在其发布的《内部控制和财务报告》中要求英国各公司公布一份有关其内部财务控制制度的声明,这份声明至少必须包括以下内容:承认董事会对内财务控制负责;为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证作出解释;描述董事会为了确保有效的确认内部财务控制已经建立的关键程序;证实董事会已经审核过内部财务控制制度的有效性。Cadbury鼓励但不要求董事会对内部财务控制制度的有效性发表意见。根据当前英国内部控制的法律框架,英国的内部控制评价与报告体系包括以下主要内容:审查内部控制有效性的责任;审查内部控制有效性的过程;董事会对内部控制的声明;注册会计师的责任。
(三)、加拿大的内部控制评价
1.CoCo的评价标准。1995年,加拿大特许会计师协会(CICA)的控制标准委员会(CoCo)发布了《控制指南》,这是一个关于主体控制系统的设计、评估和报告的指南,其目的是为实体各个层级的人开发、评价和改进控制时提供参考和依据。1999年,CoCo发布的《评估控制指南》设计了形成一份评估报告的10步程序,其评估的重点是关于目标的信息和相关风险的管理。CoCo对控制的评估着眼更多的是企业未来,而不是对过去的评价。CoCo从目的、承诺、能力、监督与学习等四个基本要素出发,制定出了有效控制的20个评价标准。
2.CoCo的评价体系。CoCo的评价体系在评估控制的有效性时,通常针对实体的具体情况把评价指标设计成一系列问题,根据问题的答案来评价内部控制的有效性程度。重点从企业的战略目标同经营目标的协调、目标的实现、风险的控制、企业文化、员工能力、监督与控制等方面设计问题,评价内部控制的健全性和运行的有效性。
(四)、巴塞尔银行监管委员会的内部控制系统评价 1998年9月,巴塞尔银行监管委员会发布的名为《银行组织内部控制系统的框架》(Framework for the Internal Control Systems in Banking Organisations)的报告中提出了一个内部控制系统的框架。该报告规定了银行组织内部控制系统的目标,设计了内部控制的五个相互关联的构成要素,并针对内部控制系统提出了五个要素和12条原则。其中五个控制要素为:(1)管理监督与控制文化。包括董事会、高级管理者、控制文化等;(2)风险识别和评估;(3)控制和职责分离;(4)信息与沟通;(5)监督活动与纠正缺陷。12个基本原则是:董事会最终责任原则;高级管理层的执行原则;塑造控制文化原则;控制风险原则;控制结构原则;职责分离原则;信息获取原则;信息系统原则;信息沟通原则;整体有效性原则;独立内部审计原则;及时报告原则。
巴塞尔银行监管委员会要求监管当局对内部控制系统进行评价,在其第12条原则中提出,“监管者应当要求所有的银行,无论其规模的大小,应当建立一个与其性质、复杂程度和借贷活动固有的风险相一致的内部控制系统,并且对银行环境和条件的变化做出反应。如果监管者确认某一银行的内部控制系统对其特定的风险状况来说是不充分或无效的,他们应当采取适当的行动。”评价标准和依据就是其所提出的目标和12条原则。
四、建立科学的内控评价的个人思考
(一)建立严密的内部控制综合评价体系
人民银行内部控制综合评价活动应由总行统一部署,各分行统一组织,中心支行具体实施。内部控制综合评价工作应每年进行一次,采取下查一级的办法。应制定统一的内部控制综合评价办法和操作规程。各级行应设立内部控制综合评价领导机构——内部监督委员会,负责内控评价的组织计划、监督管理、等级认定和责任人处理。各级内审部门作为内部监督委员会的常设办公机构,具体组织内部控制综合评价活动,行使直接评价职能。内控建设评价属于内部控制健全性评价范畴,是对被评价单位及时贯彻落实上级行金融方针、政策和有关规章制度情况进行的评价;内控执行评价属于内部控制遵循性评价范畴,是按主要业务类别及其主要内部控制点,对被评价单位的内部控制制度执行过程和执行结果进行的有效性评价;内控保障评价主要是根据“三道防线”的控制要求,对专职监管部门和岗位履行监管职能情况进行的评价。
(二)明确评价内容和标准
内部控制评价的范围是人民银行所有业务活动的全过程,重点是单位内部最容易发生风险的失控点,主要集中在直接管人、财、物、权力的重要岗位或环节上,特别是对财务、资金的监督要作为重点。评价的主要内容及主要控制点:
1、内控建设评价。内控建设评价采取通过调查问卷或召开座谈会的形式,了解被评价行各项业务的管理模式,分析这些管理模式能否将不相融岗位分开设置,岗位之间相互制约,工作环节衔接,决策按程序进行。
2、内控执行评价。内控执行系统评价是对各职能部门为完成工作目标和防范风险,对各项业务和内部管理活动进行风险控制、制度管理和相互制约体系的评价。
3、内控保障评价。根据“三道防线”的内部控制要求,对业务主管部门履行监管职责的评价,主要是评价业务主管部门是否按规定对所属机构开展业务检查,是否配备检查人员,对检查发现的问题是否落实整改措施并有整改回复,对重大问题是否移交监督部门。
(三)设定科学的计分方式和评价等级
内部控制综合评价须以量化评价为主,要对有关评价内容或要点赋予一定的分值,并根据各种不同业务及其各个环节在内部控制整体中所产生影响的程度,设定不同的“内控权重”。其中内控建设评价系统占评价总体的10%,应主要包括及时转发上级行有关制度文件的评价,员工对各项规章制度掌握程度的评价,按规定制定有关实施细则的评价。内控执行评价系统占评价总体的70%,应包括会计业务内部控制的评价,财务管理内部控制的评价,国库业务内部控制的评价,信贷资金管理内部控制的评价,外汇业务内部控制的评价,发行业务内部控制的评价,计算机业务内部控制的评价,机要保密、印章管理内部控制的评价等。内控保障评价系统占评价总体的20%,应主要包括业务主管部门履行监管职责的评价,监管部门履行监管职责的评价,领导决策系统及决策行为的评价。
内部控制综合评价计分系统分三个计分层次,采用加权平均方式,按百分制计分。评价等级设置内控一类行、二类行、三类行和四类行四个等级。一类行,属于正常控制行,评价分值在90分以上。这类行内部控制状况良好,各项制度健全有效,岗位设置和分工合理,制度执行严格,能有效地防止违规违纪行为和经济案件的发生。二类行,属于基本控制行,评价分值在90分以下至75分。这类行内部控制基本正常,各项制度齐全,但在制度建设或制度执行方面还存在少量的缺陷和弱点,但这些问题对业务的运行和内部控制效果尚未产生明显影响,没有违章违规问题发生。三类行,属于控制较弱行,评价分值在75分以下至60分。这类行内部控制状况不良,内部控制制度及其执行存在明显缺陷和弱点,部门分工、岗位设置不合理,存在一定的违章违规现象。四类行,属于基本失控行,评价分值在60分以下。这类行内部控制状况很差,内部控制制度不健全,并存在严重的缺陷。部门分工不合理,岗位职责不清,违章违规问题经常发生,并有经济案件,现有的管理体系已经无法避免风险。
内部控制综合评价要坚持定量分析与定性分析相结合,在对各项评价内容严格检查、打分和初步得出评价等级以后,还要结合被评价单位内部管理状况和经济案件发案率的高低情况进行考评。
【参考文献】
[1].吴水澎,邵贤弟,陈汉文,“企业内部控制理论的发展与启示[J]”,《会计研究》,2000(5)[2].罗绍德,唐群力,“企业内部控制的新制度经济学解析[J]
《审计与经济研究》,2003(6)[3].朱荣恩,“内部控制评价[M]”,北京:中国时代出版社,2002 [4].张宜霞,舒惠好,“内部控制国际比较研究[M]”,北京:中国财政经济出版社,2006 [5].何芹,“内部控制评价的比较分析[J]”,《财会通讯(学术版)》,2005(11)[6].王化成,“企业业绩评价[M]”,北京:中国人民大学出版社,2005 [7].沈艺峰,林志扬,“利益相关者理论评析[J]”,《经济管理 新管理》,2001(8)[8].王化成,刘俊勇,孙薇,“企业内部控制评价[M]”,北京:中国人民大学出版社,2004
第四篇:邯郸农行金库盗窃案之内部控制缺陷剖析
邯郸农行金库盗窃案之内部控制缺陷剖析 7
【摘要】近几年四大国有银行不断爆出惊天大案,根本原因是内部控制存在重大缺陷。笔者通过邯郸农业银行金库被盗案就银行内部控制中的弊端加以详细分析。
2007年4月14日下午14时许,河北省邯郸市农业银行金库发现一起特大盗窃案,被盗现金人民币近5100万元。经调查发现,金库保管员任晓峰、马向景有重大作案嫌疑。公安部随即发出A级通缉令,对二人进行通缉。经过55小时的侦破,随着最后一名犯罪嫌疑人任晓峰19日上午8点20分在江苏连云港的落网,这起特大金库盗窃案全面告破。
这是农行继“3.31四员工挪用700万元公款玩体彩”案之后不到半个月的又一大案,且涉案金额再创新高。农业银行作为我国四大国有银行之一,在我国经济发展中承担着举足轻重的作用,也是国家经济监督和风险防范的重中之重,按理说,其内部控制体系也应该十分健全。可自2005年以来频频曝光的一系列银行大案,从银行小职员贪污,到分支机构负责人与外贼勾结作案,再到总行高管收受贿赂等等,四大国有银行无一幸免,我们不得不沉思,国有银行到底怎么了?
通过以下对邯郸农行金库盗窃案的剖析,我们不难看出其内部控制体系上的重大缺陷。
一、控制环境无效
企业员工正直诚信的道德价值观与胜任能力,管理阶层的管理哲学与经营风格,权责委派及组织结构、人力资源政策以及董事会和审计委员会构成企业的控制环境,决定着其他控制要素能否发挥作用。而在邯郸农行内部,由于忽视了员工的不良嗜好以及缺乏对其的适当引导,导致了内部控制环境的缺失,也促成了盗窃案的最终发生。
(一)对员工不良嗜好的忽视成为了盗窃案的导火线
本案中的犯罪嫌疑人之一任晓峰的“好赌”是尽人皆知。平日下班之后,背着领导最喜欢干的事情就是赌钱,在案发前两天,他还和别人一起打过牌。任晓峰虽然好赌,但其赌运并不好,通常都是以输告终。任晓峰的另一个爱好就是买彩票,甚至在他逃跑的时候都还想着彩票,连看报纸都下意识地翻翻有没有彩票的相关报道。任晓峰在落网后坦言,“我在逃跑的时候连饭都没心思吃,但是我看到彩票投注点就想下车买点,没什么其他想法,就是手痒痒”。但和他赌钱一样,买彩票也是赢得少输得多。和任晓峰不一样,马向景的爱好是“好酒”和“好玩”。据说,每日下班之后,马向景离不开的就是一口酒,但自己又没有一个度,喝完酒就跑到娱乐场所去“潇洒”,因此开销比较大。
而关于两人好赌、好玩的不良嗜好,其实单位不少人都知道,但都认为这是员工的私人问题,与工作无关,因此均未在意。也正是因为两人一个好赌,一个好玩,遇到一起才谋发并实施了“从金库盗钱购买彩票”的荒诞行径。殊不知,员工正直诚信的道德价值观是内部控制环境的重要组成内容,而不良嗜好的存在可能会引发员工品行的改变。
(二)体制不合理是大案发生的根源
从陆续发生的银行大案中,我们发现一个很有意思的现象:发生大案的银行大都是几大国有银行,或者是已经“工农中建化”的股份制银行,而那些市场化程度很高的股份制商业银行却很少有大案发生。股份制银行与国有银行的差异最终源于体制上的不同:股份制银行受到的行政干预比较少;没有单一的控股股东,关联交易较少发生;其经营目标就是在有效控制风险的前提下为股东创造更多的利润。正是在这种现代公司治理结构下,它们才会去通过制度建设来防范案件发生,才会通过一系列措施去进行组织结构调整、强化风险管理、健全内控机制,使家贼无可乘之机。作为国有独资银行之一的农业银行,其资产名义上归全民所有,实际上所有者被长期虚置。所有者缺位的结果导致农行内部还未建立起现代公司治理结构,而通过股改已在海外上市的工行、建行和中行为在其“上市”之旅中不断完善内控,加强风险管理,已逐步建立起完善的公司治理结构。相比之下,农行的体制改革已显落后,因此,发生在农行系统内部的“跑、冒、滴、漏、盗”现象就更显刺人耳目。据2005年的国家审计结果,农行违规、涉案金额仍高达615.6亿元,查出涉嫌犯罪案件51起,涉案金额86.84亿元,涉案当事人157名。可见,体制的不合理是农行“小案不断,大案频频”的根源。
(三)管理者的失职为盗窃案的发生提供了可乘之机。
从表面看,本案的发生似乎是用人不当,但管理者的有章不循对该案的发生有着不可推卸的责任。也正是因为两嫌犯了解银行内部控制的执行情况,熟知内部监管的漏洞,其才敢如此猖狂地盗窃金库,说到这里,笔者不禁想起一句话——“抢劫一家银行不如拥有一家银行”,这正是对本案的形象描绘。也正是因为管理者的失职,在事情被银行发现后,该行行长本想通过自查抓住案犯以减轻其责任,结果自查无果,所以又延迟了三天才向警方报警。
二、风险意识薄弱
国有银行在过去几年的股改中,为了获取上市资格,把注意力更多地放在了如何实现不良贷款的“双降”上,而忽视了内部组织结构调整、加强操作风险管理、建立良好内控机制等。而目前,其虽然已在总行层面完成了组织结构设置调整,建立起现代银行的风险管理和内部控制体系,但在广大的分支机构,原来的体制还没有发生太大改变,其分支机构风险意识薄弱、内控机制也尚不健全。在本案中,经公安机关初步排查,任晓峰、马向景作案都是先切断电源,使异地监控无法实施后再盗取库款。根据保安押运公司监控值班人员的记载,4月13日晚11时45分监控显示屏不显示;4月14日12时12分左右再次不显示,且自动向110报警,110迅即查问保安押运公司守库室,守库员电话询问任晓峰,任回答:“未通知撤防导致误报。”恰恰在此时间段,任晓峰等人正在疯狂作案。任晓峰、马向景实施作案时银行金库的监控设施曾先后3次自动报警,但并未引起银行方面的重视。银行风险意识的薄弱在一定程度上给该案的发生创造了时机。
三、控制活动失效,监控措施虚设
COSO报告指出“控制活动是确保管理阶层的指令会被实现的制度和程序”,它由企业内的“人”制订,并通过“人”的行为得以实施。Bologua等人在1993年提出的会计舞弊GONE理论认为,人性的贪婪(Greed)是造成舞弊的一个风险因子,当舞弊者既有贪婪之心(Greed),且又十分需要钱财时(Need),只要有机会(Opportunity),并被认为事后不会被发现(Exposure),他就会发生舞弊行为。因此,任何内控制度的建立,都是以对他人“有罪推定”为基础的,即认为任何人都有作案的可能。如果内控严格,就算有人有作案动机,也没有作案的任何机会,内控制度是既防小人,也防君子的。但本案的发生却暴露出案发银行的很多内部监控措施并没有有效执行,控制活动总体上处于失效状态。
(一)根据金融行业金库管理相关规定:管库人员、守押人员、运钞人员三者是互为监督、相互制约的。换言之,管库员要盗窃这笔钱,要么事先制服守押和运钞人员,要么三类人员相互串通,沆瀣一气。但在本案中,现场既没有搏斗或被制服的迹象,后两类人员也没有串通犯罪的嫌疑。显然,金融机构严肃和近乎苛刻的防范和内控机制在案发银行完全是形同虚设的。
(二)根据银行金库管理制度相关规定要求,金库必须坚持查库制度。中心库管辖行的出纳负责人每旬对中心库和分金库查库不少于一次,分管行长每月对中心库和分金库查库不少于一次,上级行要对下级行进行定期或不定期的查库。而本案中,被盗的5100万元现金是由犯罪嫌疑人从2006年11月到2007年4月这5个月间分多次偷出来的,在长达五个多月的时间里,银行本应进行的15次查库竟然没有查出现金的短损,这不能不使人对银行的内控机制产生质疑。犯罪嫌疑人任晓峰的回答更是印证了该行的监管漏洞,他说“……别人不可能天天来查看金库的钱有多少,所以我们盗窃金库是很简单的事情。”
(三)按照有关规定,银行金库与营业厅之间不得另设通道,但邯郸农行却违反了此规定,为任晓峰从营业厅进入金库作案提供了便利;任晓峰、马向景二人既掌握金库钥匙,又掌握相关密码,而缺少制约环节,客观上埋下了安全隐患。
四、监督不力
监督作为内部控制体系的组成要素,是检查内控缺陷的必备手段。监督活动包括持续的监督活动、个别评估和报告缺陷。
(一)未开展内部控制自我评估
内部控制自我评估是企业内部人员诊断内控缺陷,完善内控体系的一种现代方法。该方法在其他国家已得到广泛推广,而我国内部审计协会已于2006年6月5日发布了《内部审计具体准则第21号——内部审计的控制自我评估法》,该准则自2006年7月1日起实施。但在我国真正开始实施内部控制自我评估的企业还只是凤毛麟角,几大国有银行还均未涉足。
(二)缺乏报告缺陷的机制
在本案中,案发银行员工、原金库管理员张强,在2006年10月左右,在任晓峰的多次劝说和引诱下,与当时任金库管理员的赵学楠曾两次从金库盗取现金20万元给任晓峰购买彩票,事后任晓峰还给张强18万元。张强害怕事情败露,自掏2万元入库平账。这就说明,任晓峰金库行窃的行为并非无人察觉,如果张强事前告发其行窃动机或行为,可能会避免事情的发生;或者说,张强在帮凶后能够及时告发任晓峰的行窃行为,也将阻止事情的进一步恶化,因为内部员工的告发是识别欺诈的重要手段。
“监守自盗”是人们对该案的形象总结,从上面的分析,我们可以看出,大案的发生无疑源于其内部控制的缺陷,这当中既有偶然,也是必然。
第五篇:高级会计师复习:内部控制缺陷整改
http://www.xiexiebang.com/ 高级会计师复习:内部控制缺陷整改
为了帮助参加2015年高级会计师考试的学员巩固知识,提高备考效果,中华会计网校特为大家整理了高级会计师考试考前复习重点,帮助广大考生一起学习一起进步。
内部控制缺陷整改
●企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行。
●方案需明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。对于认定的重大缺陷,还应及时采取应对策略,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
●通常做法:
◢董事会应负责重大缺陷的整改,接受监事会的监督。
◢经理层负责重要缺陷的整改,接受董事会的监督。
◢内部有关单位负责一般缺陷的整改,接受经理层的监督。
内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等,整改期限超过一年的,还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。
中华会计网校 会计人的网上家园 www.xiexiebang.com
点击咨询 