企业内部控制评价体系案例分析及其启示

　一、W市A公司内部控制评价体系的案例分析
　　W市A公司是一所中外合作经营企业。该公司的直接母公司是A（中国）投资有限公司，最终母公司是A能源有限公司。该公司主要从事能源、环保及相关领域的技术商务咨询和服务等。
　　（一）公司内部控制评价体系的构建为了实现对内部控制本身及其执行状况的动态优化和实时监督，A能源有限公司于2004年根据《内部控制——整体框架》（Internal Control-Integrated Frame-
　　work，简称“COSO报告”）和《萨班斯——奥克斯利法案》（Sarbanes-
　　Oxley Act，简称“SOA”）第404条款的要求开始着手建设本公司及其各子公司的内部控制，由其审计委员会编写了《内部控制手册》及一系列公司指导性文件，通过局域网向各子公司传达，要求各子公司按照最终母公司的要求按期完成自身内部控制的设计和执行。实际上，A能源有限公司已经设计出了一套全面且具有普遍性的内部控制体系，各子公司只需要根据这个内部控制体系来对照出自身适用的控制活动进行自我评价，然后各子公司的直接母公司会定期派出内部控制经理（隶属于直接母公司的财务部）到直接下属的子公司进行第二次评价，内部控制经理会根据两次评价的结果写出评价报告，提交给子公司管理层，供子公司修正。此外，A能源有限公司还开发设计了一个供各子公司向母公司反映其内部控制自我评价情况的局域网系统（以下简称为“自我评价网络”），直接母公司和最终母公司都可以通过这个系统来监督子公司内部控制自我评价的情况及进度。
　　（1）内部控制体系的构建。A能源有限公司将内部控制活动划分为十二个环节（根据经营环境及其它因素的变化，还可以适时增加或减少某些适用或不适用的环节）：总体控制环境、收入、与业务相关联的采购类支出、人事类支出、固定资产类支出、存货、生产制造、资金、财务报告、信息系统和信息技术、税务和法律事务，针对每一个环节作了风险评估，针对评估出的风险制定出对应的控制目标，然后再根据控制目标制定出详细具体的控制活动，控制活动下又划分出关键（Key）控制活动和一般控制活动。A能源有限公司的内部控制设计过程如图1所示：
　　
　　
　　
　　
　　
　　
　　由于控制活动多达两百多项，A能源有限公司下属的各子公司的经营规模、管理复杂程度又不尽相同，因此A能源有限公司按一定标准将各子公司分为A、B、C三类，A类子公司必须对所有的控制活动进行自我评价，B类子公司至少要对关键控制活动进行自我评价（至于还需针对哪些一般控制活动，则看相关的具体要求），C类子公司则只需对关键控制活动进行自我评价。W市A公司属于C类子公司。A能源有限公司的内部控制体系（由于控制活动数量较多，笔者只选取了小部分进行列示）如表1所示：
　　（2）内部控制评价体系的构建。主要包括：
　　一是评价主体。在各子公司，总经理和财务总监对内部控制评价工作负责，每一项控制活动都应有相应的负责人，而负责人由公司管理层开会协商决定，并非由一个或两个人决定。如果由于受到自身经营规模和业务繁简程度的限制，公司管理层经过开会协商仍无法确定某项控制活动的负责人，可以向直接母公司的内部控制经理求助，以确保控制活动的负责人都是能够胜任的。公司负责内部控制的工作人员都必须熟读《内部控制手册》，以了解内部控制的概念和重要性、如何设计、执行及自我评价内部控制，以及如何将内部控制的精神传达到每个公司员工。由于内部控制自身的局限性，在评价过程中只要发现《内部控制手册》中有未提及或不适用的内容都可以向最终母公司的内部控制负责人反映，甚至与之讨论。
　　二是评价方法。相应负责人首先进行 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一次自我评价，将评价情况及时反映到自我评价网络中，然后各子公司的直接母公司会按照最终母公司的时间部署定期派出内部控制经理（隶属于直接母公司的财务部）到直接下属的子公司进行第二次评价，内部控制经理会根据两次评价的结果写出评价报告，提交给子公司管理层，供子公司修正，以进行第二次、第三次自我评价。无论是相应负责人的自我评价，还是直接母公司内部控制经理的评价，他们都会根据一个统一的评价标准来确定其评价等级。评价等级分为五个等级，分别用1、2、3、4、5表示，从1到5，从低到高。A能源有限公司的内部控制评价等级说明见表2。需要说明的是，该评价等级仅针对适用于本公司的控制活动，不适用于本公司的控制活动则单独列为“不适用”。
　　表2中所提到的“支持文件”是指能够证明控制活动存在并且有效的文件，文件形式可以多样化，可以是纸质文件（如合同）、电子版文件（如通知全体员工的电子邮件）或者其它形式的文件，只要是能够证明控制活动存在并且有效的可见资料都可以作为支持文件。
　　（二）公司内部控制评价体系的实施 相应负责人在对某项控制活动进行自我评价时，首先应判断此项控制活动是否适用于本公司，如果不适用则先列为“不适用”；如果适用则再判断是否存在此项控制活动，若不存在则直接评定为1，同时应拟定详细的行动计划以改进现状的不足；若存在则继续下一步判断是否有足够的支持文件，如果没有支持文件或支持文件不足以支持，则评定为2，同时也应拟定具体的行动计划以使此项控制活动能及时有文件作为支持。如公司在“现金保管”上有严格的控制，但是没有形成正式的规章制度，那么就是没有足够的支持文件，这时相应负责人应及时敦促有关人员起草相关的规章制度，再送交具有相关修改、批准权限的管理人员进行修改、批准，最后向相关部门（或人员）公布；如果有足够的支持文件，则评定为3。3也是目前A能源有限公司要求各子公司无论A、B、C类，都必须达到的等级。至于4和5，由于A能源有限公司目前在这两个评价等级上的建设还不尽成熟，因此未做要求，加上W市A公司目前自身经营规模和业务繁杂程度的限制，现在如果要达到4甚至5在经济上也是不适用的。
　　子公司直属母公司的内部控制经理定期来对相应负责人的自我评价进行再评价时，首先会依次询问每位相应负责人负责的控制活动的情况，主要是通过询问、观察、查看相关支持文件和讨论来判断相应负责人所作的自我评价是否真实，如果觉得不甚真实则会做出自己的再评价并提出改进建议，最后会向子公司内部控制工作的最终负责人（总经理和财务总监）提交评价报告，上面会列出子公司相应负责人原先的自我评价、内部控制经理本人的再评价及改进建议等。相应负责人只需查看评价报告中自己负责的控制活动，一方面按照评价报告及时更新自我评价网络，一方面更新自己负责的控制工作。比如，自我评价时列为“不适用”或者评为3的控制活动，经过内部控制经理的考证判断被评定为1或2，那么相应负责人就必须尽快拟订详细的行动计划来改进此项控制活动。
　　
论文检测天使-学术行为不端检测免费软件http://www.jiancetianshi.com
综上所述，A能源有限公司建设的内部控制评价体系就是对CSA的运用。但是这种运用并没有局限于某一时点或某几个时点，而是从时点有效性和时期有效性入手，坚持定期自我评价，从而保持自我评价的一贯性。实际上，通过这种自我评价，W市A公司从一年前一开始进行自我评价时的几乎90%的控制活动（不包括“不适用”的控制活动）的评价等级都在3以下，到现在的几乎99%的控制活动（不包括“不适用”的控制活动）的评价等级都达到了3；从开始不甚规范的文件管理链到一系列正式文件及较为规范的文件管理链的出台；从开始只能通过电子邮件向公司员工传达内部控制思想和共享文件到现在可以通过公司自己开发的网上公共文件图书馆供公司各部门自由共享非保密文件，公司员工的内部控制意识得到了提高，公司的控制环境得到了有效地改善，W市A公司的内部控制评价取得了预期的效果。




　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、案例对构建我国企业内部控制评价体系的启示
　　上述案例是立足于全面提升企业内部控制和管理水平，以风险为导向但又突破了传统审计范畴的内部控制评价实践的有益尝试。从完整性来看，其控制目标直接着眼于企业经营管理的需要，以风险为导向，这从源头上超越了传统的内部会计控制，保证了内部控制评价的完整性；从合理性来看，如案例所述，最终母公司根据经营规模和业务繁杂程度将各子公司分为A、B、C三类，每一类子公司所需进行的内部控制评价的内容都是与其经营规模和业务繁杂程度相一致的。此外，各子公司还有充分的自主判断权，由于W市A公司的经营规模较小、业务繁杂程度较低，因此适用于它的控制活动实际上只有六十多项。这样也保证了内部控制评价的合理性；从有效性来看，基于控制环节分析和风险评估过程设计的控制活动奠定了详细指导、评价和改进的基础，而其中的关键控制活动则保证了评价能够重点突出、抓住要害。
　　（一）全员参与内部控制评价 全员参与是近些年各类管理实践都普遍强调的要点之一，它对于增强员工主动性、塑造优秀的企业文化、提高经营管理效益等都有着积极的意义。在评价内部控制时强调全员参与同样具有丰富的内涵。作为评价对象的内部控制体系包含多重风险评估和控制目标，涉及企业多个层面和各项业务，仅仅依靠个别部门实施评价工作显然是不可能的。通过员工的广泛参与，一方面可以对企业和业务层面的各类风险进行更透彻的分析和评价，并进一步对控制活动的完善实施有效评价；另一方面可以增强员工的风险管理和内部控制意识，此种意识在原先仅处于被控制地位时是很难自觉形成的。在案例中，确保公司所有员工了解内部控制的重要性也作为一项控制活动；相应负责人在评价过程中只要发现《内部控制手册》中有未提及或不适用的内容都可以向最终母公司的内部控制负责人反映；W市A公司管理层通过开发的网上公共文件图书馆供公司员工交流，都充分反映了“全员参与”的思想，该公司员工对内部控制的认识和积极性确实也得到了显著的提高。
　　（二）以风险为导向企业内部控制评价体系是一个复杂的系统，涉及到生产经营的方方面面，以什么为导向对于这一系统非常关键。超越审计范畴的内部控制评价必然强调对管理控制功能的全面评价，以保证经营效率和效益的目标既涉及各类生产流程和管理流程对人、财、物等资源的有效利用，又涉及物资、资金和信息的匹配与协调，使管理者既能谨慎地承接风险，又能将风险维持在一个合理的水平之内，其复杂性远远超过了仅针对内部会计控制的评价体系。有学者提出，“有目标才有风险，没有目标也就无所谓有风险。因此，目标的设定是风险评估的先决条件。管理阶层必须先制定目标，然后才能够辨识达不成该目标的风险，并采取必要的管理风险的行动”。上述案例则提供了与这个观点相反的观点：评估控制环节中的各种风险，再根据风险制定出控制目标，进行内部控制评价的最终目的就是看是否将风险维持在了一个合理的水平之内，以保证企业的可持续发展。实际上这个最终目的也是其进行内部控制评价的最终控制目标。
　　（三）强化对行为的规范与引导合理的组织行为是组织目标实现的基础，内部控制本身提供了对组织行为的规范和引导，但其对组织行为的引导作用存在以下局限性：内部控制体系内容复杂、边界相对模糊，使得一个完善制度的制定较其它制度困难得多，而企业内外环境的变化又会不断提出新的要求；企业在发展过程中会形成各种类型的规章制度，其中必然包含相关的控制制度，出于制定成本和操作便利的考虑，或许并不需要独立的内部控制制度，这样就会使组织行为失去明确的指导；从纸张上的规定到公司员工的有效行动无法实现自动转换而需要通过机制设定来加以保证时，内部控制评价就成为应对该局限的有限途径，通过对组织行为设定具体的标准、选择适当的评价方法并严格执行可以实现对行为的有效规范和引导。在案例中，W市A公司从开始不甚规范的文件管理链到一系列正式文件及较为规范的文件管理链的出台，通过内部控制自我评价直接为组织行为的改进提供了指导。
　　（四）重视对管理信息系统安全性的保护随着互联网和电子商务的兴起，对信息系统内部控制的评价已经超出了以为财务报表审计为主的外部审计提供服务的范围，与信息安全相关的防火墙检测、安全诊断、信息技术认证以及会计电算化账务系统的控制要求不断涌现。机房的隔离保护、软件的版权问题、核心数据的丢失被窃都可能会给企业带来巨大的负面冲击，内部控制自我评价对管理信息系统的重视能为企业提供多重保障。上述案例提供了对“灾难恢复计划管理”这一控制活动的评价，所谓的“灾难”指的是像洪水或9·11事件那样破坏性极大的天灾人祸，虽然这类事件发生的频率很小，但如果平常就能通过内部控制自我评价做到防患于未然，对企业乃至国家来说都有极大的好处。