文档介绍：内部信息传递内部控制评价实务
文李三喜
内部信息传递内部控制评价是内部控制评价业务层面的重要内容之一,是对内部信息传递内部控制设计及运行有效性的评价。因此,加强内部信息传递内部控制评价工作,有利于促使企业建立健全和有效执行内部信息传递内部控制,从而有效控制内部信息传递风险。
评价目标及评价依据
内部信息传递内部控制评价目标,就是保证内部信息传递内部控制设计和运行的有效性,促使企业预防和控制内部信息传递风险。
内部信息传递内部控制评价依据是国家关于内部信息传递管理方面的法律法规、企业制定的内部信息传递管理制度及《企业内部控制手册》中有关内部信息传递部分的内容。具体依据因评价单位的不同而有所不同。
一般来说,国家法律法规层面的评价依据包括《企业内部控制基本规范》、《企业内部控制应用指引第17号——内部信息传递》等;评价单位层面的评价依据包括《内部信息传递管理制度》、《内部信息传递授权制度和审核批准制度》、《内部信息传递的岗位责任制》;《企业内部控制管理手册》中的《内部信息传递内部控制矩阵》既是控制评价的对象,也是评价最为直接的依据。
评价内容
内部信息传递内部控制评价内容,总体来说就是评价内部信息传递内部控制的设计和运行的有效性,包括过程和结果两个层面,具体评价范围包括内部报告的形成、内部报告的使用等主要内部信息传递活动。具体评价内容因评价单位开展内部信息传递评价工作和被评价单位内部控制成熟度的不同而不同。
(一)设计有效性评价。内部信息传递内部控制设计有效性评价包括设计过程和设计结果两个层面。内部信息传递内部控制设计结果有效性的前提是设计过程要有效,因此,要重视内部信息传递内部控制设计过程有效性的评价,不能仅对内部控制设计结果的有效性进行评价。实际操作上,根据中天恒3C框架内部控制设计标准,内部信息传递内部控制的设计有效性评价包括:
现状梳理。现状梳理是内部信息传递内部控制设计的基础性工作。评价要点包括:是否首先进行了内部信息传递现状梳理;是否梳理了现有内部信息传递管理制度或相关文件并编制了《内部信息传递内部管理制度或相关文件情况表》;是否进行内部信息传递业务现状描述并编制了《内部信息传递流程目录》、《内部信息传递业务现状流程图》等;内部信息传递现状梳理的结果是否符合企业内部信息传递业务、管理现状等。常用评价方法为调查问卷和审阅的方法,需要编制的评价工作底稿是调查问卷、审阅及访谈记录表等等。
风险评估。评估要点包括:是否进行了内部信息传递风险评估工作;是否识别了内部信息传递风险并编制了《内部信息传递风险及其描述表》;是否分析了主要内部信息传递风险并编制了《内部信息传递风险分析表》;是否评价了内部信息传递风险并编制了《内部信息传递风险评价表》;是否确定了内部信息传递风险应对策略并编制了《内部信息传递风险应对策略表》;是否汇总分析了内部信息传递风险评估结果并编制了《内部信息传递业务风险数据库》;是否提出了内部信息传递重大风险解决方案;内部信息传递风险评估结果是否合理有效等。常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序,评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。
控制要点确定。评价要点包括:是否划分了内部信息传递内部控制的控制环节;每个控制环节是否确定了控制要点;是否确定了关键控制并