企业文化内部控制评价实务
企业文化内部控制评价是对企业文化内部控制设计及运行有效性的评价,是内部控制评价业务层面的重要内容之一。加强企业文化内部控制评价工作,有利于促使企业建立健全和有效执行企业文化内部控制,从而有效控制企业文化风险。
评价目标及评价依据
企业文化内部控制评价目标,就是保证企业文化内部控制设计和运行的有效性,促使企业预防和控制企业文化风险。
企业文化内部控制评价的依据是国家关于企业文化管理方面的法律法规,企业制定的企业文化管理制度及《企业内部控制手册》有关企业文化部分的内容。具体依据因评价单位的不同而有所不同。
《企业内部控制应用指引第3号——企业文化》(以下简称《企业文化指引》)界定了企业文化的定义、描述了企业文化中重点应当关注的风险,提出了企业文化的基本要求,明确了企业文化关键控制点及其相应的控制措施,是企业构建与实施企业文化内部控制最直接的依据。企业应认真学习领会《企业内部控制基本规范》、《企业文化指引》等法规的精神实质和原则要求,并以此为起点构建和实施企业文化内部控制。涉及到单位层面的企业文化内部控制评价依据包括《企业文化管理制度》、《企业文化授权制度和审核批准制度》、《企业文化的岗位责任制》等。企业文化内部控制矩阵既是企业文化内部控制评价的对象,也是评价最为直接的依据。
评价内容
企业文化内部控制评价内容,总体来说就是评价企业文化内部控制的设计和运行的有效性,包括过程和结果两个层面,具体评价范围包括企业文化政策的引进与开发、企业文化政策的使用与退出等,具体评价内容因评价单位开展企业文化评价工作情况和被评价单位内部控制成熟度的不同而有所差异。
(一)设计有效性评价。企业文化内部控制的设计有效性评价包括设计过程和设计结果两个层面。企业文化内部控制设计结果有效性的前提是设计过程要有效,因此,要重视企业文化内部控制设计过程有效性的评价,不能仅对企业文化内部控制设计结果有效性进行评价。实际操作上,根据中天恒3C框架内部控制设计标准,企业文化内部控制的设计有效性评价包括:
现状梳理过程及结果的有效性。现状梳理,是企业文化内部控制设计的基础性工作。评价要点包括:企业文化内部控制设计时是否首先进行了现状梳理;是否梳理了现有企业文化管理制度或相关文件并编制了《企业文化内部管理制度或相关文件情况表》;是否进行了企业文化业务现状描述并编制了《企业文化流程目录》和《企业文化业务现状流程图》等;企业文化现状梳理的结果是否符合企业的企业文化业务、管理现状等。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
风险评估过程及结果的有效性。评价要点包括:企业文化内部控制设计时是否进行了企业文化风险评估工作;是否识别、分析和评价了企业文化风险并编制了《企业文化风险及其描述表》、《企业文化风险分析表》及《企业文化风险评价表》;是否确定了企业文化风险应对策略并编制了《企业文化风险应对策略表》;是否汇总分析了企业文化风险评估结果并编制了《企业文化业务风险数据库》;是否提出了企业文化重大风险解决方案;企业文化风险评估结果是否合理有效等。常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序,评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。
控制要点确定过程及其结果的有效性。评价要点包括:企业文化内部控制设计时是否划分了控制环节;每个控制环节是否确定了控制要点;是否确定了关键控制并编制了《企业文化控制要点及其关键控制表》;企业文化控制环节、要点及其关键控制的确定结果是否有效。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制目标的分解过程及结果的有效性。评价要点包括:企业文化内部控制设计时是否分析确定了总体控制目标;是否分解了总体控制目标并编制了《企业文化内部控制目标表》;企业文化控制目标的分析、分解结果是否有效。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制措施的确定过程及结果的有效性。评价要点包括:企业文化内部控制设计时是否确定了总体控制措施,总体控制措施确定是否有效等;企业文化业务层的控制措施是否具体有效并编制了《企业文化内部控制措施表》。常用评价方法为调查问卷、审阅、穿行测试、重新执行等,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。本要点的评价经常结合发展战略内部控制执行的有效性进行。
控制证据的设计过程及结果的有效性。评价要点是企业文化内部控制设计时是否设计了企业文化控制证据并编制了《企业文化控制证据表》、设计的控制证据是否有效等。常用评价方法为调查问卷和审阅等,评价工作底稿是调查问卷、审阅及访谈记录表等。
管理制度的优化过程及结果的有效性。企业文化内部控制设计的过程实际上也是企业文化管理制度优化的过程。评价要点是企业文化内部控制设计时是否提出了企业文化管理制度完善建议并编制了《企业文化制度完善建议表》、建议是否合理有效等。常用评价方法为调查问卷和审阅等,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制流程图的绘制过程及结果的有效性。评价要点是企业文化内部控制设计时是否绘制了《企业文化内部控制流程图》并标注了风险点和控制点、《企业文化内部控制流程图》是否有用等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。
控制矩阵的编制过程及结果的有效性。评价要点是企业文化内部控制设计时是否编制了《企业文化内部控制矩阵》、控制矩阵的格式要素是否基本齐全等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。
(二)运行有效性评价。企业文化内部控制的运行有效性评价包括运行过程和运行结果两个层面,其要点包括:已经设计完成的企业文化内部控制及其相关的管理制度是否有效执行,是否有效控制了企业文化风险;已经设计有效的企业文化各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否建立企业文化内部控制准执行情况文档;是否根据业务、监管要求或法律法规等的变化持续改进企业文化内部控制等。
实践中,企业文化内部控制运行层面普遍存在的问题是已有的控制在实际中没有执行,控制措施形同虚设,企业文化风险未得到有效控制,导致虚增企业文化的建设收入、人为调节利润、形成坏账等。常用评价方法为调查问卷、审阅、穿行测试、重新执行等,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。
评价程序
企业文化内部控制评价程序,就实施阶段来说,主要包括对企业文化内部控制进行调查了解、控制测试、缺陷认定、综合评价等程序。
(一)调查了解。调查了解企业文化内部控制设计和运行的情况,是对企业文化内部控制评价实施阶段的首要环节。调查了解仅作为了解企业文化内部控制设计和运行的情况的手段,不能直接形成企业文化内部控制设计和运行有效性的结论。这项工作是在内部控制评价总体工作的准备阶段的基础上进行的,涉及具体内容很多,也因单位的不同而不同。调查了解的常用方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,经常综合运用。
(二)现场测试。企业文化内部控制现场测试,就是测试其设计和运行的有效性。对此,可以根据具体情况实施详查或者抽样测试,测试方式包括跟单测试和关键控制测试等。
评价人员在测试企业文化内部控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序,一般采用跟单测试的方式。
评价人员在测试企业文化内部控制运行的有效性时,应当综合运用审阅文件资料、询问相关人员、观察业务活动以及重新执行控制等程序。在此过程中,应将企业文化每个业务流程的每个控制点的测试程序、方法和结果记录于《内部控制执行有效性测试底稿》。当企业文化业务流程测试结束后,应将各个流程和控制点的执行有效性的测试结果进行汇总,记录于《内部控制执行有效性评估汇总表》。此测试一般采用关键控制测试的方式,即建立样本库,再按照样本发生频率、样本库总量的大小区分,抽取相应数量的样本进行测试。
(三)认定缺陷。企业文化内部控制认定缺陷,就是对企业文化内部控制设计缺陷和运行缺陷的认定,并要按照缺陷的影响程度分为重大缺陷、重要缺陷和一般缺陷。在具体的缺陷认定过程,评价人员应将已经调查了解到的企业文化内部控制系统的现状与事先确定的内部控制标准模式进行对照,以揭示哪些法规规定的控制程序未被采用。对照发现的缺陷,应当按照不同内容进行分类,汇集在《内部控制缺陷认定矩阵表》中,并编制《企业文化内部控制缺陷认定表》。
(四)综合评价。企业文化内部控制综合评价,就是指在现场测试结果的基础上对企业文化内部控制有效性做出的最终评价,主要工作是汇总企业文化业务的评价结果,评价工作应遵循整理资料、分析影响、形成结论、反馈意见等综合评价的基本步骤。企业文化综合评价的方法很多,比较常用的评分法,实施过程中,可分别企业文化内部控制设计有效性和运行有效性进行评分,也可以进行综合评分。综合评价结果可编制成《评价结果汇总表》或绘制成《评价地图》。