组织架构内部控制评价实务
组织架构内部控制评价实务
组织架构内部控制评价,是对组织架构内部控制设计及运行有效性的评价,是内部控制评价业务层面的重要内容之一。加强组织架构内部控制评价工作,有利于促使企业建立健全和有效执行组织架构内部控制,从而有效控制组织架构风险。
评价目标及评价依据
组织架构内部控制评价目标,就是保证组织架构内部控制设计和运行的有效性,促使企业预防和控制组织架构风险。
组织架构内部控制评价的依据是国家关于组织架构管理方面的法律法规、企业制定的组织架构管理制度及《企业内部控制手册》有关组织架构部分的内容。
《企业内部控制应用指引第1号——组织架构》(以下简称《组织架构指引》)界定了组织架构的定义、描述了组织架构中重点应当关注的风险,提出了组织架构的基本要求,明确了组织架构关键控制点及其相应的控制措施,是企业构建与实施组织架构内部控制的最直接的依据。其中涉及到的组织架构内部控制评价依据包括《组织架构管理制度》、《组织架构授权制度和审核批准制度》、《组织架构的岗位责任制》等。对于编制了《企业内部控制管理手册》的企业,该手册中的《组织架构内部控制矩阵》既是组织架构内部控制评价的对象,也是评价最为直接的依据。
评价内容
关于组织架构的评价内容,美国科索委员会(COSO)内部控制报告认为组织机构评价应关注企业组织结构的适当性,以及提供必要的信息流以便管理其活动的能力;关键管理人员责任界定的适当性,以及他们对这些责任了解的充分性;相对于其责任而言,关键管理人员知识和经验的充分性。
在我国企业实践中,组织结构评价是评价企业是否建立分工合理、职责明确、报告关系清晰的组织结构,明确所有与风险和内部控制有关部门、岗位、人员的职责和权限,并以文件予以传达。具体评价内容包括:企业是否建立必要的横向与纵向相互监督制约的职责分离关系;企业涉及资产、负债、财务和人员等重要事项变动不得由一个人独自决定;企业是否应明确关键岗位、特殊岗位、不相容岗位及其控制要求;企业是否建立关键岗位定期或不定期的人员轮换和强制休假制度;企业是否设立具有充分独立性的内部审计部门。
中天恒3C框架认为,组织架构内部控制评价内容,总体来说就是评价组织架构内部控制的设计和运行的有效性,包括过程和结果两个层面。组织架构内部控制设计过程的关键环节包括现状梳理、风险评估、控制要点、控制目标、控制措施、制度优化、控制图表、控制矩阵,组织架构内部控制运行过程的关键环节包括岗位设置、职责分工、制度执行、措施落实、内控监督、内控考核、内控信息、管理融合、持续改进。这为从设计和运行的过程和结果进行全面评价组织架构内部控制提供了判断标准。当然,组织架构内部控制设计和运行的实际情况是复杂多样的,不能固定化、模式化。考虑到评价成本,在具体进行评价时,要突出对组织架构风险评估、控制措施设计和落实、制度优化和执行的重点评价。
(一)设计有效性评价。组织架构内部控制的设计有效性评价包括设计过程和设计结果两个层面。要重视设计过程有效性的评价,而不能仅对设计结果有效性进行评价。实际操作上,根据中天恒3C框架内部控制设计标准,组织架构内部控制的设计有效性评价包括:
现状梳理过程及结果的有效性。评价要点包括组织架构内部控制设计时是否首先进行了现状梳理;是否梳理了现有组织架构管理制度或相关文件和组织架构业务现状描述并编制了相应图表;现状梳理的结果是否符合企业组织架构业务和管理现状等。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
风险评估过程及结果的有效性。评估要点包括:组织架构内部控制设计时是否进行了组织架构风险评估工作;是否识别、分析和评价了组织架构风险并编制了相应图表;是否确定了风险应对策略和汇总了风险评估结果并编制了相应图表;是否提出了组织架构重大风险解决方案;组织架构风险评估结果是否合理有效等。常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序,评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。控制要点确定过程及其结果的有效性。评价要点包括:组织架构内部控制设计时是否划分了控制环节;每个控制环节是否确定了控制要点;是否确定了关键控制并编制了相应的图表;组织架构控制环节、要点及其关键控制的确定结果是否有效。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制目标的分解过程及结果的有效性。评价要点包括:组织架构内部控制设计时是否分析确定了总体控制目标;是否分解了总体控制目标并编制了相应图表;组织架构控制目标的分析和分解是否有效。常用评价方法为调查问卷和审阅,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制措施的确定过程及结果的有效性。评价要点包括:组织架构内部控制设计时是否确定了总体控制措施,总体控制措施确定是否有效等;组织架构业务层的控制措施是否具体有效并编制了相应图表。常用评价方法为调查问卷、审阅、穿行测试、重新执行等,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。本要点的评价经常结合组织架构内部控制执行的有效性进行。
证据的设计过程及结果的有效性。评价要点是组织架构内部控制设计时是否设计了组织架构控制证据并编制了相应图表,设计的控制证据是否有效等。常用评价方法为调查问卷和审阅等,评价工作底稿是调查问卷、审阅及访谈记录表等。
管理制度的优化过程及结果的有效性。评价要点是组织架构内部控制设计时是否提出了组织架构管理制度完善建议并编制了相应图表、建议是否合理有效等。常用评价方法为调查问卷和审阅等,评价工作底稿是调查问卷、审阅及访谈记录表等。
控制流程图的绘制过程及结果的有效性。评价要点是组织架构内部控制设计时是否绘制了《组织架构内部控制流程图》、是否标注了风险点和控制点、《组织架构控制流程图》是否有用等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。
控制矩阵的编制过程及结果的有效性。评价要点是组织架构内部控制设计时是否编制了《组织架构内部控制矩阵》、控制矩阵的格式要素是否基本齐全等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。
(二)运行有效性评价。组织架构内部控制的运行有效性评价包括运行过程和运行结果两个层面,总体说来,其要点包括:已经设计完成的组织架构内部控制及其相关的管理制度是否有效执行,是否有效控制了组织架构风险;已经设计有效的组织架构各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否建立组织架构内部控制标准执行情况文档;是否根据业务、监管要求或法律法规等的变化持续改进组织架构内部控制等。实践中,组织架构内部控制运行层面普遍存在的问题是已有的控制在实际中没有执行,内部控制形同虚设,组织架构风险未有效控制。常用评价方法为调查问卷、审阅、穿行测试、重新执行等,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。
评价程序
组织架构内部控制评价程序,就实施阶段来说,主要包括对组织架构内部控制进行调查了解、控制测试、缺陷认定、综合评价等程序。
(一)调查了解。调查了解组织架构内部控制设计和运行的情况,是对组织架构内部控制评价实施阶段的首要环节。这项目工作是在内部控制评价总体工作准备阶段的基础上进行的,涉及具体内容很多,也因单位的不同而不同。调查了解的常用方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,经常综合运用。
(二)现场测试。组织架构内部控制现场测试,就是测试其设计和运行的有效性。对此,可以根据具体情况实施详查或者抽样测试,测试方式包括跟单测试和关键控制测试等。
评价人员在测试组织架构内部控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序,一般采用跟单测试的方式。
评价人员在测试组织架构内部控制运行的有效性时,应当综合运用审阅文件资料、询问相关人员、观察业务活动以及重新执行控制等程序。在此过程中,应将组织架构每个业务流程的每个控制点的测试程序、方法和结果记录于《内部控制执行有效性测试底稿》。当组织架构业务流程测试结束后,应将各个流程和控制点执行有效性的测试结果进行汇总,记录于《内部控制执行有效性评估汇总表》。此测试一般采用关键控制测试的方式,即是建立样本库,再按照样本发生频率、样本库总量的大小区分,抽取相应数量的样本进行测试。
(三)认定缺陷。组织架构内部控制认定缺陷,就是对其设计缺陷和运行缺陷的认定,并要按照缺陷的影响程度分为重大缺陷、重要缺陷和一般缺陷。在具体的缺陷认定过程,评价人员应将已经调查了解到的组织架构内部控制系统的现状与事先确定的内部控制标准模式进行对照,以揭示哪些法规规定的控制程序未被采用。对照中发现的缺陷,应当按照不同内容分类,并汇集在《内部控制缺陷认定矩阵表》中记录,应当编制《组织架构内部控制缺陷认定表》。组织架构评价人员要提出具体整改建议,并编制《组织架构内部控制缺陷整改建议表》。
(四)综合评价。组织架构内部控制综合评价,就是指在现场测试结果的基础上对组织架构内部控制有效性做出的最终评价,主要工作是汇总组织架构业务的评价结果,评价工作应遵循整理资料、分析影响、形成结论、反馈意见等综合评价的基本步骤。组织架构综合评价的方法很多,比较常用的是评分法,实施过程中,可分别对设计有效性和运行有效性进行评分,也可进行综合评分。综合评价结果可编制成《评价结果汇总表》或绘制成《评价地图》。