内部控制测试程序和一般性内部控制测评
第一节 公司内部控制简介
一、公司内部控制的含义
从广义上说,内部控制是组织机构在经营管理过程中,为保证管理有效、资产安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手段。而对公司来说,内部控制是公司为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。真正的内部控制机构,应是贯穿于公司各项业务活动全过程的控制系统,包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。各公司应充分认识到内控制度建设的重要性,自发地而不是被动地加强内控制度的建设,并作为其生存和发展的首要任务来抓,达到认识和实践的统一。
从理论上讲,内部控制的含义本身包括以下评价内容和标准:一是内部控制制度的客观存在性;二是内部控制制度的可操作性和有效性;三是职责履行与内部监督的独立性。
二、公司内部控制的目标和原则 (一)公司内部控制的目标
1.确保国家法律规定和公司内部规章制度的贯彻执行。 2.确保公司发展战略和经营目标的全面实施和充分实现。 3.确保风险管理体系的有效性。
4.确保业务记录、财务信息和其他管理信息的及时、真实和完整。
内部控制应当与公司的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。
(二)公司内部控制的原则
公司内部控制应当贯彻全面、审慎、有效、独立的原则,包括:
1.内部控制应当渗透到公司的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。
2.内部控制应当以防范风险、审慎经营为出发点,公司的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。
3.内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够及时反馈和纠正。
4.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
三、公司内部控制的要素
内部控制要素是指构成内部控制的必要因素。只有内部控制的各构成因素有机结合在一起,才能形成完整的内部控制机制。公司内部控制应当包括以下要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。
(一)内部控制环境
公司内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。它是推动工作的发动机,是所有其他内部控制组成部分的基础。公司应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。具体讲,控制环境又包括以下五方面的内容。
1.管理理念
管理理念是指管理人员在思想理念及实际行动上对内部控制的重视程度。如,管理人员对业务风险的识别、重视程度,对风险采取的分析、评估和控制方法;管理人员为实现经营管理目标,对内部控制的重视程度;全行是否围绕一个明确的管理理念经营管理等。
2.管理层
一个公司如果有一个好的管理层,就为该行创造了一个良好的控制环境。好的管理层包括两方面含义,一是领导者自身要有正确的道德观和价值观,有一定的责任心和敬业精神,要带头认真执行行内的各项规章制度;二是要有正确的管理方式,以科学的管理方法使公司的运作规范化、科学化,并在稳健经营的基础上发展壮大。
3.组织结构
公司的组织结构是否合理至关重要,组织结构合理能够使各部门职责分明,既相互联系、又相互制约,有完善的授权授信机制,能够保证部门和分支行之间方便、快捷、准确地沟通信息,能够在公司内部建立有效的监督机制。
4.人事政策和员工素质
一个公司要有合理的人员招聘、录用、使用、晋职、解聘政策,能够充分调动员工的积极性,注重提高员工业务素质和政治素质。有明确的员工培训计划,使员工有较强的敬业精神和职业道德,在良好的氛围中充分发挥主观能动性,努力工作。科学的人事政策能合理利用人力资源,在降低人力资源成本的同时提高工作效率。
5.外部环境
现代公司是一个开放的系统,会受到外界有关部门和各项因素的干扰和影响。其中,有关部门主要是指如政府部门、中央银行、社会监督部门;各项因素是指国内外经济形势、法律环境、社会公众要求、甚至自然灾害等。这些部门和因素对公司内部控制制度的制定、执行都会产生影响。如为了降低公司的经营风险,国家规定必须进行分业经营,所有与存放款等传统银行业务无关的业务都不能经办,则公司内部控制的外延就比可以进行多种经营时要小得多。
(二)风险识别与评估
为达到一定的经营目标而识别和分析风险,是风险管理决策的基础。风险评估时,评估人员要重视设立目标、分析风险和管理变化等方面的管理程序。风险评估包括对风险点进行选择、识别、分析和评估的全过程。一是列出重要风险要素和风险控制点。公司首先要清楚在其经营管理过程中会出现的风险,风险要素和风险点的罗列要细致、全面,既要考虑内部风险,又要考虑外部因素引起的风险;既要考虑静态风险,又要考虑动态风险;既要考虑操作风险,又要考虑体制和政策风险。二是对风险进行分析和评估。要事先对风险点进行评估,识别风险产生的原因及表现形式;识别每一重要业务活动目标所面临的风险;估计风险的概率、频率、重要性、可能性;风险所造成的危害。其目的是能够在业务开展前,测定出风险指标,并能够在业务发生后对风险进行跟踪监测。
(三)内部控制措施
内部控制测试程序与测评
