精品久久久久久无码中文字幕一区,狠狠做深爱婷婷久久综合一区,国产精品-区区久久久狼

　一、W市A公司內部控制評價體系的案例分析
　　W市A公司是一所中外合作經營企業。該公司的直接母公司是A（中國）投資有限公司，最終母公司是A能源有限公司。該公司主要從事能源、環保及相關領域的技術商務咨詢和服務等。
　?。ㄒ唬┕緝炔靠刂圃u價體系的構建為了實現對內部控制本身及其執行狀況的動態優化和實時監督，A能源有限公司于2004年根據《內部控制——整體框架》（Internal Control-Integrated Frame-
　　work，簡稱“COSO報告”）和《薩班斯——奧克斯利法案》（Sarbanes-
　　Oxley Act，簡稱“SOA”）第404條款的要求開始著手建設本公司及其各子公司的內部控制，由其審計委員會編寫了《內部控制手冊》及一系列公司指導性文件，通過局域網向各子公司傳達，要求各子公司按照最終母公司的要求按期完成自身內部控制的設計和執行。實際上，A能源有限公司已經設計出了一套全面且具有普遍性的內部控制體系，各子公司只需要根據這個內部控制體系來對照出自身適用的控制活動進行自我評價，然后各子公司的直接母公司會定期派出內部控制經理（隸屬于直接母公司的財務部）到直接下屬的子公司進行第二次評價，內部控制經理會根據兩次評價的結果寫出評價報告，提交給子公司管理層，供子公司修正。此外，A能源有限公司還開發設計了一個供各子公司向母公司反映其內部控制自我評價情況的局域網系統（以下簡稱為“自我評價網絡”），直接母公司和最終母公司都可以通過這個系統來監督子公司內部控制自我評價的情況及進度。
　?。?）內部控制體系的構建。A能源有限公司將內部控制活動劃分為十二個環節（根據經營環境及其它因素的變化，還可以適時增加或減少某些適用或不適用的環節）：總體控制環境、收入、與業務相關聯的采購類支出、人事類支出、固定資產類支出、存貨、生產制造、資金、財務報告、信息系統和信息技術、稅務和法律事務，針對每一個環節作了風險評估，針對評估出的風險制定出對應的控制目標，然后再根據控制目標制定出詳細具體的控制活動，控制活動下又劃分出關鍵（Key）控制活動和一般控制活動。A能源有限公司的內部控制設計過程如圖1所示：
　　
　　
　　
　　
　　
　　
　　由于控制活動多達兩百多項，A能源有限公司下屬的各子公司的經營規模、管理復雜程度又不盡相同，因此A能源有限公司按一定標準將各子公司分為A、B、C三類，A類子公司必須對所有的控制活動進行自我評價，B類子公司至少要對關鍵控制活動進行自我評價（至于還需針對哪些一般控制活動，則看相關的具體要求），C類子公司則只需對關鍵控制活動進行自我評價。W市A公司屬于C類子公司。A能源有限公司的內部控制體系（由于控制活動數量較多，筆者只選取了小部分進行列示）如表1所示：
　?。?）內部控制評價體系的構建。主要包括：
　　一是評價主體。在各子公司，總經理和財務總監對內部控制評價工作負責，每一項控制活動都應有相應的負責人，而負責人由公司管理層開會協商決定，并非由一個或兩個人決定。如果由于受到自身經營規模和業務繁簡程度的限制，公司管理層經過開會協商仍無法確定某項控制活動的負責人，可以向直接母公司的內部控制經理求助，以確保控制活動的負責人都是能夠勝任的。公司負責內部控制的工作人員都必須熟讀《內部控制手冊》，以了解內部控制的概念和重要性、如何設計、執行及自我評價內部控制，以及如何將內部控制的精神傳達到每個公司員工。由于內部控制自身的局限性，在評價過程中只要發現《內部控制手冊》中有未提及或不適用的內容都可以向最終母公司的內部控制負責人反映，甚至與之討論。
　　二是評價方法。相應負責人首先進行第一次自我評價，將評價情況及時反映到自我評價網絡中，然后各子公司的直接母公司會按照最終母公司的時間部署定期派出內部控制經理（隸屬于直接母公司的財務部）到直接下屬的子公司進行第二次評價，內部控制經理會根據兩次評價的結果寫出評價報告，提交給子公司管理層，供子公司修正，以進行第二次、第三次自我評價。無論是相應負責人的自我評價，還是直接母公司內部控制經理的評價，他們都會根據一個統一的評價標準來確定其評價等級。評價等級分為五個等級，分別用1、2、3、4、5表示，從1到5，從低到高。A能源有限公司的內部控制評價等級說明見表2。需要說明的是，該評價等級僅針對適用于本公司的控制活動，不適用于本公司的控制活動則單獨列為“不適用”。
　　表2中所提到的“支持文件”是指能夠證明控制活動存在并且有效的文件，文件形式可以多樣化，可以是紙質文件（如合同）、電子版文件（如通知全體員工的電子郵件）或者其它形式的文件，只要是能夠證明控制活動存在并且有效的可見資料都可以作為支持文件。
　?。ǘ┕緝炔靠刂圃u價體系的實施 相應負責人在對某項控制活動進行自我評價時，首先應判斷此項控制活動是否適用于本公司，如果不適用則先列為“不適用”；如果適用則再判斷是否存在此項控制活動，若不存在則直接評定為1，同時應擬定詳細的行動計劃以改進現狀的不足；若存在則繼續下一步判斷是否有足夠的支持文件，如果沒有支持文件或支持文件不足以支持，則評定為2，同時也應擬定具體的行動計劃以使此項控制活動能及時有文件作為支持。如公司在“現金保管”上有嚴格的控制，但是沒有形成正式的規章制度，那么就是沒有足夠的支持文件，這時相應負責人應及時敦促有關人員起草相關的規章制度，再送交具有相關修改、批準權限的管理人員進行修改、批準，最后向相關部門（或人員）公布；如果有足夠的支持文件，則評定為3。3也是目前A能源有限公司要求各子公司無論A、B、C類，都必須達到的等級。至于4和5，由于A能源有限公司目前在這兩個評價等級上的建設還不盡成熟，因此未做要求，加上W市A公司目前自身經營規模和業務繁雜程度的限制，現在如果要達到4甚至5在經濟上也是不適用的。
　　子公司直屬母公司的內部控制經理定期來對相應負責人的自我評價進行再評價時，首先會依次詢問每位相應負責人負責的控制活動的情況，主要是通過詢問、觀察、查看相關支持文件和討論來判斷相應負責人所作的自我評價是否真實，如果覺得不甚真實則會做出自己的再評價并提出改進建議，最后會向子公司內部控制工作的最終負責人（總經理和財務總監）提交評價報告，上面會列出子公司相應負責人原先的自我評價、內部控制經理本人的再評價及改進建議等。相應負責人只需查看評價報告中自己負責的控制活動，一方面按照評價報告及時更新自我評價網絡，一方面更新自己負責的控制工作。比如，自我評價時列為“不適用”或者評為3的控制活動，經過內部控制經理的考證判斷被評定為1或2，那么相應負責人就必須盡快擬訂詳細的行動計劃來改進此項控制活動。
　　綜上所述，A能源有限公司建設的內部控制評價體系就是對CSA的運用。但是這種運用并沒有局限于某一時點或某幾個時點，而是從時點有效性和時期有效性入手，堅持定期自我評價，從而保持自我評價的一貫性。實際上，通過這種自我評價，W市A公司從一年前一開始進行自我評價時的幾乎90%的控制活動（不包括“不適用”的控制活動）的評價等級都在3以下，到現在的幾乎99%的控制活動（不包括“不適用”的控制活動）的評價等級都達到了3；從開始不甚規范的文件管理鏈到一系列正式文件及較為規范的文件管理鏈的出臺；從開始只能通過電子郵件向公司員工傳達內部控制思想和共享文件到現在可以通過公司自己開發的網上公共文件圖書館供公司各部門自由共享非保密文件，公司員工的內部控制意識得到了提高，公司的控制環境得到了有效地改善，W市A公司的內部控制評價取得了預期的效果。




　　二、案例對構建我國企業內部控制評價體系的啟示
　　上述案例是立足于全面提升企業內部控制和管理水平，以風險為導向但又突破了傳統審計范疇的內部控制評價實踐的有益嘗試。從完整性來看，其控制目標直接著眼于企業經營管理的需要，以風險為導向，這從源頭上超越了傳統的內部會計控制，保證了內部控制評價的完整性；從合理性來看，如案例所述，最終母公司根據經營規模和業務繁雜程度將各子公司分為A、B、C三類，每一類子公司所需進行的內部控制評價的內容都是與其經營規模和業務繁雜程度相一致的。此外，各子公司還有充分的自主判斷權，由于W市A公司的經營規模較小、業務繁雜程度較低，因此適用于它的控制活動實際上只有六十多項。這樣也保證了內部控制評價的合理性；從有效性來看，基于控制環節分析和風險評估過程設計的控制活動奠定了詳細指導、評價和改進的基礎，而其中的關鍵控制活動則保證了評價能夠重點突出、抓住要害。
　?。ㄒ唬┤珕T參與內部控制評價 全員參與是近些年各類管理實踐都普遍強調的要點之一，它對于增強員工主動性、塑造優秀的企業文化、提高經營管理效益等都有著積極的意義。在評價內部控制時強調全員參與同樣具有豐富的內涵。作為評價對象的內部控制體系包含多重風險評估和控制目標，涉及企業多個層面和各項業務，僅僅依靠個別部門實施評價工作顯然是不可能的。通過員工的廣泛參與，一方面可以對企業和業務層面的各類風險進行更透徹的分析和評價，并進一步對控制活動的完善實施有效評價；另一方面可以增強員工的風險管理和內部控制意識，此種意識在原先僅處于被控制地位時是很難自覺形成的。在案例中，確保公司所有員工了解內部控制的重要性也作為一項控制活動；相應負責人在評價過程中只要發現《內部控制手冊》中有未提及或不適用的內容都可以向最終母公司的內部控制負責人反映；W市A公司管理層通過開發的網上公共文件圖書館供公司員工交流，都充分反映了“全員參與”的思想，該公司員工對內部控制的認識和積極性確實也得到了顯著的提高。
　　（二）以風險為導向企業內部控制評價體系是一個復雜的系統，涉及到生產經營的方方面面，以什么為導向對于這一系統非常關鍵。超越審計范疇的內部控制評價必然強調對管理控制功能的全面評價，以保證經營效率和效益的目標既涉及各類生產流程和管理流程對人、財、物等資源的有效利用，又涉及物資、資金和信息的匹配與協調，使管理者既能謹慎地承接風險，又能將風險維持在一個合理的水平之內，其復雜性遠遠超過了僅針對內部會計控制的評價體系。有學者提出，“有目標才有風險，沒有目標也就無所謂有風險。因此，目標的設定是風險評估的先決條件。管理階層必須先制定目標，然后才能夠辨識達不成該目標的風險，并采取必要的管理風險的行動”。上述案例則提供了與這個觀點相反的觀點：評估控制環節中的各種風險，再根據風險制定出控制目標，進行內部控制評價的最終目的就是看是否將風險維持在了一個合理的水平之內，以保證企業的可持續發展。實際上這個最終目的也是其進行內部控制評價的最終控制目標。
　　（三）強化對行為的規范與引導合理的組織行為是組織目標實現的基礎，內部控制本身提供了對組織行為的規范和引導，但其對組織行為的引導作用存在以下局限性：內部控制體系內容復雜、邊界相對模糊，使得一個完善制度的制定較其它制度困難得多，而企業內外環境的變化又會不斷提出新的要求；企業在發展過程中會形成各種類型的規章制度，其中必然包含相關的控制制度，出于制定成本和操作便利的考慮，或許并不需要獨立的內部控制制度，這樣就會使組織行為失去明確的指導；從紙張上的規定到公司員工的有效行動無法實現自動轉換而需要通過機制設定來加以保證時，內部控制評價就成為應對該局限的有限途徑，通過對組織行為設定具體的標準、選擇適當的評價方法并嚴格執行可以實現對行為的有效規范和引導。在案例中，W市A公司從開始不甚規范的文件管理鏈到一系列正式文件及較為規范的文件管理鏈的出臺，通過內部控制自我評價直接為組織行為的改進提供了指導。
　?。ㄋ模┲匾晫芾硇畔⑾到y安全性的保護隨著互聯網和電子商務的興起，對信息系統內部控制的評價已經超出了以為財務報表審計為主的外部審計提供服務的范圍，與信息安全相關的防火墻檢測、安全診斷、信息技術認證以及會計電算化賬務系統的控制要求不斷涌現。機房的隔離保護、軟件的版權問題、核心數據的丟失被竊都可能會給企業帶來巨大的負面沖擊，內部控制自我評價對管理信息系統的重視能為企業提供多重保障。上述案例提供了對“災難恢復計劃管理”這一控制活動的評價，所謂的“災難”指的是像洪水或9·11事件那樣破壞性極大的天災人禍，雖然這類事件發生的頻率很小，但如果平常就能通過內部控制自我評價做到防患于未然，對企業乃至國家來說都有極大的好處。