简述内控几个容易混淆的概念:风险、缺陷、有效性由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“内控缺陷定义”。
简析内部控制的几个易于混淆的概念:风险、缺陷、有效性
审计部
钟静
在企业内部控制评价工作过程中,最常听到的概念不外乎风险、缺陷、有效性等等,这三个概念到底是什么关系,他们相同吗?是否有风险有一定有缺陷,有缺陷就一定控制无效?本文结合实际工作对这几个常用概念进行比较,探讨他们之间的区别和联系。
一、风险
广义的风险是指偏离目标的不确定性,包括可能产生好的有利因素的可能性也包括产生不利影响的可能性,内部控制活动中的风险大多是指狭义的风险,即导致偏离组织目标、给组织带来合规、荣誉或经济损失的可能性。
风险的几个理解要点:
1、可能性:并非一定要实际发生。有些事件现在没有实际发生过,不表示不存在未来发生的可能性。内部控制中通过发生的可能性和风险发生后的影响程度两个维度来衡量风险,即风险量化。
2、一旦发生会产生不利于组织目标实现的后果或损失:如果一项工作通过操作人员的管理可以超额完成组织目标、带来增值,一般不在内部控制活动中归入风险。
3、风险和环境有关,和具体每个人做的好坏无关,风险是固有的,一项活动他存在的风险与活动中涉及的环节和流程有关,但与每个操作者是否严格遵守制度无关,也就是说,没有严格执行制度不是风险。
二、缺陷
内部控制中的缺陷是指内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价正是要找出内控的缺陷,不断提高为内控目标实现提供合理保证的程度。COSO-IC(1992)和COSO-RM(2004)对控制缺陷下的定义:“已经察觉的、潜在的或实际的缺点,抑或通过强化措施能够带来目标实现更大可能性的机会。” 缺陷的几个理解要点:
1、缺陷和控制相关,有没有控制、控制执行得怎么样都涉及缺陷。
2、缺陷的存在使得无法实现控制目标,也就是说不足或缺点达到一定的程度,对实现控制目标构成影响时才称之为缺陷。在内部控制中,对缺陷的认定有明确的标准,例如穿行测试中一个控制点的样本中失败率达到一定水平之上则该控制点被认定为失效,对于失效的控制点就可认为是一个缺陷。
三、有效性
有效性是用来评价内部控制手段对于提高组织实现目标的作用,能够基本保证目标的实现称之为有效。当控制中存在重要、重大缺陷导致组织可能遭受严重经济或声誉损失、对实现控制目标造成严重影响的称之为无效。
我国的《评价指引》和《审计指引》根据缺陷导致企业偏离控制目标的可能性大小将缺陷分为重大缺陷、重要缺陷和一般缺陷,将“可能导致企业严重偏离控制目标”的缺陷界定为重大缺陷、将“严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标” 的缺陷界定为重要缺陷;将“除重大缺陷、重要缺陷之外的其他缺陷”界定为一般缺陷。
在做内控穿行测试时,根据样本量的符合程度,内控人员也会对每个控制点得出有效、基本有效和失效的结论,但这个有效和有效性的概念不同,它用来描述这个控制活动在实际中有多大程度被遵循,而代表不了整体业务条线控制是否有效、是否能够不偏离控制目标。有效性的几个理解要点:
1、缺陷不等于无效。内控评价中内控无效有清晰的界定和标准,只有发现控制活动中存在有重大或重要缺陷,可能会导致组织控制目标偏离的情况下,控制活动才称为无效。
2、个别控制点无效不等于整体控制无效。整体条线的有效性要看测试过程中是否发现有会导致组织严重偏离目标的重要或重大缺陷,即使有时个别控制点失效,但由于该控制点所控制的风险固有风险较小或者同时存在其他的控制活动对该风险进行控制等原因而不会对整体目标构成重大影响,我们也不会将其认定为控制无效。
3、有效不意味着没有问题、也不意味着未来不会发生问题。内控评价是对一段时期内部控制的运行进行的评价,通过选取一定的样本进行穿行测试的方法进行验证,也许有些控制设计有缺陷,也许有些控制执行不到位,但当这些问题没有被发现产生实质性违规、舞弊、重大损失等构成重要或重大风险因素时,不会被认定为无效,但会作为一般缺陷在评价报告中提出,并要求进一步整改,以预防未来可能发生的风险。
四、如何运用这几个概念和识别技术做好内控评价
风险、缺陷和有效性这三个重要概念贯穿于整个内控评价工作,是内控人员必须明确和进行专业识别的,也是内控人员交流和取得共识的基本前提。
1、内控人员必须加强专业学习,统一认识,规范内控语言。
2、识别风险是内控评价的开始,通过调查、访谈、测试发现缺陷是内控评价的主要方法,得出有效性结论是内控的目标,三者相辅相成,层层推进。
3、通过流程梳理和访谈工作形成的风险库可以作为业务条线评价的基础,简化每次评价工作,提高效率;通过对不同时期样本的测试和检查,可以对评价期间存在的设计和执行缺陷进行识别,并有利于进一步整改和完善;根据发现的内控缺陷评价整体内控的有效性,检查内控系统的运行效果和对组织目标实现的帮助。
4、内控评价是一个持续的过程,随着经营环境的变化和经营活动的调整,业务面临的风险也不是一成不变、固有风险评分也需要根据实际情况进行调整,控制过程中的缺陷会因整改的落实而发生减少或改变,也会因环境和政策的变化而转移,这些情况都需要内控人员保持对公司内、外部政策的深入理解和经营活动的高度敏感,以专业的态度去识别风险、找出缺陷、推动整改、帮助公司各业务条线合规、有效运营,让内控评价更好地发挥监督作用,为实现企业战略保驾护航。
