传媒企业如何做好内控评审工作

　　20XX年3月，财政部“企业内部控制标准委员会”印发了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿，为企业风险管理和内部控制进行更加全面的规范和指导。伴随着强化内部控制制度建设的全球化浪潮，在日益倡导向风险管理转变的现代传媒企业，企业内部控制制度评审得到越来越多的关注，随着企业环境的快速变化以及竞争的加剧，做好这项工作已刻不容缓。

　　内部控制制度的概念与内容

　　内部控制制度是指企业为了加强内部管理，保证资金的合理有效使用和实现企业的管理体制目标，促使各部门协调有序、有效地搞好各项工作，严格地执行管理方针，保证国有资产、资金的安全，确保会计记录的正确性和可靠性而建立起来的相互联系、相互制约和相互监督的各种管理制度的总称。内部控制制度包括：
　　管理控制：包括由高层管理部门实施的活动。这些控制大部分着眼于战略方向、规划和评价组织总体绩效。管理控制可以就组织需要处理的潜在问题或风险提供反馈。其他部门的控制涉及战略风险评估、业务流程监测、对变化的环境作出反应、人力资源政策和程序、预算及绩效评估。
　　业务流程控制：这些控制包括为日常经营正常进行和每笔交易正确处理而预先设置的活动。典型的流程控制包括授权程序以及对交易处理的单独复核。审计人员经常在计划财务报表审计时仔细考虑这些控制。
　　内部审计：组织中的独立的部门，目标就是监督组织内的各项活动。

　　内部控制制度评审的内容和重点

　　对于内部控制制度的评审可根据内部控制的控制环境、风险管理、控制活动、信息与沟通、监督五方面进行审计评价；各要素包含的内容和审计重点为：
　　1.控制环境主要包括以下内容：经济性质和经营类型；管理层的经营理念；管理层倡导的组织文化；法人治理结构；各项职责的分工及相应人员的胜任能力；人力资源政策及其执行。
　　内部审计人员应实施适当的审查程序，以评价被审计单位的控制环境，对其审查重点为以下内容：经营活动的复杂程度；管理权限的集中程度；管理行为守则的健全性和有效性；管理层对逾越既定控制程序的态度；组织文化的内容及组织成员对此的理解与认同；法人治理结构的健全性和有效性；组织各阶层人员的知识与技能；组织结构和职责划分的合理性；重要岗位人员的权责相称程度及其胜任能力；员工聘用程序及培训制度；员工业绩考核与激励机制。
　　2.风险管理主要包括以下内容：识别影响组织目标实现的各类风险；建立风险管理机制。
　　内部审计人员应实施适当的审查程序，评价组织风险管理机制的健全性和有效性，其审查重点为以下内容：可能引发风险的内外因素；风险发生的可能性和预计带来的后果；对抗风险的能力；风险管理的具体方法及效果。
　　3.控制活动主要包括以下内容：所有经营活动应有适当的授权；不相容职务应当分离；有效控制凭证和记录的真实性；资产和记录的接近限制；独立的业务审核。
　　内部审计人员应实施适当的审查程序，评价控制活动的适当性、合法性、有效性。其审查重点为以下内容：控制活动建立的适当性；控制活动对风险的识别和规避；控制活动对组织目标实现的作用；控制活动执行的有效性。
　　4.信息与沟通主要包括以下内容：及时、准确、完整地记录所有信息；保证管理信息系统的有序运行；保证管理信息系统的安全可靠。
　　内部审计人员应实施适当的审查程序，评价组织获取及处理信息的能力。其审查重点为以下内容：获取财务信息、非财务信息的能力；信息处理的及时性和适当性；信息传递渠道的便捷与畅通；管理信息系统的安全可靠性。
　　5.监督主要包括以下内容：内部审计单位实施的独立监督；管理层对内部控制的自我评估。

　　内部控制制度评审的实施

　　（一）内部控制制度评审的方法
　　1.了解内部控制体系。应了解被评价单位内部控制体系的基本情况，确认评价范围，确定被评价单位的内部控制体系的健全程度，然后决定实施测试所采取的方法。了解被评价单位内部控制体系主要通过询问、查阅、观察、流程图等方法进行，以初步评价被评价单位内部控制体系的充分性和合规性。
　　2.实施测试和分析。实施测试和分析是在了解内部控制体系的基础上，评价内部控制体系的运行与绩效。具体可以采取符合性测试和指标分析等，其中，对内部控制过程评价主要采取符合性测试法；对内部控制结果评价，主要采取指标分析法。
　　（1）符合性测试是获得评价证据以证实内部控制在实际中的合规性、有效性和适宜性，即相关规定在实际中是否被一贯执行，控制措施能否达到控制目的，控制措施是否恰当。符合性测试分为两种形式：
　　业务测试，即对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到认真执行，以判断内部控制的遵循情况。
　　功能测试，即对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否一贯或持续发挥作用。
　　符合性测试的具体方法包括抽样法、穿行测试法、证据检查法和压力测试法等。
　　（2）测试抽样
　　抽样样本取决于被评价单位或被评价项目的风险、业务频次、重要性等。可在根据业务频次抽样的基础上，结合被评价项目的风险和重要性进行调整。
　　（3）指标分析
　　应收集被评价单位内部控制结果指标的相关信息，进行核实、对比分析和趋势分析，从而对内控目标实现情况做出评价。
　　（二）内部控制制度评审的实施
　　1. 评价准备
　　组成评价组。评价组应考虑组成人员的背景和能力。必要时，可聘请业务或管理方面的专家。制订评价实施方案。实施方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。准备必要的工作文件。主要包括评价问卷、抽样计划、被评价单位的内部控制体系文件及相关记录等。在现场评价前应先与被评价单位建立初步联系，以便确认有关评价事项和安排。
　　2.评价实施
　　评价组应按照既定的评价方案实施评价。在评价实施中应就评价组内部以及评价组与被评价单位之间的沟通做出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。
　　3.评价报告形成
　　评价组根据评价实施情况，撰写评价报告，应重点分析以下方面：
　　（1）被评价单位内部控制体系现状、存在问题及趋势分析。
　　（2）同类单位比较。
　　（3）可能的谅解因素。
　　4.评价反馈
　　对被评价单位内部控制体系进行综合评价后，应与被评价单位管理层沟通，以核对数据，确认事实，并就评价中的问题征求意见。

　　内部控制评审的信息化
　　为控制风险在可以接纳的范围之内，内部控制制度工作应经常性的开展，或者当内部控制要素发生变化的时候进行评估，为此，可采用信息技术将内部控制诸要素细化，通过局域网完成、调查、评审计算等工作。

　　内控审计与风险审计的联系与区别
　　内部控制的设计和执行应该针对风险管理的要求，风险的管理很大程度依赖内部控制的设计和运行，所以，内控审计和风险审计在有些地方是相互渗透的，目的都是增加企业价值。
　　内控审计的出发点侧重企业经营的横向纵向的制约与协调，审核的目标是内控制度的健全性、适当性；执行的有效性；主要方法是测试、分析和专业判断。
风险审计的出发点侧重审核风险管理政策与企业经营战略方针的矛盾统一。审核的目标是企业风险管理政策设计的适当性；执行的有效性；风险损失处理的合理性。主要方法是预警分析、专业判断、综合评价。
　　（作者单位：大众报业集团审计部）

• 上一篇：一个人的求职路
• 传媒企业如何做好内控评审工作
• › 传媒企业如何做好内控评审工作
• 在百度中搜索相关文章：传媒企业如何做好内控评审工作
• 在谷歌中搜索相关文章：传媒企业如何做好内控评审工作
• 在soso中搜索相关文章：传媒企业如何做好内控评审工作
• 在搜狗中搜索相关文章：传媒企业如何做好内控评审工作