本节是分析探讨在××公司采购支付内部控制子系统投入使用后,运用内部控制工程应关注和解决的问题。
4.5.1 内部控制工程在系统运行阶段的任务
采购支付内部控制系统经验收评估后,正式投入运行,为实现企业的经营目标发挥应有的作用,内部控制系统从投入运行发挥控制作用到停止使用这一期间都属于内部控制运行阶段。这一阶段所要面临的问题是保证内部控制系统运行的有效性、效率性,传统的内部控制系统所采用的措施有加强审计,加强教育,当然最根本的是确保内部控制机制的完善,制度安排的科学。
采用内部控制工程后,通过三方面来保障和加强内部控制系统的运行效率和效果:
(1)在系统的运行阶段,人才培养、选拔、配置的科学化、标准化是减少人为错误、疏漏对内部控制系统带来的风险的重要举措。科学标准的培训人才可以提高人才的整体素质、降低人才培养的成本、提高人才培养的质量和效率等,是工程学的重点研究内容。
(2)评估和审计内部控制系统的有效性,以使内部控制制度、措施得到有效执行。从工程学的角度继续深入挖掘内部控制审计的价值,如各阶段都做规范的记录以便于审计证据的采集、内部控制审计流程与制度的规范化、标准化、内部控制审计成本与效率的关注等。
(3)对内部控制系统进行及时的维护和更新,以确保在系统本身或所处环境发生变化时内部控制系统仍能有效地运行。注意系统维护的简便性、更新的及时性,使用的规范性(增加记录),等等。
4.5.2 内部控制系统人力资源的培训与开发
人为错误是内部控制系统失效的重要因素之一,如内部审计具体准则第5号———内部控制审计第十二条、企业内部控制规范———基本规范(征求意见稿)第七十四条都明确提出应充分考虑人为错误与疏漏对内部控制系统带来的危害。而人为错误与疏漏的产生往往是人员的经验欠缺、技术不熟、精力分散、判断失误造成的,如能加强对人员的培养、选拔、配置的科学化和标准化,能有效地降低此类风险。在内部控制系统运行阶段的人力资源管理主要是针对内部控制系统的相关培训,以使人员能更快更好的适应和使用系统,内部控制系统本身的不断更新和内部控制人员的不断更换,使集体培训和个体培训需要持续不断的进行,原有的口传身授已不能适应大型、复杂、迅速变化的内部控制系统,人才培训的标准化、制度化是内部控制系统培训的最优选择。
(1)需求的确定。
人力资源培训的第一阶段是需求分析,由组织需求分析和个体需求分析组成。前者主要是应对内部控制系统的变革,后者主要是应对内部控制系统人员的更换。
①组织需求分析。组织需求分析主要发生在内部控制系统投入使用前或升级、改造后对内部控制系统使用者进行的整体性或局部性的批量培训,分析组织面临的、能够通过培训加以解决的问题,组织需求分析要把内部控制系统目标变成人力资源需求、技能要求以及技能和人力资源供给项目,确定具体岗位、工作的特定培训和发展需求,提供每一工作的任务信息和完成任务所必需的技能、达成标准和需要遵循的流程、管理、制度。
②个体需求分析。个体需求分析往往发生在内部控制系统的岗位人员发生变动时,根据内部控制系统的使用说明和标准对新成员进行的培训,并对与其有业务、控制关联的相关人员进行通知和熟悉,确保内部控制系统运行不受影响,这种需求分析以对应的原有内部控制系统相关岗位的要求、标准为基础。
(2)培训的实施。
①确定培训目标和培训对象。在培训实施时首先需要确定培训的目标,除系统首次投入使用的整体性培训外,运行过程中的培训往往是由于环境的变化决定的,主要有两种:一种是系统更新升级的适应性培训;一种是岗位人员的更换需要进行的个体培训。
②选择培训内容与方法。进行培训时,首先确定培训的形式和方法,培训的方式有:集中培训、分散培训、按岗位的定向培训、特需培训等。培训的内容根据培训的目标、对象和形式制定。包括:内部控制基础知识、内部控制系统的使用方法、公司管理的各种规章制度、公司新业务的操作流程、体系结构、个人职责,新产品的功能、性能、使用方法。
③培训评价。培训评价包括两方面,一是培训客体的培训成果,即受训者所获得的知识、技能、才干和其他特性应用于工作的程度;二是培训主体的培训成果,即培训对组织的最终价值,主要是对培训成本和效益进行评估,通常是计算所有的培训成本和培训后受训者的生产率,然后确定培训的得失,做出修正。
4.5.3 采购支付内部控制系统的审核与评估
对内部控制的审核与评估是确保系统发挥在应有的内部控制作用,确保系统有效运行的重要保障环节。
××公司采购支付内部控制系统面临着巨大风险,这与其业务特点是分不开的,如对散户粮食的就地买卖、粮食外存等,这就要求采购支付内部控制严格按照要求执行,因此,对执行的有效性的评估也就尤为重要。
(1)采购支付内部控制系统审核与评估的流程。
××公司采购支付系统内部控制的审计过程,大体可分为四个步骤,具体如下:
①了解和描述采购支付系统内部控制制度。内部控制制度审计的第一步工作就是进行了解,这一步骤可以通过查阅有关规章制度、方针及政策等文件,查看组织机构系统图,询问有关人员进行实地观察、查阅前期审计报告或审计工作底稿等手段来实现。其次,将上面了解的情况,应用记述法、调查表法、流程图法,把被审计单位的内控制度直接描述出来,了解其健全程度和完整程度。
②初步评价采购支付系统内部控制的健全性。确认内部控制风险,确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解,对被审计单位内部控制有了一个初步的认识的基础上,应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业会计与内部控制在防止、发现、纠正错弊过程中的有效性。
③实施符合性测试程序,证实有关内部控制的设计和执行的效果。符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试,控制设计测试是测试被审计单位控制政策和程序是否设计合理、适当,能否防止或发现和纠正特定会计报表认定的重大错报或漏报,控制执行测试是测试被审计单位的控制政策和程序是否实际发挥作用。被审计单位的控制设计得再好,还必须靠有效的执行来发挥作用。内部控制符合性测试常用的方法主要有四种:即询问法、观察法、证据检查法、重复执行法。
④采购支付系统内控系统实质性测试阶段。是对被审计单位内部会计处理程序发挥作用程度的测试。其目的是为了验证内部会计处理程序发挥作用下所产生会计数据的可信性,从而揭示内控制度的实质问题,以便审计人员据以作出审计结论。这一阶段,通过对内控制度的调查,测试和评价,给予信赖的,则实质性测试分量和程度就可以相对减少;反之可定为审计重点则应增加实质性测试的分量和程度,找出问题所在,收集审计证据,确定性质,以便对被审计单位内控制度作出切实、全面、公正、准确的评价。
(2)采购支付内部控制系统审核办法。
××公司采购支付内部控制系统的审核从五方面进行,共计100分,分别是价格控制审核(30分)、合同控制审核(10分)、手续控制审核(30分)、付款控制审核(20分)、信息控制审核(10分)。
①价格控制审核。
a。审核内容。公司价格委员会是否定期作出各类采购物资的采购指导价格范围,形成指导价格清单?对超过指导价上限的采购是否经过总经理签字批准?
b。审核办法。调阅一年内价格委员会制订的所有采购指导价清单。看指导价是否按照市场行情变化及时调整。选取采购物资价格波动较大的三个月份,抽查金额占总采购1/2以上的采购业务,对照采购价格与指导价格清单,对于超过指导价格上限的采购,查验总经理书面签字。
c。评分办法。基本及时的,不扣分;个别时候指导价调整不及时的,酌情扣5分或10分;无指导价清单的,扣30分。发现一例采购价格超过指导价上限而没有总经理签字,扣10分,第二例扣15份,直至该项总分扣完为止。
②合同控制审核。
a。审核内容。超过规定限额的采购是否都签订了完备的采购合同?
b。审核办法。根据应付账款明细账,按照应付账款发生额大小对供应商排序,选择前10家供应商,检查公司与供应商之间的采购合同。对检查情况作出记录。
c。评分办法。如果未发现与某家供应商签订采购合同,且从该家供应商的进货明显大于必须签订合同的采购标准,则扣5分;发现第二次,扣7分;直至10分累计扣完为止。
③手续控制审核。
审核内容:
a。采购物品入库之前的过磅,化验手续是否严格履行?
b。审核办法:随机抽取一个月的采购会计凭证,看每笔采购是否都附有验收单和化验单(化验合格单或者让步接收单)?验收单列示的重量与入库单上的重量是否相符?对于让步接收的,在采购挂账金额上是否予以调整?降等接收超过限额的,是否有总经理签字?单证缺少或不相符的采购即为不合格采购。对检查情况作出记录。
c。评分办法:发现一笔不合格采购,扣5分;第二笔扣7分;以后依次扣9分,11分,30分累计扣完为止。
④付款控制审核。
a。审核内容:采购付款是否经过审核批准?审核是否严格?
b。审核办法:随机抽取一个月的采购付款会计凭证,并拿到付款业务对应月份的、由采购部门编报的“付款清单”,审查付款对象、付款金额与“付款清单”上的记录是否相符?“付款清单”上的财务审核人员签字和总经理签字是否具备?对照“付款清单”和采购订单,审查是否存在付款期未到提前付款的情况。
c。评分办法:
发现1笔不合格付款,扣5分,以后依次扣减7分,9分,20分累计扣完为止。
⑤信息控制审核。
a。审核内容:采购部门和财务部门是否定期就采购和结算信息进行核对,核对是否到位?
b。审核办法:随机选取某个月份,拿到该月采购统计编报的采购物资(包括原粮、辅料、包装物、维修配件)的收付存报表和货款结算报表,审查是否有财务部门的签字,将报表与财务账簿核对,看二者是否相符。对检查情况作出记录。
c。评分办法:发现缺少签字1次的,扣3分;以后依次扣5分,10分扣完为止;
发现采购统计编报的报表与财务账簿不符的,扣10分。
4.5.4 内部控制系统的维护
维护是内部控制系统投入使用后,在系统全面更新或升级之前的这段时间里,对内部控制系统进行的调整、修改工作,以使内部控制系统运行更为安全、稳定。维护的主体可以是系统的设计者、建设者、使用者,也可以是独立的内部控制系统专家、审计机构等。维护是系统使用中的一项重要日常工作,系统的质量越高,设计与建设过程中管理越规范,维护的工作量就越少。
××公司采购支付内部控制系统的日常维护主要由使用者进行。
(1)维护的种类:
①改正性维护:系统投入使用后,建设阶段测试的不彻底、不完全而隐藏未被发现的错误在特定的使用环境下暴露出来,为了识别和纠正设计的错误,改进系统性能上的缺陷、排除实施中的误使用,而进行的诊断和改正错误的过程。
②适应性维护:随着经济、技术的飞速发展,特别是管理、内部控制的新观念、新理论的不断涌现,企业自身业务、业务流程的调整以及人员和职能的变更,对内部控制系统造成极大冲击,为使内部控制系统适应这种变化,而去进行修改和调整的过程叫做适应性维护。
③完善性维护:在内部控制使用过程中,使用者往往会对内部控制系统提出扩充或改进性能、效率的需求,在这种情况下的维护活动称为完善性维护。
④预防性维护:预防性维护常常被理解为“把今天的方法学应用于昨天的系统以满足明天的需要”,是为了提高系统的可靠性、安全性,针对环境变化、潜在的风险为以后的系统维护打下良好的基础所进行的维护性工作。
(2)维护的副作用及对策。
改正旧的错误可能会导致新错误的出现,因此,维护工作的进行必须慎重。
①把子系统按修改分组。
②自顶向下安排所修改的系统的顺序。
③每次修改一个子系统。
④对于每个修改过的子系统,在安排修改下一个子系统时,要确定这个修改的副作用。
⑤维护完成后,一定要进行回归测试。
⑥自始至终保持系统、说明文档的一致性,做到同步更改。
(3)维护的工作流程。
维护的工作程序与系统的设计与建设工作程序相仿,工作程序是:维护的需求分析、维护的设计、维护的实施、维护的试运行、维护的正式运行、维护的评审。由用户或评审机构提出维护申请报告,维护机构和部门对申请报告进行评审和批准,组织人员实施维护,并且建立详细的维护文档,通知相关内部控制子系统注意或做出相应的改进。
①分类整理用户的意见。
②提出维护申请。
③评审、设计、批准维护申请。
④修改需求文档。
⑤维护需求文档评审。
⑥修改设计文档。
⑦维护设计文档评审。
⑧修改系统。
⑨回归测试。
⑩修改系统标记、版本号。
瑏瑡替换原有系统,投入运行,通知相关内部控制子系统。
瑏瑢收集实用效果、反馈意见,准备新一轮的维护活动,转向流程步骤1.
(4)维护文档。
维护文档就是对原来已有的分析文档、设计文档、实现文档、测试文档、用户指南进行修改,形成新的开发文档。文档的修改有两种形式,可以直接在原有的文档上进行修改,也可以将修改的内容单独作为一个附录,附于被修改文档的最后。维护管理文档是对本次维护工作的合法性、合规性、合理性及内容做的详细记录,因此并不是对原有的管理文档进行修改,而是单独形成、提交、保存,以利于今后的评审和维护。维护管理文档主要有:
用户意见反馈表
用户意见分类整理表
维护申请单
维护文档评审报告
产品缺陷统计表
功能扩充统计表
未答复问题汇总表
未验证问题汇总表
已修改问题汇总表
已验证问题汇总表
维护费用统计表