您的位置 首页» 审计视野 >

业务外包内部控制评价实务


    业务外包内部控制评价是内部控制评价业务层面的重要内容之一,是对业务外包内部控制设计及运行有效性的评价。因此,加强业务外包内部控制评价工作,有利于促使企业建立健全和有效执行业务外包内部控制,从而有效控制业务外包风险。

评价目标及评价依据

业务外包内部控制评价目标,就是保证业务外包内部控制设计和运行的有效性,促使企业预防和控制业务外包风险。

业务外包内部控制评价的依据是国家关于业务外包管理方面的法律法规、企业制定的业务外包管理制度及《企业内部控制手册》中有关业务外包部分的内容。具体依据因评价单位的不同而有所不同。

一般来说,国家法律法规层面的评价依据包括《企业内部控制基本规范》、《企业内部控制应用指引第13——业务外包》以及《民法通则》、《合同法》等法律法规中的有关规定等;评价单位层面的评价依据包括《业务外包管理制度》、《业务外包授权制度和审核批准制度》、《业务外包的岗位责任制》等;《企业内部控制管理手册》中的《业务外包内部控制矩阵》既是内部控制评价的对象,也是评价最为直接的依据。

评价内容

业务外包内部控制评价内容,总体来说,就是评价业务外包内部控制的设计和运行的有效性,包括过程和结果两个层面,具体评价范围包括承包方选择、业务外包实施等主要业务外包活动。具体评价内容因评价单位开展业务外包内部控制评价工作和被评价单位业务外包内部控制成熟度的不同而不同。

()设计有效性评价。业务外包内部控制的设计有效性评价包括设计过程和设计结果两个层面。实际操作上,根据中天恒3C框架内部控制设计标准,业务外包内部控制的设计有效性评价包括:

现状梳理过程及结果的有效性。现状梳理是业务外包内部控制设计的基础性工作,评价要点是:是否进行业务外包的现状梳理;是否梳理了现有业务外包管理制度或相关文件并编制了《业务外包内部管理制度或相关文件情况表》;是否进行业务外包的业务现状描述并编制了《业务外包流程目录》、《业务外包业务现状流程图》等;业务外包现状梳理的结果是否符合企业业务外包的业务、管理现状等。常用评价方法为调查问卷和审阅的方法,评价工作底稿是调查问卷、审阅及访谈记录表等。

风险评估过程及结果的有效性。评估要点包括:是否进行了业务外包风险评估工作;是否识别了业务外包风险并编制了《业务外包风险及其描述表》;是否分析了主要业务外包风险并编制了《业务外包风险分析表》;是否评价了业务外包风险并编制了《业务外包风险评价表》;是否确定了业务外包风险应对策略并编制了《业务外包风险应对策略表》;是否汇总分析了业务外包风险评估结果并编制了《业务外包业务风险数据库》;是否提出了业务外包重大风险解决方案;业务外包风险评估结果是否合理有效等。常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序,评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。这里需要特别说明的是对业务外包风险评估结果有效性评价是件非常专业的工作,比较严谨的做法是对业务外包重新进行风险评估,但这工作量巨大,现实的做法是用统计抽样的方法抽查业务外包风险评估结果的有效性。

控制要点确定过程及其结果的有效性。评价要点包括:是否划分了业务外包内部控制的控制环节;每个控制环节是否确定了控制要点;是否确定了关键控制,是否编制了《业务外包控制要点及其关键控制表》;业务外包控制环节、要点及其关键控制的确定结果是否有效。常用评价方法为调查问卷和审阅的方法,评价工作底稿是调查问卷、审阅及访谈记录表等。

控制目标的分解过程及结果的有效性。评价要点包括:是否分析确定了业务外包内部控制的总体控制目标;是否分解了总体控制目标,是否编制了《业务外包内部控制目标表》;业务外包控制目标的分析、分解结果是否有效。常用评价方法为调查问卷和审阅的方法,评价工作底稿是调查问卷、审阅及访谈记录表等。

控制措施的确定过程及结果的有效性。评价要点包括:是否确定了业务外包内部控制的总体控制措施,确定的总体控制措施是否有效等;业务外包在业务层面的控制措施是否具体有效,是否编制了《业务外包内部控制措施表》。常用评价方法为调查问卷、审阅、穿行测试、重新执行等方法,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。

控制证据的设计过程及结果的有效性。业务外包控制证据是多种多样的,评价要点是:是否设计了业务外包内部控制的控制证据,是否编制了《业务外包控制证据表》,设计的控制证据是否有效等。常用评价方法为调查问卷和审阅等方法,评价工作底稿是调查问卷、审阅及访谈记录表等。

管理制度的优化过程及结果的有效性。业务外包内部控制设计的过程实际上也是业务外包管理制度优化的过程,需要对业务外包管理的修订和完善提出建设性的意见。评价要点是:是否提出了业务外包管理制度完善建议,是否编制了《业务外包制度完善建议表》,建议是否合理有效等。常用评价方法为调查问卷和审阅等方法,评价工作底稿是调查问卷、审阅及访谈记录表等。

控制流程图的绘制过程及结果的有效性。《业务外包控制流程图》是业务外包内部控制设计的重要成果之一,对有效实施业务外包内部控制具有导航的作用。评价要点是:是否绘制了《业务外包内部控制流程图》,是否标注了风险点和控制点,《业务外包控制流程图》是否有用等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。

控制矩阵的编制过程及结果的有效性。《业务外包控制矩阵》是业务外包内部控制设计的重要成果之一,对企业内部控制管理手册的重要组成部分。评价要点是:是否编制了《业务外包内部控制矩阵》,控制矩阵的格式要素是否基本齐全等。常用评价方法为审阅、访谈的方法,评价工作底稿是审阅及访谈记录表等。

()运行有效性评价。业务外包内部控制的运行有效性评价包括运行过程和运行结果两个层面,总体说来,评价要点包括:已经设计完成的业务外包内部控制及其相关的管理制度是否有效执行,是否有效控制了业务外包风险;已经设计有效的业务外包各控制点的控制措施是否有效实施,是否有效防止了各控制环节的风险;是否建立业务外包内部控制标准执行情况文档;是否根据业务、监管要求或法律法规等的变化持续改进业务外包内部控制等。

实践中,业务外包内部控制运行层面普遍存在的问题是已有的控制在实际中没有执行,内部控制形同虚设,业务外包风险未有效控制,导致虚增承包方选择收入、人为调节利润、形成坏账等。业务外包内部控制的运行有效性评价重点的是控制制度及其措施的执行情况。常用评价方法为调查问卷、审阅、穿行测试、重新执行等,评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。

评价程序

业务外包内部控制评价程序,就实施阶段来说,主要包括对业务外包内部控制进行调查了解、控制测试、缺陷认定、综合评价等程序。

()调查了解。业务外包内部控制调查了解,是评价实施阶段的首要环节,涉及的具体内容很多,也因单位的不同而不同。值得注意的是,调查了解仅作为了解业务外包内部控制设计和运行的情况的手段,不能直接形成业务外包内部控制设计和运行有效性的结论。本阶段工作常用方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点,需要经常加以综合运用。

()现场测试。业务外包内部控制现场测试,就是测试业务外包内部控制设计和运行的有效性。实际操作中,可以根据具体情况实施详查或者抽样测试,具体测试方式包括跟单测试和关键控制测试等。

评价人员在测试业务外包控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序,一般采用跟单测试方式。

评价人员在测试业务外包内部控制运行的有效性时,应当综合运用审阅文件资料、询问相关人员、观察业务活动以及重新执行控制等程序。在此过程中,应将业务外包每个业务流程的每个控制点的测试程序、方法和结果记录于内部控制执行有效性测试底稿。测试结束后,应将各个流程和控制点的执行有效性测试结果进行汇总,记录于《内部控制执行有效性评估汇总表》。此测试一般采用关键控制测试的方式,即是建立样本库,再按照样本发生频率、样本库总量的大小区分,抽取相应数量的样本进行测试。

()认定缺陷。业务外包内部控制认定缺陷,就是对业务外包内部控制设计缺陷和运行缺陷的认定,并按照影响程度分为重大缺陷、重要缺陷和一般缺陷。在具体的认定过程中,评价人员应将已经调查了解到的业务外包内部控制的系统现状与事先确定的内部控制标准模式进行对照,以揭示哪些法规规定的控制程序未被采用。对照发现的缺陷,应当按照不同内容分类,并汇集在《内部控制缺陷认定矩阵表》中记录,并编制《业务外包内部控制缺陷认定表》。

        ()综合评价。业务外包综合评价,就是指在业务外包内部控制现场测试结果的基础上对业务外包内部控制有效性做出的最终评价,主要工作是汇总前述评价结果。本阶段工作应遵循整理资料、分析影响、形成结论、反馈意见等综合评价的基本步骤。业务外包综合评价的方法很多,比较常用的是评分法。实施过程中,可分别业务外包内部控制设计有效性和运行有效性进行评分,也可以进行综合评分。业务外包内部控制综合评价结果可编制成《评价结果汇总表》或绘制成《评价地图》
上一篇: 内部审计如何有效增加企业价值
下一篇: 对财政专项资金管理的思考