关键控制是公司在经营管理中为了防范重要风险而制定的最有影响力的一项或多项控制。如果缺少这些控制,将会在很大程度上产生财务报表错报、资产安全受到威胁和舞弊的风险。
确认的关键控制的目的:一是为股份公司管理层测试内控体系的完整性和有效性提供统一的范围与标准。二是作为股份公司提供的内部测试基础性资料,以满足外部审计师评估、测试股份公司内控体系的完整性和有效性。
一、制定关键控制确认标准
关键控制是在确认重要会计科目和披露事项、锁定相关业务流程、确定相关财务报告认定、识别重要风险的基础上确认的,目的是为了防范财务风险(财务报告错报、资产安全出现威胁和出现舞弊)。
确认的关键控制,是在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少和不可替代的。如果缺少该项控制,将在很大程度上直接(而不是间接)导致财务风险的产生。确认的关键控制必须存在控制证据并能够对控制过程进行验证和测试。
二、建立关键控制文档
确认关键控制,是建立公司完善的内控体系的重要方面。为了使确认的关键控制更具可操作性、代表性和统一性,需要采取以下程序。
1.确定“关键控制点和控制要点”。控制活动就是针对关键控制点而制定的,因此,企业在制定控制活动时关键就是要寻找关键控制点。
成立工作小组,在开展风险控制分析和编制风险控制文档的基础上,以国家、股份公司统一的管理制度和COSO控制框架、控制理论作为主要依据,首先在公司层面上确定“关键控制点和控制要点”,作为确认股份公司统一的关键控制的基础。
2.形成《关键控制文档》。在确认“关键控制点和控制要点”的基础上,集中公司管理部门负责人、专业公司的内控人员、重点地区公司的业务骨干、咨询机构人员完成《关键控制文档》。
3.关键控制的审定、审批和执行。组织公司相关部门的负责人、地区公司的总会计师,聘请外部内控专家对初步确认的关键控制进行审定,最终确认公司关键控制,报股份公司内部控制建设委员会和公司管理层审批后执行。
4.关键控制制度化。按照内控的要求,与关键控制相关的制度文件必须全面。
三、关键控制文档举例
这里我们仍然以固定资产的折旧和计提减值准备为例,来具体说明其关键控制文档的编制(见附录五)。
四、制定程序文件和标准控制证据
通过关键控制与相关管理制度之间的对比发现,差异主要体现在现有的管理制度没有达到内控体系建设中关键控制要求的细化程度。为此,公司在管理制度实施细则的基础上,制定与关键控制相对应的程序文件和与关键控制相关的、有示范意义的标准控制证据,达到公司关键控制的局部统一和规范。