¿Qué incluye generalmente la evaluación de los controles internos corporativos?
La gente está acostumbrada a dividir el contenido de la evaluación del control interno en evaluación del control a nivel general y evaluación del control a nivel empresarial. La evaluación del control de nivel general es el proceso de evaluar la eficacia de los controles de nivel general. Este proceso incluye: determinar si los controles a nivel general crean el ambiente general para la implementación efectiva de controles a nivel empresarial; identificar debilidades en los controles a nivel general que afectarán el diseño de las pruebas de los controles a nivel empresarial; La evaluación general del control a nivel no es una evaluación general del control interno. La evaluación general del control interno es una consideración integral de varios procesos y factores de control para obtener una evaluación general. Las pruebas de controles de nivel agregado se realizan en función de objetivos de control específicos, pero el control debe considerarse como un todo y no como un objetivo de control único. Por ejemplo, las debilidades en un área de control pueden compensarse diseñando e implementando controles efectivos en otras áreas. ¿Qué tan confiables deben ser los controles para que se consideren efectivos? ¿Debe el control de nivel general alcanzar el nivel más alto de confiabilidad para ser efectivo? Al tomar decisiones se deben considerar los siguientes asuntos: Primero, consideración general. Finalmente, la eficacia de los controles internos debe ser evaluada por todo el sistema y no por componentes individuales. Al diseñar un sistema, las organizaciones deben sopesar si mejorar ciertos elementos del sistema o compensarlos mediante otros controles más efectivos. El segundo es una protección e importancia razonables. Los controles internos sólo pueden proporcionar una seguridad razonable, pero no absoluta. La evaluación de la eficacia de los controles internos debe basarse en los estados financieros generales, por lo que es necesario considerar si las incorrecciones que los controles internos no pudieron prevenir o detectar son significativas en los estados financieros generales. El proceso utilizado para evaluar los controles de nivel general incluye el uso de un modelo de confiabilidad de control interno para calificar la efectividad de cada objetivo de control y la integración de objetivos de control únicos en el nivel general de controles de la organización. ¿Cómo se evalúa en última instancia la eficacia de los controles? El Instituto Canadiense de Contadores Públicos realizó una investigación al respecto y vale la pena señalar una conclusión en particular. La evidencia no es sólo una colección de hechos sino también una integración de todo lo que sabe el auditor. La evidencia no aparece en un orden claro: no es lineal, está dispersa y debe organizarse, clasificarse y sintetizarse. Algunas pruebas son hechos concretos que pueden verificarse objetivamente, pero la mayoría son impresiones vistas, escuchadas o sentidas, incluidas las actitudes e intenciones de las personas en la organización, la cultura organizacional y los argumentos éticos. Consciente o inconscientemente, las personas toman en consideración todos estos factores y los utilizan como evidencia al sacar conclusiones. La evaluación de controles a nivel empresarial es el proceso de evaluar la eficacia de los controles a nivel empresarial y es el contenido central de la evaluación del control interno.
El marco Zhongtianheng 3C siempre ha abogado por que la evaluación del control interno debe incluir el control contable, el control empresarial y el control de gestión. La evaluación del control contable es la base, la evaluación del control empresarial es el núcleo y la evaluación del control de gestión es la dirección. esfuerzos. La evaluación de los controles internos ciertamente incluye tanto el diseño como la ejecución, pero la clave es la ejecución.
El contenido de la evaluación del control interno en un entorno de sistema de información es ciertamente diferente al de un entorno de procesamiento manual. En términos generales, el control interno de los sistemas de información informáticos se puede dividir en control general y control de aplicaciones. Los controles generales se aplican a una amplia gama de riesgos que amenazan sistemáticamente la integridad de todas las aplicaciones en el entorno de los sistemas de información. El control de aplicaciones consiste en controlar los riesgos de sistemas de aplicaciones específicos (como sistemas de aplicaciones de nómina, cuentas por cobrar y adquisiciones, etc.). ), el riesgo proviene de las vulnerabilidades del propio sistema de aplicación en el sistema de información, amenazando directamente la seguridad y exactitud de los datos. La evaluación del control general debe centrarse en si los objetivos de control de la tecnología de la información, los cambios de programas, las operaciones informáticas y los contactos de datos relacionados con el desarrollo del sistema de información cumplen con los requisitos del control interno de la empresa y si son conducentes a la realización de los objetivos de control interno de la empresa, y utilizar esto para evaluar el desempeño del sistema de información Seguridad, confiabilidad y razonabilidad. La evaluación del control de aplicaciones debe combinarse con las características de los procesos comerciales empresariales, centrarse en los puntos de control relacionados con los procesos comerciales en los sistemas de información y evaluar la autenticidad, precisión y cumplimiento de los datos operativos relevantes del sistema de aplicaciones.
El contenido de la evaluación del control interno se puede explorar en teoría, pero en la práctica debe unificarse con los requisitos de las "Directrices para la evaluación del control interno empresarial". El contenido de la evaluación del control interno de las empresas chinas debe basarse en las "Normas básicas para el control interno empresarial" y las directrices de apoyo, así como en el "Manual de control interno empresarial" diseñado por la propia empresa, centrándose en el entorno interno y la evaluación de riesgos. , actividades de control, información y comunicación, supervisión interna, etc. elementos para determinar el contenido específico de la evaluación del control interno. Por supuesto, es necesaria una evaluación exhaustiva del diseño y funcionamiento de los controles internos. El contenido específico de la evaluación del control interno de una empresa debe estar determinado por los ajustes comerciales de la empresa, los cambios ambientales, el estado de desarrollo comercial y los niveles de riesgo reales, y no puede fijarse ni modelarse.
Lo que necesita especial énfasis aquí es que el contenido de la evaluación del control interno no debe limitarse a la evaluación general de los cinco elementos, sino que debe evaluarse específicamente en el control financiero, comercial y de gestión de la empresa. Los negocios de las empresas varían ampliamente en tamaño, pero el contenido específico de la evaluación del control interno de la empresa debe incluir al menos el contenido principal de las directrices de apoyo promulgadas para el control interno de la empresa.