定义
内部控制是一个过程,由实体的董事会或董事会,其指导小组(管理层)和其他员工执行,旨在为他们提供实现以下三类目标的合理安全性:目标:
•运营的有效性和效率。
•财务信息的充分性和可靠性。
•遵守适用的法律和法规。
该定义强调内部控制的某些概念或基本特征,例如:
•这是一个从公司的其他系统和流程开始的流程,该系统和流程并入了管理和管理职能,与之不相邻。
•面向目标是一种手段,而不是目的。
•它是组织中各个级别的人员通过他们的行动和言语构思和执行的。
•提供合理而非绝对的保证,以实现您的目标。
组件
内部控制由五个相互关联的组件组成,这些组件是从主管部门管理实体的方式派生而来的,并已集成到管理过程中,分类为:
a)控制环境。
b)风险评估。
c)控制活动。
d)信息和交流。
e)监督和跟进。
内部控制由重复的永久性多方向过程组成,其中一个以上的组件会影响其他组件,并形成一个对变化的条件做出动态反应的集成系统。
效能等级
内部控制系统的运作水平不同。如果董事会或董事会和管理层能够合理保证:
•他们了解实体运营目标的实现程度。
•财务报告准备可靠。
•遵守适用的法律和法规。
a)控制环境
您将参与建立一个可以激发和影响员工活动控制环境的环境。
它是其他控制组件的基础,可提供控制的纪律和结构并影响如何:
•组织业务活动。
•分配了权限和责任。
•人们组织和发展。
•价值观和信念是共享和交流的。
•员工意识到控制的重要性。
控制环境因素:
•诚信和道德价值观。
•承诺要胜任。
•董事会和审计委员会的活动。
•管理的心态和运作方式。
•组织的结构。
•分配权限和职责。
•人力资源政策和实践。
控制环境对操作方式,目标设定和风险最小化有很大影响。它也与信息系统的行为和总体监管有关。反过来,它也会受到影响。
b)风险评估
它是与实现目标相关的风险的识别和分析,以及确定如何改善此类风险的基础。同样,它指的是识别和管理与变更相关的特定风险的必要机制,这些风险既影响组织环境又影响组织内部。
在任何实体中,必须确定组织的全球目标和相关活动,从而为识别和分析威胁其及时合规的风险因素提供基础。
对于实现目标所涉及的各个层面,风险的演变必须是不可避免的责任。内部审计员应审查这种自我评估活动,以确保目标,重点,范围和程序均得到适当实施。
每个实体都面临来自外部和内部来源的各种风险,这些风险必须由管理层进行评估,然后由管理层确定总体目标和特定目标,并识别和分析未实现上述目标或影响其维护能力的风险您的资产和资源,在竞争中保持优势。建立并维护其形象,增强并保持其财务实力,成长等。
目标:它的重要性在任何组织中都是显而易见的,因为它代表了所有资源和工作的基本方向,并为有效的内部控制提供了坚实的基础。目标设定是识别关键成功因素的正确方法。
目标的类别如下:
•合规目标。它们旨在遵守法律和法规以及政府发布的政策。
•操作目标。它们与组织运营的有效性和效率有关。
•财务信息的目标。他们指的是获得可靠的财务信息。
上述目标的实现受以下事件的影响:
1.有效的内部控制为实现财务报告和合规目标提供了合理的保证,因为它们在管理范围之内。
2.关于经营目标,情况与前一个有所不同,因为存在实体控制或外部控制之外的事件。但是,此类控制的目的是评估不同级别目标之间的一致性和相互关系,确定关键的成功因素以及报告结果进度和方法的方式。实施必不可少的纠正偏差的措施。
还应确定活动风险,从而有助于管理最重要领域或职能的风险;在这个级别上,原因从明显到复杂,涉及范围广泛,并且意义不同,它们必须包括以下方面:
•估计风险及其影响的重要性。
•评估发生概率。
•建立必要的行动和控制。
•对先前过程的定期评估。
c)控制活动
它们是由组织的管理层和其他人员执行的日常工作,以完成分配的活动。这些活动在政策,系统和程序中得到表达。
控制活动具有不同的特征。它们可以是手动或计算机化,管理或操作,一般或特定,预防或侦探的。但是,重要的是,无论它们的类别或类型如何,它们都将风险(真实或潜在)作为组织的利益,组织的使命和目标,并保护自身或第三方的资源。功率。
控制活动很重要,不仅因为它们本身暗示正确的做事方式,而且因为它们是确保实现更大目标的理想手段。
d)信息与交流
它们分散在整个实体中,并且全部用于一个或多个控制目标。广泛地认为,存在对信息系统的一般控制和应用控制。
1.通用控件:它们旨在确保正常运行和连续性,包括对数据处理中心及其物理安全性,硬件和软件的合约和维护以及操作本身的控制。它们还与系统开发和维护,技术支持和数据库管理的功能有关。
2.应用程序控制:它们直接针对每个系统,并通过相应的授权和验证来实现处理,完整性和可靠性。当然,这些控件涵盖了旨在与从中接收或传递信息的其他系统接口的应用程序。
信息和技术系统无疑是并且将无疑是提高生产率和竞争力的一种手段。某些发现表明,战略,组织结构和信息技术的集成是新世纪的关键概念。
通常打算仅根据会计信息来评估当前情况并预测未来情况。这种方法过于简单,因为存在偏见,只会导致错误的判断。
出于所有目的和目的,您必须意识到会计能够部分告诉我们发生了什么,但没有告诉我们将来会发生什么。系统生成的报告包含操作,财务和合规性信息,从而可以推动和控制组织。
内部生成的信息以及涉及国外发生的事件的信息,是决策和监控操作的重要组成部分。信息在不同级别上具有不同的目的。
e)监督与跟进
通常,控制系统被设计为在某些情况下运行。当然,为此目的考虑了控制固有的目标,风险和局限性;但是,由于外部和内部因素,条件会发生变化,从而导致控件失去效率。
所有这些的结果是,管理层必须对作为控制系统一部分的组件和要素进行系统的审查和评估。这并不意味着必须审核所有组件和元素,也不意味着必须同时完成它们。
评价应导致确定薄弱,不足或不必要的控制措施,以在管理层的坚定支持下促进其加强和实施。可以通过三种方式进行此评估:在组织不同级别的日常活动执行期间;以及 由不直接负责活动(包括控制活动)执行的人员分别分开,并结合前两种形式。为了进行适当的跟进(监视),必须考虑以下规则:
•员工必须获得证明内部控制正在发挥作用的证据。
•是的,外部通信证实了内部生成的信息。
•必须对会计信息系统中记录的金额与资产的实物进行定期比较。
•审查内部审计师和外部审计师建议的控制措施是否得到实施;或相反,什么也没做。
•内部审计部门的活动是充分,有效和可靠的。
缺陷报告
沟通薄弱环节和改进控制系统的机会的过程应针对那些是所有者并负责操作它们的人,以便采取必要的措施。根据已发现缺陷的重要性,现有风险的大小和发生的可能性,将确定应报告缺陷的管理级别。
控制参与者及其职责。
在经济实体中,控制责任对应于:
