内部控制定义为由实体员工执行的旨在实现特定目标的过程。
介绍。
公共会计的历史,其演变和后续活动提供了许多事实,这些事实最终成为实现和定义现在被称为“审计”的重要步骤。从世界和古巴最遥远的先例的出现,到管理该专业的当前和当前的机构和法律,从概念的观点出发,涉及到的相关事实都表明了改变方式的改变。审核工作正在进行中。
高级管理人员的目标是找到更好地控制他们经营的公司的方法。实施内部控制是为了在期望的时间内发现与公司确定的盈利目标之间的任何偏差。
这些控制措施使管理层可以应对迅速变化的经济和竞争环境,以及不断变化的客户需求和优先事项,并调整其结构以确保未来的增长。
内部控制系统与实体的经营活动交织在一起,并且出于基本业务原因而存在。当控制措施被纳入社会的基础设施并成为公司本质的一部分时,这是最有效的。
内部控制可提高效率,降低资产价值损失的风险,并有助于确保财务报表的可靠性和对适用法律法规的遵守。
内部控制定义为由实体员工执行的旨在实现特定目标的过程。
COSO报告中关于内部控制的概念解释说:“内部控制被定义为由企业员工执行的旨在实现特定目标的过程。
该定义是广泛的,涵盖了公司控制的所有方面,但同时它允许专注于特定目标。
财务和价格部(MFP)于2003年9月23日通过第297/03号决议定义了内部控制管理系统,该系统对总部位于古巴的所有经济实体都具有强制性,并在其中定义了内部控制,“作为与实体的管理层和其他人员进行的操作相集成的过程,为实现以下目标提供合理的安全性”:
•信息的可靠性。
•运营效率和有效性。
•遵守法律,法规和既定政策。
•控制可用于实体的各种资源。
因此,内部控制不应该是孤立的行为或机制或执行命令,而应该是一系列行动,变更或功能,这些行动,改变或功能共同导致一定的目的或结果。
仅此一项就将内部控制的概念扩展到了传统的财务控制概念之外,从而将内部控制转换为物料,设备,程序和人员的集成系统。
内部控制是人的事,因为任何组织都无法随时了解它所面临的所有当前和潜在风险,并且无法制定控制措施来面对每个内部控制。因此,组成组织的人员必须意识到评估风险和实施控制的必要性,并且必须能够对此做出适当的响应。
内部控制不是限制性因素,而是使过程成为可能,从而允许并促进目标的实现,因为它们指的是要实现这些目标而应克服的风险。
它不仅涉及与财务报告和合规性相关的目标,而且还涉及公司的管理运营。
通过这种方式,看到控制将使评估和改进内部控制的任务有价值,并成为每个人的责任。
新方法提供的要素必须是业务组织中所有员工的职责范围,并且必须包含在内部控制的五个组成部分中,当从一个集成的框架中对其进行分析时,这些组成部分将被识别,彼此关联并且是内部控制固有的。公司管理风格。它们作为内部控制系统(SCI)中要开发的方面出现在MFP的第297-2003号决议中。
•控制环境。
•风险评估。
•控制活动。
• 信息和通信。
•监督或监视。
从组织目标的观点以及两个证据之间存在的相互关系的角度对五个组成部分的重要性进行分析,这表明组织目标的定义,建立和应用是能够在组织中引入的主要要求SCI。
组织目标指明了方向,并且必须以书面形式陈述,以定义在给定时期内要实现的结果。
目标是什么:您想要并需要实现什么结果?这些目标提供了有关系统应如何工作,促进结构和组织,并能够评估进度的信息,因为带有明确日期的明确建立的,可衡量的目标已成为一种绩效标准,可以个人评估他们的进度。因此,目标是控制的重要组成部分。
因此,现实是公司必须以目标为导向,这意味着组织的管理者和下属一起,确定他们的共同目标,根据每个人的结果定义每个人的主要责任领域这些措施是可预期的,并将用作单位管理和评估其每个成员的贡献的准则。
如果组织目标指明了方向,要实现的结果,则内部控制的五个组成部分便构成了实现组织目标,计划结果及其适当运行的方式,并与所有基本目标一致。着眼于业务绩效和结果的变更过程。
控制环境:
它为公司的运营定下基调,并影响其员工对控制的认识。它是内部控制所有其他组成部分的基础,提供了纪律和结构。
控制环境因素包括公司员工的诚信,道德价值观和能力,管理理念和管理风格,管理层如何分配权限和职责以及专业地组织和发展员工及其对董事会的关注和指导。
控制环境促进了必须实现目标的结构以及确保实现目标的人员的准备。
风险评估:
组织面临必须评估的各种外部和内部风险。风险评估的前提是在不同级别上确定目标,这些目标相互关联且内部一致。风险评估包括识别和分析与实现目标相关的风险,并作为确定如何管理风险的基础。
实体必须了解并应对其面临的风险,建立机制以识别,分析和处理不同领域中的相应风险。
尽管有必要承担审慎的风险增长,但管理层必须识别和分析风险,量化风险,并预见其发生的可能性和可能的后果。
风险评估应是连续的过程,是组织的基本活动,其评估过程应面向未来,从而使管理层可以预期新的风险并采取适当的措施以最小化和/或消除风险。它们对实现预期结果的影响。风险评估本质上是预防性的,应成为公司计划过程的自然组成部分。
控制活动:
控制活动是有助于确保执行公司管理层指示的政策和程序。
它们有助于确保采取必要的措施来控制与实现公司目标有关的风险。
控制活动存在于整个组织中,并且发生在整个组织中的各个级别和所有职能上,包括以下内容:批准,授权,验证,对帐,运营效率分析,资产安全性和职责划分。
在某些情况下,控制活动被分类为:预防性控制,检测控制,纠正性控制,手动或用户控制,计算机或信息技术控制以及管理控制。无论采用哪种分类,控制活动都必须适合风险。
信息和通信:
必须以允许每个工人履行其职责的方式和时间范围来识别,收集和传达相关信息。计算机系统生成的报告包含操作,财务和合规性信息,使业务得以适当地运行和控制。
这些系统不仅处理内部生成的数据,而且还处理与管理决策以及向第三方呈现信息有关的内部事件,活动和条件的信息。
必须从更广泛的意义上进行有效的沟通,沟通遍及组织的各个领域,从上到下,反之亦然。
高级管理层给所有员工的信息必须明确;控制责任必须认真对待。工人需要了解内部控制系统中的角色以及个人活动与他人工作之间的关系。另一方面,他们必须具有将重要信息传达给更高级别的手段。同样,必须与第三方(例如客户,供应商,控制机构等)进行有效的沟通。
当前,没有信息系统就无法构想公司的管理。信息技术已经变得非常普遍,以至于理所当然。在许多组织中,经理抱怨说,他们收到的大量报告要求他们检查太多数据以提取相关信息。
在这种情况下,可能会有交流,但信息的呈现方式使个人无法使用或无法真正有效地使用它。
所有员工,特别是具有重要运营或财务职能的员工,都必须从高级管理层那里接收并理解必须认真承担控制义务的信息。
同样,必须知道内部控制系统中的角色,以及他们的个人活动与他人的工作相关的方式。
如果控制系统,系统中的特定任务和义务未知,则可能会出现问题。员工还必须知道他们的活动与他人的工作有何关系。整个组织必须进行有效的沟通。
思想的自由流通和信息的交流至关重要。上游通信通常是最困难的,尤其是在大型组织中。但是,其重要性显而易见。
建立适当的环境以促进开放和有效的沟通超出了政策和程序手册的范围。这取决于统治组织的气氛和高级管理层的口气。
监督或监测:
内部控制系统需要监督,即检查随着时间的推移是否能维持系统正常运行的过程。
这可以通过正在进行的监视活动,定期评估或两者结合来实现。在操作过程中会持续进行监督。它包括正常的管理和监督活动以及员工在履行职责时进行的其他活动。
定期评估的范围和频率将主要取决于风险评估和持续监控过程的有效性。必须将内部控制中发现的缺陷报告给更高的级别,同时必须将观察到的重要方面告知高级管理层和董事会。
“必须对整个过程进行监督,并在必要时进行相关修改。这样,系统可以快速做出反应并根据情况进行更改”。
需要对内部控制进行持续监控,以确保过程按预期进行。这很重要,因为随着内部和外部因素的变化,曾经合适且有效的控制措施可能会失效,从而无法为管理层提供以前提供的合理安全性。
监督活动的范围和频率取决于要控制的风险以及管理层在控制过程中所激发的信任度。
内部控制的监督可以通过业务流程中嵌入的持续活动以及管理层,内部审计职能或独立个人的独立评估来完成。
旨在测试内部控制有效性的正在进行的监督活动包括定期管理和监督活动,比较,核对以及其他常规行动。
通常,在分析每个组件之后,可以将这些组件链接在一起以进行综合:
•它们产生协同作用,并形成一个集成系统,可以动态响应环境的变化。
•他们会影响并影响适用于公司的方法和管理风格,并且会直接影响管理体系,前提是人是任何组织中最重要的资产,并且需要更积极地参与指导并感觉到所应用的内部控制系统的组成部分。
•它们与实体的经营活动交织在一起,从而提高了效率和效力。
•它们使您可以控制所有活动。
•它的有效运作可以合理保证一定程度上达到上述既定目标类别。因此,这些组件也是确定内部控制是否有效的标准。
•它们与针对财务领域的传统内部控制方法有所不同。
•从总体上讲,它们有助于实现组织目标。
二。向经济科学学院内部控制系统所作的诊断报告。
组件诊断:控制环境
积极方面:
•该学院有适用的规范或规则,以建立一种道德文化。为此,可以使用以下文件:网络规章和内部道德守则,集体劳动协议,州和政府机构规章,董事会规章,劳动纪律标准等。 。
•如果管理人员或工人未能遵守既定规定,则将采取相应的措施。
•确定了学院的使命,愿景和共同价值观,并准备了学院的SWOT矩阵。还有一份文件确定了UCLV以及学院的企业宗旨。
•根据DHR为此目的建立的模型和计划的基础,制作并提交职业介绍图,并描述每个工人的工作,相关活动,行政和服务人员所需的知识和能力。教师的工作会及时更新。
•发布董事会和工会联合会的会议记录,在大多数情况下,对协议的遵守由责任人控制。
•董事会纪要表明,作为管理方法和风格的一部分,ARC负责人定期向院长报告其管理情况。
•工人可以通过一些沟通渠道来提出他们对改进或可能进行的更改的建议,以实现任务和目标,例如工会大会,邮寄,部门会议以及指导教师和协调员会议。
•准备用于定义区域组织结构的组织结构图,过程图,以及学院的关键过程及其子过程,并以某种方式负责其正确操作。
•在各种情况下,无论是在战时还是在特殊情况下,都有控制权,并且工人对他们的任务,执行的任务及其位置也很了解。
•尽管为2006/2007学年制定了表格培训和发展计划。他们的培训计划中的所有表格都包括“通过参加有关该主题的研讨会,根据MFP的297/03号决议,掌握内部控制程序。
•组成教职控制委员会。
现有弱点:
•对书面规范(行为准则)和建立的道德规范的知识和自觉接受是不够的。从根本上说,这是因为这些行为准则不是书面形式,因此每个人都可以使用它们,此外,还没有系统地将其传播到预期的道德行为水平,并且这些行为准则并未得到系统化。它们包括在对工人进行的评估中。
•网络法规和内部道德守则已过时。
•副院长的专业图表未更新,因为它们与他们当前所拥有的功能不对应。没有详细说明普遍化副院长的职业态度。
•规范主要活动(决议,通函,说明等)的法律文档分散,几乎全部以数字格式在Intranet或某些文件夹中存在,并且并非每个人都知道或知道如何访问它们。
•管理人员和工人对他们在学院内部控制系统中的责任一无所知。
•没有为组织中使用的其他形式的会议(办公,每周工作会议等)发布会议记录,这妨碍了负责遵守协议及其后续措施的人员进行充分控制。
•在董事会纪要中,没有证据表明对经济财务状况进行季度评估,对内部控制进行季度分析,也没有批准本课程的目标和工作策略。对2月/ 07日至3月09日的董事会会议记录进行了审核,其范围从1分钟至19分钟,以及2月/ 07日至11月的董事会和工作会议的记事本/ 08。仅在三分钟内就解决了与内部控制系统和预防计划有关的任何主题。
•在董事会会议纪要中,没有证据表明对预防计划在各个领域的措施的遵守情况进行了分析,仅在04/21/08时才获得批准。预防计划不是按地区制定的。
•在董事会会议纪要中没有证据表明对检查,审计或其他任何类型的教职审查结果进行了分析,也没有采取纠正所发现缺陷的措施。
•显示的2008/2009学年主要成果领域和工作目标的战略规划是大学批准的,而不是教职部门及其部门的战略规划。
•职位,等级和职能关系的职责和责任未在《组织手册》或教职员工的组织规章中正式规定。
•每个经理和工人对其所保护的资源的职责,权利和重大责任均没有书面定义。
•尚未制定内部控制系统的实施时间表。
•尚未准备内部控制措施文件。(包括审核,检查,认证等)。餐桌的晋升和培训计划尚未更新,尚未为其余工人准备。
•没有建立基本计划,以使新员工有条不紊地熟悉学院的习俗和程序。
•没有应用人员轮换和晋升政策以允许组织流动,这意味着认可和晋升最有才华和创新的人。
•控制委员会最近进行了重组,尚未定义其结构,目标和职能(在大学一级也未定义这些问题)。
组件诊断:风险评估
积极方面:
该学院已采取各种措施来定义和评估风险,包括总体上和按领域划分,尤其是在经济和会计系。有几个单独的文件证明了这一点:活动中的风险,ARC确定的风险,风险强度的确定,风险原因。
现有弱点:
尽管有上述规定,风险评估仍未成为计划过程的自然组成部分。另外,上述文件还有一些缺点,我们将在下面详细说明,这些缺点很多,其中一些必须被整合。
•文件未注明日期。在进行的调查中,有可能确定它们的日期是2006年和/或2007年,因此它们没有更新。
•这些文档没有标识:风险-原因-估计和目标-风险-原因-控制目标。在定义它们的情况下,这些元素会单独出现。
•未确定院系内部和外部来源的风险及其与组织的领域或关键点和ARC追求的目标有关的活动。
•还没有准备《教师风险图》。
•在文档中未标识出由发生的风险可能导致的损失值,仅评估了频率和严重性。
•没有建立使风险评估流程保持最新的程序,以使它们不会失去有效性或包括新的风险。
•尚未根据定义的内部,外部和活动风险来指定控制目标。
•不可能将内部控制系统与预防计划联系起来,因为SCI尚未成为管理和预防腐败,纪律和违法行为的工具。
组件诊断:控制活动
积极方面:
该学院通常在其基本过程中进行控制活动,例如:由ARC管理层进行分析,由负责各种职能或活动的人员进行监视和审查,对其资产进行物理控制,限制资产访问,职责分工等的安全设备。
现有弱点:
尽管有上述规定,并且基于“控制活动是有助于确保管理层的政策得以执行并且必须与管理层已确定和承担的风险相关的程序”的概念,此组件的功能不足,例如:
•没有记载促进一体化,一致性和集体责任的领域之间的协调。
•内部控制结构和重大事件没有清楚地记录在案并可供验证,因为尚未为包含每个内部过程和子过程的内部手册编写包含内部和组织控制相关程序的手册。在组织中的位置和某些风险。
组件诊断:信息和通信。
积极方面:
总的来说,该学院的特点是及时遵守内部和外部不同级别要求的所有信息。
为此,它定义了不同的通信渠道:
•为促进管理层与工人之间的沟通而建立的机构是:
- 联合程序集。通过个性化用户列表进行邮件。每周一举行会议。部门会议。指导老师和协调员的会议。
•在许多渠道中,可以接收上级生物的信息并保持一定水平的更新:
- 院长办公室,管理委员会,电子邮件,礼堂储物柜,副院长的信息。
现有弱点:
•信息系统未在其所反映的学院中准备,没有针对每个不同级别(院长,副院长,系主任,教授)并根据职责(指导教授,协调员,J “纪律等”)接收,发布,目的地,周期性的信息,这有助于其管理。因此,在以下方面需要信息和通信:
- 未能及时到达的准备个人工作计划的目标。编写学期报告,学科自我评估的规范性文件等。学院的研究路线。支持方法论工作的文件。有出版可能性的杂志或网站。部长级决议。领土的社会经济状况。工人和学生的纪律规定。学科负责人,职业经理,协调员和指导老师的角色和职责。
•教职员工的管理尚未建立有效的机制和空间,使其无法了解工人对如何改进特定流程的建议。仅在某些情况下才考虑这一方面,例如针对专业培训过程的指导教师和协调员会议。尽管这些会议的性质很有参考价值,但教师们提出了一些建议来改进某些过程,例如全面性,但是在这方面未达成任何协议以回应或跟进它们。
组件诊断:监督和监视
积极方面:
•有一个监督委员会,负责监督和控制内部控制系统的进度。
•随着内部控制系统的实施,教职管理部门及其董事会的支持和承诺。
现有弱点:
•尚未制定行动计划(自我控制计划),以评估与组织的所有领域和主要活动中的持续活动和SCI特定评估有关的任务,以及措施的有效性。
•尚未确定每个领域必须报告内部控制情况,是否达到目标或其他问题的方式和频率。
预防计划:
积极方面:
•有MAC的第13/06号决议,并在这方面发布了大学指示。
•在董事会中分析大学的表现。
•由于已经识别出主要问题,复杂性更高的方面等原因,因此有处理实体之前执行的控制措施信息的历史。
•制定了防止乱纪,违法和腐败行为的预防计划。
现有弱点:
•针对草拟的纪律,违法行为和腐败表现的预防计划缺乏制定日期。
•根据预防计划,发现了一些不足之处,例如:
- 在项目1“滥用授权访问电子邮件和Internet”中,以负责的管理员身份出现。在第3点中,相同的风险出现了2次(哨兵没有参与以覆盖守卫的目标)。此外,存在确定的风险,这些风险的起因应被定义为:物质资源损失,偏差针对未经授权的物质资源目的。在第4点中,出现了一些错误定义的风险:支出与计划中批准的内容之间的对应关系,支出与项目中计划的内容之间的对应关系,在时间上和小额付款水平上的合规性。在所有情况下,均应否定。他们表现为负责任和执行的经济;这是不正确的,因为在该区域没有直接行动,因此不能保证行动的遵守。有许多已定义的风险实际上是某些风险的原因。在预防计划中,未按照MAC的第13/06号决议的规定指定合规日期。上述决议中建立的结构未得到遵守,没有详细说明。
结构必须如下:编号,易受攻击的点,可能的表现(有风险),要采取的措施(要采取的行动),负责人,执行人,遵守日期。
必须对将要采取的行动的责任者和执行者进行审查。例:副院长哪一个?院长负责由教务长直接负责的活动;在进行审计的范围内,负责人是秘书,执行人是副院长。
•预防计划是在教职员工级别上制定的,但尚未由教职员工的每个领域或部门制定。
三,结论
•内部控制方法可能被视为较为严格,但是由于其时事性,可以被实体有利地吸收。
•它的五个组件是对系统有贡献的元素,彼此集成,并以相互关联的方式实施,受管理风格的影响。它们用于确定系统是否有效。
•这些组成部分与针对财务领域的传统内部控制方法有所不同。这些组件位于管理系统中。它们使得可以预见风险并采取相关措施以最小化或消除其对实现组织目标的影响。
