美国联邦政府内部控制准则完整版美
美国联邦政府内部控制标准——引言
(2010-03-16 20:48:56)
译注:单位要推行内部控制,为了更好地完成这项任务,有必要学习点东西,于是将美国政府问责局(U。S。 Government Accountability Office,U。 S。GAO)前身美国审计总署(U。S。 General Accounting Office,U。S。 GAO)1999年11月颁布的《联邦政府内部控制标准》(Standards for Internal Control in the Federal Government,GAO/AIMD-00-21。 3。1)翻译成中文。过程可以加深理解,...全部
美国联邦政府内部控制标准——引言
(2010-03-16 20:48:56)
译注:单位要推行内部控制,为了更好地完成这项任务,有必要学习点东西,于是将美国政府问责局(U。S。 Government Accountability Office,U。
S。GAO)前身美国审计总署(U。S。 General Accounting Office,U。S。 GAO)1999年11月颁布的《联邦政府内部控制标准》(Standards for Internal Control in the Federal Government,GAO/AIMD-00-21。
3。1)翻译成中文。过程可以加深理解,结果可以分享。
引言
下列定义、目标和基本概念为内部控制标准提供基础。
定义和目标
内部控制,是组织管理不可或缺的组成部分,它为实现下列目标提供合理保证:
• 业务运行的效果和效率
• 财务报告的可信性
• 对适用法律、法规的遵从
内部控制是管理组织的主要组成部分,它由用以实现使命、目的和目标的计划、方法、步骤组成。
这样做,它支持基于绩效的管理。
内部控制,在保护资产,预防、发现过错和欺诈中,也起到第一道防线的作用。简言之,内部控制与管理控制同义,帮助政府计划管理人员通过对公共资源的有效管理取得预期结果。
内部控制应当为政府机构在以下方面目标的实现提供合理保证:
• 运行的效果和效率,包括实体资源的利用。
• 财务报告的可信性,包括预算执行和财务状况报告,以及内部、外部使用的其它报告。
• 对适用法律、法规的遵从。
这些目标的一个子集是资产保护。内部控制应当设计来防范或者及时发现对政府机构资产的未经授权的获得、使用或者处置。
基本概念
内部控制:
• 持续的且与业务运行融为一体的业务组成部分。
• 受人的影响。
• 提供合理保证,不是绝对保证。
基本概念为设计和运用该标准提供基本的框架。
内部控制是持续的且与业务运行融为一体的业务组成部分
内部控制不是一个事件,而是贯穿整个组织且持续进行的一系列行为和活动。
内部控制应当是管理层用来控制和引导业务运行的不可或缺的组成部分,而不是一个政府机构的独立系统。从这种意义上讲,内部控制是内置于机构作为其基础制度组成部分的、持续帮助管理人员运转机构并实现其目标的管理控制。
内部控制受人的影响
人使内部控制起作用。良好内部控制的可信赖性取决于全体管理人员。管理层设定目标,实施控制机制和活动,跟踪和评估控制。然而,组织的所有人员在使内部控制发挥作用中起到重要作用。
内部控制提供合理保证,不是绝对保证
管理层应当基于相关的成本和效益设计和实施内部控制。无论设计和运行多么完美,内部控制不能对实现政府机构的目标提供绝对保证。管理层所能够控制和影响之外的因素可能影响单位实现其目的能力。
例如,人为失误、判断错误、共谋串通行为可能影响实现政府机构目标。因此,一言以蔽之,内部控制对实现政府机构目标,提供合理的而不是绝对的保证。
内部控制标准
标准介绍
内部控制的五个标准:
• 控制环境
• 风险评估
• 控制活动
• 信息与沟通
• 监督
这些标准定义政府内部控制可接受的最低水平,提供评价内部控制的基准。
这些标准适用于政府机构运行的所有方面:程序的,财政的,以及遵从。然而,标准不打算限制或者干扰政府机构在制定法规、制定规则或者其他有权政策制定方面正式授予的权力。这些标准提供总体框架。在实施标准时,管理层负责开发详细的策略、步骤和做法,以适应自己政府机构的业务运行,并保证它们内置成为业务运行不可或缺的组成部分。
在下面的材料中,这些标准以简短、简明的形式展现。提供额外的信息帮助管理人员将标准融入他们日常的运行中。
控制环境
管理层和雇员应当在整个组织范围内建立和保持一种环境,该环境为内部控制和负责任的管理树立积极的、支持的态度。
一个积极的控制环境是所有其他控制标准的基础。它提供行为准则和架构,以及影响内部控制质量的风气。几个关键因素影响控制环境。
一个因素是管理层和全体人员所拥有和展现的正直及道德观。政府机构管理层在这个方面的引导上起关键作用,特别是建立和保持组织的道德基调,提供适当行为的指引,消除不道德行为的诱惑,适时地建立纪律。
另一个因素是管理层对能力的保证。所有人员都必须拥有和保持使其能完成规定职责的能力水平,并且理解开发和实施良好内部控制的重要性。管理层需要识别不同职位所需的知识和技能,提供必要的培训、不偏不倚的建设性辅导和绩效评价。
管理理念和运行方式也影响环境。这个因素决定政府机构愿意承担的风险等级,以及管理理念与基于绩效的管理的接近程度。更进一步,管理层对信息系统、会计业务、人事职能、监督、审计和评估等的态度和理念,对内部控制具有深刻影响。
影响环境的另一个因素是政府机构的组织结构。它为计划、指导和控制业务运行以实现组织目标提供管理框架。良好的内部控制环境要求政府机构的组织结构清晰地定义权力和责任的关键方面,并且建立合适的隶属关系。
环境也受政府机构在整个组织范围内委托权力和责任的方式的影响。这种委托包括对运行活动、隶属关系和授权规则的权力和责任。
好的人力资源政策和做法是另一个关键的环境因素。这包括在招录、任前培训、培训、评价、个别辅导、晋升、薪酬、纪律约束等方面建立适当的做法。
它还包括进行适当次数的督导。
影响环境的最后一个因素是政府机构与国会和中央监督机构(如管理和预算办公室)的关系。国会授权政府机构做事的程序,监督其业务进展;中央监督机构在很多不同的事务上提供政策和指导。
另外,监察长和内部高级管理委员会(internalseniormanagementcouncils)能够促成良好的综合控制环境。
风险评估
内部控制应当对政府机构面临的、源自内部和外部的风险进行评估。
风险评估的前提是建立清晰的、一贯的政府机构目标。风险评估,是对与实现目标相关的风险的识别和分析,比如在根据《政府绩效与结果法案》制定的战略计划和年度绩效计划中确定的目标,并形成确定应当如何管理风险的基础。
管理层必须全面地识别风险,并且应当考虑单位与其它各方所有重要交往,以及整个单位范围和活动层次两个方面的内部因素。风险识别可能包括:定性的和定量的排序活动,管理层会议,规划与战略预测,考虑审计和其他评估的结果。
一旦风险被识别出来,应当分析其可能的影响。
风险分析一般包括:估计风险的重要性,评估其发生的可能性,决定如何管理风险以及采取什么样的行动。因为政府机构使命差异,以及定量和定性地确定风险等级的难度,采用的具体风险分析方法可能因政府机构而异。
由于政府、经济、产业、监管和运行的条件持续变化,应当提供识别和处置这些变化引起的特殊风险的机制。
控制活动
内部控制活动帮助保证管理层的指令得到执行。控制活动在实现政府机构控制目标上应当是有效果的和高效率的。
控制活动是执行管理层指令的策略、步骤、技术和机制,比如遵循编制和执行预算有关要求的过程。控制活动帮助保证采取行动来应对风险。控制活动是政府机构为资源管理和取得有效成果所进行的计划、实施、回顾和问责的不可或缺的组成部分。
控制活动发生在单位的所有层级和所有职能中。它们包括各种各样广泛的活动,比如:批准,授权,核实,和解,绩效评述,安全保障,提供执行这些活动执行证据的相关记录以及合适文档的创建和维护。控制活动可以在计算机化的信息系统环境中实行,或者通过手工过程实行。
控制活动可以根据特定控制目标分类,比如保障信息处理的完整性和准确性。
有些必然的、所有政府机构通用的控制活动类型。实例如下:
1、最高层考评实际绩效。管理层应当跟踪主要的机构业绩,将其与根据《政府绩效与结果法案》建立的计划、目的和目标相比较。
2、管理层考评职能级或者活动级绩效。管理人员必须将实际绩效与计划的或者期望的结果进行比较,找出重大的差距。
3、人力资源管理。组织全体员工(它的人力资本)的有效管理,是实现结果的基础和内部控制的重要部分。
管理层应当将人力资本看成资产,而不是成本。只有在有适合岗位要求的员工上岗,并且经过适当的培训,工具、装备、动机和职责才是业务成功的恰当选择。管理层应当保证技能需求得到持续评估,保证组织能够得到具有与实现组织目标相适应必备技能的员工。
培训应当致力于开发和保持员工技能水平,以满足变化的组织要求。应当提供符合资质的、持续的监督,以保证实现内部控制目标。应当设计绩效评价和反馈,辅之以有效的奖励制度,帮助员工理解其绩效与组织成功之间的联系。
作为人力资源计划的一部分,管理层也应当考虑如何以最佳方式留住有价值的员工,为他们接班做打算,保证所需技能和能力的连续性。
4、对信息处理的控制。各种各样的控制活动可用于信息处理。实例包括:数据录入审查,电子交易账单审查,与控制账号比较文件总数,对数据、文件和程序访问控制审查。
5、对脆弱资产的实物控制。政府机构必须建立实物控制,以保证脆弱资产的安全。实例包括:对丢失和未经授权使用风险具有脆弱性的现金、有价证券、库存物品、设备的安全措施和享用限制。这些资产应当定期盘点,并与控制记录比较。
6、绩效度量和指标体系的建立和考评。必须建立活动来跟踪绩效度量和指标体系。这些控制可能需要建立不同组别数据之间的联系,进行比较和评估,以便进行相互关系分析,采取适当行动。控制应当以验证组织和个人绩效度量和指标体系的适宜性和完整性为目的。
7、义务分离。关键的义务和责任必须在不同的人之间分解或者分离,以减小过错或者欺诈风险。这应当包括拆分授权交易、执行和记录交易、审核交易、处理相关资产的职责。不能由任何单个人完全操控一笔交易或者一件事务的所有关键环节。
8、交易或者事务的正当执行。交易和其它重要事务应当得到授权,并且由有权力的人在其职权范围内执行。这是保证只有交换、传输、使用、耗费资源的正当交易和其它事务才能启动或者开始主要手段。授权应当在管理人员和员工之间明确沟通。
9、交易和事务的精确及时记录。交易应当迅速记录,以保持其对管理层在控制运行和决策中的相关性和价值。这适用于交易或者事务从开始、授权直至其在记录摘要中分类的整个过程或者生命周期。另外,控制活动帮助保证所有交易得以完整、准确记录。
10、对资源和记录的享用限制和责任。对资源和记录的享用应当局限于经过授权的个人,应当指定和维持保管、使用资源和记录的责任。应当定期对资源和登记的责任人进行比较,以减小差错、欺诈、滥用或者未经授权的变动等风险。
11、交易和内部控制的恰当记载。内部控制、所有交易和其它重要事务,应当得以清晰记载。记载应当便于检查。记载事宜应当出现在管理层指令、行政政策或者业务操作手册中,可以是纸质的或者电子形式的。
所有记载和记录应当妥善管理和保存。
上述这些实例打算用来说明对政府机构管理人员可能有用的控制活动的范围和种类。它们不是无所不包的,可能不包括某个机构需要的特殊控制活动。
此外,政府机构的内部控制应当具有灵活性,以便机构能够调整控制活动,使其适应其特殊需求。
出于多种原因,某个机构采用的特定控制活动,可能有别于其它机构采用的。这些原因包括:他们面临特殊的威胁、遇到特殊的风险;管理上的判断;组织的规模和复杂性;数据的敏感性和价值;系统的可靠性、可用性和性能要求。
信息与沟通
信息应当得以记录,并在一定时限内、以一定形式传递给管理层和单位中需要这些信息的其他人,以使他们能够实施内部控制和完成其它任务。
为了一个单位运转和控制其运行,必须具有与内部和外部事务相关的、可靠的、及时的沟通。
整个单位都需要信息,以实现其全部目标。
为了确定政府机构战略计划和年度绩效计划实现情况,以及确定计划管理人员效率高、效果好地利用资源的责任目标实现情况,他们不仅需要业务运行数据,还需要财务数据。
例如,需要业务运行信息以编制财务报告,其涉及范围从采购、薪资和其它业务数据到固定资产、库存和应收账款。业务运行信息也需要用来确定政府机构是否实现其对各种法律、法规的遵从要求。不仅内部需要财务信息,外部也需要。
对外,编制周期性的财务状况报告;对内,在日常工作基础上,作出运行决策,监督绩效,配置资源。应当识别、获取相关的信息,并在一定时限内、以一定形式分发,使人们得以高效履行职责。
广义上讲,有效的沟通应当随着信息在组织中上下和横向流动而发生。
除内部沟通外,管理层应当确保有足够多的方式与外部利益相关者沟通,并从他们那里获得信息,他们可能对实现组织目标有重要影响。此外,有效的信息技术管理对实现令人满意的、可靠的、持续的信息记录和信息交流至关重要。
监督
内部控制监督应当评估以往运行质量,保证审计结果和其它检查出的问题得到及时解决。
内部控制一般应当设计来保证在正常业务运行过程中实施事中监督。监督持续进行,并根植于政府机构的业务运行。
业务运行包括正常的管理,以及监督活动、比对、核对和人们在完成任务中的其它行动。
通过直接关注特定时间的控制效果的单独评估可能也是有用的。单独评估的范围和频次主要依赖风险评估和事中监督作法的效果。
单独评估可以采取自我评估形式,以及控制设计审查和内部控制直接测验。单独评估也可以由本机构的监察长或者外部审计师完成。事中监督或者单独评估发现的不足之处,应当与负责该职责的个人和其上级管理人员(至少一级)沟通,严重问题应当向最高管理层报告。
为保证审计结果和其它检查出的问题得到及时解决,内部控制的监督应当包括策略和步骤。管理人员要做的事情:(1)及时评估审计结果和其它检查出的问题,包括审计师和其他对政府机构进行评估的人所报告的已经显现出来的不足之处和建议;(2)确定适当的行动,对审计、评价的结果和建议做出反应;(3)在设定的时间内,完成纠正或者解决提请管理层注意的事情的所有行动。
解决过程从审计或者其它评价结果报告到管理层开始,只有当完成下列行动之一后才能结束:(1)纠正发现的不足之处;(2)推出改进措施;(3)表明管理层没有必要对结果和建议采取行动。
。收起