内部控制是为实现适当目标提供合理保证的过程。内部控制能否实现所定目标,则依赖于内部控制的有效设计与有效运行,而要确保内部控制设计适当与运行有效,必须加强对内部控制的评价。我国虽然已经出台一些关于内部控制评价方面的规制,但仍缺乏具体的评价标准以及明确的评价指标体系。 一、内部控制及其评价的内涵与意义 关于内部控制的定义众说纷纭,其中最具影响力的要属COSO委员会1992年报告,即《内部控制——整体框架》中提出的定义“内部控制是受企业董事会、管理当局和其他职员的影响,旨在取得:经营效果与效率;财务报告的可靠性;遵循法规等目标而提供合理保证的一种过程。”该报告将内部控制要素确定为控制环境、风险评估、控制活动、信息与沟通、监控。此报告提出后,COSO通过进一步的研究发现:不同国家的不同企业都在应用各种各样的管理框架,这些管理框架有的关注于狭义的风险管理,有的侧重于特别的行业或特定类型的风险管理,有的关注风险的减少而非风险的管理。COSO认为,对管理者来说,一个非常重大的挑战就是确定某个组织在努力创造价值的过程中准备承受多大的风险。而制定统一定义、能够提供主要原理与概念、具有明确的方向与指南的风险管理框架将有助于企业迎接这一挑战。基于以上认识,COSO于2004年9月发布《企业风险管理框架》(以下简称“ERM”)的研究报告。ERM扩展了内部控制框架中风险的要素,将其变成了四个要素:目标设定、事件识别、风险评估以及风险应对。至此,ERM的内部控制要素拓展成了八个,即内部控制环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。 COSO委员会两次报告的不同之处用图示反映如下:
一个设计适当且运行有效的内部控制、能够合理保证报告的可靠性、经营的效率和效果以及对法律法规的遵守,而要确保内部控制设计适当且运行有效,则依赖于对内部控制的评价。企业内部控制评价就是对内部控制设计的适当性与运行的有效性进行的检测。从动态的观点来看,内部控制的建立、执行和评价三者共同构成一个有机整体,它是促使内部控制能够得到不断完善的运作模式,只有三者之间高效互动,内部控制的目标才能得以实现。其中内部控制的评价在内部控制建立、执行过程中起了承前启后的重要作用 二、我国关于内部控制评价的一些规制 内部控制评价是确保组织建立与实施的内部控制能够实现控制目标的合理保证。组织应当根据国家有关法律法规的要求,结合组织自身实际情况,对战略目标、经营管理的数率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。近年来,我国关于内部控制评价方面的规制主要有: 1.《企业内部控制基本规范》,作为内部控制评价的一般标准,适用于上市公司及大型企业;中小型企业内部控制评价的一般标准,可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。 2.《中国内部审计准则第5号——内部控制审计》,用来规范和指导内部审计机构和人员对组织内部控制进行的审查与评价。 3.《中国内部审计准则第12号——遵循性审计》,用来规范和指导内部审计机构和人员对组织遵守相关法律、法规、计划、预算、程序、合同等遵循性标准的情况进行的审查与评价。 4.《中国内部审计准则第16号——风险管理审计》,用来规范和指导内部审计机构和人员对组织内部控制中的风险管理要素的相关问题进行审查与评价。 三、基于内部审计为主体的企业内部控制评价标准的设计 组织可以使用内部审计人员对内部控制的设计与运行进行专门的评价。若以内部审计作为内部控制的评价主体,在实际评价工作中,对被审计单位的内部控制进行评价,必须要有一套客观可行的基本参照标准。这套标准不仅可为审计人员发表评价意见以及企业自我评估和改进其内部控制提供依据,还可以为各方面的沟通与理解提供统一的基础。我国在内部控制的建设与完善方面虽已进入起步阶段,但有关内部控制的标准和评价体系依然薄弱,制约了企业内部控制的有效运行。因此,建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系势在必行。 (一)设计内部控制评价标准时应考虑的因素。 一个适当的内部控制评价标准至少应当满足以下条件: 1.相关性。与所要评价的内部控制的目标相关。 2.没有偏见。制定过程遵循了透明的程序并保持更新。 3.一致性。可以适当一致地、定性和定量地衡量公司的内部控制,在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。 4.可验证性。有适当的评价轨迹,参与评价的人能够沿着这个轨迹重复评价或评估评价过程。 5.充分完整。没有忽略可能改变公司内部控制整体有效性结论的相关要素。