企业内部控制评价范例(实用5篇)
【路引】由阿拉题库网美丽的网友为您整理分享的“企业内部控制评价范例(实用5篇)”文档资料,以供您学习参考之用,希望这篇范文对您有所帮助,喜欢就复制下载支持吧!
企业内部控制评价【第一篇】
关键词内部控制;内部控制评价系统
内部控制的理论研究和实践研究都已经发展到了一定的程度。COSO在2004年9月的风险管理整合框架是内部控制理论研究的代表作,很多大型企业都在执行此框架的内容以此来规避风险。然而,这些企业,比如美国的雷曼、美林等,并没有因为执行了该框架而逃脱在金融危机中被收购或者破产的命运,这引起了人们对内部控制理论的质疑和新一轮的思考。很多学者认为,这些公司的内部控制之所以失效是因为公司治理存在缺陷而且内部控制评价标准的可操纵性较低、指导性较差。因此,对内部控制评价系统的研究有助于帮助企业发展并完善内部控制制度,从而提高企业的整个管理水平。
一、内部控制评价涵义、目的及作用
内部控制自我评价是由企业董事会和管理层实施的。进行评价的具体内容应围绕《基本规范》提及的内部控制五个要素,即内部环境、风险评估、控制活动、信息与沟通、内部监督,以及《基本规范》及《应用指引》中的内容。在确定具体内容后,企业制定内部控制评价程序,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性,同时为内部评价工作形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等。企业还应在评价工作中明确内部控制缺陷的认定准则。完成评价后,企业应当准备一份内部控制自我评价报告,在其年报中进行披露。企业董事会应当对内部控制评价报告的真实性负责。
根据《评价指引》的要求,企业应当按照内部控制评价办法规定程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
企业进行内部控制评价的目的主要有三个:第一,进行内部控制评价可以找出企业内部控制的缺陷,通过整改环节的完善可以提高企业经营质量;第二,政府和监管部门可以通过科学合理的内部控制评价了解企业状况;第三,内部控制评价系统最终可以使投资者的权利得到保护。
内部控制评价系统的作用有:第一,内部控制评价有助于审计职能的充分发挥;第二,内部控制评价可以完善企业的内部管理,提高经营质量,提高企业竞争力;第三,企业进行内部控制评价并向外提供评价报告可以帮助外部信息使用者进行有效决策。
二、内部控制评价系统的构建原则
根据《评价指引》的要求,内部控制评价系统的构建应当遵循一定的原则。
(1)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。每个企业都面临着千变万化的外部环境和内部环境,这也就造成企业时时刻刻都在面对无处不在、无时不有的风险,而内部控制则可以在一定程度上控制风险。因此,内部控制评价系统就要发挥其作用,客观的反映企业内部控制的设计是否具有科学性和有效性以及整个企业对内部控制制度的执行程度。
(2)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。《基本规范》指出,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由于内部控制贯穿企业决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,所以内部控制评价也应当具有全面性,这样才能找出内部控制设计和执行中存在的不足,进而完善企业的内部控制制度,提高经营质量。
(3)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。内部控制评价系统是内部控制循环过程中重要的一环,从动态角度看,在设计并执行了内部控制制度后,企业需要对此制度进行评价才能判断其有效性和合理性,才能发现此制度的缺陷并进入到下一环节即整改环节。企业的各项任务和事项总有轻重缓急之分,而企业的资源是有限的,因此内部控制评价系统应在全面评价的基础上抓住主要矛盾,集中力量解决矛盾的主要方面,重点关注企业的高风险领域。在企业运行的某些环节上如果控制不佳则很容易出现问题,这些关键的控制点是企业内部控制能否有效发挥作用的重中之重,所以企业应当遵循重要性原则,对这些关键控制点进行重点评价。
综上所述,客观性原则、全面性原则和重要性原则是企业内部控制评价系统科学合理的保证,企业应遵循以上原则构建该系统。
三、构建内部控制评价系统的框架
整体框架和逻辑框架是企业构建科学合理的内部控制评价系统必须要明确的问题。整体框架所解决的问题是内部控制评价系统由哪些内容构成;逻辑框架则着重说明企业内部控制评价的切入点也就是评价的角度问题,即从哪些方面来进行评价。解决好整体框架和逻辑框架的问题,才能构建出科学、合理的内部控制评价体系。
(1)整体框架
评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告是一个有效的、科学的、合理的内部控制评价体系应当具备的七个要素,这七个相互依存、相互支撑的要素之间具有内在联系性和整体目的性且他们之间是密不可分的关系,这些都构成了内部控制评价体系这一综合体。
合理、科学的内部控制评价可以有效反映企业的内部控制情况,企业在确立了七要素中的评价指标和评价标准后,通过合理有效的评价方法可以得到一个衡量企业内部控制有效性的量化指标,此指标可以作为评价内部控制的一个最终结果,我们称之为评价指数。由以上的分析可以看出,评价指标并不独立存在于构成内部控制评价体系的七要素中,它的得出有赖于七要素中的评价指标、评价标准和评价方法的确定。但是这并不能说明评价指数在构建内部控制评价体系的过程中不重要,相反,它的作用是极为重要的。首先,评价指数作为评价内部控制的最终结果经过比较和分析形成七要素中的评价报告。其次,在集团内部,经过比较和分析各子公司的评价指数可以判断其内部控制的水平和执行程度,进而发现内部控制存在的问题,改善内部控制制度改善评价体系,从而提升各子公司的经营质量,最后使整个集团的管理水平提高。最后,评价指标还可以为政府、市场监管者和其他利益相关者提供依据,因为评价指数是企业内部控制水平的一个量化指标,所以不同企业、不同行业之间可以由此进行比较,从而使利益相关者更加了解情况。
(2)逻辑框架
我国学者对内部控制逻辑框架的理论研究和实践研究大多从内部控制五要素这一逻辑角度出发,也有少数学者构建了新的逻辑角度,比如引入了ERM框架。韩传模、汪士果两位学者分别从控制目标、风险要素、流程控制等多角度,引入层次分析法,建立递阶层次模型对内部控制进行了评价。根据本文对内部控制评价体系的分析,本人认为我国大部分学者从内部控制五要素这一逻辑出发是一种合理的逻辑框架选择。一方面,内部控制五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督,COSO框架将这五大方面作为内部控制的要素有着很强的科学性和逻辑性。它们之间是相互依存相互牵制紧密联系的,它们共同构成一个企业的内部控制制度。另一方面,《基本规范》和配套指引归纳了企业内部控制的五要素,这使得从五要素出发的逻辑框架更容易被大众接受、实施和推广。
参考文献:
[1]陈汉文,张宜霞。企业内部控制的有效性及其评价方法[J].审计研究,2008(3):48-54.
[2]刘玉廷。《企业内部控制基本规范》导读[J].会计研究,2010(5):3-16.
[3]王素莲。企业内部控制评价指标体系研究[J].山西大学学报2005(11):10-14.
[4]张先治。内部管理控制论[M].北京:中国财政经济出版社,2004.
[5]朱荣恩,应唯,袁敏。美国财务报告内部控制评价的发展及对我国的启示[J].会计研究,2003(8):
48-53.
[6]池国华。基于管理视角的企业内部控制评价系统模式[J].会计研究,2010(10)58-65.
[7]谢志华。内部控制:本质与结构[J].会计研究,2009(12):70-75.
企业内部控制评价【第二篇】
摘要在企业内部控制实务中,内部控制评价是极为重要的一环,是对企业内部控制的再监督有效措施。本文分析了内部控制评价的五个方面主要内容,并提出评价和控制内控的组织是重要工作。
关键词企业内控内部控制评价
企业经营风险越来越多,对风险的管控重要性和必要性愈加凸显,对管控的评价也显得作用巨大,为此要做好内控评价和控制工作。学术概念上,内部控制评价是对企业内部控制制度的设计、运行的有效性进行评估分析的活动,是内部控制系统的一个必要环节,其操作过程和结果往往影响着一个内控制度的运行,因而非常重要。但是在实际操作层面,一些企业的内控评价活动和制度设计不甚清晰、或者对评价不够重视,导致内控评价流于形式、没有深度,影响着内控的运行。因此笔者觉得有必要对内控评价的相关方面做一个系统的阐述和分析,以助相关企业明细评价的各方面内容和操作方法,并助其对内控评价引起足够的重视,以更好推动内部控制的运行,从而创建一个更好的企业运营环境效果。
一、内部控制评价的主要内容
随着中国经济发展,企业的内外部环境正在发生巨变,对内控制度来说内涵和外延都随之发生着巨变,因而内部控制的内容也正在不断拓展,对内控的评价维度也越来越多、越来越细化。比如对某上市公司的内控评价,其要素既要包括公司层面的组织架构、会计审计、预算管理和人力资源、企业文化建设等各方面,也应该包括公司业务流程层面的销售与收款循环、筹资与投资循环、货币资金业务循环、采购与付款循环、存货与生产循环、成本费用控制、固定资产控制等项目进行评价。具体分析,笔者认为,总结来说,应该从以下五个方面开展评价:
(一)内控环境
内部控制本质上是对企业运行风险的识别过程,其持续性决定了控制体系必须具有完整性和实在性,即要有从宏观政策到微观措施的一系列对策,并能够在现实中真正实施。如内控环境在根本上应该有宏观的政策到微观的行为和措施组成,并且这些对策都能够被应用。那么,内控环境建设就要求对企业管理者是否真正意识到内控环境的重要性、对策等各方面有一定的理解和重视,它评价的主要是风险价值观、员工的工作能力、内控架构、企业风险意识导向等较为抽象的内容。
(二)风险评估
风险评估是对有害企业健康运行的负面因素进行识别和分析的过程,是风险管理的基础。评估要素包括内外部风险的类别和权重,各种隐患的存在和重要程度,应对风险的企业内外部举措和有效性,对内外部环境的整体认识和应对之策等等。对风险的评估,应该包括企业的内外部风险,也包括企业小到质量风险大到国际环境风险等,需要按照实际情况进行调整风险评估的要素和过程,这样才能真正对风险进行识别并加以解决。
(三)控制活动
控制活动是开展内控的具体行动,包括各种检查、管理预防、监督考核等,这些控制活动本质上是一种微观的内控环境,但是在具体行动上是一种管理活动,所以将其从内控环境中脱离出来单独考察。值得注意的是,在控制活动中,尤其重要的是对信息的控制,因为企业内控活动在现代化、信息化的今天,更多是对信息的处理,而不是针对具体人、具体事务的直接控制,更多是对同类型的信息流的监察和处理。
(四)信息交流
如上所述,信息交流是开展内控评价的重要方面,只有信息能够全面、及时、深度地汇集,才能明确内控的有效性和针对性,才能更好管理企业,有效预防风险并采取最佳措施加以解决。值得注意的是,在内控信息交流方面,要特别注意外部信息的获取和分析,很多企业只关注自己系统内的风险信息,而对国际环境等外部重要信息视而不见,这是内控的主要盲点之一,另外还要注意信息的全面性、安全性和通畅性。
(五)监督评审
内控本身是需要再监督和再审查的,而这是很多企业内控活动的最重要盲点,他们往往认为内控制度是自洽性和自运行的,只要建立内控体系就不再需要对内控本身进行监察。一般来说,监督评审主要是对内控的合理性、程序性和持续性等进行宏观审查。
二、内控评价的组织
内控评价在理论上重要,效果则要通过实践来显现,因此对评价活动的组织就显得尤为重要,笔者认为要重点做好组建专门评价职能机构这一工作。企业应该授权特别任命小组作为来进行内控评价工作,最好是审计部门为主、其他业务部门各出一名负责人参与,这样才能够充分显示评价活动的重要性,更能有利于评价活动。这一特别任命小组还需要一定的设置条件和特性,一是有权利能够独立地对企业内部控制系统的运行和结果进行全方位的监督和分析,二是具备一定的专业技能和职业道德,使得这种再监督能够不是形式上的重复设置,而是能够及时、充分地发掘出内部控制的缺陷,并根据分析提出对策建议以加以有效解决,三是这种对内控的评价和监督与其他其他财务监督等监督形式保持一致和协调,并能够相互制约和促进,在效率上满足企业的种种要求,四是能够得到各级领导层的重视和支持,尤其是企业董事会和经理层这一最高层级的鼎力支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。
参考文献:
[1]陈耀敏。基于公司治理的企业内部控制评价体系研究。企业经济。2011(01).
[2]陈永。浅议上市公司内控评价问题。消费导刊。2009(20).
[3]张兆国,张旺峰,杨清香。目标导向下的内部控制评价体系构建及实证检验。南开管理评论。2011(01).
[4]魏巍。基于灰色层次分析的内部控制综合评价模型――以上市公司为例。中小企业管理与科技(上旬刊).2011(02).
企业内部控制评价【第三篇】
(一)评价目标不明确 《企业内部控制评价指引(征求意见稿)》第四条“企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”但是我国大多数企业没有把内部控制评价作为内部控制的有机组成部分,内部控制评价制度的建立和执行只是流于形式,没能真正通过内部控制评价来改善经营管理水平,再加上各企业的评价主体定位层次不齐,评价目标不明确,导致在实践中弱化内部控制评价,搞形式主义。
(二)评价主体不明确从实践来看,仅仅通过注册会计师定期地对公司财务报告内部控制进行外部评价,已经不能满足上市公司内部管理和战略目标实现的要求,不能对上市公司内部控制报告的有效性进行全面评价。现代企业愈加重视企业的内部评价。但我国上市公司董事会中,有相当一部分没有正式的审计委员会,很多上市公司中虽也设有专门的内部审计机构,但独立性不够,有的隶属于总经理,有的隶属于财务部门,内部审计职能很难真正实现。据德勤2009年的内部控制调查报告显示,约%的企业由内部审计部门牵头,对企业的内部控制有效性进行评价,由财务部门、董事会办公室或其他部门牵头的企业均为%。因此,上市公司必须明确内部控制评价的主体定位问题。
(三)评价方式过于简单目前的内部控制评价主要是依靠内部控制调查表、内部控制流程图和叙述法等基于主观的定性评价方法,致使内部控制评价的效率较低,效果较差。有些上市公司虽然也借鉴了一些西方国家的内部控制评价方法,但执行效果较差。虽然《企业内部控制评价指引》第四条也指出“企业应当结合内部控制设计与运行的实际情况,制订具体的内部控制评价方法”,但是对企业具体采取何种措施并没有做出清晰的界定,这也使企业在内部控制评价工作中缺乏统一的形式和标准的指导。
(四)披露不充分 企业内部控制有效性的最终评价结果如何,内部控制评价能否最终发挥其作用,需要借助于声誉机制的作用,通过内部控制评价结果的披露促使内部控制的改善。随着资本市场的发展,对上市公司内部控制评价结果的披露要求越来越高。就我国目前的情况看,尚没有强制要求所有上市公司披露内部控制信息,也没有统一的披露格式和要求,导致自愿披露其内部控制信息的上市公司比例较低,即使披露了,也比较简单。
二、企业内部控制评价体系完善措施
(一)明确评价目标 内部控制目标的实质是帮助企业实现企业价值最大化目标,减少经营过程中的风险。事实上,内部控制评价目标与内部控制目标是一致的。因为内部控制评价的最终目的是实现内部控制系统的有效性,完善内部控制,使其充分发挥作用,从这一层面上理解,内部控制评价是内部控制的再控制,其最终目的就是为了实现内部控制目标。在具体执行内部控制评价的过程中,评价者普遍关注的是报告的可靠性和企业的合规性。COSO委员会在ERM框架中充分考虑到了上述现象,对内控目标的界定打破了以往的内控规范。企业也日益认识到构建内部控制体系的目标不单纯是为了满足监管部门对于信息提供和披露方面的需求,更重要的是内控制度有助于企业战略目标以及经营目标的实现。
总体而言,在上市公司内部,内部控制评价的目标,是为了审查公司为达到经营效果和效率所付出努力的有效性,以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部的内部控制评价目标一般侧重于报告目标和合规目标的实现,在管理咨询内部控制评价中还会关注经营目标的实现。而内部的内部控制评价目标主要侧重于企业战略目标和经营目标的实现程度,但也关注合法合规目标的实现,如图1所示。
(二)理清评价主体企业内部控制评价系统的主体是指谁对客体进行评价。从内部控制评价的产生及发展来看,它是为解决经济活动过程中存在的委托―矛盾而建立的。在单一外部评价主体时期,对内部控制进行评价的主体是注册会计师,其对内部控制评价的目的是为确定审计中实质性测试的范围和程度提供依据。但内部控制评价应是企业全体员工共同参与的管理工作(如内部控制的自我评估),特别是高层管理人员却必须及时、全面地了解所分管业务甚至企业整体的内部控制水平,这种评估要以正式或非正式的方式经常进行。因此,在内外部多元评价主体时期,企业内部控制的评价活动也要从利益相关者的需求出发,对企业的战略活动、经营管理活动以及企业各项活动的合法合规性进行评价。
综上所述,本文所研究的是上市公司的内部控制评价主体问题是基于利益相关者的角度,因此上市公司内部控制的内部评价主体应界定为内部控制管理机构,即监事会、审计委员会和公司内部审计部门,其职责都是对内部控制进行不同程度的再控制;企业在日常的运营过程中也应开展内部控制的自我评估(CSA)活动;同时内部控制评价的外部主体主要包括注册会计师、政府部门和其他监管机构等利益相关主体。
(三)界定评价客体内部控制评价的客体是内部控制评价的对象和内容,即内部控制的构成。根据《企业内部控制评价指引》规定,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价,内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。由于评价指引意见稿中指出要对“运行的有效性”进行评价,而“运行”是指事物的循序运转,“执行”是指按照规定的原则、办法办事。从这两个词的词义上来看,征求意见稿的规定似乎将“内部控制”置于客观的位置上,剔除了人为因素的影响,但实际上却忽略了内部控制评价中对人的评价。而且指引中对“内部控制运行有效性”的解释与运行的内涵并不一致,“内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行”。企业内部控制无论是设计还是执行,人作为主体是不可忽视的一个要素,即企业内部控制执行有效性的评价中除了要对企业的产、供、销等活动的运转情况进行评价之外,还要对人的责任履行情况进行评价。因此,本文将上市公司内部控制评价的客体界定为对内部控制设计有效性和执行有效性的评价。
(四)确定评价模式 内部控制评价的模式就是评价活动的模型、样式,对构成评价活动的各要素之间的关系和形式的规定。它具体规定了评价的目的、基本范围、内容和过程,包括评价活动的逻辑和程序。企业面临的风险和不确定性越来越多,因此本文认为现代企业内部控制评价模式的采用也要引入风险管理的理念,将内部控制的评价与企业风险管理的过程紧密结合,即采用以风险为基础的评价模式。采用以风险为基础的评价模式时首先要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标而言,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序,如图2所示:
以风险为基础的评价模式首先评估实现内部控制相关目标的风险,根据风险评估的结果对照企业的内部控制参考内部控制框架来判断企业内部控制设计的有效性。这样做一方面可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性和灵活性;另一方面,关注最重要的风险,提高了评价的成本效益和效率。此外,在确定内部控制的测试范围和收集证据时也是以风险评估为基础的,这样同样可以提高评价的成本效益和效率。
(五)讲究评价方法《企业内部控制评价指引》规定,内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据。由此可见,企业的内部控制评价活动也越来越重视定量分析的评价方法。
定性评价方法主要是对上市公司内部控制制度的合法性、有效性、可操作性和经济合理性进行评价。定量评价方法需要建立定量评价标准,通过内部控制制度评价的数学分析模型来评价上市公司内部控制制度的健全性和有效性。由于定性评价易受评价人员主观判断的影响,往往缺乏客观性,定量评价则以其科学、精确、可比的特点为上市公司内部控制制度的实施效果做出较为恰当的评价。因此,上市公司内部控制的内外部评价应采用定性评价和定量评价相结合的方式,着重考虑扩大定量分析评价的范围。
参考文献:
[1]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。
企业内部控制评价【第四篇】
摘要企业内部控制评价的标准通常是一个框架体系,它必须满足一定的条件。而英美的企业内部控制标准基本上形成了一定的层次,但二者又不尽相同,各有特色。笔者在借鉴其成功经验的基础上,提出对其总体设计的思路。
一、企业内部控制评价标准的性质与内容
(一)企业内部控制评价的目标
简单地讲,企业内部控制评价的目标就是评价企业内部控制的有效性。而内部控制的有效性从根本上来讲是要根据内部控制目标的实现来判定的。而内部控制的有效性又具有时点性、互补性和完整性等特征。
(二)企业内部控制评价标准的性质和内容
内部控制的有效性,要从其目标的实现情况进行界定。鉴于内部控制目标实现程度的局限性,对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况,而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此,企业内部控制评价标准要解决的问题就是:什么样的内部控制才是有效的内部控制?如果把评价方法也包括在内的话,还要包括如何评价的问题,即评价的方法。当前,对这一问题的解决方法是设计内部控制的一个框架体系,即首先确定内部控制的范围和目标,然后确定一个有效内部控制应当具备的要素,如COSO的《内部控制――整合框架》、Turnbull指南等都是这样一个基本的思路。因此,在制定一个特定背景(如国家)下的内部控制标准时,必然面临的问题是要确定:企业内部控制的范畴与目标;内部控制应当包含的要素;这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题,从而也就引发出另一个问题:什么样的评价标准才是适当的。
(三)内部控制评价标准的适当性
一个适当的内部控制评价标准至少应当满足以下条件:
1.相关性。与所要评价的内部控制的目标相关。
2.没有偏见。制定过程遵循了透明的程序并保持更新。
3.一致性。可以适当一致地、定性和定量地衡量公司的内部控制,在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。
4.可验证性。有适当的评价轨迹,没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程。
5.充分完整。没有忽略会改变公司内部控制有效性结论的相关要素。
按照这些条件,COSO内部控制框架、企业风险管理框架和Turnbull指南都是适当的内部控制框架或评价标准。
(四)企业内部控制评价标准的体系和分类
由于不同规模企业的内部控制差别较大,所以,评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制标准。
从内部控制评价的整个过程来看,不但要明确什么样的内部控制是有效的内部控制,还要明确如何有效地评价内部控制的有效性。因此,评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。
从内部控制涵盖的范围来看,针对范围大小不同的内部控制,可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。
二、美英企业内部控制评价标准的体系及特点
(一)美国上市公司的内部控制评价标准体系
尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准,而是规定了评价标准适当与否的条件,但指出COSO的内部控制框架为适当的标准,PCAOB也以此制定审计准则,从总体上来看,形成了一个层次清晰的体系。
1.评价标准。根据适用企业的规模与内部控制的内容分为:
(1)COSO《内部控制――整合框架》:适用于一般企业,涉及经营、财务报告和合规三类目标。它由COSO,包括5个要素,得到了公司管理层、审计师的认可和广泛应用,也得到了SEC和PCAOB的认可,适用于一般上市公司。它提供了一个识别内部控制要素和目标的整合框架和评价有效性的标准,但没有对评价过程中必须遵循的步骤提出详细的指南。
(2)COSO《财务报告内部控制――小规模公众公司指引》:适用于小规模企业,涉及财务报告的可靠性一类目标。它由COSO,主要基于内部控制评价的成本效益性考虑,适用于小规模企业财务报告内部控制的评估,它有与《内部控制――整合框架》相一致的原则和特征,内部控制框架不变。目的是应对财务报告目标的唯一需求,但许多原则和特征适用于所有三类控制目标。主要内容包括5个要素,20条原则和79个属性。
(3)COSO《企业风险管理――整合框架》:适用于一般企业,涉及战略、经营、财务报告和合规四类目标。它由COSO,包括八个要素,在范围上风险管理包括内部控制;在构成上,以“内部环境”取代“控制环境”,体现风险管理的理念,拓展风险评估要素,进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。
2.评价实施标准,用来规范、指导如何评价和审计内部控制,它包括:
(1)COSO《内部控制――整合框架》中的内部控制要素评估工具。COSO在《内部控制――整合框架》的同时的内容,它对于内部控制的评价具有一定的指导作用。
(2)SEC的管理层评价内部控制的解释性指南。SEC指出,上市公司的管理层按照这一指南实施的内部控制评价能满足SEC相关规则的要求,因此,它应当是半强制性的。
(3)PCAOB的内部控制审计准则。PCAOB的内部控制审计准则是注册会计师在审计上市公司的内部控制时必须遵守的规则,它是强制性的。
(二)英国上市公司内部控制评价的标准
英国上市公司内部控制评价的标准具有高度的原则性和市场导向,没有提出非常具体的要求,只有一个Turnbull指南对内部控制评价标准进行了原则性规定,但包含了许多规制方面的内容。Turnbull指南具有以下特点:
1.既要帮助公司遵守《联合规则》有关内部控制的要求,又要反映优良的业务实践,不限制公司以适合其特定情况的方式应用指南的能力。
2.涵盖所有内部控制,而不仅仅是财务方面的。
3.高层次和原则导向,使用风险基础方法。
4.指出有效内部系统的构成要素包括:控制活动;信息与沟通过程;监督内部控制系统持续有效性的过程。
5.只给出一些在控制风险时应当考虑的原则,并没有规定应该实施哪些步骤和程序。一方面,这些原则很难变成直接的行动指南,可操作性不强;另一方面,采用原则的形式使之具有充分的弹性,公司可以根据变化的业务环境对这些原则进行取舍,以实施、强化和整合其风险控制战略。
6.不要求董事会对内部控制的有效性做出对外报告。
7.不要求外部审计师审计内部控制。
8.“遵守或解释”原则,可以不遵守相关要求,只需说明原因。
COSO内部控制框架与Turnbull指南的比较如下表所示:
三、我国企业内部控制评价标准体系的设计
(一)我国企业内部控制评价标准的总体设计思路
基于上述理论分析和比较研究,我国企业内部控制评价标准的总体设计思路应当是:
1.将内部控制定位于广义的内部控制。选择战略、经营、报告和合规的四目标模式,以保证广泛的适用性、企业管理的实用性与内部控制发展的前瞻性。
2.从企业经营管理的实际出发,以最佳实践为基础,充分满足企业战略管理和经营管理的需要,提高其对企业的价值,避免仅仅成为一种法规的遵循。
3.应当考虑规模不同企业内部控制的差异,优化标准的可伸缩性,以提高效率和成本效益。
4.原则基础。为了保证标准的适用性以及允许企业有充分的灵活性,无论是评价标准还是评价实施指南都应当是原则性的。
5.建立完整的内部控制标准体系。从大的方面可以分为内部控制评价的标准和内部控制评价(审计)实施的标准。
(二)我国企业内部控制评价标准体系的设计
我国企业内部控制评价标准体系总体上包括两个组成部分:内部控制评价的标准和内部控制评价(审计)实施的指南。
1.内部控制评价的标准
我国企业内部控制评价的标准应当包括:
(1)《企业内部控制基本规范》,将其作为内部控制评价的一般标准,适用于上市公司及大型企业。
(2)《小企业内部控制基本规范》,将其作为适用于中小型企业内部控制评价的一般标准,可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。
2.内部控制评价(审计)实施的标准
我国企业内部控制评价(审计)实施的标准应当包括:
(1)《企业内部控制评价规范》。将其作为企业管理层评价内部控制的实施指南,对内部控制评价的基本方法和程序进行指导。
(2)《中国注册会计师审计准则第X号――内部控制审计》,用来规范和指导注册会计师对内部控制的审计。
总之,我国应当在借鉴美、英等国上市公司内部控制规制的成功经验、吸取相关教训的基础上确定自己的总体设计思路,制定和形成广义的、基于最佳实践的、原则基础的、完整的企业内部控制评价标准体系。