关于企业内部会计控制有效性评价的思考

评价 时采取的 程序是否科学 合理；发 现的内部控制 缺陷及其 重要性如何， 采用 的改 进措施是 否有效等。管 理层、内 部审计人员以 及管理层 雇用的第 三方 的测 试工 作只能作 为外部审计人 员内部控 制评价工作的 一部分， 但审计师还需 要重 复相关的测试工作，并进行执行有效性的独立测试，以保证审计结论的公允。
1.通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。
目前，仅有 2001 年 10 月证监会发布“关于做好证券公司内部控制评审工 作的通知 ” 中对内部控制评审提出了明确的规定，即要求证券公司根据“证券 公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控 制进行评审，会计师事务所应当向证券公司提交内部控制评审报告。而在其他 规范中，没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面 对我国上市公司的经营失败和公司舞弊指控的增多，财务报告内部控制的重要 性日益显现，这就对财务报告内部控制有效性进行评价提出了新的要求。我们 应借鉴国外的经验，在相关法律法规中对内部控制评价提出明确的要求，以将 财务报告错误表述的风险降低到一个恰当的水平。
6.管理层评价与外部审计师审核的协调一致性。 管 理 层对 内部 控 制有 效性 负 责， 应选 择 适当 的控 制 标准 对公 司 的内 部控制 有效 性进行评 价，并获取足 够的证据 来支持最终的 评价结果 ，同时需要签 署一 份关 于公司内 部控制有效性 的书面声 明。而审计师 需要对管 理层最终形成 的内 部会 计控制评 价报告意见提 供足够的 恰当证据。所 以管理层 应该加强与外 部审 计师 的交流和 沟通，例如所 确定的重 耍的内部控制 内容及原 因；对重要内 部控 制形 成的文件 的完整性以及 设计的合 理性如何；在 进行重要 控制的执行有 效性
程序进行测试。此外，独立审计师可以根据内部控制有效性审计中发现的缺陷， 来决定财务报表审计实质性测试过程的属性、时间和程度。 二、我国企业内部控制有效性评价的现状 我国自 20 世纪 90 年代起开始加大政府对内部控制的推动作用。现有的法 律法规和行政规范中多项涉及到内部控制的内容。可以看出，政府监管部门对 单位内部控制的建立健全提出了一定的要求，但没 有对管理层进行内部控制制 度有效性评价提供实质性指导，从而造成不同公司的管理层在进行内部控制的 有效性评价时没有一个统一的标准。与此同时，我国的内部会计规范才刚刚开 始，一套完整的内部控制规范体系的建立还有待时日，这也给内部控制有效性 评价增加了难度。 三、我国企业内部控制有效性评价的改进建议 《企业风险管理——总体框架》和《萨班斯•奥克斯利法案》中有关内部 控制评价体系建设的成果对于我国内部控制评价体系的改进有一定的借鉴意义， 但我们也应该看到，《萨班斯•奥克斯利法案》的出台后，在美国也引起了诸 多非议，其中有些规定过于严格，存在“安然，安达信事件”的矫正过度。笔 者提出以下几点建议，具体如下：
ຫໍສະໝຸດ Baidu
2.建立统一科学的评价标准。
美国的相关法律条款和实务都对在内部控制评价的早期确定科学的评级标 准提出了要求，认为应采用诸如 C0S0 报告提出的内部控制风险管理的公认标准， 作为财务报告内部控制有效性评价的标准。目前我国内部控制评价实务中，管 理层建立健全有效的内部控制，一般是参照财政部发布的《内部会计控制规范 —— 基本规范（试行）》进行的，内容主要是以单位的内部会计控制为主，同 时兼顾与会计有关的控制；独立审计师内部控制审核业务则是根据中国注册会 计师协会发布的《内部控制审核指导意见》进行的。由于缺乏一套完整的内部 控制体系，造成内部控制有效性评价流于形式，没有和财务报告审计中的内部 控制评价明显区分开来。因此，尽早建立一套完整的、公认的内部控制标准， 使内部控制评价有章可循是必要的。
3. 明确内部控制有效性评价的内容。
目前，我国理论界与实务界没有对内部控制有效性评价的内容形成一致的 意见。由丁 •独立审计师对财务报告内部控制有效性进行审计时，主要是针对财 务报告形成过程中所有重要的内部控制有效性进行评价，因此在确定内部控制 评价的内容时，一方面应根据注册会计师与委托人达成的业务约定书内容，另 一方面，还需要考虑审计师在审计初期确定的审核标准。此外，对于重大环节 的风险评价应作为内部控制有效性评价内容的重点。中航油公司曾在 2003 年被 新加坡证券监督部门列为最具透明度的企业，说明其在细节方面的内部控制做 得非常周到。但是从事后暴露的结果看，恰恰是在经营风险管理的重大环节上 出了问题。
5. 明确内部控制有效性评价的时间范围。
尽管独立审计师发表的内部控制评价报告是针对特定时点进行的（一般是 与所审计会计报表期间的期末资产负债表口径一致），但审计人员对内部控制 有效性与否进行的测试工作则涵盖了一段时间。因此，管理层应该保证投入运 行的内部控制必须运行了一段足够的时间，以便于审计师实行执行有效性测试 工作。在确定我国内部控制有效性评价的时间范围时，应借鉴国外的有益经验， 针对一段时间内的内部控制的有效性进行评价，并在管理层关于财务报告内部 控制的声明中明确报告的期间范围，对超过一定期限的内部控制评价结果，还 需要取得额外的证据来支持最终的评价结果。
4. 设计一套科学的内部控制有效性评价程序。
管理层对内部控制的有效性评价可以分四个步骤来完成，即：计划、设计 有效性评价、执行有效性评价、评估和报告。首先是计划阶段，主要内容包括 : 对高级管理人员进行教育；建立任务小组并明确责任；确定需要重点关注的内 部控制。其次是对内部控制的设计有效性进行评价，内容包括：根据确定的标 准，设计有效性评价；检查现存的内部控制文件。第三阶段是对执行有效性进 行评价，具体的行动步骤有：管理层将所设计的内部控制责任分配到具体的岗 位，并组织内部审计人员或第三方人员实施监控程序和评价活动，执行有效性 评价；CEO 和 CF0 对发现的内部控制缺陷的重要性进行评价，并就采取的对策 达成一致意见；将得出的结论向审计委员会和外部审计人员报告。最后阶段是 评估和报告阶段，内容有：发表管理层关于财务报告内部控制的声明，并将其 作为公司年报的一部分予以公布；发现的重大控制缺陷和重要控制弱点以及采 取的对策，并向法律顾问和董事会报告。
(1) 强调“人”的重要性。报告认为，财务报告内部控制有效性评价应包 含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、 内部审计和外部审计等各个方面，明确了评估的每个行动步骤由哪些高管负主 要责任，以确保按时完成内部控制评价工作。 (2) 界定了管理当局的责任。报告认为，管理层必须承担公司内部控制有 效性的责任，并运用恰当的控制标准来评价公司内部控制的有效性，对形成的 评估结果有足够的证据支持，同时签署一份关于公司内部控制有效性的书面声 明。 (3) 明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告 要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重 要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为 对重要账户余额、交易类别和披露的控制执行有效性的初始证据，但审计师可 以根据他人的工作来改变自身评估工作的测试性质、时间和程度。 (4) 界定了内部控制有效性评价与财务报告审计的关系。两者既有不同， 又有联系。首先，两者目标不同。财务报表审计中也需要对公司的内部控制情 况进行了解，并对控制风险进行评价，但这些工作主要是为了决定其它财务报 表审计程序的属性、时间和程度，而并不需要单独对财务报告内部控制的有效 性提供报告。而内部控制审计的目标却是对公司是否在所有重大方面建立健全 了财务报告的有效内部控制发表意见，此时，独立审计师需要了解公司建立的 财务报告内部控制，并对其设计有效性和执行有效性进行测试，要完成这项工 作，审计师必须对财务报告程序中的每一个重要控制的有效性进行评价。其次， 两者也有联系，即都需要对财务报告内部控制的设计和执行有效性进行评价， 审计师可以利用所取得的内部控制评价的证据来改变其它财务报告审计程序的 属性、时间和程度。由丁•内部控制的内在局限性，审计师仍然需要执行实质性
目前我国内部控制的评价体系尚未建立，已制定和出台的内部会计控制规范， 这方面的内容尚未作为主要部分予以重视。而只有建立一套完善的、符合实际 的、具有可操作性的评价指标体系，内部控制制度在实践中才具有现实的可运 行性与有效性。我国的部分学者建议在 COSO 报告的基础上建立一套内涵与外延 统一、可操作性强的内部控制评价标准体系。另外还有一些学者则更注重我国 传统意义上的内部控制标准研究，即主要以企业的业务系统为评价对象。在考 察了以上两种研究态度及成果的基础上，笔者认为我国当前的内部控制评价标 准体系的建立应当以前瞻性原则与务实性原则为指导，既耍借鉴国际上先进的 研究成果，又要结合我国的现实情况。 一、美国内部控制有效性评价发展的启示 通过对《企业风险管理 —— 总体框架》和《萨班斯 • 奥克斯利法案》中有 关内部控制有效性评价的最新成果的分析，我们可以看到其给我国企业内部控 制有效性评价改进带来的诸多启示，必须评估企业内部控制的设计与执行两方 面的有效性，确保内部控制规范真正落到实处，从而维护市场秩序，保护投资 人、债权人、经营者的长远利益。