企业内部控制评价

浅谈企业内部控制评价

【摘要】随着一系列财务丑闻的发生，人们对内部控制越来越关注。除了关注内部控制是否设计和执行外，内部控制的评价也越来越重要。本文从内部控制评价的研究背景入手，分析了内部控制评价存在的问题，并提出了相应的对策。

【关键词】内部控制；评价；风险

一、引言

2001年，美国最大的能源公司安然公司虚报近6亿美元的盈余及掩盖10亿美元的巨额债务，导致股票摘牌下市，公司破产。此后，公司丑闻不断，规模也屡创新高，一连串的会计丑闻事件，使公众对上市公司的信息披露和资本市场产生了信任危机。为了改变这一局面，美国国会和政府加速通过了《公众公司会计改革与投资者保护法案》，即“萨班斯——奥克斯利法案”。该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。

作为对萨班斯法案的回应，2004年3月9日，美国公众公司会计监督委员会发布了《第2号审计准则：与财务报表审计相关的针对财务报告内部控制的审计》，并于6月18日经美国证券交易委员会批准。该准则关注对财务报告内部控制的审计工作，以及这项工作与财务报表审计的关系问题。

会计丑闻不仅在国外呈愈演愈烈之势，在国内亦是如此。银广夏、蓝田股份、中航油事件等等也对我国的会计信息披露和资本市场造

成极大的负面影响。我国政府和监管部门也相继出台了一些措施，特别是2006年7月15日，由财政部牵头发起，国资委、审计署、证监会、银监会、保监会联合发起共同参与成立的“企业内部控制标准委员会”正式成立，计划3年内研究、制定一套具有统一性、公认性和科学性的企业内部控制规范。该委员会已经于2007年3月2日印发了《企业内部控制规范——基本规范》和17项具体规范的征求意见稿，这预示着我国企业在内部控制方面将迎来一部类似美国发起组织委员会颁布的《内部控制——整体框架》的标准体系。

二、财务报告内部控制评价理论

内部控制评价是对企业现有的内部控制系统的设计和执行的有效性进行调查、测试、分析和评价的活动。它是内部控制中的一个必要的系统性活动。是内部控制设计、实施、评价、反馈、改进等连续的动态过程中重要的环节。内部控制评价的具体内容有以下五个方面：控制环境、风险评估过程、控制活动、与财务报告相关的信息系统与沟通、对控制的监督。

1.控制环境。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的意识。良好的控制环境是实施有效内部控制的基础。在评价控制环境的设计和执行时，应当在了解管理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误

的恰当控制。

2.风险评估过程。风险评估是识别和分析那些妨碍实现经营管理目标困难因素的活动，对风险的分析评估构成风险管理决策的基础。风险评估过程包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。例如，风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可

能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。

3.控制活动。控制活动是为了合理保证经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。在控制活动中主要关注控制与风险评估过程的联系、控制活动的适当形式及其实施、对执行政策和管理指令的保证、控制活动的针对性，尤其是对信息系统的控制等。

4.信息系统与沟通。内部控制评价内容的信息与交流存在于企业所有经营管理活动中。在内部控制信息评价方面要注意内部信息和外部信息的搜集和整理，同时在交流方面应注意内部和外部信息的交流渠道和方式，特别是在现代高速发展的信息技术环境中，要注重信息的全面性、信息的安全性、信息的通畅性。

5.对控制的监督。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程对控制的监督是指被审单位评

价内部控制在一段时间内运行有效性的过程对控制的监督涉及及

时评估控制的有效性并采取必要的补救措施。例如，内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策，法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。

三、内部控制评价存在的问题

（一）内部控制评价的内容不全面

coso内部控制五要素理论在我国审计准则中已经被采纳，但目前我国上市公司对内部控制的评价倾向于对报财务告内部控制的评价，内部控制评价的内容也主要局限于财务控制领域。事实上，内部控制的目的在于取得经营的效率和效果、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。因此内部控制评价也不应仅局限于对财务报告内部控制的评价，而应将非财务报告内部控制纳入评价体系，实现对公司整体管理控制全过程的有效评价。

（二）内部控制评价的标准不统一

我国内部控制基本规范及评价指引中都涉及到内部控制评价标

准的问题，都要求对内部控制的完整性、合理性以及有效性进行评价，但对评价活动本身怎样进行并没有较为具体明确的规定，对上市公司内部控制评价工作也未提供实质性的指导。这使得不同上市公司在进行内部控制评价时没有统一的标准，各自为政，各公司的内部控制评价报告不具可比性。

（三）内部控制评价人员问题

内部控制包括控制环境、风险评估、控制活动、信息系统与沟通、

对控制的监督五个要素，对内部控制的评价自然要按照五要素对被审计单位内部控制的设计和运行的有效性实施审查，获取充分适当的审计证据。而内部控制五要素涵盖了企业经营管理系统的所有方面，尤其是企业实施内部控制的基础内部环境，不仅包含了治理结构机构设置及权责分配内部审计人力资源政策，还包括企业文化。因此，内部控制评价人员的观念、业务技能和责任意识都直接影响着内部控制评价的效率和效果。

四、改进建议

（一）扩展内部控制评价的内容

评价指引对内部控制评价内容的有关规定，是我国内部控制规范体系建设的一大创新。我国上市公司应严格执行内部控制基本规范及评价指引的规定，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素，对内部控制的有效性进行全面评估，包括财务报告内部控制有效性和非财务报告内部控制有效性，将非财务报告内部控制评价纳入评价体系，最大限度地释放内部控制的作用和效力。

（二）建立科学、统一的评价标准

建立统一的内部控制评价标准，应参照目前的财务报表评价执业准则，专门设立一章规定此方面的内容，对证据的充分性和适当性、证据的获取程序等作出明确的规定。同时，在内部控制机制建设中，应积极学习和借鉴国外关于企业内部控制的先进经验和优秀成果，除了将控制环境进一步明确为内部环境外，还要将目标制定、事项