企業內部控制評價方法的比較

企業內部控制評價方法的比較

【摘要】 企業內部控制框架提供了一個有效內部控制系統的模板，也是評價內部控制有效性的標準，但是，根據內部控制框架或標準對內部控制有效性進行評價，卻可以選擇不同的出發點或切進點。使用不同的評價思路和方法，即具體評價法和風險基礎評價法是目前采用的兩種主要方法，各有上風和特點。
　　【關鍵詞】 內部控制；具體評價法；風險基礎評價法
　　
　　評價企業內部控制的有效性實質是評價內部控制為相關目標的實現提供的保證水平是否達到或超過公道保證的水平。假如保證的水平處于有效內部控制的區間內，則內部控制是有效的，假如保證的水平低于公道水平，則內部控制是無效的。從另一個角度來看，就是評價相關目標的風險在經過內部控制之后是否已經降低到了一個適當的水平，假如已經降到了一個適當的水平，則內部控制是有效的；反之，則無效。從內部控制評價本身以及目前的發展情況來看，主要存在具體評價法和風險基礎評價法兩種方法。
　　
　　一、具體評價法
　　
　　在《企業內部控制——整合框架》中，COSO指出，確定某一內部控制系統是否有效是一種在評估五個要素是否存在以及是否有效發揮作用基礎上的主觀判定，這些要素也是有效內部控制的標準。COSO還指出，認定一個主體的企業風險治理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判定，構成要素也是判定企業風險治理有效性的標準。在美國證券交易委員會2003年6月通過的實施SOX法案404節的規則（SEC，2003）以及后來發布的治理層評價指南中，都夸大內部控制評價的程序必須足以既能評價財務報告內部控制的設計，又能測試運行的有效性。因此，遵循這個思路，很多企業和事務所都曾經采用過具體評價法。這種方法的基本思路是：以內部控制框架或標準為參照物，根據內部控制框架的構成要素是否存在評價內部控制的設計有效性，測試內部控制的運行有效性，最后綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判定是否存在重大漏洞（material weaknesses，MW），確定內部控制是否有效。具體評價法的邏輯和程序如圖1所示：
　　
　　這種思路和方法在企業最初進行內部控制建設或日常的評價中應用較多。此外，在SOX法案開始實施時，企業的治理層在評價內部控制以及注冊會計師審計內部控制時，基本上都是遵照美國公共公司會計監視委員會在2004年發布的第2號審計準則（PCAOB，2004）執行的，采用的基本上也是這種思路。當然，在具體的運用上，不同的企業和事務所又略有不同。
　　這種思路和方法的特點是從控制到風險，即從內部控制到相關目標實現的風險。這種評價思路和方法首先要根據現有的內部控制框架評價企業內部控制的設計和運行，識別出控制缺陷，然后判定是否為實質性漏洞，從而判定內部控制的有效性。評價運行有效性可以采用測試的方法確定相關的內部控制是否得到了有效實施，從理論和實務上來說不存在太大的題目，而評價設計的有效性在該方法中則是對照內部控制框架或標準進行的，所以，最關鍵的題目是如何對照企業內部控制框架或標正確定內部控制設計的有效性。這種對照內部控制框架或標準判定設計有效性的思路應當是來自于COSO的《企業內部控制——整合框架》等報告中提出的控制的完整性概念。COSO在這個報告中明確指出，內部控制框架的這些組成要素和標準適用于整個內部控制系統，或者是一類或多類目標。當考慮任何一類目標的控制時，例如有關財務報告的控制，所有五個要素都應該滿足才能得出有關財務報告的控制是有效的結論。但是，內部控制的組成要素之間具有相互補充、相互滲透的關系，盡管五個組成要素都應該被滿足，但是這并不意味著在不同的企業中每個組成要素都得到同樣的執行。不同組成要素之間存在某種平衡，由于內部控制能夠滿足多個目標，一個組成要素中的控制可能會滿足另外一個組成要素范疇內的控制需要實現的目標。而且，控制降低風險的程度是不同的，所以，效果有限的多個控制一起實施可以達到滿足的效果。
　　鑒于上述原因，盡管內部控制的框架或標準描述了一個有效的內部控制系統所應當具備的構成要素，假如采用簡單的逐一對應的方法對照內部控制框架來評價內部控制設計的有效性，就有可能產生兩個題目：一個是本錢高，效率低；另一個是評價結論的不可靠性。內部控制框架或標準描述這些構成要素時，是把企業抽象成一個主體，并沒有考慮企業所處的國家、所處的行業、企業的規模等特定的因素，其目的是構建一個通用的內部控制標準和參照物。但是，并不是所有的企業（如不同規模的企業、不同行業的企業）都必須具備與內部控制框架或標準完全一樣的內部控制才算是有效，而且，這個框架中的所有要素涉及的控制與內部控制目標的相關性和對內部控制目標的重要性是不同的。因此，逐一對應的對照內部控制框架或標準評價內部控制設計的有效性必定會評價了過多的、不必要的控制，導致本錢高而效率低，這一點已經在美國上市公司過往幾年實施SOX法案的經歷中得到了體現。同時，有效的內部控制并不要求所有的要素同等程度的存在，由于內部控制要素本身具有一定的相互補充性和相互替換性，存在某種程度的平衡，并且這種替換或平衡在很多情況下并不能確切地衡量，也不能正確地體現在內部控制的框架或標準中。所以，逐一對應的對照內部控制框架或標準評價內部控制設計的有效性必定會出現評價結論的偏差：按照內部控制框架或標準評價可能是一個缺陷，但是，實際上卻是有效的，這一點很明顯地體現在了不同規模企業內部控制的評價上。為此，美國COSO于2006年發布了《較小規模公眾公司財務報告內部控制指南》。
　　根據內部控制框架或標準評價內部控制本身并沒有錯，但是，內部控制的框架或標準本身是一個通用的框架，更多地關注內部控制的“What and Why”，即使是COSO 2006年發布的《較小規模公眾公司財務報告內部控制指南》也“主要被設計用于幫助治理者建立和保持有效的財務報告內部控制”，盡管這些框架或標準提供了評價有效性的標準，但不夠細致，不足以說明如何完成內部控制有效性的評價。所以，這個思路假如用于內部控制的建立和保持應當是比較適合的，而假如用于內部控制有效性的年度評價則并不是十分恰當，這一點在美國上市公司過往幾年的經歷中得到了充分的體現。
　　
　　二、風險基礎評價法
　　
　　企業內部控制的另一種思路和方法不是從控制到風險，而是從風險到控制，即從內部控制相關目標實現的風險到內部控制。首先，要評估相關目標實現的風險；其次，識別和確定企業充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；第三，識別和確定內部控制運行有效性的證據，評價現有的控制是否得到了有效的運行；最后，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。對于不同的目標來說，目標風險的含義、內部控制重大漏洞的含義是不相同的，在評價每一類目標時都需要做具體設定。風險基礎評價法的邏輯和程序如圖2所示：
　　
　　“自上而下”和“風險基礎”的理念在這種方法中得到了充分的體現。“風險基礎”主要體現在：以評估控制目標實現的風險為出發點；關注重要的財務報告和表露風險與題目；僅評價充分應對風險的控制；證據的獲取和場所的選擇根據風險評估的結果；評價結論（內部控制是否有效）也是風險基礎的，判定內部控制是否有效也是以內部控制是否很可能防止或發現財務報表中的重要錯報為依據的�！白陨隙�下”主要體現在：從財務報表整體開始，然后到賬戶、表露；從公司層面的控制開始，然后到活動層面的控制。美國證券交易委員會和公共公司會計監視委員會2007年6月分別發布的治理層報告內部控制的指南（SEC,2007）和內部控制審計準則（PCAOB，2007）都采用了這一思路。 風險基礎評價法與具體評價法的區別類似于財務報表的具體審計與財務報表的風險基礎審計，主要體現在以下幾個方面：
　　第一，風險基礎法首先評估實現內部控制相關目標的風險，根據風險評估的結果對照企業的內部控制，參考內部控制框架來判定企業內部控制設計的有效性。這樣做的好處是：一方面，可以充分考慮企業特定的情況，避免與內部控制框架的簡單核對，具有更好的本錢效益性和更廣泛的適用性和靈活性；另一方面，關注最重要的風險，進步了評價的本錢效益和效率。
　　第二，風險基礎法在確定內部控制的測試范圍和收集證據時也是以風險評估為基礎的，這樣同樣可以進步評價的本錢效益和效率。
　　第三，風險基礎法需要更高程度的專業判定。無論是評價內部控制設計的有效性，還是測試內部控制運行的有效性都是根據最初的風險評估和后續的風險評估進行的，這與具體評價法下根據一個確定的框架來評價相比需要更高程度的專業判定。
　　
　　三、結論
　　
　　比較上述兩種評價方法的優劣以及從國際發展的總體趨勢來看，風險基礎的內部控制評價方法必然是未來的發展方向，由于無論是基于本錢效益的考慮，還是與企業的實際情況相結合，從確保評價的公道性來說，風險基礎評價法都比具體評價法具有明顯的上風。但是，值得留意的是，風險基礎評價法比具體評價法對企業治理層和審計職員的要求要高得多。在具體評價法下，治理層和審計職員更多的是在做一種核對和檢查的工作，直接對企業的經營治理和內部控制的判定相對未幾。而在風險基礎法下，治理層和審計職員需要做出很多的判定，比如，需要識別與企業控制目標相關的風險，識別相關的控制以及判定相關控制是否充分。所以，采用風險基礎評價法要求治理層和審計職員具有更高的專業技能，必須在企業內部控制與風險治理方面具有非常專業的基礎知識和判定能力，才能更加有效地完成內部控制的評價，提供一份可靠性較好的內部控制評價報告�！�
　　
　　【主要參考文獻】
　　[1] COSO，Enterprise Risk Management-Integrated Framework，2004，（9）.
　　[2] PCAOB，Auditing Standard No 5 –An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，2007，（5）.
　　[3] SEC，Management's Report on Internal Control Over Financial Reporting，2007，（5）.

【企業內部控制評價方法的比較】相關文章：

企業內部控制評審的內容與方法03-24

企業內部控制評價指標體系構建03-24

風險投資基金評價方法比較03-16

幾種績效評價方法的比較分析03-18

論企業內部控制03-18

試論企業內部控制03-29

內部審計在企業內部控制評價中的應用研究11-17

英美國外企業內部控制評價的標準及設計思路03-07

談企業內部控制建設03-19