內部控制審計評價初探

內部控制審計評價初探

摘要:本文從分析內部審計的發展及內部控制、內部控制評審的定義和相互關系入手，對企業內部控制評審的內容、方法、評價標準等進行了初步探討。
　　關鍵詞：企業;內部審計;內部控制;評審
　　
　　近年來，國內相關機構和企事業單位順應企業管理的內在需要，逐步引入了內部控制及內部控制評審的理論，并組織開展了一系列理論研究和實務探索，取得了一定成果。本文以此為出發點從內部審計的角度對企業內部控制評審的內容、方法、評價標準等進行初步探討。
　　
　　一、內部控制、內部控制評審的定義
　　
　　1.內部控制的定義
　　內部控制一詞，最早出現在1936年美國會計師協會發布的《注冊會計師對財務報表的審查》文告中。隨著內部控制理論以及認識的不斷發展，內部控制理論由最初的“內部牽制理論”，發展為“內部會計控制與內部管理控制”。
　　1992年，美國反欺詐性財務報告委員會的主辦機構委員會（COSO委員會）發布了《內部控制—整體框架》報告，即著名的COSO報告，報告對內部控制的定義為“內部控制是由企業董事會、經理當局以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程”。COSO報告同時認為內部控制包括內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋等五個相互聯系的要素，這五大要素服務于上述三大目標。這是目前比較成熟的內部控制理論，受到各國理論界和實務界的廣泛關注和普遍認可。
　　2.內部控制評審的定義
　　COSO報告認為，在內部控制系統中，所有部門、崗位都在其中充當著角色，內部審計也是如此。內部審計既是企業內部控制的重要組成部分，又是監督與評價內部控制的主要部門和主要手段。2002年以來，國際內部審計重新介入內部控制這一領域，在原先以內審部門實施內部控制評價的基礎上，加強了與業務管理部門自我評估的結合，注重相關業務部門技術人員的參與，要求內部審計人員與業務管理人員、專家合作評價內控的健全性、合理性和有效性。
　　從內部審計的角度看：內部控制評審是指由企業董事會下設的審計委員會組織開展的，以內部審計人員為主，吸收相關專業技術人員和專家參加的，對企業內部控制系統建設、實施情況進行的調查、分析、評價等系統性活動，主要測評企業內部控制系統是否健全、合理，以及執行是否有效。
　　
　　二、內部控制評審的內容
　　
　　企業內部控制系統的設計基本是圍繞內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋這五大要素進行的，因此內部控制評審的內容就是評審內部控制系統五大要素的內容是否健全、合理以及執行是否有效。
　　1.內部控制環境評審
　　內部控制環境是內部控制的基礎，它是影響和制約其他控制要素發揮作用的重要因素。內部控制環境評審就是指對企業內部控制系統所依存的軟硬環境的各項因素運作狀況的健全性、合理性和有效性所進行的評審。評審的內容主要有：公司治理組織架構的建立、規范運作和分權制衡；內部控制系統中董事會的建立和完善責任，監事會的監督責任，高級管理層的執行和完善責任；人力資源政策和程序、人力資源日常管理情況等。
　　2.風險識別與評估評審
　　風險識別與評估是指識別和分析那些妨礙企業實現經營管理目標的各項因素的活動，它包括風險識別和風險分析評估兩部分。風險識別與評估的評審是指對來自企業內外部對生產經營、財務報告、經營管理目標有影響的各種風險的識別與評估情況所進行的評審。評審的內容是企業風險識別與評估機制及其運行是否健全、合理、有效,主要包括在經營管理活動中風險的識別和評估是否充分、合理；企業識別和獲取適用法律法規要求的程序建立和執行的情況；與風險識別和評估相對應的內部控制措施方案的內容及執行情況等。
　　3.內部控制活動評審
　　內部控制活動是指為了確保經營管理目標的實現，指導員工實施管理指令，管理和化解風險而采取的政策和程序。內部控制活動的評審是指對企業為進行企業管理和化解風險而采取的控制活動情況所進行的評審。評審的內容是企業內部控制活動的健全性、合理性、有效性，主要包括企業所采取的控制措施和程序的健全、合理、有效程度；計算機系統環境下，為確保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；應急預案的建立和執行、應急設備和設施的定期檢查情況等。
　　4.監督評價與糾正評審
　　監督評價與糾正是指由企業特定人員對一定時期的內部控制運行狀況進行評估和實施糾正的情況, 可采取持續監督和個別評估分別進行或兩者結合進行的方式。監督評價與糾正的評審是指對企業內部控制監督評價與糾正機制及其運行情況是否健全、合理、有效所進行的評審,主要包括內部控制績效監測程序建立和執行;內部控制系統監督評價書面程序的建立和執行；企業對內部控制進行不斷完善的情況等內容。
　　5.信息交流與反饋評審
　　信息交流與反饋是指企業在其經營過程中，按某種形式辨識、取得確切的信息，并進行溝通，以便員工能夠履行其責任。信息交流與反饋的評審是指對企業辨識、取得、溝通合理信息的方式和過程的健全性、合理性、有效性所進行的評審。主要包括企業信息交流和溝通程序的建立和執行；內部控制系統文件的建立和保持；形成記錄控制程序的建立和執行等內容。
　　
　　三、 內部控制評審方法
　　
　　內部控制評審方法主要包括評審的切入方法和評審的具體技術方法兩大方面。評審的切入方法是根據評審要求和為達到評審目的進行組織和實施評審的工作形式和工作思路，是制定評審實施方案的前提；評審的具體技術方法則是在具體評審時根據被評審企業的實際情況，為達到評審目的和要求所采用的具體審計技術方法。
　　1.內部控制評審的切入方法
　　內部控制評審的切入方法基本可以歸納為要素法、流程法和制度法三類。
　　(1)要素法。要素法是直接從評審內部控制的五大要素內容入手，運用內部控制評審的技術方法獲取評審證據，從而評價內部控制要素各項內容的健全性、合理性和有效性，進而對企業內部控制做出綜合評價。其適用范圍主要是生產經營方式相對簡單、業務流程比較單一、且已建立完整的內部控制系統的企業。
　　(2)流程法。流程法是建立在要素法的基礎上，從測試業務流程和具體業務入手，采用內部控制評審技術方法獲取評審證據，來評價內部控制各項要素內容的健全性、合理性和有效性的一種方法。其適用范圍是生產經營過程比較復雜，業務流程比較繁多，且已建立完整的內部控制系統的企業。
　　(3)制度法。制度法是指從被檢查企業內部控制制度入手，采用內部控制評審技術方法獲取評審證據，來評價企業內部控制的健全性、合理性和有效性。其適用范圍是尚未建立完整的內部控制系統的企業，或者是還停留在靠內部規章制度進行控制的企業。
　　2.內部控制評審的技術方法
　　內部控制評審的技術方法經常采用的技術方法主要有：
　　(1)抽樣法。通過抽取一定數量且具有代表性的樣本進行調查和測試，根據樣本來推斷總體狀況的一種評審方法。這是審計工作普遍采用的方法，，應當采取科學抽樣的方法來完成對企業已經發生的所有經濟業務進行審計和評審，只要按照合理的允許的誤差科學地抽取了樣本，通過對樣本的評審是能夠滿足對企業整個經濟活動的評審需要的。
　　(2)穿行測試法。穿行測試也稱全程測試，通常用于對業務流程或具體業務的測試與評價。這是內部審計經常運用的一種簡便易行的技術方法，特別適用于對內部控制的評審中，通過對一筆或若干具體業務的穿行測試，可以比較直觀有效的反映一個或若干業務流程的內部控制情況�！　�(3)證據檢查法。證據檢查法是內控評審工作最重要的檢查方法之一。評審人員在運用抽樣、穿行測試等評審方法時，要求被評審企業在限定的時間內，提供被評審業務主要控制點對應的相關資料。通過對這些書面證據的檢查，驗證各項控制措施在實際業務操作中是否得到了有效的貫徹執行。
　　(4)壓力測試法。即測試被評審企業關鍵業務處理程序和控制措施能夠承受的壓力程度以及在承受相應壓力時所發揮的作用。
　　(5)流程圖法。流程圖法主要用于內部控制系統的健全性和合理性測試，流程圖法可以使評審人員清晰地看出被評審企業內部控制系統如何運行，業務的風險控制點和控制措施，有助于發現各內部控制系統的缺陷和評審重點。
　　四、內部控制評價標準和綜合評價結果
　　現場評審結束后，應依據內部控制評價標準，對被評審企業進行綜合評價并出具評審報告。綜合評價應堅持定性分析與定量分析相結合的原則，做到量化合理、定性準確。
　　1.內部控制評價標準
　　在對各項評審內容嚴格審查、測試和初步評價的基礎上，應對企業整個內部控制系統的健全性、合理性以及執行的有效性做出全面評價。
　　(1)內部控制的健全性。內部控制的健全性是指企業根據生產經營管理的自身需要，應設置的內部控制系統的內容都比較完備，而且所設置的內部控制系統對企業的生產經營管理活動的全過程能進行自始自終的控制。健全性評價可依據評分分為優、良、基本健全、不健全四個級次。
　　(2)內部控制的合理性。內部控制的合理性主要是指內部控制設計和執行時的適用性、合規性、經濟性，它是在健全性的基礎上對企業內部控制更深一層次的要求。合理性評價同樣可依據評分分為優秀、良好、基本合理、不合理四個級次。
　　(3)內部控制的有效性。有效性是內部控制的精髓，應根據對評審內容的測試結果，對各項業務目標是否能夠實現，各項業務風險的評估與規避情況如何，內部控制所起到的作用與效果如何等等做出評價。有效性的評價同樣可依據評分分為優秀、良好、基本有效、無效四個級次。
　　2.評審內容的計分和綜合評價
　　為了科學、合理地對企業內部控制進行評價，評審組應依據內部控制評價標準評審內部控制各項內容，按照“健全性、合理性、有效性”三個標準進行匯總、分類、評分和評價。
　　(1)評審組根據在現場評審中所發現的問題，先依據評審實施方案中的“評審內容明細表”所確定的每項具體評審內容進行匯總，再按照“健全性、合理性、有效性”三個評審標準進行分類。經評審組統一研究、討論得出每項評審內容的綜合評審意見，根據評審意見給該項內容評分。
　　(2)在得出以上評分后，評審組還應結合評審中所揭示的企業內部控制系統存在的具體問題，依據“健全性、合理性、有效性”的評價等級，分別對被評審企業內部控制系統的健全程度、合理程度以及執行情況做出準確、嚴謹、中肯的定性評價。
　　3.內部控制評審報告
　　綜合評審報告的內容，主要包括以下三方面。
　　(1)評審的基本情況。分為兩部分，一是說明評審目的、范圍、人員組成等，二是簡述一下被評審企業的基本情況及其內部控制現狀。
　　(2)存在的問題及危害性。將評審中發現的問題分類進行列述，并準確界定被評審企業的財務、經營風險檔次，尤其是對于內部控制中存在的重大缺陷和薄弱環節，應指出風險隱患，說明其危害性。
　　(3)綜合評價及處理建議。說明被評審企業的得分情況，按照綜合評價標準對被評審企業的內部控制總體評審情況進行描述，并根據評審情況向審計委員會提出處理建議。處理建議要切合被評審企業的實際，要有科學性、針對性和可行性。
　　總之，內部控制作為企業管理的一部分，它是一個動態的管理過程，是在不斷發展變化的。內部控制評審在我國尚處于初級階段，需在實踐中積極借鑒國外先進或成功的經驗與做法，但不能照搬照套，應緊密結合本企業未來發展變化的情況，不斷地加以總結、改進和提高，以制定出較為健全有效的內部控制評審規范體系，并逐步走上制度化、規范化的道路。
　　
　　參考文獻：
　　[1]中國注冊會計師協會《內部控制審核指導意見》.
　　[2]高雅青 李三喜編著:《內部控制與審計風險案例分析》.中國時代經濟出版社. 2002 年5月.
　　[3]Robert R. Moeller ，李海風 劉霄侖等/譯.《Brink’s Modern Internal Auditing 》.中國時代經濟出版社.2006年1月第1版.
　　[4]財政部、證監會、審計署、銀監會、保監會.財會[2008]7號.《企業內部控制基本規范》2008年5月.

【內部控制審計評價初探】相關文章：

高校內部控制審計初探03-23

信息系統內部控制審計初探03-21

內部審計質量控制初探作03-21

風險導向內部審計與內部控制結合初探（下）03-22

柔性內部控制初探03-21

內部控制審計經典論文05-23

內部控制審計經典論文06-11

（經典）內部控制審計經典論文05-26

內部控制審計的探討12-08