企業(yè)內部控制評價(jià)方法的比較

【摘要】 企業(yè)內部控制框架提供了一個(gè)有效內部控制系統的模板，也是評價(jià)內部控制有效性的標準，但是，根據內部控制框架或標準對內部控制有效性進(jìn)行評價(jià)，卻可以選擇不同的出發(fā)點(diǎn)或切進(jìn)點(diǎn)。使用不同的評價(jià)思路和方法，即具體評價(jià)法和風(fēng)險基礎評價(jià)法是目前采用的兩種主要方法，各有上風(fēng)和特點(diǎn)。
　　【關(guān)鍵詞】 內部控制；具體評價(jià)法；風(fēng)險基礎評價(jià)法
　　
　　評價(jià)企業(yè)內部控制的有效性實(shí)質(zhì)是評價(jià)內部控制為相關(guān)目標的實(shí)現提供的保證水平是否達到或超過(guò)公道保證的水平。假如保證的水平處于有效內部控制的區間內，則內部控制是有效的，假如保證的水平低于公道水平，則內部控制是無(wú)效的。從另一個(gè)角度來(lái)看，就是評價(jià)相關(guān)目標的風(fēng)險在經(jīng)過(guò)內部控制之后是否已經(jīng)降低到了一個(gè)適當的水平，假如已經(jīng)降到了一個(gè)適當的水平，則內部控制是有效的；反之，則無(wú)效。從內部控制評價(jià)本身以及目前的發(fā)展情況來(lái)看，主要存在具體評價(jià)法和風(fēng)險基礎評價(jià)法兩種方法。
　　
　　一、具體評價(jià)法
　　
　　在《企業(yè)內部控制——整合框架》中，COSO指出，確定某一內部控制系統是否有效是一種在評估五個(gè)要素是否存在以及是否有效發(fā)揮作用基礎上的主觀(guān)判定，這些要素也是有效內部控制的標準。COSO還指出，認定一個(gè)主體的企業(yè)風(fēng)險治理是否“有效”，是在對八個(gè)構成要素是否存在和有效運行進(jìn)行評估的基礎之上所作的判定，構成要素也是判定企業(yè)風(fēng)險治理有效性的標準。在美國證券交易委員會(huì )2003年6月通過(guò)的實(shí)施SOX法案404節的規則（SEC，2003）以及后來(lái)發(fā)布的治理層評價(jià)指南中，都夸大內部控制評價(jià)的程序必須足以既能評價(jià)財務(wù)報告內部控制的設計，又能測試運行的有效性。因此，遵循這個(gè)思路，很多企業(yè)和事務(wù)所都曾經(jīng)采用過(guò)具體評價(jià)法。這種方法的基本思路是：以?xún)炔靠刂瓶蚣芑驑藴蕿閰⒄瘴�，根據內部控制框架的構成要素是否存在評價(jià)內部控制的設計有效性，測試內部控制的運行有效性，最后綜合設計和運行的評價(jià)對內部控制的有效性做出總體評價(jià)，評估內部控制目標實(shí)現的風(fēng)險，判定是否存在重大漏洞（material weaknesses，MW），確定內部控制是否有效。具體評價(jià)法的邏輯和程序如圖1所示：
　　
　　這種思路和方法在企業(yè)最初進(jìn)行內部控制建設或日常的評價(jià)中應用較多。此外，在SOX法案開(kāi)始實(shí)施時(shí)，企業(yè)的治理層在評價(jià)內部控制以及注冊會(huì )計師審計內部控制時(shí)，基本上都是遵照美國公共公司會(huì )計監視委員會(huì )在2004年發(fā)布的第2號審計準則（PCAOB，2004）執行的，采用的基本上也是這種思路。當然，在具體的運用上，不同的企業(yè)和事務(wù)所又略有不同。
　　這種思路和方法的特點(diǎn)是從控制到風(fēng)險，即從內部控制到相關(guān)目標實(shí)現的風(fēng)險。這種評價(jià)思路和方法首先要根據現有的內部控制框架評價(jià)企業(yè)內部控制的設計和運行，識別出控制缺陷，然后判定是否為實(shí)質(zhì)性漏洞，從而判定內部控制的有效性。評價(jià)運行有效性可以采用測試的方法確定相關(guān)的內部控制是否得到了有效實(shí)施，從理論和實(shí)務(wù)上來(lái)說(shuō)不存在太大的題目，而評價(jià)設計的有效性在該方法中則是對照內部控制框架或標準進(jìn)行的，所以，最關(guān)鍵的題目是如何對照企業(yè)內部控制框架或標正確定內部控制設計的有效性。這種對照內部控制框架或標準判定設計有效性的思路應當是來(lái)自于COSO的《企業(yè)內部控制——整合框架》等報告中提出的控制的完整性概念。COSO在這個(gè)報告中明確指出，內部控制框架的這些組成要素和標準適用于整個(gè)內部控制系統，或者是一類(lèi)或多類(lèi)目標。當考慮任何一類(lèi)目標的控制時(shí)，例如有關(guān)財務(wù)報告的控制，所有五個(gè)要素都應該滿(mǎn)足才能得出有關(guān)財務(wù)報告的控制是有效的結論。但是，內部控制的組成要素之間具有相互補充、相互滲透的關(guān)系，盡管五個(gè)組成要素都應該被滿(mǎn)足，但是這并不意味著(zhù)在不同的企業(yè)中每個(gè)組成要素都得到同樣的執行。不同組成要素之間存在某種平衡，由于內部控制能夠滿(mǎn)足多個(gè)目標，一個(gè)組成要素中的控制可能會(huì )滿(mǎn)足另外一個(gè)組成要素范疇內的控制需要實(shí)現的目標。而且，控制降低風(fēng)險的程度是不同的，所以，效果有限的多個(gè)控制一起實(shí)施可以達到滿(mǎn)足的效果。
　　鑒于上述原因，盡管內部控制的框架或標準描述了一個(gè)有效的內部控制系統所應當具備的構成要素，假如采用簡(jiǎn)單的逐一對應的方法對照內部控制框架來(lái)評價(jià)內部控制設計的有效性，就有可能產(chǎn)生兩個(gè)題目：一個(gè)是本錢(qián)高，效率低；另一個(gè)是評價(jià)結論的不可靠性。內部控制框架或標準描述這些構成要素時(shí)，是把企業(yè)抽象成一個(gè)主體，并沒(méi)有考慮企業(yè)所處的國家、所處的行業(yè)、企業(yè)的規模等特定的因素，其目的是構建一個(gè)通用的內部控制標準和參照物。但是，并不是所有的企業(yè)（如不同規模的企業(yè)、不同行業(yè)的企業(yè)）都必須具備與內部控制框架或標準完全一樣的內部控制才算是有效，而且，這個(gè)框架中的所有要素涉及的控制與內部控制目標的相關(guān)性和對內部控制目標的重要性是不同的。因此，逐一對應的對照內部控制框架或標準評價(jià)內部控制設計的有效性必定會(huì )評價(jià)了過(guò)多的、不必要的控制，導致本錢(qián)高而效率低，這一點(diǎn)已經(jīng)在美國上市公司過(guò)往幾年實(shí)施SOX法案的經(jīng)歷中得到了體現。同時(shí)，有效的內部控制并不要求所有的要素同等程度的存在，由于內部控制要素本身具有一定的相互補充性和相互替換性，存在某種程度的平衡，并且這種替換或平衡在很多情況下并不能確切地衡量，也不能正確地體現在內部控制的框架或標準中。所以，逐一對應的對照內部控制框架或標準評價(jià)內部控制設計的有效性必定會(huì )出現評價(jià)結論的偏差：按照內部控制框架或標準評價(jià)可能是一個(gè)缺陷，但是，實(shí)際上卻是有效的，這一點(diǎn)很明顯地體現在了不同規模企業(yè)內部控制的評價(jià)上。為此，美國COSO于2006年發(fā)布了《較小規模公眾公司財務(wù)報告內部控制指南》。
　　根據內部控制框架或標準評價(jià)內部控制本身并沒(méi)有錯，但是，內部控制的框架或標準本身是一個(gè)通用的框架，更多地關(guān)注內部控制的“What and Why”，即使是COSO 2006年發(fā)布的《較小規模公眾公司財務(wù)報告內部控制指南》也“主要被設計用于幫助治理者建立和保持有效的財務(wù)報告內部控制”，盡管這些框架或標準提供了評價(jià)有效性的標準，但不夠細致，不足以說(shuō)明如何完成內部控制有效性的評價(jià)。所以，這個(gè)思路假如用于內部控制的建立和保持應當是比較適合的，而假如用于內部控制有效性的年度評價(jià)則并不是十分恰當，這一點(diǎn)在美國上市公司過(guò)往幾年的經(jīng)歷中得到了充分的體現。
　　
　　二、風(fēng)險基礎評價(jià)法
　　
　　企業(yè)內部控制的另一種思路和方法不是從控制到風(fēng)險，而是從風(fēng)險到控制，即從內部控制相關(guān)目標實(shí)現的風(fēng)險到內部控制。首先，要評估相關(guān)目標實(shí)現的風(fēng)險；其次，識別和確定企業(yè)充分應對這些風(fēng)險的內部控制是否存在，即評價(jià)內部控制的設計應對相關(guān)目標實(shí)現風(fēng)險的有效性；第三，識別和確定內部控制運行有效性的證據，評價(jià)現有的控制是否得到了有效的運行；最后，對控制缺陷進(jìn)行評估，判定是否構成實(shí)質(zhì)性漏洞，確定內部控制是否有效。對于不同的目標來(lái)說(shuō)，目標風(fēng)險的含義、內部控制重大漏洞的含義是不相同的，在評價(jià)每一類(lèi)目標時(shí)都需要做具體設定。風(fēng)險基礎評價(jià)法的邏輯和程序如圖2所示：
　　
　　“自上而下”和“風(fēng)險基礎”的理念在這種方法中得到了充分的體現�！帮L(fēng)險基礎”主要體現在：以評估控制目標實(shí)現的風(fēng)險為出發(fā)點(diǎn)；關(guān)注重要的財務(wù)報告和表露風(fēng)險與題目；僅評價(jià)充分應對風(fēng)險的控制；證據的獲取和場(chǎng)所的選擇根據風(fēng)險評估的結果；評價(jià)結論（內部控制是否有效）也是風(fēng)險基礎的，判定內部控制是否有效也是以?xún)炔靠刂剖欠窈芸赡芊乐够虬l(fā)現財務(wù)報表中的重要錯報為依據的�！白陨隙�下”主要體現在：從財務(wù)報表整體開(kāi)始，然后到賬戶(hù)、表露；從公司層面的控制開(kāi)始，然后到活動(dòng)層面的控制。美國證券交易委員會(huì )和公共公司會(huì )計監視委員會(huì )2007年6月分別發(fā)布的治理層報告內部控制的指南（SEC,2007）和內部控制審計準則（PCAOB，2007）都采用了這一思路。 風(fēng)險基礎評價(jià)法與具體評價(jià)法的區別類(lèi)似于財務(wù)報表的具體審計與財務(wù)報表的風(fēng)險基礎審計，主要體現在以下幾個(gè)方面：
　　第一，風(fēng)險基礎法首先評估實(shí)現內部控制相關(guān)目標的風(fēng)險，根據風(fēng)險評估的結果對照企業(yè)的內部控制，參考內部控制框架來(lái)判定企業(yè)內部控制設計的有效性。這樣做的好處是：一方面，可以充分考慮企業(yè)特定的情況，避免與內部控制框架的簡(jiǎn)單核對，具有更好的本錢(qián)效益性和更廣泛的適用性和靈活性；另一方面，關(guān)注最重要的風(fēng)險，進(jìn)步了評價(jià)的本錢(qián)效益和效率。
　　第二，風(fēng)險基礎法在確定內部控制的測試范圍和收集證據時(shí)也是以風(fēng)險評估為基礎的，這樣同樣可以進(jìn)步評價(jià)的本錢(qián)效益和效率。
　　第三，風(fēng)險基礎法需要更高程度的專(zhuān)業(yè)判定。無(wú)論是評價(jià)內部控制設計的有效性，還是測試內部控制運行的有效性都是根據最初的風(fēng)險評估和后續的風(fēng)險評估進(jìn)行的，這與具體評價(jià)法下根據一個(gè)確定的框架來(lái)評價(jià)相比需要更高程度的專(zhuān)業(yè)判定。
　　
　　三、結論
　　
　　比較上述兩種評價(jià)方法的優(yōu)劣以及從國際發(fā)展的總體趨勢來(lái)看，風(fēng)險基礎的內部控制評價(jià)方法必然是未來(lái)的發(fā)展方向，由于無(wú)論是基于本錢(qián)效益的考慮，還是與企業(yè)的實(shí)際情況相結合，從確保評價(jià)的公道性來(lái)說(shuō)，風(fēng)險基礎評價(jià)法都比具體評價(jià)法具有明顯的上風(fēng)。但是，值得留意的是，風(fēng)險基礎評價(jià)法比具體評價(jià)法對企業(yè)治理層和審計職員的要求要高得多。在具體評價(jià)法下，治理層和審計職員更多的是在做一種核對和檢查的工作，直接對企業(yè)的經(jīng)營(yíng)治理和內部控制的判定相對未幾。而在風(fēng)險基礎法下，治理層和審計職員需要做出很多的判定，比如，需要識別與企業(yè)控制目標相關(guān)的風(fēng)險，識別相關(guān)的控制以及判定相關(guān)控制是否充分。所以，采用風(fēng)險基礎評價(jià)法要求治理層和審計職員具有更高的專(zhuān)業(yè)技能，必須在企業(yè)內部控制與風(fēng)險治理方面具有非常專(zhuān)業(yè)的基礎知識和判定能力，才能更加有效地完成內部控制的評價(jià)，提供一份可靠性較好的內部控制評價(jià)報告�！�
　　
　　【主要參考文獻】
　　[1] COSO，Enterprise Risk Management-Integrated Framework，2004，（9）.
　　[2] PCAOB，Auditing Standard No 5 –An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，2007，（5）.
　　[3] SEC，Management's Report on Internal Control Over Financial Reporting，2007，（5）.

【企業(yè)內部控制評價(jià)方法的比較】相關(guān)文章：

企業(yè)內部控制評審的內容與方法03-24

企業(yè)內部控制評價(jià)指標體系構建03-24

風(fēng)險投資基金評價(jià)方法比較03-16

幾種績(jì)效評價(jià)方法的比較分析03-18

論企業(yè)內部控制03-18

試論企業(yè)內部控制03-29

內部審計在企業(yè)內部控制評價(jià)中的應用研究11-17

英美國外企業(yè)內部控制評價(jià)的標準及設計思路03-07

談企業(yè)內部控制建設03-19