内部控制评价基础

前言：本站为你精心整理了内部控制评价基础范文，希望能为你的创作提供参考价值，我们的客服老师可以帮助你提供个性化的参考范文，欢迎咨询。

【摘要】提高并保持有效性是内部控制的焦点，经济合理地评价内部控制有效性是当前国际上努力探索的课题。COSO的关于内部控制监督检查的应用指南项目将为这两方面提供具体指导。本文首先简要介绍已的指南讨论文稿，而后对其作用展开分析，并提出了改进建议。

【关键词】内部控制；检查监督；有效性；内部控制评价

监督检查在COSO内部控制框架报告中是构成内部控制的五个要素之一。虽然这份于1992年的报告指出了监督检查能够帮助企业保持内部控制的有效性，但正如委员会主席LarryE.Rittenberg所说，很多企业在实际运用COSO内部控制框架理论过程中，没有充分利用监督检查这一要素①。

2007年9月，COSO委员会了《内部控制系统监督检查指南》讨论文件（GuidanceonMonitoringInternalControlSystem，下文将其简称为《指南》），旨在提高对有效监督检查的理解，推动其应用，以改进内部控制系统的有效性。正式文件计划于2008年年中。

《指南》得到的反响并不很热烈，在肯定其积极意义之后，反馈意见更多的是问题和担心，如：PWC认为《指南》对监督检查一些概念的解释可能会产生混乱，应注意与COSO1992年和2006年的报告完全一致，而且从术语、概念和原理上应与SEC和PCAOB的管理层和审计师评价指南一致，当前业界最为关心的还是财务报告内部控制有效性的评价，《指南》应在这方面提供帮助等等。德勤也有类似担心。

笔者认为，《指南》作为一个“后来者”，面临上述疑问是正常的。但作为监督检查这一基本内部控制要素的应用指南，不仅将在提高内部控制有效性上发挥作用，也将因其推动建立内部控制评价的基础，对外部监管方面具有不可低估的意义。

一、主要内容介绍

（一）总结了有效监督检查的两个原则

1.持续监督检查和/或单独评估应能使管理层了解内部控制的各要素是否随时间继续有效。

2.内部控制缺陷应被查出并及时传达到负责纠正的人员和管理层，如有必要应报告董事会。

这两个原则已经体现在1992年的《COSO框架报告》和2006年的《小企业财务报告内部控制指南》之中②，《指南》的目的是进一步推动对有效监督检查概念的理解，使各类组织充分认识和发挥监督检查要素的作用。

（二）归纳分析了影响监督检查有效性的主要因素

三个因素影响监督检查的有效性：1.监督检查开展的控制环境；2.根据风险水平采用有效监督检查程序和分配监督检查资源的能力；3.向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。

《指南》对三个要素进行了展开分析，详细阐述了为保证监督检查有效每个方面应有的要求或应达到的标准。一是控制环境方面的要求：首先，管理当局应对监督检查高度重视；其次，监督检查人员应专业胜任、公正并被适当授权。二是根据风险水平采用有效监督检查程序和分配监督检查资源的能力。影响监督检查计划的因素有：组织规模与复杂性、经营活动的特性（如是否经常变化、是否容易发生舞弊等）、监督检查的目的（如内部管理需要还是满足外部监管法规的要求）、控制活动对达成组织目标的重要性等。应基于风险评估的结果进行优先级排序，分配资源，采取相应的监督检查方式。有效的监督检查应收集并分析充分适当的信息，形成具有说服力的关于内部控制有效性的结论。三是向适当人员及时报告包括控制缺陷在内的监督检查结果的能力。

发现的控制缺陷必须及时通报到控制运行的责任人及其直接上级，以保证及时采取纠正措施。向其它方面报告的对象和报告频次取决于相关控制的重要性和检查出问题的严重性。应根据风险可能带来的损失及发生的可能性来评估控制缺陷的严重性，并有具备适当独立性的人员参与。

（三）不仅适用于财务报告内部控制目标，也适用于其它内部控制目标

适当设计并执行的监督检查工作可为满足外部披露等监管要求提供支持。

二、意义分析

《指南》具有以下方面的重大意义：

（一）加强对监督检查要素的理解、应用，推动提高内部控制有效性

内部控制的难点在于保持其有效性，这也从屡屡发生的因内控失效而给企业带来巨大损失案上得到印证。这种挑战也是任何一家管理先进的国际企业所面临的，如2008年1月24日刚爆出的法国SocGen银行（法国第二大银行）72亿美元损失的失控交易案。

不断发生在这些国际知名企业身上的内控“重磅炸弹”给了人们更深层面的警示：即使建立了一整套详细的内部控制制度、配备了庞大的风险管理团队，内部控制可能仍不是有效的。

COSO委员会1992年《内部控制框架报告》和2006年《小型上市公司财务报告内部控制指南》引入并从原则上阐释了监督检查的角色和作用，但在指导应用方面还不够。《指南》分析了有效监督检查的各构成要素，并提供了具体应用的原则和方法，因而能够改变其目前未得到充分利用的状况，极大地推动这一关键内部控制要素的广泛应用。

监督检查要素作用的发挥对我国现阶段企业内部控制状况的提高尤其重要。有效的检查监督能够：1.曝光不执行制度的行为，督促制度的有效执行和完善。2.在控制缺陷造成重大损失之前发现并及时改进。

控制缺陷的存在具有一定客观性，有两个原因：内部控制设计者的认识局限性；环境或业务的变化带来新的风险或使原有控制活动失效。但动态地来看，控制缺陷一开始带来重大损失的可能性很小，这是因为认识局限性普遍存在，可以利用漏洞的人员没认识到漏洞的存在，或虽然认识到，但需要时间酝酿准备。公司文化对舞弊也有不同程度的抑制作用。这还与企业发展阶段有关。高速成长的企业员工面临较大发展空间，从事舞弊的可能性要低。但必须清醒意识到，随时间的推延，控制缺陷被利用的可能性将显著增加。

假定内部控制检查者与可能利用控制缺陷人员对内部控制的认识大体同步，或虽然认识较晚但期间受其他因素作用，尚未造成重大损失，此时检查评估将可以发现控制缺陷并予以解决，避免重大损失的发生。

这是一个弱假定，管理基础好的企业有着强的内部控制建设专业队伍，企业文化对员工也有较强的影响力。但这一假定比较符合当前我国现实：企业内部控制缺陷大量存在，正被不法人员利用或已达被利用的边缘。有效发挥检查监督要素的作用，做实检查监督对我国企业尤其紧迫。

（二）为内部控制的外部监管提供支撑

上世纪九十年代爆出的安然、世通等巨型公司倒闭案，促使美国于2002年颁布了SOX法案，强制要求上市公司企业管理当局报告内部控制系统的有效性，并要求从事财务报表审计的注册会计师就管理当局的报告出具审计意见。美国的做法在世界范围引起强烈反响，各国纷纷探讨效仿美国这一做法的可行性。但几年过去，从目前来看，这种对企业的强制要求并没有在世界范围推广开来，直接原因是强制披露内部控制有效性被认为将大大加重企业负担，审计风险也显著增加。欧盟经过广泛讨论，认为内部控制应关注全方位的风险，而不应局限于财务报告目标上。我国目前也处于讨论探索阶段。

如何降低内部控制有效性评价的成本也是美国面临的难题，SOX法案正式执行后美国相关各方不断采取措施以图解决这一矛盾，如PCAOB于2007年5月颁布AS5，对审计准则进行了重大修订；COSO于2006年了小企业财务报告内部控制指南；SEC于2007年6月了管理层关于财务报告内部控制有效性的评价报告指南等等。

之所以出现企业在披露内部控制有效性时成本过大的问题，原因在于内部控制系统的监督检查没有规范化，缺乏平时积累。《指南》从以下方面为建立系统规范的监督检查机制提供了指导：1.根据控制目标的重要性和控制的强弱状况，区别监督检查的主体（自己、同事、上级或/和内部审计）、方式（持续监督或/和单独评估）以及频次。

2.根据监督检查结果的重要性确定报告的对象，但控制缺陷必须通报到控制责任人及其直接上级，以及时改进。

3.层层监督。下级组织的监督检查活动是上级组织监督检查的对象，董事会及其审计委员会对企业管理当局的监督检查活动实施监督检查。

4.文档积累。根据内部管理需要和外部披露要求对监督检查的过程和结果进行存档。

《指南》还提供了从公司总体层面保持内部控制系统有效性的动态监督检查方法，如图1所示：

企业首先需要形成有效的控制基点，如没有就需要对现行内部控制的设计和运行进行系统的自我评估，改进存在问题；然后通过变化识别和变化管理，改进因内外部因素变化而失效的控制，对新产生的风险实施管理，形成新的控制基点。企业需要进行阶段性单独评估来确信新控制基点的有效性。

遵循以上原则和方法，企业可以对内部控制实施持续有效的监督检查，在保持和持续改进内部控制有效性的同时，也可以容易地满足外部监管要求，如对外披露内部控制有效性。

《指南》之所以反应并不十分强烈，主要原因是美国相关方面已颁布了一系列法规或指南，如PCAOB的AS5、SEC的管理当局评价指南等，《指南》作为“后来者”，需求性自然会减小；另一方面，有关概念的一致性确实是《指南》当前需面对的现实环境。

我国还没有就内部控制有效性向企业提出强制披露要求，注册会计师也没有相关审计的法定责任，相关的法规和标准尚处于论证过程之中。对企业内部控制实施外部监督是完善公司治理、促进公司改进管理的有益手段，广大投资人越来越强烈的需求也反映了这一趋势。《指南》将推动企业在各层级建立起系统有效的监督检查，为外部监管的开展打下坚实基础。

三、建议

《指南》中控制环境是影响监督检查有效性的三个要素之一，具体分为管理当局对监督检查的重视以及监督检查人员专业胜任、公正并被适当授权两方面。笔者认为，控制环境不仅仅影响监督检查的有效性，它甚至是监督检查能够有效发挥作用的前提条件。除《指南》中所述两方面，下列控制环境要素也十分重要：

（一）内部控制责任的落实

有两个方面要求：1.各级管理人员对所负责业务内部控制的有效性负责。部门负责人因而有较强的动力对所负责的内部控制实施自我评估，对其下属部门或人员内部控制职责履行情况实施检查监督。2.每个制度或流程都有其负责人（Owner），对流程的有效执行和改进负责。这一点对横跨多个部门的流程尤其重要，防止“铁路警察”情形的出现。明确的责任分解为检查监督提供了有效发挥作用的环境。检查出问题后找不到明确的责任部门或责任人将极大削弱其应有作用，是检查监督者的最大尴尬。

（二）有奖有罚的激励机制

问题暴露出来后，及时解决问题，找出其产生的根本原因，并从流程或机制上改进应是日常工作必需的要求。同时应对相关人员责任的履行情况有奖有罚。处罚原则有：违规而造成公司损失者应有处罚；一项制度或流程存在严重执行问题而其Owner未及时应对，该Owner应有处罚；员工违规或未充分履行职责时，其直接上级甚至更高层上级也应因监管责任而接受调查。

公司应鼓励员工发现问题、纠正问题和改进流程。发现自身问题并及时改正，未给公司造成损失应免于处罚，而且这种行为应受到鼓励；对发现流程漏洞并主动跟踪解决的员工，应根据为公司带来的利益而进行奖励。

【主要参考文献】

[1]赵锡尧.基于美英内部控制评价与报告体系比较的思考与借鉴.审计月刊，2007年5月.

[2]潘秀丽.内部控制信息披露中相关主体责任界定的现状及改进.中国注册会计师，2006年9月.

[3]陈关亭，张少华.论上市公司内部控制的披露及其审核.审计研究，2003年6月.

[4]李爽，吴溪.内部控制鉴证服务的若干争议与探讨.中国注册会计师，2003年5月.

[5]COSO.InternalControl-IntegratedFramework（ExecutiveSummary）.1992.

[6]COSO.GuidanceonMonitoringInternalControlSystemDiscussionDocument，Sep.2007.

[7]COSO.InternalControloverFinancialReporting—GuidanceforSmallerPublicCompanies.2006.

[8]PCAOBReleaseNo.2007-005May24，2007，AuditingStandardNo.5AnAuditofInternalControloverFinancialReporting.

[9]DiscussionDocumentCommentsbyPWConGuidanceonMonitoringInternalControlSystemDiscussionDocument.

[10]DiscussionDocumentCommentsbyDeloitteonGuidanceonMonitoringInternalControlSystemDiscussionDocument.

[11]TheEuropeanCorporateGovernanceForum，StatementonRiskManagementandInternalControl，June2006.

[12]Fee，Debateoninternalcontrolreportingremainsopen，04May2006.