ＣＰＡ視角下企業內部控制評價體系的構建與實施

摘要 2009年7月1日開始施行的內部控制基本規范，對上市公司和中介審計機構提出了對內部控制評價的要求，根據儉業內部控制基本規范》和儉業內部控制鑒證指引》的相關內容，結合內部控制評價體系的基本要素，探討CPA視角下如何構建企業整體層面的內部控制評價體系，以對企業整體層面的內控實施效果進行評價。

關鍵詞 內部控制；評價；體系

美國《薩班斯法》提出應由管理層出具內部控制評估報告，并須經過外部審計師簽證才有效。2008年6月28日，我國財政部、證監會、審計署、銀監會、保監會聯合發布了《企業內部控制基本規范》、《企業內部控制應用指引》、《企業內部控制評價指引》及《企業內部控制鑒證指引》(征求意見稿)，要求2009年7月1日開始施行，并對上市公司和中介審計機構提出了對內部控制評價的。本文擬探討CPA視角下如何構建企業內部控制評價體系。

一、內部控制評價的意義

內部控制評價是對企業內部控制系統的設計和執行的有效性進行調查、測試、分析和評價的活動。它是內部控制中必要的系統性活動，是內部控制設計、實施、評價、反饋、改進等連續的動態過程。

內部控制評價主體可以是由監事會、審計委員會及其領導下的內部審計機構對企業內部控制的自我評估，也可以是社會中介審計。管理當局出于長期利益的考慮，需要在CPA的協助下真正關注內部控制的缺陷，不斷完善企業的內部控制。

二、內部控制評價體系構建的理論依據

在實際審計工作中，對被審計單位企業的內部控制進行評價，需要有一套客觀可行的評價體系。這套體系一方面可以為企業自我評估和改進其內部控制提供依據，也可以為注冊會計師發表評價意見提供依據，同時還可以為不同使用者的溝通與理解提供統一的基礎。建立內部控制評價體系已經成為一種趨勢。

在內部控制評價體系的構建中，最具影響力的當屬美國COS0委員會于1992年提出的“內部控制整體框架公告”。COS0報告中認為內部控制是由企業董事會、管理當局和其他員工實施的，為保證財務報告的可靠性、經營的高效率以及現行法規的遵循等目的達成而提供合理保證的過程。其構成要素來源于管理層經營的方式，并與管理過程相結合。其整體架構主要由控制環境、風險評估、控制活動、信息與溝通、監督等五項要素構成。該報告的提出具有劃時代的意義，提出后不僅很快受到了廣泛的認可，很多國家及各專業團體也都仿效COS0對內部控制進行了重新研究，并采納其最新理念，發布了自己的文告，形成了自己的內部控制評價標準體系。2008年，我國在借鑒1992年的COS0報告和2004年的COS0-ERM(即風險管理基本框架)的基礎上，也發布了《企業內部控制基本規范》，從而形成了我國內部控制建設及評價體系。

三、基于整體層面的內部控制評價體系的構建與實施

(一)了解和評價控制環境

1 對誠信和道德價值觀念的溝通與落實

主要了解是否制定了員工行為守則：這一守則和其它政策是否得到有效執行；是否建立信息傳達機制，使員工能夠清晰了解管理層的理念：是否與公司的利益相關者(如投資者、債權人等)保持良好的關系；是否能對背離公司規定的行為及時采取補救措施，并將這些措施傳達至相應的員工；是否對背離公司現有控制的行為進行調查和記錄；員工和管理層的工作壓力是否恰當。

2 對勝任能力的重視

考慮公司是否保持崗位責任明確，任職條件清晰，能持續培訓員工。

3 治理層的參與程度

了解在董事會內部是否建立了監督機制，保證董事會成員具備適當的經驗和資歷，并保持成員相對的穩定性。董事會、審計委員會或類似機構是否獨立于管理層。審計委員會是否能正常運作。

4 管理層的理念和經營風格

了解管理層是否由一人或少數幾人控制。對非經常的經營風險，管理層能否采取穩妥措施。管理層對信息技術的控制是否給予適當關注。高級管理層對業務分支機構是否保持有效控制。管理層對財務報告的態度是否合理。管理層是否對于重大的內部控制和會計事項，征詢注冊會計師的意見。

5 組織結構

分析組織結構是否合理，具備提供管理各類活動所需信息的能力。對交易授權的控制是否建立在適當的層次上，對于分散(分權)的交易存在適當的監控。管理層是否參與制定和修訂會計系統和控制活動的政策。了解保持員工，特別是負有監督和管理責任的員工數量是否充足以及管理層定期評估組織結構的恰當性。

6 職權與責任的分配

了解員工的崗位職責，包括具體任務、報告關系及所受限制等是否明確制定并傳達到本人。在被審計單位內部是否有明確的職責劃分和崗位分離，保持權力和責任的對等，對授權交易及系統改善的控制有適當的記錄，對數據處理的控制適當記錄。

7 人力資源的政策與實務

了解關鍵管理人員是否具備崗位所需的豐富知識和經驗，人事政策中是否強調員工需保持適當的倫理和道德標準，人力資源政策與程序是否清晰，定期發布和更新。

(二)了解和評價被審計單位風險評估過程

了解是否建立公司整體目標并傳達到相關層次。具體策略和業務流程層面的目標與整體目標協調。明確影響整體目標實施的關鍵因素。各級管理人員的參與制定目標。建立風險評估方法。建立風險識別、應對機制處理具有普遍影響的變化。對于可能產生迅速、巨大并持久影響的變化，建立相應的識別和應對機制。會計部門建立流程適應會計準則的重大變化。當被審計單位業務操作發生變化并影響交易記錄的流程時，及時通知會計部門。風險管理部門建立流程以識別經營環境的重大變化。政策和程序得到有效執行。

(三)了解和評價控制信息系統與溝通

1 與財務報告相關的信息系統

建立信息系統能否向管理層提供有關被審計單位經營的相關信息；能否向適當人員提供充分、具體且及時的信息，保證其能夠有效地履行職責。與財務報告相關的信息系統的開發及改善是否基于戰略考慮；與被審計單位整體層面的信息系統緊密相關，有助于實現被審計單位整體層面和業務流程層面的目標。是否提供適當的人力和財力開發必需的信息系統，監督信息系統的開發、變更和測試工作。

2 溝通

了解是否就崗位職責與員工進行有效溝通。針對不恰當事項和行為建立溝通渠道。組織內部有充分暢通的橫向溝通渠道，橫向信息傳遞完整、及時，并能提供有關人員履行其職責所需的充分信息。管理層能否認真聽取和采納員工提出的改進意見。管理層與客戶、供應商、監管者和其他外部人士有效地溝通。外部人士是否了解被審計單位的行為守則。員工職責適當分離，以降低舞弊和不當行為發生的風險。會計系統中的數據與實物資產是否做到定期核對。

(四)了解和評價被審計單位對控制的監督

1 持續監督

了解內部控制是否定期評價。內部控制制度對常規工作活動有效運行的保障程度能否評價。外界溝通所獲取的信息能否反映內部控制運行的有效性。管理層對內部審計人員和注冊會計師提出的內部控制方面的意見和建議能否進行適當地處理。管理層能否獲得關于控制有效的反饋信息。定期詢問員工遵循公司行為守則的情況、重要控制活動執行的有效性。內部審計工作是否有效。政策和程序是否得到有效執行。

2 專門評價

了解是否對內部控制進行專門評價，專門評價的范圍、頻率、過程、適當、用以評價內部控制系統的方法是否適當，并合乎邏輯。書面記錄是否適當。內部審計是否主要集中于經營責任審計，工作能夠降低財務報表重大錯報風險。內部審計的獨立性是否適當。信息系統審計人員能否勝任職責。內部審計人員能否堅持適用的專業準則，內部審計人員是否記錄了計劃、風險評估和執行的過程并形成結論。內部審計部門活動的范圍是否適當。

四、結論

內部控制評價是基于對企業內部控制實施效果的評估過程，有效的內部控制評價能幫助企業更好地完善內部控制建設。通過對內部環境、風險評估、信息與溝通及監督四個維度的了解及評價，可以對被審計單位的內部控制有了總體的把握，為提供內部控制鑒定提供基礎。值得關注的是，在了解與評價過程中，除了取得相應的制度文件等書面證據外，與員工的交流也是十分關鍵的，建立有效的制度固為重要，但制度如何有效執行更為重要。

參考文獻：

[1]財政部等，企業內部控制基本規范，2008，6

[2]財政部等，企業內部控制鑒證指引(征求意見稿)，2008，6

[3]陳吉東，如何內部控制的自我評估[J]，財會月刊(理論)，2007，(12)：84～86

[4]陳志斌，陸瑤，內控規范制定機制研究[J]，會計研究，2008，(4)：62～69

[5]原東平，試論內部控制評價標準體系框架的建立[J]，會計之友，2008，(2)：50。