内部控制的评价-上海财政.docVIP

X9015 内部控制评价刍议 上海市会计学会会长 汤云为 财政部会同证监会、审计署、银监会、保监会，于2008年6月28日正式发布《企业内部控制基本规范》（以下简称《内控规范》，2009年7月1日起强制在上市公司范围内实施；为了配合《企业内部控制基本规范》的施行，财政部、证监会、审计署、银监会、保监会又联合发布了《企业内部控制评价指引》、《企业内部控制应用指引》和中注协主持起草的《企业内部控制鉴证指引》等配套规范的征求意见稿，据信这三个指引很快就要定稿。届时我国上市公司的内部控制的建立和评审的体系就基本确立，如何按照这些规范组织实施将成为上市公司以及一些大中型企业今后若干年内完善公司治理的一场重头戏。有一些上市公司已经积极行动起来，学习和理解这些文件的内容，并为内控制度的建立和评审工作做出安排。 对于众多上市公司来说，内部控制的概念并不陌生，但是这次公布的内部控制规范相比此前公布的相关文件更具权威性，内容更为完整，要求更为具体，有一个重新学习的过程。然而，企业本身对内部控制的评价则是一个全新的课题，需要上市公司予以特别的关注。关于内控制度建立的介绍已经铺天盖地，本文不赘，此处专门对内控制度的评价作一个介绍，以期对积极组织实施内控制度的上市公司有所帮助。 为了方便起见，先介绍几个涉及内控评价的基本概念： 1.内部控制的目标和评价要素。 这次公布的内部控制基本规范将控制的目标定为五个方面，即合理保证企业经营管理合法合规；资产安全；财务报告及相关信息真实完整；提高经营效率和效果及促进企业实现发展战略。 这个目标在第二和第五点甚至超过了美国COSO的《内部控制－整体框架》的要求，因而是一个很高的起点。而对内部控制的五要素，则是全盘借鉴了COSO的分类，即控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价。我国的内控制度的建立和评价都是按照这五个要素展开的。故在内控评价指引中明确指出，要对内控规范中的五个目标的单个或整体控制目标的实现进行评价，而在评价内容上，要求对五要素进行全面、有针对性的评价。 与注册会计师的外部鉴证不同，尽管都是评价活动，企业的内控评价是由董事会及审计委员会负责领导，或是授权内审部门负责组织和实施的年度评价和专项评价，其独立性当然有所不同。两种评价都要认定内控制度的设计缺陷和运行缺陷，而作为评价的结果，注册会计师的审计报告仅是表达对内部控制有效性的意见，分为无保留意见、带说明段的无保留意见、否定意见、无法表示意见。企业评估的结果，除了对内控整体目标是否有效下结论外，还需对报告中列示的问题进行改进，并追究相关人员责任。 2.风险，控制和流程。 在《内控规范》中，风险是最为关键的概念。而内部控制的框架、要素均会涉及控制和流程这些基本概念。 风险是一种事件、行动或者非行动对企业达到自身经营目标和执行战略产生不利影响的威胁。它通常由发生的可能性和产生影响的程度两个要素组成。而控制是一种可以减轻和管理风险的行动，并增加企业达到自身经营目标和战略的可能性。应当注意的是，控制可以减轻风险，但很难杜绝风险。 根据其对企业不同层级的影响，风险可分为企业层面风险和流程层面的风险。企业层面的风险涉及范围较广，因而企业层面的控制指对企业有普遍影响的控制，在公司各层级均可执行，包含更多战略性和宏观经济方面的考虑，如：缺乏长期的经营策略；审计委员会或董事会对经营缺乏足够的监管等。流程层面风险则较为具体，通常可与流程中存在的控制活动相联系。流程是一组逻辑相关的活动将投入转化为产出的过程。控制是在流程中为了减轻风险而设计的活动。应当注意的是并非所有流程中的活动都是控制，有一些仅仅是为了业务的顺利开展。 3.控制缺陷。 当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时防止或发现差错，则说明存在着控制缺陷。分为设计缺陷和运行缺陷。当存在设计缺陷时，表明必要的控制或控制的必要成分缺失无法达到控制目标或者 现有的控制设计不当，即使按设计执行后仍无法满足控制目标。 运行缺陷则是指一个设计合理的控制未能按预期执行或者执行控制的人员没有执行所需的授权或能力，导致无法有效执行该控制。  内部控制评价的基本程序 如前文所说，对企业内部控制的评价可以分为企业层面的评价和流程层面的评价。下文以企业层面的评价为例来说明内控评价的方法和一般步骤。企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行的。 在企业层面所进行的内控评价可循下面的步骤进行： 第一步，明确企业层面内部控制工作的范围。根据COSO框架对内部控制企