浅议风险导向内部控制评估.doc

浅议风险导向内部控制评估【摘要】本文对内部控制评估的含义、目标、对象及原则进就行了简单介绍，阐述了风险导向内部控制评估程序，提出了进行风险导向内部控制评估应注意的几个问题。 【关键词】风险导向；内部控制评估 一、内部控制评估的涵义 根据COSO框架的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标：遵守有关法律法规和组织内部规章制度；信息的真实、可靠；资产的安全、完整；经济有效地使用资源；提高经营效率和效果；实现企业战略。 内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的，是指为保障内部控制系统的有效性，由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况，发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员（如事务所）进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制，共同构成公司内部控制评估体系。 二、内部控制评估的目标、对象与原则 （一）内部控制评估的目标 内部控制评估的目标应从内部控制的目标出发，来对内部控制的设计和执行进行评价，考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。 （二）内部控制评估的对象 内部控制评价的对象是内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看，内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证；内部控制运行的有效性是指在内部控制设计有效地前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性，如果内部控制在设计上存在漏洞，即使这些内部控制制度能够得到一贯的执行，那么也不能认为其运行有效的。 从控制目标的角度来看，内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中，合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规，不进行违法活动或违规交易；资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整，防止资产流失；报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报；经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制；战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度，并适时进行战略调整。 （三）内部控制评估的原则 企业实施内部控制评估至少应当遵循以下原则： 1.全面性原则。评估工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。 2.重要性原则。评估工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。 3.客观性原则。评估工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。 三、风险导向内部控制评估的程序 （一）确定风险领域，制定内控评估计划 内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等，结合企业管理目标，进行充分的调查，可采用问卷调查、座谈会等方式，初步确定企业所面临的风险，对重要性做出初步判断编制整体审计计划。 风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前，审计人员应对企业的风险进行识别、分析并分类，对组织目标实现有重要影响的风险事项进行重点评估。 （二）对确定的风险事项进行评估 评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据，确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在