企业内部控制评价标准及设计.docVIP

企业内部控制评价的标准及设计 　　本文系辽宁省教育厅课题“COSO企业风险管理整合框架及其在国有企业的应用研究”及社科联课题的阶段性研究成果 　　【摘要】企业内部控制评价的标准通常是一个框架体系，它必须满足一定的条件。而英美的企业内部控制标准基本上形成了一定的层次，但二者又不尽相同，各有特色。笔者在借鉴其成功经验的基础上，提出对其总体设计的思路。 　　 　　一、企业内部控制评价标准的性质与内容 　　 　　（一）企业内部控制评价的目标 　　简单地讲，企业内部控制评价的目标就是评价企业内部控制的有效性。而内部控制的有效性从根本上来讲是要根据内部控制目标的实现来判定的。而内部控制的有效性又具有时点性、互补性和完整性等特征。 　　（二）企业内部控制评价标准的性质和内容 　　内部控制的有效性，要从其目标的实现情况进行界定。鉴于内部控制目标实现程度的局限性，对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况，而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此，企业内部控制评价标准要解决的问题就是：什么样的内部控制才是有效的内部控制？如果把评价方法也包括在内的话，还要包括如何评价的问题，即评价的方法。当前，对这一问题的解决方法是设计内部控制的一个框架体系，即首先确定内部控制的范围和目标，然后确定一个有效内部控制应当具备的要素，如COSO的《内部控制――整合框架》、Turnbull指南等都是这样一个基本的思路。因此，在制定一个特定背景（如国家）下的内部控制标准时，必然面临的问题是要确定：企业内部控制的范畴与目标；内部控制应当包含的要素；这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题，从而也就引发出另一个问题：什么样的评价标准才是适当的。 　　（三）内部控制评价标准的适当性 　　一个适当的内部控制评价标准至少应当满足以下条件： 　　1.相关性。与所要评价的内部控制的目标相关。 　　2.没有偏见。制定过程遵循了透明的程序并保持更新。 　　3.一致性。可??适当一致地、定性和定量地衡量公司的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。 　　4.可验证性。有适当的评价轨迹，没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程。 　　5.充分完整。没有忽略会改变公司内部控制有效性结论的相关要素。 　　按照这些条件，COSO内部控制框架、企业风险管理框架和Turnbull指南都是适当的内部控制框架或评价标准。 　　（四）企业内部控制评价标准的体系和分类 　　由于不同规模企业的内部控制差别较大，所以，评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制标准。 　　从内部控制评价的整个过程来看，不但要明确什么样的内部控制是有效的内部控制，还要明确如何有效地评价内部控制的有效性。因此，评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。 　　从内部控制涵盖的范围来看，针对范围大小不同的内部控制，可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。 　　 　　二、美英企业内部控制评价标准的体系及特点 　　 　　（一）美国上市公司的内部控制评价标准体系 　　尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准，而是规定了评价标准适当与否的条件，但指出COSO的内部控制框架为适当的标准，PCAOB也以此制定审计准则，从总体上来看，形成了一个层次清晰的体系。 　　1.评价标准。根据适用企业的规模与内部控制的内容分为： 　　（1）COSO《内部控制――整合框架》：适用于一般企业，涉及经营、财务报告和合规三类目标。它由COSO发布，包括5个要素，得到了公司管理层、审计师的认可和广泛应用，也得到了SEC和PCAOB的认可，适用于一般上市公司。它提供了一个识别内部控制要素和目标的整合框架和评价有效性的标准，但没有对评价过程中必须遵循的步骤提出详细的指南。 　　（2）COSO《财务报告内部控制――小规模公众公司指引》：适用于小规模企业，涉及财务报告的可靠性一类目标。它由COSO发布，主要基于内部控制评价的成本效益性考虑，适用于小规模企业财务报告内部控制的评估，它有与《内部控制――整合框架》相一致的原则和特征，内部控制框架不变。目的是应对财务报告目标的唯一需求，但许多原则和特征适用于所有三类控制目标。主要内容包括5个要素，20条原则和79个属性。 　　（3）COSO《企业风险管理――整合框架》：适用于一般企业，涉及战略、经营、财务报告和合规四类目标。它由COSO发布，包括八个要素