企业内部控制评审的方法初探.docVIP

企业内部控制评审的方法初探 　　在西方，内部控制（Internal Control）一词，最早出现在1936年美国会计师协会发布的《注册会计师对财务报表的审查》文告中。至二十世纪八十年代在美国以及其他一些西方国家和组织，内部控制概念的内涵和外延也都发生了较大的变化，内部控制理论已由最初的“内部牵制理论”阶段，发展到“内部会计控制与内部管理控制”时期。 　　1992年，美国反欺诈性财务报告委员会（COSO）发布了《内部控制―整体框架》报告，报告对内部控制的定义为：“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。 　　在我国，许多部门、机构和行业也从自身需要出发对内部控制作出过定义，根据部门或行业不同要求而各有侧重。 　　本文认为：这五大要素和三大目标是紧密相联的，构造了内部控制系统的整体框架。一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大要素等各种信息。另一方面，COSO委员会提出的定义和框架是一个动态概念，其内含也随时间和环境的变化而改变。基于此，本文引用COSO报告关于内部控制的定义。 　　COSO 报告认为，在内部控制系统中所有部门岗位都在其中充当着角色，内部审计也是如此。内部审计既是企业内部控制重要组成部分，又是监督与评价内部控制的主要部门和主要手段。 　　从内部审计角度来看，内部控制评审是指由企业董事会下设的审计委员会组织开展的，以内部审计人员为主，吸收财务、法律、经营等相关业务部门的人员参加，对企业内部控制系统建设、实施情况进行的调查、测试、分析、审核和评价等系统性活动，主要测评企业内部控制系统是否健全、合理，以及执行是否有效。以进一步完善企业的内部控制系统，改进控制方法和手段，降低控制成本，提高内部控制效率，进而提高企业管理水平，保证企业生产经营管理活动健康运行。 　　企业内部控制评审是对内部控制的再控制，它对于改善企业内部控制，完善企业治理机制，防范经营风险，提高经济效益等，有重要意义。企业内部控制评审在方法上主要应把握以下两个方面： 　　 　　一、内部控制评审测试切入点的选择 　　 　　根据内部控制评审的程序，内部控制评审主要是对被评审企业内部控制系统进行健全性测试和符合性测试。一般来说，内部控制评审符合性测试的切入点有三个：一是从测试业务循环入手，采用内部控制评审技术方法获取评审证据，来证实内部控制要素内容的健全性、合理性和有效性；二是直接从评审方案确定的内部控制评审内容入手，采用内部控制评审技术方法获取评审证据，来证实内部控制要素内容的健全性、合理性和有效性；三是从被评审企业内部控制制度入手，采用内部控制评审技术方法获取评审证据，来证实内部控制要素内容的健全性、合理性和有效性。 　　每一个切入点适用范围是不一样的。“从测试业务循环入手”和“直接从评审方案确定的内部控制评审内容入手”适用于已建立书面的内部控制系统的企业，其中“从测试业务循环入手”适用于生产经营方式比较复杂，业务流程比较繁多的企业；“直接从评审方案确定的内部控制评审内容入手”适用于生产经营方式比较单一，业务流程比较少的企业。“从被评审企业内部控制制度入手”适用于未建立书面化的内部控制系统的企业。 　　 　　二、内部控制评审的技术方法 　　 　　具体来讲，健全性测试一般采用询问法、观察法、流程图法、书面文档审阅法、证据检查法等技术方法。符合性测试主要通过业务测试和功能测试两种方式来实现，业务测试是对重要业务或典型业务进行测试，按照规定的业务处理程序进行检查，确认有关控制点是否符合规定并得到执行，以判断内部控制的遵循情况；功能测试是对某项控制的特定环节，选择若干时期的同类业务进行检查，确认该环节的控制措施是否具有一贯性或持续发挥作用。符合性测试常用的技术方法有抽样法、穿行测试法、压力测试法、证据检查法等。 　　 　　（一）抽样法 　　通过抽取一定有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。它需要在制定评审实施方案时确定具体的抽样规模和比例，评审人员从财务凭证和合同的签订入手，对每一业务流程或特定控制点抽取一定数量的业务进行测试，据此来推断内部控制的总体状况。在抽取样本时，所抽样本要有一定的代表性，尽可能包括大、中、小三种金额类型，以便全面反映内部控制的执行情况，可采取整批抽样、分层抽样、系统抽样、随机抽样等方式。 　　 　　（二）穿行测试法 　　穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与