企业内部控制评价方法的比较

时间:2020-10-19 15:10:51 企业管理毕业论文 我要投稿

企业内部控制评价方法的比较

【摘要】 企业内部控制框架提供了一个有效内部控制系统的模板,也是评价内部控制有效性的标准,但是,根据内部控制框架或标准对内部控制有效性进行评价,却可以选择不同的出发点或切进点。使用不同的评价思路和方法,即具体评价法和风险基础评价法是目前采用的两种主要方法,各有上风和特点。
  【关键词】 内部控制;具体评价法;风险基础评价法
  
  评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过公道保证的水平。假如保证的水平处于有效内部控制的区间内,则内部控制是有效的,假如保证的水平低于公道水平,则内部控制是无效的。从另一个角度来看,就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平,假如已经降到了一个适当的水平,则内部控制是有效的;反之,则无效。从内部控制评价本身以及目前的发展情况来看,主要存在具体评价法和风险基础评价法两种方法。
  
  一、具体评价法
  
  在《企业内部控制——整合框架》中,COSO指出,确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判定,这些要素也是有效内部控制的标准。COSO还指出,认定一个主体的企业风险治理是否“有效”,是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判定,构成要素也是判定企业风险治理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC,2003)以及后来发布的治理层评价指南中,都夸大内部控制评价的程序必须足以既能评价财务报告内部控制的设计,又能测试运行的有效性。因此,遵循这个思路,很多企业和事务所都曾经采用过具体评价法。这种方法的基本思路是:以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在评价内部控制的设计有效性,测试内部控制的运行有效性,最后综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判定是否存在重大漏洞(material weaknesses,MW),确定内部控制是否有效。具体评价法的逻辑和程序如图1所示:
  
  这种思路和方法在企业最初进行内部控制建设或日常的评价中应用较多。此外,在SOX法案开始实施时,企业的治理层在评价内部控制以及注册会计师审计内部控制时,基本上都是遵照美国公共公司会计监视委员会在2004年发布的第2号审计准则(PCAOB,2004)执行的,采用的基本上也是这种思路。当然,在具体的运用上,不同的企业和事务所又略有不同。
  这种思路和方法的特点是从控制到风险,即从内部控制到相关目标实现的风险。这种评价思路和方法首先要根据现有的内部控制框架评价企业内部控制的设计和运行,识别出控制缺陷,然后判定是否为实质性漏洞,从而判定内部控制的有效性。评价运行有效性可以采用测试的方法确定相关的内部控制是否得到了有效实施,从理论和实务上来说不存在太大的题目,而评价设计的有效性在该方法中则是对照内部控制框架或标准进行的,所以,最关键的题目是如何对照企业内部控制框架或标正确定内部控制设计的有效性。这种对照内部控制框架或标准判定设计有效性的思路应当是来自于COSO的《企业内部控制——整合框架》等报告中提出的控制的完整性概念。COSO在这个报告中明确指出,内部控制框架的这些组成要素和标准适用于整个内部控制系统,或者是一类或多类目标。当考虑任何一类目标的控制时,例如有关财务报告的控制,所有五个要素都应该满足才能得出有关财务报告的控制是有效的结论。但是,内部控制的组成要素之间具有相互补充、相互渗透的关系,尽管五个组成要素都应该被满足,但是这并不意味着在不同的企业中每个组成要素都得到同样的执行。不同组成要素之间存在某种平衡,由于内部控制能够满足多个目标,一个组成要素中的控制可能会满足另外一个组成要素范畴内的控制需要实现的目标。而且,控制降低风险的程度是不同的,所以,效果有限的多个控制一起实施可以达到满足的效果。