基于内部审计为主体的内部控制评价标准与指标体系的构建

基于内部审计为主体的内部控制评价标准与指标体系的构建

内部控制是为实现适当目标提供合理保证的过程。内部控制能否实现所定目标，则依赖于内部控制的有效设计与有效运行，而要确保内部控制设计适当与运行有效，必须加强对内部控制的评价。我国虽然已经出台一些关于内部控制评价方面的规制，但仍缺乏具体的评价标准以及明确的评价指标体系。一、内部控制及其评价的内涵与意义关于内部控制的定义众说纷纭，其中最具影响力的要属COSO委员会1992年报告，即《内部控制——整体框架》中提出的定义“内部控制是受企业董事会、管理当局和其他职员的影响，旨在取得：经营效果与效率；财务报告的可靠性；遵循法规等目标而提供合理保证的一种过程。”该报告将内部控制要素确定为控制环境、风险评估、控制活动、信息与沟通、监控。此报告提出后，COSO通过进一步的研究发现：不同国家的不同企业都在应用各种各样的管理框架，这些管理框架有的关注于狭义的风险管理，有的侧重于特别的行业或特定类型的风险管理，有的关注风险的减少而非风险的管理。COSO认为，对管理者来说，一个非常重大的挑战就是确定某个组织在努力创造价值的过程中准备承受多大的风险。而制定统一定义、能够提供主要原理与概念、具有明确的方向与指南的风险管理框架将有助于企业迎接这一挑战。基于以上认识，COSO于2004年9月发布《企业风险管理框架》（以下简称“ERM”）的研究报告。ERM扩展了内部控制框架中风险的要素，将其变成了四个要素：目标设定、事件识别、风险评估以及风险应对。至此，ERM的内部控制要素拓展成了八个，即内部控制环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、内部监督。COSO委员会两次报告的不同之处用图示反映如下：一个设计适当且运行有效的内部控制、能够合理保证报告的可靠性、经营的效率和效果以及对法律法规的遵守，而要确保内部控制设计适当且运行有效，则依赖于对内部控制的评价。企业内部控制评价就是对内部控制设计的适当性与运行的有效性进行的检测。从动态的观点来看，内部控制的建立、执行和评价三者共同构成一个有机整体，它是促使内部控制能够得到不断完善的运作模式，只有三者之间高效互动，内部控制的目标才能得以实现。其中内部控制的评价在内部控制建立、执行过程中起了承前启后的重要作用二、我国关于内部控制评价的一些规制内部控制评价是确保组织建立与实施的内部控制能够实现控制目标的合理保证。组织应当根据国家有关法律法规的要求，结合组织自身实际情况，对战略目标、经营管理的数率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。近年来，我国关于内部控制评价方面的规制主要有：1.《企业内部控制基本规范》，作为内部控制评价的一般标准，适用于上市公司及大型企业；中小型企业内部控制评价的一般标准，可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。2.《中国内部审计准则第5号——内部控制审计》，用来规范和指导内部审计机构和人员对组织内部控制进行的审查与评价。3.《中国内部审计准则第12号——遵循性审计》，用来规范和指导内部审计机构和人员对组织遵守相关法律、法规、计划、预算、程序、合同等遵循性标准的情况进行的审查与评价。4.《中国内部审计准则第16号——风险管理审计》，用来规范和指导内部审计机构和人员对组织内部控制中的风险管理要素的相关问题进行审查与评价。三、基于内部审计为主体的企业内部控制评价标准的设计组织可以使用内部审计人员对内部控制的设计与运行进行专门的评价。若以内部审计作为内部控制的评价主体，在实际评价工作中，对被审计单位的内部控制进行评价，必须要有一套客观可行的基本参照标准。这套标准不仅可为审计人员发表评价意见以及企业自我评估和改进其内部控制提供依据，还可以为各方面的沟通与理解提供统一的基础。我国在内部控制的建设与完善方面虽已进入起步阶段，但有关内部控制的标准和评价体系依然薄弱，制约了企业内部控制的有效运行。因此，建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系势在必行。（一）设计内部控制评价标准时应考虑的因素。一个适当的内部控制评价标准至少应当满足以下条件：1.相关性。与所要评价的内部控制的目标相关。2.没有偏见。制定过程遵循了透明的程序并保持更新。3.一致性。可以适当一致地、定性和定量地衡量公司的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。4.可验证性。有适当的评价轨迹，参与评价的人能够沿着这个轨迹重复评价或评估评价过程。5.充分完整。没有忽略可能改变公司内部控制整体有效性结论的相关要素。由于不同规模企业的内部控制差别较大，所以，评价标准的设计还应当考虑企业规模对内部控制的影响。（二）基于内部审计为主体的内部控制评价标准的设计。关于内部控制的评价内容，应包括对与实现整体控制目标相关的内部环境、风险管理、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。评价应着重从两个方面进行：一是设计适当性；二是运行有效性。内部控制设计适当性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性，是指现有内部控制按照规定程序得到了正确执行。内部控制缺陷可能形成于设计环节，也可能形成于运行环节。因此，内部控制的缺陷可以分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标；运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。如果存在下列情况之一，企业应当认定内部控制存在设计或运行缺陷：1.未实现规定的控制目标。2.未执行规定的控制活动。3.突破规定的权限。4.不能及时提供控制运行有效的相关证据。根据内部控制缺陷影响整体控制目标实现的严重程度，可以将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞，以下统称重大缺陷）。重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形；重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。如果判定的内部控制缺陷属于下列情况，则认为此缺陷为重大缺陷：1.影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。2.针对同一细化控制目标所采取的不同控制活动之间的相互作用。3.针对同一细化控制目标是否存在其他补偿性控制活动。赋予内部控制设计适当与运行有效性的一般评价标准就是：对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形。四、我国企业内部控制评价指标体系的设计（一）内部控制评价机理研究。内部控制评价的机理如右上图所示：其中评价目标是这一系统的逻辑起点，评价主体依照评价目标，运用一定的评价理论与方法，对内部控制要素实施测量，并将测量值与预先设定的标准进行比较，以此来评判组织内部控制系统的性态，并将其作为反馈意见，帮助企业所有人员明确自己存在的问题，未来的工作任务、职责和努力方向，最终促使组织内部控制逐步向前推进。（二）内部控制评价指标体系的设计。对于内部控制的综合评价可以采用两级综合评价法的定量模型。这一模型运用的基本思路是：首先，通过内审人员打分的办法，对内部控制的各二级指标因素进行量化，形成对二级指标评价集；其次，将对各因素的评价综合成对相应一级指标的评价集；第三，将该评价集综合成对组织内部控制的等级评价值；最后，将各评价集测定值与理想值进行比较，判断组织内部控制所属的等级区域，以此确定组织内部控制设计与运行的有效性。其具体步骤如下：表1内部控制评价指标体系1.变量设定。内部控制目标是否能够实现，不仅要看其建立是否适当，而且还要看组织是否能够有效运行。因此，在对内部控制进行评价时，应构造一个评价集来计算内部控制各评价指标量值，以此确定内部控制的等级类型，并最终帮助组织寻找有效措施，促使内部控制的建立与应有功能的发挥。我们用V表示评价测量值，考虑到对二级指标内涵解释的合理性要求，本文将二级指标的评价设为“符合要求”、“基本符合要求”和“不符合要求”三个等级，要求内审人员就上述三个档次进行打分，为便于表示，用dk表示各二级指标因素的评分值，其中K的取值为1、2、3。2.评价模型的构建。Xij=∑dk/n（其中n为实际参加打分的人数）Xi=∑Xij*WijV=∑Xi*Wi3.内部控制等级的综合评判。为便于实施具体评价，通常事先确定一个如表2的内部控制评价等级标准，同时结合各级指标的具体内涵，将定量与定性分析结果综合成对企业内部控制的测量值，尽可能使评价具有一定的科学性和合理性。表2内部控制等级评定表具体步骤如下：(1)内部控制设计适当性的判断。根据内部控制在被审计单位各业务循环过程、各操作环节和所有部门的各岗位的渗透程度，看其与组织管理系统中的其他子系统是否能相互配合、是否具有防范风险的功能，以及能否很好地体现经济性的要求等情况，将设计适当性划分为“适当”、“基本适当”和“不适当”三个档次，当V≥90分，属于理想值的范围，当且仅当一个二级指标分值稍低但不低于该项分值的90%，设计适当性方面评价结果为适当，三者缺一则降一个等级；当V值为60-89分，各要素的分值处于理想值65%-85%的范围，且各二级指标得分值不低于该项分值的60%，设计适当性方面评价结果为基本适当；当V值为60分以下，设计适当性方面评价结果为不适当，说明内部控制存在严重缺陷，重要业务领域或操作环节缺乏相应的内部控制，业务发展缺乏管理控制，潜在风险已影响企业的生存与发展。(2)内部控制运行有效性的判断。判断内部控制运得是否有效，通常应考虑以下几个方面：a.最高业务层制定的各业务规章、发布的法令是否符合国家的有关规定和，并具有一定权威性；b.内部控制在业务经营过程中，能不能真正落到实处，能否有效防范风险，并使其成为一个不断发展、不断深化、不断完善的过程；c.内部控制是否利于提高企业经营效率和最终实现企业目标。结合以上评定标准，可将运行有效性分为“有效”、“基本有效”、“无效”三个等级。当各项内部控制得到认真贯彻执行，所有业务领域和操作环节能有效地发现、管理、控制各种风险，且V、Xi、Xij值与设定的理想值基本一致时，为运行有效，否则降一个等级；当各项内部控制基本得到贯彻执行，重要业务领域和操作环节所承受的风险得到控制，但有局部违规操作现象，V值等于基本适当时的量值时，为运行基本有效；当二级指标中的各单项指标得分值低手该项分值的60%，所设计的内部控制没有得到有效运行，不能有效防止和控制重大风险，很可能导致管理失控或业务损失，并危及企业的经营，则为运行无效。(3)内部控制的综合评定。上述关于内部控制设计适当与运行有效性的判断是分别就内部控制的设计和运行构成的二维向量进行的单方评价，而在实施具体评价时，还应当将它们进行综合，以保证内部控制评价的科学性和合理性。综合评价结果的确认标准为：a.只有当内部控制设计评价结果达到适当标准以及运行评价结果均达到有效标准时，才能将内部控制的综合评价结果确定为正常控制性态，表明组织内部控制设计与运行状况良好。b.若内部控制设计评价结果达到基本适当标准，运行评价评价结果达到有效或基本有效标准，则内部控制的综合评价结果均应确认为基本正常性态，表明内部控制在某些环节存在问题（设计方面的缺陷或没有得到严格执行），但并非重大问题。c.当内部