内部控制评价的概述

1. 内部控制评价的概述

  对于这一定义，可从以下三个角度进行理解。（一）内部控制评价的主体是董事会或类似权力机构内部控制评价的主体是董事会或类似的权力机构，是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作，但董事会仍对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。对内部控制的设计和运行的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式，董事会可以聘请会计师事务所对其内部控制的有效性进行审计，但其承担的责任不能因此减轻或消除。（二）内部控制评价的对象是内部控制的有效性内部控制评价的对象是内部控制的有效性，所谓内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程角度，内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证；内部控制运行的有效性是指在内部控制设计有效地前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性，如果内部控制在设计上存在漏洞，即使这些内部控制制度能够得到一贯的执行，那么也不能认为其运行有效的。从控制目标的角度来看，内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中，合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规，不进行违法活动或违规交易；资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整，防止资产流失；报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报；经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制；战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度，并适时进行战略调整。评价内部控制设计的有效性，可以考虑以下三个方面，一是内部控制的设计是否做到以内部控制的基本原理为前提，以《企业内部控制基本规范》及其配套指引为依据；二是内部控制的设计是否覆盖了所有关键的业务与环节，对董事会、监事会、经理层和员工具有普遍的约束力；三是内部控制的设计是否与企业自身的经营特点、业务模式以及风险管理要求相匹配。评价内部控制运行的有效性，也可以从三个方面进行考察，一是相关控制在评价期内是如何运行的；二是相关控制是否得到了持续一致的运行；三是实施控制的人员是否具备必要的权限和能力。需要说明的是，由于受内部控制固有局限（如评价人员的职业判断、成本效益原则）的影响，内部控制评价只能为内部控制目标的实现提供合理保证，而不能提供绝对保证。（三）内部控制评价是一个过程内部控制评价是一个过程，是指内部控制评价要遵照一定的流程来进行。内部控制评价工作不是一蹴而就的，它是一个涵盖计划、实施、编报等多个阶段、包含多个步骤的动态过程。

2. 内部控制评价的介绍

内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。

3. 我国内部控制评价的演进及发展趋势

建国以后，我国各单位大都建立了以账户核对和职务分工为主要内容的牵制制度，各单位中或多或少地都存在一些内部会计牵制制度。但总的来看，这些制度比较零散、不系统，而且很多未能真正执行而流于形式，致使单位内部管理低效，控制弱化。

　　20世纪80年代末至90年代初，随着内部控制的发展，内部控制评价开始受到专业人员的关注和使用，但内部控制评价仍停留在对内部管理制度执行的一般了解上，内部控制评价还只是起辅助作用，有的甚至流于形式。此时的内部控制评价只是作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，据以确定实质性测试的性质、时间和范围，还没有作为一项专项鉴证业务而使用，企业自身也没有对内部控制评价产生关注。

　　20世纪90年代后期开始，我国政府才开始积极推进内部控制评价的规范化建设。

　　（1） 1997年1月，审计署颁布的《独立审计准则实务公告第2号——管理建议书》中把“管理建议书”和专门接收委托的内部鉴证服务进行了区分，这表明我国已开始重视内部控制的评价和鉴证。

　　（2） 2001年11月，财政部发布《独立审计实务公告第X号——内部控制审核（征求意见稿）》，后又在2002年2月以中国注册会计师协会《内部控制审核指导意见》的形式予以发布。《意见》对内部控制审核进行了定义（定义为“注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审计意见。”），并且对各方责任进行了界定，指出建立健全内部控制并保持其有效性，是被审核单位管理当局的责任；了解、测试和评价内部控制并出具审核报告，是注册会计师的责任。并明确了内部控制审核报告分为四种类型：无保留意见、保留意见、否定意见和拒绝表示意见。

　　（3） 2000年3月证监会发布《公开发行证券公司信息披露编报规则》，要求商业银行，保险公司、证券公司建立内部控制制度，并对内部控制制度的完整性、合理性和有效性做出说明。同时要求注则会计师对其内部控制制度的完整性、合理性和有效性进行评价，提出改进建议，以内部控制评价报告的形式做出报告，并且对内部控制评价报告的披露作出了规定。2001年10月，中国证监会发布《关于做好证券公司内部控制评价工作的通知》，要求证券公司、商业银行应加强内部控制的稽核、检查与完善，聘请会计师事务所对公司内部控制的完整性、合理性与有效性进行评价，提出改进意见，并出具评价报告。

　　（4） 2004年12月，针对近年来国内商业银行频繁发生重大金融案件，商业银行自身免疫力还不高，内部控制仍存在严重缺陷的现状，银监会发布了《商业银行内部控制评价试行办法》，旨在通过建立一套对商业银行内部控制评价的框架和方法，规范和加强商业银行内部控制的评价，督促其进一步建立内部控制体系，健全内部控制机制，形成风险管理的长效机制。

　　可见，我国正在逐步建立起规范的内部控制评价体系，既有中介机构从审计的角度对企业内部控制的规范，又有监管部门从信息披露的角度对企业内部控制评价的规范，也有反映加强企业内部管理要求的规范；既要求中介机构对企业内部控制作出评价，也要求企业自身作出评价。但总体而言，我国内部控制制度和评价规范的建设起步较晚，已出台的相关规范还有许多不完善之处，如内部控制评价的内容和范围不明确、各部门制定的相关内部控制规范和评价内容互相冲突、缺少统一科学的内部控制评价标准等。