導語：如何才能寫好一篇如何理解內部控制的定義，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

1、《內部會計控制基本規范（征求意見稿）》（以下簡稱《規范》），涉及到兩個最基本的概念：內部控制和會計控制。《規范》題為《內部會計控制基本規范》，但全文未對‘響部會計控制“作出界定。在總則第二條關于內部控制的定義中也未涉及”內部會計控制“和”內部控制“的關系，造成存在以下問題：（1） ”內部會計控制“和”內部控制“兩個概念混用，如規范名為《內部會計控制基本規范》，但從第

二章至第五章的章標題看均與“會計控制”的口徑不符，把“會計控制”等同于“內部控制”。（2）標題與內容的不一致。在內部會計控制的總標題下，《規范》中各章的內容已經大大超出內部會計控制的范疇，但又未包攬內部控制的全部內容。而會計控制是內部控制的重要內容但不是其全部內容。我國理論界與實務界對內部會計控制只是內部控制的重要組成部分這一點應當是非常明確的。因此，建議《規范》要對二者予以明確區分和界定，將總標題、各章的章標題以及與之相應的內容按擬規范的范圍

加以修改，做到總標題、章標題和各章內容之間口徑一致。

2.“內部控制”概念的界定。《規范》第二條指出“本規范所稱內部控制是指單位為了保證各項業務活動的有效進行、確保資產的安全完整、防止欺詐和舞弊行為、實現經營管理目標等而制定和實施的一系列具有控制職能的方法、措施和程序”。這一條款存在兩個問題：其一，既然內部控制包括會計控制，則其非常重要的目的之一是要“保證會計信息的真實、合法、完整”，而上述關于內部控制的定義中只提到了“確保資產的安全完整”，末提及保證會計信息可靠性的要求。其二，這一條款中關于“經營管理目標”的提法與第三條中關于本規范適用范圍的規定相沖突。因為在第三條中提到“本規范適用于國家機關、社會團體、公司、企業、事業單位和其他經濟組織（以下統稱單位）”。從國家機關、社會團體和事業單位的性質看，這幾類單位與企業不同，它們有工作目標、管理目標，卻未必有“經營” 目標，所以，建議刪去“經營”二字。

二、《規范》的適用范圍問題

《規范》第三條指出“本規范適用于國家機關、社會團體、公司、企業、事業單位和其他經濟組織（以下統稱單位）”。我們認為，這一條款存在兩個問題：其一，將國家機關、社會團體和事業機關與公司、企業和其他經濟組織放在一起有欠妥當，因為《規范》中有許多條款僅適用于公司和企業。其二，若本《規范》適用于所有單位，建議考慮兩種方案：一是分兩類進行規范，－類為政府及非營利組織（國家、社會團體、事業單位和公益項目），另一類為營利組織（公司。企業和其他經濟組織）；二是若仍統一放在一起規范，則要分清共同適用的條款和分別適用的條款。

三、單位負責人的責任問題

《規范》第五條指出“單位負責人對本單位內部控制的建立健全及有效實施負責。”這一條款擬明確內部控制的責任，但規定過于簡單和籠統。首先，內部控制的建立與實施責任不僅在于單位領導，單位的部門領導、管理人員、內部審計人員乃至組織中的每一個人都對內部控制負有責任。若論“領導責任”除“單位負責人” 外，是否還應包含各單位內部有關職能部門的領導，如財務主管或會計主管等。其次，一個單位內部控制的設計與運行受制于成本與效益原則，它不可能是完美無缺的，不是（也不可能）消除任何濫用職權的可能性，而是要建立防止濫用職權投入的成本與濫用職權的累計額之間呈合理水平的機制。

內部控制可能將單位的內控風險降到合理水平，但并不能消除風險。它只能為各單位實現其目標提供“合理保證”而非“絕對保證”。事實上，即使是設計完善的內部控制也有可能因為各種原因而削弱或失效，單位負責人如何對“無過失”情況下所出現的損失負責？最后，對單位負責人應如何負責、負何責任也不夠明確，建議對責任問題要再予考慮并加以明確，以便操作。

四、內部控制的內容問題

《規范》第三章第八條提出“內部控制的內容主要包括對貨幣資金、籌資、采購與付款、實物資產、成本費用、銷售與收款、工程項目、對外投資、擔保等經濟業務活動的控制”。其實，內部控制內容可以有兩種理解，一是指內部控制本身的內容，即本規范第二條所述的“內部控制是指為了保證……而制定和實施的一系列具有控制職能的方法、措施和程序”中的方法、措施和程序具體包含的內容；二是指內部控制的客體或對象。顯然本條款反映的是第二種理解。雖然這里反映的僅僅是內部控制的主要內容，但對照本規范第二條內部控制的定義和第三條適用范圍的解釋，第八條內容尚不夠完整。這一條款反映了對企業主要經濟業務活動的控制，卻沒有反映對管理活動的控制，也沒有反映對其他各類單位的財政財務收支活動和各種行政、業務管理活動的控制，建議予以增補。

五、內部控制的方法問題

l、《規范》第十八條列示了內部控制的主要方法：組織控制、授權批準控制、會計系統控制、預算控制、財產保全控制、人員素質控制、風險控制、內部報告控制、電子信息系統控制等。上述內容仍不夠完整，建議加上文件記錄控制和內部審計。因為，文件記錄控制是有關內部控制的基礎性控制，內部審計則是對內部控制進行的再控制，二者對內部控制的有效實施是必不可少的。

2.《規范》第十九條組織結構控制要求貫徹不相容職務分離的原則，合理設置內部機構，科學劃分職責權限，形成相互制衡機制。但此款沒有涉及企業法人治理結構問題。要使內部控制在公司企業中得到有效實施，應強調完善法人治理結構，所以建議在本條中要予以明確。

3、《規范》第十九條考慮不相容職務分離問題時，在相關控制點還要注意直系親屬回避問題。

六、內部控制的檢查問題

1、《規范》第二十八條指出“單位應當重視內部控制的監督檢查工作，由專門機構或指定專門人員具體負責內部控制執行情況的監督檢查，確保內部控制的貫徹實施”。此條中的“專門機構”和“專門人員”不明確，可以進一步明確，并注重內部審計的作用。

2.《規范》第二十九條指出“單位可以聘請中介機構對本單位內部控制的建立健全情況進行評價，接受委托的中介機構應當對委托單位內部控制中的重大缺陷提出書面報告”。內部控制的建立和完善需要單位內外部形成合力予以監督方能保證，尤其是外部的強制性監督。所以，我們認為本款所用“可以聘請”和“報告重大缺陷”的力度不夠，建議改為“必須聘請”，以強制審計取代單位自愿要求的外部審計。同時，上市公司的審計結果還應當“對外”報告。

篇2

綜述

PCAOB多次強調有效的內部控制結構的重要性。委員會還特別說明，“有效的財務會計報告內部控制對公司管理其事務，盡到其對投資者的責任至關重要。公司管理當局、公司所有者-投資公眾-和其他相關方都需依賴公司呈報的財務信息來制定決策。”

委員會在其宣布采用第二號準則的公告中還指明，財務會計報告內部控制的審計是一個牽涉面很廣的程序，維持有效內部控制，包括定期評估都是有成本的。然而委員會強調開發、維護和提高內部控制系統所帶來的利益是多樣的，同時，“主要的利益……是給公司、公司管理當局、董事會和審計委員會、所有者和其他利益關聯方提供了一個財務會計報告的可靠基礎。”與準則草案相比，新準則在成本效益原則方面邁進了一大步。

管理當局的責任

準則指出了審計師執行一項符合要求的內部控制審計的必要條件。正如SEC在實施薩班斯法案404節的規定中所要求的，管理當局必須：

-對公司財務會計報告內部控制的有效性負責；

-使用適當的控制標準（如COSO標準），評價公司財務會計報告內部控制的有效性；

-提供足夠的證據，包括記錄編制來支持評價，以及

-在公司最近的財年末，就公司財務會計報告內部控制的有效性出具書面評價。

審計師如果得出管理當局沒有履行上面提到的責任，不能完成對內部控制的審計，就應當拒絕表示意見。

管理當局的評價程序

一個嚴格的內部控制有效性的評價程序應該提供信息幫助審計師理解公司的內部控制以及規劃完成內部控制審計的必要工作。根據第二號準則的條款，管理當局評價內部控制有效性的程序應包括：

-確定需要測試的控制措施，包括所有與主要賬戶和財務報表披露相關的控制措施；

-評價控制失敗導致財務報表錯報的可能性、錯報的重要程度、以及其它控制措施可能達成相同控制目標的程度；

-決定評價中應包括的特定地區或經營單位（適用于那些多場所或經營單位的公司）；

-評價控制措施的設計和實施有效性；

-確定已識別的內部控制的缺失是否構成了重要缺失或實質性薄弱；

-將發現傳達給相關方；

-對發現是否支持其評價進行評估。

有一點需要指出的是，管理當局不能使用審計師的程序或相關發現來支持其對內部控制有效性的評價。

管理當局的記錄編制

管理當局所編制財務會計報告內部控制記錄的深度和廣度是管理當局、審計師和內部控制顧問需要深思熟慮的一個日常主題。全面且清晰的記錄編制有利于管理當局對內部控制進行有效的評價和評估，同時為審計師發起審計程序提供一個堅實的平臺。在確定管理當局的記錄編制是否支持其評價時，審計師應評估記錄編制的，包括：

-控制措施的設計，這些控制措施應覆蓋所有與關鍵性賬目和財務報表披露相關的管理當局聲明；

-關于重要交易如何發起、授權、記錄、處理和報告的信息；

-關于交易過程的足夠充分的信息，足夠充分指的是能夠識別因錯誤或欺詐導致的實質性錯報的發生；

-為預防和偵查欺詐而設計的控制措施；

-期末會計報告過程的控制措施；

-資產保全的控制措施；以及

-管理當局測試和評估的結果；

二號準則指出，管理當局的記錄編制可以是紙質、格式或其它形式；記錄編制的信息也可以是多樣的，包括政策指南、流程模型、流程圖、職位描述等。準則沒有提供客觀的來確定管理當局記錄編制的充分性。但需要注意的是，記錄編制的缺乏被認為是控制措施的缺失，審計師應就其嚴重程度和對審計師報告的可能進行討論。

通過實際演練理解控制措施

二號準則要求審計師詢問、觀察執行控制措施的員工，檢查實施控制措施的文檔或實施后的文檔記錄，并且將這些文檔與會計記錄進行比較。通過這些方式審計師能夠理解公司財務會計報告的內部控制。準則還進一步指出，“審計師達成這一目標最有效的方式就是對公司的關鍵流程進行實際演練。”

在實際演練中，審計師可以從發起點跟蹤交易和事項直到財務報表，這個過程就包括公司的會計程序。準則要求審計師每年必須就每一關鍵交易類別執行至少一次實際演練，審計師應獨立完成此項演練。準則中定義的關鍵交易類為那些能夠給公司財務報表帶來顯著影響的業務。準則指出實體的期末財務報告程序就是一個關鍵性程序。

評價審計委員會監管的有效性

準則也強調了審計委員會在幫助制定“高層基調”時所起的關鍵性作用。審計師應評價發行人審計委員會的有效性，作為其對控制環境和內部控制的理解和評價的一個組成部分。審計委員會對外部財務會計報告和內部控制無效/低效的監管被認為是一個明顯的缺失或內部控制實質性薄弱的標示。另外，準則要求將審計委員會監管無效的實例直接呈報給公司的董事會。

影響審計委員會監管有效性的因素包括管理當局成員的獨立性，委員會責任的清晰表述，管理當局和審計委員會對責任的理解程度以及獨立審計師和內部審計師的交流程度。

測試操作有效性

準則要求審計師獲得控制措施關于操作有效性的證據。為了遵守準則的規定，審計師就需要測試這些控制措施的操作有效性。

在確定一項控制措施是否具備操作有效性時，審計師不僅應評價控制措施是否依照設計操作，還應該評價執行控制措施的個人具備必要的授權和資格。另外，在第二號準則下，審計師應在足夠長的時期里獲取控制有效性的證據。期間執行的任何測試都應及時更新以確保所測試的控制措施在年末仍然具備操作有效性。

利用他人的工作

發行人和審計師最為關注的另一個領域是審計師被允許使用他人工作的程度。在這點上，二號準則與準則草案保持了一致，準則要求在總體上，審計師自身的工作應為審計意見提供首要證據。準則定義的其他方工作包括內部審計師、公司其他個人和在管理當局或審計委員會授權下的第三方的工作。

準則指出，審計師不應使用其他人的工作來測試與控制環境相關的控制措施，包括為了預防和偵查欺詐制定的控制措施和應執行的實際演練。但準則允許審計師使用其他方提供的信息技術一般性控制措施和期末財務報告程序的相關控制措施。而在準則草案中則要求這些方面的審計工作均要由審計師執行。

準則草案中定義了三類控制措施和審計師被允許使用其他方工作來形成結論的程度。而第二號準則以一個概念框架取而代之。這一框架重點在于控制措施的性質和執行程序個人的能力和客觀性。二號準則明確指出，如果管理當局在測試操作有效性時使用自我評價程序，則執行評價的個人不應視為客觀，因此，獨立審計師不能使用其工作。

評估測試結果

準則要求審計師評價所識別的控制措施缺失的嚴重程度，這點與準則草案保持了一致。實際上，在2003年10月準則草案以來，委員會就何謂“顯著的缺失”展開了多次討論。委員會指出，在反對草案“顯著缺失”之定義的反饋意見中，多數認為該定義的起點過低，如果依照草案規定，大多數內部控制的缺失將被確認為“顯著的缺失”。

二號準則保留了草案中對“顯著缺失”和實質性薄弱的定義。在解釋其定義這些項目的用意時，委員會指出，控制的缺失不應被孤立地評價，特定缺失的嚴重程度應同時考慮補救措施的。準則在一定程度上回應了草案的反饋意見，但在確定構成“顯著缺失”或實質性薄弱的控制缺失時還需要職業判斷。

依照二號準則的規定，以下方面的缺失通常被認為是“顯著的缺失”：

-對政策選擇和的控制措施；

-反欺詐程序和控制措施；

-對非常規和非系統化交易的控制措施；

-對期末財務會計報告程序的控制措施；

另外，以下情況屬于“顯著缺失”以及實質性薄弱存在的明顯標示：

-為糾正錯報項目，對以前所財務報表進行重述；

-審計師在當年審計中發現公司沒有識別的實質性錯報；

-審計委員會的監管無效；

-內部審計或風險評估機制的無效，如果這些職能對于公司財務會計報告程序非常關鍵的話；

-在受監管程度較高的公司，遵守法規的機制的無效。這一項只適用于守法機制的無效給財務會計報告的可靠性帶來實質性影響的情況；

-發現任何程度上的高層管理人員的欺詐；

-以前所發現的缺失在一段合理的時間后仍然沒有被糾正；

-控制環境的無效；

控制缺失與審計師意見

準則要求審計師在對財務會計報告內部控制執行審計后兩類意見，一、關于管理當局的評價；二、關于內部控制的有效性。在這一方面準則與草案有別。準則提供了實例來解釋兩類意見的區別。

當發現財務會計報告內部控制的實質性薄弱時，準則要求審計師出具控制有效性的否定意見。

生效日期

如前所述，二號準則將在美國證券交易委員會（SEC）的最后審批后生效。審計師隨后應依照準則審計上市公司管理當局就財務會計報告內部控制有效性出具的評價。SEC近期推遲了對交易法12b-2下所定義“加速備案公司”的內部控制有效性評價要求。原定的6月15日被推遲到2004年11月15日。非“加速備案公司”，包括小企業和外國企業將在2004年7月15日后開始應用相關規定。

篇3

關鍵詞：內部控制；路徑；風險管理

    近年來，國際上一些著名企業相繼爆出丑 聞，造成極其嚴重的后果。我國企業也為內部 控制和風險管理的缺失付出了慘痛的代價，如 國內著名企業中發生的中航油（新加坡）公司 破產倒閉事件以及中行、農行、興業、浦發等銀 行巨額虛假貸款、大額資金失蹤等舞弊案頻頻 曝光。究其原因，內部控制存在缺陷是導致企 業不能及時發現和有效控制經營風險，并最終 鋌而走險、欺騙社會公眾和投資者的重要原 因。在對這些財務舞弊和經營管理失敗案例進 行反思后，人們逐漸認識到“有控則強、失控 則弱、無控則亂”的道理，控制失靈難以使事業 持久、基業常青。建立完善的且行之有效的企 業內部控制機制已成為企業的當務之急.

    一、內部控制的內涵 人們對內部控制的定義經歷了從簡單到 復雜、從靜態到動態、從以制度為本到以人為 本的一種邏輯演繹，體現了人們對內部控制認 識的逐漸深化，加深了人們對內部控制的進一 步理解，從而使人們對內部控制這一客觀事物 的認識更能貼近事物的本原。所謂內部控制， 是由企業建立的，通過約束和激勵等手段，以 保障企業各利益相關者的行為能夠按契約的 要求進行，并能夠促使契約自我優化的一種系 統化的機制，其目的是為了實現企業目標.

    二、內部控制發展歷程 對內部控制的認識，經歷了一個逐漸發展 的過程。美國的內部控制經歷了從內部牽制到 二要素法、三要素法到五要素法，日趨完整和 深入，最終發展為全面風險管理框架模式.

    1、內部牽制。內部控制的最初形式是內部 牽制，內部牽制以賬目間的相互核對為主要內 容，并實施崗位分離，內部牽制機制在減少錯 誤和舞弊行為上起到了十分重要的作用.

    2、二要素法。隨著經濟的發展和企業組織 規模的擴大，人們發現內部牽制已經越來越不 能適應大型企業需要，因此對內部控制的研究 也越發深入，美國注冊會計師協會的審計程序 委員會于1958年10月的《審計程序公告 第29號》將內部控制劃分為會計控制和管理 控制，內部控制劃分為二要素形式.

    3、三要素法。1988年美國注冊會計師協 會的審計準則委員會《審計準則公告第 55號》，該公告以“內部控制結構”代替“內部 控制制度”，具體包括三個要素：控制環境、會 計制度、控制程序.

    4、五要素法。1996年美國注冊會計師協 會《審計準則公告第78號》，全面接受 COSO報告的內容，新準則將內部控制定義為： “由一個企業的董事會、管理層和其他人員實 現的過程，旨在為下列目標提供合理保證：財 務報告的可靠性、經營的效果和效率以及符合 適用的法律和法規”。該準則將內部控制劃分 為五種要素：控制環境、風險評估、控制活動、 信息與溝通、監控.

    5、全面風險管理框架。2003年7月美國 COSO委員會頒布了企業風險管理框架的討論 稿，并于2004年4月頒布正式稿。將企業風險 管理的構成分為內部環境、目標制定、事項識 別、風險評估、風險反應、控制活動、信息和溝 通、監控等八個相互關聯的要素，各要素貫穿 在企業的管理過程之中.

    三、企業風險管理整合框架的諸要素構成 1、內部環境。內部環境是企業風險管理其 他構成要素的基礎，為其他要素提供約束和結 構。它影響著戰略和目標的制定、經營活動的 組織以及風險的識別、評估和應對，它還影響 著控制活動、信息與溝通體系以及監控措施的 設計與運行。內部環境受企業歷史和文化的影 響，包含許多要素，包括風險管理理念、風險容 量、董事會監督、主體中人員的誠信、道德價值 觀和勝任能力以及管理者分配權力和職責、組 織員工的方式.

    所有這些要素都很重要，但對每個要素的 強調程度會因企業而異。然而，董事會是內部 環境的一個關鍵部分，它對其他的內部環境要 素有重大影響。因為董事會對管理者獨立性、 經驗、才干、敬業等方面的監督與審查，對企業 來說至關重要。要想使內部環境有效，董事會 中的獨立外部董事必須至少占多數.

    內部環境的另一關鍵要素是企業的風險 管理理念。一個企業的風險管理理念是一整套 共同的信念和態度，它決定著該企業在做任何 事情（從戰略制定和執行到日常經營活動）時 如何考慮風險.

    2、目標設定。企業在既定的任務和背景 下，制定戰略目標、選擇戰略，并制定相關目 標，將其細分至企業的方方面面，與戰略保持 一致并相聯系。企業必須先有目標，管理者才 能識別影響它們實現的潛在事項。企業風險管 理確保管理當局采取恰當的程序去設定目標， 確保所設定的目標支持和切合該企業的使命， 并與它的風險容量或風險容限一致.

    3、事件識別。管理當局必須識別可能對企 業產生影響的潛在事項。潛在事項具有負面的 或正面的影響，或兩者兼而有之。具有潛在負 面影響的代表風險，管理者要對之進行評估和 做出反應。相應地，風險被定義為事項發生并 對目標實現產生不利影響的可能性。具有潛在 正面影響的事項代表機會。代表機會的事項引 導管理者制定戰略和相關目標，以便采取行動 抓住機會.

    4、風險評估。風險評估使企業考慮潛在事項如何影響目標的實現。管理當局應從兩個角 度對事項進行評估：可能性和影響，并且通常 采用定性和定量相結合的方法。在不要求定量 化的地方，或者在定量評估所需的可靠數據無 法取得或獲取和分析數據不具有成本效益時， 管理者通常采用定性評估技術。定量技術精確 度更高，通常應用在更加復雜的活動中，以對 定性技術進行補充。評估風險時既要考慮固有 風險，也要考慮剩余風險。固有風險是管理當 局沒有采取任何措施來改變風險的可能性或 影響的情況下，一個企業所面臨的風險。剩余 風險是在管理當局應對風險后所殘余的風險.

篇4

PCAOB No.2規定：重要缺陷是一種控制缺陷，或者是一系列控制缺陷的集合。這會對公司對外公布的財務數據的可靠性產生影響，使得內部控制具有微小可能性不能防止和發現年報和中報中存在的不合理錯報；而重大缺陷是一種重要缺陷或重要缺陷的集合，使得內部控制具有微小可能性不能預防和發現中報和年報中的重大錯報。

而PCAOB No.5規定：重要缺陷是與財務報告相關的內部控制的缺陷或缺陷的集合，雖然重要性方面不如重大缺陷，但足以引起公司財務報告監管負責人的關注。重大缺陷是與財務報告相關的內部控制的缺陷或缺陷的集合，并具有導致公司年報或中報的重大錯報不能被預防和查出的合理可能性。

根據PCAOB No.2和PCAOB No.5對“重要缺陷”和“重大缺陷”的定義，我們可以看出，PCAOB No.5對兩種缺陷的闡述做了如下修正：

一、用“合理可能性”替換“微小可能性”

PCAOB No.2中定義“重要缺陷”和“重大缺陷”時，采用的是美國財務會計準則委員會（FASB）第5號聲明《或有事項》中對可能性的描述，即將未來事件發生按其發生的可能性分為“很可能”、“合理可能”和“微小可能”,所以PCAOB No.2把缺陷定位在錯報發生的“微小可能”上。FASB的第5號聲明指出：如果事件發生的可能性既不是“合理可能”，也不是“可能”，那么就是“微小可能”。但是一些審計師和財務報表編制者將“微小可能”錯誤地理解為遠低于“合理可能”的可能性，這就導致了審計師和財務報表編制者在評估錯報發生的可能性時把PCAOB最初設定的最低標準又進一步降低了。另一方面如果把上述3種可能性看作是連續的風險范疇，那么有些錯報發生的可能性會介于“微小可能”和“合理可能”之間，這樣就增加了判斷其歸屬的難度。因此為了避免誤解，PCAOB No.5將“合理可能性”取代了原來的“微小可能”。這一替換放寬了判斷缺陷發生的標準，既可以消除外部審計師和報表編制者對“微小可能”的誤解，也更加容易判斷發生的可能性的歸屬。即只要認為重大錯報具有不能被預防和查出的合理可能性，就可以斷定缺陷的存在。因此該修正能顯著改善對缺陷的評估，使那些重大缺陷能夠及時發現。

二、重新界定“重大缺陷”，不再引用

“重要缺陷”來定義

PCAOB No.2將重大缺陷定義為是重要缺陷或重要缺陷的集合，并導致公司年報和中報的重大錯報具有不能被預防和查出的微小可能性。該定義引入重要缺陷，導致了審計師及公眾的疑惑：審計師的審計水平必須充分保證能在審計過程中找出內部控制的所有重要缺陷，而不僅僅是重大缺陷，但是內部控制審計的目的卻是取得關于重大缺陷是否存在的證據，內部控制審計并不要求審計師尋找嚴重程度低于重大缺陷的缺陷或缺陷組合。PCAOB No.2的這一定義似乎把重大錯報視為重要缺陷的一種特定類型，使得審計師容易混淆。為更好地解釋審計的目的并使混淆的可能性最小化，PCAOB No.5用“控制缺陷或控制缺陷的組合”取代了在重大缺陷的定義中對重要缺陷的引用。

三、重新界定“重要缺陷”，用“重要的”

取代“僅僅是不合理的”

PCAOB No.2將重要缺陷定義為內部控制不能防止和發現報表中的僅僅是不合理錯報的微小可能性的缺陷或缺陷集合。其中對于“僅僅是不合理”的界定和使用可能會使公司和審計師在定義、討論和確定那些不足以對公司內部控制整體產生影響的缺陷上花費過多時間和成本。因此，PCAOB No.5準則重新定義了重要缺陷，將“僅僅是不合理”替換為“重要”，并將“重要的”定義為“雖然比‘重大的’程度輕，但其重要性足以引起負責公司財務報告監管的人員的關注”。這一改變更好地確定了衡量重要缺陷程度的標準。

四、修訂了判斷重大缺陷的重要特征

PCAOB No.2中對那些被認為至少是重要缺陷和重大缺陷的重要特征的情況進行了描述。這些情況包括公司重新編報已公布的財務報表, 以及公司無效的控制環境等。因此當上述情形出現時，審計師就會認為存在重大缺陷，或者認為只是存在重要缺陷，尚不構成重大缺陷，但實際上并不存在缺陷。為了防止審計師在缺陷不存在的情況下，做出缺陷存在的結論，PCAOB No.5刪除了關于將上述情形認為是至少具有重要缺陷的要求，雖然這些環境仍將是重大缺陷的重要特征，但并不和審計師做出不存在缺陷的結論相悖。在PCAOB No.5的指導下，外部審計師能夠使用他們自己的判斷以決定何時重述或者無效的控制環境不作為內部控制的缺陷。

篇5

高等院校在最大程度上“去行政化”之后，“校務自主”與“財務經營自主”成了高校的兩項責任和義務。高校將成為自行擔負包括財務責任在內的校務責任的經營實體。因此，所有高校在不遠的將來，都要面臨獨立承擔管理資產的責任壓力。而內部控制理論可以作為高校建立健全資產管理機制的重要依據。高校應當在信息化、系統化和標準化等原則的指導下，形成有效的高校資產管理內部控制制度，并且從評估機制、權責分立以及隊伍建設等角度出發，不斷對這一制度進行調整和完善，以達到實現高校資產使用率最大化的最終目標。

關鍵詞:

高校;資產管理;內部控制

目前我國的高等教育改革呈現出這樣一種趨勢，即政府對高校的控制主要集中在確保高校的教育質量以及確保高校正確的政治方向;除此之外，政府將逐漸向高校下放其他權力，實現高校的自主辦學［1］。如果政府職權逐漸從高等教育資產運作體系中淡化為監督與輔助的角色，那么身為高等教育主體的高等院校就必須思考高校在資產管理與經營方面如何實現自主，也就是說，高等院校在最大程度上“去行政化”之后，“校務自主”與“財務經營自主”成了高校的兩項責任和義務，高校將成為自行擔負包括財務責任在內的校務責任的經營實體。這樣，公立高校和私立高校之間的運作差異將逐漸縮小，資產管理必將成為公立高校和私立高校都要面對的新課題。

一問題的提出

在所有的高校教育資源中，高校資產是高校辦學的物質基礎，其地位之重要不言而喻。1997年的《高等學校財務制度》對“高校資產”的概念與內涵進行了明確的界定［2］。具體來說，高校資產和企業資產在直觀上并無二致，因此從理論上講，在資產的管理和利用問題上，高校也必須像企業一樣，有負責管理資產的組織和機構。這些與資產管理有關的組織和機構的職能與分工、其內部各個要素之間的關系，以及各種制度管理方法按照一定的原則有機地融合成為一個不可分割的整體，就構成了高校資產管理體制。

進入二十一世紀以來，高等院校的發展呈現出復雜化、社會化的趨勢，而如何建立適應這一趨勢的內部管理措施和管理方式，就成了現代高校所要解決的重要問題。在美國，這種管理意味著大學的經營狀況隨時可以接受公眾監督。也就是說，大學不僅不能以學術自由等崇高的理想推卸社會責任，而且包括教學、研究、教師制度、社會服務等所有的內部管理機制和運作成效，都必須完全透明化，社會和公眾可以對之進行全面檢驗。但是西方高校的利害關系人們(董事會、校務管理層等等)對社會公眾(當然也包括履行公共監督責任的各級政府)的監督抱持高度疑慮和戒備，擔心這種監督會踐踏學術的神圣與價值，使大學趨向社會化和平庸化，從而希望大學有權能對自身進行自主且有效的管理。但是在這種自主管理的過程中，畢竟存在著法律和公共事務等眾多領域的限制，實際上在操作的過程中存在著巨大的困難。因此，西方高校就不得不面臨“在保持學術環境中尋找自我管理和面對社會責任的平衡點”的壓力。

雖然外部社會不斷在要求高等教育實現“產業化”為代表，但是高校畢竟不同于企業，我們無法明確界定高校“生產”的“產品”到底是什么，或者即便是把學生定義為高校的“產品”，那么學生畢業之后在社會上取得的成功，是否可以說完全來自于大學教育?此外，高校學術研究的成果，在多大程度上是獲得于高校自身提供的資源?顯然，這些問題無法簡單地在“產業化”的語境下進行解釋。所以，衡量高等教育的“產品”和“質量”是非常困難的，高校的“生產效能”和“控制成本”等問題就難以等同企業的運作模式，如可以套用計量模式進行計算、預測和評估。但是我們又必須承認，如果沒有一個管理模型，高校經營的所有評價機制均將失去存在的意義。所以，高校的使命并未改變，依然是知識的創造、傳播和運用，但這些使命所包含的意義已發生重大轉變，即人們期望社會可以享受高校各方面的資源。如果高校無法獲得一種良好的管理模式，則很難在社會中建立其公信力。正因如此，高校必須要從內部著手，建立健全的資源和資產管理機制。以下將從內部控制的觀點出發，進一步對高校資產管理內部控制的內涵和原則進行探究，并在此基礎上提出若干措施建議。

二高校資產管理內部控制的內涵及原則

(一)高校資產管理內部控制的內涵及作用

內部控制是一個管理學概念。任何具有經營性質的單位(企業、學校等)都會面臨著“如何管理”以及“管理什么”的問題。以企業為例，企業最大的管理問題就是如何實現獲利的最大化，決定獲利最大化的最重要的因素是經營效率，而獲得最高經營效率的核心是如何實現企業所掌握的包括資產在內的所有資源的有效整合與利用。企業獲利的最大化，關鍵在于單位內部各個組成部分之間的關系是否能夠通過某種控制機制，調整到一個最佳狀態以實現上述“連鎖反應”。這就是內部控制理論的通俗化概括［3］。因此，高校資產管理的內部控制，即指高校如何在內部控制理論的指導下，實現資產使用率的最大化［4］。由此可見，高校資產管理的內部控制，對未來高校的自主運營和健康發展具有重要意義。如前所述，內部控制是一種過程和方法，而非目的;對于高校資產管理工作來說，“內部控制”最終將歸結為采用何種方法實現高校資產的正常運營。所以，高校管理層在設計與執行高校資產內部控制的時候，必須考慮許多因素，以利于其推動組織內部控制的周延性與落實性。這些因素，就是高校資產管理內部控制的原則。從總體上看，這些原則主要有信息化原則、系統化原則與標準化原則。

(二)高校資產管理內部控制的原則

1.信息化原則

在任何內部控制的領域和模型中，“控制”和“信息”往往形成對立統一的關系。一般來說，“信息”的正確是“控制”能夠實現的前提，而“控制”的目標則是正確“信息”的產生、暢通和利用。因此，所謂“信息化原則”，通俗地解釋就是制定或確立某種內部控制制度，究竟是要完成什么樣的目標。信息傳導與溝通機制能否能夠運行正常，對資產管理內部控制的效率和效果是至關重要的。信息溝通渠道主要有以下兩種:一是傳統模式，包括各要素之間的直接的、瞬時的交流，以及與資產管理有關的部門和組織按照一定的頻率或其他原則建立固定的討論、協調、解決和解決機制，以確保與資產管理有關的信息能夠在第一時間反饋到各相關部門。二是網絡模式，即與資產管理有關的部門和組織自上而下地及時公布與資產管理有關的各類信息，使資產使用單位根據自身的權責對上述信息進行分析，而后“各取所需”，以達到合理有效使用資產實現各要素的既定目標的目的。

2.系統化原則

系統指由若干相互聯系和相互作用的要素組成的具有一定結構和功能的有機整體，具有整體性、層次性、穩定性、適應性和歷時性等特性。系統化的內部控制的內涵，是根據所要實現的目標的性質和內容，按照單位內部各要素應當或能夠發揮的作用，對單位內部各要素進行通盤布局，使各要素在一定的規則或框架內連續、有效地單獨運行或相互作用，以實現既定目標系統化原則必然要求高校建立內控測評系統，加強高校財務風險評級。要組織人員對資產管理內部控制制度運行情況進行審核、測試，找出不足的地方，積極地探討及修正，從而達到完善單位內部控制的目的［5］。

3.標準化原則

如果說信息化原則解決的是內部控制的目標“是什么”，系統化原則解決的是從宏觀的角度上看內部控制的目標“如何實現”，那么標準化原則解決的則為內部控制目標的實現提供了微觀的、具體的“工具”和“游戲規則”。1986年國際標準化組織的ISO第2號指南和1996年我國頒發的國家標準(GB3935．1－96)均對標準化進行了概念的闡述［6］。因此，此外許多國家和行業都對“標準化”一詞有著不同的理解或進行了符合自身實際情況的界定。但是不管如何定義“標準化”一詞，幾乎所有國家都制定了有關于標準化的法律法規，標準化已然成為全世界對現代化生產進行科學管理的重要工具和原則。1987年的IS09000系列國際標準，對世界各國各行業的質量管理各環節產生了巨大的指導作用。質量管理體系強調的是對過程方法的控制，而標準化管理所要實現的最終目標是“持續改進、不斷提高”。標準化是一種基本的現代化管理方法，被廣泛應用于各個管理領域。同樣，高校資產管理必須通過采用與國際標準接軌的標準化管理模式，才能規范高校的資產管理，實現更好地服務于高校教學科研各項事業的目標。

三高校資產管理內部控制的措施

當前我國高校正處在發展改革的重要轉型期。在這一背景之下，高校要將辦學規律和內部控制理論相結合，有意識地調節校內外各種因素和學校資產之間的關系，以實現既定的辦學目標，可以從以下措施入手，對已有的資產管理內部控制制度進行調整和完善。

(一)建立綜合作業稽核系統

根據我國高等教育和高校改革的總體趨勢，未來高等教育的每一個實施者(教師及教育管理人員)都應把高校視為一個“事業體”和“經營體”，教師及教育管理人員的經營參與意識必須與高校自主辦學自主經營的趨勢同步成長。尤其是一旦“校務基金制度”在未來得以實施，那么高等院校將進入一個“總體經營”(institutionaladvancement)的時代，教師及教育管理人員在享有管理自主的權利的同時，當然也要承擔學校經營的責任，尤其是教育管理人員。每個教育管理人員必須熟悉組織內部控制的理念與作法，進而在各個工作崗位上正確執行。在這一點上，西方高校已經走在了前面。如美國大學校院財務管理人員協會(NationalAssociationofCollegeandUniversityBusinessOffice，NACUBA)就將大學內部的財務管理分為策劃、預算、財務報告、現金管理、捐贈基金管理、融資管理、稅務管理、福利管理、采購管理、附屬事業管理以及技術數據IT系統、法律部門、風險管理等支持性運作。所有上述管理門類均要受到綜合性操作系統———“稽核(Audit)”，即內部控制的審核系統的管理。

(二)確認校園體系內部控制的權利與責任

高校內部管理與控制的基本內容與組織管理內部控制相似。但是，由于高校具有非營利性質，因此高校內部管理更加重視營運控制與稽核。公立高校對利潤計劃則多用資產使用率(經費利用率)作為標準，而私立高校則大多使用企業組織管控模式。高校的內部控制一般包含“運作效率與效能(effectivenessandefficiency)”、“財務報告的可信度(relia-bility)”與“符合法律規定(compliance)”三個領域，其所衍生的五個元素有:管理環境(以人為本)、危險評估(因應機制)、控管措施(方法學)、信息與溝通、監督(內部與外部及修正措施)等。事實上，良好的內部管理控制是高校得以可持續性發展和確保自主管理的基石。

(三)建設一支強有力的資產管理隊伍

近年來，全國各類高校的資產規模在短時期內均出現大幅增長的態勢。這種情況促使高校管理人員認識到了高校資產管理工作的重要性。高校要實現自身的穩定且可持續性發展，必然要求建立健全高校資產管理體系。因此，許多高校為了加強資產管理水平，將原本歸屬于后勤管理處或總務處的資產管理部門分離出來，單獨設置資產管理處。資產管理隊伍質量的好壞，將在最大程度上影響甚至決定資產管理效益的規模及獲得。從這個意義上說，高校資產管理隊伍的建設，應該成為高校人才戰略的關鍵點和著力點之一。高校應該將自身實際情況與國家法律法規以及制度規范相結合，對資產的價值管理和使用管理實行“雙管齊下、縱橫交錯”的管理模式，同時針對資產管理人員的招募、進修、拓展、考核、晉升，制定一整套行之有效的管理制度并進行貫徹。更重要的是，要像高校科研學術團隊一樣，將資產管理隊伍的梯隊建設提到高校資產管理工作的議事日程上來，使資產管理隊伍實現可持續發展，“建設一支素質好、結構優、愛崗敬業的資產管理隊伍”［7］。

目前，世界各國都在注重高等教育的發展。如果高等教育真的發展成為一種產業，那么它就要像企業一樣按經濟規律組織運營，注意供需、績效、質量，走產學研一體化的道路，以滿足消費者———學生的需求［8］。而高校資產管理的內部控制的有效實現，不僅可以使高等教育在產業化的過程中提高行政效率，還可以使教育資源得到最大限度的充分利用。而且，在有效的內部控制的基礎之上形成的健全健康的資產管理制度，可以使高校在最大程度上建立強大的社會公信力，進而吸引優質生源，全面推動高校辦學的質量和水平。

參考文獻:

［1］張慧．高校“行政化”問題解決路徑探析［J］．長沙大學學報，2015，(6)．

［2］褚琳．新《高等學校財務制度》對高校財務管理的影響［J］．西安工程大學學報，2014，(3)．

［3］張倩．我國企業內部控制流程設計與優化研究述評［J］．長沙大學學報，2014，(2)．

［4］趙文淼，宋勝菊．基于反饋控制談高校固定資產管理制度體系改進［J］．中華女子學院學報，2016，(4)．

［5］沈秀麗．加強高校資產管理內部控制的探討［J］．知識經濟，2015，(24)．

［6］李春田．標準化基礎［M］．北京:中國計量出版社，2001．

［7］張月琪，落巨福，接勵．關于高校資產管理隊伍建設的思考［J］．實驗技術與管理，2014，(3)．

篇6

健全有效的內部控制可以合理保證企業經營效率與效果、財務報表的可靠性以及對相關法律法規的遵循。但是在二十一世紀初，美國等國家爆發安然、世通等一系列數額驚人的財務舞弊案件，對資本市場產生極大震動，其根本原因之一是內部控制失效導致的。美國為整頓資本市場秩序，重樹社會公眾對資本市場的信心，于2002年頒布了《薩班斯－奧克斯利法案》，該法案要求管理層對財務報告內部控制的評價報告隨定期報告一同對外披露，同時要求公司內部控制必須經注冊會計師審計。內部控制審計這一新型業務的開展將會對提高財務報告信息質量產生深遠影響，這也正是本文研究內部控制審計問題的價值所在。

一、內部控制審計理論

在美國展開的內部控制審計的制度化，并不是安然、世通等財務舞弊事件所引起的特定國家的問題，而是通過這些偶然事件得以加速公司治理的必然發展。世界各國也同樣存在內部控制審計制度化的必然性。美國內部控制審計的發展過程：文件化、測試、經營者評價報告、內部控制報告審計，其宗旨是從財務報告過程的控制以保證財務報告的可靠性，進而達到公司治理的目的。可見，我們有必要研究內部控制審計相關的基本理論。

（一）內部控制審計相關的概念界定

現代審計的主流是以財務報表審計為代表的對信息的檢驗。但是，隨著企業經濟活動的不斷擴大和經濟全球化的不斷進展、社會民主意識對政府以及社會團體等機構的信息披露要求不斷提高，審計范圍越來越廣泛，審計的類型越來越多，人們對審計的關心也越來越強。審計是為了確認有關行為是否妥當，或者該行為人所給的信息（陳述、認可）是否可靠，由獨立第三者所進行的一種檢驗。審計對于注冊會計師而言，主要是財務報表審計。SOX之后，美國開始實施財務報告內部控制審計，日本、加拿大等也在相繼制定相關的審計準則并在適時推出這項制度安排，這說明除了傳統的財務報表審計外，還將有一套新的審計制度安排，即內部控制審計。也就是說，需要對內部控制預期的目標實現進行檢查和評價，即建立一個內部控制評價和報告體系，來提高內部控制的有效性，加強內部控制信息的透明度。所建立的內部控制評價與報告體系既要求管理層對內部控制的有效性進行評價，也要求中介機構對其進行審計。本文將內部控制審計、財務報表審計以及同時進行這兩項審計時的整合審計的概念界定如下：

1.內部控制審計

筆者對本文的內部控制審計定義，在借鑒美國AS5“財務報告內部控制審計”概念的基礎上，結合我國的具體情況，定義為：內部控制審計是指會計師事務所接受委托，對特定日期（通常與企業內部控制自我評價基準日一致）企業內部控制的有效性進行審計，并發表審計意見。為了形成審計意見的基礎，審計人員必須計劃和執行審計程序，獲得合理保證，確定公司與財務報告有關的內部控制是否在管理當局評估的特定日期存在重大缺陷。這里內部控制審計的對象，是指企業為了合理保證財務報告及相關信息真實完整而設計和運行的內部控制，即“狹義的內部控制”。我們在文中的主題“內部控制審計”即指這里的狹義內部控制審計。

2.財務報表審計

財務報表審計屬于鑒證業務，是指注冊會計師按照審計準則的規定，通過計劃和執行審計工作，對財務報表的下列方面發表審計意見：（1）財務報表是否按照適用的會計準則和相關會計制度的規定編制；（2）財務報表是否在所有重大方面公允反映被審計單位的財務狀況、經營成果和現金流量。注冊會計師的審計意見旨在提高財務報表的可信賴程度。

3.整合審計

本文所研究的整合審計是指同一會計師事務所對同一被審計單位既進行內部控制審計又進行財務報表審計，注冊會計師通過整合計劃和實施審計工作，以同時實現二者的目標：①獲取充分、適當的證據，支持其在內部控制審計中對內部控制有效性發表的意見；②獲取充分、適當的證據，支持其在財務報表審計中對控制風險的評估結果。

二、內部控制審計的業務特性

1.基于責任方認定的信息審計業務

審計有兩大系列。其一是需要對審計客體的陳述或聲明發表意見的審計，稱之為信息審計；其二是需要對審計客體的行為、過程以及系統發表意見的審計，稱之為非信息審計。財務報表審計，實質上是對經營者所作會計聲明的審計，是一種典型的信息審計。信息審計和非信息審計并不是同一審計行為的兩種表現類型，而是審計人基于不同審計主題采取了不同認識行為所形成的兩大審計系列。根據審計的主題是已經用語言表現的聲明還是未經語言表現的非聲明事項，審計的認識對象可以分為兩大范疇：其一，已經用語言表現的聲明――責任方認定，是責任方對其責任范圍內的業務活動及其結果進行評價或計量后形成和給出的認定。即在基于責任方認定的業務中，責任方對鑒證對象進行評價或計量，鑒證對象信息以責任方認定的形式為預期使用者獲取。責任方認定是責任方將適當標準應用至鑒證對象的結果。比如，經營者（責任方）對財務狀況、經營成果和現金流量（業務活動及其結果）進行確認、計量和列報（評價或計量）而形成的財務報表即為責任方的認定，該財務報表可為預期報表使用者獲取，注冊會計師針對財務報表出具審計報告注冊會計師或者針對責任方認定提出結論，或者直接針對鑒證對象提出結論，無論采取何種方式提出結論，預期使用者都可以獲取責任方認定；其二，未經語言表現的非聲明事項――直接報告業務，是責任方沒有給出認定，需要審計人員直接對審計對象進行評價或計量，形成審計結論的業務。在直接報告業務中，注冊會計師直接對鑒證對象進行評價或計量，或者從責任方獲取對鑒證對象評價或計量的認定，而該認定無法為預期使用者獲取，預期使用者只能通過閱讀鑒證報告獲取鑒證對象信息。簡而言之，直接報告業務是注冊會計師直接應用適當的標準對鑒證對象進行評價并提出結論，預期使用者無法獲取責任方認定。我們定義以責任方認定為主題的審計為信息審計，以直接報告業務的對象為主題的審計為非信息審計。信息審計是指通過獲取與責任方認定的內容及依據有關的證據，驗證責任方認定是否按照既定的標準恰當地反映了責任方所認定的企業等經濟主體的活動及其結果，并對責任方認定是否可靠發表意見為目的的審計。比如，財務報表審計，內部控制審計等。非信息審計則是通過調查有關行為主體的行為內容行為過程和行為程序等，驗證該行為妥當與否，法律等各種規范的遵守情況如何，效率如何等等，并對該行為、過程和程序給出調查結論為目的的審計。比如，舞弊審計等。

2.合理保證的鑒證業務

國際審計與鑒證準則委員會（IAASB）將注冊會計師的服務分為鑒證業務（Assurance Engagements）和非鑒證業務（Non-assurance，或者Related Services，相關服務）。

篇7

COSO的經典性報告《內部控制——整體框架》是內部控制方面的權威性文獻，自1992年以來，得到了包括美國在內的多個國家的政府組織和企業的認可，并以此框架為基礎制定和了內部控制的框架和文件，如我國財政部等五部委在2008年6月份的《企業內部控制基本規范》就是在我國國情的基礎上借鑒了COSO的內部控制報告。盡管該框架受到了各方的認可，但是隨著經濟和科技的發展，企業的經營環境也在不斷的變化，再加上安然公司等舞弊案的出現，使得人們對于COSO的內部控制框架有了質疑。在此背景下，COSO委員會與普華永道會計師事務所于2010年9月份啟動了內部控制框架的修訂工作，并于2011年12月份了內部控制新框架的征求意見稿，經過1年多的公開征求意見，于2013年5月了的《內部控制——整體框架》（以下簡稱新框架）的正式報告。COSO委員會要求新框架于2014年12月15日開始生效。COSO新框架有利于幫助組織在業務和經營環境變化了的背景下設計和實施內部控制，在經營和報告目標上擴大了內部控制的應用范圍，并做出如何判斷內部控制的有效性。眾所周知，COSO委員會的經典權威報告除了《內部控制——整體框架》外，還包括其2004年的《企業風險管理——整體框架》（以下簡稱ERM框架），這二者關系非常密切，有學者認為二者是一致的，有學者則認為ERM框架是內部控制框架的替代，那么二者究竟是什么關系呢？在內部控制新框架中，COSO委員會給出了解釋。新框架中內容眾多，筆者擬就內部控制新舊框架進行比較并對其與ERM框架的關系進行探討。

二、內部控制新框架與舊框架比較

內部控制新框架是在舊框架的基礎上結合目前全球經濟和環境的變化進行更新和修訂的，因此，在新框架中，既有與舊框架中內容一致的方面，也有不一致、變化了的方面。

（一）內部控制新舊框架維持不變的方面 （1）內部控制的核心定義。新框架與舊框架中的內部控制核心概念形式上是一致的，基本上沿用了舊框架中內部控制的核心定義，即都給出了一個非常寬泛的定義，都強調了是一個過程，受到人為因素的影響，都是對目標的合理保證。由于內部控制的目標有所改變，因此概念中的目標也相應變化。但總體上來講，新舊框架中的內部控制的概念基本上沒有變化。（2）三目標和五要素形式。與舊框架中一致，新框架采用的仍然是三目標和五要素的形式，而且三個目標中有兩個沒有變化，即第一個目標——經營的效率和效果與第三個目標——法律、法規的遵循等兩個目標的名稱沒有改變。在五要素的名稱上，第五個要素的名稱在舊框架中稱為“監督”，在新框架中增加了“活動”二字，即為“監督活動”；其余的四個要素如控制環境、風險評估、控制活動、信息與溝通等要素，其名稱完全一樣，沒有任何變化。（3）用于評估內部控制系統有效性的標準沒有變化。有效的內部控制系統能為三個目標的實現提供合理的保證。如果內部控制系統是有效的，則組織能夠使得經營具有效率和效果、提供可靠的報告、遵循所適用的法律和法規。判斷一個內部控制系統是否有效，需要如下步驟：首先判斷內部控制系統能否合理保證目標的實現；其次內部控制系統能否合理保證目標的實現，取決于這五個要素是否在同時發揮作用，只有這五個要素同時發揮作用，才能說明內部控制系統可能是有效的；最后，判斷這五個要素是否有效，這取決于內部控制要素的17個原則和82個屬性是否發揮作用。無論是新框架還是舊框架，評價的標準沒有變化，只不過舊框架中沒有原則和屬性的概念。

（二）內部控制新舊框架發生變化的方面 （1）考慮了業務和經營環境的變化。在新框架中，內部控制的設計更加具有靈活性，其充分考慮了組織業務和經營環境的變化。這些體現環境變化的內容主要包括：期望基于公司治理的視野設計內部控制；考慮全球化的市場和經營的因素；考慮業務的變化及其更加的復雜性；考慮法律、法規、規章和標準的要求和復雜性；期望人員的勝任能力和責任性；使用和依賴日趨發展的科技；期望能夠發現和預防舞弊。這樣變化使得企業在設計內部控制與環境的聯系更加緊密，從而有更好的適用性。（2）經營和報告目標的擴展。從名稱上來看，經營目標沒有變化，但實質上其經營的目標范圍有所擴大，舊框架中經營目標所指的保證經營的效率和效果，主要指達到經營的目標；新框架中經營目標不僅包括經營的目標，還包括達到財務績效目標以及保證資產不受損失等經營目標。在報告目標上，舊框架中僅指對外列報的財務報告目標，保證財務報告的真實、可靠，其范圍界定為對外報告的財務報告；新框架中的報告目標中的“報告”，不僅包括對外的報告，還包括內部的報告，不僅包括財務報告，還包括非財務報告。這些報告的披露要遵循法律法規、準則以及企業政策等所規定的可靠性、及時性、透明性等要求。這無疑增加了報告的內涵、外延和要求，對于各利益相關者都具有非常大的影響。報告目標的擴展不僅增加了企業的成本，而且也加大了注冊會計師的審計風險。（3）五要素基礎概念中體現的是原則導向。無論新舊框架，采用的均是五要素，但在其基礎概念中采用的方式不一致。舊框架中沒有明確提出構成各要素的原則，在新框架中針對五個要素，提出了17項原則，而且在原則下面又提出了相應的屬性。每一個要素，都對應相應的原則和屬性。這17項原則是構成這些要素的基礎性理念，也是判斷內部控制是否有效的主要標準。原則導向體現了新框架全新的思路和理念，每個企業根據自身的實際情況和環境的變化，根據這些原則，設計適合自身的內部控制，這些都有利于增加內部控制的適用性、時效性和靈活性。但另一方面，由于這些原則不是針對某個特定企業而設定的，而是設計內部控制的一些原則性基礎，因此，具體到某個企業如何根據這些原則設計適合于自身的內部控制制度，需要設計企業內部控制的相關組織或人員進行判斷，這無疑增加了設計的難度。（4）增加了與經營、合規性和非財務報告目標相關的一些案例和方法。在新框架報中，提供了一些評估內部控制系統有效性工具的一些例子，給出了外部財務報告內部控制的一些方法和例子。新框架給出了這些要素的原則和屬性是如何影響外部財務報告的，它給出了一個對管理層非常有用的總結性說明，一個要素下的某一個原則會影響其他要素的有效性，如，控制環境下的原則：組織的誠信和價值觀，這一原則會影響控制環境要素下人力資源政策保證雇員理解行為規則并且企業的雇員都在遵循這一政策的有效性，并且會影響信息與溝通要素下比較管理層所獲得的數據與信息熱線獲得數據的偏差，以評估信息數據的質量；還會影響監督活動要素下根據獲得的雇員行為和舉報熱線的結果，內部審計單獨評估控制環境的有效性等等。由于被征求意見的大多數人和組織，不建議內部控制舊框架推倒重來，因此，總的來說，新框架是在舊框架基礎上結合環境的變化形成的，是變化了的環境下的產物，主要體現在：考慮了業務和環境的變化，如全球化、技術的進步等；擴展了業務和報告的范圍；提出了原則導向的五要素基礎理念；增加了一些例子來說明如何判斷內部控制的有效性，具有較強的操作性。因此，新框架主要是時代的產物，使得內部控制新框架更加靈活和適應實際狀況，而且具有針對性。

三、新框架與ERM框架比較

（一）內部控制與企業風險管理的關系 2004年，COSO委員了其另一經典性的報告《企業風險管理——整體框架》（ERM框架），當時很多人以為該框架會取代1992年內部控制框架，但COSO委員會從未過以ERM框架取代1992年內部控制框架的任何聲明和文件。我國關于內部控制和企業風險管理的關系，觀點主要有以下幾種：內部控制是企業風險管理的工具；內部控制是企業風險管理的一部分；企業風險管理是內部控制的高級階段；內部控制包括企業風險管理等。我國財政部的《企業內部控制基本規范》中融合了1992年框架和ERM框架的內容，屬于“舊瓶裝新水”，從表面和形式來看是1992年的框架，實質上體現的是2004年ERM的框架的內容。關于內部控制框架和ERM框架的關系，COSO委員會在征求意見稿中認為內部控制是企業風險管理的一個組成部分。企業風險管理比內部控制的內涵要廣，它延伸了內部控制的邊界，比內部控制更加關注風險。

（二）目標比較 內部控制包括三個目標，即經營、報告和遵循目標；企業風險管理除了包括三個類似的目標外，它還包括第四個目標：戰略目標，這是一個比其他三個目標更高層次的目標。戰略目標與企業的愿景相聯系，合理保證企業戰略的實現，經營、報告和遵循目標從屬于戰略目標。企業風險管理中引入了風險胃口（Risk appetite）和風險容忍（risk tolerance）的概念。風險胃口是與企業愿景相聯系的一個詞語，它應用于戰略的制定，并選擇相應的目標。如果設定為風險容忍的層次，則管理層需考慮相應目標的重要性，并將容忍的程度限定在風險胃口內。風險容忍是內部控制的前提條件，但并不是內部控制的一個組成部分。

（三）要素比較 從要素數目上來看，內部控制框架為五要素，而ERM則為八要素，ERM框架增加了目標設定、事項識別和風險應對等三個要素。除了數目上不一致外，在名稱上，二者第一個要素和最后一個要素不太一致。單從名稱上看，第一個內部控制要素為控制環境，而ERM的第一個要素為內部環境，最后一個內部控制要素為監督活動；ERM的最后一個要素為監督。具體比較如下：（1）控制環境。在ERM框架中，更加強調的是風險管理的哲學和理念，強調的是內部的環境，主要是關于企業考慮風險的態度和特點，反映了它的價值觀，并會影響企業文化和經營風格。由于董事會的重要性，企業風險管理框架和內部控制框架中均要求董事會成員中要包含一定數量的獨立董事，但二者要求的數量不同，內部控制框架通常要求2名即可，而ERM框架中要求大多數董事都應為外部獨立的董事。（2）風險評估。這兩個框架均要求對企業內部的、外部的各個層次的風險進行評估，而且均要求評估風險對目標實現的潛在影響。但很顯然，企業風險管理框架更加注重風險，它將此要素擴展為四個要素。內部控制框架中沒有考慮潛在事項的影響，這部分事項可能會影響企業戰略的實施或目標的實現。這兩個框架均要求對風險進行評估，但企業風險管理框架對風險評估的要求要高一些，它要求基于固有的和剩余基礎來評估風險，這些風險要與戰略和目標實現的時間相一致，而且同時要求關注內部相關的風險，一個單獨的事項可能會引起多種風險。與內部控制框架一致，企業風險管理框架風險應對的策略包括回避、降低、分擔和接受。但企業風險管理框架還要考慮企業風險胃口和風險容忍度。（3）控制活動。控制活動的目的均是根據風險評估的結果所采取的活動，其目的是為了使風險降低到可以承受的范圍之內。但內部控制新框架更多地體現了目前科技因素的影響，并考慮了科技對企業的影響。（4）信息與溝通。在信息與溝通方面，ERM的范圍更為廣泛一些，它所分析的數據，包括來自于過去、現在和將來潛在事項的數據。而內部控制框架則更多地關注數據的質量以及與內部控制相關的數據。至于溝通，均包括內部溝通和外部溝通。（5）監督活動。這兩個框架都認為監督活動是為了保證內部控制和企業風險管理發揮作用并能繼續適用。不過，內部控制框架代表了更新的觀點，包括運用基礎的資料進行監督以及要監督外部的服務提供商（如審計師）。可見，企業風險管理框架要素與內部控制要素主要區別在于：一是數量上的區別；二是企業風險管理框架的要素更加關注風險，以及風險與戰略的關系；三是內部控制新框架更加體現了現代技術和科技的影響，在要素中融入了科技因素。

[本文系教育部人文社科基金項目“基于社會責任本質揭示的企業社會責任內部控制研究”（項目編號：10YJC790089）階段性研究成果]

參考文獻：

[1]丁紅燕：《COSO內部控制新框架的變化及對注冊會計師審計的影響》，《中國注冊會計師》2012年第12期。

[2]COSO. Internal Control - Integrated Framework （1992）， http：//.

[3]COSO. Internal Control–Integrated Framework（2013）， http：//.

篇8

關鍵詞：控制自我評估 管理信息系統 內部控制

一、定義和背景回顧

高登.戴維斯（Gordon B.Davis）指出，管理信息系統是一個利用計算機硬件和軟件，手工作業，分析、計劃、控制和決策模型，以及數據庫的用戶――機器系統。它能提供信息，支持企業或組織的運行、管理和決策功能它能提供信息，支持企業或組織的運行、管理和決策功能。這就意味著在現代管理信息系統環境下，信息和相應技術被大量運用并成為企業經濟作業的主要載體。在這種情況下，對于企業內部控制和風險管理系統在信息系統環境下如何能夠得到有效的控制成為了企業面臨的一個重要問題，作為識別風險、改進內部控制的一個有效手段，控制自我評估（Control Self-assessment，下簡稱CSA）就逐漸被運用于解決這一問題。

CSA是一個主導過程，過程中審計師協調一群在專門領域有專長的工作成員，通過專題研討會等形式，識別管理層確定的關鍵運營領域中內部控制的改進機會。CSA的概念最早是在20世紀八十年代由Bruce Mccuaig提出而后在海灣公司的子公司加拿大海灣能源公司開展，由于軟控制的失敗已經成為大量失敗公司的共同屬性，他們著力于將CSA 發展成為一種可以用來衡量軟控制的過程，這些軟控制涵蓋著管理層的誠實、正直、守信、規避各種控制的意愿以及員工的總體士氣。隨后大量機構和審計業都開展了CSA業務，但在比例上來說，真正開展CSA業務的機構只是極少部分，原因是實施CSA要求機構的各個部門都要付出很大的努力，而這些努力的實際效果往往不能量化，從而缺乏必要的實施動力。

要說服管理層接受CSA，并有效的協調CSA討論會，應用的內部控制框架是最重要的因素之一，內部控制模型和框架有較多的版本，其中最為著名的有6個，分別是COSO（美國，1992），CoCo（加拿大，1995），Cadbury（英國，1994），COBIT（ISACA，1996，1998，2000），SAC（IIA，1977，1991，1994），eSAC（IIA，2001），SASs55/78/94（AICPA1990，1997，2001）。其中與IT環境和信息控制密切相關的主要是COBIT框架，SAC框架和eSAC框架，美國注冊會計師協會也在2001年頒布的SAS 94框架中加入了關于信息技術影響內部控制的新內容，COBIT框架與其他框架相比，在信息控制和IT環境下有其獨到的優勢和特點，下面談談如何做好CSA。

二、控制自我評估的運用

CSA的實施可以采用各種方法，通常根據負責實施的部門可以分為純粹（pure）的CSA，中心型的CSA，目標導向型的CSA，混合型的CSA，由于不屬于本文的研究范圍，這里就不詳細介紹了。具體來說，如何才能做好控制自我評估呢？主要步驟有以下三步：

（一）明確工作目的，制定工作計劃和評估方案

首要任務是要確定一個明確的工作目的，根據企業的行業特點、戰略目標和風險管理策略、主要業務環節和內部控制重點，明確是要對哪些IT目標、業務目標、業務需求和IT過程進行評估，根據目的制定出工作計劃和評估方案。CSA 的總體實施方案一般由內審部門或審計委員會負責。

（二）進行審前準備，做好培訓和溝通工作

首先要做好和被評價過程的管理層的溝通，通過溝通確定要評估過程的業務目標。要順利實施CSA，首先必須取得管理層的支持和員工的幫助，因此和管理層的溝通顯得非常重要。其次，要對參與評估的工作人員和被評估部門的員工進行相關知識的培訓，尤其強調的是高級管理層要參加培訓并通過培訓真正了解到企業的內部控制目的和CSA的意義。在具體實施評估之前，CSA 小組成員需通過對高層管理者訪談，發放調查問卷以及與業務經理、關鍵員工座談等方式了解部門業務運行模式、職能設置、業務流程及關鍵環節等情況，采用一定的技術手段，根據風險程度依次排序，確定專題討論會的重點。在評估前發出邀請函，并把所有預先準備的資料發送至與會人員。

（三）實施CSA工作

CSA實施可以分為評估措施確定、實施現場工作、形成評估報告上報三個步驟。

第一，評估措施確定階段，首先要通過COBIT框架找到支撐工作目的的IT過程，然后通過COBIT框架找到支持這個IT過程落實的控制管理目標、度量方法和標準，根據控制管理目標和度量方法標準，設計出適用的評估問卷或者調查表格供現場工作階段使用。這個階段和實施準備階段的工作在時間上常常是有交叉的，和管理層溝通的結果也可能反饋到評估措施的確定上。

第二，實施現場工作階段，可以通過召開專題討論會、問卷調查和研究分析等方法來開展，由于專題討論會可以根據現場產生的數據進行互動溝通，一般現場工作都采用這一模式。CSA的主持人員在會議一開始就應讓與會者明確此次會議的主題，會議過程中要耐心傾聽，保持中立，提煉與會者發言的中心意思；維持積極的、建設性的會議氛圍，掌握會議節奏和進度，最終促進與會人員達成一致意見和承諾。專題討論會過程中會產生大量信息，記錄員要及時準確地記錄并歸納匯總，通過電子投票、網絡記分等技術，加強與會人員的直觀的感受和互動。

第三，形成評估報告階段。CSA 專題討論會的最終成果通過自我評估報告呈現。專題討論會按照主題逐一進行，形成CSA 報告取得認定后，就重點結論進行必要的復核性測試。為謹慎起見也可采用匿名再次確認與會人員對報告結論的認同程度。報告的征求意見稿在規定時間內送達相關部門和人員，限期反饋意見，結合反饋意見，擬定正式報告。

（四）CSA成功實施應注意的幾個問題

CSA的成功實施應具備以下幾個條件，首先是取得高級管理層的鼓勵和支持，第二要使高級管理層對本單位內部控制的目標有很好的理解，第三，推進人員應該有必備的用于協調CSA的技能，第四，評估小組應由所評估領域的成員組成，而不包括監督人員或者是經理人員，第五，要有合適的工具，如培訓室、投影儀、電子記分軟件如Option Finder等，第六，應該避免占用大量的時間。

參考文獻：

[1] IT Governance Institute.“COBIT 4.0”，Copyright . 2005 by the IT Governance Institute

篇9

[關鍵詞]　內部控制；內部控制審計；穿行性測試；程序及方法

一、內部控制制度審計的主要內容

(一)內部控制審計的定義

雖然內部控制審計由來已久，但國內外學術界和審計實踐界對內部控制審計的定義均持有不同的看法，尚未形成統一的定論。美國上市公司會計監管委員會的《pcaob審計準則第2號——內部控制審計原則》(2004年)、中國注冊會計師協會的《獨立審計具體準則第9號——內部控制與審計風險》(1997年)和中國內部審計協會的《內部審計具體準則第5號——內部控制審計》(2003年)中均沒有明確對內部控制審計予以定義。

內部控制審計的含義和性質應該采用廣義的概念，即內部控制審計既可以作為獨立的審計項目組織實施，用以完善內部控制，也可以作為實施其他審計項目的一個程序或方法，以便確定對其依賴程度和進行內部審計的范圍、重點及方法，有效提高審計工作效率和質量。內部控制審計就是對內部控制的健全性、符合性、合理性及有效性的測試和評價。

(二)內部控制審計的對象和內容

內部控制審計的對象主要是控制環境、風險評估、控制活動、信息與溝通和監督等內部控制要素。

內部控制審計的內容是對構成內部控制的各要素進行測試與評價，主要包括：內部控制健全性檢查評價；內部控制符合有效性測試；內部控制合理科學性綜合評價；內部控制實質性測試。

二、內部控制審計的程序與方法

審計師在進行內部控制審計時，應該應用通用的外業和報告準則，具備足夠的勝任能力，保持應有的職業謹慎。遵循一定的程序，采用適當的方法，以確保內部控制審計報告的質量。通常來說，審計師應按照如下順序，根據審計和評估的內容不同，分別采用適當的方法予以審計和評估。

(一)審計準備階段

1.計劃審計業務。審計師應對內部控制審計進行適當的計劃和協助，以保證在需要時，進行適當的監督。

2.評估管理層評估的流程。審計師必須獲得對管理層關于公司內部控制有效性評估的過程的了解。主要包括：審計師決定應當對哪些控制實施測試，包括對財務報表中的所有重要會計科目和披露事項的相關認定的控制；評估控制失敗導致錯報的可能性、錯報的程度以及在其他控制有效實施的情形下，實現同樣的控制目標的程度；評估控制設計的有效性；根據評估其實施有效性的程序是否充足，來評估控制實施的有效性；決定內部控制缺陷的程度和導致重要缺陷和實質性漏洞發生的可能性；對審計發現是否合理以及是否支持管理層的評估進行評價。

3.評估管理層的文檔記錄。主要包括對與財務報表重要會計科目和披露事項相關的所有認定進行控制的設計；關于重要交易是如何被初始、授權、記錄、處理和報告的信息；關于交易流向的足夠信息，包括識別可能發生錯誤或舞弊而導致重大錯報的關鍵點；已設計的防止或發現舞弊的控制，包括誰實施控制以及相關的職責劃分；對期末財務報告過程的控制；對資產保護的控制以及管理層進行測試和評估結果。

4.獲得對內部控制的了解。主要通過詢問合適的管理層、監督人員和員工；檢查公司文件；觀察專用控制的應用；通過信息系統追蹤與財務報告相關的交易來了解公司內部控制的各個方面。

5.識別重要會計科目。審計師應首先在財務報表、會計科目或披露事項因素層次確定重要的會計科目和披露事項。決定財務報表內重要的會計科目和披露事項也是決定特殊控制測試的出發點。

6.識別重要的流程和主要的交易類別。審計師應當對每一類主要的影響重要會計科目或幾組會計科目的交易的重要流程進行識別。主要的交易類型指的是對財務報表產生重要影響的交易類型。

7.理解期末財務報告流程。作為了解和評估期末財務報告流程的一部分，審計師應當評估：公司使用編制年度和季度財務報表的輸入和輸出方法；期末財務報告過程中使用信息技術的程度；管理層的參與；涉及經營場所的數量；調整分錄的類型(例如，標準、非標準、消除和合并)；以及包括管理層、董事會和審計委員會在內的適當的機構對流程進行監管的性質和程度。

(二)審計實施階段

1.實施穿行測試。審計師應當對于第一交易類型實施至少一個穿行測試。審計師實施的穿行測試應當涉及對單獨交易的初始、控制權、記錄、處理和報告的整個過程，以及對每個被審計的重要流程所進行的控制，包括旨在發現風險和舞弊的控制。穿行測試可以為審計師提供如下證據：確保審計師對于針對內部控制的五大方面所設計的控制進行識別和了解，包括與防止或發現舞弊相關的控制；確保審計師對于整個流程有所了解，并且根據每個相關的財務報表認定，判斷是否在流程中容易發生錯報的關鍵點都被識別出來；評估控制設計的有效性；和確認控制是否被實施。

2.識別控制以進行測試。審計師應當對與財務報表的所有重要會計科目和披露事項的所有相關認定所進行的控制的有效性獲得足夠的證據。在識別重要會計科目、相關認定和重要流程之后，審計師應當對如下進行評估以識別出可以進行測試的控制：發生錯誤或舞弊的節點；管理層實施控制的性質；為實現控制標準目標而進行的控制的重要性和為實現某一特定目標，是否需要一個以上的控制，或者為實現某一特定目標，補入一個以上的控制是必要的；以及控制不能有效實施的風險。

3.測試和評估設計、運行效果。當預期所實施的控制將防止或發現會導致財務報表重大錯報的錯誤或舞弊時，內部控制的設計是有效的。審計師應當通過如下標準判斷公司是否實施了達到控制目標的控制：識別公司每一領域的控制目標；識別滿足每一目標的控制；判斷如果有效地實施了控制，是否可以防止或發現會導致對財務報表重大錯報的錯誤或舞弊。

審計師應當通過判斷控制是否按計劃實施和實施控制的人員是否獲得了必要的授權和具備有效實施控制的來評估控制實施的有效性。對實施有效性進行控制測試的方式包括詢問適當的人員、檢查相關記錄、觀察公司的運營和重新實施控制措施等方式的結合。

4.形成關于內部控制是否有效的意見。在對內部控制發表意見時，審計師應當對獲得的所有證據進行評估并發表意見，只有在沒有發現實質性漏洞和審計師的工作沒有受到限制的情況下，審計師才可以發表無保留意見。如果存在實質性漏洞，審計師應當對財務報告的內部控制發表否定意見，如果工作范圍受到限制，審計師應當發表保留意見或無法表示意見，視受限制的范圍所定。

5.評估內部控制的缺陷。審計師必須評估已發現的控制缺陷，并且決定這些缺陷單獨或累加之后，是否是重要缺陷或實質性漏洞。對內部控制中缺陷的嚴重性進行評估時應當考慮以下幾個方面：某缺陷或缺陷匯總會導致某會計科目余額或披露事項產生錯報的可能性；某缺陷或多個缺陷造成的潛在錯報的嚴重程度。

(三)審計報告形成階段

1.審計師對管理層報告的評估。關于管理層對其內控有效性評估的報告，審計師應當評估下列事件：管理層對適當的內部控制制度的建立和維護是否已經聲明了它的責任；由管理層用來執行評估的框架是否是適當的；到公司最近財年結束時，管理層內部控制有效性的評估，是否不包含重大的錯報；管理層是否已經用一種可接受的形式表達了它的評估。

2.報告的修訂。如果存在以下任何一種情況，審計師就應當修訂標準報告：管理層的評估是不充分的，或管理層報告是不適當的；在公司的內部控制中有某個重要缺陷；在業務約定書的范圍方面的限制；為了自己的報告，審計師決定參閱其他審計師的部分報告作為基礎；自報告日期以來，發生了某個重大的期后事項；在內部控制的管理層報告中包含了其他信息。

3.審計師評估管理層對內部控制披露事項的確認。當內部控制中某一變化的理由是對某個實質性漏洞的糾正時，管理層就有責任來確定和審計師就應當評估：變化的理由和變化周圍的環境是否重要的信息來充分的確定披露該變化有誤導。

[參　考　文　獻]

[1]董建華.美國sox法案視角下對我國上市公司內部控制的思考[j].集團經濟研究，2007(22)

[2]朱光.試論內部控制制度審計[j].集團經濟研究，2007(1)

[3]周樹大.試論內部控制審計的性質[j].審計與經濟研究，1999(6)

[4]陳夢.coso報告對我國審計事業的啟示[j].財會通訊，2001(8)

篇10

關鍵詞：內部控制評價　比較與改進　基于審計的視角

內部控制評價不僅是公司治理的重要內容，而且也一直是審計人員關注的話題。在審計實踐中，對被審計單位的內部控制進行審計，必須有一套客觀可行的基本參照標準，即內部控制評價標準。目前我國內部控制評價主觀性大、評價標準不統一，不同企業控制環境、控制活動、監督環境差異較大，如果缺乏一些具體的標準和尺度，就會使評價流于形式，從而影響內部控制評價的合理性。因此，建立一套統一的內部控制評價標準體系就顯得很重要。美國的COSO《內部控制一整體框架》、英國的Tumbull指南和加拿大的CoCo《控制指南》，是當今世界影響重大的內部控制評價標準。2008年，財政部頒布的《企業內部控制基本規范》，無疑為我國建立統一的內部控制評價標準奠定了基礎。本文擬在比較各國內部控制評價標準的基礎上，提出改進我國內部控制評價標準的建議。

一、內部控制評價標準及分類

(一)內部控制評價標準　內部控制評價的目標就是評價內部控制的有效性。而內部控制的有效性從根本上講是依據內部控制目標的實現程度來判定的。鑒于內部控制目標實現程度的局限性，對內部控制有效性的判斷在現實情況下沒有選擇從結果理性的角度直接評價內部控制目標的實現情況，而是從過程理性的角度出發判斷內部控制的設計和運行的有效性。因此，內部控制評價標準要解決的問題就是：什么樣的內部控制才是有效的內部控制?當前，對這一問題的解決方法是設計內部控制的一個框架體系，即首先確定內部控制的范圍和目標，然后確定一個有效內部控制應當具備的要素，如COSO的《內部控制一整合框架》、Tumbull指南等都是這樣一個基本的思路。因此，在制定一個特定背景下的內部控制評價標準時，必然面臨的問題是要確定：內部控制的范疇與目標；內部控制應當包含的要素；這些要素之間的邏輯關系。而這些在很大程度上面臨著不確定性和選擇的問題，從而也就引發出另一個問題：什么樣的評價標準才是適當的。一個適當的內部控制評價標準至少應當滿足以下條件：相關性。與所要評價的內部控制的目標相關；中立性。制定過程遵循了透明的程序；一致性。可以適當一致地、定性和定量地衡量公司的內部控制，在類似的環境下付出同樣的努力實施的評價會得出大致相似的風險、測試結果和結論；可驗證性。有適當的評價軌跡，沒有參與評價的人能夠沿著這個軌跡重復評價或評估評價過程；完整性。沒有忽略會改變公司內部控制有效性結論的相關要素。按照這些條件，COSO內部控制框架、Tumbull指南和CoCo《控制指南》都是適當的評價標準。

(二)內部控制評價標準分類　由于不同規模企業的內部控制差別較大，所以，評價標準的設計應當考慮企業規模對內部控制的影響。按照適用企業的規模可以分為適用于一般企業的內部控制評價標準和適用于小規模企業的內部控制評價標準。從內部控制評價的整個過程來看，不但要明確什么樣的內部控制是有效的內部控制，還要明確如何有效地評價內部控制的有效性。因此，評價標準的整個體系要分為內部控制的評價標準和內部控制評價實施的標準或規范。從內部控制涵蓋的范圍來看，針對范圍大小不同的內部控制，可以分為企業財務報告內部控制、企業內部控制和企業風險管理的評價標準等。

二、內部控制評價標準的國際比較

(一)國際內部控制評價標準簡介世界各國都有其內部控制標準僅可。本文僅介紹以下國家內部控制的標準。

(1)美國的COSO報告。COSO《內部控制一整體框架》(簡稱COSO報告)是目前世界范圍內影響最大、應用最廣泛的一個標準，也是SEC(證券交易委員會)和PCAOB(公眾公司會計監管委員會)推薦使用的標準。20世紀70年代水門事件后，美國國會很快通過了《反國外賄賂法》，該法案除有反賄賂的條款外，還規定了與會計及內部控制有關的條款。這促使許多職業團體加強了對內部控制的研究，并了一系列準則、指南或建議。1985年，美國注冊會計師協會、管理會計師協會、內部審計師協會、國際財務經理協會及美國會計學會等機構共同贊助成立了防舞弊財務報告委員會。該委員會旨在研究舞弊性財務報告產生的原因及其相關領域，其中包括內部控制不健全的問題。1987年，在該委員會的建議下，其贊助機構又贊助成立了一個專門研究內部控制問題的委員會，即COSO委員會。經過三年多的潛心研究以及與相關各方的深入探討，COSO委員會于1992年提出了《內部控制一整體框架》專題報告，開創性地提出了內部控制整體框架的概念。COSO委員會成立的初衷和定位決定了其目的是制定一個服務于獨立公共會計師、企業、監管機構、其他相關者都需要的內部控制定義，為評價內部控制的有效性提供一個合理化的標準。COSO委員會提出的內部控制整體框架報告，凝集著半個多世紀來內部控制研究方面的積極成果，同時，在許多方面有重大的質的突破，代表著當今內部控制研究的最高成就，被公認為是內部控制發展史上一塊重要的里程碑。COSO報告提出了三項具體的目標和五項互相聯系的要素，首次將內部控制從平面結構發展為立體框架結構。內部控制的三類目標是一個組織努力的方向，而內部控制構成要素則是為實現這些目標所必需的條件，兩者之間存在著直接的關系。五類要素之間相互協調、相互聯系，每一個要素都適用于所有的目標類別，共同構成能夠對不斷變化的環境做出動態反映的一個整體。

(2)英國的Turnbull指南。鑒于上市公司提出應有一個內部控制方面的具體操作性的規定，倫敦股票交易所委托英國特許會計師協會成立了以Tumbull先生為主席，由董事長、總經理、財務經理、部門經理、外部審計人員、企業員工以及大學教授組成的委員會，就如何幫助在英國上市的公司貫徹執行“上市規則”和“聯合準則”中的建立健全內部控制的要求進行研究。該委員會1999年完成了一份系統的指導企業建立內部控制的報告，即《內部控制框架指南》。由于這個報告是在Tumbull先生領導下完成的，又稱為Tumbull指南。Tumbull指南一經，便為財務報告理事會、倫敦證交所、上市公司、公司外部審計人員所接受并在各自工作中運用。2005年，Tumbull指南在保持基本原則不變的情況下進行了局部的修改，并于2005年10月頒布了修改后的Tumbull指南。《Turmbull指南》對分散在英國法律、法規中涉及內部控制的規定進行了歸納和整理，立足英國的法律環境和公司治理特點，建立了具有原則導向性、風險導向性、框架指引性的內部控制指南。

(3)加拿大的CoCo《控制指南》。1992年加拿大特許會計師協會(CICA)成立了CoCo委員會，該委員會的使命是有關內部控制系統設計、評估和報告的指導性文件。經過三年的研究，coco委會員于1995年10月正式了關于內部控制的框架性文件――控制指

南。該指南對內部控制的定義、內部控制的要素、內部控制的作用、內部控制的參與者、內部控制原則進行了闡述，建立了一個完整的內部控制理論體系。在隨后的幾年中，CoCo委員會又陸續了一系列指導性文件，為CoCo內部控制框架的應用提供了具體詳盡的操作規范。CoCo委員會的控制指南在一定程度上參考了COSO委員會的內部控制框架，但CoCo的內部控制框架仍具有鮮明的特色。CoC。委員會報告指出：在任何一個企業中，控制均包括目的、承諾、能力、監控和學習四個最基本的要素。其中目的是對企業發展方向的描述，它包括企業的目標、面臨的風險和機遇、經營方針、計劃、業績目標及其評價指標等；承諾是對企業特質的描述，它涉及到企業的道德標準、人力資源政策、權力和責任的分配以及員工之間的相互信任等；能力是指企業相對于給定任務的勝任程度，它涉及到知識、技能和工具、信息及信息的傳遞、協調和控制活動；監控和學習則著眼于企業的發展，它包括對企業內、外部環境的考察、對經營業績的考核、對相關假設的質疑、對信息需求與信息系統的重新評價、追蹤調查及后續行動程序的建立以及對控制有效性的評估。在確立內部控制的整體框架后，coco委員會基于該框架提出了內部控制的基本原則。內部控制原則是內部控制理論與實務的聯結體，它為企業實施內部控制和評價內部控制有效性確立了標準。coco委員會的內部控制原則是《控制指南》的主要內容，同時也是CoCo委員會的重要貢獻。

(4)中國《企業內部控制基本規范》。為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，2006年，財政部、國資委、證監會、審計署、銀監會、保監會聯合發起成立企業內部控制標準委員會。2007年，企業內部控制標準委員會公布了《企業內部控制基本規范》(以下簡稱《基本規范》)及17項具體規范的征求意見稿，并于2008年6月頒布。企業內部控制標準委員會的建立及《基本規范》等的頒布，標志著我國內部控制建設進入了一個新的階段。我國的《基本規范》主要是在借鑒COSO報告的基礎上，結合我國的具體情況進行了適當修改和完善。在借鑒國外內控框架的同時，基本規范體現了以下創新：一是內容創新。基本規范中的五要素框架并未照抄照搬國外的框架，而是根據我國的實際情況作了較大調整，并在內容上大為充實，在表達方式上符合我國法規特點、文化傳統和語言習慣，使國外提出的較為宏觀、抽象的內控理念轉變為了具有針對性、實用性的內控規定。二是體系創新。除基本規范之外，我國還頒布了17項具體規范，并將繼續起草若干具體規范和應用指南；與此同時，還將研究、制定評價標準和配套實施辦法，形成全方位、立體性推進內控體系建設的局面。三是機制創新。我國的內控體系建設任務，是各部門、各方面通力合作、合力推進的，這使得內控問題從立法規范、標準建設、宣傳培訓、組織實施到監督檢查等有一個良好的溝通協作機制，避免了單純從某一局部、某一方面入手可能造成的局限和被動。

(二)內部控制具體評價標準的國際比較　以下對各國的內部控制評價標準做詳細的比較探討。

(1)內部控制的含義。COSO報告認為，內部控制是由董事會、管理層和員工共同設計并實施的，旨在為實現組織目標提供合理保證的過程。內部控制作為過程，其本身不是目的，而是實現目標的手段，內部控制的有效性也只是“過程”中某個時點上的一種狀態。按照這種認識，內部控制不能再被片面曲解為機械的制度、規定，而是與管理過程融合在一起，是一個不斷發現和解決問題的循環往復的動態過程。根據Tumbull指南，內部控制是一個旨在防止風險發生或將風險控制在可接受的低水平的系統。該系統包括公司的政策、過程、任務、行為和其他方面。健全的內部控制系統可以減少但不能消除決策中的拙劣判斷的可能性、人為錯誤、雇員或其他人員蓄意繞過控制過程、管理層越過控制以及不可預知情況的發生。因此，健全的內部控制系統可以提供合理但不是絕對的保證。CoCo《控制指南》使用的是“控制”，而不是“內部控制”，指出“控制”是“一個主體要素(包括實體資源、系統、過程、文化、結構和任務)的集合體，這些要素組合在一起能夠支持人們實現主體的目標”，“控制需要企業內所有成員的參與，包括董事會、管理層和所有其他員工；控制對達成企業目標只能提供合理的保證，而不是絕對的保證，這是因為控制本身存在內在的缺陷，如存在人為的錯誤或成本、效益約束等；控制的終極目的是為了創造財富，而不只是單純地控制成本；有效的控制需要保持獨立和整體、穩定和適應變化之間的平衡”。《基本規范》所稱內部控制，是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。由此可以看出。各國評價標準對內部控制的定義有些差異：COSO報告和《基本規范》認為是一個過程，Tumbull指南認為是一個系統，而CoCo《控制指南》則認為是一個要素的集合體。系統和集合體的范圍明顯要大于過程。盡管定義有些差異，但內部控制的本質卻是一致，都是為合理保證其控制目標的實現服務的。

(2)內部控制的目標。COSO報告指出，內部控制是為實現以下三類目標提供合理保證：經營的效率和效果、財務報告的可靠性、適用法律法規的遵循性。第一類目標針對企業的基本業務目標，包括業績和盈利目標以及資源的安全性；第二類目標關于編制可靠的公開的報表中的財務數據；第三類目標涉及企業對所適用的法規的遵循。Tumbull指南認為內部控制要實現以下三類目標：對風險做出適當反應促進經營的效率和效果；提高會計信息質量，防止財務欺詐；遵循法律規章。CoCo《控制指南》界定了“控制”的三類目標：經營的效率和效果；內部和外部報告的可靠性；遵守適用的法律、規章及內部政策。《基本規范》指出，內部控制旨在實現以下五類目標：企業戰略；經營的效率和效果；財務報告及管理信息的真實、可靠和完整；資產的安全完整；遵循國家法律法規和有關監管要求。由于各國的內部控制評價標準都是借鑒COSO報告的基礎上發展而來，Tumbull指南和CoCo《控制指南》的三類目標基本和COSO報告一致，而我國的《基本規范》在保留COSO報告原有的三個目標的同時，增加了企業戰略和資產安全完整兩類目標。COSO報告的三類子目標，基本上都屬于維持企業當期經營的范疇，著眼點在于企業生存，沒有站在企業戰略高度關注未來發展，而發展和戰略規劃問題是企業所有問題的根本。所以加上企業戰略的目標，更有利于企業應對未來外部環境變化帶來的風險。COSO報告認為，保護資產安全內部控制屬于經營效果效率目標的范疇，已經包括在經營效果效率內部控制之中，而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題，對財務報告可靠性有重大影響，應該包括在財務報告內部控制之中。這就導致了兩者出現分歧，單獨把保護資產安全完整作為一個目標，便能很好地解決這一分歧，因此，在COSO報告原有的三個目標的基礎上，加上企業戰略和資產的安全完整兩個目標，便顯得很有意義了。

(3)內部控制的構成要素。COSO報告提出了內部控制的五要素，五項要素是指控制環境、風險評估、控制活動、信息和溝通及監

督。以上五項要素實際上內容廣泛，相互關聯。控制環境是其他控制成分的基礎；在規劃控制活動時，必須對企業可能面臨的風險有細致的分析；風險評估和控制活動必須借助信息與溝通；內部控制的設計和執行必須受到有效的監控。關于控制要素，Turnbull指南提出了“四要素”論，即控制環境、控制活動、信息與溝通、監督檢查四部分。CoCo《控制指南》報告指出：在任何一個企業中，控制均包括目的、承諾、能力、監控和學習四個最基本要素。其中目的是對企業發展方向的描述，它包括企業的目標、面臨的風險和機遇、經營方針、計劃、業績目標及其評價指標等；承諾是對企業特質的描述，它涉及到企業的道德標準、人力資源政策、權力和責任的分配以及員工之間的相互信任等；能力是指企業相對于給定任務的勝任程度，它涉及到知識、技能和工具、信息及信息的傳遞、協調和控制活動；監控和學習則著眼于企業的發展，它包括對企業內、外部環境的考察、對經營業績的考核、對相關假設的質疑、對信息需求與信息系統的重新評價、追蹤調查及后續行動程序的建立以及對控制有效性的評估。我國的《基本規范》在內部控制構成要素上，采用的是五要素，即內部環境、風險評估、控制措施、信息與溝通和監督檢查。從形式上看，CoCo《控制指南》的四要素和其他國家的有很大差別，因為其對要素的劃分是按照員工執行一項任務的過程來劃分的。CoCo委員會認為：企業員工在執行企業所指派的任務時，將以他對企業目的的理解為指南，并以其能力作為支撐。員工的承諾或者說對企業的忠誠是員工在長時期內充分發揮自己能力和保持最優努力水平的保證。此外，員工必須對自身的工作業績和外部環境進行監控以便及時采取適當的后續行動，并在調整自身行動以適應環境變化的過程中學會更好地完成工作。實質上，CoCo《控制指南》的四要素基本上包含了COSO報告五要素的內容，只是劃分的角度不一樣。Turnbll指南與COSO報告相比，沒有把風險評估列為單獨的控制要素，因為其認為風險的評估貫穿內部控制的整個過程和所有層面，在某種意義上，內部控制等同于風險管理。盡管我國的《基本規范》借鑒了COSO報告的五要素，但在具體內容上卻有所創新。如由于我國與發達國家相比，公司治理結構還存在很多問題，《基本規范》使用的是“內部環境”而不是“控制環境”，這樣便更能強調公司內部治理結構對內部控制的影響作用。

(4)內部控制的責任主體。在COSO報告下，管理層對內部控制負主要責任，不但要向董事會下屬的審計委員會報告，還要評估內部控制的有效性并對外內部控制報告。在Turnbull指南下，董事會負責審查內部控制的有效性，管理層有責任監督內部控制系統，并向董事會提交評價內部控制有效性的報告；董事會要審查管理層的內部控制報告，對內部控制進行年度評估，并在年度報告中內部控制聲明。我國的《基本規范》對內部控制的主要責任主體的責任分別進行規定：企業董事會應當充分認識自身對企業內部控制所承擔的責任，加強對本企業內部控制建立和實施情況的指導和監督；董事長(或者法定代表人、代表企業行使職權的主要負責人)對本企業內部控制的建立健全和有效實施負責；經理(或者總裁、廠長)根據法定職權、企業章程和董事會的授權，負責組織領導本企業內部控制的日常運行；總會計師(或者財務總監、分管財務會計工作的負責人)在董事長和經理的領導下，主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。由上面的分析可以看出，在COSO報告中，內部控制的責任主體主要是管理層。雖然把董事會與內部控制聯系起來，但它的這種聯系僅僅局限于企業有一些事情需要董事會審批或授權，基本上把內部控制限定在CEO之下，而對董事會更為重要的作用和董事會與CEO之間的聯系和制衡關注不夠。而《基本規范》和Turnbull指南，都強調了董事會對內部控制的重要責任，并且與Turnbull指南相比，《基本規范》更加明確地規定各責任主體對內部控制的責任，使治理層和管理層的責任分工更加明確。

(5)內部控制的外部審計。在COSO報告下，審計師要在審計財務報表的同時對公司的財務報告內部控制進行審計，既要評價管理層對內部控制的評價，又要對內部控制的有效性發表意見。而在Turnbull指南下，審計師只是對董事會的內部控制聲明進行審查，并不需要對公司內部控制系統的有效性出具報告。因為，Turnbull指南與CoCo《控制指南》一樣，對內部控制的定義范圍比COSO委員會的定義更為寬泛。其目的在于為企業設計、評估、報告內部控制以及相關的公司治理事宜提供指導，而不是對企業內部控制的最低法定要求。因此，這一內部控制概念對公司財務報告的外部審計不適用，審計人員應根據審計環境和財務報告使用者的要求合理地確定與審計相關的內部控制范圍。在我國，執行基本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。由于我國對內部控制審計的范圍并沒有明確規定，這給內部控制的外部審計工作加大了難度，所以我國還只是鼓勵對內部控制進行外部審計，而不是強制要求。

(6)內部控制評價標準體系。從前面內部控制評價標準的性質和內容的分析中，我們知道，評價標準的整個體系可以分為內部控制的評價標準和內部控制評價實施的標準。盡管美國SEC基于靈活性的考慮并沒有制定內部控制的評價標準，而是規定了評價標準適當與否的條件，但指出COSO的內部控制框架為適當的標準，PCAOB也以此制定審計準則，從總體上來看，形成了一個層次清晰的體系。在評價標準上，包括：COSO《內部控制―整合框架》；COSO《財務報告內部控制―小規模公眾公司指引》；這兩項是進行內部控制建設的指引，也是后期進行評價和審計的標準；SEC的管理層評價內部控制的解釋性指南，這是企業管理層進行內部控制自我評估的指南；PCAOB的內部控制審計準則，這是審計師進行審計的標準，規定了審計的方法和程序。這就形成了內部控制標準、自我評估標準、審計標準的完整、規范的體系。在評價標準上，我國目前僅出臺了《基本規范》和17項具體規范的征求意見稿。在評價實施的標準上，意見不一。比如，有的是按照中注協的《內部控制審核指導意見》，而有的則按照《中國注冊會計師其他鑒證業務準則第3101號一歷史財務信息審計或審閱以外的鑒證業務》實施。

三、我國內部控制評價標準的建議

(一)制定技術規范時采用“風險導向、自上而下”的方法論　內部控制標準有效推進的關鍵是降低成本，提高效率。從技術層面看，提高效率的路徑在于：針對內部控制體系建設、內部控制評價和內部控制審計的每一個方面，在開發和制定技術規范時，要充分借鑒先進的方法論，并考慮我國內部控制環境的特點，做到簡潔、高效、實用和可操作。我國可采用“風險導向、自上而下”的方法。

(二)遵循五要素原則　控制環境、風險評估、控制活動、信息和溝通、監督五要素是一個相互聯系、綜合作用的有機控制整體，使單純的控制活動與企業環境、管理目標及控制風險相結合，形成一套不斷改進、自我完善的內部控制機制。五要素的有機結合，更科學合理，更有利于企業董事會、經理層和其他員工共同實施，為營運的效率效果、財務報告的可靠性及相關法令的遵循性等目標的達成提供合理保證。目前我國的企業內部控制基本規范已充分借鑒和吸收了五要素，在此基礎上有所創新和補充完善。