内部控制的初步评价篇1

【摘要】随着国际四大会计师事务所相继卷入会计丑闻当中，如何正确认识经营风险导向审计再次成为国内理论界和实务界争论的焦点。本文通过对“四大”审计风险评估模式进行比较，试图对“四大”之间审计风险评估模式的异同作一初步探讨，并对差异产生的原因进行分析，从而正确、客观地认识经营风险导向审计。

一、引言

近年来，国内外频繁爆发了一系列极具震撼力的重大财务舞弊案。从我国内地的琼民源、银广厦，再到美国的安然、施乐、世界通讯，这些舞弊案件在严重危及资本市场健康发展的同时，也使得审计职业面临信用甚至生存危机。国际五大会计公司之一的安达信因审计失败而倒闭，毕马威也因施乐事件而卷入到会计丑闻之中，“五大”中的另一家德勤更是因为“科龙门”事件遭遇集体诉讼。人们不禁对以安达信为代表的“五大”国际会计公司目前所推崇采用的，各自均认为是完美的经营风险导向审计（BusinessRisk-OrientedAuditing）提出了质疑。如何正确认识BRA再次成为国内理论界和实务界争论的焦点。

有关BRA的争论，源于审计理论界和实务界所站的角度不同，从而两者对BRA的认识也存在很大差异。BRA是以审计风险评价为中心的审计方法，是国际五大会计公司在面临大量申诉威胁的情况下开发的，目前已经在国际四大会计师事务所中得到全面推广。但遗憾的是有关“四大”在实践中究竟如何将审计风险具体落实到审计实务中从而来开展审计工作的，他们各自既未作系统介绍，也未曾公开。鉴于BRA以风险评估为中心，笔者从风险评估目标、风险评估范围、审计计划阶段风险评估程序、风险评估方法以及风险评估证据来源五要素入手，对“四大”审计风险评估模式进行比较，分析它们之间的异同之处，从而正确、客观地认识BRA。

二、风险评估目标

BRA产生的一个重要背景是因传统风险导向审计风险评估不到位，不能有效地发现财务报表中存在的重大错报风险，审计期望差越来越大。更深层次的原因是实务中很多客户在审计之后面临着很高的经营风险甚至经营失败风险而引发审计失败。尽管经营失败并不必然带来审计失败，但当被审计单位在审计完成以后发生经营失败导致审计失败，公众往往会有扩大注册会计师责任的倾向，因此会给注册会计师带来极高的诉讼风险。为有效降低注册会计师以及会计师事务所卷入诉讼的几率，以“四大”为首的大型会计师事务所开发了新的审计方法用以应对并控制诉讼风险，因此“四大”风险评估采用BRA的出发点是一致的，其总体目标也基本一致，即首先通过风险评估识别被审计单位的重大经营风险，特别是经营失败风险，并进而确定重大错报高风险(尤其是管理舞弊风险)环节，再根据风险的性质和高低确定审计的范围和重点，进一步决定如何收集、收集多少以及收集何种性质的证据，以便更有效地控制和提高审计效率及效果，从而将审计诉讼风险控制在可接受的风险水平之内。

三、风险评估的范围

BRA所持有的广义审计风险概念，使“四大”在风险评估时除了要考虑能够引起会计报表重大错报风险的具体风险之外，还要重点评估由于被审计单位经营失败而导致事务所本身遭受损失或不利的可能性，即对接受审计委托的业务关系风险进行评估。会计报表重大错报风险总体可分为两类：错误风险和舞弊风险。能够引起这两类风险，特别是舞弊风险的具体风险包括被审计单位的内外环境风险、管理风险、经营风险和财务风险等。这四类具体风险并不是独立的，而是相互影响相互作用，特别是其它三类风险都有可能引起经营风险，因此在进行风险评估时要注意它们之间的相互转化。除此之外，能够引起业务关系风险只有被审计单位的经营风险。由于经营风险既能够引起会计报表重大错报风险，又能够引起业务关系风险，因此BRA风险评估的重心是被审计单位的经营风险。“四大”的审计方法均将经营风险的评估作为风险评估的核心，风险评估范围总体上基本一致，但对风险评估具体范围的认识却存在差异。如KPMG和E&Y在开始审计时都要对被审计单位的经营目标、经营战略和关键经营流程进行分析，从而来评估被审计单位的重大经营风险；但PwC尝试了解所有用来管理企业的外部和内部的信息，并对被审计单位所有的经营风险进行识别和评估，利用其经营分析框架(BusinessAnalysisFramework)从四个维度(客户经营所在市场环境、客户经营目标战略、客户最关键的价值创造活动、管理当局经营业绩的财务计量方法)来对被审计单位的总体经营情况进行了解并对其经营风险进行评估。DTT则是全面了解影响被审计单位生产经营的内部因素(所有权结构、经营目标、会计政策等)和外部因素(所在行业情况、经营环境、法律法规要求等)，从而评估经营风险对会计报表整体和特定会计账户的影响。可见“四大”风险评估的核心是经营风险，具体范围的认识及对引起该风险的各风险因素的重视程度稍有差异，相比DTT，PwC、KPMG和E&Y在评估经营风险时更加重视对被审计单位经营战略以及经营流程的分析，更注重从粗犷的层面来对风险进行评估。

四、审计计划阶段风险评估程序

审计计划阶段就是一系列的风险评估过程，自始自终贯穿了风险评估程序。与制度基础审计相比，BRA审计方法非常强调审计计划的重要性，在一个完整的审计过程中审计人员要花大量的时间用于制定较详细的审计计划。而在审计计划的制定过程中审计人员就需要运用大量的风险评估程序对各种风险进行评估，从而来计划进一步审计程序的性质、时间以及范围。在审计计划阶段“四大”的风险评估程序总体思路基本上是一致的，但在具体风险评估程序上还存在一定的差异。

（一）经营风险评估

在审计开始时，“四大”都需通过一定的方式对影响被审计单位经营状况的内外部因素进行充分的了解，以收集充分、适当的风险评估证据。具体风险评估程序，PwC、E&Y和KPMG：战略分析战略经营风险评估战略相关控制了解及评价[战略控制和管理控制了解及评价]剩余战略经营风险评估流程分析流程经营风险评估流程相关控制了解及评价[流程控制和管理控制了解及评价]剩余流程经营风险评估剩余经营风险评估财务报表整体层次重大错报风险评估[财务报表整体层次(FST)重大缺陷风险(RMW)、重大错报风险(RMM)评估]；DTT：影响生产经营的内部因素了解影响生产经营的外部因素了解经营风险评估被审计单位整体层次内部控制了解及评价剩余经营风险评估财务报表整体层次重大错报风险评估。“四大”各自风险评估程序的异同。

1.共同点：一是“四大”关注的内外部因素相互之间基本相似，如行业状况、企业的目标、战略、企业财务业绩计量方法等，特别关注被审计单位的持续经营状况和舞弊可能性；二是“四大”都对被审计单位整体层次的内部控制整体框架进行了解。企业整体层次的控制是企业内部控制的组成部分，它们遍布整个企业，不仅仅只和某些特定的交易业务类别和账户余额或者其它具体认定事项相关。“四大”通过分别了解内部控制的五个组成要素(控制环境、风险评估、控制活动、信息与沟通以及监督)来实现对被审计单位整体层次内部控制整体框架的了解，继而重点评价内部控制对经营风险，特别是舞弊风险预防和侦查的有效性(如考虑是否存在管理层逾越内部控制的可能性等)，进而对剩余经营风险(即没有被整体层次内部控制防止或检查出的经营风险，包括舞弊风险)进行评估。

2.差异：一是对被审计单位经营状况了解时关注的重点稍有差异。具体在了解被审计单位经营状况的方式上，PwC、KPMG和E&Y三者都是通过战略分析和流程分析两个程序来了解的，将最主要的精力花在对被审计单位经营目标和战略以及关键的价值创造流程的分析上，从而来评估经营风险；DTT是通过了解影响被审计单位生产经营的内外部因素来了解被审计单位经营状况的，并没有表现出对上述因素特别的关注，而是通过综合分析影响被审计单位生产经营的内外部因素，从而评估经营风险。由于上述了解方式差异的存在导致了前三者在对被审计单位经营状况了解时关注的重点和DTT稍有差异。二是DTT和PwC、KPMG、E&Y在风险评估程序上也体现出了较大的差异。在了解企业整体层次内部控制和评估经营风险时，后三者是通过对战略、流程相关的控制分别进行分析了解以及对相关的经营风险分别进行评估来完成的。而相比KPMG将风险评估的层次明确划分为三个，即财务报表整体层次(FST)、重大交易业务类别和账户余额层次(CAB)以及内在认定层次(ASR)，并引入“重大缺陷风险”(RiskofMaterialWeakness,简称RMW)概念，同时借鉴国际审计准则“重大错报风险”(RiskofMaterialMisstatement,简称RMM)概念，规定审计人员必须在三个层次下分别对RMW和RMM进行评估。在该步骤中KPMG最后需要分析剩余经营风险对财务报表整体的影响，并在财务报表整体层次(FST)对重大缺陷风险以及重大错报风险进行初步评估。KPMG更是明确将企业整体层次内部控制分为战略控制、管理控制和流程控制，又将经营风险分为战略经营风险和流程经营风险。因此，在概念上定义更加清晰。而DTT对内部控制和经营风险既没有进行明确的分类，在了解内部控制和评估经营风险时也没有分别进行了解和评估。

（二）固有风险评估

“四大”在评估固有风险之前首先都要对被审计单位财务报表的重要账户、重大交易类别及相关重大认定进行识别，该步骤“四大”各自风险评估程序，PwC、E&Y和DTT：财务报表重要账户、重大交易类别及相关重大认定识别(结合财务报表整体重大错报风险)认定层次固有风险评估；KPMG：财务报表重要账户、重大交易类别及相关重大认定识别(结合FST层次重大错报风险)CAB层次以及ASR层次固有风险评估；经分析，“四大”各自风险评估程序的异同：

1.“四大”识别风险的红旗标志基本一致，如重要账户的识别标准包括账户存在重大错报的可能性、相关交易的数量和复杂性、经营风险的影响以及所需判断的程度等。“四大”在低层次对固有风险进行评估时，除考虑传统方法下所需考虑的因素(账户性质和组成、交易复杂程度、关联方等)之外，还重点考虑剩余经营风险对财务报表整体的影响，即考虑财务报表整体重大错报风险对相关账户、交易类别和认定产生的影响，因财务报表整体层次的重大错报风险同样可能会在低层次继续存在。特别是当已经识别到被审计单位可能存在舞弊情形时，审计人员尤其要关注舞弊风险对财务报表重要账户、重大交易类别及相关重大认定的影响。

2.KPMG与其他三者存在一定的差异，主要体现在两方面：一是在识别重要账户、重大交易类别及相关重大认定的时间安排上有所不同。KPMG是在对被审计单位执行战略分析和流程分析的同时对重要账户、重大交易类别及相关重大认定进行识别的，可见其在时间安排上相比有所提前。二是KPMG需要在CAB层次以及ASR层次下分别对固有风险进行评估，而PwC、E&Y和DTT则仅仅在认定层次进行评估。

（三）控制风险初步评估

由于企业(特别是像“四大”客户那样的大中型规模的企业)低层次具体的内部控制(除了控制环境要素以外的其它四要素)主要是针对各个交易业务类别来设计的，因此“四大”在了解低层次内部控制时是通过将被审计单位的业务划分成若干业务循环，再按每一业务循环去了解内部控制。具体PwC和DTT：识别并了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估决定认定层次审计策略(信赖/不信赖内部控制)(信赖)执行控制测试；KPMG：识别并了解CAB层次以及ASR层次关键控制CAB层次以及ASR层次内部控制有效性评价(结合对FST层次内部控制的了解)CAB层次以及ASR层次RMW(即控制风险)初步评估决定CAB层次以及ASR层次审计策略(信赖/不信赖内部控制)(信赖)分别执行控制测试；E&Y：识别认定层次关键控制初步决定认定层次审计策略(信赖/不信赖内部控制)(信赖)了解认定层次关键控制内部控制有效性评价(结合对企业整体层次内部控制的了解)认定层次控制风险初步评估，决定是否执行控制测试。这种了解方式能使审计人员的注意力集中在各业务循环的关键控制点上，提高审计程序的效率，也便于审计人员在以后的审计程序中按不同的业务循环采取不同的审计策略，“四大”的BRA与传统审计方法是保持一致的。各自对控制风险进行初步评估异同点如下：

1.PwC和DTT对控制风险进行初步评估程序基本一致。由于KPMG对风险评估层次划分的差异，使得KPMG在该步骤上同上述两者存在相应的差异。KPMG需要识别和了解CAB和ASR两个层次的关键控制,并对这两个层次内部控制的有效性分别进行评价，从而对各自的RMW(即控制风险)分别进行初步评估。再则PwC和DTT只需决定认定层次的审计策略，KPMG还需在CAB和ASR两个层次下分别决定审计策略，对于采取信赖内部控制策略的则要计划进一步的控制测试。

2.E&Y与PwC、DTT存在一些差异。在识别了认定层次的关键控制后，E&Y首先要决定相关认定的审计策略，对于采取信赖内部控制策略的认定就要进一步识别并了解和其相关的关键控制，而对于采取不信赖内部控制策略的认定就直接计划进一步实质性测试，不用了解和其相关的内部控制。对于采取信赖内部控制策略的认定，在对其控制风险进行初步评估后，还需要最后决定是否对相关控制执行进一步的控制测试。

（四）计划进一步审计程序(计划控制测试和实质性测试)

计划进一步审计程序是审计计划阶段的结束程序。由于固有风险和控制风险都受企业内外部环境的影响，两者之间联系紧密，很难将它们单独分得非常清楚。因此在该步骤中，“四大”在单独对它们进行初步评估的基础上还须对两者进行综合评估，即固有风险和控制风险的联合评估，得出被审计单位财务报表低层次存在的重大错报风险。最后根据审计风险模型计算得出相应层次的检查风险初步水平，并依据检查风险初步水平来进一步计划相应层次实质性测试的性质、时间以及范围。该步骤“四大”各自风险评估程序：PwC、E&Y和DTT：计划控制测试的性质、时间以及范围认定层次固有风险和控制风险联合评估认定层次检查风险(DR)推导计划实质性测试的性质、时间以及范围；KPMG：计划控制测试的性质、时间以及范围CAB、ASR层次RMM初步评估CAB、ASR层次DR推导计划CAB、ASR层次实质性测试的性质、时间以及范围。特别指出的是，E&Y在认定层次下将固有风险和控制风险进行联合时专门引合风险(CombinedRisk)的概念，定义联合风险为财务报表重要账户以及财务报表其它相关认定固有风险和控制风险的联合，并明确指出联合风险是审计工作的核心，其余的审计工作都要围绕联合风险来进行，联合风险的评估结果是决定实质性审计程序性质、时间以及范围的基础。事实上，国际审计与鉴证准则委员会(IAASB)正是受到“四大”对固有风险和控制风险进行联合评估构思的启发才引入“重大错报风险”概念的。因此可以说，“四大”对固有风险和控制风险的联合评估是对传统审计方法风险评估模式的一大创新。经分析，该步骤PwC、E&Y和DTT风险评估总体程序基本一致，而KPMG在该步骤上与其他三者存在一些差异。KPMG需要将CAB层次以及ASR层次各自的固有风险和RMW分别进行联合评估，从而来初步评估各自层次的RMM，在此基础之上再根据审计风险模型分别计算CAB、ASR层次的检查风险水平，并进一步计划CAB、ASR层次各自实质性测试的性质、时间以及范围。而其他“三大”仅仅需要在认定层次将固有风险和控制风险进行联合以及在认定层次计划实质性测试程序即可。

五、风险评估方法的运用

BRA在风险评估时除了应用其他的方法之外，最注重对分析性程序的运用，审计人员不仅对财务数据进行分析，同时也对非财务数据进行分析，同时大量的分析性工具和现代管理方法被运用到分析性程序中去。虽然“四大”在风险评估时都注重分析性程序的运用，但相互之间对分析性程序的重视程度和应用力度还是存在一些差异的。

由于在审计计划阶段对被审计单位经营状况进行了解的方式不同，相比DTT，PwC、KPMG和E&Y更加注重对分析性程序的应用，在执行分析性程序时运用的分析性工具也相对较多。如在战略分析时运用了PSET分析和POPTER分析方法；在流程分析时运用到了价值链分析(VCA)和波士顿矩阵(BCG)以及SWOT分析方法；在绩效分析时运用了平衡积分卡(BSC)和标杆管理(Benchmarking)分析技术等。而DTT在了解被审计单位经营状况时并没有将最主要的精力花在研究客户的经营战略和经营流程上，而是综合考虑了影响被审计单位生产经营的内外部因素，同时对报表资料实施初步分析性复核，如同业分析、纵向分析、非财务数据与财务数据比较以及财务数据之间比较等。而在PwC、KPMG和E&Y三者中，PwC更加注重也更擅长应用分析性程序来进行风险评估。这主要是因PwC的客户多数为成熟型的超大规模公司，通过对客户实施大量的分析性程序有助于大大提高审计效率；同时也因为PwC本身具有的风险评估工具――全球最佳实务(GlobalBestPractices,简称GBP)――使得其更擅长实施大量的分析性程序。

六、风险评估的取证

风险评估其实就是评价管理当局在财务报表中确认和披露的信息与被审计单位实际经营状况之间的符合程度，而要了解被审计单位的实际经营状况就需要从多方面获取足够恰当的证据。证据可以从公司内部或者公司外部获取，由于从公司外部获取的证据相比从内部获取的证据更加不易受管理当局控制和歪曲，因而相对来说具有较高的可信度。BRA在风险评估时除了注重从公司内部获取证据之外，也注重从公司外部获取证据。如“四大”在了解被审计单位的经营状况时都要获取公司外部信息（行业市场状况、相关法律法规以及总体经营环境等），还会询问投资者、分析家以及前任注册会计师（若为新客户的话）对被审计单位经营状况的看法。

特别值得一提的是，近年来KPMG在对风险评估证据理论研究方面已经有了新的进展，最重要的研究成果就是提出了审计证据“三方印证”的理念。KPMG将风险评估基本证据来源分为三种，即EBS(EntityBusinessStates)、MII(ManagementInformationIntermediaries)以及MBR(ManagementBusinessRepresentations)，并将其获取证据的方法称为Triangulation(三方印证)，指从上述三个基本证据来源收集可以相互佐证的证据的方法。由于从EBS获取的证据属于外部证据范畴，不容易被管理当局歪曲，因此该方法强调在风险评估三个层次(FST，CAB，ASR)评估风险时均要用从EBS获取的证据来对从MII和MBR获取的证据进行佐证，这样可以帮助审计人员发现会计报表重大错报风险以及在财务报告内部控制方面的重大缺陷风险。目前“三方印证”的取证理念已经代表了风险评估取证的一个新方向。

结束语

内部控制的初步评价篇2

内容摘要：实践表明，变更是跟踪审计中普遍存在的现实情况，变更的出现常会导致业主对投资失控，及时获取真实有效的变更信息，是维护业主利益的保证。本文从变更的定义、分类和特点出发，对业主建立变更控制内部流程和在跟踪审计中实施变更控制的基本方法进行分析，为业主在跟踪审计中进行变更控制提供了一定的理论支撑。

关键词：跟踪审计变更控制

建设项目是一种特殊的产品，各单项工程、单位工程和分部分项工程之间有着紧密的内在工艺联系。当出现频繁的变更时，势必会打乱正常的作业顺序，造成项目停工或返工，出现项目工期延长和造价增加的局面。因此，如何有效控制变更发生的数量，减少变更对造价及工期的影响，已成为业主在工程实施过程时跟踪审计中的重要任务。

变更的内涵与分类

（一）变更的内涵

学者们针对于变更的定义通常包括以下几种：AwardSHanna.PE.RchardCamhc（2002）等提出：变更是指导致对项目初始范围实施时间或价款调整的任何事件。HRandolphThomasandCarmenLNapohtan（1995）认为变更是指对工程初始范围的所有改变。中国工程咨询协会（2002）提出：变更可以是以下事件中的任何一项：合同中包括的任何工作内容的数量的改变（但此类改变不一定构成变更）；任何工作内容的质量或其他特性的改变；任何部分工程的标高、位置和（或）尺寸的改变；任何工作的删减，但已交他人实施的工作除外；永久工程所需的任何附加工作、生产设备、材料或服务，包括任何有关竣工实验、钻孔和其他实验和勘探工作；实施工程的顺序或时间安排的改变。

（二）变更的分类

设计变更。指在施工合同履约过程中，由工程不同的参与方提出，最终由设计单位以设计变更或设计补充文件的形式，对承包方发出的变更指令。设计变更是工程变更的主体内容。

施工措施变更。即在施工过程中承包方因工程地质条件的变化、施工环境或施工条件的改变等因素的影响，向监理工程师和业主提出改变原施工措施方案的过程。

条件变更。属于在施工过程中，因业主未能按照合同约定提供必须的施工条件以及不可抗力事件，导致工程无法按预定计划实施的变更。

计划变更。指在施工过程中，业主因上级指令、技术因素或经营需要，调整原定的施工进度计划，改变施工顺序和时间安排。

新增工程。即在施工过程中，业主提出要扩大建设规模，增加原招标工程量清单之外的建设内容。

（三）变更的特点

建设项目变更的特点可以从可控性、技术性、所处阶段、频率和来源等五个层面加以描述，如表1所示。

设计变更和施工措施变更的可控性较强，而其它变更的可控性一般或较弱；设计变更的技术性最强，施工措施变更次之，其余变更则较弱；设计变更和施工措施变更可在工程施工所有过程发生，其他变更则主要集中在工程主体施工和装饰阶段；设计变更发生的频率最高，施工措施变更次之，其他变更则较低。业主、承包方、监理方和设计方均可能提出设计变更和施工措施变更的要求，计划变更和新增变更一般由业主方提出，条件变更则通常由业主方提出或不可抗击事件引起。

变更控制与跟踪审计的关系

在现行建设项目的工程量清单招投标模式下，经评审的合理低价往往是业主在工程招标中选择承包商的基本方法，这导致承包商为谋求中标，会选择低价中标路线，而一旦中标，变更就成为承包商调整其工程量清单综合单价的唯一途径。

跟踪审计实质就是实时审计，又称为同步审计，指在项目建设过程中，及时对其各阶段或期间的审计事项进行审计，目的是促使建设项目实现“质量、进度、效益”三项目标（朱漪文，2007）。其审计内容包括事前的招投标审计和合同审核及预算审核，事中变更真实性和有效性的审核，事后竣工结算审计等。通过实行跟踪审计能及时获取变更信息，有效监督投资管理、建设管理各环节以及建设资金筹集、使用情况，防止建设资金流失和行为的发生，达到最大限度地维护业主利益的目的。

变更的内部控制流程

根据变更的特点，业主组织机构的工程部、设计部、采购部、合约部、销售部和总工程师等部门都与变更控制相关，其承担变更控制职责及工作流程如图1所示。

在图1中，业主的工程部负责工程变更建议书的受理及初审。对于一般变更，工程部既是变更建议书的受理方也是审定方；对于重大变更或重要变更，在工程部初审合格后还需提交到其他部门做进一步评审。先是设计部的技术性评审，对变更方案的可行性和先进性以及对项目功能的影响进行评价。再进入到合约部进行经济性评审，实施变更方案的成本测算或复核，分析变更方案实施前后投资额，评估工程对工期的影响。合约部评审完成后进入到销售部进行价值性评价，对实施前后建设项目的功能改进与实施成本之间的关系进行比较，选择价值系数较大的方案作为变更实施的推荐方案。之后是采购部的资源可供性评审，对变更建议方案所涉及的材料、设备和施工机具等进行市场可供性调查和评价，进一步衡量变更建议方案实施的可行性。最后送交总工程师进行审定，如果是重要变更，则总工程师可以做出最终裁决；对于重大变更，还应进入业主的董事会审查程序；若由于重大变更造成建设项目规模和建设标准超出原项目审批机关批准范围时，则应报原项目审批机关审定。

对于设计变更以外的变更方案一经业主内部评审合格，即可编制正式变更文件和处理关联变更，由业主变更指令实施变更。合约部负责变更价款的中间结算，对合同价款及工期进行相应调整，提供变更实施效果评估结论，依据总承包合同中约定的奖罚条款对变更建议方进行奖励或处罚。此外，合约部在最终的变更总结中，还要对控制流程的合理性以及各类合同中有关变更条款的实效性进行评估，以期提升业主变更控制的质量和效益。

变更的控制方法

内部控制的初步评价篇3

【关键词】内部控制控制评审评价

近年来，国内相关机构和企事业单位顺应单位管理的内在需要，逐步引入了内部控制及内部控制评审的理论，组织开展了一系列理论研究和实务探索，取得了一定成果。本文以内部控制评价为目标，以内部控制要素的评审为基础。以内部控制系统的业务流程测试检查为手段，对内部控制评审的内容、程序、方法、评价标准等进行了初步探讨。

一、内部控制、内部控制评审的定义

(一)内部控制的定义

在西方国家，内部控制的概念具有历史性，内部控制(InternalControl)一词，最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。之后，随着内部控制理论以及认识的不断发展。至二十世纪的七十年代在美国以及其他一些西方国家和组织，内部控制概念的内涵和外延也都发生了较大的变化，内部控制理论由最初的“内部牵制理论”阶段，发展到“内部会计控制与内部管理控制”时期。

1992年。美国反欺诈性财务报告委员会的主办机构委员会(即COSO委员会)了《内部控制――整体框架》报告，即著名的COSO报告，报告对内部控制的定义为：“内部控制是由单位董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。这也是目前比较成熟的内部控制理论，它受到了各国理论界和实务界的广泛关注和普遍认可，国际内部控制理论也因此发展到“内部控制结构和内部控制整体框架理论”阶段。此后，COSO报告也成为美国各界，乃至世界上许多国家和组织制定内部控制文件的依据。

在我国，许多部门、机构和行业也从自身需要出发对内部控制作出过定义，但大都是根据部门或行业不同要求而各有侧重。本文所探讨的内部控制和内部控制评审主要是基于COSO报告的定义。

(二)内部控制评审的定义

目前，国内外的理论界和实务界对内部控制评审的定义尚未形成统一的认识。COSO报告认为，在内部控制系统中，所有部门、岗位都在其中充当着角色。从内审的角度来看，内部控制评审是指以内审人员为主，吸收相关专业技术人员和专家参加的，对内部控制系统建设、实施情况进行的调查、测试、分析、审核和评价等系统性活动，主要测评内部控制系统是否健全、合理，以及执行是否有效，以便进一步完善内部控制系统，改进控制方法和手段，降低控制成本，堵塞管理漏洞，提高内部控制效率，保证生产经营管理活动有序、高效、健康地运行。

二、内部控制评审的内容

内部控制系统的设计不论是按部门、按项目，还是按业务流程。都是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的，因此内部控制评审也应是对内部控制五大要素的评审，评审的内容就是内部控制系统五大要素的各项内容是否健全、是否合理以及执行是否有效。

(一)自部控制环境评审的内容

内部控制环境是内部控制的基础。它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境的评审是指对内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有：组织架构的建立、规范运作和分权制衡：内部控制系统中董事会的建立和完善责任，监事会的监督责任，高级管理层的执行和完善责任；内部控制目标的建立、改进和实现；健康的企业文化建立情况和企业文化为内部控制提供适宜环境；人力资源政策和程序、人力资源日常管理情况等。

(二)风险识别与评估评审的内容

风险识别与评估是指识别和分析那些妨碍实现经营管理目标的各项因素的活动，它包括风险识别和风险分析评估两部分，对风险的分析评估构成了风险管理决策的基础。

风险识别与评估的评审是指对来自内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是风险识别与评估机制及其运行是否健全、合理、有效，主要包括在经营管理活动中风险的识别和评估是否充分、合理：识别和获取适用法律法规要求的程序建立和执行的情况；与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。

(三)自部控制活动评审的内容

内部控制活动是指为了确保经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。

内部控制活动的评审是指对为进行管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是内部控制活动的健全性、合理性、有效性，主要包括所采取的控制措施和程序的健全、合理、有效程度；计算机系统环境下，为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；应急预案的建立和执行、应急设备和设施的定期检查情况等。

(四)监督评价与纠正评审的内容

监督评价与纠正是指由特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况，可采取持续监督和个别评估分别进行或两者结合进行的方式。

监督评价与纠正的评审是指对内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审，主要包括内部控制绩效监测程序建立和执行；内部控制系统监督评价书面程序的建立和执行：对内部控制进行不断完善的情况等内容。

三、内部控制评审方法

内控评审的方法多种多样，可以使用一种方法，也可以同时使用多种方法进行，要根据评审的实际灵活运用，不应有所限制和局限，评审方法的选择应以符合实际、科学方便、经济实用为原则。

(一)抽样法

通过抽取一定数量且具有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。它需要在制定评审实施方案时确定具体的抽样规模和比例，评审人员从财务凭证和合同的签订人手，对每一业务流程或特定控制点抽取一定数量的业务进行测试，据此来推断内部控制的总体状况。在抽取样本时，所抽样本要有一定的代表性，尽可能包括大、中、小三种金额类型，以便全面反映内部控制的执行情况，可采取整批抽样、分层抽样、系统抽样、随机抽样等方式。在抽样方法中，重要的是样本范围的制定和抽取，只要按照合理的允许的误差科学地抽取了样本，通过对样本的评审是能够满足对单位整个经济活动的评审需要的。

(二)穿行测试法

穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与评价。即评审人员在每一类循环中选择一笔或若干笔具体业务，比照业务流程从头到尾检查其实际处理过程，检查测试该流程步骤和控制点的执行情况，以验证所描述的内部控制的客观性和真实性。这是内部审计经常运用的一种简便易行的技术方法，特别适用于对内部控制的评审中，通过对一笔或若干具体业务的穿行测试，可以比较直观有效的反映一个或若干业务流程的内部控制情况。

(三)证据检查珐

证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时，要求被评审单位在限定的时间内，提供被评审业务主要控制点对应的相关资料，如凭证、账簿、报表、借据、协议合同等等。通过对这些书面证据的检查，验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。

(四)压力测试法

即测试被评审单位关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。

(五)流程图法

流程图法主要用于内部控制系统的健全性和合理性测试，即利用符号和图形来表示被评审单位组织结构、职责分工、权限、经营业务的性质及种类，各种业务处理规程、各种会计记录等内部控制状况的示意图。流程图法的运用可以使评审人员清晰地看出被评审单位内部控制系统如何运行，业务的风险控制点和控制措施，有助于发现各内部控制系统的缺陷和评审重点。

四、内部控制评价标准与结果

评审组在现场评审结束后，应依据内部控制评价标准，对被评审单位进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则，做到量化合理、定性准确。在对各项评审内容严格审查、测试和初步评价的基础上，应对单位整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价，内部控制的评价标准也就是内部控制是否健全、是否合理适用以及执行是否有效的问题。

(一)自部控制的健全性

内部控制的健全性是指单位根据生产经营管理的自身需要，应设置的内部控制系统的内容都比较完备，而且所设置的内部控制系统对单位的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。

(二)内部控制的合理性

内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性，它是在健全性的基础上对单位内部控制更深一层次的要求，评审组根据对内部控制评审内容的测试结果做出评价。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。

(三)自部控制的有效性

内部控制的有效性是指设计比较健全、比较合理的内部控制在单位的生产经营管理过程中，能够得到贯彻执行并发挥作用，实现其为单位提高经营效率、规避财务风险和经营风险、遵循国家法律法规提供合理保证的目标。有效性是内部控制的精髓，评审组应根据对内部控制评审内容的测试结果，对各项业务目标是否能够实现，各项业务风险的评估与规避情况如何，内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。

内部控制的初步评价篇4

关键词：内部审计；内部控制；风险管理

一、内部审计和内部控制关系

中国内部审计师协会在最新的《内部审计定义》中将内部审计定义为：“内部审计是一项独立、客观的鉴证和咨询服务，其目标在于增加价值并改进组织的经营。它通过一套系统、规范的方法评价和改进风险管理、控制和治理过程的效果，以帮助组织达到目标。”可以看出，内部审计职能不仅包括传统的监督职能，更要强调通过评价而促进经营管理活动效率和效果的提高。

内部控制，简单来说，就是为实现组织目标而提供合理保证的一系列控制方法、措施和程序。中国《企业内部控制基本规范》对内部控制的定义内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。并且提出了内部控制五要素内容，即内部环境、风险评估、控制活动、信息和沟通以及内部监督。

基于以上对内部审计和内部控制的定义，我们可以得知：

1.内部审计是内部控制的重要组成部分。内部审计在内部控制中属于内部环境要素范畴，是单位自我独立评价的一种活动，内部审计本身就是一种控制，它按照内部控制要求，通过内部控制制度为其制定的审计程序和方法及要完成的任务、达到的目标，协助单位最高管理者监督内部控制政策和程序的有效性，来促成好的控制环境的建立，并为改进内部控制提供建设性意见。内部审计在风险管理中发挥不可替代的独特作用，没有内部审计的评价、监督，就不能形成良好的企业内部控制制度。

2.内部审计又是对内部控制的控制。内部审计独立于会计控制之外，代表管理层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行评价，具有其他任何部门和控制所无法代替的重要作用。目前，内部审计范围已从传统的财务收支审计扩展到经营管理的各方面。内部审计促进内部控制，通过分析问题产生的原因和影响，协助单位上层管理者完善内部控制，促进内部控制的健全，维护内部控制的建设。

3.二者相辅相成，缺一不可。内部审计需要内部控制，内部控制素质比任何其他因素更能决定审计的形式。没有健全的内部控制制度作基础，审计就无法开展；没有良好的内部控制，会计、财务信息会出现失真，管理人员责任会不明确，管理会出现混乱现象等，不仅会加重内部审计工作量，而且会加大内部审计的风险，从而制约了内部审计的发展。同理，内部控制需要内部审计，没有内部审计对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议，内部控制也只能原地踏步，造成与现实不符，效果不佳，甚至形同虚设，或因内部控制的局限性，给不法之徒以可乘之机，造成内部控制失控。

4.内部审计的角色由监督者逐步转变为控制者。国家审计署原审计长李金华曾讲过，要把内部审计定位为四个字“管理+效益”，将内部审计作为一个控制系统而不仅是一个检查系统。内部审计师的主要作用是“确认和建议”，而不再是以往的“监督和复核”。他们通过咨询活动，为管理当局提供专业服务，为风险管理出谋划策，降低企业风险，从而在实质上促进财务报告内容的确定性和质量的提高。

二、如何通过内部审计强化内部控制

那么，在一个单位内部，如何开展内部控制的专题审计呢？

1.要明确内部审计对内部控制的评价是基于内部管理的要求。

2.评价范围是全方位的，包括单位所有的内部控制。即内部审计要以整个单位内部控制系统为评价对象，检查和评价内部控制制度的设计和运行情况。

3.审计的内容是内控的完整性、合理性、有效性。通过对内控的完整性、合理性、有效性进行评价，能够不断促进内控的建立健全，帮助企业内部各部门有效地履行各自管理职能，强化企业管理。

4.方法。与外部审计类似，即运用检查、访谈、观察以及重新执行等程序。检查即是指通过检查交易和事项的凭证来反证内部控制的有效性；访谈和观察是指就企业内部控制设计和执行等方面的情况向相关人员调查、了解，并进行实地观察，从中发现内部控制实际运行情况；重新执行是指选择相应的交易和事项，重新通过要审查的内部控制系统，验证内部控制在运行上是否有效。

5.程序。内部审计对被审计单位的内部控制制度的分析与评价分四个步骤：

(1)了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。

(2)初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。

(3)实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。

(4)评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。首先，在准备阶段由内部审计人员制定评价实施方案，明确本次评价的目的、范围、准则、时间安排和相应的资源配置，准备必要的工作文件，包括评价问卷、抽样计划、单位内部控制体系文件和相关记录等；其次，由内部审计人员按照既定的评价方案实施评价，对被评价项目进行测试，对有关数据进行确认和分析，并予以记录；最后由审计人员根据评价实施情况，对单位的内部控制制度进行综合评价后，撰写并提交评价报告，包括对存在问题的分析和改进的合理建议，还要与管理层沟通，核对数据，确认事实，以帮助其提升管理的效率效果。

6.关于内部审计人员的配备。现代内部审计要求内部审计人员必须具备广博的知识和多元化的技能，不仅要掌握财会审计等专业的知识，还需要掌握管理等方面的知识，要能够熟悉企业战略、目标和计划，了解企业经营管理的各项职能，因为只有这样才能为不同层次以及不同职能部门的管理者提供他们所需要的服务。除此之外，处理人际关系的能力和技巧也是必需的，只有与被审计单位以及企业管理层和内部各个职能部门保持良好关系，才能使内部审计职能得以发挥，内部审计报告得到重视，内部审计增值目标得以实现。所以，企业一定要重视对内审人员的培训，使其知识结构更加合理，以便能够更好地发挥内部审计的职能，帮助企业提高其管理的效率效果。

三、结束语

随着社会经济的发展，内部审计的边界在不断扩展，层级在不断提升。现代内部审计，确认和咨询是其两大服务领域，以“为组织增加加值，促进组织目标的实现”为宗旨，是融合风险管理审计、内部控制审计和公司治理审计于一体的全面内审，在继续维持其传统领域的同时，还要整合内控、风险管理和公司治理，并且要加强全面沟通，为组织创造更大的价值。所以，对于内部审计和内部控制的关系以及内部审计如何在内控方面风险管理方面更好地发挥作用，仍有很多内容挖掘，本的还远远不够，还需要我们继续不断地探讨。

参考文献:

[1]关萍:健全内控制度强化内部审计[J].冶金财会，2007，(7)：40-41.

[2]王桂云:浅谈企业内部审计存在的问题及对策[J].财会研究，2007，(3)：102-103.

[3]王家斌:强化企业内部审计防止内部控制失效[J].工业审计与会计，2007，(4)：26-27.

内部控制的初步评价篇5

关键词：企业;内部审计;内部控制;评审

近年来，国内相关机构和企事业单位顺应企业管理的内在需要，逐步引入了内部控制及内部控制评审的理论，并组织开展了一系列理论研究和实务探索，取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。

一、内部控制、内部控制评审的定义

1.内部控制的定义

内部控制一词，最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展，内部控制理论由最初的“内部牵制理论”，发展为“内部会计控制与内部管理控制”。

1992年，美国反欺诈性财务报告委员会的主办机构委员会（COSO委员会）了《内部控制—整体框架》报告，即著名的COSO报告，报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论，受到各国理论界和实务界的广泛关注和普遍认可。

2.内部控制评审的定义

COSO报告认为，在内部控制系统中，所有部门、岗位都在其中充当着角色，内部审计也是如此。内部审计既是企业内部控制的重要组成部分，又是监督与评价内部控制的主要部门和主要手段。2002年以来，国际内部审计重新介入内部控制这一领域，在原先以内审部门实施内部控制评价的基础上，加强了与业务管理部门自我评估的结合，注重相关业务部门技术人员的参与，要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。

从内部审计的角度看：内部控制评审是指由企业董事会下设的审计委员会组织开展的，以内部审计人员为主，吸收相关专业技术人员和专家参加的，对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动，主要测评企业内部控制系统是否健全、合理，以及执行是否有效。

二、内部控制评审的内容

企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的，因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。

1.内部控制环境评审

内部控制环境是内部控制的基础，它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有：公司治理组织架构的建立、规范运作和分权制衡；内部控制系统中董事会的建立和完善责任，监事会的监督责任，高级管理层的执行和完善责任；人力资源政策和程序、人力资源日常管理情况等。

2.风险识别与评估评审

风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动，它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理；企业识别和获取适用法律法规要求的程序建立和执行的情况；与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。

3.内部控制活动评审

内部控制活动是指为了确保经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序。内部控制活动的评审是指对企业为进行企业管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是企业内部控制活动的健全性、合理性、有效性，主要包括企业所采取的控制措施和程序的健全、合理、有效程度；计算机系统环境下，为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；应急预案的建立和执行、应急设备和设施的定期检查情况等。

4.监督评价与纠正评审

监督评价与纠正是指由企业特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况,可采取持续监督和个别评估分别进行或两者结合进行的方式。监督评价与纠正的评审是指对企业内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审,主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行；企业对内部控制进行不断完善的情况等内容。

5.信息交流与反馈评审

信息交流与反馈是指企业在其经营过程中，按某种形式辨识、取得确切的信息，并进行沟通，以便员工能够履行其责任。信息交流与反馈的评审是指对企业辨识、取得、沟通合理信息的方式和过程的健全性、合理性、有效性所进行的评审。主要包括企业信息交流和沟通程序的建立和执行；内部控制系统文件的建立和保持；形成记录控制程序的建立和执行等内容。

三、内部控制评审方法

内部控制评审方法主要包括评审的切入方法和评审的具体技术方法两大方面。评审的切入方法是根据评审要求和为达到评审目的进行组织和实施评审的工作形式和工作思路，是制定评审实施方案的前提；评审的具体技术方法则是在具体评审时根据被评审企业的实际情况，为达到评审目的和要求所采用的具体审计技术方法。

1.内部控制评审的切入方法

内部控制评审的切入方法基本可以归纳为要素法、流程法和制度法三类。

(1)要素法。要素法是直接从评审内部控制的五大要素内容入手，运用内部控制评审的技术方法获取评审证据，从而评价内部控制要素各项内容的健全性、合理性和有效性，进而对企业内部控制做出综合评价。其适用范围主要是生产经营方式相对简单、业务流程比较单一、且已建立完整的内部控制系统的企业。

(2)流程法。流程法是建立在要素法的基础上，从测试业务流程和具体业务入手，采用内部控制评审技术方法获取评审证据，来评价内部控制各项要素内容的健全性、合理性和有效性的一种方法。其适用范围是生产经营过程比较复杂，业务流程比较繁多，且已建立完整的内部控制系统的企业。

(3)制度法。制度法是指从被检查企业内部控制制度入手，采用内部控制评审技术方法获取评审证据，来评价企业内部控制的健全性、合理性和有效性。其适用范围是尚未建立完整的内部控制系统的企业，或者是还停留在靠内部规章制度进行控制的企业。

2.内部控制评审的技术方法

内部控制评审的技术方法经常采用的技术方法主要有：

(1)抽样法。通过抽取一定数量且具有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。这是审计工作普遍采用的方法，，应当采取科学抽样的方法来完成对企业已经发生的所有经济业务进行审计和评审，只要按照合理的允许的误差科学地抽取了样本，通过对样本的评审是能够满足对企业整个经济活动的评审需要的。

(2)穿行测试法。穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与评价。这是内部审计经常运用的一种简便易行的技术方法，特别适用于对内部控制的评审中，通过对一笔或若干具体业务的穿行测试，可以比较直观有效的反映一个或若干业务流程的内部控制情况。

(3)证据检查法。证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时，要求被评审企业在限定的时间内，提供被评审业务主要控制点对应的相关资料。通过对这些书面证据的检查，验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。

(4)压力测试法。即测试被评审企业关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。

(5)流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，流程图法可以使评审人员清晰地看出被评审企业内部控制系统如何运行，业务的风险控制点和控制措施，有助于发现各内部控制系统的缺陷和评审重点。

四、内部控制评价标准和综合评价结果

现场评审结束后，应依据内部控制评价标准，对被评审企业进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则，做到量化合理、定性准确。

1.内部控制评价标准

在对各项评审内容严格审查、测试和初步评价的基础上，应对企业整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价。

(1)内部控制的健全性。内部控制的健全性是指企业根据生产经营管理的自身需要，应设置的内部控制系统的内容都比较完备，而且所设置的内部控制系统对企业的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。

(2)内部控制的合理性。内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性，它是在健全性的基础上对企业内部控制更深一层次的要求。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。

(3)内部控制的有效性。有效性是内部控制的精髓，应根据对评审内容的测试结果，对各项业务目标是否能够实现，各项业务风险的评估与规避情况如何，内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。

2.评审内容的计分和综合评价

为了科学、合理地对企业内部控制进行评价，评审组应依据内部控制评价标准评审内部控制各项内容，按照“健全性、合理性、有效性”三个标准进行汇总、分类、评分和评价。

(1)评审组根据在现场评审中所发现的问题，先依据评审实施方案中的“评审内容明细表”所确定的每项具体评审内容进行汇总，再按照“健全性、合理性、有效性”三个评审标准进行分类。经评审组统一研究、讨论得出每项评审内容的综合评审意见，根据评审意见给该项内容评分。

(2)在得出以上评分后，评审组还应结合评审中所揭示的企业内部控制系统存在的具体问题，依据“健全性、合理性、有效性”的评价等级，分别对被评审企业内部控制系统的健全程度、合理程度以及执行情况做出准确、严谨、中肯的定性评价。

3.内部控制评审报告

综合评审报告的内容，主要包括以下三方面。

(1)评审的基本情况。分为两部分，一是说明评审目的、范围、人员组成等，二是简述一下被评审企业的基本情况及其内部控制现状。

(2)存在的问题及危害性。将评审中发现的问题分类进行列述，并准确界定被评审企业的财务、经营风险档次，尤其是对于内部控制中存在的重大缺陷和薄弱环节，应指出风险隐患，说明其危害性。

(3)综合评价及处理建议。说明被评审企业的得分情况，按照综合评价标准对被评审企业的内部控制总体评审情况进行描述，并根据评审情况向审计委员会提出处理建议。处理建议要切合被评审企业的实际，要有科学性、针对性和可行性。

总之，内部控制作为企业管理的一部分，它是一个动态的管理过程，是在不断发展变化的。内部控制评审在我国尚处于初级阶段，需在实践中积极借鉴国外先进或成功的经验与做法，但不能照搬照套，应紧密结合本企业未来发展变化的情况，不断地加以总结、改进和提高，以制定出较为健全有效的内部控制评审规范体系，并逐步走上制度化、规范化的道路。

参考文献：

[1]中国注册会计师协会《内部控制审核指导意见》.

[2]高雅青李三喜编著:《内部控制与审计风险案例分析》.中国时代经济出版社.2002年5月.

内部控制的初步评价篇6

关键词：企业;内部审计;内部控制;评审

近年来，国内相关机构和企事业单位顺应企业管理的内在需要，逐步引入了内部控制及内部控制评审的理论，并组织开展了一系列理论研究和实务探索，取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。

一、内部控制、内部控制评审的定义

1.内部控制的定义

内部控制一词，最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展，内部控制理论由最初的“内部牵制理论”，发展为“内部会计控制与内部管理控制”。

1992年，美国反欺诈性财务报告委员会的主办机构委员会（coso委员会）了《内部控制—整体框架》报告，即著名的coso报告，报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。coso报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论，受到各国理论界和实务界的广泛关注和普遍认可。

2.内部控制评审的定义

coso报告认为，在内部控制系统中，所有部门、岗位都在其中充当着角色，内部审计也是如此。内部审计既是企业内部控制的重要组成部分，又是监督与评价内部控制的主要部门和主要手段。2002年以来，国际内部审计重新介入内部控制这一领域，在原先以内审部门实施内部控制评价的基础上，加强了与业务管理部门自我评估的结合，注重相关业务部门技术人员的参与，要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。

从内部审计的角度看：内部控制评审是指由企业董事会下设的审计委员会组织开展的，以内部审计人员为主，吸收相关专业技术人员和专家参加的，对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动，主要测评企业内部控制系统是否健全、合理，以及执行是否有效。

二、内部控制评审的内容

企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的，因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。

1.内部控制环境评审

内部控制环境是内部控制的基础，它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有：公司治理组织架构的建立、规范运作和分权制衡；内部控制系统中董事会的建立和完善责任，监事会的监督责任，高级管理层的执行和完善责任；人力资源政策和程序、人力资源日常管理情况等。

2.风险识别与评估评审

风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动，它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理；企业识别和获取适用法律法规要求的程序建立和执行的情况；与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。

3.内部控制活动评审

内部控制活动是指为了确保经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序。内部控制活动的评审是指对企业为进行企业管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是企业内部控制活动的健全性、合理性、有效性，主要包括企业所采取的控制措施和程序的健全、合理、有效程度；计算机系统环境下，为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；应急预案的建立和执行、应急设备和设施的定期检查情况等。

4.监督评价与纠正评审

监督评价与纠正是指由企业特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况,可采取持续监督和个别评估分别进行或两者结合进行的方式。监督评价与纠正的评审是指对企业内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审,主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行；企业对内部控制进行不断完善的情况等内容。

5.信息交流与反馈评审

信息交流与反馈是指企业在其经营过程中，按某种形式辨识、取得确切的信息，并进行沟通，以便员工能够履行其责任。信息交流与反馈的评审是指对企业辨识、取得、沟通合理信息的方式和过程的健全性、合理性、有效性所进行的评审。主要包括企业信息交流和沟通程序的建立和执行；内部控制系统文件的建立和保持；形成记录控制程序的建立和执行等内容。

三、内部控制评审方法

内部控制评审方法主要包括评审的切入方法和评审的具体技术方法两大方面。评审的切入方法是根据评审要求和为达到评审目的进行组织和实施评审的工作形式和工作思路，是制定评审实施方案的前提；评审的具体技术方法则是在具体评审时根据被评审企业的实际情况，为达到评审目的和要求所采用的具体审计技术方法。

1.内部控制评审的切入方法

内部控制评审的切入方法基本可以归纳为要素法、流程法和制度法三类。

(1)要素法。要素法是直接从评审内部控制的五大要素内容入手，运用内部控制评审的技术方法获取评审证据，从而评价内部控制要素各项内容的健全性、合理性和有效性，进而对企业内部控制做出综合评价。其适用范围主要是生产经营方式相对简单、业务流程比较单一、且已建立完整的内部控制系统的企业。

(2)流程法。流程法是建立在要素法的基础上，从测试业务流程和具体业务入手，采用内部控制评审技术方法获取评审证据，来评价内部控制各项要素内容的健全性、合理性和有效性的一种方法。其适用范围是生产经营过程比较复杂，业务流程比较繁多，且已建立完整的内部控制系统的企业。

(3)制度法。制度法是指从被检查企业内部控制制度入手，采用内部控制评审技术方法获取评审证据，来评价企业内部控制的健全性、合理性和有效性。其适用范围是尚未建立完整的内部控制系统的企业，或者是还停留在靠内部规章制度进行控制的企业。

2.内部控制评审的技术方法

内部控制评审的技术方法经常采用的技术方法主要有：

(1)抽样法。通过抽取一定数量且具有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。这是审计工作普遍采用的方法，，应当采取科学抽样的方法来完成对企业已经发生的所有经济业务进行审计和评审，只要按照合理的允许的误差科学地抽取了样本，通过对样本的评审是能够满足对企业整个经济活动的评审需要的。

(2)穿行测试法。穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与评价。这是内部审计经常运用的一种简便易行的技术方法，特别适用于对内部控制的评审中，通过对一笔或若干具体业务的穿行测试，可以比较直观有效的反映一个或若干业务流程的内部控制情况。

(3)证据检查法。证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时，要求被评审企业在限定的时间内，提供被评审业务主要控制点对应的相关资料。通过对这些书面证据的检查，验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。

(4)压力测试法。即测试被评审企业关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。

(5)流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，流程图法可以使评审人员清晰地看出被评审企业内部控制系统如何运行，业务的风险控制点和控制措施，有助于发现各内部控制系统的缺陷和评审重点。

四、内部控制评价标准和综合评价结果

现场评审结束后，应依据内部控制评价标准，对被评审企业进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则，做到量化合理、定性准确。

1.内部控制评价标准

在对各项评审内容严格审查、测试和初步评价的基础上，应对企业整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价。

(1)内部控制的健全性。内部控制的健全性是指企业根据生产经营管理的自身需要，应设置的内部控制系统的内容都比较完备，而且所设置的内部控制系统对企业的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。

(2)内部控制的合理性。内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性，它是在健全性的基础上对企业内部控制更深一层次的要求。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。

(3)内部控制的有效性。有效性是内部控制的精髓，应根据对评审内容的测试结果，对各项业务目标是否能够实现，各项业务风险的评估与规避情况如何，内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。

2.评审内容的计分和综合评价

为了科学、合理地对企业内部控制进行评价，评审组应依据内部控制评价标准评审内部控制各项内容，按照“健全性、合理性、有效性”三个标准进行汇总、分类、评分和评价。

(1)评审组根据在现场评审中所发现的问题，先依据评审实施方案中的“评审内容明细表”所确定的每项具体评审内容进行汇总，再按照“健全性、合理性、有效性”三个评审标准进行分类。经评审组统一研究、讨论得出每项评审内容的综合评审意见，根据评审意见给该项内容评分。

(2)在得出以上评分后，评审组还应结合评审中所揭示的企业内部控制系统存在的具体问题，依据“健全性、合理性、有效性”的评价等级，分别对被评审企业内部控制系统的健全程度、合理程度以及执行情况做出准确、严谨、中肯的定性评价。

3.内部控制评审报告

综合评审报告的内容，主要包括以下三方面。

(1)评审的基本情况。分为两部分，一是说明评审目的、范围、人员组成等，二是简述一下被评审企业的基本情况及其内部控制现状。

(2)存在的问题及危害性。将评审中发现的问题分类进行列述，并准确界定被评审企业的财务、经营风险档次，尤其是对于内部控制中存在的重大缺陷和薄弱环节，应指出风险隐患，说明其危害性。

(3)综合评价及处理建议。说明被评审企业的得分情况，按照综合评价标准对被评审企业的内部控制总体评审情况进行描述，并根据评审情况向审计委员会提出处理建议。处理建议要切合被评审企业的实际，要有科学性、针对性和可行性。

总之，内部控制作为企业管理的一部分，它是一个动态的管理过程，是在不断发展变化的。内部控制评审在我国尚处于初级阶段，需在实践中积极借鉴国外先进或成功的经验与做法，但不能照搬照套，应紧密结合本企业未来发展变化的情况，不断地加以总结、改进和提高，以制定出较为健全有效的内部控制评审规范体系，并逐步走上制度化、规范化的道路。

参考文献：

[1]中国注册会计师协会《内部控制审核指导意见》.

[2]高雅青李三喜编著:《内部控制与审计风险案例分析》.中国时代经济出版社.2002年5月.