如何理解内部控制的定义范文

导语：如何才能写好一篇如何理解内部控制的定义，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

篇1

1、《内部会计控制基本规范（征求意见稿）》（以下简称《规范》），涉及到两个最基本的概念：内部控制和会计控制。《规范》题为《内部会计控制基本规范》，但全文未对‘响部会计控制“作出界定。在总则第二条关于内部控制的定义中也未涉及”内部会计控制“和”内部控制“的关系，造成存在以下问题：（1） ”内部会计控制“和”内部控制“两个概念混用，如规范名为《内部会计控制基本规范》，但从第

二章至第五章的章标题看均与“会计控制”的口径不符，把“会计控制”等同于“内部控制”。（2）标题与内容的不一致。在内部会计控制的总标题下，《规范》中各章的内容已经大大超出内部会计控制的范畴，但又未包揽内部控制的全部内容。而会计控制是内部控制的重要内容但不是其全部内容。我国理论界与实务界对内部会计控制只是内部控制的重要组成部分这一点应当是非常明确的。因此，建议《规范》要对二者予以明确区分和界定，将总标题、各章的章标题以及与之相应的内容按拟规范的范围

加以修改，做到总标题、章标题和各章内容之间口径一致。

2.“内部控制”概念的界定。《规范》第二条指出“本规范所称内部控制是指单位为了保证各项业务活动的有效进行、确保资产的安全完整、防止欺诈和舞弊行为、实现经营管理目标等而制定和实施的一系列具有控制职能的方法、措施和程序”。这一条款存在两个问题：其一，既然内部控制包括会计控制，则其非常重要的目的之一是要“保证会计信息的真实、合法、完整”，而上述关于内部控制的定义中只提到了“确保资产的安全完整”，末提及保证会计信息可靠性的要求。其二，这一条款中关于“经营管理目标”的提法与第三条中关于本规范适用范围的规定相冲突。因为在第三条中提到“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织（以下统称单位）”。从国家机关、社会团体和事业单位的性质看，这几类单位与企业不同，它们有工作目标、管理目标，却未必有“经营” 目标，所以，建议删去“经营”二字。

二、《规范》的适用范围问题

《规范》第三条指出“本规范适用于国家机关、社会团体、公司、企业、事业单位和其他经济组织（以下统称单位）”。我们认为，这一条款存在两个问题：其一，将国家机关、社会团体和事业机关与公司、企业和其他经济组织放在一起有欠妥当，因为《规范》中有许多条款仅适用于公司和企业。其二，若本《规范》适用于所有单位，建议考虑两种方案：一是分两类进行规范，－类为政府及非营利组织（国家、社会团体、事业单位和公益项目），另一类为营利组织（公司。企业和其他经济组织）；二是若仍统一放在一起规范，则要分清共同适用的条款和分别适用的条款。

三、单位负责人的责任问题

《规范》第五条指出“单位负责人对本单位内部控制的建立健全及有效实施负责。”这一条款拟明确内部控制的责任，但规定过于简单和笼统。首先，内部控制的建立与实施责任不仅在于单位领导，单位的部门领导、管理人员、内部审计人员乃至组织中的每一个人都对内部控制负有责任。若论“领导责任”除“单位负责人” 外，是否还应包含各单位内部有关职能部门的领导，如财务主管或会计主管等。其次，一个单位内部控制的设计与运行受制于成本与效益原则，它不可能是完美无缺的，不是（也不可能）消除任何滥用职权的可能性，而是要建立防止滥用职权投入的成本与滥用职权的累计额之间呈合理水平的机制。

内部控制可能将单位的内控风险降到合理水平，但并不能消除风险。它只能为各单位实现其目标提供“合理保证”而非“绝对保证”。事实上，即使是设计完善的内部控制也有可能因为各种原因而削弱或失效，单位负责人如何对“无过失”情况下所出现的损失负责？最后，对单位负责人应如何负责、负何责任也不够明确，建议对责任问题要再予考虑并加以明确，以便操作。

四、内部控制的内容问题

《规范》第三章第八条提出“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”。其实，内部控制内容可以有两种理解，一是指内部控制本身的内容，即本规范第二条所述的“内部控制是指为了保证……而制定和实施的一系列具有控制职能的方法、措施和程序”中的方法、措施和程序具体包含的内容；二是指内部控制的客体或对象。显然本条款反映的是第二种理解。虽然这里反映的仅仅是内部控制的主要内容，但对照本规范第二条内部控制的定义和第三条适用范围的解释，第八条内容尚不够完整。这一条款反映了对企业主要经济业务活动的控制，却没有反映对管理活动的控制，也没有反映对其他各类单位的财政财务收支活动和各种行政、业务管理活动的控制，建议予以增补。

五、内部控制的方法问题

l、《规范》第十八条列示了内部控制的主要方法：组织控制、授权批准控制、会计系统控制、预算控制、财产保全控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制等。上述内容仍不够完整，建议加上文件记录控制和内部审计。因为，文件记录控制是有关内部控制的基础性控制，内部审计则是对内部控制进行的再控制，二者对内部控制的有效实施是必不可少的。

2.《规范》第十九条组织结构控制要求贯彻不相容职务分离的原则，合理设置内部机构，科学划分职责权限，形成相互制衡机制。但此款没有涉及企业法人治理结构问题。要使内部控制在公司企业中得到有效实施，应强调完善法人治理结构，所以建议在本条中要予以明确。

3、《规范》第十九条考虑不相容职务分离问题时，在相关控制点还要注意直系亲属回避问题。

六、内部控制的检查问题

1、《规范》第二十八条指出“单位应当重视内部控制的监督检查工作，由专门机构或指定专门人员具体负责内部控制执行情况的监督检查，确保内部控制的贯彻实施”。此条中的“专门机构”和“专门人员”不明确，可以进一步明确，并注重内部审计的作用。

2.《规范》第二十九条指出“单位可以聘请中介机构对本单位内部控制的建立健全情况进行评价，接受委托的中介机构应当对委托单位内部控制中的重大缺陷提出书面报告”。内部控制的建立和完善需要单位内外部形成合力予以监督方能保证，尤其是外部的强制性监督。所以，我们认为本款所用“可以聘请”和“报告重大缺陷”的力度不够，建议改为“必须聘请”，以强制审计取代单位自愿要求的外部审计。同时，上市公司的审计结果还应当“对外”报告。

篇2

综述

PCAOB多次强调有效的内部控制结构的重要性。委员会还特别说明，“有效的财务会计报告内部控制对公司管理其事务，尽到其对投资者的责任至关重要。公司管理当局、公司所有者-投资公众-和其他相关方都需依赖公司呈报的财务信息来制定决策。”

委员会在其宣布采用第二号准则的公告中还指明，财务会计报告内部控制的审计是一个牵涉面很广的程序，维持有效内部控制，包括定期评估都是有成本的。然而委员会强调开发、维护和提高内部控制系统所带来的利益是多样的，同时，“主要的利益……是给公司、公司管理当局、董事会和审计委员会、所有者和其他利益关联方提供了一个财务会计报告的可靠基础。”与准则草案相比，新准则在成本效益原则方面迈进了一大步。

管理当局的责任

准则指出了审计师执行一项符合要求的内部控制审计的必要条件。正如SEC在实施萨班斯法案404节的规定中所要求的，管理当局必须：

-对公司财务会计报告内部控制的有效性负责；

-使用适当的控制标准（如COSO标准），评价公司财务会计报告内部控制的有效性；

-提供足够的证据，包括记录编制来支持评价，以及

-在公司最近的财年末，就公司财务会计报告内部控制的有效性出具书面评价。

审计师如果得出管理当局没有履行上面提到的责任，不能完成对内部控制的审计，就应当拒绝表示意见。

管理当局的评价程序

一个严格的内部控制有效性的评价程序应该提供信息帮助审计师理解公司的内部控制以及规划完成内部控制审计的必要工作。根据第二号准则的条款，管理当局评价内部控制有效性的程序应包括：

-确定需要测试的控制措施，包括所有与主要账户和财务报表披露相关的控制措施；

-评价控制失败导致财务报表错报的可能性、错报的重要程度、以及其它控制措施可能达成相同控制目标的程度；

-决定评价中应包括的特定地区或经营单位（适用于那些多场所或经营单位的公司）；

-评价控制措施的设计和实施有效性；

-确定已识别的内部控制的缺失是否构成了重要缺失或实质性薄弱；

-将发现传达给相关方；

-对发现是否支持其评价进行评估。

有一点需要指出的是，管理当局不能使用审计师的程序或相关发现来支持其对内部控制有效性的评价。

管理当局的记录编制

管理当局所编制财务会计报告内部控制记录的深度和广度是管理当局、审计师和内部控制顾问需要深思熟虑的一个日常主题。全面且清晰的记录编制有利于管理当局对内部控制进行有效的评价和评估，同时为审计师发起审计程序提供一个坚实的平台。在确定管理当局的记录编制是否支持其评价时，审计师应评估记录编制的，包括：

-控制措施的设计，这些控制措施应覆盖所有与关键性账目和财务报表披露相关的管理当局声明；

-关于重要交易如何发起、授权、记录、处理和报告的信息；

-关于交易过程的足够充分的信息，足够充分指的是能够识别因错误或欺诈导致的实质性错报的发生；

-为预防和侦查欺诈而设计的控制措施；

-期末会计报告过程的控制措施；

-资产保全的控制措施；以及

-管理当局测试和评估的结果；

二号准则指出，管理当局的记录编制可以是纸质、格式或其它形式；记录编制的信息也可以是多样的，包括政策指南、流程模型、流程图、职位描述等。准则没有提供客观的来确定管理当局记录编制的充分性。但需要注意的是，记录编制的缺乏被认为是控制措施的缺失，审计师应就其严重程度和对审计师报告的可能进行讨论。

通过实际演练理解控制措施

二号准则要求审计师询问、观察执行控制措施的员工，检查实施控制措施的文档或实施后的文档记录，并且将这些文档与会计记录进行比较。通过这些方式审计师能够理解公司财务会计报告的内部控制。准则还进一步指出，“审计师达成这一目标最有效的方式就是对公司的关键流程进行实际演练。”

在实际演练中，审计师可以从发起点跟踪交易和事项直到财务报表，这个过程就包括公司的会计程序。准则要求审计师每年必须就每一关键交易类别执行至少一次实际演练，审计师应独立完成此项演练。准则中定义的关键交易类为那些能够给公司财务报表带来显著影响的业务。准则指出实体的期末财务报告程序就是一个关键性程序。

评价审计委员会监管的有效性

准则也强调了审计委员会在帮助制定“高层基调”时所起的关键性作用。审计师应评价发行人审计委员会的有效性，作为其对控制环境和内部控制的理解和评价的一个组成部分。审计委员会对外部财务会计报告和内部控制无效/低效的监管被认为是一个明显的缺失或内部控制实质性薄弱的标示。另外，准则要求将审计委员会监管无效的实例直接呈报给公司的董事会。

影响审计委员会监管有效性的因素包括管理当局成员的独立性，委员会责任的清晰表述，管理当局和审计委员会对责任的理解程度以及独立审计师和内部审计师的交流程度。

测试操作有效性

准则要求审计师获得控制措施关于操作有效性的证据。为了遵守准则的规定，审计师就需要测试这些控制措施的操作有效性。

在确定一项控制措施是否具备操作有效性时，审计师不仅应评价控制措施是否依照设计操作，还应该评价执行控制措施的个人具备必要的授权和资格。另外，在第二号准则下，审计师应在足够长的时期里获取控制有效性的证据。期间执行的任何测试都应及时更新以确保所测试的控制措施在年末仍然具备操作有效性。

利用他人的工作

发行人和审计师最为关注的另一个领域是审计师被允许使用他人工作的程度。在这点上，二号准则与准则草案保持了一致，准则要求在总体上，审计师自身的工作应为审计意见提供首要证据。准则定义的其他方工作包括内部审计师、公司其他个人和在管理当局或审计委员会授权下的第三方的工作。

准则指出，审计师不应使用其他人的工作来测试与控制环境相关的控制措施，包括为了预防和侦查欺诈制定的控制措施和应执行的实际演练。但准则允许审计师使用其他方提供的信息技术一般性控制措施和期末财务报告程序的相关控制措施。而在准则草案中则要求这些方面的审计工作均要由审计师执行。

准则草案中定义了三类控制措施和审计师被允许使用其他方工作来形成结论的程度。而第二号准则以一个概念框架取而代之。这一框架重点在于控制措施的性质和执行程序个人的能力和客观性。二号准则明确指出，如果管理当局在测试操作有效性时使用自我评价程序，则执行评价的个人不应视为客观，因此，独立审计师不能使用其工作。

评估测试结果

准则要求审计师评价所识别的控制措施缺失的严重程度，这点与准则草案保持了一致。实际上，在2003年10月准则草案以来，委员会就何谓“显著的缺失”展开了多次讨论。委员会指出，在反对草案“显著缺失”之定义的反馈意见中，多数认为该定义的起点过低，如果依照草案规定，大多数内部控制的缺失将被确认为“显著的缺失”。

二号准则保留了草案中对“显著缺失”和实质性薄弱的定义。在解释其定义这些项目的用意时，委员会指出，控制的缺失不应被孤立地评价，特定缺失的严重程度应同时考虑补救措施的。准则在一定程度上回应了草案的反馈意见，但在确定构成“显著缺失”或实质性薄弱的控制缺失时还需要职业判断。

依照二号准则的规定，以下方面的缺失通常被认为是“显著的缺失”：

-对政策选择和的控制措施；

-反欺诈程序和控制措施；

-对非常规和非系统化交易的控制措施；

-对期末财务会计报告程序的控制措施；

另外，以下情况属于“显著缺失”以及实质性薄弱存在的明显标示：

-为纠正错报项目，对以前所财务报表进行重述；

-审计师在当年审计中发现公司没有识别的实质性错报；

-审计委员会的监管无效；

-内部审计或风险评估机制的无效，如果这些职能对于公司财务会计报告程序非常关键的话；

-在受监管程度较高的公司，遵守法规的机制的无效。这一项只适用于守法机制的无效给财务会计报告的可靠性带来实质性影响的情况；

-发现任何程度上的高层管理人员的欺诈；

-以前所发现的缺失在一段合理的时间后仍然没有被纠正；

-控制环境的无效；

控制缺失与审计师意见

准则要求审计师在对财务会计报告内部控制执行审计后两类意见，一、关于管理当局的评价；二、关于内部控制的有效性。在这一方面准则与草案有别。准则提供了实例来解释两类意见的区别。

当发现财务会计报告内部控制的实质性薄弱时，准则要求审计师出具控制有效性的否定意见。

生效日期

如前所述，二号准则将在美国证券交易委员会（SEC）的最后审批后生效。审计师随后应依照准则审计上市公司管理当局就财务会计报告内部控制有效性出具的评价。SEC近期推迟了对交易法12b-2下所定义“加速备案公司”的内部控制有效性评价要求。原定的6月15日被推迟到2004年11月15日。非“加速备案公司”，包括小企业和外国企业将在2004年7月15日后开始应用相关规定。

篇3

关键词：内部控制；路径；风险管理

    近年来，国际上一些著名企业相继爆出丑 闻，造成极其严重的后果。我国企业也为内部 控制和风险管理的缺失付出了惨痛的代价，如 国内著名企业中发生的中航油（新加坡）公司 破产倒闭事件以及中行、农行、兴业、浦发等银 行巨额虚假贷款、大额资金失踪等舞弊案频频 曝光。究其原因，内部控制存在缺陷是导致企 业不能及时发现和有效控制经营风险，并最终 铤而走险、欺骗社会公众和投资者的重要原 因。在对这些财务舞弊和经营管理失败案例进 行反思后，人们逐渐认识到“有控则强、失控 则弱、无控则乱”的道理，控制失灵难以使事业 持久、基业常青。建立完善的且行之有效的企 业内部控制机制已成为企业的当务之急.

    一、内部控制的内涵 人们对内部控制的定义经历了从简单到 复杂、从静态到动态、从以制度为本到以人为 本的一种逻辑演绎，体现了人们对内部控制认 识的逐渐深化，加深了人们对内部控制的进一 步理解，从而使人们对内部控制这一客观事物 的认识更能贴近事物的本原。所谓内部控制， 是由企业建立的，通过约束和激励等手段，以 保障企业各利益相关者的行为能够按契约的 要求进行，并能够促使契约自我优化的一种系 统化的机制，其目的是为了实现企业目标.

    二、内部控制发展历程 对内部控制的认识，经历了一个逐渐发展 的过程。美国的内部控制经历了从内部牵制到 二要素法、三要素法到五要素法，日趋完整和 深入，最终发展为全面风险管理框架模式.

    1、内部牵制。内部控制的最初形式是内部 牵制，内部牵制以账目间的相互核对为主要内 容，并实施岗位分离，内部牵制机制在减少错 误和舞弊行为上起到了十分重要的作用.

    2、二要素法。随着经济的发展和企业组织 规模的扩大，人们发现内部牵制已经越来越不 能适应大型企业需要，因此对内部控制的研究 也越发深入，美国注册会计师协会的审计程序 委员会于1958年10月的《审计程序公告 第29号》将内部控制划分为会计控制和管理 控制，内部控制划分为二要素形式.

    3、三要素法。1988年美国注册会计师协 会的审计准则委员会《审计准则公告第 55号》，该公告以“内部控制结构”代替“内部 控制制度”，具体包括三个要素：控制环境、会 计制度、控制程序.

    4、五要素法。1996年美国注册会计师协 会《审计准则公告第78号》，全面接受 COSO报告的内容，新准则将内部控制定义为： “由一个企业的董事会、管理层和其他人员实 现的过程，旨在为下列目标提供合理保证：财 务报告的可靠性、经营的效果和效率以及符合 适用的法律和法规”。该准则将内部控制划分 为五种要素：控制环境、风险评估、控制活动、 信息与沟通、监控.

    5、全面风险管理框架。2003年7月美国 COSO委员会颁布了企业风险管理框架的讨论 稿，并于2004年4月颁布正式稿。将企业风险 管理的构成分为内部环境、目标制定、事项识 别、风险评估、风险反应、控制活动、信息和沟 通、监控等八个相互关联的要素，各要素贯穿 在企业的管理过程之中.

    三、企业风险管理整合框架的诸要素构成 1、内部环境。内部环境是企业风险管理其 他构成要素的基础，为其他要素提供约束和结 构。它影响着战略和目标的制定、经营活动的 组织以及风险的识别、评估和应对，它还影响 着控制活动、信息与沟通体系以及监控措施的 设计与运行。内部环境受企业历史和文化的影 响，包含许多要素，包括风险管理理念、风险容 量、董事会监督、主体中人员的诚信、道德价值 观和胜任能力以及管理者分配权力和职责、组 织员工的方式.

    所有这些要素都很重要，但对每个要素的 强调程度会因企业而异。然而，董事会是内部 环境的一个关键部分，它对其他的内部环境要 素有重大影响。因为董事会对管理者独立性、 经验、才干、敬业等方面的监督与审查，对企业 来说至关重要。要想使内部环境有效，董事会 中的独立外部董事必须至少占多数.

    内部环境的另一关键要素是企业的风险 管理理念。一个企业的风险管理理念是一整套 共同的信念和态度，它决定着该企业在做任何 事情（从战略制定和执行到日常经营活动）时 如何考虑风险.

    2、目标设定。企业在既定的任务和背景 下，制定战略目标、选择战略，并制定相关目 标，将其细分至企业的方方面面，与战略保持 一致并相联系。企业必须先有目标，管理者才 能识别影响它们实现的潜在事项。企业风险管 理确保管理当局采取恰当的程序去设定目标， 确保所设定的目标支持和切合该企业的使命， 并与它的风险容量或风险容限一致.

    3、事件识别。管理当局必须识别可能对企 业产生影响的潜在事项。潜在事项具有负面的 或正面的影响，或两者兼而有之。具有潜在负 面影响的代表风险，管理者要对之进行评估和 做出反应。相应地，风险被定义为事项发生并 对目标实现产生不利影响的可能性。具有潜在 正面影响的事项代表机会。代表机会的事项引 导管理者制定战略和相关目标，以便采取行动 抓住机会.

    4、风险评估。风险评估使企业考虑潜在事项如何影响目标的实现。管理当局应从两个角 度对事项进行评估：可能性和影响，并且通常 采用定性和定量相结合的方法。在不要求定量 化的地方，或者在定量评估所需的可靠数据无 法取得或获取和分析数据不具有成本效益时， 管理者通常采用定性评估技术。定量技术精确 度更高，通常应用在更加复杂的活动中，以对 定性技术进行补充。评估风险时既要考虑固有 风险，也要考虑剩余风险。固有风险是管理当 局没有采取任何措施来改变风险的可能性或 影响的情况下，一个企业所面临的风险。剩余 风险是在管理当局应对风险后所残余的风险.

篇4

PCAOB No.2规定：重要缺陷是一种控制缺陷，或者是一系列控制缺陷的集合。这会对公司对外公布的财务数据的可靠性产生影响，使得内部控制具有微小可能性不能防止和发现年报和中报中存在的不合理错报；而重大缺陷是一种重要缺陷或重要缺陷的集合，使得内部控制具有微小可能性不能预防和发现中报和年报中的重大错报。

而PCAOB No.5规定：重要缺陷是与财务报告相关的内部控制的缺陷或缺陷的集合，虽然重要性方面不如重大缺陷，但足以引起公司财务报告监管负责人的关注。重大缺陷是与财务报告相关的内部控制的缺陷或缺陷的集合，并具有导致公司年报或中报的重大错报不能被预防和查出的合理可能性。

根据PCAOB No.2和PCAOB No.5对“重要缺陷”和“重大缺陷”的定义，我们可以看出，PCAOB No.5对两种缺陷的阐述做了如下修正：

一、用“合理可能性”替换“微小可能性”

PCAOB No.2中定义“重要缺陷”和“重大缺陷”时，采用的是美国财务会计准则委员会（FASB）第5号声明《或有事项》中对可能性的描述，即将未来事件发生按其发生的可能性分为“很可能”、“合理可能”和“微小可能”,所以PCAOB No.2把缺陷定位在错报发生的“微小可能”上。FASB的第5号声明指出：如果事件发生的可能性既不是“合理可能”，也不是“可能”，那么就是“微小可能”。但是一些审计师和财务报表编制者将“微小可能”错误地理解为远低于“合理可能”的可能性，这就导致了审计师和财务报表编制者在评估错报发生的可能性时把PCAOB最初设定的最低标准又进一步降低了。另一方面如果把上述3种可能性看作是连续的风险范畴，那么有些错报发生的可能性会介于“微小可能”和“合理可能”之间，这样就增加了判断其归属的难度。因此为了避免误解，PCAOB No.5将“合理可能性”取代了原来的“微小可能”。这一替换放宽了判断缺陷发生的标准，既可以消除外部审计师和报表编制者对“微小可能”的误解，也更加容易判断发生的可能性的归属。即只要认为重大错报具有不能被预防和查出的合理可能性，就可以断定缺陷的存在。因此该修正能显著改善对缺陷的评估，使那些重大缺陷能够及时发现。

二、重新界定“重大缺陷”，不再引用

“重要缺陷”来定义

PCAOB No.2将重大缺陷定义为是重要缺陷或重要缺陷的集合，并导致公司年报和中报的重大错报具有不能被预防和查出的微小可能性。该定义引入重要缺陷，导致了审计师及公众的疑惑：审计师的审计水平必须充分保证能在审计过程中找出内部控制的所有重要缺陷，而不仅仅是重大缺陷，但是内部控制审计的目的却是取得关于重大缺陷是否存在的证据，内部控制审计并不要求审计师寻找严重程度低于重大缺陷的缺陷或缺陷组合。PCAOB No.2的这一定义似乎把重大错报视为重要缺陷的一种特定类型，使得审计师容易混淆。为更好地解释审计的目的并使混淆的可能性最小化，PCAOB No.5用“控制缺陷或控制缺陷的组合”取代了在重大缺陷的定义中对重要缺陷的引用。

三、重新界定“重要缺陷”，用“重要的”

取代“仅仅是不合理的”

PCAOB No.2将重要缺陷定义为内部控制不能防止和发现报表中的仅仅是不合理错报的微小可能性的缺陷或缺陷集合。其中对于“仅仅是不合理”的界定和使用可能会使公司和审计师在定义、讨论和确定那些不足以对公司内部控制整体产生影响的缺陷上花费过多时间和成本。因此，PCAOB No.5准则重新定义了重要缺陷，将“仅仅是不合理”替换为“重要”，并将“重要的”定义为“虽然比‘重大的’程度轻，但其重要性足以引起负责公司财务报告监管的人员的关注”。这一改变更好地确定了衡量重要缺陷程度的标准。

四、修订了判断重大缺陷的重要特征

PCAOB No.2中对那些被认为至少是重要缺陷和重大缺陷的重要特征的情况进行了描述。这些情况包括公司重新编报已公布的财务报表, 以及公司无效的控制环境等。因此当上述情形出现时，审计师就会认为存在重大缺陷，或者认为只是存在重要缺陷，尚不构成重大缺陷，但实际上并不存在缺陷。为了防止审计师在缺陷不存在的情况下，做出缺陷存在的结论，PCAOB No.5删除了关于将上述情形认为是至少具有重要缺陷的要求，虽然这些环境仍将是重大缺陷的重要特征，但并不和审计师做出不存在缺陷的结论相悖。在PCAOB No.5的指导下，外部审计师能够使用他们自己的判断以决定何时重述或者无效的控制环境不作为内部控制的缺陷。

篇5

高等院校在最大程度上“去行政化”之后，“校务自主”与“财务经营自主”成了高校的两项责任和义务。高校将成为自行担负包括财务责任在内的校务责任的经营实体。因此，所有高校在不远的将来，都要面临独立承担管理资产的责任压力。而内部控制理论可以作为高校建立健全资产管理机制的重要依据。高校应当在信息化、系统化和标准化等原则的指导下，形成有效的高校资产管理内部控制制度，并且从评估机制、权责分立以及队伍建设等角度出发，不断对这一制度进行调整和完善，以达到实现高校资产使用率最大化的最终目标。

关键词:

高校;资产管理;内部控制

目前我国的高等教育改革呈现出这样一种趋势，即政府对高校的控制主要集中在确保高校的教育质量以及确保高校正确的政治方向;除此之外，政府将逐渐向高校下放其他权力，实现高校的自主办学［1］。如果政府职权逐渐从高等教育资产运作体系中淡化为监督与辅助的角色，那么身为高等教育主体的高等院校就必须思考高校在资产管理与经营方面如何实现自主，也就是说，高等院校在最大程度上“去行政化”之后，“校务自主”与“财务经营自主”成了高校的两项责任和义务，高校将成为自行担负包括财务责任在内的校务责任的经营实体。这样，公立高校和私立高校之间的运作差异将逐渐缩小，资产管理必将成为公立高校和私立高校都要面对的新课题。

一问题的提出

在所有的高校教育资源中，高校资产是高校办学的物质基础，其地位之重要不言而喻。1997年的《高等学校财务制度》对“高校资产”的概念与内涵进行了明确的界定［2］。具体来说，高校资产和企业资产在直观上并无二致，因此从理论上讲，在资产的管理和利用问题上，高校也必须像企业一样，有负责管理资产的组织和机构。这些与资产管理有关的组织和机构的职能与分工、其内部各个要素之间的关系，以及各种制度管理方法按照一定的原则有机地融合成为一个不可分割的整体，就构成了高校资产管理体制。

进入二十一世纪以来，高等院校的发展呈现出复杂化、社会化的趋势，而如何建立适应这一趋势的内部管理措施和管理方式，就成了现代高校所要解决的重要问题。在美国，这种管理意味着大学的经营状况随时可以接受公众监督。也就是说，大学不仅不能以学术自由等崇高的理想推卸社会责任，而且包括教学、研究、教师制度、社会服务等所有的内部管理机制和运作成效，都必须完全透明化，社会和公众可以对之进行全面检验。但是西方高校的利害关系人们(董事会、校务管理层等等)对社会公众(当然也包括履行公共监督责任的各级政府)的监督抱持高度疑虑和戒备，担心这种监督会践踏学术的神圣与价值，使大学趋向社会化和平庸化，从而希望大学有权能对自身进行自主且有效的管理。但是在这种自主管理的过程中，毕竟存在着法律和公共事务等众多领域的限制，实际上在操作的过程中存在着巨大的困难。因此，西方高校就不得不面临“在保持学术环境中寻找自我管理和面对社会责任的平衡点”的压力。

虽然外部社会不断在要求高等教育实现“产业化”为代表，但是高校毕竟不同于企业，我们无法明确界定高校“生产”的“产品”到底是什么，或者即便是把学生定义为高校的“产品”，那么学生毕业之后在社会上取得的成功，是否可以说完全来自于大学教育?此外，高校学术研究的成果，在多大程度上是获得于高校自身提供的资源?显然，这些问题无法简单地在“产业化”的语境下进行解释。所以，衡量高等教育的“产品”和“质量”是非常困难的，高校的“生产效能”和“控制成本”等问题就难以等同企业的运作模式，如可以套用计量模式进行计算、预测和评估。但是我们又必须承认，如果没有一个管理模型，高校经营的所有评价机制均将失去存在的意义。所以，高校的使命并未改变，依然是知识的创造、传播和运用，但这些使命所包含的意义已发生重大转变，即人们期望社会可以享受高校各方面的资源。如果高校无法获得一种良好的管理模式，则很难在社会中建立其公信力。正因如此，高校必须要从内部着手，建立健全的资源和资产管理机制。以下将从内部控制的观点出发，进一步对高校资产管理内部控制的内涵和原则进行探究，并在此基础上提出若干措施建议。

二高校资产管理内部控制的内涵及原则

(一)高校资产管理内部控制的内涵及作用

内部控制是一个管理学概念。任何具有经营性质的单位(企业、学校等)都会面临着“如何管理”以及“管理什么”的问题。以企业为例，企业最大的管理问题就是如何实现获利的最大化，决定获利最大化的最重要的因素是经营效率，而获得最高经营效率的核心是如何实现企业所掌握的包括资产在内的所有资源的有效整合与利用。企业获利的最大化，关键在于单位内部各个组成部分之间的关系是否能够通过某种控制机制，调整到一个最佳状态以实现上述“连锁反应”。这就是内部控制理论的通俗化概括［3］。因此，高校资产管理的内部控制，即指高校如何在内部控制理论的指导下，实现资产使用率的最大化［4］。由此可见，高校资产管理的内部控制，对未来高校的自主运营和健康发展具有重要意义。如前所述，内部控制是一种过程和方法，而非目的;对于高校资产管理工作来说，“内部控制”最终将归结为采用何种方法实现高校资产的正常运营。所以，高校管理层在设计与执行高校资产内部控制的时候，必须考虑许多因素，以利于其推动组织内部控制的周延性与落实性。这些因素，就是高校资产管理内部控制的原则。从总体上看，这些原则主要有信息化原则、系统化原则与标准化原则。

(二)高校资产管理内部控制的原则

1.信息化原则

在任何内部控制的领域和模型中，“控制”和“信息”往往形成对立统一的关系。一般来说，“信息”的正确是“控制”能够实现的前提，而“控制”的目标则是正确“信息”的产生、畅通和利用。因此，所谓“信息化原则”，通俗地解释就是制定或确立某种内部控制制度，究竟是要完成什么样的目标。信息传导与沟通机制能否能够运行正常，对资产管理内部控制的效率和效果是至关重要的。信息沟通渠道主要有以下两种:一是传统模式，包括各要素之间的直接的、瞬时的交流，以及与资产管理有关的部门和组织按照一定的频率或其他原则建立固定的讨论、协调、解决和解决机制，以确保与资产管理有关的信息能够在第一时间反馈到各相关部门。二是网络模式，即与资产管理有关的部门和组织自上而下地及时公布与资产管理有关的各类信息，使资产使用单位根据自身的权责对上述信息进行分析，而后“各取所需”，以达到合理有效使用资产实现各要素的既定目标的目的。

2.系统化原则

系统指由若干相互联系和相互作用的要素组成的具有一定结构和功能的有机整体，具有整体性、层次性、稳定性、适应性和历时性等特性。系统化的内部控制的内涵，是根据所要实现的目标的性质和内容，按照单位内部各要素应当或能够发挥的作用，对单位内部各要素进行通盘布局，使各要素在一定的规则或框架内连续、有效地单独运行或相互作用，以实现既定目标系统化原则必然要求高校建立内控测评系统，加强高校财务风险评级。要组织人员对资产管理内部控制制度运行情况进行审核、测试，找出不足的地方，积极地探讨及修正，从而达到完善单位内部控制的目的［5］。

3.标准化原则

如果说信息化原则解决的是内部控制的目标“是什么”，系统化原则解决的是从宏观的角度上看内部控制的目标“如何实现”，那么标准化原则解决的则为内部控制目标的实现提供了微观的、具体的“工具”和“游戏规则”。1986年国际标准化组织的ISO第2号指南和1996年我国颁发的国家标准(GB3935．1－96)均对标准化进行了概念的阐述［6］。因此，此外许多国家和行业都对“标准化”一词有着不同的理解或进行了符合自身实际情况的界定。但是不管如何定义“标准化”一词，几乎所有国家都制定了有关于标准化的法律法规，标准化已然成为全世界对现代化生产进行科学管理的重要工具和原则。1987年的IS09000系列国际标准，对世界各国各行业的质量管理各环节产生了巨大的指导作用。质量管理体系强调的是对过程方法的控制，而标准化管理所要实现的最终目标是“持续改进、不断提高”。标准化是一种基本的现代化管理方法，被广泛应用于各个管理领域。同样，高校资产管理必须通过采用与国际标准接轨的标准化管理模式，才能规范高校的资产管理，实现更好地服务于高校教学科研各项事业的目标。

三高校资产管理内部控制的措施

当前我国高校正处在发展改革的重要转型期。在这一背景之下，高校要将办学规律和内部控制理论相结合，有意识地调节校内外各种因素和学校资产之间的关系，以实现既定的办学目标，可以从以下措施入手，对已有的资产管理内部控制制度进行调整和完善。

(一)建立综合作业稽核系统

根据我国高等教育和高校改革的总体趋势，未来高等教育的每一个实施者(教师及教育管理人员)都应把高校视为一个“事业体”和“经营体”，教师及教育管理人员的经营参与意识必须与高校自主办学自主经营的趋势同步成长。尤其是一旦“校务基金制度”在未来得以实施，那么高等院校将进入一个“总体经营”(institutionaladvancement)的时代，教师及教育管理人员在享有管理自主的权利的同时，当然也要承担学校经营的责任，尤其是教育管理人员。每个教育管理人员必须熟悉组织内部控制的理念与作法，进而在各个工作岗位上正确执行。在这一点上，西方高校已经走在了前面。如美国大学校院财务管理人员协会(NationalAssociationofCollegeandUniversityBusinessOffice，NACUBA)就将大学内部的财务管理分为策划、预算、财务报告、现金管理、捐赠基金管理、融资管理、税务管理、福利管理、采购管理、附属事业管理以及技术数据IT系统、法律部门、风险管理等支持性运作。所有上述管理门类均要受到综合性操作系统———“稽核(Audit)”，即内部控制的审核系统的管理。

(二)确认校园体系内部控制的权利与责任

高校内部管理与控制的基本内容与组织管理内部控制相似。但是，由于高校具有非营利性质，因此高校内部管理更加重视营运控制与稽核。公立高校对利润计划则多用资产使用率(经费利用率)作为标准，而私立高校则大多使用企业组织管控模式。高校的内部控制一般包含“运作效率与效能(effectivenessandefficiency)”、“财务报告的可信度(relia-bility)”与“符合法律规定(compliance)”三个领域，其所衍生的五个元素有:管理环境(以人为本)、危险评估(因应机制)、控管措施(方法学)、信息与沟通、监督(内部与外部及修正措施)等。事实上，良好的内部管理控制是高校得以可持续性发展和确保自主管理的基石。

(三)建设一支强有力的资产管理队伍

近年来，全国各类高校的资产规模在短时期内均出现大幅增长的态势。这种情况促使高校管理人员认识到了高校资产管理工作的重要性。高校要实现自身的稳定且可持续性发展，必然要求建立健全高校资产管理体系。因此，许多高校为了加强资产管理水平，将原本归属于后勤管理处或总务处的资产管理部门分离出来，单独设置资产管理处。资产管理队伍质量的好坏，将在最大程度上影响甚至决定资产管理效益的规模及获得。从这个意义上说，高校资产管理队伍的建设，应该成为高校人才战略的关键点和着力点之一。高校应该将自身实际情况与国家法律法规以及制度规范相结合，对资产的价值管理和使用管理实行“双管齐下、纵横交错”的管理模式，同时针对资产管理人员的招募、进修、拓展、考核、晋升，制定一整套行之有效的管理制度并进行贯彻。更重要的是，要像高校科研学术团队一样，将资产管理队伍的梯队建设提到高校资产管理工作的议事日程上来，使资产管理队伍实现可持续发展，“建设一支素质好、结构优、爱岗敬业的资产管理队伍”［7］。

目前，世界各国都在注重高等教育的发展。如果高等教育真的发展成为一种产业，那么它就要像企业一样按经济规律组织运营，注意供需、绩效、质量，走产学研一体化的道路，以满足消费者———学生的需求［8］。而高校资产管理的内部控制的有效实现，不仅可以使高等教育在产业化的过程中提高行政效率，还可以使教育资源得到最大限度的充分利用。而且，在有效的内部控制的基础之上形成的健全健康的资产管理制度，可以使高校在最大程度上建立强大的社会公信力，进而吸引优质生源，全面推动高校办学的质量和水平。

参考文献:

［1］张慧．高校“行政化”问题解决路径探析［J］．长沙大学学报，2015，(6)．

［2］褚琳．新《高等学校财务制度》对高校财务管理的影响［J］．西安工程大学学报，2014，(3)．

［3］张倩．我国企业内部控制流程设计与优化研究述评［J］．长沙大学学报，2014，(2)．

［4］赵文淼，宋胜菊．基于反馈控制谈高校固定资产管理制度体系改进［J］．中华女子学院学报，2016，(4)．

［5］沈秀丽．加强高校资产管理内部控制的探讨［J］．知识经济，2015，(24)．

［6］李春田．标准化基础［M］．北京:中国计量出版社，2001．

［7］张月琪，落巨福，接励．关于高校资产管理队伍建设的思考［J］．实验技术与管理，2014，(3)．

篇6

健全有效的内部控制可以合理保证企业经营效率与效果、财务报表的可靠性以及对相关法律法规的遵循。但是在二十一世纪初，美国等国家爆发安然、世通等一系列数额惊人的财务舞弊案件，对资本市场产生极大震动，其根本原因之一是内部控制失效导致的。美国为整顿资本市场秩序，重树社会公众对资本市场的信心，于2002年颁布了《萨班斯－奥克斯利法案》，该法案要求管理层对财务报告内部控制的评价报告随定期报告一同对外披露，同时要求公司内部控制必须经注册会计师审计。内部控制审计这一新型业务的开展将会对提高财务报告信息质量产生深远影响，这也正是本文研究内部控制审计问题的价值所在。

一、内部控制审计理论

在美国展开的内部控制审计的制度化，并不是安然、世通等财务舞弊事件所引起的特定国家的问题，而是通过这些偶然事件得以加速公司治理的必然发展。世界各国也同样存在内部控制审计制度化的必然性。美国内部控制审计的发展过程：文件化、测试、经营者评价报告、内部控制报告审计，其宗旨是从财务报告过程的控制以保证财务报告的可靠性，进而达到公司治理的目的。可见，我们有必要研究内部控制审计相关的基本理论。

（一）内部控制审计相关的概念界定

现代审计的主流是以财务报表审计为代表的对信息的检验。但是，随着企业经济活动的不断扩大和经济全球化的不断进展、社会民主意识对政府以及社会团体等机构的信息披露要求不断提高，审计范围越来越广泛，审计的类型越来越多，人们对审计的关心也越来越强。审计是为了确认有关行为是否妥当，或者该行为人所给的信息（陈述、认可）是否可靠，由独立第三者所进行的一种检验。审计对于注册会计师而言，主要是财务报表审计。SOX之后，美国开始实施财务报告内部控制审计，日本、加拿大等也在相继制定相关的审计准则并在适时推出这项制度安排，这说明除了传统的财务报表审计外，还将有一套新的审计制度安排，即内部控制审计。也就是说，需要对内部控制预期的目标实现进行检查和评价，即建立一个内部控制评价和报告体系，来提高内部控制的有效性，加强内部控制信息的透明度。所建立的内部控制评价与报告体系既要求管理层对内部控制的有效性进行评价，也要求中介机构对其进行审计。本文将内部控制审计、财务报表审计以及同时进行这两项审计时的整合审计的概念界定如下：

1.内部控制审计

笔者对本文的内部控制审计定义，在借鉴美国AS5“财务报告内部控制审计”概念的基础上，结合我国的具体情况，定义为：内部控制审计是指会计师事务所接受委托，对特定日期（通常与企业内部控制自我评价基准日一致）企业内部控制的有效性进行审计，并发表审计意见。为了形成审计意见的基础，审计人员必须计划和执行审计程序，获得合理保证，确定公司与财务报告有关的内部控制是否在管理当局评估的特定日期存在重大缺陷。这里内部控制审计的对象，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即“狭义的内部控制”。我们在文中的主题“内部控制审计”即指这里的狭义内部控制审计。

2.财务报表审计

财务报表审计属于鉴证业务，是指注册会计师按照审计准则的规定，通过计划和执行审计工作，对财务报表的下列方面发表审计意见：（1）财务报表是否按照适用的会计准则和相关会计制度的规定编制；（2）财务报表是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量。注册会计师的审计意见旨在提高财务报表的可信赖程度。

3.整合审计

本文所研究的整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计，注册会计师通过整合计划和实施审计工作，以同时实现二者的目标：①获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；②获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

二、内部控制审计的业务特性

1.基于责任方认定的信息审计业务

审计有两大系列。其一是需要对审计客体的陈述或声明发表意见的审计，称之为信息审计；其二是需要对审计客体的行为、过程以及系统发表意见的审计，称之为非信息审计。财务报表审计，实质上是对经营者所作会计声明的审计，是一种典型的信息审计。信息审计和非信息审计并不是同一审计行为的两种表现类型，而是审计人基于不同审计主题采取了不同认识行为所形成的两大审计系列。根据审计的主题是已经用语言表现的声明还是未经语言表现的非声明事项，审计的认识对象可以分为两大范畴：其一，已经用语言表现的声明――责任方认定，是责任方对其责任范围内的业务活动及其结果进行评价或计量后形成和给出的认定。即在基于责任方认定的业务中，责任方对鉴证对象进行评价或计量，鉴证对象信息以责任方认定的形式为预期使用者获取。责任方认定是责任方将适当标准应用至鉴证对象的结果。比如，经营者（责任方）对财务状况、经营成果和现金流量（业务活动及其结果）进行确认、计量和列报（评价或计量）而形成的财务报表即为责任方的认定，该财务报表可为预期报表使用者获取，注册会计师针对财务报表出具审计报告注册会计师或者针对责任方认定提出结论，或者直接针对鉴证对象提出结论，无论采取何种方式提出结论，预期使用者都可以获取责任方认定；其二，未经语言表现的非声明事项――直接报告业务，是责任方没有给出认定，需要审计人员直接对审计对象进行评价或计量，形成审计结论的业务。在直接报告业务中，注册会计师直接对鉴证对象进行评价或计量，或者从责任方获取对鉴证对象评价或计量的认定，而该认定无法为预期使用者获取，预期使用者只能通过阅读鉴证报告获取鉴证对象信息。简而言之，直接报告业务是注册会计师直接应用适当的标准对鉴证对象进行评价并提出结论，预期使用者无法获取责任方认定。我们定义以责任方认定为主题的审计为信息审计，以直接报告业务的对象为主题的审计为非信息审计。信息审计是指通过获取与责任方认定的内容及依据有关的证据，验证责任方认定是否按照既定的标准恰当地反映了责任方所认定的企业等经济主体的活动及其结果，并对责任方认定是否可靠发表意见为目的的审计。比如，财务报表审计，内部控制审计等。非信息审计则是通过调查有关行为主体的行为内容行为过程和行为程序等，验证该行为妥当与否，法律等各种规范的遵守情况如何，效率如何等等，并对该行为、过程和程序给出调查结论为目的的审计。比如，舞弊审计等。

2.合理保证的鉴证业务

国际审计与鉴证准则委员会（IAASB）将注册会计师的服务分为鉴证业务（Assurance Engagements）和非鉴证业务（Non-assurance，或者Related Services，相关服务）。

篇7

COSO的经典性报告《内部控制——整体框架》是内部控制方面的权威性文献，自1992年以来，得到了包括美国在内的多个国家的政府组织和企业的认可，并以此框架为基础制定和了内部控制的框架和文件，如我国财政部等五部委在2008年6月份的《企业内部控制基本规范》就是在我国国情的基础上借鉴了COSO的内部控制报告。尽管该框架受到了各方的认可，但是随着经济和科技的发展，企业的经营环境也在不断的变化，再加上安然公司等舞弊案的出现，使得人们对于COSO的内部控制框架有了质疑。在此背景下，COSO委员会与普华永道会计师事务所于2010年9月份启动了内部控制框架的修订工作，并于2011年12月份了内部控制新框架的征求意见稿，经过1年多的公开征求意见，于2013年5月了的《内部控制——整体框架》（以下简称新框架）的正式报告。COSO委员会要求新框架于2014年12月15日开始生效。COSO新框架有利于帮助组织在业务和经营环境变化了的背景下设计和实施内部控制，在经营和报告目标上扩大了内部控制的应用范围，并做出如何判断内部控制的有效性。众所周知，COSO委员会的经典权威报告除了《内部控制——整体框架》外，还包括其2004年的《企业风险管理——整体框架》（以下简称ERM框架），这二者关系非常密切，有学者认为二者是一致的，有学者则认为ERM框架是内部控制框架的替代，那么二者究竟是什么关系呢？在内部控制新框架中，COSO委员会给出了解释。新框架中内容众多，笔者拟就内部控制新旧框架进行比较并对其与ERM框架的关系进行探讨。

二、内部控制新框架与旧框架比较

内部控制新框架是在旧框架的基础上结合目前全球经济和环境的变化进行更新和修订的，因此，在新框架中，既有与旧框架中内容一致的方面，也有不一致、变化了的方面。

（一）内部控制新旧框架维持不变的方面 （1）内部控制的核心定义。新框架与旧框架中的内部控制核心概念形式上是一致的，基本上沿用了旧框架中内部控制的核心定义，即都给出了一个非常宽泛的定义，都强调了是一个过程，受到人为因素的影响，都是对目标的合理保证。由于内部控制的目标有所改变，因此概念中的目标也相应变化。但总体上来讲，新旧框架中的内部控制的概念基本上没有变化。（2）三目标和五要素形式。与旧框架中一致，新框架采用的仍然是三目标和五要素的形式，而且三个目标中有两个没有变化，即第一个目标——经营的效率和效果与第三个目标——法律、法规的遵循等两个目标的名称没有改变。在五要素的名称上，第五个要素的名称在旧框架中称为“监督”，在新框架中增加了“活动”二字，即为“监督活动”；其余的四个要素如控制环境、风险评估、控制活动、信息与沟通等要素，其名称完全一样，没有任何变化。（3）用于评估内部控制系统有效性的标准没有变化。有效的内部控制系统能为三个目标的实现提供合理的保证。如果内部控制系统是有效的，则组织能够使得经营具有效率和效果、提供可靠的报告、遵循所适用的法律和法规。判断一个内部控制系统是否有效，需要如下步骤：首先判断内部控制系统能否合理保证目标的实现；其次内部控制系统能否合理保证目标的实现，取决于这五个要素是否在同时发挥作用，只有这五个要素同时发挥作用，才能说明内部控制系统可能是有效的；最后，判断这五个要素是否有效，这取决于内部控制要素的17个原则和82个属性是否发挥作用。无论是新框架还是旧框架，评价的标准没有变化，只不过旧框架中没有原则和属性的概念。

（二）内部控制新旧框架发生变化的方面 （1）考虑了业务和经营环境的变化。在新框架中，内部控制的设计更加具有灵活性，其充分考虑了组织业务和经营环境的变化。这些体现环境变化的内容主要包括：期望基于公司治理的视野设计内部控制；考虑全球化的市场和经营的因素；考虑业务的变化及其更加的复杂性；考虑法律、法规、规章和标准的要求和复杂性；期望人员的胜任能力和责任性；使用和依赖日趋发展的科技；期望能够发现和预防舞弊。这样变化使得企业在设计内部控制与环境的联系更加紧密，从而有更好的适用性。（2）经营和报告目标的扩展。从名称上来看，经营目标没有变化，但实质上其经营的目标范围有所扩大，旧框架中经营目标所指的保证经营的效率和效果，主要指达到经营的目标；新框架中经营目标不仅包括经营的目标，还包括达到财务绩效目标以及保证资产不受损失等经营目标。在报告目标上，旧框架中仅指对外列报的财务报告目标，保证财务报告的真实、可靠，其范围界定为对外报告的财务报告；新框架中的报告目标中的“报告”，不仅包括对外的报告，还包括内部的报告，不仅包括财务报告，还包括非财务报告。这些报告的披露要遵循法律法规、准则以及企业政策等所规定的可靠性、及时性、透明性等要求。这无疑增加了报告的内涵、外延和要求，对于各利益相关者都具有非常大的影响。报告目标的扩展不仅增加了企业的成本，而且也加大了注册会计师的审计风险。（3）五要素基础概念中体现的是原则导向。无论新旧框架，采用的均是五要素，但在其基础概念中采用的方式不一致。旧框架中没有明确提出构成各要素的原则，在新框架中针对五个要素，提出了17项原则，而且在原则下面又提出了相应的属性。每一个要素，都对应相应的原则和属性。这17项原则是构成这些要素的基础性理念，也是判断内部控制是否有效的主要标准。原则导向体现了新框架全新的思路和理念，每个企业根据自身的实际情况和环境的变化，根据这些原则，设计适合自身的内部控制，这些都有利于增加内部控制的适用性、时效性和灵活性。但另一方面，由于这些原则不是针对某个特定企业而设定的，而是设计内部控制的一些原则性基础，因此，具体到某个企业如何根据这些原则设计适合于自身的内部控制制度，需要设计企业内部控制的相关组织或人员进行判断，这无疑增加了设计的难度。（4）增加了与经营、合规性和非财务报告目标相关的一些案例和方法。在新框架报中，提供了一些评估内部控制系统有效性工具的一些例子，给出了外部财务报告内部控制的一些方法和例子。新框架给出了这些要素的原则和属性是如何影响外部财务报告的，它给出了一个对管理层非常有用的总结性说明，一个要素下的某一个原则会影响其他要素的有效性，如，控制环境下的原则：组织的诚信和价值观，这一原则会影响控制环境要素下人力资源政策保证雇员理解行为规则并且企业的雇员都在遵循这一政策的有效性，并且会影响信息与沟通要素下比较管理层所获得的数据与信息热线获得数据的偏差，以评估信息数据的质量；还会影响监督活动要素下根据获得的雇员行为和举报热线的结果，内部审计单独评估控制环境的有效性等等。由于被征求意见的大多数人和组织，不建议内部控制旧框架推倒重来，因此，总的来说，新框架是在旧框架基础上结合环境的变化形成的，是变化了的环境下的产物，主要体现在：考虑了业务和环境的变化，如全球化、技术的进步等；扩展了业务和报告的范围；提出了原则导向的五要素基础理念；增加了一些例子来说明如何判断内部控制的有效性，具有较强的操作性。因此，新框架主要是时代的产物，使得内部控制新框架更加灵活和适应实际状况，而且具有针对性。

三、新框架与ERM框架比较

（一）内部控制与企业风险管理的关系 2004年，COSO委员了其另一经典性的报告《企业风险管理——整体框架》（ERM框架），当时很多人以为该框架会取代1992年内部控制框架，但COSO委员会从未过以ERM框架取代1992年内部控制框架的任何声明和文件。我国关于内部控制和企业风险管理的关系，观点主要有以下几种：内部控制是企业风险管理的工具；内部控制是企业风险管理的一部分；企业风险管理是内部控制的高级阶段；内部控制包括企业风险管理等。我国财政部的《企业内部控制基本规范》中融合了1992年框架和ERM框架的内容，属于“旧瓶装新水”，从表面和形式来看是1992年的框架，实质上体现的是2004年ERM的框架的内容。关于内部控制框架和ERM框架的关系，COSO委员会在征求意见稿中认为内部控制是企业风险管理的一个组成部分。企业风险管理比内部控制的内涵要广，它延伸了内部控制的边界，比内部控制更加关注风险。

（二）目标比较 内部控制包括三个目标，即经营、报告和遵循目标；企业风险管理除了包括三个类似的目标外，它还包括第四个目标：战略目标，这是一个比其他三个目标更高层次的目标。战略目标与企业的愿景相联系，合理保证企业战略的实现，经营、报告和遵循目标从属于战略目标。企业风险管理中引入了风险胃口（Risk appetite）和风险容忍（risk tolerance）的概念。风险胃口是与企业愿景相联系的一个词语，它应用于战略的制定，并选择相应的目标。如果设定为风险容忍的层次，则管理层需考虑相应目标的重要性，并将容忍的程度限定在风险胃口内。风险容忍是内部控制的前提条件，但并不是内部控制的一个组成部分。

（三）要素比较 从要素数目上来看，内部控制框架为五要素，而ERM则为八要素，ERM框架增加了目标设定、事项识别和风险应对等三个要素。除了数目上不一致外，在名称上，二者第一个要素和最后一个要素不太一致。单从名称上看，第一个内部控制要素为控制环境，而ERM的第一个要素为内部环境，最后一个内部控制要素为监督活动；ERM的最后一个要素为监督。具体比较如下：（1）控制环境。在ERM框架中，更加强调的是风险管理的哲学和理念，强调的是内部的环境，主要是关于企业考虑风险的态度和特点，反映了它的价值观，并会影响企业文化和经营风格。由于董事会的重要性，企业风险管理框架和内部控制框架中均要求董事会成员中要包含一定数量的独立董事，但二者要求的数量不同，内部控制框架通常要求2名即可，而ERM框架中要求大多数董事都应为外部独立的董事。（2）风险评估。这两个框架均要求对企业内部的、外部的各个层次的风险进行评估，而且均要求评估风险对目标实现的潜在影响。但很显然，企业风险管理框架更加注重风险，它将此要素扩展为四个要素。内部控制框架中没有考虑潜在事项的影响，这部分事项可能会影响企业战略的实施或目标的实现。这两个框架均要求对风险进行评估，但企业风险管理框架对风险评估的要求要高一些，它要求基于固有的和剩余基础来评估风险，这些风险要与战略和目标实现的时间相一致，而且同时要求关注内部相关的风险，一个单独的事项可能会引起多种风险。与内部控制框架一致，企业风险管理框架风险应对的策略包括回避、降低、分担和接受。但企业风险管理框架还要考虑企业风险胃口和风险容忍度。（3）控制活动。控制活动的目的均是根据风险评估的结果所采取的活动，其目的是为了使风险降低到可以承受的范围之内。但内部控制新框架更多地体现了目前科技因素的影响，并考虑了科技对企业的影响。（4）信息与沟通。在信息与沟通方面，ERM的范围更为广泛一些，它所分析的数据，包括来自于过去、现在和将来潜在事项的数据。而内部控制框架则更多地关注数据的质量以及与内部控制相关的数据。至于沟通，均包括内部沟通和外部沟通。（5）监督活动。这两个框架都认为监督活动是为了保证内部控制和企业风险管理发挥作用并能继续适用。不过，内部控制框架代表了更新的观点，包括运用基础的资料进行监督以及要监督外部的服务提供商（如审计师）。可见，企业风险管理框架要素与内部控制要素主要区别在于：一是数量上的区别；二是企业风险管理框架的要素更加关注风险，以及风险与战略的关系；三是内部控制新框架更加体现了现代技术和科技的影响，在要素中融入了科技因素。

[本文系教育部人文社科基金项目“基于社会责任本质揭示的企业社会责任内部控制研究”（项目编号：10YJC790089）阶段性研究成果]

参考文献：

[1]丁红燕：《COSO内部控制新框架的变化及对注册会计师审计的影响》，《中国注册会计师》2012年第12期。

[2]COSO. Internal Control - Integrated Framework （1992）， http：//.

[3]COSO. Internal Control–Integrated Framework（2013）， http：//.

篇8

关键词：控制自我评估 管理信息系统 内部控制

一、定义和背景回顾

高登.戴维斯（Gordon B.Davis）指出，管理信息系统是一个利用计算机硬件和软件，手工作业，分析、计划、控制和决策模型，以及数据库的用户――机器系统。它能提供信息，支持企业或组织的运行、管理和决策功能它能提供信息，支持企业或组织的运行、管理和决策功能。这就意味着在现代管理信息系统环境下，信息和相应技术被大量运用并成为企业经济作业的主要载体。在这种情况下，对于企业内部控制和风险管理系统在信息系统环境下如何能够得到有效的控制成为了企业面临的一个重要问题，作为识别风险、改进内部控制的一个有效手段，控制自我评估（Control Self-assessment，下简称CSA）就逐渐被运用于解决这一问题。

CSA是一个主导过程，过程中审计师协调一群在专门领域有专长的工作成员，通过专题研讨会等形式，识别管理层确定的关键运营领域中内部控制的改进机会。CSA的概念最早是在20世纪八十年代由Bruce Mccuaig提出而后在海湾公司的子公司加拿大海湾能源公司开展，由于软控制的失败已经成为大量失败公司的共同属性，他们着力于将CSA 发展成为一种可以用来衡量软控制的过程，这些软控制涵盖着管理层的诚实、正直、守信、规避各种控制的意愿以及员工的总体士气。随后大量机构和审计业都开展了CSA业务，但在比例上来说，真正开展CSA业务的机构只是极少部分，原因是实施CSA要求机构的各个部门都要付出很大的努力，而这些努力的实际效果往往不能量化，从而缺乏必要的实施动力。

要说服管理层接受CSA，并有效的协调CSA讨论会，应用的内部控制框架是最重要的因素之一，内部控制模型和框架有较多的版本，其中最为著名的有6个，分别是COSO（美国，1992），CoCo（加拿大，1995），Cadbury（英国，1994），COBIT（ISACA，1996，1998，2000），SAC（IIA，1977，1991，1994），eSAC（IIA，2001），SASs55/78/94（AICPA1990，1997，2001）。其中与IT环境和信息控制密切相关的主要是COBIT框架，SAC框架和eSAC框架，美国注册会计师协会也在2001年颁布的SAS 94框架中加入了关于信息技术影响内部控制的新内容，COBIT框架与其他框架相比，在信息控制和IT环境下有其独到的优势和特点，下面谈谈如何做好CSA。

二、控制自我评估的运用

CSA的实施可以采用各种方法，通常根据负责实施的部门可以分为纯粹（pure）的CSA，中心型的CSA，目标导向型的CSA，混合型的CSA，由于不属于本文的研究范围，这里就不详细介绍了。具体来说，如何才能做好控制自我评估呢？主要步骤有以下三步：

（一）明确工作目的，制定工作计划和评估方案

首要任务是要确定一个明确的工作目的，根据企业的行业特点、战略目标和风险管理策略、主要业务环节和内部控制重点，明确是要对哪些IT目标、业务目标、业务需求和IT过程进行评估，根据目的制定出工作计划和评估方案。CSA 的总体实施方案一般由内审部门或审计委员会负责。

（二）进行审前准备，做好培训和沟通工作

首先要做好和被评价过程的管理层的沟通，通过沟通确定要评估过程的业务目标。要顺利实施CSA，首先必须取得管理层的支持和员工的帮助，因此和管理层的沟通显得非常重要。其次，要对参与评估的工作人员和被评估部门的员工进行相关知识的培训，尤其强调的是高级管理层要参加培训并通过培训真正了解到企业的内部控制目的和CSA的意义。在具体实施评估之前，CSA 小组成员需通过对高层管理者访谈，发放调查问卷以及与业务经理、关键员工座谈等方式了解部门业务运行模式、职能设置、业务流程及关键环节等情况，采用一定的技术手段，根据风险程度依次排序，确定专题讨论会的重点。在评估前发出邀请函，并把所有预先准备的资料发送至与会人员。

（三）实施CSA工作

CSA实施可以分为评估措施确定、实施现场工作、形成评估报告上报三个步骤。

第一，评估措施确定阶段，首先要通过COBIT框架找到支撑工作目的的IT过程，然后通过COBIT框架找到支持这个IT过程落实的控制管理目标、度量方法和标准，根据控制管理目标和度量方法标准，设计出适用的评估问卷或者调查表格供现场工作阶段使用。这个阶段和实施准备阶段的工作在时间上常常是有交叉的，和管理层沟通的结果也可能反馈到评估措施的确定上。

第二，实施现场工作阶段，可以通过召开专题讨论会、问卷调查和研究分析等方法来开展，由于专题讨论会可以根据现场产生的数据进行互动沟通，一般现场工作都采用这一模式。CSA的主持人员在会议一开始就应让与会者明确此次会议的主题，会议过程中要耐心倾听，保持中立，提炼与会者发言的中心意思；维持积极的、建设性的会议氛围，掌握会议节奏和进度，最终促进与会人员达成一致意见和承诺。专题讨论会过程中会产生大量信息，记录员要及时准确地记录并归纳汇总，通过电子投票、网络记分等技术，加强与会人员的直观的感受和互动。

第三，形成评估报告阶段。CSA 专题讨论会的最终成果通过自我评估报告呈现。专题讨论会按照主题逐一进行，形成CSA 报告取得认定后，就重点结论进行必要的复核性测试。为谨慎起见也可采用匿名再次确认与会人员对报告结论的认同程度。报告的征求意见稿在规定时间内送达相关部门和人员，限期反馈意见，结合反馈意见，拟定正式报告。

（四）CSA成功实施应注意的几个问题

CSA的成功实施应具备以下几个条件，首先是取得高级管理层的鼓励和支持，第二要使高级管理层对本单位内部控制的目标有很好的理解，第三，推进人员应该有必备的用于协调CSA的技能，第四，评估小组应由所评估领域的成员组成，而不包括监督人员或者是经理人员，第五，要有合适的工具，如培训室、投影仪、电子记分软件如Option Finder等，第六，应该避免占用大量的时间。

参考文献：

[1] IT Governance Institute.“COBIT 4.0”，Copyright . 2005 by the IT Governance Institute

篇9

[关键词]　内部控制；内部控制审计；穿行性测试；程序及方法

一、内部控制制度审计的主要内容

(一)内部控制审计的定义

虽然内部控制审计由来已久，但国内外学术界和审计实践界对内部控制审计的定义均持有不同的看法，尚未形成统一的定论。美国上市公司会计监管委员会的《pcaob审计准则第2号——内部控制审计原则》(2004年)、中国注册会计师协会的《独立审计具体准则第9号——内部控制与审计风险》(1997年)和中国内部审计协会的《内部审计具体准则第5号——内部控制审计》(2003年)中均没有明确对内部控制审计予以定义。

内部控制审计的含义和性质应该采用广义的概念，即内部控制审计既可以作为独立的审计项目组织实施，用以完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行内部审计的范围、重点及方法，有效提高审计工作效率和质量。内部控制审计就是对内部控制的健全性、符合性、合理性及有效性的测试和评价。

(二)内部控制审计的对象和内容

内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。

内部控制审计的内容是对构成内部控制的各要素进行测试与评价，主要包括：内部控制健全性检查评价；内部控制符合有效性测试；内部控制合理科学性综合评价；内部控制实质性测试。

二、内部控制审计的程序与方法

审计师在进行内部控制审计时，应该应用通用的外业和报告准则，具备足够的胜任能力，保持应有的职业谨慎。遵循一定的程序，采用适当的方法，以确保内部控制审计报告的质量。通常来说，审计师应按照如下顺序，根据审计和评估的内容不同，分别采用适当的方法予以审计和评估。

(一)审计准备阶段

1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括：审计师决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制；评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度；评估控制设计的有效性；根据评估其实施有效性的程序是否充足，来评估控制实施的有效性；决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性；对审计发现是否合理以及是否支持管理层的评估进行评价。

3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计；关于重要交易是如何被初始、授权、记录、处理和报告的信息；关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点；已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分；对期末财务报告过程的控制；对资产保护的控制以及管理层进行测试和评估结果。

4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工；检查公司文件；观察专用控制的应用；通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。

6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。

7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法；期末财务报告过程中使用信息技术的程度；管理层的参与；涉及经营场所的数量；调整分录的类型(例如，标准、非标准、消除和合并)；以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。

(二)审计实施阶段

1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制；确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来；评估控制设计的有效性；和确认控制是否被实施。

2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点；管理层实施控制的性质；为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的；以及控制不能有效实施的风险。

3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标；识别满足每一目标的控制；判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。

审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

4.形成关于内部控制是否有效的意见。在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性；某缺陷或多个缺陷造成的潜在错报的严重程度。

(三)审计报告形成阶段

1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任；由管理层用来执行评估的框架是否是适当的；到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报；管理层是否已经用一种可接受的形式表达了它的评估。

2.报告的修订。如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的；在公司的内部控制中有某个重要缺陷；在业务约定书的范围方面的限制；为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础；自报告日期以来，发生了某个重大的期后事项；在内部控制的管理层报告中包含了其他信息。

3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

[参　考　文　献]

[1]董建华.美国sox法案视角下对我国上市公司内部控制的思考[j].集团经济研究，2007(22)

[2]朱光.试论内部控制制度审计[j].集团经济研究，2007(1)

[3]周树大.试论内部控制审计的性质[j].审计与经济研究，1999(6)

[4]陈梦.coso报告对我国审计事业的启示[j].财会通讯，2001(8)

篇10

关键词：内部控制评价　比较与改进　基于审计的视角

内部控制评价不仅是公司治理的重要内容，而且也一直是审计人员关注的话题。在审计实践中，对被审计单位的内部控制进行审计，必须有一套客观可行的基本参照标准，即内部控制评价标准。目前我国内部控制评价主观性大、评价标准不统一，不同企业控制环境、控制活动、监督环境差异较大，如果缺乏一些具体的标准和尺度，就会使评价流于形式，从而影响内部控制评价的合理性。因此，建立一套统一的内部控制评价标准体系就显得很重要。美国的COSO《内部控制一整体框架》、英国的Tumbull指南和加拿大的CoCo《控制指南》，是当今世界影响重大的内部控制评价标准。2008年，财政部颁布的《企业内部控制基本规范》，无疑为我国建立统一的内部控制评价标准奠定了基础。本文拟在比较各国内部控制评价标准的基础上，提出改进我国内部控制评价标准的建议。

一、内部控制评价标准及分类

(一)内部控制评价标准　内部控制评价的目标就是评价内部控制的有效性。而内部控制的有效性从根本上讲是依据内部控制目标的实现程度来判定的。鉴于内部控制目标实现程度的局限性，对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况，而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此，内部控制评价标准要解决的问题就是：什么样的内部控制才是有效的内部控制?当前，对这一问题的解决方法是设计内部控制的一个框架体系，即首先确定内部控制的范围和目标，然后确定一个有效内部控制应当具备的要素，如COSO的《内部控制一整合框架》、Tumbull指南等都是这样一个基本的思路。因此，在制定一个特定背景下的内部控制评价标准时，必然面临的问题是要确定：内部控制的范畴与目标；内部控制应当包含的要素；这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题，从而也就引发出另一个问题：什么样的评价标准才是适当的。一个适当的内部控制评价标准至少应当满足以下条件：相关性。与所要评价的内部控制的目标相关；中立性。制定过程遵循了透明的程序；一致性。可以适当一致地、定性和定量地衡量公司的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论；可验证性。有适当的评价轨迹，没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程；完整性。没有忽略会改变公司内部控制有效性结论的相关要素。按照这些条件，COSO内部控制框架、Tumbull指南和CoCo《控制指南》都是适当的评价标准。

(二)内部控制评价标准分类　由于不同规模企业的内部控制差别较大，所以，评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制评价标准。从内部控制评价的整个过程来看，不但要明确什么样的内部控制是有效的内部控制，还要明确如何有效地评价内部控制的有效性。因此，评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。从内部控制涵盖的范围来看，针对范围大小不同的内部控制，可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。

二、内部控制评价标准的国际比较

(一)国际内部控制评价标准简介世界各国都有其内部控制标准仅可。本文仅介绍以下国家内部控制的标准。

(1)美国的COSO报告。COSO《内部控制一整体框架》(简称COSO报告)是目前世界范围内影响最大、应用最广泛的一个标准，也是SEC(证券交易委员会)和PCAOB(公众公司会计监管委员会)推荐使用的标准。20世纪70年代水门事件后，美国国会很快通过了《反国外贿赂法》，该法案除有反贿赂的条款外，还规定了与会计及内部控制有关的条款。这促使许多职业团体加强了对内部控制的研究，并了一系列准则、指南或建议。1985年，美国注册会计师协会、管理会计师协会、内部审计师协会、国际财务经理协会及美国会计学会等机构共同赞助成立了防舞弊财务报告委员会。该委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。1987年，在该委员会的建议下，其赞助机构又赞助成立了一个专门研究内部控制问题的委员会，即COSO委员会。经过三年多的潜心研究以及与相关各方的深入探讨，COSO委员会于1992年提出了《内部控制一整体框架》专题报告，开创性地提出了内部控制整体框架的概念。COSO委员会成立的初衷和定位决定了其目的是制定一个服务于独立公共会计师、企业、监管机构、其他相关者都需要的内部控制定义，为评价内部控制的有效性提供一个合理化的标准。COSO委员会提出的内部控制整体框架报告，凝集着半个多世纪来内部控制研究方面的积极成果，同时，在许多方面有重大的质的突破，代表着当今内部控制研究的最高成就，被公认为是内部控制发展史上一块重要的里程碑。COSO报告提出了三项具体的目标和五项互相联系的要素，首次将内部控制从平面结构发展为立体框架结构。内部控制的三类目标是一个组织努力的方向，而内部控制构成要素则是为实现这些目标所必需的条件，两者之间存在着直接的关系。五类要素之间相互协调、相互联系，每一个要素都适用于所有的目标类别，共同构成能够对不断变化的环境做出动态反映的一个整体。

(2)英国的Turnbull指南。鉴于上市公司提出应有一个内部控制方面的具体操作性的规定，伦敦股票交易所委托英国特许会计师协会成立了以Tumbull先生为主席，由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会，就如何帮助在英国上市的公司贯彻执行“上市规则”和“联合准则”中的建立健全内部控制的要求进行研究。该委员会1999年完成了一份系统的指导企业建立内部控制的报告，即《内部控制框架指南》。由于这个报告是在Tumbull先生领导下完成的，又称为Tumbull指南。Tumbull指南一经，便为财务报告理事会、伦敦证交所、上市公司、公司外部审计人员所接受并在各自工作中运用。2005年，Tumbull指南在保持基本原则不变的情况下进行了局部的修改，并于2005年10月颁布了修改后的Tumbull指南。《Turmbull指南》对分散在英国法律、法规中涉及内部控制的规定进行了归纳和整理，立足英国的法律环境和公司治理特点，建立了具有原则导向性、风险导向性、框架指引性的内部控制指南。

(3)加拿大的CoCo《控制指南》。1992年加拿大特许会计师协会(CICA)成立了CoCo委员会，该委员会的使命是有关内部控制系统设计、评估和报告的指导性文件。经过三年的研究，coco委会员于1995年10月正式了关于内部控制的框架性文件――控制指

南。该指南对内部控制的定义、内部控制的要素、内部控制的作用、内部控制的参与者、内部控制原则进行了阐述，建立了一个完整的内部控制理论体系。在随后的几年中，CoCo委员会又陆续了一系列指导性文件，为CoCo内部控制框架的应用提供了具体详尽的操作规范。CoCo委员会的控制指南在一定程度上参考了COSO委员会的内部控制框架，但CoCo的内部控制框架仍具有鲜明的特色。CoC。委员会报告指出：在任何一个企业中，控制均包括目的、承诺、能力、监控和学习四个最基本的要素。其中目的是对企业发展方向的描述，它包括企业的目标、面临的风险和机遇、经营方针、计划、业绩目标及其评价指标等；承诺是对企业特质的描述，它涉及到企业的道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等；能力是指企业相对于给定任务的胜任程度，它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动；监控和学习则着眼于企业的发展，它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。在确立内部控制的整体框架后，coco委员会基于该框架提出了内部控制的基本原则。内部控制原则是内部控制理论与实务的联结体，它为企业实施内部控制和评价内部控制有效性确立了标准。coco委员会的内部控制原则是《控制指南》的主要内容，同时也是CoCo委员会的重要贡献。

(4)中国《企业内部控制基本规范》。为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，2006年，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会。2007年，企业内部控制标准委员会公布了《企业内部控制基本规范》(以下简称《基本规范》)及17项具体规范的征求意见稿，并于2008年6月颁布。企业内部控制标准委员会的建立及《基本规范》等的颁布，标志着我国内部控制建设进入了一个新的阶段。我国的《基本规范》主要是在借鉴COSO报告的基础上，结合我国的具体情况进行了适当修改和完善。在借鉴国外内控框架的同时，基本规范体现了以下创新：一是内容创新。基本规范中的五要素框架并未照抄照搬国外的框架，而是根据我国的实际情况作了较大调整，并在内容上大为充实，在表达方式上符合我国法规特点、文化传统和语言习惯，使国外提出的较为宏观、抽象的内控理念转变为了具有针对性、实用性的内控规定。二是体系创新。除基本规范之外，我国还颁布了17项具体规范，并将继续起草若干具体规范和应用指南；与此同时，还将研究、制定评价标准和配套实施办法，形成全方位、立体性推进内控体系建设的局面。三是机制创新。我国的内控体系建设任务，是各部门、各方面通力合作、合力推进的，这使得内控问题从立法规范、标准建设、宣传培训、组织实施到监督检查等有一个良好的沟通协作机制，避免了单纯从某一局部、某一方面入手可能造成的局限和被动。

(二)内部控制具体评价标准的国际比较　以下对各国的内部控制评价标准做详细的比较探讨。

(1)内部控制的含义。COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。内部控制作为过程，其本身不是目的，而是实现目标的手段，内部控制的有效性也只是“过程”中某个时点上的一种状态。按照这种认识，内部控制不能再被片面曲解为机械的制度、规定，而是与管理过程融合在一起，是一个不断发现和解决问题的循环往复的动态过程。根据Tumbull指南，内部控制是一个旨在防止风险发生或将风险控制在可接受的低水平的系统。该系统包括公司的政策、过程、任务、行为和其他方面。健全的内部控制系统可以减少但不能消除决策中的拙劣判断的可能性、人为错误、雇员或其他人员蓄意绕过控制过程、管理层越过控制以及不可预知情况的发生。因此，健全的内部控制系统可以提供合理但不是绝对的保证。CoCo《控制指南》使用的是“控制”，而不是“内部控制”，指出“控制”是“一个主体要素(包括实体资源、系统、过程、文化、结构和任务)的集合体，这些要素组合在一起能够支持人们实现主体的目标”，“控制需要企业内所有成员的参与，包括董事会、管理层和所有其他员工；控制对达成企业目标只能提供合理的保证，而不是绝对的保证，这是因为控制本身存在内在的缺陷，如存在人为的错误或成本、效益约束等；控制的终极目的是为了创造财富，而不只是单纯地控制成本；有效的控制需要保持独立和整体、稳定和适应变化之间的平衡”。《基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由此可以看出。各国评价标准对内部控制的定义有些差异：COSO报告和《基本规范》认为是一个过程，Tumbull指南认为是一个系统，而CoCo《控制指南》则认为是一个要素的集合体。系统和集合体的范围明显要大于过程。尽管定义有些差异，但内部控制的本质却是一致，都是为合理保证其控制目标的实现服务的。

(2)内部控制的目标。COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性；第二类目标关于编制可靠的公开的报表中的财务数据；第三类目标涉及企业对所适用的法规的遵循。Tumbull指南认为内部控制要实现以下三类目标：对风险做出适当反应促进经营的效率和效果；提高会计信息质量，防止财务欺诈；遵循法律规章。CoCo《控制指南》界定了“控制”的三类目标：经营的效率和效果；内部和外部报告的可靠性；遵守适用的法律、规章及内部政策。《基本规范》指出，内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。由于各国的内部控制评价标准都是借鉴COSO报告的基础上发展而来，Tumbull指南和CoCo《控制指南》的三类目标基本和COSO报告一致，而我国的《基本规范》在保留COSO报告原有的三个目标的同时，增加了企业战略和资产安全完整两类目标。COSO报告的三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展，而发展和战略规划问题是企业所有问题的根本。所以加上企业战略的目标，更有利于企业应对未来外部环境变化带来的风险。COSO报告认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。这就导致了两者出现分歧，单独把保护资产安全完整作为一个目标，便能很好地解决这一分歧，因此，在COSO报告原有的三个目标的基础上，加上企业战略和资产的安全完整两个目标，便显得很有意义了。

(3)内部控制的构成要素。COSO报告提出了内部控制的五要素，五项要素是指控制环境、风险评估、控制活动、信息和沟通及监

督。以上五项要素实际上内容广泛，相互关联。控制环境是其他控制成分的基础；在规划控制活动时，必须对企业可能面临的风险有细致的分析；风险评估和控制活动必须借助信息与沟通；内部控制的设计和执行必须受到有效的监控。关于控制要素，Turnbull指南提出了“四要素”论，即控制环境、控制活动、信息与沟通、监督检查四部分。CoCo《控制指南》报告指出：在任何一个企业中，控制均包括目的、承诺、能力、监控和学习四个最基本要素。其中目的是对企业发展方向的描述，它包括企业的目标、面临的风险和机遇、经营方针、计划、业绩目标及其评价指标等；承诺是对企业特质的描述，它涉及到企业的道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等；能力是指企业相对于给定任务的胜任程度，它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动；监控和学习则着眼于企业的发展，它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。我国的《基本规范》在内部控制构成要素上，采用的是五要素，即内部环境、风险评估、控制措施、信息与沟通和监督检查。从形式上看，CoCo《控制指南》的四要素和其他国家的有很大差别，因为其对要素的划分是按照员工执行一项任务的过程来划分的。CoCo委员会认为：企业员工在执行企业所指派的任务时，将以他对企业目的的理解为指南，并以其能力作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外，员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动，并在调整自身行动以适应环境变化的过程中学会更好地完成工作。实质上，CoCo《控制指南》的四要素基本上包含了COSO报告五要素的内容，只是划分的角度不一样。Turnbll指南与COSO报告相比，没有把风险评估列为单独的控制要素，因为其认为风险的评估贯穿内部控制的整个过程和所有层面，在某种意义上，内部控制等同于风险管理。尽管我国的《基本规范》借鉴了COSO报告的五要素，但在具体内容上却有所创新。如由于我国与发达国家相比，公司治理结构还存在很多问题，《基本规范》使用的是“内部环境”而不是“控制环境”，这样便更能强调公司内部治理结构对内部控制的影响作用。

(4)内部控制的责任主体。在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外内部控制报告。在Turnbull指南下，董事会负责审查内部控制的有效性，管理层有责任监督内部控制系统，并向董事会提交评价内部控制有效性的报告；董事会要审查管理层的内部控制报告，对内部控制进行年度评估，并在年度报告中内部控制声明。我国的《基本规范》对内部控制的主要责任主体的责任分别进行规定：企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督；董事长(或者法定代表人、代表企业行使职权的主要负责人)对本企业内部控制的建立健全和有效实施负责；经理(或者总裁、厂长)根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行；总会计师(或者财务总监、分管财务会计工作的负责人)在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。由上面的分析可以看出，在COSO报告中，内部控制的责任主体主要是管理层。虽然把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。而《基本规范》和Turnbull指南，都强调了董事会对内部控制的重要责任，并且与Turnbull指南相比，《基本规范》更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。

(5)内部控制的外部审计。在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。而在Turnbull指南下，审计师只是对董事会的内部控制声明进行审查，并不需要对公司内部控制系统的有效性出具报告。因为，Turnbull指南与CoCo《控制指南》一样，对内部控制的定义范围比COSO委员会的定义更为宽泛。其目的在于为企业设计、评估、报告内部控制以及相关的公司治理事宜提供指导，而不是对企业内部控制的最低法定要求。因此，这一内部控制概念对公司财务报告的外部审计不适用，审计人员应根据审计环境和财务报告使用者的要求合理地确定与审计相关的内部控制范围。在我国，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由于我国对内部控制审计的范围并没有明确规定，这给内部控制的外部审计工作加大了难度，所以我国还只是鼓励对内部控制进行外部审计，而不是强制要求。

(6)内部控制评价标准体系。从前面内部控制评价标准的性质和内容的分析中，我们知道，评价标准的整个体系可以分为内部控制的评价标准和内部控制评价实施的标准。尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准，而是规定了评价标准适当与否的条件，但指出COSO的内部控制框架为适当的标准，PCAOB也以此制定审计准则，从总体上来看，形成了一个层次清晰的体系。在评价标准上，包括：COSO《内部控制―整合框架》；COSO《财务报告内部控制―小规模公众公司指引》；这两项是进行内部控制建设的指引，也是后期进行评价和审计的标准；SEC的管理层评价内部控制的解释性指南，这是企业管理层进行内部控制自我评估的指南；PCAOB的内部控制审计准则，这是审计师进行审计的标准，规定了审计的方法和程序。这就形成了内部控制标准、自我评估标准、审计标准的完整、规范的体系。在评价标准上，我国目前仅出台了《基本规范》和17项具体规范的征求意见稿。在评价实施的标准上，意见不一。比如，有的是按照中注协的《内部控制审核指导意见》，而有的则按照《中国注册会计师其他鉴证业务准则第3101号一历史财务信息审计或审阅以外的鉴证业务》实施。

三、我国内部控制评价标准的建议

(一)制定技术规范时采用“风险导向、自上而下”的方法论　内部控制标准有效推进的关键是降低成本，提高效率。从技术层面看，提高效率的路径在于：针对内部控制体系建设、内部控制评价和内部控制审计的每一个方面，在开发和制定技术规范时，要充分借鉴先进的方法论，并考虑我国内部控制环境的特点，做到简洁、高效、实用和可操作。我国可采用“风险导向、自上而下”的方法。

(二)遵循五要素原则　控制环境、风险评估、控制活动、信息和沟通、监督五要素是一个相互联系、综合作用的有机控制整体，使单纯的控制活动与企业环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内部控制机制。五要素的有机结合，更科学合理，更有利于企业董事会、经理层和其他员工共同实施，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证。目前我国的企业内部控制基本规范已充分借鉴和吸收了五要素，在此基础上有所创新和补充完善。