企业内部控制评价的标准及设计

本文系辽宁省教育厅课题“COSO企业风险管理整合框架及其在国有企业的应用研究”及社科联课题的阶段性研究成果

【摘要】企业内部控制评价的标准通常是一个框架体系，它必须满足一定的条件。而英美的企业内部控制标准基本上形成了一定的层次，但二者又不尽相同，各有特色。笔者在借鉴其成功经验的基础上，提出对其总体设计的思路。

一、企业内部控制评价标准的性质与内容

（一）企业内部控制评价的目标

简单地讲，企业内部控制评价的目标就是评价企业内部控制的有效性。而内部控制的有效性从根本上来讲是要根据内部控制目标的实现来判定的。而内部控制的有效性又具有时点性、互补性和完整性等特征。

（二）企业内部控制评价标准的性质和内容

内部控制的有效性，要从其目标的实现情况进行界定。鉴于内部控制目标实现程度的局限性，对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况，而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此，企业内部控制评价标准要解决的问题就是：什么样的内部控制才是有效的内部控制？如果把评价方法也包括在内的话，还要包括如何评价的问题，即评价的方法。当前，对这一问题的解决方法是设计内部控制的一个框架体系，即首先确定内部控制的范围和目标，然后确定一个有效内部控制应当具备的要素，如COSO的《内部控制――整合框架》、Turnbull指南等都是这样一个基本的思路。因此，在制定一个特定背景（如国家）下的内部控制标准时，必然面临的问题是要确定：企业内部控制的范畴与目标；内部控制应当包含的要素；这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题，从而也就引发出另一个问题：什么样的评价标准才是适当的。

（三）内部控制评价标准的适当性

一个适当的内部控制评价标准至少应当满足以下条件：

1.相关性。与所要评价的内部控制的目标相关。

2.没有偏见。制定过程遵循了透明的程序并保持更新。

3.一致性。可以适当一致地、定性和定量地衡量公司的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论。

4.可验证性。有适当的评价轨迹，没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程。

5.充分完整。没有忽略会改变公司内部控制有效性结论的相关要素。

按照这些条件，COSO内部控制框架、企业风险管理框架和Turnbull指南都是适当的内部控制框架或评价标准。

（四）企业内部控制评价标准的体系和分类

由于不同规模企业的内部控制差别较大，所以，评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制标准。

从内部控制评价的整个过程来看，不但要明确什么样的内部控制是有效的内部控制，还要明确如何有效地评价内部控制的有效性。因此，评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。

从内部控制涵盖的范围来看，针对范围大小不同的内部控制，可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。

二、美英企业内部控制评价标准的体系及特点

（一）美国上市公司的内部控制评价标准体系

尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准，而是规定了评价标准适当与否的条件，但指出COSO的内部控制框架为适当的标准，PCAOB也以此制定审计准则，从总体上来看，形成了一个层次清晰的体系。

1.评价标准。根据适用企业的规模与内部控制的内容分为：

（1）COSO《内部控制――整合框架》：适用于一般企业，涉及经营、财务报告和合规三类目标。它由COSO，包括5个要素，得到了公司管理层、审计师的认可和广泛应用，也得到了SEC和PCAOB的认可，适用于一般上市公司。它提供了一个识别内部控制要素和目标的整合框架和评价有效性的标准，但没有对评价过程中必须遵循的步骤提出详细的指南。

（2）COSO《财务报告内部控制――小规模公众公司指引》：适用于小规模企业，涉及财务报告的可靠性一类目标。它由COSO，主要基于内部控制评价的成本效益性考虑，适用于小规模企业财务报告内部控制的评估，它有与《内部控制――整合框架》相一致的原则和特征，内部控制框架不变。目的是应对财务报告目标的唯一需求，但许多原则和特征适用于所有三类控制目标。主要内容包括5个要素，20条原则和79个属性。

（3）COSO《企业风险管理――整合框架》：适用于一般企业，涉及战略、经营、财务报告和合规四类目标。它由COSO，包括八个要素，在范围上风险管理包括内部控制；在构成上，以“内部环境”取代“控制环境”，体现风险管理的理念，拓展风险评估要素，进一步细分为目标设定、事项识别、风险评估和风险应对四个要素。

2.评价实施标准，用来规范、指导如何评价和审计内部控制，它包括：

（1）COSO《内部控制――整合框架》中的内部控制要素评估工具。COSO在《内部控制――整合框架》的同时的内容，它对于内部控制的评价具有一定的指导作用。

（2）SEC的管理层评价内部控制的解释性指南。SEC指出，上市公司的管理层按照这一指南实施的内部控制评价能满足SEC相关规则的要求，因此，它应当是半强制性的。

（3）PCAOB的内部控制审计准则。PCAOB的内部控制审计准则是注册会计师在审计上市公司的内部控制时必须遵守的规则，它是强制性的。

（二）英国上市公司内部控制评价的标准

英国上市公司内部控制评价的标准具有高度的原则性和市场导向，没有提出非常具体的要求，只有一个Turnbull指南对内部控制评价标准进行了原则性规定，但包含了许多规制方面的内容。Turnbull指南具有以下特点：

1.既要帮助公司遵守《联合规则》有关内部控制的要求，又要反映优良的业务实践，不限制公司以适合其特定情况的方式应用指南的能力。

2.涵盖所有内部控制，而不仅仅是财务方面的。

3.高层次和原则导向，使用风险基础方法。

4.指出有效内部系统的构成要素包括：控制活动；信息与沟通过程；监督内部控制系统持续有效性的过程。

5.只给出一些在控制风险时应当考虑的原则，并没有规定应该实施哪些步骤和程序。一方面，这些原则很难变成直接的行动指南，可操作性不强；另一方面，采用原则的形式使之具有充分的弹性，公司可以根据变化的业务环境对这些原则进行取舍，以实施、强化和整合其风险控制战略。

6.不要求董事会对内部控制的有效性做出对外报告。

7.不要求外部审计师审计内部控制。

8．“遵守或解释”原则，可以不遵守相关要求，只需说明原因。

COSO内部控制框架与Turnbull指南的比较如下表所示：

三、我国企业内部控制评价标准体系的设计

（一）我国企业内部控制评价标准的总体设计思路

基于上述理论分析和比较研究，我国企业内部控制评价标准的总体设计思路应当是：

1.将内部控制定位于广义的内部控制。选择战略、经营、报告和合规的四目标模式，以保证广泛的适用性、企业管理的实用性与内部控制发展的前瞻性。

2.从企业经营管理的实际出发，以最佳实践为基础，充分满足企业战略管理和经营管理的需要，提高其对企业的价值，避免仅仅成为一种法规的遵循。

3.应当考虑规模不同企业内部控制的差异，优化标准的可伸缩性，以提高效率和成本效益。

4.原则基础。为了保证标准的适用性以及允许企业有充分的灵活性，无论是评价标准还是评价实施指南都应当是原则性的。

5.建立完整的内部控制标准体系。从大的方面可以分为内部控制评价的标准和内部控制评价（审计）实施的标准。

（二）我国企业内部控制评价标准体系的设计

我国企业内部控制评价标准体系总体上包括两个组成部分：内部控制评价的标准和内部控制评价（审计）实施的指南。

1.内部控制评价的标准

我国企业内部控制评价的标准应当包括：

（1）《企业内部控制基本规范》，将其作为内部控制评价的一般标准，适用于上市公司及大型企业。

（2）《小企业内部控制基本规范》，将其作为适用于中小型企业内部控制评价的一般标准，可在《企业内部控制基本规范》的基础上考虑中小型企业的特点作适当修改。

2.内部控制评价（审计）实施的标准

我国企业内部控制评价（审计）实施的标准应当包括：

（1）《企业内部控制评价规范》。将其作为企业管理层评价内部控制的实施指南，对内部控制评价的基本方法和程序进行指导。

（2）《中国注册会计师审计准则第X号――内部控制审计》，用来规范和指导注册会计师对内部控制的审计。

总之，我国应当在借鉴美、英等国上市公司内部控制规制的成功经验、吸取相关教训的基础上确定自己的总体设计思路，制定和形成广义的、基于最佳实践的、原则基础的、完整的企业内部控制评价标准体系。

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。