关于企业内部控制评价几个关键要素的界定

摘要 内部控制评价是内部控制要素之一，该要素能否充分发挥评价机制的作用，直接关系到内部控制的实施效果。本文主要探讨了基于披露目的的内部控制评价的主体、客体和评价指标体系等几个关键问题，目的是为内部控制评价体系提供先决条件。

关键词 内部控制 评价主体 评价客体 评价指标

中图分类号：F270 文献标识码：A

对内部控制的建立、实施进行评价，是优化内部控制自我监督机制的一项重要制度安排。从动态角度看，内部控制评价与内部控制的建立、实施构成了一个完整的循环。在这一循环过程中，评价起到了枢纽的作用。内部控制制度的设计和执行，是否完整、合理和有效，是否存在的缺陷，需要评价予以认定，然后根据评价结果，进行整改，以实现内部控制的持续性改进。但是，内部控制评价系统的构建是一项复杂的系统工程。首先是内部控制是一个开放、动态的复杂系统，决定了内部控制的动态性和复杂性。其次，内部控制评价的结果需面向社会公众，因而评价系统构建就必然要考虑利益相关者的信息需求和市场反应。因此，内部控制评价的先决条件是建立评价体系框架，界定清楚主体、客体和评价指标等内容。

一、内部控制评价主体

不同目的的内部控制评价主体是不同的，例如基于审计目的的内部控制评价主体是注册会计师。关于披露目的的内部控制评价主体，我国财政部等部委于2010年4月20日的《企业内部控制评价指引》指定为董事会；而美国《SOX法案》则指定为管理层。二者之所以会出现差异是因为我国公司股权相对集中，董事会主导企业，而美国公司股权相对分散，管理层主导企业。企业的主导者理应对企业内部控制的建立和执行承担更多责任。有必要说明的是，这里的评价主体指的是内部控制评价报告的责任人，即内部控制评价报告的签字人，而不仅仅是内部控制评价活动的参与者。

董事会之所以是内部控制的主体，是因为尽管股东是企业风险的主要承担者和企业剩余的主要索取者，但是由于股东是企业的外部人，只能是企业内部控制评价报告的主要使用人，而不可能是内部控制评价报告的提供者。董事会做为股东的受托人，取代股东成为了内部控制的直接评价者，股东只是内部控制的间接评价者。之所以强调这一特征，只是想说明基于报告目的的内部控制评价，是由内部人向外部人报告的，为了约束内部人的行为，保护外部人利益，内部控制的评价需要遵循标准的规范，这与注册会计师基于审计目的的内部控制评价不同。

公司治理与内部控制密切相关，因此，分析内部控制评价主体，有必要结合公司治理的特征。公司治理是解决企业问题的一种制度安排，而内部控制通过对会计信息的可靠、企业资产的安全、资产运营的有效性的合理保证对公司治理提供支持。公司治理对象的有两层，一是董事会对经营者的治理，衡量指标是公司的经营绩效；二是股东对董事会的治理，衡量指标是股东的投资回报率。可以看出，董事会是公司治理的关键环节，完善的内部控制必须由良好的公司治理作保证，其中关键是要发挥好董事会的作用。也就是说，要使企业管理当局有足够的动力去执行内部控制，就必须解决所有者和经营者之间的问题，其中的关键是董事会。

二、内部控制评价客体

内部控制评价是对内部控制的“有效性”发表意见。所以，“有效性”即为内部控制的客体。

所谓内部控制有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。其中，内部控制设计的有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行的有效性，是指现有内部控制按照规定程序得到了正确执行。只要内部控制设计恰当得到了一贯执行，即可视为内部控制对实现控制目标提供了合理保证。

（一）内部控制评价的内容。

内部控制评价的客体包括控制环境、风险评估、控制活动、信息与沟通、监督这五个内部控制要素。其中控制环境包括了诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略等方面。

风险评估包括了公司层面和业务活动两个基本层面。公司层面的风险评估全面考虑影响公司目标实现的各方面因素，从可能性和影响程度两个维度对风险进行分析并确定其重要风险；业务活动层面的风险评估主要针对业务活动层面的不同目标类型先识别出相应的风险，然后分析风险发生的可能性和影响程度，最终确定出风险的重要性。风险评估实施程序依次为目标设置、风险识别、风险分析和风险评价四个步骤。

控制活动由控制政策和程序组成，政策主要描述应当做什么，程序主要描述应当如何做。控制活动的载体是业务流程，即控制活动是通过流程展开的。因此，控制活动的前提有两个，一是梳理业务流程，二是完善制度。

监督是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时进行改进的持续过程。内部控制的有效性是一个持续性的过程，因此，对内部控制的评价也是一个持续的过程。同时，内部控制评价还包括独立评估和缺陷报告等。

（二）内部控制的有效性。

鉴于内部控制的有效性是以完整性和合理性为基础的，所以，对内部控制有效性的评价还需要考虑内部控制的完整性和合理性。

1、内部控制的完整性。

内部控制的完整性主要包含两个方面的含义：一方面是指内部控制要对企业生产经营的全过程进行控制；另一方面是指内部控制要对企业生产经营的各个层面进行控制，从企业层面到业务层面，从高层管理者到普通员工都要被纳入控制。

2、内部控制的合理性。

内部控制的合理性也包含两个方面的含义：一方面是指内部控制设计和执行是否能有效适应企业的运作；另一方面是指内部控制设计和执行是否符合成本配比原则。合理性是内部控制更深层次的要求，内部控制的有效性必须建立在内部控制的合理性之上。

3、内部控制的有效性。

内部控制的有效性也包含两个方面的含义：一方面是指企业建立的内部控制政策和措施符合相关国家法律法规的规定，在企业生产经营过程中能发挥作用；另一方面是指内部控制能够为内部控制目标的实现提供合理保证。内部控制的有效性是对内部控制完整性和有效性的提升，内部控制的完整性与合理性是内部控制有效性的基础，而有效性是完整性与合理性的目标。

三、内部控制评价指标

内部控制评价是一个由评价主体、评价客体、评价指标、评价标准、评价方法和评价报告多要素组成的综合体。内部控制评价系统通过选取评价指标，确立评价标准，并经由一定的评价方法，最终得到一个评价指数，作为评价系统的最终评价结果。要构造一个合理、科学的内部控制评价系统，前提是构造科学的评价指标体系。

根据《企业内部控制基本规范》五要素框架和《内部控制评价指引》，以及《企业内部控制应用指引》，内部控制评价指标可以分为四个级次。一级指标是要素层指标，包括内部环境、风险评估、控制活动、信息与沟通和内部监督。二级指标是规范层或指引层指标，由各要素对应的具体业务活动或者各要素的子要素组成组成。三级指标为政策层指标，由各业务活动对应的控制政策或者各要素的子要素对应的控制政策组成，四级指标为程序层指标，由各控制政策对应的控制程序（即实现措施）组成。例如，一级指标“内部环境”对应组织架构（应用指引第1号）、发展战略（应用指引第2号）、人力资源（应用指引第3号）、社会责任和企业文化（应用指引第4号和第五号）；“风险评估”一级指标对应“风险识别”、“风险分析”和“风险应对”等二级指标（子要素）；“控制活动”对应不相容职务分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制（子要素）和合同管理（应用指引第16号）；“信息与沟通”对应信息系统（应用指引第18号）和内部信息传递（应用指引第17号）；“内部监督”对应内部审计、和内部控制评价（内部控制评价指引）。

例如，内部环境一级指标可以分解为组织架构、发展战略、人力资源、社会责任和企业文化等五个二级指标。其中，组织架构二级指标又可以分解为公司治理、内部机构等两个三级指标。其中，公司治理三级指标又可以分解为制衡机制、专门委员会、独立董事、关联交易、三重一大事项和交叉任职等六个四级指标，分别评价评价公司治理结构的科学性和有效性，评价董事会下设专门委员会的规范性，考核独立董事独立性是否流于形式，评价公司关联交易的治理情况理结构，考核公司重大决策、重大事项、重大人事任免及大额资金支付业务的科学规范性，考核“内部人控制”现象等。

参考文献：

[1]池国华，关建朋，乔跃峰.企业内部控制评价系统的构建.财经问题研究，2011（05）.

[2]王宏.论企业内部控制评价的主体及内容.江西社会科学，2012（03）.