企业内部控制评价问题及对策

一、企业内部控制评价中存在的问题

（一）评价目标不明确 《企业内部控制评价指引（征求意见稿）》第四条“企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。”但是我国大多数企业没有把内部控制评价作为内部控制的有机组成部分，内部控制评价制度的建立和执行只是流于形式，没能真正通过内部控制评价来改善经营管理水平，再加上各企业的评价主体定位层次不齐，评价目标不明确，导致在实践中弱化内部控制评价，搞形式主义。

（二）评价主体不明确从实践来看，仅仅通过注册会计师定期地对公司财务报告内部控制进行外部评价，已经不能满足上市公司内部管理和战略目标实现的要求，不能对上市公司内部控制报告的有效性进行全面评价。现代企业愈加重视企业的内部评价。但我国上市公司董事会中，有相当一部分没有正式的审计委员会，很多上市公司中虽也设有专门的内部审计机构，但独立性不够，有的隶属于总经理，有的隶属于财务部门，内部审计职能很难真正实现。据德勤2009年的内部控制调查报告显示，约64.71%的企业由内部审计部门牵头，对企业的内部控制有效性进行评价，由财务部门、董事会办公室或其他部门牵头的企业均为11.76%。因此，上市公司必须明确内部控制评价的主体定位问题。

（三）评价方式过于简单目前的内部控制评价主要是依靠内部控制调查表、内部控制流程图和叙述法等基于主观的定性评价方法，致使内部控制评价的效率较低，效果较差。有些上市公司虽然也借鉴了一些西方国家的内部控制评价方法，但执行效果较差。虽然《企业内部控制评价指引》第四条也指出“企业应当结合内部控制设计与运行的实际情况，制订具体的内部控制评价方法”，但是对企业具体采取何种措施并没有做出清晰的界定，这也使企业在内部控制评价工作中缺乏统一的形式和标准的指导。

（四）披露不充分 企业内部控制有效性的最终评价结果如何，内部控制评价能否最终发挥其作用，需要借助于声誉机制的作用，通过内部控制评价结果的披露促使内部控制的改善。随着资本市场的发展，对上市公司内部控制评价结果的披露要求越来越高。就我国目前的情况看，尚没有强制要求所有上市公司披露内部控制信息，也没有统一的披露格式和要求，导致自愿披露其内部控制信息的上市公司比例较低，即使披露了，也比较简单。

二、企业内部控制评价体系完善措施

（一）明确评价目标 内部控制目标的实质是帮助企业实现企业价值最大化目标，减少经营过程中的风险。事实上，内部控制评价目标与内部控制目标是一致的。因为内部控制评价的最终目的是实现内部控制系统的有效性，完善内部控制，使其充分发挥作用，从这一层面上理解，内部控制评价是内部控制的再控制，其最终目的就是为了实现内部控制目标。在具体执行内部控制评价的过程中，评价者普遍关注的是报告的可靠性和企业的合规性。COSO委员会在ERM框架中充分考虑到了上述现象，对内控目标的界定打破了以往的内控规范。企业也日益认识到构建内部控制体系的目标不单纯是为了满足监管部门对于信息提供和披露方面的需求，更重要的是内控制度有助于企业战略目标以及经营目标的实现。

总体而言，在上市公司内部，内部控制评价的目标，是为了审查公司为达到经营效果和效率所付出努力的有效性，以及合理保证企业的内部控制制度有利于企业战略目标的实现。外部的内部控制评价目标一般侧重于报告目标和合规目标的实现，在管理咨询内部控制评价中还会关注经营目标的实现。而内部的内部控制评价目标主要侧重于企业战略目标和经营目标的实现程度，但也关注合法合规目标的实现，如图1所示。

（二）理清评价主体企业内部控制评价系统的主体是指谁对客体进行评价。从内部控制评价的产生及发展来看，它是为解决经济活动过程中存在的委托―矛盾而建立的。在单一外部评价主体时期，对内部控制进行评价的主体是注册会计师，其对内部控制评价的目的是为确定审计中实质性测试的范围和程度提供依据。但内部控制评价应是企业全体员工共同参与的管理工作（如内部控制的自我评估），特别是高层管理人员却必须及时、全面地了解所分管业务甚至企业整体的内部控制水平，这种评估要以正式或非正式的方式经常进行。因此，在内外部多元评价主体时期，企业内部控制的评价活动也要从利益相关者的需求出发，对企业的战略活动、经营管理活动以及企业各项活动的合法合规性进行评价。

综上所述，本文所研究的是上市公司的内部控制评价主体问题是基于利益相关者的角度，因此上市公司内部控制的内部评价主体应界定为内部控制管理机构，即监事会、审计委员会和公司内部审计部门，其职责都是对内部控制进行不同程度的再控制；企业在日常的运营过程中也应开展内部控制的自我评估（CSA）活动；同时内部控制评价的外部主体主要包括注册会计师、政府部门和其他监管机构等利益相关主体。

（三）界定评价客体内部控制评价的客体是内部控制评价的对象和内容，即内部控制的构成。根据《企业内部控制评价指引》规定，企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价，内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。由于评价指引意见稿中指出要对“运行的有效性”进行评价，而“运行”是指事物的循序运转，“执行”是指按照规定的原则、办法办事。从这两个词的词义上来看，征求意见稿的规定似乎将“内部控制”置于客观的位置上，剔除了人为因素的影响，但实际上却忽略了内部控制评价中对人的评价。而且指引中对“内部控制运行有效性”的解释与运行的内涵并不一致，“内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行”。企业内部控制无论是设计还是执行，人作为主体是不可忽视的一个要素，即企业内部控制执行有效性的评价中除了要对企业的产、供、销等活动的运转情况进行评价之外，还要对人的责任履行情况进行评价。因此，本文将上市公司内部控制评价的客体界定为对内部控制设计有效性和执行有效性的评价。

（四）确定评价模式 内部控制评价的模式就是评价活动的模型、样式，对构成评价活动的各要素之间的关系和形式的规定。它具体规定了评价的目的、基本范围、内容和过程，包括评价活动的逻辑和程序。企业面临的风险和不确定性越来越多，因此本文认为现代企业内部控制评价模式的采用也要引入风险管理的理念，将内部控制的评价与企业风险管理的过程紧密结合，即采用以风险为基础的评价模式。采用以风险为基础的评价模式时首先要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标而言，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序，如图2所示：

以风险为基础的评价模式首先评估实现内部控制相关目标的风险，根据风险评估的结果对照企业的内部控制参考内部控制框架来判断企业内部控制设计的有效性。这样做一方面可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性和灵活性；另一方面，关注最重要的风险，提高了评价的成本效益和效率。此外，在确定内部控制的测试范围和收集证据时也是以风险评估为基础的，这样同样可以提高评价的成本效益和效率。

（五）讲究评价方法《企业内部控制评价指引》规定，内部控制评价工作组应当综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据。由此可见，企业的内部控制评价活动也越来越重视定量分析的评价方法。

定性评价方法主要是对上市公司内部控制制度的合法性、有效性、可操作性和经济合理性进行评价。定量评价方法需要建立定量评价标准，通过内部控制制度评价的数学分析模型来评价上市公司内部控制制度的健全性和有效性。由于定性评价易受评价人员主观判断的影响，往往缺乏客观性，定量评价则以其科学、精确、可比的特点为上市公司内部控制制度的实施效果做出较为恰当的评价。因此，上市公司内部控制的内外部评价应采用定性评价和定量评价相结合的方式，着重考虑扩大定量分析评价的范围。

参考文献：

［1］陈汉文、张宜霞：《企业内部控制的有效性及其评价方法》，《审计研究》2008年第3期。

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文