浅议风险导向内部控制评估

【摘要】本文对内部控制评估的含义、目标、对象及原则进就行了简单介绍，阐述了风险导向内部控制评估程序，提出了进行风险导向内部控制评估应注意的几个问题。

【关键词】风险导向；内部控制评估

一、内部控制评估的涵义

根据COSO框架的定义，内部控制是受公司董事会、管理层和其他员工的共同作用，旨在为实现经营的效率和效果、财务报告的可靠性以及对适用法律法规的遵循，而提供合理保证的一种过程。其主要目的是合理地保证公司实现以下目标：遵守有关法律法规和组织内部规章制度；信息的真实、可靠；资产的安全、完整；经济有效地使用资源；提高经营效率和效果；实现企业战略。

内部控制包括控制环境、风险管理、控制活动、信息和沟通以及监督五个要素。内部控制评估就是围绕内部控制五个要素的健全性、合理性及有效性展开的，是指为保障内部控制系统的有效性，由相关机构和人员定期或不定期地审视内部控制系统的设计和执行情况，发现并改进内部控制缺陷的一系列过程。内部控制评估包括企业外部机构及人员（如事务所）进行的外部评估和企业内部机构及人员进行的内部评估。内部评估主要包括自我评估与独立评估两部分。自我评估是指公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。独立评估是由企业内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。内部控制自我评估和独立评估是及时发现内控缺陷、促进内控有效执行和不断改进的重要机制，共同构成公司内部控制评估体系。

二、内部控制评估的目标、对象与原则

（一）内部控制评估的目标

内部控制评估的目标应从内部控制的目标出发，来对内部控制的设计和执行进行评价，考核内部控制所规定的目标实现与否。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评估的目标应是对以上五个目标的内控设计及执行的有效性进行全面评价。

（二）内部控制评估的对象

内部控制评价的对象是内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。从控制过程看，内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证；内部控制运行的有效性是指在内部控制设计有效地前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性，如果内部控制在设计上存在漏洞，即使这些内部控制制度能够得到一贯的执行，那么也不能认为其运行有效的。

从控制目标的角度来看，内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中，合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规，不进行违法活动或违规交易；资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整，防止资产流失；报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报；经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制；战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度，并适时进行战略调整。

（三）内部控制评估的原则

企业实施内部控制评估至少应当遵循以下原则：

1.全面性原则。评估工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2.重要性原则。评估工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。

3.客观性原则。评估工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

三、风险导向内部控制评估的程序

（一）确定风险领域，制定内控评估计划

内部控制审计人员应研究本企业内外部环境、经营状况、企业组织机构、行业特点等，结合企业管理目标，进行充分的调查，可采用问卷调查、座谈会等方式，初步确定企业所面临的风险，对重要性做出初步判断编制整体审计计划。

风险导向的内部控制审计把审计的焦点放在那些风险大、对企业实现目标影响大的事项上。在进行内控评估前，审计人员应对企业的风险进行识别、分析并分类，对组织目标实现有重要影响的风险事项进行重点评估。

（二）对确定的风险事项进行评估

评估中通常运用抽样、观察、分析、调查与评估等方法获取充分适当的有关风险及风险管理的证据，确认企业主要风险管理目标是否得到实现。将风险点与控制点结合起来进行评估。在风险导向内部审计理念下，在开展内控评估时，可采取先从重要风险领域分析判断可能对企业目标实现产生影响的风险点，进而在内控实施细则中寻找相应的控制点进行评估。在评估中如果有风险点而没有控制点，应及时对内控实施细则进行补充和完善，以确保及时防范重大内控风险，使内控评估成为一种积极、主动的全过程动态防范风险机制，为管理层进行风险管理提供有用信息，为公司治理提出建议和整改措施。

可以采取以下审计程序：（1）研究、评估与组织业务有关的当前的发展情况、趋势、行业信息及其他相关信息，确定是否存在可能影响组织的风险，是否存在监督、评价、管理这些风险的控制程序；（2）检查公司政策、董事会和审计委员会会议记录，确定组织的经营战略、风险管理理念、方法及风险偏好和风险接受程度；（3）检查管理层、内部审计师、外部审计师以及其他有关方面以前发表的风险评估报告；（4）与被审单位管理层及相关人员交流，了解被审单位存在的风险及采取的风险控制、管理措施；（5）独立评价被审单位风险管理程序的有效性，评估风险管理结果报告的充分性和及时性；（6）评估管理层风险分析是否全面、正确，风险管理措施是否适当，并提出改善建议，说明风险管理实务中存在薄弱环节的问题。

（三）得到评估结论，出具评估报告

内部控制人员在评估结束后，实施必要的审计程序后，以经过核实的证据为依据，形成评估结论与建议，出具评估报告。评估报告中一般包括单位内部控制工作组织安排，评估期间及范围，评估方法，所发现问题的表现、面临的风险、成因、影响、改进建议等，以及单位内控控制设计及执行是否有效的结论。

四、风险导向内部控制评估应注意的问题

（一）以风险管理理念为基准

进行内控评估时，应该以风险管理理念为基准。风险管理是企业经营管理的关键所在，内控评估的重点应该是确认风险及测试管理风险的方法，分析、确认、揭示关键性的经营风险，在评价标准、指标和权重的选择上均要把握风险管理理念，这是内控评估的焦点。

（二）应选取科学合理的标准

制定内部控制评价标准是进行内部控制评价的依据和前提。缺乏科学合理的评价标准而进行的内部控制评价，其结果可能不能真实反映企业内部控制的健全和有效与否。在对内部控制进行评价时，首先必须确定的是采用何种评价标准对内控整体乃至具体的内控项目进行评价。结合内部控制评估的目标，内部控制的评价标准可以选用结果评价标准和过程评价标准。结果评价标准就是要考核内控目标的实现程度，是基于内控目标而建立的一系列结果考核指标。过程评价标准的制定可以按照内控项目来进行，按照风险管理思想，根据风险管理框架的要素来设定控制标准。

（三）关注内部控制的经营与战略目标

内控评估目标包括合规目标、资产目标、报告目标、经营目标和战略目标五个方面，而在具体执行中，企业评估侧重点一般关注于合规目标、资产目标和报告目标，至于经营目标和战略目标受到的关注程度较少。从企业经营管理的角度，显然，经营与战略目标是最重要的。

在具体界定内部控制评价目标时，不同的评价主体可能对内部控制评价的目标界定也不同，如监管部门推动实施的内控评价，其目标可能更多地关注内控制度所达到的报告目标和合规目标；而企业自身进行的内控评估，其目标就不应局限于报告目标和合规目标，还应该包括内控对企业战略目标和经营目标实现的作用程度。

（四）完善内部控制评估的考核监督机制

我国许多企业根据有关规定制定了很多的内部控制条文，但多只注重制度的文字编写环节，以应付有关部门的检查、审计，而不管内部控制制度执行情况如何，使内部控制制度流于形式；同时发现的内控缺陷难以有效整改落实，大大降低了内控评估的风险防范作用。因此，建立健全内控评估的考核评价机制，对于强化内控执行、防范相关风险起着非常更重要的作用。对具体风险点与控制点流程中所有关键环节的内容建立目标和量化评价考核标准，细化内控考核细则；开展分类别内控评估工作质量评比，兑现考核奖惩，强化内控执行。同时，为保证内控缺陷的整改落实，可将内控执行情况、缺陷报告情况及整改情况与部门或个人的绩效考核挂钩，建立激励与约束机制。

参考文献：

[1]财政部.企业内部控制基本规范[S].2009.

[2]贺京.小议风险导向内部控制审计及其在企业中的应用[J].现代商业,2011(8).

[3]黄真真.风险导向内部控制构建与实施的思考[J].会计师,2010(12).