企業(yè)內(nèi)部控制評價方法的比較

企業(yè)內(nèi)部控制評價方法的比較

自2002年《美國薩班斯-奧克斯利法》（sox法）頒布以來，商業(yè)評估和注冊會計師對內(nèi)部控制的審計已成為焦點(diǎn)，一些國家和地區(qū)相繼提出了類似的要求。強(qiáng)制要求本身的制定往往是相對容易的,但是,企業(yè)的管理層如何評價內(nèi)部控制以及注冊會計師如何審計內(nèi)部控制卻沒有想象的那么容易,這不但涉及到內(nèi)部控制評價理念的差別,還涉及到適當(dāng)評價方法的選擇。一、有效的內(nèi)部控制和企業(yè)內(nèi)部監(jiān)督(一)控制內(nèi)部控制盡管相關(guān)各方都在探討內(nèi)部控制的評價,追求有效的內(nèi)部控制,但并沒有就內(nèi)部控制的有效性給出一個確切的定義。內(nèi)部控制不是獨(dú)立存在的,從本質(zhì)上來說它服務(wù)于企業(yè)的目標(biāo),派生于企業(yè)的經(jīng)營和管理,從而,內(nèi)部控制的目標(biāo)也是派生于企業(yè)的目標(biāo)。所以,從本源的角度來看,內(nèi)部控制的有效性是指內(nèi)部控制為相關(guān)目標(biāo)的實現(xiàn)提供的保證程度或水平,有效性不同的內(nèi)部控制可以提供不同程度的保證,其變動范圍應(yīng)當(dāng)是從0到100%,如圖1所示。一般情況下,不同企業(yè)的內(nèi)部控制系統(tǒng)運(yùn)行在不同的有效性水平上,同樣,某一特定內(nèi)部控制系統(tǒng)在不同時點(diǎn)的運(yùn)行可能也不同。盡管內(nèi)部控制是一個過程,其有效性卻是該過程在某一時點(diǎn)的狀態(tài)或情形(COSO,1992)。這就產(chǎn)生了一個問題:是評價內(nèi)部控制在某一時點(diǎn)的有效性,還是某一時期的有效性?對一項具體的控制活動來說,如果僅僅是在某一個時點(diǎn)對其有效性進(jìn)行評價,那么,這個有效性是該指該項控制活動在這一時點(diǎn)的狀態(tài)或情形。但是,從本質(zhì)上來說企業(yè)內(nèi)部控制是一個整體系統(tǒng),而整體系統(tǒng)的有效性就必須具有一定的穩(wěn)定性,只評價某一個時點(diǎn)的有效性并沒有太大的價值和意義。另一方面,內(nèi)部控制是為相關(guān)目標(biāo)乃至企業(yè)目標(biāo)的實現(xiàn)提供合理保證,而相關(guān)目標(biāo)的實現(xiàn)都存在一個過程,都與一定的期間(如財務(wù)年度)相對應(yīng)。所以,上市公司內(nèi)部控制的年度評價應(yīng)當(dāng)是評價上市公司內(nèi)部控制截至財務(wù)報告日或最近財務(wù)年度的有效性,是對內(nèi)部控制在某個期間有效性的評價。(二)要素層面的內(nèi)部控制研究評價內(nèi)部控制的有效性,首先要解決的一個問題就是什么是有效的內(nèi)部控制。解決這一問題的方法主要是制定一個企業(yè)內(nèi)部控制框架,很多國家和機(jī)構(gòu)都對這個問題進(jìn)行了研究,包括美國注冊會計師協(xié)會、美國的反欺詐財務(wù)報告委員會發(fā)起組織委員會(COSO)、英國財務(wù)報告理事會等,都制定了內(nèi)部控制的框架或標(biāo)準(zhǔn)來闡述有效內(nèi)部控制應(yīng)當(dāng)具備的要素和內(nèi)容。通過這個企業(yè)內(nèi)部控制框架界定內(nèi)部控制的含義,確定內(nèi)部控制的目標(biāo),描述有效的內(nèi)部控制通常情況應(yīng)該具備的要素。比如,COSO的《內(nèi)部控制-整合框架》構(gòu)建了包括三類目標(biāo)、五個構(gòu)成要素的內(nèi)部控制框架,《企業(yè)風(fēng)險管理-整合框架》構(gòu)建了包括四類目標(biāo)、八個構(gòu)成要素的企業(yè)風(fēng)險管理框架等,這些框架也就是所謂的內(nèi)部控制評價標(biāo)準(zhǔn)。COSO把內(nèi)部控制定義為,“由主體的董事會、管理層和其他人員實施的,用來為經(jīng)營效果和效率、財務(wù)報告的可靠性、遵守適用的法律法規(guī)三類目標(biāo)的實現(xiàn)提供合理保證的一個過程”。以這一定義來看,有效的內(nèi)部控制被界定為能夠為內(nèi)部控制目標(biāo)的實現(xiàn)提供合理保證的內(nèi)部控制。之所以是合理保證而不是絕對保證,是因為人類在決策過程中的判斷可能有紕漏、建立內(nèi)部控制需要考慮相關(guān)的成本和效益、個人缺失可能會導(dǎo)致故障的發(fā)生、控制可能會因為兩個或多個人員的串通而被規(guī)避以及管理層越過內(nèi)部控制等固有局限。因此,我們可以對有效的內(nèi)部控制得出以下兩點(diǎn)結(jié)論:1.合理保證和絕對保證的區(qū)間:coso對有效內(nèi)部控制的界定眾所周知,絕對保證是指100%的保證,有效的內(nèi)部控制提供的既然是合理保證,就不是絕對的100%的保證。美國《證券交易法》條款13(b)(7)把“合理保證”和“適當(dāng)詳細(xì)”定義為“這樣一種詳細(xì)水平和保證程度,它使謹(jǐn)慎的高級職員在處理它們自己的事務(wù)時感到滿意”。盡管我們很難準(zhǔn)確地確定合理保證具體是什么水平的保證,但是,可以確定的是在合理保證和絕對保證之間必然存在一個區(qū)間。所以,COSO對有效內(nèi)部控制的這種界定只可能是界定了有效內(nèi)部控制的一個下限,而不是上限。從邏輯和理論上來看,有效的內(nèi)部控制是指能夠為內(nèi)部控制目標(biāo)的實現(xiàn)提供合理或者更高水平保證的內(nèi)部控制,或者講,有效的內(nèi)部控制不是一個點(diǎn),而是存在一個判定區(qū)間。這個區(qū)間的上限為1,即100%的絕對保證,下限是一個不確定的數(shù)值,它取決于人們的判斷,設(shè)定為P0,這個區(qū)間就是[P0,1]。如圖2所示。只要內(nèi)部控制保證相關(guān)目標(biāo)實現(xiàn)的水平落入這個區(qū)間,那么,該內(nèi)部控制就是有效的內(nèi)部控制。反之,則是無效的。2.有效內(nèi)部控制的有效性由于內(nèi)部控制不同目標(biāo)實現(xiàn)的影響因素不同,所以,對于內(nèi)部控制的不同目標(biāo)而言,有效內(nèi)部控制的含義是不同的,合理保證的內(nèi)容是不一樣的。對于財務(wù)報告的可靠性、遵循相關(guān)的法律法規(guī)這兩個目標(biāo)來說,企業(yè)內(nèi)部控制可以合理保證它們的實現(xiàn),因為這兩類目標(biāo)的實現(xiàn)處于企業(yè)的控制范圍之內(nèi),并且取決于企業(yè)相關(guān)控制活動完成的好壞。而對于經(jīng)營目標(biāo)和戰(zhàn)略目標(biāo)來說,卻不是這樣。企業(yè)內(nèi)部控制不能防止糟糕的判斷或決策,也不能防止那些能夠?qū)е陆?jīng)營業(yè)務(wù)沒有達(dá)到經(jīng)營目標(biāo)的外部事項。也就是說,企業(yè)經(jīng)營目標(biāo)和戰(zhàn)略目標(biāo)的實現(xiàn)除了受到自身因素的影響外,還要受到外部因素的影響,并不總是處在企業(yè)的控制范圍之內(nèi)。因此,企業(yè)內(nèi)部控制盡管能夠增大管理層做出更好決策的可能性,但不能合理保證這些目標(biāo)的實現(xiàn),只能合理的保證管理層以及起監(jiān)督作用的董事會了解企業(yè)向著實現(xiàn)目標(biāo)的方向前進(jìn)的程度。所以,有效的內(nèi)部控制,對于財務(wù)報告目標(biāo)和合規(guī)目標(biāo)來說指的是能夠合理保證財務(wù)報告可靠性、遵循相關(guān)的法律法規(guī),而對于經(jīng)營目標(biāo)和戰(zhàn)略目標(biāo)來說,指的則是能夠合理保證管理層和董事會及時了解目標(biāo)正在實現(xiàn)的程度。因此,評價企業(yè)內(nèi)部控制的有效性實際上是在判斷企業(yè)內(nèi)部控制能夠為相關(guān)目標(biāo)的實現(xiàn)提供的保證水平是否處于有效內(nèi)部控制的區(qū)間。如果企業(yè)內(nèi)部控制為相關(guān)目標(biāo)的實現(xiàn)提供的保證水平達(dá)到甚至超過了合理保證的水平,也就是在有效內(nèi)部控制的區(qū)間內(nèi),那么它就是有效的;如果提供的保證水平低于合理保證的水平,那么,它就是無效的,如圖3所示。(三)公司內(nèi)部控制是否能夠保證好由于內(nèi)部控制有效性的評價是基于潛在事項的判斷,而不是實際發(fā)生的事項,有效的內(nèi)部控制為相關(guān)目標(biāo)的實現(xiàn)提供的只是合理保證,而不是絕對保證,所以,相關(guān)目標(biāo)實際實現(xiàn)了的內(nèi)部控制不一定是有效的內(nèi)部控制,相關(guān)目標(biāo)沒有實際實現(xiàn)的內(nèi)部控制也不一定是無效的內(nèi)部控制。以財務(wù)報告內(nèi)部控制的評價為例,評價財務(wù)報告內(nèi)部控制的有效性是基于公司的內(nèi)部控制能否防止或及時發(fā)現(xiàn)一個潛在的重要錯報,而不是根據(jù)一個重要錯報是否實際已經(jīng)發(fā)生,從而評價財務(wù)報告內(nèi)部控制能否合理保證財務(wù)報告的可靠性。所以,財務(wù)報表實際沒有發(fā)生重要錯報時,內(nèi)部控制不一定是有效的內(nèi)部控制,而財務(wù)報表實際發(fā)生了重要錯報時,內(nèi)部控制也不一定是無效的內(nèi)部控制。假定合理保證的水平為P0,財務(wù)報表發(fā)生重要錯報的固有風(fēng)險為MR,內(nèi)部控制沒有防止或及時發(fā)現(xiàn)重要錯報的風(fēng)險為CR,則財務(wù)報表最終發(fā)生錯報的風(fēng)險FR=MR×CR。按照內(nèi)部控制評價的一般邏輯,如果FR<(1-P0),則財務(wù)報告內(nèi)部控制是有效的,如果FR>(1-P0),則財務(wù)報告內(nèi)部控制是無效的。二、優(yōu)化評價方法盡管不存在適合所有公司的內(nèi)部控制評價方法,但是,無論是對內(nèi)部控制評價方法進(jìn)行規(guī)制,還是企業(yè)自由選擇自己的評價方法,都要考慮評價思路和方法的適當(dāng)性。一個適當(dāng)?shù)膬?nèi)部控制評價思路和方法至少要滿足以下幾個方面的條件。(一)可靠性評價根據(jù)該思路和方法對內(nèi)部控制的有效性進(jìn)行評價形成的結(jié)論要具有一定程度的可靠性,也就是對內(nèi)部控制有效性的判斷出現(xiàn)錯誤的風(fēng)險要足夠低,至少要降到適當(dāng)?shù)乃?這是一種適當(dāng)?shù)脑u價方法首先必須具備的條件。評價結(jié)論的可靠性不夠高,不能達(dá)到一個合理水平的評價方法所形成的評價結(jié)論是難以被認(rèn)可的。(二)成本效益評價不但內(nèi)部控制本身存在成本效益的問題,內(nèi)部控制評價也存在成本效益的問題。適當(dāng)?shù)钠髽I(yè)內(nèi)部控制評價方法必須考慮評價引起的成本和效益問題,要符合成本效益原則,具有一定的效益性。(三)適用范圍及靈活性原則不同企業(yè)的內(nèi)部控制不同,評價內(nèi)部控制有效性的具體方法也有所不同,這取決于公司的特定情況和控制的重要性。一種評價方法應(yīng)當(dāng)具有廣泛的適用性和靈活性,才能得到不同規(guī)模、不同行業(yè)、不同類型企業(yè)的應(yīng)用和參考。尤其是如果制定統(tǒng)一的內(nèi)部控制評價指南或規(guī)范,更要考慮評價方法對不同規(guī)模、不同行業(yè)和不同類型企業(yè)的適用性,要允許企業(yè)根據(jù)自己內(nèi)部控制的特定情況靈活調(diào)整具體的評價方法、評價程序和評價內(nèi)容,設(shè)計一個滿足企業(yè)需要并為評估結(jié)果提供合理保證的評價過程。(四)價內(nèi)部控制設(shè)計合理性測試內(nèi)部控制的評價程序必須是全面的,足以既能評價內(nèi)部控制設(shè)計的合理性,又能測試運(yùn)行的有效性。所以,評價范圍和內(nèi)容要全面,評價結(jié)論要根據(jù)設(shè)計有效性和運(yùn)行有效性的評價來形成的。(五)控制有效性的評價結(jié)果的證據(jù)適當(dāng)?shù)淖C據(jù)文件是內(nèi)部控制有效運(yùn)行本身所必需的,一種適當(dāng)?shù)脑u價思路和方法必須為內(nèi)部控制有效性的評價結(jié)果(包括測試)提供合理的證據(jù)文件支持。提供合理的支持證據(jù)一方面是為了確保評價結(jié)論的可信性,另一方面是為其他人評價或?qū)徲媰?nèi)部控制保留必要的痕跡。這些條件既是一個適當(dāng)?shù)脑u價方法必須具備的,也是判斷一個評價方法是否適當(dāng)?shù)臉?biāo)準(zhǔn)和依據(jù)。三、標(biāo)的風(fēng)險是否在內(nèi)部控制之后是否已經(jīng)降低評價企業(yè)內(nèi)部控制的有效性實質(zhì)是評價內(nèi)部控制為相關(guān)目標(biāo)的實現(xiàn)提供的保證水平是否達(dá)到或超過合理保證的水平。從另一個角度來看,就是評價相關(guān)目標(biāo)的風(fēng)險在經(jīng)過內(nèi)部控制之后是否已經(jīng)降低到了一個適當(dāng)?shù)乃?如果已經(jīng)降到了一個適當(dāng)?shù)乃?則內(nèi)部控制是有效的,反之,則無效。盡管企業(yè)內(nèi)部控制框架提供了一個有效內(nèi)部控制系統(tǒng)的一般模板,也是評價內(nèi)部控制有效性的標(biāo)準(zhǔn),但是,根據(jù)內(nèi)部控制框架或標(biāo)準(zhǔn)對內(nèi)部控制的有效性進(jìn)行評價卻可以選擇不同的起點(diǎn)或切入點(diǎn),使用不同的評價思路和方法。從內(nèi)部控制評價本身以及目前的發(fā)展情況來看,主要存在詳細(xì)評價法和風(fēng)險基礎(chǔ)評價法兩種方法。(一)對照內(nèi)部控制框架或標(biāo)準(zhǔn)進(jìn)行分析和判斷在《企業(yè)內(nèi)部控制-整合框架》中,COSO指出,確定某一內(nèi)部控制系統(tǒng)是否有效是在評估五個要素是否存在以及是否有效發(fā)揮作用基礎(chǔ)上的主觀判斷。在《企業(yè)風(fēng)險管理-整合框架》中,COSO也指出,認(rèn)定一個主體的企業(yè)風(fēng)險管理是否“有效”,是在對八個構(gòu)成要素是否存在和有效運(yùn)行進(jìn)行評估的基礎(chǔ)之上所作的判斷。在美國證券交易委員會2003年6月通過的實施SOX法案404節(jié)的規(guī)則(SEC,2003)以及后來發(fā)布的管理層評價指南中,都強(qiáng)調(diào)內(nèi)部控制評價的程序必須足以既能評價財務(wù)報告內(nèi)部控制的設(shè)計,又能測試運(yùn)行的有效性。因此,遵循這個思路,很多企業(yè)和事務(wù)所都曾經(jīng)采用過詳細(xì)評價法。這種方法的基本思路是:以內(nèi)部控制框架或標(biāo)準(zhǔn)為參照物,根據(jù)內(nèi)部控制框架的構(gòu)成要素是否存在評價內(nèi)部控制的設(shè)計有效性,然后測試內(nèi)部控制的運(yùn)行有效性,最后綜合設(shè)計和運(yùn)行的評價對內(nèi)部控制的有效性做出總體評價,評估內(nèi)部控制目標(biāo)實現(xiàn)的風(fēng)險,判斷是否存在實質(zhì)性漏洞(MW),確定內(nèi)部控制是否有效。詳細(xì)評價法的邏輯和程序如圖4所示:這種思路和方法在企業(yè)最初進(jìn)行內(nèi)部控制建設(shè)或日常的評價中應(yīng)用較多。此外,在SOX法案開始時,企業(yè)的管理層在評價內(nèi)部控制以及注冊會計師審計內(nèi)部控制時基本上都是遵照美國公共公司會計監(jiān)督委員會在2004年發(fā)布的第2號審計準(zhǔn)則(PCAOB,2004)執(zhí)行的,采用的基本上也是這種思路。這種思路和方法的特點(diǎn)是從控制到風(fēng)險,即從內(nèi)部控制到相關(guān)目標(biāo)實現(xiàn)的風(fēng)險。這種評價思路和方法首先要根據(jù)現(xiàn)有的內(nèi)部控制框架評價企業(yè)內(nèi)部控制的設(shè)計和運(yùn)行,識別出控制缺陷,然后判斷是否是實質(zhì)性漏洞,從而判斷內(nèi)部控制的有效性。評價運(yùn)行有效性可以采用測試的方法確定相關(guān)的內(nèi)部控制是否得到了有效實施,從理論和實務(wù)上來說不存在太大的問題。而評價設(shè)計的有效性在該方法中則是對照內(nèi)部控制框架或標(biāo)準(zhǔn)進(jìn)行的,所以,最關(guān)鍵的問題是如何對照企業(yè)內(nèi)部控制框架或標(biāo)準(zhǔn)確定內(nèi)部控制設(shè)計的有效性。這種對照內(nèi)部控制框架或標(biāo)準(zhǔn)判斷設(shè)計有效性的思路應(yīng)當(dāng)是來自于COSO的《內(nèi)部控制-整合框架》等報告中提出的控制的完整性概念。COSO在這個報告中明確指出,內(nèi)部控制框架的這些組成要素和標(biāo)準(zhǔn)適用于整個內(nèi)部控制系統(tǒng),或者是一類或多類目標(biāo)。當(dāng)考慮任何一類目標(biāo)的控制時,例如有關(guān)財務(wù)報告的控制,所有五個要素都應(yīng)該滿足才能得出有關(guān)財務(wù)報告的控制是有效的結(jié)論。但是,內(nèi)部控制的組成要素之間具有相互補(bǔ)充、相互滲透的關(guān)系,盡管五個組成要素都應(yīng)該被滿足,但是這并不意味著在不同的企業(yè)中每個組成要素都得到同樣的執(zhí)行。不同組成要素之間存在某種平衡,因為內(nèi)部控制能夠滿足多個目標(biāo),一個組成要素中的控制可能會滿足另外一個組成要素范疇內(nèi)的控制需要實現(xiàn)的目標(biāo)。而且,控制降低風(fēng)險的程度是不同的,所以,效果有限的多個控制一起可以達(dá)到滿意的效果。鑒于上述原因,盡管內(nèi)部控制的框架或標(biāo)準(zhǔn)描述了一個有效的內(nèi)部控制系統(tǒng)所應(yīng)當(dāng)具備的構(gòu)成要素,如果采用簡單的一一對應(yīng)的方法對照內(nèi)部控制框架來評價內(nèi)部控制設(shè)計的有效性,就有可能產(chǎn)生兩個問題:一個是成本高,效率低;另一個是評價結(jié)論的不可靠性。內(nèi)部控制框架或標(biāo)準(zhǔn)描述這些構(gòu)成要素時,是把企業(yè)抽象成一個主體,并沒有考慮企業(yè)所處的國家、所處的行業(yè)、企業(yè)的規(guī)模等特定的因素,其目的是構(gòu)建一個通用的內(nèi)部控制標(biāo)準(zhǔn)和參照物。但是,并不是所有的企業(yè)(如不同規(guī)模的企業(yè)、不同行業(yè)的企業(yè))都必須具備與內(nèi)部控制框架或標(biāo)準(zhǔn)完全一樣的內(nèi)部控制才算是有效,而且,這個框架中的所有要素涉及的控制與內(nèi)部控制目標(biāo)的相關(guān)性和對內(nèi)部控制目標(biāo)的重要性是不同的。因此,如果一一對應(yīng)的對照內(nèi)部控制框架或標(biāo)準(zhǔn)評價內(nèi)部控制設(shè)計的有效性必定會評價了過多的、不必要的控制,導(dǎo)致成本高而效率低,這一點(diǎn)已經(jīng)在美國上市公司過去幾年實施SOX法案的經(jīng)歷中得到了體現(xiàn)。有效的內(nèi)部控制并不要求所有的要素同等程度的存在,因為內(nèi)部控制要素本身具有一定的相互補(bǔ)充性和相互替代性,存在某種程度的平衡,并且這種替代或平衡在很多情況下并不能確切的衡量,也不能準(zhǔn)確的體現(xiàn)在內(nèi)部控制的框架或標(biāo)準(zhǔn)中。所以,如果一一對應(yīng)地對照內(nèi)部控制框架或標(biāo)準(zhǔn)評價內(nèi)部控制設(shè)計的有效性必定會出現(xiàn)評價結(jié)論的偏差:按照內(nèi)部控制框架或標(biāo)準(zhǔn)評價可能是一個缺陷,但是,實際上卻是有效的。這一點(diǎn)很明顯的體現(xiàn)在了不同規(guī)模企業(yè)內(nèi)部控制的評價上。根據(jù)內(nèi)部控制框架或標(biāo)準(zhǔn)評價內(nèi)部控制本身并沒有錯,但是,內(nèi)部控制的框架或標(biāo)準(zhǔn)本身是一個通用的框架,更多的關(guān)注內(nèi)部控制的“WhatandWhy”,即使是COSO在2006年發(fā)布的《較小規(guī)模公眾公司財務(wù)報告內(nèi)部控制指南》也“主要被設(shè)計用于幫助管理者建立和保持有效的財務(wù)報告內(nèi)部控制”,盡管這些框架或標(biāo)準(zhǔn)提供了評價有效性的標(biāo)準(zhǔn),但不足以說明如何完成內(nèi)部控制有效性的評價。所以,這個思路如果用于內(nèi)部控制的建立和保持應(yīng)當(dāng)是比較適合的,而要用于內(nèi)部控制有效性的年度評價則并不是十分恰當(dāng),這一點(diǎn)在美國上市公司過去幾年的經(jīng)歷中得到了充分的體現(xiàn)。(二)風(fēng)險基礎(chǔ)評價法企業(yè)內(nèi)部控制的另一種思路和方法是從風(fēng)險到控制,即從內(nèi)部控制相關(guān)目標(biāo)實現(xiàn)的風(fēng)險到內(nèi)部控制。首先,要評估相關(guān)目標(biāo)實現(xiàn)的風(fēng)險;其次,識別和確定企業(yè)充分應(yīng)對這些風(fēng)險的內(nèi)部控制是否存在,即評價內(nèi)部控制的設(shè)計應(yīng)對相關(guān)目標(biāo)實現(xiàn)風(fēng)險的有效性;第三,識別和確定內(nèi)部控制運(yùn)行有效性的證據(jù),評價現(xiàn)有的控制是否得到了有效的運(yùn)行;最后,對控制缺陷進(jìn)行評估,判定是否構(gòu)成實質(zhì)性漏洞,確定內(nèi)部控制是否有效。對于不同的目標(biāo)來說,目標(biāo)風(fēng)險的含義、內(nèi)部控制實質(zhì)性漏洞的含義是不相同的,在評價每一類目標(biāo)時都需要做具體設(shè)定。風(fēng)險基礎(chǔ)評價法的邏輯和程序如圖5所示。“自上而下”和“風(fēng)險基礎(chǔ)”的理念在這種方法中得到了充分的體現(xiàn)。“風(fēng)險基礎(chǔ)”主要體現(xiàn)在:以評估控制目標(biāo)實現(xiàn)的風(fēng)險為起點(diǎn);關(guān)注重要的財務(wù)報告和披露風(fēng)險與問題;僅評價充分應(yīng)對風(fēng)險的控制;證據(jù)的獲取和場所的選擇根據(jù)風(fēng)險評估的結(jié)果;評價結(jié)論(內(nèi)部控制是否有效)也是風(fēng)險基礎(chǔ)的,判斷有效與否是根據(jù)內(nèi)部控制是否相當(dāng)可能沒有防止或發(fā)現(xiàn)財務(wù)報表中的重要錯報。“自上而下”主要體現(xiàn)在:從財務(wù)報表整體開始,然后到賬戶、披露;從公司層面的控制開始,然后到活動層面的控制。美國證券交易委員會和公共公司會計監(jiān)督委員會2007年6月最終分別發(fā)布的管理層報告內(nèi)部控制的指南(SEC,2007)和內(nèi)部控制審計準(zhǔn)則(PCAOB,2007)都采用了這一思路。風(fēng)險基礎(chǔ)評價法與詳細(xì)評價法的區(qū)別類似于財務(wù)報表的詳細(xì)審計與財務(wù)報表的風(fēng)險基礎(chǔ)審計,主要體現(xiàn)在以下幾個方面:四、沒有對內(nèi)部控制的評價由于我國不同行業(yè)、企業(yè)內(nèi)部控制的規(guī)制隸屬于不同的部門,內(nèi)部控制的法規(guī)建設(shè)一直處于各自為政的局面。關(guān)于內(nèi)部控制的評價,出現(xiàn)的正式官方文件主要有中國證券監(jiān)督管理委員會2001年發(fā)布的《關(guān)于做好證券公司內(nèi)部控制評審工作的通知》、注冊會計師協(xié)會2002年發(fā)布的《企業(yè)內(nèi)部控制審核指導(dǎo)意見》和中國銀行業(yè)監(jiān)督管理委員會2004年發(fā)布的《商業(yè)銀行內(nèi)部控制評價試行辦法》。注冊會計師對內(nèi)部控制的審核主要是了解內(nèi)部控制的設(shè)計、評價內(nèi)部控制設(shè)計的合理性以及測試和評價內(nèi)部控制執(zhí)行的有效性。對商業(yè)銀行內(nèi)部控制的評價包括過程評價和結(jié)果評價,過程評價是對內(nèi)部控制環(huán)境、風(fēng)險識別與評估、內(nèi)部控制措施、監(jiān)督評價與糾正、信息交流與反饋等體系要素的評價,結(jié)果評價是對內(nèi)部控制主要目標(biāo)實現(xiàn)程度的評價。2006年7月,財政部發(fā)起成立了企業(yè)內(nèi)部控制標(biāo)準(zhǔn)委員會,開始進(jìn)行統(tǒng)一內(nèi)部控制標(biāo)準(zhǔn)的建立,2007年3月,內(nèi)部控制標(biāo)準(zhǔn)委員會發(fā)布了《企業(yè)內(nèi)部控制規(guī)范》的征求意見稿。2006年7月,上海證券交易所發(fā)布了《上海證券交易所上市公司內(nèi)部控制指引》。2006年9月,深圳證券交易所發(fā)布了《深圳證券交易所上市公司內(nèi)部控制指引》。總體上看,目前我國內(nèi)部控制法規(guī)建設(shè)的重點(diǎn)還是統(tǒng)一的內(nèi)部控制標(biāo)準(zhǔn),盡管相關(guān)法規(guī)已經(jīng)要求企業(yè)評價內(nèi)部控制的有效性,但沒有對內(nèi)部控制評價的方法進(jìn)行指導(dǎo)和規(guī)范。從我國企業(yè)內(nèi)部控制評價的現(xiàn)狀來看,主要有以下幾種情況:(1)有些企業(yè)內(nèi)部控制的建設(shè)主要基于傳統(tǒng)的經(jīng)驗,缺乏有效的內(nèi)部控制標(biāo)準(zhǔn)或框架指導(dǎo)。(2)有些企業(yè)盡管通過咨詢機(jī)構(gòu)或其他途徑參考了內(nèi)部控制的標(biāo)準(zhǔn)或框架,但是,無論是內(nèi)部控制的建設(shè),還是評價,都停留在內(nèi)部控制標(biāo)準(zhǔn)或框架的表面上。從內(nèi)部控制的建設(shè)來看,只是機(jī)械的模仿內(nèi)部控制框架的一些構(gòu)成要素和內(nèi)容,建立了書面規(guī)則和制度意義上的內(nèi)部控制,而很少對控制環(huán)境等基礎(chǔ)性因素進(jìn)行改進(jìn)和完善。從內(nèi)部控制的評價來看,在評價內(nèi)部控制時主要關(guān)注的是業(yè)務(wù)活動層面的具體控制活動和措施,對于企業(yè)層面的控制關(guān)注不足,很少考慮對內(nèi)部控制的整體有效性進(jìn)行評價。(3)有些企業(yè)根據(jù)通用的內(nèi)部控制標(biāo)準(zhǔn)或框架建立了內(nèi)部控制系統(tǒng),按照相關(guān)要求對內(nèi)部控制進(jìn)行了評價,但在內(nèi)部控制的建設(shè)和評價方面面臨一系列問題和困難:首先,依據(jù)的內(nèi)部控制框架是國外的,而國內(nèi)尚沒有發(fā)布類似的、能得到國際互認(rèn)的框架,內(nèi)部控制框架的解釋權(quán)在他不在我。其次,無論是內(nèi)部控制的建設(shè)還是評價延續(xù)了以往結(jié)果導(dǎo)向的習(xí)慣,重結(jié)果,輕過程,對過程的效率和成本效益關(guān)注不足。再次,過分依賴于咨詢機(jī)構(gòu),沒有從企業(yè)的實際情況出發(fā)設(shè)計有效的內(nèi)部控制體系和評價方法。第四,內(nèi)部控制的各種評價形式?jīng)]有得到充分的整合和協(xié)調(diào),重復(fù)性工作較多。最后,企業(yè)傳統(tǒng)的體制和習(xí)慣等控制環(huán)境因素難以在短期內(nèi)得到根本的改變。上述情況都反映出我國企業(yè)內(nèi)部控制評價存在的根本問題就是:評價的動力不足;缺乏本土化的評價標(biāo)準(zhǔn);評價方法不夠科學(xué)和合理,不符合成本效益原則;對內(nèi)部控制及其評價的研究不足,沒有充分結(jié)合企業(yè)自身的情況,采用風(fēng)險基礎(chǔ)的方法。盡管不同的國家、不同的評價主體在評價內(nèi)部控制時所用的方法和程序存在差異,但從目前的現(xiàn)狀以及未來國際發(fā)展趨勢來看,基本上都趨向于采用風(fēng)險基礎(chǔ)的方法。美國證券交易委員會和公共公司會計監(jiān)督委員會2007年分別發(fā)布的管理層報告內(nèi)部控制的指南和內(nèi)部控制審計準(zhǔn)