内控评价篇1

摘要本文主要通过对2010年4月26日颁布的内部控制评价指引相关规定的讨论,发现该指引存在的一些问题和不足,提出一些想法和措施,为上市公司更好地执行内部控制相关规范以及监管部门完善相关政策提出建议。

关键词内部控制评价

一、引言

2008年6月28日财政部、证监会、审计署、银监会、保监会五部委《内部控制基本规范》该规范原定于2009年7月1日起先在上市公司范围内施行,但由于条件尚不够成熟推迟了执行时间。根据该规范,上市公司管理层应当对内部控制的有效性进行自我评价,包括年度评价和转向评价。披露年度自我评价报告并可请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月,监管部门又相继出台了基本规范的相关指引,进一步完善了内部控制相关法律,至此,我国内部控制监管规定正式实施的条件已经基本具备。

二、存在的问题和不足

1.关于内部控制及其有效性

内部控制制度是指由企业全体员工实施的旨在保证实现企业目标的一系列政策和制度的过程,是一个单位的内部管理系统,不仅包括单位最高管理层用来授权与指挥经济活动的各种方式、方法,也包括核算、审核、分析各种资料及报告程序和步骤,还包括对单位经济活动进行综合计划、控制和评价而制定的各项规章制度。其有效性却是该过程在某一时点的状态或情形(COSO,1992)。这就产生了一个问题,是评价内部控制在某一时点的有效性还是某一时期的有效性?对于一项具体的控制,其在某一时点的有效性,不能代替它在整个过程中的有效性。从整体上来说,内部控制是个系统,只评价某一个时点的有效性并没有太大的意义。另一方面,从内部控制的目标来看,它是合理保证实现一定的目标而实施的一个过程,而这些目标的实现存在一定的期限,与一定的期间相对应。由此看来,内部控制评价应该和一定的期间相联系,上市公司内部控制的年度评价应当是评价上市公司内部控制截止财务报告日或最近财务年度的有效性,是对内部控制在某个期间有效性的评价。尽管内部控制有效性是个期间概念,但是评价结论却是针对时点的,如果评价也是针对期间的话,那么成本将是极其高昂的。而我国的内部控制评价指引对于评价结论的时间概念并未清晰说明,但却提出了“将12月31日作为年度内部控制评价报告的基准日”这一概念,监管机构应当进一步明确评价结论是针对年末时点还是针对整年期间。

2.关于评价所采用的内部控制框架

评价指引要求企业内部控制评采用基本规范、应用指引及本企业的内部控制制度。而并没有采用国际上认可度比较高的框架。这提高了我国刚颁布的一系列内部控制规范的强制力和地位,有利于促进法规的实施。但却不利于企业实施走出去战略。但是我国涉及到内控的有关规定政出多门:06年国资委颁布的《中央企业全面风险管理指引》、财政部颁布的《内部会计控制基本规范》等。2006年沪深两市分别颁布了针对上市公司的《内部控制指引》,要求上市公司遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠等基本目标。这些法规的范围相互交叉,内容多有重叠,同一个公司可能同时适用不只一个内部控制规范。因此,披露内部控制自我评价报告的公司,评价依据各不相同。内部控制与风险管理要融合,正因为有风险才需控制,两者是一个事件的两个方面,在实践中风险管理和内部控制工作基本上是一致的。融合后,企业设一个风险控制部就够用了。我国内部控制法规和其他法规之间的融合度不高,使得内部控制评价的执行的必要性降低,也增加了企业的执行成本。

3.评价结论的判定标准

基本规范要求企业方和注册会计师均应将缺陷分为一般缺陷、重要缺陷和重大缺陷三级。虽然双方工作所针对的内部控制类别不同,企业的需要评价的内部控制是所有类别内部控制的设计和执行状况,而审计师针对的内部控制是与财务报告审计相关的内部控制,对于注意到的非财务报告内部控制的重大缺陷要在审计报告中进行披露,前者包括了后者。内部控制有效性包括设计有效性和执行有效性,评价指引对设计有效性的定义比较严谨,只有所有的五个要素都得到满足,才能得出基于一个或多个目标的内部控制系统是有效的结论。但该定义过于理论化,实务中很难把握其确切含义。《指引》第四条规定:如果存在一项或多项重大缺陷,内部控制应被认定为无效。这导致不同企业间评价结论的可比性降低。

三、改进措施

1.细化和完善内部控制评价指引

在企业内部控制实务中,内部控制评价是极为重要的一环。《企业内部控制基本规范》及18项应用指引,立足中国现实,较世界主要市场经济体的通行做法,在保持框架大体一致的前提下,又有很多适应我国社会主义市场经济发展要求的特色。如前所述,《指引》在一些方面的规定不够明确。监管部门应该在完善评价指引的同时,颁布一些具体的指导意见。提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。

内控评价篇2

（一）内控审计的概念及意义

内部控制审计，是基于内部控制的条件下，以被审计单位的内控制度为基础，而进行的实质性、符合性测试的一种审计的方法，它所抽查的是会计资料的内容、

范围及程序。内部控制是现代企业的管理中的一个重要的组成部分，它也是防范企业发生财务舞弊、财务报告错误的第一道防线，对企业举足轻重。

（二）内部控制缺陷

内控控制缺陷是指公司内部控制的设计或运行无法合理保证内部控制目标的实现，是?u价内部控制有效性的负向维度。内部控制缺陷按不同的分类方法分为：设计缺陷与运行缺陷、财务报告内控控制缺陷与非财务报告内部控制缺陷。

（1）设计缺陷和运行缺陷。内部控制缺陷按其成因分为设计缺陷和运行缺陷，设计缺陷是指内部控制设计不科学、不适当，即使正常运行也难以实现控制目标。运行缺陷是指内部控制设计比较科学、适当，但在实际运行过程中没有严格按照设计意图执行，导致内部控制运行与设计相脱节，未能有效实施控制、实现控制目标。

（2）财务报告内部控制缺陷和非财务报告内部控制缺陷。内部控制缺陷按其表现形式分为财务报告内部控制缺陷认定和非财务报告内部控制缺陷。财务报告内部控制缺陷是指在会计确认、计量、记录和报告过程中出现的，对财务报告的真实性和完整性产生直接影响的控制缺陷。非财务报告内部控制缺陷是指虽不直接影响财务报告的真实性和完整性，但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。

二、内部控制缺陷认定的现状

由于我国规定，企业可以根据自己的发展来确定控制缺陷的具体认定的标准，使得企业有一定的可利用的空间，为了避免企业的负面影响，甚至可以将重大缺陷的等级降为一般缺陷。深究原因，是由于我国内部控制的规范不够完善，存在着许多可能会被利用的漏洞，比如，内部控制缺陷的概念含糊不清、界定范围不清晰、缺陷缺乏认定的统一标准，导致实施过程中缺少指导及规范等。

三、完善内控审计的几点建议

（一）完善控制缺陷的认定标准

《企业内部控制审计指导实施意见》中指出：内部控制缺陷按其严重程度分为：重大缺陷、重要缺陷、一般缺陷。重大缺陷是企业内部控制中的一项控制缺陷或多项缺陷的组合，未及时发现或防止而导致报表出现了重大的错报问题；一般缺陷是内部控制中存在，却不引起注册会计师关注的缺陷；而对于重要缺陷，是介于以上两者中间的。对财务报告内控缺陷认定标准，可就重要性和可能性做进一步规定，对企业选择的基准指标也可做一定限定和推荐，以规范企业相关标准。由此，可以明确缺陷严重程度的认定标准。而非财务报告内控缺陷认定，很大程度上从定性进行，且相对而言，由于企业之间不同的特性，很难形成一套统一的标准。通常企业可以采用控制自我评估程序，集中专业人员和岗位就内部控制缺陷对影响目标实现的严重程度进行分析讨论，确立标准。除了通过完善指引和指南的途径规范企业内控缺陷认定标准之外，在企业自身动力不足下，可以通过加强相应监管的方式提高企业自身对内控工作的重视程度，使其明确建立有效的内控评价体系，有利于其内控机制的完善，有利于企业的自身发展，使其在内控缺陷认定标准上投入更多的精力，克服非财务报告内控缺陷的认定难题，充分发挥当前原则导向规定的优势，建立适合企业、有利于企业发展的认定标准。

（二）加强内部控制审计报告意见实质性内容

（1）《审计指引》中对基准日的说明，要求注册会计师对于特定基准日内，内控的有效性发表意见。因此，应该对基准日做出特定的说明，同时，提醒报告的使用者基准日并不是一个时间点，而是对一段时间内的内控有效性的评估，具有延续性。

（2）对缺陷的描述增加实质性的内容内部控制存在重大缺陷的披露中，应具有以下的内容：缺陷是由什么经济活动或事件所引起的，对其进行简单的概括描述；经济活动或事件的哪一方面存在重大缺陷，涉及到了什么样的业务；重大缺陷会对企业的生产、经营产生什么影响，对什么目标有影响；对报告的使用者，要提醒应注意到的相关风险；指出该项内容对财务报告内控有效性发表的意见不会产生影响。

（三）进一步加强内部控制审计，完善内部控制制度

（1）提高内部控制审计的独立性及其地位。对内部控制审计的独立性和地位进行进一步的提高，对企业来说至关重要。独立性是内部审计机构的灵魂，表现为实质上的独立和形式上的独立。

内部控制审计要建立全程递进式的监控措施，建立健全相互制约、相互牵制的内控审计制度，所有的业务都要进行审核、复核，禁止一人独揽全局处置整个业务，秉持以“防”为主的监控理念。

（3）加强内部考核的力度，使内控审计工作制度化为了保证内控审计制度的有效运作，使其发展和完善，企业就必须对内控审计制度的执行情况进行考核，由内部审计部门结合管理部门、财务部门等具体执行检查。

（4）提高内部审计人员的素质，要求内部审计人员不断提高自身技能、具备多项专业技能，才能发挥职能、保障工作的顺利开展。除此之外，对内审人员进行思想和职业道德的教育，学习相关的财经法律法规及内部文件，增强自身责任感。

内控评价篇3

关键词：商业银行；内部控制；内控评价

商业银行架构多数为董事会负责的垂直管理体制，即总行统一法人管理体制。总行下设一级（直属）分行或分设境外分行；一级（直属）分行下设二级分行；二级分行下设支行；支行下设网点的形式进行管理，管理形状呈正三角形分布状态。完善的内部控制机制是商业银行审慎经营的前提，是保证金融体系稳定的基础。商业银行要实现持续稳健发展，必须严格执行银监会颁布《商业银行内部控制指引》相关要求，采取相关措施建立完整、有效、合理的内部控制体系。内部控制评价是检验商业银行内部体系建设是否达标的有效途径。

一、商业银行内部控制的内涵及构成要素

商业银行内部控制是商业银行为实现安全性、效益性、流动性经营管理目标，通过制定并实施系统化的制度和程序，对经营风险进行有效识别、评价、控制、监测和改进的动态过程和机制。商业银行控制体系主要同内部控制环境、风险识别与评估、内部控制措施、信息与交流、监督评价与纠正五个相互独立、相互联系又相互制约的要素组成。其中，内部控制环境包括高级管理层责任、组织结构、内部控制政策与机制、人力资源内部控制文化等方面的内容；风险识别与评估包括信用、市场、操作等方面风险识别与评估；内部控制措施包括授权授信风险控制、岗位分离与权限卡风险控制、信贷资产管理风险控制、资产负债风险控制、财务会计风险控制、运行管理风险控制、国际业务风险控制、中间业务风险控制、洗钱风险控制、信息科技及安全防护风险控制、突发事件风险控制等方面的内控；信息与交流包括信息质量与管理、信息沟通与交流；监督评价与纠正主要包括检查监督履职、纠正与改进等方面的内容。

二、商业银行内部控制评价的定义和内部控制评价的组成部分

商业银行内部控制评价是指对商业银行内部控制体系对建设、实施和运行结果而独立开展的调查、测试、分析和评估等系统性活动。通过实施内部控制评价活动，有助于督促商业银行进一步建立健全内部控制体系和内部控制机制，为全面风险管理体系的建立奠定基础；有助于外部监管部门和内部高级管理层客观全面了解一个分支机构内部控制状况，从而达到促进其内部控制过程各体系目标的进一步实现。内部控制评价包括过程评价、效果评价和限制评价三个部分。过程评价是对内部控制环境、风险评估与管理、内部控制活动、监督与纠正、信息与交流等五大要素的评价。效果评价是对内部控制主要目标实现程度的评价，按照重要性原则确定各效果评价指标，主要包括效益类指标、资产质量类指标和案件损失类指标。限制评价是对评价年度内是否发生影响内部控制的重大事件的评价，主要包括违反国家有关金融法规，情节严重，受到人民银行、银监会、审计署等外部监管部门处罚情况；发生一定金融以上的贪污、挪用、贿赂等内部经济案件的；发生涉案一定金额以上的金融诈骗案件等。

三、商业银行开展内部控制评价的重要意义

商业银行内部控制评价有助于外部监管部门或上级管理部门了解被评价机构的经营及内部控制管理情况。商业银行通过内控评价在排风险、找差距、堵塞漏洞的同时，更多地是可以帮助被评价机构通过评价发现问题进行整改，从而完善内控管理机制，进一步建立长效内控管理机制，按照内控管理的五大要素，培育良好的内控文化，建立完善高效的风险评估机制，实施健全有效的控制活动，构建科学、完善的内控体系。

1.内控评价促进商业银行分支机构严格遵守国家法律，银监会的监管要求和商业银行审慎经营原则。2007年7月3日中国银行业监督管理委员会颁布实施《商业银行内部控制指引》商业银行内部控制应当贯彻全面、审慎、有效、独立的原则，包括：内部控制应当渗透商业银行的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查；内部控制应当以防范风险、审慎经营为出发点，商业银行的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求；内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够得到及时反馈和纠正；内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。

2.内控评价促进商业银行分支机构提高风险管理水平，保证其发展战略和经营目标的实现。工商银行从2002年开始从内部控制的五大要素按业务条线进行内部控制自我评价，2003年引入对基层行（二级分行和支行）的全面评价，并把评价分为过程

评价和效果评价两大部分，2005年总行开始对一级分行进行全面评价，2007年引入非现场评价指标体系，2009年扩大非现场评价的范围。内控评价的五大要素为控制环境、控制活动、风险识别与评估、信息交流与沟通及监督检查五个方面。拥有较为健全的内部控制评价体系和实施细则、评价方法和评价标准等，强有力地保障了工商银行实现其发展战略和经营目标。通过近十多年对基层行和五年来对一级（直属）分行的评价，使工商银行内控管理水平得到了显着改善，经营效益大幅提升。

3.内控评价促进商业银行分支机构在出现业务创新、机构重组及新设和关键岗位人员轮换等重大变化时，及时有效地评估和控制可能出现的风险隐患。通过对内控制度建设、执行情况作出有效的评价，同时揭示出内控制度的不足和疏漏，在开办新业务、设立新机构和重要关键岗位人员（包括各级管理人员）轮换等重大业务、机构和人员发生变化时作出有效的评估，研究对策措施，促进商业银行内控建设得到不断改进。一是构建有效的内部控制评价体系。建立内控评价机构，保证其内控评价的客观性和公正性。二是借助外部评价机构，实施外部评价。充分重视内、外部对内控制度建设、执行效果改进措施的评价，促进商业银行内控制度建设走健康发展道路，提高内控制度建设的有效性，保证各项业务健康有序发展。三是完善考核机制，将内控评价结果作为考核分支机构行和业务部门考核重要内容之一，合理设置分值，充分运用内控评价结果。同时，要建立违规必究的处罚机制，防止重检查轻整改现象，树立内控规章制度的权威性。通过对各业务线条制定制度、办法和实施细则等进行有效评价，堵塞制度方面存在的漏洞和隐患。

四、商业银行分支机构开展内部控制评价的作用

商业银行的管理层需要了解分支机构内控的效果，监管当局需要掌握金融机构内控的状况，这都需要通过对一个机构内控状况的全面评价来实现。没有有效内控评价，就无法对一个商业银行分支机构内控管理情况得出全面性结论，也就不可能为其内控工作的优化创造条件。

1.开展内控评价工作，有利于商业银行加大对各级机构内控工作管理力度。内控评价工作在消除业务操作和管理隐患、改善内部控制环境、从根本上建立风险管理绩效机制、持续改善内控管理方面发挥着重要作用。各金融机构根据银监会《商业银行内部控制评价试行办法》的要求，制定或完善本行《内部控制评价办法》，促进内部控制评价工作的制度化、规范化和科学化。逐步加大内控管理在经营绩效中的占比，把内控管理状况及评价结果与高管人员考核和离任、责任审计和绩效分配相挂钩。

2.开展内控评价工作，有利于商业完善操作风险防范体系，提高操作风险防控能力。内控评价工作是对商业银行内控管理状况的全面体检。通过内控评价工作有利于各商业银行防范操作风险，防止发生重大差错事故、操作性失误和违规违纪案件，全面贯彻落实银监会案件专项治理的工作部署，是一项标本兼治的综合性管理工作，切实提高操作风险防范水平。一是强化操作风险管理员在组织推动操作风险管理的重要作用，突出操作风险防范在全面风险管理体系中的重要地位，推动形成各分支机构、各业务部门齐抓共管操作风险局面。二是强化内控管理委员会对全行各分支机构、各职能部门和各业务条线进一步落实对重点部位、重要环节和重要岗位的防控措施。三是强化各分支机构建立规章制度的后评价制度，跟踪研究制度执行情况，并根据经营环境的变化，不断加以完善，及时发现和堵塞漏洞，防范制度梳理工作不到位带来的风险隐患。

3.开展内控评价工作，有利于商业银行各项内部控制措施有效发挥作用，各类风险得到有效控制。通过对内部控制五大要素的有效评价，能够确保各项内部控制措施作用得以有效发挥，各类风险得到有效控制。一是促进各分支机构严格执行授权控制。各项业务活动按照授权控制原则，实行统一法人管理和法人授权。严格执行授信控制，对法人客户办理的各类授信业务纳入法人客户统一授信管理。二是促进各分支机构执行严格的职责分离制度。明确划分各级机构和部门之间、岗位之间的职责分离、横向与纵向相互监督制约的机制，并严格按规定程序办理各项业务。三是促进各分支机构强化业务监督控制。配置专人对各类核算业务进行有效监督，按照重要性原则确定检查范围，进行检查，发现问题立即整改。四是促进各分支机构建立科学的信息资料保全系统，确保信息资料的完整性、真实性、保密性、安全性，有助于各部门之间信息进行有效的交流与沟通。。

参考文献：

车迎春.商业银行内部控制评价办法实施指南[m].北京:中国金融出版社，2006:4-186.

内控评价篇4

关键词：内部控制评价系统

内部控制理论整合到风险管理框架中被公认为是其理论发展的最高成就。然而，一批执行由美国COSO的《内部控制整合框架》和《企业风险管理整合框架》的知名公司却在金融危机中纷纷破产或被收购，再次向世人表明，即使被外部审计鉴证为拥有“健全内部控制”的大公司，其内部控制运行的有效性并不一定能得到保证。究其原因：一是内部控制评价标准模型缺乏可操作性，不能有效指导企业内部控制实践；二是公司治理存在缺陷，内部控制形同虚设。因此，公司内部控制运行质量引发管理学界和企业界展开新一轮的内部控制评价研究，构建一个科学的企业内部控制评价系统是当前面临的非常重要与紧急的任务。

一、相关概念辨析

内部控制起源于管理和审计的需要，保证资产安全、防范会计信息失真以及确定审计范围是内部控制发展的主要动力和源泉。美国《内部控制整合框架》指出内部控制是一个过程，“内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的，为达到经营的效果和效率、财务报告的可靠性、法律法规的遵循性等目标提供合理保证的程序”。目前这个定义受到世界各国和各类组织的广泛认可。

内部控制评价是一个测试、评价、反馈、完善企业内部控制制度及体系的过程。内部控制评价系统包括评价主体、评价客体、评价目标、评价指标、评价标准、评价方法和评价报告。美国的内部控制评价研究一直走在世界前列，这一概念最早是由美国公证执业会计协会提出的，1929年该协会的《财务报表》一文中正式指出：“要对内部控制的有效性做出评价而抽查的范围将取决于检查内部控制系统的结果。”

1.美国公众公司会计监督委员会认为：内部控制评价是一个进行风险评估的过程，这个过程被企业当局和外部审计师所利用，以便评价企业会计信息系统的优劣。

2.我国最早的研究者认为内部控制评价是指由企业内部审计和外部监管部门对企业内部控制系统全面进行的审查测试与分析评价。其后的研究者认为内部控制评价是审计人员通过对被审计单位内部控制系统的审查、测试、评价，判断其可信程度，从而对内部控制系统做出鉴证意见的一种审计方法。

3.2010年财政部等五部委的《企业内部控制评价指引》指出：“内部控制评价是指企业董事会或类似的权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程”。可见，我国认为内部控制评价是一个对企业内部控制目标实现与否、内部控制设计和执行有效与否进行合理评价的过程。

由此，我国明确规定了评价主体（企业董事会或类似权力机构）、评价客体（内部控制的有效性）、评价目标（促进企业设计与运行有效的内部控制）和评价报告（报告的种类、格式和内容）。因此，内部控制的评价标准、指标及方法三部分应作为构建内部控制评价系统的重要内容。

二、内部控制评价标准研究

对财务报告内部控制（ICFR）的评价，是美国内部控制评价法律规定的主要内容。SOX法案404条款（2002）要求上市公司管理层应基于适当、公认的评价框架对ICFR进行评价，并在年末公告两方面内容：其一是企业需要提交一份有关ICFR的评估报告；其二是管理层出具对这个报告负责的结论。PCAOB（美国公众公司会计监督委员会）公布了AS-2（审计准则第二号）（2004）：外部审计师对上市公司的财务报告及报告期间的内部控制同时审计；AS-5（2007）指明评估所用框架，即以COSO的内部控制整合框架为评价标准，并在美国得到普遍运用。

虽然美国提出了适当、公认的评价框架，但WilliamJ.Carney（2006）调查显示，以COSO框架为标准的SOX条款执行成本远超过2002年SEC的预计。ParveenP.Gupta（2007）经过调研发现1992年COSO框架没有提供公司管理层评价和报告内部控制急需的实施指南，只有24%的被调查者认为他们有能力应用该框架评价公司的财务报告内部控制。

王会杰（2001）把内部控制评价标准分为一般标准和具体标准，两者是基础和升华的关系。郭华平（2002）将其分为综合标准、基本标准和具体标准三个方面。原东平（2008）结合我国实际情况，认为评价标准包括一般与具体两个层次，其中，一般标准分为完整性、合理性和有效性标准，具体标准包括要素层次与作业层次。

李金路（2005）认为内部控制评价的标准是指内部控制制度整体运行应实现的目标，并结合对内部控制因素的分析对内部控制评价标准作出系统阐述。李小燕等（2008）提出公司财务控制制度的健全性、符合性两方面的定性评价标准，以及有效性的定量标准。邵继来（2009）认为企业内控制度评价标准含有制度建设、执行以及保障三个层次。董美霞（2010）指出要综合考虑风险和内部控制目标，对内部控制的所有基本要素确立评价标准。

张宜霞（2007）认为内部控制评价标准应满足相关性、没有偏见、一致性、可验证性和充分完整等严格条件，并提出设计内部控制评价体系的总体思路。这一观点在后来的《基本规范》和《评价指引》中得到了很好的体现。

我国《企业内部控制基本规范》虽然强制上市公司对内部控制评价情况进行报告，但并没有详细规定评价的具体内容、标准和方法；《企业内部控制评价指引》作为企业评价内部控制质量的原则性指导框架，不够具体，内部控制评价工作流于形式。因此，国内很多学者（李斌，2009；池国华，2011等）都认可将美国COSO框架提出的企业内部控制三大目标与五大要素作为作为评价标准。

三、内部控制评价指标体系研究

为避免内部控制评价活动流于形式，需要设计出一种实用且操作性强的内部控制评价指标体系。KennethA.Smith（1972）研究了内部控制的评价结果与审计样本量二者之间的关系，提出审计样本的选择对审计结果有正相关的联系。LindaleGrieg（1984）设计了数学模型来分析评价内部控制系统，通过建立数学模型将内部控制系统进行量化。Schwartz（2006）基于成本效益原则，按内部控制五要素为小型公司设计了一种整合的、基于业务流程的评价模型，帮助其识别风险、加强控制。Danny（2007）指出，实施AS准则要识别高风险领域和相关实体层面的控制，应该在控制优先的基础上评估风险：对关键和非关键控制进行再评价；评估单个的关键控制风险；根据AS准则对测试范围进行再评估。

COSO报告在评价内部控制有效性时，一般把评价指标设计成一系列问题，重点从企业战略目标同经营目标的协调、目标实现、风险控制、企业文化、员工能力、监督控制等方面设计问题，然后针对评价对象的实际情况，依据答案情况来评价内部控制的健全性和运行的有效性。

文胜泽（2007）从管理学和经济学角度论述了构建内部控制评价指标体系的基础理论，使得内部控制评价基础理论不再局限于审计和公司治理领域，对内部控制评价性质做了更深入的诠释。

朱荣恩（2004）引入美国财务报告内部控制评价体系，通过对中美两国内部发展体系的比较，建立了基于COSO框架的内部控制评价体系。傅元略（2002）和唐予华等（2003）利用COSO报告关于内部控制构成要素的理论，建立了内部控制评价指标体系，并且构建了内部控制综合评价模型（ZPM）。王素莲（2005）以COSO报告中的要素为对象，结合SOX法案404条款内容，尝试构建一套中国企业内部控制评价指标体系。蔡军和韩庆兰（2006）按照SOX法案404条款的要求，在COSO框架指导下，建立了五个内部控制体系步骤，以及如何对内部控制执行进行测试。

赵东方、张莉（2005）认为应构建防卫性、建设性和一般性三个层次的内部控制评价指标，采用内部审计评估和控制自我评估两种评价方式。王海林（2008）认为在内部控制评价中引入内部控制等级概念，并构建内部控制评价体系，以实现对内部控制完整性和有效性等做出全面评估。张先治，戴文涛（2011）构建了企业、注册会计师和监管部门三位一体的监管模式，结合我国内部控制评价的状况来构建企业内部控制评价指标。

王煜宇和温涛（2005）从内部控制环境、风险评估、内部会计控制、内部管理控制和监督控制五个方面构建了由35个指标组成的企业内部控制评价指标体系。韩传模，汪士果（2009）提出运用三维结构剖析企业内部控制系统，建立递阶层次指标体系，识别了企业主要的业务流程和关键控制措施。厦门大学内部控制指数课题组（2010）针对我国内部控制评价指引提出了35个二级评价指标，同时对相关企业进行实证调查，得出模糊评价模型的应用性和实用性，也为我国企业开展内部控制评价提供参考。

四、内部控制评价方法研究

Hamlen（1980）将内部控制设计和评估看成一个优化过程，用优化模型来描述内部过程。Baileyetal（1983）提出TICOM-II模型，将内部控制行为转化为计算机可接受的描述性语言，并自动与计算机内已有的审计标准进行比较，得出内部控制质量的高低。Nichols（1987）利用多元统计的两组判别分析方法来建立内部控制评价的预测模型；Purivs（1989）和William（2008）分别采用实验方法研究了问卷式、流程图式以及文字叙述式等三种内部控制评价方法的效果，并对各自准确性做了比较。Emby（1994）描述了评价公司内部控制中具体测试方法和过程。

Leary（2004）提出了内部控制评价模型（ICE），并与来自五家公司的94位审计师运用其各自公司的评价方法进行比较，证明该模型与现有的评价方法一样有效。Bierstaker，Janvrin&Lowe（2008）对会计公司的调查表明：审计人员偏好文字描述式，其次是问卷调查式。ChunyanShao（2009）认为，根据内部财务控制的复杂性特点建立一种基于评价指数系统的模糊评价方法具有可操作性。Akresh（2010）认为，内部控制审计是审计财务报告的生成过程，而财务审计是审计内部控制过程的产出，这一过程分解为固有风险、控制设计和执行风险、控制运行效果风险。

林朝华，唐予华（2003）介绍了国际流行的内部控制评审最新理念――CSA，认为该方法为实现企业的目标提供了一定程度的合理保证。何恩良（2003）认为，内部控制评价定性评价受评价人员的主观影响，其主要评价内部控制制度的合法性、有效性、可操作性、经济性、先进性；定量评价更具有科学性，应首先建立定量评价标准，然后通过模型评价其健全性和有效性。王立勇（2004）运用可靠性理论及数学统计方法来构建内部控制系统评价定量分析的数学模型，根据企业的业务流程设计内部控制系统可靠的框架图。朱卫东等（2005）基于COSO报告框架构建了内部控制评价指标体系，并将BP神经网络技术应用于企业内部控制评价中。

陈汉文、张宜霞（2008）认为政府监管部门应当规范风险基础的评价方法，引导企业管理层和注册会计师应当实施风险基础的方法来评价和审计内部控制。

韩传模等（2009）利用模糊评价法和AHP，评价部分及整体控制的有效性，并且从定性局部的评价改变为定量综合的评价。文胜泽（2009）利用风险管理方法，建立了评价指标体系以及模糊综合评价模型。敖世友（2009）借鉴管理熵相关理论，计算公司内部控制制度的管理熵值，探讨如何评价内部控制有效程度。王海林（2009）借助过程控制手段构造IC-CMM模型，完成了对内部控制制度的运行过程与运行结果的双重综合评价。杨洁（2011）建立评价因素集、评价等级集和评价权重集，对评价指标进行量化打分，利用PDCA循环原理分析评价结论。应益华等（2011）将6σ五个步骤与内部控制评价活动有机结合，来发掘企业内部控制中的不足及原因，达到降低风险的目的。唐立新等（2012）通过调查企业内部控制水平资料，并和评价标准对比分析，利用百分制评价法，得出企业内部控制质量的评价结果。

五、研究述评及未来展望

内部控制评价无论对管理学界还是对企业界，都是一个相当重要的课题。通过对上述中外研究成果的文献回顾和综述，目前还存在着以下问题：

第一，内部控制评价标准：美国的COSOFramework执行成本较高，导致其不断受到质疑。《企业内部控制评价指引》在一定程度上解决了我国缺乏可供企业参考的评价标准的问题，但具体实施效果如何有待于学者们收集更多的实证数据进行检验，从而形成符合我国实际国情的动态评价标准体系。

第二，内部控制评价指标：以内部控制五要素为基础的指标体系得到许多学者的认同，但二级或三级指标内容有待于统一；以内部控制目标为基础的指标体系的构建，需要兼顾内部控制各要素；定性与定量综合的指标体系，往往权重难于合理分配，且定量指标的选取有待于统一。如何建立起一套科学合理的评价指标体系是一个有益的尝试与探索，可作为以后继续研究的方向。

第三，内部控制评价方法：国外学者多主张建立各种模型以增强评价的客观科学性，但内部控制评价模型由于操作成本过高等原因，导致评价方法的运用推广受到限制；国内学者倾向于模糊评价法和层次分析法（AHP）两种方法的综合运用，但存在受评价者的主观性影响，且对各指标一致性有严格要求等问题。因此，急需探索出一种可操作性强且能一定程度上保证客观评价的方法。

第四，关于内部控制评价体系方面：目前共存在四种类型的内部控制评价体系，分别是以财务报表审计为目的；以内部控制审计为目的；以完善内部控制为目的；以信息披露为目的，这四种评价的客体相同，可以共享不少方法和信息，但如何能对这四种内部控制评价进行有效整合以降低评价成本非常值得研究。

参考文献：

[1]张宜霞.企业内部控制论[M].大连：东北财经大学出版社，2008.

[2]郑卓如，郑石桥.内部控制评估：文献综述和未来研究方向[J].会计之友，2013（3）.

[3]陈俊，王曙光.企业内部控制体系的建设――基于对COSO和COCO内部控制体系的整合型探析[J].审计与经济研究，2008（3）.

[4]张黎焱.上市公司内部控制评价研究[D].财政部财政科学研究所，2010.

[5]王双，赵毅.内部控制评价系统研究述评――评价标准、指标、方法[J].会计之友，2013（23）.

[6]董美霞.全面内部控制评价体系述评――兼议《企业内部控制基本规范》及相关征求意见稿[J].财会通讯，2008（12）.

[7]池国华.中国上市公司内部控制指数的功能定位与系统构建[J].管理世界，2011（6）.

[8]邵继来.浅析企业内部控制评价标准[J].中国内部审计，2009（11）.

[9]董美霞.我国企业内部控制评价研究[D].东北财经大学，2009.

[10]张先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011（1）.

内控评价篇5

摘要随着我国经济的不断发展，与世界各国的联系进一步加强，人们逐渐认识到企业内部控制评价的重要性。尤其在国内外相关部门颁布了新法规和规范后，内部控制评价的关注度日益提高。本文主要是针对上市公司的内部控制评价进行研究，在分析上市公司内部控制评价现状的基础上，对相关问题提出一些参考性建议。

关键词上市公司内部控制评价现状思考参考建议

一、内部控制评价的概念与作用

内部控制评价是指企业权力机构坚持全面性、重要性、客观性原则对内部控制进行有效的评价，形成评价结论，出具评价报告的过程。内部控制评价是企业内部控制中的一个必要的系统性活动，对内部控制进行评价、反馈，通过不断的自我评价促进内部控制的有效实施和持续改善对以提高企业的控制能力和管理水平有着重要的意义，主要表现在以下几个方面：

第一、内部控制评价有利于企业排查内部控制漏洞。企业内部控制主要是保证企业各项工作按要求进行，为企业发展提供可靠的保障，企业内部控制的目标也就是企业发展的目标。然而企业内部控制本身是不完善的，在制定和执行内部控制制度时会出现漏洞，影响企业正常的工作运转。这就要求我们做好内部控制评价工作，及时的发现内部控中的问题，并采取有效措施进行改良。

第二、内部控制评价有利于发现并完善内部控制的薄弱部分。每一个企业都有着自己的薄弱环节，在企业中虽然占有很少的部分，但是这些环节可能导致企业资源浪费，工作效率不高等现象的出现，制约着企业的发展。在企业内部控制中如果存在这样的薄弱部分，危害更大，甚至引起企业的经营失败。目前我国企业总体来说，对于内部控制的执行还存在问题，企业只有利用内部控制评价，才能有力的执行内部控制控制，不断的完善企业管理，为企业的发展奠定良好的基础。

第三、内部控制评价有助于促进企业健康发展。企业的内部控制评价是在内部控制管理的前提下完成的，也就是说企业的内部控制制度是正常运转的，这样就满足了企业管理对内部控制的需求，保证企业内部控制制度有效的发挥作用，更好的完成企业的计划和目标。企业的内部控制评价工作为企业营造了一个良好的环境，促进企业健康有序的发展。

第四、内部控制评价有利于企业文化的建设。企业文化作为企业发展的指导思想，能够提高企业员工的凝聚力，更好的投入到工作中。企业内部控制评价有力的提高了内部控制制度的执行力，在这个基础上，将执行力融入到企业的企业文化的建设中，使企业的每一位员工加深对企业内部控制的理解和实践，在员工心中形成一种全新的内部控制理念，有助于企业文化的建设。

二、上市公司内部控制评价存在的问题

一、我国上市公司内部控制评价体系不健全。目前，我国大多数上市公司对内部控制评价的认识不深刻，缺乏完善在内部控制评价体系，管理制度缺失。这就给公司的管理带来困难，缺少内部控制评价的制约作用，公司的管理出现混乱，影响工作效率，给公司带来损失。

二、我国上市公司内部控制评价内容单一。虽然相关部门做出了相应纲领性的规定，但是对评价的内容和方式并没有做出明确规定。这就导致了公司在内部控制评价，只注重于评价的形式，简化了评价的过程，缺少实质性的内容。大多数公司只对内部一两个方面内容进行评价，影响不到整个公司的内部控制工作。评价报告的内容缺失或失真，给信息的使用者带来困扰。

三、我国上市公司内部控制评价方式过于简单。公司的内部控制是一个动态的系统，在运转中涉及了多方面的工作。因此在内部控制评价时要注意采用不同手段应付不同的问题。我国上市公司的内部控制评价手段仅限于内部控制点查表、流程图和叙事法三种，虽然借鉴了外国的评价方法，但是在实际的执行过程中没有严格按照程序工作，结果就是在内部控制评价上无法做到有效、有序的进行，不仅工作效率低而且评价效果差。

三、对我国上市公司内部控制评价工作的几点建议

第一、加强完善内部控制评价体系，提高公司对内部控制评价的认识。公司内部控制评价效果不好的主要原因就是公司领导对内部控制评价的重视程度不够没有真正的发挥内部控制评价的作用。因此，公司领导自身加强对内部控制评价的认识，以身作则，不断的宣传内部控制评价，同时定期的对公司人员进行培训，保证内部控制评价工作的质量；制定相应的规范，并且严格按照规范要求执行。在内部控制评价体系上也要不断的完善，只有在体系完善、制度完整的情况下，内部控制评价工作才能顺利完成。

第二、规范上市公司内部控制评价的内容和方式，保证内部控制评价工作的质量。上市公司内部控制评价的内容和方式有着很大的差别，但总结起来就是评价内容简单、方式单一，不能满足内部控制评价的要求。因此，上市公司要对内部控制评价的内容作出明确的规定，并且严格遵循规定来工作，让使用者得到详细、准确的信息。对于内部控制评价的方式要灵活多样，借鉴先进的内部控制评价方式，不断的创新，总结出满公司发展需要的评价方式。

第三、建立内部控制评价监督机构，明确内部控制评价的具体责任。建立内部控制评价的监督机构，可以保证内部控制评价工作的有效进行。建立健全内部审查机构，创造公平、公正的检查环境，完善检查职能，在保持各部门独立性的前提下，更好的履行检查职能。同时在公司制定权责分明的管理制度。这主要是因为一些工作人员的素质不高，对内部控制评价的认识不深，在工作中难免出现错误。在出现错误时不能及时的处理，各部门人员互相推诿，致使问题严重化，给公司带来损失。建立权责分明的管理制度，有利于制约此类现象的发生，便于管理。

四、结束语

在激烈的市场竞争下，公司想要壮大发展，就要不断的提高自身实力。通过内部控制评价可以帮助公司加强内部控制工作，降低成本，获得更多的经济效益。对于上市公司来说，加强内部控制评价具有非常重大的意义。

参考文献：

[1]陈丽蓉,牛艺琳.试析上市公司内部控制自我评价存在的问题.财会月刊.2009(24).

内控评价篇6

关键词：企业;内部审计;内部控制;评审

近年来，国内相关机构和企事业单位顺应企业管理的内在需要，逐步引入了内部控制及内部控制评审的理论，并组织开展了一系列理论研究和实务探索，取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。

一、内部控制、内部控制评审的定义

1.内部控制的定义

内部控制一词，最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展，内部控制理论由最初的“内部牵制理论”，发展为“内部会计控制与内部管理控制”。

1992年，美国反欺诈性财务报告委员会的主办机构委员会（COSO委员会）了《内部控制—整体框架》报告，即著名的COSO报告，报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论，受到各国理论界和实务界的广泛关注和普遍认可。

2.内部控制评审的定义

COSO报告认为，在内部控制系统中，所有部门、岗位都在其中充当着角色，内部审计也是如此。内部审计既是企业内部控制的重要组成部分，又是监督与评价内部控制的主要部门和主要手段。2002年以来，国际内部审计重新介入内部控制这一领域，在原先以内审部门实施内部控制评价的基础上，加强了与业务管理部门自我评估的结合，注重相关业务部门技术人员的参与，要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。

从内部审计的角度看：内部控制评审是指由企业董事会下设的审计委员会组织开展的，以内部审计人员为主，吸收相关专业技术人员和专家参加的，对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动，主要测评企业内部控制系统是否健全、合理，以及执行是否有效。

二、内部控制评审的内容

企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的，因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。

1.内部控制环境评审

内部控制环境是内部控制的基础，它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有：公司治理组织架构的建立、规范运作和分权制衡；内部控制系统中董事会的建立和完善责任，监事会的监督责任，高级管理层的执行和完善责任；人力资源政策和程序、人力资源日常管理情况等。

2.风险识别与评估评审

风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动，它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效，主要包括在经营管理活动中风险的识别和评估是否充分、合理；企业识别和获取适用法律法规要求的程序建立和执行的情况；与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。

3.内部控制活动评审

内部控制活动是指为了确保经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序。内部控制活动的评审是指对企业为进行企业管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是企业内部控制活动的健全性、合理性、有效性，主要包括企业所采取的控制措施和程序的健全、合理、有效程度；计算机系统环境下，为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；应急预案的建立和执行、应急设备和设施的定期检查情况等。

4.监督评价与纠正评审

监督评价与纠正是指由企业特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况，可采取持续监督和个别评估分别进行或两者结合进行的方式。监督评价与纠正的评审是指对企业内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审，主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行；企业对内部控制进行不断完善的情况等内容。

5.信息交流与反馈评审

信息交流与反馈是指企业在其经营过程中，按某种形式辨识、取得确切的信息，并进行沟通，以便员工能够履行其责任。信息交流与反馈的评审是指对企业辨识、取得、沟通合理信息的方式和过程的健全性、合理性、有效性所进行的评审。主要包括企业信息交流和沟通程序的建立和执行；内部控制系统文件的建立和保持；形成记录控制程序的建立和执行等内容。

三、内部控制评审方法

内部控制评审方法主要包括评审的切入方法和评审的具体技术方法两大方面。评审的切入方法是根据评审要求和为达到评审目的进行组织和实施评审的工作形式和工作思路，是制定评审实施方案的前提；评审的具体技术方法则是在具体评审时根据被评审企业的实际情况，为达到评审目的和要求所采用的具体审计技术方法。

1.内部控制评审的切入方法

内部控制评审的切入方法基本可以归纳为要素法、流程法和制度法三类。

(1)要素法。要素法是直接从评审内部控制的五大要素内容入手，运用内部控制评审的技术方法获取评审证据，从而评价内部控制要素各项内容的健全性、合理性和有效性，进而对企业内部控制做出综合评价。其适用范围主要是生产经营方式相对简单、业务流程比较单一、且已建立完整的内部控制系统的企业。

(2)流程法。流程法是建立在要素法的基础上，从测试业务流程和具体业务入手，采用内部控制评审技术方法获取评审证据，来评价内部控制各项要素内容的健全性、合理性和有效性的一种方法。其适用范围是生产经营过程比较复杂，业务流程比较繁多，且已建立完整的内部控制系统的企业。

(3)制度法。制度法是指从被检查企业内部控制制度入手，采用内部控制评审技术方法获取评审证据，来评价企业内部控制的健全性、合理性和有效性。其适用范围是尚未建立完整的内部控制系统的企业，或者是还停留在靠内部规章制度进行控制的企业。

2.内部控制评审的技术方法

内部控制评审的技术方法经常采用的技术方法主要有：

(1)抽样法。通过抽取一定数量且具有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。这是审计工作普遍采用的方法，，应当采取科学抽样的方法来完成对企业已经发生的所有经济业务进行审计和评审，只要按照合理的允许的误差科学地抽取了样本，通过对样本的评审是能够满足对企业整个经济活动的评审需要的。

(2)穿行测试法。穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与评价。这是内部审计经常运用的一种简便易行的技术方法，特别适用于对内部控制的评审中，通过对一笔或若干具体业务的穿行测试，可以比较直观有效的反映一个或若干业务流程的内部控制情况。

(3)证据检查法。证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时，要求被评审企业在限定的时间内，提供被评审业务主要控制点对应的相关资料。通过对这些书面证据的检查，验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。

(4)压力测试法。即测试被评审企业关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。

(5)流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，流程图法可以使评审人员清晰地看出被评审企业内部控制系统如何运行，业务的风险控制点和控制措施，有助于发现各内部控制系统的缺陷和评审重点。

四、内部控制评价标准和综合评价结果

现场评审结束后，应依据内部控制评价标准，对被评审企业进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则，做到量化合理、定性准确。

1.内部控制评价标准

在对各项评审内容严格审查、测试和初步评价的基础上，应对企业整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价。

(1)内部控制的健全性。内部控制的健全性是指企业根据生产经营管理的自身需要，应设置的内部控制系统的内容都比较完备，而且所设置的内部控制系统对企业的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。