內部控制評審

福建福州市馬尾區公安邊防大隊 余洪貴

近年來，國內相關機構和企事業單位順應單位管理的內在需要，逐步引入了內部控制及內部控制評審的理論，組織開展了一系列理論研究和實務探索，取得了一定成果。本文以內部控制評價為目標，以內部控制要素的評審為基礎，以內部控制系統的業務流程測試檢查為手段，對內部控制評審的內容、程序、方法、評價標準等進行了初步探討。

一、內部控制、內部控制評審的定義

(一)內部控制的定義

在西方國家，內部控制的概念具有歷史性，內部控制（Internal Control）一詞，最早出現在1936年美國會計師協會發布的《注冊會計師對財務報表的審查》文告中。之后，隨著內部控制理論以及認識的不斷發展，至二十世紀的七十年代在美國以及其他一些西方國家和組織，內部控制概念的內涵和外延也都發生了較大的變化，內部控制理論由最初的“內部牽制理論”階段，發展到“內部會計控制與內部管理控制”時期。

1992年，美國反欺詐性財務報告委員會的主辦機構委員會 （即COSO委員會）發布了《內部控制——整體框架》報告，即著名的COSO報告，報告對內部控制的定義為：“內部控制是由單位董事會、經理當局以及其他員工為達到財務報告的可靠性、經營活動的效率和效果、相關法律法規的遵循等三個目標而提供合理保證的過程”。COSO報告同時認為內部控制包括內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋等五個相互聯系的要素，這五大要素服務于上述三大目標。這也是目前比較成熟的內部控制理論，它受到了各國理論界和實務界的廣泛關注和普遍認可，國際內部控制理論也因此發展到“內部控制結構和內部控制整體框架理論”階段。此后，COSO報告也成為美國各界，乃至世界上許多國家和組織制定內部控制文件的依據。

在我國，許多部門、機構和行業也從自身需要出發對內部控制作出過定義，但大都是根據部門或行業不同要求而各有側重。本文所探討的內部控制和內部控制評審主要是基于COSO報告的定義。

(二)內部控制評審的定義

目前，國內外的理論界和實務界對內部控制評審的定義尚未形成統一的認識。COSO報告認為，在內部控制系統中，所有部門、崗位都在其中充當著角色。從內審的角度來看，內部控制評審是指以內審人員為主，吸收相關專業技術人員和專家參加的，對內部控制系統建設、實施情況進行的調查、測試、分析、審核和評價等系統性活動，主要測評內部控制系統是否健全、合理，以及執行是否有效，以便進一步完善內部控制系統，改進控制方法和手段，降低控制成本，堵塞管理漏洞，提高內部控制效率，保證生產經營管理活動有序、高效、健康地運行。

二、內部控制評審的內容

內部控制系統的設計不論是按部門、按項目，還是按業務流程，都是圍繞內部控制環境、風險識別與評估、內部控制活動、監督評價與糾正、信息交流與反饋這五大要素進行的，因此內部控制評審也應是對內部控制五大要素的評審，評審的內容就是內部控制系統五大要素的各項內容是否健全、是否合理以及執行是否有效。

(一)內部控制環境評審的內容

內部控制環境是內部控制的基礎，它是影響和制約其他控制要素發揮作用的重要因素。內部控制環境的評審是指對內部控制系統所依存的軟硬環境的各項因素運作狀況的健全性、合理性和有效性所進行的評審。評審的內容主要有：組織架構的建立、規范運作和分權制衡；內部控制系統中董事會的建立和完善責任，監事會的監督責任，高級管理層的執行和完善責任；內部控制目標的建立、改進和實現；健康的企業文化建立情況和企業文化為內部控制提供適宜環境；人力資源政策和程序、人力資源日常管理情況等。

(二)風險識別與評估評審的內容

風險識別與評估是指識別和分析那些妨礙實現經營管理目標的各項因素的活動，它包括風險識別和風險分析評估兩部分，對風險的分析評估構成了風險管理決策的基礎。

風險識別與評估的評審是指對來自內外部對生產經營、財務報告、經營管理目標有影響的各種風險的識別與評估情況所進行的評審。評審的內容是風險識別與評估機制及其運行是否健全、合理、有效，主要包括在經營管理活動中風險的識別和評估是否充分、合理；識別和獲取適用法律法規要求的程序建立和執行的情況；與風險識別和評估相對應的內部控制措施方案的內容及執行情況等。

(三)內部控制活動評審的內容

內部控制活動是指為了確保經營管理目標的實現，指導員工實施管理指令，管理和化解風險而采取的政策和程序，包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。

內部控制活動的評審是指對為進行管理和化解風險而采取的控制活動情況所進行的評審。評審的內容是內部控制活動的健全性、合理性、有效性，主要包括所采取的控制措施和程序的健全、合理、有效程度；計算機系統環境下，為確保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；應急預案的建立和執行、應急設備和設施的定期檢查情況等。

(四)監督評價與糾正評審的內容

監督評價與糾正是指由特定人員對一定時期的內部控制運行狀況進行評估和實施糾正的情況,可采取持續監督和個別評估分別進行或兩者結合進行的方式。

監督評價與糾正的評審是指對內部控制監督評價與糾正機制及其運行情況是否健全、合理、有效所進行的評審，主要包括內部控制績效監測程序建立和執行；內部控制系統監督評價書面程序的建立和執行；對內部控制進行不斷完善的情況等內容。

三、內部控制評審方法

內控評審的方法多種多樣，可以使用一種方法，也可以同時使用多種方法進行，要根據評審的實際靈活運用，不應有所限制和局限，評審方法的選擇應以符合實際、科學方便、經濟實用為原則。

(一)抽樣法

通過抽取一定數量且具有代表性的樣本進行調查和測試，根據樣本來推斷總體狀況的一種評審方法。它需要在制定評審實施方案時確定具體的抽樣規模和比例，評審人員從財務憑證和合同的簽訂入手，對每一業務流程或特定控制點抽取一定數量的業務進行測試，據此來推斷內部控制的總體狀況。在抽取樣本時，所抽樣本要有一定的代表性，盡可能包括大、中、小三種金額類型，以便全面反映內部控制的執行情況，可采取整批抽樣、分層抽樣、系統抽樣、隨機抽樣等方式。在抽樣方法中，重要的是樣本范圍的制定和抽取，只要按照合理的允許的誤差科學地抽取了樣本，通過對樣本的評審是能夠滿足對單位整個經濟活動的評審需要的。

(二)穿行測試法

穿行測試也稱全程測試，通常用于對業務流程或具體業務的測試與評價。即評審人員在每一類循環中選擇一筆或若干筆具體業務，比照業務流程從頭到尾檢查其實際處理過程，檢查測試該流程步驟和控制點的執行情況，以驗證所描述的內部控制的客觀性和真實性。這是內部審計經常運用的一種簡便易行的技術方法，特別適用于對內部控制的評審中，通過對一筆或若干具體業務的穿行測試，可以比較直觀有效的反映一個或若干業務流程的內部控制情況。

(三)證據檢查法

證據檢查法是內控評審工作最重要的檢查方法之一。評審人員在運用抽樣、穿行測試等評審方法時，要求被評審單位在限定的時間內，提供被評審業務主要控制點對應的相關資料，如憑證、賬簿、報表、借據、協議合同等等。通過對這些書面證據的檢查，驗證各項控制措施在實際業務操作中是否得到了有效的貫徹執行。

(四)壓力測試法

即測試被評審單位關鍵業務處理程序和控制措施能夠承受的壓力程度以及在承受相應壓力時所發揮的作用。

(五)流程圖法

流程圖法主要用于內部控制系統的健全性和合理性測試，即利用符號和圖形來表示被評審單位組織結構、職責分工、權限、經營業務的性質及種類，各種業務處理規程、各種會計記錄等內部控制狀況的示意圖。流程圖法的運用可以使評審人員清晰地看出被評審單位內部控制系統如何運行，業務的風險控制點和控制措施，有助于發現各內部控制系統的缺陷和評審重點。

四、內部控制評價標準與結果

評審組在現場評審結束后，應依據內部控制評價標準，對被評審單位進行綜合評價并出具評審報告。綜合評價應堅持定性分析與定量分析相結合的原則，做到量化合理、定性準確。在對各項評審內容嚴格審查、測試和初步評價的基礎上，應對單位整個內部控制系統的健全性、合理性以及執行的有效性做出全面評價，內部控制的評價標準也就是內部控制是否健全、是否合理適用以及執行是否有效的問題。

(一)內部控制的健全性

內部控制的健全性是指單位根據生產經營管理的自身需要，應設置的內部控制系統的內容都比較完備，而且所設置的內部控制系統對單位的生產經營管理活動的全過程能進行自始自終的控制。健全性評價可依據評分分為優、良、基本健全、不健全四個級次。

(二)內部控制的合理性

內部控制的合理性主要是指內部控制設計和執行時的適用性、合規性、經濟性，它是在健全性的基礎上對單位內部控制更深一層次的要求，評審組根據對內部控制評審內容的測試結果做出評價。合理性評價同樣可依據評分分為優秀、良好、基本合理、不合理四個級次。

(三)內部控制的有效性

內部控制的有效性是指設計比較健全、比較合理的內部控制在單位的生產經營管理過程中，能夠得到貫徹執行并發揮作用，實現其為單位提高經營效率、規避財務風險和經營風險、遵循國家法律法規提供合理保證的目標。有效性是內部控制的精髓，評審組應根據對內部控制評審內容的測試結果，對各項業務目標是否能夠實現，各項業務風險的評估與規避情況如何，內部控制所起到的作用與效果如何等等做出評價。有效性的評價同樣可依據評分分為優秀、良好、基本有效、無效四個級次。

五、結束語

客觀地講，再好的制度也有它的局限性，單位內部控制也是如此，再者，制度的制定和執行都是由人來完成的，在單位內部控制系統中，不管是單位的管理者還是一般員工，他們既是內部控制的執行者，又是各個控制環節的被控制對象，其觀念、素質和責任意識都影響著內部控制的效率和效果。另外，內部控制是單位管理的一部分，它是一個動態的管理過程，是在不斷發展變化的，且內部控制評審對我國單位來說尚處在初級階段，因此需在實踐中積極借鑒國外先進或成功的經驗與做法，但不能照搬照套，應緊密結合未來發展變化的情況，與時俱進，對其不斷地加以總結、改進和提高。

[1]中國注冊會計師協會《內部控制審核指導意見》

[2]中國注冊會計師協會《獨立審計具體準則第9號——內部控制與審計風險》

[3]中國注冊會計師協會《審計》中國財政經濟出版社2005年

[4]中國內部審計協會《內部審計具體準則第5號——內部控制審計》