一、企業內部控制評價標準的性質與內容
(一)企業內部控制評價的目標
簡單地講,企業內部控制評價的目標就是評價企業內部控制的有效性。而內部控制的有效性從根本上來講是要根據內部控制目標的實現來判定的。而內部控制的有效性又具有時點性、互補性和完整性等特徵。
(二)企業內部控制評價標準的性質和內容
內部控制的有效性,要從其目標的實現情況進行界定。鑑於內部控制目標實現程度的侷限性,對內部控制有效性的判斷在現實情況下沒有選擇從結果理性的角度直接評價內部控制目標的實現情況,而是從過程理性的角度出發判斷內部控制的設計和執行的有效性。因此,企業內部控制評價標準要解決的問題就是:什麼樣的內部控制才是有效的內部控制?如果把評價方法也包括在內的話,還要包括如何評價的問題,即評價的方法。當前,對這一問題的解決方法是設計內部控制的一個框架體系,即首先確定內部控制的範圍和目標,然後確定一個有效內部控制應當具備的要素,如COSO的《內部控制——整合框架》、Turnbull指南等都是這樣一個基本的思路。因此,在制定一個特定背景(如國家)下的內部控制標準時,必然面臨的問題是要確定:企業內部控制的範疇與目標;內部控制應當包含的要素;這些要素之間的邏輯關係。而這些在很大程度上面臨著不確定性和選擇的問題,從而也就引發出另一個問題:什麼樣的評價標準才是適當的。
(三)內部控制評價標準的適當性
一個適當的內部控制評價標準至少應當滿足以下條件:
1.相關性。與所要評價的內部控制的目標相關。
2.沒有偏見。制定過程遵循了透明的程式並保持更新。
3.一致性。可以適當一致地、定性和定量地衡量公司的內部控制,在類似的環境下付出同樣的努力實施的評價會得出大致相似的風險、測試結果和結論。
4.可驗證性。有適當的評價軌跡,沒有參與評價的人能夠沿著這個軌跡重複評價或評估評價過程。
5.充分完整。沒有忽略會改變公司內部控制有效性結論的相關要素。
按照這些條件,COSO內部控制框架、企業風險管理框架和Turnbull指南都是適當的內部控制框架或評價標準。
(四)企業內部控制評價標準的體系和分類
由於不同規模企業的內部控制差別較大,所以,評價標準的設計應當考慮企業規模對內部控制的影響。按照適用企業的規模可以分為適用於一般企業的內部控制評價標準和適用於小規模企業的內部控制標準。
從內部控制評價的整個過程來看,不但要明確什麼樣的內部控制是有效的內部控制,還要明確如何有效地評價內部控制的有效性。因此,評價標準的整個體系要分為內部控制的評價標準和內部控制評價實施的標準或規範。
從內部控制涵蓋的範圍來看,針對範圍大小不同的內部控制,可以分為企業財務報告內部控制、企業內部控制和企業風險管理的評價標準等。
二、美英企業內部控制評價標準的體系及特點
(一)美國上市公司的內部控制評價標準體系
儘管美國SEC基於靈活性的考慮並沒有制定內部控制的評價標準,而是規定了評價標準適當與否的條件,但指出COSO的內部控制框架為適當的標準,PCAOB也以此制定審計準則,從總體上來看,形成了一個層次清晰的體系。
1.評價標準。根據適用企業的規模與內部控制的內容分為:
(1)COSO《內部控制——整合框架》:適用於一般企業,涉及經營、財務報告和合規三類目標。它由COSO釋出,包括5個要素,得到了公司管理層、審計師的認可和廣泛應用,也得到了SEC和PCAOB的認可,適用於一般上市公司。它提供了一個識別內部控制要素和目標的整合框架和評價有效性的標準,但沒有對評價過程中必須遵循的步驟提出詳細的指南。
(2)COSO《財務報告內部控制——小規模公眾公司指引》:適用於小規模企業,涉及財務報告的可靠性一類目標。它由COSO釋出,主要基於內部控制評價的成本效益性考慮,適用於小規模企業財務報告內部控制的評估,它有與《內部控制——整合框架》相一致的原則和特徵,內部控制框架不變。目的是應對財務報告目標的唯一需求,但許多原則和特徵適用於所有三類控制目標。主要內容包括5個要素,20條原則和79個屬性。
(3)COSO《企業風險管理——整合框架》:適用於一般企業,涉及戰略、經營、財務報告和合規四類目標。它由COSO釋出,包括八個要素,在範圍上風險管理包括內部控制;在構成上,以“內部環境”取代“控制環境”,體現風險管理的理念,拓展風險評估要素,進一步細分為目標設定、事項識別、風險評估和風險應對四個要素。
2.評價實施標準,用來規範、指導如何評價和審計內部控制,它包括:
(1)COSO《內部控制——整合框架》中的內部控制要素評估工具。COSO在釋出《內部控制——整合框架》的同時釋出的內容,它對於內部控制的評價具有一定的指導作用。
(2)SEC釋出的管理層評價內部控制的解釋性指南。SEC指出,上市公司的管理層按照這一指南實施的內部控制評價能滿足SEC相關規則的要求,因此,它應當是半強制性的。
(3)PCAOB釋出的內部控制審計準則。PCAOB釋出的內部控制審計準則是註冊會計師在審計上市公司的內部控制時必須遵守的規則,它是強制性的。
(二)英國上市公司內部控制評價的標準
英國上市公司內部控制評價的標準具有高度的原則性和市場導向,沒有提出非常具體的要求,只有一個Turnbull指南對內部控制評價標準進行了原則性規定,但包含了許多規制方面的內容。Turnbull指南具有以下特點:
1.既要幫助公司遵守《聯合規則》有關內部控制的要求,又要反映優良的'業務實踐,不限制公司以適合其特定情況的方式應用指南的能力。
2.涵蓋所有內部控制,而不僅僅是財務方面的。
3.高層次和原則導向,使用風險基礎方法。
4.指出有效內部系統的構成要素包括:控制活動;資訊與溝通過程;監督內部控制系統持續有效性的過程。
5.只給出一些在控制風險時應當考慮的原則,並沒有規定應該實施哪些步驟和程式。一方面,這些原則很難變成直接的行動指南,可操作性不強;另一方面,採用原則的形式使之具有充分的彈性,公司可以根據變化的業務環境對這些原則進行取捨,以實施、強化和整合其風險控制戰略。
6.不要求董事會對內部控制的有效性做出對外報告。
7.不要求外部審計師審計內部控制。
8.“遵守或解釋”原則,可以不遵守相關要求,只需說明原因。
COSO內部控制框架與Turnbull指南的比較如下表所示:
三、我國企業內部控制評價標準體系的設計
(一)我國企業內部控制評價標準的總體設計思路
基於上述理論分析和比較研究,我國企業內部控制評價標準的總體設計思路應當是:
1.將內部控制定位於廣義的內部控制。選擇戰略、經營、報告和合規的四目標模式,以保證廣泛的適用性、企業管理的實用性與內部控制發展的前瞻性。
2.從企業經營管理的實際出發,以最佳實踐為基礎,充分滿足企業戰略管理和經營管理的需要,提高其對企業的價值,避免僅僅成為一種法規的遵循。
3.應當考慮規模不同企業內部控制的差異,優化標準的可伸縮性,以提高效率和成本效益。
4.原則基礎。為了保證標準的適用性以及允許企業有充分的靈活性,無論是評價標準還是評價實施指南都應當是原則性的。
5.建立完整的內部控制標準體系。從大的方面可以分為內部控制評價的標準和內部控制評價(審計)實施的標準。
(二)我國企業內部控制評價標準體系的設計
我國企業內部控制評價標準體系總體上包括兩個組成部分:內部控制評價的標準和內部控制評價(審計)實施的指南。
1.內部控制評價的標準
我國企業內部控制評價的標準應當包括:
(1)《企業內部控制基本規範》,將其作為內部控制評價的一般標準,適用於上市公司及大型企業。
(2)《小企業內部控制基本規範》,將其作為適用於中小型企業內部控制評價的一般標準,可在《企業內部控制基本規範》的基礎上考慮中小型企業的特點作適當修改。
2.內部控制評價(審計)實施的標準
我國企業內部控制評價(審計)實施的標準應當包括:
(1)《企業內部控制評價規範》。將其作為企業管理層評價內部控制的實施指南,對內部控制評價的基本方法和程式進行指導。
(2)《中國註冊會計師審計準則第X號——內部控制審計》,用來規範和指導註冊會計師對內部控制的審計。