【摘要】 企業(yè)內(nèi)部控制框架提供了一個有效內(nèi)部控制系統(tǒng)的模板，也是評價內(nèi)部控制有效性的標準，但是，根據(jù)內(nèi)部控制框架或標準對內(nèi)部控制有效性進行評價，卻可以選擇不同的起點或切入點。使用不同的評價思路和方法，即詳細評價法和風險基礎評價法是目前采用的兩種主要方法，各有優(yōu)勢和特點。

　　【關鍵詞】 內(nèi)部控制；詳細評價法；風險基礎評價法

　　評價企業(yè)內(nèi)部控制的有效性實質(zhì)是評價內(nèi)部控制為相關目標的實現(xiàn)提供的保證水平是否達到或超過合理保證的水平。如果保證的水平處于有效內(nèi)部控制的區(qū)間內(nèi)，則內(nèi)部控制是有效的，如果保證的水平低于合理水平，則內(nèi)部控制是無效的。從另一個角度來看，就是評價相關目標的風險在經(jīng)過內(nèi)部控制之后是否已經(jīng)降低到了一個適當?shù)乃?，如果已?jīng)降到了一個適當?shù)乃?，則內(nèi)部控制是有效的；反之，則無效。從內(nèi)部控制評價本身以及目前的發(fā)展情況來看，主要存在詳細評價法和風險基礎評價法兩種方法。

　　一、詳細評價法

　　在《企業(yè)內(nèi)部控制——整合框架》中，COSO指出，確定某一內(nèi)部控制系統(tǒng)是否有效是一種在評估五個要素是否存在以及是否有效發(fā)揮作用基礎上的主觀判斷，這些要素也是有效內(nèi)部控制的標準。COSO還指出，認定一個主體的企業(yè)風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷，構成要素也是判定企業(yè)風險管理有效性的標準。在美國證券交易委員會2003年6月通過的實施SOX法案404節(jié)的規(guī)則（SEC，2003）以及后來發(fā)布的管理層評價指南中，都強調(diào)內(nèi)部控制評價的程序必須足以既能評價財務報告內(nèi)部控制的設計，又能測試運行的有效性。因此，遵循這個思路，很多企業(yè)和事務所都曾經(jīng)采用過詳細評價法。這種方法的基本思路是：以內(nèi)部控制框架或標準為參照物，根據(jù)內(nèi)部控制框架的構成要素是否存在評價內(nèi)部控制的設計有效性，測試內(nèi)部控制的運行有效性，最后綜合設計和運行的評價對內(nèi)部控制的有效性做出總體評價，評估內(nèi)部控制目標實現(xiàn)的風險，判斷是否存在重大漏洞（material weaknesses，MW），確定內(nèi)部控制是否有效。詳細評價法的邏輯和程序如圖1所示：

　　這種思路和方法在企業(yè)最初進行內(nèi)部控制建設或日常的評價中應用較多。此外，在SOX法案開始實施時，企業(yè)的管理層在評價內(nèi)部控制以及注冊會計師審計內(nèi)部控制時，基本上都是遵照美國公共公司會計監(jiān)督委員會在2004年發(fā)布的第2號審計準則（PCAOB，2004）執(zhí)行的，采用的基本上也是這種思路。當然，在具體的運用上，不同的企業(yè)和事務所又略有不同。

　　這種思路和方法的特點是從控制到風險，即從內(nèi)部控制到相關目標實現(xiàn)的風險。這種評價思路和方法首先要根據(jù)現(xiàn)有的內(nèi)部控制框架評價企業(yè)內(nèi)部控制的設計和運行，識別出控制缺陷，然后判斷是否為實質(zhì)性漏洞，從而判斷內(nèi)部控制的有效性。評價運行有效性可以采用測試的方法確定相關的內(nèi)部控制是否得到了有效實施，從理論和實務上來說不存在太大的問題，而評價設計的有效性在該方法中則是對照內(nèi)部控制框架或標準進行的，所以，最關鍵的問題是如何對照企業(yè)內(nèi)部控制框架或標準確定內(nèi)部控制設計的有效性。這種對照內(nèi)部控制框架或標準判斷設計有效性的思路應當是來自于COSO的《企業(yè)內(nèi)部控制——整合框架》等報告中提出的控制的完整性概念。COSO在這個報告中明確指出，內(nèi)部控制框架的這些組成要素和標準適用于整個內(nèi)部控制系統(tǒng)，或者是一類或多類目標。當考慮任何一類目標的控制時，例如有關財務報告的控制，所有五個要素都應該滿足才能得出有關財務報告的控制是有效的結論。但是，內(nèi)部控制的組成要素之間具有相互補充、相互滲透的關系，盡管五個組成要素都應該被滿足，但是這并不意味著在不同的企業(yè)中每個組成要素都得到同樣的執(zhí)行。不同組成要素之間存在某種平衡，因為內(nèi)部控制能夠滿足多個目標，一個組成要素中的控制可能會滿足另外一個組成要素范疇內(nèi)的控制需要實現(xiàn)的目標。而且，控制降低風險的程度是不同的，所以，效果有限的多個控制一起實施可以達到滿意的效果。

　　鑒于上述原因，盡管內(nèi)部控制的框架或標準描述了一個有效的內(nèi)部控制系統(tǒng)所應當具備的構成要素，如果采用簡單的一一對應的方法對照內(nèi)部控制框架來評價內(nèi)部控制設計的有效性，就有可能產(chǎn)生兩個問題：一個是成本高，效率低；另一個是評價結論的不可靠性。內(nèi)部控制框架或標準描述這些構成要素時，是把企業(yè)抽象成一個主體，并沒有考慮企業(yè)所處的國家、所處的行業(yè)、企業(yè)的規(guī)模等特定的因素，其目的是構建一個通用的內(nèi)部控制標準和參照物。但是，并不是所有的企業(yè)（如不同規(guī)模的企業(yè)、不同行業(yè)的企業(yè)）都必須具備與內(nèi)部控制框架或標準完全一樣的內(nèi)部控制才算是有效，而且，這個框架中的所有要素涉及的控制與內(nèi)部控制目標的相關性和對內(nèi)部控制目標的重要性是不同的。因此，一一對應的對照內(nèi)部控制框架或標準評價內(nèi)部控制設計的有效性必定會評價了過多的、不必要的控制，導致成本高而效率低，這一點已經(jīng)在美國上市公司過去幾年實施SOX法案的經(jīng)歷中得到了體現(xiàn)。同時，有效的內(nèi)部控制并不要求所有的要素同等程度的存在，因為內(nèi)部控制要素本身具有一定的相互補充性和相互替代性，存在某種程度的平衡，并且這種替代或平衡在很多情況下并不能確切地衡量，也不能準確地體現(xiàn)在內(nèi)部控制的框架或標準中。所以，一一對應的對照內(nèi)部控制框架或標準評價內(nèi)部控制設計的有效性必定會出現(xiàn)評價結論的偏差：按照內(nèi)部控制框架或標準評價可能是一個缺陷，但是，實際上卻是有效的，這一點很明顯地體現(xiàn)在了不同規(guī)模企業(yè)內(nèi)部控制的評價上。為此，美國COSO于2006年發(fā)布了《較小規(guī)模公眾公司財務報告內(nèi)部控制指南》。

　　根據(jù)內(nèi)部控制框架或標準評價內(nèi)部控制本身并沒有錯，但是，內(nèi)部控制的框架或標準本身是一個通用的框架，更多地關注內(nèi)部控制的“What and Why”，即使是COSO 2006年發(fā)布的《較小規(guī)模公眾公司財務報告內(nèi)部控制指南》也“主要被設計用于幫助管理者建立和保持有效的財務報告內(nèi)部控制”，盡管這些框架或標準提供了評價有效性的標準，但不夠細致，不足以說明如何完成內(nèi)部控制有效性的評價。所以，這個思路如果用于內(nèi)部控制的建立和保持應當是比較適合的，而如果用于內(nèi)部控制有效性的年度評價則并不是十分恰當，這一點在美國上市公司過去幾年的經(jīng)歷中得到了充分的體現(xiàn)。

　　二、風險基礎評價法

　　企業(yè)內(nèi)部控制的另一種思路和方法不是從控制到風險，而是從風險到控制，即從內(nèi)部控制相關目標實現(xiàn)的風險到內(nèi)部控制。首先，要評估相關目標實現(xiàn)的風險；其次，識別和確定企業(yè)充分應對這些風險的內(nèi)部控制是否存在，即評價內(nèi)部控制的設計應對相關目標實現(xiàn)風險的有效性；第三，識別和確定內(nèi)部控制運行有效性的證據(jù)，評價現(xiàn)有的控制是否得到了有效的運行；最后，對控制缺陷進行評估，判定是否構成實質(zhì)性漏洞，確定內(nèi)部控制是否有效。對于不同的目標來說，目標風險的含義、內(nèi)部控制重大漏洞的含義是不相同的，在評價每一類目標時都需要做具體設定。風險基礎評價法的邏輯和程序如圖2所示：

　　“自上而下”和“風險基礎”的理念在這種方法中得到了充分的體現(xiàn)。“風險基礎”主要體現(xiàn)在：以評估控制目標實現(xiàn)的風險為起點；關注重要的財務報告和披露風險與問題；僅評價充分應對風險的控制；證據(jù)的獲取和場所的選擇根據(jù)風險評估的結果；評價結論（內(nèi)部控制是否有效）也是風險基礎的，判斷內(nèi)部控制是否有效也是以內(nèi)部控制是否很可能防止或發(fā)現(xiàn)財務報表中的重要錯報為依據(jù)的。“自上而下”主要體現(xiàn)在：從財務報表整體開始，然后到賬戶、披露；從公司層面的控制開始，然后到活動層面的控制。美國證券交易委員會和公共公司會計監(jiān)督委員會2007年6月分別發(fā)布的管理層報告內(nèi)部控制的指南（SEC,2007）和內(nèi)部控制審計準則（PCAOB，2007）都采用了這一思路。

　　風險基礎評價法與詳細評價法的區(qū)別類似于財務報表的詳細審計與財務報表的風險基礎審計，主要體現(xiàn)在以下幾個方面：

　　第一，風險基礎法首先評估實現(xiàn)內(nèi)部控制相關目標的風險，根據(jù)風險評估的結果對照企業(yè)的內(nèi)部控制，參考內(nèi)部控制框架來判斷企業(yè)內(nèi)部控制設計的有效性。這樣做的好處是：一方面，可以充分考慮企業(yè)特定的情況，避免與內(nèi)部控制框架的簡單核對，具有更好的成本效益性和更廣泛的適用性和靈活性；另一方面，關注最重要的風險，提高了評價的成本效益和效率。

　　第二，風險基礎法在確定內(nèi)部控制的測試范圍和收集證據(jù)時也是以風險評估為基礎的，這樣同樣可以提高評價的成本效益和效率。

　　第三，風險基礎法需要更高程度的專業(yè)判斷。無論是評價內(nèi)部控制設計的有效性，還是測試內(nèi)部控制運行的有效性都是根據(jù)最初的風險評估和后續(xù)的風險評估進行的，這與詳細評價法下根據(jù)一個確定的框架來評價相比需要更高程度的專業(yè)判斷。

　　三、結論

　　比較上述兩種評價方法的優(yōu)劣以及從國際發(fā)展的總體趨勢來看，風險基礎的內(nèi)部控制評價方法必然是未來的發(fā)展方向，因為無論是基于成本效益的考慮，還是與企業(yè)的實際情況相結合，從確保評價的合理性來說，風險基礎評價法都比詳細評價法具有明顯的優(yōu)勢。但是，值得注意的是，風險基礎評價法比詳細評價法對企業(yè)管理層和審計人員的要求要高得多。在詳細評價法下，管理層和審計人員更多的是在做一種核對和檢查的工作，直接對企業(yè)的經(jīng)營管理和內(nèi)部控制的判斷相對不多。而在風險基礎法下，管理層和審計人員需要做出很多的判斷，比如，需要識別與企業(yè)控制目標相關的風險，識別相關的控制以及判斷相關控制是否充分。所以，采用風險基礎評價法要求管理層和審計人員具有更高的專業(yè)技能，必須在企業(yè)內(nèi)部控制與風險管理方面具有非常專業(yè)的基礎知識和判斷能力，才能更加有效地完成內(nèi)部控制的評價，提供一份可靠性較好的內(nèi)部控制評價報告。

　　【主要參考文獻】

　　[1] COSO，Enterprise Risk Management-Integrated Framework，2004，（9）.

　　[2] PCAOB，Auditing Standard No 5 –An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，2007，（5）.

　　[3] SEC，Management's Report on Internal Control Over Financial Reporting，2007，（5）.