○蒲晓燕 陈惠芬

（武汉光谷联合股份有限公司 湖北 武汉 430073）

企业内部控制评价体系研究

○蒲晓燕 陈惠芬

（武汉光谷联合股份有限公司 湖北 武汉 430073）

本文分析了内部控制理论的各个发展阶段，并概述了企业内部控制自我评估，最后构建了我国上市公司内部控制的综合评价体系。

内部控制 CSA 评价体系

一、内部控制概述

内部控制（Internal control）是社会经济发展到一定阶段的产物，其内容是随着公司对内强化管理，对外满足社会需要而不断丰富和发展的。著名学者塞缪尔·约翰逊将其定义为“由另一个职员保管的登记薄或账册，可由他人逐项检查”。

1949年，美国注册会计师协会审计程序委员会发表的《内部控制——一个协会系统的要素及其对管理层和注册会计师的重要性》中最早给出内部控制的定义：“内部控制包括组织机构的设计和公司内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护公司的财产，检查会计信息的准确性，提高经营效率，推动公司坚持执行既定的管理政策。”1958年10月该委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述，并将内部控制划分为会计控制和管理控制。

20世纪80年代至90年代是内部控制结构阶段。20世纪80年代以后，西方会计审计界对内部控制研究的重点逐步从一般涵义向具体内容深化。1988年美国注册会计师协会发布的《审计准则公告第55号》，从1990年1月起取代1972年发布的《审计准则公告第1号》。该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。这一时期内部控制理论将控制环境纳入控制范围，不再区分会计控制和管理控制，使内部控制内涵得到扩展。

进入20世纪90年代后，内部控制的研究进入了一个新阶段，内部控制也发展到了内部控制整体框架阶段。1992年美国“反对虚假财务报告委员会”下属的COSO委员会发布了“内部控制—整体框架”报告，即“COSO报告”。1996年美国注册会计师协会全面接受COSO报告的内容，发布了《审计准则公告第78号》，将内部控制定义为：“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。”该准则将内部控制划分为五种成份，它们分别是控制环境、风险评估、控制活动、信息与沟通、监督。

每个发展阶段所处的时间和内部控制的定义、定义的出处及其特点，可以归纳为表1。

表1 内部控制的发展

对上述内容及表1进行分析，从内部控制的范围来看，可以看出内部控制经历了由“部分控制论”向“全面控制论”的发展过程。

二、企业内部控制自我评估（Control Self As-sessment，CSA）概述

1、CSA的含义及发展过程

CSA是指企业定期或不定期地对其内部控制系统的有效性及其实施的效率效果进行评估。CSA是一种在西文国家中广泛使用的内部审计技术，它是由管理层和业务人员直接参与的过程，其目的是确保内部控制系统的恰当性和有效性，为组织目标的实现提供合理的保证。

CSA最早是由加拿大海湾公司在1987年首次提出的，其独创的理论受到国际内部审计师协会的赞许和推广，其工作方法逐步在全球得到广泛的应用。CSA最主要的发展阶段是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下的财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。

如今，世界上越来越多的公司和组织已经或正式实施一些成功的CSA计划。例如美国联邦存款保险公司和加拿大存款保险公司要求美国和加拿大金融机构评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。安永、德勤等会计师事务所也都各自开发了关于实施CSA的软件。国际内部审计师协会还专门成立了CSA中心。

2、CSA的特征

（1）CSA是一种自发的由控制成员全员参与的评估运营程序。CSA把传统的由仅由内部审计人员从事的内部控制评价，发展成为由各部门参与作业的人员亲自参与内部控制评估的共同事情。内部控制评估不只是内部审计部门人员的责任，也不只是高级管理层应该关心的问题。全员评价、全员控制，实现了内部控制质的飞跃。

（2）CSA是一种系统化的评估运营程序。CSA系统化主要体现在两个方面。一方面，是评价方式的系统化，由引导会议、问卷调查法和管理结果分析法等方法相结合来实施，使评价更系统、更有效。另一方面，是评价内容的系统化，CSA控制过程还包括公司治理、经营理念、职业道德、沟通、人力资源政策和文化等一系列涉及内部控制环境的环节，使评价更客观、更全面。

（3）CSA是一种更高层次的评估运营程序。传统的内部控制评价方法只能用来评价诸如财务报告、资产与记录的接触、使用与传递、授权授信、岗位分离、数据处理与信息传递等“硬控制”。CSA迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等“软控制”。

3、CSA的作用

（1）改善控制环境。企业的所有成员都对内部控制负有相应的责任，利用CSA可以起到有效教育并帮助管理人员明确并自愿承担其责任的作用。CSA还能通过影响一般员工来对控制环境产生积极的贡献。

（2）提高内部审计效率。从内部审计管理的角度看，有效地利用CSA结果可优化审计作业流程，提升审计方案质量，从而提高审计效率。

（3）节约外部审计资源。外部审计人员，如注册会计师在会计报表审计过程中可以利用CSA获得的大量信息和评估结果来评价控制风险，有助于简化控制测试程序，提高工作效率，相对减少实质性测试程序和降低审计风险，节约审计资源。

4、内部控制评价标准

受COSO报告的影响，很多国家及各专业团体仿效COSO对内部控制进行了重新研究，并采纳其最新理念，发布了自己的文告，形成了自己的内部控制评价标准体系。我国当前的内部控制评价标准体系的建立应当以前瞻性原则与务实性原则为指导，既要借鉴国际上先进的研究成果，又要结合我国的现实情况，这样才能真正发挥其加强公司内部管理、推动独立审计事业发展及为市场经济服务的作用。

内部控制评价标准体系可以定义为：属于内部控制评价标准范畴的有关事物相互联系相互制约而构成的一个内涵与外延相互统一的整体。以西方内部控制评价标准理论与实务为基础，结合我国国情，从内部控制要素入手，将内部控制评价标准划分为一般标准和具体标准两部分，一般标准以具体标准为基础，同时也是具体标准的升华，二者相辅相成，缺一不可，共同构成一个完整的体系。内部控制评价的一般标准，是指应用于内部控制评价的各个方面的标准，即内部控制制度整体运行应遵循和达到的目标。内部控制评价具体标准是指应用于内部控制评价具体方面的标准，是具体内部控制制度运行应遵循和达到的目标。内部控制评价的具体标准还可以分为三个层次：第一层次是内部控制要素评价标准；第二层次是内部控制要素类别评价标准，要素类别是控制要素的细化；第三层次是内部控制具体细节评价标准。借鉴美国COSO报告的研究成果，内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个。每一个要素又可以再分为更多的项目，例如控制环境要素涵盖的项目就有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分派体系、人力资源政策及实行等。

5、内部控制的评价程序

内部审计部门在进行内部控制的评价时，可以借鉴注册会计师对被审计公司的程序、方法等。内部审计部门采用的内部控制评价程序和外部审计的评价程序相似，第一步是调查了解公司内部控制的现状；第二步是进行健全性测试和评价，评价内部控制的完整性；第三步是进行符合性测试和评价，评价内部控制的有效性；第四步是根据这两个阶段评价结果进行的后续评价也可以称为综合评价，评价整个公司内部控制的情况；第五步是出具内部控制评价报告。内部控制的评价程序如图1所示。

图1 内部控制的评价程序

三、我国上市公司内部控制的综合评价

1、构建基本原则

（1）全面性和系统性原则。全面性原则要求选择的指标要能涵盖内部控制的各个方面。系统性原则要求指标体系的设计要力求科学、系统、准确地反映公司内部控制指标之间的关系和层次结构。

（2）可操作性原则。内部控制评价指标的选取应具有可操作性。内部控制是公司经营过程的规范程序和控制约束。公司中内部控制成功与否直接影响经营业绩好坏。对内部控制评价指标的数量要尽可能地少而精，便于评判人员操作。同时也要能概括内部控制的真实状况。

（3）前瞻性原则。内部控制评价指标中应考虑公司知识资本等新经济元素的控制利用程度。经济发展不断将新的要素加入内部控制的范畴中，企业文化、知识技术水平对经营成效的影响很大程度上是对企业长期效益的影响。在建立内部控制评价指标体系时应具有前瞻性，评价中应对知识资本、人力资源、文化环境等因素对内部控制和公司的影响给予充分考虑。

（4）成本效益和重要性原则。企业加强实施内部控制必定要消耗资源，但企业的管理控制资源是有限的，因此对内部控制的评价应遵循成本效益和重要性原则。随实践的发展可供评价的因素不断扩大，应抓住公司内部控制的关键环节进行评价。在选取评价指标时应随具体环境和评价目的的不同有所侧重，遵循重要性原则，选取合理数量的评价指标，对结果采用相对分析方法，允许评价结果在标准值一定范围内发生波动。

2、内部控制综合评价指标体系

上市公司内部控制指标体系的设计要根据以上原则来建立。COSO报告所包含的内部控制内容是目前最为完善的，并且我国很多上市公司内部控制要素采用COSO“五要素”。结合前面分析的影响我国上市公司内控现状的一些因素，按全面性系统性等原则选用五要素即控制环境、风险评估、控制活动、信息与沟通、监督。针对上述五要素，分别运用完整性和有效性，并设置相应的评分标准，根据不同要素重要性的不同进行加权，从而得出内部控制综合评分。

（1）完整性评价标准。将内部控制的完整性程度分为“完整”、“基本完整”、“不够完整”、“不完整”四个等级，用来作为内部控制设计完整性的评价标准。“完整”表示各项内部控制制度全面、完整，覆盖所有的业务领域和操作环节，适应业务发展和风险防范的需要，符合国家的金融法律和监管部门的规章制度。“基本完整，表示重要业务领域均制定了相应的内部控制制度，基本适应业务发展和风险防范的需要，但部分内部控制制度的操作性、指导性不强，个别业务领域和管理环节缺少内部控制制度。“不够完整”表示内部控制制度不够全面，部分重要业务领域或操作环节缺乏相应的内部控制或存在缺陷，不利于业务发展和风险防范的需要，可能影响上市公司安全运营或造成损失。“不完整”表示内部控制制度存在严重缺陷，重要业务领域或操作环节缺乏相应的内部控制，业务发展缺乏管理控制，潜在风险已影响上市公司的安全运行。

（2）有效性评价。将内部控制的有效性程度也分为“有效”、“基本有效”、“不够有效”、“无效”四个等级，用来作为内部控制执行有效性的评价标准。“有效”表示各项内部控制得到认真贯彻执行，所有业务领域和操作环节所承受的风险得到有效的控制，内部控制能有效地发现、管理、控制各种风险，并且与上市公司规模和业务发展相适宜。“基本有效”表示各项内部控制制度基本得到贯彻执行，重要业务领域和操作环节所承受的风险得到控制，但有局部违章操作现象。“不够有效”表示所设计的内部控制制度基本没有得到认真执行，导致部分重要业务领域或操作环节的风险未得到有效控制，或存在的内部控制缺陷或违章操作，可能引致风险，若不采取措施可能对上市公司的安全运行带来严重影响。“无效”表示所设计的内部控制没有得到有效执行，内部控制有效性存在严重问题，不能有效防范和控制重大风险，很可能导致管理失控或业务损失，并危及上市公司的安全运行。

3、内部控制综合评价的步骤及方法

内部审计人员对上市公司内部控制综合评价是从定性评价到定量描述，又从定量描述到定性评价的这样一个过程。如图2所表达的那样，上市公司内部控制综合评价是从局部的定性评价到局部的定量描述；又从局部的定量描述到整体的定量评价；最后从整体的定量描述得出整体的定性评价结论。在这整个评价过程中都需要内部审计人员的专业判断。

图2

第一步，内部审计人员通过健全性测试和符合性测试完成了对各项具体的内部控制的测试和评价之后，应按上一节中设计的内部控制评价内容指标，将各项具体的内部控制进行完整的归类，即从内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面，分别系统地按内部控制的设计和执行进行整理。

第二步，分析整理资料，判断内部控制中内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面的完整性程度和有效性程度，并运用已设计的内部控制评价标准对其进行定性评价。在对内部控制系统各要素从设计和执行两个方面进行定性描述的过程中特别需要内部审计人员的专业判断。

第三步，运用矩阵法分别对公司内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面进行评分。通过矩阵及打分法将第二步对五项要素设计和执行两个方面的定性评价转化为定量描述。

第四步，根据第三步确定的各要素的评分，计算上市公司内部控制的综合评分。内部控制的综合评分是各要素评分的加权平均值。内部审计人员将这个加权平均值作为内部控制综合评分。到此为止，内部审计人员对内部控制系统仍是定量的描述，这一步是对上市公司内部控制母系统的定量描述（第三步是对各子系统的定量描述）。

第五步，根据前四步内部控制各要素的评分，分析出内部控制的薄弱环节；根据对内部控制系统的综合评分，分析出公司内部控制的整体情况，然后出具包括综合评价结果及建议的书面报告，从而完成整个内部控制的综合评价过程。