福建福州市馬尾區(qū)公安邊防大隊 余洪貴

近年來，國內相關機構和企事業(yè)單位順應單位管理的內在需要，逐步引入了內部控制及內部控制評審的理論，組織開展了一系列理論研究和實務探索，取得了一定成果。本文以內部控制評價為目標，以內部控制要素的評審為基礎，以內部控制系統(tǒng)的業(yè)務流程測試檢查為手段，對內部控制評審的內容、程序、方法、評價標準等進行了初步探討。

一、內部控制、內部控制評審的定義

(一)內部控制的定義

在西方國家，內部控制的概念具有歷史性，內部控制（Internal Control）一詞，最早出現(xiàn)在1936年美國會計師協(xié)會發(fā)布的《注冊會計師對財務報表的審查》文告中。之后，隨著內部控制理論以及認識的不斷發(fā)展，至二十世紀的七十年代在美國以及其他一些西方國家和組織，內部控制概念的內涵和外延也都發(fā)生了較大的變化，內部控制理論由最初的“內部牽制理論”階段，發(fā)展到“內部會計控制與內部管理控制”時期。

1992年，美國反欺詐性財務報告委員會的主辦機構委員會 （即COSO委員會）發(fā)布了《內部控制——整體框架》報告，即著名的COSO報告，報告對內部控制的定義為：“內部控制是由單位董事會、經(jīng)理當局以及其他員工為達到財務報告的可靠性、經(jīng)營活動的效率和效果、相關法律法規(guī)的遵循等三個目標而提供合理保證的過程”。COSO報告同時認為內部控制包括內部控制環(huán)境、風險識別與評估、內部控制活動、監(jiān)督評價與糾正、信息交流與反饋等五個相互聯(lián)系的要素，這五大要素服務于上述三大目標。這也是目前比較成熟的內部控制理論，它受到了各國理論界和實務界的廣泛關注和普遍認可，國際內部控制理論也因此發(fā)展到“內部控制結構和內部控制整體框架理論”階段。此后，COSO報告也成為美國各界，乃至世界上許多國家和組織制定內部控制文件的依據(jù)。

在我國，許多部門、機構和行業(yè)也從自身需要出發(fā)對內部控制作出過定義，但大都是根據(jù)部門或行業(yè)不同要求而各有側重。本文所探討的內部控制和內部控制評審主要是基于COSO報告的定義。

(二)內部控制評審的定義

目前，國內外的理論界和實務界對內部控制評審的定義尚未形成統(tǒng)一的認識。COSO報告認為，在內部控制系統(tǒng)中，所有部門、崗位都在其中充當著角色。從內審的角度來看，內部控制評審是指以內審人員為主，吸收相關專業(yè)技術人員和專家參加的，對內部控制系統(tǒng)建設、實施情況進行的調查、測試、分析、審核和評價等系統(tǒng)性活動，主要測評內部控制系統(tǒng)是否健全、合理，以及執(zhí)行是否有效，以便進一步完善內部控制系統(tǒng)，改進控制方法和手段，降低控制成本，堵塞管理漏洞，提高內部控制效率，保證生產(chǎn)經(jīng)營管理活動有序、高效、健康地運行。

二、內部控制評審的內容

內部控制系統(tǒng)的設計不論是按部門、按項目，還是按業(yè)務流程，都是圍繞內部控制環(huán)境、風險識別與評估、內部控制活動、監(jiān)督評價與糾正、信息交流與反饋這五大要素進行的，因此內部控制評審也應是對內部控制五大要素的評審，評審的內容就是內部控制系統(tǒng)五大要素的各項內容是否健全、是否合理以及執(zhí)行是否有效。

(一)內部控制環(huán)境評審的內容

內部控制環(huán)境是內部控制的基礎，它是影響和制約其他控制要素發(fā)揮作用的重要因素。內部控制環(huán)境的評審是指對內部控制系統(tǒng)所依存的軟硬環(huán)境的各項因素運作狀況的健全性、合理性和有效性所進行的評審。評審的內容主要有：組織架構的建立、規(guī)范運作和分權制衡；內部控制系統(tǒng)中董事會的建立和完善責任，監(jiān)事會的監(jiān)督責任，高級管理層的執(zhí)行和完善責任；內部控制目標的建立、改進和實現(xiàn)；健康的企業(yè)文化建立情況和企業(yè)文化為內部控制提供適宜環(huán)境；人力資源政策和程序、人力資源日常管理情況等。

(二)風險識別與評估評審的內容

風險識別與評估是指識別和分析那些妨礙實現(xiàn)經(jīng)營管理目標的各項因素的活動，它包括風險識別和風險分析評估兩部分，對風險的分析評估構成了風險管理決策的基礎。

風險識別與評估的評審是指對來自內外部對生產(chǎn)經(jīng)營、財務報告、經(jīng)營管理目標有影響的各種風險的識別與評估情況所進行的評審。評審的內容是風險識別與評估機制及其運行是否健全、合理、有效，主要包括在經(jīng)營管理活動中風險的識別和評估是否充分、合理；識別和獲取適用法律法規(guī)要求的程序建立和執(zhí)行的情況；與風險識別和評估相對應的內部控制措施方案的內容及執(zhí)行情況等。

(三)內部控制活動評審的內容

內部控制活動是指為了確保經(jīng)營管理目標的實現(xiàn)，指導員工實施管理指令，管理和化解風險而采取的政策和程序，包括高層檢查、直接管理、信息加工、實物控制、確定指標、職責分離等。

內部控制活動的評審是指對為進行管理和化解風險而采取的控制活動情況所進行的評審。評審的內容是內部控制活動的健全性、合理性、有效性，主要包括所采取的控制措施和程序的健全、合理、有效程度；計算機系統(tǒng)環(huán)境下，為確保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；應急預案的建立和執(zhí)行、應急設備和設施的定期檢查情況等。

(四)監(jiān)督評價與糾正評審的內容

監(jiān)督評價與糾正是指由特定人員對一定時期的內部控制運行狀況進行評估和實施糾正的情況,可采取持續(xù)監(jiān)督和個別評估分別進行或兩者結合進行的方式。

監(jiān)督評價與糾正的評審是指對內部控制監(jiān)督評價與糾正機制及其運行情況是否健全、合理、有效所進行的評審，主要包括內部控制績效監(jiān)測程序建立和執(zhí)行；內部控制系統(tǒng)監(jiān)督評價書面程序的建立和執(zhí)行；對內部控制進行不斷完善的情況等內容。

三、內部控制評審方法

內控評審的方法多種多樣，可以使用一種方法，也可以同時使用多種方法進行，要根據(jù)評審的實際靈活運用，不應有所限制和局限，評審方法的選擇應以符合實際、科學方便、經(jīng)濟實用為原則。

(一)抽樣法

通過抽取一定數(shù)量且具有代表性的樣本進行調查和測試，根據(jù)樣本來推斷總體狀況的一種評審方法。它需要在制定評審實施方案時確定具體的抽樣規(guī)模和比例，評審人員從財務憑證和合同的簽訂入手，對每一業(yè)務流程或特定控制點抽取一定數(shù)量的業(yè)務進行測試，據(jù)此來推斷內部控制的總體狀況。在抽取樣本時，所抽樣本要有一定的代表性，盡可能包括大、中、小三種金額類型，以便全面反映內部控制的執(zhí)行情況，可采取整批抽樣、分層抽樣、系統(tǒng)抽樣、隨機抽樣等方式。在抽樣方法中，重要的是樣本范圍的制定和抽取，只要按照合理的允許的誤差科學地抽取了樣本，通過對樣本的評審是能夠滿足對單位整個經(jīng)濟活動的評審需要的。

(二)穿行測試法

穿行測試也稱全程測試，通常用于對業(yè)務流程或具體業(yè)務的測試與評價。即評審人員在每一類循環(huán)中選擇一筆或若干筆具體業(yè)務，比照業(yè)務流程從頭到尾檢查其實際處理過程，檢查測試該流程步驟和控制點的執(zhí)行情況，以驗證所描述的內部控制的客觀性和真實性。這是內部審計經(jīng)常運用的一種簡便易行的技術方法，特別適用于對內部控制的評審中，通過對一筆或若干具體業(yè)務的穿行測試，可以比較直觀有效的反映一個或若干業(yè)務流程的內部控制情況。

(三)證據(jù)檢查法

證據(jù)檢查法是內控評審工作最重要的檢查方法之一。評審人員在運用抽樣、穿行測試等評審方法時，要求被評審單位在限定的時間內，提供被評審業(yè)務主要控制點對應的相關資料，如憑證、賬簿、報表、借據(jù)、協(xié)議合同等等。通過對這些書面證據(jù)的檢查，驗證各項控制措施在實際業(yè)務操作中是否得到了有效的貫徹執(zhí)行。

(四)壓力測試法

即測試被評審單位關鍵業(yè)務處理程序和控制措施能夠承受的壓力程度以及在承受相應壓力時所發(fā)揮的作用。

(五)流程圖法

流程圖法主要用于內部控制系統(tǒng)的健全性和合理性測試，即利用符號和圖形來表示被評審單位組織結構、職責分工、權限、經(jīng)營業(yè)務的性質及種類，各種業(yè)務處理規(guī)程、各種會計記錄等內部控制狀況的示意圖。流程圖法的運用可以使評審人員清晰地看出被評審單位內部控制系統(tǒng)如何運行，業(yè)務的風險控制點和控制措施，有助于發(fā)現(xiàn)各內部控制系統(tǒng)的缺陷和評審重點。

四、內部控制評價標準與結果

評審組在現(xiàn)場評審結束后，應依據(jù)內部控制評價標準，對被評審單位進行綜合評價并出具評審報告。綜合評價應堅持定性分析與定量分析相結合的原則，做到量化合理、定性準確。在對各項評審內容嚴格審查、測試和初步評價的基礎上，應對單位整個內部控制系統(tǒng)的健全性、合理性以及執(zhí)行的有效性做出全面評價，內部控制的評價標準也就是內部控制是否健全、是否合理適用以及執(zhí)行是否有效的問題。

(一)內部控制的健全性

內部控制的健全性是指單位根據(jù)生產(chǎn)經(jīng)營管理的自身需要，應設置的內部控制系統(tǒng)的內容都比較完備，而且所設置的內部控制系統(tǒng)對單位的生產(chǎn)經(jīng)營管理活動的全過程能進行自始自終的控制。健全性評價可依據(jù)評分分為優(yōu)、良、基本健全、不健全四個級次。

(二)內部控制的合理性

內部控制的合理性主要是指內部控制設計和執(zhí)行時的適用性、合規(guī)性、經(jīng)濟性，它是在健全性的基礎上對單位內部控制更深一層次的要求，評審組根據(jù)對內部控制評審內容的測試結果做出評價。合理性評價同樣可依據(jù)評分分為優(yōu)秀、良好、基本合理、不合理四個級次。

(三)內部控制的有效性

內部控制的有效性是指設計比較健全、比較合理的內部控制在單位的生產(chǎn)經(jīng)營管理過程中，能夠得到貫徹執(zhí)行并發(fā)揮作用，實現(xiàn)其為單位提高經(jīng)營效率、規(guī)避財務風險和經(jīng)營風險、遵循國家法律法規(guī)提供合理保證的目標。有效性是內部控制的精髓，評審組應根據(jù)對內部控制評審內容的測試結果，對各項業(yè)務目標是否能夠實現(xiàn)，各項業(yè)務風險的評估與規(guī)避情況如何，內部控制所起到的作用與效果如何等等做出評價。有效性的評價同樣可依據(jù)評分分為優(yōu)秀、良好、基本有效、無效四個級次。

五、結束語

客觀地講，再好的制度也有它的局限性，單位內部控制也是如此，再者，制度的制定和執(zhí)行都是由人來完成的，在單位內部控制系統(tǒng)中，不管是單位的管理者還是一般員工，他們既是內部控制的執(zhí)行者，又是各個控制環(huán)節(jié)的被控制對象，其觀念、素質和責任意識都影響著內部控制的效率和效果。另外，內部控制是單位管理的一部分，它是一個動態(tài)的管理過程，是在不斷發(fā)展變化的，且內部控制評審對我國單位來說尚處在初級階段，因此需在實踐中積極借鑒國外先進或成功的經(jīng)驗與做法，但不能照搬照套，應緊密結合未來發(fā)展變化的情況，與時俱進，對其不斷地加以總結、改進和提高。

[1]中國注冊會計師協(xié)會《內部控制審核指導意見》

[2]中國注冊會計師協(xié)會《獨立審計具體準則第9號——內部控制與審計風險》

[3]中國注冊會計師協(xié)會《審計》中國財政經(jīng)濟出版社2005年

[4]中國內部審計協(xié)會《內部審計具體準則第5號——內部控制審計》