企业内部控制评价方法的比较(2)
2017-08-12 05:43
导读:鉴于上述原因,尽管内部控制的框架或标准描述了一个有效的内部控制系统所应当具备的构成要素,假如采用简单的逐一对应的方法对照内部控制框架来评
鉴于上述原因,尽管内部控制的框架或标准描述了一个有效的内部控制系统所应当具备的构成要素,假如采用简单的逐一对应的方法对照内部控制框架来评价内部控制设计的有效性,就有可能产生两个题目:一个是本钱高,效率低;另一个是评价结论的不可靠性。内部控制框架或标准描述这些构成要素时,是把企业抽象成一个主体,并没有考虑企业所处的国家、所处的行业、企业的规模等特定的因素,其目的是构建一个通用的内部控制标准和参照物。但是,并不是所有的企业(如不同规模的企业、不同行业的企业)都必须具备与内部控制框架或标准完全一样的内部控制才算是有效,而且,这个框架中的所有要素涉及的控制与内部控制目标的相关性和对内部控制目标的重要性是不同的。因此,逐一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会评价了过多的、不必要的控制,导致本钱高而效率低,这一点已经在美国上市公司过往几年实施SOX法案的经历中得到了体现。同时,有效的内部控制并不要求所有的要素同等程度的存在,由于内部控制要素本身具有一定的相互补充性和相互替换性,存在某种程度的平衡,并且这种替换或平衡在很多情况下并不能确切地衡量,也不能正确地体现在内部控制的框架或标准中。所以,逐一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会出现评价结论的偏差:按照内部控制框架或标准评价可能是一个缺陷,但是,实际上却是有效的,这一点很明显地体现在了不同规模企业内部控制的评价上。为此,美国COSO于2006年发布了《较小规模公众公司财务报告内部控制指南》。
根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注内部控制的“What and Why”,即使是COSO 2006年发布的《较小规模公众公司财务报告内部控制指南》也“主要被设计用于帮助治理者建立和保持有效的财务报告内部控制”,尽管这些框架或标准提供了评价有效性的标准,但不够细致,不足以说明如何完成内部控制有效性的评价。所以,这个思路假如用于内部控制的建立和保持应当是比较适合的,而假如用于内部控制有效性的年度评价则并不是十分恰当,这一点在美国上市公司过往几年的经历中得到了充分的体现。
本文来自中国科教评价网 二、风险基础评价法
企业内部控制的另一种思路和方法不是从控制到风险,而是从风险到控制,即从内部控制相关目标实现的风险到内部控制。首先,要评估相关目标实现的风险;其次,识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。对于不同的目标来说,目标风险的含义、内部控制重大漏洞的含义是不相同的,在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序如图2所示:
“自上而下”和“风险基础”的理念在这种方法中得到了充分的体现。“风险基础”主要体现在:以评估控制目标实现的风险为出发点;关注重要的财务报告和表露风险与题目;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判定内部控制是否有效也是以内部控制是否很可能防止或发现财务报表中的重要错报为依据的。“自上而下”主要体现在:从财务报表整体开始,然后到账户、表露;从公司层面的控制开始,然后到活动层面的控制。美国证券交易委员会和公共公司会计监视委员会2007年6月分别发布的治理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一思路。 风险基础评价法与具体评价法的区别类似于财务报表的具体审计与财务报表的风险基础审计,主要体现在以下几个方面:
