内部控制审计评价初探
摘要:本文从分析内部审计的发展及内部控制、内部控制评审的定义和相互关系入手,对企业内部控制评审的内容、方法、评价标准等进行了初步探讨。关键词:企业;内部审计;内部控制;评审
近年来,国内相关机构和企事业单位顺应企业管理的内在需要,逐步引入了内部控制及内部控制评审的理论,并组织开展了一系列理论研究和实务探索,取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。
一、内部控制、内部控制评审的定义
1.内部控制的定义
内部控制一词,最早出现在1936年美国会计师协会发布的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展,内部控制理论由最初的“内部牵制理论”,发展为“内部会计控制与内部管理控制”。
1992年,美国反欺诈性财务报告委员会的主办机构委员会(COSO委员会)发布了《内部控制—整体框架》报告,即著名的COSO报告,报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。COSO报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素,这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论,受到各国理论界和实务界的广泛关注和普遍认可。
2.内部控制评审的定义
COSO报告认为,在内部控制系统中,所有部门、岗位都在其中充当着角色,内部审计也是如此。内部审计既是企业内部控制的重要组成部分,又是监督与评价内部控制的主要部门和主要手段。2002年以来,国际内部审计重新介入内部控制这一领域,在原先以内审部门实施内部控制评价的基础上,加强了与业务管理部门自我评估的结合,注重相关业务部门技术人员的参与,要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。
从内部审计的角度看:内部控制评审是指由企业董事会下设的审计委员会组织开展的,以内部审计人员为主,吸收相关专业技术人员和专家参加的,对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动,主要测评企业内部控制系统是否健全、合理,以及执行是否有效。
二、内部控制评审的内容
企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的,因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。
1.内部控制环境评审
内部控制环境是内部控制的基础,它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有:公司治理组织架构的建立、规范运作和分权制衡;内部控制系统中董事会的建立和完善责任,监事会的监督责任,高级管理层的执行和完善责任;人力资源政策和程序、人力资源日常管理情况等。
2.风险识别与评估评审
风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动,它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理;企业识别和获取适用法律法规要求的程序建立和执行的情况;与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。