企业内部控制评价方法的比较


评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。如果保证的水平处于有效内部控制的区间内，则内部控制是有效的，如果保证的水平低于合理水平，则内部控制是无效的。从另一个角度来看，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的;反之，则无效。从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。
一、详细评价法
在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则(SEC，2003)以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞(materialweaknesses，MW)，确定内部控制是否有效。详细评价法的逻辑和程序如图1所示：
这种思路和方法在企业最初进行内部控制建设或日常的评价中应用较多。此外，在SOX法案开始实施时，企业的管理层在评价内部控制以及注册会计师审计内部控制时，基本上都是遵照美国公共公司会计监督委员会在2004年发布的第2号审计准则(PCAOB，2004)执行的，采用的基本上也是这种思路。当然，在具体的运用上，不同的企业和事务所又略有不同。
这种思路和方法的特点是从控制到风险，即从内部控制到相关目标实现的风险。这种评价思路和方法首先要根据现有的内部控制框架评价企业内部控制的设计和运行，识别出控制缺陷，然后判断是否为实质性漏洞，从而判断内部控制的有效性。评价运行有效性可以采用测试的方法确定相关的内部控制是否得到了有效实施，从理论和实务上来说不存在太大的问题，而评价设计的有效性在该方法中则是对照内部控制框架或标准进行的，所以，最关键的问题是如何对照企业内部控制框架或标准确定内部控制设计的有效性。这种对照内部控制框架或标准判断设计有效性的思路应当是来自于COSO的《企业内部控制——整合框架》等报告中提出的控制的完整性概念。COSO在这个报告中明确指出，内部控制框架的这些组成要素和标准适用于整个内部控制系统，或者是一类或多类目标。当考虑任何一类目标的控制时，例如有关财务报告的控制，所有五个要素都应该满足才能得出有关财务报告的控制是有效的结论。但是，内部控制的组成要素之间具有相互补充、相互渗透的关系，尽管五个组成要素都应该被满足，但是这并不意味着在不同的企业中每个组成要素都得到同样的执行。不同组成要素之间存在某种平衡，因为内部控制能够满足多个目标，一个组成要素中的控制可能会满足另外一个组成要素范畴内的控制需要实现的目标。而且，控制降低风险的程度是不同的，所以，效果有限的多个控制一起实施可以达到满意的效果。
鉴于上述原因，尽管内部控制的框架或标准描述了一个有效的内部控制系统所应当具备的构成要素，如果采用简单的一一对应的方法对照内部控制框架来评价内部控制设计的有效性，就有可能产生两个问题：一个是成本高，效率低;另一个是评价结论的不可靠性。内部控制框架或标准描述这些构成要素时，是把企业抽象成一个主体，并没有考虑企业所处的国家、所处的行业、企业的规模等特定的因素，其目的是构建一个通用的内部控制标准和参照物。但是，并不是所有的企业(如不同规模的企业、不同行业的企业)都必须具备与内部控制框架或标准完全一样的内部控制才算是有效，而且，这个框架中的所有要素涉及的控制与内部控制目标的相关性和对内部控制目标的重要性是不同的。因此，一一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会评价了过多的、不必要的控制，导致成本高而效率低，这一点已经在美国上市公司过去几年实施SOX法案的经历中得到了体现。同时，有效的内部控制并不要求所有的要素同等程度的存在，因为内部控制要素本身具有一定的相互补充性和相互替代性，存在某种程度的平衡，并且这种替代或平衡在很多情况下并不能确切地衡量，也不能准确地体现在内部控制的框架或标准中。所以，一一对应的