【摘要】 企业内部控制框架提供了一个有效内部控制系统的模板，也是评价内部控制有效性的标准，但是，根据内部控制框架或标准对内部控制有效性进行评价，却可以选择不同的起点或切入点。使用不同的评价思路和方法，即详细评价法和风险基础评价法是目前采用的两种主要方法，各有优势和特点。

　　【关键词】 内部控制；详细评价法；风险基础评价法

　　评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。如果保证的水平处于有效内部控制的区间内，则内部控制是有效的，如果保证的水平低于合理水平，则内部控制是无效的。从另一个角度来看，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的；反之，则无效。从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。

　　一、详细评价法

　　在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则（SEC，2003）以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞（material weaknesses，MW），确定内部控制是否有效。详细评价法的逻辑和程序如图1所示：

　　这种思路和方法在企业最初进行内部控制建设或日常的评价中应用较多。此外，在SOX法案开始实施时，企业的管理层在评价内部控制以及注册会计师审计内部控制时，基本上都是遵照美国公共公司会计监督委员会在2004年发布的第2号审计准则（PCAOB，2004）执行的，采用的基本上也是这种思路。当然，在具体的运用上，不同的企业和事务所又略有不同。

　　这种思路和方法的特点是从控制到风险，即从内部控制到相关目标实现的风险。这种评价思路和方法首先要根据现有的内部控制框架评价企业内部控制的设计和运行，识别出控制缺陷，然后判断是否为实质性漏洞，从而判断内部控制的有效性。评价运行有效性可以采用测试的方法确定相关的内部控制是否得到了有效实施，从理论和实务上来说不存在太大的问题，而评价设计的有效性在该方法中则是对照内部控制框架或标准进行的，所以，最关键的问题是如何对照企业内部控制框架或标准确定内部控制设计的有效性。这种对照内部控制框架或标准判断设计有效性的思路应当是来自于COSO的《企业内部控制——整合框架》等报告中提出的控制的完整性概念。COSO在这个报告中明确指出，内部控制框架的这些组成要素和标准适用于整个内部控制系统，或者是一类或多类目标。当考虑任何一类目标的控制时，例如有关财务报告的控制，所有五个要素都应该满足才能得出有关财务报告的控制是有效的结论。但是，内部控制的组成要素之间具有相互补充、相互渗透的关系，尽管五个组成要素都应该被满足，但是这并不意味着在不同的企业中每个组成要素都得到同样的执行。不同组成要素之间存在某种平衡，因为内部控制能够满足多个目标，一个组成要素中的控制可能会满足另外一个组成要素范畴内的控制需要实现的目标。而且，控制降低风险的程度是不同的，所以，效果有限的多个控制一起实施可以达到满意的效果。

　　鉴于上述原因，尽管内部控制的框架或标准描述了一个有效的内部控制系统所应当具备的构成要素，如果采用简单的一一对应的方法对照内部控制框架来评价内部控制设计的有效性，就有可能产生两个问题：一个是成本高，效率低；另一个是评价结论的不可靠性。内部控制框架或标准描述这些构成要素时，是把企业抽象成一个主体，并没有考虑企业所处的国家、所处的行业、企业的规模等特定的因素，其目的是构建一个通用的内部控制标准和参照物。但是，并不是所有的企业（如不同规模的企业、不同行业的企业）都必须具备与内部控制框架或标准完全一样的内部控制才算是有效，而且，这个框架中的所有要素涉及的控制与内部控制目标的相关性和对内部控制目标的重要性是不同的。因此，一一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会评价了过多的、不必要的控制，导致成本高而效率低，这一点已经在美国上市公司过去几年实施SOX法案的经历中得到了体现。同时，有效的内部控制并不要求所有的要素同等程度的存在，因为内部控制要素本身具有一定的相互补充性和相互替代性，存在某种程度的平衡，并且这种替代或平衡在很多情况下并不能确切地衡量，也不能准确地体现在内部控制的框架或标准中。所以，一一对应的对照内部控制框架或标准评价内部控制设计的有效性必定会出现评价结论的偏差：按照内部控制框架或标准评价可能是一个缺陷，但是，实际上却是有效的，这一点很明显地体现在了不同规模企业内部控制的评价上。为此，美国COSO于2006年发布了《较小规模公众公司财务报告内部控制指南》。

　　根据内部控制框架或标准评价内部控制本身并没有错，但是，内部控制的框架或标准本身是一个通用的框架，更多地关注内部控制的“What and Why”，即使是COSO 2006年发布的《较小规模公众公司财务报告内部控制指南》也“主要被设计用于帮助管理者建立和保持有效的财务报告内部控制”，尽管这些框架或标准提供了评价有效性的标准，但不够细致，不足以说明如何完成内部控制有效性的评价。所以，这个思路如果用于内部控制的建立和保持应当是比较适合的，而如果用于内部控制有效性的年度评价则并不是十分恰当，这一点在美国上市公司过去几年的经历中得到了充分的体现。

　　二、风险基础评价法

　　企业内部控制的另一种思路和方法不是从控制到风险，而是从风险到控制，即从内部控制相关目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标来说，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。风险基础评价法的逻辑和程序如图2所示：

　　“自上而下”和“风险基础”的理念在这种方法中得到了充分的体现。“风险基础”主要体现在：以评估控制目标实现的风险为起点；关注重要的财务报告和披露风险与问题；仅评价充分应对风险的控制；证据的获取和场所的选择根据风险评估的结果；评价结论（内部控制是否有效）也是风险基础的，判断内部控制是否有效也是以内部控制是否很可能防止或发现财务报表中的重要错报为依据的。“自上而下”主要体现在：从财务报表整体开始，然后到账户、披露；从公司层面的控制开始，然后到活动层面的控制。美国证券交易委员会和公共公司会计监督委员会2007年6月分别发布的管理层报告内部控制的指南（SEC,2007）和内部控制审计准则（PCAOB，2007）都采用了这一思路。

　　风险基础评价法与详细评价法的区别类似于财务报表的详细审计与财务报表的风险基础审计，主要体现在以下几个方面：

　　第一，风险基础法首先评估实现内部控制相关目标的风险，根据风险评估的结果对照企业的内部控制，参考内部控制框架来判断企业内部控制设计的有效性。这样做的好处是：一方面，可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性和灵活性；另一方面，关注最重要的风险，提高了评价的成本效益和效率。

　　第二，风险基础法在确定内部控制的测试范围和收集证据时也是以风险评估为基础的，这样同样可以提高评价的成本效益和效率。

　　第三，风险基础法需要更高程度的专业判断。无论是评价内部控制设计的有效性，还是测试内部控制运行的有效性都是根据最初的风险评估和后续的风险评估进行的，这与详细评价法下根据一个确定的框架来评价相比需要更高程度的专业判断。

　　三、结论

　　比较上述两种评价方法的优劣以及从国际发展的总体趋势来看，风险基础的内部控制评价方法必然是未来的发展方向，因为无论是基于成本效益的考虑，还是与企业的实际情况相结合，从确保评价的合理性来说，风险基础评价法都比详细评价法具有明显的优势。但是，值得注意的是，风险基础评价法比详细评价法对企业管理层和审计人员的要求要高得多。在详细评价法下，管理层和审计人员更多的是在做一种核对和检查的工作，直接对企业的经营管理和内部控制的判断相对不多。而在风险基础法下，管理层和审计人员需要做出很多的判断，比如，需要识别与企业控制目标相关的风险，识别相关的控制以及判断相关控制是否充分。所以，采用风险基础评价法要求管理层和审计人员具有更高的专业技能，必须在企业内部控制与风险管理方面具有非常专业的基础知识和判断能力，才能更加有效地完成内部控制的评价，提供一份可靠性较好的内部控制评价报告。

　　【主要参考文献】

　　[1] COSO，Enterprise Risk Management-Integrated Framework，2004，（9）.

　　[2] PCAOB，Auditing Standard No 5 –An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，2007，（5）.

　　[3] SEC，Management's Report on Internal Control Over Financial Reporting，2007，（5）.