關于內部控制評價內容,從范圍看,一般認為企業內部控制評價應根據資源情況和組織需求來決定,既可以是全面內部控制評價,如對整個內部控制系統進行評價,然后把信息反饋給最高管理當局;也可以是局部評價,如對某個部門或某個控制進行評價,然后把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次,而局部內部控制評價視需要而定。從內容看,大多從內部控制要素角度,要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然,還有把內部控制評價分為內部控制設計和執行,自我評估和獨立評估,全面內部控制和業務控制,過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面,治理結構層面、財務控制層面和業務控制層面等三個層面。從標準看,有些內部控制規范和理論認為,內部控制評價無論是總體還時局部,無論是設計還是執行,都應當以內部控制的健全性、恰當性(或者稱為合理性、科學性)和有效性為標準。有些規范和理論認為,內部控制評價,包括對內部控制設計有效性和運行有效性的評價。還有人認為,內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣于把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價,就是對整體層面控制有效性的評價過程,是一個流程。這個流程包括:確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境;識別整體層面控制的弱點,這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價,內部控制總體評價,是對各種控制過程與因素的綜合考慮,從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標,但評價時應將控制作為一個整體,而不是單獨的控制目標。如一個控制領域的弱點,可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的?整體層面控制必須達到最高水平的可靠性才能有效嗎?在決策時,應考慮以下事項:一是整體考慮。最終,內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時,機構就應進行權衡,是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基于財務報表的整體作出判斷,因此應從財務報表的整體來考慮,內部控制未能防止或發現的錯報是否重要。用于評價整體層面控制的的流程包括:使用內部控制可靠性模型,為每一個控制目標的有效性分級;將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價?加拿大特許會計師協會對此進行了研究,一個特別的結論值得注意。證據不僅僅是事實的集合,而且是審計人員所了解的每一件事的整合。證據不是以整齊的先后順序出現的——它是非線性的、零散的,必須進行整理、歸類和綜合。一些證據是具體的事實,可以客觀地證實,但大多是所見、所聽或所感的印象,它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中,人們會考慮所有這些因素——當形成結論時,把它們作為證據。業務層面控制評價,就是對業務層面控制有效性的評價過程,是內部控制評價的核心內容。
中天恒3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面,會計控制評價是基礎,業務控制評價是核心,管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面,但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常,計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用于較寬范圍的風險,這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險(如工資、應收賬款和采購應用系統等),其風險來源于信息系統中應用系統本身的漏洞,直接威脅到數據的安全、準確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利于企業內部控制目標的實現,并以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,并以此評價相關應用系統操作數據的真實性、準確性和合規性。
關于內部控制評價的內容,理論上可繼續探索,但實際執行中,還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點,以企業設計的《企業內部控制手冊》為依據,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定,不能固定化和模式化。
這里需要特別強調的,內部控制評價內容不能僅僅限于對五要素的總體評價,而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別,規模大小也不一樣,但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。
