内部控制框架与重要要素

(一)内部控制的含义

内部控制的概念有多种不同的解释，根据最新审计准则的表述，我们将内部控制概括为：被审计单位为了合理保证财务报告的可靠性、经营活动的效率性和效果性、法律法规得到遵守，而由治理层、管理层和相关人员设计并执行的各项政策和程序。

任何国家机关、社会团体、公司、企业、事业单位和其他经济组织都应当建立适合本单位的内部控制制度。对内部控制可以从以下几方面进行理解：

(1)内部控制是一个不断发展、变化和完善的管理过程。

(2)内部控制由单位中各个层次的人员共同实施。

(3)内部控制在形式上表现为一整套相互联系和相互制约的控制方法，其手段是设计和执行控制政策和程序。

(4)被审计单位建立内部控制制度的目的在于促进和合理保证其目标的实现。

(二)内部控制的构成要素

内部控制的内容是由基本要素组成的。企业内部控制的建立一般是根据其特征和需求设计的，例如企业规模、所处行业、业务构成、管理目标等。目前国内外审计界在讲述、设计和评价内部控制时，多采用的内部控制五要素框架。五要素框架具有较强的理论可取性和实践可行性，我们在此也采用了五要素的框架。以五要素框架为基础的内部控制包括下列要素：①控制环境；②风险评估；③信息与沟通；④控制活动；⑤对控制的监督。五要素之间的关系如图8-1所示。

图8-1　内部控制五要素之间的关系(www.xing528.com)

对内部控制进行分类、归纳为若干要素，这为我们提供了了解内部控制的框架，但无论对内部控制要素如何进行分类，注册会计师都要重点考虑被审计单位某项控制是否能够防止或发现并纠正各类交易、账户余额、列报与披露存在的重大错报，以及如何防止或发现并纠正各类交易、账户余额、列报与披露存在的重大错报。下面根据五要素的结构说明内部控制的内容。

1.控制环境。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。同时，控制环境是企业内部控制的基础，它反过来又影响企业各级管理人员和一般员工的控制意识。控制环境的具体内容主要包括以下几个方面：①从最高管理层到普通员工的诚信原则和道德价值观；②员工的胜任能力和公司的人力资源政策；③管理理念和经营风格；④组织结构和管理层的安排；⑤企业内部职权与责任的分配。

2.风险评估。风险评估是分析和辨认实现企业所定目标和计划的过程中可能发生的不利事件和情况。风险评估包括对风险点进行选择、识别、分析和评估的全过程。也就是事先对风险点进行评估，识别风险产生的原因及表现形式；识别每一重要业务活动目标所面临的风险；估计风险的概率、频率、重要性、可能性以及风险所造成的危害。进行风险评估首先要列出重要风险要素和风险控制点，要清楚在企业经营管理过程中会出现的风险，既要考虑内部风险，又要考虑外部因素引起的风险；既要考虑静态风险，又要考虑动态风险；既要考虑操作风险，又要考虑体制和政策风险。评估风险要以企业的目标和计划为依据，评估风险目的是能够在业务开展前，测定出风险指标，并能够在业务发生后对风险进行跟踪监测。在内部控制中，管理层必须建立持续的风险评估机制对风险进行评估，并根据评估结果采取必要的应对措施。

3.信息与沟通。企业信息系统庞大而复杂，注册会计师不可能也没有必要评价企业的整个信息系统，而只需了解和弄清与财务报告相关的信息系统和相关业务流程。与财务报告相关的信息系统包括用以生成、记录、处理、报告各类交易和事项，对相关资产、负债和所有者权益履行经管责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应，这里的业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。与财务报告相关的信息系统在内部控制中通常可发挥下列作用：识别与记录所有的有效交易；及时、详细地描述交易，以便在财务报告中对交易做出恰当分类；恰当计量交易，以便在财务报告中对交易的货币金额做出准确记录；恰当确定交易生成的会计期间；在财务报表中恰当列报交易及相关披露。与财务报告相关的信息系统所生成信息的质量，对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

4.控制活动。控制活动是指被审计单位有助于确保管理层的指令得以执行的政策和程序，包括与授权批准、业绩评价、信息处理、实物控制和职责分离等相关的活动。审计人员应当了解控制活动，以评估认定层次的重大错报风险，并针对评估的风险设计进一步审计程序。控制活动在企业内的各个阶层和职能之间都会出现，审计人员应当了解的控制活动主要包括：

(1)了解与授权有关的控制活动。

(2)了解与业绩评价有关的控制活动。

(3)了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。

(4)了解对资产实施的控制活动，主要是对现金、证券、存货、设备和其他资产的实物采取保护的措施，实施保护的行为。

(5)了解职责分离的控制活动。

5.对控制的监督。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。内部控制系统有效发挥作用离不开适当的、持续的监督。审计人员应当了解被审计单位对控制的持续监督活动和专门的评价活动。