内部控制评价标准的国际比较及建议

美国的COSO《内部控制一整体框架》、英国的Tumbull指南和加拿大的CoCo《控制指南》，是当今世界影响重大的内部控制评价标准。2008年，财政部颁布的《企业内部控制基本规范》，无疑为我国建立统一的内部控制评价标准奠定了基础。本文拟在比较各国内部控制评价标准的基础上，提出改进我国内部控制评价标准的建议。
　　
　　一、内部控制评价标准及分类
　　
　　(一)内部控制评价标准　内部控制评价的目标就是评价内部控制的有效性。而内部控制的有效性从根本上讲是依据内部控制目标的实现程度来判定的。鉴于内部控制目标实现程度的局限性，对内部控制有效性的判断在现实情况下没有选择从结果理性的角度直接评价内部控制目标的实现情况，而是从过程理性的角度出发判断内部控制的设计和运行的有效性。因此，内部控制评价标准要解决的问题就是：什么样的内部控制才是有效的内部控制?当前，对这一问题的解决方法是设计内部控制的一个框架体系，即首先确定内部控制的范围和目标，然后确定一个有效内部控制应当具备的要素，如COSO的《内部控制一整合框架》、Tumbull指南等都是这样一个基本的思路。因此，在制定一个特定背景下的内部控制评价标准时，必然面临的问题是要确定：内部控制的范畴与目标；内部控制应当包含的要素；这些要素之间的逻辑关系。而这些在很大程度上面临着不确定性和选择的问题，从而也就引发出另一个问题：什么样的评价标准才是适当的。一个适当的内部控制评价标准至少应当满足以下条件：相关性。与所要评价的内部控制的目标相关；中立性。制定过程遵循了透明的程序；一致性。可以适当一致地、定性和定量地衡量公司的内部控制，在类似的环境下付出同样的努力实施的评价会得出大致相似的风险、测试结果和结论；可验证性。有适当的评价轨迹，没有参与评价的人能够沿着这个轨迹重复评价或评估评价过程；完整性。没有忽略会改变公司内部控制有效性结论的相关要素。按照这些条件，COSO内部控制框架、Tumbull指南和CoCo《控制指南》都是适当的评价标准。
　　(二)内部控制评价标准分类　由于不同规模企业的内部控制差别较大，所以，评价标准的设计应当考虑企业规模对内部控制的影响。按照适用企业的规模可以分为适用于一般企业的内部控制评价标准和适用于小规模企业的内部控制评价标准。从内部控制评价的整个过程来看，不但要明确什么样的内部控制是有效的内部控制，还要明确如何有效地评价内部控制的有效性。因此，评价标准的整个体系要分为内部控制的评价标准和内部控制评价实施的标准或规范。从内部控制涵盖的范围来看，针对范围大小不同的内部控制，可以分为企业财务报告内部控制、企业内部控制和企业风险管理的评价标准等。
　　
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、内部控制评价标准的国际比较
　　
　　(一)国际内部控制评价标准简介世界各国都有其内部控制标准仅可。本文仅介绍以下国家内部控制的标准。
　　(1)美国的COSO报告。COSO《内部控制一整体框架》(简称COSO报告)是目前世界范围内影响最大、应用最广泛的一个标准，也是SEC(证券交易委员会)和PCAOB(公众公司会计监管委员会)推荐使用的标准。20世纪70年代水门事件后，美国国会很快通过了《反国外贿赂法》，该法案除有反贿赂的条款外，还规定了与会计及内部控制有关的条款。这促使许多职业团体加强了对内部控制的研究，并发布了一系列准则、指南或建议。1985年，美国注册会计师协会、管理会计师协会、内部审计师协会、国际财务经理协会及美国会计学会等机构共同赞助成立了防舞弊财务报告委员会。该委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。1987年，在该委员会的建议下，其赞助机构又赞助成立了一个专门研究内部控制问题的委员会，即COSO委员会。经过三年多的潜心研究以及与相关各方的深入探讨，COSO委员会于1992年提出了《内部控制一整体框架》专题报告，开创性地提出了内部控制整体框架的概念。COSO委员会成立的初衷和定位决定了其目的是制定一个服务于独立公共会计师、企业、监管机构、其他相关者都需要的内部控制定义，为评价内部控制的有效性提供一个合理化的标准。COSO委员会提出的内部控制整体框架报告，凝集着半个多世纪来内部控制研究方面的积极成果，同时，在许多方面有重大的质的突破，代表着当今内部控制研究的最高成就，被公认为是内部控制发展史上一块重要的里程碑。COSO报告提出了三项具体的目标和五项互相联系的要素，首次将内部控制从平面结构发展为立体框架结构。内部控制的三类目标是一个组织努力的方向，而内部控制构成要素则是为实现这些目标所必需的条件，两者之间存在着直接的关系。五类要素之间相互协调、相互联系，每一个要素都适用于所有的目标类别，共同构成能够对不断变化的环境做出动态反映的一个整体。
　　(2)英国的Turnbull指南。鉴于上市公司提出应有一个内部控制方面的具体操作性的规定，伦敦股票交易所委托英国特许会计师协会成立了以Tumbull先生为主席，由董事长、总经理、财务经理、部门经理、外部审计人员、企业员工以及大学教授组成的委员会，就如何帮助在英国上市的公司贯彻执行“上市规则”和“联合准则”中的建立健全内部控制的要求进行研究。该委员会1999年完成了一份系统的指导企业建立内部控制的报告，即《内部控制框架指南》。由于这个报告是在Tumbull先生领导下完成的，又称为Tumbull指南。Tumbull指南一经发布，便为财务报告理事会、伦敦证交所、上市公司、公司外部审计人员所接受并在各自工作中运用。2005年，Tumbull指南在保持基本原则不变的情况下进行了局部的修改，并于2005年10月颁布了修改后的Tumbull指南。《Turmbull指南》对分散在英国法律、法规中涉及内部控制的规定进行了归纳和整理，立足英国的法律环境和公司治理特点，建立了具有原则导向性、风险导向性、框架指引性的内部控制指南。
　　(3)加拿大的CoCo《控制指南》。1992年加拿大特许会计师协会(CICA)成立了CoCo委员会，该委员会的使命是发布有关内部控制系统设计、评估和报告的指导性文件。经过三年的研究，coco委会员于1995年10月正式发布了关于内部控制的框架性文件——控制指 南。该指南对内部控制的定义、内部控制的要素、内部控制的作用、内部控制的参与者、内部控制原则进行了阐述，建立了一个完整的内部控制理论体系。在随后的几年中，CoCo委员会又陆续发布了一系列指导性文件，为CoCo内部控制框架的应用提供了具体详尽的操作规范。CoCo委员会的控制指南在一定程度上参考了COSO委员会的内部控制框架，但CoCo的内部控制框架仍具有鲜明的特色。CoC。委员会报告指出：在任何一个企业中，控制均包括目的、承诺、能力、监控和学习四个最基本的要素。其中目的是对企业发展方向的描述，它包括企业的目标、面临的风险和机遇、经营方针、计划、业绩目标及其评价指标等；承诺是对企业特质的描述，它涉及到企业的道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等；能力是指企业相对于给定任务的胜任程度，它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动；监控和学习则着眼于企业的发展，它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。在确立内部控制的整体框架后，coco委员会基于该框架提出了内部控制的基本原则。内部控制原则是内部控制理论与实务的联结体，它为企业实施内部控制和评价内部控制有效性确立了标准。coco委员会的内部控制原则是《控制指南》的主要内容，同时也是CoCo委员会的重要贡献。
　　(4)中国《企业内部控制基本规范》。为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，2006年，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会。2007年，企业内部控制标准委员会公布了《企业内部控制基本规范》(以下简称《基本规范》)及17项具体规范的征求意见稿，并于2008年6月颁布。企业内部控制标准委员会的建立及《基本规范》等的颁布，标志着我国内部控制建设进入了一个新的阶段。我国的《基本规范》主要是在借鉴COSO报告的基础上，结合我国的具体情况进行了适当修改和完善。在借鉴国外内控框架的同时，基本规范体现了以下创新：一是内容创新。基本规范中的五要素框架并未照抄照搬国外的框架，而是根据我国的实际情况作了较大调整，并在内容上大为充实，在表达方式上符合我国法规特点、文化传统和语言习惯，使国外提出的较为宏观、抽象的内控理念转变为了具有针对性、实用性的内控规定。二是体系创新。除基本规范之外，我国还颁布了17项具体规范，并将继续起草若干具体规范和应用指南；与此同时，还将研究、制定评价标准和配套实施办法，形成全方位、立体性推进内控体系建设的局面。三是机制创新。我国的内控体系建设任务，是各部门、各方面通力合作、合力推进的，这使得内控问题从立法规范、标准建设、宣传培训、组织实施到监督检查等有一个良好的沟通协作机制，避免了单纯从某一局部、某一方面入手可能造成的局限和被动。
　　
　　(二)内部控制具体评价标准的国际比较　以下对各国的内部控制评价标准做详细的比较探讨。
　　(1)内部控制的含义。COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。内部控制作为过程，其本身不是目的，而是实现目标的手段，内部控制的有效性也只是“过程”中某个时点上的一种状态。按照这种认识，内部控制不能再被片面曲解为机械的制度、规定，而是与管理过程融合在一起，是一个不断发现和解决问题的循环往复的动态过程。根据Tumbull指南，内部控制是一个旨在防止风险发生或将风险控制在可接受的低水平的系统。该系统包括公司的政策、过程、任务、行为和其他方面。健全的内部控制系统可以减少但不能消除决策中的拙劣判断的可能性、人为错误、雇员或其他人员蓄意绕过控制过程、管理层越过控制以及不可预知情况的发生。因此，健全的内部控制系统可以提供合理但不是绝对的保证。CoCo《控制指南》使用的是“控制”，而不是“内部控制”，指出“控制”是“一个主体要素(包括实体资源、系统、过程、文化、结构和任务)的集合体，这些要素组合在一起能够支持人们实现主体的目标”，“控制需要企业内所有成员的参与，包括董事会、管理层和所有其他员工；控制对达成企业目标只能提供合理的保证，而不是绝对的保证，这是因为控制本身存在内在的缺陷，如存在人为的错误或成本、效益约束等；控制的终极目的是为了创造财富，而不只是单纯地控制成本；有效的控制需要保持独立和整体、稳定和适应变化之间的平衡”。《基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。由此可以看出。各国评价标准对内部控制的定义有些差异：COSO报告和《基本规范》认为是一个过程，Tumbull指南认为是一个系统，而CoCo《控制指南》则认为是一个要素的集合体。系统和集合体的范围明显要大于过程。尽管定义有些差异，但内部控制的本质却是一致，都是为合理保证其控制目标的实现服务的。
　　(2)内部控制的目标。COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性；第二类目标关于编制可靠的公开发布的报表中的财务数据；第三类目标涉及企业对所适用的法规的遵循。Tumbull指南认为内部控制要实现以下三类目标：对风险做出适当反应促进经营的效率和效果；提高会计信息质量，防止财务欺诈；遵循法律规章。CoCo《控制指南》界定了“控制”的三类目标：经营的效率和效果；内部和外部报告的可靠性；遵守适用的法律、规章及内部政策。《基本规范》指出，内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全完整；遵循国家法律法规和有关监管要求。由于各国的内部控制评价标准都是借鉴COSO报告的基础上发展而来，Tumbull指南和CoCo《控制指南》的三类目标基本和COSO报告一致，而我国的《基本规范》在保留COSO报告原有的三个目标的同时，增加了企业战略和资产安全完整两类目标。COSO报告的三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展，而发展和战略规划问题是企业所有问题的根本。所以加上企业战略的目标，更有利于企业应对未来外部环境变化带来的风险。COSO报告认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。这就导致了两者出现分歧，单独把保护资产安全完整作为一个目标，便能很好地解决这一分歧，因此，在COSO报告原有的三个目标的基础上，加上企业战略和资产的安全完整两个目标，便显得很有意义了。
　　(3)内部控制的构成要素。COSO报告提出了内部控制的五要素，五项要素是指控制环境、风险评估、控制活动、信息和沟通及监 督。以上五项要素实际上内容广泛，相互关联。控制环境是其他控制成分的基础；在规划控制活动时，必须对企业可能面临的风险有细致的分析；风险评估和控制活动必须借助信息与沟通；内部控制的设计和执行必须受到有效的监控。关于控制要素，Turnbull指南提出了“四要素”论，即控制环境、控制活动、信息与沟通、监督检查四部分。CoCo《控制指南》报告指出：在任何一个企业中，控制均包括目的、承诺、能力、监控和学习四个最基本要素。其中目的是对企业发展方向的描述，它包括企业的目标、面临的风险和机遇、经营方针、计划、业绩目标及其评价指标等；承诺是对企业特质的描述，它涉及到企业的道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等；能力是指企业相对于给定任务的胜任程度，它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动；监控和学习则着眼于企业的发展，它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。我国的《基本规范》在内部控制构成要素上，采用的是五要素，即内部环境、风险评估、控制措施、信息与沟通和监督检查。从形式上看，CoCo《控制指南》的四要素和其他国家的有很大差别，因为其对要素的划分是按照员工执行一项任务的过程来划分的。CoCo委员会认为：企业员工在执行企业所指派的任务时，将以他对企业目的的理解为指南，并以其能力作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外，员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动，并在调整自身行动以适应环境变化的过程中学会更好地完成工作。实质上，CoCo《控制指南》的四要素基本上包含了COSO报告五要素的内容，只是划分的角度不一样。Turnbll指南与COSO报告相比，没有把风险评估列为单独的控制要素，因为其认为风险的评估贯穿内部控制的整个过程和所有层面，在某种意义上，内部控制等同于风险管理。尽管我国的《基本规范》借鉴了COSO报告的五要素，但在具体内容上却有所创新。如由于我国与发达国家相比，公司治理结构还存在很多问题，《基本规范》使用的是“内部环境”而不是“控制环境”，这样便更能强调公司内部治理结构对内部控制的影响作用。
　　(4)内部控制的责任主体。在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。在Turnbull指南下，董事会负责审查内部控制的有效性，管理层有责任监督内部控制系统，并向董事会提交评价内部控制有效性的报告；董事会要审查管理层的内部控制报告，对内部控制进行年度评估，并在年度报告中发布内部控制声明。我国的《基本规范》对内部控制的主要责任主体的责任分别进行规定：企业董事会应当充分认识自身对企业内部控制所承担的责任，加强对本企业内部控制建立和实施情况的指导和监督；董事长(或者法定代表人、代表企业行使职权的主要负责人)对本企业内部控制的建立健全和有效实施负责；经理(或者总裁、厂长)根据法定职权、企业章程和董事会的授权，负责组织领导本企业内部控制的日常运行；总会计师(或者财务总监、分管财务会计工作的负责人)在董事长和经理的领导下，主要负责与财务报告的真实可靠、资产的安全完整密切相关的内部控制的建立健全与有效执行。由上面的分析可以看出，在COSO报告中，内部控制的责任主体主要是管理层。虽然把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。而《基本规范》和Turnbull指南，都强调了董事会对内部控制的重要责任，并且与Turnbull指南相比，《基本规范》更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。
　　(5)内部控制的外部审计。在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。而在Turnbull指南下，审计师只是对董事会的内部控制声明进行审查，并不需要对公司内部控制系统的有效性出具报告。因为，Turnbull指南与CoCo《控制指南》一样，对内部控制的定义范围比COSO委员会的定义更为宽泛。其目的在于为企业设计、评估、报告内部控制以及相关的公司治理事宜提供指导，而不是对企业内部控制的最低法定要求。因此，这一内部控制概念对公司财务报告的外部审计不适用，审计人员应根据审计环境和财务报告使用者的要求合理地确定与审计相关的内部控制范围。在我国，执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。由于我国对内部控制审计的范围并没有明确规定，这给内部控制的外部审计工作加大了难度，所以我国还只是鼓励对内部控制进行外部审计，而不是强制要求。
　　(6)内部控制评价标准体系。从前面内部控制评价标准的性质和内容的分析中，我们知道，评价标准的整个体系可以分为内部控制的评价标准和内部控制评价实施的标准。尽管美国SEC基于灵活性的考虑并没有制定内部控制的评价标准，而是规定了评价标准适当与否的条件，但指出COSO的内部控制框架为适当的标准，PCAOB也以此制定审计准则，从总体上来看，形成了一个层次清晰的体系。在评价标准上，包括：COSO《内部控制—整合框架》；COSO《财务报告内部控制—小规模公众公司指引》；这两项是进行内部控制建设的指引，也是后期进行评价和审计的标准；SEC发布的管理层评价内部控制的解释性指南，这是企业管理层进行内部控制自我评估的指南；PCAOB发布的内部控制审计准则，这是审计师进行审计的标准，规定了审计的方法和程序。这就形成了内部控制标准、自我评估标准、审计标准的完整、规范的体系。在评价标准上，我国目前仅出台了《基本规范》和17项具体规范的征求意见稿。在评价实施的标准上，意见不一。比如，有的是按照中注协发布的《内部控制审核指导意见》，而有的则按照《中国注册会计师其他鉴证业务准则第3101号一历史财务信息审计或审阅以外的鉴证业务》实施。
　　
　　三、我国内部控制评价标准的建议
　　
　　(一)制定技术规范时采用“风险导向、自上而下”的方法论　内部控制标准有效推进的关键是降低成本，提高效率。从技术层面看，提高效率的路径在于：针对内部控制体系建设、内部控制评价和内部控制审计的每一个方面，在开发和制定技术规范时，要充分借鉴先进的方法论，并考虑我国内部控制环境的特点，做到简洁、高效、实用和可操作。我国可采用“风险导向、自上而下”的方法。
　　(二)遵循五要素原则　控制环境、风险评估、控制活动、信息和沟通、监督五要素是一个相互联系、综合作用的有机控制整体，使单纯的控制活动与企业环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内部控制机制。五要素的有机结合，更科学合理，更有利于企业董事会、经理层和其他员工共同实施，为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证。目前我国的企业内部控制基本规范已充分借鉴和吸收了五要素，在此基础上有所创新和补充完善。
　　(三)突出财务报告内部控制主线并兼顾风险管理　内部控制体系包括战略目标、经营目标、经营效率与效果、财务报告目标、资产安全等。这些目标既涉及到内部控制，也涉及到风险管理等。现阶段应当侧重规范企业管理行为，保障财务会计信息与资产的安全，提高对外披露的财务报告的真实性。随着企业的管理状况不断完善，内部控制制度的目标应相应提高，从保障财务信息的真实与资产的安全、完整，促进企业贯彻落实发展战略、提高运营效率等方面延伸，逐步实现与国际惯例的完全趋同。
　　(四)建立完整的内部控制评价标准体系　我国企业内部控制评价标准体系总体上应包括两个组成部分：(1)内部控制评价的标准。我国企业内部控制评价的标准应当包括：《企业内部控制基本规范》，将其作为内部控制评价的一般标准，适用于上市公司及大中型企业；《小企业内部控制基本规范》，将其作为适用于小企业内部控制评价的一般标准，就小型企业如何按照成本效率的原则使用《企业内部控制基本规范》设计和执行内部控制提供指导。(2)内部控制评价实施的标准。我国企业内部控制评价实施的标准应当包括：《企业内部控制评价规范》。将其作为企业管理层自我评价内部控制的规范，对内部控制评价的基本方法和程序进行指导；《中国注册会计师审计准则第X号——内部控制审计》，用来规范和指导注册会计师对内部控制的审计。所以，我国应尽快推出与企业内部控制基本规范相配套的内部控制评价规范和内部控制审计准则等，从而使我国在不同层次和不同环节建立完整的内部控制评价标准体系。