企业内部控制评价体系研究.doc

企业内部控制评价体系研究 一、内部控制概述（一）内部控制的产生 内部控制(Internal control)是社会经济发展到一定阶段的产物，其内容是随着公司对内强化管理，对外满足社会需要而不断丰富和发展的。著名学者塞缪尔约翰逊将其定义为“由另一个职员保管的登记薄或账册，可由他人逐项检查”。 直到上世纪中叶，“内部控制”作为专用名词，才广为流传。例如，以美国著名审计学家蒙哥马利命名的蒙氏审计学是在西方具有权威性影响的审计著作，它经久不衰，至今再版数己在十版之上。其中第二版到第五版均只提“内部牵制”(Internal check)一词，直到1940年的第六版才开始提出“内部控制”这个名词，尽管“内部控制”作为一个完整的概念被人们认识、接受的时间不长，但是仍可以从漫长的人类社会经济发展历史中寻觅到现代“内部控制”思想中某些控制方式的踪迹。本世纪以来，特别是近一、二十年来，内部控制有了迅速的发展。它不仅表现为人们广泛接受内部控制这一概念，而且还体现在从理论和实践上对内部控制进行深入的研究和广泛的应用。西方在对内部控制研究中，提出了许多内部控制的方式和理论。对内部控制的构成，有的称之为要素Elements)，有的称之为特征(Characteristics)，有的称为因素(Factors)等等;有的学者还试图用数学的方法，研究内部控制与错误弊端之间的因果关系。特别是电子计算机系统引入公司管理领域后，又开拓了内部控制的范围。 在实务工作方面，西方公司普遍实行内部控制制度，建立内部控制制度己成为公司管理方针的重要组成部分。许多公司还将有关各项业务活动的内部控制制度编成手册，作为管理人员的工作指南。内部控制不仅成为公司管理的重要内容、而且也成为审计人员关注的课题。许多会计公司都将其客户的内部控制制度的实施情况作为是否接受审查以及采用何种交帐方法的依据。1949年，美国注册会计师协会审计程序委员会发表的题为内部控制一个协会系统的要素及其对管理层和注册会计师的重要性中最早给出内部控制的定义，“内部控制包括组织机构的设计和公司内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护公司的财产，检查会计信息的准确性，提高经营效率，推动公司坚持执行既定的管理政策。”1958年10月该委员会发布的审计程序公告第29号对内部控制定义重新进行表述，并将内部控制划分为会计控制和管理控制。 （3）内部控制结构 20世纪80年代至90年代是内部控制结构阶段。20世纪80年代以后，西方会计审计界对内部控制研究的重点逐步从一般涵义向具体内容深化。1988年美国注册会计师协会发布的审计准则公告第55号，从1990年1月起取代1972年发布的审计准则公告第1号。该公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。这一时期内部控制理论将控制环境纳入控制范围，不再区分会计控制和管理控制，使内部控制内涵得到扩展。 (4)内部控制框架 进入20世纪90年代后，内部控制的研究进入了一个新阶段，内部控制也发展到了内部控制整体框架阶段。1992年美国“反对虚假财务报告委员会”下属的COSO委员会(Committee Of Sponsoring Organizations Of The. TreadwayCommission)发布了“内部控制整体框架”报告，即COSO报告”。1996年美国注册会计师协会全面接受COSO报告的内容，发布了审计准则公告第78号，将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规。”该准则将内部控制划分为五种成份，它们分别是控制环境、风险评估、控制活动、信息与沟通、监督。每个发展阶段所处的时间和内部控制的定义、定义的出处及其特点，可以归纳为表1-1表1-1内部控制的发展时间阶段定义出处定义特点20世纪40年代前内部牵制柯氏会计辞典以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。交叉检查和交叉控制业务流程20世纪40年代末至70年代内部控制制度内部控制，一种协调制度要素，及其对管理当局和独立注册会计师的重要性内部控制包括组织机构的设计和公司内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护公司的财产，检查会计信息的准确性，提高经营效率，推动公司坚持执行既定的管理政策。首次提出了系统完整的内部控制定义20世纪80年代至90年代内部控制结构审计准则公告第55号公司的内部控制结构包括：提供取得公司特定目标的合理保证而建立的各种政策和程序。包括三个要素:控制环境、会计制度、控制程序正式将控制环境纳入内部控制范畴;不再区分会计控制与管理控制20世90年代后内部控制框架COSO报告内部控制是由一个公司的董事长、管理层和其他人员实现的过程，旨在为下列目标提供合理保证:1财务报告的可靠性;2经营的效果和效率;3、符合适用的法律和法规将内部控制划分为五要素，增加了风险控制要素。21世纪内部控制框架中国企业内部控制基本规范我国企业内部控制基本规范对内部控制的定义： 内部控制是由企业董事会、监事会、经理层和全员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 把内部控制的目标提升到“促进企业实现发展战略”的高度，超越了COSO。对上述内容及表1-1进行分析，从内部控制的范围来看，可以看出内部控制经历了由“部分控制论”向“全面控制论”的发展过程。在内部控制理论发展的初期阶段，内部控制只是进行“部分控制”，管理控制和会计控制被分开来，1958年10月美国注册会计师协会审计程序委员会发布的审计程序公告第29号对内部控制定义重新进行表述，它将内部控制分为内部会计控制和内部管理控制两个部分，并将内部会计控制与保护资产的安全完整和财务记录的可靠性直接联系在一起，具体的措施有交易授权与批准制度、资产的实物控制、从事财务记录和审核与从事经营或财产保管职务分离的控制。1972年，审计程序公告第54号对内部会计控制进行了重新定义，认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录，并对下列事项提供合理的保证:交易经过合理的授权进行:公司对交易进行了必要的纪录，以确保财务报表的编制与公认会计原则保持一致;资产的使用和处置经过管理层的合理授权;在合理期间内，对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。 1992年，COSO委员会对内部控制进行了深入的研究。根据COSO委员会1992年提出的内部控制一整体框架报告中的定义，内部控制是受公司董事会、管理层和其他人员影响的，为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。1995年，美国注册会计师协会审计准则委员会在其发布的审计准则公告第78一号中，接受了COSO报告对内部控制的定义。 2002年7月30日，在美国公司欺诈案愈演愈烈的特殊情况下，美国颁布了 (2002萨班斯一奥克斯利法案，对美国公众公司和注册会计师的监管体制做出了历史性的重大改革。此法案对公众公司提出了评价及披露内部控制的要求，强制要求公众公司在年度报告中提供内部控制报告，声明管理层建立和维持有关财务报告的内部控制结构及程序的责任，并评价其有效性;同时要求负责该公司年报审计的会计师事务所对公司管理层做出的内部控制报告进行审核并出具审核报告。 英国也对内部控制做出了一定的研究。卡德伯利报告(1992)从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。报告进一步认为，有效的内部控制是公司有效管理的一个重要方面。因此建议董事会应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核和报告，同时规定在董事会认可声明之前，审计委员会应对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师职业应在以下方面起到领导作用:开发用以评估有效性的一整套标准;开发董事会报告形式的具体指南;开发审计师用以相关审计程序和报告格式的具体指南。哈姆佩尔报告(1998)将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。该报告认为，很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该对内部控制进行复核以强调相关控制目标，这些目标包括对公司风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。 1999年，英格兰及威尔士特许会计师协会中以尼格尔特恩布尔为主席的十人工作小组公布了内部控制:综合准则董事指南，即特恩布尔报告。报告的主要内容为:(1)上市公司应当具备健全的内部控制系统，以保障股东投资和公司资产的安全。报告认为，公司的内部控制系统在风险管理方面起关键作用，对实现公司的商业目标尤为重要。(2)管理层每年应对公司的内部控制系统至少审查一次。(3)定期对公司面临的风险进行评估。(4)风险管理审查应包括运营控制、遵守规则控制和财务控制。 1999年10月颁布的会计法是我国第一部体现内部会计控制要求的法律，该法明确提出，各单位应当建立、健全本单位内部会计监督制度，单位内部会计监督制度应当符合下列要求:记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约;重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确。 2000年3月，我国发布的公开发行证券公司信息披露编报规则第一号、第三号、第五号，要求商业上市公司、保险公司、证券公司建立内部控制制度，并对内部控制制度的完整性、合理性和有效性进行评价，提出改进建议，并对内部控制评价报告的形式作出报告。2001年中国注册会计师协会(内部控制审核指导意见规定会计师审计必须出具内部控制审核报告，在审计规范中明确了对内部控制评价的要求。 2001年5月22日，颁布了内部会计控制规范基本规范(试行)和内部会计控制规范货币资金(试行)。2002年12月颁布了内部会计控制规范一销售与收款(试行)和内部会计控制规范采购与付款(试行)。这些制度是企业建立内部控制的指导，也是对内部控制进行评价的标准。 2008年我国企业内部控制基本规范对内部控制的定义： 内部控制是由企业董事会、监事会、经理层和全员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 以上定义把内部控制的目标提升到“促进企业实现发展战略”的高度，因此可以说，我国的内控框架超越了COSO. 阎达五，杨有红(2001)认为，保证会计信息的真实性是内部控制发展的主线，会计控制是公司内部控制的核心，内部控制目标随公司治理机制的完善呈多元化趋势。内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。内部控制框架在公司制度安排中担任内部管理监控的角色，成为公司管理中不可缺少的部分。在内部控制框架的构建中应抓住的关键问题是:财务负责人进行了问卷调查，调查内容主要涉及内部会计控制、会计信息质量以及两者之间的关系三个方面的问题，并对此次调查收回的73份有效问卷做出统计和分析，分析结果表明大多数人认为内部会计控制与会计信息质量的相关性高，并且认为应当在对外财务会计报告中披露内部控制。 郭晓梅，唐予华(2002)探讨了内部控制制度和会计信息对于委托代理问题的意义，并从内部控制制度的构成和控制系统与信息系统的关系入手，分析了会计信息对于内部控制制度的作用，以及内部控制制度对会计信息的反作用。认为内部控制制度与会计信息共生共存，相互影响，加强内部控制制度有助于提高会计信息质量，而会计信息质量的提高又将促进内部控制制度的有效实施，最终促进委托代理问题的解决。 李明辉(2002)认为一个健全的内部控制体系，应包括:公司所有权、决策权、经营权、监管权的相互制衡，公司决策权和经营权的制衡，公司内部的审计组织模式以及职权范围，公司的财务控制，公司的内部控制制度和岗位操作规范。并指出我国上市公司内控体系存在三权制衡体系混乱，“内部人”控制现象严重，内部审计的地位削弱化的问题。二、企业内部控制自我评估（Control Self Assessment ，CSA）概述（一）CSA的含义及发展过程CSA是指企业定期或不定期地对其内部控制系统的有效性及其实施的效率效果进行评估。CSA是一种在西文国家中广泛使用的内部审计技术，它是由管理层和业务人员直接参与的过程，其目的是确保内部控制系统的恰当性和有效性，为组织目标的实现提供合理的保证。CSA最早是由加拿大海湾公司在1987年首次提出的，其独创的理论受到国际内部审计师协会的赞许和推广，其工作方法逐步在全球得到广泛的应用。CSA最主要的发展阶段是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下的财务模式的平面结构发展为更具弹性的企业整体模式的立体框架。如今，世界上越来越多的公司和组织已经或正式实施一些成功的CSA计划。例如美国联邦存款保险公司和加拿大存款保险公司要求美国和加拿大金融机构评价内部控制。世界银行专门出版了一本有关CSA实施经验的书。安永、德勤等会计师事务所也都各自开发了关于实施CSA的软件。国际内部审计师协会还专门成立了CSA中心。2007年，中国内部审计协会发布了内部审计具体准则第21号内部审计的控制自我评估法；2008年，财政部、证监会、审计署、银监会、保监会五部委联合发布了企业内部控制基本规范；2009年4月26日，财政部等五部委正式发布了企业内部控制配套指引，其中包括企业内部控制评价指引。这些表明，在目前国际大背景下企业内部控制自我评估（Control Self Assessment,简称CSA）的重要性以及我国对加强CSA的重视。（二）CSA的特征1、CSA是一种自发的由控制成员全员参与的评估运营程序。CSA把传统的由仅由内部审计人员从事的内部控制评价，发展成为由各部门参与作业的人员亲自参与内部控制评估的共同事情。内部控制评估不只是内部审计部门人员的责任，也不只是高级管理层应该关心的问题。全员评价、全员控制，实现了内部控制质的飞跃。2、CSA是一种系统化的评估运营程序。CSA系统化主要体现在两个方面。一方面，是评价方式的系统化：由引导会议、问卷调查法和管理结果分析法等方法相结合来实施，使评价更系统、更有效。另一方面，是评价内容的系统化，CSA控制过程还包括公司治理、经营理念、职业道德、沟通、人力资源政策和文化等一系列涉及内部控制环境的环节，使评价更客观、更全面。3、CSA是一种更高层次的评估运营程序。传统的内部控制评价方法只能用来评价诸如财务报告、资产与记录的接触、使用与传递、授权授信、岗位分离、数据处理与信息传递等“硬控制”。CSA迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等“软控制”。（三）CSA的作用1、改善控制环境企业的所有成员都对内部控制负有相应的责任，利用CSA可以起到有效教育并帮助管理人员明确并自愿承担其责任的作用。CSA还能通过影响一般员工来对控制环境产生积极的贡献。2、提高内部审计效率从内部审计管理的角度看，有效地利用CSA结果可优化审计作业流程，提升审计方案质量，从而提高审计效率。3、节约外部审计资源外部审计人员，如注册会计师在会计报表审计过程中可以利用CSA获得的大量信息和评估结果来评价控制风险，有助于简化控制测试程序，提高工作效率，相对减少实质性测试程序和降低审计风险，节约审计资源。（四）内部控制评价标准 受coso报告的影响，很多国家及各专业团体仿效coso对内部控制进行了重新研究，并采纳其最新理念，发布了自己的文告，形成了自己的内部控制评价标准体系。我国当前的内部控制评价标准体系的建立应当以前瞻性原则与务实性原则为指导，既要借鉴国际上先进的研究成果，又要结合我国的现实情况，这样才能真正发挥其加强公司内部管理、推动独立审计事业发展及为市场经济服务的作用。 内部控制评价标准体系可以定义为:属于内部控制评价标准范畴的有关事物相互联系相互制约而构成的一个内涵与外延相互统一的整体。以西方内部控制评价标准理论与实务为基础，结合我国国情，从内部控制要素入手，将内部控制评价标准划分为一般标准和具体标准两部分，一般标准以具体标准为基础，同时也是具体标准的升华，二者相辅相成，缺一不可，共同构成一个完整的体系。1、内部控制评价一般标准 内部控制评价的一般标准，是指应用于内部控制评价的各个方面的标准，即内部控制制度整体运行应遵循和达到的目标。正如同我国注册会计师执行报表审计的目的是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见一样，内部审计人员对内部控制评价的目标应该是对公司内部控制的完整性、合理性及有效性进行评审，即内部控制评价的一般标准是内部控制的完整性、合理性及有效性。 （1)内部控制的完整性 内部控制的完整性是指公司根据生产经营的需要，应该设置的内部控制都已设置。内部控制要渗透到公司的各项业务过程和各个操作环节，覆盖所有的部门和岗位，不能留有任何死角。完整性是内部控制评价一般标准中首要的一条，也是其他一般标准的基础。若内部控制的完整性都达不到，则内部控制的合理性与有效性就无从谈起。 （2)内部控制的合理性. 内部控制的合理性同样包括两层涵义:一是指公司的内部控制政策和措施没有与国家法律法规相抵触的地方;二是指内部控制设计和执行时的适用性和经济性。在满足了完整性这条首要标准之后，合理性是对内部控制更深一层的要求。如果内部控制不具有完整性、则合理性与有效性就无从谈起。同样，若只追求各种内部控制措施、方法等的完善，而忽略设计和执行的适用性和经济性，其结果会影响公司正常的生产经营活动。内部控制的有效性以完整性和合理性为基础，内部控制的完整性与合理性则以其有效性为目的。若不具有完整性与合理性，则内部控制的有效性无从谈起;同理，若没有了有效性，则内部控制的完整性与合理性也就丧失了基本的意义。 有效性要求内部控制制度能有效地防止错误与弊端的发生，产生效率和效益。这不仅仅需要内部控制总体上是有效的，而且需要各项具体制度也要有明确的目的并发挥其自身的作用。因此，内部控制系统要相互协调，决不能顾此失彼、自相矛盾，既要有制约作用，又要有协调机制，以有利于整体功能的发挥。控制要适度，过严的控制会使管理活动失去生机，影响职工积极性的发挥;过宽的控制又会引起内部控制运行的机制失调，达不到控制目的。任何制度都要有利于管理者和职工群众的理解和执行，因此要简明扼要、方便易行、讲究实效。2、内部控制评价的具体标准 内部控制评价具体标准是指应用于内部控制评价具体方面的标准，是具体内部控制制度运行应遵循和达到的目标。内部控制评价具体标准是一般标准的基础，一般标准是具体标准的升华。内、部审计人员在对内部控制进行评价时，只有先从操作性较强的具体标准入手，对具体内部控制的设计与运行有了认识之后，才能从整体上对公司内部控制的完整性、合理性和有效性作出判断。 内部控制评价的具体标准还可以分为三个层次:第一层次是内部控制要素评价标准;第二层次是内部控制要素类别评价标准，要素类别是控制要素的细化;第三层次是内部控制具体细节评价标准。借鉴美国COSO报告的研究成果，内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个。每一个要素又可以再分为更多的项目，例如控制环境要素涵盖的项目就有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分派体系、人力资源政策及实行等。（五）内部控制的评价程序 内部审计部门在进行内部控制的评价时，可以借鉴注册会计师对被审计公司的程序、方法等。内部审计部门采用的内部控制评价程序，和外部审计的评价程序相似，第一步是调查了解公司内部控制的现状;第二步是进行健全性测试和评价，评价内部控制的完整性;第三步是进行符合性测试和评价，评价内部控制的有效性;第四步是根据这两个阶段评价结果进行的后续评价也可以称为综合评价，评价整个公司内部控制的情况:第五步是出具内部控制评价报告。内部控制的评价程序可以用图所示。.1、内部控制现状调查 调查单位内部控制的现状，主要是了解内部控制的控制环境和内部控制制度的严密性。调查的方式有三种:一是向公司的有关管理人员和当事人询问有关内部控制的现状情况;二是查阅公司的有关内部控制的规章制度和文件资料;三是查问以前年度有关公司内部控制方面的内部审计和外部审计档案。在调查了解的同时，内部审计人员应运用记叙法、调查表法、流程图法等技术方法，将公司内部控制的现状准确地描述出来。 这一步骤主要目标是内部一审计人员通以上三种调查方法了解公司己经建立的内部控制制度及执行情况，并对其进行描述。一个公司有效的内部控制，在很大程度上需要依赖于它的控制环境，因此，内部审计人员首先需要了解公司的控制环境如何，它包括各级管理人员的控制意识、各级管理组织的设置、权责分配、各级人员的素质、各项管理措施等。内部审计人员通过查阅有关规章制度、方针及政策等文件，查看组织机构系统图。询问有关人员，进行实地观察、查阅前期审计报告或审计工作底稿等手段来入手，审查有关的规章制度是否符合内部控制的原则，以便了解情况，发现问题。然后，还要对公司的风险评估、控制程序、财务会计信息及其传递的情况有一个总体概念。内部审计人员可以通过了解公司管理机构是否精干高效，部门、岗位责权是否明确，不相容职务是否分工负责、相互制约;经济业务流程是否都有书面记录，凭证填制、传递是否都有明确规定，符合程序牵制原则;重要经济业务活动是否都有明确规定，符合程序牵制原则;重要经济业务活动是否都有检查、核对、考核制度:是否建立了独立职能的内部审计机构等状况，来对内部控制的严密性做出评价。2、健全性测试和评价通过第一步的调查了解，内部审计人员应运用记叙法、调查表法、流程图法等技术方法，将公司内部控制的现状准确地描述出来。健全性测试和评价，首先是在上一步的基础上，将调查出的公司现行制度与理想的模式进行比较，以理想模式下的内部控制为标准来揭示公司现行内部控制是否健全完善:（1）控制对象目标是否明确，控制程序是否清晰明确，是否固定化;（2）组织机构是否健全，是否适应控制要求;（3）权责是否一致，分工是否明确，相互能否制约;（4）规章制度是否健全，是否可行;（5）控制机构、人员、程序、措施等设置是否符合成本效益原则;（6）是否适合于既定的风险控制目标。在比较时还要注意分析现行的内部控制与理想模式的差距是多少，存在差距的原因何在，企业是否已经注意到这一差距可能造成的不良后果等。 内部控制健全性测试和评价，特别要注意分析和识别内部控制的强点和弱点。强点就是指公司内部控制建立的较好的环节，弱点是指内部控制中存在的薄弱环节。对内部控制健全性测试和评价的重点是对其控制弱点的分析，分析这些弱点可能产生的不良后果，分析这些弱点是否已经采取补救措施来消除将会产生的不良影响，分析如何将这些弱点转变为强点。 最后，在分析公司内部控制中所有控制缺陷及其潜在影响的基础上，内部审计人员即可以对其健全程度做出评价。3、符合性测试和评价 符合性测试，也叫有效性测试，它是对公司内部控制系统进行的进一步测试.其目的是检查所谓健全完善的内部控制系统是否得以严格认真的贯彻执行，能否有效地保证各项控制目标的实现。符合性测试应着重查清三个问题:（1）这项控制是怎样应用的;（2）是否在年度中一贯应用;（3）由谁来应用。如某项控制在年度中是由被授权的人员适当且一贯应用，那么该项控制政策得到了有效的执行。如果为未能适当和一贯应用，则说明该项控制执行失效。 所谓符合性测试实质上是一种定性的统计抽样检查，即通过统计抽样的方法抽取一定数量的样本进行检查，借以推断公司内部控制系统的质量状况。将各个控制环节实际控制情况与控制标准进行比较，将失效控制点找出来，对其失效性质、失效程度和潜在影响进行逐项分析，然后对内部控制执行的有效性进行评价，如果评价结果是内部有效或基本有效，则表明内部控制执行良好，如果评价结果是内部控制无效，则表明内部控制无法发挥控制功能。4、内部控制综合评价在内部控制综合评价阶段，首先内部审计人员要将健全性测试和评价、符合性测试和评价过程中的调查情况按各项内部控制要素及其具体项目进行汇总整理。然后通过整理的结果来分析判断内部控制系统中内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面的完整性和有效性的程度。接着将评价内部控制五要素设计和执行程度的结果运用矩阵法进行评分，转换为定量的描述。最后通过上述定量结果的加权综合分析，得出公司内部控制系统的综合评价结果。5、内部控制评价报告 内部审计人员根据测试目标实施了所有的测试程序之后，要根据测试的结果出具内部控制评价报告。报告中应说明内部控制是否符合公司的管理方针与政策，内部控制实施是否能满足公司管理的需要，今后改正的计划与进度安排等。其主要内容包括内部控制制度的运行情况(缺点与最佳部分)、执行情况与改进建议三部分。这些具体情况包括:控制环境、风险评估、控制活动、信息与沟通、监督五个方面完整性和有效性的具体情况。对于有严重缺陷的内部控制，应立即写报告通知公司的管理层，及时采取相应补救措施。三、我国上市公司内部控制的综合评价（一）我国上市公司内部控制综合评价指标体系1、构建基本原则 (1)全面性和系统性原则 全面性原则要求选择的指标要能涵盖内部控制的各个方面。系统性原则要求指标体系地设计要力求科学、系统、准确地反映公司内部控制指标之间的关系和层次结构。 （2）可操作性原则 内部控制评价指标的选取应具有可操作性。内部控制是公司经营过程的规范程序和控制约束。公司中内部控制成功与否直接影响经营业绩好坏。对内部控制评价指标的数量要尽可能地少而精，便于评判人员操作。同时也要能概括内部控制的真实状况。 （3）前瞻性原则 内部控制评价指标中应考虑公司知识资本等新经济元素的控制利用程度。经济发展不断将新的要素加入内部控制的范畴中，企业文化、知识技术水平对经营成效的影响很大程度上是对企业长期效益的影响。在建立内部控制评价指标体系时应具有前瞻性，评价中应对知识资本、人力资源、文化环境等因素对内部控制和公司的影响给予充分考虑。 （4）成本效益和重要性原则 企业加强实施内部控制必定要消耗资源，但企业的管理控制资源是有限的，因此对内部控制的评价应遵循成本效益和重要性原则。随实践的发展可供评价的因素不断扩大，应抓住公司内部控制的关键环节进行评价。在选取评价指标时应随具体环境和评价目的的不同有所侧重，遵循重要性原则，选取合理数量的评价指标，对结果采用相对分析方法，允许评价结果在标准值一定范围内发生波动。2、内部控制综合评价指标体系 上市公司内部控制指标体系的设计要根据以上原则来建立。COSO报告所包含的内部控制内容是目前最为完善的，并且我国很多上市公司内部控制要素采用COSO“五要素”。结合前面分析的影响我国上市公司内控现状的一些因素，按全面性系统性等原则选用五要素即控制环境、风险评估、控制活动、信息与沟通、监督。针对上述五要素，分别运用完整性和有效性，并设置相应的评分标准，根据不同要素重要性的不同进行加权，从而得出内部控制综合评分。 (1)完整性评价标准 将内部控制的完整性程度分为“完整”、“基本完整”、“不够完整”、“不完整”四不等级，用来作为内部控制设计完整性的评价标准。 “完整”表示各项内部控制制度全面、完整，覆盖所有的业务领域和操作环节，适应业务发展和风险防范的需要，符合国家的金融法律和监管部门的规章制度。 “基本完整，表示重要业务领域均制定了相应的内部控制制度，基本适应业务发展和风险防范的需要，但部分内部控制制度的操作性、指导性不强，个别业务领域和管理环节缺少内部控制制度。 “不够完整”表示内部控制制度不够全面，部分重要业务领域或操作环节缺乏相应的内部控制或存在缺陷，不利于业务发展和风险防范的需要，可能影响上市公司安全运营或造成损失。 “不完整”表示内部控制制度存在严重缺陷，重要业务领域或操作环节缺乏相应的内部控制，业务发展缺乏管理控制，潜在风险已影响上市公司的安全运行。 （2）有效性评价 将内部控制的有效性程度也分为“有效”、“基本有效”、“不够有效”、.无效”四个等级，用来作为内部控制执行有效性的评价标准。 “有效”表示各项内部控制得到认真贯彻执行，所有业务领域和操作环节所承受的风险得到有效的控制，内部控制能有效地发现、管理、控制各种风险，并且与上市公司规模和业务发展相适宜。 “基本有效”表示各项内部控制制度基本得到贯彻执行，重要业务领域和操作环节所承受的风险得到控制，但有局部违章操作现象。 “不够有效”表示所设计的内部控制制度基本没有得到认真执行，导致部分重要业务领域或操作环节的风险未得到有效控制，或存在的内部控制缺陷或违章操作，可能引致风险，若不采取措施可能对上市公司的安全运行带来严重影响。- “无效”表示所设计的内部控制没有得到有效执行，内部控制有效性存在严重问题，不能有效防范和控制重大风险，很可能导致管理失控或业务损失，并危及上市公司的安全运行。内部控制综合评价目标指标体系见表5-23、内部控制综合评价的步骤及方法 内部审计人员对上市公司内部控制综合评价是从定性评价到定量描述，又从定量描述到定性评价的这样一个过程。如下图所表达的那样，上市公司内部控制综合评价是从局部的定性评价到局部的定量描述;又从局部的定量描述到整体的定量评价;最后从整体的定量描述得出整体的定性评价结论。在这整个评价过程中都需要内部审计人员的专业判断。分别整理、汇总五要素的健全性测试和符合性测试结果五要素：控制环境、风险评估、控制活动、信息与沟通、监督完整性有效性完整基本完整不够完整不完整有效基本有效不够有效无效通过矩阵分别对各要素的合理性和有效性进行评价打分运用加权利平均法计算确定内部控制的综合评分内部控制综合评价报告矩阵法定量描述 第一步，内部审计人员通过健全性测试和符合性测试完成了对各项具体的内部控制的测试和评价之后，应按上一节中设计的内部控制评价内容指标，将各项具体的内部控制进行完整的归类，即从内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面，分别系统地按内部控制的设计和执行进行整理。 第二步，分析整理资料，判断内部控制中内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面的完整性程度和有效性程度，并运用己设计的内部控制评价标准对其进行定性评价。在对内部控制系统各要素从设计和执行两个方面进行定性描述的过程中特别需要内部审计人员的专业判断。 第三步，运用矩阵法分别对公司内部控制环境、风险评估、控制活动、信息与沟通、监督五个方面进行评分。通过矩阵及打分法将第二步对五项要素设计和执行两个方面的定性评价转化为定量描述。 第四步，根据第三步确定的各要素的评分，计算上市公司内部控制的综合评分。内部控制的综合评分是各要素评分的加权平均值。内部审计人员将这个加权平均值作为内部控制综合评分。到此为止，内部审计人员对内部控制系统仍是定量的描述，这一步是对上市公司内部控制母系统的定量描述(第三步是对各子系统的定量描述)。第五步，根据前四步内部控制各要素的评分，分析出内部控制的薄弱环节;根据对内部控制系统的综合评分，分析出公司内部控制的整体情况，然后出具包括综合评价结果及建议的书面报告，从而完成了整个内部控制的综合评价过程。4、综合评价方法的具体操作4.1测试资料汇总及各要素内部控制定性评价 健全性测试和有效性测试是综合性评价的前提工作，它们为综合评价提供了内部控制制度设计的完整情况和内部控制制度执行的有效情况等必须的基础资料。综合评价首先要将符合性测试和有效性测试收集到的公司内部控制的情况，按内部控制五要素进行分类汇总，在每个要素下又可以按内部控制详细评价内容指标分别汇总。然后，内部审计人员根据汇总的资料，运用其丰富的工作经验，依据内部控制特征，分别对各要素的完整程度及有效程度进行专业的判断和评价，即分别对各要素的评价目标指标进行评价。最后将评价的结果用内部控制评价标准来描述，并将最后结果填入表5-3。比如，内部审计师评价控制环境制度设计全面、完整、经济并覆盖了所有的业务领域和操作环节，适应业务发展和风险防范的需要，符合国家的金融法律和监管部门的规章制度，那么就可以评价控制环境的完整程度是“完整”，那么就可以在表5-3中找到“控制环境”列和“完整”行，并在交叉的地方划上“7”。4.2各要素的矩阵评分 内部审计人员通过上述步骤得出上市公司控制环境、风险评估、控制活动、信息与沟通、监督五个要素的“完整性”和“有效性”两方面的评价结果。本步骤是将上述结果按照表5-4所示的评分标准，分别将各个要素的定性评价转换为定量评分，.即得出上市公司内部控制系统五个要素的相应评分，并将评分结果填入表5-5。每个要素的评分范围是0-10分。6分以上的内部控制要素是可以接受的，而6分以下的内部控制要素是不合格的。 根据填入表一5-3中的结果，如果某项要素的内部控制“设计”是“完整”的，而且在“执行”是“有效”的，我们通过矩阵得出这项要素内部控制的评分结果是10分。可见被评价为10分的内部控制要素应当是一个十分完美的内部控制系统，只有在“设计”和“执行”两个方面都找不到缺陷的情况卞，才可以评价为10分。如果某项内部控制要素“设计”为“完整”，但“执行”是“基本有效”;或者“执行有效”，但“设计”是“基本完整”，_通过矩阵得出评分结果应当是8分。也就是说，在内部控制设计上没有问题但执行中的有效性方面存在某些不足或在内部控制执行中没有问题，但设计的完整性方面存在某些缺陷的情况下，该项内部控制要素才能评为8分。 如果某项内部控制要素设计基本完整同时执行基本有效或者是设计虽然完整但执行不够有效或者是尽管执行有效但设计不够完整，应当被评6分。 在以下四种情况下，该项内部控制要素应当评价为4分:一是设计虽然完整，但执行无效;二是设计虽然基本完整，但执行不够有效;三是执行虽基本有效，但设计不够完整;四是尽管执行有效，但设计不完整。 在以下三种情况下，这项内部控制要素应当评价为2分:一是设计虽基本完整，但执行无效;二是设计不够完整，且执行也不够有效;三是虽然执行基本有效，但设计不完整; 在以下三种情况下，这项内部控制要素应当评价为0分:一是设计不够完整，且执行也无效;二是设计不完整，且执行也不够有效;三是设计不完整，且执行无效。 从上面的表述可见，无论内部控制设计得如何完善，但没有得到有效的执行，这个内部控制系统也是无效的;同样，如果内部控制设计存在重大缺陷，不管你执行得如何到位，这个内部控制系统也是无效的，所以说，内部控制是设计和执行的统一，两者缺一不可。因此，应同时选择完整性和有效性这两个内部控制评价目标指标来对上市公司内部控制各要素进行评分，将定性的描述转化成定量的表达，为下一步对内部控制系统的总体评价提供基础。4. 3各要素分数的定性描述 通过上述方法，内部审计人员分别对上市公司的控制环境、风险评估、控制活动、信息与沟通、监督五个方面的内部控制进行了评分。这些不同的分数在不同的内部控制要素上具有不同的涵义，以下是对各要素相应分数的定性描述。 (1)控制环境 10分:表明公司具有良好的内部控制运行环境。良好的控制环境应当包括:有明确的战略目标和公司价值标准;各职能部门职责界限明确;能确保董事会成员称职，清楚其在公司治理机制中的作用，不会受到管理层或外部因素的影响;能确保对高级管理层进行完整的监督;能有效利用内部审计人员和外部审计师的工作，承认他们所起到的重要控制作用;确保补偿方法与公司的道德价值观、战略、目标和控制环境相一致;公司治理机制能保持足够的透明度;管理层有足够的内控意识，组织中有良好的控制氛围，员工有较强的内控觉悟;管理层用规定的准则和敬业精神严格要求自己和员工;人事政策完整;各项规章制度和实施细则完整及有效的内部审计机制等。 8分：表明公司的控制环境较好，在某些方面存在不足，但仍足以保证公司的健康运行。 6分:表明公司的控制环境一般，在许多方面存在缺陷，距上述良好的控制环境标准还有较大的距离。 4分:表明公司的控制环境存在严重问题，达不到公司控制环境的基本要求。 2分和0分:表明公司的控制环境很差，控制环境制度设计和执行都存在非常严重地缺陷。 (2)风险评估 10分:表明公司建立了完善的风险识别系统和风险分析系统。制定了企业层级的目标及作业层级的目标;建立了由经营部门、业务欧能部门及内部审核部门等不同层次和不同侧重点的风险识别系统并且对风险发生的频率及影响能进行准确的预测;能对预测到的风险采取有效的控制措施;设置了辨认改变的机制。8分:表明公司基本制定了企业层级的目标及作业层级的目标;建立了较为完善的风险识别系统和分析系统，但在某种程度上存在缺陷，却仍能控制部分主要风险，保证公司的健康发展。 6分:表明公司风险评估存在较为明显的缺陷，但是还是可以识别和控制大部分风险，基本保证公司的经营运作。 4分:表明公司的风险评估存在严重的问题。虽然建立了一些风险分析和控制程序，但不能辨认出大部分将影响公司目标的风险，达不到有教控制风险的作用。 2分和。分:表明公司风险评估很差，基本上没有建立预警机制，也基本上起不到预防风险的作用。 (3)控制活动 10分:表明公司对各作业循环都制定了相应的控制政策和程序并且被认真执行;能有效地控制各作业的运行过程;能达到限制和降低风险的作用。 8分:表明公司各作业循环的控制政策和程序中存在较小的缺陷，在控制政策的执行过程中存在一定的问题，作业的运行、风险的降低较为有效。 b分:表明公司的控制活动中存在较多的问题，但是仍能保证企业的基本运行。 4分:表明公司的控制活动较差。各作业循环的控制政策和程序不健全，控制政策不能得到认真的执行，作业的运行存在较大的问题。 2分和0分:表明公司的控制活动存在很多漏洞。各作业循环基本没有监督和风险控制制度，作业的运行效率差。 (4)信息与沟通 10分:表明公司有良好的信息沟通能力。设置的信息资讯系统能有效的辨认和衡量适当的资讯，包括财务和非财务资讯;建立的内控信息和快速信息反馈机制能保证各管理部门迅速获得业务发展、执行制度状况、存在问题和改进建议等内部控制所需信息;信息系统能迅速的将员工应履行的任务传递给他们;公司内部向下、向上及横向的信息沟通顺畅;公司与外界也存在有效的沟通。 8分:表明公司的资讯系统较为完善，有少数环节不够畅通，在重大事件上能达到公司内部员工之间，公司与外界之间的信息沟通。 6分:表明公司的资讯系统存在很多问题，只能基本能保证信息畅通。 4分:表明公司的资讯系统存在非常严重的问题，只能在少数几个环节上保证信息的畅通。2分和0分:表明公司的资讯系统根本就不能起到公司内部之间和公司与外界的信息沟通作用。 (5)监督 10分:表明公司设有完善的监督体制，能有效的起到监督作用。设有持续监督程序;建立了监督评审的评价标准;设有定期检查内部控制其他组成要素功能发挥情况的程序;检查过程中发现的缺失能及时报告给相应的负责人;内部审计部门能客观公正地对本公司内部控制的有效性和完整性予以评价。 8分:表明公司的监督体制较好，但