关于内部控制评审,人们的称谓有内部控制评审、内部控制评价、内部控制审计、内部控制测试、内部控制测试、内部控制评估、内部控制自我评估、内部控制自我评价、内部控制自我评估法等多种,认识也是不同的:
基础论:内部控制评审是现代审计的基础,现代审计与传统审计的区别就在于现代审计能够通过对内部控制的了解、检查、测试和评价来确定进一步审计的方向,从而提高现代审计的工作效率,降低审计成本和审计风险。内部控制评审在现代审计中既可以作为一种审计方式,又可以作为一项审计内容。
要素论:内部控制评审是指对内部控制制度的健全性和执行有效性进行审查和评价,旨在发现和改进内部控制薄弱环节,促进公司强化管理,提高经营效益,实现健康可持续发展。
过程论:内部控制评价是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。内部控制自我评估,是指由对内部控制的制定与执行负有责任的组织相关管理人员对内部控制进行评价的过程。内部控制自我评价,是指由公司董事会和管理层组织内部机构实施的,对公司内部控制有效性进行评估,形成评估结论,出具评估报告的过程。内部控制有效性是指公司建立与实施内部控制能够为控制目标的实现提供合理的保证。
活动论:内部控制测评是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制,并确定实质性测试的性质、范围、时间和重点的活动。内部控制评价,是指对企业内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。内部控制审计是指组织内部审计机构和人员通过系统、规范的方法对照理想、合适的内部控制模式,对组织现行的内部控制制度的适当性和有效性进行独立的评价和监督活动。
方法论:内控自我评估(CSA)指的是企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的方法,体现了一种“全员评价,全员控制”的全新理念。
审计论:内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。
3C框架:虽然人们对内部控制评审称谓有多种,对其定义也有各侧重,但就本质没有多大差别,尤其是在实际工作中所需要工作内容、方法、程序基本是一致,因此,可统一语言,简单定义为:对内部控制进行评价与审计的动态的过程,包括调查、测试、审查、评价、报告等。当然,这里内部控制评审不仅仅是现代审计的方式,而是内部控制体系的一个重要组成。把内部控制评审作为现代审计一种方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围进而对会计报表发表意见。这在以制度基础审计中是必要的,更是不可缺失的,实际上就是在在风险基础审计中也是不可或缺的组成部分。把内部控制评审作为内部控制体系一个重要组成部分,由组织内外的机构和人员,独立对内部控制进行调查、测试、审查、评价、报告,包括管理层的自我评估、内部外部机构的评价和审计等。从内部控制体系构建过程看,传统上一般分内部控制设计、内部控制测试和内部控制评价三个方面,现在多分为内部控制设计、内部控制评价和内部控制审计三个方面,并把内部控制设计确定为组织管理层的的责任,把内部控制评价界定为管理理层的自我评估(评价)和内部审计机构的内部控制评价,把对内部控制评价报告的鉴定界定为社会中介机构的审计(审核)。就审计机构而言,内部审计机构对内部控制评审和社会中介机构对内部审计的评审是不同的,至少在评价对象方面是不同的,当然,社会中介机构接受内部审计机构的委托所从事的内部控制评审就应按照内部审计机构要求和规范进行,至少在对象和内容是一致的。