关于内部控制评审到底从何入手的问题,有以目标为导向、以目标为导向、以程序为导向、以过程为导向、以结果为导向、以价值为导向等多种说法。财政部正在征求意见的《企业内部控制审计指引》(征求意见稿09.2.3):内部控制评价是紧密围绕目标进行的。既可以按强制性法律法规的要求,围绕合规性、财务报告及相关信息的真实可靠、资产的安全三个目标进行评价,也可以围绕战略实施手段、管理的效率和经营效果进行评价,还可能是在年报中围绕内部控制五个目标进行全方位评价。此外,在保证有效性前提下追求经济性也是不可忽略的。
3C框架认为,从内部控制评审本身以及目前的发展情况来看,内部控制评审主要存在详细评审法和风险导向评审两种方法。详细评审法遵循的思路是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在,评价内部控制的设计有效性;然后,测试内部控制的运行有效性;最后,综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞,确定内部控制是否有效。这种思路和方法的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当。
风险导向评审法的基本思路是:首先,要评估相关目标实现的风险;其次,识别和确定组织充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。这种思路和方法的特点是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了“自上而下,风险基础”的理念。
从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险基础评审方法。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一方法,英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险基础评审方法。日本内部控制评价与审计准则:采用一种自上而下的重视风险的方法,即着眼于与财务报告相关重要虚假记载相联系的风险,对业务流程相关的内部控制进行评价,具体策略:运用自上而下的风险方法;内部控制缺陷的分类,将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类;不采用直接业务报告的做法;内部控制审计与财务报表审计一并实施;内部控制审计报告与财务报表审计报告一并编制等。
在我国《企业内部控制基本规范》,建立以风险防范和增加价值为评价导向、以五大要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。《企业内部控制评价指引》(征求意见稿):内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。《企业内部控制审计指引》(征求意见稿09.2.3):在内部控制审计中,注册会计师应当以风险评估为基础,运用自上而下的方法,选择拟测试的控制。自上而下的方法按照下列思路展开:从财务报表层次初步了解内部控制整体风险;识别企业层面控制;识别重要账户、列报及其相关认定;了解错报的可能来源;选择拟测试的控制。
传统的内部控制评审模式主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。现代的以风险为导向评审模式要求内部审计人员改变传统的评价模式,把审计的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向审计法下,审计人员更为关心的是下列问题:
与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策?
现代的以风险为导向评审模式下,评审人员大多采用内部控制自评(CSA)、内部控制矩阵法、利用网络信息开展动态评估。
在内部控制评审过程过程中,应该以风险管理理念为基准。风险管理成为组织管理关键所在,内部控制评评价的重点应该是确认风险及测试管理风险的方法,在风险导向的内部控制评审中分析、确认、揭示关键性的经营风险,在评价标准、指标和权重的选择上把握风险管理理念。具体而言,在对内部控制进行整体评价和对单项内部控制项目进行评审时,均需确定执行中的风险点,并根据风险点确定相应的控制评价标准,对内部控制设计的有效性和运行的有效性进行评价。