内部控制要素之间的关系范文篇1

二、内部控制缺陷披露与审计的关系

Raghunandan&Rama（2006）的研究结果显示，2004年披露实质性漏洞的公司比没有类似披露的公司审计费用高出约43%。Ranietal.（2008）的研究也表明审计费用与公司内部控制存在的问题的类型和严重程度有关。Ettredge，Chan，&Sun（2006）研究了内部控制质量对审计报告延迟的影响。他们发现，内部控制实质性漏洞的存在与审计延迟相关，若公司在人事、职责分工和结算过程中存在缺陷，则往往会经历较长的延迟。Ettredge，Heintz&Chan（2006）的研究表明，收到注册会计师有关实质性漏洞反对意见报告的公司更可能更换注册会计师。若注册会计师离任源于客户内部控制存在实质性漏洞，则四大”较少可能更换注册会计师。他们还发现，客户期望从继任审计方改善审计意见类型。

同时，管理层实施的自我评估和审计人员的鉴证之间有相互影响。Smithetal.（2000）发现，内部控制的自我评价有助于审计师对管理层的控制系统是否有效的判断，减少审计师对管理舞弊的实质性测试程序，从而有效降低审计成本。Areletal.（2006）的研究表明，管理层的内部控制自我评价对于审计师判断可能存在一定偏差。

三、内部控制缺陷与会计信息质量的关系

Doyleetal.（2007）的研究着眼于内部控制与应计质量之间的关系。他们研究发现控制缺陷与估计不当、未实现现金流的应计项目有关。审计人员难以做出具体判断的、公司层面的内部控制缺陷是导致二者之间产生这种关系的驱动因素。分别使用酌量应计、平均应计质量、既往会计重述和持续收益能力加以测量后，结果均被证实。

Ashbaughetal（2008）研究了基于SOX法案的内部控制缺陷的影响及其对应计项目质量的补救。以应计噪音和绝对非正常应计项目衡量时，存在内部控制缺陷的公司与没有报告内部控制问题的公司相比，其应计项目的质量相对较低，其应计数额（无论应收账款还是应付账款）也显著地更大。此外，经审计人员确认并对曾报告控制缺陷加以修复的公司，其应计质量有所提升。Ashbaugh等还发现，连续收到不同内部控制审计意见的公司伴随内部控制质量的变化应计质量也发生了变化。

四、内部控制缺陷披露及其影响因素

Doyleetal.（2007）认为，对实质性漏洞进行披露是强制性的，然而对重大缺陷却是自愿披露的，在决定缺陷是否予以披露时，不同的公司及审计人员选择的实质”与否的标准存在差别。强调更多的强制性披露将有助于我们回避自愿披露的自选择问题。

Kinney&McDaniel（1989）研究了从1976至1985年间准确报告了季度收益的73家公司的特征。他们假定报告重述意味着内部控制存在缺陷，同时发现公司规模、盈利能力和报告重述之间呈负相关关系。然而，DeFond&Jiambalvo（1991）的研究表明公司规模与报告的前期调整之间呈现微弱的负相关关系，多元回归分析结果则表明公司规模并不是重要的影响因子。

Ge&McVay（2005）对2002年8月至2004年11月内部控制存在重大缺陷的261家公司进行研究。发现大部分重大缺陷是由会计资源不足造成的（例如，会计人员缺乏适当的培训），一些具体的缺陷主要集中在收入确认政策、职责分工，报告截止政策，应计账户的核对方面。出现缺陷最频繁的账户主要是应收账款、应付账款和存货。他们还发现，较为复杂的诸如衍生工具和所得税相关账户错误也较多，存在重大缺陷较多的行业是IT业。

Bryan&Lilien（2005）发现，内部控制存在重大缺陷的公司规模相对较小，财务业绩较差，市场贴现率较高。Ettredgeetal.（2007）发现，最初存在内部控制实质性漏洞的公司其CFO的更换率较高，而后任CFO的专业胜任能力优于前任。

JournalofAccountingandEconomics在2007年第44期连续刊登了三篇内部控制缺陷及其影响因素的文章。Ashbaugh，Collins&Kinne（2007）以及Doyle，Ge&McVay（2007）研究了影响内部控制重大缺陷和实质性漏洞披露的因素，他们为财务报告相关内部控制报告的研究提供了基础。他们发现，控制风险因素源于两个主要的方面。其一，组织本身的复杂性或组织的快速变化（与此有关的是：分部的数量、海外业务、并购、重组、销售增长和特殊目的机构的数量）。其二，内部控制的相对投入（反映该变量的有：财务困境、损失、公司的存续时间、规模和公司治理情况）。此外，Ashbaugh等还指出，发现和披露内部控制缺陷的激励机制（包括提供鉴证服务的会计事务所的规模、最近的报告重述、机构投资者持有公司股票的集中度以及诉讼）影响了报告内部控制缺陷的可能性。Andrew（2007）对上述研究给予肯定的同时提出了部分质疑。首先，财务困境和损失作为内部控制相对投入的变量与内部控制实质性漏洞披露可能性之间的逻辑关系不清晰。其次，认为会计师事务所的规模、报告重述以及机构投资者的持股情况和内部控制缺陷披露的可能性之间出现的（单调增的）关联关系是偶然的。Andrew的研究表明，事务所的规模”这个变量具有内生性问题。规模大的公司通常聘请四大”提供鉴证服务，与内部控制缺陷相关的是公司的规模，且二者之间呈倒U型”关系。而影响公司规模的有可能是不同生命周期的特定阶段。在机构投资者的持股比例”方面，规模处于极端（最大和最小）的公司，机构投资者持股比例是很低的，因此应当将规模分段加以考虑。而报告重述”是内部控制存在缺陷的表现，而非内部控制缺陷的发现和披露的激励机制。

另外，Doyle，Ge&McVay（2007）在对2002年8月至2005年披露了内部控制缺陷的779家公司加以研究过程中还发现，影响内部控制缺陷的因素与内部控制存在问题的具体类型有关。公司层面内部控制缺陷与财务困境相关，交易层面内部控制缺陷与组织的复杂性相关，而每一个公司都面临着独特的内部控制的挑战。

五、内部控制缺陷披露的市场反应

Whisenantetal.（2003）对审计人员在8-K表格中传递的内部控制缺陷信息加以研究，结果表明内部控制缺陷对股票价格并没有出现负面的影响。Bryan&Lilien（2005）观察到实质性漏洞披露对股票价格有负面影响，但影响的滞后期长且影响时间短，对收益的影响并不显著。与此相对比，Cheng，Ho&Tian（2006）的研究则表明：公司宣告内部控制重大缺陷前后，短期内就出现了负的累积异常收益率；尤其是当管理层指出的缺陷在年末未得到修复时，负面结果将加剧。他们还发现，投资者可以利用重大缺陷评估的知识实现股票收益。

Emanuelsetal.（2006）的研究发现，人力资源方面的内控缺陷对缺陷披露窗口期内的股票收益并无显著影响，但财务报告相关的内控问题则导致了窗口期非正常收益的显著下降。Hammersleyetal.（2007）通过研究股票价格对管理层内部控制缺陷披露及缺陷特征的反应，发现二者呈现负相关关系。当缺陷严重、管理层仍声称内控有效、缺陷可审核、披露含混时，披露的缺陷是有信息含量的。

Beneishetal.（2008）分析了330家按SOX302条款披露未经审计信息的公司和383家据SOX404条款披露经审计信息的公司。数据显示，因遵循302条款而披露的负面信息带来了-1.8%的非正常收益，同时资本成本异常地增加了68个基点。他们认为，302条款直指财务报告可信赖程度低的公司，相关披露具有信息含量。与此相对，遵循404条款的披露并未对股票价格和资本成本产生显著的影响。此外，Thomasetal.（2009）的研究亦表明，审计人员对财务报告相关内部控制发表的意见对于信息使用者而言具有价值相关性。

Ashbaughetal.（2006）认为，强制性的内部控制有效性披露和审计对于公司而言是成本高昂的，但从降低信息风险进而降低权益资本成本的角度上说是有益的。Ashbaugh等人利用SOX404条款颁布前未经审计的信息披露和404条款颁布后的审计意见，评估了内部控制质量对风险和权益资本成本的影响的变化。他们发现内部控制存在缺陷的公司显著地具有较高的个别风险、系统风险和权益资本成本。内部控制缺陷修复后，资本成本降低了。资本市场识别了良好内部控制的价值。

Ognevaetal.（2007）研究了首次向SEC提交内部控制报告的公司的内部控制缺陷和权益资本成本之间的关系。他们也发现披露了内控缺陷的公司具有较高的权益资本隐含成本。但是，在控制了公司初始特征和预测分析的偏见之后，二者之间呈现的关系消失了。因此，他们认为，内部控制缺陷与较高的权益资本成本之间并没有直接的关联关系。

六、结论

与内部控制缺陷直接相关的是公司内部的治理结构和组织结构；影响缺陷披露的因素还包括外部的监管和鉴证机制。在梳理缺陷影响因素时，试图用一个方程解决所有问题的做法并不可取。此外，在研究内部控制缺陷与公司治理之间的关系时，二者之间的因果关系往往是混乱的。公司治理结构是因”，而不是果”。

按照法规监管的意图，有效的内部控制能够为高质量的财务报告保驾护航”，内部控制缺陷与会计信息质量之间具有相关关系。这一点已经陆续被经验证据所证明。此外，自SOX法案实施以来，内部控制信息披露逐步规范。这就为内部控制缺陷披露的市场反应提供了研究机会。伴随披露规范化的过程，内部控制缺陷信息对股票收益产生负面影响的研究结论逐渐清晰。但与资本成本之间的关系尚未有定论。

近年来，内部控制的有效性问题是多方关注的焦点。但是有效性”是一个模糊的概念，一个企业（或组织）的内部控制在多大程度上有效很难说清楚。与此相对，内部控制是否存在缺陷、缺陷的严重程度如何则是一组较为直接和明晰的概念。另外，按照美国现行法规的要求，上市公司管理层提交的内部控制自我评价报告和审计人员的鉴证意见报告仅限于财务报告相关内部控制。对重大缺陷和实质性漏洞的定义都基于重大错报无法被及时地预防和发现”。然而，我国《企业内部控制基本规范》（财政部等，2008，以下简称《基本规范》）中的相关要求是针对全面内部控制”的。也就是说，不仅财务报告相关内部控制在法规层面被要求规范执行，而且非财务报告相关内部控制也要符合标准。这就意味着，我们必须在借鉴国外经验的同时，发展出一套与《基本规范》相吻合的、具有可操作性的规范体系。

此外，目前我国内部控制实证研究的视角基本上都集中在上市公司是否披露内部控制信息以及披露的程度，较少直接触及内部控制缺陷本身。这在很大程度上缘于内部控制信息披露的非规范性。伴随《基本规范》实施、内部控制信息披露制度的健全，现有的内部控制缺陷实证研究主题将有待进一步拓展。

参考文献：

[1]Hermanson，H.anAnalysisoftheDemandforReportingonInternalControl[J].AccountingHorizons.2000，（September）：325-342

[2]Krishnan，J.Auditcommitteequalityandinternalcontrol：anempiricalanalysis[J].TheAccountingReview.2005，（80）：649-675.

.Auditing：AJournalofPractice&Theory.2006，25（1）：99-114.

[4]RaniHoitash，UdiHoitash，andJeanC.Bedard.Internal

内部控制要素之间的关系范文

内部控制是社会经济发展到一定阶段的产物，其内容随着企业对外满足社会需要，对内强化管理不断丰富和发展，大致经历了五个阶段。

（一）内部牵制阶段这是内部控制的萌芽阶段，时间是从原始组织诞生之日至20世纪40年代。在这个阶段，内部控制是以内部牵制的形式出现，其构成要素和控制措施只是散见于企业各项管理制度、惯例和实务中，还没有提出内部控制的概念，目的在于查错防弊，特点就是职责分离和交叉核对，即企业的每一项业务必须经过多个人或多个部门交叉检查和控制，以减少无意识的出现差错和有意识的的发生。

（二）内部控制制度阶段20世纪30年代的经济危机过后，企业纷纷加强了对生产经营的控制与监督，这也促进了控制理论的发展。1949年美国审计程序委员会首次提出了内部控制的概念，并从企业经营管理的角度来定位内部控制，即内部控制是所制定的旨在保护资产、保证会计资料可靠性和完整性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。1958年，审计程序委员会又在《审计程序公告第29号》中，把内部控制制度分为内部会计控制和内部管理控制两部分，前者在于保护企业资产、检查会计数据的准确性和可靠性，后者在于提高经营效率、促使有关人员遵守既定的管理方针。此阶段仅仅从会计、审计理论的角度对内部控制的种类进行了简单划分，并没有阐明各要素对整个内部控制体系的影响，以及要素之间的相互影响和制约关系。

（三）内部控制结构阶段20世纪80年代，西方会计审计界对内部控制的研究不断从一般性概念向具体化内容深化，逐渐发现内部会计控制和内部管理控制两者是相互联系不可分割的，内部控制目标呈现多元化趋势，1988年美国注册会计师协会了《审计准则公告第55号》，首次以“内部控制结构”取代“内部控制”的概念，并提出内部控制包括控制环境、会计系统和控制程序三个要素。这一阶段最大的突破在于将控制环境纳入内部控制的范畴，特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，指出环境因素是充分有效的内部控制体系得以建立和运行的基础及保证；其次，会计系统这一提法将会计资料转变为动态的信息系统，将产生会计信息的各个环节联系起来。

（四）内部控制整体框架阶段20世纪90年代，随着企业内外部环境的不断变化和组织结构的日益复杂，在内部控制过程中对风险进行控制和管理成为一种内在需求和动力。1992年，一个由美国会计学会、国际内部审计师协会等众多组织组成的联盟，即COSO委员会提出了《内部控制—整体框架》报告。该报告将内部控制目标细分为三类子目标，即经营目标、报告目标和合规性目标；五个构成要素，即控制环境、风险评估、控制活动、信息与沟通、监控。这一阶段的特点表现为：一是风险评估要素的引入使内部控制的对象具体化为对影响控制目标实现的风险控制；二是控制程序到控制活动的转变使内部控制本身可作为一个自成体系的活动过程融于企业的整个经营管理之中；三是调整会计系统为信息与沟通，从过程出发，强调信息的流动和共享；四是监督要素的引入使企业行为在偏离其既定标准时能够及时纠正，规避风险。

（五）风险管理框架阶段2001年以来，美国的安然、世通等一大批著名国际大公司相继爆出重大财务丑闻，导致企业诚信受到普遍质疑，由此掀起了一股强大的完善企业内部控制的风暴，内部控制走向全面风险管理成为了必然。2002年美国政府颁布了《萨班斯—奥克斯利法案》，要求所有上市公司都要在年报中提供内部控制报告，评价公司内部控制设计及其执行的有效性，该法案的出台使内部控制披露由自愿进入了强制阶段。2004年9月，COSO委员会正式颁布了《企业风险管理整体框架》，它在1992年COSO报告的基础上，根据《萨班斯—奥克斯利法案》的要求进行扩展研究而出台。与COSO报告相比，一是目标方面增加了战略目标，并将其置于之首，这意味着企业的各项活动都要围绕战略目标进行,对企业的风险管理也向董事会或更高层次移动；二是要素方面控制环境到内部环境的转变表明，管理当局所关注的除了组织机构、管理理念、经营方式外，还包括风险偏好、管理哲学、企业文化等更宽泛的因素；同时目标制定、事项识别、风险反应的增加是对风险评估要素的扩展和深化，意味着风险评估上升到了风险管理的高度，且体现了风险管理由事中控制、事后反馈向事前预防转化的发展趋势。

二、内部会计控制与内部控制的关系

目前，对内部会计控制的概念认识不统一，主要有四种看法：第一种观点认为会计控制是会计的基本职能之一，会计职能除会计核算（会计反映）之外，就是会计控制，会计控制是会计对自身活动的一种管理；第二种观点认为会计控制既包括会计自身的职能，也包括控制会计，即会计控制既是对经济活动的控制又是对会计人员的控制；第三种观点，即会计控制的静态定义，认为会计控制是单位会计机构为了保证会计信息质量，保护资产的安全、完整，贯彻执行有关法律法规和规章制度等而制定和实施的一系列控制方法、措施和程序的总称；第四种观点，即会计控制的动态定义，认为会计控制是单位会计机构采用专门的手段，按照一定标准，保证会计信息质量，保护资产的安全、完整的进行过程。笔者认为，无论是会计职能部门还是非会计职能部门所实施的控制都可称为内部控制，而会计控制是指会计职能部门所实施的控制，从这个角度上来说，内部控制包含会计控制，会计控制是内部控制在会计职能部门的具体运用和体现，也就是说在会计职能部门方面会计控制等同于内部控制；另一方面，单位一切有关资金的运动和资产的变化都要通过会计核算表现出来，因此，会计核算所涉及的风险涵盖了单位所面临的主要风险（有关资金、资产的风险），而会计控制作为对这些风险所实施的控制，其内容构成了内部控制的重要内容。无论是内部控制还是内部会计控制，其控制的目的都是为了防范风险，这也决定了两者的控制目的具有一致性，即都是保证资产的安全和会计信息的真实。两者控制内容的包含和被包含关系和控制目的的一致性，都说明了两者的关系息息相关，即内部会计控制建立在内部控制程序基础之上以保证信息数据的可靠性；而内部控制程序则利用会计程序保证资产的安全、业务的真实。

三、对内部会计控制的新思考

内部控制的发展过程是企业不断适应各种内外部环境变化，应对各种风险和不确定性因素的过程，也是其理论基础、目标观念、服务对象和构成内容不断改进和完善的过程，这为作为其重要构成内容的会计控制提供了很好的借鉴意义，即必须以崭新的视角来重新审视和思考内部会计控制的构建。

（一）会计控制是各要素组成的动态系统内部控制的内容由最初的行为控制到最新的八要素的变化，说明了内部控制的关注重心由单一个体向系统整体发展，而且站在全局的高度统领企业整体。会计控制如同内部控制一样，并不是各种制度、措施的简单加总，也不能简单地停留在只用制度加以规范的阶段，致使制度流于形式，因此，应转变传统观念，以新的角度诠释和思考，应认识到会计控制不仅是由多个因素组成的系统，而且在这个系统中，这些因素相互关联，形成了动态的过程，即内部会计控制的构建不仅涉及到部门内的具体岗位设置、业务操作等相对细节的问题，更为重要的是它需要相关各职能部门的通力协作，共同营造良好的控制环境、关注业务的风险评估、在各负其责的同时加强部门间的信息沟通，只有这样，才能不断促进会计控制的良性运行，真正达到防范资金风险确保资金安全的目的。

（二）内部环境的建设是基础会计控制作为一个系统或机制，离不开所存在的环境，而且在不同的环境下，会计控制作用的发挥程度不尽相同，会计控制作用是否有效，很大程度上取决于单位管理层对内部会计控制的重视程度、全体员工对内部会计控制认识的影响，它是充分有效的内部会计控制体系得以建立和运行的基础及保证，因此，应逐渐认识到内部环境也是内部会计控制的一个组成部分。许多案件的深刻教训也警示我们，案件的发生不是没有制度，而是制度没有得到真正落实，制度之所以落实难的原因就在于，没有一个良好的环境来约束人的行为，防范人的道德风险。因此，内部环境是基础，必须从营造良好的环境做起，提倡风险管理文化，增强员工的诚实性和道德观，即将风险管理意识贯穿到每一个员工、每一个部门、每一个岗位，使风险意识深入到人心，同时强调全员的参与，塑造企业文化，形成良好的内部环境氛围。

（三）风险要素的管理是关键控制的目的就是要防范风险，若不存在风险也就没有实施控制的必要，COSO报告指出，所有的企业，不论其规模、结构与性质，其组织的不同层级都会遭遇风险，管理当局必须密切关注各层级的风险，并采取措施尽量将风险控制在可接受水平。随着计算机技术在会计核算中的运用，会计控制所涉及的风险包括法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险，这些风险与核算业务的流程息息相关，因此，内部会计控制的构建应从风险因素出发，加强对业务资金流程的分析，即首先要按业务性质进行归类，找出各个流程中的主要风险点；其次要按照业务风险的信息结构和风险源的性质，有针对性地制定出科学适用的风险计量方法，同时要结合控制流程的概念，找出相应的控制措施，建立一套完备的业务流程风险控制体系。

内部控制要素之间的关系范文

【关键词】内部控制有效性内部控制有效性

一、内部控制

内部控制的实践可以追溯到公元前3000多年的美索不达米亚文化时期。然而，直到15世纪复式记账法出现后，以账目间的相互核对为主要内容、实施职能分离的内部牵制才开始得到广泛应用。1953年10月，美国注册会计师协会颁布了《审计程序说明》第19号，将内部控制分为会计控制和管理控制。随后在1988年，AICPA为适应当时社会经济环境的需要，在其第55号审计准则公报《会计报表审计中对内部控制结构的关注》里提出了“内部控制结构”的概念，将其细分为控制环境、会计制度和控制程序三要素，并指出企业的内部控制结构包括为合理保证企业特定目标而建立的各种政策和程序。这一概念的提出实现了内部控制由零散到系统的转变和发展（陈汉文，2009）。

1992年，COSO提出的“内部控制整合框架”进一步完善了内部控制的结构和体系，并得到了AICPA、美国证券交易委员会和美国公众公司会计监督委员会等组织的广泛认可，从而构造了一个共识性的平台和框架，在内部控制的发展史上具有重大影响。COSO将内部控制定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程：（1）经营的有效性和效率；（2）财务报告的可靠性；（3）符合适用的法律和法规。

与国外发达国家相比，我国企业内部控制的建立起步较晚。在早期的内部控制建设中，参与内控建设的部门较多，包括人大常委会、财政部、证监会、中注协、银监会和国务院等。然而由于各部门大多独立工作、缺少配合，故所颁布的法律法规具有很强的行业针对性。此外，这些法律法规中所涉及的内容多为实务导向，未形成一个统领全局的综合性理论框架（比如类似于COSO框架等）。直至2008年，财政部等五部委在参考COSO框架并兼顾企业风险管理整合框架的基础上，结合我国国情出台了《企业内部控制基本规范》，从而对内部控制的内涵、目标、要素及原则等基本内容有了权威性的定位。随后，《企业内部控制配套指引》及《企业内部控制规范体系实施中相关问题解释的通知》等具体法规的颁布，大大推进了我国企业内部控制体系的建设。

二、内部控制有效性

总体来看，我国内部控制建设处于不断前进之中。根据《企业内部控制配套指引》制定的时间表，沪深两市主板的上市公司已经自2012年起开始对内部控制的有效性进行自我评价，并披露年度自我评价报告，同时聘请具有证券、期货从业资格的会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。自此，我国的内部控制体系建设已经逐渐与国际接轨。然而，对于如何判断企业的内部控制是否有效，尚有许多值得商榷之处。

（一）内部控制有效性的定义

内部控制不仅关心与完成企业目标有直接关系的事件，还关心企业管理系统是否维持在一种能充分发挥其职能以达到这些目标的状态。建立健全内部控制的目的是为了使组织管理系统以更加符合需要的方式运行，使它更加可靠、更加便利、更加经济。

管理学认为，控制是监督活动的过程，其目的在于确保活动得以按计划完成，并能够纠正任何明显的偏差。一个有效的控制系统能确保活动的完成，有利于组织目标的实现，其有效性取决于它促进目标实现的程度，越是能帮助管理者实现组织目标的系统就越好。不同企业的内部控制体系运行的有效性水平各不相同。COSO认为，如果董事会和管理层能合理保证防止或及时发现可能对财务报表产生重大影响的未经授权的行为，就可以判定该内部控制是有效的。此外，内部控制体系与主体的经营活动紧密相连，当控制被嵌入主体的构架中并成为企业本体的一部分时，内部控制最为有效。

内部控制各要素之间存在着协同和联系，从而形成一个整合体系以对环境的变化做出动态反应。笔者认为，内部控制有效性指的是内部控制实现企业的经营目标、报告目标、合规目标和战略目标的程度。有效的内部控制所带来的最大效益是促使资本市场提供更多的资本以驱动创新和经济增长，从而增强公司进入市场的能力。伴随着进入资本市场这个过程而来的是向利益相关者及时提供准确的财务报告的责任。有效的财务报告内部控制支持可靠的财务报告，而后者能够提升投资者的信心。

（二）内部控制有效性的内涵

内部控制是否有效取决于两个方面，即内控设计的有效性与运行的有效性。

设计的有效性，指的是某项内部控制单独或连同其他控制是否能够有效防止或发现并纠正企业的重大错报。COSO在《内部控制——整合框架》一书中，针对五个构成要素分别给出了详尽细致的原则作为权威参考。然而，这并不表示任何一条原则都适用于每一家企业，也不是说任一企业的内部控制需要涵盖所有的原则。企业应当结合自身的具体情况，综合考虑规模及业务复杂程度，从实际出发来设计和完善内部控制。

除了设计的有效性以外，内部控制是否有效还与其运行的有效性有关。运行的有效性，指的是内部控制能够在各个不同时点按照既定设计得以一贯执行。在评价运行的有效性时，需要特别关注控制在相关时点是如何运行的、控制由谁或以何种方式运行以及控制是否得到一贯执行。

（三）内部控制有效性的衡量主体、标准和方法

在2010年的《企业内部控制配套指引》中，财政部等五部委除了要求执行内控规范的企业对内控有效性进行自我评价以外，还要求其聘请会计师事务所对财务报告内部控制的有效性进行审计。由此看来，相比企业的自我评价，监管部门更加认可外部独立第三方对内部控制有效性的评价。因此，笔者认为，内部控制有效性的衡量主体应为外部独立第三方，比如大型事务所或科研机构等。

从衡量标准来看，现有研究基本上都是参照国际性协会颁布的框架或指南（如COSO框架、CoCo框架、Tumbull指南及COBIT框架），选取部分内部控制的关注点，采用简单相加或层次分析法等方法作为目标企业内控有效性的衡量标准。

从衡量方法来看，现阶段学术界与实务界尚无统一的结论。目前评价内部控制主要有两类方法：定性与定量。定性方法中，主要是根据内部控制的披露信息来做出评价；定量方法中，主要是采用问卷调查、以赋值打分的形式来评价，或是构造内部控制指数来衡量内部控制质量。综合来看，两类方法都需要有胜任能力的评价人员对框架或指南中的原则进行取舍，并在赋予各原则的权重时做出客观公正的判断，因而受到评价人员专业素质的直接影响。现有文献中，学者们的研究多数仅考虑十余个内部控制关注点，或虽考虑较多关注点但实例中仅涉及单一公司，故而得出的结论也就缺少说服力。要从整体上把握并比较企业的内部控制，必须有一个涵盖范围广、兼顾内控设计与内控执行两方面、且易于度量的一项评价机制。笔者认为，以内控指数的形式来衡量内部控制有效性，不仅可以达到上述目的，还可以将各企业置于同一标准之上来进行比较。

三、当前内部控制有效性评价方法

评价内部控制的有效性不仅是探讨个别部门的表现或成果，更是从宏观及全面的角度去了解企业的总体经营状况及表现。评价企业内部控制是否有效，关键要看其是否实现了企业的总体目标，以及考虑总体目标与子目标、子目标与子目标之间的相互关系。然而困难的是，内部控制有效性涉及多个目标，并且有些目标之间存在相互冲突。Seashore（1965）认为，这些目标并非都具有相同程度的重要性，而是具有不同层次的重要性，这就使得总体目标的测量更趋困难。

确定内部控制体系是否有效涉及主观判断，它来自对内部控制五要素是否存在并有效运行的评估（COSO，2008）。1992年，COSO给出了一整套内部控制的评价工具，设计出82个关注点以实现对内部控制五要素的涵盖，通过对关注点的逐条描述来得到各要素的结论及需要采取的行动，并在此基础上得出对内部控制体系的总体评价。

2003年，普华从管理层评价的角度提出了12项内部控制的评价步骤。这一内部控制评价过程以重要错报风险的评估为起点，自公司层面的控制开始识别相关的控制、认定、重大流程，确定要测试的控制，评价设计的有效性，测试运行有效性，从而对内部控制的有效性作出总体评价。

2004年9月，COSO《企业风险管理——整合框架》，在参考并将《内部控制——整合框架》融合在内以后，构建了一个更强有力的概念和管理工具。评价企业风险管理是否“有效”，是在对其八个构成要素是否存在和有效运行的基础之上所做出的判断。尽管为了使企业风险管理被判定为有效，所有的八个构成要素都必须存在和正常运行，但是在构成要素之间可能会存在着某些权衡。COSO认为，设计和运行良好的企业风险管理，能够为管理层和董事会实现战略目标、经营目标、报告目标和合规目标提供合理保证。此外，COSO强调，尽管企业风险管理是一个过程，它的有效性却是在某个时点上的一种状态或情况。

除上述定性评价方法以外，目前学术界也在探讨定量的评价方法。现阶段的研究成果主要是采用模糊数学的原理，将定性观察通过模型转化为定量结果，以此来评估内部控制。有学者从内部控制五要素出发，分三层解构内部控制体系，以此对上市公司内部控制质量进行模糊综合评价（骆良彬和王河流，2008）。而韩传模和汪士果（2009）在解析企业风险管理三维分析框架的基础上，采用层次分析法，建立了基于风险导向和示意结构的内部控制递阶层次模型，从而实现对整个内控体系的科学评价。

参考文献

[1][美]COSO.内部控制——整合框架[M].方红星，译.大连：东北财经大学出版社，2008.

[2][美]COSO.财务报告内部控制——较小型公众公司指南[M].方红星，译.大连：东北财经大学出版社，2009.

[3][美]COSO.企业风险管理——整合框架[M].方红星，译.大连：东北财经大学出版社，2005.

[4]陈汉文.审计理论[M].北京：机械工业出版社，2009.

[5]骆良彬，王河流.基于AHP的上市公司内部控制质量模糊评价[J].审计研究，2008（06）.