內控評價包括
㈠ 內部控制評價程序一般包括哪些內容內部控制評價報告應當披露哪些內容
內部控制評價流程
內部控制評價流程,就是內部控制評價工作從開始到結束的基本過程。國際上權威的觀點認為評價一個內部控制體系本身就是一個過程,在這個過程中應有一套規程以及其一些內在的基本要素。內部控制評價流程到底包括哪些基本要素,在理論界和實務界認識是不同的,做法也是不一樣的,也因評價主體和內容的不同而不同。管理層自我評估和審計機構評價流程會略有不同。基於財務報告內部控制評價和基於全面內部控制評價的流程也不可能完全一樣。我國《企業內部控制評價指引》要求企業應當按照內部控制評價辦法規定的程序,有序開展內部控制評價。內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。這是我國企業內部控制評價工作的法定程序,是必須要執行的最基本的程序。中天恆3C框架把內部控制評價流程分為評價准備、評價實施、評價報告三個階段,每個階段又可細分若干內容。
企業應當根據內部控制評價結果和整改情況,編制內部控制評價報告。內部控制評價報告至少應當包括下列內容:
(1)組織實施內部控制評價的總體情況;
(2)內部控制責任主體的聲明;
(3)內部控制評價的范圍和內容;
(4)內部控制評價的標准和依據;
(5)內部控制評價的程序和方法;
(6)內部控制重大缺陷及其認定情況;
(7)內部控制重大缺陷的整改措施及責任追究情況;
(8)內部控制有效性的結論;
存在一個或多個內部控制重大缺陷的,應當作出內部控制無效的結論。
《深圳證券交易所上市公司內部控制指引》自我評價報告至少應包括以下內容:
(1)對照本指引及有關規定,說明公司內部控制制度是否建立健全和有效運行,是否存在缺陷;
(2)說明本指引重點關注的控制活動的自查和評估情況;
(3)說明內部控制缺陷和異常事項的改進措施(如適用);
(4)說明上一年度的內部控制缺陷及異常事項的改善進展情況(如適用)
《上海證券交易所上市公司內部控制指引》公司內部控制自我評估報告至少應包括如下內容:
(1)內控制度是否建立健全;
(2)內控制度是否有效實施;
(3)內部控制檢查監督工作的情況;
(4)內控制度及其實施過程中出現的重大風險及其處理情況;
(5)對本年度內部控制檢查監督工作計劃完成情況的評價;
(6)完善內控制度的有關措施;
(7)下一年度內部控制有關工作計劃
㈡ 內部控制評價程序一般包括哪幾個步驟
內部控制評價
內部控制評價,是指企業董事會或類似權力機構對內部控制的有效性進行全面回評價,形成評價結論,答出具評價報告的過程。企業實施內部控制評價至少應當遵循下列原則:
(一)全面性原則。評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。(二)重要性原則。評價工作應當在全面評價的基礎上,關注重要業務單位,重大業務事項和高風險領域。(三)客觀性原則。評價工作應當准確地揭示經營管理的風險狀況,如實反映內部控制設計與運行的有效性。
㈢ 內部控制評價體系包括哪些內容
企業內部控制評價標准體系是一種管理機制,規范著企業的經營管理活動,能提高企業的經營效率和抗風險能力,它不僅反映了企業法人治理結構和管理體制的需要,而且將企業發展的戰略目標以及業績的評價和激勵都納入其中。建立科學嚴格的內部控制評價體系,不僅是內部控制制度本身實施的要求,也是保證企業經營戰略有效執行的基石。但當前我國企業內部控制評價主要是為審計服務的,無論是評價內容還是評價目標,都存在很大的局限性,制約了企業內部控制的有效執行。因此建立一套完善的、符合實際的、具有可操作性的企業內部控制評價體系勢在必行。
內部控制評價體系
一、內部控制部分,包含:
(一) 治理結構
(二) 機構設置及權責分配
(三) 內部審計
(四) 人力資源政策
(五) 企業文化
二、風險評估部分,包含:
風險識別、分析和應對。
三、控制活動部分,包含:
(一) 人員
1. 職務分離控制
2. 授權審批控制
3. 人力資源控制
(二) 專項
1. 財產保護控制
2. 會計系統控制
3. 信息技術控制
(三) 運營
1. 流程式控制制
2. 預算控制
3. 運營分析控制
(四) 應急
應急處理機制
四、信息與溝通部分,包括:
(一) 信息採集與傳遞路徑
(二) 信息載體控制
(三) 信息審核、反饋與處理
五、內部監督部分,包括:
(一) 對內部控制建立與實施監督檢查
(二) 評價內部控制是否健全、合理、有效
(三) 報告缺陷、採取處理措施、責任追究
㈣ 內部控制評價指標有哪些
要界定內部控制評價指標,先得界定指標。指標是什麼,基本的解釋是衡量目標的單位或方法或預期中打算達到的指數、規格、標准, 說明總體數量特徵的概念,一般由指標名稱和指標數值兩部分組成,體現了事物質的規定性和量的規定性兩個方面的特點。照此理解,內部控制評價指標就是衡量內部控制目標的單位或方法或預期中打算達到的指數、規格、標准。照此生搬硬套也難以理解內部控制指標到底是什麼。不過內部控制評價就是要對有效性進行評價,這點是我國企業內部控制基本規范的基本要求。 如何才能科學地評價內部控制有效性,選擇科學的指標體系是整個內部控制評價工作的核心和評價目標實現的關鍵。理論上講,構建內部控制評價指標體系,其內容是通過對企業內部控制系統的研究和分析,設計出用於評價的指標體系,其中包括各項指標的名稱、內容、標准、權重等。內部控制評價指標要與關鍵控制點一一對應。評價者應根據內部控制的各個要素設計不同的評價指標,並根據內部控制五要素在內部控制系統中的不同作用分別賦予其不同的權重。 構建內部控制評價指標體系首先要確定體系內的指標有哪些。這一工作說必須嚴格遵循合理性與可操作性的原則。這么說是相對簡單的事,也是沒有問題的,但要確定到底哪些指標並不是件容易的事。或許正因如此,實際在評價內部控制的有效性時,通常針對實體的具體情況把評價指標設計成一系列問題,根據問題的答案來評價內部控制的有效性程度。也有把內部控制內容作為內部控制評價指標,還有把關鍵控制點作為內部控制評價指標的等等來進行評價內部控制的有效性的。這確實是簡單易行,但問題、內容、關鍵控制點終究不可能是內部控制評價指標。指標只反映總體的數量特徵,所有指標都要用數字來回答問題,沒有用問題回答問題的指標。理論界指出在設計評價指標時應格外關注措施性指標和結果性指標的選擇問題。措施性指標(先行指標)是指與各種控制手段相對應的評價指標,如崗位輪換、崗位分離、審批、檢查、記錄等;而結果性指標(滯後指標)是指針對內部控制的實施效果制定的評價指標,如貨款回收率、逾期欠款等。在評價指標的設計過程中,應將措施性指標和結果性指標結合使用,同時注意以下幾點:以措施性指標為主,特別是要注重與關鍵控制手段對應的指標,因為對控制手段的評價將直接有利於內部控制系統的改進;結果性指標應配合措施性指標來採用,在各個重要環節彌補措施性指標綜合性不足的缺陷;對於部分業務環節,很難設置措施性指標的,要重點設計結果型指標,來反映內部控制系統運作的效果。 關於內部控制評價指標體系,我國監管部門曾設想內部控制評價指標體系應由業務流程指標、管理流程指標和輔助指標三部分構成。業務流程指標主要包括貨幣資金、采購銷售、成本費用、工程項目、對外投資、擔保、高風險業務的內部控制。管理流程指標包括組織結構、人力資源、風險應急機制、授權體系、計算機系統、信息交流反饋等。輔助指標評價包括企業經濟性質、經營理念、組織文化、企業文化等因素。早在上世紀九十年代,中天恆認為內部控制評價指標包括基本指標、輔助指標、選擇指標。其中,基本指標又分為內部控制的健全性及健全比率、內部控制建立的科學性及科學比率、內部控制建立的有效性及有效比率、內部控制建立的遵循性及遵循比率;輔助指標包括貨幣資金控制、實物資產控制、對外投資控制、工程項目控制、采購和付款控制、籌資控制、銷售與收款控制等;選擇指標包括管理當局對內部控制的態度、企業員工對內部控制的態度、企業內部審計對內部控制的態度、企業外部環境對內部控制的影響等。這套指標的設計明顯受國有企業績效考核指標的影響,雖在企業中一度被廣泛採用,但現在看來已經過時了。 根據現代內部控制理論研究和內部控制規范要求,內部控制評價就是內部控制設計和執行的有效性進行評價,內部控制評價指標體系的構建應突出如何評價內部控制有效性。簡單而言,內部控制評價指標就是內部控制有效率,可簡單分為內部控制設計有效率和內部控制執行有效率。具體實施過程中可根據內部控制五要素及其具體內容設計具體的有效率指標。
㈤ 內部控制評價方法有哪些
轉載以下資料,供您參考:
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
㈥ 企業內部控制評估包括哪些
企業內部控制
定義:企業內部控制是以專業管理制度為基礎,以防範風險、有回效監管為目的,通過全方位建立答過程式控制制體系、描述關鍵控制點和以流程形式直觀表達生產經營業務過程而形成的管理規范。
企業內部控制主要包括下列要素:
(一)內部環境。內部環境是企業實施內部控制的基礎,一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
(二)風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略。
(三)控制活動。控制活動是企業根據風險評估結果,採用相應的控制措施,將風險控制在可承受度之內。
(四)信息與溝通。信息與溝通是企業及時、准確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、企業與外部之間進行有效溝通。
(五)內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
㈦ 內部控制評價有哪些原則
一、內部控制評價應當遵循的原則
根據《評價指引》的要求,內部控制評價應遵循以下三個原則:
1.全面性原則。評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。
2.重要性原則。評價工作應當在全面評價的基礎上,關注重要業務單位、重大業務事項和高風險領域。
3.客觀性原則。評價工作應當准確地揭示經營管理的風險狀況,如實反映內部控制設計與運行的有效性。
二、內部控制評價的內容
《企業內部控制評價指引》要求企業根據《企業內部控制基本規范》、《企業內部控制評價指引》以及本企業的內部控制制度,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,對內部控制有效性進行全面評價,包括財務報告內部控制有效性和非財務報告內部控制有效性。
㈧ 內部控制評價有哪些內容
關於內部控制評價內容,從范圍看,一般認為企業內部控制評價應根據資源情況和組織需求來決定,既可以是全面內部控制評價,如對整個內部控制系統進行評價,然後把信息反饋給最高管理當局;也可以是局部評價,如對某個部門或某個控制進行評價,然後把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次,而局部內部控制評價視需要而定。從內容看,大多從內部控制要素角度,要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然,還有把內部控制評價分為內部控制設計和執行,自我評估和獨立評估,全面內部控制和業務控制,過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面,治理結構層面、財務控制層面和業務控制層面等三個層面。從標准看,有些內部控制規范和理論認為,內部控制評價無論是總體還時局部,無論是設計還是執行,都應當以內部控制的健全性、恰當性(或者稱為合理性、科學性)和有效性為標准。有些規范和理論認為,內部控制評價,包括對內部控制設計有效性和運行有效性的評價。還有人認為,內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣於把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價,就是對整體層面控制有效性的評價過程,是一個流程。這個流程包括:確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境;識別整體層面控制的弱點,這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價,內部控制總體評價,是對各種控制過程與因素的綜合考慮,從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標,但評價時應將控製作為一個整體,而不是單獨的控制目標。如一個控制領域的弱點,可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的?整體層面控制必須達到最高水平的可靠性才能有效嗎?在決策時,應考慮以下事項:一是整體考慮。最終,內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時,機構就應進行權衡,是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基於財務報表的整體作出判斷,因此應從財務報表的整體來考慮,內部控制未能防止或發現的錯報是否重要。用於評價整體層面控制的的流程包括:使用內部控制可靠性模型,為每一個控制目標的有效性分級;將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價?加拿大特許會計師協會對此進行了研究,一個特別的結論值得注意。證據不僅僅是事實的集合,而且是審計人員所了解的每一件事的整合。證據不是以整齊的先後順序出現的——它是非線性的、零散的,必須進行整理、歸類和綜合。一些證據是具體的事實,可以客觀地證實,但大多是所見、所聽或所感的印象,它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中,人們會考慮所有這些因素——當形成結論時,把它們作為證據。業務層面控制評價,就是對業務層面控制有效性的評價過程,是內部控制評價的核心內容。
中天恆3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面,會計控制評價是基礎,業務控制評價是核心,管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面,但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常,計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用於較寬范圍的風險,這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險(如工資、應收賬款和采購應用系統等),其風險來源於信息系統中應用系統本身的漏洞,直接威脅到數據的安全、准確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利於企業內部控制目標的實現,並以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,並以此評價相關應用系統操作數據的真實性、准確性和合規性。
關於內部控制評價的內容,理論上可繼續探索,但實際執行中,還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點,以企業設計的《企業內部控制手冊》為依據,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定,不能固定化和模式化。
這里需要特別強調的,內部控制評價內容不能僅僅限於對五要素的總體評價,而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別,規模大小也不一樣,但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。
㈨ 內部控制評價的內容及原則包括哪些
一、內部控制評價應當遵循的原則
根據《評價指引》的要求,內部控制評價應遵循以下三個原則:
全面性原則。評價工作應當包括內部控制的設計與運行,涵蓋及其所屬單位的各種業務和事項。
2.重要性原則。評價工作應當在全面評價的基礎上,關注重要業務單位、重大業務事項和高風險領域。
3.客觀性原則。評價工作應當准確地揭示經營管理的風險狀況,如實反映內部控制設計與運行的有效性。
二、內部控制評價的內容
《內部控制評價指引》要求根據《內部控制基本規范》、《內部控制評價指引》以及本的內部控制制度,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,對內部控制有效性進行全面評價,包括財務報告內部控制有效性和非財務報告內部控制有效性。
㈩ 內部控制評價方式有哪些
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。