内控评价包括
㈠ 内部控制评价程序一般包括哪些内容内部控制评价报告应当披露哪些内容
内部控制评价流程
内部控制评价流程,就是内部控制评价工作从开始到结束的基本过程。国际上权威的观点认为评价一个内部控制体系本身就是一个过程,在这个过程中应有一套规程以及其一些内在的基本要素。内部控制评价流程到底包括哪些基本要素,在理论界和实务界认识是不同的,做法也是不一样的,也因评价主体和内容的不同而不同。管理层自我评估和审计机构评价流程会略有不同。基于财务报告内部控制评价和基于全面内部控制评价的流程也不可能完全一样。我国《企业内部控制评价指引》要求企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。这是我国企业内部控制评价工作的法定程序,是必须要执行的最基本的程序。中天恒3C框架把内部控制评价流程分为评价准备、评价实施、评价报告三个阶段,每个阶段又可细分若干内容。
企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:
(1)组织实施内部控制评价的总体情况;
(2)内部控制责任主体的声明;
(3)内部控制评价的范围和内容;
(4)内部控制评价的标准和依据;
(5)内部控制评价的程序和方法;
(6)内部控制重大缺陷及其认定情况;
(7)内部控制重大缺陷的整改措施及责任追究情况;
(8)内部控制有效性的结论;
存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。
《深圳证券交易所上市公司内部控制指引》自我评价报告至少应包括以下内容:
(1)对照本指引及有关规定,说明公司内部控制制度是否建立健全和有效运行,是否存在缺陷;
(2)说明本指引重点关注的控制活动的自查和评估情况;
(3)说明内部控制缺陷和异常事项的改进措施(如适用);
(4)说明上一年度的内部控制缺陷及异常事项的改善进展情况(如适用)
《上海证券交易所上市公司内部控制指引》公司内部控制自我评估报告至少应包括如下内容:
(1)内控制度是否建立健全;
(2)内控制度是否有效实施;
(3)内部控制检查监督工作的情况;
(4)内控制度及其实施过程中出现的重大风险及其处理情况;
(5)对本年度内部控制检查监督工作计划完成情况的评价;
(6)完善内控制度的有关措施;
(7)下一年度内部控制有关工作计划
㈡ 内部控制评价程序一般包括哪几个步骤
内部控制评价
内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面回评价,形成评价结论,答出具评价报告的过程。企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
㈢ 内部控制评价体系包括哪些内容
企业内部控制评价标准体系是一种管理机制,规范着企业的经营管理活动,能提高企业的经营效率和抗风险能力,它不仅反映了企业法人治理结构和管理体制的需要,而且将企业发展的战略目标以及业绩的评价和激励都纳入其中。建立科学严格的内部控制评价体系,不仅是内部控制制度本身实施的要求,也是保证企业经营战略有效执行的基石。但当前我国企业内部控制评价主要是为审计服务的,无论是评价内容还是评价目标,都存在很大的局限性,制约了企业内部控制的有效执行。因此建立一套完善的、符合实际的、具有可操作性的企业内部控制评价体系势在必行。
内部控制评价体系
一、内部控制部分,包含:
(一) 治理结构
(二) 机构设置及权责分配
(三) 内部审计
(四) 人力资源政策
(五) 企业文化
二、风险评估部分,包含:
风险识别、分析和应对。
三、控制活动部分,包含:
(一) 人员
1. 职务分离控制
2. 授权审批控制
3. 人力资源控制
(二) 专项
1. 财产保护控制
2. 会计系统控制
3. 信息技术控制
(三) 运营
1. 流程控制
2. 预算控制
3. 运营分析控制
(四) 应急
应急处理机制
四、信息与沟通部分,包括:
(一) 信息采集与传递路径
(二) 信息载体控制
(三) 信息审核、反馈与处理
五、内部监督部分,包括:
(一) 对内部控制建立与实施监督检查
(二) 评价内部控制是否健全、合理、有效
(三) 报告缺陷、采取处理措施、责任追究
㈣ 内部控制评价指标有哪些
要界定内部控制评价指标,先得界定指标。指标是什么,基本的解释是衡量目标的单位或方法或预期中打算达到的指数、规格、标准, 说明总体数量特征的概念,一般由指标名称和指标数值两部分组成,体现了事物质的规定性和量的规定性两个方面的特点。照此理解,内部控制评价指标就是衡量内部控制目标的单位或方法或预期中打算达到的指数、规格、标准。照此生搬硬套也难以理解内部控制指标到底是什么。不过内部控制评价就是要对有效性进行评价,这点是我国企业内部控制基本规范的基本要求。 如何才能科学地评价内部控制有效性,选择科学的指标体系是整个内部控制评价工作的核心和评价目标实现的关键。理论上讲,构建内部控制评价指标体系,其内容是通过对企业内部控制系统的研究和分析,设计出用于评价的指标体系,其中包括各项指标的名称、内容、标准、权重等。内部控制评价指标要与关键控制点一一对应。评价者应根据内部控制的各个要素设计不同的评价指标,并根据内部控制五要素在内部控制系统中的不同作用分别赋予其不同的权重。 构建内部控制评价指标体系首先要确定体系内的指标有哪些。这一工作说必须严格遵循合理性与可操作性的原则。这么说是相对简单的事,也是没有问题的,但要确定到底哪些指标并不是件容易的事。或许正因如此,实际在评价内部控制的有效性时,通常针对实体的具体情况把评价指标设计成一系列问题,根据问题的答案来评价内部控制的有效性程度。也有把内部控制内容作为内部控制评价指标,还有把关键控制点作为内部控制评价指标的等等来进行评价内部控制的有效性的。这确实是简单易行,但问题、内容、关键控制点终究不可能是内部控制评价指标。指标只反映总体的数量特征,所有指标都要用数字来回答问题,没有用问题回答问题的指标。理论界指出在设计评价指标时应格外关注措施性指标和结果性指标的选择问题。措施性指标(先行指标)是指与各种控制手段相对应的评价指标,如岗位轮换、岗位分离、审批、检查、记录等;而结果性指标(滞后指标)是指针对内部控制的实施效果制定的评价指标,如货款回收率、逾期欠款等。在评价指标的设计过程中,应将措施性指标和结果性指标结合使用,同时注意以下几点:以措施性指标为主,特别是要注重与关键控制手段对应的指标,因为对控制手段的评价将直接有利于内部控制系统的改进;结果性指标应配合措施性指标来采用,在各个重要环节弥补措施性指标综合性不足的缺陷;对于部分业务环节,很难设置措施性指标的,要重点设计结果型指标,来反映内部控制系统运作的效果。 关于内部控制评价指标体系,我国监管部门曾设想内部控制评价指标体系应由业务流程指标、管理流程指标和辅助指标三部分构成。业务流程指标主要包括货币资金、采购销售、成本费用、工程项目、对外投资、担保、高风险业务的内部控制。管理流程指标包括组织结构、人力资源、风险应急机制、授权体系、计算机系统、信息交流反馈等。辅助指标评价包括企业经济性质、经营理念、组织文化、企业文化等因素。早在上世纪九十年代,中天恒认为内部控制评价指标包括基本指标、辅助指标、选择指标。其中,基本指标又分为内部控制的健全性及健全比率、内部控制建立的科学性及科学比率、内部控制建立的有效性及有效比率、内部控制建立的遵循性及遵循比率;辅助指标包括货币资金控制、实物资产控制、对外投资控制、工程项目控制、采购和付款控制、筹资控制、销售与收款控制等;选择指标包括管理当局对内部控制的态度、企业员工对内部控制的态度、企业内部审计对内部控制的态度、企业外部环境对内部控制的影响等。这套指标的设计明显受国有企业绩效考核指标的影响,虽在企业中一度被广泛采用,但现在看来已经过时了。 根据现代内部控制理论研究和内部控制规范要求,内部控制评价就是内部控制设计和执行的有效性进行评价,内部控制评价指标体系的构建应突出如何评价内部控制有效性。简单而言,内部控制评价指标就是内部控制有效率,可简单分为内部控制设计有效率和内部控制执行有效率。具体实施过程中可根据内部控制五要素及其具体内容设计具体的有效率指标。
㈤ 内部控制评价方法有哪些
转载以下资料,供您参考:
内部控制评价方式,是指内部控制评价工作的基本形式,是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行,从内部控制评价本身以及目前的发展情况来看,主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价,就是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在,评价内部控制的设计有效性;然后,测试内部控制的运行有效性;最后,综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞,确定内部控制是否有效。显然,详细全面评价是一种传统的内部控制评价方式,企业最初进行内部控制建设或日常的评价中应用较多,主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当,存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注内部控制的“What and Why”,尽管这些框架或标准提供了评价有效性的标准,但不够细致,不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价,就是以风险为导向,首先,要评估相关目标实现的风险;其次,识别和确定组织充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。这种方式是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了“自上而下,风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始,然后到具体作业层级控制的测试,主要体现在:从财务报表整体开始,然后到账户、披露;从公司层面的控制开始,然后到活动层面的控制。“风险基础”主要体现在:以评估控制目标实现的风险为起点;关注重要的财务报告和披露风险与问题;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性及灵活性;关注最重要的风险,提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式,要求评价人员改变传统的评价模式,把评价的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向评价方式下,评价人员更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策?风险为导向评价方式下,评价人员大多采用内部控制自评(CSA)、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一方式,英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则:采用一种自上而下的重视风险的方法,即着眼于与财务报告相关重要虚假记载相联系的风险,对业务流程相关的内部控制进行评价,具体策略:运用自上而下的风险方法;内部控制缺陷的分类,将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类;不采用直接业务报告的做法;内部控制审计与财务报表审计一并实施;内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
㈥ 企业内部控制评估包括哪些
企业内部控制
定义:企业内部控制是以专业管理制度为基础,以防范风险、有回效监管为目的,通过全方位建立答过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。
企业内部控制主要包括下列要素:
(一)内部环境。内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。
(二)风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
(三)控制活动。控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。
(四)信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。
(五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
㈦ 内部控制评价有哪些原则
一、内部控制评价应当遵循的原则
根据《评价指引》的要求,内部控制评价应遵循以下三个原则:
1.全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
3.客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
二、内部控制评价的内容
《企业内部控制评价指引》要求企业根据《企业内部控制基本规范》、《企业内部控制评价指引》以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性。
㈧ 内部控制评价有哪些内容
关于内部控制评价内容,从范围看,一般认为企业内部控制评价应根据资源情况和组织需求来决定,既可以是全面内部控制评价,如对整个内部控制系统进行评价,然后把信息反馈给最高管理当局;也可以是局部评价,如对某个部门或某个控制进行评价,然后把发现的不足或某一方面控制精确度的信息反馈给某些管理人员。全面内部控制评价一般每年进行一次,而局部内部控制评价视需要而定。从内容看,大多从内部控制要素角度,要求内部控制评价内容至少包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素。当然,还有把内部控制评价分为内部控制设计和执行,自我评估和独立评估,全面内部控制和业务控制,过程评价和结果评价两个层面的。还有把内部控制评价的内容分为公司治理层面、业务流程层面、信息科技层面,治理结构层面、财务控制层面和业务控制层面等三个层面。从标准看,有些内部控制规范和理论认为,内部控制评价无论是总体还时局部,无论是设计还是执行,都应当以内部控制的健全性、恰当性(或者称为合理性、科学性)和有效性为标准。有些规范和理论认为,内部控制评价,包括对内部控制设计有效性和运行有效性的评价。还有人认为,内部控制评价要对内部控制系统设计的有效性、内部控制运行的有效性和内部控制系统设计及运行的经济性进行评价。
人们习惯于把内部控制评价的内容分为整体层面控制评价和业务层面控制评价。整体层面控制评价,就是对整体层面控制有效性的评价过程,是一个流程。这个流程包括:确定整体层面控制是否创建了一个使业务层面控制有效执行的总体环境;识别整体层面控制的弱点,这些弱点会影响业务层面控制测试的设计。整体层面控制评价不是内部控制总体评价,内部控制总体评价,是对各种控制过程与因素的综合考虑,从而得出一个总体的评论。整体层面控制的测试是针对具体的控制目标,但评价时应将控制作为一个整体,而不是单独的控制目标。如一个控制领域的弱点,可通过其他领域有效控制的设计和执行予以弥补。控制需有多可靠才能被认为是有效的?整体层面控制必须达到最高水平的可靠性才能有效吗?在决策时,应考虑以下事项:一是整体考虑。最终,内部控制有效性应以系统整体而不是单个组成要素来评估。在设计系统时,机构就应进行权衡,是改进系统中某些要素抑或是通过其他更有效的控制进行弥补。二是合理保证和重要性。内部控制仅能提供合理的而不是绝对的保证。内部控制有效性的评价应基于财务报表的整体作出判断,因此应从财务报表的整体来考虑,内部控制未能防止或发现的错报是否重要。用于评价整体层面控制的的流程包括:使用内部控制可靠性模型,为每一个控制目标的有效性分级;将单个控制目标融入组织整体层级控制之中。究竟如何对控制有效性进行最终评价?加拿大特许会计师协会对此进行了研究,一个特别的结论值得注意。证据不仅仅是事实的集合,而且是审计人员所了解的每一件事的整合。证据不是以整齐的先后顺序出现的——它是非线性的、零散的,必须进行整理、归类和综合。一些证据是具体的事实,可以客观地证实,但大多是所见、所听或所感的印象,它包括组织中人们的态度和意图、组织文化和道德论调。在有意或无意的过程中,人们会考虑所有这些因素——当形成结论时,把它们作为证据。业务层面控制评价,就是对业务层面控制有效性的评价过程,是内部控制评价的核心内容。
中天恒3C框架一直主张内部控制评价应当包括会计控制、业务控制和管理控制三个方面,会计控制评价是基础,业务控制评价是核心,管理控制评价是努力的方向。内部控制评价肯定包括设计和执行两个方面,但关键还是执行。
在信息系统环境下与手工处理环境下的内部控制评价内容肯定不同。通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
关于内部控制评价的内容,理论上可继续探索,但实际执行中,还是要统一到《企业内部控制评价指引》的要求上来。我国企业内部控制评价的内容应以《企业内部控制基本规范》及配套指引为起点,以企业设计的《企业内部控制手册》为依据,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容。当然要对内部控制设计与运行情况进行全面评价。企业内部控制评价具体内容应由企业经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定,不能固定化和模式化。
这里需要特别强调的,内部控制评价内容不能仅仅限于对五要素的总体评价,而要对企业财务、业务、管理控制进行具体评价。企业的业务千差万别,规模大小也不一样,但企业内部控制评价具体内容应至少包括已经颁布的企业内部控制配套指引主要内容。
㈨ 内部控制评价的内容及原则包括哪些
一、内部控制评价应当遵循的原则
根据《评价指引》的要求,内部控制评价应遵循以下三个原则:
全面性原则。评价工作应当包括内部控制的设计与运行,涵盖及其所属单位的各种业务和事项。
2.重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
3.客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
二、内部控制评价的内容
《内部控制评价指引》要求根据《内部控制基本规范》、《内部控制评价指引》以及本的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性。
㈩ 内部控制评价方式有哪些
内部控制评价方式,是指内部控制评价工作的基本形式,是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行,从内部控制评价本身以及目前的发展情况来看,主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价,就是以内部控制框架或标准为参照物,根据内部控制框架的构成要素是否存在,评价内部控制的设计有效性;然后,测试内部控制的运行有效性;最后,综合设计和运行的评价对内部控制的有效性做出总体评价,评估内部控制目标实现的风险,判断是否存在实质性漏洞,确定内部控制是否有效。显然,详细全面评价是一种传统的内部控制评价方式,企业最初进行内部控制建设或日常的评价中应用较多,主要是采用“内部控制调查问卷”和符合性测试,对企业已经存在的内部控制进行评价,评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险,即从内部控制到相关目标实现的风险,比较适合用于内部控制的建立和保持,而对评价内部控制的有效性并不十分恰当,存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错,但是,内部控制的框架或标准本身是一个通用的框架,更多地关注内部控制的“What and Why”,尽管这些框架或标准提供了评价有效性的标准,但不够细致,不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价,就是以风险为导向,首先,要评估相关目标实现的风险;其次,识别和确定组织充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性;第三,识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;最后,对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。这种方式是从风险到控制,即从内部控制相关目标实现的风险到内部控制,充分体现了“自上而下,风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始,然后到具体作业层级控制的测试,主要体现在:从财务报表整体开始,然后到账户、披露;从公司层面的控制开始,然后到活动层面的控制。“风险基础”主要体现在:以评估控制目标实现的风险为起点;关注重要的财务报告和披露风险与问题;仅评价充分应对风险的控制;证据的获取和场所的选择根据风险评估的结果;评价结论(内部控制是否有效)也是风险基础的,判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况,避免与内部控制框架的简单核对,具有更好的成本效益性和更广泛的适用性及灵活性;关注最重要的风险,提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式,要求评价人员改变传统的评价模式,把评价的起点放在关注企业发展战略和识别企业业务流程的风险上,分析风险,并提出控制风险的建议和方法。特别需要指出,评价内部控制并非为了控制本身,而应针对企业经营过程中可能面临的风险。在风险导向评价方式下,评价人员更为关心的是下列问题:与控制相关的目标是什么?这种控制要解决的问题是什么?这种控制是否对被审计单位的经营活动有益?是否存在重复控制?什么样的风险水平是可以接受的?控制的效果是否影响管理当局决策?风险为导向评价方式下,评价人员大多采用内部控制自评(CSA)、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看,内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南(SEC,2007)和内部控制审计准则(PCAOB,2007)都采用了这一方式,英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则:采用一种自上而下的重视风险的方法,即着眼于与财务报告相关重要虚假记载相联系的风险,对业务流程相关的内部控制进行评价,具体策略:运用自上而下的风险方法;内部控制缺陷的分类,将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类;不采用直接业务报告的做法;内部控制审计与财务报表审计一并实施;内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素(控制环境、风险评估、控制活动、信息与沟通、内部监督)为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。