2.建立统一科学的评价标准。
美国的相关法律条款和实务都对在内部控制评价的早期确定科学的评级标准提出了要求,认为应采用诸如COSO报告提出的内部控制风险管理的公认标准,作为财务报告内部控制有效性评价的标准。目前我国内部控制评价实务中,管理层建立健全有效的内部控制,一般是参照财政部发布的《内部会计控制规范——基本规范(试行)》进行的,内容主要是以单位的内部会计控制为主,同时兼顾与会计有关的控制;独立审计师内部控制审核业务则是根据中国注册会计师协会发布的《内部控制审核指导意见》进行的。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式,没有和财务报告审计中的内部控制评价明显区分开来。因此,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
3.明确内部控制有效性评价的内容。
目前,我国理论界与实务界没有对内部控制有效性评价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审计时,主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价,因此在确定内部控制评价的内容时,一方面应根据注册会计师与委托人达成的业务约定书内容,另一方面,还需要考虑审计师在审计初期确定的审核标准。此外,对于重大环节的风险评价应作为内部控制有效性评价内容的重点。中航油公司曾在2003年被新加坡证券监督部门列为最具透明度的企业,说明其在细节方面的内部控制做得非常周到。但是从事后暴露的结果看,恰恰是在经营风险管理的重大环节上出了问题。
4.设计一套科学的内部控制有效性评价程序。
管理层对内部控制的有效性评价可以分四个步骤来完成,即:计划、设计有效性评价、执行有效性评价、评估和报告。首先是计划阶段,主要内容包括:对高级管理人员进行教育;建立任务小组并明确责任;确定需要重点关注的内部控制。其次是对内部控制的设计有效性进行评价,内容包括:根据确定的标准,设计有效性评价;检查现存的内部控制文件。第三阶段是对执行有效性进行评价,具体的行动步骤有:管理层将所设计的内部控制责任分配到具体的岗位,并组织内部审计人员或第三方人员实施监控程序和评价活动,执行有效性评价;CEO和CFO对发现的内部控制缺陷的重要性进行评价,并就采取的对策达成一致意见;将得出的结论向审计委员会和外部审计人员报告。最后阶段是评估和报告阶段,内容有:发表管理层关于财务报告内部控制的声明,并将其作为公司年报的一部分予以公布;发现的重大控制缺陷和重要控制弱点以及采取的对策,并向法律顾问和董事会报告。
5.明确内部控制有效性评价的时间范围。
尽管独立审计师发表的内部控制评价报告是针对特定时点进行的(一般是与所审计会计报表期间的期末资产负债表口径一致),但审计人员对内部控制有效性与否进行的测试工作则涵盖了一段时间。因此,管理层应该保证投入运行的内部控制必须运行了一段足够的时间,以便于审计师实行执行有效性测试工作。在确定我国内部控制有效性评价的时间范围时,应借鉴国外的有益经验,针对一段时间内的内部控制的有效性进行评价,并在管理层关于财务报告内部控制的声明中明确报告的期间范围,对超过一定期限的内部控制评价结果,还需要取得额外的证据来支持最终的评价结果。
6.管理层评价与外部审计师审核的协调一致性。
管理层对内部控制有效性负责,应选择适当的控制标准对公司的内部控制有效性进行评价,并获取足够的证据来支持最终的评价结果,同时需要签署一份关于公司内部控制有效性的书面声明。而审计师需要对管理层最终形成的内部会计控制评价报告意见提供足够的恰当证据。所以管理层应该加强与外部审计师的交流和沟通,例如所确定的重要的内部控制内容及原因;对重要内部控制形成的文件的完整性以及设计的合理性如何;在进行重要控制的执行有效性评价时采取的程序是否科学合理;发现的内部控制缺陷及其重要性如何,采用的改进措施是否有效等。管理层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员内部控制评价工作的一部分,但审计师还需要重复相关的测试工作,并进行执行有效性的独立测试,以保证审计结论的公允。