内部控制评价实施的效果取决于企业能否有效实施内部控制自我评价。按照企业内部控制评价指引的要求,进行内部控制评价具有很大的挑战,具体体现在以下四个方面:内部控制评价的内容涵盖五要素,包括非财务报告内部控制。
这是我们国家的一个创新,与美国萨班斯法案要求的企业内部控制自我评估不同。美国要求的内部控制自我评估仅是与财务报告相关的内部控制自我评价,旨在对财务报告可靠性的过程提供保证。
我们国家要求的内控评价范围相对更广,有利于企业全面实现内部控制目标,也将面临很大的挑战。
内部控制评价对评价的流程、程序、底稿等要求很高,体现专业审计的特点。
内部控制评价指引的内容很简练,仅仅包括评价内容、流程、缺陷认定和评估报告。这可能会给人一个假象,即内部控制评价实施很简单,其实不然。指引要求企业在自我评价过程中应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。此外,内部控制的评价过程其实完全跟审计上的内部控制测试一样,包括测试的范围确定、拟测试的关键控制、确定样本量、选择样本、记录测试结果等等。这对非审计专业的评价人员来说是一个不小的挑战。
内部控制缺陷的认定与操作规范具有很高的难度。
内部控制评价指引要求企业对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。而重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据指引要求自行确定,而目前这一领域,企业相关的制度和操作规范基本上是空白。缺陷的认定尽管属于操作范畴,但其难度不应小觑,否则将严重影响内部控制评价实施的效果。
监管上的要求变化。
新的评价指引实施前,上市公司内部控制自我评估报告一般由会计师实施审核并对企业的自我评估出具鉴证报告,即对公司内部控制自我评估报告进行审阅、复核。而实施新的评价指引之后,会计师不再对上市公司内部控制自我评价报告进行审核,而是对企业的内部控制(主要是与财务报告相关的)出具审计意见。