内部控制缺陷识别标准:理论框架和案例分析
【摘 要】 内部控制缺陷识别标准是判断特定事项是否属于内部控制缺陷的依据,包括内部控制偏差识别标准、内部控制缺陷与内部控制局限性划分标准、风险承受度标准。
内部控制偏差识别标准包括内部控制设计偏差识别标准和执行偏差识别标准。
前者有四种情形:相关法律法规或强制性规范――强制标准;行业内部控制规范――相对标准;通用内部控制规范――参考标准;控制与风险的匹配性――绝对标准。
风险承受度标准需要按控制主体和各个控制目标联合考虑,形成一个体系。
下载论文网 【关键词】 内部控制缺陷; 识别标准; 内部控制偏差; 内部控制瑕疵; 内部控制局限性 【中图分类号】 F239.0 【文献标识码】 A 【文章编号】 1004—5937(2017)19—0122—06 一、引言 内部控制鉴证主要是寻找缺陷并对缺陷进行等级划分,前者称为缺陷识别,后者称为缺陷认定。
无论是缺陷识别还是缺陷认定,都需要标准,并需要用不同的标准,本文关注前者。
缺陷识别标准是判断特定事项是否有缺陷的标准,同样的事项,选择不同的评价标准会得出不同的评价结论,所以,适宜的缺陷识别标准是内部控制鉴证的要素之一。
没有适宜的评价标准,就没有实质意义上的内部控制鉴证,有时甚至比没有内部控制鉴证更糟糕[ 1 ]。
关于内部控制缺陷识别标准有一些研究,但总体上还不够深入,不过有一点共识,认为内部控制缺陷识别标准具有多样性,并不存在放之四海而皆准的识别标准。
本文从过程视角来认识内部控制缺陷识别标准,以内部控制缺陷识别标准多样性为前提,研究内部控制缺陷识别标准之选择。
随后的内容安排如下:首先是一个简要的文献综述,梳理内部控制缺陷识别标准相关文献;在此基础上提出一个关于内部控制缺陷识别标准选择的理论框架;然后用这个理论框架来分析经典例证,以一定程度上验证本文提出的理论框架;最后是结论和启示。
二、文献综述 根据本文的主题,相关文献包括两部分,一是管理审计标准相关研究,二是内部控制鉴证标准相关研究①。
管理审计标准的研究主要涉及管理审计标准的重要性及如何确定管理审计标准。
关于管理审计标准的重要性,Santocki[ 2 ]分别于1974年和1982年对管理审计做了两次调查,结果显示在制约管理审计发展的八个因素中,缺乏审计标准是第一位因素。
Vinten[ 3 ]曾专门对英美两国的管理审计做了比较研究,他的结论为“英国的管理审计落后于美国管理审计的主要原因是英国的管理审计不像美国那样采用正式且固定的程序,从而不像美国那样更多地强调标准控制”。
王光远[ 1 ]指出“审计准则和评价标准是管理审计走向科学与规范的标志,没有合理的评价标准就等于没有实质意义的管理审计,有时甚至比没有管理审计还要糟糕;审计准则和评价标准是建设管理审计科学的关键”。
关于如何确定管理审计标准,Emmanuel和Otlty[ 4 ]指出“实践中没有一种不变的、普遍适用的管理原则可供所有组织的管理者遵循,各个组织必须因地制宜,及时有效地对环境做出反映。
只有这样,才能实现有效管理”。
根据这种思路,评价标准必须能反映出组织在管理过程中因地制宜的能力和效果。
Reenbaum[ 5 ]指出管理过程评价标准由以下方面组成:“得到认可的管理惯例,由职业组织所颁发的法规和准则,遵守法律的情况,同行业公司间的比较。
”郑石桥[ 6—7 ]提出管理过程评价模式分为定性评价模式和定量评价模式。
定性评价模式主要有质量认证模式、内部控制模式、企业升级模式和标准化模式,定量评价模式主要有工作流技术模式、平衡计分卡模式。
关于内部控制鉴证标准相关研究,一些文献主张从内部控制结果来建立内部控制评价标准,不同的文献提出了不同的评价指标体系[ 8—9 ]。
另外一些文献主张采用《COSO内部控制整体框架》《企业风险管理框架》《企业内部控制规范》等权威规范作为内部控制标准[ 10—11 ]。
还有一些文献认为“由于各经济组织的具体情况不同,内部控制的管理模式及控制系统也不尽一致。
因此,如果用一把尺子和??计标准来评价一个单位、一个行业的内部控制是否健全和有效,是比较困难的”[ 12 ]。
上述文献显示,管理审计标准和内部控制鉴证标准的研究还未深入,但有一点共识,就是管理审计和内部控制鉴证标准具有多样性,并不存在放之四海而皆准的审计标准。
而恰恰这个问题缺乏相关研究。
另外,从内部控制结果来评价内部控制的一个重要问题是潜在的内部控制缺陷可能还没有形成负面结果,如果只是从结果来评价内部控制,事实上是不考虑内部控制潜在缺陷的。
基于此,本文主张从过程视角来建立瑕疵行为审计标准,以瑕疵行为审计标准多样性为前提,研究审计标准之选择。
三、内部控制缺陷识别标准体系及其选择:理论框架 (一)内部控制缺陷识别的鉴证标准和鉴证准则体系 内部控制缺陷识别标准是判断特定事项是否是缺陷的标准,而缺陷判断是一个过程,在这个过程中,每个步骤都需要做出判断。
审计师在做出相应的判断时,需要信赖一定的标准,同时,其本身的判断行为也需要有一定的规范,所以,整个过程中需要建立两种规范。
一是审计师做出判断的依据,这就是审计标准,在内部控制鉴证中也就是鉴证标准;二是审计师行为规范,也就是审计程序和方法的规范,也称为审计准则,在内部控制鉴证中也就是鉴证准则。
所以,对于内部控制缺陷识别来说,鉴证标准和鉴证准则是一个体系,在主要的判断阶段都有相应的标准。
首先是识别内部控制偏差,特定事项是否属于内部控制偏差,如果是,属于何种偏差,这需要判断标准,而如何判断,需要有行为规范,前者是鉴证标准,后者是鉴证准则;其次,对于系统性的内部控制偏差,需要再判断,区分为内部控制缺陷和内部控制局限性,这需要鉴证标准,也需要鉴证准则;再次,对于确认的内部控制缺陷,需要评估其风险暴露,这需要风险暴露的评估准则;最后,需要将评估的风险暴露结果与风险承受度相比较,这需要风险承受度标准,也需要规范审计师对比行为的鉴证准则。
总体来说,内部控制缺陷识别过程中,既有鉴证标准,也有鉴证准则,这些标准作为一个体系,贯穿于内部控制缺陷识别的各主要阶段,其基本情况如表1所示。
根据本文的主题,下面主要讨论相应的鉴证标准,不涉及鉴证准则。
(二)内部控制偏差识别标准及其选择 内部控制偏差是对内部控制应然状况的偏差,既然如此,内部控制的应然状态就是内部控制偏差的识别标准,凡是与应然状态不一致的,就是偏差。
那么,内部控制的应然状态应该是什么样呢?这需要区分两种偏差,一是内部控制设计偏差,二是内部控制执行偏差。
1.内部控制设计偏差识别标准 就内部控制设计偏差来说,其偏差识别标准是指设计的内部控制应该达到的应然状态。
一般来说,内部控制的应然状态之标准具有四种情形: 第一,相关的法律法规或强制性规范――强制性标准。
一些法律法规或强制性规范对内部控制的某些方面作出了明文规定,对于这些明文规定的偏差就是违规违法,所以,内部控制设计凡是违背了相关的法律法规或强制性规范,则肯定要判断为内部控制偏差,并在后续的判断中确定为内部控制缺陷。
例如,《中华人民共和国公司法》《中华人民共和国会计法》对相关内部控制的规定属于法律性规定,《上海证券交易所上市公司内部控制指引》《深圳证券交易所中小板上市公司规范运作指引》都属于强制性规范,对于这些权威规范的违背,可以直接判断为内部控制偏差。
一些行业组织制定了适用于本行业的内部控制规范,这些内部控制规范是根据本行业的业务经营及其风险特点来制定的,具有较强的行业针对性,并且,对于本行业的内部控制惯例也会包括在这种行业规范之中。
例如,巴塞尔银行监管委员会颁布的《银行系统的内部控制框架》及中国银监会颁布的《商业银行市场风险管理指引》《固定资产贷款管理暂行办法》《流动资金贷款管理暂行办法》和《个人贷款管理暂行办法》《项目融资业务指引》《商业银行流动性风险管理指引》《商业银行操作风险管理指引》《商业银行合规风险管理指引》《商业银行内部控制指引》都是银行业内部控制行业规范,证监会颁布的《证券公司内部控制指引》是证券业内部控制行业规范,保监会颁布的《保险公司内部控制基本准则》是保险业内部控制行业规范,财政部颁布的《电力行业内部控制操作指南》是电力行业内部控制行业规范,财政部颁布的《石油石化行业内部控制操作指南》是石油石化行业内部控制规范。
行业规范体现了行业特征,所以,一般来说,特定组织的内部控制设计如果与行业内部控制规范不同,有很大可能是内部控制偏差。
但是,即使是同一行业的组织,由于其特定的环境条件不同,在内部控制方面也可能具有一定的差异性,从而也可能需要偏差行业内部控制规范,在这些情形下对行业内部控制规范的偏差,就不宜确定为偏差。
总体来说,用行业内部控制规范作为标准来判断内部控制偏差具有较强但非绝对的适用性,是相对标准。
此外,行业内部控制规范的行业范围要适宜,不能是过于广泛,而应该是具有相同或类似业务经营及风险特征的组织之集合。
例如制造业各企业具有不同的业务,也有不同的风险特征,所以,不宜作为一个行业,而其中的石油石化企业则可以作为一个行业。
就国际来说, COSO—IC[ 13 ]、COSO—RM[ 14 ]、COSO—IC[ 15 ]是各种组织通用的内部控制偏差识别标准;INTOSAI[ 16 ]颁布的《公共部门内部控制指引》是公共部门通用的内部控制偏差识别标准。
就国内来说,财政部等[ 17—18 ]颁布的《企业内部控制规范》及相应的《应用指引》是企业内部控制偏差识别的通用标准,国有资产监督管理委员会[ 19 ]颁布的《中央企业全面风险管理指引》是中央企业内部控制偏差识别的通用标准,财政部[ 20 ]颁布的《行政事业单位内部控制规范(试行)》是行政事业单位内部控制偏差识别的通用标准[ 10—11 ]。
用通用内部控制规范来识别内部控制偏差需要谨慎地进行,理性地判别。
从本质上来说,内部控制是风险评估和风险应对的体系,对于特定的组织来说,必须因地制宜。
然而,由于通用标准具有广泛的适用性,所以,其?对性相对较弱。
对于特定的组织而言,与通用内部控制规范不一致并不一定就是偏差,需要从风险与控制的对应关系来判断其是否属于偏差。
所以,通用内部控制规范只是判断内部控制偏差的参考标准或逻辑起点,不应该作为绝对标准[ 4,12 ]。
内部控制是为其目标提供保障的系统,如果没有提供其拟提供的保障程度,则是内部控制失败,也就是内部控制缺陷。
那么,内部控制是如何提供保障的呢?基本逻辑是寻找风险和应对风险。
所以,从本质上来说,内部控制缺陷就是风险暴露超过可容忍的程度,识别内部控制缺陷首先要识别风险暴露。
虽然风险暴露不一定是内部控制缺陷,但是内部控制缺陷肯定存在风险暴露。
正是从这个意义出发,内部控制偏差识别的基本逻辑是判断控制与风险之间的匹配性,凡是二者不匹配的,就是内部控制偏差。
从逻辑上来说,控制与风险之间不匹配有三种情形:一是风险未能识别,所以针对该风险也就没有必要控制;二是风险已经识别,但即使在考虑其他措施的弥补之后,设计的控制仍然不足以应对该风险;三是设计的控制措施超出了其所应对的风险。
前两种情形属于控制不足,后一种情形是控制过度,它们都属于内部控制偏差。
从本质来说,任何情形下的内部控制偏差判断都是指控制与风险不匹配。
所以,从这个意义上来说,这种内部控制偏差认定标准具有普通适用性,具有绝对标准的性质。
但是,由于这种标准具有很强的主观性,一般来说,只有其他标准不存在的情形下才采用这种标准。
从另外一个角度来说,通用内部控制规范、行业内部控制规范、法律法规是对一定范围内的风险与控制之间的匹配关系的经验总结,遵守了这些规范,也就做到了风险与控制的匹配,也就不属于偏差;违背了这些规范,也就没有做到风险与控制的匹配,也就发生了内部控制偏差。
正是由于不同的偏差识别标准具有不同的适用性,所以,内部控制偏差识别标准的使用有如下顺序:法律法规和强制性规范――行业内部控制规范――通用内部控制规范――控制与风险的匹配性。
通过上述步骤之后所确定的内部控制偏差,表示该组织的内部控制设计与应然状态之间存在差距,这种差距也就是内部控制设计瑕疵。
2.内部控制偏差执行识别标准 内部控制执行偏差识别有两个问题,一是判断是否发生偏差,二是分析偏差发生的原因,在此基础上将偏差分为系统性偏差和偶然性偏差。
判断偏差是否发生,其识别标准是特定组织的内部控制制度,凡是没有得到正确执行的内部控制,对于该组织来说,都属于内部控制执行偏差。
然而,内部控制鉴证的目的是发现缺陷并通过整改来优化内部控制,对于不能优化的内部控制偏差需要排除。
一般来说,内部控制执行偏差有两种情形:一是由于偶然性因素的作用而产生的,称为偶然性偏差;二是由于系统性因素的作用而产生的,称为系统性偏差。
偶然性偏差纯粹是偶然原因造成的,并不表示内部控制执行有瑕疵,当然也无法通过整改来优化。
系统性偏差表示内部控制执行有瑕疵,可以通过整改来优化,当然,是否要整改,还要考虑成本效益原则。
那么,区分内部控制执行瑕疵(也就是系统性偏差)和偶然性内部控制偏差的标准是什么呢?一般来说,是否具有合理的重发性是判断偶然偏差与执行瑕疵的分水岭。
如果具有合理的重发性,则表明这种执行偏差可能会经常性,这是内部控制执行瑕疵;相反,如果不具有合理的重发性,则该执行偏差再发生的可能性很小,完全是由于一些偶然因素所引发的,不是执行瑕疵。
一般来说,在下列情形下内部控制执行偏差具有重发性:一是专业胜任能力不够,对所执行的内部控制不理解或不具备执行该控制的专业能力;二是责任心不够,即使专业胜任能力足够,但是对于所执行的内部控制不认真负责,粗枝大叶,甚至玩忽职守。
(三)内部控制缺陷与局限性划分标准 经过内部控制偏差识别,识别出了内部控制偏差,在这些偏差中剔除了偶然性偏差,剩下的偏差就是需要关注内部控制瑕疵,包括内部控制设计瑕疵和内部控制?绦需Υ谩? 然而,内部控制瑕疵并不一定就是内部控制缺陷,还需要将内部控制设计瑕疵划分为内部控制缺陷和内部控制局限性,从而也就需要一个划分标准。
本文前面已经指出,内部控制偏差识别标准有四种情形,不同情形下内部控制缺陷与内部控制局限性的划分标准不同。
当采用法律法规或强制性规范作为内部控制偏差识别标准时,一般来说,法律法规或强制性规范本身应该已经考虑了内部控制局限性,所以,这类标准提出的内部控制要求是宽容了内部控制局限性之后的要求,在种情形下的内部控制瑕疵都应该界定为内部控制缺陷。
当采用行业内部控制规范作为内部控制偏差识别标准时,一般来说,行业内部控制规范是对行业内部控制成功经验的总结,应该考虑了内部控制局限性,所以,这种情形下的内部控制瑕疵都是内部控制缺陷。
当采用通用内部控制规范作为内部控制偏差识别标准时,并没有清晰的判断标准,还需要有大量的主观判断。
同样,当采用控制与风险的匹配性作为内部控制偏差识别标准时,根本就没有显性的判断标准,只是根据风险与控制之间是否匹配来判断。
所以,在上述两种情形下,需要将内部控制瑕疵再区分为内部控制缺陷和内部控制局限性。
内部控制是为其目标实现而建立的一个系统,但是,这个系统并不为内部控制目标的实现提供绝对保证,这主要有两方面的原因。
一是有些外部因素对目标的影响是无法有效应对的;二是对于能有效应对的因素,由于成本效益的考虑,也不能通过设计和执行控制措施来应对。
第一,对于未能应对的风险,该组织是否有能力来有效应对?如果没有这种能力,则判断为内部控制局限性。
第二,对于该组织有能力应对的风险,如果采取更有力的应对措施,是否符合成本效益原则?如果不符合成本效益原则,则判断为内部控制局限性,如果符合成本效益原则,而该组织在内部控制设计中没有设计有效的应对措施,则属于内部控制缺陷。
(四)风险承受度标准 根据一定的标准,将内部控制瑕疵划分为内部控制局限性和内部控制缺陷之后,对于内部控制缺陷要进行风险暴露评估,这种过程并不需要信赖什么判断标准,但需要对评估程序和方法进行规范,这表现为内部控制鉴证准则,而不是内部控制鉴证标准。
然而,风险暴露评估之后,需要将评估的风险暴露值与可容忍的风险承受度进行比较,这里的可容忍的风险承受度就是内部控制缺陷鉴证的标准之一。
首先,不同的控制目标会有不同的风险承受度,其原因是不同的目标外部因素对其影响程度不同,有些目标主要受到组织内部因素的影响,而有些因素则受到组织外部因素的影响较大,很显然,内部控制系统对不同情形的目标所能提供的保障程度不同,从而需要不同的风险容忍度。
其次,内部控制是一个分层级的体系,组织作为一个整体是内部控制主体,组织内部的某一业务模块、组织内部的某一部门、组织内部的每个岗位都是内部控制主体,每个层级的内部控制主体都有内部控制目标,不同层级的内部控制目标体系都应该有风险容忍度。
所以,目标体系和控制主体组合起来形成了风险承受度标准体系,如表2所示。
四、内部控制缺陷识别标准及其选择:例证分析 本文从理论上分析了内部控制缺陷识别标准体系及其选择,理论的生命在于其解释现实世界的能力,下面用本文提出的理论框架来分析相关的经典例证,以一定程度上验证该理论框架。
(一)中国石油天然气股份有限公司内部控制缺陷识别 1.相关文本规定 中国石油天然气股份有限公司(简称中石油)制定了《中石油内部控制测试规范》,在该规范中将发现的内部控制例外事项区分为三种类型:设计层面文本规范性、设计层面非文本规范性、执行层面。
设计层面文本规范性例外事项包括:已有的控制没有在流程图、风险控制文档中进行描述,风险控制文档描述不符合四要素要求,其他。
设计层面非文本规范性例外事项包括:应有的控制不存在或不完善,不相容岗位未进行分离,已有的控制没有要求必要的实施证据,已有的控制缺乏必要的制度或程序文件以及制度或程序文件不完善。
执行层面的例外事项包括:已有的控制在实际中没有执行,其他。
对于执行层面的例外事项的识别要经历以下程序:确定描述的控制在实际工作中是否得到执行以及执行中的控制在风险控制分析文档中是否得到描述,是否留下事实证据,确定例外事项能否代表总体以及追加测试是否仍存在。
2.分析 很显然,设计层面文本规范性、设计层面非文本规范性都属于内部控制设计缺陷。
设计层面文本规范性关注的是制度文本形式方面的缺陷,而设计层面非文本规范性关注的是制度文本实质方面的缺陷,前者根据中石油自己的文本形式方面的规定进行判断,后者则主要根据控制与风险的匹配性进行判断。
“应有的控制不存在或不完善,不相容岗位未进行分离”都是控制不足以应对风险,这属于本文理论框架中提出的“绝对标准”。
执行层面例外事项的判断,首先,要“确定描述的控制在实际工作中是否得到执行以及执行中的控制在风险控制分析文档中是否得到描述、是否留下事实证据”,关注的是执行的内部控制和制度文本规定的内部控制是否一致,这里的判断标准是制度文本规定的内部控制。
其次,对于识别的例外事项,要“确定例外事项能否代表总体以及追加测试是否仍存在”,这里的实质是要区分能代表总体的例外事项和不能代表总体的例外事项。
能代表总体的例外事项作为内部控制缺陷,不能代表总体的例外事项不作为内部控制缺陷。
这是的例外事项类似于本文理论框架中的“内部控制偏差”,这里的能代表总体的例外事项类似于本文理论框架中的“系统性偏差”,而不能代表总体的例外事项类似于本文的“偶然性偏差”。
所以,总体来说,用本文提出的理论框架能解释中石油内部控制缺陷识别的相关规定。
(二)我国相关的权威规范对内部控制缺陷识别标准的规定 财政部等[ 17 ]颁布的《企业内部控制基本规范》第十条规定“接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告”。
财政部等[ 18 ]颁布的《企业内部控制审计指引》、中国注册会计师协会颁布的《企业内部控制审计指引实施意见》都有类似精神。
这些权威规范对内部控制审计的缺陷判断标准作出了规定,采用的是通用标准,所以,只能是参考标准。
财政部等[ 18 ]颁布的《企业内部控制评价指引》第五条规定“企业应当根据《企业内部控制基本规范》《应用指引》以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价”。
中国内部审计协会[ 22 ]颁布的《第2201号内部审计具体准则――内部控制审计》第九条也有类似规定。
这些权威规范?δ诓靠刂破兰鄣娜毕菖卸媳曜甲鞒隽斯娑ǎ?内部控制设计缺陷的判断标准是《企业内部控制基本规范》及《应用指引》,采用的是通用标准,只能是参考标准,而内部控制执行缺陷的判断标准是本企业的内部控制制度。
总体来说,我国的内部控制鉴证相关权威规范对内部控制缺陷识别基本上都采用了通用标准,一些规范还区分了内部控制设计缺陷识别标准和执行缺陷识别标准。
本文的理论框架可以解释这些规定。
五、结论和启示 内部控制缺陷识别标准是判断特定事项是否是缺陷的标准,同样的事项,选择不同的评价标准,会得出不同的评价结论。
本文从过程视角来认识内部控制缺陷识别标准,以内部控制缺陷识别标准多样性为前提,研究内部控制缺陷识别标准及其选择。
由于内部控制缺陷判断有多个逻辑步骤,所以,内部控制缺陷识别标准也存在多个步骤,包括内部控制偏差识别标准、内部控制缺陷与内部控制局限性划分标准、风险承受度标准。
内部控制偏差识别标准包括内部控制设计偏差识别标准和执行偏差识别标准。
内部控制设计偏差识别标准有四种情形:相关的法律法规或强制性规范――强制标准;行业内部控制规范――相对标准;通用内部控制规范――参考标准;控制与风险的匹配性――绝对标准。
内部控制执行偏差识别标准,一是该组织的内部控制制度,二是判断内部控制偶然偏差的合理可重复性原则。
内部控制缺陷与内部控制局限性划分标准主要基于成本效益原则,符合成本效益原则的内部控制瑕疵是内部控制局限性,不是缺陷。
风险承受度标准需要结合控制主体和控制目标综合考虑,形成一个体系。
本文的研究启示我们,内部控制鉴证决不是一个单纯的程序性工作,在这个工作中充满职业判断,而判断控制与风险是否匹配是这个过程的实质,脱离这个实质,形式主义的内部控制鉴证可能没有多少实际性意义,内部控制缺陷识别要“实质重于形式”。
【参考文献】 [1] 王光远.管理审计理论[M].北京:中国人民大学出版社,1996:126. [2] SANTOCKI J. Management audit:a job for the accountant?[M].Management Accounting (London),1983:35—37. [3] VINTEN G.Internal audit in persrectivea US/UK comparison[M].Internal Audit(Spring),1991:3—9. [4] EMMANUEL C,OTLTY D. Accounting for management control[M].Van Norstrand Reinhold Co Ltd,1985:27—28. [5] REENBAUM H G. Management auditing as a regulatory tool [M].Praeger Publisher,1987:31. [6] 郑石桥.管理审计评价标准研究[D].上海财经大学博士学位论文,2001. [7] 郑石桥.管理审计评价标准建立模式探讨[J].中国内部审计,2011(1):32—35. [8] 周春喜.内部会计控制评价指标体系及其评价[J].审计研究,2002(1):56—59. [9] 张先治,戴文涛.中国企业内部控制评价系统研究[J].审计研究,2011(1):69—78. [10] 张龙平,陈作习.财务报告内部控制评价标准研究[J].审计月刊,2009(2):35—37. [11] 谢晓燕,程富.内部控制评价标准:比较与改进――基于外部审计的视角[J].财会通讯,2010(3):62—65. [12] 王文娣.内部控制审计的评价标准[J].中国审计,1997(11):28. [13] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Internal control— Integrated Framework[R].1994. [14] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Enterprise Risk Management —Integrated Framework[R].2004. [15] COSO(Committee of Sponsoring Organizations of the Treadway Commission).Internal control— Integrated Framework[R].2013. [16] INTOSAI(The International Organisation of Supreme Attestation Institutions).Guidelines for Internal Control Standards for Public Sector[R].2004. [17] 财政部,证监会,审计署,银监会,保监会.关于印发《企业内部控制基本?范》的通知[A].2008. [18] 财政部,证监会,审计署,银监会,保监会.关于印发《企业内部控制配套指引》的通知[A].2010. [19] 国有资产监督管理委员会.关于印发《中央企业全面风险管理指引》的通知[A].2006. [20] 财政部.关于印发《行政事业单位内部控制规范(试行)》的通知[A].2012. [21] 中国注册会计师协会.关于印发《企业内部控制审计指引实施意见》的通知[A].2011. [22] 中国内部审计协会.第2201号内部审计具体准则――内部控制审计[A].2013.