人們習慣於將內部控制評價的內容分為整體層面的控制評價和業務層面的控制評價。總體水平控制評價是評價總體水平控制有效性的過程。這個過程包括:確定整體層面控制是否為業務層面控制的有效實施創造了整體環境;識別整體水平控制的弱點,這些弱點將影響業務水平控制測試的設計。總體水平控制評價不是對內部控制的總體評價,內部控制總體評價是對各種控制過程和因素的綜合考慮,從而得到壹個總體評價。總體水平控制的測試是針對具體的控制目標,但應將控制視為壹個整體,而不是單個控制目標。例如,壹個控制領域的弱點可以通過設計和實施其他領域的有效控制來彌補。控制需要有多可靠才能被認為是有效的?整體水平控制必須達到最高水平的可靠性才有效嗎?決策時要考慮以下事項:第壹,統籌考慮。最後,內部控制的有效性應該由整個系統而不是單個組成部分來評價。在設計體系時,組織應該權衡是改進體系中的某些要素,還是通過其他更有效的控制來彌補。二是合理保障和重要性。內部控制只能提供合理而非絕對的保證。內部控制有效性的評價應以整體財務報表為基礎,所以要從整體財務報表中考慮內部控制未能防止或發現的錯報是否重要。用於評價整體水平控制的過程包括:使用內部控制可靠性模型,對每個控制目標的有效性進行分級;將單壹控制目標整合到組織的整體層級控制中。如何最終評價控制的有效性?加拿大特許會計師協會對此進行了研究,有壹個特別的結論值得註意。證據不僅是事實的集合,也是審計人員所知道的壹切的整合。證據不會以整齊的順序出現——它是非線性的、分散的,必須進行整理、分類和綜合。有些證據是可以客觀證實的具體事實,但大多數是看到的、聽到的或感受到的印象,包括組織中人們的態度和意圖、組織文化和道德爭論。在有意或無意的過程中,人們會考慮所有這些因素——在形成結論時把它們作為證據。業務層控制評價是評價業務層控制有效性的過程,是內部控制評價的核心內容。
中天恒3C框架壹直主張內部控制評價應包括會計控制、業務控制和管理控制,會計控制評價是基礎,業務控制評價是核心,管理控制評價是努力方向。內部控制的評價當然包括設計和執行兩個方面,但關鍵是執行。
信息系統環境下的內部控制評價的內容肯定與手工處理環境下的不同。壹般來說,計算機信息系統的內部控制可以分為壹般控制和應用控制。壹般控制適用於廣泛的風險,這些風險系統地威脅信息系統環境中所有應用程序的完整性。應用控制是控制特定應用系統(如工資、應收賬款和采購應用系統等)的風險。),其風險來自於信息系統中應用系統本身的漏洞,直接威脅數據的安全性和準確性。壹般控制評價應重點關註信息技術控制目標、程序變更、計算機操作以及與信息系統開發相關的數據接觸是否符合企業內部控制的要求,是否有利於企業內部控制目標的實現,並以此評價信息系統的安全性、可靠性和合理性。應用控制評價應結合企業業務流程的特點,重點關註信息系統中與業務流程相關的控制點,評價相關應用系統運行數據的真實性、準確性和合規性。
內部控制評價的內容在理論上可以探索,但在實踐中應統壹到《企業內部控制評價指引》的要求。中國企業內部控制評價的內容應依據《企業內部控制基本規範》和配套指引,以及企業自行設計的《企業內部控制手冊》,重點關註內部環境、風險評估、控制活動、信息與溝通、內部監督等要素,確定內部控制評價的具體內容。當然,有必要對內部控制的設計和運行進行全面的評價。企業內部控制評價的具體內容應由企業的業務調整、環境變化、業務發展狀況和實際風險水平決定,不能固定化、模式化。
這裏需要特別強調的是,內部控制的評價內容不應局限於五要素的總體評價,而應具體到企業的財務、業務和管理控制上進行評價。企業的業務千差萬別,規模大小不壹,但企業內部控制評價的具體內容至少應包括已頒布的企業內部控制配套指引的主要內容。