中天華溥許風：企業(yè)如何開展內(nèi)控體系的評價

作者：中天華溥高級項目經(jīng)理 許風

一、內(nèi)控評價目的

內(nèi)部控制評價的目的是全面評價內(nèi)部控制的設(shè)計與運行情況，揭示和防范經(jīng)營風險。內(nèi)部控制評價目的通過企業(yè)管理層對內(nèi)部控制有效性進行全面測試評價、形成評價結(jié)論、出具評價報告等過程來實現(xiàn)的，促使企業(yè)切實加強內(nèi)部控制體系建設(shè)并認真執(zhí)行，保證內(nèi)部控制體系得到持續(xù)優(yōu)化和改進。

二、內(nèi)控評價原則

（一）全面性原則。評價工作應當包括內(nèi)部控制的設(shè)計與運行，涵蓋企業(yè)及其所屬單位各種業(yè)務(wù)和事項。

（二）重要性原則。評價工作應當在全面評價的基礎(chǔ)上，關(guān)注重要業(yè)務(wù)事項和高風險領(lǐng)域。

（三）客觀性原則。評價工作應當準確揭示經(jīng)營管理的風險狀況，如實反映內(nèi)部控制設(shè)計與運行的有效性。

三、內(nèi)控評價內(nèi)容

公司內(nèi)部控制評價應以企業(yè)正式頒布實施的《內(nèi)部控制管理手冊》所列控制措施為評價內(nèi)容，對控制措施進行了分項，分別為內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督，并對每一分項中控制措施執(zhí)行的有效性進行檢查、測試和評價。

（一）內(nèi)部環(huán)境

公司評價內(nèi)部環(huán)境應當以組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等應用指引為依據(jù)，結(jié)合《內(nèi)部控制管理手冊》及相關(guān)管理制度、文件等，對內(nèi)部環(huán)境的實際運行情況進行認定和評價。

（二）風險評估

公司開展風險評估機制評價，應當以《企業(yè)內(nèi)部控制基本規(guī)范》有關(guān)風險評估的要求，以及各項應用指引中所列主要風險為依據(jù)，結(jié)合企業(yè)內(nèi)部控制制度，對日常經(jīng)營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。

（三）控制活動

公司開展控制活動評價，應當以《企業(yè)內(nèi)部控制基本規(guī)范》和各項應用指引中的控制措施為依據(jù)，結(jié)合企業(yè)《內(nèi)部控制管理手冊》及相關(guān)管理制度、文件等，對相關(guān)控制措施的設(shè)計和運行情況進行認定和評價。

（四）信息與溝通

公司組織開展信息與溝通評價，應當以內(nèi)部信息傳遞、財務(wù)報告、信息系統(tǒng)等相關(guān)應用指引為依據(jù)，結(jié)合企業(yè)內(nèi)部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務(wù)報告的真實性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實施內(nèi)部控制的有效性等進行認定和評價。

（五）內(nèi)部監(jiān)督

公司組織開展內(nèi)部監(jiān)督評價，應當以《企業(yè)內(nèi)部控制基本規(guī)范》有關(guān)內(nèi)部監(jiān)督的要求，以及各項應用指引中有關(guān)日常監(jiān)督和持續(xù)監(jiān)控的規(guī)定為依據(jù)，結(jié)合企業(yè)內(nèi)部控制制度，對內(nèi)部監(jiān)督機制的有效性進行認定和評價，重點關(guān)注監(jiān)事會、審計委員會、內(nèi)部審計機構(gòu)等是否在內(nèi)部控制設(shè)計和運行中有效發(fā)揮監(jiān)督作用。

內(nèi)部控制評價一般采取評分制，每個控制點對應的控制措施均設(shè)定基本分值，經(jīng)測試或檢查后根據(jù)結(jié)果判定實際得分，所有評價內(nèi)容的得分總和即為當前公司內(nèi)部控制體系總評價得分，如下圖所示：

內(nèi)部控制評價工作應當形成工作底稿（見附件），詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、主要風險點、采取的控制措施、有關(guān)證據(jù)資料以及認定結(jié)果等。

四、內(nèi)部控制評價程序

（一）制定評價工作方案

內(nèi)部控制評價機構(gòu)在實施評價工作前擬定評價工作方案，明確評價主體范圍、人員組織、進度安排等相關(guān)內(nèi)容，報經(jīng)公司審批后實施。

（二）組成評價工作組

內(nèi)部控制評價機構(gòu)根據(jù)經(jīng)批準的評價工作方案，組成內(nèi)控評價工作組，實施內(nèi)部控制評價工作。組建內(nèi)控評價工作組應當充分考慮組成人員的背景和能力。必要時，可聘請業(yè)務(wù)或管理方面的專家。

（三）實施現(xiàn)場測試

實施現(xiàn)場測試包括評價資料準備、確定測試點等內(nèi)容。

1.評價資料準備。制定抽樣計劃，編制被評價單位需提交資料清單，取得并研讀被評價單位內(nèi)部控制相關(guān)資料，初步了解其業(yè)務(wù)特點及內(nèi)部控制管理情況。

2.根據(jù)評價實施方案的要求和對被評價單位的了解，初步確定擬測試的控制點。

3.根據(jù)確定的控制點采用抽樣、個別訪談、專題討論、穿行測試、比較分析、實地查驗等方法進行相關(guān)測試。

4.根據(jù)測試結(jié)果，對內(nèi)部控制要素進行評價。內(nèi)部控制評價采取評分制，每個控制點對應相應的控制要素分配分值，所有控制要素評價得分總和即為被評價單位總得分。

5.整理評價證據(jù)

進行內(nèi)部控制評價時，應當取得充分、適當?shù)脑u價證據(jù)，為支持評價結(jié)論提供有力保障。

（四）認定控制缺陷

內(nèi)部控制缺陷包括設(shè)計缺陷和運行缺陷。企業(yè)為實現(xiàn)內(nèi)控目標必需的重要控制措施不足，或者設(shè)計不合理，致使內(nèi)部控制目標不能實現(xiàn)屬于設(shè)計缺陷；內(nèi)部控制執(zhí)行者沒有依據(jù)內(nèi)部控制制度的要求執(zhí)行，或者執(zhí)行者不具備有效地實施內(nèi)部控制的能力，致使內(nèi)部控制目標不能實現(xiàn)屬于運行缺陷。

內(nèi)部控制評價工作組根據(jù)現(xiàn)場測試獲取的證據(jù)，對內(nèi)部控制缺陷進行初步認定，并按其影響程度分為重大缺陷、重要缺陷和一般缺陷。缺陷認定的基本原則包括：

1.重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標。

2.重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。

3.一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

企業(yè)可以根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制評價指引》對重大缺陷、重要缺陷和一般缺陷的認定要求，結(jié)合公司規(guī)模、行業(yè)特征、風險偏好和風險承受度等因素，研究確定適用本公司的內(nèi)部控制缺陷具體認定標準。

五、匯總評價結(jié)果

內(nèi)控評價組在實施內(nèi)部控制評價后，應與被評價單位主管領(lǐng)導溝通，以核對數(shù)據(jù)，確認事實。

根據(jù)評價結(jié)果反饋意見，內(nèi)控評價組編制內(nèi)部控制缺陷認定匯總表，結(jié)合日常監(jiān)督和專項監(jiān)督發(fā)現(xiàn)的內(nèi)部控制缺陷及其持續(xù)改進情況，對內(nèi)部控制缺陷及其表現(xiàn)形式、成因、影響程度進行分析，提出認定意見，向公司領(lǐng)導層報告。

對于認定的重大缺陷，公司應及時采取應對策略，切實將風險控制在可承受范圍內(nèi)，并追究有關(guān)機構(gòu)或相關(guān)人員的責任。

六、編報評價報告

內(nèi)控評價組應根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》及配套指引和《企業(yè)內(nèi)部控制評價指引》的要求，設(shè)計內(nèi)部控制評價報告的體系、格式和內(nèi)容，明確內(nèi)部控制評價報告編制程序和要求，按照規(guī)定的權(quán)限報經(jīng)批準后對外報出。

根據(jù)充分、適當?shù)脑u價證據(jù)，形成評價結(jié)論，撰寫評價報告，評價報告至少應當披露下列內(nèi)容：

（一）董事會對內(nèi)部控制報告真實性的聲明。

（二）內(nèi)部控制評價工作的總體情況。

（三）內(nèi)部控制評價的依據(jù)。

（四）內(nèi)部控制評價的范圍。

（五）內(nèi)部控制評價的程序和方法。

（六）內(nèi)部控制缺陷及其認定情況。

（七）內(nèi)部控制缺陷的整改情況及重大缺陷擬采取的整改措施。

（八）內(nèi)部控制有效性的結(jié)論。