企業內部控制評估報告要點研究

李楠

摘 要：內部控制評估對企業控制和防范經營風險，提高經營效率效果，保護資產安全和完整有著重要作用。對企業內部控制的主要影響因素進行研究，系統分析控制環境、風險評估與管理、控制活動、內控監督等內部控制關鍵要素，提出內部控制評估的框架體系，以期為企業內部控制評估相關研究提供理論依據。

關鍵詞：內部控制;評估;風險防控

中圖分類號：F272 ? ? ? ?文獻標志碼：A ? ? ?文章編號：1673-291X（2019）03-0100-02

一、我國目前企業內控評價現狀

企業內控評估是企業建立完備的內控體系，持續提升自身管理效能的重要手段。20世紀90年代以來，隨著我國市場化程度的深入，企業內控評估工作得到了快速發展。“十一五”以來，我國相繼出臺了企業內部控制的基本規范和配套指引，企業的內部控制法制化體系初步形成，我國的企業現代化治理體系得到進一步完善，但更為規范和實用的用以評估內部控制體系運行效果的規范尚未建立。如何建立企業內部控制評估制度及相關要點，正在成為理論研究熱點[1]。

二、企業內部控制評估要點的構成

內部控制評估要點的構成應主要根據國內外已經明確的內部控制報告內容來確定。

（一）內部控制報告主要內容分析

以美國COSO 的內部控制報告來看，第一方面，“管理層總結”，主要是對內部控制總體構架的高度總結，對象是總裁、高級管理人員、董事會成員、律師和監管當局;第二方面，“總體架構”主要內容是對內部控制進行精準定義，闡述其主要構成要素，為管理層、董事會及他人提供評估企業內部控制有效性的準則;第三方面，“外部團體報告”作為附件，主要對已經或準備公開披露其對編制財務報表進行內部控制的企業提供指導;第四方面，“評估工具”主要是對內部控制系統進行評估的相關配套資料。常規意義的COSO 內部控制整體框架主要指第二部分，共包括八章，含定義、控制環境、風險評估、控制活動、信息與溝通、監控等[2]。在我國發布的《基本規范》中，首先對內部控制進行了精準定義，提出內部控制是由董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程，然后闡釋內部控制目標，即合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略[3]。

（二）內部控制報告評估要點及工作方式

基于此，本文提出對內部控制定義中的主要構成部分起到關鍵影響的人事管理、全面預算管理、資金管理、生產采購管理、固定資產管理、投融資管理、財務報告及信息管理等八個關鍵環節開展評估要點體系。評估的工作方式應采用自查和實質性測試相結合的方式進行，即流程責任部門和流程參與部門對自身內控執行的有效性進行自查;在自查完畢后，由內審部門負責，對內控設計的合理性和執行的有效性進行了全面檢查評估。

三、企業內部控制評估要點的內涵

內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。

（一）控制環境

主要評估企業管理層的經營風格和理念、公司治理結構、部門職責分工、人力資源政策、內控與績效考核掛鉤等內容。

1.管理層的經營風格和理念。該部分主要對企業的核心價值觀、使命、投資和運營核心、內部控制體系主體進行分析。重點評估企業內部控制設計與執行按照責任主體進行分解，落實到公司的管理系統，并納入績效考核體系為評估重點。

2.公司治理結構。該部分評估《公司章程》《董監事會議事規則》《辦公會議事規則》的維護運行情況，重點對其決策、執行、監督等權限進行分析判斷，進而明確是否需要完善公司治理結構，促進董事會科學高效決策。

3.內部控制體系架構。主要分析報告期內，公司內部控制體系的基本架構。評估內部控制系統運行的有效性，以保護股東投資及本集團的資產。重點分析經理辦公會等企業日常經營管理決策機構的建立及運行。分析內部控制系統建立及維護的主責部門履職及運行情況。分析審計委員會等職能部門對公司的內部控制系統進行獨立檢查及驗證情況。各業務及職能部門按照年度計劃進行內部控制體系建設的規劃、安排以及實施情況。通過評估，進一步完善并理清部門職責，進一步突出市場開發工作中的核心職能[4]。

4.人力資源政策。重點分析企業對人員錄用、員工培訓、工資薪酬、福利保障、績效考核、內部調動、職務升遷、業務培訓等方面的制度運行情況，進而完善人力資源管理制度，調動了員工的工作積極性。同時，為人員體系建設及人才的引進和儲備工作，完善人才評價標準。

5.內控工作與績效考核掛鉤。為了保證內控體系各項工作的有效運行，調動全體員工認真執行內部控制的積極性，企業應在年度績效考核中增加內控建設和執行考核項目，對該部分的評估應采取量化的方式。內控與績效考核掛鉤的形式能夠有效地促進內控工作的開展。

（二）風險評估與管理

該部分應分析報告期內應對內外部環境變化導致的戰略風險，應對公司戰略規劃在年度工作落實中體現的科學性與可行性進行評估，運用評估結果進一步明確分工、落實責任、理順流程，進而全面提升公司的戰略風險控制能力[5]。評估重點為戰略風險應變相關的管理制度，系統評估宏觀經濟風險、行業政策和法律風險、競爭對手風險、科技革新風險、觀念和模式風險以及信息風險等方面，對企業風險評估體系的建設以及收集相關信息準確識別內部和外部風險的能力進行評估。風險評估與管理應做到及時更新風險數據庫，建立突發事件的應急機制，制定應急預案，加強安全管理，做到風險可控。

（三）控制活動

1.內控缺陷的彌補。主要包括對新發布和修訂的內控制度有效性進行評估，根據評估結果，針對缺失和已經不再適應實際情況的個別制度進行新增和修訂。

2.內控評估和流程評估。主要包括內部控制工作方法評估、內部控制組織資源評估、公司層面內部控制現狀評估、制度完整性評估、流程管理現狀評估、內部控制現狀整體評價、解決方案等內容。

3.信息管理評估。評估企業在員工信息、工作計劃、服務臺、招聘信息、培訓業務、考勤、短信中心、在線考核、季度考核等方面信息系統的建設情況，以及業務流程的規范化情況。人力資源需求收集工作、部分培訓業務、考勤、員工考核等工作網絡化。同時，評估信息管理相關制度建設情況，對IT設備管理、信息保存、公司辦公管理系統的用戶規定等內容進行分析，保證辦公系統的正常運行和信息的安全。

（四）內控監督

1.內部控制的自查評估。應分析企業各業務部門按照流程責任人的分工對各主要業務涉及的關鍵控制點進行全面自查情況，了解各部門對內控是否已有效執行，未有效執行及其原因以及是否需要修改內控制度等情況。

2.內部控制實質性測試。即對控制執行的有效性進行評估，該部分主要評估主要業務循環的關鍵控制點執行的有效性，具體包括：確定評估結果的判斷標準和考核量化指標、篩選關鍵控制點、實施實質性測試等重點工作評估。

四、企業內部控制評估的結果應用

在完成企業內部控制評估工作后，其結果的有效應用是評估工作的關鍵，尤其是對執行有效性評估過程中發現的主要問題，針對性地進行完善。主要包括：未有效執行（即執行有效性缺陷，控制設計合理，但未進行有效執行）;公司本年未發生有效樣本（主要反映了控制設計有效，但是本年公司未發生相關業務，因此沒有有效樣本）;需修改流程描述（主要反映在發現執行與控制設計不符后修改不合理的業務流程設計以及修改不恰當的流程描述）。

五、結語

本文系統研究了企業內部控制評估工作，提出了評估要點和內涵，給出了完整的評估工作范式。結合對內部控制的評估結果，分類給出了需要完善的內部控制要素。研究內容可以為企業的內部控制體系建設及評估工作提供理論參考。

參考文獻：

[1] ?戴文濤.中國企業內部控制評價指標體系和評價指數研究[C]//清華大學.全國博士生學術論壇論文集，2011.

[2] ?楊清香.試論內部控制概念框架的構建[J].會計研究，2010，（1）：29-32.

[3] ?戴文濤，王茜.企業內部控制評價概念框架構建[J].財經問題研究，2013，（2）：115-122.

[4] ?南京大學會計與財務研究院課題組.論中國企業內部控制評價制度的現實模式[J].會計研究，2010，（6）：51-61.

[5] ?陳耀敏.基于公司治理的企業內部控制評價體系研究[J].企業經濟，2011，（1）：49-51.