淺談集團企業內控檢查評價方法論

毛曉菲

一、國家監管相關要求

建立健全合規有效的內部控制體系越來越成為政府、企業、中介機構關注的話題，實施內控檢查評價是評估內控體系有效性的重要方式。2012年，財政部、證監會發布《關于2012年度主板上市公司分類分批實施企業內部控制規范體系的通知》（財辦會[2012]30號）文件，要求主板上市公司自2014年起必須全部實施企業內部控制規范體系。2019年10月國資委發布《關于加強中央企業內部控制體系建設與監督工作的實施意見》（國資發監管規[2019]101號），明確指出要推進內控、風險和合規管理的監督檢查評價工作，對內控體系有效性進行全面自評，促進內控體系持續優化。

二、檢查評價常見問題

經過多年的內控檢查評價專項工作，各企業均形成了常態化、固定化工作模式，對內控體系的建設與完善起到了一定作用。但就近年內控檢查評價上報報告及數據來看，普遍存在以下問題：

一是風險分類分級評分標準不明確，定性和定量指標缺失或有歧義。內控評價涵蓋企業經營管理方方面面，缺陷標準制定尤為關鍵。如果某方面缺失定性或定量指標，發現此類問題時出于主觀考慮，一般會選擇忽視或歸為一般缺陷;缺陷認定有歧義，也會影響內控評價的公正公允，自我判斷大概率會降低缺陷認定級別。

二是內控檢查評價工作方法未能保持一貫性，數據結論無法縱向可比。檢查評價范圍不一致、覆蓋領域有所偏差、評價人員的培訓認知差異，造成檢查評價結果大相徑庭。個別機構之前年度將質量健康安全環保體系中，人員受傷事故列為重要缺陷，但在某年由于重視程度提升，將一次作業漏簽字事件即列為重要缺陷，導致年度缺陷數量和評價差異過大，且此項差異很難用內控管理實際效果解釋。

三是所屬單位針對下級公司提報的內控缺陷，多進行簡單加總，而未進行整體層面分析整理。出于成本效益原則，集團公司大多對所屬單位內控檢查評價實施逐級管理，各級子公司在匯總下屬單位內控缺陷時都進行簡單加總，而不是合并同類項進行分析，這樣既會大幅增加缺陷數量，又不利于客觀判定全集團內控有效性。

四是報送的數據僅僅為數據羅列，結論歸納及成因分析不足。內控檢查評價數據量龐大且繁雜，僅僅列示數據并沒有意義，而需要深入挖掘數據背后的結論和成因。比如某個微小缺陷多次發生或在多個網點出現，是否可以判斷出公司至少在這個方面監管不嚴格，事前措施不到位，進而追溯監管部門的職責落實不到位，是制度設計問題還是執行問題，如何改進或杜絕再次發生等等。

三、優化解決方案

提升內控工作整體水平，優化內控檢查評價工作，筆者認為應重點關注評價依據、評價層級、評價層面、評價方法、評價體系完整性、缺陷認定標準、報告質量和外部機構鑒證等方面，形成一攬子內控檢查評價方案（見下表）。

（一）抽樣方法

在實質性測試過程中，無論是內部測試還是外部測試，樣本選取對于評價結論準確性都至關重要，既然抽樣固有風險無法避免，就應該在測試過程中應選擇適當的樣本數量，將抽樣風險降至最低。抽樣風險一般隨著內部控制活動的頻率增加而增加，即某項內部控制活動越頻繁抽樣風險就越高。

在執行內部控制測試時，要依據內部控制活動發生的頻率來確定選取樣本的數量。確定某一特定關鍵控制點的測試樣本量，應關注控制執行頻率，區分每天執行多次/一次，按每周/月/季/半年/年/不定期加以劃分，并根據不同情況確定樣本量;如果控制頻繁執行，但執行間隔不固定，此時統計在測試期間發生的次數，計算預期全年發生次數，推算發生頻率。

（二）缺陷認定標準

制定合理、實用、不斷修正完善的缺陷判定指標，讓實際判定缺陷時能有據可依。結合公司實際情況，從財務報告/非財務報告、定量指標/定性指標兩個維度來規范，以財務報告的定量指標、非財務報告的定量指標、財務報告的定性指標、非財務報告的定性指標加以區分和細化。

（三）缺陷匯總與分析

我國《企業內部控制指引》和《企業內部控制審計指引》將內控缺陷分為重大缺陷、重要缺陷和一般缺陷。重大缺陷是指“可能導致企業嚴重偏離目標的缺陷”，重要缺陷是指“嚴重程度和經濟后果低于重大缺陷，但仍有可能導致企業偏離控制目標”，一般缺陷是指“除了重大缺陷、重要缺陷以外的其他缺陷”。此定義具有一定模糊性特征，企業執行空間較大，錯將重大/重要缺陷劃分為一般缺陷。此外，很多企業頻繁出現某種一般缺陷事件，沒有綜合考慮多次發生的根源是否在于管理層疏漏或內控環境缺失，此亦不妥。

各企業形成內控自評價報告時，當年的評價依據、評價方法和判定標準與以前年度應當保持一貫性，以便數據縱向可比。可以從各職能領域、制度體系、設計/執行類、重大/重要/一般缺陷的絕對值和相對值加以分析，得出缺陷總數和分布趨勢，進而得出當年內控是否有效的結論。當判定標準有變化時，應追溯剔除該變化對以前年度的影響，從而得出更加準確的結論。

四、健全完善內控體系及監督檢查機制

（一）完善內部控制的控制環境

企業內部控制環境是內部控制存在和發展的基礎，控制環境的質量決定著內部控制其他要素發揮的作用性。一要強化戰略分析，明確戰略目標，明確資源發揮優勢，強化自身核心競爭力;二要不斷提高企業風險的識別評估與判斷應對，將與業務系統相關的風險暴露按類型和職能進行分類;三是優化股權結構，強化派出董監事的履職作用，推動公司治理層面發揮更大的作用。

（二）制定切合實際的缺陷認定標準

在內部控制缺陷的識別和認定環節，企業主觀性相對較大。研究發現某些行業相同體量類似的公司，在內控評價中將同樣缺陷劃分為不同等級;或是相同的一般缺陷數次發生，也未全盤考慮升級為重要缺陷或重大缺陷。對企業內部控制缺陷的識別和認定，需要符合企業自身實際情況，有利于內控問題發現和管理提升。在國家部委各指引約束下，經過企業內外部專家討論商議后，把相關標準明確化、制度化。實際中根據企業經營情況偏離程度，適時修訂完善內控缺陷的識別認定標準，達到持續優化的效果。

（三）完善內部控制審計鑒證機制

目前我國上市公司內控披露要求不同，但可以肯定的是，企業和監管機構對內控規范性愈加強烈。建議監管機構盡快統一披露標準，從內控評價報告披露形式、披露時間、頻率、鑒證標準等加以規范。同時企業應加強內部審計機構建設，保證內部審計工作的獨立性，加強對內部審計工作的管理，強化“三道防線”各自責任，在內控科學管理的道路上穩健前進。（作者單位：中國海洋石油集團有限公司）