內控評價助力新階段內控實踐

初笑音 楊 潔

隨著內部控制理論發展和實踐積累，我國企事業單位已逐步認識到內部控制的重要性，并有意識、有計劃地開展內部控制實踐。中央企業作為社會經濟的中堅力量和科學管理的探索先驅，始終緊跟國家政策，不斷深化內部控制實踐，取得了階段性的成果。如今，面對錯綜復雜的國際形勢和國內經濟下行壓力，為了穩步落實深化改革、適應授權經營、保全國有資產，中央企業更應腳踏實地、強基固本，以內部控制為抓手，推進治理體系和治理能力現代化，進一步提升防范化解重大風險的能力。內控評價作為企業內部控制的重要組成部分，亦應做出與時俱進的改變。

一、認識內部控制新階段

內部控制的本質是進一步強化企業管理，隨著企業管理環境的變化和內控實踐的發展，不同階段下內部控制的方向和重點必然有所不同。2019年11月，國務院國資委印發《關于加強中央企業內部控制體系建設與監督工作的實施意見》（以下簡稱《實施意見》），引領中央企業進入深化內部控制實踐的新階段。正確認識內部控制新階段，是優化調整內控評價工作的前提。

（一）“以查促改、以改促建”是內控實踐的新重點

《實施意見》明確指出，中央企業應“形成‘以查促改、以改促建’的動態優化機制，促進中央企業不斷完善內控體系”。由此，中央企業必須清晰認識到，加大內控評價實施力度已是勢在必行。

在過去的十余年間，以財政部等五部門聯合發布的《企業內部控制基本規范》及其配套指引為指導，中央企業遵循更加科學、成熟的內部控制理論和實踐經驗，逐步建立起真正體系化的內部控制機制，完成了“從零到一”的階段性建設任務，內控體系從“建設”轉入“運行”。此時，內控評價作為促進內控體系落地執行和持續優化的必要手段，其重要性便日益凸顯。從執行角度來看，持續有效的逆向評價是正向監督的重要補充，能夠量化內控體系運行水平，促進企業上下持續履行內控義務、切實落實內控責任。從設計角度來看，內控體系已經過相當一段時間的運行，需要系統地檢視其適用性，并針對性地給予優化完善，以保證內控體系能夠繼續健康有效地運行，在企業管理中持續發揮積極作用。

（二）“強內控、防風險、促合規”是內控評價的新方向

《實施意見》指出，中央企業應“建立健全以風險管理為導向、合規管理監督為重點，嚴格、規范、全面、有效的內控體系……實現‘強內控、防風險、促合規’的管控目標”，從建立健全內控體系、強化內控體系執行、加強信息化管控方面提出深化內控實踐的一系列具體實施意見。中央企業應以此為基礎，準確把握適應內控實踐新階段的內控評價工作新方向，并相應探索內控評價新做法，更加有效地協調評價資源，完善評價內容，優化評價方法，使得內控評價真正發揮應有的效用。

第一，評價方向，緊扣內控設計“多合一”思路。根據《實施意見》，企業在長期管理建設中形成的多個并行的管理體系將逐漸從“互補”轉為“融合”，企業應當加速風險管理體系、合規管理體系、內控管理體系有機融合，并確立內部控制體系作為企業基礎管理體系的核心地位。相應地，內控評價需要關注內控體系設計過程對風險管理及合規管理既有理論和經驗的吸收，關注內控體系設計結果是否實現內控管理、風險管理、合規管理的“責任融合”和“制度融合”，能否最終以內控體系為依托，同步實現風險管理體系和合規管理體系的管理目標。

第二，評價重點，聚焦內控執行“常態化”動作。根據《實施意見》，內控執行應強調三個“常態化”，一是常態化地將風險評估作為決策前置環節，二是常態化地將內控責權融入業務活動，三是常態化地動態監控重大風險。相應地，內控評價應關注決策前風險評估活動的質量和結果應用，關注內控責權對業務活動覆蓋橫向無盲點、縱向無斷點，關注重大風險的識別、評估和應對機制的落實。

第三，評價方法，適應內控運行“信息化”環境。根據《實施意見》，企業應通過信息化手段強化內控體系剛性約束。隨著企業各項業務信息化水平的提升，內控評價也需要相應加強對“流程信息化”的關注，將IT一般性控制（ITGC）、應用程序控制（ITAC）、公司層面IT控制（ITELC）納入評價范圍，適當采用IT審計方法作為傳統內控評價方法的替代或補充。

二、新階段內控評價的內容框架

為了適應內部控制新階段，落實合規要求，過濾風險影響，保障經營安全和管理效率，更好地服務于企業價值創造和戰略實現，內控評價的內容也需要作出積極調整。一是需要更加注重內控體系對合規目標的保證水平，二是需要促進風險管理與內部控制融會貫通，三是需要適應企業信息化水平日益發展對管理環境的影響。內控評價工作作為內部控制第五個要素“內部監督”的核心任務，其實施內容應圍繞其他四項內部控制要素展開。

（一）“內部環境”要素評價

內部環境是企業實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。評價“內部環境”要素，應涵蓋以下內容。

1.治理結構和組織機構

（1）職責。關注企業治理結構、組織機構設置是否符合外部合規要求；機構職責是否清晰，并符合不相容職責分離原則；風險防控“三道防線”是否健全，縱向上各道防線責任清晰、上下級匯報關系明確，橫向上對業務事項和風險類別覆蓋完整；是否建立并執行風險責任追究機制。

（2）授權。關注企業權限指引范圍是否完整覆蓋業務事項和風險類別；提報、審查、復核、審批、備案等授權定義是否清晰，并適應現行治理結構和組織機構設置；授權結果是否符合企業集團管控模式；授權方式是否合規；是否落實風險控制一把手責任制。

2.企業文化和人力資源。關注企業是否建設風險文化、合規文化；是否采取措施促進管理者及員工具備風險意識、內控意識、合規意識，以及相應的知識和管理能力。

3.審計監督。關注企業審計職能的獨立性；是否采取措施保證審計質量；是否采取措施針對審計發現的問題，落實整改和追究責任。

（二）“風險評估”要素評價

風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。評價“風險評估”要素，應涵蓋以下內容。

1.全面風險評估。關注企業是否持續開展全面風險評估工作；企業的風險評估是否圍繞戰略和經營目標展開；風險評估范圍是否完整覆蓋外部風險及內部風險，包括戰略風險、財務風險、市場風險、運營風險、法律風險等，對風險因素識別是否全面；企業對風險承受的認識是否清晰，包括企業整體風險承受能力和業務層面的可接受風險水平；企業風險偏好和風險應對策略與其戰略是否契合；企業對重大風險的認識是否清晰、統一；對重大風險是否主動研判、例行監測，并建立應對方案和企業間風險隔離。

2.專項風險評估。關注企業是否在重大經營事項決策前引入風險評估機制，并將風險評估結果及相關應對措施、處置預案作為決策必備支撐材料；專項風險評估是否具有成熟的評估模型，各參與方的評估內容和責任是否界定清晰，評估人員是否具備應有的專業勝任能力，風險評估依據的基礎信息是否真實可靠。

（三）“控制活動”要素評價

控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。評價“控制活動”要素，應涵蓋以下內容。

1.控制活動設計

（1）流程設計。關注流程框架是否覆蓋企業價值鏈；流程環節是否涵蓋風險在價值鏈的作用點；流程內容是否包含全員參與生產經營活動。

（2）控制設計。關注對于“風險降低”應對策略下的各項風險，是否針對性地設計了控制活動；控制活動是否完整地將外部合規要求落實到內部經營管理；控制活動是否遵照“5W1H”原則定義清晰，并形成完整的控制實施證據鏈條；控制活動與企業職能及權責設計是否匹配，是否落實風險管理“三道防線”的責任；控制活動是否運用合理的控制手段，靈活應對外部風險，嚴格防控內部錯誤或舞弊；控制活動的風險控制水平是否符合企業的風險偏好和風險承受能力；從全流程和全場景角度觀察，相關控制活動的集合是否銜接連貫并形成合力，是否存在漏洞或不當產生新的風險；控制活動是否適應企業管理環境，具備充分的可操作性。

2.控制活動執行

（1）線下執行。關注控制實施證據是否完整，全流程或全場景相關控制活動的實施證據是否連貫、相互佐證、無明顯矛盾；控制實施證據是否真實；控制實施證據是否完整、有序留存，具有足夠的可追溯性。

（2）線上執行。關注流程控制在信息系統中的落地是否完整：正向上，系統功能能否支持各項控制活動線上運行；逆向上，系統能否卡控各筆業務事項按規范執行、控制活動不被繞過。為提升控制效率效果所采用的線上數據來源是否可靠，是否存在線上、線下同步雙線執行、表里不一的情形；執行控制活動所需的信息支持和形成的實施證據是否在線上完整留存。

（四）“信息與溝通”要素評價

信息與溝通是企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。評價“信息與溝通”要素，應涵蓋以下內容。

1.政策跟進。關注企業是否有意識地持續收集、研究外部政策，梳理和更新企業應遵循的合規要求，并通過內控體系的迭代完成合規要求在本單位因地制宜地落地執行；企業是否具備暢通的反舞弊舉報途徑和應答機制。

2.風險監測。關注企業是否建立風險管理所需的信息收集、傳遞、處理能力，尤其在重大風險方面，是否具備持續性和及時性。

3.信息質量與安全。關注企業是否制定明確的信息收集、處理和傳遞程序；是否對信息結構和質量有明確要求，并采取適當的保證措施，包括經營活動信息和內控管理信息；信息溝通相關程序和保證措施是否正常運行，信息路徑是否暢通，能否滿足企業治理和集團管控的需要。

4.信息安全。關注企業是否具備完備的信息安全管理方案，能否識別信息安全關鍵環節并采取應對措施；關注IT一般性控制（ITGC）、應用程序控制（ITAC）有效性，從網絡、操作系統、數據庫和應用系統層面保證信息保密性、完整性、可用性。

三、新階段內控評價實施要點

立足新階段，實施內控評價工作的方法和手段也需有所優化，以提高評價結果的可靠性、可用性，實現內控評價對內部控制管理優化的推動作用。

（一）以政策研究與風險評估為先導，找準范圍和依據

資源與效率的平衡是精進企業管理始終關注的課題。新階段對內控評價的范圍和深度提出了更高的要求，鑒于企業內控評價資源有限，如果一味求大求全，必然導致資源分散，削弱評價工作效果。與新階段內控評價的內容框架相適應，內控評價工作可以從政策研究與風險評估入手，首先，評價企業常態化開展政策研究與風險評估工作的有效性，對企業內部控制做整體性判斷；其次，利用政策研究與風險評估成果，更新評價所依據的管理標準，合理判斷此次評價工作應關注的重點領域和應挖掘的薄弱環節，從而更加合理地配置評價工作資源，形成“點、線、面”相結合的評價方案。

（二）借助信息化手段，提高評價效率

隨著企業業務流程的逐步線上化和信息化，經營管理信息的可獲得性、可用性進一步提升。相應地，內控評價工作也應升級信息化手段。一方面，可以分析利用企業經營管理數據支持風險預判，增強內控評價工作的針對性和發現問題現象、挖掘問題本質的能力；另一方面，可以將內控評價工作數據化、模型化、系統化，建設內控評價系統，將線下評價經驗沉淀到線上，運用系統能力促進內控評價從“事后”向“事中”、從“定期”向“即時”的轉變，進一步實現內控評價的常態化。

綜上，企業內部控制已經進入新階段，中央企業需要認識新階段對內控評價的要求，梳理新階段內控評價的內容，把握新階段內控評價的要點，并有計劃有步驟地付諸行動，才能借助內控評價深化內控實踐，促進企業內部控制與時俱進、因地制宜地持續改進，保障企業穩定、健康、長效發展。