公司層面內(nèi)部控制評估方法及步驟初探

楊悟曉

內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。內(nèi)部控制是一個動態(tài)的過程。內(nèi)部控制一般包括控制環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等五個要素。

控制環(huán)境主要包括企業(yè)的價值取向、對員工勝任能力的關注、治理結(jié)構(gòu)、管理哲學和經(jīng)營風格、組織結(jié)構(gòu)、人力資源政策和實務等;風險評估主要包括識別內(nèi)外部風險、確認風險、評估分析風險、防范控制措施等內(nèi)容;控制活動是采取相應的控制措施，將風險控制在可承受度之內(nèi)，主要是業(yè)務層面的內(nèi)部控制;信息與溝通是內(nèi)部控制的紐帶，是內(nèi)部控制的重要條件;內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查和評價，并及時跟進改進，內(nèi)控評估屬于內(nèi)部監(jiān)督的范圍。

從組織層次看，內(nèi)部控制可以分為公司層面的內(nèi)部控制和業(yè)務層面的內(nèi)部控制。業(yè)務層面的內(nèi)部控制面向企業(yè)生產(chǎn)經(jīng)營的具體業(yè)務方面實施的控制，主要是控制活動的內(nèi)容，如資本性支出、采購管理、資產(chǎn)管理、收入、融資、投資、人工成本等，業(yè)務層面內(nèi)部控制的評估主要是對其執(zhí)行有效性和設計有效性進行評估。

公司層面的內(nèi)部控制評價主要是從公司內(nèi)部控制的整體方面進行評估。實施公司層面內(nèi)部控制評估首先應該成立企業(yè)的內(nèi)控評估的組織機構(gòu)，公司層面內(nèi)控評估組織機構(gòu)主要包評估責任部門和評估的牽頭組織部門。

一般情況下，我們采用按照內(nèi)控五要素的內(nèi)容及控制目標，采取網(wǎng)格化的方法，對照有關的控制目標和控制點，對其設計和執(zhí)行的有效性進行評估。與業(yè)務層面的內(nèi)控評估不同，公司層面內(nèi)部控制評估主要采用訪談和填寫評估底稿的方式進行評估。一般由各責任部門分別實施評估后，將評估結(jié)果和工作底稿反饋給牽頭組織部門，經(jīng)匯總整理，由牽頭部門出具公司層面內(nèi)部控制的評估結(jié)果和意見。具體操作步驟如下：。

一、訪談的步驟方法及內(nèi)容

1.訪談的范圍：公司管理層、重要業(yè)務部門負責人及其他關鍵管理人員和關鍵控制崗位。

2.訪談內(nèi)容：按照內(nèi)控五要素的具體內(nèi)容，結(jié)合企業(yè)實際情況編制“公司層面內(nèi)部控制評估表”。按照評估表（附件一）中的內(nèi)容進行訪談，并且將訪談情況做記錄，評估表中需要訪談的內(nèi)容如下：

（1）控制環(huán)境方面訪談的主要包括正直守德的價值取向、對員工勝任能力的關注、董事會、監(jiān)事會的設置及發(fā)揮職能的情況、企業(yè)的組織結(jié)構(gòu)的設置及運行狀況、職權(quán)和職責的分配情況、企業(yè)人力資源政策和實務等。

（2）風險評估訪談的主要內(nèi)容包括公司層面目標、經(jīng)營活動層面目標、風險、管理變化、經(jīng)營環(huán)境變化、雇傭新員工、使用新的或重新設計的信息系統(tǒng)等;

（3）控制活動的訪談內(nèi)容包括控制行為的廣泛的政策和執(zhí)行程序，是否有助于確保管理者意圖的正確執(zhí)行，控制活動是否有助于企業(yè)實現(xiàn)目標等。、

（4）信息與溝通方面的訪談內(nèi)容主要包括從企業(yè)內(nèi)外部獲取的信息的真實、準確、完整，以及及時性，以及溝通是否有效等;

（5）內(nèi)部監(jiān)督訪談的主要內(nèi)容包括持續(xù)監(jiān)控、定期及不定期的個別評價、缺陷匯報等內(nèi)容。

3、部門的訪談工作由各部門自行組織，訪談人員應不少于50%。

二、填寫公司層面內(nèi)控評估底稿（測試底稿）

公司層面的內(nèi)控評估包括設計有效性和執(zhí)行有效性的評估。一般由公司的評估牽頭部門根據(jù)公司實際情況設計成測試底稿，包括“公司層面內(nèi)部控制設計有效性”和“公司層面內(nèi)部控制執(zhí)行有效性”兩個測試底稿，設計及執(zhí)行有效性的評估可同時進行。

（一）公司層面內(nèi)部控制設計有效性測試評估

公司層面內(nèi)部控制設計有效性評估，對公司的控制環(huán)境、風險評估、信息與溝通及內(nèi)部監(jiān)督的設計的有效性進行測試，按照四個要素的控制目標和控制點，梳理公司的現(xiàn)有的規(guī)章制度，將的公司有關規(guī)章制度排列成表，與之對應。通過這種網(wǎng)格化的操作，能夠清楚的發(fā)現(xiàn)公司在文檔設計方面的缺失。

例如：公司的控制環(huán)境測試中，公司的價值取向的第一個控制目標假設為“公司需要制定行為準則和其他準則，以明確可以接受的業(yè)務操作行為……”，對應公司現(xiàn)有的控制點描述為“公司建立了適當?shù)?行為準則和道德規(guī)范：公司在企業(yè)文化手冊中……”，與之對應的文檔有“《員工職業(yè)操守守則》、《**公司服務質(zhì)量問題處理辦法》等”，涉企業(yè)發(fā)展部、綜合部、市場部等評估責任部門，由這些部門從各自專業(yè)的角度評估現(xiàn)有文檔，判斷能否滿足控制點的要求，是否符合控制目標。如果符合控制目標，滿足控制點的要求，設計便是有效，否則就是存在設計缺陷，將評估結(jié)果記錄在表格中，提交牽頭部門。

牽頭部門對各評估責任部門的測試表進行匯總整理，根據(jù)評估責任部門的評估情況和訪談的有關情況填寫“控制點設計有效性評估結(jié)論”和“評估底稿索引”。

（二）司層面內(nèi)控執(zhí)行有效性測試表

1、公司層面內(nèi)控執(zhí)行有效性測試

公司層面內(nèi)控執(zhí)行有效性測試也是先由各部門自評，牽頭部門匯總。責任部門分別進行評估，確定公司相關控制制度的落實情況，并填寫有關文檔，交組織牽頭部門進行評估和匯總。

執(zhí)行有效性評估主要采用詢問和文件檢查方式進行，以文件檢查為主。對于無法進行文檔檢查的控制點采用詢問的方式，如員工是否知道企業(yè)的《員工職業(yè)操守手冊》，詢問的問題和結(jié)果如實填入詢問記錄欄。文件檢查是指檢查公司落實相關控制制度的具體記錄。

牽頭部門根據(jù)責任部門的評估情況和訪談的結(jié)果填寫“對控制點執(zhí)行有效性評估結(jié)論”和“評估底稿索引”。

三、牽頭組織部門匯總對公司層面內(nèi)部控制評估的結(jié)果，并將評估結(jié)論和改進建議填寫在“公司層面內(nèi)部控制評估表”中

至此，就完成了公司層面內(nèi)部控制的評估工作，我們可以根據(jù)評估有關情況生成評估報告和附表，通過這種網(wǎng)格化的操作，我們能夠找到公司層面內(nèi)部控制的設計缺陷和執(zhí)行缺陷，并且落實責任部門。也便于責任部門從專業(yè)角度，按照內(nèi)控五要素，對公司層面內(nèi)部控制進行專業(yè)審視，便于不斷改進，不斷靠攏公司的控制目標。

參考文獻

[1] 《內(nèi)部控制審計》第2201號內(nèi)部審計準則

[2] 中國會計網(wǎng) 2018-09-07 《信息與溝通是內(nèi)部控制的紐帶》

[3] 《內(nèi)部審計思想》王光遠等譯

[4] 《內(nèi)部審計工作法》羅志國、譚麗麗等

[5] 《中國內(nèi)部審計》雜志2019年第一期