企业内部控制评估报告要点研究

李楠

摘 要：内部控制评估对企业控制和防范经营风险，提高经营效率效果，保护资产安全和完整有着重要作用。对企业内部控制的主要影响因素进行研究，系统分析控制环境、风险评估与管理、控制活动、内控监督等内部控制关键要素，提出内部控制评估的框架体系，以期为企业内部控制评估相关研究提供理论依据。

关键词：内部控制;评估;风险防控

中图分类号：F272        文献标志码：A      文章编号：1673-291X（2019）03-0100-02

一、我国目前企业内控评价现状

企业内控评估是企业建立完备的内控体系，持续提升自身管理效能的重要手段。20世纪90年代以来，随着我国市场化程度的深入，企业内控评估工作得到了快速发展。“十一五”以来，我国相继出台了企业内部控制的基本规范和配套指引，企业的内部控制法制化体系初步形成，我国的企业现代化治理体系得到进一步完善，但更为规范和实用的用以评估内部控制体系运行效果的规范尚未建立。如何建立企业内部控制评估制度及相关要点，正在成为理论研究热点[1]。

二、企业内部控制评估要点的构成

内部控制评估要点的构成应主要根据国内外已经明确的内部控制报告内容来确定。

（一）内部控制报告主要内容分析

以美国COSO 的内部控制报告来看，第一方面，“管理层总结”，主要是对内部控制总体构架的高度总结，对象是总裁、高级管理人员、董事会成员、律师和监管当局;第二方面，“总体架构”主要内容是对内部控制进行精准定义，阐述其主要构成要素，为管理层、董事会及他人提供评估企业内部控制有效性的准则;第三方面，“外部团体报告”作为附件，主要对已经或准备公开披露其对编制财务报表进行内部控制的企业提供指导;第四方面，“评估工具”主要是对内部控制系统进行评估的相关配套资料。常规意义的COSO 内部控制整体框架主要指第二部分，共包括八章，含定义、控制环境、风险评估、控制活动、信息与沟通、监控等[2]。在我国发布的《基本规范》中，首先对内部控制进行了精准定义，提出内部控制是由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，然后阐释内部控制目标，即合理保證企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略[3]。

（二）内部控制报告评估要点及工作方式

基于此，本文提出对内部控制定义中的主要构成部分起到关键影响的人事管理、全面预算管理、资金管理、生产采购管理、固定资产管理、投融资管理、财务报告及信息管理等八个关键环节开展评估要点体系。评估的工作方式应采用自查和实质性测试相结合的方式进行，即流程责任部门和流程参与部门对自身内控执行的有效性进行自查;在自查完毕后，由内审部门负责，对内控设计的合理性和执行的有效性进行了全面检查评估。

三、企业内部控制评估要点的内涵

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

（一）控制环境

主要评估企业管理层的经营风格和理念、公司治理结构、部门职责分工、人力资源政策、内控与绩效考核挂钩等内容。

1.管理层的经营风格和理念。该部分主要对企业的核心价值观、使命、投资和运营核心、内部控制体系主体进行分析。重点评估企业内部控制设计与执行按照责任主体进行分解，落实到公司的管理系统，并纳入绩效考核体系为评估重点。

2.公司治理结构。该部分评估《公司章程》《董监事会议事规则》《办公会议事规则》的维护运行情况，重点对其决策、执行、监督等权限进行分析判断，进而明确是否需要完善公司治理结构，促进董事会科学高效决策。

3.内部控制体系架构。主要分析报告期内，公司内部控制体系的基本架构。评估内部控制系统运行的有效性，以保护股东投资及本集团的资产。重点分析经理办公会等企业日常经营管理决策机构的建立及运行。分析内部控制系统建立及维护的主责部门履职及运行情况。分析审计委员会等职能部门对公司的内部控制系统进行独立检查及验证情况。各业务及职能部门按照年度计划进行内部控制体系建设的规划、安排以及实施情况。通过评估，进一步完善并理清部门职责，进一步突出市场开发工作中的核心职能[4]。

4.人力资源政策。重点分析企业对人员录用、员工培训、工资薪酬、福利保障、绩效考核、内部调动、职务升迁、业务培训等方面的制度运行情况，进而完善人力资源管理制度，调动了员工的工作积极性。同时，为人员体系建设及人才的引进和储备工作，完善人才评价标准。

5.内控工作与绩效考核挂钩。为了保证内控体系各项工作的有效运行，调动全体员工认真执行内部控制的积极性，企业应在年度绩效考核中增加内控建设和执行考核项目，对该部分的评估应采取量化的方式。内控与绩效考核挂钩的形式能够有效地促进内控工作的开展。

（二）风险评估与管理

该部分应分析报告期内应对内外部环境变化导致的战略风险，应对公司战略规划在年度工作落实中体现的科学性与可行性进行评估，运用评估结果进一步明确分工、落实责任、理顺流程，进而全面提升公司的战略风险控制能力[5]。评估重点为战略风险应变相关的管理制度，系统评估宏观经济风险、行业政策和法律风险、竞争对手风险、科技革新风险、观念和模式风险以及信息风险等方面，对企业风险评估体系的建设以及收集相关信息准确识别内部和外部风险的能力进行评估。风险评估与管理应做到及时更新风险数据库，建立突发事件的应急机制，制定应急预案，加强安全管理，做到风险可控。

（三）控制活动

1.内控缺陷的弥补。主要包括对新发布和修订的内控制度有效性进行评估，根据评估结果，针对缺失和已经不再适应实际情况的个别制度进行新增和修订。

2.内控评估和流程评估。主要包括内部控制工作方法评估、内部控制组织资源评估、公司层面内部控制现状评估、制度完整性评估、流程管理现状评估、内部控制现状整体评价、解决方案等内容。

3.信息管理评估。评估企业在员工信息、工作计划、服务台、招聘信息、培训业务、考勤、短信中心、在线考核、季度考核等方面信息系统的建设情况，以及业务流程的规范化情况。人力资源需求收集工作、部分培训业务、考勤、员工考核等工作网络化。同时，评估信息管理相关制度建设情况，对IT设备管理、信息保存、公司办公管理系统的用户规定等内容进行分析，保证办公系统的正常运行和信息的安全。

（四）内控监督

1.内部控制的自查评估。应分析企业各业务部门按照流程责任人的分工对各主要业务涉及的关键控制点进行全面自查情况，了解各部门对内控是否已有效执行，未有效执行及其原因以及是否需要修改内控制度等情况。

2.内部控制实质性测试。即对控制执行的有效性进行评估，该部分主要评估主要业务循环的关键控制点执行的有效性，具体包括：确定评估結果的判断标准和考核量化指标、筛选关键控制点、实施实质性测试等重点工作评估。

四、企业内部控制评估的结果应用

在完成企业内部控制评估工作后，其结果的有效应用是评估工作的关键，尤其是对执行有效性评估过程中发现的主要问题，针对性地进行完善。主要包括：未有效执行（即执行有效性缺陷，控制设计合理，但未进行有效执行）;公司本年未发生有效样本（主要反映了控制设计有效，但是本年公司未发生相关业务，因此没有有效样本）;需修改流程描述（主要反映在发现执行与控制设计不符后修改不合理的业务流程设计以及修改不恰当的流程描述）。

五、结语

本文系统研究了企业内部控制评估工作，提出了评估要点和内涵，给出了完整的评估工作范式。结合对内部控制的评估结果，分类给出了需要完善的内部控制要素。研究内容可以为企业的内部控制体系建设及评估工作提供理论参考。

参考文献：

[1]  戴文涛.中国企业内部控制评价指标体系和评价指数研究[C]//清华大学.全国博士生学术论坛论文集，2011.

[2]  杨清香.试论内部控制概念框架的构建[J].会计研究，2010，（1）：29-32.

[3]  戴文涛，王茜.企业内部控制评价概念框架构建[J].财经问题研究，2013，（2）：115-122.

[4]  南京大学会计与财务研究院课题组.论中国企业内部控制评价制度的现实模式[J].会计研究，2010，（6）：51-61.

[5]  陈耀敏.基于公司治理的企业内部控制评价体系研究[J].企业经济，2011，（1）：49-51.