内部控制评价方法及其在实践中的应用研究

覃艳玲 上海龙旗科技股份有限公司

引言

在当今全球化、信息化和复杂多变的商业环境中，企业面临着越来越多的内部和外部风险和挑战，这些风险包括战略风险、财务风险、合规性问题、信息安全漏洞、业务连续性风险、市场竞争压力等。为了应对这些风险，企业需要建立有效的内部控制体系，以确保企业在复杂的内外部环境中，持续管理各类风险，以规则的确定性应对环境的不确定性，力求业务增长和风险的最优平衡，做好价值守护，保障公司持续健康发展。

一、内部控制的重要性及其对企业运营的影响

（一）内部控制的重要性

内部控制有助于确保企业的财务健康和可持续性，通过建立有效的内部控制体系，企业可以有效管理和监督财务流程，确保财务报告的准确性和透明度，提高投资者和股东的信任，吸引更多的投资和融资机会，[1]推动企业的发展和增长。财务健康也直接影响企业的长期稳定性，有助于避免财务危机和债务问题，维护企业的可持续性。

（二）内部控制对企业运营的影响

内部控制有助于预防和减少不正当行为。企业内部控制体系中的审计和监控程序可以帮助发现并阻止内部和外部的欺诈行为，包括防止员工的贪污行为、未经授权的数据访问、财务报告造假等问题，通过降低不正当行为的风险，企业可以避免法律诉讼、声誉损失和金融损失，维护企业的声誉和可信度。内部控制有助于提高资源的合理利用和效率。有效的内部控制程序可以确保企业资源的有效配置和使用，减少浪费和资源的滥用，包括财务资源、人力资源、技术资源和物流资源，通过提高资源的合理利用，企业可以降低成本，提高生产效率，增加竞争力。内部控制还有助于降低风险和应对不确定性。企业面临各种风险，包括市场风险、供应链风险、政策法规风险等。内部控制体系可以帮助企业识别、评估和管理这些风险，制定相应的风险管理策略和计划，以应对外部环境的不确定性，企业更好地适应市场变化，减少损失和风险，增强企业的抗风险能力。

二、内部控制评价方法

（一）风险基础评估法

风险基础评估法强调风险识别。在评价过程中，企业需要全面审视其运营环境，包括内部和外部因素，以识别潜在的风险，这些风险可以涵盖财务风险、合规性风险、操作风险、市场风险等各个方面，通过广泛的风险识别，企业能够更好地了解其面临的挑战和威胁。风险基础评估法强调风险评估。一旦风险被识别，企业需要对其进行评估，以确定其重要性和影响的程度。评估风险的过程通常涉及定量和定性分析，以便为不同风险分配优先级和资源，企业更加重视和专注于那些对企业运营产生最大影响的风险。[2]风险基础评估法注重风险管理。评估不仅仅是为了了解风险，更重要的是采取措施来管理和降低风险的影响，包括制定风险管理策略、建立风险应对计划、分配资源、监督和追踪风险的控制措施等，通过积极的风险管理，企业可以更好地保护自己免受风险的威胁，同时也能更好地把握机会，实现可持续的增长。风险基础评估法的优势在于它能够将风险管理融入内部控制体系，使企业的内部控制更加灵活、适应性强，这种方法不仅关注财务方面的风险，还关注战略、运营、合规性等多个方面的风险，帮助企业更全面地理解其运营环境。风险基础评估法强调风险的动态性，鼓励企业在不断变化的环境中灵活调整风险管理策略。

（二）数据分析法

数据分析法强调数据的关键作用。在企业运营过程中，大量的数据被生成和记录，包括财务数据、交易记录、客户信息、供应链数据等。数据分析法认为这些数据不仅是企业的宝贵资产，还可以用于发现潜在的风险和问题，通过对数据的收集、整理和分析，企业可以更准确地了解自己的运营情况，识别潜在的异常和问题。数据分析法注重风险识别，通过数据分析，企业可以快速识别不符合正常模式的行为和交易，发现潜在的风险，这种方法可以帮助企业识别财务欺诈、未经授权的访问、供应链中断、市场竞争压力等各种风险。数据分析法的风险识别能力通常比传统方法更敏捷和全面。[3]数据分析法注重风险评估。一旦风险被识别，企业可以利用数据分析技术来评估风险的潜在影响，通过建立模型和模拟分析，企业可以更好地了解不同风险事件的后果，以及如何降低其影响，企业为不同风险分配资源，并制定相应的风险管理策略。数据分析法注重风险管理，通过数据分析，企业可以不仅发现风险，还可以监督和追踪风险的控制措施，包括持续监测交易、实时检测异常、建立警报系统等。数据分析法的动态性使企业能够更及时地采取措施来降低风险的影响，增强企业的抗风险能力。

（三）综合评价方法

综合评价方法的核心思想是多方法融合，它认为不同的评估方法各自具有优点和局限性，将这些方法结合起来可以弥补各自的不足，提高评价的全面性和准确性。综合评价方法通常包括传统评价方法、现代评价方法和其他自定义方法的结合，以确保评价的多维度和全面性。综合评价方法注重评估的全面性。企业内部控制是一个复杂的体系，涵盖财务控制、合规性控制、操作控制等多个方面。综合评价方法强调要全面地评估这些方面，以确保企业在各个层面都能有效管理风险和问题，这种全面性有助于发现潜在的问题和短板，提前采取措施进行改进。综合评价方法注重数据的综合应用。[4]在评价过程中，它倡导利用各种数据和信息源，包括财务数据、操作数据、合规性数据等，以综合分析和评估内部控制的有效性，从多个角度审视内部控制体系，准确捕捉问题和风险。综合评价方法注重综合报告和建议。在评价结束后，综合评价方法通常要生成综合报告，总结不同评估方法的结果和发现，提供全面的评价意见和建议，企业更好地了解内部控制的状况，并提供改进措施的指导。

三、内部控制评价方法在实践中的优化策略

（一）结合风险管理与评价

1.完善风险识别和评估流程

要建立一个系统化的方法和流程，以确保全面而准确地识别和评估风险，这个过程应当始于明确的风险识别目标，包括确定哪些风险领域是最关键的，然后采用多种渠道和方法，如SWOT分析、头脑风暴会议、数据分析、市场研究等，收集和整理与这些风险领域相关的信息。需要建立一个有效的风险评估模型，这个模型应该考虑风险性和影响，以及它们的相互关系。一种常用的模型是风险矩阵，将风险按照重要性和影响分为不同的等级，这个模型应当根据企业的具体情况进行定制，以确保对不同风险的评估更加符合实际情况。要确保风险识别和评估流程的参与者具有必要的专业知识和培训，包括培训员工，使其能够识别潜在的风险，并了解如何使用评估模型进行风险评估。[5]要鼓励跨部门和跨层级的合作，以确保多维度的视角和经验被纳入风险识别和评估过程中。建立一个有效的风险信息收集和报告系统至关重要，这个系统应当能够及时捕捉和记录与风险相关的信息，确保信息的准确性和可追溯性。要建立一个定期的风险报告机制，向高层管理层汇报风险的状态和趋势，以便他们能够及时采取措施。风险识别和评估流程应当是一个不断改进的过程。企业要定期回顾并审查识别和评估的方法以及结果，根据反馈和经验教训进行调整并改进，这个过程应当是一个持续的循环，以确保风险识别和评估流程始终保持高效和有效。

2.整合风险管理和评价体系

要在评价的初期阶段明确风险管理的目标和范围，在开始评价之前，需要明确定义风险管理的目标，包括确定评价的重点领域、关键风险和目标风险等，确保评价的方向与风险管理的目标一致。要将风险管理的方法和工具整合到评价过程中，包括使用风险识别和评估工具，以识别潜在的风险，以及使用风险管理方法，制定相应的风险应对策略。评价人员需要具备风险管理的专业知识和技能，以确保评价和风险管理之间的协同作用。要建立一个有效的风险信息共享和报告机制，评价的结果和风险信息应该能够及时传达给相关部门和决策者，以便他们能够采取相应的行动，这个机制可以包括定期的风险报告、风险信息数据库、定期的风险会议等，以确保风险管理和评价之间的信息流畅和沟通畅通。要将风险管理作为评价的一部分进行持续监督和改进，不仅要在评价过程中考虑风险管理，还要在评价后不断审查和改进风险管理的方法和策略，包括对风险应对计划的定期审查和更新，以确保其与实际情况保持一致。

（二）应用信息技术

1.应用自动化软件以提高评价效率

要采用适用的自动化工具和软件，以减少手动操作和减轻评价人员的工作负担。自动化工具可以涵盖各个评价阶段，从风险识别到评估和报告。例如，数据分析工具可以用于分析大规模的数据集，以发现潜在的异常和问题，而不需要手动逐一检查。自动化工具还可以用于自动生成评价报告和图表，提高报告的质量和速度。要整合不同的自动化工具和软件，以构建一个完整的评价平台，这个平台应该能够支持多种评价方法和工具的无缝集成，以满足不同评价任务的需求，需要选择适用的工具和软件，并确保它们能够与现有的评价流程和系统集成。要进行培训和技能提升，以确保评价人员能够充分利用自动化工具和软件，包括提供培训课程和资源，使评价人员了解如何正确使用这些工具，并发挥其最大潜力。培训还应该包括如何解释和分析自动化工具生成的结果，以便更好地理解评价的结果和风险。要建立一个有效的自动化工具和软件管理体系，以确保其稳定性和可靠性，包括定期更新和维护工具和软件，以确保其适应不断变化的评价需求。需要建立一套规范和标准，以确保评价人员正确和一致地使用自动化工具和软件。

2.数据分析在内部控制评价中的应用

要使用数据分析来识别潜在的风险和问题。企业生成和存储了大量的数据，包括财务数据、交易记录、操作数据、客户信息等等，通过对这些数据进行分析，可以快速发现不符合正常模式的行为和交易，识别潜在的风险。例如，通过异常检测算法，可以检测到财务欺诈、未经授权的访问、供应链中断等风险事件。数据分析能够帮助评价人员更全面地了解内部控制的有效性。要使用数据分析来评估风险性和影响，通过建立模型和模拟分析，可以更准确地评估不同风险事件的重要性和潜在影响，为不同风险分配资源和优先级，以便更好地管理风险。例如，通过概率模型，可以估算市场竞争压力对企业销售的潜在影响，制定相应的市场战略。

（三）提高员工培训与参与度

要在企业内部建立明确的内部控制政策和标准，要明确定义内部控制的目标和原则，制定相关政策和程序，确保员工了解并遵守这些政策和标准。内部控制政策应包括风险识别、风险评估、风险应对等方面的具体要求，以指导员工在工作中如何履行内部控制的职责。要提供专业的培训和教育，以帮助员工理解内部控制的基本概念和原则。培训可以包括内部控制的基础知识、风险识别和评估的方法、风险管理的重要性等方面的内容，是让企业各层级、各职能、各业务单元具备识别风险、评估风险、应对风险、检测风险的能力，并且在企业文化中渗入风险意识，摸排风险隐患，用大概率思维应对小概率事件，力争把风险化解在源头。要建立内部控制的监督和反馈机制，包括建立内部控制的监测和报告系统，以便员工能够及时报告潜在的问题和风险。要建立一个反馈机制，将监测结果和报告传达给员工，并鼓励他们提出改进建议。员工需要知道他们的反馈是被重视的，可以用于改进内部控制体系，要建立内部控制文化，将内部控制的理念融入到企业的日常运营中，这需要领导层的积极支持和示范，以及员工的积极参与。内部控制文化应该强调风险管理和持续改进的重要性，鼓励员工主动参与内部控制的建设和改进，保证管理层的决策有效落实。

结语

传统的内部控制评价方法，如财务审计法和合规性测试法，虽然具有一定的可靠性和权威性，但存在一些局限性。随着商业环境的不断变化和信息技术的快速发展，现代企业对内部控制评价提出了新的要求。现代评价方法，如风险基础评估法和数据分析法，强调风险管理与内部控制的整合，以及数据驱动的审计和分析技术的应用，这些方法更加灵活、全面，能够更好地适应企业的需求和挑战。深入研究内部控制评价方法的有效性、优化策略和在实践中的应用变得至关重要，有助于企业更好地管理风险，提高内部控制的质量，为学术界和业界提供有关内部控制评价的最佳实践和经验教训。