公司層面內部控制評估方法及步驟初探

楊悟曉

內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。內部控制是一個動態的過程。內部控制一般包括控制環境、風險評估、控制活動、信息與溝通、內部監督等五個要素。

控制環境主要包括企業的價值取向、對員工勝任能力的關注、治理結構、管理哲學和經營風格、組織結構、人力資源政策和實務等;風險評估主要包括識別內外部風險、確認風險、評估分析風險、防范控制措施等內容;控制活動是采取相應的控制措施，將風險控制在可承受度之內，主要是業務層面的內部控制;信息與溝通是內部控制的紐帶，是內部控制的重要條件;內部監督是企業對內部控制建立與實施情況進行監督檢查和評價，并及時跟進改進，內控評估屬于內部監督的范圍。

從組織層次看，內部控制可以分為公司層面的內部控制和業務層面的內部控制。業務層面的內部控制面向企業生產經營的具體業務方面實施的控制，主要是控制活動的內容，如資本性支出、采購管理、資產管理、收入、融資、投資、人工成本等，業務層面內部控制的評估主要是對其執行有效性和設計有效性進行評估。

公司層面的內部控制評價主要是從公司內部控制的整體方面進行評估。實施公司層面內部控制評估首先應該成立企業的內控評估的組織機構，公司層面內控評估組織機構主要包評估責任部門和評估的牽頭組織部門。

一般情況下，我們采用按照內控五要素的內容及控制目標，采取網格化的方法，對照有關的控制目標和控制點，對其設計和執行的有效性進行評估。與業務層面的內控評估不同，公司層面內部控制評估主要采用訪談和填寫評估底稿的方式進行評估。一般由各責任部門分別實施評估后，將評估結果和工作底稿反饋給牽頭組織部門，經匯總整理，由牽頭部門出具公司層面內部控制的評估結果和意見。具體操作步驟如下：。

一、訪談的步驟方法及內容

1.訪談的范圍：公司管理層、重要業務部門負責人及其他關鍵管理人員和關鍵控制崗位。

2.訪談內容：按照內控五要素的具體內容，結合企業實際情況編制“公司層面內部控制評估表”。按照評估表（附件一）中的內容進行訪談，并且將訪談情況做記錄，評估表中需要訪談的內容如下：

（1）控制環境方面訪談的主要包括正直守德的價值取向、對員工勝任能力的關注、董事會、監事會的設置及發揮職能的情況、企業的組織結構的設置及運行狀況、職權和職責的分配情況、企業人力資源政策和實務等。

（2）風險評估訪談的主要內容包括公司層面目標、經營活動層面目標、風險、管理變化、經營環境變化、雇傭新員工、使用新的或重新設計的信息系統等;

（3）控制活動的訪談內容包括控制行為的廣泛的政策和執行程序，是否有助于確保管理者意圖的正確執行，控制活動是否有助于企業實現目標等。、

（4）信息與溝通方面的訪談內容主要包括從企業內外部獲取的信息的真實、準確、完整，以及及時性，以及溝通是否有效等;

（5）內部監督訪談的主要內容包括持續監控、定期及不定期的個別評價、缺陷匯報等內容。

3、部門的訪談工作由各部門自行組織，訪談人員應不少于50%。

二、填寫公司層面內控評估底稿（測試底稿）

公司層面的內控評估包括設計有效性和執行有效性的評估。一般由公司的評估牽頭部門根據公司實際情況設計成測試底稿，包括“公司層面內部控制設計有效性”和“公司層面內部控制執行有效性”兩個測試底稿，設計及執行有效性的評估可同時進行。

（一）公司層面內部控制設計有效性測試評估

公司層面內部控制設計有效性評估，對公司的控制環境、風險評估、信息與溝通及內部監督的設計的有效性進行測試，按照四個要素的控制目標和控制點，梳理公司的現有的規章制度，將的公司有關規章制度排列成表，與之對應。通過這種網格化的操作，能夠清楚的發現公司在文檔設計方面的缺失。

例如：公司的控制環境測試中，公司的價值取向的第一個控制目標假設為“公司需要制定行為準則和其他準則，以明確可以接受的業務操作行為……”，對應公司現有的控制點描述為“公司建立了適當的 行為準則和道德規范：公司在企業文化手冊中……”，與之對應的文檔有“《員工職業操守守則》、《**公司服務質量問題處理辦法》等”，涉企業發展部、綜合部、市場部等評估責任部門，由這些部門從各自專業的角度評估現有文檔，判斷能否滿足控制點的要求，是否符合控制目標。如果符合控制目標，滿足控制點的要求，設計便是有效，否則就是存在設計缺陷，將評估結果記錄在表格中，提交牽頭部門。

牽頭部門對各評估責任部門的測試表進行匯總整理，根據評估責任部門的評估情況和訪談的有關情況填寫“控制點設計有效性評估結論”和“評估底稿索引”。

（二）司層面內控執行有效性測試表

1、公司層面內控執行有效性測試

公司層面內控執行有效性測試也是先由各部門自評，牽頭部門匯總。責任部門分別進行評估，確定公司相關控制制度的落實情況，并填寫有關文檔，交組織牽頭部門進行評估和匯總。

執行有效性評估主要采用詢問和文件檢查方式進行，以文件檢查為主。對于無法進行文檔檢查的控制點采用詢問的方式，如員工是否知道企業的《員工職業操守手冊》，詢問的問題和結果如實填入詢問記錄欄。文件檢查是指檢查公司落實相關控制制度的具體記錄。

牽頭部門根據責任部門的評估情況和訪談的結果填寫“對控制點執行有效性評估結論”和“評估底稿索引”。

三、牽頭組織部門匯總對公司層面內部控制評估的結果，并將評估結論和改進建議填寫在“公司層面內部控制評估表”中

至此，就完成了公司層面內部控制的評估工作，我們可以根據評估有關情況生成評估報告和附表，通過這種網格化的操作，我們能夠找到公司層面內部控制的設計缺陷和執行缺陷，并且落實責任部門。也便于責任部門從專業角度，按照內控五要素，對公司層面內部控制進行專業審視，便于不斷改進，不斷靠攏公司的控制目標。

參考文獻

[1] 《內部控制審計》第2201號內部審計準則

[2] 中國會計網 2018-09-07 《信息與溝通是內部控制的紐帶》

[3] 《內部審計思想》王光遠等譯

[4] 《內部審計工作法》羅志國、譚麗麗等

[5] 《中國內部審計》雜志2019年第一期