內部控制評價

對於這一定義，可從以下三個角度進行理解。

（一）內部控制評價的主體是董事會或類似權力機構

內部控制評價的主體是董事會或類似的權力機構，是指董事會或類似的權力機構是內部控制設計和運行的責任主體。董事會可指定審計委員會來承擔對內部控制評價的組織、領導、監督職責，並通過授權內部審計部門或獨立的內部控制評價機構執行內部控制評價的具體工作，但董事會仍對內部控制評價承擔最終的責任，對內部控制評價報告的真實性負責。對內部控制的設計和運行的有效性進行自我評價並對外披露是管理層解除受託責任的一種方式，董事會可以聘請會計師事務所對其內部控制的有效性進行審計，但其承擔的責任不能因此減輕或消除。

（二）內部控制評價的對象是內部控制的有效性

內部控制評價的對象是內部控制的有效性，所謂內部控制的有效性，是指企業建立與實施內部控制對實現控制目標提供合理保證的程度。

從控制過程角度，內部控制的有效性可分為內部控制設計的有效性和內部控制運行的有效性。內部控制設計的有效性是指為實現控制目標所必需的內部控制程序都存在並且設計恰當，能夠為控制目標的實現提供合理保證；內部控制運行的有效性是指在內部控制設計有效地前提下，內部控制能夠按照設計的內部控制程序正確地執行，從而為控制目標的實現提供合理保證。內部控制運行的有效性離不開設計的有效性，如果內部控制在設計上存在漏洞，即使這些內部控制制度能夠得到一貫的執行，那麼也不能認為其運行有效的。

從控制目標的角度來看，內部控制的有效性可分為合規目標內部控制的有效性、資產目標內部控制的有效性、報告目標內部控制的有效性、經營目標內部控制的有效性、戰略目標內部控制的有效性。其中，合規目標內部控制的有效性是指相關的內部控制能夠合理保證企業遵循國家相關法律法規，不進行違法活動或違規交易；資產目標內部控制的有效性是指相關的內部控制能夠合理保證資產的安全與完整，防止資產流失；報告目標內部控制的有效性是指相關的內部控制能夠防止、發現並糾正財務報告的重大錯報；經營目標內部控制的有效性是指相關的內部控制能夠合理保證經營活動的效率和效果及時為董事會和經理層所瞭解或控制；戰略目標內部控制的有效性是指相關的內部控制能夠合理保證董事會和經理層及時瞭解戰略定位的合理性、實現程度，並適時進行戰略調整。

評價內部控制設計的有效性，可以考慮以下三個方面，一是內部控制的設計是否做到以內部控制的基本原理為前提，以《企業內部控制基本規範》及其配套指引為依據；二是內部控制的設計是否覆蓋了所有關鍵的業務與環節，對董事會、監事會、經理層和員工具有普遍的約束力；三是內部控制的設計是否與企業自身的經營特點、業務模式以及風險管理要求相匹配。評價內部控制運行的有效性，也可以從三個方面進行考察，一是相關控制在評價期內是如何運行的；二是相關控制是否得到了持續一致的運行；三是實施控制的人員是否具備必要的權限和能力。

需要説明的是，由於受內部控制固有侷限（如評價人員的職業判斷、成本效益原則）的影響，內部控制評價只能為內部控制目標的實現提供合理保證，而不能提供絕對保證。

（三）內部控制評價是一個過程

內部控制評價是一個過程，是指內部控制評價要遵照一定的流程來進行。內部控制評價工作不是一蹴而就的，它是一個涵蓋計劃、實施、編報等多個階段、包含多個步驟的動態過程。

內部控制評價的對象是內部控制的有效性，而內部控制的有效性，是企業建立與實施內部控制對實現控制目標提供合理保證的程度。內部控制的目標包括合規目標、資產目標、報告目標、經營目標和戰略目標。因此，內部控制評價的內容應是對以上五個目標的內控有效性進行全面評價。具體地説，內部控制評價應緊緊圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督五要素進行。

企業組織開展內部環境評價，應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據。其中，組織架構評價可以重點從組織架構的設計和運行等方面進行；發展戰略評價可以重點從發展戰略的制定合理性、有效實施和適當調整三方面進行；人力資源評價應當重點從企業人力資源引進結構合理性、開發機制、激勵約束機制等方面進行；企業文化評價應從建設和評估兩方面進行；社會責任可以從安全生產、產品質量、環境保護與資源節約、促進就業、員工權益保護等方面進行。

企業組織開展風險評估評價，應當以《企業內部控制基本規範》有關風險評估的要求，以及各項應用指引中所列主要風險為依據，結合本企業的內部控制制度，對日常經營管理過程中的目標設定、風險識別、風險分析、應對策略等進行認定和評價。

企業組織開展控制活動評價，應當以《企業內部控制基本規範》和各項應用指引中的控制措施為依據，結合本企業的內部控制制度，對相關控制措施的設計和運行情況進行認定和評價。

企業組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統等相關指引為依據，結合本企業的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性進行認定和評價。

企業組織開展內部監督評價，應當以《企業內部控制基本規範》有關內部監督的要求，以及各項應用指引中有關日常管控的規定為依據，結合本企業的內部控制制度，對於內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

具體的內部控制評價內容可通過設計內部控制評價指標體系來確定，評價指標是對內部控制要素的進一步細化，評價指標可以有多個層級，大體可分為核心評價指標和具體評價指標兩大類，企業可根據其實際情況進行細分。具體的評價內容確定之後，內部控制評價工作應形成工作底稿，詳細記錄企業執行評價工作的內容，包括評價要素、評價指標、評價標準、評價和測試的方法、主要風險點、採取的控制措施、有關證據資料以及認定結果等。工作底稿可以是通過一系列評價表格加以實現，通過對每個要素核心指標的分別分解、評價，最終彙總出評價結果。

企業實施內部控制評價至少應當遵循下列原則：

(一)全面性原則。評價工作應當包括內部控制的設計與運行，涵蓋企業及其所屬單位的各種業務和事項。

(二)重要性原則。評價工作應當在全面評價的基礎上，關注重要業務單位，重大業務事項和高風險領域。

(三)客觀性原則。評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控制設計與運行的有效性。

從內部控制評價本身以及目前的發展情況來看，主要存在詳細評價法和風險基礎評價法兩種方法。

在《企業內部控制——整合框架》中，COSO指出，確定某一內部控制系統是否有效是一種在評估五個要素是否存在以及是否有效發揮作用基礎上的主觀判斷，這些要素也是有效內部控制的標準。COSO還指出，認定一個主體的企業風險管理是否“有效”，是在對八個構成要素是否存在和有效運行進行評估的基礎之上所作的判斷，構成要素也是判定企業風險管理有效性的標準。在美國證券交易委員會2003年6月通過的實施SOX法案404節的規則（SEC，2003）以及後來發佈的管理層評價指南中，都強調內部控制評價的程序必須足以既能評價財務報告內部控制的設計，又能測試運行的有效性。因此，遵循這個思路，很多企業和事務所都曾經採用過詳細評價法。這種方法的基本思路是：以內部控制框架或標準為參照物，根據內部控制框架的構成要素是否存在評價內部控制的設計有效性，測試內部控制的運行有效性，最後綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判斷是否存在重大漏洞（material weaknesses，MW），確定內部控制是否有效。

企業內部控制的另一種思路和方法不是從控制到風險，而是從風險到控制，即從內部控制相關目標實現的風險到內部控制。首先，要評估相關目標實現的風險；其次，識別和確定企業充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；第三，識別和確定內部控制運行有效性的證據，評價現有的控制是否得到了有效的運行；最後，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。對於不同的目標來説，目標風險的含義、內部控制重大漏洞的含義是不相同的，在評價每一類目標時都需要做具體設定。

《企業內部控制評價指引》第十五條規定，內部控制評價工作組對被評價單位進行現場測試時，可以單獨或者綜合運用個別訪問、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法，充分收集被評價單位內部控制設計和運行是否有效的證據，按照評價的具體內容，如實填寫評價工作底稿，研究分析內部控制缺陷。

1.個別訪問法

個別訪問法主要用於瞭解公司內部控制的現狀，在企業層面評價及業務層面評價的瞭解階段經常使用。訪問前應根據內部控制評價需求形成訪談提綱，撰寫訪問紀要，記錄訪問的內容。為了保證訪談結果的真實性，應儘量訪談不同崗位的人員以獲得更可靠的證據。如分別訪問人力資源部主管和基層員工，公司是否建立了員工培訓長效機制，培訓是否能滿足員工和業務崗位需要？

2.調查問卷法

調查問卷法主要用於企業層面評價。調查問卷應儘量擴大對象範圍，包括企業各個層級員工，應注意事先保密性，題目儘量簡單易答（如答案只需為“是”、“否”、“有”、“沒有”等等）。比如你對企業的核心價值觀是否認同？你對企業未來的發展是否有信心？

3．穿行測試法

穿行測試法是指在內部控制流程中任意選取一筆交易作為樣本，追蹤該交易從最初起源直到最終在財務報表或其他經營管理報告中反映出來的過程，即該流程從起點到終點的全過程，以此瞭解控制措施設計的有效性，並識別出關鍵控制點。如針對銷售交易，選取一批訂單，追蹤從訂單處理一－核准信用狀況及賒銷條款一－填寫訂單並準備發貨一－編制貨運單據一－訂單運送/遞送追蹤至客户或由客户提貨－一開具銷售發票一－複核發票的準確性並郵寄/送至客户一－生成銷售明細賬一－彙總銷售明細賬，並過賬至總賬和應收賬款明細賬等交易的整個流程，考慮之前對相關控制的瞭解是否正確和完整，並確定相關控制是否得到執行。

4．抽樣法

抽樣法分為隨機抽樣和其他抽樣。隨機抽樣是指按隨機原則從樣本庫中抽取一定數量的樣本；其他抽樣是指人工任意選取或按某一特定標準從樣本庫中抽取一定數量的樣本。使用抽樣法時首先要確定樣本庫的完整性，即樣本庫應包含符合控制測試的所有樣本；其次要確定所抽取樣本的充分性，即樣本的數量應當能檢驗所測試的控制點的有效性；最後要確定所抽取樣本的適當性，即獲取的證據應當與所測試控制點的設計和運行相關，並能可靠地反映控制的實際運行情況。

5.實地查驗法

實地查驗法主要針對業務層面控制，它通過使用統一的測試工作表，與實際的業務、財務單證進行核對的方法進行控制測試。如實地盤點某種存貨。

6.比較分析法

比較分析法是指通過數據分析，識別評價關注點的方法。數據分析可以是與歷史數據、行業（公司）標準數據或行業最優數據等進行比較。比如針對具體客户的應收賬款週轉率進行橫向或縱向比較，分析存在異常的應收客户款，進而對這些客户的賒銷管理控制進行檢查。

7．專題討論法

專題討論法主要是集合有關專業人員就內部控制執行情況或控制問題進行分析，既可以是控制評價的手段，也是形成缺陷整改方案的途徑。對於同時涉及財務、業務、信息技術等方面的控制缺陷，往往需要由內部控制管理部門組織召開專題討論會議，綜合內部各機構、各方面的意見，研究確定缺陷整改方案。

在實際評價工作中，以上這些方法可以配合使用。此外，還可以使用觀察、檢查、重新執行等方法，也可以利用信息系統開發檢查方法，或利用實際工作和檢查測試經驗。對於企業通過系統採用自動控制、預防控制的，應在方法上注意與人工控制、發現性控制的區別。

在實際工作中，評價底稿一般是通過一系列的評價表格來實現的。一般來説，評價底稿包括業務流程評價表、控制要素評價表、內部控制評價彙總表三個層次，其中，業務流程評價表形成控制要素評價表的“控制活動要素評價”部分，控制要素評價表連同內部控制缺陷彙總表一起構成內部控制評價彙總表，內部控制評價彙總表是形成內部控制報告的直接依據。

1．業務流程評價表

企業的經營活動涉及多個業務流程，包括採購業務流程、銷售業務流程、工程項目流程、擔保業務流程等。企業應根據其自身業務特點，設計合理的業務流程模塊，由相對獨立的評價小組對每個業務流程進行測試與評價，形成業務流程評價表。各類業務流程評價應包括設計有效性和運行有效性。各業務流程評價表應包括評價指標（對控制點的描述）、評價標準（檢查是否符合控制要求）、評價證據（如××規定或實施辦法或抽取的樣本對應的憑證號等）、評價結果（評價得分）、未有效執行的原因等。

2．控制要素評價表

控制要素評價表包括內部環境評價表、風險評估評價表、控制活動評價表、信息與溝通評價表、內部監控評價表。其中，內部環境評價表、風險評估評價表、信息與溝通評價表、內部監控評價表都是根據現場評價結果直接形成的，而控制活動評價表是在對各業務流程評價表的基礎上彙總而成的。內部控制要素評價表的內容包括評價指標、評價標準、評價結果、評價得分等。

3．內部控制評價彙總表

內部控制彙總表包括以下幾個部分：內部環境評價及其評分；風險評估評價及其評分；控制活動評價及其評分；信息與溝通評價及其評分；內部監控評價及其評分；缺陷的認定；綜合評價得分。內部控制評價彙總表是在內部控制五大要素評價表的基礎上彙總形成的，並將缺陷的認定單列項目，作為最後評價得分的減項。為了更清楚地瞭解缺陷的基本情況，應分類反映缺陷數量、等級等項目。

內部控制評價報告可分為對內報告和對外報告，對外報告是為了滿足外部信息使用者的需求，需要對外披露，在時間上具有強制性，披露內容和格式強調符合披露要求；對內報告主要是為了滿足管理層或治理層改善管控水平的需要，不具有強制性，內容、格式和披露時間由企業自行決定。

企業因其外部環境和內部條件的變化，其內部控制系統不可能是固定的、一成不變的，而是一個不斷更新和自我完善的動態體系，因此對內部控制需要經常展開評價，在實際工作可以採用定期與不定期相結合的方式。

對外報告一般採用定期的方式，即企業至少應該每年進行一次內部控制評價並由董事會對外發布內部控制報告。年度內部控制評價報告應當以12月31日為基準日。值得説明的是，如果企業在內部控制評價報告年度內發生了特殊的事項且具有重要性，或因為具有了某種特殊原因（如企業因目標變化或提升），企業需要針對這種特殊事項或原因及時編制內部控制評價報告並對外發布。這種類型的內部控制評價報告屬於非定期的內部控制報告。

內部報告一般採用不定期的方式，即企業可以持續地開展內部控制的監督與評價，並根據結果的重要性隨時向董事會（審計委員會）或經理層報送評價報告。從廣義上講，企業針對發現的重大缺陷等向董事會（審計委員會）或經理層報送的內部報告（內部控制缺陷報告）也屬於非定期的報告。

企業應儘量按照統一的格式編制內部控制評價報告，以滿足外部信息使用者對內控信息可比的要求。

根據《評價指引》第二十一條和二十二條規定，內部控制評價對外報告一般包括以下內容。

1．董事會聲明。聲明董事會及全體董事對報告內容的真實性、準確性、完整性承擔個別及連帶責任，保證報告內容不存在任何虛假記載、誤導性陳述或重大遺漏。

2．內部控制評價工作的總體情況。明確企業內部控制評價工作的組織、領導體制、進度安排，是否聘請會計師事務所對內部控制有效性進行獨立審計。

3．內部控制評價的依據。説明企業開展內部控制評價工作所依據的法律法規和規章制度。

4．內部控制評價的範圍。描述內部控制評價所涵蓋的被評價單位，以及納入評價範圍的業務事項，及重點關注的高風險領域。內部控制評價的範圍如有所遺漏的，應説明原因，及其對內部控制評價報告真實完整性產生的重大影響等。

5．內部控制評價的程序和方法。描述內部控制評價工作遵循的基本流程，以及評價過程中採用的主要方法。

6．內部控制缺陷及其認定。描述適用本企業的內部控制缺陷具體認定標準，並聲明與以前年度保持一致或做出的調整及相應原因；根據內部控制缺陷認定標準，確定評價期末存在的重大缺陷、重要缺陷和一般缺陷。

7．內部控制缺陷的整改情況。對於評價期間發現、期末已完成整改的重大缺陷，説明企業有足夠的測試樣本顯示，與該重大缺陷相關的內部控制設計且運行有效。針對評價期末存在的內部控制缺陷，公司擬採取的整改措施及預期效果。

8．內部控制有效性的結論。對不存在重大缺陷的情形，出具評價期末內部控制有效結論；對存在重大缺陷的情形，不得作出內部控制有效的結論，並需描述該重大缺陷的性質及其對實現相關控制目標的影響程度，可能給公司未來生產經營帶來相關風險。自內部控制評價報告基準日至內部控制評價報告發出日之間發生重大缺陷的，企業須責成內部控制評價機構予以核實，並根據核查結果對評價結論進行相應調整，説明董事會擬採取的措施。