企業內控測評實施方法研究

文‖勞心

企業內控測評實施方法研究

文‖勞心

內控測評是整個內部控制體系建設閉環的重要一環，可以根據測評發現問題倒逼國有企業完善內部控制體系

企業內控測評目前一般較側重綜合定性評價,比較難以從縱向判斷企業內部管理質量的提升情況；評價結果所揭示的問題缺少風險導向,缺陷往往暴露在發生風險事件或資產損失之后；對發現問題的原因往往分析不深入,整改不徹底,屢查屢犯。上述問題產生的主要原因在于內控測評理論尚不成熟,《企業內部控制基本規范》及其配套指引提出原則、內容、程序、缺陷認定、定性評價和測評報告基本要求,但未涉及各流程具體的評價指標（關鍵控制點）,指標權重以及評價模型。為此,本文擬以風險為導向,通過梳理風險事件動態設置關鍵控制點、設計定量定性評價模型、復核缺陷整改效果來全面提升內控測評的質量和實用性。

內控測評的重要性

內部控制是發達國家企業治理的重要手段,是各項管理手段協同發揮效益的重要基礎和橋梁,對完善公司法人治理結構,建立現代企業制度具有重要意義。在國際廣泛認可的COSO三大目標、五大要素指引下,中國企業內部控制建設研究和實踐不斷深入。與此同時,內控評價也不斷得到社會和監管部門的重視,從2010年開始,監管機構逐步要求上市公司每年公開披露內部控制自我評價報告。

在多種性質類別的企業中,國有企業具有特殊管理模式,由于缺乏對經營者的約束機制,存在事實上的“委托代理”和“內部人控制”等問題,部分企業在審計和檢查中仍暴露出管理不規范、風險應對能力不足、資產損失時有發生等問題,問題發生的根源在于內控體系存在制度設計不科學、執行不到位、檢查不落實、責任不清晰的短板。面對當前復雜的經濟和社會環境,國有企業需要加快提高依靠管理來抵御風險和創造效益的能力。

基本思路

科學、有效的內部控制測評體系,應涵蓋測評指標的設定、測評和量化方法的選擇及測評模型的設計?！镀髽I內部控制基本規范》及其配套指引提供了有效的內部控制體系的模板,同時也是評價內控有效性的標準,但是,不同的監管角度,可以選擇不同的評價原則和思路。根據國有集團型企業的監管特點,內控測評在全面性、重要性、制衡性、適應性、成本效益的基本原則下,測評思路體現為流程化、動態化、標準化和集團化。

——流程化。在梳理集團的風險管控清單基礎上,以重要領域和關鍵環節的流程為測評路徑,從上至下貫穿集團所屬子企業的業務流程,分解和擴充各流程關鍵控制點,查找單體企業和集團層面的內控缺陷,進而定量、定性評價集團內部各流程內部控制的設計完整性、執行有效性。

——動態化。企業風險不是一成不變的,內部管理是一個不斷追問的過程。動態測評體系以控制目標的實現為起點,細化各項關鍵風險點,并始終根據風險防控的要求不斷更新和變化。如發現企業存在貿易或債務風險跡象,應立即將貨物和發票管理、借款事前審批和事中管理作為關鍵風險點,查找相關內控缺陷。以財務風險預警指標亮燈情況作為切入口,及時深入分析財務風險產生的原因是否與內部控制相關。

——標準化。建立科學合理的測評標準,包括測評企業的抽樣標準、關鍵風險點業務測試抽樣標準、重大重要缺陷認定標準,設計完整性和執行有效性量化評分標準、企業內控指數（ICI）的計算標準等?？茖W合理的標準能夠較準確的定位到企業內部控制的痛點,便于企業或集團進行縱向和橫向之間的比較,檢驗管理提升的效果。

——集團化。體現集團化監管的意志和特點,測評關鍵控制點涉及集團化管理要求,如資金、土地集中管理、信息披露、境外企業管理、資產減值核銷管理等。對所屬子企業開展全面預算、資金集中、財務信息化、財務風險預警等管理協同提升情況進行評價,分析查找“五位一體”管理提升短板。

構建方法

評價企業內控有效性的實質主要體現在兩個方面：一方面是評價內部控制為相關目標的實現提供的保證水平是否達到或超過合理保證水平。如果保證水平在一個合理區間內,內控有效；低于合理區間,內控無效。另一方面是評價相關目標的風險在經過內部控制之后是否已經降低到了一個適當的水平。如果已經降低到一個適當水平,內控有效；反之則無效。

——測評流程

以財政部等五部委頒發的《企業內部控制基本規范》及其配套指引的十八項業務流程為基礎,根據企業的主要業務活動以及自身需要增加相關流程。比如增加“園區與房產開發流程”、集團管控措施相對應的“集團管控流程”等。

——關鍵控制點

關鍵控制點是整個內控測評體系的核心。采用健全性和重要性相結合的方式設置關鍵控制點,并根據日常經營中發現的風險跡象進行動態更新。健全性體現在覆蓋流程業務的各個關鍵環節,形成管理閉環；而重要性則是突出當前各類審計、檢查發現的管理問題和風險,突出企業的自身風險防控特點。

——測評表

內控測評表是確保測評體系落地與執行的抓手。內控測評表包括四層架構,第一層為業務流程及其主要風險點；第二層為基本分類,即設計完整性、執行有效性和財務風險預警指標,第三層為關鍵控制點內容及其屬性和信息化程度,第四層為測評得分及發現的問題。

設計完整性關鍵控制點包括是否建立相關制度、是否設置合理的審批權限和程序、是否體現不相容職務分離等；執行有效性關鍵控制點包括實際業務活動是否嚴格按照已訂立的制度規范去執行、是否開展集團財務管控相關工作等。

——測評方法

1.確定測評對象。對于集團化國有企業,應確保相當數量的企業參加測評,才能客觀反應集團內部控制實際情況?？梢圆捎靡哉紭I務流程相關指標一定比例的企業須納入該流程測評范圍的抽樣標準；可以采用權重大的企業每年測評,權重小的企業輪換測評等。2.確定測評抽樣標準。對不同風險事件的發生頻次采用不同的抽樣比例,在抽樣過程中可以采用隨機抽樣,也可以根據金額大小、風險大小等進行分層抽樣或根據評價人員的經驗采用其他抽樣方法。3.選擇測試方法。設計完整性一般采用審閱法,即查閱相關制度、會議紀要；執行有效性一般采用抽樣測試法、穿行測試法,財務風險一般采用財務指標分析法。

——評分體系

依據專業測評人員對每個控制點的測試結果及發現內控缺陷的個數和性質,參照相關評分標準,按照“0、3、6、8、10、N/A”的分值計入測評表,再按抽樣權重進行流程總分測算?？紤]到企業內控測評體系不易過于復雜且具有可操作性,在細化控制點的基礎上,業務流程層面采用以不賦權的形式——權重均等：每個控制點的權重設為均等,采用算術平均值計算各流程得分；單體企業層面采用賦權形式——權重不等：依據風險乘數理論,在上述各流程得分幾何平均數基礎上,按照發現缺陷的性質設置權重系數,測算企業或集團的內控指數（ICI）。

——內控測評結果的應用

內控測評結果主要包括測評報告和測評得分兩部分,不僅可以用于企業內控體系的整改完善、與同行業優秀企業比較自查管理短板,還可以作為企業信息披露的重要內容對外提供風險管理信息。測評報告內容和測評得分應做到可描述、可比較、可操作?？擅枋?即從集團層面對各流程的內部控制情況作出綜合評價,將發現重大重要缺陷完整客觀描述,并分析缺陷產生的主觀管原因?？杀容^,定量/定性評價結果可橫向對標集團內管理水平優秀的企業,縱向對比該企業相關流程上年測評結果?？刹僮?是指對發現的缺陷提出可操作的合理化整改建議。

（作者單位：上海市國資委財務監督評價處）