信息化环境下内部控制评价体系构建与应用

韦祖彬 汪子林 费韫婷 赵承康

摘 要：内部控制是近年来国内外理论与实务界一直研究的课题，理论界直到以COSO委员会发布的内部控制整体框架阶段，方形成一个较为完整的体系。在实务界，由于以“安然破产”为代表的控制失效事件频发，企业实务界和政府监管部门也加大了对内部控制的重视，以美国政府部门颁布的萨班斯法案为代表的一系列监管制度出台，逐步加强了对内部控制审计与评价的力度。在我国，国家层面虽然已经颁布了一整套的规范与指引，但我们看到在具体操作层面始终没有建立起类似作业指导书的文件。笔者在多年实践基础上，探索并构建了一套操作性的内部控制评价体系。

关键词：内部控制;内部控制评价体系

1 内部控制评价体系建设背景

内部控制理论与实践历史源远流长，内部控制较为完善且得到理论界和实务界公认的代表理论当属COSO于1992年发布的《内部控制整合框架》，而把内部控制真正提到法律高度的是美国国会和政府通过的《萨班斯法案》，不难发现美国人在经历了“惨痛教训”之后，对内部控制的重视不言而喻。在中国，国家层面2008年印发了《企业内部控制基本规范》，并于2010年印发了企业内部控制配套指引。

近年来，我们在审计中发现，由于内部控制缺失或失效而产生的问题非常之多，有些地方甚至存在重大控制缺陷，如无规范的审批控制制度，随意对外提供担保、出借资金产生损失;废旧物资源头控制缺失，回收率低，处置程序缺乏监督;不相容职务未分离，预算控制刚性较差;计划体系不完善，计划执行偏差大。

为解决此类问题，我们曾在2005年至2008年间建设了一套内部控制评价体系并进行广泛应用，效果非常显著。但自2008年公司上线SAP管理系统后，原先的内部控制环境及公司业务所依存的载体、业务流程、业务风险点均发生了变化，因此，我们于2011年启动了信息化环境下内部控制评价体系的建设研究。

2 信息化环境下内部控制评价体系的内涵

信息化环境下的内部控制评价体系是一个对内部控制系统健全性和有效性进行科学、系统和综合评价的专用工具。该体系是基于COSO内部控制整合框架理论、国家五部委发布的《内部控制基本规范》和配套指引而建设，体系结合了我公司的业务特点，充分研究了SAP系统的特征，剖析了主要业务在系统内、外的运行状况。该体系本质是一个评价工具，目前已经建成的是基于SAP系统环境下的内部控制评价体系，该体系五个部分的核心是控制活动评价，也是评价体系的主体，其评价包括两部分内容，一是控制分析，二是控制评价。体系的主要构成内容如图所示：

控制分析以剖析业务模块的流程、环节乃至风险点为主线，得出风险点的控制内容作为评价的基础。控制评价则以测试内容为目标，针对测试对象的不同类型，运用观察、询问、审查、重做等不同的测试方法进行内部控制测试，并对测试结果进行定性和定量打分，形成对风险点、流程、模块乃至系统、目标的整体内控评价，并最终形成内控系统自我评价、自我完善的循环。

3 信息化环境下内部控制评价体系的具体做法

3.1 控制分析

控制分析是制定标准体系的过程，既要分析业务的风险点所在，也要给评价者一个标准控制措施的参照物。控制措施的制定基本遵循从面到点的设计思想，层层分解，不断细化，即：模块到流程到环节到风险点的过程。

3.1.1 模块选择

经过调研及参照《内部控制基本规范》及指引，我们选择SAP系统中的财务管理、物资管理、资产管理、项目管理四个模块作为评价对象，从范围上基本上可以履盖企业管理的重点领域和重点环节。

3.1.2 环节分析

环节分析是将模块按照便于评价的需要和经营业务本身的特点进行细化的结果，根据各自的特征，各模块的分解方法不同、环节也不相同。

3.1.3 流程描述

流程描述是将管理模块中的所有环节之间的关系及先后顺序等绘制在图上，流程描述的主要作用是让评价者通过看图可以对管理环节一目了然，便于在评价时做到准确定位。

3.1.4 风险点确定

在公司管理制度基础上、结合《内部控制基本规范》及指引确定各模块风险点，确定风险点后我们对每一风险点的特征及控制措施又作了进一步说明。控制分析表如下：

[模块＼&流程＼&环节＼&风险点＼&控制措施＼&目标关联＼&控制属性＼&控制载体＼&财

务

模

块＼&货

币

资

金＼&岗位设置＼&岗位分工＼&建立岗位分工制度，制度规定岗位职责，岗位资格等＼&合规＼&線外＼&岗位制度＼&不相容职务＼&是否在岗位设置时确保办理货币资金业务不相容岗位的相互分离（重点是钱账分离、审核支付记帐分离、银行帐户印鉴管理以及货币资金票据管理分离等），相关业务人员实现内部制约、监督机制＼&营运＼&线内＼&票据及银行印鉴章保管制度＼&定期轮岗＼&建立轮岗制度，岗位定期轮换＼&营运＼&线外＼&财务人员轮岗制度＼&资金收入＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&资金支出＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&。。。＼&]

3.2 控制评价

运用本体系进行内控评价的程序如下图所示：

3.2.1 明确评价类型

内部控制评价主要分为两大类：一类是审前内部控制评价，另一类是专题内控评价。

3.2.2 制订评价方案

评价方案主要内容包括：明确评价目标及对象;选定评价人员及明确人员分工;确定评价业务模块;结合实际进行分值与权重设计。

3.2.3 控制调查

该环节将通过问卷调查的方式对内部控制状况进行初步了解，这是后续确定评价重点的基础。控制调查借助调查问卷的形式开展，调查问卷针对被评价对象的关键业务流程、各业务模块内部控制现状、相关制度建立及执行情况、内控过程中存在哪些缺失或不足等内容进行编制。

3.2.4 符合性测试

符合性测试阶段的关键是样本规模和样本范围的确定，样本可以是某一制度或文件，也可以是具体的基建项目等等。样本规模可以采用统计抽样的方法确定，也可以采用判断抽样，我们在实践中根据评价类型的不同而采用了不同的抽样方法，如属于审前调查时则采用判断抽样方法，对于独立评价时，我们采用统计抽样与判断抽样相结合的方法。当总体的差异性较大时，采用分层抽样，如财务类样本因其周期性较明显，抽样时可以按月份进行划分，将年初、年末作为重点实施抽样。

测试结果同时运用定量和定性评价方式，一般来说，定量评价可以用“符合率”指标反映，即抽取的样本量中符合规定的比率，定性评价则主要针对被评价单位制度建立健全及执行情况、重大经营决策事项或只有一个样本的情况进行。

3.2.5 评分及评价

①风险点评分

对于定量部分，取满分与符合率的乘积作为测试得分;定性部分，根据设置的分数档次确定测试得分。风险点中有点分项内容的，则各分项内容得分之和便是该风险点的测试得分。

②模块的评分

评分中有两类权重，一是风险点权重，二是模块权重。在业务模块中需要设置风险点权重，风险点得分与权重乘积得到权重分，模块中各风险点的权重分之和便是模块的测试得分。

风险点权重确定的关键是模块中各风险点重要性程度。通常依据模块业务性质和失控风险概率来确定。在具体评价中，如果不存在对某个环节或者风险点的评价，可将该风险点的权重设置为0，同时调整其他风险点权重，使得整个业务模块的权重合计为1。

③综合评价

综合评价需要确定各模块权重比例，模块的权重取决于模块的重要性程度。以下是我们设置的综合权重表（表1）：

为准确形象反应内部控制评价的结果，我们设定了如下的确控制评价区间（表2）：

④目标评分

在计算风险点和模块评价得分的同时，计算与风险点相关联的控制目标得分，目标得分的计算不考虑任何权重，主要是由于一个风险点可能与多个控制目标相关联，因此我们只是通过计算目标得分后进行粗略计算，比较分析内部控制评价的结果对三大控制目标的影响程度，以便于给管理层提供内部控制改善的总体方向性的建议。

⑤评价结果及反馈

评价结果分两类，一是评价报告，评价报告描述评价过程、内部控制现状、控制薄弱及风险点。二是风险报表，风险报表重点对风险进行汇总列示，风险报表简明扼要，结果一目了然。

4 信息化环境下内部控制评价体系的应用效果

信息化环境下内部控制评价体系于2012年建成后，在公司系统得到广泛应用，主要成交如下：

4.1 节约审计资源、节约审计成本

在审计项目符合性测试中运用该评价模块，可以迅速确定重点，减少实质性测试的时间。经初步测算，至少可以节约实质性测试三分之一的时间。目前省公司大部分项目，所属单位的大部分项目在審前调查中都使用该体系进行了测试，效果明显。

4.2 量化风险、降低风险

通过对控制环节的评估可以客观地评价各控制环节的风险大小，通过提供合理化建议可以不断完善内部控制，达到降低风险乃至消除风险，为企业健康经营保驾护航。

4.3 提供建议、堵塞漏洞

在测试运用和使用有反馈统计，全省截止目前共提供建议和意见542条，完善内部控制重大缺陷和堵塞漏洞108个。

4.4 梳理流程， 完善控制

相关业务部门通过用评价标准与实际流程的对比，可以发现实际流程中的不合理和不完善地方。通过借鉴评价标准中标准流程可以对现有流程进行修改完善，达到梳理的目的。