内部控制评价软件工具的开发与应用实践

◎中国航天科技集团公司 许秀峰

中国航天系统科学与工程研究院 柯益锁

内部控制评价软件工具的开发与应用实践

◎中国航天科技集团公司 许秀峰

中国航天系统科学与工程研究院 柯益锁

建立规范的内部控制体系是国家推动中央企业做强做优的重要途径和基本要求，也是中国航天科技集团公司提升管理水平、防范风险、确保战略目标实现的重要措施。内部控制评价是确保内部控制有效执行的一项重要工作，其核心内容是通过监督检查全面评价内部控制的设计和运行有效性，发现内部控制的缺陷，促进内部控制的改进和有效执行。

从中央企业的实践来看，做好内部控制评价工作除了要抓好组织落实、建章立制、形成长效机制外，还需要做好2个方面的基础工作：一是要制定一套适合企业实际的内部控制评价标准和缺陷认定标准；二是要有合适的操作方法和指引来规范并指导评价人员开展工作。借助于专业的内部控制评价工具将使上述2项工作更具可操作性，但由于市场上相关的专业软件工具较少，且嵌入的内控评价标准及工作底稿等与航天科技集团实际存在较大差异，不能满足其现实需求。因此，有必要研制开发一款简单、实用、适合实际的内部控制评价软件工具，利用信息技术将内部控制的评价标准、经验和方法植入并固化到软件中，为评价人员提供一个规范化、标准化的评价作业平台，从而提高内部控制评价的工作质量和效率。

一、内部控制评价作业基本流程

首先，制定适合企业实际的评价标准和操作指引，规范各业务流程诸多控制点的评价内容和评价依据，并提供可参考的操作方法指南。

其次，评价作业人员对照评价标准，根据相关操作指南，采用访谈、专题讨论、穿行测试、实地查验、抽样和比较分析等方法逐项对内部控制设计与执行的情况进行现场测试，对于发现的及初步认定的内部控制缺陷，在及时与被评价单位进行沟通后，将检查测试过程和结果填入工作底稿。

第三，对内部控制缺陷的成因、可能造成的后果进行定量或定性分析，判定缺陷的等级。

最后，对内部控制缺陷进行相关统计，形成评价结论并编写内部控制评价报告。

二、设计思路及系统功能

1．设计思路

借助信息技术将内部控制评价标准、评价方法和专家经验固化到软件工具中，通过提供规范的内部控制评价作业流程和工作底稿，为评价作业人员开展内部控制评价提供全过程支撑，帮助各单位解决内部控制评价“评什么、如何评、评完报告怎么写”等问题，使其高效规范地开展内部控制评价。

2．系统功能

为了达到上述目标，本软件设计了以下几个主要功能模块：

任务管理模块用于企业的内部控制评价活动，它可以是对内部控制的一次全面评价，也可以是对某些要素或重点业务模块的一次评价。在任务管理模块，评价部门可以布置任务、设置评价范围、进行汇总分析等。

评价作业模块规范了各业务流程、各控制环节、诸多控制点的评价内容和评价依据，内置了穿行测试、抽样技术、定量综合集成等相关方法技术，辅助用户完成现场检查评价任务。

缺陷管理模块支持用户对测试过程中发现的缺陷进行自动汇总，分析其产生的原因和可能导致的后果，对缺陷进行等级认定和统计分析，辅助作业人员形成评价结论。

报告管理模块可以自动生成内部控制评价基础报告，并将测试的结果自动汇总到评价报告中，辅助用户完成内部控制评价报告的编写工作。

知识管理模块提供专家经验和方法等的知识管理，支持评价标准和工作底稿的定制与管理，并留有同其它信息系统进行数据转换的接口等。用户只需在添加任务时设定任务的评价范围，即能自动从知识管理模块自动导入评价标准，并自动生成一次评价任务所需的所有工作底稿，辅助用户开展现场评价作业，直到完成任务。

系统管理模块提供系统运行所必须的功能，如角色管理、权限管理、安全管理等。此外，在设计时还把国家的相关政策和航天科技集团的一些相关文件单独做了一个政策文件库，方便用户查阅和参考。

三、设计原则及系统构架

1．设计原则

该软件工具的设计遵循易用性、灵活性、扩展性、安全性等原则。易用性是指界面友好，操作简便，元素布局合理，自动化程度较高；灵活性是指嵌入的评价标准、自我检查模板和检查评价工作底稿等可根据需要进行定制与修改；扩展性是指软件的架构要为加入新的功能提供预留接口，采用分层设计理念，做到高内聚、低耦合，可以快速实现新的业务功能；安全性是指软件在涉及密码的地方不得保存明文，用户需要经过授权才能查看审核的数据，软件编码必须避免各种漏洞，如缓冲区溢出漏洞。

2．系统架构

为使软件工具的功能模块职责清晰，做到高内聚、低耦合，并使其可以在单机无网络情况下部署安装软件，同时尽量降低开发工作量、缩短开发周期，本项目采用C/S分层架构的方式，选择Delphi开发工具，后台为MySQL数据库。

图1 内部控制评价工具系统架构

整个架构由界面操作层、业务逻辑层、数据适配层、基础数据层组成（见图1）。界面操作层展示用户操作的图形界面以及控制操作，调用业务逻辑层来执行相应的逻辑；业务逻辑层执行相应的业务逻辑，调用数据库适配层来进行数据的更新、增加、删除；数据适配层为上层提供数据库访问提供了透明的方式，起到隔离数据库和上层应用逻辑之间的作用，换言之，底层的数据库变化并不会影响到上层应用；基础数据层采用MySQL数据库，执行数据的存放和读取功能。

四、内部控制评价工具的特点及应用效果

就航天科技集团的情况而言，大多数单位2014年是首次进行内部控制评价工作，在内部控制评价方面经验欠缺，迫切需要有一个内部控制评价软件工具使评价作业人员能够对照评价标准，根据相关操作指引逐项对内部控制设计和执行的情况进行自评或检查，查找出业务流程或控制点存在的缺陷，因此组织中国航天系统科学与工程研究院自主研发了“集团公司内部控制评价软件工具”。研发过程中充分借鉴了一些咨询公司以及部分优秀中央企业开展内部控制评价实践的经验成果，具有很强的实用性和针对性；借助程序化、自动化处理等信息技术的优势，为用户提供了规范化、标准化的操作界面，操作简单，便于普及；同时为了确保数据安全不外泄，还对业务数据进行了相关的加密措施。此外，该软件工具无需安装，拷贝后即可使用，删除该文件即可完成软件工具的卸载。

该软件工具已连续2年在各单位年度内部控制评价中进行了应用，并取得较好的效果。对于已经开展内部控制评价的单位而言，该软件工具可以导入已有内部控制评价标准并定制工作底稿，固化现有的专家经验和方法，使其能够快速高效地完成评价作业；对于还未开展内部控制评价的单位而言，该软件工具自带一套以内部控制18项应用指引为依据的评价指标体系，通过固化的内部控制评价作业流程、经验和方法帮助其开展内部控制评价作业。在这个软件的辅助下，即便是经验不足的作业人员也能独立完成评价任务，解决了内部控制评价任务多、专业人员相对不足的问题，显著提高了各单位内部控制评价作业的工作质量和效率，通过软件的内部控制评价功能发现缺陷，促进了企业改进和完善公司及业务层面各项活动的制度化、规范化管理，提高了企业内部控制体系的有效性。

目前，信息技术在中国航天科技集团公司内部审计业务中的利用程度还不高，内部控制评价工具的应用和推广是一个很好的契机，有助于促进信息技术在集团审计业务中应用。未来将不断总结审计业务实践的经验，规范有关概念、工作流程和技术方法，形成相关作业标准并固化到计算机软件中，以帮助用户提升审计作业的质量和效率。▲