企业内控测评实施方法研究

文‖劳心

企业内控测评实施方法研究

文‖劳心

内控测评是整个内部控制体系建设闭环的重要一环，可以根据测评发现问题倒逼国有企业完善内部控制体系

企业内控测评目前一般较侧重综合定性评价,比较难以从纵向判断企业内部管理质量的提升情况；评价结果所揭示的问题缺少风险导向,缺陷往往暴露在发生风险事件或资产损失之后；对发现问题的原因往往分析不深入,整改不彻底,屡查屡犯。上述问题产生的主要原因在于内控测评理论尚不成熟,《企业内部控制基本规范》及其配套指引提出原则、内容、程序、缺陷认定、定性评价和测评报告基本要求,但未涉及各流程具体的评价指标（关键控制点）,指标权重以及评价模型。为此,本文拟以风险为导向,通过梳理风险事件动态设置关键控制点、设计定量定性评价模型、复核缺陷整改效果来全面提升内控测评的质量和实用性。

内控测评的重要性

内部控制是发达国家企业治理的重要手段,是各项管理手段协同发挥效益的重要基础和桥梁,对完善公司法人治理结构,建立现代企业制度具有重要意义。在国际广泛认可的COSO三大目标、五大要素指引下,中国企业内部控制建设研究和实践不断深入。与此同时,内控评价也不断得到社会和监管部门的重视,从2010年开始,监管机构逐步要求上市公司每年公开披露内部控制自我评价报告。

在多种性质类别的企业中,国有企业具有特殊管理模式,由于缺乏对经营者的约束机制,存在事实上的“委托代理”和“内部人控制”等问题,部分企业在审计和检查中仍暴露出管理不规范、风险应对能力不足、资产损失时有发生等问题,问题发生的根源在于内控体系存在制度设计不科学、执行不到位、检查不落实、责任不清晰的短板。面对当前复杂的经济和社会环境,国有企业需要加快提高依靠管理来抵御风险和创造效益的能力。

基本思路

科学、有效的内部控制测评体系,应涵盖测评指标的设定、测评和量化方法的选择及测评模型的设计。《企业内部控制基本规范》及其配套指引提供了有效的内部控制体系的模板,同时也是评价内控有效性的标准,但是,不同的监管角度,可以选择不同的评价原则和思路。根据国有集团型企业的监管特点,内控测评在全面性、重要性、制衡性、适应性、成本效益的基本原则下,测评思路体现为流程化、动态化、标准化和集团化。

——流程化。在梳理集团的风险管控清单基础上,以重要领域和关键环节的流程为测评路径,从上至下贯穿集团所属子企业的业务流程,分解和扩充各流程关键控制点,查找单体企业和集团层面的内控缺陷,进而定量、定性评价集团内部各流程内部控制的设计完整性、执行有效性。

——动态化。企业风险不是一成不变的,内部管理是一个不断追问的过程。动态测评体系以控制目标的实现为起点,细化各项关键风险点,并始终根据风险防控的要求不断更新和变化。如发现企业存在贸易或债务风险迹象,应立即将货物和发票管理、借款事前审批和事中管理作为关键风险点,查找相关内控缺陷。以财务风险预警指标亮灯情况作为切入口,及时深入分析财务风险产生的原因是否与内部控制相关。

——标准化。建立科学合理的测评标准,包括测评企业的抽样标准、关键风险点业务测试抽样标准、重大重要缺陷认定标准,设计完整性和执行有效性量化评分标准、企业内控指数（ICI）的计算标准等。科学合理的标准能够较准确的定位到企业内部控制的痛点,便于企业或集团进行纵向和横向之间的比较,检验管理提升的效果。

——集团化。体现集团化监管的意志和特点,测评关键控制点涉及集团化管理要求,如资金、土地集中管理、信息披露、境外企业管理、资产减值核销管理等。对所属子企业开展全面预算、资金集中、财务信息化、财务风险预警等管理协同提升情况进行评价,分析查找“五位一体”管理提升短板。

构建方法

评价企业内控有效性的实质主要体现在两个方面：一方面是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证水平。如果保证水平在一个合理区间内,内控有效；低于合理区间,内控无效。另一方面是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平。如果已经降低到一个适当水平,内控有效；反之则无效。

——测评流程

以财政部等五部委颁发的《企业内部控制基本规范》及其配套指引的十八项业务流程为基础,根据企业的主要业务活动以及自身需要增加相关流程。比如增加“园区与房产开发流程”、集团管控措施相对应的“集团管控流程”等。

——关键控制点

关键控制点是整个内控测评体系的核心。采用健全性和重要性相结合的方式设置关键控制点,并根据日常经营中发现的风险迹象进行动态更新。健全性体现在覆盖流程业务的各个关键环节,形成管理闭环；而重要性则是突出当前各类审计、检查发现的管理问题和风险,突出企业的自身风险防控特点。

——测评表

内控测评表是确保测评体系落地与执行的抓手。内控测评表包括四层架构,第一层为业务流程及其主要风险点；第二层为基本分类,即设计完整性、执行有效性和财务风险预警指标,第三层为关键控制点内容及其属性和信息化程度,第四层为测评得分及发现的问题。

设计完整性关键控制点包括是否建立相关制度、是否设置合理的审批权限和程序、是否体现不相容职务分离等；执行有效性关键控制点包括实际业务活动是否严格按照已订立的制度规范去执行、是否开展集团财务管控相关工作等。

——测评方法

1.确定测评对象。对于集团化国有企业,应确保相当数量的企业参加测评,才能客观反应集团内部控制实际情况。可以采用以占业务流程相关指标一定比例的企业须纳入该流程测评范围的抽样标准；可以采用权重大的企业每年测评,权重小的企业轮换测评等。2.确定测评抽样标准。对不同风险事件的发生频次采用不同的抽样比例,在抽样过程中可以采用随机抽样,也可以根据金额大小、风险大小等进行分层抽样或根据评价人员的经验采用其他抽样方法。3.选择测试方法。设计完整性一般采用审阅法,即查阅相关制度、会议纪要；执行有效性一般采用抽样测试法、穿行测试法,财务风险一般采用财务指标分析法。

——评分体系

依据专业测评人员对每个控制点的测试结果及发现内控缺陷的个数和性质,参照相关评分标准,按照“0、3、6、8、10、N/A”的分值计入测评表,再按抽样权重进行流程总分测算。考虑到企业内控测评体系不易过于复杂且具有可操作性,在细化控制点的基础上,业务流程层面采用以不赋权的形式——权重均等：每个控制点的权重设为均等,采用算术平均值计算各流程得分；单体企业层面采用赋权形式——权重不等：依据风险乘数理论,在上述各流程得分几何平均数基础上,按照发现缺陷的性质设置权重系数,测算企业或集团的内控指数（ICI）。

——内控测评结果的应用

内控测评结果主要包括测评报告和测评得分两部分,不仅可以用于企业内控体系的整改完善、与同行业优秀企业比较自查管理短板,还可以作为企业信息披露的重要内容对外提供风险管理信息。测评报告内容和测评得分应做到可描述、可比较、可操作。可描述,即从集团层面对各流程的内部控制情况作出综合评价,将发现重大重要缺陷完整客观描述,并分析缺陷产生的主观管原因。可比较,定量/定性评价结果可横向对标集团内管理水平优秀的企业,纵向对比该企业相关流程上年测评结果。可操作,是指对发现的缺陷提出可操作的合理化整改建议。

（作者单位：上海市国资委财务监督评价处）