内部控制评价

　　内部控制评价又称“内控评价”，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。在企业内部控制实务中，内部控制评价是极为重要的一环。

　　内部控制评价主要包含以下三个方面：

　　1、企业内控结构评价：评价企业内控结构，检查企业是否有相应的机构、规范、方法、流程等，以及完善的内部控制体系。

　　2、企业内控实施评价：评价企业内部控制的实施情况，检查是否符合要求并能够及时实施、正确实施。

　　3、企业内控效果评价：评价企业内部控制的效果，检查内部控制体系是否能够有效遵守规则等，控制企业的风险，使企业的活动达到预期的目的。

　　内部控制评价的特点如下：

　　1、内部控制评价的主体是董事会或类似的权力机构。

　　董事会可以指定审计委员会来承担内部控制评价的组织、监督活动，并通过授权内审部门或者独立的内控评价机构执行内控评价的具体工作。不过董事会还是需要承担内控评价的最终责任，此外，董事会还可聘请会计师事务所对其内控有效性进行审计，担起责任不可因此减轻或消除。

　　2、内部控制评价的对象是内部控制的有效性。

　　内部控制是否有效需要看内部控制是否设计的有效，内部控制是否运行的有效。

　　3、内部控制评价是一个过程。

　　内部控制评价是一个过程，是指内部控制评价需要按流程来进行。内部控制评价工作不是轻而易举，一部就能完成的工作，它是包含了计划、实施、编报等多个阶段、多个步骤的动态过程。

　　内部控制评价应当遵循的原则：

　　全面性原则

　　评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

　　重要性原则

　　评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

　　客观性原则

　　评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

　　根据《企业内部控制评价指引》的规定：

　　企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

　　企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

　　企业组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

　　企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

　　企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

　　企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

　　内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

　　1、制定评价控制方案

　　企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。

　　2、组成评价工作组

　　在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。

　　对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据《基本规范》的要求，该事务所不应同时为企业提供内部控制的审计服务。

　　3、实施评价工作与测试

　　评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。

　　4、认定内部控制缺陷

　　内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷

　　（1）内部控制缺陷的分类

　　按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。

　　（2）内部控制缺陷的认定程序与整改

　　对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如，存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。

　　5、汇总评价结果

　　评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现的所有差异，如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异，也应在汇总中适当的记录。

　　6、编报内部控制评价报告

　　《企业内部控制评价指引》要求内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，企业董事会应当对内部控制评价报告的真实性负责。