内部控制评价与内部控制审计

内部控制评价与内部控制审计

内部控制评价是针对内部控制目标相关的内部环境、风险评

估、控制活动、信息与沟通、内部监督等内部控制要素提出全面

系统、详实的评价要求。

(1)对内部环境的评价。评价重点应该包括企业经营活动的

整体情况、环境复杂程度、对权限的设七管理、管理动作与程

序、管理层态度、企业文化、企业成员对风险管理与内部控制的

理解和认同、法人治理结构、组织人员的知识与技能、组织结构

和权限指引、重要岗位人员的权责及胜任能力、员工入司程序及

培养、绩效考核与激励机制。

(2)对风险评估的评价。注意风险评估整体目标的制定、操

作层级目标的明确、风险分析评估应对的管理措施等。具体评价

的重点是被评价企业应对风险的具体措施、办法、效果等。

(3)对控制活动的评价。重点关注对企业的每个业务循环是

否都定有适用的政策和程序，关键的控制活动是否得到有效设计

与执行等。

(4)对信息与沟通的评价。重点评价的要点：如何获取财务

报告相关信息、非财务类信息的获取方法、对于信息处理方法和

程序、信息传递渠道是否畅通、信息系统是否安全等。

(5)对内部监督的评价。评价包括：年度监督评价、专项监

督评价和缺陷报告自我评价。

如果企业聘请两家外部机构来分别负责进行内部控制评价与

审计的具体工作，那么两家外部服务公司的前期沟通和准备将显

得尤为重要。通过企业和两家服务机构合计三方的共同讨论形成

统一的操作思路后方可进行后续工作。

1、在操作步骤上的结合由。进行内部控制自我评价与内出控

制审计首先要满足规范与指引在程序与主要关注活动上的要求，

同时还要非常清楚企业原有的操作习惯宓须与外部服务机构的评

价与审计方法相互结合。这样保证步骤上符合规定程序，规定动

作按要求完成，对于自选动作内容可由企业进行必要性考虑后再

予增加。

2、在实际测试工具上的结合。通常使用的内部评价工作模板

与内部审计模板是完全不同的两套测试工具，在这种情况下如果

没有及时根据企业特点对测试工具进行必要的修改，将导致测试

工作重复性内容增加，效率降低，各部门配合出现困难，成果庞

杂，执行难度加大。所以，在确定统一操作思路后，应该尽快将

两家所使用的测试工具进行组合优化，形成一套通用的测试工

具，既符合内部控制评价的需要，也满足内部控制审计的要求，

从而降低操作难度，提高操作效率，便于各部门理解，有利于形

成统一规范的测试结果。通过组合优化的测试工具要由三方共同

确认，并说明工具各项内容含义，便于在测试前对相关工作人员

进行专项测试操作培训。

3、在评价与审计内容设计上的结合，从设计结构上内部控制

评价主要针对公司层面与流程层面的全面评价，而内部控制审计

往往由干专业局限性问题仅对财务相关类内容进行审计°企业在

这一点上必须加以完善，要将内部控制自我评价与内部控制审计

的范围进行重新界定，同时对于评价与审计的内容上要进行精细

化处理，减少评价的盲点与审计的专业性难点，最大限度的实现

对企业全面业务活动的整体评价。更加准确的把握内控评价与内

控审计的真正意义与目的，发现缺陷预防风险。

4、在关键业务活动上的结合通常关节业务活动的选择上有两

种方法，一种将企业所有业务活动的环节进行精细化、模块化处

理，形成魔方组合体，再对魔方组合体的关键部位进行关键动作

测试。另一种方法是将企业主要的业务循环进行链条式处理，形

成六大或更多的业务循环，再分别对各个业务循环进行关键业务

动作测试。

第一种方法进行内部控制评价在公司层面的评价时往往使用

五要素评价表逐一询问相关管理内容是否存在缺陷，对于流程层

面使用流程问卷结合内部控制手册中的风险数据库与风控文档进

行缺陷识别，最终形成控制矩阵。此种方式是将企业的各个业务

循环进行细化分解，对各个环节进行精细化、模块化处理，便于

企业在实际运行中进行微调。

第二种方法是会计师事务所通过两套问卷：业务循环了解与

评价问卷、测试问卷来进行测试，最终形成控制矩阵。测试内容

主要突出业务循环的连续性，在这些方面很难做到对企业的各个

业务循环做到全面评价。在实际操作中，企业需要结合自身特点

突出企业主要业务活动，并对关键业务活动的关键环节进行内容

锁定，在公司层面采用五要素评价表与管理情况问卷，在业务层

面采用结合魔方组合体与业务循环链条式的主要控制活动进行筛

选，准确锁定关键业务活动。

5、在操作辅导过程中的结合。三方通过统一思路，统一操作

步骤，统一测试工具后确定关键业务活动。在确定关键业务活动

后，需要对企业相关工作人员进行专项培训与辅导，此类培训首

先需要说明内部控制评价与内部控制审行的意义，人员组织与工

作程序，问卷填写规则、注意事项等等哪些内容需要由会计师事

务所来负责解答，哪些问题需要另外的咨询服务机构进行解答等

等。明确各自在辅导过程中的责任，通过组织职责加以具体说

明，保证在操作层面能够准确了解工具使用方法与内容含义，保

证填写效果符合测试要求。

6、在审计证据使用上的结合。如果企业采取结合的方式考虑

设计一套统一的测试工具和测试内容，那么在审计证据的提供上

可以直接交由各部'1按照审计证据的抽样要求准备即可。如果企

业采用并行测试方法（两种测试工具共同使用）时，就需要在三

方确定主要控制活动时做好所需审计证据的统一，这样便于各部

门节约时间、提高工作效率、准确提供审计证据。

7、在缺陷识别与认定上的结合。在缺陷识别与认定过程上，

需要统一缺陷识别方法，记录方法，认定标准等内容，这些内容

应由企业与外部聘请的服务机构共同讨论确定，同时形成对缺陷

认定结果的共同意见。

8、在改进方案上的结合。缺陷认定后，最主要的内容是缺陷

的改进建议，通过对改进建议的确定，结合风险管理的预警信息

与风险应对策略，做好缺陷改进方案，完善风控文档与风险数据

库。企业与服务机构需要结合评价与审讦的关注重点，对改进方

案进行全面系统的描述，形成可操作性强，改进效果好，具有长

期效力的风险管理指导性规范文件。

评价与审计既有结合也可分阶段实施按照企业内控体系建

设、运行的情况与相关指引规定，对于自我评价过程需要进行整

体测试一次，在内部评价与审计过程又将进行两次测试，这就导

致企业操作起来十分不变，但可以结合企业业务特征选择在自我

评价时首先完成内部全面内控测试，这样从真正意义上对企业全

面内控情况进行彻底的体检，而在后续审计过程中的测试，采取

突出重点，有所侧重的原则进行