概述

内容(1．内部环境评价 2．风险评估评价 3．控制活动评价 4．信息与沟通评价 5．内部监督评价)

原则

方法(一、详细评价法 二、风险基础评价法)

工作底稿(1．业务流程评价表 2．控制要素评价表 3．内部控制评价汇总表)

报告

概述

内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。

对于这一定义，可从以下三个角度进行理解。

（一）内部控制评价的主体是董事会或类似权力机构

内部控制评价的主体是董事会或类似的权力机构，是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作，但董事会仍对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。对内部控制的设计和运行的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式，董事会可以聘请会计师事务所对其内部控制的有效性进行审计，但其承担的责任不能因此减轻或消除。

（二）内部控制评价的对象是内部控制的有效性

内部控制评价的对象是内部控制的有效性，所谓内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。

从控制过程角度，内部控制的有效性可分为内部控制设计的有效性和内部控制运行的有效性。内部控制设计的有效性是指为实现控制目标所必需的内部控制程序都存在并且设计恰当，能够为控制目标的实现提供合理保证；内部控制运行的有效性是指在内部控制设计有效地前提下，内部控制能够按照设计的内部控制程序正确地执行，从而为控制目标的实现提供合理保证。内部控制运行的有效性离不开设计的有效性，如果内部控制在设计上存在漏洞，即使这些内部控制制度能够得到一贯的执行，那么也不能认为其运行有效的。

从控制目标的角度来看，内部控制的有效性可分为合规目标内部控制的有效性、资产目标内部控制的有效性、报告目标内部控制的有效性、经营目标内部控制的有效性、战略目标内部控制的有效性。其中，合规目标内部控制的有效性是指相关的内部控制能够合理保证企业遵循国家相关法律法规，不进行违法活动或违规交易；资产目标内部控制的有效性是指相关的内部控制能够合理保证资产的安全与完整，防止资产流失；报告目标内部控制的有效性是指相关的内部控制能够防止、发现并纠正财务报告的重大错报；经营目标内部控制的有效性是指相关的内部控制能够合理保证经营活动的效率和效果及时为董事会和经理层所了解或控制；战略目标内部控制的有效性是指相关的内部控制能够合理保证董事会和经理层及时了解战略定位的合理性、实现程度，并适时进行战略调整。

评价内部控制设计的有效性，可以考虑以下三个方面，一是内部控制的设计是否做到以内部控制的基本原理为前提，以《企业内部控制基本规范》及其配套指引为依据；二是内部控制的设计是否覆盖了所有关键的业务与环节，对董事会、监事会、经理层和员工具有普遍的约束力；三是内部控制的设计是否与企业自身的经营特点、业务模式以及风险管理要求相匹配。评价内部控制运行的有效性，也可以从三个方面进行考察，一是相关控制在评价期内是如何运行的；二是相关控制是否得到了持续一致的运行；三是实施控制的人员是否具备必要的权限和能力。

需要说明的是，由于受内部控制固有局限（如评价人员的职业判断、成本效益原则）的影响，内部控制评价只能为内部控制目标的实现提供合理保证，而不能提供绝对保证。

（三）内部控制评价是一个过程

内部控制评价是一个过程，是指内部控制评价要遵照一定的流程来进行。内部控制评价工作不是一蹴而就的，它是一个涵盖计划、实施、编报等多个阶段、包含多个步骤的动态过程。

内容

内部控制评价的对象是内部控制的有效性，而内部控制的有效性，是企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。具体地说，内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。

1．内部环境评价

企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据。其中，组织架构评价可以重点从组织架构的设计和运行等方面进行；发展战略评价可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行；人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行；企业文化评价应从建设和评估两方面进行；社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。

2．风险评估评价

企业组织开展风险评估评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。

3．控制活动评价

企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

4．信息与沟通评价

企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。

5．内部监督评价

企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对于内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

具体的内部控制评价内容可通过设计内部控制评价指标体系来确定，评价指标是对内部控制要素的进一步细化，评价指标可以有多个层级，大体可分为核心评价指标和具体评价指标两大类，企业可根据其实际情况进行细分。具体的评价内容确定之后，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、评价指标、评价标准、评价和测试的方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现，通过对每个要素核心指标的分别分解、评价，最终汇总出评价结果。

原则

企业实施内部控制评价至少应当遵循下列原则：

(一)全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

(二)重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。

(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

方法

从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。

一、详细评价法

在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则（SEC，2003）以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞（material weaknesses，MW），确定内部控制是否有效。

二、风险基础评价法

企业内部控制的另一种思路和方法不是从控制到风险，而是从风险到控制，即从内部控制相关目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标来说，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。

《企业内部控制评价指引》第十五条规定，内部控制评价工作组对被评价单位进行现场测试时，可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

1.个别访问法

个别访问法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲，撰写访问纪要，记录访问的内容。为了保证访谈结果的真实性，应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工，公司是否建立了员工培训长效机制，培训是否能满足员工和业务岗位需要？

2.调查问卷法

调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。比如你对企业的核心价值观是否认同？你对企业未来的发展是否有信心？

3．穿行测试法

穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。如针对销售交易，选取一批订单，追踪从订单处理一－核准信用状况及赊销条款一－填写订单并准备发货一－编制货运单据一－订单运送/递送追踪至客户或由客户提货－一开具销售发票一－复核发票的准确性并邮寄/送至客户一－生成销售明细账一－汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行。

4．抽样法

抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性，即样本库应包含符合控制测试的所有样本；其次要确定所抽取样本的充分性，即样本的数量应当能检验所测试的控制点的有效性；最后要确定所抽取样本的适当性，即获取的证据应当与所测试控制点的设计和运行相关，并能可靠地反映控制的实际运行情况。

5.实地查验法

实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。

6.比较分析法

比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较，分析存在异常的应收客户款，进而对这些客户的赊销管理控制进行检查。

7．专题讨论法

专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷，往往需要由内部控制管理部门组织召开专题讨论会议，综合内部各机构、各方面的意见，研究确定缺陷整改方案。

在实际评价工作中，以上这些方法可以配合使用。此外，还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。

工作底稿

在实际工作中，评价底稿一般是通过一系列的评价表格来实现的。一般来说，评价底稿包括业务流程评价表、控制要素评价表、内部控制评价汇总表三个层次，其中，业务流程评价表形成控制要素评价表的“控制活动要素评价”部分，控制要素评价表连同内部控制缺陷汇总表一起构成内部控制评价汇总表，内部控制评价汇总表是形成内部控制报告的直接依据。

1．业务流程评价表

企业的经营活动涉及多个业务流程，包括采购业务流程、销售业务流程、工程项目流程、担保业务流程等。企业应根据其自身业务特点，设计合理的业务流程模块，由相对独立的评价小组对每个业务流程进行测试与评价，形成业务流程评价表。各类业务流程评价应包括设计有效性和运行有效性。各业务流程评价表应包括评价指标（对控制点的描述）、评价标准（检查是否符合控制要求）、评价证据（如××规定或实施办法或抽取的样本对应的凭证号等）、评价结果（评价得分）、未有效执行的原因等。

2．控制要素评价表

控制要素评价表包括内部环境评价表、风险评估评价表、控制活动评价表、信息与沟通评价表、内部监控评价表。其中，内部环境评价表、风险评估评价表、信息与沟通评价表、内部监控评价表都是根据现场评价结果直接形成的，而控制活动评价表是在对各业务流程评价表的基础上汇总而成的。内部控制要素评价表的内容包括评价指标、评价标准、评价结果、评价得分等。

3．内部控制评价汇总表

内部控制汇总表包括以下几个部分：内部环境评价及其评分；风险评估评价及其评分；控制活动评价及其评分；信息与沟通评价及其评分；内部监控评价及其评分；缺陷的认定；综合评价得分。内部控制评价汇总表是在内部控制五大要素评价表的基础上汇总形成的，并将缺陷的认定单列项目，作为最后评价得分的减项。为了更清楚地了解缺陷的基本情况，应分类反映缺陷数量、等级等项目。

报告

内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。

企业因其外部环境和内部条件的变化，其内部控制系统不可能是固定的、一成不变的，而是一个不断更新和自我完善的动态体系，因此对内部控制需要经常展开评价，在实际工作可以采用定期与不定期相结合的方式。

对外报告一般采用定期的方式，即企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制报告。年度内部控制评价报告应当以12月31日为基准日。值得说明的是，如果企业在内部控制评价报告年度内发生了特殊的事项且具有重要性，或因为具有了某种特殊原因（如企业因目标变化或提升），企业需要针对这种特殊事项或原因及时编制内部控制评价报告并对外发布。这种类型的内部控制评价报告属于非定期的内部控制报告。

内部报告一般采用不定期的方式，即企业可以持续地开展内部控制的监督与评价，并根据结果的重要性随时向董事会（审计委员会）或经理层报送评价报告。从广义上讲，企业针对发现的重大缺陷等向董事会（审计委员会）或经理层报送的内部报告（内部控制缺陷报告）也属于非定期的报告。

企业应尽量按照统一的格式编制内部控制评价报告，以满足外部信息使用者对内控信息可比的要求。

根据《评价指引》第二十一条和二十二条规定，内部控制评价对外报告一般包括以下内容。

1．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。

2．内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。

3．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。

4．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。

5．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。

6．内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。

7．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。

8．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。