内部控制评价与内部控制审计.pdfVIP

内部控制评价与内部控制审计

内部控制评价是针对内部控制目标相关的内部环境、风险评估、

控制活动、信息与沟通、内部监督等内部控制要素提出全面系统、详

实的评价要求。

(1)

对内部环境的评价。评价重点应该包括企业经营活动的整体

情况、环境复杂程度、对权限的设计管理、管理动作与程序、管理层

态度、企业文化、企业成员对风险管理与内部控制的理解和认同、法

人治理结构、组织人员的知识与技能、组织结构和权限指引、重要岗

位人员的权责及胜任能力、员工入司程序及培养、绩效考核与激励机

制。

(2)

对风险评估的评价。注意风险评估整体目标的制定、操作层

级目标的明确、风险分析评估应对的管理措施等。具体评价的重点是

被评价企业应对风险的具体措施、办法、效果等。

(3)

对控制活动的评价。重点关注对企业的每个业务循环是否都

定有适用的政策和程序，关键的控制活动是否得到有效设计与执行等。

(4)

对信息与沟通的评价。重点评价的要点：如何获取财务报告

相关信息、非财务类信息的获取方法、对于信息处理方法和程序、信

息传递渠道是否畅通、信息系统是否安全等。

(5)

对内部监督的评价。评价包括：年度监督评价、专项监督评

价和缺陷报告自我评价。

如果企业聘请两家外部机构来分别负责进行内部控制评价与审

计的具体工作，那么两家外部服务公司的前期沟通和准备将显得尤为

重要。通过企业和两家服务机构合计三方的共同讨论形成统一的操作

思路后方可进行后续工作。

1、在操作步骤上的结合由。进行内部控制自我评价与内部控制

审计首先要满足规范与指引在程序与主要关注活动上的要求，同时

还要非常清楚企业原有的操作习惯必须与外部服务机构的评价与审

计方法相互结合。这样保证步骤上符合规定程序，规定动作按要求

完成，对于自选动作内容可由企业进行必要性考虑后再予增加。

2、在实际测试工具上的结合。通常使用的内部评价工作模板与

内部审计模板是完全不同的两套测试工具，在这种情况下如果没有

及时根据企业特点对测试工具进行必要的修改，将导致测试工作重

复性内容增加，效率降低，各部门配合出现困难，成果庞杂，执行

难度加大。所以，在确定统一操作思路后，应该尽快将两家所使用

的测试工具进行组合优化，形成一套通用的测试工具，既符合内部

控制评价的需要，也满足内部控制审计的要求，从而降低操作难

度，提高操作效率，便于各部门理解，有利于形成统一规范的测试

结果。通过组合优化的测试工具要由三方共同确认，并说明工具各

项内容含义，便于在测试前对相关工作人员进行专项测试操作培

训。

3、在评价与审计内容设计上的结合。从设计结构上内部控制评

价主要针对公司层面与流程层面的全面评价，而内部控制审计往往

由于专业局限性问题仅对财务相关类内容进行审计。企业在这一点

上必须加以完善，要将内部控制自我评价与内部控制审计的范围进

行重新界定，同时对于评价与审计的内容上要进行精细化处理，减

少评价的盲点与审计的专业性难点，最大限度的实现对企业全面业

务活动的整体评价。更加准确的把握内控评价与内控审计的真正意

义与目的，发现缺陷预防风险。

4、在关键业务活动上的结合通常关节业务活动的选择上有两种

方法，一种将企业所有业务活动的环节进行精细化、模块化处理，形

成魔方组合体，再对魔方组合体的关键部位进行关键动作测试。另一

种方法是将企业主要的业务循环进行链条式处理，形成六大或更多的

业务循环，再分别对各个业务循环进行关键业务动作测试。

第一种方法进行内部控制评价在公司层面的评价时往往使用五

要素评价表逐一询问相关管理内容是否存在缺陷，对于流程层面使用

流程问卷结合内部控制手册中的风险数据库与风控文档进行缺陷识

别，最终形成控制矩阵。此种方式是将企业的各个业务循环进行细化

分解，对各个环节进行精细化、模块化处理，便于企业在实际运行中

进行微调。

第二种方法是会计师事务所通过两套问卷：业务循环了解与评价

问卷、测试问卷来进行测试，最终形成控制矩阵。测试内容主要突出

业务循环的连续性，在这些方面很难做到对企业的各个业务循环做到

全面评价。在实际操作中，企业需要结合自身特点突出企业主要业务

活动，并对关键业务活动的关键环节进行内容锁定，在公司层面采用

五要素评价表与管理情况问卷，在业务层面采用结合魔方组合体与业

务循环