企業如何做內控評價？

內控評價，是企業內控管理的一個步驟。內控管理比較規范的企業，會包括三類內控評價形式：一是定期的企業層內控評價；二是與審計項目結合的動態內控審計；三是基于某業務、項目等領域的專項內控評價。

01.內控評價前提原則及認識模糊

在大多數人的理解里，把內控評價內容定義為：對內控設計、執行的有效性進行評價。聽起來似乎很有道理，但本質上什么都沒說，理論和實踐還是有很大差異的。

（一）5個內控評價的前提原則

（1）不能用結果說明過程控制的有效，而應用過程有效證明結果。（2）不能用沒有問題證明管理的完善，而應用管理的完善反映風險控制力。（3）不能用業績卓越證明管理卓越，卓越的業績，可能建立在高昂的試錯成本或機會成本上。（4）不能用單一問題否定管理的有效性，重復性問題才能說明設計或執行中存在不足。（5）不能用規模型企業的內控評價方法，強加于中、小、新企業，而應以發展階段、外規遵從風險、管理追求作為內控評價的視界基線。

（二）3個認識模糊的方面

（1）對內控評價“內容結構”的認識模糊。企業內控管理，在滿足合規要求的前提下，是一個持續改進的過程，需要理順“內控機理”：是管理驅動內控？還是內控代表管理？這是一個整體與部分的關系，決定著內控評價的關注點和方法。

我的理解是：內控是企業為維持運作秩序（包括滿足合規要求），防范重復發生流程風險，采取的“風險解決方案”。在合規管理（外規）方面，企業的相關內控需要固化設置；在管理方面，內控的設置是以需求為牽引的。所以，管理驅動內控，內控是管理的一項功能，功能面向的是流程風險，與流程目標有關，流程產出才會對企業目標構成影響。

內控評價，不僅僅是對“控制活動”本身的評價，而是通過確定被評價領域，以理解管理本質為前提，圍繞確定的單個流程進行評價，通過對流程控制的“設置、規則、角色活動要求、產出”的理解、查驗、測試與評價，以證實“功能”是否正常。

（2）對內控評價標準理解的認識模糊。從理論上講，實施內控評價要建立“評價標準”，這句話本身沒有問題，但從實踐角度，“企業的內控評價標準”很難設計。即使很多企業完成并發布了包括“定性+定量”評價標準的制度，機構也可以拿出來一份 “公式化定量標準”，看似合理，只要是企業層的，就很難具備現實性，只是為了證明評價 “有參照標準”這個過程而已。

（3）具體內控評價方面的認識模糊。其實，這一點不能稱為模糊，而是由內控設計、評價人員具體能力形成的行為結果反映。承擔過一些企業的評價，也臨時幫助過幾個評價項目的“救火”，完全沿用“審計”模式進行內控評價，具有一定局限性；用程序執行記錄衡量內控，不完全準確。

譬如：驗證一份審批單，可以反映程序的記錄過程非常齊全，這在企業中是常見現象，但不能反映控制的目的和效能。原因是，依據控制活動的“輸入設計”，從內容、結構上，都不能支持控制目標，那控制通過的“依據”又是什么？其實就是“走審批程序”，閉著眼“簽字”，自然存在“缺陷”。

再比如：國資委違規追責中規定，對重大投資項目要進行風險評估內控，但從不少企業的投資管理制度、投資審批流程中，并未反映風險管理部門的內控活動。原因是，由于流程控制人員政策認知不系統，部門間溝通不暢，內控設計不能做到“統籌兼顧”。這種基于顯性控制的評價，本身就遺漏了“合規性內控是否存在”的評價。

02.內控評價的內容結構、方法及實例

（1）“對內控設計、執行的有效性進行評價”，是一種非常模糊的表述。在具體評價中需要“具體化”，以反映內控評價的內容結構，指導內控評價實踐。我把它具體為5個方面：

充分性評價，充分性包括兩個方面：

一是對內控建設涉及范圍的充分性進行評價，即按照企業內控建設的要求、方案與建設方式，對內控建設產出的覆蓋程度進行查驗，這是企業內控管理、建設“廣度”的驗證性評價反映（沒有流程化控制的中小企業，也可以用制度反映內控，前提是要理解制度管理的內涵邏輯，不能視大小規模企業一樣，不加區分地瞎評）；

二是制度、流程控制本身的充分性設計，是基于管理邏輯，對風險控制效能可實現性的驗證性評價，重點體現在“重要業務流程”、“歸口管理部門”、“跨部門關鍵風險活動的控制”、“例外活動的升級控制”，這些內容不一定是顯性的，而是基于對“風險”的感知，本質是“管理性”診斷評價，并非所有人拿個“表格”就能勝任，而是隱藏在評價高手“頭腦”中的隱性知識。缺少充分性的評價，評價的意義會大打折扣，也是很多企業總感覺評價報告表現為“雞肋”、“瑣碎”的主要原因。

（2）符合性評價，是基于企業“規則一致性”的評價，包括面向外規賦予合規義務的“控制”設計；制度控制與流程控制的一致性?，F實中，制度流程或反映在流程內的控制活動，是否一致，是否存在遺漏（現實中，這種問題并不少見），取決于內控設計階段的產出質量。

如果內控建設的產出，只是簡單復制，就可能存在不能覆蓋或反映制度中設定控制的問題，也就會存在“制度執行”的隱患，而且違背制度要求的責任在內控管理機構，原因是“參照流程內控，沒有控制要求”，這是內控管理的“關切”、“擔心”所在，也是導致內控不能落地，內控手冊中需要重點說明的問題。

（3）規范性評價，指對控制活動設計的內容，是否具備可執行條件進行的評價。內控管理是“制度、流程、習慣性默認規則”的延長線，延長線型工作側重于“全面化、具體化”，核心在于“控制規范化”。不具備“控制”功能發揮的設計，何談“執行”？依據制度，沒有“控制具體化”的翻版式流程，除了讓“控制顯性化”之外，還會增大“規則不一致”的風險概率，談不上對管理的貢獻，一定程度上，內控執行的效果，由內控設計質量決定。

實例：采購部門為降低采購成本，需要對“產品開發部門選材”實施控制，以降低新產品開發的采購品類?？刂?，不能簡單理解為“選材審查”，而是“采用什么管理方法”可以降低“審查”難度，從而提高流程效率。內控管理不僅僅在于“強化內控”，也在于“內控的優化與簡化”。

對選材流程內控評價的內容包括3個方面：一是“優選目錄”的建立，在目錄內選材，只走程序，無需控制。評價的對象是“優選目錄”，立足點在“歸口部門”的管理；二是超目錄選材，內控評價需要理解控制規則，查驗“超目錄選材”的控制過程、結果與效果，評價的對象是“控制主體構成、控制原則、內容、時間、結果、過程記錄”，立足點在“跨部門環節的活動”；三是對年度新增的采購品類實施采樣，驗證兩個支流程的執行情況，立足點在“測試驗證”。所以，無論哪個方面的評價，都需要以理解“管理”本質為前提。

（4）有效性評價。指在一致性的基礎上，控制角色是否在履行職責，是否按照控制活動規范、特別是限制性條款履行責任；控制后的產出，是否滿足限制性條款的要求。反映在“選材流程內控評價”中的“三”。（5）合理性評價。指基于流程效率、成本，面向的是流程角色職責、權限分配環節進行的評價。但該領域的評價，一般以“問題建議”形式給出，而不認定為缺陷。

實例：資產處置是長期以來監督的重點環節，隨著監督力度的加強，企業對資產處置流程進行了規范。在某企業中，只要是資產報廢、處置，都需要企業“一把手”審批。

這個流程看似合理，卻出現了3個問題：一是“沒有區分待處置資產重要性、資產原值、頻率”，采用了“一刀切”模式，責任不清；二是這種流程造成管理成本增加、運作效率低下；三是企業主要負責人受困于各方面的“事務”，影響企業整體發展的規劃與管理。本質是流程設置不合理，權限分配與職責不匹配，造成管理控制復雜化。問題在于“歸口管理”的整體設計，控制自然包括其中。停留于“表面化”條件上的評價，不會發現或認為存在缺陷。

確定內控評價內容結構，本質是找到“評價”的著力點。在具體評價中，與評價人的個人知識跨度、實踐經驗、理解能力緊密相關。5個維度的評價，不是“串行”工作，而是在思維、具體理解、審查、驗證、測試評價中的并行或交叉?；?span>5個方面的評價，在很多企業中，會揭示出不少“內控缺陷”信息。

轉自

天錦咨詢