COSO在内部控制整合框架中指出，“衡量内控系统有效性，需评估各要素和相关原则是否存在并持续运行，以及是否以整合的方式共同运行”。对这点，我之前有疑惑，难道我做个简单流程的内控有效性评估，比如仓库发货流程，要把内控五要素和原则都评估一遍吗？

按COSO内控框架，内控的五要素为：控制环境、风险评估、控制活动、信息与沟通，监督活动，每个要素有相应的原则，总共17个原则，每个原则还可以分成好几个部分。五要素我之前写过，请点这里。

以仓库发货流程举例，原则2，“董事会应展现出其独立于管理层，并对内部控制的开展与成效实施监督”，与发货流程关系不大；原则3，“管理层为实现目标，应在董事会的监督下确立组织架构、汇报路线、合理的权力与责任”，仓库发货流程的组织架构相对简单，评估相关组织架构是否在董事会监督下确定，董事会和管理层如何分配权力和责任等，好像太隆重了，必要性不大；……

控制环境的几个原则跟发货流程并没有直接的强相关，因此实操中，评估发货流程的有效性，我不会专门评估与发货流程相关的控制环境。

我一般是先去了解目前的发货流程是怎样的，做个穿行测试，看看发货流程是否如访谈或制度描述的那样，同时穿行测试也能帮助我更好地理解发货流程。然后做风险评估矩阵（RCM）来看看目前的流程是否有内控漏洞，并与被审计部门沟通协商后提出整改方案。

整改一段时间后，再去看看整改效果如何。

另外整改完成后，会针对关键控制点做测试。关键控制点在编制RCM时会列出来，测试程序（方法）可以事先编制，届时让经验较少的内控师去执行测试程序，查看流程是否得到有效执行。

如果做内控审计，方法基本差不多，差别在于RCM和关键控制点的测试同时做，然后审计发现中既包含内控设计缺陷，也包含执行缺陷。因为内审一般是按项目走的，每个项目要及时完结出具审计报告，一般不会等整改结束后再去测试流程的执行情况，可能是之后做个简单的follow up。

实操跟COSO不同，是我实操不严谨，还是COSO的要求太理论了？

我后来想明白了，我的实操和COSO都没有错，而是站在不同的高度或涉及的范围不同，产生的差异。

1. 从公司整体评估内控框架的五要素和17个原则，较全面和经济可行

当我们对公司内控体系进行评估，我们可以按照COSO的内部控制框架*，“评估各要素和相关原则是否存在并持续运行，以及是否以整合的方式共同运行”。我们从整体上看控制环境，评估控制环境的5个原则是否存在并持续运行；看风险评估，评估组织是否设定了明确的目标，并分解和传达给相应层级的管理者，组织如何进行风险识别和分析，如何应对潜在的舞弊风险和可能对企业造成重大影响的改变等；看控制活动，……

所以SOX项目将内控评估分成公司层面、IT管理和流程层面。公司层面和IT管理层面会从5个要素分别评估。

当评估具体流程时，无需逐一评估与控制环境和风险评估等，可能更多的是关注流程对应的具体风险及控制活动、信息与沟通和监督活动等是否充分和有效。

当整个SOX项目做完了（按SOX法案要求每年都要做一次），公司的内控五要素都覆盖到了。

2. 评估具体流程时，更关注相应的风险、控制活动、信息与监督等，但并不表示将五要素割裂。

比如评估发货流程时，内控师去访谈仓管员和仓库负责人，除了问发货流程，也可以延伸问问，比如：问产品的相关问题，看看他们是否了解公司的产品问提货人都是些什么人，大客户的提货周期等，看看仓管员的观察能力强不强，是否会主动思考问题；了解之前仓库是否出现过货物盘亏和丢失等问题，如何处理……

这些问题与控制环境相关，如果仓管员（尤其是仓库主管、仓库负责人）只知道发货，其他一概不清楚，我们会得出初步印象仓管人员不太胜任，公司的人员培养和考核机制有待提高；如果仓库出现了问题，没有人受到处罚，公司问责机制不健全。

内控师在具体的流程评估中获得与控制环境的相关的信息，会应用于控制风险的评估，当实施公司层面评估时将搜集更多的控制证据、执行更多的测试来评估控制风险相关的控制有效性。

3. 当某个流程或业务模块发生了问题，需从五要素分别评估和查找控制缺陷，并提出整改方案。

通常情况下，五要素中多个要素出现缺陷，才会导致差错或舞弊产生。

内控立方体列上了企业的各层级，表明无论是公司层面（Entity Level），还是区域、业务单元或功能模块都适用内控五要素。事实也是如此，我做案例分析，无论分析什么问题，都可以从五要素出发，分别评估控制的有效性和发现控制缺陷。仅凭经验或感觉可以找出1个或几个大的控制缺陷，但是较难保证评估的完整性。

*  按SOX的要求，美国上市公司每年实行内控自我评估，但法案并没有指定必须用哪个内控标准，但是大部分公司采用COSO的内控框架。

来源：互联网