内部控制评价是企业或组织对自身内部控制体系的有效性进行全面、系统的检查、分析和评估的过程，其目的是判断内部控制是否能够合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，以及提高经营效率和效果、促进企业实现发展战略。

一、内部控制评价的依据

内部控制评价依据的标准是判断企业内部控制体系是否有效的基准，这些标准既包括外部的法律法规、行业规范，也包括企业内部的制度文件，确保评价过程有章可循、结果客观可比。具体可分为以下几类：

1、国家层面的法律法规及规范

这是内部控制评价的强制性基准，企业必须严格遵守，主要包括：

（1）《企业内部控制基本规范》及配套指引：由财政部、证监会等五部委联合发布，明确了内部控制的目标、要素和评价要求，是中国企业开展内部控制评价的核心依据。其中，《企业内部控制评价指引》专门对评价的程序、缺陷认定、报告格式等作出详细规定。

（2）其他相关法律：如《公司法》《证券法》《会计法》等，从合规性角度对企业治理、财务报告真实性等提出要求，成为评价内部控制 “合法合规” 目标的重要依据。

2、行业监管规则

不同行业因业务特性和监管要求不同，会有针对性的内部控制标准，例如：

（1）金融行业：银行、证券公司需遵循《商业银行内部控制指引》《证券公司内部控制指引》等，对风险控制（如信贷风险、市场风险）有更严格的评价标准；

（2）上市公司：需满足证券交易所的监管要求（如沪深交易所的《上市公司内部控制指引》），强调信息披露的真实性和内部控制缺陷的及时整改；

（3）国有企业：需符合国资委关于内部控制建设与评价的相关规定，突出国有资产安全和保值增值目标。

3、国际通用框架与标准

对于跨国经营或需满足国际投资者要求的企业，国际标准可作为补充依据：

（1）COSO框架（《内部控制 —— 整合框架》）：由美国反虚假财务报告委员会下属的 COSO 委员会发布，是全球应用最广泛的内部控制框架之一，涵盖控制环境、风险评估、控制活动、信息与沟通、监控五大要素，许多企业将其与国内规范结合使用。

（2）ISO 31000 风险管理标准：虽然聚焦于风险管理，但其中关于风险识别、评估和应对的原则，可辅助内部控制评价中 “风险评估” 环节的判断。

4、企业内部制度与目标

（1）企业自身的制度和战略目标是评价的个性化依据，确保评价贴合实际经营需求：

（2）内部管理制度：如公司章程、岗位职责手册、授权审批流程、财务管理制度等，评价时需检查实际执行是否与制度一致；

（3）经营目标与战略：例如企业的年度经营计划、成本控制目标、市场拓展战略等，内部控制评价需判断现有控制措施是否能支撑这些目标的实现。

二、内控评价有效性两方面

内控评价的核心判断主要围绕两个关键方面，这两个方面共同构成了评价内部控制体系有效性的核心标准。

1、体系设计有效性

体系设计有效性是内控评价中判断内部控制体系 “先天合理性” 的核心维度，指企业为实现控制目标（如合法合规、资产安全、财务报告真实、经营效率提升等）而设计的内部控制制度、流程、措施等，在理论层面是否科学、完整、适用，能否有效识别和防范企业面临的各类风险。

设计有效性的本质是评估 “制度本身是否能解决问题”，即当内部控制制度被 100% 严格执行时，能否合理保证控制目标的实现？若答案为 “是”，则设计有效；若存在制度漏洞、逻辑缺陷或未覆盖关键风险，则设计无效。

设计有效性是内部控制体系的 “基础工程”，若设计无效，即使后续执行再严格，也无法实现控制目标（例如，“一人兼任出纳和会计” 的设计缺陷，无论执行多么规范，都难以防范资金舞弊风险）。设计有效性的评估，能帮助企业从源头优化制度，避免 “用执行勤奋掩盖设计懒惰” 的问题。

2、体系运行有效性

运行有效性（Operating Effectiveness）是内部控制评价中衡量 “制度落地质量” 的核心维度，指企业已设计有效的内部控制制度、流程或措施，在实际运营中是否被持续、一贯、规范地执行，且执行效果能否达到设计目标。它关注的是 “纸面上的制度是否真正转化为实际行动”，是检验内部控制体系 “执行力” 的关键指标。

运行有效性的本质是评估 “制度执行是否到位”，即：

在制度设计有效的前提下，实际操作是否严格遵循制度要求？执行过程能否稳定、持续地实现控制目标？若答案为 “是”，则运行有效；若存在 “有制度不执行”“执行打折扣”“执行不一致” 等问题，则运行无效。

运行有效性直接决定了内部控制体系的 “实战价值”，企业可能花费大量精力设计完善的制度，但如果执行不到位，所有设计都会沦为 “摆设”。运行有效性的评估能帮助企业发现 “制度落地的障碍”（如流程繁琐导致执行抵触、员工培训不足导致理解偏差等），进而从 “执行层面” 优化内部控制（如简化流程、加强培训、强化监督等）。

三、内控评价中常见的内控缺陷

1、存在下列情况之一的，一般可以认定为设计缺陷：

（1）内控体系内容违反国家或公司有关政策法规和制度；

（2）内控体系内容没有基本覆盖本单位生产经营的全过程；

（3）内控体系内容非常不符合成本效益原则；

（4）内控体系内容非常不符合本单位实际情况。

2、治理架构与组织架构缺陷

（1）股权结构与制衡机制缺失

若公司股权过度集中（如 “一股独大”），且未设计有效的独立董事制衡机制、监事会监督权不足，可能导致控股股东直接干预公司经营，引发关联交易非公允、资金占用等风险。

案例参考：部分家族式上市公司未设立独立的审计委员会，董事会成员多为家族成员，导致对重大投资决策的审批缺乏客观监督。

（2）部门职责划分模糊

公司关键业务（如采购、销售、财务）的部门职责未明确界定，存在 “多头管理” 或 “无人负责” 的情况。

案例参考：采购需求审批与供应商选择由同一部门负责，未分离不相容岗位，易引发舞弊风险。

3、业务流程类缺陷

（1）采购与付款流程设计漏洞

未设计 “供应商准入审批”“采购价格询价与比价” 等关键环节，或未规定采购合同需法务部门审核，可能导致采购质次价高、合同条款存在法律风险。

案例参考：某上市公司采购流程中，仅由采购部门自行选择供应商并签订合同，无财务部门或审计部门的事前审核，导致长期向关联方高价采购原材料。

（2）销售与收款流程设计缺陷

未制定客户信用评级制度，或对赊销额度、回款期限的审批权限未明确，可能导致应收账款过度累积、坏账风险升高。

案例参考：某上市公司对大额赊销业务仅由销售总监审批，未设置财务部门复核或总经理终审环节，导致部分客户长期拖欠货款却持续新增赊销。

（3）投资与融资流程不规范

对重大投资项目（如并购、对外股权投资）未设计 “可行性研究 — 董事会审议 — 股东大会批准” 的分级审批流程，或融资方案未经过风险评估（如汇率、利率风险），可能导致投资决策失误、融资成本过高。

案例参考：某上市公司子公司对外投资 5000 万元设立新项目，仅由子公司总经理审批，未上报母公司董事会，最终因项目亏损导致大额资产减值。

4、财务报告与会计核算类缺陷

（1）会计政策与核算制度不明确

对收入确认、资产减值、研发费用资本化等关键会计事项的核算标准未作出具体规定，或与会计准则要求不一致，导致财务数据失真。

案例参考：某上市公司未明确 “客户验收完成” 作为收入确认的时点，而是以 “发货” 为标准，导致提前确认收入，虚增当期利润。

（2）财务审批与资金管理漏洞

未设计 “大额资金支出的多级审批制度”，或银行账户管理中 “出纳与会计岗位未分离”，可能导致资金挪用、违规支付。

案例参考：某上市公司对单笔 500 万元以上的资金支付，仅由财务总监审批，未提交董事长或董事会审议，导致财务总监擅自将资金转入关联方账户。

5、风险评估与应对类缺陷

（1）风险识别机制缺失

企业未建立常态化的风险评估流程（如未定期识别市场风险、合规风险），或未针对重大风险（如政策变动、行业竞争）设计应对预案。

案例参考：某新能源上市公司未关注国家补贴政策调整风险，未提前设计产品价格调整或成本控制方案，导致政策退坡后利润大幅下滑。

（2）内部监督机制失效

内部审计部门缺乏独立性（如隶属于财务部门），或未规定审计频率、审计范围（如未覆盖子公司、重大关联交易），导致无法及时发现内控执行问题。

案例参考：某上市公司内审部门由财务总监分管，且每年仅审计总部财务数据，未对异地子公司进行审计，导致子公司违规担保事项长期未被发现。

6、信息系统与数据安全类

公司未设计信息系统权限分级管理制度，或关键业务数据（如客户信息、财务数据）未加密存储，可能导致数据泄露或越权操作。

案例参考：某上市公司 ERP 系统中，销售、财务、仓库部门员工可互相访问对方数据，且无操作日志记录，导致销售数据被篡改以虚增业绩。

四、体系设计类缺陷的共同特点

通过我们之前的经验来看，体系设计缺陷的核心共性有三点：制度未覆盖关键风险点、未分离不相容岗位、审批流程缺失或权限不合理。这些缺陷的存在可能导致上市公司财务舞弊、资产损失、信息披露违规等问题。在证监会或者国资委的监管中，在监管机构（如证监会、交易所）在对上市公司的检查中，这类缺陷是重点关注对象，常见于《行政处罚决定书》《监管问询函》等公开文件中。来源：互联网