2019年国资委101号文提出全面实施年度企业自评、集团评价每3年覆盖全部子企业，建立与评价结果挂钩的考核机制。

2023年 国资委8号文提出要提升子企业年度内控自评价质量，防止内控自评价“走过场”。

实务中，我们经常遇到企业风控人员在组织内控评价工作中提出下列疑问：

如何结合公司自身实际情况，找到内控评价的重点？

如何将内控评价工作与公司日常的经营和管理深度契合？

如何挖掘和体现内控评价这项工作的价值？

如何扬长避短，充分发挥外部中介机构在内控评价中的作用？

经常遇到整改只做表面文章（在形式上完成了整改），而没有在本质上触碰到缺陷产生的深层次原因，对管理水平的提升没有起到太大的作用。如何避免？

一、破解内控评价难题

企业内部控制评价指引要求企业内部控制评价应当满足全面性和重要性原则。评价人员对全面性的理解和遵循相比容易；但对于重要性往往是忽略或感觉无从下手。

财政部会计司在《评价指引解读》中强调：非财务报告评价（围绕战略目标、资产安全、经营目标、合规目标）应当作为企业内部控制评价的重点。因为，年报审计师通常会对财务报告内部控制进行审计或鉴证，并发表审计或鉴证意见。

要破解内控评价的困境，需要从重新认识流程的概念着手。

安东尼模型，认为经营管理业务活动可分为战略规划、战术决策和业务决策3个层次。

与此类似，美国APQC的PCF流程框架将流程分为类别、流程组、流程、活动和任务五个层级。

实务中，我们发现大部分企业的内控评价是以反舞弊和合规为导向的，并且直接跳过对类别、流程组和流程的审视，更多检查任务和活动有没有被有效执行。

基于这样的评价检查思路，所能发现的问题往往是“鸡毛蒜皮”的小事，如合同倒签、附件不全、表单要素不全、遗漏审核审批人员签字。这些问题当然都是内控问题，但无法发现实质性的业务风险和深层次的管理机制问题。

二、内控评价解决方案

审计署在《十四五国家审计发展规划》中提出了研究型审计的概念。

研究型审计的理念也可以引入到内部控制评价中：做好项目规划精准投入评价资源；创新评价方法，重视战略分析和数据分析，挖掘评价重点；强化评价发现问题的管理建议可操作性及整改落实。

（一）项目计划

不论是年度评价还是专项评价，都需要制定详实的评价工作计划，明确评价的内容和方式，明确项目组成员（包括企业内部专家）和分工职责；制定缺陷认定标准；发布统一的评价底稿和评价报告模板；以及组织评价小组内部和被评价单位的相关培训。

（二）前期调研

现场评价开始前，对被评价单位的情况进行前期调研，根据调研情况对评价重点和评价程序进行调整，完善评价底稿模板。

前期调研的具体方法参见第三部分《内控评价五维度法》。

（三）现场评价

充分发挥企业内部专家的作用，通过专题讨论澄清疑问、调整评价程序、准确定位和定性问题。

提高评价小组内部信息互通程度，落实“关联性检查”原则，提高评价的深度和广度。

完整填写评价底稿，落实评价底稿审核机制，提高评价质量。

（四）问题沟通

对于评价过程中发现的问题，及时与相关业务部门进行沟通确认；对于重大问题及时向管理层沟通汇报。

规避类似“建议企业严格按照制度执行”这类废话性质的管理建议，按照5W1H的描述方式提供管理建议、落实责任部门。

对于短期内无法一步到位完成整改的缺陷，需要分短中长期分别提出管理建议，避免企业的内控缺陷长期得不到整改。

对于信息化程度较高的企业，还应适当提出初步的业务系统改造方案，推动企业未来缺陷整改的实质性落地。

（五）报告出具

规范评价报告的行文风格，我们建议：结论+制度规定+管理现状+问题及风险+管理建议的结构来出现内控评价发现的问题。

（六）整改指导

协助企业建立缺陷整改台账、制定整改计划。对于企业在整改过程中遇到的问题和疑问及时进行指导，确保整改有效进行。

对于国资委或集团公司而言，通过举办内控评价专题总结培训会，宣讲典型案例，达到举一反三的效果，扩大内控评价的影响。

三、内控评价五维度法

（一）维度一：内控手册

很多企业的内控建设成果之一就是内控手册，里面通常会有风险控制矩阵（RCM）。风险控制矩阵列出了各流程的风险点和对应风险控制措施，做得更完整的手册里面，还有针对每个控制点的穿行测试和抽样测试的测试程序。

为了保证评价的质量，如果企业提供的内控手册中没有对应的评价程序的，需要评价项目组在进行现场评价前，由项目组资深人员在评价底稿中填写评价程序，并对评价小组成员进行必要的培训。

优点：

1、简单易行，对评价人员的能力要求较低；

2、能满足内控评价的全面性原则。

缺点：

1、内控手册更新不及时；

2、内部控制与管理两张皮；

3、着眼于操作层面的检查，很难发现管理机制问题；

4、被评价人员掌握评价规律后可以针对性提供评价资料；

5、忽视了重要性原则，有限的评价资源没有聚焦。

根据我们的项目经验，很多企业的内控手册机械“抄袭”应用指引的痕迹很重，存在很多冗余和无效的控制点。

我们在首次承接企业内控评价项目时，都会对企业原有的内控手册进行“瘦身”，并增加穿行测试和抽样测试的评价程序，以提高内控评价的效率和效果。

（二）维度二：管理制度

由于现行监管文件都要求企业内控建设需要完善内控制度，但没有强制要求必须有内控手册，因此，实务中很多企业是没有独立的内控手册的。

我们通常会对企业现场的管理制度进行审阅，从中提炼出关键控制点，并设计针对性的评价程序。

在对制度进行审阅的过程中，我们重点关注：一是制度体系完整性；二是管理流程；三是管理标准；四是职责划分。

优点：

1、简单易行；

2、满足全面性原则。

缺点：

1、关键控制点的识别和提炼需要经验丰富的评价人员；

2、普遍存在的制度原则化和碎片化问题阻碍控制点识别；

3、制度更新不及时，评价流于形式；

4、关键控制点聚焦于操作层面，很难发现业务风险。

（三）维度三：风险事件库

建立风险事件库，汇总常见内控问题，作为内控评价关注重点领域。

风险事件库的来源包括：巡查巡视报告；企业内外部审计管理建议书；财务审计调整事项；历年内控评价缺陷；日常上报的风险事件；行业监管机构通告和处罚案件；拟上市公司被问询问题；上市公司内控非标意见案例；上市公司立案调查和处罚案件；新颁布的法律法规和监管文件；企业当年各类咨询报告和其他中介机构出具的专项意见书等。

我们在评价项目中，可以协助企业建立自己的风险事件库。

优点：

1、体现重要性原则，快速锁定重点业务和高风险领域；

2、涉及战略及战术管理层面，突显管理机制问题。

缺点：

1、总结过去，具有滞后性；

2、上有政策，下有对策。

（四）维度四：数据分析

通过对企业3-5年的财务和核心业务数据进行各种结构、比率、趋势和明细分析，通过异常指标和指标趋势发现可能的问题领域，并进行初步分析，结合对企业所属行业及业务模式的了解制定针对性的现场评价检查程序。

在现场评价过程中，对发现的问题和迹象进行澄清，证实或推翻原有的假设。对于发现的内控缺陷提成管理机制层次的改善建议。

优点：

1、风险导向和结果导向；

2、满足重要性原则；

3、能量化问题的影响；

4、能够发现企业管理机制上存在的风控问题。

缺点：

1、数据可以“包装”，在评价过程中要善于追根问底；

2、需要项目组委派资深评价人员进行数据分析和评价程序设计。

（五）维度五：价值链

对企业的业务模式、战略规划、战略目标和重大战略举措进行分析，对战略目标进行分解和细化。

对标行业经验和企业管理现状，构建企业价值链，并形成层层下钻的流程框架体系，识别缺失的流程环节。

必要时，结合企业的部门职责说明书对流程体系进行分析，发现缺失的流程环节。

优点：

1、基于全面性的重要性；

2、与公司战略结合，围绕战略目标进行风险评估；

3、快速定位重要业务领域，发现深层次的管理机制问题。

缺点：

1、企业战略目标描述模糊笼统的，需要结合高层访谈对战略目标进行澄清；

2、需要项目组委派资深评价人员进行战略分析和评价程序设计。

总结

评价方法各有优劣，需要评价项目组根据评价项目的目标和可供投入的资源，综合运用上述各维度方法，才能取得最大的投入产出比。来源：互联网