第三部分 企業(yè)內(nèi)部控制評價指引

企業(yè)內(nèi)部控制評價指引  字體：大 中 小打印：省紙版>> 清晰版>> 自定義>> 行距： 單倍 1.2單倍 1.5倍 1.7倍 2倍字體： 大 中 小隱藏： 答疑編號 手寫板  一、內(nèi)部控制評價產(chǎn)生的歷程：1978年，美國柯恩委員會（Cohen Commission）就建議企業(yè)管理當局在披露財務報告時，提交一份關于內(nèi)部控制系統(tǒng)的評價報告，說明管理當局對公司會計系統(tǒng)及其控制的評估，包括對控制系統(tǒng)固有限制及公司對獨立注冊會計師認定的重大缺陷做出反應的描述，并要求獨立注冊會計師對該報告進行證明。1987年，全美反舞弊財務報告委員會在其報告中也提出了類似的建議，雖然全美反舞弊財務報告委員會未對內(nèi)部控制提出結(jié)論，但其報告立刻引起了廣泛的反應。1992年在內(nèi)部控制整體框架中提出了內(nèi)部控制報告的框架。美國柯恩委員會（Cohen）報告、全美反舞弊財務報告委員會報告、COSO報告均認為，內(nèi)部控制報告應著重說明控制系統(tǒng)的有效性。在1979年和1998年，美國證券交易委員會（SEC）分別提議強制要求提供內(nèi)部控制報告。 1989年，美國政府審計署（GAO）也曾提議在存貸機構(gòu)緊急援助議案中，應規(guī)定管理當局和審計人員報告內(nèi)部控制，但都沒有形成最終議案。2001年以來，美國安然、世通等許多著名公司暴露出的一系列財務舞弊問題引起了社會公眾的關注，嚴重影響了公眾對公司會計實務、財務報告的信心以及投資者的信心，迫于這種壓力和形勢。2002年7月，美國國會通過并頒布了SOX法案，致力于治理財務丑聞和財務報告中可能出現(xiàn)的問題，目的是為了恢復公眾對公司會計實務和財務報告的信心。SOX法案結(jié)合公司的財務報告全面提高了對上市公司內(nèi)部控制的要求，把過去的很多自愿和選擇性做法變成了法定的、強制性的要求，其中302節(jié)和404節(jié)尤為具體，對內(nèi)部控制的評價和報告進行了明確的規(guī)定和要求。美國上市公司內(nèi)部控制的評價和報告體系應當包括：公司管理層對財務報告內(nèi)部控制的有效性進行評價，對內(nèi)向?qū)徲嬑瘑T會報告，對外發(fā)布公開報告；注冊會計師對財務報告內(nèi)部控制進行的審計，對管理層財務報告內(nèi)部控制有效性評價發(fā)表鑒證意見以及對公司財務報告內(nèi)部控制的有效性發(fā)表意見等兩個方面。二、管理層對財務報告內(nèi)部控制評價（一）管理層對財務報告內(nèi)部控制評價標準管理層斷定公司財務報告內(nèi)部控制有效的限度：如果管理層識別出公司財務報告內(nèi)部控制中的一個或多個重要弱點，管理層就不能確定公司的財務報告內(nèi)部控制是有效的。管理層的報告必須包含對管理層在評價過程中確定的公司財務報告內(nèi)部控制中所有重要弱點的披露。（二）管理層對財務報告內(nèi)部控制評價內(nèi)容和方法:對公司財務報告內(nèi)部控制的評估必須根據(jù)既能評價內(nèi)部控制的設計又能測試內(nèi)部控制運行有效性的程序進行。要受到這種評價的控制包括但不限于：1.對發(fā)起交易、記錄、處理和調(diào)節(jié)賬戶余額、交易分類和披露以及財務報告中包含的相關認定的控制；2.與非常規(guī)和非系統(tǒng)交易的動機和處理相關的控制；3.與適當會計政策的選擇和應用相關的控制；4.與防止、識別和發(fā)現(xiàn)舞弊相關的控制。（三）公司在實踐評價并形成有關財務報告內(nèi)部控制有效性的評價結(jié)論時，要求保存證據(jù)，為管理層對財務報告內(nèi)部控制有效性的評價結(jié)論提供合理的支持。這些證據(jù)可以證明：1.對內(nèi)部控制是用來防止或發(fā)現(xiàn)重要錯報或遺漏的評價；2.對測試進行了適當?shù)囊?guī)劃和實施；3.測試的結(jié)果得到了適當考慮。（四）為什么要進行內(nèi)部控制的自我評價：內(nèi)部控制自我評價提倡的是以研討會的方式讓全體員工參與內(nèi)部控制的建設。不僅有助于降低成本，而且符合人本管理的理念。因此，內(nèi)部控制自我評價對企業(yè)的重要性不言而喻。企業(yè)內(nèi)部控制基本規(guī)范第二章內(nèi)部環(huán)境中要求審計委員會負責“審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施和自我評價情況”，內(nèi)部控制自我評價的現(xiàn)實意義是什么?如何具體實施內(nèi)部控制自我評價等問題是每個企業(yè)應該關注的重要問題。（五）內(nèi)部控制自我評價的概述：企業(yè)內(nèi)部控制規(guī)范基本規(guī)范所稱的內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。某公司的內(nèi)部控制評價辦法是這樣定義的，“內(nèi)部控制評價是指對內(nèi)部控制體系建設、實施和運行結(jié)果獨立開展的調(diào)查、測試、分析和評估等系統(tǒng)性活動?！苯ㄗh將內(nèi)部控制運行結(jié)果評價修改為對內(nèi)部控制運行過程評價。企業(yè)內(nèi)部控制的 “控制自我評估”，是指每個企業(yè)不定期或定期地對自己的內(nèi)部控制系統(tǒng)進行評估，評估內(nèi)部控制的有效性及其實施的效率效果，以期能更好地達成內(nèi)部控制的目標。其基本的特征是：1）關注業(yè)務的過程和控制的成效；2）由管理部門和職員共同進行；3）用結(jié)構(gòu)化的方法開展評估活動?！翱刂谱晕以u估”是為提高組織內(nèi)部控制的自我意識所做的努力，這種活動經(jīng)常以研討會的形式進行。目的：是使人們了解哪里存在缺陷以及可能引致的后果，然后讓他們自己采取行動改進這種狀況，而不是坐等內(nèi)部審計人員站出來。研究表明，實施“控制自我評估”的方法對于一個企業(yè)加強管理、提高勞動生產(chǎn)率、改進內(nèi)部審計程序和業(yè)務經(jīng)營程序以及控制風險等有著積極的作用。內(nèi)部控制自我評價是指公司管理層和員工共同在公司內(nèi)部為實現(xiàn)目標、控制風險，而進行的內(nèi)部控制系統(tǒng)的有效性和恰當性實施的自我評價方法。有效的內(nèi)部控制自我評價是一個對內(nèi)部控制效果的監(jiān)督和測試的持續(xù)過程。（六）內(nèi)部控制自我評價工作開展評價工作必須獲得公司所有階層/級別支持，通常要成立并維持強而有效的指導委員會，對其成員要進行持續(xù)的培訓以確保其勝任水平，要大力加強指導委員會的權(quán)力以確保政令的暢通，可以先以某些部門、業(yè)務單元作為試點，及時總結(jié)經(jīng)驗，使方案得到完善，然后大面積推開。評估、匯報及持續(xù)改善是確保效益的重要元素。對涉及內(nèi)控評價的各個方面，必須清楚界定各角色職責并傳達到位，有效溝通必不可少，不僅包括公司內(nèi)部與管理層的溝通，公司內(nèi)部各個部門之間的溝通，還包括與獨立審計師溝通，了解雙方的項目范圍及工作方式，對項目的重要、潛在的問題及時交流。及早將注意力集中到關鍵的問題，關注與財務報表有聯(lián)系的事項以及有可能導致重大錯誤的流程及其影響范圍。另外，要建立相應的內(nèi)控評價工作制度，并指定特定機構(gòu)、人員負責并監(jiān)督制度的貫徹實施；安排適當培訓，加強有關人員對內(nèi)部控制的認識與控制負責人的責任意識，確保知識與技術(shù)的傳遞；要學會利用適當?shù)墓ぞ?，以確保內(nèi)控評價工作系統(tǒng)有效地進行；合理的項目組織與管理，明確項目的主導部門，與各部門的合作與協(xié)調(diào)方法，對項目進度的監(jiān)控及形成定期的工作結(jié)果報告渠道。注意文檔記錄。由于內(nèi)控評價的過程都要留下文檔記錄，作為所做工作的證據(jù)，以便日后外部審計人員的審核評價以及明確責任，對所做評價的記錄必須十分謹慎。尤其要注意避免在缺少對風險進行有效評估的情況下記錄內(nèi)控缺陷。對于需要按照監(jiān)管要求實施內(nèi)部控制評價的企業(yè)，為了在有限的時間內(nèi)富有成效地完成大量相關工作，高級管理層需要對該工作給予足夠的重視，必須十分清楚有關的內(nèi)控規(guī)范要求以及監(jiān)管部門的具體部署。企業(yè)應當根據(jù)評價指引，結(jié)合內(nèi)部控制設計與運行的實際情況，制定具體的內(nèi)部控制評價辦法，規(guī)定評價的原則、內(nèi)容、程序、方法和報告形式等，明確相關機構(gòu)或崗位的職責權(quán)限，落實責任制，按照規(guī)定的辦法、程序和要求，有序開展內(nèi)部控制評價工作。企業(yè)董事會應當對內(nèi)部控制評價報告的真實性負責。三、企業(yè)內(nèi)部控制評價指引的講解第一節(jié)框架概述企業(yè)內(nèi)部控制評價指引分為5章27條，從內(nèi)部控制評價的各個方面闡述了其具體內(nèi)容：（一）第一章總則（第14條）。說明內(nèi)部控制評價指引制定的依據(jù)、定義、遵循的原則等方面。第1條，說明內(nèi)部控制評價指引出臺的目的和依據(jù)，主要的依據(jù)為企業(yè)內(nèi)部控制基本規(guī)范。第2條，指出內(nèi)部控制評價的定義，內(nèi)部控制評價是針對內(nèi)部控制有效性的評價、報告過程。第3條，說明企業(yè)實施內(nèi)部控制評價應遵循的原則。即全面性原則、重要性原則和客觀性原則。第4條，指明企業(yè)依據(jù)內(nèi)部控制評價指引應當履行的職責，并明確企業(yè)董事會應當對內(nèi)部控制評價報告的真實性負責。 （二）第二章內(nèi)部控制評價的內(nèi)容（第511條）。首先明確內(nèi)部控制評價的內(nèi)容是與五要素（內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督）相聯(lián)系的，然后分別闡述了對該五要素進行評價時，應當遵循的依據(jù)和要求，最后指明內(nèi)部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容。（三）第三章內(nèi)部控制評價的程序（第1215條）。 第12條，內(nèi)部控制評價工作開展的程序。程序：制定評價方案組成評價工作組實施現(xiàn)場測試認定控制缺陷匯總評價結(jié)果編制評價報告第13條，明確擬訂的評價工作方案要報經(jīng)董事會或其授權(quán)機構(gòu)審批后實施。第14條，評價工作組的成員及回避事項。第15條，內(nèi)部控制評估和測試的方法。包括個別訪談、調(diào)查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法。（四）第四章內(nèi)部控制缺陷認定（第1619條）。第1617條，內(nèi)部控制缺陷的分析、判斷因素和程度的劃分。內(nèi)部控制的缺陷一般劃分為設計缺陷和運行缺陷。內(nèi)部控制缺陷分為一般缺陷、重要缺陷和重大缺陷。第18條，內(nèi)部控制評價工作的質(zhì)量交叉復核。第19條，對內(nèi)部控制評價工作中發(fā)現(xiàn)的內(nèi)部控制缺陷進行分析，并報告相關部門。重大缺陷應當由董事會予以最終認定。（五）第五章內(nèi)部控制評價報告（第2027條）。第2021條，內(nèi)部控制評價報告應分別就五要素進行設計，并就相關內(nèi)容作出披露。第22條，內(nèi)部控制評價報告中至少應當披露的內(nèi)容。第2326，內(nèi)部控制評價報告報送部門、報告基準日及報送時限。第27條，建立內(nèi)部控制評價工作檔案管理制度。第二節(jié)重要條款解讀 一、內(nèi)部控制評價概述內(nèi)部控制評價是企業(yè)董事會或類似權(quán)力機構(gòu)對內(nèi)部控制的有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程。企業(yè)應當根據(jù)國家有關法律法規(guī)和企業(yè)內(nèi)部控制基本規(guī)范的要求，結(jié)合企業(yè)實際情況，對戰(zhàn)略目標、經(jīng)營管理效率和效果目標、財務報告及相關信息真實完整目標、資產(chǎn)安全目標、合法合規(guī)目標等單個或整體控制目標的實現(xiàn)進行評價。（一）內(nèi)部控制評價的目標企業(yè)內(nèi)部控制評價的目標是通過對企業(yè)內(nèi)部控制體系的健全性、合理性和有效性的評價，促使企業(yè)切實加強內(nèi)部控制體系的建設并認真執(zhí)行，并保證內(nèi)部控制體系得以持續(xù)、有效的改進。1.強化內(nèi)部控制意識，建立健全內(nèi)部控制機制，嚴格落實各項控制措施，確保內(nèi)部控制體系有效運行。2.提高風險管理水平，為實現(xiàn)企業(yè)發(fā)展戰(zhàn)略和經(jīng)營目標提供保障。3.增強企業(yè)業(yè)務、財務和管理信息的真實性、完整性和及時性。4.保障企業(yè)資產(chǎn)的安全和完整。5.確保企業(yè)各項活動的合法合規(guī)性。6.為企業(yè)的風險管理提供信息服務和決策支持。內(nèi)部控制的目標：1）提高企業(yè)運營的效果和效率。2）財務報告的可靠性和完整性。3）法律法規(guī)和合同的遵循性。（二）內(nèi)部控制評價的原則在企業(yè)內(nèi)部控制評價指引中規(guī)定：企業(yè)實施內(nèi)部控制評價，應當遵循下列原則：1.全面性原則。評價工作應當包括內(nèi)部控制的設計與運行，涵蓋企業(yè)及其所屬單位的各種業(yè)務和事項。企業(yè)內(nèi)部控制是否完整是評價標準中首要的一條，同時又是基礎。若內(nèi)部控制的完整性都達不到，則內(nèi)部控制的合理性與有效性就無從談起了。2.重要性原則。評價工作應當在全面評價的基礎上，關注重要業(yè)務單位、重大業(yè)務事項和高風險領域?？陀^的評價內(nèi)部控制，及時發(fā)現(xiàn)問題，及時予以更正，以使企業(yè)良好發(fā)展下去。3.客觀性原則。評價工作應當準確地揭示經(jīng)營管理的風險狀況，如實反映內(nèi)部控制設計與運行的有效性。在對某一企業(yè)評價其內(nèi)部控制的適用性時，要注意控制點的設置是否合理，有沒有安排過多或不必要的控制點；在每一個需要控制的地方是否都建立了控制環(huán)節(jié)；控制職能是否劃分清楚；人員間的分工和牽制是否恰當，既不能分工過細，又能起到相互牽制的作用。同時，內(nèi)部控制的適用性要以經(jīng)濟性為限制條件。企業(yè)設置內(nèi)部控制切忌照抄照搬，因此應當考慮企業(yè)內(nèi)控設計和執(zhí)行時的適應性和經(jīng)濟性。因為，企業(yè)所處行業(yè)、組織規(guī)模、交易性質(zhì)、經(jīng)濟技術(shù)條件、人員素質(zhì)等方面存在著很大的差異，不同的企業(yè)就應當根據(jù)其不同的特點設置內(nèi)部控制制度。（三）內(nèi)部控制評價的組織機構(gòu)企業(yè)內(nèi)部控制評價是一項難度非常大的工作，需要強有力的組織保障。應該是企業(yè)最高級次的組織和人員進行總體負責。董事會下設審計委員會，在行政系統(tǒng)經(jīng)營管理系統(tǒng)設置審計機構(gòu)；審計委員會成員由董事長、非執(zhí)行董事、總審計長和非公司董事（外聘）等組成。二、內(nèi)部控制評價的內(nèi)容具體內(nèi)容由內(nèi)部控制要素評價標準和作業(yè)層級評價標準兩部分組成，其中要素評價標準可分為5個方面，即控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督；作業(yè)層級評價標準因其繁瑣復雜，難以窮盡，如以生產(chǎn)性企業(yè)為例進行框架構(gòu)建，可分為5個業(yè)務循環(huán)，即銷售業(yè)務循環(huán)、購貨業(yè)務循環(huán)、生產(chǎn)業(yè)務循環(huán)、薪金業(yè)務循環(huán)和理財業(yè)務循環(huán)。在內(nèi)部控制評價的具體標準中，要素評價標準以作業(yè)層級評價標準為基礎。（一）內(nèi)部控制五要素的評價企業(yè)內(nèi)部控制基本規(guī)范頒布后，企業(yè)內(nèi)部控制評價有了統(tǒng)一的標準，企業(yè)應當根據(jù)企業(yè)內(nèi)部控制基本規(guī)范、應用指引以及本企業(yè)的內(nèi)部控制制度，圍繞內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督等要素，確定內(nèi)部控制評價的具體內(nèi)容，對內(nèi)部控制設計與運行情況進行全面評價。1.內(nèi)部環(huán)境的評價。企業(yè)控制環(huán)境?？刂骗h(huán)境設定了一個組織的基調(diào)，影響其員工的控制意識。企業(yè)控制環(huán)境決定其他控制要素能否發(fā)揮作用，是內(nèi)部控制其他控制要素發(fā)揮作用的基礎，直接影響到企業(yè)內(nèi)部控制的貫徹和執(zhí)行以及企業(yè)內(nèi)部控制目標的實現(xiàn)，是企業(yè)內(nèi)部控制的核心。任何新生事物的成長，都要有與之適應的土壤。我國大多數(shù)企業(yè)的公司治理結(jié)構(gòu)不合理，鑒于一股獨大現(xiàn)象的嚴重性和普遍性，使得公司董事會、監(jiān)事會以及獨立董事制度的作用發(fā)揮非常有限，審計委員會和內(nèi)審部門的監(jiān)管職能也無法正常行使，究其原因，中國設立監(jiān)事會和建立獨立董事制度，是基于上市公司的要求，從形式上滿足規(guī)定，但是從公司法中對于監(jiān)事會成員的要求可以看出，監(jiān)事會成員與董事會成員的身份和地位是比較懸殊的，他們是依附于董事會和CEO的，因此很難發(fā)揮其應有的作用，如果監(jiān)事會不對董事會的行為提出反對意見的時候，它還會成為董事會的保護傘。企業(yè)組織開展內(nèi)部環(huán)境評價，應當以組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化、社會責任等應用指引為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對內(nèi)部環(huán)境的設計及實際運行情況進行認定和評價。2.風險評估的評價。企業(yè)組織開展風險評估機制評價，應當以企業(yè)內(nèi)部控制基本規(guī)范有關風險評估的要求，以及各項應用指引中所列主要風險為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對日常經(jīng)營管理過程中的風險識別、風險分析、應對策略等進行認定和評價。企業(yè)風險。企業(yè)管理層應對影響企業(yè)目標實現(xiàn)的內(nèi)、外部各種風險進行分析，考慮其可能性和影響程度，制定必要的對策。在對企業(yè)風險防范作測評時，應重點關注企業(yè)是否建立完整的風險評估體系，是否建立審計委員和風險管理部門，是否對經(jīng)營風險、財務風險、市場風險、政策法規(guī)風險和道德風險等進行持續(xù)監(jiān)控；是否對已發(fā)現(xiàn)的企業(yè)各類風險有控制措施，如內(nèi)控制度執(zhí)行情況的檢查和監(jiān)督，以及相關制度是否向子公司延伸，以確保子公司的經(jīng)營安全。同時，還要關注對相關業(yè)務項目及已知風險點是否進行定期檢查評估、提示及完善，如在日常經(jīng)營風險管理中對“重大采購二次詢價”、建立“不合格供應黑名單”是否有實時監(jiān)控。是否對客戶建立資信信息檔案、是否定期梳理與公司發(fā)展戰(zhàn)略不符的業(yè)務或項目等等。內(nèi)部審計關注風險識別的充分性；風險分析的恰當性；風險應對策略的充分性、有效性。首先，應對企業(yè)的固有風險進行評估。確定對固有風險的風險反應模式才能夠確定對固有風險的管理措施。其次，管理者應在對固有風險采取有關管理措施的基礎上，對企業(yè)的殘存風險進行評估。對風險影響的分析則可采用簡單算術(shù)平均數(shù)、最差的情形下的估計值或事項的分布等技術(shù)來分析企業(yè)風險評估的方法，分為定量分析和定性分析兩種。企業(yè)無須對所有的風險采用同樣一種評估方法，可根據(jù)不同的風險目標確定相應的風險評估方法，達到成本最低情況下的效益最大化目的。（1）風險發(fā)生的概率很低，損失程度也很小。（2）風險發(fā)生的概率很高，但損失程度很小。（3）風險發(fā)生的概率很低，但造成的損失很大。（4）風險發(fā)生的概率很高，造成的損失也很大。風險評估與舞弊行為：隨著經(jīng)濟的發(fā)展和外部環(huán)境的復雜化，企業(yè)面臨的風險也越來越大，而風險評估是提高企業(yè)內(nèi)部控制效率和效果的關鍵，因此對企業(yè)面臨的風險進行合理的評估是很有必要的。風險評估是一個動態(tài)的過程，主要分為三個步驟：第一，估計風險的嚴重程度；第二，評估風險發(fā)生的可能性（或頻率）；第三，考慮應如何管理風險?？梢?，通過風險評估過程，可以及時發(fā)現(xiàn)企業(yè)經(jīng)營過程中風險高發(fā)點和財務報表存在重大錯報和漏報的可能性。以醫(yī)院為例闡述風險評估方面的評價：為避免管理風險，要求每個項目均進行預決算審計。我們審計了：車庫改造工程、1號樓安保監(jiān)控系統(tǒng)改造工程、1號樓消防系統(tǒng)改造工程、1號樓11層凈化手術(shù)部凈化系統(tǒng)及設備管理維護、拆除及修補工程。對工程、設備維修審計，我們關注合同保修期，承包與分包的執(zhí)行力。如：2009年4月7日，按院部要求審計科對1號樓11層凈化手術(shù)部凈化系統(tǒng)及設備管理維護合同進行內(nèi)部審計調(diào)查?；厩闆r：醫(yī)院的1號樓11層潔凈手術(shù)室安裝工程是上海某潔凈工程有限公司施工的。2008年竣工投入使用。工程最后審定價約為1,648,085.00元（區(qū)財政局提供數(shù)據(jù)）。2009年3月份科室提出該凈化系統(tǒng)及設備需要進行管理維修，醫(yī)院與該公司暫簽了1個2年期的“維護”合同，合同價款（人民幣大寫）暫定貳拾肆萬元整（240,000.00元）。調(diào)查說明：我們從后保科處得到了該系統(tǒng)的原“工程分包施工合同”的復印件。合同為三方合同，即總包單位某建設工程發(fā)展有限公司，分包單位某潔凈工程有限公司，建設單位是我們醫(yī)院。工程分包項目基本情況明確反映，本專業(yè)分包合同保修期為2年。2009年科室提出該凈化系統(tǒng)及設備需要進行管理維修屬于合同保修期范圍內(nèi)，正常維護。調(diào)查建議：醫(yī)院（目前）無需與上海某潔凈工程有限公司簽訂“維護合同”。2008年竣工的項目2年的維修期，應執(zhí)行合同約定。認真閱讀合同，可以避免醫(yī)院成本重復支出。醫(yī)院在收入一定的情況下，履行減少支出的職責，有利于醫(yī)院發(fā)展。醫(yī)院的風險評估是提供符合公認會計原則的財務報告有關風險的確認、分析和管理。風險評估過程必須判明醫(yī)院完成既定的目標存在的外部風險，分析各風險的類型和程度，為風險管理提供依據(jù)。醫(yī)院管理層應制訂計劃、程序或行動來避免具體風險。3.控制活動的評價。企業(yè)組織開展控制活動評價，應當以企業(yè)內(nèi)部控制基本規(guī)范和各項應用指引中的控制措施為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對相關控制措施的設計和運行情況進行認定和評價。企業(yè)控制活動。企業(yè)管理層為確保風險對策有效執(zhí)行和落實，所采取的措施和程序，主要包括批準、授權(quán)、驗證、協(xié)調(diào)、復核、定期盤點、記錄核對、財產(chǎn)的保護、職責的分離、績效考核等內(nèi)容?？刂苹顒邮瞧髽I(yè)根據(jù)風險評估結(jié)果，采用相應的控制措施，將風險控制在可承受度之內(nèi)。控制措施一般包括：不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等?？刂拼胧┑膶嵤┚托纬闪藘?nèi)部控制制度，這是內(nèi)部審計評價的重要內(nèi)容。評價不相容職務分離控制的實施，內(nèi)部審計應當系統(tǒng)分析業(yè)務流程中的控制點；評價授權(quán)審批控制的實施，內(nèi)部審計對企業(yè)編制的常規(guī)授權(quán)權(quán)限指引進行審查；內(nèi)部審計通過對財產(chǎn)的記錄、盤點資料、報表等定期或不定期的進行重點抽查，審查相關手續(xù)、記錄是否完整，賬務處理是否及時正確來評價企業(yè)財產(chǎn)保護措施實施情況；關注企業(yè)預算控制的有效性，一方面是預算編制的可行性、準確性，另一方面是可行準確的預算得到了切實的執(zhí)行；評價營運情況，分析制度的有效運行，關注其是否能合理分析企業(yè)獲取的各類信息，改善企業(yè)運營狀況，將風險控制在可承受度之內(nèi)；內(nèi)部審計要關注企業(yè)是否建立科學有效的績效考評制度，是否以考評結(jié)果為依據(jù)決定企業(yè)員工的崗位安排。在對企業(yè)控制活動測試時，要重點審核組織機構(gòu)方面采取的控制活動。在組織結(jié)構(gòu)方面重點審核：機構(gòu)、崗位及職責權(quán)限是否合理設置和分工，不相容職務是否相互分離，是否成立相關法律事務部門和職能，對采購與驗收等環(huán)節(jié)是否設置相互監(jiān)督制度，做到人員分離。針對信息系統(tǒng)設置相應的控制環(huán)節(jié)和程序。控制活動是管理者為了確保管理指令能夠得以有效實施而制定的各項政策和程序。政策是控制活動應遵循的原則，程序是具體的控制活動。我國存在著授權(quán)不足的現(xiàn)象，這樣容易出現(xiàn)侵權(quán)行為，使得管理層逾越到內(nèi)部控制之上，從而導致舞弊行為的發(fā)生。此外，如控制活動設計不合理、缺乏完整有效執(zhí)行的規(guī)章制度，企業(yè)的各項政策和程序就難以發(fā)揮有效作用，也可能會給有舞弊動機的人以可乘之機。以醫(yī)院為例闡述控制活動的評價：對醫(yī)院中心實驗室的審計工作。醫(yī)院中心實驗室成立于2000年，成立初期院部并沒有“建賬立制”的要求，在規(guī)范流程上有一些欠缺之處。而實驗室從成立開始就自發(fā)地建立了自己的“臺帳”，同時對一些“合同協(xié)議”用自己的方式方法進行管理。幾年后實驗室又成立了“藥物臨床試驗機構(gòu)”，同時科室每年都有自己的課題與科研經(jīng)費。經(jīng)過對中心實驗室基金、藥物臨床試驗基金和課題經(jīng)費的審計，發(fā)現(xiàn)主要存在以下薄弱環(huán)節(jié)：財務科沒有分項目核算每項“基金”，造成基金的收、付、存“統(tǒng)賬”；“統(tǒng)賬制”核算，財務監(jiān)督管理比較薄弱，合同協(xié)議檔案保管不規(guī)范。具體表現(xiàn)在中心實驗室基金使用方面：財務科賬務處理記錄“其他應付款”，不分具體項目核算。使用臨床試驗基金方面：財務方面不夠規(guī)范，會計科目“專用基金-科研基金-藥物臨床試驗經(jīng)費-中心實驗室”設置欠規(guī)范。表現(xiàn)為項目基金實行“流水賬”核算，各項目沒有建立對應核算關系，不能反映各項目基金的取得、使用、結(jié)余。隨著年份的增加，分類分項目比較困難，財務科監(jiān)控力度漸顯弱化，不便于檢查、考核、細化賬務管理。檔案管理欠規(guī)范：年的項目協(xié)議與合同均有中心實驗室科室自己保管，審計核對協(xié)議或合同缺乏核對資料。不符合“檔案管理登記試行辦法”的有關規(guī)定。合同或協(xié)議沒有明確編號，歷年的合同或協(xié)議“對應”區(qū)分比較困難?？蒲谢鸬氖褂茫赫n題經(jīng)費“統(tǒng)賬”核算，分類分項困難。分析其原因科室反映主要是一些預實驗項目或已立項尚未批準的科研項目啟動基金無法落實。（二）內(nèi)部審計開展內(nèi)部控制評價的途徑4.信息與溝通的評價。企業(yè)開展信息與溝通評價，應當以內(nèi)部信息傳遞、財務報告、信息系統(tǒng)等相關應用指引為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統(tǒng)的安全性，以及利用信息系統(tǒng)實施內(nèi)部控制的有效性等進行認定和評價。信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。信息是企業(yè)的資源，是企業(yè)各種經(jīng)營管理行為的依據(jù)，信息的質(zhì)量對管理層能否作出恰當?shù)慕?jīng)營管理決策具有重大影響。充分、及時的溝通有助于管理層了解經(jīng)營活動存在的問題，客觀地評價各部門的工作。迅速采取有效的管理措施來保證企業(yè)經(jīng)營活動的健康運行。信息與溝通評價主要包括企業(yè)獲取及處理信息的能力。內(nèi)部審計要對企業(yè)信息系統(tǒng)的健全性、有效性和安全性進行審查與評價。公允的信息必須被確認、捕獲并以一定形式及時傳遞，以便員工履行職責。信息系統(tǒng)產(chǎn)出是涵蓋經(jīng)營、財務外報告相關的外部事件、行為和條件等。有效的溝通從廣義上說是信息的自上而下、橫向以及自下而上的傳遞。所有員工必須從管理層得到清楚的信息，認真履行控制職責。員工必須理解自身在整個內(nèi)控系統(tǒng)中的位置，理解個人行為與其他員工工作的相關性。員工必須有向上傳遞重要信息的途徑。同時，與外部諸如客戶、供應商、管理當局和股東的之間也需要有效的溝通。沃爾瑪信息系統(tǒng)的組建過程，從董事到部門主管，全部參與，使得投入的人力、物力和資金嘆為觀止，收到的效益也是令人乍舌。這幾年來，我國大部分企業(yè)顯然已經(jīng)開始逐漸加大對信息系統(tǒng)的重視。許多公司成立了相應的IT部，并且其地位開始從二級管理輔助部門向“一把手工程”轉(zhuǎn)變。北京翠微集團在創(chuàng)建之始就提出：管理手段要采用高新技術(shù)。正是在現(xiàn)代科技手段與現(xiàn)代管理理念相結(jié)合的基礎上，翠微集團在短時間內(nèi)崛起，并在中國商界占有一席之地。以醫(yī)院為例闡述信息系統(tǒng)和溝通的審計醫(yī)院對于怎樣提高臨床科室的經(jīng)濟效益方面的內(nèi)部控制制度有一些規(guī)定：選定了“面神經(jīng)癱瘓”、“扁桃體手術(shù)”和“突發(fā)性耳聾”三個項目進行了解和評價，對其病種的發(fā)病原因（醫(yī)生協(xié)助分析）、年齡段、性別類型、費用明細以及比重分析分別作了詳細的表格式說明。通過對單病種的治療、檢查、用藥和收費等方面了解剖析，提出一些比較有用的信息供臨床科主任參考，制定有科學依據(jù)的措施，降低或解決病人看病貴的問題。對于病種經(jīng)濟負擔的計算控制，抽取樣本數(shù)164例。時間跨度是：2006年2009年5月1.“面神經(jīng)癱瘓癱”單病種基本費用表；2.“扁桃體手術(shù)”單病種基本費用表；3.“突發(fā)性耳聾”單病種基本費用表。住院人數(shù)分別是面神經(jīng)癱瘓51例，扁桃體手術(shù)41例，突發(fā)性耳聾72例。住院總費用分別面神經(jīng)癱瘓32.81萬元，扁桃體手術(shù)17.12萬元，突發(fā)性耳聾45.49萬元。平均住院天數(shù)分別是面神經(jīng)癱瘓27天，扁桃體手術(shù)10天，突發(fā)性耳聾24天。平均住院費用分別是面神經(jīng)癱瘓6433.33元，扁桃體手術(shù)4175.61元，突發(fā)性耳聾6318.06元?；疾∪巳航y(tǒng)計（男女老少）來醫(yī)院診斷的男女老少人數(shù)：男性病人75例，女性病人89例。其中老年病人58例，扁桃體手術(shù)16歲以下病人4例，1660歲人群患病102例，占總樣本數(shù)62.2%。同時“統(tǒng)計表”也反映了面神經(jīng)癱瘓與突發(fā)性耳聾中老年人較多，慢性扁桃體炎年輕人比較多。統(tǒng)計中還發(fā)現(xiàn)面神經(jīng)癱瘓病人男性比較多，而突發(fā)性耳聾病人則女性比較多。三種單病種的平均住院費用分別為：面神經(jīng)癱瘓6433.33元，扁桃體手術(shù)4175.61元，突發(fā)性耳聾6318.06元。調(diào)查總結(jié)：單病種核算模式為醫(yī)院提供有效的決策支持。為今后開展項目成本、病種成本核算打基礎，為醫(yī)院持續(xù)發(fā)展提供信息資料。一個健全的醫(yī)院內(nèi)部控制系統(tǒng)必須擁有一套完善的有關信息傳遞、溝通與反饋的信息系統(tǒng)。信息是組織的命脈，不只因為信息能夠在結(jié)構(gòu)、技術(shù)、創(chuàng)新等方面輔助決策制定，還因為信息是組織連接醫(yī)生和患者的“紐帶”。溝通則是要讓每個職工對于其在內(nèi)部控制及財務報告中的作用與責任有充分的了解，它包括個人對于其行為對他人造成的影響的認識以及各部門之間業(yè)務活動的相互協(xié)調(diào)。5.內(nèi)部監(jiān)督的評價。企業(yè)組織開展內(nèi)部監(jiān)督評價，應當以企業(yè)內(nèi)部控制基本規(guī)范有關內(nèi)部監(jiān)督的要求，以及各項應用指引中有關日常管控的規(guī)定為依據(jù)，結(jié)合本企業(yè)的內(nèi)部控制制度，對內(nèi)部監(jiān)督機制的有效性進行認定和評價，重點關注監(jiān)事會、審計委員會、內(nèi)部審計機構(gòu)等是否在內(nèi)部控制設計和運行中有效發(fā)揮監(jiān)督作用。企業(yè)檢查與監(jiān)督。在對企業(yè)該項活動測試時，要重點審核公司是否已制定了內(nèi)部控制檢查監(jiān)督辦法，該項工作是否在董事會或?qū)徲嬑瘑T會直接領導下，有風險管理部門或?qū)徲嫴块T具體負責實施，并有相關制度。內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進。內(nèi)部控制是一個動態(tài)管理過程，隨著時間的推移和環(huán)境的變化，曾經(jīng)有效的內(nèi)部控制可能會變得無效，因此，對內(nèi)部控制的制定、執(zhí)行及效果需要進行跟蹤式的監(jiān)督與評價，以便滿足管理當局根據(jù)環(huán)境變化適時調(diào)整內(nèi)部控制系統(tǒng)的需要，確保內(nèi)部控制系統(tǒng)完整、有效。內(nèi)部監(jiān)督評價主要就是評價監(jiān)督機制是否執(zhí)行并有效。監(jiān)控是為了保證內(nèi)部控制的有效實施，對企業(yè)內(nèi)部控制框架進行評價的過程。通過對內(nèi)部控制的監(jiān)控，可以發(fā)現(xiàn)內(nèi)控制實施過程中存在的問題，針對發(fā)現(xiàn)的內(nèi)控漏洞予以盡快修補，可以達到防范舞弊和完善內(nèi)控制度的目的。我國對內(nèi)部控制進行監(jiān)控的主體應該是內(nèi)部審計部門及類似機構(gòu)，然而目前企業(yè)內(nèi)部審計的監(jiān)督職能并沒有真正實現(xiàn)，而是依靠行政干預建立起來的審計機制很難受到重視，在這種情況下，不可避免的出現(xiàn)舞弊行為。以醫(yī)院為例闡述對控制的監(jiān)督管理的審計醫(yī)院的制度規(guī)定，內(nèi)部審計部門參與對“醫(yī)院藥品、醫(yī)療器械、醫(yī)用試劑和總務物資采購相關遴選會議”。對醫(yī)院的財產(chǎn)物資購置提前介入，便于醫(yī)院監(jiān)督資產(chǎn)的管理。這就強化了一個內(nèi)部審計部門的監(jiān)督的職能。（二）記錄內(nèi)部控制評價工作內(nèi)部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、主要風險點、采取的控制措施、有關證據(jù)資料以及認定結(jié)果等。評價工作底稿應當設計合理、證據(jù)充分、簡便易行、便于操作。三、內(nèi)部控制評價的程序（一）內(nèi)部審計開展內(nèi)部控制評價的途徑1.參與企業(yè)內(nèi)部控制制定，改變內(nèi)部控制在制定階段主要交由相關業(yè)務部門完成的傳統(tǒng)做法，使內(nèi)部控制在建立之時就交由內(nèi)部審計進行評價。內(nèi)部審計師應站在企業(yè)內(nèi)部控制全局的高度，統(tǒng)籌考慮并提出自己的建議，最大限度地克服內(nèi)部控制建立時可能就有的天然缺陷。2.在日常審計項目中，不僅通過內(nèi)部控制評價，確定審計重點和審計風險，用以指導審計工作，而且還要對該項業(yè)務涉及到的內(nèi)部控制的健全性、適當性、執(zhí)行的有效性進行評價，評價其關鍵控制和程序能否保證內(nèi)控目標的實現(xiàn)，能否有效抵御和控制企業(yè)各種風險，發(fā)現(xiàn)控制弱點和控制缺陷，及時報告管理層。3.對企業(yè)內(nèi)部控制單獨立項，專門評價。隨著現(xiàn)代企業(yè)制度的建立和企業(yè)內(nèi)部控制建設進程的加快，傳統(tǒng)的報表審計、經(jīng)濟責任審計已遠遠不能滿足管理層對內(nèi)部審計的要求，內(nèi)部審計應該在企業(yè)內(nèi)部控制中發(fā)揮更大的作用，將內(nèi)部控制的監(jiān)督、評價作為重要的工作內(nèi)容，單獨立項，專門評價。分步驟、有計劃地對企業(yè)各部門、各環(huán)節(jié)的內(nèi)部控制進行綜合評價和全面測試，衡量企業(yè)內(nèi)部控制建立健全程度和抵御風險能力，尋找內(nèi)部控制薄弱環(huán)節(jié)，提出強化內(nèi)控建設的措施，以防范和化解企業(yè)各種經(jīng)營風險，提高企業(yè)管理水平。4.組織管理部門開展內(nèi)部控制自評。內(nèi)部控制自評是指由內(nèi)部審計人員與被審部門管理人員組成審計小組，管理人員在內(nèi)部審計人員的幫助下，對本部門內(nèi)部控制的恰當性和有效性進行評估，提出報告。內(nèi)部控制自評可以讓管理部門更好地熟悉本部門內(nèi)部控制情況，明確本部門對企業(yè)內(nèi)部控制的責任，促進其更好地履行職責；同時，還可以從執(zhí)行者的角度更好地反映當前內(nèi)部控制中存在的問題。既降低了審計成本，減少了審計人員工作量，又使內(nèi)部審計達到了更好的效果。評價企業(yè)內(nèi)部控制的有效性實質(zhì)是評價內(nèi)部控制為相關目標的實現(xiàn)提供的保證水平是否達到或超過合理保證的水平。如果保證的水平處于有效內(nèi)部控制的區(qū)間內(nèi)，則內(nèi)部控制是有效的，如果保證的水平低于合理水平，則內(nèi)部控制是無效的。從另一個角度來看，就是評價相關目標的風險在經(jīng)過內(nèi)部控制之后是否已經(jīng)降低到了一個適當?shù)乃?，如果已?jīng)降到了一個適當?shù)乃剑瑒t內(nèi)部控制是有效的；反之，則無效。（二）內(nèi)部控制評價的程序企業(yè)應當按照內(nèi)部控制評價辦法規(guī)定的程序，有序開展內(nèi)部控制評價工作。內(nèi)部控制評價的具體組織實施工作可以授權(quán)給內(nèi)部審計部門或?qū)ｉT機構(gòu)負責。內(nèi)部控制評價程序一般包括：1.制定評價工作方案。評價方案應明確評價范圍、工作任務、人員組織、進度安排和費用預算等相關內(nèi)容，報經(jīng)董事會或其授權(quán)機構(gòu)審批后實施。內(nèi)部審計開展內(nèi)部控制評價的范疇不應局限于內(nèi)部會計控制。長期以來，人們對內(nèi)部控制評價的定位，一直站在制度基礎審計的角度，集中于會計控制。會計控制是企業(yè)內(nèi)部控制系統(tǒng)最基礎的控制平臺，是企業(yè)內(nèi)部控制的主要內(nèi)容，但絕不是惟一內(nèi)容。以目前我國許多上市公司為例，有些公司雖然會計制度比較健全，但由于忽略控制環(huán)境問題，使管理環(huán)節(jié)存在諸多缺陷，導致會計控制失效的事例頻頻發(fā)生。每個企業(yè)關于內(nèi)部控制自我評價范圍、原則和目標并不相同，但一般應采用全員參與的、整個流程范圍的自我評價。并要在所有的關鍵的利益相關者之間進行交流、調(diào)整，如內(nèi)部審計師、高層管理人員和董事會。內(nèi)部控制評價范圍的確定應當遵循風險導向、自上而下的原則來確定需要評價的分支機構(gòu)、重要業(yè)務單元、重點業(yè)務領域或流程環(huán)節(jié)。2.作用和責任的限定 有效的內(nèi)部控制自我評價關鍵在于對參與者的作用和責任的限定。包括控制活動過程的崗位責任者，內(nèi)部控制自我評價的測試人員以及復核人員。一般而言，一個過程的崗位負責人應該是一個擁有較強的項目管理技術(shù)的專家并且足夠資深，以確保無論在何種情況下，內(nèi)部控制自我評價能對風險優(yōu)先排序。對測試人員要實行詳細的檢驗，并將相應的結(jié)果文件化，測試人員必須對自我評價的過程理解并對所測試的基本控制進行適當?shù)臋?quán)衡，并且以合理程度的專業(yè)懷疑態(tài)度和獨立性進行測試。內(nèi)部控制自我評價的復核人員也必須對實施有效的復核過程有足夠的理解。對某一個既定的過程而言，自我評價復核人員邏輯上通常是這個過程的崗位負責人。3.組成評價工作組。評價工作組應當吸收企業(yè)內(nèi)部相關機構(gòu)熟悉情況的業(yè)務骨干參加。評價工作組成員對本部門的內(nèi)部控制評價工作應當實行回避制度。 企業(yè)可以委托中介機構(gòu)實施內(nèi)部控制評價。但是為企業(yè)提供內(nèi)部控制審計服務的會計師事務所，不得同時為同一企業(yè)提供內(nèi)部控制評價服務。由企業(yè)內(nèi)部審計人員組成評價工作組的：出于遵循法律法規(guī)的需要，一般都由內(nèi)部審計人員正式地對內(nèi)部控制自我評價進行評估并發(fā)表相應的意見；或者他們只是簡單地對某個既定過程的基本的內(nèi)部控制在一般的基于風險的審計范圍內(nèi)進行審計。無論內(nèi)部控制自我評價在結(jié)構(gòu)上采用何種方式，關鍵的是對上述人員的作用加以規(guī)定，并從項目涉及的各個參與人的視角進行協(xié)調(diào)，達成一致意見。企業(yè)（或總部）應當成立內(nèi)部控制檢查評價工作領導小組（以下簡稱“檢評領導小組”），組長由主要負責人擔任，副組長由總會計師/分管財務領導擔任，成員由財務、審計、人事、監(jiān)察、銷售、采購等部門的主要負責人組成。檢評領導小組應當根據(jù)實際情況，按照成本和效益原則，確定或組建內(nèi)部控制檢查評價工作組（以下簡稱“檢評組”）。檢評組可以設在（或授權(quán)）財務或?qū)徲嫴块T，也可另行組成由財務、審計、人事、監(jiān)察等有關部門相關人員參加的檢評組，組長可由審計部門負責人擔任。4.提出實施的具體要求 對每一個關鍵控制的目標如何進行測試要制定測試手冊。包括事先確定樣本的規(guī)格、具體測試的步驟、步驟保留的證據(jù)以及每項測試通過與不通過的組成內(nèi)容?？梢远嗦犎⊥獠繉徲嫀熂捌渌麑＜业囊庖姟z評組人員根據(jù)工作計劃，按規(guī)定的抽樣比例和方法，隨機抽取各類業(yè)務的樣本。同時依據(jù)各自的分工，對所抽取的業(yè)務樣本控制點，按照規(guī)范的業(yè)務流程表中控制點和不相容職務/崗位分離及授權(quán)等要求，實施控制測試。5.實施現(xiàn)場測試。評價人員應綜合運用個別訪談、調(diào)查問卷、專題討論、穿行測試、抽樣等方法，充分收集被評價單位內(nèi)部控制設計和運行是否有效的證據(jù)，按照評價的具體內(nèi)容，如實填寫評價工作底稿，研究分析內(nèi)部控制缺陷。企業(yè)層面評估測試方法主要有：調(diào)查問卷、管理層訪談、獲取并審閱相關文檔抽樣進行測試等。6.認定控制缺陷。當某項控制或若干項控制的設計或運行不能使管理層或員工在日常履行其職責，及時防止或發(fā)現(xiàn)差錯，則說明存在著控制缺陷。分為設計缺陷和運行缺陷。當存在設計缺陷時，表明必要的控制或控制的必要成分缺失，無法達到控制目標或者現(xiàn)有的控制設計不當，即使按設計執(zhí)行后仍無法滿足控制目標。 在內(nèi)部控制自我評價測試中，如果內(nèi)部控制的缺陷已經(jīng)被確認，或者是對所設計的控制有某些擔心或者失敗已確認，則應盡快啟動對差異的矯正。確認已有的控制和最佳的控制之間的差距，從而不斷改善、發(fā)現(xiàn)和掌握使內(nèi)部控制程序和內(nèi)部控制本身更有效的方法。如果最終獲得的支持性文檔不能支持控制活動的存在性與有效性，而導致判斷該控制存在缺陷，則需要將該文檔內(nèi)容的具體描述、不能滿足要求的原因詳細填寫在“附注/解釋”一欄中。企業(yè)層面內(nèi)部控制評估中要形成如下主要文檔：企業(yè)層面內(nèi)部控制調(diào)查問卷；控制測試工作底稿；支持性文檔檢查清單與支持性文檔；發(fā)現(xiàn)問題匯總表等。7.匯總評價結(jié)果。實施內(nèi)部控制自我評價后，要正式地征求反饋意見，總結(jié)經(jīng)驗和教訓，使其不斷得到完善。檢評組人員將檢查測試情況按每筆業(yè)務逐筆如實進行記錄（包括抽查時間、抽查方法、抽查的具體業(yè)務合同或憑證編號、檢查測試得分結(jié)果等），建立檢查評價工作底稿，簽字后交檢評組負責人或其授權(quán)人員審核簽字。企業(yè)需要從定性和定量兩方面進行衡量，判斷是否構(gòu)成內(nèi)部控制缺陷。如果存在下列情況之一，則可認定內(nèi)部控制存在設計或運行缺陷：（1）未實現(xiàn)規(guī)定的控制目標；（2）未執(zhí)行規(guī)定的控制活動；（3）突破規(guī)定的權(quán)限；（4）不能及時提供控制運行有效的相關證據(jù)。針對每一個控制缺陷，都必須提出整改建議。整改建議需要由問卷和測試的填寫人與執(zhí)行人在問卷和測試填寫完成后與相關部門管理層討論后擬定完成；整改建議必須內(nèi)容具體，切實可行。而且要列出控制缺陷的風險級別，最好由內(nèi)控評價負責人評估及填寫。8.編報評價報告。評價人員對檢查出來的各類問題統(tǒng)一進行復核和確認，匯總檢查評價結(jié)果，根據(jù)評價實施情況，編制評價報告，并向有關人員和機構(gòu)報告。四、內(nèi)部控制評價的方法傳統(tǒng)的內(nèi)部控制評價模式主要是采用“內(nèi)部控制調(diào)查問卷”和符合性測試，對企業(yè)已經(jīng)存在的內(nèi)部控制進行評價，審計報告中的建議也是管理當局早已經(jīng)知道的，缺乏新意。風險導向?qū)徲嫹ㄒ髢?nèi)部審計人員改變傳統(tǒng)的評價模式，把審計的起點放在關注企業(yè)發(fā)展戰(zhàn)略和識別企業(yè)業(yè)務流程的風險上，分析風險，并提出控制風險的建議和方法。從內(nèi)部控制評價本身以及目前的發(fā)展情況來看，主要存在詳細評價法和風險基礎評價法兩種方法。1.詳細評價法詳細評價法的邏輯和程序如圖1所示：2.風險基礎評價法風險基礎評價法的邏輯和程序如圖2所示：風險基礎評價法與詳細評價法的區(qū)別類似于財務報表的詳細審計與財務報表的風險基礎審計，主要體現(xiàn)在以下幾個方面： 第一，風險基礎法首先評估實現(xiàn)內(nèi)部控制相關目標的風險，根據(jù)風險評估的結(jié)果對照企業(yè)的內(nèi)部控制，參考內(nèi)部控制框架來判斷企業(yè)內(nèi)部控制設計的有效性。 第二，風險基礎法需要更高程度的專業(yè)判斷。無論是評價內(nèi)部控制設計的有效性，還是測試內(nèi)部控制運行的有效性都是根據(jù)最初的風險評估和后續(xù)的風險評估進行的，這與詳細評價法下根據(jù)一個確定的框架來評價相比需要更高程度的專業(yè)判斷。比較上述兩種評價方法的優(yōu)劣以及從國際發(fā)展的總體趨勢來看，風險基礎的內(nèi)部控制評價方法必然是未來的發(fā)展方向，因為無論是基于成本效益的考慮，還是與企業(yè)的實際情況相結(jié)合，從確保評價的合理性來說，風險基礎評價法都比詳細評價法具有明顯的優(yōu)勢。在內(nèi)部審計領域，人們似乎對風險導向?qū)徲嫹椒ㄓ兄c外部審計不同的理解。內(nèi)部審計師更多地將風險導向?qū)徲嬛械摹帮L險”擴大為企業(yè)或組織在經(jīng)營過程中面臨的不能實現(xiàn)其目標的各種風險，并將其作為確定審計項目及其審計重點的依據(jù)。內(nèi)部審計領域的風險導向?qū)徲嬍且杂绊懫髽I(yè)經(jīng)營目標實現(xiàn)的經(jīng)營風險為依據(jù)確定審計項目，以企業(yè)進行的所有降低風險的活動為測試重點，評價風險降低的充分性和有效性，并提出恰當?shù)慕档惋L險的建議的一種方法。在內(nèi)部審計領域?qū)嵤╋L險導向?qū)徲?，改變了?nèi)部審計人員探討風險和內(nèi)部控制的方法，改變了過去那種內(nèi)部審計人員以檢查歷史業(yè)務記錄和內(nèi)部控制系統(tǒng)的歷史運營情況提出建議和意見的方式，變?yōu)楦雨P注企業(yè)面臨的風險和企業(yè)未來的發(fā)展及企業(yè)為降低風險所進行的一項管理活動。評價內(nèi)部控制并非為了控制本身，而應針對企業(yè)經(jīng)營過程中可能面臨的風險。在風險導向?qū)徲嫹ㄏ?，?nèi)部審計更為關心的是下列問題：與控制相關的目標是什么？這種控制要解決的問題是什么？這種控制是否對被審計單位的經(jīng)營活動有益？是否存在重復控制？什么樣的風險水平是可以接受的？控制的效果是否影響管理當局決策？只有清楚地了解了這些，內(nèi)部審計人員才能辨別何處控制環(huán)節(jié)過多，何處控制環(huán)節(jié)不充分，何處控制滿意，何處控制需要改善。對企業(yè)內(nèi)部控制評價具體實施的方法主要包括：1.個別訪談。是指企業(yè)根據(jù)檢查評價需要，對被檢查單位員工進行單獨訪談，以獲取有關信息。通過找有關人員談話，可以調(diào)查了解內(nèi)部控制制度，還可以針對可疑賬項或異常情況等向有關人員提出詢問。具體的運用流程是：（1）設計訪談提綱。（2）恰當進行提問。（3）準確撲捉信息，及時收集有關資料。（4）適當?shù)刈龀龌貞?。?）及時作好訪談記錄，一般還要錄音或錄像。2.調(diào)查問卷。是指企業(yè)設置問卷調(diào)查表，分別對不同層次的員工進行問卷調(diào)查，根據(jù)調(diào)查結(jié)果對相關項目做出評價。是一種用于只需簡單回答為是否或者有無的調(diào)查工具。業(yè)務流程的具體操作者使用調(diào)查結(jié)果去評估他們的控制結(jié)構(gòu)。設計企業(yè)層面調(diào)查問卷和問題清單。負責內(nèi)控評價的部門必須負責設計調(diào)查問卷用以記錄公司部門/分支機構(gòu)在各關鍵控制領域具體執(zhí)行情況與評價過程。調(diào)查問卷通常包含如下的欄目： 控制要求（應根據(jù)確定的關鍵控制領域的規(guī)范要求進行細化和明確）；實際操作描述；規(guī)章制度索引/實施記錄索引；負責部門；控制設計缺陷。問卷的審閱人（內(nèi)控評價人員）必須非常了解問卷的整體構(gòu)架和編制思路，能夠做到對整體內(nèi)容的把握。他們需要仔細閱讀各部門的回答，判斷其內(nèi)容是否一致、邏輯性是否清晰，提出問卷描述中不夠詳盡的地方，要求問卷填寫人補充。問卷的審閱人在審閱過程中需要及時與負責內(nèi)控評價的部門就難以把握的問題進行討論；可以在原有的問卷中增加一列，標注審閱意見（已填寫的內(nèi)容是否存在不清楚，不夠完整等情況），以此作為訪談提綱。在訪談時，即可在這些審閱意見下加注訪談對象的回答，最后進行修改問卷。3.專題討論會。是指通過召集與業(yè)務流程相關的管理人員就業(yè)務流程的特定項目或具體問題進行討論及評估的一種方法。如果企業(yè)能夠有效地接受和支持參會者實事求是的發(fā)言，如果組織文化屬支持性的，推薦采用研討會法；如果組織文化不屬于支持性的，那么調(diào)查問卷的回復和管理層對內(nèi)控制度分析能夠強化控制環(huán)境。研討會法是一種從代表組織不同層次尤其是風險薄弱環(huán)節(jié)的工作組中收集內(nèi)部控制信息，召集盡可能多的業(yè)務人員共同分享信息、討論問題的方法。研討會主要有基于控制、流程、風險和目標的四種基本形式。在實踐中，企業(yè)往往同時使用一種以上的形式組合。1）基于控制的研討會形式該形式研討會重點關注內(nèi)部控制的實際運行狀況，即內(nèi)部控制執(zhí)行的有效性。2）基于風險的研討會形式該形式研討會重點關注風險識別和風險管理。該形式研討會容易為正確行動識別出顯著的剩余風險，也較其他方法更易做出全面的自我評估。3）基于流程的研討會形式該形式研討會重點檢查所選擇過程內(nèi)的執(zhí)行活動情況。該研討會的意圖是評價、更新或改進選擇過程。4）基于目標的研討會形式該形式研討會重點關注完成目標的最優(yōu)途徑的選擇方面。研討會的目的是確定是否選擇了最佳的內(nèi)控技術(shù)，是否這些技術(shù)在可接受的剩余風險水平下得到有效的運行。4.管理層分析法。是任何不使用上述方法的方法。管理層可生成一種業(yè)務流程的全員研究的內(nèi)控環(huán)境。內(nèi)部審計師將研究結(jié)果與其他經(jīng)理和關鍵人物收集的信息結(jié)合起來。通過綜合這些素材，開發(fā)出一種業(yè)務流程的具體操作方法，可以在控制中運用的分析框架。5.穿行測試。是指通過抽取一份全過程的文件，來了解整個業(yè)務流程執(zhí)行情況的評估評價方法。6.抽樣。是指企業(yè)針對具體的內(nèi)部控制業(yè)務流程，按照業(yè)務發(fā)生頻率及固有風險的高低，從確定的抽樣總體中抽取一定比例的業(yè)務樣本，對業(yè)務樣本的符合性進行判斷，進而對業(yè)務流程控制運行的有效性做出評價。五、內(nèi)部控制缺陷認定和評價報告（一）內(nèi)部控制缺陷認定1.內(nèi)部控制缺陷的分類內(nèi)部控制缺陷，是指內(nèi)部控制的設計存在漏洞，不能有效防范錯誤與舞弊，或者內(nèi)部控制的運行存在弱點和偏差，不能及時發(fā)現(xiàn)并糾正錯誤與舞弊的情形。內(nèi)部控制缺陷包括設計缺陷和運行缺陷。企業(yè)對內(nèi)部控制缺陷的認定，應當以日常監(jiān)督和專項監(jiān)督為基礎，結(jié)合年度內(nèi)部控制評價，由內(nèi)部控制評價部門進行綜合分析后提出認定意見，按照規(guī)定的權(quán)限和程序進行審核后予以最終認定。（1）設計缺陷設計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或現(xiàn)存控制設計不適當，即使正常運行也難以實現(xiàn)控制目標。內(nèi)部控制不健全是指缺少實現(xiàn)內(nèi)控目標必需的控制，即在企業(yè)生產(chǎn)經(jīng)營活動過程中的某些環(huán)節(jié)、某些方面無章可循。這種情況長期下去，勢必會導致經(jīng)營秩序混亂、賬目不清、決策失誤，降低企業(yè)的抗風險能力，甚至使企業(yè)最終破產(chǎn)倒閉。內(nèi)部控制制度不適當是指現(xiàn)有內(nèi)控設計不合理，以至于即使按設計運行，通常也無法實現(xiàn)內(nèi)控目標。企業(yè)建立的內(nèi)部控制制度不符合企業(yè)生產(chǎn)經(jīng)營活動的實際情況，或生搬硬套其他企業(yè)的內(nèi)部控制制度，或內(nèi)部控制制度陳舊過時，不能適應變化了的內(nèi)控環(huán)境的需要。（2）運行缺陷運行缺陷是指現(xiàn)存設計完好的控制沒有按設計意圖運行，或執(zhí)行者沒有獲得必要授權(quán)或缺乏勝任能力以有效地實施控制。有些企業(yè)表面上似乎建立健全了企業(yè)內(nèi)部控制制度，但往往只是寫在紙上，掛在墻上，形同虛設，這種現(xiàn)象在相當一部分企業(yè)中存在。他們這樣做的目的不過是做做樣子，應付檢查，實際上還是我行我素。此外，企業(yè)內(nèi)部普遍存在授權(quán)不明、權(quán)責不清的情況，這也是內(nèi)部控制不能有效運行的重要原因。內(nèi)部控制在我國的發(fā)展比較快，但是人員素質(zhì)還沒跟上，員工必要的勝任能力不夠，這在中小型企業(yè)中還是比較普遍的現(xiàn)象。2.內(nèi)部控制缺陷的認定標準企業(yè)在日常監(jiān)督、專項監(jiān)督和年度評價工作中，應當充分發(fā)揮內(nèi)部控制評價工作組的作用。內(nèi)部控制評價工作組應當根據(jù)現(xiàn)場測試獲取的證據(jù)，對內(nèi)部控制缺陷進行初步認定，并按其影響程度分為重大缺陷、重要缺陷和一般缺陷。重大缺陷、重要缺陷和一般缺陷的具體認定標準，由企業(yè)根據(jù)上述要求自行確定。美國上市公司會計監(jiān)管委員會（PCAOB）審計準則第2號指出審計師必須評估已發(fā)現(xiàn)的控制缺陷，并且決定這些缺陷單獨或累加之后，是否是重要缺陷或?qū)嵸|(zhì)性漏洞。根據(jù)缺陷對企業(yè)影響的嚴重程度可以分為3類。對缺陷的嚴重性進行評估應當包括定量和定性兩個方面。重大缺陷（或稱實質(zhì)性漏洞）實質(zhì)性漏洞是指一個或多個一般缺陷的組合，可能嚴重影響內(nèi)部整體控制的有效性。進而導致企業(yè)無法及時防范或發(fā)現(xiàn)嚴重偏離整體控制目標的情形。 重要缺陷是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致企業(yè)無法及時防范或發(fā)現(xiàn)偏離整體控制目標的嚴重程度依然重大，須引起企業(yè)管理層關注。一般缺陷沒有特別規(guī)定，但可以推測是以上兩種缺陷之外的缺陷沒有特別規(guī)定，但可以推測是以上兩種缺陷之外的缺陷。根據(jù)上述定義，判斷和