内部审计如何做好内部控制评价工作？

内部审计如何做好内部控制评价工作内审机构应足够认识到内控评价对企业发挥的积极作用。一方面通过内控评价发现企业控制薄弱环节倒逼组织管控机制的建立健全，改善组织管理，促进组织目标的实现；另一方面内部审计机构可以适当规避在单一审计项目所关注的点或线上的问题，而是点、线、面相结合的大局问题，眼界更开阔，思路更前瞻。那么，问题来了：1.如何开展内控评价（评价标准、方法、缺陷认定、评价程序、评价小帖士）？2.怎样写内控评价审计报告？3.内控评价工作中存在的误区？........结合多年工作实践或体会，特总结如下。‍

构建评价标准评价内容主要包括内部环境、风险评估、控制活动、信息与沟通、内部监督。内部环境治理结构包括：治理结构设计、组织结构设置、控（参）股公司管理（公司章程、人员任命及考核）、管控权限设置、制度标准管理（制度建设计划管理、制度制定管理、制度宣贯管理、制度执行监督管理等）机构设置及权责分配公司结合自身业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。董事会负责内部控制的建立健全和有效实施。董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部不控制自我评价情况，指导及协调内部审计及其他相关事宜等。监事会对董事会建立于实施内部控制进行监督。管理层负责组织领导企业内部控制的日常运行。公司在内控责任方面明确了各子公司第一责任人作为内控第一责任人，落实各一线公司各部门的内控责任，在总部统一的管理框架下，自我能动地制定内控工作计划并监督落实。内部审计审计部负责内部检查及内部审计工作，通过开展综合审计、专项审计或专项调查等业务，评价内部控制设计和执行的效率与效果，对公司内部控制设计及运行的有效性进行监督检查，促进集团内控工作质量的持续改善与提高。对在审计或调查中发现的内部控制缺陷，依据问题严重程度向监事会、审计委员会或管理层报告，并监督相关部门予以整改。人力资源政策公司制定和实施有利于企业可持续发展的人力资源政策，将职业道德和专业能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。人力资源部每年制定相关培训计划，组织具体培训活动，培养专业人员全面的知识和技能。为进一步完善万科职业道德风险防范体系。建立并完善了员工奖惩信息管理系统，严重违法违纪行为可通过集团外部网站进行查询。企业文化风险评估为促进公司持续、稳健、稳定发展，实现经营目标，公司根据既定的发展策略，结合不同发展阶段和业务拓展情况，全面、系统、持续地收集相关信息，及时进行风险评估，动态地进行风险识别和风险分析，并相应调整为风险应对策略。公司由相关部门负责对经济形势、产业政策、市场竞争、资源供给等外部风险因素以及财务状况、资金状况、资产管理、运营管理等内部风险因素进行识别研究，并采用定量及定性相结合的方法进行风险分析与评估，为管理层制定风险应对策略和提供依据。控制活动控制措施包括：职责分离控制公司对岗位设置按照职责分离的控制要求，形成各司其职、各负其责、相互制约的工作机制。授权审批控制公司各项需审批业务有明确的审批权限及流程，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。公司及各子公司的日常审批业务通过在信息化平台上进行自动控制以保证授权审批控制的效率和效果。会计系统控制公司严格遵照国家统一的会计准则和会计制度，建立了规范的会计工作程序。加强集团会计管理，提高会计工作的质量和水平。与此同时，公司通过不断加强财务信息系统的建设和完善，财务核算工作全面实现信息化，有效保证了会计信息及资料的真实、完整。财产保护控制公司建立了财产日常管理制度和定期清查制度，通过设立台账对各项实物资产进行记录、管理，坚持采取定期盘点及账实核对等措施，保障公司资产安全。经营分析控制公司通过编制营运计划及成本费用预算等实施预算管理控制，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，并通过对营运计划的动态管理强化预算约束，评估预算的执行效果。绩效考评控制应制定《集团绩效考核管理办法》以明确规范绩效考核工作，坚持客观公正、规范透明、绩效导向原则，按期组织季度考核、年度考核，使绩效考核结果能为薪酬分配人才甄选与培养、团队优化、薪金福利调整等提供决策依据。信息与沟通应制定《集团信息管理办法》《集团信息保密制度》等在内的各项制度，规范公司经营管理信息传递活动。日常经营活动中，公司建立了定期与不定期的业务与管理快报、专项报告等信息沟通制度，便于全面、及时地了解公司经营管理信息。公司致力于信息安全管理体系建设，制定了一系列信息安全方针、策略和制度，以保护公司信息资产的安全。通过持续运用信息化手段、优化信息流程、整合信息系统，不断提高管理决策和运营效力。流程与信息管理部作为信息化工作的执行及管理机构，负责公司财务系统，业务运营系统和办公管理系统的规划、开发与管理，组织公司各类信息系统的开发与维护，在全公司范围内提供信息系统共享服务。内部监督公司建立起涵盖总部、区域、一线多层级的监督检查体系，通过常规审计、专项调查以及聘请第三方检查机构等多种形式对各业务领域的控制执行情况进行评估和督查，有利于提高内部控制工作质量。公司设立专门负责受理违反职业道德行为的专业反舞弊网站，并对外公示，提供多种举报渠道，鼓励实名举报，实行查实有奖政策。审计部履行内部反舞弊职能，开展专项调查，发挥监督作用。监事会建立了对各子公司的巡查机制，通过现场走访、员工约谈等方式，共同促进内控管理水平的提高。监事会建立了对各子公司的巡查机制，通过现场走访、员工约谈等方式，共同促进内控管理水平提高。‍

构建评价程序1.审计人员应深入研究领会组织战略目标。2.根据影响组织战略目标实现的程度，识别重大风险并对风险进行评估。3.针对前十大风险列出关键的控制点或环节，与现有的内控制度进行对比、测试，找出现有制度设计的适当性或运行的有效性问题；4.对问题按影响程度或事先确定的评价标准按重大缺陷、重要缺陷、一般缺陷。5.针对缺陷提出改善内控管理的审计建议、风险提示。6.提交内控评价审计报告。7.被评价单位提报内控改善方案。8.审计跟踪整改情况并报告。‍

构建评价方法《企业内部控制评价指引》第十五条规定，内部控制评价工作应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。‍

评价缺陷认定内部控制缺陷的重要性和影响程度《企业内部控制评价指引》第十六条规定，企业对内部控制缺陷的认定，应以日常监督和专项监督为基础，结合年度内部控制评价，按照规定的权限和程序进行审核后以最终认定部控制评平价部门进行综合分析后认定。，一般按财务报告内控缺陷和非财务报告内控缺陷。财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性，因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。换句话说，财务报告内部控制的缺陷是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷。所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、 资产安全、经营目标、合规目标等非财务报告评价应 作为企业内部控制评价的重点。参照财务报告内部控制缺陷根据其对企业内部控制目标实现的影响的实际情况、管理现状和发展要求加以细化或按内控原理补充，合理确定定性和定量的认定标准，认定为-般缺陷、重要缺陷或重大缺陷。‍

内控评价小帖士1.加强内控营销，树立内控意识，营造内控文化。内部控制评价离不开企业各个员工的参与，因此企业要加强内部控制精神文化建设和内部控制制度文化建设，建立全员参与内部控制评价的氛围，使得企业每一位员工，小到保安，大到总经理，全部纳入内控体系中，各自承担相应的内控实施责任。员工全员参与内部控制评价，有助于企业全面树立内控意识，提高评价各个业务层面工作风险的有效性，完善内部控制评价流程，及时发现经营活动、管理活动中存在的漏洞并及时弥补。主要方式有：内控培训、内控评价启动会。邀请公司主要负责人到场，引起各单位的重视，这一点很关键。培训现场组织考试，考试成绩内部公开。2.内控自评是关键。（1）策划并组织好内控评价自评启动会；（2）鼓励各单位主动暴露问题和风险，主动暴露和发现问题风险的，不作为内控评价和审计工作的扣分项；（3）树立公司内控评价方面的典型事例和典型人物，考核加分。对于内控评价没发现什么问题的单位，要求其提交书面说明材料，承诺其内控有效，并经所在单位主要负责人签字后提交；（4）建立通报和问责机制：一旦后续发现内控评价作假，将加重处罚，从严处理，并追回当年度的所获荣誉和所得奖金，且不得参加下一年度的评先评优；对没发现什么问题的单位审计过程中，如发现其内控存在明显缺陷的，将通过合适有效的方式予以通报批评；对于内控评价年年反馈同一类型风险和问题的，要求其限期整改，举一反三，并做好经验反馈。3、内控缺陷整改方案应包括整改措施、责任人和整改期限。审计应及时跟踪整改情况并将整改情况定期在公司内部公开等。

内控评价误区1.内部控制审计和内部控制评价是一回事内部控制评价：内部控制评价是对企业内部控制工作所作出的评价。《企业内部控制评价指引》将内部控制定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评论结论、出具评价报告的过程”，并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然，该指引所称企业内部控制评价是指企业董事会或者类似权力机构做出的自我评价，董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作，但董事会仍对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。对内部控制的设计和运行的有效性进行自我评价并对外披露是管理层解除受托责任的一种方式，董事会可以聘请会计师事务所对其内部控制的有效性进行审计，但其承担的责任不能因此减轻或消除。内部控制审计：《企业内部控制审计指引》第二条规定，“本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明，会计师事务所作为独立主体，接受委托对企业内部控制有效性进行的“审计”，即“按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见”，注册会计师对内控有效性发表的意见承担责任。企业的内部控制审计对公司特别是上市公司来说是具有至关重要的作用，它具有以下几方面的作用 ：揭露企业内控缺陷、维护我国的法律法规、完善市场和经济监督的作用、完善公司内部控制制度以及有助于信息使用者进行投资。2.控制缺陷的标准在任何公司都适用。答案是否定的。参见控制缺陷认定环节。‍

内控评价工作应注意的事项1、不可盲目上马，内审团队胜任时方可展开。（外包除外）内审人应知应会清单：中华人民共和国审计法（2006）中华人民共和国审计法实施条例（2010）关于改进工作作风、密切联系群众的八项规定（中共中央政治局2012 ）审计署关于内部审计工作的规定（审计署11号令，2018）企业内部审计管理暂行办法（国资第8号令2004）中央企业经济责任审计管理暂行办法（国资第7号令2004）中央企业全面风险管理指引（国资委，2006）中央企业境外国有资产监督管理暂行办法（国资委35号令，2017）中央企业违规经营投资责任追究实施办法（国资委201807）中央企业合规管理指引（2018年11月5日）关于印发国务院国资委授权放权清单（2019年20190605）五部委《企业内部控制基本规范》及《配套指引》企业内部控制评价指引企业内部控制审计指引管理会计应用指引第700号-风险管理管理会计应用指引第701号-风险矩阵2.以下情况下不建议做内控评价（仅供参考）。（1）刚成立的公司。（2）刚成立的审计机构。（3） 审计队伍还无法胜任内控评价审计工作。‍

撰写内控评价报告1.原则：应坚持的原则。全面性、重要性、客观性原则2.内部控制评价报告至少应当披露下列内容：总体情况、范围和内容、标准和依据、程序和方法、重大缺陷及其认定情况、整改措施及责任追究情况等‍。3.举例：关于对***公司内部控制情况进行专项评价的审计报告****管理团队：根据年度审计工作计划，我们组成审计组于*****对三家公司（以下简称*公司）内部控制的健全性、适当性和有效性进行了专项评价。现将评价情况汇报如下：一、亮点*公司积极践行集团勇于担当的企业文化。二、评价依据审计组参照财政部等五部委联合发布的《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》等相关法律法规和公司相关制度。三、评价范围本次内部控制评价的范围涵盖了*****公司的主要业务和事项，重点关注下列高风险领域：序号公司名称主要业务和事项1***资金活动、财务核算、资产管理、预算管理、人力资源、组织架构、企业文化、营运管理、企划管理等2***资金活动、财务核算、资产管理、预算管理、品质管理、采购管理、营销管理等3***资金活动、财务核算、资产管理、预算管理、人力资源、品质管理、采购管理、安全管理等四、评价方法评价过程中，我们采用了访谈、调查问卷、穿行测试、实地查验、抽样等方法。五、评价结果根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求，结合公司规模、行业特征、风险水平等因素，经统计，3家产业公司的缺陷认定结果如下：（具体内控缺陷及审计建议详见附表）产业公司缺陷类别缺陷数量业务类别具体描述*公司重大1内控环境：企业文化*公司服务理念等企业文化导向值得商榷重要51.内控环境：组织结构、授权和责任分配、人力资源政策和实务；2.运营管理3.****理：4.大额资产管理内控环境：员工对制度流程、内部沟通及薪酬体系的满意度有待提升。大额资产管理：移交权属不清， ***万元大额资产长期闲置一般21.人事管理：人员聘用及转正；2.财务管理：预算管理、应收账款催收1.人事管理：（1）部分关键岗位的胜任能力值得商榷；（2）员工转正未按制度执行。2.财务管理：.....小计8备注：财务核算、资金管理等业务活动经过相关内控评价，审计暂未发现异常*****重大0重要0一般51.采购管理：采购合同签订、采购价格的确定与管理；2.营销管理：业绩考核、客户信息管理；3.财务管理：财务印鉴管理；4.资产管理：资产领用；5.门卡管理：门卡发放领用....1.采购管理：(1)****供应均未签订合同;(2)部分市场询价记录缺失;(3)采购申请手续未统一。2.营销管理：（1）下半年市场销售部绩效考核方案难以发挥激励作用；（2）客户信息资源未能有序移交。3.财务管理：印章保管不相容职务未分离。4.资产管理：易耗品申领无人签字。5.门卡管理：存在领班卡去向不明现象小计5备注：除以上5项一般缺陷外，审计暂未发现其他异常六、重大风险提示七、审计建议八、附表（具体评价结果）曾国藩：“天下古今之庸人，皆以一“惰”字至败，天下古今之才，皆以一“傲”字至败。静静期待您的指导批评！