初笑音 楊 潔

隨著內(nèi)部控制理論發(fā)展和實(shí)踐積累，我國企事業(yè)單位已逐步認(rèn)識(shí)到內(nèi)部控制的重要性，并有意識(shí)、有計(jì)劃地開展內(nèi)部控制實(shí)踐。中央企業(yè)作為社會(huì)經(jīng)濟(jì)的中堅(jiān)力量和科學(xué)管理的探索先驅(qū)，始終緊跟國家政策，不斷深化內(nèi)部控制實(shí)踐，取得了階段性的成果。如今，面對(duì)錯(cuò)綜復(fù)雜的國際形勢(shì)和國內(nèi)經(jīng)濟(jì)下行壓力，為了穩(wěn)步落實(shí)深化改革、適應(yīng)授權(quán)經(jīng)營、保全國有資產(chǎn)，中央企業(yè)更應(yīng)腳踏實(shí)地、強(qiáng)基固本，以內(nèi)部控制為抓手，推進(jìn)治理體系和治理能力現(xiàn)代化，進(jìn)一步提升防范化解重大風(fēng)險(xiǎn)的能力。內(nèi)控評(píng)價(jià)作為企業(yè)內(nèi)部控制的重要組成部分，亦應(yīng)做出與時(shí)俱進(jìn)的改變。

一、認(rèn)識(shí)內(nèi)部控制新階段

內(nèi)部控制的本質(zhì)是進(jìn)一步強(qiáng)化企業(yè)管理，隨著企業(yè)管理環(huán)境的變化和內(nèi)控實(shí)踐的發(fā)展，不同階段下內(nèi)部控制的方向和重點(diǎn)必然有所不同。2019年11月，國務(wù)院國資委印發(fā)《關(guān)于加強(qiáng)中央企業(yè)內(nèi)部控制體系建設(shè)與監(jiān)督工作的實(shí)施意見》（以下簡(jiǎn)稱《實(shí)施意見》），引領(lǐng)中央企業(yè)進(jìn)入深化內(nèi)部控制實(shí)踐的新階段。正確認(rèn)識(shí)內(nèi)部控制新階段，是優(yōu)化調(diào)整內(nèi)控評(píng)價(jià)工作的前提。

（一）“以查促改、以改促建”是內(nèi)控實(shí)踐的新重點(diǎn)

《實(shí)施意見》明確指出，中央企業(yè)應(yīng)“形成‘以查促改、以改促建’的動(dòng)態(tài)優(yōu)化機(jī)制，促進(jìn)中央企業(yè)不斷完善內(nèi)控體系”。由此，中央企業(yè)必須清晰認(rèn)識(shí)到，加大內(nèi)控評(píng)價(jià)實(shí)施力度已是勢(shì)在必行。

在過去的十余年間，以財(cái)政部等五部門聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引為指導(dǎo)，中央企業(yè)遵循更加科學(xué)、成熟的內(nèi)部控制理論和實(shí)踐經(jīng)驗(yàn)，逐步建立起真正體系化的內(nèi)部控制機(jī)制，完成了“從零到一”的階段性建設(shè)任務(wù)，內(nèi)控體系從“建設(shè)”轉(zhuǎn)入“運(yùn)行”。此時(shí)，內(nèi)控評(píng)價(jià)作為促進(jìn)內(nèi)控體系落地執(zhí)行和持續(xù)優(yōu)化的必要手段，其重要性便日益凸顯。從執(zhí)行角度來看，持續(xù)有效的逆向評(píng)價(jià)是正向監(jiān)督的重要補(bǔ)充，能夠量化內(nèi)控體系運(yùn)行水平，促進(jìn)企業(yè)上下持續(xù)履行內(nèi)控義務(wù)、切實(shí)落實(shí)內(nèi)控責(zé)任。從設(shè)計(jì)角度來看，內(nèi)控體系已經(jīng)過相當(dāng)一段時(shí)間的運(yùn)行，需要系統(tǒng)地檢視其適用性，并針對(duì)性地給予優(yōu)化完善，以保證內(nèi)控體系能夠繼續(xù)健康有效地運(yùn)行，在企業(yè)管理中持續(xù)發(fā)揮積極作用。

（二）“強(qiáng)內(nèi)控、防風(fēng)險(xiǎn)、促合規(guī)”是內(nèi)控評(píng)價(jià)的新方向

《實(shí)施意見》指出，中央企業(yè)應(yīng)“建立健全以風(fēng)險(xiǎn)管理為導(dǎo)向、合規(guī)管理監(jiān)督為重點(diǎn)，嚴(yán)格、規(guī)范、全面、有效的內(nèi)控體系……實(shí)現(xiàn)‘強(qiáng)內(nèi)控、防風(fēng)險(xiǎn)、促合規(guī)’的管控目標(biāo)”，從建立健全內(nèi)控體系、強(qiáng)化內(nèi)控體系執(zhí)行、加強(qiáng)信息化管控方面提出深化內(nèi)控實(shí)踐的一系列具體實(shí)施意見。中央企業(yè)應(yīng)以此為基礎(chǔ)，準(zhǔn)確把握適應(yīng)內(nèi)控實(shí)踐新階段的內(nèi)控評(píng)價(jià)工作新方向，并相應(yīng)探索內(nèi)控評(píng)價(jià)新做法，更加有效地協(xié)調(diào)評(píng)價(jià)資源，完善評(píng)價(jià)內(nèi)容，優(yōu)化評(píng)價(jià)方法，使得內(nèi)控評(píng)價(jià)真正發(fā)揮應(yīng)有的效用。

第一，評(píng)價(jià)方向，緊扣內(nèi)控設(shè)計(jì)“多合一”思路。根據(jù)《實(shí)施意見》，企業(yè)在長(zhǎng)期管理建設(shè)中形成的多個(gè)并行的管理體系將逐漸從“互補(bǔ)”轉(zhuǎn)為“融合”，企業(yè)應(yīng)當(dāng)加速風(fēng)險(xiǎn)管理體系、合規(guī)管理體系、內(nèi)控管理體系有機(jī)融合，并確立內(nèi)部控制體系作為企業(yè)基礎(chǔ)管理體系的核心地位。相應(yīng)地，內(nèi)控評(píng)價(jià)需要關(guān)注內(nèi)控體系設(shè)計(jì)過程對(duì)風(fēng)險(xiǎn)管理及合規(guī)管理既有理論和經(jīng)驗(yàn)的吸收，關(guān)注內(nèi)控體系設(shè)計(jì)結(jié)果是否實(shí)現(xiàn)內(nèi)控管理、風(fēng)險(xiǎn)管理、合規(guī)管理的“責(zé)任融合”和“制度融合”，能否最終以內(nèi)控體系為依托，同步實(shí)現(xiàn)風(fēng)險(xiǎn)管理體系和合規(guī)管理體系的管理目標(biāo)。

第二，評(píng)價(jià)重點(diǎn)，聚焦內(nèi)控執(zhí)行“常態(tài)化”動(dòng)作。根據(jù)《實(shí)施意見》，內(nèi)控執(zhí)行應(yīng)強(qiáng)調(diào)三個(gè)“常態(tài)化”，一是常態(tài)化地將風(fēng)險(xiǎn)評(píng)估作為決策前置環(huán)節(jié)，二是常態(tài)化地將內(nèi)控責(zé)權(quán)融入業(yè)務(wù)活動(dòng)，三是常態(tài)化地動(dòng)態(tài)監(jiān)控重大風(fēng)險(xiǎn)。相應(yīng)地，內(nèi)控評(píng)價(jià)應(yīng)關(guān)注決策前風(fēng)險(xiǎn)評(píng)估活動(dòng)的質(zhì)量和結(jié)果應(yīng)用，關(guān)注內(nèi)控責(zé)權(quán)對(duì)業(yè)務(wù)活動(dòng)覆蓋橫向無盲點(diǎn)、縱向無斷點(diǎn)，關(guān)注重大風(fēng)險(xiǎn)的識(shí)別、評(píng)估和應(yīng)對(duì)機(jī)制的落實(shí)。

第三，評(píng)價(jià)方法，適應(yīng)內(nèi)控運(yùn)行“信息化”環(huán)境。根據(jù)《實(shí)施意見》，企業(yè)應(yīng)通過信息化手段強(qiáng)化內(nèi)控體系剛性約束。隨著企業(yè)各項(xiàng)業(yè)務(wù)信息化水平的提升，內(nèi)控評(píng)價(jià)也需要相應(yīng)加強(qiáng)對(duì)“流程信息化”的關(guān)注，將IT一般性控制（ITGC）、應(yīng)用程序控制（ITAC）、公司層面IT控制（ITELC）納入評(píng)價(jià)范圍，適當(dāng)采用IT審計(jì)方法作為傳統(tǒng)內(nèi)控評(píng)價(jià)方法的替代或補(bǔ)充。

二、新階段內(nèi)控評(píng)價(jià)的內(nèi)容框架

為了適應(yīng)內(nèi)部控制新階段，落實(shí)合規(guī)要求，過濾風(fēng)險(xiǎn)影響，保障經(jīng)營安全和管理效率，更好地服務(wù)于企業(yè)價(jià)值創(chuàng)造和戰(zhàn)略實(shí)現(xiàn)，內(nèi)控評(píng)價(jià)的內(nèi)容也需要作出積極調(diào)整。一是需要更加注重內(nèi)控體系對(duì)合規(guī)目標(biāo)的保證水平，二是需要促進(jìn)風(fēng)險(xiǎn)管理與內(nèi)部控制融會(huì)貫通，三是需要適應(yīng)企業(yè)信息化水平日益發(fā)展對(duì)管理環(huán)境的影響。內(nèi)控評(píng)價(jià)工作作為內(nèi)部控制第五個(gè)要素“內(nèi)部監(jiān)督”的核心任務(wù)，其實(shí)施內(nèi)容應(yīng)圍繞其他四項(xiàng)內(nèi)部控制要素展開。

（一）“內(nèi)部環(huán)境”要素評(píng)價(jià)

內(nèi)部環(huán)境是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)，一般包括治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化等。評(píng)價(jià)“內(nèi)部環(huán)境”要素，應(yīng)涵蓋以下內(nèi)容。

1.治理結(jié)構(gòu)和組織機(jī)構(gòu)

（1）職責(zé)。關(guān)注企業(yè)治理結(jié)構(gòu)、組織機(jī)構(gòu)設(shè)置是否符合外部合規(guī)要求；機(jī)構(gòu)職責(zé)是否清晰，并符合不相容職責(zé)分離原則；風(fēng)險(xiǎn)防控“三道防線”是否健全，縱向上各道防線責(zé)任清晰、上下級(jí)匯報(bào)關(guān)系明確，橫向上對(duì)業(yè)務(wù)事項(xiàng)和風(fēng)險(xiǎn)類別覆蓋完整；是否建立并執(zhí)行風(fēng)險(xiǎn)責(zé)任追究機(jī)制。

（2）授權(quán)。關(guān)注企業(yè)權(quán)限指引范圍是否完整覆蓋業(yè)務(wù)事項(xiàng)和風(fēng)險(xiǎn)類別；提報(bào)、審查、復(fù)核、審批、備案等授權(quán)定義是否清晰，并適應(yīng)現(xiàn)行治理結(jié)構(gòu)和組織機(jī)構(gòu)設(shè)置；授權(quán)結(jié)果是否符合企業(yè)集團(tuán)管控模式；授權(quán)方式是否合規(guī)；是否落實(shí)風(fēng)險(xiǎn)控制一把手責(zé)任制。

2.企業(yè)文化和人力資源。關(guān)注企業(yè)是否建設(shè)風(fēng)險(xiǎn)文化、合規(guī)文化；是否采取措施促進(jìn)管理者及員工具備風(fēng)險(xiǎn)意識(shí)、內(nèi)控意識(shí)、合規(guī)意識(shí)，以及相應(yīng)的知識(shí)和管理能力。

3.審計(jì)監(jiān)督。關(guān)注企業(yè)審計(jì)職能的獨(dú)立性；是否采取措施保證審計(jì)質(zhì)量；是否采取措施針對(duì)審計(jì)發(fā)現(xiàn)的問題，落實(shí)整改和追究責(zé)任。

（二）“風(fēng)險(xiǎn)評(píng)估”要素評(píng)價(jià)

風(fēng)險(xiǎn)評(píng)估是企業(yè)及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對(duì)策略。評(píng)價(jià)“風(fēng)險(xiǎn)評(píng)估”要素，應(yīng)涵蓋以下內(nèi)容。

1.全面風(fēng)險(xiǎn)評(píng)估。關(guān)注企業(yè)是否持續(xù)開展全面風(fēng)險(xiǎn)評(píng)估工作；企業(yè)的風(fēng)險(xiǎn)評(píng)估是否圍繞戰(zhàn)略和經(jīng)營目標(biāo)展開；風(fēng)險(xiǎn)評(píng)估范圍是否完整覆蓋外部風(fēng)險(xiǎn)及內(nèi)部風(fēng)險(xiǎn)，包括戰(zhàn)略風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、運(yùn)營風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)等，對(duì)風(fēng)險(xiǎn)因素識(shí)別是否全面；企業(yè)對(duì)風(fēng)險(xiǎn)承受的認(rèn)識(shí)是否清晰，包括企業(yè)整體風(fēng)險(xiǎn)承受能力和業(yè)務(wù)層面的可接受風(fēng)險(xiǎn)水平；企業(yè)風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)應(yīng)對(duì)策略與其戰(zhàn)略是否契合；企業(yè)對(duì)重大風(fēng)險(xiǎn)的認(rèn)識(shí)是否清晰、統(tǒng)一；對(duì)重大風(fēng)險(xiǎn)是否主動(dòng)研判、例行監(jiān)測(cè)，并建立應(yīng)對(duì)方案和企業(yè)間風(fēng)險(xiǎn)隔離。

2.專項(xiàng)風(fēng)險(xiǎn)評(píng)估。關(guān)注企業(yè)是否在重大經(jīng)營事項(xiàng)決策前引入風(fēng)險(xiǎn)評(píng)估機(jī)制，并將風(fēng)險(xiǎn)評(píng)估結(jié)果及相關(guān)應(yīng)對(duì)措施、處置預(yù)案作為決策必備支撐材料；專項(xiàng)風(fēng)險(xiǎn)評(píng)估是否具有成熟的評(píng)估模型，各參與方的評(píng)估內(nèi)容和責(zé)任是否界定清晰，評(píng)估人員是否具備應(yīng)有的專業(yè)勝任能力，風(fēng)險(xiǎn)評(píng)估依據(jù)的基礎(chǔ)信息是否真實(shí)可靠。

（三）“控制活動(dòng)”要素評(píng)價(jià)

控制活動(dòng)是企業(yè)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，采用相應(yīng)的控制措施，將風(fēng)險(xiǎn)控制在可承受度之內(nèi)。評(píng)價(jià)“控制活動(dòng)”要素，應(yīng)涵蓋以下內(nèi)容。

1.控制活動(dòng)設(shè)計(jì)

（1）流程設(shè)計(jì)。關(guān)注流程框架是否覆蓋企業(yè)價(jià)值鏈；流程環(huán)節(jié)是否涵蓋風(fēng)險(xiǎn)在價(jià)值鏈的作用點(diǎn)；流程內(nèi)容是否包含全員參與生產(chǎn)經(jīng)營活動(dòng)。

（2）控制設(shè)計(jì)。關(guān)注對(duì)于“風(fēng)險(xiǎn)降低”應(yīng)對(duì)策略下的各項(xiàng)風(fēng)險(xiǎn)，是否針對(duì)性地設(shè)計(jì)了控制活動(dòng)；控制活動(dòng)是否完整地將外部合規(guī)要求落實(shí)到內(nèi)部經(jīng)營管理；控制活動(dòng)是否遵照“5W1H”原則定義清晰，并形成完整的控制實(shí)施證據(jù)鏈條；控制活動(dòng)與企業(yè)職能及權(quán)責(zé)設(shè)計(jì)是否匹配，是否落實(shí)風(fēng)險(xiǎn)管理“三道防線”的責(zé)任；控制活動(dòng)是否運(yùn)用合理的控制手段，靈活應(yīng)對(duì)外部風(fēng)險(xiǎn)，嚴(yán)格防控內(nèi)部錯(cuò)誤或舞弊；控制活動(dòng)的風(fēng)險(xiǎn)控制水平是否符合企業(yè)的風(fēng)險(xiǎn)偏好和風(fēng)險(xiǎn)承受能力；從全流程和全場(chǎng)景角度觀察，相關(guān)控制活動(dòng)的集合是否銜接連貫并形成合力，是否存在漏洞或不當(dāng)產(chǎn)生新的風(fēng)險(xiǎn)；控制活動(dòng)是否適應(yīng)企業(yè)管理環(huán)境，具備充分的可操作性。

2.控制活動(dòng)執(zhí)行

（1）線下執(zhí)行。關(guān)注控制實(shí)施證據(jù)是否完整，全流程或全場(chǎng)景相關(guān)控制活動(dòng)的實(shí)施證據(jù)是否連貫、相互佐證、無明顯矛盾；控制實(shí)施證據(jù)是否真實(shí)；控制實(shí)施證據(jù)是否完整、有序留存，具有足夠的可追溯性。

（2）線上執(zhí)行。關(guān)注流程控制在信息系統(tǒng)中的落地是否完整：正向上，系統(tǒng)功能能否支持各項(xiàng)控制活動(dòng)線上運(yùn)行；逆向上，系統(tǒng)能否卡控各筆業(yè)務(wù)事項(xiàng)按規(guī)范執(zhí)行、控制活動(dòng)不被繞過。為提升控制效率效果所采用的線上數(shù)據(jù)來源是否可靠，是否存在線上、線下同步雙線執(zhí)行、表里不一的情形；執(zhí)行控制活動(dòng)所需的信息支持和形成的實(shí)施證據(jù)是否在線上完整留存。

（四）“信息與溝通”要素評(píng)價(jià)

信息與溝通是企業(yè)及時(shí)、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進(jìn)行有效溝通。評(píng)價(jià)“信息與溝通”要素，應(yīng)涵蓋以下內(nèi)容。

1.政策跟進(jìn)。關(guān)注企業(yè)是否有意識(shí)地持續(xù)收集、研究外部政策，梳理和更新企業(yè)應(yīng)遵循的合規(guī)要求，并通過內(nèi)控體系的迭代完成合規(guī)要求在本單位因地制宜地落地執(zhí)行；企業(yè)是否具備暢通的反舞弊舉報(bào)途徑和應(yīng)答機(jī)制。

2.風(fēng)險(xiǎn)監(jiān)測(cè)。關(guān)注企業(yè)是否建立風(fēng)險(xiǎn)管理所需的信息收集、傳遞、處理能力，尤其在重大風(fēng)險(xiǎn)方面，是否具備持續(xù)性和及時(shí)性。

3.信息質(zhì)量與安全。關(guān)注企業(yè)是否制定明確的信息收集、處理和傳遞程序；是否對(duì)信息結(jié)構(gòu)和質(zhì)量有明確要求，并采取適當(dāng)?shù)谋ＷC措施，包括經(jīng)營活動(dòng)信息和內(nèi)控管理信息；信息溝通相關(guān)程序和保證措施是否正常運(yùn)行，信息路徑是否暢通，能否滿足企業(yè)治理和集團(tuán)管控的需要。

4.信息安全。關(guān)注企業(yè)是否具備完備的信息安全管理方案，能否識(shí)別信息安全關(guān)鍵環(huán)節(jié)并采取應(yīng)對(duì)措施；關(guān)注IT一般性控制（ITGC）、應(yīng)用程序控制（ITAC）有效性，從網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)層面保證信息保密性、完整性、可用性。

三、新階段內(nèi)控評(píng)價(jià)實(shí)施要點(diǎn)

立足新階段，實(shí)施內(nèi)控評(píng)價(jià)工作的方法和手段也需有所優(yōu)化，以提高評(píng)價(jià)結(jié)果的可靠性、可用性，實(shí)現(xiàn)內(nèi)控評(píng)價(jià)對(duì)內(nèi)部控制管理優(yōu)化的推動(dòng)作用。

（一）以政策研究與風(fēng)險(xiǎn)評(píng)估為先導(dǎo)，找準(zhǔn)范圍和依據(jù)

資源與效率的平衡是精進(jìn)企業(yè)管理始終關(guān)注的課題。新階段對(duì)內(nèi)控評(píng)價(jià)的范圍和深度提出了更高的要求，鑒于企業(yè)內(nèi)控評(píng)價(jià)資源有限，如果一味求大求全，必然導(dǎo)致資源分散，削弱評(píng)價(jià)工作效果。與新階段內(nèi)控評(píng)價(jià)的內(nèi)容框架相適應(yīng)，內(nèi)控評(píng)價(jià)工作可以從政策研究與風(fēng)險(xiǎn)評(píng)估入手，首先，評(píng)價(jià)企業(yè)常態(tài)化開展政策研究與風(fēng)險(xiǎn)評(píng)估工作的有效性，對(duì)企業(yè)內(nèi)部控制做整體性判斷；其次，利用政策研究與風(fēng)險(xiǎn)評(píng)估成果，更新評(píng)價(jià)所依據(jù)的管理標(biāo)準(zhǔn)，合理判斷此次評(píng)價(jià)工作應(yīng)關(guān)注的重點(diǎn)領(lǐng)域和應(yīng)挖掘的薄弱環(huán)節(jié)，從而更加合理地配置評(píng)價(jià)工作資源，形成“點(diǎn)、線、面”相結(jié)合的評(píng)價(jià)方案。

（二）借助信息化手段，提高評(píng)價(jià)效率

隨著企業(yè)業(yè)務(wù)流程的逐步線上化和信息化，經(jīng)營管理信息的可獲得性、可用性進(jìn)一步提升。相應(yīng)地，內(nèi)控評(píng)價(jià)工作也應(yīng)升級(jí)信息化手段。一方面，可以分析利用企業(yè)經(jīng)營管理數(shù)據(jù)支持風(fēng)險(xiǎn)預(yù)判，增強(qiáng)內(nèi)控評(píng)價(jià)工作的針對(duì)性和發(fā)現(xiàn)問題現(xiàn)象、挖掘問題本質(zhì)的能力；另一方面，可以將內(nèi)控評(píng)價(jià)工作數(shù)據(jù)化、模型化、系統(tǒng)化，建設(shè)內(nèi)控評(píng)價(jià)系統(tǒng)，將線下評(píng)價(jià)經(jīng)驗(yàn)沉淀到線上，運(yùn)用系統(tǒng)能力促進(jìn)內(nèi)控評(píng)價(jià)從“事后”向“事中”、從“定期”向“即時(shí)”的轉(zhuǎn)變，進(jìn)一步實(shí)現(xiàn)內(nèi)控評(píng)價(jià)的常態(tài)化。

綜上，企業(yè)內(nèi)部控制已經(jīng)進(jìn)入新階段，中央企業(yè)需要認(rèn)識(shí)新階段對(duì)內(nèi)控評(píng)價(jià)的要求，梳理新階段內(nèi)控評(píng)價(jià)的內(nèi)容，把握新階段內(nèi)控評(píng)價(jià)的要點(diǎn)，并有計(jì)劃有步驟地付諸行動(dòng)，才能借助內(nèi)控評(píng)價(jià)深化內(nèi)控實(shí)踐，促進(jìn)企業(yè)內(nèi)部控制與時(shí)俱進(jìn)、因地制宜地持續(xù)改進(jìn)，保障企業(yè)穩(wěn)定、健康、長(zhǎng)效發(fā)展。