内部控制评价方法的发展和比较

　　一、以综合性的主观判断为手段的内部控制评价 　　 　　在内部控制制度建立的早期阶段，对于内部控制制度的各个构成部分内在关系、具体实施和评价方法与技术尚不十分清晰明了的情况下，企业对内部控制的评价一般采用综合性的主观判断。鉴于工作中面临的各项内容较为模糊、标准化程度极低。这一“重任”往往由该企业内部控制的建立者或者具体实施者亲自进行，在进行评价的同时，往往也是“就地”改进和测试的过程。这种内部控制评价，通常从控制环境、风险评价等大类进行评价，甚至很多情况下企业的内部控制制度尚未明确按照五要素或者八要素的大类进行划分，只是最后得出一个笼统的结论。以综合性的主观判断为手段的内部控制评价。 　　严格来说，这一阶段的内部控制评价并不是严格意义上的评价，而是对建立的内部控制体系或制度的一种测试、修正或者“干中学”，目的主要是为了通过查找问题，完善与修正内部控制制度本身，而不是真正考查内部控制制度在实施过程中的有效性。 　　 　　二、以赋值、评分、排序比较为手段的量化评价方法 　　 　　在建立了比较完善的内部控制制度，并进行较为完整、全面的实施之后，企业中承担内部控制建立与试行的部门或团队往往已经成为独立、完整的业务功能单元，内部控制制度也已融入到企业日常的经营管理中去，此时对内部控制制度的有效性和实行情况进行评价不仅在客观上具备了实行的条件，主观上企业也形成了依靠内部控制评价改进管理、提升经营效率的需求。此时的内部控制评价往往由原先模糊的、整体性、定性的、由创立者或实行者进行的判断，发展为定量与定性相结合、清晰明确、有分有总、广泛参与的内部控制评价，甚至是全员的自我评价。 　　通常的评价方法如下： 　　(一)针对内部控制体系的各个部分，将各个大的要素或者业务流程的顺序，进行分解。对经过分解的各个小部分再进行细化和明确，根据其重要性进行赋值，制定明确的打分标准和权重； 　　(二)将此种打分标准交由内部控制评价的具体人员，由其负责执行，根据企业内部控制的实际情况填入，形成内部控制评价底稿，根据事先确定的权重汇总后得到总得分， 　　(三)将各个业务单元的得分进行排序、比较，并针对薄弱环节进行改进，实现企业内部控制工作的完善。 　　下面仅以某公司预算环节的内部控制制度作为示例： 　　从业务流程来讲，预算通常分为编制、分解、执行、调整、报告、考核和激励几个环节；从内部控制制度的建立和完善的流程来讲，通常可以分为制度的制定、执行、评价、后续完善几个方面。表1综合了以上两个维度，将业务流程和内部控制流程结合起来进行考查。 　　 　　由于可以分别从业务流程和内部控制制度两个方面来进行考查，因此可以按照这两个维度分别确定各个项目的权重，汇总各项评分，如表2、表3所示(此处仅为示例，具体权重不再一一标示；实际操作过程中，可由企业根据实际情况和评价重点自行确定)。 　　根据以上评价结果和权重分配表，可以评价需要得到基于业务流程或基于内部控制制度本身的评价结果。这种做法的优点在于直观、明了，便于操作，结果综合性强，便于排序和比较；但是各个评价项目如果过细，则评价的工作量太大；如果过于概括，则对具体评价人员的主观判断(职业判断)的要求较高，降低了工作效率。且在各个具体项目的细化确定、权重的分配上，对内部控制评价标准的制定者提出了较高的要求。随着企业业务流程和管理要求的不断变化，整套评价体系也要做出相应的调整，往往会带来巨大的工作量。同时前后结果的口径不一致也不便于纵向比较。 　　 　　三、以风险控制为导向的业务流程控制环节有效性评价 　　 　　随着经济和社会环境变化日益剧烈，企业面临的不确定性日益增加，以往那种定期的、全面的、标准化程度较高的企业管理模式由于其反应迟钝、耗费过大、重点不明晰等缺点日渐式微，人们开始将关注的重点转移到风险防范上。 　　在内部控制领域，2004年COSO的《企业风险管理――整合框架》补充完善了1992年发布的《内部控制整台框架》，提出了企业风险管理包括了四类目标和八大要素。这四项目标是战略目标、经营目标、报告目标和合规性目标。八大要素分别为内部环境、目标制定、事项识别、风险评价、风险应对、控制活动、信息与沟通和监控。 　　新的内部控制评价模式――立足于风险控制的内部控制评价模式也应运而生。立足于风险控制的内部控制评价主要的作用就在于对企业进行持续的监控，定期对企业的风险管理和内部控制做出评价，使企业的经营业绩得到持续改善。这个过程中，企业业务流程各个控制环节有效性的评价便是重中之重。 　　以风险控制为导向的业务流程控制环节有效性评价的基本思路是： 　　任何一项企业的业务流程，总是由若干个操作环节组成的。这些环节中，有些是重点，能够极大影响整个业务流程是否完成，有些却不那么关键或重要，因此，只要密切关注这些重点环节同时对非重点环节保持必要的关注，就能保证整个业务流程的顺利完成。 　　以下仅以某公司基建项目费用结算项目的流程为例进行说明： 　　图2列示了某一基建项目完成后，费用结算所需经历的流程，其中标有底色的两个环节，工程进度款审核结算和非合同款审核结算是其中的关键业务环节。如果这两个环节执行准确无误，则整个流程的有效性就能得到保障。因此，在内部控制制度的实行和评价过程中，对此作为高风险点进行重点关注。这两个环节执行和考核的标准如表4所示： 　　 　　通过上倒可以发现，和以往的全面覆盖、任何环节同等重视的传统量化评价方法相比，最大的优点在于可以集中注意力和资源，重点关注关键和薄弱环节，提高评价工作的效率和针对性。

　　一、以综合性的主观判断为手段的内部控制评价 　　 　　在内部控制制度建立的早期阶段，对于内部控制制度的各个构成部分内在关系、具体实施和评价方法与技术尚不十分清晰明了的情况下，企业对内部控制的评价一般采用综合性的主观判断。鉴于工作中面临的各项内容较为模糊、标准化程度极低。这一“重任”往往由该企业内部控制的建立者或者具体实施者亲自进行，在进行评价的同时，往往也是“就地”改进和测试的过程。这种内部控制评价，通常从控制环境、风险评价等大类进行评价，甚至很多情况下企业的内部控制制度尚未明确按照五要素或者八要素的大类进行划分，只是最后得出一个笼统的结论。以综合性的主观判断为手段的内部控制评价。 　　严格来说，这一阶段的内部控制评价并不是严格意义上的评价，而是对建立的内部控制体系或制度的一种测试、修正或者“干中学”，目的主要是为了通过查找问题，完善与修正内部控制制度本身，而不是真正考查内部控制制度在实施过程中的有效性。 　　 　　二、以赋值、评分、排序比较为手段的量化评价方法 　　 　　在建立了比较完善的内部控制制度，并进行较为完整、全面的实施之后，企业中承担内部控制建立与试行的部门或团队往往已经成为独立、完整的业务功能单元，内部控制制度也已融入到企业日常的经营管理中去，此时对内部控制制度的有效性和实行情况进行评价不仅在客观上具备了实行的条件，主观上企业也形成了依靠内部控制评价改进管理、提升经营效率的需求。此时的内部控制评价往往由原先模糊的、整体性、定性的、由创立者或实行者进行的判断，发展为定量与定性相结合、清晰明确、有分有总、广泛参与的内部控制评价，甚至是全员的自我评价。 　　通常的评价方法如下： 　　(一)针对内部控制体系的各个部分，将各个大的要素或者业务流程的顺序，进行分解。对经过分解的各个小部分再进行细化和明确，根据其重要性进行赋值，制定明确的打分标准和权重； 　　(二)将此种打分标准交由内部控制评价的具体人员，由其负责执行，根据企业内部控制的实际情况填入，形成内部控制评价底稿，根据事先确定的权重汇总后得到总得分， 　　(三)将各个业务单元的得分进行排序、比较，并针对薄弱环节进行改进，实现企业内部控制工作的完善。 　　下面仅以某公司预算环节的内部控制制度作为示例： 　　从业务流程来讲，预算通常分为编制、分解、执行、调整、报告、考核和激励几个环节；从内部控制制度的建立和完善的流程来讲，通常可以分为制度的制定、执行、评价、后续完善几个方面。表1综合了以上两个维度，将业务流程和内部控制流程结合起来进行考查。 　　 　　由于可以分别从业务流程和内部控制制度两个方面来进行考查，因此可以按照这两个维度分别确定各个项目的权重，汇总各项评分，如表2、表3所示(此处仅为示例，具体权重不再一一标示；实际操作过程中，可由企业根据实际情况和评价重点自行确定)。 　　根据以上评价结果和权重分配表，可以评价需要得到基于业务流程或基于内部控制制度本身的评价结果。这种做法的优点在于直观、明了，便于操作，结果综合性强，便于排序和比较；但是各个评价项目如果过细，则评价的工作量太大；如果过于概括，则对具体评价人员的主观判断(职业判断)的要求较高，降低了工作效率。且在各个具体项目的细化确定、权重的分配上，对内部控制评价标准的制定者提出了较高的要求。随着企业业务流程和管理要求的不断变化，整套评价体系也要做出相应的调整，往往会带来巨大的工作量。同时前后结果的口径不一致也不便于纵向比较。 　　 　　三、以风险控制为导向的业务流程控制环节有效性评价 　　 　　随着经济和社会环境变化日益剧烈，企业面临的不确定性日益增加，以往那种定期的、全面的、标准化程度较高的企业管理模式由于其反应迟钝、耗费过大、重点不明晰等缺点日渐式微，人们开始将关注的重点转移到风险防范上。 　　在内部控制领域，2004年COSO的《企业风险管理――整合框架》补充完善了1992年发布的《内部控制整台框架》，提出了企业风险管理包括了四类目标和八大要素。这四项目标是战略目标、经营目标、报告目标和合规性目标。八大要素分别为内部环境、目标制定、事项识别、风险评价、风险应对、控制活动、信息与沟通和监控。 　　新的内部控制评价模式――立足于风险控制的内部控制评价模式也应运而生。立足于风险控制的内部控制评价主要的作用就在于对企业进行持续的监控，定期对企业的风险管理和内部控制做出评价，使企业的经营业绩得到持续改善。这个过程中，企业业务流程各个控制环节有效性的评价便是重中之重。 　　以风险控制为导向的业务流程控制环节有效性评价的基本思路是： 　　任何一项企业的业务流程，总是由若干个操作环节组成的。这些环节中，有些是重点，能够极大影响整个业务流程是否完成，有些却不那么关键或重要，因此，只要密切关注这些重点环节同时对非重点环节保持必要的关注，就能保证整个业务流程的顺利完成。 　　以下仅以某公司基建项目费用结算项目的流程为例进行说明： 　　图2列示了某一基建项目完成后，费用结算所需经历的流程，其中标有底色的两个环节，工程进度款审核结算和非合同款审核结算是其中的关键业务环节。如果这两个环节执行准确无误，则整个流程的有效性就能得到保障。因此，在内部控制制度的实行和评价过程中，对此作为高风险点进行重点关注。这两个环节执行和考核的标准如表4所示： 　　 　　通过上倒可以发现，和以往的全面覆盖、任何环节同等重视的传统量化评价方法相比，最大的优点在于可以集中注意力和资源，重点关注关键和薄弱环节，提高评价工作的效率和针对性。