如何用好内控中的“评审”工具?

一、引言

在企业内部控制体系中，评审工具是确保内部控制有效性、高效性和持续改进的关键环节。通过科学、系统的评审，企业可以及时发现内控体系中的薄弱环节，优化流程，提升管理水平，最终实现企业战略目标。本文将深入探讨如何用好内控中的“评审”工具，从评审的定义、重要性、方法、流程以及实际应用案例等多方面进行详细阐述，为企业提供一套完整的内控评审操作指南。

二、内控评审的定义与重要性

（一）内控评审的定义

内控评审是指企业通过系统的评估和分析，对内部控制体系的设计、执行和运行效果进行全面检查的过程。它旨在识别内部控制体系中的缺陷、风险点以及潜在的改进机会，从而为优化内部控制体系提供依据。内控评审通常包括对控制环境、风险评估、控制活动、信息与沟通以及内部监督等五个要素的全面评估。

（二）内控评审的重要性

• 风险识别与管理

内控评审能够帮助企业全面识别内部控制体系中的风险点，包括设计缺陷、执行不到位、流程漏洞等。通过对这些风险的识别和分析，企业可以采取针对性的措施加以改进，从而有效降低风险发生的可能性。

• 提升运营效率

通过内控评审，企业可以发现流程中的冗余环节、低效操作以及资源浪费等问题。优化这些环节能够显著提升企业的运营效率，降低成本，提高经济效益。

• 确保合规性

在日益严格的法律法规环境下，企业需要确保其运营活动符合相关法律法规的要求。内控评审可以帮助企业发现潜在的合规风险，及时采取措施加以整改，避免因违规而面临的法律制裁和声誉损失。

• 增强管理层决策的科学性

内控评审提供的数据和分析结果能够为管理层提供客观、准确的信息支持，帮助管理层更好地了解企业内部控制的现状，从而做出科学合理的决策。

• 促进持续改进

内控评审是一个持续的过程，通过定期的评审和改进，企业可以不断优化内部控制体系，使其更好地适应企业的发展和外部环境的变化。

三、内控评审的主要方法

（一）自我评估

自我评估是指企业内部各部门或员工对自身内部控制的执行情况进行自我检查和评估。这种方法的优点是能够充分发挥基层员工的积极性，及时发现问题并提出改进建议。自我评估通常可以通过以下几种方式进行：

• 问卷调查：设计标准化的问卷，涵盖内部控制的各个方面，让员工填写，以收集对内部控制的主观评价和建议。

• 流程图分析：要求各部门绘制业务流程图，并结合流程图对内部控制措施的执行情况进行分析。

• 定期报告：各部门定期提交内部控制执行情况的报告，总结经验教训，提出改进建议。

（二）内部审计

内部审计是企业内部独立的监督机构对内部控制体系进行全面、系统的检查和评估。内部审计具有独立性、客观性和专业性的特点，能够发现深层次的问题和潜在风险。内部审计的主要工作内容包括：

• 制度审计：检查内部控制制度是否健全，是否符合企业实际运营需求。

• 流程审计：对业务流程的各个环节进行审计，检查流程设计是否合理，执行是否到位。

• 风险审计：识别和评估内部控制体系中的风险点，提出风险防控措施。

• 合规审计：检查企业运营活动是否符合相关法律法规和内部规章制度的要求。

（三）外部审计

外部审计是指由独立的第三方审计机构对企业内部控制体系进行的审计。外部审计通常具有更高的权威性和公信力，能够为企业提供客观、公正的评估结果。外部审计的主要作用包括：

• 独立性验证：从外部视角对企业的内部控制体系进行评估，验证内部控制的有效性。

• 专业性支持：借助外部审计机构的专业知识和经验，发现企业内部难以察觉的问题。

• 合规性检查：确保企业内部控制体系符合外部监管要求，如《萨班斯-奥克斯利法案》等。

（四）标杆管理

标杆管理是指通过与同行业优秀企业或标杆企业进行对比分析，找出自身在内部控制体系方面的差距和不足，从而借鉴标杆企业的经验进行改进。标杆管理的主要步骤包括：

• 选择标杆企业：根据企业的业务性质、规模、行业特点等因素，选择具有代表性的标杆企业。

• 数据收集与分析：收集标杆企业的内部控制相关信息，包括制度、流程、风险防控措施等，进行对比分析。

• 差距识别与改进：找出自身与标杆企业的差距，制定针对性的改进措施并加以实施。

四、内控评审的流程

（一）制定评审计划

• 明确评审目标

评审目标应与企业的战略目标和内部控制目标相一致，明确评审的重点领域和期望达到的效果。例如，是否重点关注财务风险防控、运营效率提升或合规性保障等。

• 确定评审范围

根据企业实际情况和评审目标，确定评审的具体范围。评审范围可以涵盖企业的全部业务流程，也可以针对某些关键流程或高风险领域进行专项评审。

• 组建评审团队

评审团队应由具备丰富经验和专业知识的人员组成，包括内部审计人员、财务人员、业务骨干以及外部专家等。团队成员应具备良好的沟通能力和团队协作精神。

• 制定评审时间表

根据评审范围和目标，合理安排评审时间，确保评审工作的有序进行。时间表应明确各阶段的工作任务、时间节点和责任人。

（二）收集评审资料

• 内部控制制度文件

收集企业现有的内部控制制度文件，包括总则、细则、操作流程等，了解内部控制体系的整体框架和要求。

• 业务流程文件

获取企业各业务流程的相关文件，如流程图、操作手册、审批表单等，为流程评审提供依据。

• 风险评估报告

收集企业以往的风险评估报告，了解企业已识别的风险点及其防控措施，为本次评审提供参考。

• 财务报表与数据

获取企业的财务报表及相关数据，分析企业的财务状况和运营绩效，为评审提供财务视角的支持。

• 其他相关资料

如内部审计报告、外部审计报告、员工反馈意见、行业标准等，这些资料可以帮助评审团队更全面地了解企业内部控制的现状。

（三）实施评审

• 流程评审

• 流程梳理：根据收集到的流程文件，对各业务流程进行梳理，明确流程的起点、终点、关键环节以及责任主体。

• 流程分析：结合内部控制要求，分析流程设计是否合理，是否存在冗余环节、职责不清、审批缺失等问题。

• 流程测试：通过抽样检查、实地观察等方式，测试流程的实际执行情况，检查是否按照既定流程操作，是否存在执行偏差。

• 控制措施评审

• 控制措施识别：识别流程中已有的控制措施，包括预防性控制、检测性控制和纠正性控制。

• 控制措施评估：评估控制措施的有效性，检查是否能够有效防范风险，是否存在控制失效的情况。

• 控制措施优化：根据评估结果，提出优化控制措施的建议，如增加审批环节、加强信息验证等。

• 风险评估

• 风险识别：结合流程评审和控制措施评审的结果，识别内部控制体系中的潜在风险点。

• 风险分析：对识别出的风险进行分析，评估其发生的可能性和影响程度，确定风险等级。

• 风险应对：根据风险等级，制定相应的风险应对措施，如风险规避、风险降低、风险转移等。

• 合规性检查

• 法律法规对照：将企业的内部控制体系与相关法律法规进行对照，检查是否存在违规行为。

• 内部制度对照：检查内部控制制度是否与企业内部其他管理制度相冲突，是否存在制度漏洞。

• 合规性整改：针对发现的合规性问题，提出整改建议并督促相关部门落实整改。

（四）撰写评审报告

• 评审结果概述

对评审的整体情况进行总结，包括评审范围、评审方法、评审时间等，为报告的后续内容提供背景信息。

• 内部控制现状分析

详细描述企业内部控制体系的现状，包括制度建设、流程设计、控制措施执行等方面的情况，为后续的改进建议提供依据。

• 问题与风险揭示

列出在评审过程中发现的主要问题和风险点，如流程漏洞、控制失效、合规性问题等，并对这些问题和风险进行详细分析，说明其可能对企业造成的影响。

• 改进建议

根据评审结果，提出针对性的改进建议，包括优化流程、完善控制措施、加强风险防控、提升合规性等方面的具体措施。建议应具有可操作性，明确责任人和时间节点。

• 评审结论

对评审工作进行总结，明确内部控制体系的整体有效性评价，提出后续改进的方向和重点。

（五）评审结果的应用

• 管理层决策支持

将评审报告提交给企业管理层，为管理层制定战略决策、优化资源配置、调整管理策略提供科学依据。管理层应根据评审结果，决定是否需要对内部控制体系进行重大调整。