企业内控制度的评审重点及方法!

一、引言

在现代企业管理中，内控制度是确保企业运营合规、高效和可持续发展的关键保障。内控制度的评审是对企业内部控制体系进行全面评估和优化的重要环节。通过科学、系统的评审，企业可以及时发现内部控制中的问题和风险点，完善内控制度，提升管理水平，增强企业的抗风险能力。本文将深入探讨企业内控制度评审的重点和方法，为企业开展内控制度评审提供参考。

二、企业内控制度评审的重点

（一）控制环境

控制环境是企业内控制度的基础，反映了企业的治理结构、管理理念和企业文化。评审控制环境时，应重点关注以下几个方面：

• 治理结构

• 评审企业是否建立了科学合理的治理结构，明确董事会、监事会和管理层的职责和权限。

• 检查董事会是否有效履行监督职责，是否定期召开董事会会议，对重大事项进行审议和决策。

• 管理理念与企业文化

• 评估企业管理层是否重视内部控制，是否建立了积极向上的企业文化，鼓励员工遵守制度和流程。

• 检查企业是否定期开展内控培训，提升员工的内控意识和专业素养。

• 人力资源政策

• 评审企业的人力资源政策是否健全，包括招聘、培训、考核、晋升和奖惩等方面。

• 检查企业是否建立了合理的绩效考核机制，激励员工积极工作，同时约束不当行为。

（二）风险评估

风险评估是企业识别和分析潜在风险的过程，是内控制度的重要组成部分。评审风险评估时，应重点关注以下几个方面：

• 风险识别机制

• 评估企业是否建立了完善的风险识别机制，能够全面识别经营活动中可能面临的风险，如市场风险、信用风险、操作风险等。

• 检查企业是否定期开展风险评估，更新风险清单，确保风险识别的及时性和全面性。

• 风险评估方法

• 评审企业采用的风险评估方法是否科学合理，是否能够准确评估风险的可能性和影响程度。

• 检查企业是否根据风险评估结果，制定相应的风险应对策略，如风险规避、风险降低、风险转移等。

• 风险监控与预警

• 评估企业是否建立了风险监控机制，能够实时跟踪风险的变化情况，及时调整风险应对措施。

• 检查企业是否建立了风险预警系统，能够在风险发生前发出预警信号，帮助企业提前采取措施防范风险。

（三）控制活动

控制活动是企业为实现内部控制目标而采取的具体措施和手段。评审控制活动时，应重点关注以下几个方面：

• 授权审批

• 评审企业的授权审批制度是否健全，明确各级管理人员的审批权限和审批流程。

• 检查企业是否建立了分级授权机制，确保审批权限与岗位职责相匹配，防止越权审批或未经授权的业务操作。

• 职责分离

• 评估企业的职责分离机制是否有效，确保不相容职务分离，如授权审批与执行、记录与保管、业务经办与审核等是否由不同人员或部门负责。

• 检查企业是否建立了岗位轮换制度，防止因长期任职同一岗位而产生的舞弊风险。

• 实物保管

• 评审企业的实物保管制度是否完善，确保资产的安全性和完整性。

• 检查企业是否建立了定期盘点制度，确保账实相符，及时发现资产损失或被盗等问题。

• 信息处理

• 评估企业的信息处理流程是否规范，确保信息系统安全、可靠，数据处理准确、及时。

• 检查企业是否建立了数据备份和恢复机制，防止因系统故障或人为操作导致数据丢失。

（四）信息与沟通

信息与沟通是企业内部控制的重要保障，确保信息在企业内部及时传递和共享。评审信息与沟通时，应重点关注以下几个方面：

• 信息系统建设

• 评估企业的信息系统是否满足业务需求，实现财务系统、业务系统、办公系统的互联互通。

• 检查企业是否定期对信息系统进行维护和升级，确保系统的稳定性和安全性。

• 信息传递机制

• 评审企业的信息传递机制是否健全，确保信息在各部门之间及时、准确地传递。

• 检查企业是否建立了信息反馈机制，鼓励员工对内控工作中的问题和建议进行反馈，及时收集和处理反馈信息。

• 沟通渠道

• 评估企业的沟通渠道是否畅通，包括内部会议、工作群、邮件系统等多种形式。

• 检查企业是否定期召开管理层会议、部门协调会议等，促进各部门之间的沟通和协作。

（五）内部监督

内部监督是企业对内部控制执行情况的监督检查过程，确保内部控制的有效性和持续改进。评审内部监督时，应重点关注以下几个方面：

• 内部审计

• 评估企业的内部审计制度是否完善，内部审计机构是否独立，审计人员是否具备专业素养。

• 检查企业是否定期开展内部审计，对财务活动、内部控制等进行审计，及时发现和纠正问题。

• 监督检查机制

• 评审企业的监督检查机制是否健全，是否定期对内部控制的执行情况进行检查。

• 检查企业是否建立了常态化的监督检查机制，通过定期检查和不定期抽查相结合的方式，确保内部控制措施的有效执行。

• 整改落实

• 评估企业对监督检查中发现问题的整改落实情况，是否建立了整改台账，明确整改措施、责任人和整改期限。

• 检查企业是否对整改情况进行跟踪和评估，确保整改落实到位，防止问题反复发生。

三、企业内控制度评审的方法

（一）制度评审

• 文件审查

• 收集企业的内控制度文件，包括总则、细则、操作流程等，对制度的完整性、合规性和可操作性进行审查。

• 检查制度是否符合国家法律法规和行业规范要求，是否存在与现行法规相冲突的内容。

• 流程分析

• 根据内控制度文件，绘制业务流程图，分析流程设计是否合理，是否存在冗余环节或缺失环节。

• 检查流程中的关键控制点是否明确，控制措施是否有效，是否能够防范风险。

• 对比分析

• 将企业的内控制度与同行业优秀企业的制度进行对比分析，找出差距和不足。

• 借鉴优秀企业的经验，提出优化建议，完善企业的内控制度。

（二）流程评审

• 现场观察

• 评审人员深入企业现场，观察实际业务操作流程，检查是否按照内控制度和流程图执行。

• 记录流程执行中的问题和异常情况，如操作不规范、审批环节缺失等。

• 抽样检查

• 选择一定数量的业务样本，对样本的处理过程进行详细检查，验证流程执行的有效性。

• 检查样本是否符合内控制度要求，是否存在违规操作或风险隐患。

• 访谈与问卷调查

• 与企业各部门负责人和关键岗位人员进行访谈，了解他们对内控制度和流程的看法和建议。

• 设计问卷调查，收集员工对内控制度执行情况的反馈意见，评估员工对内控工作的满意度和改进建议。

（三）风险评估

• 风险识别

• 评审人员结合企业的业务特点和内外部环境，识别企业可能面临的风险点。

• 检查企业是否建立了风险识别机制，是否能够全面、及时地识别风险。

• 风险分析

• 对识别出的风险进行分析，评估风险发生的可能性和影响程度，确定风险等级。

• 检查企业是否根据风险评估结果，制定了相应的风险应对策略，并在内控制度中予以体现。

• 风险监控

• 评估企业是否建立了风险监控机制，能够实时跟踪风险的变化情况，及时调整风险应对措施。

• 检查企业是否定期对风险进行评估和监控，确保风险可控。

（四）信息与沟通评审

• 信息系统测试

• 对企业的信息系统进行测试，检查系统的功能是否完善，数据处理是否准确、及时。

• 检查信息系统的安全性，是否存在数据泄露、系统故障等风险。

• 信息传递测试

• 选择一定数量的信息传递样本，测试信息在各部门之间的传递效率和准确性。

• 检查企业是否建立了信息反馈机制，是否能够及时收集和处理员工的反馈信息。

• 沟通渠道评估

• 评估企业的沟通渠道是否畅通，员工是否能够及时获取和传递信息。

• 检查企业是否定期召开管理层会议、部门协调会议等，促进各部门之间的沟通和协作。

（五）内部监督评审

• 内部审计评估

• 评估企业的内部审计工作，检查内部审计机构的独立性、审计人员的专业素养和审计工作的质量。

• 检查内部审计报告是否及时、准确，是否能够反映企业内部控制的真实情况，提出的审计建议是否合理、可行。

• 监督检查评估

• 评估企业的监督检查机制，检查是否定期对内部控制