初笑音 杨 洁

随着内部控制理论发展和实践积累，我国企事业单位已逐步认识到内部控制的重要性，并有意识、有计划地开展内部控制实践。中央企业作为社会经济的中坚力量和科学管理的探索先驱，始终紧跟国家政策，不断深化内部控制实践，取得了阶段性的成果。如今，面对错综复杂的国际形势和国内经济下行压力，为了稳步落实深化改革、适应授权经营、保全国有资产，中央企业更应脚踏实地、强基固本，以内部控制为抓手，推进治理体系和治理能力现代化，进一步提升防范化解重大风险的能力。内控评价作为企业内部控制的重要组成部分，亦应做出与时俱进的改变。

一、认识内部控制新阶段

内部控制的本质是进一步强化企业管理，随着企业管理环境的变化和内控实践的发展，不同阶段下内部控制的方向和重点必然有所不同。2019年11月，国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》（以下简称《实施意见》），引领中央企业进入深化内部控制实践的新阶段。正确认识内部控制新阶段，是优化调整内控评价工作的前提。

（一）“以查促改、以改促建”是内控实践的新重点

《实施意见》明确指出，中央企业应“形成‘以查促改、以改促建’的动态优化机制，促进中央企业不断完善内控体系”。由此，中央企业必须清晰认识到，加大内控评价实施力度已是势在必行。

在过去的十余年间，以财政部等五部门联合发布的《企业内部控制基本规范》及其配套指引为指导，中央企业遵循更加科学、成熟的内部控制理论和实践经验，逐步建立起真正体系化的内部控制机制，完成了“从零到一”的阶段性建设任务，内控体系从“建设”转入“运行”。此时，内控评价作为促进内控体系落地执行和持续优化的必要手段，其重要性便日益凸显。从执行角度来看，持续有效的逆向评价是正向监督的重要补充，能够量化内控体系运行水平，促进企业上下持续履行内控义务、切实落实内控责任。从设计角度来看，内控体系已经过相当一段时间的运行，需要系统地检视其适用性，并针对性地给予优化完善，以保证内控体系能够继续健康有效地运行，在企业管理中持续发挥积极作用。

（二）“强内控、防风险、促合规”是内控评价的新方向

《实施意见》指出，中央企业应“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系……实现‘强内控、防风险、促合规’的管控目标”，从建立健全内控体系、强化内控体系执行、加强信息化管控方面提出深化内控实践的一系列具体实施意见。中央企业应以此为基础，准确把握适应内控实践新阶段的内控评价工作新方向，并相应探索内控评价新做法，更加有效地协调评价资源，完善评价内容，优化评价方法，使得内控评价真正发挥应有的效用。

第一，评价方向，紧扣内控设计“多合一”思路。根据《实施意见》，企业在长期管理建设中形成的多个并行的管理体系将逐渐从“互补”转为“融合”，企业应当加速风险管理体系、合规管理体系、内控管理体系有机融合，并确立内部控制体系作为企业基础管理体系的核心地位。相应地，内控评价需要关注内控体系设计过程对风险管理及合规管理既有理论和经验的吸收，关注内控体系设计结果是否实现内控管理、风险管理、合规管理的“责任融合”和“制度融合”，能否最终以内控体系为依托，同步实现风险管理体系和合规管理体系的管理目标。

第二，评价重点，聚焦内控执行“常态化”动作。根据《实施意见》，内控执行应强调三个“常态化”，一是常态化地将风险评估作为决策前置环节，二是常态化地将内控责权融入业务活动，三是常态化地动态监控重大风险。相应地，内控评价应关注决策前风险评估活动的质量和结果应用，关注内控责权对业务活动覆盖横向无盲点、纵向无断点，关注重大风险的识别、评估和应对机制的落实。

第三，评价方法，适应内控运行“信息化”环境。根据《实施意见》，企业应通过信息化手段强化内控体系刚性约束。随着企业各项业务信息化水平的提升，内控评价也需要相应加强对“流程信息化”的关注，将IT一般性控制（ITGC）、应用程序控制（ITAC）、公司层面IT控制（ITELC）纳入评价范围，适当采用IT审计方法作为传统内控评价方法的替代或补充。

二、新阶段内控评价的内容框架

为了适应内部控制新阶段，落实合规要求，过滤风险影响，保障经营安全和管理效率，更好地服务于企业价值创造和战略实现，内控评价的内容也需要作出积极调整。一是需要更加注重内控体系对合规目标的保证水平，二是需要促进风险管理与内部控制融会贯通，三是需要适应企业信息化水平日益发展对管理环境的影响。内控评价工作作为内部控制第五个要素“内部监督”的核心任务，其实施内容应围绕其他四项内部控制要素展开。

（一）“内部环境”要素评价

内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。评价“内部环境”要素，应涵盖以下内容。

1.治理结构和组织机构

（1）职责。关注企业治理结构、组织机构设置是否符合外部合规要求；机构职责是否清晰，并符合不相容职责分离原则；风险防控“三道防线”是否健全，纵向上各道防线责任清晰、上下级汇报关系明确，横向上对业务事项和风险类别覆盖完整；是否建立并执行风险责任追究机制。

（2）授权。关注企业权限指引范围是否完整覆盖业务事项和风险类别；提报、审查、复核、审批、备案等授权定义是否清晰，并适应现行治理结构和组织机构设置；授权结果是否符合企业集团管控模式；授权方式是否合规；是否落实风险控制一把手责任制。

2.企业文化和人力资源。关注企业是否建设风险文化、合规文化；是否采取措施促进管理者及员工具备风险意识、内控意识、合规意识，以及相应的知识和管理能力。

3.审计监督。关注企业审计职能的独立性；是否采取措施保证审计质量；是否采取措施针对审计发现的问题，落实整改和追究责任。

（二）“风险评估”要素评价

风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。评价“风险评估”要素，应涵盖以下内容。

1.全面风险评估。关注企业是否持续开展全面风险评估工作；企业的风险评估是否围绕战略和经营目标展开；风险评估范围是否完整覆盖外部风险及内部风险，包括战略风险、财务风险、市场风险、运营风险、法律风险等，对风险因素识别是否全面；企业对风险承受的认识是否清晰，包括企业整体风险承受能力和业务层面的可接受风险水平；企业风险偏好和风险应对策略与其战略是否契合；企业对重大风险的认识是否清晰、统一；对重大风险是否主动研判、例行监测，并建立应对方案和企业间风险隔离。

2.专项风险评估。关注企业是否在重大经营事项决策前引入风险评估机制，并将风险评估结果及相关应对措施、处置预案作为决策必备支撑材料；专项风险评估是否具有成熟的评估模型，各参与方的评估内容和责任是否界定清晰，评估人员是否具备应有的专业胜任能力，风险评估依据的基础信息是否真实可靠。

（三）“控制活动”要素评价

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。评价“控制活动”要素，应涵盖以下内容。

1.控制活动设计

（1）流程设计。关注流程框架是否覆盖企业价值链；流程环节是否涵盖风险在价值链的作用点；流程内容是否包含全员参与生产经营活动。

（2）控制设计。关注对于“风险降低”应对策略下的各项风险，是否针对性地设计了控制活动；控制活动是否完整地将外部合规要求落实到内部经营管理；控制活动是否遵照“5W1H”原则定义清晰，并形成完整的控制实施证据链条；控制活动与企业职能及权责设计是否匹配，是否落实风险管理“三道防线”的责任；控制活动是否运用合理的控制手段，灵活应对外部风险，严格防控内部错误或舞弊；控制活动的风险控制水平是否符合企业的风险偏好和风险承受能力；从全流程和全场景角度观察，相关控制活动的集合是否衔接连贯并形成合力，是否存在漏洞或不当产生新的风险；控制活动是否适应企业管理环境，具备充分的可操作性。

2.控制活动执行

（1）线下执行。关注控制实施证据是否完整，全流程或全场景相关控制活动的实施证据是否连贯、相互佐证、无明显矛盾；控制实施证据是否真实；控制实施证据是否完整、有序留存，具有足够的可追溯性。

（2）线上执行。关注流程控制在信息系统中的落地是否完整：正向上，系统功能能否支持各项控制活动线上运行；逆向上，系统能否卡控各笔业务事项按规范执行、控制活动不被绕过。为提升控制效率效果所采用的线上数据来源是否可靠，是否存在线上、线下同步双线执行、表里不一的情形；执行控制活动所需的信息支持和形成的实施证据是否在线上完整留存。

（四）“信息与沟通”要素评价

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。评价“信息与沟通”要素，应涵盖以下内容。

1.政策跟进。关注企业是否有意识地持续收集、研究外部政策，梳理和更新企业应遵循的合规要求，并通过内控体系的迭代完成合规要求在本单位因地制宜地落地执行；企业是否具备畅通的反舞弊举报途径和应答机制。

2.风险监测。关注企业是否建立风险管理所需的信息收集、传递、处理能力，尤其在重大风险方面，是否具备持续性和及时性。

3.信息质量与安全。关注企业是否制定明确的信息收集、处理和传递程序；是否对信息结构和质量有明确要求，并采取适当的保证措施，包括经营活动信息和内控管理信息；信息沟通相关程序和保证措施是否正常运行，信息路径是否畅通，能否满足企业治理和集团管控的需要。

4.信息安全。关注企业是否具备完备的信息安全管理方案，能否识别信息安全关键环节并采取应对措施；关注IT一般性控制（ITGC）、应用程序控制（ITAC）有效性，从网络、操作系统、数据库和应用系统层面保证信息保密性、完整性、可用性。

三、新阶段内控评价实施要点

立足新阶段，实施内控评价工作的方法和手段也需有所优化，以提高评价结果的可靠性、可用性，实现内控评价对内部控制管理优化的推动作用。

（一）以政策研究与风险评估为先导，找准范围和依据

资源与效率的平衡是精进企业管理始终关注的课题。新阶段对内控评价的范围和深度提出了更高的要求，鉴于企业内控评价资源有限，如果一味求大求全，必然导致资源分散，削弱评价工作效果。与新阶段内控评价的内容框架相适应，内控评价工作可以从政策研究与风险评估入手，首先，评价企业常态化开展政策研究与风险评估工作的有效性，对企业内部控制做整体性判断；其次，利用政策研究与风险评估成果，更新评价所依据的管理标准，合理判断此次评价工作应关注的重点领域和应挖掘的薄弱环节，从而更加合理地配置评价工作资源，形成“点、线、面”相结合的评价方案。

（二）借助信息化手段，提高评价效率

随着企业业务流程的逐步线上化和信息化，经营管理信息的可获得性、可用性进一步提升。相应地，内控评价工作也应升级信息化手段。一方面，可以分析利用企业经营管理数据支持风险预判，增强内控评价工作的针对性和发现问题现象、挖掘问题本质的能力；另一方面，可以将内控评价工作数据化、模型化、系统化，建设内控评价系统，将线下评价经验沉淀到线上，运用系统能力促进内控评价从“事后”向“事中”、从“定期”向“即时”的转变，进一步实现内控评价的常态化。

综上，企业内部控制已经进入新阶段，中央企业需要认识新阶段对内控评价的要求，梳理新阶段内控评价的内容，把握新阶段内控评价的要点，并有计划有步骤地付诸行动，才能借助内控评价深化内控实践，促进企业内部控制与时俱进、因地制宜地持续改进，保障企业稳定、健康、长效发展。