内部控制是企业自身的“免疫系统”，是企业安全、有效运营的重要保障机制。对企业内部控制实施情况进行评价，是优化内部控制的一项重要的制度安排。

一、企业内部控制评价研究的思路

企业内部控制评价工作具有专业性强、操作复杂和工作量大的特点，实施企业内部控制评价需要解决三个方面的问题。

(一）评价方法研究

企业内部控制评价方法主要有详细评价法和风险基础评价法两种方式。

1．详细评价法。详细评价法是一种从内部控制制度评价到风险判断的方法。它以内控制度为参照物，在评价其设计和运行有效性的基础上，作出总体评价，评估内控制度目标实现的风险，以确定内部控制是否有效。

2．风险基础评价法。风险基础评价法是一种以风险测评为基础的内部控制制度评价方法，即评价内控制度的设计应对相关风险的有效性，通过分析制度存在的问题确定其有效性。

综合考虑详细评价和风险基础评价两种方法，笔者认为在计算机应用条件下，企业内部控制评价应当采用详细评价法和风险基础评价法相结合的综合评价方法。

（二）评价模式选择

企业内部控制评价模式由三个部分组成：内控制度设计评价、内控制度执行测试和内控风险指标测评。内控制度设计评价是指为实现控制目标，评价企业内控制度体系设计完整性，各项制度关键控制点和控制措施设计的全面性；内控制度执行测试是在内控制度设计评价的基础上，对企业内部控制制度执行的有效性作进一步测试；内控风险指标测评则是通过内控风险指标测试，反映企业经营和财务风险状况、印证企业内控制度风险状况。

内部控制评价模式是一个从企业内部控制制度入手，通过检查、分析、评价企业内部控制制度，提出存在的问题和完善建议，达到促进企业内部控制制度完善的闭环式循环。每一次评价都以达到促进企业不断完善内部控制为目的，每一次评价都可以发现内控制度存在的问题并提出完善意见和建议，以促进企业内控制度不断完善。

（三）计算机网络应用

企业内部控制评价目标实现需要解决手工操作问题，只有应用计算机网络解决内控评价工作存在的专业性强、计算复杂和工作巨大的难题，才能使内部控制评价走出专业研究，走进实践应用。企业内部控制评价模式和计算机技术相结合，将极大地提“制度+科技”防控模式的应用水平，向“互联网+财务监督”工作目标迈出重要的一步。

二、企业内部控制评价模型设计

（一）企业内部控制体系

1．总体架构。企业内部控制体系由经济管理活动、会计核算规范、内部控制制度和信息化技术应用四部分组成。经济管理活动是围绕企业经营管理活动而产生的各类采购、生产、销售、物资、资金、投资、融资等基本经济活动；会计核算规范是对企业经济活动的核算工作的规范，包括会计准则、财务标准、核算要求、会计政策等；内部控制制度是企业为实现经济活动控制目标而制定的基本管理制度，如采购管理、销售管理、预算管理、合同管理、内部审计、投融资管理等企业内部控制制度；信息化技术应用是计算机网络技术的发展和应用，使企业管理由传统的手工管理向电算化、网络管理系统方向发展。

2．内在逻辑关系。企业内部控制体系四者的关系：经济管理活动是主体，会计核算规范是基础，内部控制制度是措施，信息技术应用是支撑（如图1所示）。

（二）企业内部控制评价模型

企业内部控制评价基本思路是以企业内部控制制度为对象，以企业基本经济活动为基础，以企业经济活动基本要点和企业经济活动基本要点的控制措施为标准来评价和测试企业内控制度设计的完整性、执行的有效性，结合对企业内控风险指标测评，对企业内部控制现状及其实现程度作出客观综合的评价。因此笔者认为，企业内部控制评价模型由内控制度设计评价、内控制度执行测试和内控风险指标测评三部分组成。在具体的实施过程中，其评价指标和控制要点可划分为以下三个维度：第一维是经济管理活动的控制要点，即企业各项经济活动关键环节，如固定资产管理要点包括申请、采购、入库、保管、领用、折旧、更新、改造、处置、统计等；第二维是对经济活动要点的控制措施，即对经济活动要点采取的控制措施，如固定资产管理活动要点的控制措施是计划、预算、比选、审批、合同、验收、定额、盘点、报告等；第三维是内控风险指标，通过内控风险指标测试，反映企业经营和财务风险状况。

“制度+科技”模式下企业内控制度评价，就是根据企业内部控制评价模型、应用计算机网络技术，实现对企业内控制度评价过程工作的数据采集、数据计算、数据比较、数据分析、数据评价、数据汇总、数据传输、数据阅读工作计算机网络化的企业内部控制评价过程。

（三）风险指标体系

企业内控风险的主要包括经营风险、债务风险、资产风险三个方面，具体指标包括反映企业经营风险、债务风险和资产风险的财务指标，如净资产收益率、资产负债率、总资产周转率等指标，根据重要性原则，在多个财务指标组合的基础上，选取代表性指标，建立起具有内在联系的，多变量的内控风险指标体系，具体如图2所示。

三、企业内部控制评价实施

内部控制评价是通过评价、反馈企业在内部控制实施中存在的问题，以促进企业不断完善内部控制的过程。通过内部控制评价，以确认、分析企业内部控制存在的问题，提出改进的意见和建议，及时堵塞企业内部控制的漏洞，规避企业运营风险，促进企业不断完善内部控制体系。其具体的实施方式是企业自查与检查相结合、人工评价与计算机测算相结合、定性分析与定量测评相结合、内部控制设计评价与内部控制执行测评相结合、内部控制评价与风险指标测评相结合。

（一）内控制度设计评价

企业的内控制度有效性首先在于制度设计的有效性，作为内部控制有效性的基础，企业内控制度设计有效性评价包括制度系统完整性和各项制度控制要点和控制措施完善性的评价。

1．评价企业内部控制制度体系设计的完整性，即评价企业内部控制制度体系是否完整，是否覆盖了企业及其所属单位的各种业务和事项？从企业内部控制制度设计而言，各企业经济活动内容不尽相同，其内部控制制度也不尽相同，但就企业经济活动基本内容而言，企业内部控制制度体系的控制要点和措施应当是一致的。

2．评价企业各项内部控制制度设计的有效性，即评价各项内部控制制度控制要点和控制措施设计的有效性。制度设计的完善程度直接影响其在实际中发挥作用的程度，只有体系完整、措施完善的内控制度，才能在实施中发挥应有的作用。

（二）内控制度执行测试

内控制度执行测试主要是对企业内部控制制度执行的有效性进行测试，即企业的控制制度在实际运行中是否有效执行从而发挥其应有的作用。如对有价证券控制进行测试，制度规定企业有价证券应做到保管安全，可以认为该项控制在这个控制要点设计合理，但还应实地观察企业有价证券是否存放在单位或银行的保险箱中，如未按制度执行，则制度的有效性存在问题。

在内控制度执行测试中，评价人员应根据工作分工，结合本次执行测试的具体要求，进行现场检查和抽样测试，同时应做好检查工作底稿记录工作，以便在分析问题和提出改进意见时提供第一手原始资料。

（三）内控风险指标测评

为更好地评价企业内部控制的有效性，可通过测评企业风险指标体系了解企业经济管理运营风险程度，用风险指标评价数据来反映和印证企业内部控制体系的适用性、完整性和有效性。

（四）企业内部控制评价汇总

在完成对企业内部控制制度设计评价、内部控制制度执行测试和企业风险指标测评工作基础上，可按照企业内部控制评价模型设定的三部分权数进行汇总计算（过程如图3所示）。

例如，本次对企业内部控制设计评价为90分，执行评价为85分，风险指标为75分，按照三者权数汇总，则企业内部控制整体评价得分为85分(90×50%+85×25%+75×25%)，由此可以较直观地把握企业内部控制的状况和企业经营风险的程度。

责任编辑 张璐怡