内部控制评价模型应用建设分析

摘要：本文结合自身参与中国邮政ERP信息系统项目的建设经验，通过对内控评价审计模块的实际参与，将着重阐释邮政公司内控评价模型在ERP系统中建设过程及内控自动评级功能的创新设计，并展示其在企业管理中达到的应用效果。

关键词：内控评价模型；内控评价体系；自动评级

1引言

企业内部控制评价应当包括内部控制的设计与执行，涵盖企业及其所属单位的各种业务和事项，并在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，准确地揭示经营管理的风险状况，如实反映内部控制设计与执行的有效性，考核内部控制所规定的目标实现与否。近年来，中国邮政业务不断快速发展，业务种类越来越复杂，管理幅度和跨度越来越大，风险管控水平也在不断进步。但仍存在一定的局限性：内控评价频次不够，难以实现集团公司总部对各级企业加强全面内控评价的目标；传统内控评价侧重于对发现问题缺陷的定性分析，缺少定量分析方法；内控评价缺少监督，只能被动接受下属单位上报的经过“加工”的汇报材料，总部管控停留在事后检查层面。因此，中国邮政集团公司全新设计和自主开发了ERP审计模块，首次搭建了适用于邮政公司的审计管理信息统一平台。内控审计模块是在中国邮政集团公司的ERP、《内控手册》、内控风险矩阵、缺陷汇总表、内控评价规范等基础上构建的内部控制评价模型，创新融入内控自动评级功能，实现内控评价全流程信息化，形成内控评价体系。

2内部控制评价的基本内涵

2.1内部控制评价的含义。内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程，以合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。2.2内部控制评价的内容。企业内部控制评价应当包括内部控制的设计与执行，涵盖企业及其所属单位的各种业务和事项，并在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域，准确地揭示经营管理的风险状况，如实反映内部控制设计与执行的有效性，考核内部控制所规定的目标实现与否，具体目标为：建立健全内部控制机制，保障内部控制体系有效实施；确保企业经营业务的合法合规性；保障企业资产的安全完整性；增强企业财务信息和管理信息的真实完整性；为企业提高风险管理水平提供信息服务和决策支持；提高企业经营效率和效果，促进企业实现发展战略。

3内部控制评价模型的建设

3.1模型技术方案。ERP审计模块以ERP现有EBS产品技术架构为基础，结合业界主流的Java技术框架和BIEE工具来设计与实现，数据层与ERP财务、采购、投资项目等模块的Oracle数据库充分集成关联，按照多种技术的不同优势进行了有机结合，应用了可视化报表工具实现报表开发，实现自动评分功能。3.2内部控制评价模型的构建。内部控制评价模型，是按照百分制对内控手册20个流程赋予权重，再对流程中的328个风险控制点，按照重要性程度分高、中、低三档风险级别，分别匹配风险系数。通过评价每个流程的控制点是否达标来计算单个流程分值，汇总流程总得分数，按照总得分细分出A、B、C、D四个等级的评价结果。如遇部分单位只评价部分流程或部分流程的控制点不适用、无样本等特殊情况，系统自动根据基础权重分按照百分制重新计算评价流程新权重分；将不适用或无样本的控制点剔除后重新计算有限控制点分数。具体如下：3.2.1对控制活动流程设置权重。结合国家法律法规、企业生产经营考核等各方面管理要求，按照重要性原则将企业上市用内控手册的20个控制活动流程分别设置权重分，总分100分。3.2.2对328个风险控制点匹配风险系数。首先，将内控手册20个流程328个风险控制点按照重要性程度分高、中、低三个级别，分别赋予1.2、1.0、0.8的风险系数。如：第6个固定资产管理流程赋值3分、控制点13个（其中：高风险控制点有6个、中风险控制点有1个、低风险控制点有6个），高中低三个级别风险控制点分别对应分值为0.28分、0.24分、0.18分。3.2.3逐个流程开展内控评价、计算评价分数。内控评分固定每个流程的权重，按照该流程中所有风险控制点的风险系数之和，计算单位风险权重分值，如果控制点评价结果达标，控制点得分为单位风险权重×风险系数；如果控制点评价结果不达标，控制点得分为零。单个内控流程得分为此流程全部控制点得分之和。以固定资产管理流程为例，权重分值为3分，此流程共有13个控制点，其中高风险级别控制点6个，中风险级别控制点1个，低风险级别控制点6个。控制点按照全部达标、部分不达标、部分不适用或无样本的情况分别计算得分。（1）如果本次固定资产管理流程评价结果为全部达标，则该流程得分为3分。（2）如果本次固定资产管理流程评价结果为控制点1、3、4未达标，则该流程的得分为2.82分。（3）如果被评价单位的固定资产管理流程中存在控制点6无样本、控制点8不适用，无样本和不适用的不参与打分，则该流程有效控制点为11个，其中高风险控制点5个、中风险控制点1个、低风险控制点5个，系统会自动重新设置有效控制点分数。（4）针对部分流程评价情况，系统会根据风险分配基础数值自动分配本次参与评价流程和控制点的分值。（5）根据内控评价得分评定内控有效性等级在系统中将内控有效性等级设置为：90分以上划为A类，80分（含）到90分为B类，70分（含）到80分为C类，70分以下为D类。项目结束后，根据得分，系统自动显示被评价单位的内控有效性等级。

4内部控制评价模型的应用意义

（1）实现内控评价全流程信息化，提升内控评价工作效率。内控评价的审前准备、现场工作、报告阶段、归档阶段、整改阶段、档案查询等所有相关工作流程均实现线上操作，系统留痕，全方位提高审计工作信息化和自动化程度、全面提升内控评价工作效率和企业风险管理能力。（2）建立内控缺陷数据库，综合分析全国各级经营单位内控与风险管理状况。通过建立统一的定量评价标准，便于速递物流总部从宏观上掌握全国各省分公司内控管理水平和差异，随时跟踪督导内控建设工作进展。集团总部完成对全部下属单位内控评价之后，将实现横向展示全国各省公司管理水平，透视出全国各级单位在内控管理中的共性问题、个性化问题。通过内控评级排名也便于省分公司管理层了解本单位内控管理横向、纵向上的排列次序，有针对性的加强内控建设，防范各类风险。（3）大大促进审计组织体制从分散管理向集中管控转变，且内控评价结果客观公正，能够让被评价单位充分信服，正确认识内部管理存在的问题，明确责任部门、责任人，做到有的放矢，有效落实内控缺陷整改工作，防范各类风险利于实现集团公司集中管控。

参考文献

[1]财政部，证监会，审计署，银监会，保监会.企业内部控制基本规范[Z].2008.

[2]财政部，证监会，审计署，银监会，保监会.企业内部控制评价指引[Z].2010.

[3]中国邮政速递物流股份有限公司内部控制手册[Z].2014.

作者:唐运飞 单位:邮政科学研究规划院