管理咨询师

三、内部控制制度评价
(一)内部控制制度评价概念
内部控制制度评价是指通过审计部门对各项内部控制制度进行审查、评价，以便发现被审单位的内部控制制度的缺陷和薄弱环节，有针对性地提出改进意见和建议，促进单位内部控制制度的加强和完善。内部控制制度评价的具体职责包括：
①对各项业务内部控制制度的执行情况进行检查和评估；
②写出检查报告，对各项业务活动提出内部控制建议；
③对违反内部控制制度的部门和人员提出处理建议。
(二)内部控制制度评价主体
内部控制制度评价可分为鉴证和管理两个领域。鉴证由注册会计师担负；管理则由内部审计员担负。内部审计在企业中的定位见图5—13。

内部审计对董事会负责，不受总经理的影响。这样，能充分发挥内部审计的效能，在帮助管理当局更有效的达到预期控制目标的过程中，评价企业内部控制制度系统，以期达到组织成功所需要的内部控制制度水平。
(三)内部控制制度评价内容
1．健全性评价
这是检查内部控制制度本身是否贯彻了内部控制制度的基本原则和要求，以及管理人员对内部控制制度的重视程度和有效管理力度。
2．符合性评价
这是对内部控制制度执行情况进行检查，包括有关凭证、单据、账册和其他书面文件的实地查看，对执行内部控制制度的人员进行工作态度和业务素质的分析等。
题目：检查内部控制制度本身是否贯彻了内部控制制度的基本原则和要求，以及管理人员对内部控制制度的重视程度和有效管理力度是：（）。
A．特出性评价
B．健全性评价
C．符合性评价
D．先进性评价
答案：（B ）
(四)内部控制制度评价程序
内部控制制度评价程序，可分为健全性测试和评价，以及符合性测试和评价两个阶段。根据这两阶段评价结果进行的后续评价过程，也可称为综合性评价。在审计工作中，如果健全性测试和评价认为某单位的内部控制制度系统是完善的，就可以对其进行符合性测试和评价；否则，即直接执行全面的实质性审计。如果符合性测试和评价认为该单位的内部控制制度系统的执行是有效的，就可在汇总以上评价结果的基础上，据以确定实质性审计的范围、重点和方法，然后进行有限地实质性审计；否则，即执行全面的实质性审计。这一过程见图5—14流程图。

四、内部控制制度设计咨询要点
(一)正确评估内部控制环境
1．内部控制环境的内容
内部控制环境是内部控制制度设计的基础，是内部控制制度有效性的保证，其包括以下几方面内容。
(1)管理思想和经营方式
(2)组织结构
(3)董事会和审计委员会
(4)责任划分和授权方法
(5)人事政策
(6)内部审计
2．内部控制和环境的关系
(1)企业应该根据经营特点和管理要求加强企业内外环境控制。
(2)企业内部控制制度的构建，首先必须对内部控制制度的环境进行深入地研究，将环境控制纳入企业内部控制制度系统，成为相对独立的部分。然后，根据企业各自不同的内部控制制度环境，确定企业的内部控制制度模式，建立内部控制制度系统。
(3)内部控制制度不应只被动适应企业环境条件，还应从现代企业内部控制制度的需要出发，改变企业环境。
(二)嵌入内部控制制度索引于企业管理制度
(三)建立企业风险管理系统
1．企业风险类型
(1)经营风险
经营风险是指生产经营中的不确定性而带来的风险。经营风险来自以下几个方面：第一，技术产品的创新；第二，市场的需求；第三，竞争的压力。
(2)财务风险
财务风险的内涵已扩大到企业资金运作的方方面面，包括筹资、投资、资金管理、股利分配和企业并购等风险。
2．建立企业风险管理部门
企业进行风险管理和风险控制的第一步是设置专门的风险管理部门或配备专门的风险管理人员。企业风险管理部门，根据部门权限大小有三种类型。
第一种是独立型，见图5—15。

企业专门设立风险管理部门，并配备专门的风险管理人员，赋予该部门相当的权力：凡是企业涉及风险的项目，风险管理部门都应该参与；风险管理部门直接对董事会负责。
这种类型主要适用于大中型企业，便于科学、有效地管理企业的经营活动。
第二种是直线型。风险管理部门的权力和职责由董事会指派几个高层管理人员总负责，进行自上而下的风险管理。这种类型一般适用于小型企业。
第三种是附属型。即企业设立风险管理部门，虽赋予权力，但仅是作为企业高层的咨询部门，为企业的风险管理提出建议。
3．全力开展企业风险管理活动
(1)风险识别是对企业面临的风险判断其性质的过程。主要包括研究风险的类型、风险产生的原因和风险对企业经营可能产生的影响等，这个阶段的分析主要是定性的。风险产生的原因包括生产经营、财务活动、政府政策和自然灾害等，进一步还要分析这些风险是可控的还是不可控的。风险识别的方法包括头脑风暴法、德尔菲法。头脑风暴法是指针对一个特定的问题，组织一群人对此进行讨论，成员来自不同的部门，具有相当的权威性，讨论过程的关键在于为讨论者创造畅所欲言的氛围，使与会者不会感到任何压力。然后，对各种想法进行评价，并改进或整合，最终对问题达成一致意见。德尔菲法是采用信函的方式分别向有关专家提出问题，然后将所有的意见进行整理、归纳，并匿名反馈给有关专家，再次征求意见，进而再汇总归纳，再反馈，反复多次，以便达成一致的意见。风险识别是风险管理的基础，随着客观环境的变化，企业的风险也会改变性质或者出现新的风险，因此，企业应该将风险识别的工作经常化，使之成为一项长期的制度。
(2)风险评估是采用收集的大量数量化的信息，运用数学方法，评估风险发生的概率和大小。
(3)风险控制包括事前控制、事中控制和事后控制。
4)风险报告主要评价风险管理的效果，效果通过效益和费用之比来衡量。