手把手教你内控评价—业务外包篇

2016-12-07

业务外包内部控制评价是内部控制评价业务层面的重要内容之一，是对业务外包内部控制设计及运行有效性的评价。因此，加强业务外包内部控制评价工作，有利于促使企业建立健全和有效执行业务外包内部控制，从而有效控制业务外包风险。

评价目标及评价依据

担保业务内部控制评价内容，总体来说就是评价担保业务内部控制的设计和运行的有效性，包括过程和结果两个层面，具体评价范围包括调查评估与审批、执行与监控等主要担保业务。具体评价内容因评价单位开展担保业务情况的不同而不同，也因被评价单位内部控制成熟度的不同而不同。

（一）设计有效性评价。担保业务内部控制的设计有效性评价包括设计过程和设计结果两个层面。担保业务内部控制设计结果有效性的前提是设计过程要有效，因此，要重视担保业务内部控制设计过程有效性的评价，不能仅对担保业务内部控制设计结果有效性进行。实际操作上，根据中天恒3C框架内部控制设计标准，担保业务内部控制的设计有效性评价包括：

现状梳理过程及结果的有效性。现状梳理是担保业务内部控制设计的基础性工作,评价要点是：

是否进行了担保业务的现状梳理；

是否梳理了现有担保业务管理制度或相关文件并编制了《担保业务内部管理制度或相关文件情况表》；

是否进行担保业务现状描述并编制了《担保业务流程目录》、《担保业务现状流程图》等；

现状梳理的结果是否符合企业担保业务的业务、管理现状等。

常用评价方法为调查问卷和审阅的方法，评价工作底稿是调查问卷、审阅及访谈记录表等。

风险评估过程及结果的有效性。评估要点包括：

是否进行了担保业务风险评估工作；

是否识别了担保业务风险并编制了《担保业务风险及其描述表》；

是否进行了分析担保业务风险并编制了《担保业务风险分析表》；

是否评价了担保业务风险并编制了《担保业务风险评价表》；

是否确定了担保业务风险应对策略并编制了《担保业务风险应对策略表》；

是否汇总分析了担保业务风险评估结果并编制了《担保业务风险数据库》；

是否提出了担保业务重大风险解决方案；

担保业务风险评估结果是否合理有效等。

常用评价方法为调查、询问、审阅和抽样执行穿行测试或重新执行程序，评价工作底稿是调查问卷、审阅及访谈记录表、抽查底稿等。这里需要特别说明的是对担保业务风险评估结果有效性评价是件非常专业的工作，比较严谨的做法是对担保业务重新进行风险评估，但这工作量巨大，现实的做法是用统计抽样的方法抽查担保业务风险评估结果的有效性。

控制要点确定过程及其结果的有效性。担保业务控制环节确定评价要点包括：

担保业务内部控制设计时是否划分了控制环节；

每个控制环节是否确定了控制要点；

是否确定了关键控制，是否编制了《担保业务控制要点及其关键控制表》；

担保业务控制环节、要点及其关键控制的确定结果是否有效。

常用评价方法为调查问卷和审阅的方法，评价工作底稿是调查问卷、审阅及访谈记录表等。

控制目标的分解过程及结果的有效性。评价要点包括：

是否分析确定了担保业务内部控制的总体控制目标；

是否分解了总体控制目标，是否编制了《担保业务内部控制目标表》；

担保业务控制目标的分析、分解结果是否有效。

常用评价方法为调查问卷和审阅的方法，评价工作底稿是调查问卷、审阅及访谈记录表等。

控制措施的确定过程及结果的有效性。评价要点包括：

是否确定了担保业务内部控的总体控制措施，总体控制措施确定是否有效等；

担保业务层的控制措施是否具体有效，

是否编制了《担保业务内部控制措施表》。

常用评价方法为调查问卷、审阅、穿行测试、重新执行等方法，评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。

控制证据的设计过程及结果的有效性。担保业务控制证据是多种多样的，评价要点是：是否设计了担保业务内部控制的控制证据，是否编制了《担保业务控制证据表》，设计的控制证据是否有效等。常用评价方法为调查问卷和审阅等方法，评价工作底稿是调查问卷、审阅及访谈记录表等。

管理制度的优化过程及结果的有效性。担保业务内部控制设计的过程实际上也是担保业务管理制度优化的过程，需要对担保业务管理的修订和完善提出建设性的意见。评价要点是：是否提出了担保业务管理制度完善建议，是否编制了《担保业务制度完善建议表》，建议是否合理有效等。常用评价方法为调查问卷和审阅等方法，评价工作底稿是调查问卷、审阅及访谈记录表等。

控制流程图的绘制过程及结果的有效性。评价要点是：是否绘制了《担保业务内部控制流程图》，是否标注了风险点和控制点，《担保业务控制流程图》是否有用等。常用评价方法为审阅、访谈的方法，评价工作底稿是审阅及访谈记录表等。

控制矩阵的编制过程及结果的有效性。《担保业务控制矩阵》是担保业务内部控制设计的重要成果之一，对企业内部控制管理手册的重要组成部分。评价要点是：是否编制了《担保业务内部控制矩阵》，控制矩阵的格式要素是否基本齐全等。常用评价方法为审阅、访谈的方法，评价工作底稿是审阅及访谈记录表等。

（二）运行有效性评价。担保业务内部控制的运行有效性评价包括运行过程和运行结果两个层面，总体说来，评价要点包括：

已设计完的担保业务内部控制及其相关的管理制度是否有效执行，是否有效控制了担保业务风险；

已设计好的担保业务各控制点的控制措施是否有效实施，是否有效防止了各控制环节的风险；

是否建立担保业务内部控制标准执行情况文档；

是否根据业务、监管要求或法律法规等的变化持续改进担保业务内部控制等。

实践中，担保业务内部控制运行层面普遍存在的问题是已有的控制在实际中没有执行，内部控制形同虚设，担保业务风险未有效控制，导致担保业务被挪用、贪污等。担保业务内部控制的运行有效性评价重点的是控制制度及其措施的执行情况。常用评价方法为调查问卷、审阅、穿行测试、重新执行等，评价工作底稿是调查问卷、审阅及访谈记录表、跟单测试工作底稿等。

评价程序

业务外包内部控制评价程序，就实施阶段来说，主要包括对业务外包内部控制进行调查了解、控制测试、缺陷认定、综合评价等程序。

（一）调查了解。业务外包内部控制调查了解，是评价实施阶段的首要环节，涉及的具体内容很多，也因单位的不同而不同。值得注意的是，调查了解仅作为了解业务外包内部控制设计和运行的情况的手段，不能直接形成业务外包内部控制设计和运行有效性的结论。本阶段工作常用方法有文字叙述法、调查表法、流程图法、控制矩阵法等。这些方法各有其特点，需要经常加以综合运用。

（二）现场测试。业务外包内部控制现场测试，就是测试业务外包内部控制设计和运行的有效性。实际操作中，可以根据具体情况实施详查或者抽样测试，具体测试方式包括跟单测试和关键控制测试等。

评价人员在测试业务外包控制设计的有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序，一般采用跟单测试方式。

评价人员在测试业务外包内部控制运行的有效性时，应当综合运用审阅文件资料、询问相关人员、观察业务活动以及重新执行控制等程序。在此过程中，应将业务外包每个业务流程的每个控制点的测试程序、方法和结果记录于内部控制执行有效性测试底稿。测试结束后，应将各个流程和控制点的执行有效性测试结果进行汇总，记录于《内部控制执行有效性评估汇总表》。此测试一般采用关键控制测试的方式，即是建立样本库，再按照样本发生频率、样本库总量的大小区分，抽取相应数量的样本进行测试。

（三）认定缺陷。业务外包内部控制认定缺陷，就是对业务外包内部控制设计缺陷和运行缺陷的认定，并按照影响程度分为重大缺陷、重要缺陷和一般缺陷。在具体的认定过程中，评价人员应将已经调查了解到的业务外包内部控制的系统现状与事先确定的内部控制标准模式进行对照，以揭示哪些法规规定的控制程序未被采用。对照发现的缺陷，应当按照不同内容分类，并汇集在《内部控制缺陷认定矩阵表》中记录，并编制《业务外包内部控制缺陷认定表》。

（四）综合评价。业务外包综合评价，就是指在业务外包内部控制现场测试结果的基础上对业务外包内部控制有效性做出的最终评价，主要工作是汇总前述评价结果。本阶段工作应遵循整理资料、分析影响、形成结论、反馈意见等综合评价的基本步骤。业务外包综合评价的方法很多，比较常用的是评分法。实施过程中，可分别业务外包内部控制设计有效性和运行有效性进行评分，也可以进行综合评分。业务外包内部控制综合评价结果可编制成《评价结果汇总表》或绘制成《评价地图》。