內部控制評價流程
內部控制評價流程，就是內部控制評價工作從開始到結束的基本過程。國際上權威的觀點認為評價一個內部控制體系本身就是一個過程，在這個過程中應有一套規程以及其一些內在的基本要素。內部控制評價流程到底包括哪些基本要素，在理論界和實務界認識是不同的，做法也是不一樣的，也因評價主體和內容的不同而不同。管理層自我評估和審計機構評價流程會略有不同。基于財務報告內部控制評價和基于全面內部控制評價的流程也不可能完全一樣。我國《企業內部控制評價指引》要求企業應當按照內部控制評價辦法規定的程序，有序開展內部控制評價。內部控制評價程序一般包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。這是我國企業內部控制評價工作的法定程序，是必須要執行的最基本的程序。中天恒3C框架把內部控制評價流程分為評價準備、評價實施、評價報告三個階段，每個階段又可細分若干內容。
企業應當根據內部控制評價結果和整改情況，編制內部控制評價報告。內部控制評價報告至少應當包括下列內容：
（1）組織實施內部控制評價的總體情況；
（2）內部控制責任主體的聲明；
（3）內部控制評價的范圍和內容；
（4）內部控制評價的標準和依據；
（5）內部控制評價的程序和方法；
（6）內部控制重大缺陷及其認定情況；
（7）內部控制重大缺陷的整改措施及責任追究情況；
（8）內部控制有效性的結論；
存在一個或多個內部控制重大缺陷的，應當作出內部控制無效的結論。
《深圳證券交易所上市公司內部控制指引》自我評價報告至少應包括以下內容：
（1）對照本指引及有關規定，說明公司內部控制制度是否建立健全和有效運行，是否存在缺陷；
（2）說明本指引重點關注的控制活動的自查和評估情況；
（3）說明內部控制缺陷和異常事項的改進措施（如適用）；
（4）說明上一年度的內部控制缺陷及異常事項的改善進展情況（如適用）
《上海證券交易所上市公司內部控制指引》公司內部控制自我評估報告至少應包括如下內容：
（1）內控制度是否建立健全；
（2）內控制度是否有效實施；
（3）內部控制檢查監督工作的情況；
（4）內控制度及其實施過程中出現的重大風險及其處理情況；
（5）對本年度內部控制檢查監督工作計劃完成情況的評價；
（6）完善內控制度的有關措施；
（7）下一年度內部控制有關工作計劃

內部控制評價報告至少應當包括下列內容：
（1）組織實施內部控制評價的總體版情況；
（權2）內部控制責任主體的聲明；
（3）內部控制評價的范圍和內容；
（4）內部控制評價的標準和依據；
（5）內部控制評價的程序和方法；
（6）內部控制重大缺陷及其認定情況；
（7）內部控制重大缺陷的整改措施及責任追究情況；
（8）內部控制有效性的結論；
存在一個或多個內部控制重大缺陷的，應當作出內部控制無效的結論。

有序開展內部控來制評價自。內部控制評價程序一般包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。這是我國企業內部控制評價工作的法定程序，是必須要執行的最基本的程序。中天恒3C框架把內部控制評價流程分為評價準備、評價實施、評價報告三個階段，每個階段又可細分若干內容。 企業應當根據內部控制評價結果和整改情況，編制內部控制評價報告。...

上市公司內部控制評價一般是指上市公司內部控制自我評價.內部控制評價的最終目的是實現內部控制的目標。
內部控制評價的內容：

1、內部環境評價

企業組織開展內部環境評價，應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據。其中，組織架構評價可以重點從組織架構的設計和運行等方面進行;發展戰略評價可以重點從發展戰略的制定合理性、有效實施和適當調整三方面進行;人力資源評價應當重點從企業人力資源引進結構合理性、開發機制、激勵約束機制等方面進行;企業文化評價應從建設和評估兩方面進行;社會責任可以從安全生產、產品質量、環境保護與資源節約、促進就業、員工權益保護等方面進行。

2、風險評估評價

企業組織開展風險評估評價，應當以《企業內部控制基本規范》有關風險評估的要求，以及各項應用指引中所列主要風險為依據，結合本企業的內部控制制度，對日常經營管理過程中的目標設定、風險識別、風險分析、應對策略等進行認定和評價。

3、控制活動評價

企業組織開展控制活動評價，應當以《企業內部控制基本規范》和各項應用指引中的控制措施為依據，結合本企業的內部控制制度，對相關控制措施的設計和運行情況進行認定和評價。

4、信息與溝通評價

企業組織開展信息與溝通評價，應當以內部信息傳遞、財務報告、信息系統等相關指引為依據，結合本企業的內部控制制度，對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性，以及利用信息系統實施內部控制的有效性進行認定和評價。

5、內部監督評價

企業組織開展內部監督評價，應當以《企業內部控制基本規范》有關內部監督的要求，以及各項應用指引中有關日常管控的規定為依據，結合本企業的內部控制制度，對于內部監督機制的有效性進行認定和評價，重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。

內部控制評價應遵循哪些基本原則，人們的認識不統一，有多種多樣的提法。一般來說，內部控制評價應遵循以下基本原則： ◎風險導向原則。內部控制評價應當以風險評估為基礎，根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。 ◎獨立性原則。內部控制評價機構的確定及評價工作的組織實施應當保持相應的獨立性。內部控制評價應由具有相對獨立性的內部機構或受托的獨立中介組織來執行。該原則是確保內部控制評價結果客觀和公正的基礎，相比而言，獨立中介組織比內部機構有更大的獨立性。內部控制評價機構或人員沒有獨立性其評價結果難以公正、客觀。這或許是大多公司內部控制評價報告千篇一律走形式的原因。對國有企業和金融機構內部控制評價應由政府監管部門受委托評價機構獨立進行。 ◎公正性原則。內部控制評價應以事實為基礎，以法律法規、監管要求為準則，客觀公正，實事求是，評價結果應當有適當的證據支持。 ◎一致性原則。內部控制評價的準則、范圍、程序和方法等應保持一致，以確保評價過程的準確及評價結果的客觀和可比。 ◎全面性原則。內部控制評價的范圍應覆蓋與整體控制目標相關的企業內部控制活動的全過程及主要的經營場所、部門及崗位和相關業務流程。 ◎重要性原則。內部控制評價應依據風險和控制的重要性確定重點，關注重點區域和重點業務。 ◎成本效益原則。內部控制評價應當以適當的成本實現科學有效的評價。 ◎及時性原則。內部控制評價應按照規定的時間間隔持續進行，當經營管理環境發生重大變化時，應及時調整內部控制的評價體系和辦法，并及時進行重新評價。

關于內部控制評價內容，從范圍看，一般認為企業內部控制評價應根據資源情況和組織需求來決定，既可以是全面內部控制評價，如對整個內部控制系統進行評價，然后把信息反饋給最高管理當局；也可以是局部評價，如對某個部門或某個控制進行評價，然后把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次，而局部內部控制評價視需要而定。從內容看，大多從內部控制要素角度，要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然，還有把內部控制評價分為內部控制設計和執行，自我評估和獨立評估，全面內部控制和業務控制，過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面，治理結構層面、財務控制層面和業務控制層面等三個層面。從標準看，有些內部控制規范和理論認為，內部控制評價無論是總體還時局部，無論是設計還是執行，都應當以內部控制的健全性、恰當性（或者稱為合理性、科學性）和有效性為標準。有些規范和理論認為，內部控制評價，包括對內部控制設計有效性和運行有效性的評價。還有人認為，內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣于把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價，就是對整體層面控制有效性的評價過程，是一個流程。這個流程包括：確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境；識別整體層面控制的弱點，這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價，內部控制總體評價，是對各種控制過程與因素的綜合考慮，從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標，但評價時應將控制作為一個整體，而不是單獨的控制目標。如一個控制領域的弱點，可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的？整體層面控制必須達到最高水平的可靠性才能有效嗎？在決策時，應考慮以下事項：一是整體考慮。最終，內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時，機構就應進行權衡，是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基于財務報表的整體作出判斷，因此應從財務報表的整體來考慮，內部控制未能防止或發現的錯報是否重要。用于評價整體層面控制的的流程包括：使用內部控制可靠性模型，為每一個控制目標的有效性分級；將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價？加拿大特許會計師協會對此進行了研究，一個特別的結論值得注意。證據不僅僅是事實的集合，而且是審計人員所了解的每一件事的整合。證據不是以整齊的先后順序出現的——它是非線性的、零散的，必須進行整理、歸類和綜合。一些證據是具體的事實，可以客觀地證實，但大多是所見、所聽或所感的印象，它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中，人們會考慮所有這些因素——當形成結論時，把它們作為證據。業務層面控制評價，就是對業務層面控制有效性的評價過程，是內部控制評價的核心內容。
中天恒3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面，會計控制評價是基礎，業務控制評價是核心，管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面，但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常，計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用于較寬范圍的風險，這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險（如工資、應收賬款和采購應用系統等），其風險來源于信息系統中應用系統本身的漏洞，直接威脅到數據的安全、準確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求，是否有利于企業內部控制目標的實現，并以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點，著重考慮信息系統中與業務流程相關的控制點，并以此評價相關應用系統操作數據的真實性、準確性和合規性。
關于內部控制評價的內容，理論上可繼續探索，但實際執行中，還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點，以企業設計的《企業內部控制手冊》為依據，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定，不能固定化和模式化。
這里需要特別強調的，內部控制評價內容不能僅僅限于對五要素的總體評價，而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別，規模大小也不一樣，但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。