内控有效性评估包括内控设计和执行2部分，这2部分相对独立，内控执行有效性的评估需要以设计评估为基础。以下是评估的步骤：

    内控设计有效性评估：

1. 了解和熟悉现在的内控，方法包括访谈、现场观察、查看制度和流程文件，收集和查看流程中产生的各类表单和报表等；

2. 编制流程描述文件，可以画流程图，也可以用文字描述，找出流程中的控制点（如已有流程文件，可直接用）；

3. 做穿行测试，确定目前的实际流程与访谈和流程文件等是否相符，不相符的地方标记出来；

4. 编制风险控制矩阵（RCM），确定关键控制点，评估内控设计的有效性；

5. 提出整改方案，监督整改；

6. 根据风险评估和整改方案，更新流程描述文件和RCM等；

    

   内控执行有效性评估：

7. 对关键控制点，设计检查测试程序和确定抽样比例；

8. 对关键控制点进行测试；

9. 整理出不符的地方，如有必要提出整改方案，跟踪督促整改。

如果是针对公司整体做内控有效性评估，还有一个前置的步骤，确定内控范围和流程（公司有多个流程，运用财务分析等方法列出重要的流程，涵盖公司的主要业务和风险）。

以上步骤大部分需要内控人员执行，流程涉及的业务部门配合。流程描述文件由于工作量大，可能是内控人员编写，也可能是流程owner负责编写。流程描述文件和RCM等，随着内控评估项目的推进，会有版本更新，最开始反映原始的实际的流程情况，然后根据风险评估和整改，更新到整改后的情况。