搜索
公司治理与内部控制第四章内部控制评价第一节内部控制评价概述第二节内部控制评价的对象与内容第三节内部控制缺陷的认定第四节内部控制评价的方法第五节内部控制评价报告为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,财政部等五部委专门制定了《企业内部控制评价指引》。对内部控制的建立、实施进行评价,是优化内部控制自我监督机制的一项重要制度安排,是内部控制的重要组成部分,与内部控制的建立、实施,共同构成有机循环。4.1内部控制评价概述一、内部控制评价的作用第一,内部控制评价有助于企业自我完善内控体系。第二,内部控制评价有助于提升企业市场形象和公众认可度。第三,内部控制评价有助于实现与政府监管的协调互动。4.1内部控制评价概述二、内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。其中:★内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。4.1内部控制评价概述★评价内部控制运行的有效性,应当着重考虑以下几个方面:(1)相关控制在评价期内是如何运行的;(2)相关控制是否得到了持续一致的运行;(3)实施控制的人员是否具备必要的权限和能力。4.1内部控制评价概述三、内部控制评价的原则(1)全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。(2)重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。4.1内部控制评价概述(3)客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。须要特别注意的是,财政部、银监会等五部门制定的《企业内部控制评价指引》提出的内部控制评价原则是企业实施内部控制评价工作时至少遵循的三项最基本的原则。同时,企业应根据评价工作目标与企业自身的特点补充参考以下原则:4.1内部控制评价概述(1)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标产生的影响程度来确定需要评价的重点业务单元、重点业务领域或流程环节的相关内部控制。(2)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。(3)成本效益原则。内部控制评价应当以适当的成本实现科学、有效的评价。4.2内部控制评价的对象与内容《企业内部控制评价指引》第五条规定:“企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价”。具体来说,内部控制评价的内容包括:4.2内部控制评价的对象与内容(1)内部环境评价。应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。(2)风险评估评价。应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。(3)控制活动评价。应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。4.2内部控制评价的对象与内容(4)信息与沟通评价。应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。(5)内部监督评价。应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。4.3内部控制缺陷的认定一、内部控制缺陷的类型当内部控制的设计或运行不允许管理层或雇员实施他们的职能来及时防止错误与舞弊的发生,就发生了内部控制缺陷。内部控制缺陷主要有以下三种分类方法。1.设计缺陷和运行缺陷《企业内部控制评价指引》第十六条指出,内部控制缺陷包括设计缺陷和运行缺陷。4.3内部控制缺陷的认定企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。设计缺陷和运行缺陷是内部控制缺陷的成因(或来源)。4.3内部控制缺陷的认定★设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。★运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。【提示】内部控制缺陷识别的基础内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。内部控制评价的目的是要发现内部控制缺陷,不断提高为内部控制目标实现提供合理保证的程度。对内部控制缺陷的识别以及缺陷严重程度的划分是基于目标导向来进行内部控制缺陷的识别与评估。内部控制未能实现目标的原因分为两种:内控缺陷和内控局限性。【提示】内部控制缺陷识别的基础(一)内部控制缺陷和内部控制局限性的共性表现(1)两者都以目标为判断的准绳,内部控制缺陷表现在不能为控制目标的实现提供合理保证;而内部控制的局限性体现在能够为控制目标的实现提供合理保证,但不能为控制目标的实现提供绝对保证。(2)它们都产生于内部控制设计和运行两个环节;【提示】内部控制缺陷识别的基础(3)尽管内部控制包括预防性控制和检查性控制,但它对蓄意策划的合谋和管理层越权行为而言是无能为力的,这既是内部控制的固有局限性,也是内部控制最严重的运行缺陷。(4)衡量缺陷和局限性的标准不是看是否实际发生偏离目标,而是看是否具有合理可能性。【提示】内部控制缺陷识别的基础(二)内部控制缺陷和内部控制局限性的区别(1)内部控制缺陷是内部控制设计者在设计过程中未意识到缺点,以及内部控制执行过程中不按设计意图运行而产生运行结果偏差的可能;内部控制局限性则是设计者在设计过程中事先预留的风险敞口,以及运行过程中按照设计意图运行也无法实现控制目标的可能。【提示】内部控制缺陷识别的基础(2)由于内部控制存在着局限性,内控只能为控制目标的实现提供合理保证,而不是绝对保证;内部控制缺陷的存在使得内部控制过程无法为控制目标的实现提供合理保证。(3)内部控制存在着因合谋和越权而失效的可能,这表现为内部控制的局限性;但某一控制过程存在着合谋或越权的迹象,则表现为内部控制的缺陷。【提示】内部控制缺陷识别的基础重要提示:无论是将内控的局限性误当内控缺陷进行认定和揭露,还是误将缺陷作为局限性来忽略,都将导致内部控制过程偏离控制目标并可能导致内部控制有效性信息的虚假揭露。为保证内控缺陷识别和评估的科学性,必须厘清内部控制缺陷和内部控制局限性的共性与区别。4.3内部控制缺陷的认定2.重大缺陷、重要缺陷和一般缺陷《企业内部控制评价指引》第十七条指出,企业在日常监督、专项监督和年度评价工作中,应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。4.3内部控制缺陷的认定(1)重大缺陷。即指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。(2)重要缺陷。即指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。4.3内部控制缺陷的认定重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。(3)一般缺陷。即指除重大缺陷、重要缺陷以外的其他控制缺陷。在对内部控制缺陷的认定过程中,需要内部控制评价人员充分运用职业判断。【提示】内部控制缺陷的识别、严重性评估(一)内部控制缺陷识别(1)测试识别方法。即采用控制过程技术分析、符合性测试等手段识别内部控制的设计缺陷和运行缺陷。设计缺陷一般从两个角度识别:缺失和设计不当;运行缺陷需要通过对内控执行过程的穿行测试来发现。【提示】内部控制缺陷的识别、严重性评估(2)迹象识别方法。即通过所发现的已经背离内部控制目标的迹象,识别内部控制设计缺陷和运行缺陷。表明内控缺陷的迹象包括:①管理层的舞弊行为,内控系统未能发现或虽已发现但不能给予有效的制止;②因决策过程违规、违法使用资金等受到监管部门的处罚或责令整改;③审计委员会或者外部审计师发现财务报表存在错报;④企业资产出现贪污、挪用等行为;⑤某个业务领域频繁地发生相似的重大诉讼案件。【提示】内部控制缺陷的识别、严重性评估(二)缺陷严重程度的评估(1)评估依据。以偏离控制目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准。注:《企业内部控制基本规范》及其配套指引赋予了企业在内部控制缺陷严重程度判断中的自由裁量权,允许企业在判断缺陷是否重大时考虑自身的行业特征、风险偏好和风险可容忍度、所处的特定环境。(2)充分考虑缺陷组合和替代性控制(补偿性控制)。【提示】内部控制缺陷的识别、严重性评估【案例】某公司出纳员张丽娜从公司收发室截取了顾客李伟给公司的分期付款的1200元支票,存入了由她负责的公司零用金银行存款户中。然后,在该存款户中以支付劳务费为由开了一张以自己为收款人的1200元支票,签名后从银行中兑取了现金。在与客户对账时,她将“应收账款—李伟”账户余额扣减1200元后作为对账金额发给李伟对账单,表示1200元已经收到。4.3内部控制缺陷的认定10天后,她编制了一笔会计分录,借记“银行存款”,贷记“应收账款—李伟”1200元,将“应收账款——李伟”账户调整到正确余额,但银行存款账面余额却比银行对账单高列了1200元。月底,在编制银行存款余额调节表时,她在调节表上虚列了两笔未达账项,将银行存款余额调节表调平。【要求】就上述情况分析该公司内部控制制度中存在哪些缺陷?重要性如何?4.3内部控制缺陷的认定3.财务报告缺陷和非财务报告缺陷按照影响内部控制目标的具体表现形式,可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。导致财务报告出现重要错报的内部控制缺陷,是财务报告缺陷;尽管内部控制存在缺陷,但这种缺陷不会导致财务报告出现重要错报,这种内部控制缺陷则是非财务报告缺陷。4.3内部控制缺陷的认定二、内部控制缺陷的认定标准企业应当根据《企业内部控制评价指引》,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。(1)三种类型缺陷的定性分类标准缺陷分类影响内部控制的可能性且∕或影响的严重程度重大缺陷可能或很可能且严重影响重要缺陷可能或很可能且介于重大缺陷与一般缺陷之间一般缺陷极小可能或一般4.3内部控制缺陷的认定(2)定量分析。例如,错报的量化即错报的概率可以借鉴我国《企业会计准则第13号—或有事项》应用指南的规定:“基本确定”为大于95%但小于100%;“很可能”为大于50%但小于等于95%;“可能”为大于5%但小于或等于50%;“极小可能”为大于0但小于等于5%。【提示】内部控制缺陷的认定与应对缺陷识别和严重性评估在很大程度上属于技术层面的问题,但缺陷认定则属于管理层面的问题(见下页表格)。缺陷影响程度判断标准认定并负责纠偏的机构应对措施一般缺陷对存在的问题不采取任何行动可能导致微小范围的目标偏离。内部控制评价部门给予常规关注,将目前状况调整至可接受水平。重要缺陷对存在的问题不采取任何行动有一定的可能导致较大的负面影响。经