第九章内控评价

第九章内部控制评价•美国的安然事件催生了内部控制强制评价和信息披露。美国最先对内部控制评价和信息披露做出了详细规定。一、内部控制评价的概述内部控制评价公司管理层对财务报告内部控制有效性的报告内部控制有效性的对外报告内部控制缺陷、舞弊的对内报告注册会计师对财务报告内部控制的审计注册会计师的审计报告对管理层评价的鉴证对内部控制有效性的评价内部控制报告美国上市公司内部控制评价与报告体系（ASNO.2)公司管理层注册会计师财务报告内部控制对内报告对外报告内部控制总体运行情况财务报告内部控制有效性的结论审计报告对财务报告内部控制有效性的审计意见内部控制报告评价审计美国上市公司内部控制评价与报告体系（ASNO.5)规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/6/42006/7/1深圳证券交易所：《深圳证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/9/282007/7/1财政部等5部委：《企业内部控制基本规范》财政部发布《企业内部控制基本规范》，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，要求其对内部控制的有效性进行自我评价、披露年度自我评价报告、并应委托会计师事务所对财务报告内部控制的有效性进行审计，出具审计报告。2008/6/282009/7/1我国上市公司内部控制评价报告披露的历史沿革注：2012年纳入实施范围的上市公司共853家，其中境内外同时上市公司76家，国有控股主板上市公司777家。679107611081618184422442312887526655487496248177050010001500200025002007200820092010201120122013上市公司家数年度图表标题披露未披露《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》•1、2012年全面实施内控规范体系的范围包括：中央和地方国有控股上市公司；•2、2013年全面实施内控规范体系的范围包括：非国有控股主板上市公司，且于2011年12月31日公司总市值50亿元，同时2009年至2011年平均净利润3000万元的上市公司；•3、2014年全面实施内控规范体系的范围包括：除1、2之外的其他主板上市公司；•4、特殊情况：进行破产重整、借壳上市或重大资产重组的主板上市公司无法按照规定时间建立健全内控体系的，原则上应在相关交易完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述1至3原则确定的披露时间；新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告主要内容•一、内部控制评价的概述•二、内部控制评价的内容•三、内部控制评价的程序一、内部控制评价的概述•内控评价的内涵是什么？•内控评价的对象是什么？•评价的责任主体是谁？•评价的原则有哪些？•评价的组织实施者是谁？•评价的依据是什么？评价的内涵是什么?企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。具体而言，即指按照规定的程序、方法和标准，对已经建立和实施的内控体系，从设计有效性和运行有效性两个方面对内部控制有效性进行测试、评估和报告的过程。一、内部控制评价的概述评价的对象是什么?内控评价的对象是内控的有效性，即企业建立与实施内控对实现控制目标提供合理保证的程度。1.设计有效性：为实现控制目标所必需的内部控制要素都存在并且设计恰当；2.运行有效性:现有内部控制规定程序得到了正确执行.评价应立足于“合理保证”而非“绝对保证”一、内部控制评价的概述评价的原则有哪些？--全面性：设计和运行/企业及其所属单位的各种业务和事项。--重要性：既全面，更应关注重要业务单位、重大业务事项和高风险领域。--客观性：准确揭示经营管理风险状况，如实反映内控设计和运行有效性。一、内部控制评价的概述评价的责任主体是谁？基本规范第12条：董事会负责内部控制的建立健全和有效实施。董事会（企业内部：责任要分解）一、内部控制评价的概述评价组织实施者是谁？领导：审计委员会组织：经理层操作层：内控评价机构（内部审计机构/专门的内控评价机构/非常设的内控评价小组/中介机构)各专业部门及企业所属单位应组织本部门或本单位的内控自查、测试和评价的工作。一、内部控制评价的概述评价的依据是什么？--企业内部控制基本规范--企业内部控制配套指引--本企业内部控制制度--其他依据：如境外上市地的法律法规及监管机构的规定。如美国SEC的解释性指南等。一、内部控制评价的概述评价与内部监督有何关系？--自我评价从属于内部监督，是监督结果的总体体现；--自我评价要倚重日常监督和专项监督。一、内部控制评价的概述评价的内容有哪些?总体内容：内部环境风险评估控制活动信息沟通内部监督具体评价内容应在建立内控核心指标体系的基础上分层次展开。分层次评价：公司层面/业务层面二、内部控制评价的内容评价的频率有无硬性规定……基本规范第46条：内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。外部监管要求：披露年报时，要披露自我评价报告。其他情况下：IPO。二、内部控制评价的内容否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方案是否通过审批否组成评价工作组是实施内部控制现场检查与测试是否存在缺陷是设计缺陷运行缺陷编制现场报告，并向被评价单位通报编制企业内部控制评价报告跟踪缺陷的整改落实情况汇总内部控制评价流程三、内部控制评价的程序应当明确：•评价主体范围•工作任务•人员组织•进度安排•费用预算现场测试方法:个别访谈调查问卷专题讨论穿行测试实地查验抽样法重新执行比较分析等…..综合运用内控缺陷的分类1.按类别:设计缺陷和运行缺陷2.按程度:重大缺陷重要缺陷一般缺陷3.按影响目标的具体表现形式:财务报告缺陷、非财务报告缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。当一个企业存在的内控缺陷达到了重大缺陷的程度，就不能说这个企业的内控是整体有效的。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业董事会、经理层关注。一般缺陷，除重大缺陷与重要缺陷以外的其他控制缺陷。财务报告内控缺陷，不能合理保证财务报告可靠性的内部控制设计与运行缺陷，换句话说，就是指不能及时防止或发现并纠正财务报表错报的内部控制缺陷。非财务报告内控缺陷，不能合理保证企业的战略目标、经营目标、合规性目标的内控设计与运行缺陷。内控缺陷的认定标准《评价指引》第十六条规定，企业对内控缺陷的认定，应以构成内控的内部监督要素中的日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价机构进行综合分析后提出认定意见，按规定的权限和程序进行审核，由董事会予以最终确定。认定标准一经确定，必须在不同评价期间保持一致。内控缺陷财务报告内控缺陷非财务报告内控缺陷设计缺陷运行缺陷设计缺陷运行缺陷重大缺陷重要缺陷一般缺陷定性标准定量标准重大缺陷重要缺陷一般缺陷定性标准定量标准财务报告内控缺陷的认定重大缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中的重大错报（涉及管理层确定的财务报表的重要性水平），就应将该缺陷认定为重大缺陷。重要缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。注意：内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于是否存在不能及时防止或发现并纠正潜在错报的可能性。财务报告内部控制可能存在重大缺陷的常见迹象：董事、监事和高级管理人员舞弊企业更正已公布的财务报告注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报企业审计委员会和内部审计机构对内部控制的监督无效财报审计内控审计标准无保留意见带强调事项段的无保留意见保留意见无法表示意见合计标准无保留意见98915101005带强调事项段的无保留意见(注)2081130否定意见41409披露非财务报告重大缺陷的无保留意见(注)52108合计101826711052纳入实施范围上市公司内部控制审计意见与财务报表审计意见分布情况非财务报告内控缺陷的认定以下迹象通常表明非财务报告内部控制可能存在重大缺陷：（1）违反法律、法规较严重；（2）除政策性亏损原因外，企业连年亏损，持续经营受到挑战；（3）重要业务缺乏制度控制或制度系统性失效；（4）并购重组失败，或新扩充下属单位经营难以为继；（5）子公司缺乏内控制度建设，管理散乱；（6）管理层人员纷纷离开或关键岗位人员流失严重；（7）被媒体频频曝光负面新闻；内部控制评价的结果特别是重大或重要缺陷未得到整改。实例•某集团省级公司财务报告内控缺陷认定定量标准32项目\重要程度不重要重要重大比例金额(亿)比例金额(亿)比例金额(亿)利润总额潜在错报＜3%＜0.6[3%,5%)[0.6,1)≥5%≥1资产总额潜在错报＜0.5%＜2.5[0.5%,1%)[2.5,5)≥1%≥5经营收入潜在错报＜0.5%＜0.75[0.5%,1%)[0.75,1.5)≥1%≥1.5所有者权益潜在错报＜0.5%＜1[0.5%,1%)[1,2)≥1%≥2实例•某集团省级公司财务报告内控重大缺陷认定定性标准33•发现管理层存在任何程度的舞弊•控制环境无效•影响收益趋势的缺陷•影响关联方交易总额超过股东批准的关联交易额度的缺陷•外部审计发现的重大错报不是由公司首先发现的•已经发现并报告给管理层的重大缺陷在经过合理时间后并未改正注意：财务与非财务报告内控缺陷其实难以做严格的区分。在制定标准时，应本着是否直接影响财务报告的原则来区分。内控缺陷的报告1、报告频率一般缺陷、重要缺陷应定期（至少每年）报告；重大缺陷应立即报告。2、向谁报告？重大、重要缺陷及整改方案，应向董（审计委员会）、经、监报告并审定。出现不适合向经理层报告的情形，应直接向董（审计委员会）、监报告。一般缺陷可向经理层报告，并视情况向董（审计委员会）、监报告。注意：重大缺陷与重要缺陷具是相对的，对于有下属单位的集团公司，如果下属单位存在重大缺陷，并不能表明集团公司存在重大缺陷，但至少应作为重要缺陷向董事会、管理层汇报。内控缺陷整改1.缺陷成因2.缺陷表征3.缺陷影响4…..全面复核认定意见对内报告重大缺陷整改追究相关责任内控缺陷的整改方案及期限1.编制基础:工作底稿（评价表）缺陷汇总表等2.评价表的格式设计和内容格式：核心是“五要素”附注：对有关内容的说明内控评价报告的编制报告内容：至少包括(1)董事会对内部控制真实性的声明（2）评价工作的总体情况（3）评价的依据（4）评价的范围（5）评价的程序和方法（6）缺陷及其认定情况（7）整改情况及重大缺陷拟采取的整改措施（8）内部控制有效性的结论（不存在重大缺陷——有效；存在重大缺陷——无效）对内报告:——定期不定期——内容更加详尽、格式更加多样对外报告:——披露或报送时限:基准日后4个月内——应符合披露要求——报经董事