第九章内部控制评价(已更新至XXXX下)

第九章内部控制评价引例：内部控制自我评价报告PDF格式第一节内部控制评价概述第二节内部控制评价的组织与实施第三节内部控制缺陷的认定第四节内部控制评价工作底稿与报告第一节内部控制评价概述P385一、内部控制评价的定义二、内部控制评价的内容三、内部控制评价的原则和方法一、内部控制评价的定义(cont.)根据《企业内部控制评价指引》第二条相关规定，内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。一、内部控制评价的定义(cont.)（一）内部控制评价的主体是董事会或类似权力机构（二）内部控制评价的对象是内部控制的有效性(P385)（三）内部控制评价是一个过程（二）内部控制评价的对象是内部控制的有效性内部控制有效性指企业建立与实施内部控制能够为控制目标的实现提供合理的保证，包括内部控制设计的有效性和运行的有效性。1.设计有效性2.运行有效性1.设计有效性P386内部控制的设计有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。1.设计有效性设计有效性的根本判断标准是所设计的内部控制是否能为内部控制目标的实现提供合理保证。目标：财务报告目标；合规目标；资产安全目标；战略目标；经营目标。设计有效性主要体现为内部控制设计的合理性和适当性。2.运行有效性P386内部控制运行有效性，是指现有内部控制按照规定程序得到了正确执行。评价内部控制的运行有效性，应当着重考虑以下几个方面：（1）相关控制在评价期内是如何运行的；（2）相关控制是否得到了持续一致的运行；（3）实施控制的人员是否具备必要的权限和能力。2.运行有效性即使同时满足设计有效性和运行有效性标准的内部控制，也只能为内部控制目标的实现提供合理保证，而不能提供绝对保证。这是因为，内部控制目标实现受到许多不可控因素的影响之外，内部控制本身也存在固有局限。2.运行有效性内部控制的固有局限主要表现为：（1）人为的判断不可避免会出现失误，从而使内部控制中的那些基于判断的决策出现失误，进而导致内部控制失效；（2）内部控制可能会由于误解、疏忽等多方面的原因失效；（3）经理层凌驾于内部控制之上可能导致内部控制失效；（4）两个或多个人的串通行为可能导致内部控制失效；（5）由于考虑和权衡内部控制的成本与效益，可能会影响内部控制的有效性。二、内部控制评价的内容P3901.内部环境评价2.风险评估评价3.控制活动评价4.信息与沟通评价5.内部监督评价1.内部环境评价第六条企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。2.风险评估评价第七条企业组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。3.控制活动评价第八条企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。4.信息与沟通评价第九条企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。5.内部监督评价第十条企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。企业内部控制评价，一般包括年度评价和专项评价。年度评价指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；专项评价指企业在特定时点对特定范围的内部控制的有效性进行的评价。见例20-2、20-3、20-4、20-5、20-6（P390-399）三、内部控制评价的原则和方法（一）内部控制评价的原则（二）内部控制评价的方法（一）内部控制评价的原则P387（1）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。（2）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。（3）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。例20-1（P387）（二）内部控制评价的方法《企业内部控制评价指引》第十五条规定，内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。（二）内部控制评价的方法P4011.个别访问法2.调查问卷法3.穿行测试法4.抽样法5.实地查验法6.比较分析法7.专题讨论法还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查的方法，或利用实际工作和检查测试经验。第二节内部控制评价的组织与实施P388一、内部控制评价的组织机构二、内部控制评价程序一、内部控制评价的组织机构P388（一）内部控制评价的责任主体及其职责（二）内部控制评价的具体组织实施主体及其职责（三）其他相关部门及其职责（一）内部控制评价的责任主体及其职责董事会是内部控制评价的责任主体，对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见。（二）内部控制评价的具体组织实施主体及其职责内部控制评价工作的具体组织实施主体一般为内部审计机构或专门的内部控制评价机构。第十三条企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。（二）内部控制评价的具体组织实施主体及其职责第十四条“企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。”（三）其他相关部门及其职责1.经理层：负责组织实施内部控制评价工作。2.各专业部门：负责组织本部门的内控自查、测试和评价工作。3.企业所属单位：逐级落实内部控制评价责任。4.监事会：审议内部控制评价报告，对董事会建立与实施内部控制进行监督。二、内部控制评价程序P400（一）内部控制评价的一般程序（二）内部控制评价的频率（一）内部控制评价的一般程序1.准备阶段（1）制定评价工作方案（2）组成评价工作组2.实施阶段（1）了解被评价单位基本情况（2）确定检查评价范围和重点（3）开展现场检查测试3.汇总评价结果、编制评价报告阶段4.报告反馈与跟踪阶段（二）内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。如果内部监督程序无效，或所提供信息不足以说明内部控制有效，应增加评价的频率。第三节内部控制缺陷的认定P402一、内部控制缺陷的定义和种类二、内部控制缺陷的认定标准三、内部控制缺陷的认定步骤四、内部控制缺陷和有效性的关系五、内部控制缺陷的报告与整改一、内部控制缺陷的定义和种类P402内部控制缺陷是内部控制在设计和运行中存在的漏洞，这些漏洞不同程度地影响内部控制的有效性，影响控制目标的实现。内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价，主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。一、内部控制缺陷的定义和种类P403（一）按照内部控制缺陷成因或来源分类（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类（三）按照具体影响内部控制目标的具体表现形式分类（一）按照内部控制缺陷成因或来源分类（1）设计缺陷指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。（2）运行缺陷指设计有效的内部控制由于运行不当而形成的内部控制缺陷。（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类（1）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。（2）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。（3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。（三）按照具体影响内部控制目标的具体表现形式分类财务报表缺陷非财务报表缺陷二、内部控制缺陷的认定标准P403第十六条企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。（一）财务报告内部控制缺陷的认定标准（二）非财务报告内部控制缺陷的认定标准（一）财务报告内部控制缺陷的认定标准P404认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告的重要程度。重要程度取决于两个方面的因素：（1）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财力报告错报；（2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。（一）财务报告内部控制缺陷的认定标准出现以下迹象之一时，通常表明财务报告内部控制可能存在重大缺陷：P404（1）董事、监事和高级管理人员舞弊；（2）企业更正已公布的财务报告；（3）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制的监督无效。（一）财务报告内部控制缺陷的认定标准内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于该控制不能及时防止（或发现）并纠正潜在缺陷的可能性。即：如果企业的财务报表存在错报，必然表明该企业的财务报告内部控制存在缺陷；但是，如果企业的财务报表不存在错报，也不一定表明该企业的财务报告内部控制就不存在缺陷。（一）财务报告内部控制缺陷的认定标准一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报表中的重大错报，就应将该缺陷认定为重大缺陷。重大错报中的“重大”，涉及企业管理层确定的财务报表的重要性水平。一般企业可以采用绝对金额法或相对比例法来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。（一）财务报告内部控制缺陷的认定标准如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。例20-7（P405）某单位内部控制缺陷认定定量标准举例重要程度项目无关紧要并非无关紧要重大利润总额潜在错报错报＜利润总额的3%和0.6亿元利润总额的3%或0.6亿元≤错报＜利润总额的5%和1亿元错报≥利润总额的5%或1亿元资产