第八章内部控制评价概论

案例引入：常电公司开展内部控制自我评价工作•2009年1月，江苏常熟发电有限公司（以下简称“常电公司”）正在开展内部控制自我评价工作，此次工作的目的是为了客观反映企业内部控制的总体情况，及时发现内部控制的缺陷和薄弱环节，以达到加强管理、堵塞漏洞目的，从而提高企业的抗风险能力，提高企业的管理水平和经济效益，合理保障职工及股东的利益。•该公司这次内部控制自我评价的依据为《企业管治常规守则》，中国电力制度体系、中国电力《内部控制手册》等。评价内容主要有十八项，分别为控制环境、风险管理、战略与计划管理、全面预算管理、授权管理控制、人力资源管理、货币资金管理控制、销售与收款管理控制、采购与付款管理控制、燃料管理控制、工程项目管理控制、对外投资管理控制、筹资控制、固定资产管理控制、担保业务控制、外币业务管理控制、信息保护和审计监督。•该公司这次内部控制自我评价工作从10月10日开始，分准备阶段、实施阶段和总结阶段三个部分进行实施，预计到10月28日全部结束。•自《企业内部控制基本规范》及其配套指引发布之后，全国各省、各行业都纷纷争先开展内部控制自我评价的培训工作，掀起了一阵内部控制自我评价的热潮。内部控制作为存在于企业内部的一种重要的制度安排，本质上属于企业内部管理制度的一部分。•内部控制自我评价本质上是对内部控制制度本身进行监督和控制的必要机制，是完善与优化内部控制系统的重要制度安排。那么什么是内部控制评价？谁是内部控制评价的主体？内部控制评价的客体是什么？内部控制评价工作应该如何开展？内部控制评价工作的最终成果表现为什么？•本章概要第一节内部控制评价基本理论第二节内部控制评价的内容第三节内部控制评价的程序第四节内部控制缺陷第五节内部控制评价报告第六节内部控制评价的国际发展第八章内部控制评价概述第一节内部控制评价基本理论实践证明，内部控制评价是内部控制的重要组成内容，与内部控制的设计和实施形成了一个闭合的有机循环。它对内部控制的合理设计以及有效实施至关重要。如今，世界各国监管当局越来越重视对内部控制评价的规范，内部控制评价在实务中也得到了广泛推广。我国《企业内部控制基本规范》第四十六条规定，企业应当结合内部监督的情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。一、内部控制评价的概念•（一）内部控制评价的定义企业内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。从以下三个角度进行理解：（1）内部控制评价的主体是董事会或类似权力机构。（2）内部控制评价的对象是内部控制的有效性。（3）内部控制评价是一个过程。内部控制运行的有效性内部控制设计的有效性•内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的有效性控制过程控制过程控制目标合规目标内部控制的有效性资产目标内部控制的有效性报告目标内部控制的有效性经营目标内部控制的有效性战略目标内部控制的有效性•（二）内部控制评价的内容内部控制评价应紧紧围绕内部控制五要素进行：（1）内部环境评价（2）风险评估评价（3）控制活动评价（4）信息与沟通评价（5）内部监督评价内部控制系统是由识别和分析风险、制定控制政策和方法、监督和评价、持续改进组成的闭合循环。因此，内部控制评价是内部控制的有机组成部分，也是内部控制必不可少的环节。内部控制评价伴随着内部控制理论和实务的发展而不断完善。在内部控制的不同发展阶段，内部控制评价的内涵、侧重点、技术方法等都有所不同。二、内部控制评价的理论基础（一）控制论与内部控制评价（二）信息论与内部控制评价（三）系统论与内部控制评价企业内部控制学（第二版）117三、内部控制评价的作用(一)内部控制评价是提升企业内部控制效果的根本保证内部控制评价是对内部控制的设计和运行效果的全面检查。首先，需要了解内部控制各要素的详细构成情况，并在此基础上，针对每个要素，进一步了解其实施结果。其次，根据了解记录的情况展开分析评价。由此，通过分析现有内部控制系统，可以发现内部控制制度在多大程度上能够保证控制目标的实现，关键控制点的选择是否契合企业经营业的实际状况；通过与理想模式的比较，明确现行控制与理想模式的差距，分析产生差距的原因及可能造成的后果；最后，通过对内部控制实施结果的分析与记录，可以发现内部控制运行的薄弱环节，准确定位内部控制责任区和责任人。(二)内部控制评价是实现内部控制自我完善的主要途径任何好的管理制度都必须与特定企业的经营业务相适应。内控本质上是动态的、系统的过程，只有通过定期或不定期的内部控制评价，才能及时发现现有内控制度的缺陷，并不断完善、改善内部管理，从而提升企业价值。(三)内部控制评价是提高管理层内部控制水平的压力机制任何信息，只要公开就会产生一定的压力，因为信息公开就意味着接受公众的监督，能够在某种程度上敦促被监督者不断改进工作，提高工作成效。内部控制评价相关信息的公开同样可以让投资者、债权人、监管机构等就企业内控有没有设计并得到有效执行进行进一步的分析，从而对管理层的绩效进行综合评价。(四)内部控制评价是促进内部审计职能发挥的基础前面已谈到，内部审计既是对内部控制的再控制，是其有机组成，同时又有独立的理论和方法体系。两者之间相互重叠的内容主要体现为内部控制评价。内部控制评价和内部审计相互依赖，相互促进。借助内部控制评价结果，可以了解内部控制系统的薄弱环节和高风险领域，更准确的确定审计的范围，审计的重点和采用的审计方法。健全的内部控制制度还可以保证审计测试的质量。(五)内部控制评价有助于实现与政府监管的协调互动政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上，在有关政府部门，比如审计机关开展的国有企业负责人离任经济责任审计中，已将企业内部控制的有效性，以及企业负责人组织领导内部控制体系建立与实施情况纳入审计范围，并且日益成为十分重要的一部分。四、内部控制评价的原则客观性原则客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制订、实施的全过程中始终坚持客观性，才能保证评价结果的客观性。重要性原则一是要坚持风险导向的思路，着重关注那些影响内部控制目标实现的高风险领域和风险点；二是要坚持重点突出的思路，着重关注那些重要的业务事项和关键的控制环节，以及重要业务单位。全面性原则是指内部控制评价的范围应当全面，具体来说，是指内部控制评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。五、内部控制评价的对象是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。内部控制有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制设计的有效性是指现有内部控制按照规定程序得到了正确执行。内部控制运行的有效性六、内部控制评价的组织企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。（一）内部控制评价的机构或部门一是独立性，是指能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；二是专业性，是指具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；三是协同性，是指与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率、效果上满足企业对内部控制系统进行监督与评价所提出的有关要求；四是权威性，是指能够得到企业董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。（二）企业各级组织的职责安排1. 董事会。董事会对内部控制评价承担最终的责任。2. 经理层。经理层负责组织实施内部控制评价工作。3.内部控制评价机构。4.各专业部门。负责组织本部门的内部控制自查、测试和评价工作5.企业所属单位第二节内部控制评价的内容一、内部控制评价的内容内部控制评价的内容内部环境评价应当包括对组织架构、发展战略、人力资源、企业文化、社会责任等方面的评价。风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动评价应当对企业各类业务的控制措施、流程设计的有效性和运行的有效性进行认定和评价。信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。内部监督评价应当对管理层对于内部监督的基调、监督的有效性以及内部控制缺陷认定是否科学、客观、合理进行评价。二、工作底稿工作底稿企业应当以内部控制五要素为基础，在以上评价内容的基础上，层层分解、展开，进一步细化，建立内部控制核心指标体系。在确定具体评价内容后，根据《评价指引》第十一条的规定，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以通过一系列评价表格加以实现。第三节内部控制评价的程序一、内部控制评价的一般程序制定评价工作方案组成评价工作组实施现场测试汇总评价结果编报评价报告4．报告反馈和跟踪阶段3．汇总和报告阶段•（1）了解被评价单位的基本情况。•（2）确定检查评价范围和重点。•（3）开展现场检查测试。2．实施阶段•（1）制定评价工作方案。•（2）组成评价工作组。1．准备阶段•企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。•国家有关法律法规另有规定的，从其规定。•如果内部监督程序无效，或所提供信息不足以说明内部控制有效，应增加内部控制评价的频率。二、内部控制评价的频率三、内部控制评价的方法•主要用于了解公司内部控制的现状，在企业层面及业务层面评价的了解阶段经常使用。访谈前，应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈内容。1．个别访谈法。•主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级的员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等）。2．调查问卷法。•是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。3．穿行测试法。•抽样分为随机抽样和其他抽样。•随机抽样是指按随机原则从样本库中抽取一定数量的样本；•其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。4．抽样法。•主要针对业务层面评价，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试，如实地盘点某种存货。5．实地查验法。•是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。6．比较分析法。•专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。7．专题讨论法。第四节内部控制缺陷内部控制缺陷是描述内部控制有效性的一个负向的维度。企业开展内部控制评价，主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。一、内部控制缺陷的分类3．按照具体影响内部控制目标的具体表现形式财务报告缺陷非财务报告缺陷。2．按照影响企业内部控制目标实现的严重程度重大缺陷重要缺陷一般缺陷1．按照内部控制缺陷成因或来源设计缺陷运行缺陷。1．按照内部控制缺陷成因或来源设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰