2023年-企业内部控制评价指导书.docx-淘文阁

资源描述

《2023年-企业内部控制评价指导书.docx》由会员分享，可在线阅读，更多相关《2023年-企业内部控制评价指导书.docx（17页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、企业内部控制评价指引一、内部控制评价产生的历程：1978年，美国柯恩委员会(Cohen Commission)就建议企业管理当局在披露财务报告时，提交一份关于内部控制系统的评价报告，说明管理当局对公司会计系统及其控制的评估, 包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反应的描述，并要求独立注册会计师对该报告进行证明。1987年，全美反舞弊财务报告委员会在其报告中也提出了类似的建议，虽然全美反舞弊财务报告委员会未对内部控制提出结论，但其报告立刻引起了广泛的反应。1992年在内部控制整体框架中提出了内部控制报告的框架。美国柯恩委员会 (Cohen)报告、全美反舞弊财务报告

2、委员会报告、COSO报告均认为，内部控制报告应着重说明控制系统的有效性。在1979年和1998年，美国证券交易委员会(SEC)分别提议强制要求提供内部控制报告。1989年，美国政府审计署(GAO)也曾提议在存贷机构紧急援助议案中，应规定管理当局和审计人员报告内部控制，但都没有形成最终议案。2001年以来，美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注，严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心，迫于这种压力和形势。2002年7月，美国国会通过并颁布了 SOX法案，致力于治理财务丑闻和财务报告中可能出现的问题，目的是为了恢复公众对公司会计

3、实务和财务报告的信心。SOX法案结合公医院的制度规定，内部审计部门参与对“医院药品、医疗器械、医用试剂和总务物资采购相关遴选会议，对医院的财产物资购置提前介入，便于医院监督资产的管理。这就强化了一个内部审计部门的监督的职能。（二）记录内部控制评价工作内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。三、内部控制评价的程序（一）内部审计开展内部控制评价的途径1 .参与企业内部控制制定，改变内部控制在制定阶段主要交由相关业务部门完成的传统做法，使内部

4、控制在建立之时就交由内部审计进行评价。内部审计师应站在企业内部控制全局的高度，统筹考虑并提出自己的建议，最大限度地克服内部控制建立时可能就有的天然缺陷。2 .在日常审计项目中，不仅通过内部控制评价，确定审计重点和审计风险，用以指导审计工作，而且还要对该项业务涉及到的内部控制的健全性、适当性、执行的有效性进行评价，评价其关键控制和程序能否保证内控目标的实现，能否有效抵御和控制企业各种风险，发现控制弱点和控制缺陷，及时报告管理层。3 .对企业内部控制单独立项，专门评价。随着现代企业制度的建立和企业内部控制建设进程的加快，传统的报表审计、经济责任审计已远远不能满足管理层对内部审计的要求，

5、内部审计应该在企业内部控制中发挥更大的作用，将内部控制的监督、评价作为重要的工作内容，单独立项，专门评价。分步骤、有计划地对企业各部门、各环节的内部控制进行综合评价和全面测试，衡量企业内部控制建立健全程度和抵御风险能力，寻找内部控制薄弱环节，提出强化内控建设的措施，以防范和化解企业各种经营风险，提高企业管理水平。4,组织管理部门开展内部控制自评。内部控制自评是指由内部审计人员与被审部门管理人员组成审计小组，管理人员在内部审计人员的帮助下，对本部门内部控制的恰当性和有效性进行评估，提出报告。内部控制自评可以让管理部门更好地熟悉本部门内部控制情况，明确本部门对企业内部控制的责任，促进

6、其更好地履行职责；同时，还可以从执行者的角度更好地反映当前内部控制中存在的问题。既降低了审计成本，减少了审计人员工作量，又使内部审计达到了更好的效果。评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。如果保证的水平处于有效内部控制的区间内，则内部控制是有效的，如果保证的水平低于合理水平，则内部控制是无效的。从另一个角度来看，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的；反之，则无效。（二）内部控制评价的程序企业应当按照内部控制评价办法规定的程序，有序开展内

7、部控制评价工作。内部控制评价的具体组织实施工作可以授权给内部审计部门或专门机构负责。内部控制评价程序一般包括：1 .制定评价工作方案。评价方案应明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。内部审计开展内部控制评价的范畴不应局限于内部会计控制。长期以来，人们对内部控制评价的定位，一直站在制度基础审计的角度，集中于会计控制。会计控制是企业内部控制系统最基础的控制平台，是企业内部控制的主要内容，但绝不是惟一内容。以目前我国许多上市公司为例，有些公司虽然会计制度比较健全，但由于忽略控制环境问题，使管理环节存在诸多缺陷，导致会计控制失效的

8、事例频频发生。每个企业关于内部控制自我评价范围、原则和目标并不相同,但一般应采用全员参与的、整个流程范围的自我评价。并要在所有的关键的利益相关者之间进行交流、调整，如内部审计师、高层管理人员和董事会。内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。2 .作用和责任的限定有效的内部控制自我评价关键在于对参与者的作用和责任的限定。包括控制活动过程的岗位责任者，内部控制自我评价的测试人员以及复核人员。一般而言，一个过程的岗位负责人应该是一个拥有较强的项目管理技术的专家并且足够资深，以确保无论在何种情况下，内部控制自我评

9、价能对风险优先排序。对测试人员要实行详细的检验，并将相应的结果文件化, 测试人员必须对自我评价的过程理解并对所测试的基本控制进行适当的权衡，并且以合理程度的专业怀疑态度和独立性进行测试。内部控制自我评价的复核人员也必须对实施有效的复核过程有足够的理解。对某一个既定的过程而言，自我评价复核人员逻辑上通常是这个过程的岗位负责人。3 .组成评价工作组。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。企业可以委托中介机构实施内部控制评价。但是为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。由

10、企业内部审计人员组成评价工作组的：出于遵循法律法规的需要，一般都由内部审计人员正式地对内部控制自我评价进行评估并发表相应的意见;或者他们只是简单地对某个既定过程的基本的内部控制在一般的基于风险的审计范围内进行审计。无论内部控制自我评价在结构上采用何种方式，关键的是对上述人员的作用加以规定，并从项目涉及的各个参与人的视角进行协调，达成一致意见。企业（或总部）应当成立内部控制检查评价工作领导小组（以下简称“检评领导小组”），组长由主要负责人担任，副组长由总会计师/分管财务领导担任，成员由财务、审计、人事、监察、销售、采购等部门的主要负责人组成。检评领导小组应当根据实际情况，按照成本和效

11、益原则，确定或组建内部控制检查评价工作组（以下简称“检评组”）。检评组可以设在（或授权）财务或审计部门，也可另行组成由财务、审计、人事、监察等有关部门相关人员参加的检评组，组长可由审计部门负责人担任。4 .提出实施的具体要求对每一个关键控制的目标如何进行测试要制定测试手册。包括事先确定样本的规格、具体测试的步骤、步骤保留的证据以及每项测试通过与不通过的组成内容。可以多听取外部审计师及其他专家的意见。检评组人员根据工作计划，按规定的抽样比例和方法，随机抽取各类业务的样本。同时依据各自的分工，对所抽取的业务样本控制点，按照规范的业务流程表中控制点和不相容职务/岗位分离及授权等要求，实

12、施控制测试。5实施现场测试。评价人员应综合运用个别访谈、调查问卷、专题讨论、穿行测试、抽样等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容, 如实填写评价工作底稿，研究分析内部控制缺陷。企业层面评估测试方法主要有：调查问卷、管理层访谈、获取并审阅相关文档抽样进行测试等。6 .认定控制缺陷。当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时防止或发现差错，则说明存在着控制缺陷。分为设计缺陷和运行缺陷。当存在设计缺陷时，表明必要的控制或控制的必要成分缺失，无法达到控制目标或者现有的控制设计不当，即使按设计执行后仍无法满足控制目标。在内

13、部控制自我评价测试中，如果内部控制的缺陷已经被确认，或者是对所设计的控制有某些担心或者失败已确认，则应尽快启动对差异的矫正。确认已有的控制和最佳的控制之间的差距，从而不断改善、发现和掌握使内部控制程序和内部控制本身更有效的方法。如果最终获得的支持性文档不能支持控制活动的存在性与有效性,而导致判断该控制存在缺陷，则需要将该文档内容的具体描述、不能满足要求的原因详细填写在“附注/解释”一栏中。企业层面内部控制评估中要形成如下主要文档：企业层面内部控制调查问卷；控制测试工作底稿；支持性文档检查清单与支持性文档；发现问题汇总表等。7 .汇总评价结果。实施内部控制自我评价后，要正式地征求反馈意

14、见，总结经验和教训，使其不断得到完善。检评组人员将检查测试情况按每笔业务逐笔如实进行记录（包括抽查时间、抽查方法、抽查的具体业务合同或凭证编号、检查测试得分结果等），建立检查评价工作底稿，签字后交检评组负责人或其授权人员审核签字。企业需要从定性和定量两方面进行衡量，判断是否构成内部控制缺陷。如果存在下列情况之一，则可认定内部控制存在设计或运行缺陷：（1）未实现规定的控制目标；（2）未执行规定的控制活动；（3）突破规定的权限；（4）不能及时提供控制运行有效的相关证据。针对每一个控制缺陷，都必须提出整改建议。整改建议需要由问卷和测试的填写人与执行人在问卷和测试填写完成后与相关部门管理层

15、讨论后拟定完成；整改建议必须内容具体, 切实可行。而且要列出控制缺陷的风险级别，最好由内控评价负责人评估及填写。8 .编报评价报告。评价人员对检查出来的各类问题统一进行复核和确认，汇总检查评价结果，根据评价实施情况，编制评价报告，并向有关人员和机构报告。四、内部控制评价的方法传统的内部控制评价模式主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，审计报告中的建议也是管理当局早已经知道的，缺乏新意。风险导向审计法要求内部审计人员改变传统的评价模式，把审计的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。从内部控制评价本

16、身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。1 .详细评价法详细评价法的逻辑和程序如图1所示：2 .风险基础评价法风险基础评价法的逻辑和程序如图2所示：风险基础评价法与详细评价法的区别类似于财务报表的详细审计与财务报表的风险基础审计，主要体现在以下儿个方面：第一，风险基础法首先评估实现内部控制相关目标的风险，根据风险评估的结果对照企业的内部控制，参考内部控制框架来判断企业内部控制设计的有效性。第二，风险基础法需要更高程度的专业判断。无论是评价内部控制设计的有效性，还是测试内部控制运行的有效性都是根据最初的风险评估和后续的风险评估进行的，这与详细评价法下根据一

17、个确定的框架来评价相比需要更高程度的专业判断。比较上述两种评价方法的优劣以及从国际发展的总体趋势来看，风险基础的内部控制评价方法必然是未来的发展方向，因为无论是基于成本效益的考虑，还是与企业的实际情况相结合，从确保评价的合理性来说，风险基础评价法都比详细评价法具有明显的优势。在内部审计领域，人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险，并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风

18、险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的建议的一种方法。在内部审计领域实施风险导向审计，改变了内部审计人员探讨风险和内部控制的方法, 改变了过去那种内部审计人员以检查历史业务记录和内部控制系统的历史运营情况提出建议和意见的方式，变为更加关注企业面临的风险和企业未来的发展及企业为降低风险所进行的一项管理活动。评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向审计法下，内部审计更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是

19、可以接受的？控制的效果是否影响管理当局决策？只有清楚地了解了这些，内部审计人员才能辨别何处控制环节过多，何处控制环节不充分，何处控制满意，何处控制需要改善。对企业内部控制评价具体实施的方法主要包括：L个别访谈。是指企业根据检查评价需要，对被检查单位员工进行单独访谈，以获取有关信息。通过找有关人员谈话，可以调查了解内部控制制度，还可以针对可疑账项或异常情况等向有关人员提出询问。具体的运用流程是：（1）设计访谈提纲。（2）恰当进行提问。（3）准确扑捉信息，及时收集有关资料。（4）适当地做出回应。（5）及时作好访谈记录，一般还要录音或录像。2 .调查问卷。是指企业设置问卷调查表，分别对不同层

20、次的员工进行问卷调查，根据调查结果对相关项目做出评价。是一种用于只需简单回答为是/否或者有/无的调查工具。业务流程的具体操作者使用调查结果去评估他们的控制结构。设计企业层面调查问卷和问题清单。负责内控评价的部门必须负责设计调查问卷用以记录公司部门/分支机构在各关键控制领域具体执行情况与评价过程。调查问卷通常包含如下的栏目：控制要求（应根据确定的关键控制领域的规范要求进行细化和明确）；实际操作描述；规章制度索弓1/实施记录索引；负责部门；控制设计缺陷。问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握。他们需要仔细阅读各部门的回答，判断其内容是

21、否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充。问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进行讨论；可以在原有的问卷中增加一列，标注审阅意见（已填写的内容是否存在不清楚，不够完整等情况），以此作为访谈提纲。在访谈时，即可在这些审阅意见下加注访谈对象的回答，最后进行修改问卷。3 .专题讨论会。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。如果企业能够有效地接受和支持参会者实事求是的发言，如果组织文化属支持性的，推荐采用研讨会法；如果组织文化不属于支持性的，那么调查问卷的回复和管理层对内控

22、制度分析能够强化控制环境。研讨会法是一种从代表组织不同层次尤其是风险薄弱环节的工作组中收集内部控制信息，召集尽可能多的业务人员共同分享信息、讨论问题的方法。研讨会主要有基于控制、流程、风险和目标的四种基本形式。在实践中，企业往往同时使用一种以上的形式组合。1）基于控制的研讨会形式该形式研讨会重点关注内部控制的实际运行状况，即内部控制执行的有效性。2）基于风险的研讨会形式该形式研讨会重点关注风险识别和风险管理。该形式研讨会容易为正确行动识别出显著的剩余风险，也较其他方法更易做出全面的自我评估。3）基于流程的研讨会形式该形式研讨会重点检查所选择过程内的执行活动情况。该研讨会的意图是评价、更

23、新或改进选择过程。4）基于目标的研讨会形式该形式研讨会重点关注完成目标的最优途径的选择方面。研讨会的目的是确定是否选择了最佳的内控技术，是否这些技术在可接受的剩余风险水平下得到有效的运行。4 .管理层分析法。是任何不使用上述方法的方法。管理层可生成一种业务流程的全员研究的内控环境。内部审计师将研究结果与其他经理和关键人物收集的信息结合起来。通过综合这些素材，开发出一种业务流程的具体操作方法，可以在控制中运用的分析框架。5,穿行测试。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。6.抽样。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低,

24、从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性做出评价。五、内部控制缺陷认定和评价报告（-）内部控制缺陷认定1 .内部控制缺陷的分类内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。（1）设计缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现

25、存控制设计不适当，即使正常运行也难以实现控制目标。内部控制不健全是指缺少实现内控目标必需的控制，即在企业生产经营活动过程中的某些环节、某些方面无章可循。这种情况长期下去，势必会导致经营秩序混乱、账目不清、决策失误，降低企业的抗风险能力，甚至使企业最终破产倒闭。内部控制制度不适当是指现有内控设计不合理，以至于即使按设计运行，通常也无法实现内控目标。企业建立的内部控制制度不符合企业生产经营活动的实际情况，或生搬硬套其他企业的内部控制制度，或内部控制制度陈旧过时，不能适应变化了的内控环境的需要。（2）运行缺陷运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺

26、乏胜任能力以有效地实施控制。有些企业表面上似乎建立健全了企业内部控制制度，但往往只是写在纸上，挂在墙上，形同虚设，这种现象在相当一部分企业中存在。他们这样做的目的不过是做做样子，应付检查，实际上还是我行我素。此外，企业内部普遍存在授权不明、权责不清的情况，这也是内部控制不能有效运行的重要原因。内部控制在我国的发展比较快，但是人员素质还没跟上，员工必要的胜任能力不够，这在中小型企业中还是比较普遍的现象。2 .内部控制缺陷的认定标准企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并

27、按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。美国上市公司会计监管委员会（PCAOB）审计准则第2号指出审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。根据缺陷对企业影响的严重程度可以分为3类。对缺陷的严重性进行评估应当包括定量和定性两个方面。重大缺陷（或称实质性漏洞）实质性漏洞是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性。进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无

28、法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。一般缺陷没有特别规定，但可以推测是以上两种缺陷之外的缺陷没有特别规定，但可以推测是以上两种缺陷之外的缺陷。根据上述定义，判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：（1）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷；（2）针对同一细化控制目标所采取的不同控制活动之间的相互作用；（3）针对同一细化控制目标是否存在其他补偿性控制活动。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。企业内部控制评价部门应当编制内部控制缺陷认定汇总

29、表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。内部控制缺陷报告是监督控制活动的重要组成部分，企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。内部控制自我评价的意义也正是体现于评价结果向管理层及时、准确的反馈过程。企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。（）内部控制评价

30、报告企业应当根据企业内部控制基本规范、应用指引和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。1.内部控制评价报告的内容下表列示了我国和美国相关法规对内部控制评价报告内容的规定。企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。但是企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。表3-3我国和美国对内部控制评价报告内容的规定企业内部控制评价指引内部控制评价报告至少应当披露下列内容：（1）董事会对内部控制报告真实性的声明；（2）内部控制评价工作

31、的总体情况；（3）内部控制评价的依据；（4）内部控制评价的范围；（5）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论深圳证券交易所上市公司内部控制指引自我评价报告至少应包括以下内容：（1）对照本指引及有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；（2）说明本指引重点关注的控制活动的自查和评估情况；（3）说明内部控制缺陷和异常事项的改进措施（如适用）；（4）说明上一年度的内部控制缺陷及异常事项的改善进展情况（如适用）上海证券交易所上市公司内部控制指引公司内部控制自我评估报告至少应

32、包括如下内容：（1）内控制度是否建立健全；（2）内控制度是否有效实施；（3）内部控制检查监督工作的情况；（4）内控制度及其实施过程中出现的重大风险及其处理情况；（5）对本年度内部控制检查监督工作计划完成情况的评价；（6）完善内控制度的有关措施；（7）下一年度内部控制有关工作计划萨班斯奥克斯利法案上市公司披露的管理层内部控制报告主要包括：（1）强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；（2）发行人管理层最近财务年度末对内部控制体系及控制程序有效性的评价美国上市公司会计监管委员会PCAOB审计准则第2号管理层关于财务报告内部控制的报告必须包括下列内容：（1）管理层建立和

33、维护适当的公司财务报告内部控制的职责声明；（2）由管理层所使用的、用来执行公司财务报告内部控制的有效性的必要评估的框架确定声明；（3）在最近的财务年度结束时，公司的财务报告内部控制的有效性评估，包括一份清晰的关于财务报告内部控制是否有效的声明；（4）对包括在年度报告中的财务报表进行了审计的会计师事务所签发的一份关于管理层对公司财务报告内部控制评估的验证报告的声明企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。2.内部控制评价报告的报出（1）内部控制评价报告的批准结构内部控制评价报告应当报经董事会或类似

34、权力机构批准后对外披露或报送相关部门。（2）内部控制评价报告的基准日及报送期限企业应当以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。（3）企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。（4）企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。司的财务报告全面提高了对上市公司内部控制的要求，把过去的很多自愿和选择性做法变成了法定的、强制性的要求，其中302节和404节尤为具体，对内部控制的评价和报告进行了明确的规定和要求。

35、美国上市公司内部控制的评价和报告体系应当包括：公司管理层对财务报告内部控制的有效性进行评价，对内向审计委员会报告，对外发布公开报告；注册会计师对财务报告内部控制进行的审计，对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。二、管理层对财务报告内部控制评价（一）管理层对财务报告内部控制评价标准管理层断定公司财务报告内部控制有效的限度：如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点，管理层就不能确定公司的财务报告内部控制是有效的。管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露。（-）管

36、理层对财务报告内部控制评价内容和方法:对公司财务报告内部控制的评估必须根据既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。要受到这种评价的控制包括但不限于：1.对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报告中包含的相关认定的控制；2,与非常规和非系统交易的动机和处理相关的控制；3.与适当会计政策的选择和应用相关的控制；4.与防止、识别和发现舞弊相关的控制。（三）公司在实践评价并形成有关财务报告内部控制有效性的评价结论时，要求保存证据，为管理层对财务报告内部控制有效性的评价结论提供合理的支持。这些证据可以证明：1.对内部控制是用来防止或发现重要错报或遗漏的

37、评价；2.对测试进行了适当的规划和实施；3.测试的结果得到了适当考虑。（四）为什么要进行内部控制的自我评价：内部控制自我评价提倡的是以研讨会的方式让全体员工参与内部控制的建设。不仅有助于降低成本，而且符合人本管理的理念。因此，内部控制自我评价对企业的重要性不言而喻。企业内部控制基本规范第二章内部环境中要求审计委员会负责“审查企业内部控制，监督内部控制的有效实施和自我评价情况、内部控制自我评价的现实意义是什么?如何具体实施内部控制自我评价等问题是每个企业应该关注的重要问题。（五）内部控制自我评价的概述：企业内部控制规范一基本规范所称的内部控制，是由企业董事会、监事会、经理层和全体员工

38、实施的、旨在实现控制目标的过程。某公司的内部控制评价办法是这样定义的，“内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。”建议将内部控制运行结果评价修改为对内部控制运行过程评价。企业内部控制的“控制自我评估”，是指每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。其基本的特征是：1）关注业务的过程和控制的成效；2）由管理部门和职员共同进行; 3）用结构化的方法开展评估活动。“控制自我评估”是为提高组织内部控制的自我意识所做的努力，这种活动经常以研讨会的形式进行。目的

39、：是使人们了解哪里存在缺陷以及可能引致的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部审计人员站出来。研究表明，实施“控制自我评估”的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等有着积极的作用。内部控制自我评价是指公司管理层和员工共同在公司内部为实现目标、控制风险，而进行的内部控制系统的有效性和恰当性实施的自我评价方法。有效的内部控制自我评价是一个对内部控制效果的监督和测试的持续过程。（六）内部控制自我评价工作开展评价工作必须获得公司所有阶层/级别支持，通常要成立并维持强而有效的指导委员会, 对其成员要进行持续的培训以确保其胜任水平

40、，要大力加强指导委员会的权力以确保政令的畅通，可以先以某些部门、业务单元作为试点，及时总结经验，使方案得到完善，然后大面积推开。评估、汇报及持续改善是确保效益的重要元素。对涉及内控评价的各个方面，必须清楚界定各角色职责并传达到位，有效沟通必不可少，不仅包括公司内部与管理层的沟通，公司内部各个部门之间的沟通, 还包括与独立审计师沟通，了解双方的项目范围及工作方式，对项目的重要、潜在的问题及时交流。及早将注意力集中到关键的问题，关注与财务报表有联系的事项以及有可能导致重大错误的流程及其影响范围。另外，要建立相应的内控评价工作制度，并指定特定机构、人员负责并监督制度的贯彻实施；安排适当培

41、训，加强有关人员对内部控制的认识与控制负责人的责任意识，确保知识与技术的传递；要学会利用适当的工具，以确保内控评价工作系统有效地进行；合理的项目组织与管理，明确项目的主导部门，与各部门的合作与协调方法，对项目进度的监控及形成定期的工作结果报告渠道。注意文档记录。由于内控评价的过程都要留下文档记录，作为所做工作的证据，以便日后外部审计人员的审核评价以及明确责任，对所做评价的记录必须十分谨慎。尤其要注意避免在缺少对风险进行有效评估的情况下记录内控缺陷。对于需要按照监管要求实施内部控制评价的企业，为了在有限的时间内富有成效地完成大量相关工作，高级管理层需要对该工作给予足够的重视，必须十分

42、清楚有关的内控规范要求以及监管部门的具体部署。企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。三、企业内部控制评价指引的讲解第一节框架概述企业内部控制评价指引分为5章27条，从内部控制评价的各个方面阐述了其具体内容：（-）第一章总则（第14条）。说明内部控制评价指引制定的依据、定义、遵循的原则等方面。第1条，说明内部控制评价指引出台的目的和依据，主要的依据为企业

43、内部控制基本规范。第2条，指出内部控制评价的定义，内部控制评价是针对内部控制有效性的评价、报告过程。第3条，说明企业实施内部控制评价应遵循的原则。即全面性原则、重要性原则和客观性原则。第4条，指明企业依据内部控制评价指引应当履行的职责，并明确企业董事会应当对内部控制评价报告的真实性负责。（二）第二章内部控制评价的内容（第511条）。首先明确内部控制评价的内容是与五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）相联系的，然后分别阐述了对该五要素进行评价时，应当遵循的依据和要求，最后指明内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容。（三）第三章内部控制评

44、价的程序（第1215条）。第12条，内部控制评价工作开展的程序。程序：制定评价方案一组成评价工作组一实施现场测试一认定控制缺陷一汇总评价结果一编制评价报告第13条，明确拟订的评价工作方案要报经董事会或其授权机构审批后实施。第14条，评价工作组的成员及回避事项。第15条，内部控制评估和测试的方法。包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。（四）第四章内部控制缺陷认定（第1619条）。第1617条，内部控制缺陷的分析、判断因素和程度的划分。内部控制的缺陷一般划分为设计缺陷和运行缺陷。内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。第18条，内部控制评价工作的质量

45、交叉复核。第19条，对内部控制评价工作中发现的内部控制缺陷进行分析，并报告相关部门。重大缺陷应当由董事会予以最终认定。（五）第五章内部控制评价报告（第2027条）。第2021条，内部控制评价报告应分别就五要素进行设计，并就相关内容作出披露。第22条，内部控制评价报告中至少应当披露的内容。第2326,内部控制评价报告报送部门、报告基准日及报送时限。第27条，建立内部控制评价工作档案管理制度。第二节重要条款解读一、内部控制评价概述内部控制评价是企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。企业应当根据国家有关法律法规和企业内部控制基本规范的要求，结合

46、企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。（-）内部控制评价的目标企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价, 促使企业切实加强内部控制体系的建设并认真执行，并保证内部控制体系得以持续、有效的改进。1 .强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。2 .提高风险管理水平，为实现企业发展战略和经营目标提供保障。3 .增强企业业务、财务和管理信息的真实性、完整性和及时性。4 .保障企业资产的安全和完整。5 .确保企

47、业各项活动的合法合规性。6 .为企业的风险管理提供信息服务和决策支持。内部控制的目标：1）提高企业运营的效果和效率。2）财务报告的可靠性和完整性。3）法律法规和合同的遵循性。（二）内部控制评价的原则在企业内部控制评价指引中规定：企业实施内部控制评价，应当遵循下列原则：1 .全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。企业内部控制是否完整是评价标准中首要的一条，同时又是基础。若内部控制的完整性都达不到，则内部控制的合理性与有效性就无从谈起了。2 .重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。客观的评价

48、内部控制，及时发现问题，及时予以更正，以使企业良好发展下去。3 .客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。在对某一企业评价其内部控制的适用性时，耍注意控制点的设置是否合理，有没有安排过多或不必要的控制点；在每一个需要控制的地方是否都建立了控制环节；控制职能是否划分清楚；人员间的分工和牵制是否恰当，既不能分工过细，又能起到相互牵制的作用。同时，内部控制的适用性要以经济性为限制条件。企业设置内部控制切忌照抄照搬，因此应当考虑企业内控设计和执行时的适应性和经济性。因为，企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异，不同的企业就应当根据其不同的特点设置内部控制制度。（三）内部控制评价的组织机构企业内部控制评价是一项难度非常大的工作，需要强有力的组织保障。应该是企业最高级次的组织和人员进行总体负责。董事会下

展开阅读全文