第一节 企业内部控制评价指引的概念.docx

1、第一节 企业内部控制评价指引的概念企业内部控制评价指引第一节 企业内部控制评价指引的概念一、企业内部控制评价指引的目的及依据为了促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据有关法律法规和企业内部控制基本规范，制定本指引。二、企业内部控制评价指引的基本目标及原则本指引所称内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责 任

2、制，按照规定的办法、程序和要求，有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。企业实施内部控制评价至少应当遵循下列原则：（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。三、内部控制评价的重用作用在企业内部控制实务中，内部控制评价是极为重要的一环。企业内部控制基本规范及配套指引，在保持框架大体一致的前提下，立足中国经济、社会、文化及管理的

3、现实，进行了一系列改进，较世界主要市场经济体的通行做法，又有很多适应我国社会主义市场经济发展要求的特色。无论是制度要求的口径和范围，还是具体要素和业务活动的内容及相互关系中均加入了与中国企业相适应的条例。企业内部控制评价指引的制定发布，为企业开展内部控制自我评价提供了一个共同遵循的标准，为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求，有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。第二节 内部控制评价的内容评价指引对内部控制评价内容的有关规定，是我国内部控制规范体系建设的一大创新。企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风

4、险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。在发达市场经济国家或地区，内部控制评价通行做法是要求企业对与财务报告相关的内部控制有效性进行自我评价。我国内部控制评价指引则在此基础上更进一步，还进一步要求企业根据基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。这一模式从根本上改变了内控制度的执行对下不对上的问题，将内控成为从上至下相互制约的主体，因而得到了国内企业董事长和总会计师的广泛认可和

5、好评。内部控制评价真正抓住了企业“一把手”关心重视的焦点，最大限度地释放了内部控制的作用和效力。一、内部控制评价环境企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。强有力的组织领导体制是内部控制评价工作能否有效实施的基本保证。企业组织开展控制活动评价，应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。内部控制评价工作对大多数国内企业而言仍是新生事物，为切实指导企业做好该项工作，评价指引专门就内

6、部控制评价的组织领导体制作出明确要求，具体的要求包括：1.授权审批内部控制基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作，即为企业内部控制评价工作的开展设置了专门的职能机构。同时，为了确保内部控制评价机构职能的有效发挥，内部控制基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件：（1）具有相对独立性。能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）胜任能力的要求。授权内部审计机构或者其他专门机构应具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）协调与制约。授权内部审计机构或者

7、其他专门机构与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求；（4）支持与监督。授权内部审计机构或者其他专门机构能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。2.职责分工在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制评价工作的组织。（1）评价指引要求内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组

8、成评价工作组，具体实施内部控制评价工作。（2）评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。通过内部控制职能机构和评价工作组这种矩阵式的组织设置，可以有效促进内部控制评价工作的开展。二、内部控制评价风险评估机制企业组织开展风险评估机制评价，应当以企业内部控 制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风 险识别、

9、风险分析、应对策略等进行认定和评价。风险评估，作为内部控制的组成部分，与计划、程序或其他管理层认为必要来处理风险的行为是有区别的。这些行为，如同前面所讨论的，是更大范围管理过程的一部分，而非内控系统的组成部分。与管理风险的行动联系在一起的，是确立程序使管理层能对这些行动的执行和效果予以追踪。例如，企业一项用于防范电脑服务损失风险的措施就是制定一个系统灾难恢复计划。然后实施相应的程序以确保计划制定和执行适当。内部控制评价就是要评价风险评估是否能将企业所面临的风险因素进行评估，确定必要的风险防范机制。风险分析并非只是理论上的。它通常对企业的成功很重要。当它涵盖了所有重大业务过程中的风险识别时，最为

10、有效。它可能涉及过程分析，主要依赖方面和关键控制点的识别、确定明晰的职责。有效的过程分析特别关注组织内的横向关联，对例如数据的来源、储存、如何转化为有用信息和谁使用这些信息加以识别确认。大型组织特别需要警惕公司内部和公司之间的交易和主要关联。评价风险评估的的有效性，有助于企业的风险规避与防范。评估者会重点关注管理层设立目标、风险分析和应对变化的过程，包括它们的联系和与业务活动的相关性。下面所列的是评估者可能会考虑的事项。这一列示并非涵盖了全部，也不是对每个企业都适用；但是，可以作为一个起点。1.企业层面目标企业层面目标对企业需要实现什么提供充分广泛声明和指导，且足够明确并直接与本企业相关。（1

11、）企业层面目标向雇员和董事会传递的有效性。（2）企业层面目标和企业策略的相关性和一致性。（3）企业计划和预算与企业层面目标、战略规划和现时条件的一致性。2.操作层面目标（1）操作层面目标和企业层面目标以及战略规划之间的联系。（2）操作层面目标之间的一致性。（3）操作层面目标与所有重大业务流程的相关性。（4）操作层面目标的专属性。（5）与目标相关的资源的充分性。识别对实现企业层面目标的重要目标（关键成功因素）。各级管理层对制定目标的参与及其对于目标的义务。三、内部控制评价控制活动企业组织开展控制活动评价，应当以企业内部控制基 本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相

12、关控制措施的设计和运行情况进行认定和评价。控制活动包括政策和程序，是人们执行政策的行为，用以保证管理层进行风险管理的必要指示得以执行。控制活动依据与之相关目标的性质可分为三类：经营性，财务报告，或遵循性。虽然一些控制活动仅与某一方面有关，但是控制活动之间常常是相互联系的。根据情况的不同，一项特定的控制活动可能有助于实现企业不止一类的目标。因此，经营控制也可能有助于保证可靠的财务报告，财务报告控制也可能对遵循性目标产生影响。在风险评估同时，管理层为了管理风险，应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位，以有助于确保正确、及时地执行这些行动。控制活动很大

13、程度上是企业尽力实现其商业目标的过程的一部分。控制活动不单纯出于自身的原因或因为它看上去是“正确的应该”去做的事。在此例中，管理层需要采取步骤以保证销售目标得以实现。控制活动是用于管理目标实现的机制。这些行为可能包括跟踪既定时间段的客户购买历史发展的过程，以及确保报告数据准确性的措施。在此意义上，控制直接进入了管理过程。必须按照管理层针对企业每项重要业务的既定目标而做出的风险管理的指示，对控制活动进行评估。因此，评估者将考虑控制活动是否与风险评估过程相关，以及它们是否恰当地保证了管理层的指示得以实施。这种评估将针对每项重大的业务活动，包括对计算机信息系统的一般性控制。评估者将不仅考虑确定的控制

14、活动是否与风险估计过程相关，而且还考虑它们的应用是否正确。四、内部控制评价信息与沟通企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。评估者会考虑信息和沟通系统对企业需要的恰当性。下面所列出的事项是人们会考虑到的。但列出的并不是全部，也不是对每个企业都适用，然而，这些可以作为一个起点。（一）信息（1）获取外部与内部的信息，向管理层提供与确定目标相关的、关于企业业绩的必要的报告。（2）及时向相

15、应的人提供详细的信息，使他们能有效地行使自己的职责。（3）与企业的整体战略联系在一起，根据信息系统的战略性计划来发展或修改信息系统，并对企业层面和行为层面的目标作出反应。（4）管理层对于必要的信息系统的支持要由相应资源人力和财务的运用来证明。（二）沟通（1）在沟通员工职责与控制责任时的有效性。（2）为人们报告可疑的不正当行为建立沟通的渠道。（3）管理层对员工所建议的提高产量、质量以及类似改进的方法的接受性。（4）贯穿整个企业的充分沟通（比如在采购与生产行为之间），信息的完整性、及时性及信息的充分性足以使人们有效履行其职责。（5）渠道的开放性与有效性，这些渠道是为了与顾客、供应商以及其它外界来沟

16、通不断变化的顾客需求信息。（6）外界能够了解企业道德标准的程度。（7）管理层根据与顾客、供应商、监管者及其它外界的交流而采取的适时恰当的相应措施。四、内部控制评价内部监督评价企业组织开展内部监督评价，应当以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。尽管持续性监控程序可以提供关于其他控制要素有效性的重要反馈信息，但经常地对系统的有效性直接进行评估也是十分必要的。这样同时也提供了一个机会来评价持续性监控程序是

17、否有效。在企业内部监督评价中，应关注以下几方面：（一）范围和频率由于所控制风险的大小及内部控制在减小风险中的重要性不同，对于内部控制进行评价的范围和频率也不一样。例如，那些致力于重大风险或对减小风险具有重要作用的控制就应经常地进行评价。对整个内部控制系统进行评价并不象对个别控制进行评价那样频繁，它主要取决于以下几个因素：主要战略及管理层的变更，重大并购或处置，经营活动或财务处理方法的重大变更。当作出决策对企业的内部控制系统进行评价时，应当特别注意每个内部控制要素及其所有的关键活动。此外，控制对于三类目标经营、财务报告及合规性的侧重点不同，评价范围也将随之不同。（二）评价主体评价通常以自我评价的

18、方式进行，即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。例如，一位部门主管应指导本部门内部控制的评价活动。他或她可能亲自评价控制环境因素，然后请部门内负责各种经营活动的人员评价其他要素的有效性。生产经理可能主要关注经营和符合性目标，而部门会计主管可能更重视财务报告目标。然后，所有结果都将由主要执行人审阅。最后，部门的自我评价将与其他部门对其的内控评价一起交由公司的管理层审阅。评价内部控制是内部审计人员的职责之一，有时，在董事会、高级管理层、子公司及部门主管的特殊要求下，内审人员也会对内控进行评价。同样，在评价内控时，管理层也可利用外部审计人员的工作。在管理层认为必要的时候，也可结

19、合以上两种方式来执行特定的评价程序。（三）评价程序对内部控制系统进行评价本身也是一种程序。当方法或技术改变时，这种评价程序也应有一定之规并有一定的内在基础。评价者须理解企业每项活动及内控系统的每项要素。因此，首先关注系统的运行过程或内控系统的设计是十分有用的。这其中包括同企业职员进行探讨并审阅已有的文件。评价者需要确定系统实际是如何工作的。已经设计好的特定的操作程序可能因时间的推移而有所变动，抑或不再实施。有时确立了新控制，但描述系统的人却不知道或未将之归入文件。为确定系统实际是如何工作的，可以通过与实施控制或受控制影响的人进行讨论，或通过检查控制执行记录或其他程序的组合来进行。评价者必须分析

20、内部控制的设计和测试结果。分析必须在已确定的准则的背景下，并结合内控系统是否对既定目标提供了合理保证这一最终目标进行。五、内部控制评价工作底稿内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。第三节 内部控制评价的程序企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。企业可以授权内部审计部门或专门机构负责内部控制评价的

21、具体组织实施工作。一、制定评价工作方案与组成评价工作组企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。二、实施现场测试内部控制评价工作组应当对被评价单位进行现场测试，综合运用个

22、别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。三、内部控制缺陷的认定企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程 度分为重大缺陷、重要缺陷和一般缺陷。关于内部控制缺陷的认定。内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一。（一）重大缺陷重大缺陷，是指一个或多个控制缺陷的组合，可能导致企

23、业严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：（1）该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；（2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度

24、内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。（二）财务报告内部控制缺陷的认定方法财务报告内部控制缺陷一般可以通过定量的方式予以确定。相对而言，非财务报告内部控制缺陷的认定很难形成统一的标准，企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中，对内部控

25、制缺陷的认定，尤其是非财务报告内部控制缺陷的认定作出更具指导性的说明。需要强调的是，为避免企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。（三）重大缺陷认定与处理企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析 和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者 经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责

26、任。四、内部控制评价报告企业应当根据企业内部控制基本规范、应用指引和评价指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。（一）内部控制评价报告的内容评价指引专门对内部控制评价报告进行规范，要求企业在评价报告中至少披露以下内容：（1）董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责；（2）内部控制评价工作的总体情况，即概要说明；（3）内部控制评价的依据，一般指基本规范、评价指引及企业在此基础上制定的评价办法；（4）内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项；（5

27、）内部控制评价的程序和方法；（6）内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷；（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；（8）内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告

28、。（二）内部控制评价报告的要求财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引，包括探索引入使用内部控制评价表，作为对内部控制评价报告的进一步补充。所谓内部控制评价表，就是对评价过程中形成的评价工作底稿的全面整理和综合汇总，是企业对内部控制各构成要素的结论性评估表格，一般由评价内容、业务描述、有效性缺陷、评价记录等栏目组成。通过使用内部控制评价表，可以使不同企业的内部控制评价报告更具可比性，同时也有利于报告使用者阅读和理解。五、内部控制评价报告的披露或报送内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷

29、认定及整改情况、内部控制有效性的结论等相关内容作出披露。评价指引要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。需要说明的是，评价指引起草工作组在调研过程中发现，部分企业担心内部控制评价报告可能存在信息过度披露问题。财政部等部门已经根据调研反馈意见对应用指引和评价指引进行了调整，此次发布的应用指引和企业内部控制评价指引实际上只要求企业对控制缺陷尤

30、其是重大缺陷作出说明，不涉及企业内部其他保密信息，与此同时，在内部控制规范体系的贯彻实施过程中，财政部等部门还将持续关注类似问题，确保在满足法律法规和监管要求的前提下，尽量减少企业负担。内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至 内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。企业应当以 12 月 31 日作为年度内部控制评价报告 的基准日。内部控制评价报告应于基准日后 4 个月内报出。企业

31、应当建立内部控制评价工作档案管理制度。内 部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。案例背景：一、被审计单位基本情况介绍 （一）兰花岗矿务局基本概况 兰花岗矿务局是年产1000万吨煤炭的大型煤炭工业企业。全局现有职工42593人，离退休职工12631人；拥有净资产总额24.08亿元；现有7对生产矿井、2个中央洗煤厂、8个多种经营地面厂、1个基本建设工程处、4所职工医院、2所大中专学校等25个直属单位及16个直属机构。近几年来，该局认真贯彻煤炭部党组提出“以经济效益为中心，扭亏增盈为目标”战略方针，紧密结合企业生产经营实际，坚持企业改革，加强内部管理，促进经济效益不断提高。20

32、01年生产原煤1014.42万吨，实现利润1126万元，结束了连续10年亏损局面。2002年1-5月份累计生产原选煤348.92万吨，生产洗精煤143.40万吨，实现利润1008万元，较煤炭部下达的盈亏考核指村增盈8万元，取得了较好的经济效益。 营业收入及应收账款、对外投资两个管理控制子系统的基本情况 （二）营业收入及应收账款管理控制系统该局营业收入及应收账款管理组织结构以经营局长、副总会计师为龙头，形成了以局运销公司为主要运营实体，企业内部银行为结算中心的销售管理体系体制。全局分设45个二级核算单位，共有财务会计人员974人，其中高级会计师6人，会计师196人，助理会计368人，会计员404人。财务人员中具有高中学历的342人，具有中专学历的406人，具有大学专科以上学历的226人。矿务局运销公司，共有销售人员74人。销售人员中，中高级专业技术人员18人，基本满足销售业务