企业内部控制评价指引财政部解读.docx

1、企业内部控制评价指引财政部解读切实做好内部控制评价，不断实现内部控制自我提升 财政部会计司解读企业内部控制评价指引作者： 来源： 字数：7801周易：“君子终日乾乾，夕惕若，厉，无咎。”是说君子能整天整日显示出自强不息的行为状态，是因为到晚间，也要保持戒慎，即检查自己在白天的所作所为，不要把过错带进第二天。对内部控制的建立、实施进行评价，是优化内部控制自我监督机制的一项重要制度安排，是内部控制的重要组成部分，与内部控制的建立、实施，共同构成有机循环。企业内部控制基本规范第四十六条：“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告”。因此，为促进企业全面评

2、价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，专门制定了企业内部控制评价指引（下称“评价指引”）。 评价指引第二条规定，企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。 一、内部控制评价概述 （一）内部控制评价的作用第一，内部控制评价有助于企业自我完善内控体系。内部控制评价是通过评价、反馈、再评价，报告企业在内部控制建立与实施中存在的问题，并持续地进行自我完善的过程。通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改，可以及时堵塞管理漏洞，防范偏离目标的各种风险，并举一反三，从设计和执行等全方

3、位健全优化管控制度，从而促进企业内控体系的不断完善。 第二，内部控制评价有助于提升企业市场形象和公众认可度。企业开展内部控制评价，需形成评价结论，出具评价报告。通过自我评价报告，将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众，树立诚信、透明、负责任的企业形象，有利于增强投资者、债权人以及其他利益相关者的信任度和认可度，为自己创造更为有利的外部环境，促进企业的长远可持续发展。 第三，内部控制评价有助于实现与政府监管的协调互动。政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上，在有关政府部门，比如审计机关开展的国有企业负责人离任经济

4、责任审计中，已将企业内部控制的有效性，以及企业负责人组织领导内控体系建立与实施情况纳入审计范围，并日益成为十分重要的一部分。尽管政府部门实施企业内控监督检查有其自身的做法和特点，但监督检查的重点部位是基本一致的，比如大多涉及重大经营决策的科学性、合规性以及重要业务事项管控的有效性等。实施企业内控自我评价，能够通过自查及早排查风险、发现问题，并积极整改，有利于在配合政府监管中赢得主动，并借助政府监管成果进一步改进企业内控实施和评价工作，促进自我评价与政府监管的协调互动。 （二）内部控制评价的对象内部控制评价是对内部控制有效性发表意见。所谓内部控制有效性，是指企业建立与实施内部控制对实现控制目标提

5、供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。其中，内部控制设计的有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行的有效性，是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性，应当着重考虑以下几个方面：（）相关控制在评价期内是如何运行的；（）相关控制是否得到了持续一致的运行；（）实施控制的人员是否具备必要的权限和能力。 需要强调的是，即使同时满足设计有效性和运行有效性标准的内部控制，受内部控制固有局限影响，也只能为内部控制目标的实现提供合理保证，而不能提供绝对保证，不应不切实际地期望内部控制能够绝对保证内部控制目标的实现，也不

6、应以内部控制目标的最终实现情况和程度作为唯一依据直接判断内部控制设计和运行的有效性。 （三）内部控制评价的原则内部控制评价的原则是开展评价工作应该注意的原则，与内部控制的原则不完全相同。根据评价指引第三条规定，企业对内部控制评价至少遵循以下原则：全面性原则、重要性原则和客观性原则。 全面性原则。全面性原则强调的是内部控制评价的涵盖范围应当全面，具体来说，是指内部控制评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。 重要性原则。重要性原则强调内部控制评价应当在全面性的基础之上，着眼于风险，突出重点。具体来说，主要体现在制订和实施评价工作方案、分配评价资源的过程之中，它

7、的核心要求主要包括两个方面：一是要坚持风险导向的思路，着重关注那些影响内部控制目标实现的高风险领域和风险点；二是要坚持重点突出的思路，着重关注那些重要的业务事项和关键的控制环节，以及重要业务单位。 客观性原则。客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性，才能保证评价结果的客观性。 （四）内部控制评价的组织形式和职责安排评价指引第四条规定，企业应当根据本评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机

8、构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。 企业内部控制评价办法应当结合企业内部控制基本规范第四十四条的规定，具体明确内部控制评价的组织形式，特别明确各有关方面在内部控制评价中的职责安排，处理好内部控制评价和内部监督的关系，定期由相对独立的人员对内部控制有效性进行科学的评价，界定内部控制缺陷认定标准，保证内部控制评价有序地开展。 内部控制评价的组织形式企业可以授权内部审计机构或专门机构（下称“内部控制评价机构”）负责内部控制评价的具体组织实施工作。 内部控制评价机构必须具备一定的设置条件：一是能够独立行使对内部控制系统建立与运行过程及结果进行监督的权

9、力；二是具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；三是与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约，在效率效果上满足企业对内部控制系统进行监督与评价所提出的有关要求；四是能够得到企业董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。 具体来说，企业可根据自身特点，决定是否单独设置专门的内部控制评价机构。对于单独设有专门内部控制机构的企业，也可以由内部控制机构来负责内部控制评价的具体组织实施工作。 为了保证评价的独立性，负责内部控制设计和评价的部门应适当分离。 企业可以委托会计师事务所等中介机构实施内部控制评

10、价。此时，董事会（审计委员会）应加强对内部控制评价工作的监督与指导。从业务性质上讲，中介机构受托为企业实施内部控制评价是一种非保证服务，内部控制评价报告的责任仍然应由企业董事会承担。另外，为保证审计的独立性，为企业提供内部控制审计的会计师事务所，不得同时为同一家企业提供内部控制评价服务。 有关方面在内部控制评价中的职责和任务无论采取何种组织形式，董事会、经理层和内部控制评价机构在内部控制评价中的职能作用不会发生本质的变化。一般来说：（）董事会对内部控制评价承担最终的责任。评价指引第四条第二款规定，企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、

11、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。监事会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。 （）经理层负责组织实施内部控制评价工作，实际操作中，可以授权内部控制评价机构组织实施，并积极支持和配合内部控制评价的开展，创造良好的环境和条件。经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定内部控制评价方案和听取内部控制评价报告，对于内部控制评价中发现的问题或报告的缺陷，要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。 （）内部控

12、制评价机构根据授权承担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施；对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写内部控制评价报告，及时向董事会、审计委员会或经理层报告；沟通外部审计师，督促各部门、所属企业对内、外部内控评价进行整改；根据评价和整改情况拟订内部控制考核方案。 （）各专业部门应负责组织本部门的内控自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制机构复核，配合内控机构（部门）及外部审计师开展企业层面的内

13、控评价工作。 （）企业所属单位，也应逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、测试和定期检查评价，发现问题并认定内部控制有缺陷，需拟订整改方案和计划，报本级管理层审定后，督促整改，编制内部控制评价报告，对内部控制的执行和整改情况进行考核。 企业内部控制评价办法中的原则、内容、程序、方法和报告形式参考本解读其他部分的规定。 二、关于内部控制评价的内容 （一）内部控制评价的内容和工作底稿设计评价指引第五条到第十条具体介绍了内部控制评价内容。内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行，企业应结合企业内部控制基本规范、各项应用指引以及本企业的内部

14、控制制度，确定具体评价内容，对内部控制设计与运行情况进行全面评价。 内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行；发展战略可以重点从发展战略的制定合理 性、有效实施和适当调整三方面进行；人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行；企业文化评价应从建设和评估两方面进行，从而促进诚信、道德价值观的提升，为内部控制的完善夯实人文基础；社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。 风险评估评价应当对日常

15、经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。 控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。 信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性进行认定和评价。 内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。 重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。 企业应当以内部控制五要素为基础，建立内部控制核心指标体系，在以上评价内容的基础上，层层

16、分解、展开，进一步细化，以下列举了可供参考核心指标（见第4版附件）。对于内容不能详尽的，如控制活动涉及方方面面的业务，可以另外按业务列表增加。 具体评价内容确定后，根据评价指引第十一条规定，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现。 三、关于内部控制评价的程序 评价指引第十二条至第十四条对企业组织内部控制评价程序和人员、预算作出具体规定。 （一）内部控制评价的一般程序内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价

17、报告等。概括而言，主要分为以下几个阶段：准备阶段（）制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。 （）组成评价工作组。评价工作组是在内部控制评价机构领导下，具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企

18、业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件，尽量建立长效内部控制评价培训机制。 实施阶段（）了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。 （）确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。 检查重点和分工情况可以根据需要进行适时调整。 （）开展现场检查测试。评价工作组根据评价人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进

19、行初步认定。 汇总评价结果、编制评价报告阶段评价工作组汇总评价人员的工作底稿，初步认定内部控制缺陷，形成现场评价报告。评价工作底稿应进行交叉复核签字，并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交企业内部控制评价机构。 内部控制评价机构汇总各评价工作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总；对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。 内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正

20、、完整地编制内部控制评价报告，并报送企业经理层、董事会和监事会，由董事会最终审定后对外披露。 报告反馈和跟踪阶段对于认定的内部控制缺陷，内部控制评价机构应当结合董事会和审计委员会要求，提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，企业应当追究相关人员的责任。 （二）内部控制评价的频率企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。 另外，如果内部监督程序无效，或所提供信息不足以说明内部控制有效，应增加评价的

21、频率。 （三）内部控制评价的方法评价指引第十五条规定，内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。 个别访谈法个别访谈法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访谈前应根据内部控制评价需求形成访谈提纲，撰写访谈纪要，记录访谈的内容。 调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答

22、（如答案只需为“是”、“否”、“有”、“没有”等等）。 穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程（例如，在保险公司的内部控制评价中，选取一笔保险新单，追踪其从投保申请到财务入账的全过程），以此了解控制措施设计的有效性，并识别出关键控制点。 抽样法抽样法分为随机抽样和其他抽样。 随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。 实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，

23、与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。 比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。 专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。 此外，还可以使用观察、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。 四、内部控制缺陷的认定 内部控制缺陷是描述内部控制有效性的一个负向的维度

24、。企业开展内部控制评价，主要工作内容之一就是要找出内部控制缺陷并有针对性地进行整改。 内部控制缺陷认定在一定程度上决定内部控制评价的成效，且具有一定难度，还需要运用职业判断。为了指导企业科学、合理地认定内部控制缺陷，切实帮助企业有效开展内部控制评价，评价指引第十六条至第十九条对内部控制缺陷的分类、认定作出专门的解释。 （一）内部控制缺陷的分类按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由于运行不当（包括由不恰当的人执行、未按设计的

25、方式运行、运行的时间或频率不当、没有得到一贯有效运行等）而形成的内部控制缺陷。 内部控制存在设计缺陷和运行缺陷，会影响内部控制的设计有效性和运行有效性。 按照影响企业内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中作出内部控制无效的结论。 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起董事会、经理层的充分关注

26、。 一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。 将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷，需要借助一套可系统遵循的认定标准，认定过程中还需要内部控制评价人员充分运用职业判断。一般而言，如果一个企业存在的内部控制缺陷达到了重大缺陷的程度，我们就不能说该企业的内部控制是整体有效的。 按照具体影响内部控制目标的具体表现形式，还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。 （二）内部控制缺陷的认定标准部控制缺陷的重要性和影响程度评价指引第十六条规定，企业对内部控制缺陷的认定，应当以构成内部控制的内部监督要素中的日常监督和专项监督为基础，结合年度内部控制评

27、价，由内部控制评价机构进行综合分析后提出认定意见，按照规定的权限和程序进行审核，由董事会予以最终确定。 首先，内部控制评价从属于内部监督，是监督结果的总体体现。在企业正常的生产经营中，内部控制评价倚重内部监督；其次，充分利用日常监督与专项监督结果的基础上，至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价，全面地、综合地分析，提出认定意见，报董事会审定；第三，企业应当根据评价指引，结合自身情况和关注的重点，自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四，根据具体认定标准认定企业存在的内部控制缺陷，由董事会最终审定。企业在确定内部控制缺陷的认定标准时，应当充分考虑内

28、部控制缺陷的重要性及其影响程度。 内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。 财务报告内部控制缺陷的认定标准财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性，因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。 换句话说，财务报告内部控制的缺陷，是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。 将财务报告内部控制的缺陷划分为重大缺

29、陷、重要缺陷和一般缺陷，所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素：（）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性（几乎不可能发生）的可能性，确定是否具备合理可能性涉及评价人员的职业判断。（）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。另外，一些迹象通常表明财务报告内部控制可能存在重大缺陷：（）董事、监事和高级管理人员舞弊；（）企业更正已公布的财务报告；（）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（）企业

30、审计委员会和内部审计机构对内部控制的监督无效。 一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷。重大错报中的“重大”，涉及企业管理层确定的财务报告的重要性水平。 一般企业可以采用绝对金额法（例如，规定金额超过元的错报应当认定为重大错报）或相对比例法（例如，规定超过资产总额的错报应当认定为重大错报）来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。 一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未达

31、到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。 非财务报告内部控制缺陷的认定标准非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制。这些目标一般包括战略目标、资产安全、经营目标、合规目标等。非财务报告评价应当作为企业内部控制评价的重点。 非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作，对企业内部控制应用指引中每一篇应用指引所阐述的风险，根据自身的实际情况、管理现状和发展要求，加以细化或按内部控制原理补充，参照财务报告内部控制缺陷的认定标准，合理确定定性和定量的认定标准，根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中：定量标准，即涉及金额大小，既可以根据造成直接财产损失绝对金额制定，也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定；定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质、影响的范围等因素确定。以下迹象通常表明非财务报告内部控制可能存在重大缺陷：（）国有企业缺乏民主决策程序，如缺乏“三重一大”决策程序；（）企业决策程序不科学，如决策