第三节企业内部控制评价和审计3840.docx

1、第三节 企业内部控制评价和审计3840第三节 企业内部控制评价和审计一、企业内部控制评价二、企业内部控制审计一、企业内部控制评价（一）内部控制评价概述（二）内部控制评价的原则（3个）（三）内部控制评价的内容（5个）（四）内部控制评价的程序（6个）（五）内部控制评价的方法（7个）（六）内部控制缺陷认定（2个）（七）内部控制评价报告（8个）（一）内部控制评价概述1.内部控制评价的定义2.内部控制评价的责任3.评价内部控制设计的有效性4.评价内部控制运行的有效性1.内部控制评价的定义内部控制评价是指企业董事会或类似决策机构（以下简称董事会）对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的

2、过程。（1）董事会对内部控制评价承担最终的责任评价指引第四条第二款规定，企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。监事会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。（2）经理层负责组织实施内部控制评价工作，实际操作中，可以授权内部控制评价机构组织实施，并积极支持和配合内部控制评价的开展，创造良好的环境和条件。经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的

3、业务或事项，审定内部控制评价方案和听取内部控制评价报告，对于内部控制评价中发现的问题或报告的缺陷，要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。（3）内部控制评价机构根据授权承担内部控制评价的具体组织实施任务，通过复核、汇总、分析内部监督资料，结合经理层要求，拟订合理评价工作方案并认真组织实施；对于评价过程中发现的重大问题，应及时与董事会、审计委员会或经理层沟通，并认定内部控制缺陷，拟订整改方案，编写内部控制评价报告，及时向董事会、审计委员会或经理层报告；沟通外部审计师，督促各部门、所属企业对内、外部内控评价进行整改；根据评价和整改情况拟订内部控制考核方案。（4）各专业部门应负责

4、组织本部门的内控自查、测试和评价工作，对发现的设计和运行缺陷提出整改方案及具体整改计划，积极整改，并报送内部控制机构复核，配合内控机构（部门）及外部审计师开展企业层面的内控评价工作。（5）企业所属单位，也应逐级落实内部控制评价责任，建立日常监控机制，开展内控自查、测试和定期检查评价，发现问题并认定内部控制有缺陷，需拟订整改方案和计划，报本级管理层审定后，督促整改，编制内部控制评价报告，对内部控制的执行和整改情况进行评价。3.评价内部控制设计的有效性设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。评价内部控制设计的有效性，应充分考虑：（1）是否为防止、发现并纠正财务报告重大错

5、报而设计了相应的控制；（2）是否为合理保障资产安全而设计了相应的控制；（3）相关控制的设计是否能够保证企业遵循适用的法律法规；（4）相关控制的设计是否有助于企业提高经营效率和效果，实现发展战略。4.评价内部控制运行的有效性运行的有效性是指现有内部控制按照规定程序得到了正确执行。评价内部控制运行的有效性，应充分考虑：（1）相关控制在评价期内是如何运行的；（2）相关控制是否得到了持续一致的运行；（3）实施控制的人员是否具备必要的权限和能力；（4）相关控制运行的方式，一般包括人工控制和自动控制、预防性控制和发现性控制。（二）内部控制评价的原则（3个）企业对内部控制设计与运行的有效性实施评价，应当遵循

6、下列原则：1全面性原则2重要性原则3客观性原则1.全面性原则内部控制评价应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统、综合评价。2.重要性原则内部控制评价应当在全面评价的基础上，以风险为导向，根据风险发生的可能性及其对实现控制目标的影响程度，确定需要评价的重要业务单位、重大业务事项和高风险领域。3.客观性原则内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际，准确揭示经营管理中的风险状况，以事实为依据，如实反映内部控制设计与运行的有效性，确保评价结果有充足且适当的证据支持。（三）内部控制评价的内容（5个）企业

7、应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素入手，结合企业业务特点和管理要求，确定内部控制评价的具体内容，建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。（四）内部控制评价的程序（7个） 企业开展内部控制评价工作，一般程序为：1.设置内部控制评价部门；2.制定评价工作方案；3.组成评价工作组；4.实施现场测试；5.汇总评价结果；6.编报评价报告等。1.设置内部控制评价部门内部控制评价部门必须具备一定的设置条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与

8、企业其他职能机构就监督与评价内部控制系统保持沟通协调，在工作中相互配合、相互制约，在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求；（4）能够得到企业董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。2.制定评价工作方案内部控制评价部门应当根据企业实际情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，制定科学合理的评价工作方案，经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既可以全面评价为主，也可以根据需要采用重点评价的方式，一般而言，内部控制建立与实施初期，实施全面综合评价有

9、利于推动内部控制工作的深入有效开展；内部控制系统趋于成熟后，企业可在全面评价的基础上，更多地采用重点评价或专项评价，以提高内部控制评价的效率和效果。3.组成评价工作组评价工作组在内部控制评价部门领导下，具体承担内部控制检查评价任务。内部控制评价部门根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组成评价工作组，具体实施内部控制评价工作。评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利义务、纪

10、律要求及评价中需重点关注的问题等。4.实施现场测试评价工作组根据评价工作方案确定的内部控制评价范围，入驻被评价单位，实施现场测试。现场测试的一般步骤为：（1）了解被评价单位基本情况。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、评价期间内生产经营计划和预算完成情况、组织机构设置及职责分工、领导层成员构成及分工、财务管理及会计核算体制、内部控制工作概况、最近一次内部控制评价（或审计）发现问题的整改情况等。（2）确定检查评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量，并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。（3）开展现场

11、检查测试。评价工作组根据评价人员分工，综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试，按要求填写工作底稿、记录相关测试结果，并对发现的内部控制缺陷进行初步认定。评价人员应遵循客观、公正、公平原则，如实反映检查测试中发现的问题，并及时与被评价单位进行沟通。（4）编制现场评价报告。评价工作组汇总评价人员的工作底稿，形成现场评价报告。评价工作底稿应进行交叉复核签字，并由评价工作组负责人审核后签字确认。（5）提交现场评价结论。评价工作组将评价结果及现场评价报告向被评价单位进行通报，由被评价单位相关责任人签字确认后，提交企业内部控制评价部门。5.汇总评价结果内部控制评价部门汇总各评价工

12、作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。对于认定的内部控制缺陷，内部控制评价部门应当提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，企业应当追究相关人员的责任。6.编报评价报告内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送企业经理层、董事会和监事会，由董事会最终审定后对外披露或以其他形式加以合理利用。（五）内部控制评价的方法（7个）企业在开展内部

13、控制检查评价工作过程中，应当根据评价内容和被评价单位具体情况，综合运用：1.个别访谈；2.调查问卷；3.专题讨论；4.穿行测试；5.实地查验；6.抽样；7.比较分析。（六）内部控制缺陷认定（2个）1.内部控制缺陷的定义与分类内部控制缺陷是评价内部控制有效性的负向维度，如果内部控制的设计或运行无法合理保证内部控制目标的实现，即意味着存在内部控制缺陷。内部控制缺陷按不同的分类方式分为：（1）设计缺陷和运行缺陷内部控制缺陷按其成因分为设计缺陷和运行缺陷。设计缺陷是指内部控制设计不科学、不适当，即使正常运行也难以实现控制目标。运行缺陷是指内部控制设计比较科学、适当，但在实际运行过程中没有严格按照设计意

14、图执行，导致内部控制运行与设计相脱节，未能有效实施控制、实现控制目标。（2）财务报告内部控制缺陷和非财务报告内部控制缺陷内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷。1）财务报告内部控制缺陷，是指在会计确认、计量、记录和报告过程中出现的，对财务报告的真实性和完整性产生直接影响的控制缺陷，一般可分为财务（会计）报表缺陷、会计基础工作缺陷和与财务报告密切关联的信息系统控制缺陷等。2）非财务报告内部控制缺陷，是指虽不直接影响财务报告的真实性和完整性，但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。（3）重大缺陷、重要缺陷和

15、一般缺陷内部控制缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。1）重大缺陷，是指一个或多个控制缺陷的组合，可能严重影响企业内部控制的有效性，进而导致企业无法及时防范或发现严重偏离控制目标的情形。2）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有较大可能导致企业无法及时防范或发现偏离控制目标的情形，须引起企业重视和关注。3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。2内部控制缺陷的认定标准企业对内部控制评价过程中发现的内部控制缺陷，应当综合分析缺陷的成因、表现形式及重要程度，并按照一定的标准将各项内部控制缺陷分别认定为重大缺陷、重要缺陷和一般缺陷。内部控

16、制缺陷的认定标准和认定结果将直接影响内部控制有效性的结论。一般而言，如果一个企业存在的内部控制缺陷达到了重大程度，就不能认定该企业的内部控制是有效的。由于财务报告内部控制缺陷与非财务报告内部控制缺陷分别影响不同控制目标的实现，其表现形式各异，为此，财务报告内部控制缺陷的认定标准与非财务报告内部控制缺陷的认定标准也有所区别。（1）财务报告内部控制缺陷的认定标准（2）非财务报告内部控制缺陷的认定标准（3）常见的内部控制重大缺陷情形（1）财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：第一，该缺陷是否具备合理

17、可能性导致内部控制不能及时防止、发现并纠正财务报表错报；第二，该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。重大缺陷如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报，就应将该缺陷认定为重大缺陷。合理可能性是指大于微小可能性（几乎不可能发生）的可能性，对合理可能性的理解涉及评价人员的职业判断，且这种判断在不同评价期间应保持一致。重大错报中的“重大”，涉及企业确定的财务报表的重要性水平。一般而言，企业可以采用绝对金额法（如规定金额超过10 000元的错报应当认定为重大错报）或相对比例法（例如，规定超过净利润5%的错报应当认定为重大错报）来

18、确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。重要缺陷如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报，就应将该缺陷认定为重要缺陷。重要缺陷并不影响企业财务报告内部控制的整体有效性，但是应当引起董事会和经理层的重视。对于这类缺陷，应当及时向董事会和经理层报告，因此也称为“应报告情形”。一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷，应认定为一般缺陷。（2）非财务报告内部控制缺陷的认定标准企业可以根据自身的实际情况，参

19、照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：1）定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；2）定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。（3）常见的内部控制重大缺陷情形（4种情形，非常重要）当有确凿证据表明企业在评价期末存在下列情形之一时，通常应认定为内部控制重大缺陷：企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见。企业审计委员会和内部审计机构未能有效

20、发挥监督职能。企业董事、监事和高级管理人员已经或者涉嫌舞弊，或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响。企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故，给企业造成重要损失和不利影响，或者遭受重大行政监管处罚。3内部控制缺陷的报告和整改企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督过程中发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，按照规定的权限和程序进行审核后予以最终认定。（1）内部控制缺陷报告内部控制缺陷报告应当采取

21、书面形式。对于一般缺陷和重要缺陷，通常向企业经理层报告，并视情况考虑是否需要向董事会及其审计委员会、监事会报告；对于重大缺陷，应当及时向董事会及其审计委员会、监事会和经理层报告。如果出现不适合向经理层报告的情形，如存在与经理层舞弊相关的内部控制缺陷，或存在经理层凌驾于内部控制之上的情形等，应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限，一般缺陷、重要缺陷应定期报告，重大缺陷即时报告。（2）内部控制缺陷整改企业对于认定的内部控制缺陷，应当制定内部控制缺陷整改方案，按规定权限和程序审批后执行；对于认定的重大缺陷，还应及时采取应对策略，切实

22、将风险控制在可承受度之内，并追究有关机构或相关人员的责任。内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等，整改期限超过一年的，还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。（六）内部控制评价报告1内部控制评价报告的内容2内部控制评价报告的编制3内部控制评价报告的报送4内部控制评价报告的使用1内部控制评价报告的内容（8个）内部控制评价报告是内部控制评价工作的结论性成果，一般包括下列内容：（1）董事会对内部控制报告真实性的声明（2）内部控制评价工作的总体情况（3）内部控制评价的依据（4）内部控制评价的范围（5）内部控制评价的程序和方法（6）内部控制缺陷及其认

23、定（7）内部控制缺陷的整改情况（8）内部控制有效性的结论（1）董事会对内部控制报告真实性的声明声明董事会及全体董事对报告内容的真实性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。（2）内部控制评价工作的总体情况明确企业内部控制评价工作的组织形式、领导体制、进度安排和汇报途径等。（3）内部控制评价的依据说明企业开展内部控制评价工作所依据的法律法规和规章制度，一般包括企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引以及企业制定的内部控制制度和内部控制评价办法等。（4）内部控制评价的范围描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项。内部控

24、制评价的范围应当包括企业经营管理的主要方面，不存在重大遗漏。（5）内部控制评价的程序和方法描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。（6）内部控制缺陷及其认定描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。（7）内部控制缺陷的整改情况针对评价期末存在的内部控制缺陷，阐明公司拟采取的整改措施及预期效果。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制目前保持了设计与运行有效。（8）内部控制有效性的结论1）对不存在重大缺陷的情形，

25、出具评价期末内部控制有效结论；2）对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的影响程度。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价部门予以核实，并根据核查结果对评价结论进行相应调整。（期后事项）2内部控制评价报告的编制（1）编制时间（2）编制主体（3）编制程序（1）编制时间内部控制评价报告按照编制时间的不同，分为定期报告和不定期报告。1）定期报告是指企业至少每年进行一次内部控制评价工作，编制评价报告，并由董事会对外发布或以其他方式加以合理利用。年度内部控制评价报告以12月31日作为基

26、准日。2）不定期报告是指企业出于特定目的或针对特定事项而临时开展内部控制评价工作并编制评价报告。不定期报告的编制时间和编制频率由企业根据实际情况确定。（2）编制主体内部控制评价报告的编制主体包括单个企业和企业集团的母公司。单个企业内部控制评价报告是指某一企业以自身经营业务和管理活动为基础编制的内部控制评价报告；企业集团内部控制评价报告是企业集团的母公司以母公司及控股子公司的经营业务和管理活动为基础编制的内部控制评价报告，是对企业集团内部控制设计与运行有效性的总体评价。（3）编制程序1）内部控制评价部门对工作底稿进行复核，根据认定并按照规定的权限和程序审批确定的内部控制缺陷，判断内部控制的有效性

27、。2）内部控制评价部门搜集整理编制内部控制评价报告所需的相关资料。3）内部控制评价部门根据有关资料撰写内部控制评价报告。4）内部控制评价报告上报经理层审核、董事会审批后确定。3内部控制评价报告的报送内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。上市公司年度内部控制评价报告必须向社会公开披露，接受社会监督，为投资者和社会公众决策提供依据；非上市企业的内部控制评价报告须按规定报送财政等监管部门，接受政府的监督检查。内部控制评价报告通常应于基准日后4个月内报出。4内部控制评价报告的使用内部控制评价报告的使用者包括政府监管部门、投资者及其他利益相关者、中介机构和研究机构等。（1）政府监管

28、部门根据内部控制评价报告可以了解企业内部控制基本规范及其配套指引的实施情况，通过不同企业、不同行业内部控制评价报告的分析比较，可以发现内部控制相关法律法规实施中存在的问题，作为进一步健全内部控制法律法规体系、优化内部控制执行机制的重要依据。（2）投资者及其他利益相关者根据内部控制评价报告可以了解企业内部控制水平，评估企业抗风险能力和持续经营实力，从而为投资决策和正确行使相关权利奠定基础。必要时，投资者及其他利益相关者还可依据内部控制评价报告，有的放矢地进行调查研究和实地考察，促进企业持续完善内部控制系统。（3）中介机构和研究机构可以通过研究分析内部控制评价报告，知悉企业内部控制发展现状，在综合

29、运用比较分析、趋势分析等方法的基础上形成并发布内部控制研究报告，服务于监管部门、投资者和社会公众。内部控制评价是企业董事会对本企业内部控制有效性的自我评价，具有一定的主观性，因此，在此基础上形成的内部控制评价报告只能作为有关方面了解企业内部控制设计与运行情况的途径之一。在使用内部控制评价报告时，还应注意与内部控制审计信息、内部控制监管信息、财务报告信息等相关信息结合使用，切实做到全面分析、综合判断、相互验证。二、企业内部控制审计（一）内部控制审计的涵义（二）内部控制审计的程序（三）内部控制审计报告（一）内部控制审计的涵义1内部控制审计定义2内部控制审计与内部控制评价3内部控制审计与财务报表审计

30、1内部控制审计的定义内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。内部控制审计是内部控制外部评价的重要形式之一。2内部控制审计与内部控制评价内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。首先，两者的责任主体不同其次，两者的评价目标不同最后，两者的评价结论不同首先，两者的责任主体不同（1）建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任；（2）在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。其次，两者的评价目标不同（1）内部控制评价是企业董事会对各类内部控制目标实施的

31、全面评价；（2）内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。最后，两者的评价结论不同（1）企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；（2）注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。3内部控制审计与财务报表审计内部控制审计与财务报表审计的目标不同：（1）内部控制审计的目标是对被审计单位内部控制设计与运行的有效性进行审计，并重点就财务报告内部控制的有效性发表审计意见；（2）财务报表审计的目标是对财务报表是否按照国家