08.内部控制实施、评价与审计

* 1 8.1内部控制评价 8.2内部控制审计 8.3内部控制实施 8.内部控制实施、评价与审计 * 2 通过本章学习，要求掌握内部控制评价、审计和实施的基本原理 。 学习目标 * 3 8.1.1内部控制评价的概述 8.1.2内部控制评价的内容 8.1.3内部控制评价的程序 8.1.4内部控制缺陷的认定 8.1.5内部控制的评价报告 8.1内部控制评价（参阅教材 P230） * 4 8.1.1内部控制评价的概述 一、内部控制评价的含义 内部控制评价，是指企业 董事会或类似权力机构 对内部控制的 有效性进行全面评价、形成评价结论、出具评价报告的过程。（第 二条） 8.1内部控制评价 * 5 二、内部控制评价的原则 （第三条） 1.全面性原则 评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位 的各种业务和事项。 2.重要性原则 评价工作应当在全面评价的基础上，关注重要业务单位、重大业务 事项和高风险领域。 3.客观性原则 评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制 设计与运行的有效性。 8.1内部控制评价 * 6 三、内部控制评价的总体要求 （第四条） 企业应当结合内部控制设计与运行的实际情况，制定具体的内部控 制评价办法，规定评价的原则、内容、程序、方法和报告形式等， 明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、 程序和要求，有序开展内部控制评价工作。 企业董事会应当对内部控制评价报告的真实性负责。 8.1内部控制评价 * 7 8.1.2内部控制评价的内容（第二章） 一、内部环境 企业组织开展内部环境评价，应当以组织架构、发展战略、人力资 源、企业文化、社会责任等应用指引为依据，结合本企业的内部控 制制度，对内部环境的设计及实际运行情况进行认定和评价。 二、风险评估 企业组织开展风险评估机制评价，应当以 企业内部控制基本规范 有关风险评估的要求，以及各项应用指引中所列主要风险为依据 ，结合本企业的内部控制制度，对日常经营管理过程中的风险识别 、风险分析、应对策略等进行认定和评价。 8.1内部控制评价 * 8 三、控制活动 企业组织开展控制活动评价，应当以 企业内部控制基本规范 和 各项应用指引中的控制措施为依据，结合本企业的内部控制制度， 对相关控制措施的设计和运行情况进行认定和评价。 四、信息与沟通 企业组织开展信息与沟通评价，应当以内部信息传递、财务报告、 信息系统等相关应用指引为依据，结合本企业的内部控制制度，对 信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告 的真实性、信息系统的安全性，以及利用信息系统实施内部控制的 有效性等进行认定和评价。 8.1内部控制评价 * 9 五、内部监督 企业组织开展内部监督评价，应当以 企业内部控制基本规范 有关内部监督的要求，以及各项应用指引中有关日常管控的规定 为依据，结合本企业的内部控制制度，对内部监督机制的有效性 进行认定和评价，重点关注监事会、审计委员会、内部审计机构 等是否在内部控制设计和运行中有效发挥监督作用。 8.1内部控制评价 * 10 8.1.3内部控制评价的程序 内部控制评价程序一般包括： 制定评价工作方案、组成评价工作组 、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等 环节。 （第十二条） 企业可以授权 内部审计部门或专门机构（以下简称内部控制评价部 门） 负责内部控制评价的具体组织实施工作。 （第十二条） 8.1内部控制评价 * 11 一、制定评价工作方案 企业内部控制评价部门应当拟订评价工作方案，明确 评价范围、 工作任务、人员组织、进度安排和费用预算 等相关内容，报经董 事会或其授权机构审批后实施。 （第十三条） 二、组成评价工作组 企业内部控制评价部门应当根据经批准的评价方案，组成内部控 制评价工作组，具体实施内部控制评价工作。评价工作组应当吸 收 企业内部相关机构熟悉情况的业务骨干 参加。评价工作组成员 对本部门的内部控制评价工作应当实行回避制度。 企业可以委托 中介机构 实施内部控制评价。为企业提供内部控制 审计服务的会计师事务所，不得同时为同一企业提供内部控制评 价服务。 （第十四条） 8.1内部控制评价 * 12 三、实施现场测试 内部控制评价工作组应当对被评价单位进行现场测试，综合运用 个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和 比较分析 等方法，充分收集被评价单位内部控制设计和运行是否 有效的证据，按照评价的具体内容，如实填写评价工作底稿，研 究分析内部控制缺陷。 （第十五条） 8.1内部控制评价 * 13 四、认定控制缺陷 五、汇总评价结果 六、编报评价报告 8.1内部控制评价 * 14 8.1.4内部控制缺陷的认定 一、内部控制缺陷认定的程序 总体要求：企业对内部控制缺陷的认定，应当 以日常监督和专 项监督为基础，结合年度内部控制评价 ，由内部控制评价部门进行 综合分析后提出认定意见，按照规定的权限和程序进行审核后予以 最终认定。 （第十六条） 具体程序：企业内部控制评价部门应当编制内部控制缺陷认定 汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改 进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合 分析和全面复核，提出认定意见，并以适当的形式向董事会、监事 会或者经理层报告。 重大缺陷应当由董事会予以最终认定。 （第十 九条） 8.1内部控制评价 * 15 二、内部控制缺陷的类别 1.按成因分为设计缺陷和运行缺陷（补充） 设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制 设计不适当，即使正常运行也难以实现控制目标。 运行缺陷是指现存设计完好的控制没有按设计意图运行，或执 行者没有获得必要授权或缺乏胜任能力以有效地实施控制。 8.1内部控制评价 * 16 2.按影响程度分为重大缺陷、重要缺陷和一般缺陷 （第十七条） 重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重 偏离控制目标。 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济 后果低于重大缺陷，但仍有可能导致企业偏离控制目标。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上 述要求自行确定。 8.1内部控制评价 * 17 注： 内控重大事故事件缺陷 以未 经 授 权 、舞弊或 IT控制不 善造成 财产损 失或影响 给 股 东带 来利益 损 害 为 判 别 依据。 缺陷认定等级 直接财产损失金额 重大负面影响 一般缺陷 10万元（含 10万元） 500万元 或受到省级（含省级）以下政府部 门处罚但未对公司定期报告披露造 成负面影响 重要缺陷 500万元（含 500万元） -1000万元 或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响 重大缺陷 1000万元及以上 或已经对外正式披露并对公司定期报告披露造成负面影响 某企业内部控制缺陷认定表 8.2内部控制审计 * 18 3.内部控制缺陷的应对策略 （第十九条） 企业对于认定的重大缺陷，应当及时采取应对策略，切实将风 险控制在可承受度之内，并追究有关部门或相关人员的责任。 根据发现缺陷类别的不同，确定不同级次的管理和监督权限。 董事会负责重大缺陷的整改，接受监事会的监督。经理层负责重要 缺陷的整改，接受董事会的监督。内部有关单位负责一般缺陷的整 改，接受经理层的监督。 8.1内部控制评价 * 19 8.1.5内部控制的评价报告 一、总体要求 企业应当根据 企业内部控制基本规范 、应用指引和本指引， 设计内部控制评价报告的种类、格式和内容，明确内部控制评价报 告编制程序和要求，按照规定的权限报经批准后对外报出。 （第二 十条） 内部控制评价报告应当分别内部环境、风险评估、控制活动、信 息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部 控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出 披露。 （第二十一条） 8.1内部控制评价 * 20 二、内部控制评价报告的内容 （第二十二条） 董事会对内部控制报告真实性的声明。 内部控制评价工作的总体情况。 内部控制评价的依据。 内部控制评价的范围。 内部控制评价的程序和方法。 内部控制缺陷及其认定情况。 内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。 内部控制有效性的结论。 8.1内部控制评价 * 21 三、内部控制评价报告的编制、审批、披露 1.编制 企业应当根据年度内部控制评价结果，结合内部控制评价工作底 稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时 编制内部控制评价报告。 （第二十三条） 企业内部控制评价部门应当 关注自内部控制评价报告基准日至内 部控制评价报告发出日之间 是否发生影响内部控制有效性的因素 ，并根据其性质和影响程度对评价结论进行相应调整。 （第二十 四条） 8.1内部控制评价 * 22 2.审批 内部控制评价报告应当报经 董事会或类似权力机构 批准后对外披 露或报送相关部门。 （第二十四条） 3.披露 企业内部控制审计报告应当与内部控制评价报告 同时对外披露或 报送 。 （第二十五条） 企业应当以 12月 31日作为年度内部控制评价报告的 基准日 。 （第 二十六条） 内部控制评价报告应于基准日后 4个月内 报出。 （第二十六条） 8.1内部控制评价 * 23 4.内部控制评价的分类（补充） 年度评价和专项评价 。年度评价是指企业根据内部控制目标， 对企业某一年度建立于实施内部控制的有效性进行的评价。例 如，企业按照有关法规的要求，每年都必须进行内部控制自我 评估并出具内部控制自我评估报告。专项评价是指企业在特定 时点对特定范围的内部控制的有效性进行的评价。 全部内部控制评价和专项内部控制评价 。全面内部控制评价是 指对企业内部控制体系进行评价，包括控制环境、风险评估、 控制活动、信息与沟通以及内部监督五个要素，对企业的所有 业务和管理活动的内部控制进行全面的评价。专项评价是指针 对内部控制中的某一要素，比如针对控制活动本身、或者针对 企业的某项或者某些业务和管理活动的内部控制进行评价。 8.1内部控制评价 * 24 8.2 内部控制审计（参阅教材 P233） 8.2.1内控审计概述 8.2.2计划审计工作 8.2.3实施审计工作 8.2.4评价控制缺陷 8.2.5完成审计工作 8.2.6出具审计报告 8.2.7记录审计工作 * 25 8.2.1内部控制审计概述 一、内部控制审计的定义 内部控制审计，是指 会计师事务所 接受委托，对企业内部控制设 计与运行的有效性进行审计，并发表审计意见。 （第二条） 二、企业内控责任与注册会计师责任 建立健全和有效实施内部控制，评价内部控制的有效性是 企业董 事会的责任 ；在实施审计工作的基础上对内部控制的有效性发表 审计意见，是 注册会计师的责任 。 （第三条） 三、财务报告内部控制与非财务报告内部控制 注册会计师应当对财务报告内部控制的有效性发表审计意见，并 对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷 ，在内部控制审计报告中增加 “非财务报告内部控制重大缺陷描 述段 ”予以披露。 （第四条） 8.2内部控制审计 * 26 四、内部控制审计的类型 （第五条） 1.单独进行的内部控制审计 仅对内部控制设计与运用的有效性进行审计并发表审计意见 2.整合审计 将内部控制审计与财务报表审计整合进行。 在整合审计中，注册会计师应当对内部控制设计与运行的有效 性进行测试，以同时实现下列目标：（ 1）获取充分、适当的 证据，支持在内部控制审计中对内部控制有效性发表的意见； （ 2）获取充分、适当的证据，支持在财务报表审计中对控制 风险的评估结果。 8.2内部控制审计 * 27 计划 审计工作 实施 审计工作 评价 控制缺陷 完成 审计工作 出具 审计报告 8.2内部控制审计 * 28 8.2.2计划审计工作 一、总体要求 注册会计师应当恰当的计划所接受的内部控制审计工作，配备 有胜任能力的人员，并对助理人员进行督导。 （第六） 在计划审计工作时，注册会计师应当 评价下列事项对内部控制 、财务报表、以及审计工作的影响 ：与企业相关的风险，包括 在评价是否接受与保持客户和业务时，注册会计师了解的与企 业相关的风险情况以及在执行其他业务时了解的情况；相关法 律法规和行业概况； 企业组织结构、经营特点和资本结构等相 关重要事项； 企业内部控制最近发生变化的程度；与企业沟通 过的内部控制缺陷； 重要性、风险等与确定内部控制重大缺陷 相关的因素； 对内部控制有效性的初步判断； 可获取的、与 内部控制有效性相关的证据的类型和范围。 （第七条） 8.2内部控制审计 * 29 二、重视风险评估的作用 （第八条） 以风险评估为基础 ，选择拟测试的控制，确定针对所选定控 制所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高，给予该领域 的审计关注就越多。 风险评估的理念及思路应当贯穿于整合审计过程的始终。 8.2内部控制审计 * 30 三、利用内部审计人员、内部控制评价人员及其他相关人员的 工作 （第九条） l 如果拟利用他人的工作，注册会计师则需要评价该人员的专 业胜任能力和客观性。 l 与某项控制相关的风险越高，可利用他人工作的程度就越低 ，注册会计师就需要更多地对该项控制亲自进行测试。 l 注册会计师应当对发表的审计意见独立承担责任，其责任不 因为利用内部审计人员、内部控制评价人员及其他相关人员 的工作而减轻。 四、考虑重要性水平 l 如果一项错报单独或连同其他错报可能影响财务报表使用者 依据财务报表做出的经济决策，则该项错报是重大的。 8.2内部控制审计 * 31 8.2.3实施审计工作 一、自上而下的方法 （第十条） l从财务报表层次初步了解内部控制整体风险； l识别 企业层面控制 ； l识别重要账户、列报及其相关认定； l了解错报的可能来源； l选择拟测试的控制。 8.2内部控制审计 * 32 二、注册会计师测试内部控制应关注的方面 （第十一条） l注册会计师测试 企业层面控制 ，应当把握重要性原则， 至少应当 关注 ：与内部环境相关的控制 ;针对董事会、经理层凌驾于控制之上 的风险而设计的控制 ;企业的风险评估过程 ;对内部信息传递和财务 报告流程的控制 ;对控制有效性的内部监督和自我评价。 l注册会计师测试 业务层面控制 ，应当把握重要性原则，结合企业 实际、企业内部控制各项应用指引的要求和企业层面控制的测试情 况，重点对企业生产经营活动中的重要业务与事项的控制进行测试 。业务层面控制的测试表现为识别重大的账户、列报及相关认定， 具体内容包括：账户的规模和构成；对因错误或舞弊导致的错报的 敏感度；通过账户处理或在列报中反映的交易的业务量、复杂性及 同质性；与账户或列报相关的会计处理及报告的复杂程度；账户容 易发生损失的程度；由账户或列报中反映的活动引起重大或有负债 的可能性；账户中关联方交易的存在情况；账户或列报特征与前期 相比发生的变化。 8.2内部控制审计 * 33 三、测试控制设计和运行的有效性 1.设计和运行的有效性 （第十四条） l如果某项控制 由 拥有必要授权和专业胜任能力的人员按照规定 的程序与要求执行，能够实现控制目标，表明该项控制的 设计 是有效的。 l如果某项控制 正在 按照设计运行 ,执行人员拥有必要授权和专 业胜任能力，能够实现控制目标，表明该项控制的 运行 是有效 的。 8.2内部控制审计 * 34 2.控制测试程序的性质、时间安排和范围 l注册会计师应当根据与内部控制相关的风险，确定拟实施 审计程序的性质、时间安排和范围，获取充分、适当的证据 。与内部控制相关的风险越高，注册会计师需要获取的证据 应越多。 （第十五条） l注册会计师在测试控制设计与运行的有效性时，应当综合 运用 询问适当人员、观察经营活动、检查相关文件、穿行测 试和重新执行 等方法。询问本身并不足以提供充分、适当的 证据。 （第十六条） l注册会计师在确定测试的时间安排时，应当在下列两个因 素之间作出平衡，以获取充分、适当的证据：（一）尽量在 接近企业内部控制自我评价基准日 实施测试。（二）实施的 测试需要 涵盖足够长的期间 。 （第十七条） 8.2内部控制审计 * 35 8.2.4评价控制缺陷 一、内部控制缺陷的类别 （第二十条） 1.按其成因分为设计缺陷和运行缺陷 设计缺陷是指缺少为实现控制目标所必需的控制，或者控制设 计不适当、即使正常运行也难以实现控制目标。 运行缺陷是指现存设计适当的控制没有按设计意图运行，或执 行人员没有获得必要授权或专业胜任能力，无法有效地实施控制 。 在下列情况之一，企业应当认定内部控制存在设计或运行缺陷 ： 未实现规定的控制目标；未执行规定的控制活动；突破规定的 权限；不能及时提供控制运行有效的相关证据。 8.2内部控制审计 * 36 2.按其影响程度分为重大缺陷、重要缺陷和一般缺陷。 l 重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业 严重偏离 控制目标。 l 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和 经济后果低于重大缺陷，但仍有可能导致企业 偏离 控制目标 。 l 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 8.2内部控制审计 * 37 内 部 控 制 缺 陷 非财务报告缺陷（企业内部管理缺陷） 财务报告缺陷 3.按影响的主要对象分财务报告缺陷和非财务报告缺陷 8.2内部控制审计 * 38 二、内部控制可能存在重大缺陷的迹象主要包括 （第二十二条 ） ： l注册会计师发现董事、监事和高级管理人员舞弊。 l企业更正已经公布的财务报表。 l注册会计师发现当期财务报表存在重大错报，而内部控制在运 行过程中未能发现该项错报。 l企业审计委员会和内部审计机构对内部控制的监督无效。 8.2内部控制审计 * 39 一、获取管理层书面声明 （第二十三条） l取得经企业签署的书面声明，书面声明应当包括下列内容：（一 ）企业董事会认可其对建立健全和有效实施内部控制负责。（二 ）企业已对内部控制的有效性作出自我评价，并说明评价时采用 的标准以及得出的结论。（三）企业没有利用注册会计师执行的 审计程序及其结果作为自我评价的基础。（四）企业已注册会计 师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷 和重要缺陷。（五）企业对于注册会计师在以前年度审计中识别 的重大缺陷和重要缺陷，是否已经采取措施予以解决。（六）企 业在内部控制自我评价基准日后，内部控制是否发生重大变化， 或者存在对内部控制具有重要影响的其他因素。 l企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师 应当将其视为 审计范围受到限制，解除业务约定或出具无法表示 意见 的内部控制审计报告。 8.2.5完成审计工作 8.2内部控制审计 * 40 二、形成审计意见 三、沟通相关事项 （第二十五、二十六条） l与企业沟通审计过程中识别的所有的控制缺陷。 l对于其中的 重大缺陷和重要缺陷， 应当以 书面形式 与董事会和 经理层沟通。 l注册会计师认为 审计委员会和内部审计机构 对内部控制的监督 无效的，应当就此以 书面形式 直接与董事会和经理层沟通。 l书面沟通应当在注册会计师出具内部控制审计控告 之前 进行。 l对获取的证据进行评价，形成对内部控制有效性的意见。 8.2内部控制审计 * 41 一、标准内部控制审计报告应当包括下列要素 （第二十七条 ） l（一）标题 l（二）收件人 l（三）引言段 l（四）企业对内部控制的责任段 l（五）注册会计师的责任段 l（六）内部控制固有局限性的说明段 l（七）财务报告内部控制审计意见段 l（八）非财务报告内部控制重大缺陷描述段 l（九）注册会计师的签名和盖章 l（十）会计师事务所的名称、地址及盖章 l（十一）报告日期 8.2.6出具审计报告 8.2内部控制审计 * 42 二、审计报告的类型 1.符合下列所有条件的，注册会计师应当对财务报告内部控 制出具 无保留意见 的内部控制审计报告 （第二十八条） ： l（一）企业按照 企业内部控制基本规范 、 企业内部 控制应用指引 、 企业内部控制评价指引 以及企业自身 内部控制制度的要求， 在所有重大方面保持了有效的内部控 制。 l（二）注册会计师已经按照 企业内部控制审计指引 的 要求计划和实施审计工作， 在审计过程中未受到限制 。 8.2内部控制审计 * 43 2.注册会计师认为财务报告内部控制虽不存在重大缺陷，但 仍有一项或者多项重大事项需要提请内部控制审计报告使用 者注意的，应当在内部控制审计报告中增加 强调事项段 予以 说明。注册会计师应在强调事项段中指明，该段内容仅用于 提醒内部控制审计报告使用者关注，并不影响对财务报告内 部控制发表的审计意见。 （第二十九条） 3.注册会计师认为财务报告内部控制存在一项或多项重大缺 陷的，除非审计范围受到限制，应当对财务报告内部控制发 表 否定意见 。注册会计师出具否定意见的内部控制审计报告 ，还应当包括下列内容：（一）重大缺陷的定义。（二）重 大缺陷的性质及其对财务报告内部控制的影响程度。 （第三 十条） 8.2内部控制审计 * 44 4.注册会计师审计范围受到限制的，应当解除业务约定或出 具 无法表示意见 的内部控制审计报告，并就审计范围受到限 制的情况，以书面形式与董事会进行沟通。 l注册会计师在出具无法表示意见的内部控制审计报告时， 应当在内部控制审计报告中指明审计范围受到限制，无法对 内部控制的有效性发表意见。 （第三十一条） 8.2内部控制审计 * 45 三、对在审计过程中注意到的 非财务报告内部控制缺陷 ，应 当区别具体情况予以处理 （第三十二条） ： l（一）注册会计师认为非财务报告内部控制缺陷为 一般缺 陷 的，应当与企业进行沟通，提醒企业加以改进，但无需在 内部控制审计报告中说明。 l（二）注册会计师认为非财务报告内部控制缺陷为 重要缺 陷 的，应当以书面形式与企业董事会和经理层沟通，提醒企 业加以改进，但无需在内部控制审计报告中说明。 l（三）注册会计师认为非财务报告内部控制缺陷为 重大缺 陷 的，应当以书面形式与企业董事会和经理层沟通，提醒企 业加以改进；同时应当在内部控制审计报告中增加非财务报 告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现 相关控制目标的影响程度进行披露，提示内部控制审计报告 使用者注意相关风险。 8.2内部控制审计 * 46 四、在企业内部控制自我评价基准日并不存在、但在该基准 日之后至审计报告日之前（ 简称期后期间 ）内部控制可能发 生变化，或出