内部控制评价要点.doc

.内部控制评价要点一、内部控制评价的原则 企业对内部控制设计与运行的有效性实施评价，应当遵循下列原则： （一）全面性原则：内部控制评价应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项，对实现控制目标的各个方面进行全面、系统、综合评价。（二）重要性原则： 内部控制评价应当在全面评价的基础上，以风险为导向，根据风险发生的可能性及其对实现控制目标的影响程度，确定需要评价的重要业务单位、重大业务事项和高风险领域。（三）客观性原则：内部控制评价应当结合企业的行业环境、发展阶段、经营规模、业务特点等经营实际，准确揭示经营管理中的风险状况，以事实为依据，如实反映内部控制设计与运行的有效性，确保评价结果有充足且适当的证据支持。二、内部控制评价的内容与核心指标 1、企业内部控制基本规范颁布后，企业内部控制评价有了统一的标准，企业应当根据企业内部控制基本规范、配套指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，并建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。 2、 企业组织开展内部环境评价。应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。3、 企业组织开展风险评估机制评价。应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。4、企业组织开展控制活动评价。应当以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。5、 企业组织开展信息与沟通评价。应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。6、企业组织开展内部监督评价。应当以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常监控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。7、内部控制评价工作应当形成工作底稿。详细记录企业执行评价工作的内容，包括评价要素、关键风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。三、内部控制评价的程序 一般程序为：设置内部控制评价部门、制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。（一）设置内部控制评价部门1、能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力。2、具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养。3、与企业其他职能机构就监督与评价内部控制系统保持沟通协调，在工作中相互配合、相互制约，在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求。4、能够得到企业董事会和经理层的支持，有足够的权威性来保证内部控制评价工作的顺利开展。（二）制定评价工作方案1、内部控制评价部门应当根据企业实际情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，制定科学合理的评价工作方案，经董事会批准后实施。2、评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。（三）组成评价工作组1、 评价工作组在内部控制评价部门领导下，具体承担内部控制检查评价任务。2、内部控制评价部门根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员，组成评价工作组，具体实施内部控制评价工作。3、评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。4、实施评价工作前，评价人员需要接受相关培训，培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利义务、纪律要求及评价中需重点关注的问题等。（四）实施现场测试1、了解被评价单位基本情况。2、确定检查评价范围和重点。3、开展现场检查测试。4、编制现场评价报告。5、提交现场评价结论。（五）汇总评价结果1、对于认定的内部控制缺陷，内部控制评价部门应当提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，企业应当追究相关人员的责任。（六）编报评价报告1、 内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送企业 经理层、董事会和监事会，由董事会最终审定后对外披露或以其他形式加以合理利用。四、内部控制评价的方法 企业在开展内部控制检查评价工作过程中，应当根据评价内容和被评价单位具体情况，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析、审阅与检查等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据。五、内部控制缺陷认定（一）内部控制缺陷的定义：内部控制缺陷是评价内部控制有效性的负向维度，如果内部控制的设计或运行无法合理保证内部控制目标的实现，即意味着存在内部控制缺陷。（二）内部控制缺陷的分类：按照不同的分类方式可分为： 1、设计缺陷和运行缺陷：内部控制缺陷按其成因分为设计缺陷和运行缺陷。（1）设计缺陷是指内部控制设计不科学、不适当，即使正常运行也难以实现控制目标。（2）运行缺陷是指内部控制设计比较科学、适当，但在实际运行过程中没有严格按照设计意图执行，导致内部控制运行与设计相脱节，未能有效实施控制、实现控制目标。2、财务报告内部控制缺陷和非财务报告内部控制缺陷：内部控制缺陷按其表现形式分为财务报告内部控制缺陷和非财务报告内部控制缺陷。（1）财务报告内部控制缺陷是指在会计确认、计量、记录和报告过程中出现的，对财务报告的真实性和完整性产生直接影响的控制缺陷， 一般可分为财务（会计）报表缺陷、会计基础工作缺陷和与财务报告密切关联的信息系统控制缺陷等。（2）非财务报告内部控制缺陷是指虽不直接影响财务报告的真实性和完整性，但对企业经营管理的合法合规、资产安全、营运的效率和效果等控制目标的实现存在不利影响的其他控制缺陷。3、内部控制缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。（1）重大缺陷是指一个或多个控制缺陷的组合，可能严重影响企业内部控制的有效性，进而导致企业无法及时防范或发现严重偏离控制目标的情形。 （2）重要缺陷是指一个或多个控制缺陷的组合，其严重程度虽低于重大缺陷，但仍有较大可能导致企业无法及时防范或发现偏离控制目标的情形，须引起企业重视和关注。（3）一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。 （三）财务报告内部控制缺陷的认定标准（1）重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报，就应将该缺陷认定为重大缺陷。（2）重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报，就应将该缺陷认定为重要缺陷（3）一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷，应认定为一般缺。【案例1】A股份公司将财务报告内部控制缺陷分为影响会计报表缺陷、会计基础缺陷和财务报告相关信息系统控制缺陷。1、影响会计报表缺陷的计算方法（1）按照业务发生频率高低及相关会计科目的重要性确定抽取样本数量。如样本量不足以证明控制有效性，检查人员可以重复测试和增加样本量。业务发生频率与样本抽取数量对照关系见表。 序号 业务发生频率 至少抽样数量 1 每年一次 1笔 2 每年一次以上至每季度一次 2笔 3 每季度一次以上至每月一次 2笔 4 每月一次以上至每周一次 5笔 5 每周一次以上至每天一次 15笔 6 每天多次 25笔（2）计算记录错报样本情况。将错报样本序号、错报样本数量和错报样本的有关情况等在财务报告相关控制点抽样记录表的相应栏目中填列和说明。（3）计算潜在错报金额。 根据控制点错报样本数量和抽取样本总量，在潜在错报率表中查找对应的潜在错报率；根据潜在错报率和相应会计科目同向累积发生额，计算控制点潜在错报金额。其计算公式如下：潜在错报金额=相应会计科目同向累积发生额X潜在错报率潜在错报率、潜在错报金额在财务报告相关控制点抽样记录表相应栏目中填列。业务流程财务报告相关控制点潜在错报金额合计内部控制缺陷认定汇总表相应栏目中填列。（4）计算错报指标。根据被检查单位适用业务流程潜在错报金额合计，分别按照被评价分（子）公司和股份公司两种口径计算错报指标：错报指标1=潜在错报金额合计/被评价分（子）公司当期主营业务收入与期末资产总额孰高错报指标2=潜在错报金额共计/公司当期主营业务收入（5）影响会计报表缺陷认定等级。一般缺陷：错报指标1 1 ，且错报指标2 1。重要缺陷： 1 错报指标2 5 。重大缺陷：错报指标2 5 。影响会计报表缺陷认定结果在内部控制缺陷认定汇总表的相应栏目中填列例如，A公司在2008年度对B分公司的内部控制检查中发现，固定资产实物管理部门在审批修理费时，将整套设备作为修理费材料入账。解析：B分公司内部控制程序失效，未恰当划分资本性支出与收益性支出。按照业务发生频率抽取样本量、潜在错报率对照表及影响会计科目同向累积发生金额计算，影响“管理费修理费-一般材料”科目潜在错报金额为3514.76万元。计算得出，错报指标分别为：错报指标1=1.4 ，错报指标2=0.06 ，因此，认定B分公司影响会计报表缺陷为一般缺陷，但不认定为A公司的内部控制缺陷。2、会计基础缺陷：评价工作组对评价工作底稿情况进行汇总，对符合会计基础缺陷的填写在内部控制缺陷认定汇总表中。例如，A公司在2008年度对C公司的内部控制检查中发现，C公司会计凭证按照“谁做账、谁保管”的原则装订、保管，多张记账凭证没有附件，甚至有的记账凭证找不到。解析：C公司未按照会计基础工作规范的要求统一装订、保管记账凭证，使得凭证不连号，而且存在原始凭证替换、丢失的风险，认定为会计基础缺陷。3、财务报告相关信息系统控制缺陷评价工作组对评价工作底稿情况进行汇总，对符合财务报告相关信息系统控制缺陷的填写在内部控制缺陷认定汇总表中。例如，A公司在2008年度对D分公司的内部控制检查中发现，其应用管理员、系统管理员、安全管理员未进行分离，且个别管理员在生产系统中同时拥有业务操作权限及开发权限，出现恶意篡改数据的事件。解析：D公司内部控制程序失效，未严格执行系统安全员、系统管理员、应用系统管理员等角色设置的不相容岗位（职务）分离，认定为财务报告相关的系统控制缺陷。2、非财务报告内部控制缺陷的认定标准：当有确凿证据表明企业在评价期末存在下列情形之一时，通常应认定为内部控制重大缺陷：【重点】（1）企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见；（2）企业审计委员会和内部审计机构未能有效发挥监督职能；（3）企业董事、监事和高级管理人员已经或者涉嫌舞弊，或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响；（4）企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故，给企业造成重要损失和不利影响，或者遭受重大行政监管处罚。上述控制缺陷如果对企业财务报表的真实可靠性产生影响，则为财务报告内部控制重大缺陷；如果不影响财务报表的真实可靠，则为非财务报告内部控制重大缺陷。（三）内部控制缺陷的报告和整改 1、内部控制缺陷报告 内部控制缺陷报告应当采取书面形式。 对于一般缺陷和重要缺陷，通常向企业经理层报告，并视情况考虑是否需要向董事会及其审计委员会、监事会报告；对于重大缺陷，应当及时向董事会及其审计委员会、监事会和经理层报告。 企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限，一般缺陷、重要缺陷应定期报告，重大缺陷即时报告。 2、内部控制缺陷整改 企业对于认定的内部控制缺陷，应当制定内部控制缺陷整改方案，按规定权限和程序审批后执行，即明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。 对于认定的重大缺陷，还应及时采取应对策略，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。董事会应负责重大缺陷的整改，接受监事会的监督。 经理层负责重要缺陷的整改，接受董事会的监督。 内部有关单位负责一般缺陷的整改，接受经理层的监督。六、内部控制评价报告（一）内部控制评价报告的内容1、董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责。2、内部控制评价工作的总体情况，即概要说明。3、内部控制评价的依据，一般指内部控制基本规范、评价指引及企业在此基础上制定的评价办法。4、内部控制评价范围，描述内部控制评价涵盖的被评价单位，以及纳入评价范围的业务事项。5、内部控制评价的程序和方法。6、内部控制缺陷及其认定情况，主要描述适用于企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷7、内部控制缺陷整改情况及重大缺陷拟采取的整改措施。8、内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效性结论，对存在重大缺陷的情形，不得做出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其实现相关控制目标的重要程度。（二）内部控制评价报告的编制1、编制时间。内部控制评价报告按照编制时间的不同，分为定期报告和不定期报告。 定期报告是指企业至少每年进行一次内部控制评价工作，编制评价报告，并由董事会对外发布或以其他方式加以合理利用。年度内部控制评价报告以12月31日作为基准日 不定期报告是指企业处于特定目的或针对特定事项而临时开展内部控制评价工作并编制评价报告。不定期报告的编制时间和编制频率由企业根据实际情况确定。2、编制主体。内部控制评价报告的编制主体包括单个企业和企业集团的母公司3、编制程序。内部控制评价部门对工作底稿进行复核，根据认定并按照规定的权限和程序审批确定的内部控制缺陷，判断内部控制的有效性。（1）内部控制报告上报经理层审核、董事会审批确定。【案例4】SX制药股份有限公司2011年度内部控制评价报告2012年3月23日SX制药股份有限公司对外披露的内部控制评价报告全文如下：SX制药股份有限公司2011年度内部控制评价报告SX制药股份有限公司全体股东： 根据企业内部控制基本规范等法律法规的要求，我们对本公司（以下简称“公司”）内部控制的有效性进行了自我评价。一、董事会声明 公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈述或重大遗漏，并对报告内容的真实性、准确性和完整性承担个别及连带责任。 建立健全并实施内部控制是公司董事会的责任；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导公司内部控制的日常运行。 公司内部控制的目标是：合理保证经营合法合规、资产安全、财务报告及其相关信息真实完整，提高经营效率与效果，促进实现发展战略。由于内部控制存在固有局限性，故仅能对达到上述目标提供合理保证。内部控制的有效性亦可能随公司内外环境及经营情况的改变而改变，公司内部控制设有检查监督机制，内控缺陷一经识别，公司将立即采取整改措施。二、内部控制评价工作的总体情况 2011年，公司成立了内部控制规范领导小组，公司董事会授权公司审计部作为内控规范的牵头部门，负责内部控制评价的具体组织实施工作，联合本公司各部门、各子公司组织实施内部控制评价工作。内部控制评价工作组成员由内审部门和相关职能部门的业务骨干组成。 公司审计部制定评价工作方案，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等因素，对公司内部控制设计与运行全面评价，包括组织实施自我评价、汇总评价结果、编制评价报告等 在评价过程中，评价工作组及时向领导小组汇报评价工作的进展情况，并对评价的初步结果进行沟通讨论。评价工作组编制的内部控制【评价报告经审核后提交董事会。核算内部控制评价报告经董事会会议审议通过后对外披露。 公司聘请XY会计师事务所对公司内部控制有效性进行独立审计。三、内部控制评价的依据 本评价报告旨在根据企业内部控制基本规范（以下简称基本规范）、企业内部控制应用指引（以下简称应用指引）及企业内部控制评价指引（以下简称评价指引）的要求，结合本公司内部控制制度和评价方法，在内部控制日常监督和专项监督的基础上，对公司截至2011年12月31日内部控制的设计与运行的有效性进行评价。四、内部控制评价的范围 内部控制评价的范围涵盖了公司及其所属单位的各种业务和事项，包括：组织架构、发展战略、人力资源政策、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统、关联交易、对子公司控制。上述业务和事项的内部控制涵盖了公司经营管理的主要方面，不存在重大遗漏。自我评价中，我们重点关注公司的国际出口销售业务、国内销售业务、采购业务、资金活动、全面预算及资产管理等高风险领域。五、内部控制评价的程序和方法 公司内部控制评价工作严格遵循评价指引的要求，在分析经营管理过程中的高风险领域和重要业务事项后，制定科学合理的评价工作方案，确定评价方法，并严格逐项。 公司内部控制评价程序主要包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编制评价报告等环节。 在评价过程中，评价工作组综合运用个别访谈、问卷调查、专题讨论、抽样检查、实地查验和比较分析等方法和手段，充分收集公司内部控制设计和运行的有效证据，如实填写评价工作底稿，分析、识别内部控制缺陷。对内部控制设计及运行情况进行定性和定量评价，按照缺陷认定标准，确认评价结果，汇总评价结果后，出具评价结论，编制评价报告。六、内部控制缺陷及其认定 判断内部控制是否存在缺陷的标准不是仅仅看系统是否存在缺点或不足，而是看这种缺点或不足是否阻碍其内部控制目标的实现提供合理保证。 根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷的认定要求。结合公司实际情况，公司研究确定了具体的内部控制缺陷认定标准如下：分类认定方式指标一般缺陷重要缺陷重大缺陷财务报告缺陷定性方法错报金额占资产金额的百分比几乎不可能发生或者导致的错报金额占资产金额的0.5%以下具备合理可能发生或者导致的错报金额占资产金额的0.5%-1%极有可能或者导致的错报金额占资产金额的1%以上企业财务报告损失占资产金额的百分比几乎不可能发生或者造成的损失金额占资产金额的0.5%以下具备合理可能发生或者造成的损失金额占资产金额的0.5%-1%极有可能或者造成的损失金额占资产金额的1%以上定量方法企业日常运行几乎不可能发生或者导致公司个别经营管理活动运转不畅，不会危及其他业务活动，不会影响公司经营目标具备合理可能性生或者导致公司多项经营管理活动运转不畅，但不会影响公司的持续经营具备合理可能性或者导致公司部分经营管理能力丧失，危及公司的持续经营非财务报告缺陷定量方法称为损失几乎不可能发生或者导致轻微的财务损失具备合理可能性或者导致中等的财务损失具备合理可能性或者导致重大的财务损失企业声誉几乎不可能发生或者导致负面信息在当地局部流传，对企业声誉造成轻微损害具备合理可能性或者负面信息在某些领域流传，对企业声誉造成中度损害具备合理可能性或者导致方面信息在全国流传，对企业声誉造成重大损害根据上述认定标准，结合日常监督和专项监督情况，我们评价中发现报告期内存在一项重大缺陷，即子公司SX医药贸易公司（以下