公司内部控制体系评价指引

公司内部控制体系评价指引经财政部与证监会审查，在沪深两市的上市公司中，公开披露内部控制评价报告的公司占比93.11%。各行政事业单位与国企也逐渐建立起自身的内部控制体系，当内控体系运行了一段时间或到达某个时间节点时，必须出具内部控制评价报告，对企业内部控制的有效性进行评价。内部控制有效性是指企业建立与实施内部控制、能够合理保证实现控制目标的程度。包括内部控制设计和运行的有效性。1.评价意义内部控制评价有助于企业自我完善内部控制体系；内部控制评价有助于提升企业市场形成和公众认可度；内部控制评价有助于实现与政府监管的协调互动。2

分类和频次公司内部控制评价分为全面评价和专项评价。全面评价是对全部业务进行的评价。专项评价是对特定范围的内控有效性进行评价，是对专业领域、专项工作、特定部门进行的评价。内部控制全面评价至少每年开展一次，一般情况下于每年一季度对上年度内控运行情况进行评价。公司经营业务、经营环境、业务发展状况和实际风险水平等发生变化时，应视具体情况增加评价频次。专项评价根据实际情况适时进行。3

内部控制评价的内容内部环境评价内部环境是内部控制体系建设的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、公司经营目标及整体战略目标的实现，需要从组织架构、发展战略、政策研究、企业党建、内部审计、人力资源、企业文化及社会责任等角度进行详细分析。风险评估机制评价风险评估是及时识别、科学分析和评估影响公司目标实现的各种不确定因素并制定应对策略的过程，是实施内部控制的重要环节。风险评估机制评价主要是对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价，对风险识别及评估技术合理性、适用性进行评价。控制活动评价控制活动是公司根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。包括评价是否按照内控指引的要求建立内部控制体系；是否有效地组织开展内部控制相关的各项日常工作，工作质量如何；是否按照现有的制度程序要求对各项业务流程中的控制点实施有效控制，实施证据是否保存完整，真实可查等。信息与沟通评价信息与沟通能够保障公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通，以促使职责的履行。在组织开展信息与沟通评价时，应当对信息收集、处理和和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内部控制的有效性等进行认定和评价。内部监督评价内部监督是对公司内部控制建立与实施情况进行监督检查，评价内部控制有效性并及时加以改进的过程。在对公司内部监督进行评价时，应以内部控制规范、内控手册中的内部监督的过程及整改措施为依据，结合内部控制制度，对内部监督机制的有效性进行认定和评价。4

内部控制评价的程序及方法内部控制评价程序内部控制评价的一般程序包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。内部控制评价方法内部控制评价的常用技术方法包括：个别访谈法、调查问卷法、专题讨论法、穿行测试法、实地查验法、比较分析法、抽样法等。这七种方法是内部控制自我评价的基本评价方法，可以选择运用其中的一种或几种，也可以选择其他方法。5

内部控制缺陷认定内部控制缺陷是内部控制制度的建立或者执行没有达到预期标准，内部控制制度无法为企业内部控制目标实现提供合理的保证。内部控制缺陷分类按照缺陷产生环节分类，分为设计缺陷和运行缺陷。按照缺陷重要性程度分类，分为重大缺陷、重要缺陷和一般缺陷。重要性取决于控制是否存在无法避免控制目标偏离的因素和这些因素导致的缺陷与目标偏离程度的直接因果关系。按照缺陷与财务报告呈现的关系，分为财务报告内部控制缺陷和非财务报告内部控制缺陷。内部控制缺陷识别的方法定量分析法。通过评估内部控制缺陷可能导致财务报表错报的影响程度进行定量判断。定性分析法。在企业实际运营中，可能被认定为重大缺陷的情形包括：三重一大的审批权限和审批程序不规范；安全生产管控措施不到位、责任不落实；招投标程序或者定价机制不规范；产品生产和检验程序存在漏洞；内部信息管理不严格，信息系统运行维护和安全措施落实不到位等。内部控制缺陷认定与报告评价工作组对评价结果进行审核确认，编制内控缺陷认定汇总表，综合分析和全面复核内控缺陷及成因、表现形式和影响程度，提出内控缺陷认定意见，向管理层报告。内部控制缺陷整改评价工作组对发现的内部控制缺陷提出整改建议，整改责任主体制定切实可行的整改方案，按要求及时整改，并将内部控制评价结果及整改情况纳入公司绩效考核体系。对造成损失或负面影响的，应追究有关责任主体或相关人员责任。6

内部控制评价报告公司根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等材料，按照规定的程序和要求编制年度《内部控制自我评价报告》，经内部控制工作领导组和管理层审议通过后对外披露。内部控制评价报告的参考格式如下：XX公司20xx年内部控制评价报告根据《企业内部控制基本规范》等法律法规的要求，我们对本公司截止20XX年12月31日的内部控制的有效性进行了自我评价。现将情况报告如下：一、公司声明二、内部控制评价工作的总体情况1.授权**部负责内部控制评价的具体组织实施工作，对纳入评价范围的高风险领域和单位进行评价[描述评价工作的组织领导体制，一般包括评价工作组织结构图、主要负责人及汇报途径等]。2.[是/否]聘请了专业机构[中介机构名称]提供内部控制咨询服务/协助开展内部控制评价工作/进行独立审计。三、内部控制评价的依据《企业内部控制基本规范》《企业内部控制评价指引》四、内部控制评价的范围纳入评价范围的业务事项包括：组织架构、发展战略、政策研究、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、工程项目……上述业务和事项的内部控制涵盖了公司经营管理的主要方面，不存在重大遗漏。五、内部控制评价的程序和方法（描述公司开展内部控制评价工作的基本流程）。评价过程中，我们采用了**、**等适当方法，广泛收集内部控制设计和运行是否有效的证据，如实填写了内部控制自我评价工作底稿。六、内部控制缺陷认定1、缺陷认定标准：[描述内部控制缺陷的定性及定量标准]2、根据上述认定标准，我们发现报告期内存在X个缺陷，其中重大缺陷X个，重要缺陷X个。重大缺陷分别为：[对重大缺陷进行描述，并说明其对实现相关控制目标的影响程度]。七、内部控制缺陷的整改情况经过整改，公司在报告期末仍存在X个缺陷，其中重大缺陷X个，重要缺陷X个。重大缺陷分别为：[对重大缺陷进行描述]。针对报告期末未完成整改的重大缺陷，公司拟进一步采取相应措施加以整改[描述整改措施的具体内容及预期达到的效果]。八、内部控制有效性的结论公司已经根据基本规范、评价指引及其他相关法律法规的要求，对截至20xx年12月31日的内部控制设计与运行的有效性进行了自我评价。（如存在重大缺陷）报告期内，公司在内部控制设计与运行方面存在尚未完成整改的重大缺陷以及可能带来的风险。（如不存在重大缺陷）报告期内，公司对纳入评价范围的业务与事项均已建立了内部控制，并得以有效执行，达到了内部控制的目标