企业内部控制评价指引(一)

企业内部控制评价指引(一) | 楼主 | 2017-07-18 09:22:52 共有3个回复
  1. 1企业内部控制评价指引(一)
  2. 2第一节企业内部控制评价指引的概念
  3. 3财政部企业内部控制评价指引(征求意见稿)

第一章附件企业内部控制评价指引,机构对内部控制的有效性进行全面评价形成评价结论出具评价报,评价工作应当包括内部控制的设计与运行,要业务单位重大业务事项和高风险领域。

企业内部控制评价指引(一)2017-07-18 09:21:30 | #1楼回目录

第一章附件2:企业内部控制评价指引

范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法

规和《企业内部控制基本规范》,制定本指引。

第二条本指引所称内部控制评价,是指企业董事会或类似权力

机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报

告的过程。

第三条企业实施内部控制评价至少应当遵循下列原则:

(一)全面性原则。评价工作应当包括内部控制的设计与运行,

涵盖企业及其所属单位的各种业务和事项。

(二)重要性原则。评价工作应当在全面评价的基础上,关注重

要业务单位、重大业务事项和高风险领域。

(三)客观性原则。评价工作应当准确地揭示经营管理的风险状

况,如实反映内部控制设计与运行的有效性。

第四条企业应当根据本评价指引,结合内部控制设计与运行的

实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、

程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责

任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。

1第一条为了促进企业全面评价内部控制的设计与运行情况,规总则

及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信

息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部

控制设计与运行情况进行全面评价。

第六条企业组织开展内部环境评价,应当以组织架构、发展战

略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业

的内部控制制度,对内部环境的设计及实际运行情况进行认定和评

价。

第七条企业组织开展风险评估机制评价,应当以《企业内部控

制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风

险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风

险识别、风险分析、应对策略等进行认定和评价。

第八条企业组织开展控制活动评价,应当以《企业内部控制基

本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控

制制度,对相关控制措施的设计和运行情况进行认定和评价。

第九条企业组织开展信息与沟通评价,应当以内部信息传递、

财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制

制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财

务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控

2企业董事会应当对内部控制评价报告的真实性负责。第二章内部控制评价的内容第五条企业应当根据《企业内部控制基本规范》、应用指引以

制的有效性等进行认定和评价。

第十条企业组织开展内部监督评价,应当以《企业内部控制基

本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的

规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性

进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是

否在内部控制设计和运行中有效发挥监督作用。

第十一条内部控制评价工作应当形成工作底稿,详细记录企业

执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、

有关证据资料以及认定结果等。

评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第三章内部控制评价的程序

第十二条企业应当按照内部控制评价办法规定的程序,有序开

展内部控制评价工作。

内部控制评价程序一般包括:制定评价工作方案、组成评价工作

组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等

环节。

企业可以授权内部审计部门或专门机构(以下简称内部控制评价

部门)负责内部控制评价的具体组织实施工作。

第十三条企业内部控制评价部门应当拟订评价工作方案,明确

评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,

报经董事会或其授权机构审批后实施。

3

组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组

应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成

员对本部门的内部控制评价工作应当实行回避制度。

企业可以委托中介机构实施内部控制评价。为企业提供内部控制

审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服

务。

第十五条内部控制评价工作组应当对被评价单位进行现场测

试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、

抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是

否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究

分析内部控制缺陷。

第四章内部控制缺陷的认定

第十六条内部控制缺陷包括设计缺陷和运行缺陷。企业对内部

控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部

控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照

规定的权限和程序进行审核后予以最终认定。

第十七条企业在日常监督、专项监督和年度评价工作中,应当

充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据

现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程

度分为重大缺陷、重要缺陷和一般缺陷。

4第十四条企业内部控制评价部门应当根据经批准的评价方案,

偏离控制目标。

重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济

后果低于重大缺陷,但仍有可能导致企业偏离控制目标。

一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。

重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上

述要求自行确定。

第十八条企业内部控制评价工作组应当建立评价质量交叉复

核制度,评价工作组负责人应当对评价工作底稿进行严格审核,并对

所认定的评价结果签字确认后,提交企业内部控制评价部门。

第十九条企业内部控制评价部门应当编制内部控制缺陷认定

汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进

情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析

和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者

经理层报告。重大缺陷应当由董事会予以最终认定。

企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险

控制在可承受度之内,并追究有关部门或相关人员的责任。

第五章内部控制评价报告

第二十条企业应当根据《企业内部控制基本规范》、应用指引

和本指引,设计内部控制评价报告的种类、格式和内容,明确内部控

制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。

5重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重

控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价

过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关

内容作出披露。

第二十二条内部控制评价报告至少应当披露下列内容:

(一)董事会对内部控制报告真实性的声明。

(二)内部控制评价工作的总体情况。

(三)内部控制评价的依据。

(四)内部控制评价的范围。

(五)内部控制评价的程序和方法。

(六)内部控制缺陷及其认定情况。

(七)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。

(八)内部控制有效性的结论。

第二十三条企业应当根据年度内部控制评价结果,结合内部控

制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要

求,及时编制内部控制评价报告。

第二十四条内部控制评价报告应当报经董事会或类似权力机

构批准后对外披露或报送相关部门。

企业内部控制评价部门应当关注自内部控制评价报告基准日至

内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,

并根据其性质和影响程度对评价结论进行相应调整。

第二十五条企业内部控制审计报告应当与内部控制评价报告6第二十一条内部控制评价报告应当分别内部环境、风险评估、

同时对外披露或报送。

第二十六条企业应当以12月31日作为年度内部控制评价报告

的基准日。

内部控制评价报告应于基准日后4个月内报出。

第二十七条企业应当建立内部控制评价工作档案管理制度。内

部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。

7

第一节企业内部控制评价指引的概念2017-07-18 09:21:58 | #2楼回目录

企业内部控制评价指引

第一节企业内部控制评价指引的概念

一、企业内部控制评价指引的目的及依据

为了促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规和《企业内部控制——基本规范》,制定本指引。

二、企业内部控制评价指引的基本目标及原则

本指引所称内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。企业应当根据本评价指引,结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。

企业实施内部控制评价至少应当遵循下列原则:

(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。

(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。

(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。

三、内部控制评价的重用作用

在企业内部控制实务中,内部控制评价是极为重要的一环。《企业内部控制基本规范》及配套指引,在保持框架大体一致的前提下,立足中国经济、社会、文化及管理的现实,进行了一系列改进,较世界主要市场经济体的通行做法,又有很多适应我国社会主义市场经济发展要求的特色。无论是制度要求的口径和范围,还是具体要素和业务活动的内容及相互关系中均加入了与中国企业相适应的条例。《企业内部控制评价指引》的制定发布,为企业开展内部控制自我评价提供了一个共同遵循的标准,为参与国际竞争的中国企业在内部控制建设方面提供了自律性要求,有利于提高投资者、社会公众乃至国际资本市场对中国企业素质的信任度。

第二节内部控制评价的内容

评价指引对内部控制评价内容的有关规定,是我国内部控制规范体系建设的一大创新。企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。在发达市场经济国家或地区,内部控制评价通行做法是要求企业对与财务报告相关的内部控制有效性进行自我评价。我国内部控制评价指引则在此基础上更进一步,还进一步要求企业根据基本规范、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制有效性进行全面评价,包括财务报告内部控制有效性和非财务报告内部控制有效性。

这一模式从根本上改变了内控制度的执行对下不对上的问题,将内控成为从上至下相互制约的主体,因而得到了国内企业董事长和总会计师的广泛认可和好评。内部控制评价真正抓住了企业“一把手”关心重视的焦点,最大限度地释放了内部控制的作用和效力。

一、内部控制评价——环境

企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。强有力的组织领导体制是内部控制评价工作能否有效实施的基本保证。企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。内部控制评价工作对大多数国内企业而言仍是新生事物,为切实指导企业做好该项工作,评价指引专门就内部控制评价的组织领导体制作出明确要求,具体的要求包括:

1.授权审批

内部控制基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构,负责内部控制评价的具体组织实施工作,即为企业内部控制评价工作的开展设置了专门的职能机构。同时,为了确保内部控制评价机构职能的有效发挥,内部控制基本规范及评价指引要求内部控制评价机构必须具备一定的设置条件:

(1)具有相对独立性。能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;

(2)胜任能力的要求。授权内部审计机构或者其他专门机构应具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;

(3)协调与制约。授权内部审计机构或者其他专门机构与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致,在工作中相互配合、相互制约,在效率上满足企业对内部控制系统进行监督与评价所提出的有关要求;

(4)支持与监督。授权内部审计机构或者其他专门机构能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。

2.职责分工

在设置内部控制评价机构的基础上,还要求企业成立专门的评价工作组,接受内部控制评价机构的领导,具体承担内部控制评价工作的组织。

(1)评价指引要求内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员,组成评价工作组,具体实施内部控制评价工作。

(2)评价工作组成员应当吸收企业内部相关机构熟悉情况的业务骨干参加。实施评价工作前,评价人员需要接受相关培训,培训内容一般包括内部控制专业知识及相关规章制度、评价工作流程、检查评价方法、工作底稿填写要求、缺陷认定标准、评价人员的权利与义务及评价中需重点关注的问题等。通过内部控制职能机构和评价工作组这种矩阵式的组织设置,可以有效促进内部控制评价工作的开展。

二、内部控制评价——风险评估机制

企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。风险评估,作为内部控制的组成部分,与计划、程序或其他管理层认为必要来处理风险的行为是有区别的。这些行为,如同前面所讨论的,是更大范围管理过程的一部分,而非内控系统的组成部分。

与管理风险的行动联系在一起的,是确立程序使管理层能对这些行动的执行和效果予以追踪。例如,企业一项用于防范电脑服务损失风险的措施就是制定一个系统灾难恢复计划。然后实施相应的程序以确保计划

制定和执行适当。内部控制评价就是要评价风险评估是否能将企业所面临的风险因素进行评估,确定必要的风险防范机制。

风险分析并非只是理论上的。它通常对企业的成功很重要。当它涵盖了所有重大业务过程中的风险识别时,最为有效。它可能涉及过程分析,主要依赖方面和关键控制点的识别、确定明晰的职责。有效的过程分析特别关注组织内的横向关联,对例如数据的来源、储存、如何转化为有用信息和谁使用这些信息加以识别确认。大型组织特别需要警惕公司内部和公司之间的交易和主要关联。评价风险评估的的有效性,有助于企业的风险规避与防范。

评估者会重点关注管理层设立目标、风险分析和应对变化的过程,包括它们的联系和与业务活动的相关性。下面所列的是评估者可能会考虑的事项。这一列示并非涵盖了全部,也不是对每个企业都适用;但是,可以作为一个起点。

1.企业层面目标

企业层面目标对企业需要实现什么提供充分广泛声明和指导,且足够明确并直接与本企业相关。

(1)企业层面目标向雇员和董事会传递的有效性。

(2)企业层面目标和企业策略的相关性和一致性。

(3)企业计划和预算与企业层面目标、战略规划和现时条件的一致性。

2.操作层面目标

(1)操作层面目标和企业层面目标以及战略规划之间的联系。

(2)操作层面目标之间的一致性。

(3)操作层面目标与所有重大业务流程的相关性。

(4)操作层面目标的专属性。

(5)与目标相关的资源的充分性。

识别对实现企业层面目标的重要目标(关键成功因素)。各级管理层对制定目标的参与及其对于目标的义务。

三、内部控制评价——控制活动

企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。控制活动包括政策和程序,是人们执行政策的行为,用以保证管理层进行风险管理的必要指示得以执行。控制活动依据与之相关目标的性质可分为三类:经营性,财务报告,或遵循性。虽然一些控制活动仅与某一方面有关,但是控制活动之间常常是相互联系的。根据情况的不同,一项特定的控制活动可能有助于实现企业不止一类的目标。因此,经营控制也可能有助于保证可靠的财务报告,财务报告控制也可能对遵循性目标产生影响。在风险评估同时,管理层为了管理风险,应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位,以有助于确保正确、及时地执行这些行动。

控制活动很大程度上是企业尽力实现其商业目标的过程的一部分。控制活动不单纯出于自身的原因或因为它看上去是“正确的应该”去做的事。在此例中,管理层需要采取步骤以保证销售目标得以实现。控制活动是用于管理目标实现的机制。这些行为可能包括跟踪既定时间段的客户购买历史发展的过程,以及确保报告数据准确性的措施。在此意义上,控制直接进入了管理过程。

必须按照管理层针对企业每项重要业务的既定目标而做出的风险管理的指示,对控制活动进行评估。因此,评估者将考虑控制活动是否与风险评估过程相关,以及它们是否恰当地保证了管理层的指示得以实

施。这种评估将针对每项重大的业务活动,包括对计算机信息系统的一般性控制。评估者将不仅考虑确定的控制活动是否与风险估计过程相关,而且还考虑它们的应用是否正确。

四、内部控制评价——信息与沟通

企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。

评估者会考虑信息和沟通系统对企业需要的恰当性。下面所列出的事项是人们会考虑到的。但列出的并不是全部,也不是对每个企业都适用,然而,这些可以作为一个起点。

(一)信息

(1)获取外部与内部的信息,向管理层提供与确定目标相关的、关于企业业绩的必要的报告。

(2)及时向相应的人提供详细的信息,使他们能有效地行使自己的职责。

(3)与企业的整体战略联系在一起,根据信息系统的战略性计划来发展或修改信息系统,并对企业层面和行为层面的目标作出反应。

(4)管理层对于必要的信息系统的支持要由相应资源——人力和财务——的运用来证明。

(二)沟通

(1)在沟通员工职责与控制责任时的有效性。

(2)为人们报告可疑的不正当行为建立沟通的渠道。

(3)管理层对员工所建议的提高产量、质量以及类似改进的方法的接受性。

(4)贯穿整个企业的充分沟通(比如在采购与生产行为之间),信息的完整性、及时性及信息的充分性足以使人们有效履行其职责。

(5)渠道的开放性与有效性,这些渠道是为了与顾客、供应商以及其它外界来沟通不断变化的顾客需求信息。

(6)外界能够了解企业道德标准的程度。

(7)管理层根据与顾客、供应商、监管者及其它外界的交流而采取的适时恰当的相应措施。

四、内部控制评价——内部监督评价

企业组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

尽管持续性监控程序可以提供关于其他控制要素有效性的重要反馈信息,但经常地对系统的有效性直接进行评估也是十分必要的。这样同时也提供了一个机会来评价持续性监控程序是否有效。在企业内部监督评价中,应关注以下几方面:

(一)范围和频率

由于所控制风险的大小及内部控制在减小风险中的重要性不同,对于内部控制进行评价的范围和频率也不一样。例如,那些致力于重大风险或对减小风险具有重要作用的控制就应经常地进行评价。对整个内部控制系统进行评价并不象对个别控制进行评价那样频繁,它主要取决于以下几个因素:主要战略及管理层的变更,重大并购或处置,经营活动或财务处理方法的重大变更。当作出决策对企业的内部控制系统进行评价时,应当特别注意每个内部控制要素及其所有的关键活动。此外,控制对于三类目标——经营、财务报告及合规性的侧重点不同,评价范围也将随之不同。

(二)评价主体

评价通常以自我评价的方式进行,即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。例如,一位部门主管应指导本部门内部控制的评价活动。他或她可能亲自评价控制环境因素,然后请部门内负责各种经营活动的人员评价其他要素的有效性。生产经理可能主要关注经营和符合性目标,而部门会计主管可能更重视财务报告目标。然后,所有结果都将由主要执行人审阅。最后,部门的自我评价将与其他部门对其的内控评价一起交由公司的管理层审阅。

评价内部控制是内部审计人员的职责之一,有时,在董事会、高级管理层、子公司及部门主管的特殊要求下,内审人员也会对内控进行评价。同样,在评价内控时,管理层也可利用外部审计人员的工作。在管理层认为必要的时候,也可结合以上两种方式来执行特定的评价程序。

(三)评价程序

对内部控制系统进行评价本身也是一种程序。当方法或技术改变时,这种评价程序也应有一定之规并有一定的内在基矗

评价者须理解企业每项活动及内控系统的每项要素。因此,首先关注系统的运行过程或内控系统的设计是十分有用的。这其中包括同企业职员进行探讨并审阅已有的文件。

评价者需要确定系统实际是如何工作的。已经设计好的特定的操作程序可能因时间的推移而有所变动,抑或不再实施。有时确立了新控制,但描述系统的人却不知道或未将之归入文件。为确定系统实际是如何工作的,可以通过与实施控制或受控制影响的人进行讨论,或通过检查控制执行记录或其他程序的组合来进行。

评价者必须分析内部控制的设计和测试结果。分析必须在已确定的准则的背景下,并结合内控系统是否对既定目标提供了合理保证这一最终目标进行。

五、内部控制评价——工作底稿

内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。

评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

第三节内部控制评价的程序

企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作。

一、制定评价工作方案与组成评价工作组

企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。

企业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务。

二、实施现场测试

内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。

三、内部控制缺陷的认定

企业在日常监督、专项监督和年度评价工作中,应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。关于内部控制缺陷的认定。内部控制缺陷的认定,特别是非财务报告内部控制缺陷的认定,是企业内部控制评价工作中面临的重大挑战之一。

(一)重大缺陷

重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷、重要缺陷和一般缺陷的具体认定标准,由企业根据上述要求自行确定。对于财务报告内部控制缺陷,可由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:

(1)该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;

(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大校

内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。

(二)财务报告内部控制缺陷的认定方法

财务报告内部控制缺陷一般可以通过定量的方式予以确定。相对而言,非财务报告内部控制缺陷的认定很难形成统一的标准,企业可以根据自身的实际情况,参照财务报告内部控制缺陷的认定标准,合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中:定量标准,既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定;定性标准,可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中,对内部控制缺陷的认定,尤其是非财务报告内部控制缺陷的认定作出更具指导性的说明。需要强调的是,为避免企业操纵内部控制评价报告,非财务报告内部控制缺陷认定标准一经确定,必须在不同评价期间保持一致,不得随意变更。

(三)重大缺陷认定与处理

企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。

四、内部控制评价报告

企业应当根据《企业内部控制基本规范》、应用指引和评价指引,设计内部控制评价报告的种类、格式和内容,明确内部控制评价报告编制程序和要求,按照规定的权限报经批准后对外报出。

(一)内部控制评价报告的内容

评价指引专门对内部控制评价报告进行规范,要求企业在评价报告中至少披露以下内容:

(1)董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责;

(2)内部控制评价工作的总体情况,即概要说明;

(3)内部控制评价的依据,一般指基本规范、评价指引及企业在此基础上制定的评价办法;

(4)内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项;

(5)内部控制评价的程序和方法;

(6)内部控制缺陷及其认定情况,主要描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;

(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;

(8)内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

企业应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制内部控制评价报告。

(二)内部控制评价报告的要求

财政部将在内部控制规范讲解中对内部控制评价报告的内容提供进一步指引,包括探索引入使用内部控制评价表,作为对内部控制评价报告的进一步补充。所谓内部控制评价表,就是对评价过程中形成的评价工作底稿的全面整理和综合汇总,是企业对内部控制各构成要素的结论性评估表格,一般由评价内容、业务描述、有效性缺陷、评价记录等栏目组成。通过使用内部控制评价表,可以使不同企业的内部控制评价报告更具可比性,同时也有利于报告使用者阅读和理解。

五、内部控制评价报告的披露或报送

内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

评价指引要求,内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。需要说明的是,评价指引起草工作组在调研过程中发现,部分企业担心内部控制评价报告可能存在信息过度披露问题。财政部等部门已经根据调研反馈意见对应用指引和评价指引进行了调整,此次发布的应用指引和《企业内部控制评价指引》实际上只要求企业对控制缺陷尤其是重大缺陷作出说明,不涉及企业内部其他保密信息,与此同时,在内部控制规范体系的贯彻实施过程中,财政部等部门还将持续关注类似问题,确保在满足法律法规和监管要求的前提下,尽量减少企业负担。

内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。

企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并根据其性质和影响程度对评价结论进行相应调整。

企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。

企业应当以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。

企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。

案例背景:

一、被审计单位基本情况介绍

(一)兰花岗矿务局基本概况

兰花岗矿务局是年产1000万吨煤炭的大型煤炭工业企业。全局现有职工42593人,离退休职工12631人;拥有净资产总额24.08亿元;现有7对生产矿井、2个中央洗煤厂、8个多种经营地面厂、1个基本建设工程处、4所职工医院、2所大中专学校等25个直属单位及16个直属机构。近几年来,该局认真贯彻煤炭部党组提出“以经济效益为中心,扭亏增盈为目标”战略方针,紧密结合企业生产经营实际,坚持企业改革,加强内部管理,促进经济效益不断提高。2001年生产原煤1014.42万吨,实现利润1126万元,结束了连续10年亏损局面。2002年1-5月份累计生产原选煤348.92万吨,生产洗精煤143.40万吨,实现利润1008万元,较煤炭部下达的盈亏考核指村增盈8万元,取得了较好的经济效益。营业收入及应收账款、对外投资两个管理控制子系统的基本情况

(二)营业收入及应收账款管理控制系统

该局营业收入及应收账款管理组织结构以经营局长、副总会计师为龙头,形成了以局运销公司为主要运营实体,企业内部银行为结算中心的销售管理体系体制。全局分设45个二级核算单位,共有财务会计人员974人,其中高级会计师6人,会计师196人,助理会计368人,会计员404人。财务人员中具有高中学历的342人,具有中专学历的406人,具有大学专科以上学历的226人。矿务局运销公司,共有销售人员74人。销售人员中,中高级专业技术人员18人,基本满足销售业务需要。

2000年7月,该局根据市场经济要求,结合本局经营管理实际,对内部运销体制进行了改革,在原煤质运销处的基础上成立了煤炭运销公司,加强了内部银行结算管理。煤炭销售由原来各厂矿分散销售、分散结算,改为由煤炭运销公司统一销售、统一定价、统一铁路运输计划管理、统一货款结算回收的“四统一”和集中资金、集中管理的“两集中”管理体制。运销公司人员由原来的40多人增加到现在的74人。公司设立了三部一室(销售部、调运部、财务部、办公室)和五个办事处(兴州、京州、乐州、高州、和州),选配了5名经理分工负责。为了保证运销公司的正常运作,该局制定了《运销工作考核管理办法》、驼销公司《三部一室考核办法》和《贯彻煤炭部“三不政策”实施细则》,建立和完善了岗们责任制和业务处理规则等适合本企业实际需要的内部控制制度。完善了产品订货办法,加强了订货合同管理,统一协调了铁路运输,严密了产品销售计划,严格了装运数量和质量控制,规范了会计账务处理程序,积极组织清收货款,促进了全局销售目标的实现,收到了一定的效果。通过测试,审计组认为,该局营业收入及应收账款内部控制子系统岗位设置基本合理,系统内部控制点比交恰当,控制目标基本明确,控制措施较得力,基本适应了管理上的需要。

(三)对外投资管理控制系统

截至2002年5月末,该局对外投资总额4316万元。其中,债券投资343.2万元,国库券投资27.2万元,股票投资1873.6万元(其中,华电股票投资1320万元,野洲花渡投资250.6万元,金钢厂股票投资303万元),联营投资4项687.4万元,其他投资5项,投资1384万元。截至2002年5月末,该局账面投资收益1295万元,预计投资损失214.3万元。

通过对外投资内部控制审计,审计组认为,该局对外投资内部控制子系统基本空白;控制制度不健全,岗位设置不明确,无系统内部控制点和控制目标及控制措施,造成对外投资失控。

二、审计过程及情况

根据审计计划的时间安排,以许小春处长为组长的10人审计组,于2002年6月27日进驻被审计单位。在实施审计过程中,审计组运用调查问卷和按流程图进行穿行测试、查询、重点检查、实地盘存、实地观察等方法,对该局本部及其所属的销售公司、顺庄矿、七里凹矿营业收入及应收账款和对外投资管理内部控制系统的健全性、符合性进行了测试,找出了企业内部控制制度上的薄弱环节和控制流程图上的关键失控点,发现了一些深层次管理上存在的问题。

(一)营业收入及应收账款管理控制系统存在的问题

1.营业收入管理控制系统存在的问题。该局在企业管理实践中,建立了一系列营业收入及应收账款管理制度。但按照企业内部控制的要求,企业营业收入管理及应收账款控制系统仍存在着弱点。

(1)应收账款内部控制制度不健全。经过问卷调查发现,该局在应收账款内控制度中未明确规定,记录应收账款时应有销售部门核准的发票记账联作附件;未规定由独立人员定期检查核对一级账户和明细分类账户余额;未规定定期将应收账款余额核对表寄交客户认可;未规定编制应收账款余额核对表的人员应同登记应收账款明细账的人员岗位分离。

(2)产品销售内部控制制度不健全。经过问卷调查发现,该局在产品销售内部控制制度中未明确规定,开票人所开列的发票内容应受到其他人员复核;未规定对保贸的发票由独立于发运货物和开单的人员定期复核。

2.营业收入管理控制系统存在的问题。

(1)煤炭销售合同管理控制点存在缺陷。经抽查,局运销公司对2001年签订的135份合同,未按规定对订货合同进行内部审计签证,也未对合同进行编号管理。有48份订货合同内容不完备,其中未明确违约责任的有16份;无委托代理人签字的合同8份;未标明质量指标的6份;未加盖合同专用章的1份;未标明价格的10份;无购货方法定代理人签字的7份。特别是该局与X省燃料公司签订的2001年煤炭购销合同,只填写了数量,没有具体的发货结算单位、供货品种、单价和结算方式以及违约处理条款。经调查确认,该合同实际上是为了避免运力损失而签订的虚假合同。

(2)应收账款管理存在失控点。

第一,《煤炭产品发运通知单》控制点失控。通过对运销公司2002年5月134#、196#和208#记账凭证记录业务所进行的“穿行测试”,发现该公司在对用户资信审查和发运通知单两个控制点上失控。按煤炭部“三不政策”规定,发运部门发出煤炭产品,必须在接到由销售部门和财务部门共同填制的《煤炭产品发运通知单》后才能发货,但该局目前尚未严格执行上述规定,造成该公司2002年1-5月末应收账款回收率仅为42.43%,其中,当年发出货款回收率为65.95%,致使文书局2002年5月末应收账款余额高达81714万元,比2001年底上升了4948万元。

第二,应收账款清理控制点存在不足。经查,2002年5月末,运销公司应收账款在3年以上的共55户,计4163.50万元。其中,4年以上应收账款共42户,计1027.94万元。

第三,清欠收回以物顶账物资账务处理存在不足。经查,运销公司2001年12月—2002年4月,在清收货款中,共以物顶账收回各种物资2002.50万元,其中,2001年12月前收回物资1832.50万元,未按规定作物资入库存和增加存仙账务处理,而在“其他应收款——局清欠办户”挂账;2002年1-4月清回顶账物资170万元,未作任何账务处理。2002年4月该局以物顶账物资166.8万元偿还其他单位欠款,将以

物顶账设备88万元转给三矿自用,计254.80万元,均未按规定作账务处理。现尚余以物顶账物资1747.64万元,挂“其他应收款——局清欠办户”,未作增加存货或资产处理。

(3)煤炭装车发运管理控制点存在不足。经抽查,顺庄矿2002年4月铁路入洗煤计量单共96张;6月入洗煤炭计量单92张,均无值班科长签字;七里凹矿2002年1-6月煤运计量表、作业表共387张,均无驻站员审核签字。

(4)基层采区销售煤炭控制存在不足。经查,七里凹煤矿基层采区对外销煤炭不符合该局“四统一,两集中”的销售管理体制,而且销售煤炭管理手续不健全、不严密。该矿一采区对外销售煤炭,无销售台账和装车记录备查联,矿销售科也未经审核,仅依据采区报送结算明细表直接登记台账及产、销、存月报表。该采区对应收账款清收不力,2002年5月采区应收煤款高达425.12万元。

(5)销售成本结转账务处理存在不足。经查,顺庄矿2002年5月账面库存86128吨,经盘点实际库存为117026吨,涨吨30898吨,造成期末库存成本多结转266万元,致使该矿2002年1-5月份少实现利润266万元,盈亏不实。

(二)对外投资管理失去控制

1.投资立项缺乏可行性研究,投资项目立项依据不足,投产后经济效益差。经查,该局截至202年5月末,累计对外投资6万元,普遍没有对投资项目进行可行性研究。如1998年6月购买华电股票2200万股,投资额2640万元,立项时均没有可行性报告。由于缺乏对项目的专题研究和专家论证,项目投产后,经济效益差,造成投资项目收益低,有的项目甚至发生亏损。如1999年4月向黑金煤炭联运公司投资仅凭一个运销处的请示报告,就投资了65万元。该项目由于市场变化,联营单位经营困难,2002年6月解本,预计造成投资损失40万元。

2.立项审批缺乏科学的决策程序。经查阅该局局务会议记录,没有发现该局对项目投资和立项决策专题的集体讨论记录,有的项目只是在某个会议上进行过通报,没有认真细致地对每个投资项目的可行性和效益性进行决策。如认购华电股份2200万股、投资2640万元和转让华电股份1100万股、金额1320万元这样的重大事项,没有任何认购和转让股份报告,也没有任何会议集体讨论决策,财务部门仅凭一张有局领导签字的便条或一份草签协议,就投资2640万元认购2200万股和将1320万元的股金转出。由于决策时考虑不周、决策不明,不仅造成414万元的股金至今不到及时收回,利息损失39万元,而且在转让股份时,对本局持股一年的股票收益归属不明确,使该局股票投资收益损失135.万元。

3.缺乏对投资项目的管理监控。对外投资项目没有具体的项目管理部门,职能处室分工不明确,项目资金没有列入当期的资金计划,计划部门也没有对投资项目实施计划管理和监督。

4.对外投资合同管理失控。从检查的情况看,多数项目没有签约。有的项目虽然签了协议,但未按规定对投资合同进行内部审计签证和进行企业内部法律部门的审核,造成有的合同条款缺乏相应的法律依据,不具备法律效力。在执行协议过程中,对方不履行协议,厂方也不积极追究,没有利用法律手段来维护自身的利益,给企业造成损失。如华电股票转让给黄口市线材厂,按协议规定黄口市线材厂应返还现款435.2万元,但对方只返还了180万元,造成违约,厂方也未追究,所欠款项未追回。

5.在会计核算方面存在弱点。虽然建立了相应的会计核算制度,但由于该局有关部门之间业务脱节,给核算工作带来不便,造成财务部门对外投资和投资效益管理和监督缺乏控制,投资项目的运作情况不能及时反馈到决策层。

6.对项目管理监督失控。该局从资金的投入,到部分投资收益的取得,整个运行过程中,没有严格的管理制度和内部审计监督制度;矿务局内部审计部门,没有按规定对投资项目的前期准备、投资管理、收益分

配进行内部审计监督,使对外投资项目运营管理失去控制;对外投资收益仅凭银行转来的投资收益汇款凭证作账务处理,对项目投资收益的构成、计算依据和董事会决议不认真了解,难以确认投资收益分配的真实性和投资的效益性,不能有效地维护企业对外投资利益。

财政部企业内部控制评价指引(征求意见稿)2017-07-18 09:22:21 | #3楼回目录

企业内部控制评价指引

(征求意见稿)

第一章总则

第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。

第二条本指引适用于中华人民共和国境内设立的大中型企业。

第三条本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。

内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。

第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。

第五条企业实施内部控制评价,应当遵循下列原则:

(一)风险导向原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

(二)一致性原则。内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。

(三)公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。

(四)独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。

(五)成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。

第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。

第八条企业内部控制评价,一般包括年度评价和专项评价。年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。

第二章内部控制评价的内容和标准

第九条企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。

第十条企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。

内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。

第十一条应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。

一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。

应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。

第十二条企业应当根据《企业内部控制基本规范》及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。

第十三条企业集团对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:

(一)被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。

(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。

(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。

(四)被评价单位是否开展内部控制自查并上报有关自查报告。

(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。

(六)被评价单位在评价期间是否出现过重大风险事故等。

第三章内部控制评价的程序和方法

第十四条企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。

第十五条内部控制评价机构应当根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容,报管理层和董事会审批。

第十六条内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

第十七条内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行

必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。

第十八条内部控制评估和测试的方法主要包括:

(一)个别访谈法。是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。

(二)调查问卷法。是指企业设臵问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。

(三)比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

(四)标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

(五)穿行测试法。是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。

(六)抽样法。是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。

(七)实地查验法。是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。

(八)重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

(九)专题讨论会法。是指通过召集与业务流程相关的管理人员

就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

第十九条企业应当根据通过评估和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。

证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。

第二十条企业应当根据所收集的证据,判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时,应当充分考虑下列因素:

(一)是否针对风险设臵了合理的细化控制目标。

(二)是否针对细化控制目标设臵了对应的控制活动。

(三)相关控制活动是如何运行的。

(四)相关控制活动是否得到了持续一致的运行。

(五)实施相关控制活动的人员是否具备必需的权限和能力。第二十一条企业应当充分评估下列因素导致内部控制失效的风险:

(一)控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现性控制等。

(二)控制活动的复杂性,通常与企业组织结构、市场环境、经营规模、人员素质等相关。

(三)管理层逾越内部控制的风险。

(四)实施控制活动所需要的职业判断的程度。

(五)控制活动所针对风险事项的性质及其重要性。

(六)一项控制活动对其他控制活动有效性的依赖程度。

第二十二条企业应当及时记录开展内部控制评价工作的方法和程序,并以适当形式妥善保存相关证据。

第二十三条内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会审阅。

第四章内部控制缺陷认定和评价报告

第二十四条企业在内部控制评价中,应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。

(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。

(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

第二十五条企业对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。

存在下列情况之一,企业应当认定内部控制存在设计或运行缺陷:

(一)未实现规定的控制目标。

(二)未执行规定的控制活动。

(三)突破规定的权限。

(四)不能及时提供控制运行有效的相关证据。

第二十六条企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大缺陷)。

重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。

内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。

第二十七条企业判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:

(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。

(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用。

(三)针对同一细化控制目标是否存在其他补偿性控制活动。第二十八条企业应当根据内部控制评价过程中发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。

第二十九条对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形,企业应当认定针对这些整体控制目标的内部控制是有效的。

对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,企业应当认定针对该项整体控制目标的内部控制是无效的。

第三十条对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。

第三十一条企业应当结合年末控制缺陷的整改结果,编制年度内部控制评价报告。

内部控制评价报告至少应当包括下列内容:

(一)内部控制评价的目的和责任主体。

(二)内部控制评价的内容和所依据的标准。

(三)内部控制评价的程序和所采用的方法。

(四)衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。

(五)被评估的内部控制整体目标是否有效的结论。

(六)被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响。

(七)造成重大缺陷的原因及相关责任人。

(八)所有在评估过程中发现的控制缺陷,以及针对这些缺陷的

补救措施及补救措施的实施计划等。

第三十二条企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。

企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。

第三十三条企业应当定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。

第三十四条企业应当将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。

企业对于内部控制评价报告中列示的问题,应当采取适当的措施进行改进,并追究相关人员的责任。

企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。

第五章附则

第三十五条本指引由中华人民共和国财政部会同国务院其他有关部门解释。

第三十六条本指引的实施细则由中华人民共和国财政部会同国务院其他有关部门另行制定。

第三十七条本指引自年月日起施行。

回复帖子
标题:
内容:
相关话题