1、第 八 章 内 部 控 制 评 价 概 论第 八 章 内 部 控 制 评 价 概 论-P P T 文 档 资 料文 档 资 料单击此处添加副标题内容企业内部控制学(第二版)企业内部控制学(第二版)案例引入:常电公司开展内部控制自我评价工作案例引入:常电公司开展内部控制自我评价工作 2009年年1月,江苏常熟发电有限公司(以下简月,江苏常熟发电有限公司(以下简称称“常电公司常电公司”)正在开展内部控制自我评价)正在开展内部控制自我评价工作,此次工作的工作,此次工作的目的目的是为了客观反映企业内是为了客观反映企业内部控制的总体情况,及时发现内部控制的缺陷部控制的总体情况,及时发现内部控制的缺陷和薄
2、弱环节,以达到加强管理、堵塞漏洞目的,和薄弱环节,以达到加强管理、堵塞漏洞目的,从而提高企业的抗风险能力,提高企业的管理从而提高企业的抗风险能力,提高企业的管理水平和经济效益,合理保障职工及股东的利益水平和经济效益,合理保障职工及股东的利益。该公司这次内部控制自我评价的依据为该公司这次内部控制自我评价的依据为企业管企业管治常规守则治常规守则,中国电力制度体系、中国电力,中国电力制度体系、中国电力内部控制手册内部控制手册等。等。评价内容评价内容主要有十八项,主要有十八项,分别为控制环境、风险管理、战略与计划管理、分别为控制环境、风险管理、战略与计划管理、全面预算管理、授权管理控制、人力资源管理、
3、全面预算管理、授权管理控制、人力资源管理、货币资金管理控制、销售与收款管理控制、采购货币资金管理控制、销售与收款管理控制、采购与付款管理控制、燃料管理控制、工程项目管理与付款管理控制、燃料管理控制、工程项目管理控制、对外投资管理控制、筹资控制、固定资产控制、对外投资管理控制、筹资控制、固定资产管理控制、担保业务控制、外币业务管理控制、管理控制、担保业务控制、外币业务管理控制、信息保护和审计监督。信息保护和审计监督。该公司这次内部控制自我评价工作从该公司这次内部控制自我评价工作从10月月10日开日开始,分始,分准备阶段准备阶段、实施阶段实施阶段和和总结阶段总结阶段三个部分三个部分进行实施,预计到
4、进行实施,预计到10月月28日全部结束。日全部结束。自自企业内部控制基本规范企业内部控制基本规范及其配套指引发布及其配套指引发布之后,全国各省、各行业都纷纷争先开展内部控之后,全国各省、各行业都纷纷争先开展内部控制自我评价的培训工作,掀起了一阵制自我评价的培训工作,掀起了一阵内部控制自内部控制自我评价的热潮我评价的热潮。内部控制作为存在于企业内部的。内部控制作为存在于企业内部的一种重要的制度安排,本质上属于企业内部管理一种重要的制度安排,本质上属于企业内部管理制度的一部分。制度的一部分。内部控制自我评价本质上是对内部控制制度本内部控制自我评价本质上是对内部控制制度本身进行监督和控制的必要机制,
5、是完善与优化身进行监督和控制的必要机制,是完善与优化内部控制系统的重要制度安排。那么内部控制系统的重要制度安排。那么什么是内什么是内部控制评价?谁是内部控制评价的主体?内部部控制评价?谁是内部控制评价的主体?内部控制评价的客体是什么?内部控制评价工作应控制评价的客体是什么?内部控制评价工作应该如何开展?内部控制评价工作的最终成果表该如何开展?内部控制评价工作的最终成果表现为什么?现为什么?本章概要第一节第一节 内部控制评价基本理论内部控制评价基本理论第二节第二节 内部控制评价的内容内部控制评价的内容第三节第三节 内部控制评价的程序内部控制评价的程序第四节第四节 内部控制缺陷内部控制缺陷第五节第
6、五节 内部控制评价报告内部控制评价报告第六节第六节 内部控制评价的国际发展内部控制评价的国际发展第八章内部控制评价概述第八章内部控制评价概述第一节内部控制评价基本理论第一节内部控制评价基本理论l实践证明,内部控制评价是内部控制的重要组成实践证明,内部控制评价是内部控制的重要组成内容,与内部控制的设计和实施形成了一个闭合内容,与内部控制的设计和实施形成了一个闭合的有机循环。它对内部控制的合理设计以及有效的有机循环。它对内部控制的合理设计以及有效实施至关重要。如今,世界各国监管当局越来越实施至关重要。如今,世界各国监管当局越来越重视对内部控制评价的规范,内部控制评价在实重视对内部控制评价的规范,内
7、部控制评价在实务中也得到了广泛推广。务中也得到了广泛推广。l我国我国企业内部控制基本规范企业内部控制基本规范第四十六条规定,第四十六条规定,企业应当结合内部监督的情况,定期对内部控制企业应当结合内部监督的情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价的有效性进行自我评价,出具内部控制自我评价报告。报告。一、内部控制评价的概念一、内部控制评价的概念(一)内部控制评价的定义(一)内部控制评价的定义 企业内部控制评价是指企业董事会或类似权力企业内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报
8、告的过程。论、出具评价报告的过程。p从以下从以下三个角度三个角度进行理解:进行理解:u(1)内部控制评价的)内部控制评价的主体主体是董事会或类似权力机构。是董事会或类似权力机构。u(2)内部控制评价的)内部控制评价的对象对象是内部控制的有效性。是内部控制的有效性。u(3)内部控制评价是一个)内部控制评价是一个过程过程。内部控制运行的有效性内部控制设计的有效性 内部控制的有效性,是指企业建立与实施内部控制内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供对实现控制目标提供合理保证合理保证的程度。的程度。内部控制的有效性控制过程控制过程控制目标合规目标内部控制的有效性资产目标内部控制的
9、有效性报告目标内部控制的有效性经营目标内部控制的有效性战略目标内部控制的有效性(二)内部控制评价的内容(二)内部控制评价的内容内部控制评价应紧紧围绕内部控制评价应紧紧围绕内部控制五要素内部控制五要素进行:进行:u(1)内部环境评价)内部环境评价u(2)风险评估评价)风险评估评价u(3)控制活动评价)控制活动评价u(4)信息与沟通评价)信息与沟通评价u(5)内部监督评价)内部监督评价二、内部控制评价的理论基础二、内部控制评价的理论基础(一)控制论与内部控制评价(二)信息论与内部控制评价(三)系统论与内部控制评价企业内部控制学(第二版)117 三、内部控制评价的作用三、内部控制评价的作用 (一一)
10、内部控制评价是提升企业内部控制效果的根本保证内部控制评价是提升企业内部控制效果的根本保证 内部控制评价是对内部控制的设计和运行效果的全面检查。首先,内部控制评价是对内部控制的设计和运行效果的全面检查。首先,需要了解内部控制各要素的详细构成情况,并在此基础上,针对每个需要了解内部控制各要素的详细构成情况,并在此基础上,针对每个要素,进一步了解其实施结果。其次,根据了解记录的情况展开分析要素,进一步了解其实施结果。其次,根据了解记录的情况展开分析评价。由此,通过分析现有内部控制系统,可以发现内部控制制度在评价。由此,通过分析现有内部控制系统,可以发现内部控制制度在多大程度上能够保证控制目标的实现,
11、关键控制点的选择是否契合企多大程度上能够保证控制目标的实现,关键控制点的选择是否契合企业经营业的实际状况;通过与理想模式的比较,明确现行控制与理想业经营业的实际状况;通过与理想模式的比较,明确现行控制与理想模式的差距,分析产生差距的原因及可能造成的后果;最后,通过对模式的差距,分析产生差距的原因及可能造成的后果;最后,通过对内部控制实施结果的分析与记录,可以发现内部控制运行的薄弱环节,内部控制实施结果的分析与记录,可以发现内部控制运行的薄弱环节,准确定位内部控制责任区和责任人。准确定位内部控制责任区和责任人。(二二)内部控制评价是实现内部控制自我完善的主要途径内部控制评价是实现内部控制自我完善
12、的主要途径 任何好的管理制度都必须与特定企业的经营业务相适任何好的管理制度都必须与特定企业的经营业务相适应。内控本质上是动态的、系统的过程,只有通过定期或应。内控本质上是动态的、系统的过程,只有通过定期或不定期的内部控制评价,才能及时发现现有内控制度的缺不定期的内部控制评价,才能及时发现现有内控制度的缺陷,并不断完善、改善内部管理,从而提升企业价值。陷,并不断完善、改善内部管理,从而提升企业价值。(三三)内部控制评价是提高管理层内部控制水平的压力机制内部控制评价是提高管理层内部控制水平的压力机制 任何信息,只要公开就会产生一定的压力,因为信任何信息,只要公开就会产生一定的压力,因为信息公开就意
13、味着接受公众的监督,能够在某种程度上敦息公开就意味着接受公众的监督,能够在某种程度上敦促被监督者不断改进工作,提高工作成效。内部控制评促被监督者不断改进工作,提高工作成效。内部控制评价相关信息的公开同样可以让投资者、债权人、监管机价相关信息的公开同样可以让投资者、债权人、监管机构等就企业内控有没有设计并得到有效执行进行进一步构等就企业内控有没有设计并得到有效执行进行进一步的分析,从而对管理层的绩效进行综合评价。的分析,从而对管理层的绩效进行综合评价。(四四)内部控制评价是促进内部审计职能发挥的基础内部控制评价是促进内部审计职能发挥的基础 前面已谈到,内部审计既是对内部控制的再控制,是前面已谈到
14、,内部审计既是对内部控制的再控制,是其有机组成,同时又有独立的理论和方法体系。两者之间其有机组成,同时又有独立的理论和方法体系。两者之间相互重叠的内容主要体现为内部控制评价。内部控制评价相互重叠的内容主要体现为内部控制评价。内部控制评价和内部审计相互依赖,相互促进。借助内部控制评价结果,和内部审计相互依赖,相互促进。借助内部控制评价结果,可以了解内部控制系统的薄弱环节和高风险领域,更准确可以了解内部控制系统的薄弱环节和高风险领域,更准确的确定审计的范围,审计的重点和采用的审计方法。健全的确定审计的范围,审计的重点和采用的审计方法。健全的内部控制制度还可以保证审计测试的质量。的内部控制制度还可以
15、保证审计测试的质量。(五五)内部控制评价有助于实现与政府监管的协调互动内部控制评价有助于实现与政府监管的协调互动 政府监管部门有权对企业内部控制建立与实施的有效政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事实上,在有关政府部门,比如审计性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内部企业内部控制的有效性,以及企业负责人组织领导内部控制体系建立与实施情况纳入审计范围,并且日益成为控制体系建立与实施情况纳入审计范围,并且日益成为十分重要的
16、一部分。十分重要的一部分。四、内部控制评价的原则四、内部控制评价的原则客观性原则客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。只有在内部控制评价工作方案制订、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。重要性原则一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。全面性原则是指内部控制评价的范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。五、内部控制评
17、价的对象五、内部控制评价的对象是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。内部控制有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制设计的有效性是指现有内部控制按照规定程序得到了正确执行。内部控制运行的有效性六、内部控制评价的组织六、内部控制评价的组织(一)内部控制评价的机构或部门一是独立性,是指能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;二是专业性,是指具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;三是协同性,是指与企业其他职能机构就监督与评价内部控制系统方面应当保持协调
18、一致,在工作中相互配合、相互制约,在效率、效果上满足企业对内部控制系统进行监督与评价所提出的有关要求;四是权威性,是指能够得到企业董事会和经理层的支持,有足够的权威性来保证内部控制评价工作的顺利开展。(二)企业各级组织的职责安排1.董事会。董事会对内部控制评价承担最终的责任。2.经理层。经理层负责组织实施内部控制评价工作。3.内部控制评价机构。4.各专业部门。负责组织本部门的内部控制自查、测试和评价工作5.企业所属单位第二节内部控制评价的内容第二节内部控制评价的内容一、内部控制评价的内容一、内部控制评价的内容内部控制评价的内容内部环境评价应当包括对组织架构、发展战略、人力资源、企业文化、社会责
19、任等方面的评价。风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。控制活动评价应当对企业各类业务的控制措施、流程设计的有效性和运行的有效性进行认定和评价。信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。内部监督评价应当对管理层对于内部监督的基调、监督的有效性以及内部控制缺陷认定是否科学、客观、合理进行评价。二、工作底稿二、工作底稿第三节内部控制评价的程序第三节内部控制评价的程序一、内部控制评价的一般程序一、内部控制评价的一般程序制 制定 定评
20、 评价 价工 工作 作方 方案 案组 组成 成评 评价 价工 工作 作组 组实 实施 施现 现场 场测测试 试汇汇总 总评 评价 价结 结果 果编 编报 报评 评价 价报 报告 告4报报告告反反馈馈和和跟跟踪踪阶阶段段3汇汇总总和和报报告告阶阶段段(1)了了解解被被评评价价单单位位的的基基本本情情况况。(2)确确定定检检查查评评价价范范围围和和重重点点。(3)开开展展现现场场检检查查测测试试。2实实施施阶阶段段(1)制制定定评评价价工工作作方方案案。(2)组组成成评评价价工工作作组组。1准准备备阶阶段段 企业每年应对内部控制进行评价并予以披露。但是企业每年应对内部控制进行评价并予以披露。但是内
21、部控制自我评价的方式、范围、程序和频率,由内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。状况、实际风险水平等自行确定。国家有关法律国家有关法律法规法规另有规定的,从其规定。另有规定的,从其规定。如果内部监督程序无效,或所提供信息不足以说明如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加内部控制评价的频率。内部控制有效,应增加内部控制评价的频率。二、内部控制评价的频率二、内部控制评价的频率三、内部控制评价的方法三、内部控制评价的方法 主要用于了解公司内部控制的现状,
22、在企业层面及业务层面评价的了解阶段经常使用。访谈前,应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈内容。1个别访谈法。主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级的员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等)。2调查问卷法。是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。3穿行测试法。抽样分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其
23、他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。4抽样法。主要针对业务层面评价,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试,如实地盘点某种存货。5实地查验法。是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。6比较分析法。专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。7专题讨论法。第四节内部控制缺陷第四节内部控制缺陷 内内部部控控制制缺缺陷陷是是描描述述内内部部控控制制有有效效性性的的一一个个负负向向的的
24、维维度度。企企业业开开展展内内部部控控制制评评价价,主主要要工工作作内内容容之之一一就就是是要要找找出出内内部部控控制制缺缺陷陷并并有有针针对对性性地地进进行行整整改改。一、内部控制缺陷的分类3按照具体影响内部控制目标的具体表现形式财务报告缺陷非财务报告缺陷。2按照影响企业内部控制目标实现的严重程度重大缺陷重要缺陷一般缺陷1按照内部控制缺陷成因或来源设计缺陷运行缺陷。1按照内部控制缺陷成因或来源设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、
25、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。2按照影响企业内部控制目标实现的严重程度重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。二、内部控制缺陷的认定标准1 1内部控制缺陷的重要性和影响程度内部控制缺陷的重要
26、性和影响程度首先,内部控制评价从属于内部监督,是监督结果的总体体现。其次,在充分利用日常监督与专项监督结果的基础上,至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价,全面地、综合地分析,提出认定意见,报董事会审定;第三,企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。第四,根据具体认定标准认定企业存在的内部控制缺陷,由董事会最终审定。2 2财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准定定义义 财务报告内部控制的缺陷,是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。财财务务报报告告错错报报的的重重要
27、要程程度度取取决决于于两两个个方方面面的的因因素素(1)该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,确定是否具备合理可能性涉及评价人员的职业判断。(2)该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。表明财务报告内部控制可能存在重大缺陷的迹象(1)董事、监事和高级管理人员舞弊;(2)企业更正已公布的财务报告;(3)注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会和内部审计机构对内部控制的监督无效。3 3非财务报告内部控制缺陷的认定标准非财务报告内部
28、控制缺陷的认定标准 非财务报告内部控制是指针对除财务报表目非财务报告内部控制是指针对除财务报表目标之外的其他目标的内部控制,一般包括战略目标之外的其他目标的内部控制,一般包括战略目标、资产安全、经营目标、合规目标等。标、资产安全、经营目标、合规目标等。非财务报告内部控制缺陷认定具有涉及面广、非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的工认定难度大的特点。企业可以根据风险评估的工作,根据自身实际情况、管理现状和发展要求加作,根据自身实际情况、管理现状和发展要求加以细化或补充,合理确定定性和定量的认定标准,以细化或补充,合理确定定性和定量的认定标准,根据影响程度
29、认定为一般缺陷、重要缺陷和重大根据影响程度认定为一般缺陷、重要缺陷和重大缺陷。缺陷。三、内部控制缺陷的报告与整改1 1内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径企业内部控制评价机构应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见(针对财务报告内部控制的缺陷,一般还应当反映缺陷对财务报告的具体影响),并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关
30、部门或相关人员的责任。内内部部控控制制缺缺陷陷报报告告应应当当采采取取书书面面形形式式,可可以以单单独独报报告告,也也可可以以作作为为内内部部控控制制评评价价报报告告的的一一个个重重要要组组成成部部分分。一一般般而而言言,内内部部控控制制的的一一般般缺缺陷陷、重重要要缺缺陷陷应应定定期期(至至少少每每年年)报报告告,重重大大缺缺陷陷应应立立即即报报告告。对对于于重重大大缺缺陷陷和和重重要要缺缺陷陷及及整整改改方方案案,应应向向董董事事会会(审审计计委委员员会会)、监监事事会会或或经经理理层层报报告告并并审审定定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,或存在管
31、理层凌驾于内部控制之上的情形,应当直接向董事会(审计委员会)、监事会报告。对于一般缺陷,可以与企业经理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。2 2内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限企企业业对对于于认认定定的的内内部部控控制制缺缺陷陷,应应当当及及时时采采取取整整改改措措施施,切切实实将将风风险险控控制制在在可可承承受受度度之之内内,并并追追究究有有关关机机构构或或相相关关人人员员的的责责任任。企企业业内内部部控控制制评评价价机机构构应应当当就就发发现现的的内内部部控控制制缺缺陷陷提提出出整整改改建建议议,并并报报经经理理层层、董董事事会会(审审计计委
32、委员员会会)、监监事事会会批批准准。获获批批后后,应应制制定定切切实实可可行行的的整整改改方方案案,包包括括整整改改目目标标、内内容容、步步骤骤、措措施施、方方法法和和期期限限。整整改改期期限限超超过过一一年年的的,整整改改目目标标应应明明确确近近期期和和远远期期目目标标以以及及相相应应的的整整改改工工作作内内容容。第五节内部控制评价报告第五节内部控制评价报告 内部控制评价报告是内部控制评价的最终体现,按照编制主体、报送对象和时间,分为对内报告和对外报告。对外报告的内容、格式等强调符合披露要求,时间具有强制性,对内报告则主要以符合企业董事会、经理层需要为主,编制主体层级更多,内容更加详尽,格式
33、更加多样,时间可以定期或不定期。一、内部控制评价报告的内容一、内部控制评价报告的内容 二、内部控制评价报告的编制和报送二、内部控制评价报告的编制和报送1评评价价报报告告的的编编制制(1)内内部部控控制制评评价价报报告告的的编编制制时时间间。企企业业应应当当根根据据内内部部控控制制评评价价结结果果和和整整改改情情况况,编编制制内内部部控控制制评评价价报报告告。内内部部控控制制评评价价报报告告分分为为定定期期内内部部控控制制评评价价报报告告和和非非定定期期内内部部控控制制评评价价报报告告。企企业业应应该该定定期期进进行行内内部部控控制制评评价价并并发发布布内内部部控控制制评评价价报报告告。(2)内
34、内部部控控制制评评价价报报告告的的编编制制主主体体。内内部部控控制制评评价价报报告告的的编编制制主主体体包包括括单单个个企企业业和和企企业业集集团团的的母母公公司司。2评评价价报报告告的的报报送送三、内部控制评价报告的披露和使用三、内部控制评价报告的披露和使用第六节内部控制评价的国际发展第六节内部控制评价的国际发展企业内部控制学(第二版)119 一、国外内部控制评价的最新发展一、国外内部控制评价的最新发展(一一)内部控制评价的重要性内部控制评价的重要性美国萨奥法案美国萨奥法案 (1)第第103条款规定条款规定,注册会计师需要对管理层财务报告内部控注册会计师需要对管理层财务报告内部控制自我评估进
35、行审核制自我评估进行审核,评价公司的内部控制政策和程序是否包括评价公司的内部控制政策和程序是否包括详细、合理的记录详细、合理的记录,以准确、公允地反映以准确、公允地反映:公司的资产交易和处公司的资产交易和处置情况置情况;内部控制是否合理保证公司对发生的交易活动进行了必内部控制是否合理保证公司对发生的交易活动进行了必要的记录要的记录,以满足财务报告编制符合公认会计原则的要求以满足财务报告编制符合公认会计原则的要求;是否是否合理保证公司的管理层和董事会对公司的收支活动进行了合理合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。授权。(3)第第404条款规定条款规定,所有除投资公司以外的企
36、业所有除投资公司以外的企业,其年报中都其年报中都必须包括必须包括:管理层建立和维护适当内部控制结构和财务报告程管理层建立和维护适当内部控制结构和财务报告程序的责任报告序的责任报告;管理层就公司内部控制结构和财务报告程序的管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价有效性在该财政年度终了出具的评价;注册会计师已就中提注册会计师已就中提到的管理层评价出具了鉴证报告到的管理层评价出具了鉴证报告。(2)第第302条款规定条款规定,公司首席执行官和首席财务官应当对所提公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明交的年度或季度报告签署书面证明,担保所在公司
37、财务报告的真担保所在公司财务报告的真实性以及保证公司拥有完善的内部控制系统实性以及保证公司拥有完善的内部控制系统,能够及时发现并阻能够及时发现并阻止公司欺诈及其他不当行为。止公司欺诈及其他不当行为。(二二)内部控制评价的标准内部控制评价的标准美国美国COSO报告报告 19921992年,美国年,美国COSOCOSO委员会提出了企业内部控制委员会提出了企业内部控制一一整合框架,定义了内控三目标五要素组成的新框架。整合框架,定义了内控三目标五要素组成的新框架。20032003年,年,COSOCOSO委员会在委员会在COSOCOSO报告基础上进行了修订和补报告基础上进行了修订和补充,发布了企业风险管
38、理充,发布了企业风险管理一整合框架。企业风险管一整合框架。企业风险管理理(ERM)(ERM)框架将内部控制的重点转向风险管理,在结构上框架将内部控制的重点转向风险管理,在结构上扩展为四个目标和八个要素。内部控制框架的提出得到了扩展为四个目标和八个要素。内部控制框架的提出得到了许多国家的认可,很多企业开始运用许多国家的认可,很多企业开始运用COSOCOSO框架指导内部框架指导内部控制构建,并将其应用于作为内部控制评价体系的标准。控制构建,并将其应用于作为内部控制评价体系的标准。企业内部控制学(第二版)120(三三)内部控制评价的方法之一内部控制评价的方法之一加拿大加拿大CoCoCoCo委委员会的
39、评估控制指南员会的评估控制指南 1.在目的方面在目的方面 (1)(1)我们清晰地理解了组织的使命和远景吗?我们清晰地理解了组织的使命和远景吗?(2)(2)我们理解了我们的目标以及这些目标如何与组织我们理解了我们的目标以及这些目标如何与组织内的其他目标相协调吗?内的其他目标相协调吗?(3)(3)我们可以获取的信息能够使我们识别和评估风险我们可以获取的信息能够使我们识别和评估风险吗?吗?2.在承诺方面在承诺方面 (1)(1)我们的诚信原则和伦理价值观得到了共享和实施吗?我们的诚信原则和伦理价值观得到了共享和实施吗?(2)(2)根据组织的目标和价值观,员工们公平地获得了回根据组织的目标和价值观,员工
40、们公平地获得了回报吗?报吗?(3)(3)我们清晰地了解我们负责的内容吗?我们清晰地了解我们负责的内容吗?(4)(4)我们清晰地界定了权力和责任吗?我们清晰地界定了权力和责任吗?4.在监督与学习方面在监督与学习方面 3.在能力方面在能力方面 (1)(1)我们有合适的人员、技术、工具和资源吗?我们有合适的人员、技术、工具和资源吗?(2)(2)错误、坏消息和其他信息可以及时地传递给需要错误、坏消息和其他信息可以及时地传递给需要知道的人,而不用担心报复吗?知道的人,而不用担心报复吗?(3)(3)我们的对策与组织的其他部分协调一致吗?我们的对策与组织的其他部分协调一致吗?(l)(l)我们审查内部和外部环
41、境,考虑是否需要对目标我们审查内部和外部环境,考虑是否需要对目标和控制做出改变吗、和控制做出改变吗、(2)(2)我们参考相关目标和指标监控绩效吗?我们参考相关目标和指标监控绩效吗?(3)(3)我们质疑我们目标背后的假设吗?我们质疑我们目标背后的假设吗?(四四)内部控制评价的方法之二内部控制评价的方法之二控制自我评估控制自我评估 1.控制自我评估的含义控制自我评估的含义 2.控制自我评估的特征控制自我评估的特征 3.控制自我评估的构成控制自我评估的构成 (1)前期计划和前期审计工作。前期计划和前期审计工作。(2)组织人们在同一时间或同一地点开会组织人们在同一时间或同一地点开会,甚至包括有利于交流
42、和活动的座甚至包括有利于交流和活动的座位安排位安排(U字形会议桌字形会议桌)和会议设施。和会议设施。(3)安排结构化的议事日程安排结构化的议事日程,以使参加人员检查过程的风险和控制。以使参加人员检查过程的风险和控制。企业内部控制学(第二版)121 (4)可以有选择地聘用一位书记员对各阶段的现场工作进行记录并处可以有选择地聘用一位书记员对各阶段的现场工作进行记录并处理电子投票的技术问题理电子投票的技术问题,以使参加人员可以不记名地发表自己的感想。以使参加人员可以不记名地发表自己的感想。(5)报告和实施行动计划。报告和实施行动计划。4.控制自我评估的主要方法控制自我评估的主要方法 (1)研讨会法。
43、研讨会法。(2)问卷调查法问卷调查法,是一种用于只需简单回答是一种用于只需简单回答“是是/否否”或者或者“有有/无无”的调的调查工具。查工具。(3)管理层分析法是不使用上述两种方法的其他方法。管理层分析法是不使用上述两种方法的其他方法。5.研讨会法的工作形式研讨会法的工作形式 二、我国内部控制评价的发展现状二、我国内部控制评价的发展现状(一一)企业内部控制基本规范企业内部控制基本规范 1.评价主体评价主体 2.评价内容评价内容外部主体外部主体监管部门和注册会计师监管部门和注册会计师内部监督内部监督企业本身,如由审计委员会指导内部审计企业本身,如由审计委员会指导内部审计部门对内控进行评价,监事会
44、行使监督职责部门对内控进行评价,监事会行使监督职责评评价价内容内容内部控制的设计和执行情况内部控制的设计和执行情况 2.评价内容评价内容 1.评价主体评价主体(二二)企业内部控制评价指引企业内部控制评价指引(征求意见稿征求意见稿)内部控制评价指引规定,企业实施内部控制评价,包内部控制评价指引规定,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。所谓内部控括对内部控制设计有效性和运行有效性的评价。所谓内部控制设计有效性是指为实现控制目标所必需的内部控制要素都制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制存在并且设计恰当;
45、内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。内部控制评价指引还指按照规定程序得到了正确执行。内部控制评价指引还指出,当企业运用信息系统加强内部控制时,应当对信息系统出,当企业运用信息系统加强内部控制时,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。应用控制评价。企业内部控制学(第二版)122 3.评价原则评价原则 4.评价信息披露评价信息披露 内部控制评价指引明确了企业内部控制自我评价中的风险导向,内部控制评价指引明确了企业内部控制自我评价中的风险导向,提出了风险导向原则。在确定评价范围时,
46、要求企业以风险评估为基础,提出了风险导向原则。在确定评价范围时,要求企业以风险评估为基础,根据风险发生的可能性和对目标实现的影响程度按照自上而下的原型来根据风险发生的可能性和对目标实现的影响程度按照自上而下的原型来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。在内部控制缺陷认定中,应确定与实现整体控制目标相关的风险,并据在内部控制缺陷认定中,应确定与实现整体控制目标相关的风险,并据此认定和报告内部控制中的缺陷。此认定和报告内部控制中的缺陷。内部控制评价指引规定,在内部控制评价过程中,应该内部控制评价指引规定,在内部控
47、制评价过程中,应该对内部控制缺陷分为设计缺陷和运行缺陷,并分别加以分析。对内部控制缺陷分为设计缺陷和运行缺陷,并分别加以分析。3.评价信息披露评价信息披露 2.评价内容评价内容 1.评价主体评价主体(三三)企业内部控制鉴证指引企业内部控制鉴证指引(征求意见稿征求意见稿)注册会计师注册会计师 将注册会计师执行的企业内部控制鉴证结果界定为对企业与财务报告将注册会计师执行的企业内部控制鉴证结果界定为对企业与财务报告相关的内部控制的有效性进行鉴证,使得内控鉴证内涵过于狭窄。相关的内部控制的有效性进行鉴证,使得内控鉴证内涵过于狭窄。应包含整体的内部控制,而不仅仅局限于与企业与财务报告相关的内应包含整体的
48、内部控制,而不仅仅局限于与企业与财务报告相关的内部控制。部控制。按内按内控控不足严重程度分为缺陷、应关注缺陷和重大缺陷,并单独出不足严重程度分为缺陷、应关注缺陷和重大缺陷,并单独出具内控鉴证报告。具内控鉴证报告。企业内部控制学(第二版)123 1.评价主体评价主体(四四)商业银行内部控制评价试行办法商业银行内部控制评价试行办法银监会及其派出机构组织银监会及其派出机构组织 2.评价内容评价内容 办法规定,商业银行内部控制评价是指对商业银行内办法规定,商业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评
49、估等系统性活动。分析和评估等系统性活动。根据办法的相关条款,可以得出监管当局的监管思根据办法的相关条款,可以得出监管当局的监管思路:重结果监管,但更重过程监管。这一思路一方面秉承了路:重结果监管,但更重过程监管。这一思路一方面秉承了监管当局的内部控制指导思想,即商业银行必须树立监管当局的内部控制指导思想,即商业银行必须树立“基于基于过程的风险控制过程的风险控制”,另一方面,办法第八条提出:内部,另一方面,办法第八条提出:内部控制评价应从充分性、合规性、有效性和适宜性等控制评价应从充分性、合规性、有效性和适宜性等4 4个方面个方面进行。过程和风险是否已被充分识别;过程和风险的控进行。过程和风险是
50、否已被充分识别;过程和风险的控制措施是否遵循相关要求,是否有明确规定并得以实施郓保制措施是否遵循相关要求,是否有明确规定并得以实施郓保持;控制措施是否有效;控制措施是否同的评价方法和持;控制措施是否有效;控制措施是否同的评价方法和评价标准分别开展评价。评价标准分别开展评价。三、什么是内部控制审计评价三、什么是内部控制审计评价 3.评价标准评价标准 定量标准定量标准1010项分析指标项分析指标规定规定内容摘要内容摘要出台日期出台日期生效日期生效日期财政部等财政部等5 5部委:部委:企业内部控制企业内部控制基本规范基本规范财政部发布财政部发布企业内部控制基本规范企业内部控制基本规范,要求,要求上市
