内部控制管理及组织结构管理知识分析评价

《内部控制管理及组织结构管理知识分析评价》由会员分享，可在线阅读，更多相关《内部控制管理及组织结构管理知识分析评价（78页珍藏版）》请在装配图网上搜索。

1、第九章第九章 内部控制评价内部控制评价 引例：内部控制自我评价报告引例：内部控制自我评价报告 PDF格式格式 第一节第一节 内部控制评价概述内部控制评价概述 第二节第二节 内部控制评价的组织与实施内部控制评价的组织与实施 第三节第三节 内部控制缺陷的认定内部控制缺陷的认定 第四节第四节 内部控制评价工作底稿与报告内部控制评价工作底稿与报告第一节第一节 内部控制评价概述内部控制评价概述P385 一、内部控制评价的定义一、内部控制评价的定义 二、内部控制评价的内容二、内部控制评价的内容 三、内部控制评价的原则和方法三、内部控制评价的原则和方法一、内部控制评价的定义一、内部控制评价的定义(cont.

2、)根据根据企业内部控制评价指引企业内部控制评价指引第二条相第二条相关规定，关规定，内部控制评价内部控制评价，是指企业董事会，是指企业董事会或类似权力机构对内部控制的有效性进行或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告全面评价、形成评价结论、出具评价报告的过程。的过程。一、内部控制评价的定义一、内部控制评价的定义(cont.)（一）内部控制评价的（一）内部控制评价的主体主体是是董事会或类董事会或类似权力机构似权力机构（二）内部控制评价的（二）内部控制评价的对象对象是是内部控制的内部控制的有效性有效性(P385)（三）内部控制评价（三）内部控制评价是一个过程是一个过程

3、（二）内部控制评价的对象是内部控（二）内部控制评价的对象是内部控制的有效性制的有效性 内部控制有效性内部控制有效性指企业建立与实施内部控指企业建立与实施内部控制能够为控制目标的实现提供合理的保证，制能够为控制目标的实现提供合理的保证，包括内部控制包括内部控制设计设计的有效性和的有效性和运行运行的有效的有效性。性。1.设计有效性设计有效性 2.运行有效性运行有效性1.设计有效性设计有效性P386 内部控制的设计有效性内部控制的设计有效性，是指为实现控制，是指为实现控制目标所必需的内部控制目标所必需的内部控制要素都存在并且设要素都存在并且设计恰当计恰当。1.设计有效性设计有效性 设计有效性的根本判

4、断标准设计有效性的根本判断标准是所设计的内部控制是所设计的内部控制是否能为内部控制目标的实现提供合理保证。是否能为内部控制目标的实现提供合理保证。目标：目标：财务报告目标；财务报告目标；合规目标；合规目标；资产安全目标；资产安全目标；战略目标；战略目标；经营目标。经营目标。设计有效性主要体现设计有效性主要体现为内部控制为内部控制设计的合理性和设计的合理性和适当性适当性。2.运行有效性运行有效性P386 内部控制运行有效性内部控制运行有效性，是指现有内部控制按照规，是指现有内部控制按照规定程序定程序得到了正确执行得到了正确执行。评价内部控制的运行有效性，应当着重考虑以下评价内部控制的运行有效性，

5、应当着重考虑以下几个方面：几个方面：（1）相关控制在评价期内是）相关控制在评价期内是如何运行如何运行的；的；（2）相关控制是否得到了）相关控制是否得到了持续一致的运行持续一致的运行；（3）实施控制的人员是否）实施控制的人员是否具备必要的权限和能具备必要的权限和能力力。2.运行有效性运行有效性 即使同时满足设计有效性和运行有效性标即使同时满足设计有效性和运行有效性标准的内部控制，也只能为内部控制目标的准的内部控制，也只能为内部控制目标的实现实现提供合理保证提供合理保证，而，而不能提供绝对保证不能提供绝对保证。这是因为，内部控制目标实现受到许多不这是因为，内部控制目标实现受到许多不可控因素的影响之

6、外，内部控制本身也存可控因素的影响之外，内部控制本身也存在固有局限。在固有局限。2.运行有效性运行有效性 内部控制的固有局限主要表现为：内部控制的固有局限主要表现为：（1）人为的判断人为的判断不可避免会出现不可避免会出现失误失误，从而使内部，从而使内部控制中的那些基于判断的决策出现失误，进而导致内控制中的那些基于判断的决策出现失误，进而导致内部控制失效；部控制失效；（2）内部控制可能会由于误解、疏忽等多方面的原内部控制可能会由于误解、疏忽等多方面的原因失效因失效；（3）经理层凌驾于内部控制之上经理层凌驾于内部控制之上可能导致内部控制可能导致内部控制失效；失效；（4）两个或多个人的串通行为两个或

7、多个人的串通行为可能导致内部控制失可能导致内部控制失效；效；（5）由于考虑和权衡）由于考虑和权衡内部控制的成本与效益内部控制的成本与效益，可能，可能会影响内部控制的有效性。会影响内部控制的有效性。二、内部控制评价的内容二、内部控制评价的内容P390 1.内部环境评价内部环境评价 2.风险评估评价风险评估评价 3.控制活动评价控制活动评价 4.信息与沟通评价信息与沟通评价 5.内部监督评价内部监督评价1.内部环境评价内部环境评价 第六条第六条 企业组织开展内部环境评价，应当企业组织开展内部环境评价，应当以以组织架构、发展战组织架构、发展战 略、人力资源、企业略、人力资源、企业文化、社会责任文化、

8、社会责任等应用指引为依据，结合等应用指引为依据，结合本企业的内部控制制度，对内部环境的设本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。计及实际运行情况进行认定和评价。2.风险评估评价风险评估评价 第七条第七条 企业组织开展风险评估机制评价，企业组织开展风险评估机制评价，应当以应当以企业内部控制基本规范企业内部控制基本规范有关风有关风险评估的要求，以及各项应用指引中所列险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的制度，对日常经营管理过程中的风险识别、风险识别、风险分析、应对策略风险分

9、析、应对策略等进行认定和评价。等进行认定和评价。3.控制活动评价控制活动评价 第八条第八条 企业组织开展控制活动评价，应当企业组织开展控制活动评价，应当以以企业内部控制基本规范企业内部控制基本规范和各项应用和各项应用指引中的控制措施为依据，结合本企业的指引中的控制措施为依据，结合本企业的内部控制制度，对内部控制制度，对相关控制措施的设计和相关控制措施的设计和运行情况运行情况进行认定和评价。进行认定和评价。4.信息与沟通评价信息与沟通评价 第九条第九条 企业组织开展信息与沟通评价，应企业组织开展信息与沟通评价，应当以内部信息传递、当以内部信息传递、财务报告、信息系统财务报告、信息系统等相关应用指

10、引为依据，结合本企业的内等相关应用指引为依据，结合本企业的内部控制制度，对部控制制度，对信息收集、处理和传递的信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性信息系统实施内部控制的有效性等进行认等进行认定和评价。定和评价。5.内部监督评价内部监督评价 第十条第十条 企业组织开展内部监督评价，应当企业组织开展内部监督评价，应当以以企业内部控制基本规范企业内部控制基本规范有关内部监有关内部监督的要求，以及各项应用指引中有关日常督的要求，以及各项应用指引中

11、有关日常管控的规定为依据，结合本企业的内部控管控的规定为依据，结合本企业的内部控制制度，制制度，对内部监督机制的有效性对内部监督机制的有效性进行认进行认定和评价，定和评价，重点关注重点关注监事会、审计委员会、监事会、审计委员会、内部审计机构内部审计机构等是否在内部控制设计和运等是否在内部控制设计和运行中有效发挥监督作用。行中有效发挥监督作用。企业内部控制评价，一般包括年度评价和专项评企业内部控制评价，一般包括年度评价和专项评价。价。年度评价年度评价指企业根据内部控制目标，对企业某一指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；年度建立与实施内部控制的有效性进行的评

12、价；专项评价专项评价指企业在特定时点对特定范围的内部控指企业在特定时点对特定范围的内部控制的有效性进行的评价。制的有效性进行的评价。见例见例20-2、20-3、20-4、20-5、20-6（P390-399）三、内部控制评价的原则和方法三、内部控制评价的原则和方法（一）内部控制评价的原则（一）内部控制评价的原则（二）内部控制评价的方法（二）内部控制评价的方法（一）内部控制评价的原则（一）内部控制评价的原则P387（1）全面性原则。）全面性原则。评价工作应当包括内部评价工作应当包括内部控制的设计与运行，控制的设计与运行，涵盖企业及其所属单位涵盖企业及其所属单位的各种业务和事项。的各种业务和事项。

13、（2）重要性原则。）重要性原则。评价工作应当在全面评评价工作应当在全面评价的基础上，关注重要业务单位、重大业务价的基础上，关注重要业务单位、重大业务事项和高风险领域。事项和高风险领域。（3）客观性原则。）客观性原则。评价工作应当准确地揭评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制示经营管理的风险状况，如实反映内部控制设计与运行的有效性。设计与运行的有效性。例例20-1（P387）（二）内部控制评价的方法（二）内部控制评价的方法 企业内部控制评价指引企业内部控制评价指引第十五条规定，第十五条规定，内部控制评价工作组应当对被评价单位进行内部控制评价工作组应当对被评价单位进行现场测试，

14、综合运用现场测试，综合运用个别访谈、调查问卷、个别访谈、调查问卷、专题讨论、穿行测试、实地查验、专题讨论、穿行测试、实地查验、抽样和抽样和比较分析比较分析等方法，充分收集被评价单位内部等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。分析内部控制缺陷。（二）内部控制评价的方法（二）内部控制评价的方法P401 1.个别访问法个别访问法 2.调查问卷法调查问卷法 3.穿行测试法穿行测试法 4.抽样法抽样法 5.实地查验法实地查验法 6.比较分析法比较

15、分析法 7.专题讨论法专题讨论法 还可以使用观察、检查、重新执行等方法，还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查的方法，或利也可以利用信息系统开发检查的方法，或利用实际工作和检查测试经验。用实际工作和检查测试经验。第二节第二节 内部控制评价的组织与实施内部控制评价的组织与实施P388 一、内部控制评价的组织机构一、内部控制评价的组织机构 二、内部控制评价程序二、内部控制评价程序一、内部控制评价的组织机构一、内部控制评价的组织机构P388（一）内部控制评价的责任主体及其职责（一）内部控制评价的责任主体及其职责（二）内部控制评价的具体组织实施主体（二）内部控制评价的具体组织

16、实施主体及其职责及其职责（三）其他相关部门及其职责（三）其他相关部门及其职责（一）内部控制评价的责任主体及其（一）内部控制评价的责任主体及其职责职责 董事会董事会是内部控制评价的是内部控制评价的责任主体责任主体，对内，对内部控制评价承担部控制评价承担最终的责任最终的责任，对内部控制，对内部控制评价报告的评价报告的真实性真实性负责。负责。董事会可以通过董事会可以通过审计委员会审计委员会来承担对内部来承担对内部控制评价的组织、领导、监督职责。控制评价的组织、领导、监督职责。董事会或审计委员会董事会或审计委员会应听取内部控制评价应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改报告，审定内控重大

17、缺陷、重要缺陷整改意见。意见。（二）内部控制评价的具体组织实施（二）内部控制评价的具体组织实施主体及其职责主体及其职责 内部控制评价工作的内部控制评价工作的具体组织实施主体具体组织实施主体一一般为般为内部审计机构或专门的内部控制评价内部审计机构或专门的内部控制评价机构机构。第十三条第十三条 企业内部控制评价部门应当拟订企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内人员组织、进度安排和费用预算等相关内容，容，报经董事会或其授权机构审批后实施。报经董事会或其授权机构审批后实施。（二）内部控制评价的具体组织

18、实施（二）内部控制评价的具体组织实施主体及其职责主体及其职责 第十四条第十四条 “企业内部控制评价部门应当根据经批企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实工作组成员对本部门的内部控制评价工作应当实行行回避制度回避制度。企业企业可以委托中介机构实施内部控制评价可以委托中介机构实施内部控制评价。为企。为企业提供内部控

19、制审计服务的会计师事务所，业提供内部控制审计服务的会计师事务所，不得不得同时为同一企业提供内部控制评价服务同时为同一企业提供内部控制评价服务。”（三）其他相关部门及其职责（三）其他相关部门及其职责 1.经理层经理层：负责组织实施内部控制评价工作。：负责组织实施内部控制评价工作。2.各专业部门各专业部门：负责组织本部门的内控自查、：负责组织本部门的内控自查、测试和评价工作。测试和评价工作。3.企业所属单位企业所属单位：逐级落实逐级落实内部控制评价责内部控制评价责任。任。4.监事会监事会：审议审议内部控制评价报告，对董事内部控制评价报告，对董事会建立与实施内部控制进行会建立与实施内部控制进行监督监

20、督。二、内部控制评价程序二、内部控制评价程序P400（一）内部控制评价的一般程序（一）内部控制评价的一般程序（二）内部控制评价的频率（二）内部控制评价的频率（一）内部控制评价的一般程序（一）内部控制评价的一般程序 1.准备阶段准备阶段（1）制定评价工作方案）制定评价工作方案（2）组成评价工作组）组成评价工作组 2.实施阶段实施阶段（1）了解被评价单位基本情况）了解被评价单位基本情况（2）确定检查评价范围和重点）确定检查评价范围和重点（3）开展现场检查测试）开展现场检查测试 3.汇总评价结果、编制评价报告阶段汇总评价结果、编制评价报告阶段 4.报告反馈与跟踪阶段报告反馈与跟踪阶段（二）内部控制评

21、价的频率（二）内部控制评价的频率 企业企业每年每年应对内部控制进行评价并予以披露。应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从行确定。国家有关法律法规另有规定的，从其规定。其规定。如果内部监督程序无效，或所提供信息不足如果内部监督程序无效，或所提供信息不足以说明内部控制有效，以说明内部控制有效，应增加评价的频率应增加评价的频率。第三节第三节 内

22、部控制缺陷的认定内部控制缺陷的认定P402 一、内部控制缺陷的定义和种类一、内部控制缺陷的定义和种类 二、内部控制缺陷的认定标准二、内部控制缺陷的认定标准 三、内部控制缺陷的认定步骤三、内部控制缺陷的认定步骤 四、内部控制缺陷和有效性的关系四、内部控制缺陷和有效性的关系 五、内部控制缺陷的报告与整改五、内部控制缺陷的报告与整改一、内部控制缺陷的定义和种类一、内部控制缺陷的定义和种类P402 内部控制缺陷内部控制缺陷是内部控制在是内部控制在设计和运行中存设计和运行中存在的漏洞在的漏洞，这些漏洞不同程度地影响内部控，这些漏洞不同程度地影响内部控制的有效性，影响控制目标的实现。制的有效性，影响控制目

23、标的实现。内部控制缺陷是描述内部控制有效性的一个内部控制缺陷是描述内部控制有效性的一个负向的维度负向的维度。企业开展内部控制评价，主要工作内容之一企业开展内部控制评价，主要工作内容之一就是要就是要找出内部控制缺陷并有针对性地进行找出内部控制缺陷并有针对性地进行整改整改。一、内部控制缺陷的定义和种类一、内部控制缺陷的定义和种类P403（一）按照内部控制缺陷成因或来源分类（一）按照内部控制缺陷成因或来源分类（二）按照影响企业内部控制目标实现的（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类严重程度（内部控制缺陷的性质）分类（三）按照具体影响内部控制目标的具体（三）按照具体影响

24、内部控制目标的具体表现形式分类表现形式分类（一）按照内部控制缺陷成因或来源分类（1）设计缺陷设计缺陷指缺少为实现控制目标所必需指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行也难以实现控制目标。（2）运行缺陷运行缺陷指设计有效的内部控制由于运指设计有效的内部控制由于运行不当而形成的内部控制缺陷。行不当而形成的内部控制缺陷。（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类（1）重大缺陷）重大缺陷，是指一个或多个控制缺陷，是指一个或多个控制缺陷的组合，可能导致企业的组合，可能导致企业严重偏离严重

25、偏离控制目标。控制目标。（2）重要缺陷）重要缺陷，是指一个或多个控制缺陷，是指一个或多个控制缺陷的组合，其的组合，其严重程度和经济后果低于重大严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离缺陷，但仍有可能导致企业偏离控制目标。控制目标。（3）一般缺陷）一般缺陷，是指除重大缺陷、重要缺，是指除重大缺陷、重要缺陷之外的其他缺陷。陷之外的其他缺陷。（三）按照具体影响内部控制目标的具体表现形式分类 财务报表缺陷财务报表缺陷 非财务报表缺陷非财务报表缺陷二、内部控制缺陷的认定标准二、内部控制缺陷的认定标准P403 第十六条第十六条 企业对内部控制缺陷的认定，应企业对内部控制缺陷的认定，应当以日常

26、监督和专项监督为基础，结合年度当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。程序进行审核后予以最终认定。（一）财务报告内部控制缺陷的认定标准（一）财务报告内部控制缺陷的认定标准（二）非财务报告内部控制缺陷的认定标准（二）非财务报告内部控制缺陷的认定标准（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准P404 认定标准直接取决于由于该内部控制缺陷认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报

27、告的重要程度。的存在可能导致的财务报告的重要程度。重要程度取决于两个方面的因素：重要程度取决于两个方面的因素：（1）该缺陷是否具备）该缺陷是否具备合理可能性合理可能性导致企业导致企业的内部控制不能及时防止或发现并纠正财的内部控制不能及时防止或发现并纠正财力报告错报；力报告错报；（2）该缺陷单独或连同其他缺陷）该缺陷单独或连同其他缺陷可能导致可能导致的潜在错报金额的大小的潜在错报金额的大小。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准 出现以下迹象之一时，通常表明财务报告内部控出现以下迹象之一时，通常表明财务报告内部控制制可能存在重大缺陷：可能存在重大缺陷：P404（

28、1）董事、监事和高级管理人员舞弊；）董事、监事和高级管理人员舞弊；（2）企业更正已公布的财务报告；）企业更正已公布的财务报告；（3）注册会计师发现当期财务报表存在重大错报，）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制）企业审计委员会和内部审计机构对内部控制的监督无效。的监督无效。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准 内部控制缺陷的严重程度内部控制缺陷的严重程度并不取决于并不取决于是否实是否实际发生了错报，际发生了错报，而是取决于而是取决于该控

29、制不能及时该控制不能及时防止（或发现）并纠正潜在缺陷的可能性。防止（或发现）并纠正潜在缺陷的可能性。即：如果企业的财务报表存在错报，必然表即：如果企业的财务报表存在错报，必然表明该企业的财务报告内部控制存在缺陷；但明该企业的财务报告内部控制存在缺陷；但是，如果企业的财务报表不存在错报，也不是，如果企业的财务报表不存在错报，也不一定表明该企业的财务报告内部控制就不存一定表明该企业的财务报告内部控制就不存在缺陷。在缺陷。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准 一般而言，如果一项内部控制缺陷单独或连同其一般而言，如果一项内部控制缺陷单独或连同其他缺陷他缺陷具备合理可

30、能性导致不能及时防止或发现具备合理可能性导致不能及时防止或发现并纠正财务报表中的重大错报并纠正财务报表中的重大错报，就应将该缺陷认，就应将该缺陷认定为定为重大缺陷重大缺陷。重大错报中的重大错报中的“重大重大”，涉及企业管理层确定的，涉及企业管理层确定的财务报表的财务报表的重要性水平重要性水平。一般企业可以采用绝对。一般企业可以采用绝对金额法或相对比例法来确定重要性水平。金额法或相对比例法来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制大缺陷，就不能得出该企业的财务报告内部控制有效的结论。有效的结论。

31、（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准 如果一项内部控制缺陷单独或连同其他缺如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发陷具备合理可能性导致不能及时防止或发现并纠正财务报表中现并纠正财务报表中虽然未达到和超过重虽然未达到和超过重要性水平、但仍应引起董事会和管理层重要性水平、但仍应引起董事会和管理层重视的错报视的错报，就应将该缺陷认定为，就应将该缺陷认定为重要缺陷重要缺陷。例例20-7（P405）（二）非财务报告内部控制缺陷的认（二）非财务报告内部控制缺陷的认定标准定标准P406 可以采用可以采用定性定性和和定量定量的认定标准。的认定

32、标准。以下迹象通常表明以下迹象通常表明非财务报告内部控制可能存在非财务报告内部控制可能存在重大缺陷：重大缺陷：（1）违反法律、法规较严重；）违反法律、法规较严重；（2）除政策性亏损原因外，企业连年亏损，持续）除政策性亏损原因外，企业连年亏损，持续经营受到挑战；经营受到挑战；（3）重要业务缺乏制度控制或制度系统性失效，）重要业务缺乏制度控制或制度系统性失效，如企业财务部、销售部控制点全部不能执行；如企业财务部、销售部控制点全部不能执行；（二）非财务报告内部控制缺陷的认（二）非财务报告内部控制缺陷的认定标准定标准P406（4）并购重组失败，或新扩充下属单位经营难）并购重组失败，或新扩充下属单位经营

33、难以为继；以为继；（5）子公司缺乏内部控制建设，管理散乱；）子公司缺乏内部控制建设，管理散乱；（6）企业管理人员纷纷离开或关键岗位人员流）企业管理人员纷纷离开或关键岗位人员流失严重；失严重；（7）被媒体频频曝光负面新闻；）被媒体频频曝光负面新闻；（8）内部控制评价的结果特别是重大或重要缺）内部控制评价的结果特别是重大或重要缺陷未得到整改。陷未得到整改。财务报告缺陷和非财务报告缺陷其实财务报告缺陷和非财务报告缺陷其实难以做严格难以做严格的区分的区分，例如内部环境、重大安全事故等。因此，例如内部环境、重大安全事故等。因此，在制定标准时，应本着是否直接影响财务报告的在制定标准时，应本着是否直接影响财

34、务报告的原则来区分。原则来区分。另外，另外，重大缺陷、重要缺陷的重大缺陷、重要缺陷的界定是相对的界定是相对的，对，对于有下属单位的集团公司，如果下属单位存在重于有下属单位的集团公司，如果下属单位存在重大缺陷，并不能表明集团公司存在重大缺陷，但大缺陷，并不能表明集团公司存在重大缺陷，但至少应作为重要缺陷向董事会、管理层汇报，而至少应作为重要缺陷向董事会、管理层汇报，而下属单位的重要缺陷则应视对整个集团的影响及下属单位的重要缺陷则应视对整个集团的影响及普遍性程度确定是否属于集团重要缺陷，而下属普遍性程度确定是否属于集团重要缺陷，而下属单位重要缺陷至少应该向经理层汇报。单位重要缺陷至少应该向经理层汇

35、报。例例20-8（P406）三、内部控制缺陷的认定步骤三、内部控制缺陷的认定步骤（一）财务报告缺陷的认定步骤（一）财务报告缺陷的认定步骤（二）非财务报告缺陷的认定步骤（二）非财务报告缺陷的认定步骤四、内部控制缺陷和有效性的关系四、内部控制缺陷和有效性的关系对于为实现对于为实现单个或整体控制目标单个或整体控制目标而设计与运行的控而设计与运行的控制制不存在重大缺陷的情形不存在重大缺陷的情形，企业应当认定针对这些，企业应当认定针对这些整体控制目标的整体控制目标的内部控制是有效的内部控制是有效的。对于为实现某一对于为实现某一整体控制目标整体控制目标而设计与运行的控制而设计与运行的控制存在一个或多个重大

36、缺陷的情形存在一个或多个重大缺陷的情形，企业应当认定针，企业应当认定针对该项整体控制目标的对该项整体控制目标的内部控制是无效的内部控制是无效的。五、内部控制缺陷的报告与整改五、内部控制缺陷的报告与整改P413 1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径 2.内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径P413 企业内部控制评价指引企业内部控制评价指引第十九条规定，企业内部第十九条规定，企业内部控制评价部门应当编制控制评价部门应当编制内部控制缺陷认定汇总表内部控制缺陷认定汇总表，结，结合日常监督和专项监督发现的

37、内部控制缺陷及其持续合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。以适当的形式向董事会、监事会或者经理层报告。重重大缺陷应当由董事会予以最终认定。大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或切实将风险控制在可承受度之内，并追究有关部门或相关人员的

38、责任。相关人员的责任。1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径 内部控制缺陷报告应当采取内部控制缺陷报告应当采取书面形式书面形式，可以单独报可以单独报告告，也可以作为内部控制评价报告的一个重要组成也可以作为内部控制评价报告的一个重要组成部分部分。一般而言，内部控制的一般缺陷、重要缺陷应一般而言，内部控制的一般缺陷、重要缺陷应定期定期（至少每年）（至少每年）报告，重大缺陷应报告，重大缺陷应立即立即报告。报告。对于重大缺陷和重要缺陷及整改方案，应向董事会对于重大缺陷和重要缺陷及整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。（审计委员会）、监事会或经理层报告并审定

39、。1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径 如果出现不适合向经理层报告的情形如果出现不适合向经理层报告的情形，例如存在与管，例如存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，应当内部控制之上的情形，应当直接向董事会（审计委员直接向董事会（审计委员会）、监事会报告会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。应当引起董事会和管理层的重视。对于对于 一般缺陷，可以向企业经理层报告一般缺陷，可以向企业经理层报告，并

40、视情况，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。考虑是否需要向董事会（审计委员会）、监事会报告。例例20-9（P414）例例20-10（P414）2.内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限P415 企业对于认定的内部控制缺陷，应当企业对于认定的内部控制缺陷，应当及时采取整改措施及时采取整改措施，切实将风险控制在可承受度之内，并追究有关机构或相关切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。人员的责任。企业内部控制评价机构应当就发现的内部控制缺陷提出整企业内部控制评价机构应当就发现的内部控制缺陷提出整改意见，并报经经理层、董事会（审计委员会）、监事会

41、改意见，并报经经理层、董事会（审计委员会）、监事会批准。获批后，应制订切实可行的整改方案，包括整改目批准。获批后，应制订切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作的，整改目标应明确近期和远期目标以及相应的整改工作内容。内容。在整改工作中遇到协调困难甚至阻碍的，在整改工作中遇到协调困难甚至阻碍的，内部控制机构有内部控制机构有权直接向董事会（审计委员会）报告权直接向董事会（审计委员会）报告，董事会（审计委员，董事会（审计委员会）应给予足够的支持和帮助。会）应给予

42、足够的支持和帮助。例例20-11、20-12、20-13第四节第四节 内部控制评价工作底稿与报告内部控制评价工作底稿与报告P417 一、内部控制评价底稿一、内部控制评价底稿 二、内部控制评价报告二、内部控制评价报告一、内部控制评价底稿一、内部控制评价底稿 企业内部控制评价指引企业内部控制评价指引第十一条规定，第十一条规定，“内部控制评价工作应当内部控制评价工作应当形成工作底稿形成工作底稿，详细记录企业执行评价工作的内容，包括详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。有关证据资料以及认定结果等。评价

43、工作底稿应当设计合理、证据充分、评价工作底稿应当设计合理、证据充分、简便易行、便于操作。简便易行、便于操作。”一、内部控制评价底稿一、内部控制评价底稿1.业务流程评价表业务流程评价表2.控制要素评价表控制要素评价表3.内部控制评价汇总表内部控制评价汇总表二、内部控制评价报告二、内部控制评价报告P417 内部控制评价报告按照编制主体、报送对象内部控制评价报告按照编制主体、报送对象和时间，分为和时间，分为对内报告和对外报告对内报告和对外报告。对外报告的内容、格式等强调符合披露要求，对外报告的内容、格式等强调符合披露要求，时间具有强制性，对内报告则主要以符合董时间具有强制性，对内报告则主要以符合董事

44、会（审计委员会）、经理层需要为主，编事会（审计委员会）、经理层需要为主，编制主体层级更多、内容上更加详尽、格式更制主体层级更多、内容上更加详尽、格式更加多样，时间可以定期或不定期。加多样，时间可以定期或不定期。二、内部控制评价报告二、内部控制评价报告P417 评价指引评价指引第二十条规定，企业应当根第二十条规定，企业应当根据据企业内部控制基本规范企业内部控制基本规范、应用指引、应用指引和本指引，设计内部控制评价报告的种类、和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后程序和要求，按照规定的权限报

45、经批准后对外报出。对外报出。二、内部控制评价报告二、内部控制评价报告（一）内部控制评价报告的内容和格式（一）内部控制评价报告的内容和格式（二）内部控制评价报告的编制和报送（二）内部控制评价报告的编制和报送（三）内部控制评价报告的披露和使用（三）内部控制评价报告的披露和使用（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式P417 评价指引评价指引第二十一条和第二十二条规第二十一条和第二十二条规定了对外披露的内容：定了对外披露的内容：第二十一条第二十一条内部控制评价报告应当分别内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与内部环境、风险评估、控制活动、信息与沟通、

46、内部监督等要素进行设计，沟通、内部监督等要素进行设计，对内部对内部控制评价过程、内部控制缺陷认定及整改控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容情况、内部控制有效性的结论等相关内容作出披露。作出披露。（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式P417 第二十二条第二十二条 内部控制评价报告内部控制评价报告至少应当披露下列至少应当披露下列内容：内容：（1）董事会对内部控制报告真实性的声明。）董事会对内部控制报告真实性的声明。（2）内部控制评价工作的总体情况。）内部控制评价工作的总体情况。（3）内部控制评价的依据。）内部控制评价的依据。（4）

47、内部控制评价的范围。）内部控制评价的范围。（5）内部控制评价的程序和方法。）内部控制评价的程序和方法。（6）内部控制缺陷及其认定情况。）内部控制缺陷及其认定情况。（7）内部控制缺陷的整改情况及重大缺陷拟采取）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。的整改措施。（8）内部控制有效性的结论。）内部控制有效性的结论。（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式 内部控制评价报告的参考格式见内部控制评价报告的参考格式见P424 对内报告的格式、内容应该在符合以上要对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。求的基础上进一步详尽地设计和表达。（

48、二）内部控制评价报告的编制和报（二）内部控制评价报告的编制和报送送 1.内部控制评价报告的编制内部控制评价报告的编制 2.内部控制评价报告的报送内部控制评价报告的报送1.内部控制评价报告的编制内部控制评价报告的编制（1）内部控制评价报告的编制时间）内部控制评价报告的编制时间（2）内部控制评价报告的编制主体）内部控制评价报告的编制主体（3）内部控制评价报告的编制程序）内部控制评价报告的编制程序（1）内部控制评价报告的编制时间）内部控制评价报告的编制时间P418定期内部控制评价报告：定期内部控制评价报告：至少每年一次至少每年一次，由董，由董事会对外发布，年度内部控制评价报告应当以事会对外发布，年度

49、内部控制评价报告应当以12月月31日日为基准日。为基准日。非定期内部控制评价报告：非定期内部控制评价报告：可以是因特殊事项可以是因特殊事项或原因而或原因而对外对外发布的内部控制评价报告，也可发布的内部控制评价报告，也可以是企业针对发现的重大缺陷专项内部控制评以是企业针对发现的重大缺陷专项内部控制评价等向董事会（审计委员会）或经理层报送的价等向董事会（审计委员会）或经理层报送的内部内部报告（即内部控制缺陷报告）。报告（即内部控制缺陷报告）。（2）内部控制评价报告的编制主体）内部控制评价报告的编制主体P418 包括单个企业和企业集团的母公司。包括单个企业和企业集团的母公司。单个企业内部控制评价报告

50、单个企业内部控制评价报告，属于，属于对内报对内报告告；企业集团母公司内部控制评价报告企业集团母公司内部控制评价报告，可以，可以是是对内或对外报告对内或对外报告。（3）内部控制评价报告的编制程序）内部控制评价报告的编制程序P419首先，内部控制评价机构对工作底稿进行复核，根首先，内部控制评价机构对工作底稿进行复核，根据认定并按照规定的权限和程序审批确定的内部控据认定并按照规定的权限和程序审批确定的内部控制缺陷，判断内部控制的有效性；制缺陷，判断内部控制的有效性；其次，内部控制评价机构搜集整理编制内部控制评其次，内部控制评价机构搜集整理编制内部控制评价报告所需的相关资料；价报告所需的相关资料；再次

51、，内部控制评价机构根据有关资料撰写内部控再次，内部控制评价机构根据有关资料撰写内部控制评价报告；制评价报告；最后，内部控制评价报告上报经理层审核、董事会最后，内部控制评价报告上报经理层审核、董事会审批后确定，下属单位内部控制评价报告还需上报审批后确定，下属单位内部控制评价报告还需上报母公司。母公司。2.内部控制评价报告的报送内部控制评价报告的报送P419 评价指引评价指引第二十四条至二十六条规定了第二十四条至二十六条规定了评价报告及内部控制审计报告对外报送的要评价报告及内部控制审计报告对外报送的要求。求。第二十四条第二十四条 内部控制评价报告应当报经董内部控制评价报告应当报经董事会或类似权力机

52、构批准后对外披露或报送事会或类似权力机构批准后对外披露或报送相关部门。相关部门。企业内部控制评价部门应当关注自内部控制企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相并根据其性质和影响程度对评价结论进行相应调整。应调整。2.内部控制评价报告的报送内部控制评价报告的报送 第二十五条第二十五条企业内部控制审计报告应当企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送与内部控制评价报告同时对外披露或报送。第二十六

53、条第二十六条企业应当以企业应当以12月月31日作为年日作为年度内部控制评价报告的基准日。度内部控制评价报告的基准日。内部控制评价报告应于内部控制评价报告应于基准日后基准日后4个月内报个月内报出。出。（三）内部控制评价报告的披露和使（三）内部控制评价报告的披露和使用用 1.评价报告的披露评价报告的披露 2.评价报告的使用评价报告的使用1.评价报告的披露评价报告的披露P419 公众公司公众公司必须向社会披露内部控制评价报必须向社会披露内部控制评价报告，满足投资者及利益相关者了解企业治告，满足投资者及利益相关者了解企业治理水平、管理规范化和抵御各类风险的能理水平、管理规范化和抵御各类风险的能力的需要

54、，更好地服务于他们做出投资决力的需要，更好地服务于他们做出投资决策和相关决策。策和相关决策。2.评价报告的使用评价报告的使用P419 企业内部控制评价对外报告的使用者企业内部控制评价对外报告的使用者包括政府有关监管部包括政府有关监管部门、投资者以及其他利益相关者、中介机构和研究机构等。门、投资者以及其他利益相关者、中介机构和研究机构等。对内报告对内报告主要是企业董事会（审计委员会）、各层级管理主要是企业董事会（审计委员会）、各层级管理者以及有关监管部门。者以及有关监管部门。内部控制评价报告是企业董事会对本企业内部控制有效性内部控制评价报告是企业董事会对本企业内部控制有效性的自我评价，具有一定的

55、主观性。在使用内部控制评价报的自我评价，具有一定的主观性。在使用内部控制评价报告时，还就注意与内部控制注册会计师审计报告、内部控告时，还就注意与内部控制注册会计师审计报告、内部控制监管信息、财务报告信息等相关信息结合使用。制监管信息、财务报告信息等相关信息结合使用。评价指引评价指引第二十七条规定，企业应当建立内部控制评第二十七条规定，企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管。作底稿和证明材料等应当妥善保管。内部控制缺陷认定案例内部控制缺陷认定案例1 了解到的情况：了解到的情况：公司在

56、销售交易过程中会与客户签订标准公司在销售交易过程中会与客户签订标准销售合同。销售合同。每项交易的余额对公司而言属于重大，而每项交易的余额对公司而言属于重大，而每项销售的毛利率差异较大。每项销售的毛利率差异较大。公司的营销人员可以对校准合同的条款进公司的营销人员可以对校准合同的条款进行修订，而会计部门并不需要审阅有关合行修订，而会计部门并不需要审阅有关合同。同。公司每月对毛利率、存货水平等进行分析公司每月对毛利率、存货水平等进行分析及审阅。及审阅。初步分析：初步分析：由于个别销售交易的金额对公司而言是重由于个别销售交易的金额对公司而言是重大的，所以潜在错报的重要性应被判断为大的，所以潜在错报的重

57、要性应被判断为重大。重大。由于每项销售的毛利率差别较大，管理层由于每项销售的毛利率差别较大，管理层较难从分析这些指标的过程中合理地发现较难从分析这些指标的过程中合理地发现潜在的重大错报。潜在的重大错报。由于流程的控制点无效，导致潜在错报被由于流程的控制点无效，导致潜在错报被发现的可能性十分小。发现的可能性十分小。认定结论：认定结论：上述内部控制缺陷应被判断为上述内部控制缺陷应被判断为“重大缺重大缺陷陷”。内部控制缺陷认定案例内部控制缺陷认定案例2 了解到的情况：了解到的情况：公司在销售交易过程中会与客户签订标准销售合同，公司在销售交易过程中会与客户签订标准销售合同，而每宗交易的金额对公司而言并

58、不重大，且每项销而每宗交易的金额对公司而言并不重大，且每项销售的毛利率差异较小。售的毛利率差异较小。公司允许营销人员对标准合同中的商务条款进行修公司允许营销人员对标准合同中的商务条款进行修改，财务部门负责审阅销售合同中的修订条款，但改，财务部门负责审阅销售合同中的修订条款，但是审阅范围不包括修订的货运条款（一般而言，不是审阅范围不包括修订的货运条款（一般而言，不同的货运条款会影响公司确认收入的时点）。同的货运条款会影响公司确认收入的时点）。公司每月会对毛利率、存货水平等进行分析及审阅。公司每月会对毛利率、存货水平等进行分析及审阅。公司在过去曾经发现部分销售的确认时点不准确，公司在过去曾经发现部

59、分销售的确认时点不准确，但是金额对财务报表而言并不重大。但是金额对财务报表而言并不重大。初步分析：初步分析：虽然个别销售交易金额对于公司而言并不重大，但虽然个别销售交易金额对于公司而言并不重大，但是相关销售交易汇总的金额对公司而言并非不重要。是相关销售交易汇总的金额对公司而言并非不重要。每月的管理层分析可以合理地发现潜在的重大错报，每月的管理层分析可以合理地发现潜在的重大错报，所以从错报的重要性而言，上述内部控制并不构成所以从错报的重要性而言，上述内部控制并不构成重大缺陷。重大缺陷。由于财务部门对合同审阅控制措施无法保证收入及由于财务部门对合同审阅控制措施无法保证收入及时完整性，即该控制措施在确保收入错报方面的控时完整性，即该控制措施在确保收入错报方面的控制基本无效，导致潜在错报被发现的可能性十分小。制基本无效，导致潜在错报被发现的可能性十分小。认定结论：认定结论：上述内部控制缺陷应被判断为上述内部控制缺陷应被判断为“重要缺陷重要缺陷”。