企业内部控制（第四版）第13章 内部控制自我评价

1、第十三章内部控制自我评价PART THIRTEEN学习目标：通过本章学习，理解内部控制评价的含义和目标，掌握内部控制评价的内容及方法，了解内部控制评价的程序，掌握内部控制评价报告的编制方法，能恰当运用内部控制理论对内部控制评价报告进行分析。01第一节内部控制评价概述税收概述1.内部控制评价的含义及目标我国企业内部控制基本规范第四十六条指出：“企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。”这里的“内部控制自我评价”是指：由企业董事会和管理层实施，对企业内部控制有效性进行评价，形成评价结论，并出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制，

2、能够为控制目标的实现提供合理的保证。应从以下几个方面理解内部控制评价的含义：明确企业内部控制建设的责任主体，即董事会（或类似权力机构）是建立健全和实施内部控制评价工作的主要责任方。1明确内部控制自我评价的评价内容与评价要求。2企业对内部控制的有效性进行自我评价后，必须按照规定的要求披露年度自我评价报告。3税收概述内部控制具体评价目标如下：增强企业财务信息和管理信息的真实完整性。为企业提高风险管理水平提供信息服务和决策支持。 提高企业经营效率和效果，促进企业实现发展战略。建立健全内部控制机制，保证内部控制体系有效实施。确保企业经营业务的合法合规性。保障企业资产的安全完整性。评价目标税收概述2.内

3、部控制评价的原则（1）风险导向原则（2）全面性原则（3）重要性原则（4）客观性原则（5）独立性原则（6）成本效益原则02第二节内部控制评价的内容税收概述内部控制评价要结合内部控制的五大要素来对被评价单位内部控制系统的总体情况进行评估，它们来源于管理层经营企业的方式，并与管理过程整合在一起。每一个要素都能够影响其他构成要素，最终影响企业内部控制系统运行的有效性。以下为内部控制五要素重点评价的内容。税收概述内部环境一内部环境是企业实施内部控制的基础，支配企业全体员工的内部控制意识，影响全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类应用指引有五项，包括组织架构、发展战略、人力资源、

4、企业文化和社会责任等指引。税收概述内部环境一与以上五项应用指引相对应，内部控制环境评价主要关注点包括：1.诚信道德与企业价值观（1）是否存在行为准则以及商业行为、利益冲突、伦理等方面的道德标准，并有效执行。（2）是否树立了明确的管理风格，包括明确的道德指导和在公司范围内进行沟通指导的程度。（3）与员工、供应商、客户、投资人、债权人、保险人、竞争对象和审计师等的关系如何。（4）针对违反政策和道德准则的情况是否采取了适当的措施，采取的措施是否在公司范围内进行了沟通。（5）管理层对干预或逾越既定控制制度的态度。（6）是否存在不切实际的目标压力（特别是那些短期目标压力），企业薪酬在多大程度上能够有助于

5、业绩目标的实现。2.胜任能力（1）公司是否存在正式和非正式的工作描述，或其他能说明具体工作任务和责任的方式。（2）公司是否存在对胜任工作所需要知识和技能的分析。3.董事会（1）董事会或审计委员会是否独立于管理层。（2）是否建立了董事会专门委员会，必要时特别关注和处理相关重要事件。（3）董事的知识和经验如何。（4）董事会（或审计委员会）与首席财务官、会计人员、内部审计和外部审计人员会面的频率和时间。（5）企业为董事会或专门委员会委员提供信息的及时性和充分性。（6）董事会如何聘用和解聘高级管理人员，是否监督高级管理人员的薪酬问题。（7）董事会对“高级管理层基调”的态度和举措。（8）董事会或审计委员

6、会是否对其所发现的问题采取了相应的行动，包括特殊调查等。5.公司组织结构（1）组织结构的适当性，及其提供管理活动必要信息流的能力。（2）关键管理者的职责定义，以及他们对自身职责的理解。（3）关键管理者是否充分具备与履行其职责相关的知识和经验。（4）组织内部报告关系的适当性。（5）公司的组织结构如何随环境的变化而变化。（6）公司员工数量的合理性，特别是管理人员和监督人员的数量合理性。6.权力和责任的分配（1）如何根据公司目标、经营职能和监管要求分配责任和授权，包括信息系统的责任和授权的变化。（2）公司与控制相关的标准、程序的适当性，包括员工职责的描述。（3）职员数量的适当性，特别是数据处理和会计

7、职能，这些职员应具备与企业规模、业务活动和系统相适应的技能水平。（4）授权和所分配的责任是否相吻合。7.人力资源政策及实施情况（1）企业招聘、培训、晋升、薪酬等政策和程序的恰当性。（2）员工是否意识到他们的工作职责和公司对他们的期望。（3）对背离既定政策和程序的行为所采取的补救措施的适当性。（4）应征员工背景调查的适当性。（5）人力政策与相应的道德标准是否一致。（6）员工留任和晋升标准的适当性。4.公司治理层的管理理念和经营风格（1）管理层对待风险的态度，如管理层是否经常介入特别高风险的管理业务，还是在接受风险方面非常保守。（2）公司关键职能部门（如经营、会计、数据处理、内部审计等部门）的人员

8、流动情况。（3）管理层对财务等重要职能的态度，以及对财务报告可靠性和资产安全性的关切程度。（4）公司高级管理层和业务部门管理层相互交流的频率，特别是双方处于不同地域时的交流频率。（5）管理层对财务报告的态度和行动，包括对会计处理争议所持的态度和采取的行动。税收概述风险评估二企业组织开展风险评估机制评价，应从公司层面目标的制定、业务活动层次目标的制定、风险分析及系统应对变化的能力三方面展开，具体评价的主要关注点如下：A1.公司层面目标B2.业务活动层次目标（1）公司总体目标设置的合理性、充分性、与公司愿景和期望的相关性。（2）公司总体目标沟通与传递方式的有效性。（3）公司总体目标与战略计划的关联

9、性和一致性。（4）商业计划、预算与公司目标、战略计划及当前情况的一致性。（1）业务活动层次的目标与公司目标及战略计划的一致性。（2）业务活动层次的目标与其他活动的一致性。（3）业务流程与业务活动层次目标的相关性。（4）业务活动层次目标的具体性。（5）资源的充足性。（6）是否明确企业整体目标实现的关键因素。（7）管理层参与制定企业目标以及他们对目标负责的程度。C3.风险分析及系统应对变化的能力（1）企业识别外部风险的机制是否健全。（2）企业识别内部风险的机制是否健全。（3）是否为业务活动层次的每一个重要目标的实现，识别相关的重要风险。（4）风险分析程序的全面性和相关性，包括估计风险因素的重要程度

10、、评估风险发生的可能性以及决定应采取的行动。（5）对于那些影响企业或业务活动目标实现的事件和活动，企业是否存在一种预见和识别机制，并及时作出适当的反应。（6）是否存在一种机制，识别和处理那些对企业有深远影响的变革，高级管理层是否高度关注。税收概述控制活动三控制活动是企业为保障管理层的指令有效实施和实现企业目标而建立的政策和程序。各控制活动的评价标准依不同的业务类型而不尽相同，但评价企业控制活动一般应考虑以下因素：控制活动的类型，包括人工控制和自动控制、预防性控制和发现性控制等；控制活动的复杂性，通常与企业的组织机构、市场环境、经营规模、员工素质等相关；实施控制活动需要的职业判断程度；控制活动所

11、针对的风险事项及其重要性；该控制活动对其他控制活动有效性的依赖程度。税收概述控制活动三评价控制活动的主要关注点如下：BA关注点（2）已确定的控制政策和程序是否得到持续、恰当的执行。（1）企业针对每一项业务活动是否都制定了恰当的控制政策和程序。税收概述信息与沟通四信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通的评价工作主要集中在信息收集处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等方面。税收概述

12、信息与沟通四评价工作的主要关注点如下：（1）企业是否有效地获取内部和外部信息，以向管理层报告企业既定目标的实现情况。（2）是否及时向适当的人员汇报足够的信息，以便他们有效地履行其职责。（3）信息系统的建立或修改是否基于对信息系统的战略规划，并着眼于实现企业各个层次的目标。（4）管理层是否通过承诺适当的资源，表现出对发展必要的信息系统的支持态度。税收概述监督五企业内部控制基本规范第四十四条将内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控

13、制的某一或者某些方面进行有针对性的监督检查。监督要素还应包括向相关管理人员和董事会上报内部控制缺陷并采取相关的改进措施。税收概述监督五与此相应的，监督评价主要的关注点如下：A1.日常监督B2.专项监督（1）员工在从事日常活动时，在多大程度上能获知有关内部控制系统是否正常运作的信息。（2）外部反映的情况证实内部信息或揭露问题的程度。（3）企业是否定期将会计系统的记录结果与实物进行核对。（4）企业是否对内部和外部审计师提出的加强内部控制措施方面的建议作出响应。（5）公司培训、筹备会议和其他会议向管理层就内部控制有效性进行反馈的程度。（6）是否要求员工定期声明他们是否理解并遵守了企业的行为准则，并且

14、定期执行了重要的控制活动。（7）公司内部审计活动的有效性。（1）企业对内部控制系统进行独立评估的范围和频率。（2）用于评估自身内部控制系统的方法是否合理、恰当。（3）文档记录水平的适当性。C3.缺陷报告（1）企业是否存在适当的机制，汇集并报告发现内部的控制缺陷。（2）汇报程序是否恰当。（3）跟踪追查行动是否适当。03第三节内部控制评价程序税收概述企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。内部控制自我评价的程序主要包括以下内容：税收概述1.制订内部控制评价方案：内部控制评价方案的制订主要包括明确内部控制评价目的、确定内部控制评价范围等内容。（1）明确内部控制评价目的。在内

15、部控制评价工作开始前，评价机构中每个参与内部控制评价的人都应明确内部控制评价的目的，内部控制评价机构应结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。（2）确定内部控制评价范围。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的关键控制。风险评估包括对企业目标以及对这些目标的实现有重大影响的风险的分析，风险评估过程应从企业整体层面开始，并向下延伸至恰当的组织层级。对于每一个重要的目标和风险，企业都应当识别风险所影响的分支机构、重要业务

16、单元、重点业务领域或流程环节。（3）编制内部控制评价方案。当内部控制评价目标及可能的风险确知后，内部控制评价人员就能够确定内部控制评价范围及所需时间，列出时间及人员的预算及分派各人的工作。内部控制评价方案主要包括以下内容：将内部控制评价人员执行收集、分析、解释信息的程序予以书面化；陈述内部控制评价的目的；为实现每一个内部控制评价阶段的评价目的所需的抽查范围及程度；指明应当检查的风险、流程及交易事项；陈述控制测试的性质和范围。内部控制评价工作方案应报管理层和董事会审批。税收概述2.评价内部控制设计的有效性内部控制评价方案制订后，内部控制评价人员初步识别了内部控制风险，内部控制评价人员下一步就是确

17、定能够恰当应对这些风险的关键控制有哪些。一般而言，内部控制人员应只关注应对重大风险的关键控制。为了识别关键控制，内部控制人员首先必须了解：为了管理或减轻已识别的重大风险，企业的内部控制是如何设计的；如果内部控制失效没有被及时发现，内部控制的失效是如何发生的。税收概述3.测试内部控制运行的有效性对内部控制设计的有效性进行评价后，内部控制评价人员还要检查内部控制是否按设计在有效运行。如果内部控制有章不依或执行不严，就形同虚设。因此，内部控制评价人员需要进一步检查有关的内部控制是否得到遵循以及遵循的程度如何，这项工作通常称为“控制测试”。内部控制评价人员应当根据审批通过的评价方案组织实施内部控制评价

18、工作，通过适当的方法收集、确认、分析相关信息，对识别出的关键控制活动进行必要的测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并作出书面记录。税收概述4.内部控制缺陷的认定（1）内部控制缺陷的分类。内部控制缺陷，是指内部控制的设计或运行，不允许管理层或雇员实施他们的职能来及时防止错误与舞弊的发生，从而发生了内部控制缺陷。内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷。内部控制缺陷一般可分为设计缺陷和运行缺陷。（2）内部控制缺陷的认定标准。企业对内部控制评价过程中发现的问题，应当从定量和定性两方面进行衡量，判断是否构成内部控制缺陷。根据内部控制缺陷影响整体控制目标实

19、现的严重程度，可将内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。04第四节内部控制评价报告税收概述内部控制评价机构在认定内部控制缺陷后，应出具评价结论，编制评价报告，报送管理层和董事会审阅。内部控制评价报告是内部控制评价工作的重要组成部分。内部控制评价报告就是企业董事会或类似权力机构以报告的形式对内部控制评价状况出具评价意见，并提供给相关信息使用者的一种书面文件。税收概述1.内部控制评价报告的编制企业应当结合年末控制缺陷的整改结果，编制年度内部控制评价报告。内部控制评价报告至少应当包括下列内容：内部控制评价的目的和责任主体。被评估的内部控制整体目标是否有效的结论。0106内部控制评价的内容和所

20、依据的标准。被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。0207内部控制评价的程序和所采用的方法。造成重大缺陷的原因及相关责任人。0308衡量重大缺陷严重偏离的定义，确定严重偏离的方法。所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。0409税收概述2.年度内部控制评价报告范例股份有限公司年度内部控制自我评价报告根据国家有关法律法规和财政部、证监会等部门联合发布的企业内部控制基本规范的要求，公司董事会及其审计委员会对本公司年度内部控制的建立和执行情况进行了自我评价，现将评价结果报告如下：（1）本公司确知建立、实施和维护内部控制制度系本公司董事会及管理层的责任。（2）任何内部控制体系的有效性都存在固有局限，包括人为错误以及绕过或凌驾控制的可能性。（3）企业内部控制基本规范认为，有效的内部控制应当包括：内部环境；风险评估；控制活动；