第6章63控制活动类指引财务报告新

（八）业务外包业务外包是企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织（承包方）完成的经营行为。目前，业务外包活动已经广泛应用于研发、资信调查、可行性研究、委托加工、物业管理、客户服务、IT服务等各行各业，为企业优化资源配置、加速业务重组、提高经营效率提供了活力。六企业应当对外包业务实施分类管理，通常划分为重大外包业务和一般外包业务。重大外包业务是指对企业生产经营有重大影响的外包业务。1.企业的业务外包需关注的主要风险（1）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失；（2）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势；（3）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。六2.内部控制要求与措施企业应当建立和完善业务外包管理制度，规定业务外包的范围、方式、条件、程序和实施等相关内容，明确相关部门和岗位的职责权限，强化业务外包全过程的监控，防范外包风险，充分发挥业务外包的优势。企业应当权衡利弊，避免核心业务外包。六（1）承包方选择①企业应当根据年度生产经营计划和业务外包管理制度，结合确定的业务外包范围，拟订实施方案，按照规定的权限和程序审核批准。总会计师或分管会计工作的负责人应当参与重大业务外包的决策。重大业务外包方案应当提交董事会或类似权力机构审批。六②企业应当按照批准的业务外包实施方案选择承包方。承包方至少应当具备下列条件：1）承包方是依法成立和合法经营的专业服务机构或其他经济组织，具有相应的经营范围和固定的办公场所。2）承包方应当具备相应的专业资质，其从业人员符合岗位要求和任职条件，并具有相应的专业技术资格。3）承包方的技术及经验水平符合本企业业务外包的要求。六③企业应当综合考虑内外部因素，合理确定外包价格，严格控制业务外包成本，切实做到符合成本效益原则。④企业应当引入竞争机制，遵循公开、公平、公正的原则，采用适当方式，择优选择外包业务的承包方。采用招标方式选择承包方的，应当符合招投标法的相关规定。企业及相关人员在选择承包方的过程中，不得收受贿赂、回扣或者索取其他好处。承包方及其工作人员不得利用向企业及其工作人员行贿、提供回扣或者给予其他好处等不正当手段承揽业务。六⑤企业应当按照规定的权限和程序从候选承包方中确定最终承包方，并签订业务外包合同。⑥企业外包业务需要保密的，应当在业务外包合同或者另行签订的保密协议中明确规定承包方的保密义务和责任，要求承包方向其从业人员提示保密要求和应承担的责任。六（2）业务外包实施①企业应当加强业务外包实施的管理，严格按照业务外包制度、工作流程和相关要求，组织开展业务外包，并采取有效的控制措施，确保承包方严格履行业务外包合同。六②企业应当做好与承包方的对接工作，加强与承包方的沟通与协调，及时搜集相关信息，发现和解决外包业务日常管理中存在的问题。对于重大业务外包，企业应当密切关注承包方的履约能力，建立相应的应急机制，避免业务外包失败造成本企业生产经营活动中断。六③企业应当根据国家统一的会计准则制度，加强对外包业务的核算与监督，做好业务外包费用结算工作。④企业应当对承包方的履约能力进行持续评估，有确凿证据表明承包方存在重大违约行为，导致业务外包合同无法履行的，应当及时终止合同。承包方违约并造成企业损失的，企业应当按照合同对承包方进行索赔，并追究责任人责任。六⑤业务外包合同执行完成后需要验收的，企业应当组织相关部门或人员对完成的业务外包合同进行验收，出具验收证明。验收过程中发现异常情况，应当立即报告，查明原因，及时处理。六【例题24·多选题】甲企业为某国际时尚品牌做代工，公司的订单、生产、发货通过信息系统处理。该企业将信息系统交予外包公司进行开发并负责系统运行与维护，甲公司对信息系统外包进行控制，正确的作法是（）。（2012年）A.通过公开招标，择优确定开发单位B.与中标公司签订服务合同和保密协议C.项目完成后，外包公司留下一人在甲企业，作为外包公司在甲企业的永久联络员D.甲企业各部门提出开发需求和关键控制点【答案】ABCD【解析】甲公司对信息系统外包进行控制，正确的做法是：甲企业各部门提出开发需求和关键控制点；通过公开招标，择优确定开发单位；与中标公司签订服务合同和保密协议；项目完成后，外包公司留下一人在甲企业，作为外包公司在甲企业的永久联络员。所以选项A、B、C、D正确。（九）财务报告财务报告，是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。财务报告是企业财务信息对外报告的重要形式之一。总会计师或分管会计工作的负责人负责组织领导财务报告的编制、对外提供和分析利用等相关工作。企业负责人对财务报告的真实性、完整性负责。六1.编制、对外提供和分析利用财务报告需关注的主要风险（1）企业财务报告的编制违反会计法律法规和国家统一的会计准则制度，导致企业承担法律责任、遭受损失和声誉受损；（2）企业提供虚假财务报告，误导财务报告使用者，造成报告使用者的决策失误，干扰市场秩序；（3）企业不能有效利用财务报告，难以及时发现企业经营管理中的问题，可能导致企业财务和经营风险失控。六2.内部控制要求与措施（1）要求企业编制财务报告时，重点关注会计政策和会计估计；对财务报告产生重大影响的交易和事项的处理，还要按照规定的权限和程序进行审批。企业在编制年度财务报告前，应当进行必要的资产清查、减值测试和债权债务核实。（2）要求企业按照国家统一的会计准则制度规定，根据登记完整、核对无误的会计账簿记录和其他有关资料编制财务财告，做到内容完整、数字真实、计算准确，不得漏报或者随意进行取舍。六（3）要求企业依照法律法规和国家统一的会计准则制度的规定，及时对外提供财务报告。（4）企业财务报告编制完成后，应当装订成册，加盖公章，由企业负责人、总会计师或分管会计工作的负责人、财会部门负责人签名并盖章。（5）财务报告须经注册会计师审计的，注册会计师及其所在的事务所出具的审计报告，应当随同财务报告一并提供。六（6）要求企业重视财务报告分析工作，定期召开财务分析会议，充分利用财务报告反映的综合信息，全面分析企业的经营管理状况和存在的问题，不断提高经营管理水平。

总会计师或分管会计工作的负责人应当在财务的分析和利用工作中发挥主导作用；财务分析报告结果应当及时传递给企业内部有关管理层级。六三、内部控制手段类指引（★★）控制手段类应用指引偏重于“工具”性质，往往涉及企业整体业务或管理。控制手段类应用指引包括《企业内部控制应用指引》第15号至第18号，内容依次为全面预算、合同管理、内部信息传递和信息系统等四个指引。应重点关注全面预算和信息系统。六（一）全面预算全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，通过将企业的资金流与实物流、信息流相整合优化了企业的资源配置，提高了资金的使用效率。然而，企业要想使全面预算管理达到预期的效果，必须要特别关注和防范预算管理中的风险。六1.实行全面预算管理需关注的主要风险（1）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目发展；（2）预算目标不合理、编制不科学，可能导致企业资源浪费或发展目标难以实现；（3）预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。六2.内部控制要求与措施企业应当设立预算管理委员会履行全面预算管理职责，其成员由企业负责人及内部相关部门负责人组成。预算管理委员会主要负责拟定预算目标和预算政策，制定预算管理的具体措施和办法，组织编制、平衡预算草案，下达经批准的预算，协调解决预算编制和执行中的问题，考核预算执行情况，督促完成预算目标。六预算管理委员会下设预算管理工作机构，由其履行日常管理职责。预算管理工作机构一般设在财会部门。总会计师或分管会计工作的负责人应当协助企业负责人负责企业全面预算管理工作的组织领导。六（1）预算编制①企业应当建立和完善预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，避免预算指标过高或过低。企业应当在预算年度开始前完成全面预算草案的编制工作。②企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。六③企业预算管理委员会应当对预算管理工作机构在综合平衡基础上提交的预算方案进行研究论证，从企业发展全局角度提出建议，形成全面预算草案，并提交董事会。④企业董事会审核全面预算草案，应当重点关注预算科学性和可行性，确保全面预算与企业发展战略、年度生产经营计划相协调。企业全面预算应当按照相关法律法规及企业章程的规定报经审议批准。批准后，应当以文件形式下达执行。六（2）预算执行①企业应当加强对预算执行的管理，明确预算指标分解方式、预算执行审批权限和要求、预算执行情况报告等，落实预算执行责任制，确保预算刚性，严格预算执行。六②企业全面预算一经批准下达，各预算执行单位应当认真组织实施，将预算指标层层分解，从横向和纵向落实到内部各部门、各环节和各岗位，形成全方位的预算执行责任体系。企业应当以年度预算作为组织、协调各项生产经营活动的基本依据，将年度预算细分为季度、月度预算，通过实施分期预算控制，实现年度预算目标。六③企业应当根据全面预算管理要求，组织各项生产经营活动和投融资活动，严格预算执行和控制。④企业预算管理工作机构应当加强与各预算执行单位的沟通，运用财务信息和其他相关资料监控预算执行情况，采用恰当方式及时向决策机构和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进企业全面预算目标的实现。六⑤企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，提出改进措施。⑥企业批准下达的预算应当保持稳定，不得随意调整。由于市场环境、国家政策或不可抗力等客观因素，导致预算执行发生重大差异确需调整预算的，应当履行严格的审批程序。六（3）预算考核①企业应当建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。②企业预算管理委员会应当定期组织预算执行情况考核。必要时，实行预算执行情况内部审计制度。③企业预算执行情况考核工作，应当坚持公开、公平、公正的原则，考核过程及结果应有完整的记录。六【例题25·单选题】为了建立针对预算考核流程的内部控制，企业应该采取的措施是（）。（2012年）A.对于超预算的资金支持，实行严格的审批制度B.将全面预算的编制外包给经验丰富的咨询机构C.董事会审核批准预算考核方案D.要求将预算执行单位负责人签字上报的执行报告和动态监管信息进行核对【答案】D【解析】对于超预算的资金支持，实行严格的审批制度，属于预算执行的内部控制措施，所以，选项A错误；企业应当根据发展战略和年度生产经营计划，综合考虑预算期内经济政策、市场环境等因素，按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。因此，将全面预算的编制外包给经验丰富的咨询机构不符合预算编制的内控要求，选项B错误；预算管理委员会审核批准预算考核方案，所以，选项C错误；针对预算考核流程的内部控制要求预算管理委员会应当定期组织预算执行情况考核，将各预算执行单位负责人签字上报的执行报告和已掌握的动态监管信息进行核对，确认各执行单位预算完成情况。所以，选项D正确。（二）合同管理合同是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。合同包括书面合同和口头合同。六

1.合同管理需关注的主要风险（1）如果企业未订立合同、对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，会导致企业合法权益受到侵害；（2）如果合同未全面履行或监控不当，有可能导致企业诉讼失败，经济利益受损；（3）如果合同纠纷处理不当，则会损害企业利益、信誉和形象。六2.内部控制要求与措施（1）合同的订立①企业对外发生经济行为，除即时结清方式外，还应当订立书面合同。对于影响重大、涉及较高专业技术或法律关系复杂的合同，应当组织法律、技术、财会等专业人员参与谈判，必要时可聘请外部专业人员参与相关工作；谈判过程中的重要事项和参与谈判人员的主要意见，应当予以记录并妥善保存。六②企业应当根据协商、谈判结果，拟定合同文本，明确双方的权利义务和违约责任，并严格进行审核。合同文本一般由业务承办部门起草、法律部门审核。重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。六③企业应当对合同文本进行严格审核，重点关注合同的主体、内容和形式是否合法，合同内容是否符合企业的经济利益，对方当事人是否具有履约能力，合同权利和义务、违约责任和争议解决条款是否明确等。企业对影响重大或法律关系复杂的合同文本，应当组织内部相关部门进行审核。六④企业应当按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同，应当由企业法定代表人或其授权代理人签名或加盖有关印章。授权签署合同的，应当签署授权委托书。属于上级管理权限的合同，下级单位不得签署。⑤企业应当加强合同信息安全保密工作，未经批准，不得以任何形式泄漏合同订立与履行过程中涉及的商业机密或国家机密。六（2）合同的履行①企业应当遵循诚实信用原则严格履行合同，对合同履行实施有效监控；发现有显失公平、条款有误或对方有欺诈行为等情形，或因政策调整、市场变化等客观因素，已经或可能导致企业利益受损，应当按照规定程序及时报告，并经双方协商一致，按照规定权限和程序办理合同变更或解除事宜；存在合同纠正情形的，应依据国家相关法律法规，在规定时效内与对方当事人协商并按照规定权限和程序及时报告，协商无法解决的，根据合同约定选择仲裁或诉讼方式解决。六②企业应当建立合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现的不足，应及时加以改进。六（三）内部信息传递内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。1.内部信息传递需关注的主要风险（1）内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行；（2）内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实；（3）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。六2.内部控制要求与措施企业应当加强内部报告管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。六（1）内部报告的形成①企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。六②企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报。并可以直接报告高级管理人员。企业应当建立内部报告审核制度，确保内部报告信息质量。六③企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级。以便采取应对策略。④企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。六（2）内部报告的使用①企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标。六②企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决；涉及突出问题和重大风险的，应当启动应急预案。六③企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。④企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。六【例题26·单选题】甲公司针对公司内部信息传递存在的问题，决定加强控制。下列选项中，该公司制定的制度不符合相关规定的是（）。A.内部报告指标体系的设计应当与全面预算管理相结合B.内部各管理层级均应当指定专人负责内部报告工作C.内部报告只能进行内部风险评估D.利用多种形式鼓励员工及企业利益相关方举报和投诉企业内部的违法违规【答案】C【解析】企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部风险，确定风险应对策略，实现对风险的有效控制，选项C错误。【例题27·多选题】企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的方面有（）。A.及时性B.安全性C.有效性D.适宜性【答案】ABC【解析】企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。（四）信息系统信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。1.利用信息系统实施内部控制需关注的主要风险（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；（3）系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。六2.内部控制要求与措施企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。六（1）信息系统的开发①企业应当根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。六企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。六②企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。③企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调。六④企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。⑤企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制订科学的上线计划和新旧系统转换方案、考虑应急预案，确保新旧系统顺利切换和平稳衔接。六（2）信息系统的运行与维护①企业应当加强信息系统运行与维护的管理。企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。六②企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。六③企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。④企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。六⑤企业应当建立系统数据定期备份制度。⑥企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。，任何人不得接触关键信息设备。六【例题28·多选题】为了建立针对信息系统的内部控制，企业应该采取的措施有（）。A.避免将不相容职责的处理权限授予同一用户B.操作人员不得擅自进行系统软件的删除、修改等操作C.禁止不相容职务用户账号的交叉操作D.各业务单位应当加强信息系统开发全过程的跟踪管理【答案】ABC【解析】选项A属于信息系统开发流程的控制措施。选项B、C属于信息系统运行与维护的控制措施。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，选项D错误。【例题29·多选题】企业应当加强信息系统运行与维护的管理。信息系统操作人员不得擅自（）。A.进行系统软件的删除、修改等操作B.升级系统软件版本C.改变软件系统环境配置D.改变系统软件版本【答案】ABCD【解析】信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。4内部控制评价与审计一、内部控制评价（★★）内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。六（一）内部控制评价应当遵循的原则

根据《评价指引》的要求，内部控制评价应遵循以下三个原则：

1.全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2.重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。六【例题30·多选题】根据《评价指引》的要求，下列属于内部控制评价应遵循的原则的有（）。A.全面性原则B.重要性原则C.客观性原则D.适宜性原则【答案】ABC【解析】根据《评价指引》的要求，内部控制评价应遵循以下三个原则：（1）全面性原则；（2）重要性原则；（3）客观性原则。（二）内部控制评价的内容《企业内部控制评价指引》要求企业根据《企业内部控制基本规范》、《企业内部控制评价指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。六（三）内部控制评价的程序

根据《评价指引》的要求，企业应按照内部控制评价办法规定程序，有序开展内部控制评价工作。内部控制评价程序一般包括：六六制定评价控制方案组成评价工作组实施评价工作与测试认定控制缺陷汇总评价结果编报评价报告等环节1.制定评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。该评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；六1.制定评价控制方案（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。六内部控制评价部门或机构应根据内部监督情况和要求，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划，提供内部控制评价的效率和效果。六【例题31·多选题】下列选项中，描述错误的有（）。A.企业开展风险评估主要针对外部风险B.内部审计机构负责内控的自我评价C.重大人事任免应实行集体决策审批D.控制活动的主要目标是将风险的影响降至零【答案】ABD【解析】企业应开展风险评估，准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度，选项A错误。内部审计机构对企业内部控制的有效性进行监督检查，选项B错误。企业在处理“三重一大”问题上，即重大决策、重大事项、重要人事任免和大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度，选项C正确。控制活动的主要目标是将风险控制在可承受范围之内，选项D错误。【例题32·多选题】下列属于内部控制评价部门或机构应具备的条件有（）。A.能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力B.具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养C.与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致D.能够得到企业董事会和经理层的支持【答案】ABCD【解析】内部控制评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。2.组成评价工作组在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。六2.组成评价工作组对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据《基本规范》的要求，该事务所不应同时为企业提供内部控制的审计服务。六3.实施评价工作与测试评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。（1）了解公司层面基本情况。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。六3.实施评价工作与测试（2）了解各业务层面的主要流程及风险。在这一阶段，评价工作组把工作重点放在主要业务流程中，如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行，企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程，识别相关的风险关注点及可能存在的内部控制措施。六评价工作组可审阅的内控流程文档可能有：①风险控制矩阵文档。关注点在于复核风险流程的合理性，例如，文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理，以及复核控制点的识别，关键控制点、重要控制点、一般控制点的判断是否合适。六风险控制矩阵文档流程图文档审批权限表文档②流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚地标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉，以及内容是否涵盖所有流程实际操作及相应的控制活动。③审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。六评价工作组应识别业务流程中的关键业务或固有风险，提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题，在这些控制点上识别减低风险的控制，这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。六【例题33·多选题】内部控制评价工作组可审阅的内控流程文档有（）。A.风险控制矩阵文档B.流程图文档C.审批权限表文档D.内部审计文档【答案】ABC【解析】评价工作组可审阅的内控流程文档可能有：（1）风险控制矩阵文档；（2）流程图文档；（3）审批权限表文档。（3）确定检査评价范围和重点。（4）开展现场检査测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地査验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。六①个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员，了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。②调査问卷。调查问卷多用于企业层面的评价，通过扩大对象范围，如企业中的全体员工收集简单结果，如对公司企业文化的认同。③专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论。六④穿行测试。穿行测试是指在流程中任意选取一项交易为样本，获取原始单据、跟踪交易从最初起源，到会计处理，信息系统和财务报告编制，直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”，评价工作人员可获取确定对一个流程的了解，查找潜在的内控设计问题及识别出相关控制。六⑤实地查验。这是一个用于业务层面评价的方法。例如，评价工作人员进行实地盘点以测试企业记录存货的数量，或有关控制的有效性。⑥抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式，从样本库中抽取一定数量的样本，进行控制测试，以获取有关控制的运行状况。六⑦比较分析。这是一种通过数据分析，识别评价关注点的方法。例如，通过比较月度的销售情况，识别异常区间，进行检查。⑧审阅与检查。这也是在业务层面评价的常用方法，通过核对有关证据而获取有关控制的运行状况，如选择某些调节表上的差异，追溯到相应的单据记录（如银行对账单）或检查调节表是否有相关负责人签字。六【例题34·多选题】评价工作组可综合运用（）等评价方法，收集被评价单位内部控制设计与运行是否有效的证据。A.专题讨论B.穿行测试C.抽样D.比较分析【答案】ABCD【解析】评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据。4.认定内部控制缺陷（1）内部控制缺陷的分类六内部控制缺陷的分类本质分类设计缺陷运行缺陷严重程度分类重大缺陷重要缺陷一般缺陷影响内部控制目标的具体表现形式财务报告相关缺陷非财务报告相关缺陷4.认定内部控制缺陷①按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。1）设计缺陷是指企业缺少为实现控制目标的必需控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。2）运行缺陷是指设计合理及有效的内部控制，但在运作上没有被正确地运行，包括执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。六②按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。1）重大缺陷（也称实质性漏洞），是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。六2）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。内部控制评价组需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。六③按照影响内部控制目标的具体表现形式分类：内部控制缺陷分为财务报告相关缺陷和非财务报告相关缺陷。1）财务报告相关内部控制的定义。财务报告相关内部控制，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。六主要包括下列方面的政策和程度：保存充分、适当的记录，准确、公允地反映企业的交易和事项；合理保证按照企业会计准则的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；合理保证及时防止或发现并纠正的、对财务报表有重大影响的交易和事项。六2）非财务报告内部控制的定义。非财务报告内部控制是指除财务报告内部控制之外的其他控制，通常是为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。六【相关链接1】某上市公司内部控制缺陷认定标准1.财务报告内部控制缺陷认定标准

（1）公司确定的财务报告内部控制缺陷评价的定量标准如下：

公司以净利润的5%作为利润表整体重要性水平的衡量指标。当潜在错报金额大于或等于净利润的5%，则认定为重大缺陷；当潜在错报金额小于净利润的5%但大于或等于净利润的1%，则认定为重要缺陷；当潜在错报金额小于净利润的1%时，则认定为一般缺陷。六（2）公司确定的财务报告内部控制缺陷评价的定性标准如下：

财务报告重大缺陷的认定标准：

①董事、监事和高级管理人员的舞弊行为；

②注册会计师发现却未被公司内部控制识别的当期财务报告中的重大错报；

③审计委员会和内部审计机构对内部控制的监督无效。

六财务报告重要缺陷的认定标准：

①未依照公认会计准则选择和应用会计政策；

②未建立反舞弊程序和控制措施；

③对于非常规或特殊交易的账务处理没有建立相应的控制机制或没有实施且没有相应的补偿性控制；

④对于期末财务报告过程的控制存在一项或多项缺陷且不能合理保证编制的财务报表达到真实、完整的目标。

一般缺陷指除上述重大缺陷、重要缺陷之外的其他控制缺陷。六2.非财务报告内部控制缺陷认定标准

（1）公司确定的非财务报告内部控制缺陷评价的定量标准如下：

本公司以直接损失占公司资产总额的0.5%作为非财务报告重要性水平的衡量指标。当直接损失金额大于或等于资产总额的0.5%，则认定为重大缺陷；当直接损失金额小于资产总额的0.5%但大于或等于资产总额的0.1%，则认定为重要缺陷；当直接损失金额小于资产总额的0.1%时，则认定为一般缺陷。六（2）公司确定的非财务报告内部控制缺陷评价的定性标准如下：

公司确定的非财务报告内部控制缺陷评价的定性标准，以缺陷对公司业务流程有效性的影响程度、发生的可能性作判定，如果缺陷发生的可能性较小，会降低工作效率或效果、或使之偏离预期目标为一般缺陷；如果缺陷发生的可能性较高，会显著降低工作效率或效果、或使之显著偏离预期目标为重要缺陷；如果缺陷发生的可能性高，会严重降低工作效率或效果，或使之严重偏离预期目标为重大缺陷。

六【相关链接2】大华会计师事务所出具的《深圳市农产品股份有限公司内部控制审计报告》之财务报告内部控制审计意见为：“我们认为，农产品公司于

2013年12 月31日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。”

    同时，大华会计师事务所指出公司2013年存在非财务报告内部控制的重大缺陷：“在内部控制审计过程中，我们注意到农产品公司的非财务报告内部控制存在重大缺陷。农产品公司下属子公司成都农产品中心批发市场有限公司原出纳于2013年8月份期间，六受外部人员蛊惑和个人利益的驱使，通过非法手段盗用公司印鉴，与公司外部人士串通，以盗开银行票据等方式，有计划地从公司银行账户中挪用资金 3,025万元，已追回1,412.67万元，剩余款项正在追讨中。该事项可能对公司产生重大财产损失，需要公司进一步采取措施提升员工对职业道德和犯罪行为的认知水平。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对农产品公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。”

六【例题35·单选题】甲公司在内部控制自评中发现，多项业务流程和控制手段存在缺陷或风险隐患。有些属于设计缺陷，有些属于运行缺陷。下面所列情况中，属于运行缺陷的是（）。（2012年）A.规定更换库房保管员时要盘点核实库存，但没有规定要交接双方一同进行B.规定使用清澈的酒精溶液清洗容器，但未提供酒精溶液清澈的判断标准C.规定要对大宗物料供应商实地考察，但对必须考察生产现场则缺少核实办法D.规定审核研发产品的技术先进性，但研发人员并不提供技术先进性的证据及证明【答案】D【解析】选项A、B、C属于设计缺陷，选项D属于运行缺陷。（2）内部控制缺陷的认定程序与整改对于重大缺陷和重要缺陷的整改方案，应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存