三、内部控制评价
(-)内部控制评价(★★)
内部控制自我评价是由企业董事会和管理层实施的。企业董事会应当对内部控制评价报告的真实性负责。
1.内部控制评价的内容及应当遵循的原则
根据《评价指引》的要求,内部控制评价的内容涉及以下七个方面:
(1)企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素.确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。
(2)企业组织开展内部环境评价,应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据,结合本企业的内部控制制度,对内部环境的设计及实际运行情况进行认定和评价。
(3)企业组织开展风险评估机制评价,应当以《企业内部控制基本规范》有关风险评估的要求,以及各项应用指引中所列主要风险为依据,结合本企业的内部控制制度,对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。
(4)企业组织开展控制活动评价,应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据,结合本企业的内部控制制度,对相关控制措施的设计和运行情况进行认定和评价。
(5)企业组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本企业的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
(6)企业组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本企业的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。
(7)内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作。
|
原则 |
具体描述 |
|
全面性原则 |
评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项 |
|
重要性原则 |
评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域 |
|
客观性原则 |
评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性 |
【提示】“内部控制原则”和“内部控制评价原则”的对话
有-天在街上“内部控制原则”遇到了自己的上级“内部控制评价原则”,“内部控制评价原则”调侃“内部控制原则”道:“你-定要严格按照规定办事啊,不能跑偏了,不然我可按照我的看家本领——全面性、重要性和客观性来对你不客气啦!呵呵。”“内部控制原则”立即回答道:“当然了,我肯定会按照全面性、重要性、制衡性、适应性和成本效益原则办事的,绝对不会让你抓住把柄的。”
【例题16·多选题】下列属于内部控制评价应当遵循的原则的是( )。
A.全面性原则
B.重要性原则
C.客观性原则
D.谨慎性原则
【答案】ABC
【解析】内部控制评价应当遵循的原则包括全面性原则、重要性原则和客观性原则。
2.内部控制评价的程序
内部控制评价程序-般包括:制定评价控制方案、组织评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
(1)制定评价控制方案。
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。
(2)组成评价工作组。
评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
如果企业决定利用外聘会计师事务所为其提供内部控制评价服务.根据《内控规范》的要求,该会计师事务所不应同时为企业提供内部控制的审计服务。
(3)实施评价工作与测试。
①了解公司层面基本情况。(主要了解的是内控五要素,例如内部环境的情况)
②了解各业务层面的主要流程及风险。(工作重点放在主要业务流程中,如资金管理流程、销售流程和采购流程等。评价工作组可审阅的内控流程文档可能有风险控制矩阵文档、流程图文档、审批权限表文档。)
③确定检查评价范围和重点。
④开展现场检查测试。
(4)汇总评价结果。
评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。
企业内部控制评价工作组应当建立评价质量交叉复核制度.有关评价报告应由评价工作组负责人严格审核确认,与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表.结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核.提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
【提示】开展现场检查测试时评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法。个别访谈适合于企业和业务层面;调查问卷适合于企业层面;专题讨论适合于企业层面;穿行测试、实地查验、抽样、比较分析和审阅与检查适合于业务层面。
3.内部控制缺陷的认定
(1)内部控制缺陷的分类。
|
分类标准 |
具体内容 |
|
内部控制缺陷的本质 |
设计缺陷和运行缺陷 |
|
内部控制严重程度 |
重大缺陷、重要缺陷和-般缺陷 |
【提示】
①重大缺陷(也称实质性漏洞),是指-个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
②重要缺陷是指-个或多个-般缺陷的组合,其严重程度低干重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大,需引起管理层关注。
③-般缺陷是指除重要缺陷、重大缺陷外的其他缺陷。
(2)内部控制认定程序与整改。
对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如,存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于-般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
【例题17·多选题】下列关于内部控制缺陷的说法中,正确的有( )。
A.对于重大缺陷和重要缺陷的整改方案。内部控制评价组应向董事会(审计委员会)、监事会或经理层报告并审定
B.如果出现不适舍向经理层报告的重大缺陷和重要缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告
c.重要缺陷会影响企业内部控制的整体有效性
D.对于-般缺陷.可以与企业管理层报告,无需向董事会(审计委员会)、监事会报告
【答案】AB
【解析】重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视,所以选项C的说法不正确;对于-般缺陷,可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。所以选项D的说法不正确。
4.内部控制评价报告
内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。
《评价指引》要求企业在评价报告中至少披露以下内容:
(1)董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责。
(2)内部控制评价工作的总体情况,即概要说明。
(3)内部控制评价的依据,-般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。
(4)内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。
(5)内部控制评价的程序和方法。
(6)内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准,并声明与以前年度保持-致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和-般缺陷。
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
(8)内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
