内部控制管理及组织结构管理知识分析评价bnjo.pptx

《内部控制管理及组织结构管理知识分析评价bnjo.pptx》由会员分享，可在线阅读，更多相关《内部控制管理及组织结构管理知识分析评价bnjo.pptx（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第九章第九章 内部控制评价内部控制评价引例：内部控制自我评价报告引例：内部控制自我评价报告PDF格式格式第一节第一节 内部控制评价概述内部控制评价概述第二节第二节 内部控制评价的组织与实施内部控制评价的组织与实施第三节第三节 内部控制缺陷的认定内部控制缺陷的认定第四节第四节 内部控制评价工作底稿与报告内部控制评价工作底稿与报告第一节第一节 内部控制评价概述内部控制评价概述P385一、内部控制评价的定义一、内部控制评价的定义二、内部控制评价的内容二、内部控制评价的内容三、内部控制评价的原则和方法三、内部控制评价的原则和方法一、内部控制评价的定义一、内部控制评价的定义(cont.)根据企业内部控制

2、评价指引第二条相根据企业内部控制评价指引第二条相关规定，关规定，内部控制评价内部控制评价，是指企业董事会，是指企业董事会或类似权力机构对内部控制的有效性进行或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告全面评价、形成评价结论、出具评价报告的过程。的过程。一、内部控制评价的定义一、内部控制评价的定义(cont.)（一）内部控制评价的（一）内部控制评价的主体主体是是董事会或类董事会或类似权力机构似权力机构（二）内部控制评价的（二）内部控制评价的对象对象是是内部控制的内部控制的有效性有效性(P385)（三）内部控制评价（三）内部控制评价是一个过程是一个过程（二）内部控制评价

3、的对象是内部控（二）内部控制评价的对象是内部控制的有效性制的有效性内部控制有效性内部控制有效性指企业建立与实施内部控指企业建立与实施内部控制能够为控制目标的实现提供合理的保证，制能够为控制目标的实现提供合理的保证，包括内部控制包括内部控制设计设计的有效性和的有效性和运行运行的有效的有效性。性。1.设计有效性设计有效性2.运行有效性运行有效性1.设计有效性设计有效性P386内部控制的设计有效性内部控制的设计有效性，是指为实现控制，是指为实现控制目标所必需的内部控制目标所必需的内部控制要素都存在并且设要素都存在并且设计恰当计恰当。1.设计有效性设计有效性设计有效性的根本判断标准设计有效性的根本判断

4、标准是所设计的内部控制是所设计的内部控制是否能为内部控制目标的实现提供合理保证。是否能为内部控制目标的实现提供合理保证。目标：目标：财务报告目标；财务报告目标；合规目标；合规目标；资产安全目标；资产安全目标；战略目标；战略目标；经营目标。经营目标。设计有效性主要体现设计有效性主要体现为内部控制为内部控制设计的合理性和设计的合理性和适当性适当性。2.运行有效性运行有效性P386内部控制运行有效性内部控制运行有效性，是指现有内部控制按照规，是指现有内部控制按照规定程序定程序得到了正确执行得到了正确执行。评价内部控制的运行有效性，应当着重考虑以下评价内部控制的运行有效性，应当着重考虑以下几个方面：几

5、个方面：（1）相关控制在评价期内是）相关控制在评价期内是如何运行如何运行的；的；（2）相关控制是否得到了）相关控制是否得到了持续一致的运行持续一致的运行；（3）实施控制的人员是否）实施控制的人员是否具备必要的权限和能具备必要的权限和能力力。2.运行有效性运行有效性即使同时满足设计有效性和运行有效性标即使同时满足设计有效性和运行有效性标准的内部控制，也只能为内部控制目标的准的内部控制，也只能为内部控制目标的实现实现提供合理保证提供合理保证，而，而不能提供绝对保证不能提供绝对保证。这是因为，内部控制目标实现受到许多不这是因为，内部控制目标实现受到许多不可控因素的影响之外，内部控制本身也存可控因素的

6、影响之外，内部控制本身也存在固有局限。在固有局限。2.运行有效性运行有效性内部控制的固有局限主要表现为：内部控制的固有局限主要表现为：（1）人为的判断人为的判断不可避免会出现不可避免会出现失误失误，从而使内部控，从而使内部控制中的那些基于判断的决策出现失误，进而导致内部制中的那些基于判断的决策出现失误，进而导致内部控制失效；控制失效；（2）内部控制可能会由于误解、疏忽等多方面的原因内部控制可能会由于误解、疏忽等多方面的原因失效失效；（3）经理层凌驾于内部控制之上经理层凌驾于内部控制之上可能导致内部控制失可能导致内部控制失效；效；（4）两个或多个人的串通行为两个或多个人的串通行为可能导致内部控制

7、失效；可能导致内部控制失效；（5）由于考虑和权衡）由于考虑和权衡内部控制的成本与效益内部控制的成本与效益，可能会，可能会影响内部控制的有效性。影响内部控制的有效性。二、内部控制评价的内容二、内部控制评价的内容P3901.内部环境评价内部环境评价2.风险评估评价风险评估评价3.控制活动评价控制活动评价4.信息与沟通评价信息与沟通评价5.内部监督评价内部监督评价1.内部环境评价内部环境评价第六条第六条 企业组织开展内部环境评价，应当企业组织开展内部环境评价，应当以以组织架构、发展战组织架构、发展战 略、人力资源、企业略、人力资源、企业文化、社会责任文化、社会责任等应用指引为依据，结合等应用指引为依

8、据，结合本企业的内部控制制度，对内部环境的设本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。计及实际运行情况进行认定和评价。2.风险评估评价风险评估评价第七条第七条 企业组织开展风险评估机制评价，企业组织开展风险评估机制评价，应当以企业内部控制基本规范有关风应当以企业内部控制基本规范有关风险评估的要求，以及各项应用指引中所列险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的制度，对日常经营管理过程中的风险识别、风险识别、风险分析、应对策略风险分析、应对策略等进行认定和评价。等进行认定和评价

9、。3.控制活动评价控制活动评价第八条第八条 企业组织开展控制活动评价，应当企业组织开展控制活动评价，应当以企业内部控制基本规范和各项应用以企业内部控制基本规范和各项应用指引中的控制措施为依据，结合本企业的指引中的控制措施为依据，结合本企业的内部控制制度，对内部控制制度，对相关控制措施的设计和相关控制措施的设计和运行情况运行情况进行认定和评价。进行认定和评价。4.信息与沟通评价信息与沟通评价第九条第九条 企业组织开展信息与沟通评价，应企业组织开展信息与沟通评价，应当以内部信息传递、当以内部信息传递、财务报告、信息系统财务报告、信息系统等相关应用指引为依据，结合本企业的内等相关应用指引为依据，结合

10、本企业的内部控制制度，对部控制制度，对信息收集、处理和传递的信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性信息系统实施内部控制的有效性等进行认等进行认定和评价。定和评价。5.内部监督评价内部监督评价第十条第十条 企业组织开展内部监督评价，应当企业组织开展内部监督评价，应当以企业内部控制基本规范有关内部监以企业内部控制基本规范有关内部监督的要求，以及各项应用指引中有关日常督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控管控的规

11、定为依据，结合本企业的内部控制制度，制制度，对内部监督机制的有效性对内部监督机制的有效性进行认进行认定和评价，定和评价，重点关注重点关注监事会、审计委员会、监事会、审计委员会、内部审计机构内部审计机构等是否在内部控制设计和运等是否在内部控制设计和运行中有效发挥监督作用。行中有效发挥监督作用。企业内部控制评价，一般包括年度评价和专项评企业内部控制评价，一般包括年度评价和专项评价。价。年度评价年度评价指企业根据内部控制目标，对企业某一指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；年度建立与实施内部控制的有效性进行的评价；专项评价专项评价指企业在特定时点对特定范围的内部

12、控指企业在特定时点对特定范围的内部控制的有效性进行的评价。制的有效性进行的评价。见例见例20-2、20-3、20-4、20-5、20-6（P390-399）三、内部控制评价的原则和方法三、内部控制评价的原则和方法（一）内部控制评价的原则（一）内部控制评价的原则（二）内部控制评价的方法（二）内部控制评价的方法（一）内部控制评价的原则（一）内部控制评价的原则P387（1）全面性原则。）全面性原则。评价工作应当包括内部评价工作应当包括内部控制的设计与运行，控制的设计与运行，涵盖企业及其所属单位涵盖企业及其所属单位的各种业务和事项。的各种业务和事项。（2）重要性原则。）重要性原则。评价工作应当在全面评

13、评价工作应当在全面评价的基础上，关注重要业务单位、重大业务价的基础上，关注重要业务单位、重大业务事项和高风险领域。事项和高风险领域。（3）客观性原则。）客观性原则。评价工作应当准确地揭评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制示经营管理的风险状况，如实反映内部控制设计与运行的有效性。设计与运行的有效性。例例20-1（P387）（二）内部控制评价的方法（二）内部控制评价的方法企业内部控制评价指引第十五条规定，企业内部控制评价指引第十五条规定，内部控制评价工作组应当对被评价单位进行内部控制评价工作组应当对被评价单位进行现场测试，综合运用现场测试，综合运用个别访谈、调查问卷、个别访谈

14、、调查问卷、专题讨论、穿行测试、实地查验、专题讨论、穿行测试、实地查验、抽样和比抽样和比较分析较分析等方法，充分收集被评价单位内部控等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。析内部控制缺陷。（二）内部控制评价的方法（二）内部控制评价的方法P4011.个别访问法个别访问法2.调查问卷法调查问卷法3.穿行测试法穿行测试法4.抽样法抽样法5.实地查验法实地查验法6.比较分析法比较分析法7.专题讨论法专题讨论法还可以使用观察、检查、重新执行等方法

15、，也还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查的方法，或利用实可以利用信息系统开发检查的方法，或利用实际工作和检查测试经验。际工作和检查测试经验。第二节第二节 内部控制评价的组织与实施内部控制评价的组织与实施P388一、内部控制评价的组织机构一、内部控制评价的组织机构二、内部控制评价程序二、内部控制评价程序一、内部控制评价的组织机构一、内部控制评价的组织机构P388（一）内部控制评价的责任主体及其职责（一）内部控制评价的责任主体及其职责（二）内部控制评价的具体组织实施主体（二）内部控制评价的具体组织实施主体及其职责及其职责（三）其他相关部门及其职责（三）其他相关部门及其职

16、责（一）内部控制评价的责任主体及其（一）内部控制评价的责任主体及其职责职责董事会董事会是内部控制评价的是内部控制评价的责任主体责任主体，对内，对内部控制评价承担部控制评价承担最终的责任最终的责任，对内部控制，对内部控制评价报告的评价报告的真实性真实性负责。负责。董事会可以通过董事会可以通过审计委员会审计委员会来承担对内部来承担对内部控制评价的组织、领导、监督职责。控制评价的组织、领导、监督职责。董事会或审计委员会董事会或审计委员会应听取内部控制评价应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改报告，审定内控重大缺陷、重要缺陷整改意见。意见。（二）内部控制评价的具体组织实施（二）内部控制

17、评价的具体组织实施主体及其职责主体及其职责内部控制评价工作的内部控制评价工作的具体组织实施主体具体组织实施主体一一般为般为内部审计机构或专门的内部控制评价内部审计机构或专门的内部控制评价机构机构。第十三条第十三条 企业内部控制评价部门应当拟订企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内人员组织、进度安排和费用预算等相关内容，容，报经董事会或其授权机构审批后实施。报经董事会或其授权机构审批后实施。（二）内部控制评价的具体组织实施（二）内部控制评价的具体组织实施主体及其职责主体及其职责第十四条第十四条

18、“企业内部控制评价部门应当根据经批企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行成员对本部门的内部控制评价工作应当实行回避制回避制度度。企业企业可以委托中介机构实施内部控制评价可以委托中介机构实施内部控制评价。为企业。为企业提供内部控制审计服务的会计师事务所，提供内部控制审计服务的会计师事务所，不得同时不得同时

19、为同一企业提供内部控制评价服务为同一企业提供内部控制评价服务。”（三）其他相关部门及其职责（三）其他相关部门及其职责1.经理层经理层：负责组织实施内部控制评价工作。：负责组织实施内部控制评价工作。2.各专业部门各专业部门：负责组织本部门的内控自查、：负责组织本部门的内控自查、测试和评价工作。测试和评价工作。3.企业所属单位企业所属单位：逐级落实逐级落实内部控制评价责内部控制评价责任。任。4.监事会监事会：审议审议内部控制评价报告，对董事内部控制评价报告，对董事会建立与实施内部控制进行会建立与实施内部控制进行监督监督。二、内部控制评价程序二、内部控制评价程序P400（一）内部控制评价的一般程序（

20、一）内部控制评价的一般程序（二）内部控制评价的频率（二）内部控制评价的频率（一）内部控制评价的一般程序（一）内部控制评价的一般程序1.准备阶段准备阶段（1）制定评价工作方案）制定评价工作方案（2）组成评价工作组）组成评价工作组2.实施阶段实施阶段（1）了解被评价单位基本情况）了解被评价单位基本情况（2）确定检查评价范围和重点）确定检查评价范围和重点（3）开展现场检查测试）开展现场检查测试3.汇总评价结果、编制评价报告阶段汇总评价结果、编制评价报告阶段4.报告反馈与跟踪阶段报告反馈与跟踪阶段（二）内部控制评价的频率（二）内部控制评价的频率企业企业每年每年应对内部控制进行评价并予以披露。应对内部控

21、制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序但是内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从行确定。国家有关法律法规另有规定的，从其规定。其规定。如果内部监督程序无效，或所提供信息不足如果内部监督程序无效，或所提供信息不足以说明内部控制有效，以说明内部控制有效，应增加评价的频率应增加评价的频率。第三节第三节 内部控制缺陷的认定内部控制缺陷的认定P402一、内部控制缺陷的定义和种类一、内部控制缺陷的定义

22、和种类二、内部控制缺陷的认定标准二、内部控制缺陷的认定标准三、内部控制缺陷的认定步骤三、内部控制缺陷的认定步骤四、内部控制缺陷和有效性的关系四、内部控制缺陷和有效性的关系五、内部控制缺陷的报告与整改五、内部控制缺陷的报告与整改一、内部控制缺陷的定义和种类一、内部控制缺陷的定义和种类P402内部控制缺陷内部控制缺陷是内部控制在是内部控制在设计和运行中存设计和运行中存在的漏洞在的漏洞，这些漏洞不同程度地影响内部控，这些漏洞不同程度地影响内部控制的有效性，影响控制目标的实现。制的有效性，影响控制目标的实现。内部控制缺陷是描述内部控制有效性的一个内部控制缺陷是描述内部控制有效性的一个负向的维度负向的维

23、度。企业开展内部控制评价，主要工作内容之一企业开展内部控制评价，主要工作内容之一就是要就是要找出内部控制缺陷并有针对性地进行找出内部控制缺陷并有针对性地进行整改整改。一、内部控制缺陷的定义和种类一、内部控制缺陷的定义和种类P403（一）按照内部控制缺陷成因或来源分类（一）按照内部控制缺陷成因或来源分类（二）按照影响企业内部控制目标实现的（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类严重程度（内部控制缺陷的性质）分类（三）按照具体影响内部控制目标的具体（三）按照具体影响内部控制目标的具体表现形式分类表现形式分类（一）按照内部控制缺陷成因或来源分类（1）设计缺陷设计缺陷指缺

24、少为实现控制目标所必需指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。行也难以实现控制目标。（2）运行缺陷运行缺陷指设计有效的内部控制由于运指设计有效的内部控制由于运行不当而形成的内部控制缺陷。行不当而形成的内部控制缺陷。（二）按照影响企业内部控制目标实现的严重程度（内部控制缺陷的性质）分类（1）重大缺陷）重大缺陷，是指一个或多个控制缺陷，是指一个或多个控制缺陷的组合，可能导致企业的组合，可能导致企业严重偏离严重偏离控制目标。控制目标。（2）重要缺陷）重要缺陷，是指一个或多个控制缺陷，是指一个或多个控制缺陷的组合，

25、其的组合，其严重程度和经济后果低于重大严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离缺陷，但仍有可能导致企业偏离控制目标。控制目标。（3）一般缺陷）一般缺陷，是指除重大缺陷、重要缺，是指除重大缺陷、重要缺陷之外的其他缺陷。陷之外的其他缺陷。（三）按照具体影响内部控制目标的具体表现形式分类财务报表缺陷财务报表缺陷非财务报表缺陷非财务报表缺陷二、内部控制缺陷的认定标准二、内部控制缺陷的认定标准P403第十六条第十六条 企业对内部控制缺陷的认定，应企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综内部

26、控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。程序进行审核后予以最终认定。（一）财务报告内部控制缺陷的认定标准（一）财务报告内部控制缺陷的认定标准（二）非财务报告内部控制缺陷的认定标准（二）非财务报告内部控制缺陷的认定标准（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准P404认定标准直接取决于由于该内部控制缺陷认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告的重要程度。的存在可能导致的财务报告的重要程度。重要程度取决于两个方面的因素：重要程度取决于两个方面的因素：（

27、1）该缺陷是否具备）该缺陷是否具备合理可能性合理可能性导致企业导致企业的内部控制不能及时防止或发现并纠正财的内部控制不能及时防止或发现并纠正财力报告错报；力报告错报；（2）该缺陷单独或连同其他缺陷）该缺陷单独或连同其他缺陷可能导致可能导致的潜在错报金额的大小的潜在错报金额的大小。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准出现以下迹象之一时，通常表明财务报告内部控制出现以下迹象之一时，通常表明财务报告内部控制可能存在重大缺陷：可能存在重大缺陷：P404（1）董事、监事和高级管理人员舞弊；）董事、监事和高级管理人员舞弊；（2）企业更正已公布的财务报告；）企业更正已公布

28、的财务报告；（3）注册会计师发现当期财务报表存在重大错报，）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制）企业审计委员会和内部审计机构对内部控制的监督无效。的监督无效。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准内部控制缺陷的严重程度内部控制缺陷的严重程度并不取决于并不取决于是否实是否实际发生了错报，际发生了错报，而是取决于而是取决于该控制不能及时该控制不能及时防止（或发现）并纠正潜在缺陷的可能性。防止（或发现）并纠正潜在缺陷的可能性。即：如果企业的财

29、务报表存在错报，必然表即：如果企业的财务报表存在错报，必然表明该企业的财务报告内部控制存在缺陷；但明该企业的财务报告内部控制存在缺陷；但是，如果企业的财务报表不存在错报，也不是，如果企业的财务报表不存在错报，也不一定表明该企业的财务报告内部控制就不存一定表明该企业的财务报告内部控制就不存在缺陷。在缺陷。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准一般而言，如果一项内部控制缺陷单独或连同其他一般而言，如果一项内部控制缺陷单独或连同其他缺陷缺陷具备合理可能性导致不能及时防止或发现并纠具备合理可能性导致不能及时防止或发现并纠正财务报表中的重大错报正财务报表中的重大错报，就

30、应将该缺陷认定为，就应将该缺陷认定为重重大缺陷大缺陷。重大错报中的重大错报中的“重大重大”，涉及企业管理层确定的财，涉及企业管理层确定的财务报表的务报表的重要性水平重要性水平。一般企业可以采用绝对金额。一般企业可以采用绝对金额法或相对比例法来确定重要性水平。法或相对比例法来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效缺陷，就不能得出该企业的财务报告内部控制有效的结论。的结论。（一）财务报告内部控制缺陷的认定（一）财务报告内部控制缺陷的认定标准标准如果一项内部控制缺陷单独或连同其他缺如果一项内

31、部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发陷具备合理可能性导致不能及时防止或发现并纠正财务报表中现并纠正财务报表中虽然未达到和超过重虽然未达到和超过重要性水平、但仍应引起董事会和管理层重要性水平、但仍应引起董事会和管理层重视的错报视的错报，就应将该缺陷认定为，就应将该缺陷认定为重要缺陷重要缺陷。例例20-7（P405）（二）非财务报告内部控制缺陷的认（二）非财务报告内部控制缺陷的认定标准定标准P406可以采用可以采用定性定性和和定量定量的认定标准。的认定标准。以下迹象通常表明以下迹象通常表明非财务报告内部控制可能存在非财务报告内部控制可能存在重大缺陷：重大缺陷：（1）违反法

32、律、法规较严重；）违反法律、法规较严重；（2）除政策性亏损原因外，企业连年亏损，持续）除政策性亏损原因外，企业连年亏损，持续经营受到挑战；经营受到挑战；（3）重要业务缺乏制度控制或制度系统性失效，）重要业务缺乏制度控制或制度系统性失效，如企业财务部、销售部控制点全部不能执行；如企业财务部、销售部控制点全部不能执行；（二）非财务报告内部控制缺陷的认（二）非财务报告内部控制缺陷的认定标准定标准P406（4）并购重组失败，或新扩充下属单位经营难）并购重组失败，或新扩充下属单位经营难以为继；以为继；（5）子公司缺乏内部控制建设，管理散乱；）子公司缺乏内部控制建设，管理散乱；（6）企业管理人员纷纷离开或

33、关键岗位人员流）企业管理人员纷纷离开或关键岗位人员流失严重；失严重；（7）被媒体频频曝光负面新闻；）被媒体频频曝光负面新闻；（8）内部控制评价的结果特别是重大或重要缺）内部控制评价的结果特别是重大或重要缺陷未得到整改。陷未得到整改。财务报告缺陷和非财务报告缺陷其实财务报告缺陷和非财务报告缺陷其实难以做严格难以做严格的区分的区分，例如内部环境、重大安全事故等。因此，例如内部环境、重大安全事故等。因此，在制定标准时，应本着是否直接影响财务报告的在制定标准时，应本着是否直接影响财务报告的原则来区分。原则来区分。另外，另外，重大缺陷、重要缺陷的重大缺陷、重要缺陷的界定是相对的界定是相对的，对，对于有下

34、属单位的集团公司，如果下属单位存在重于有下属单位的集团公司，如果下属单位存在重大缺陷，并不能表明集团公司存在重大缺陷，但大缺陷，并不能表明集团公司存在重大缺陷，但至少应作为重要缺陷向董事会、管理层汇报，而至少应作为重要缺陷向董事会、管理层汇报，而下属单位的重要缺陷则应视对整个集团的影响及下属单位的重要缺陷则应视对整个集团的影响及普遍性程度确定是否属于集团重要缺陷，而下属普遍性程度确定是否属于集团重要缺陷，而下属单位重要缺陷至少应该向经理层汇报。单位重要缺陷至少应该向经理层汇报。例例20-8（P406）三、内部控制缺陷的认定步骤三、内部控制缺陷的认定步骤（一）财务报告缺陷的认定步骤（一）财务报告

35、缺陷的认定步骤（二）非财务报告缺陷的认定步骤（二）非财务报告缺陷的认定步骤四、内部控制缺陷和有效性的关系四、内部控制缺陷和有效性的关系对于为实现对于为实现单个或整体控制目标单个或整体控制目标而设计与运行的控而设计与运行的控制制不存在重大缺陷的情形不存在重大缺陷的情形，企业应当认定针对这些，企业应当认定针对这些整体控制目标的整体控制目标的内部控制是有效的内部控制是有效的。对于为实现某一对于为实现某一整体控制目标整体控制目标而设计与运行的控制而设计与运行的控制存在一个或多个重大缺陷的情形存在一个或多个重大缺陷的情形，企业应当认定针，企业应当认定针对该项整体控制目标的对该项整体控制目标的内部控制是无

36、效的内部控制是无效的。五、内部控制缺陷的报告与整改五、内部控制缺陷的报告与整改P4131.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径2.内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径P413企业内部控制评价指引第十九条规定，企业内部企业内部控制评价指引第十九条规定，企业内部控制评价部门应当编制控制评价部门应当编制内部控制缺陷认定汇总表内部控制缺陷认定汇总表，结，结合日常监督和专项监督发现的内部控制缺陷及其持续合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影改进情况，对内部

37、控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。以适当的形式向董事会、监事会或者经理层报告。重重大缺陷应当由董事会予以最终认定。大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。相关人员的责任。1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径内部控制缺陷报告应当采取内部控制缺陷报告应当采

38、取书面形式书面形式，可以单独报可以单独报告告，也可以作为内部控制评价报告的一个重要组成也可以作为内部控制评价报告的一个重要组成部分部分。一般而言，内部控制的一般缺陷、重要缺陷应一般而言，内部控制的一般缺陷、重要缺陷应定期定期（至少每年）（至少每年）报告，重大缺陷应报告，重大缺陷应立即立即报告。报告。对于重大缺陷和重要缺陷及整改方案，应向董事会对于重大缺陷和重要缺陷及整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。（审计委员会）、监事会或经理层报告并审定。1.内部控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径如果出现不适合向经理层报告的情形如果出现不适合向经理层报告的情形，例

39、如存在与管，例如存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，应当内部控制之上的情形，应当直接向董事会（审计委员直接向董事会（审计委员会）、监事会报告会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。应当引起董事会和管理层的重视。对于对于 一般缺陷，可以向企业经理层报告一般缺陷，可以向企业经理层报告，并视情况考，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。虑是否需要向董事会（审计委员会）、监事会报告。例例20-9（P41

40、4）例例20-10（P414）2.内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限P415企业对于认定的内部控制缺陷，应当企业对于认定的内部控制缺陷，应当及时采取整改措施及时采取整改措施，切，切实将风险控制在可承受度之内，并追究有关机构或相关人员实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。的责任。企业内部控制评价机构应当就发现的内部控制缺陷提出整改企业内部控制评价机构应当就发现的内部控制缺陷提出整改意见，并报经经理层、董事会（审计委员会）、监事会批准。意见，并报经经理层、董事会（审计委员会）、监事会批准。获批后，应制订切实可行的整改方案，包括整改目标、内容、获批后，应制订切

41、实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。应明确近期和远期目标以及相应的整改工作内容。在整改工作中遇到协调困难甚至阻碍的，在整改工作中遇到协调困难甚至阻碍的，内部控制机构有权内部控制机构有权直接向董事会（审计委员会）报告直接向董事会（审计委员会）报告，董事会（审计委员会），董事会（审计委员会）应给予足够的支持和帮助。应给予足够的支持和帮助。例例20-11、20-12、20-13第四节第四节 内部控制评价工作底稿与报告内部控制评价工作底稿与报告P417一

42、、内部控制评价底稿一、内部控制评价底稿二、内部控制评价报告二、内部控制评价报告一、内部控制评价底稿一、内部控制评价底稿企业内部控制评价指引第十一条规定，企业内部控制评价指引第十一条规定，“内部控制评价工作应当内部控制评价工作应当形成工作底稿形成工作底稿，详细记录企业执行评价工作的内容，包括详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、评价工作底稿应当设计合理、证据充分、简便易行、便于操作。简便易行、便于操作。”一、内部控制评价底稿一、内部

43、控制评价底稿1.业务流程评价表业务流程评价表2.控制要素评价表控制要素评价表3.内部控制评价汇总表内部控制评价汇总表二、内部控制评价报告二、内部控制评价报告P417内部控制评价报告按照编制主体、报送对象内部控制评价报告按照编制主体、报送对象和时间，分为和时间，分为对内报告和对外报告对内报告和对外报告。对外报告的内容、格式等强调符合披露要求，对外报告的内容、格式等强调符合披露要求，时间具有强制性，对内报告则主要以符合董时间具有强制性，对内报告则主要以符合董事会（审计委员会）、经理层需要为主，编事会（审计委员会）、经理层需要为主，编制主体层级更多、内容上更加详尽、格式更制主体层级更多、内容上更加详

44、尽、格式更加多样，时间可以定期或不定期。加多样，时间可以定期或不定期。二、内部控制评价报告二、内部控制评价报告P417评价指引第二十条规定，企业应当根评价指引第二十条规定，企业应当根据企业内部控制基本规范、应用指引据企业内部控制基本规范、应用指引和本指引，设计内部控制评价报告的种类、和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后程序和要求，按照规定的权限报经批准后对外报出。对外报出。二、内部控制评价报告二、内部控制评价报告（一）内部控制评价报告的内容和格式（一）内部控制评价报告的内容和格式（二）

45、内部控制评价报告的编制和报送（二）内部控制评价报告的编制和报送（三）内部控制评价报告的披露和使用（三）内部控制评价报告的披露和使用（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式P417评价指引第二十一条和第二十二条规评价指引第二十一条和第二十二条规定了对外披露的内容：定了对外披露的内容：第二十一条第二十一条内部控制评价报告应当分别内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，沟通、内部监督等要素进行设计，对内部对内部控制评价过程、内部控制缺陷认定及整改控制评价过程、内部控制缺陷认定及整改情况、

46、内部控制有效性的结论等相关内容情况、内部控制有效性的结论等相关内容作出披露。作出披露。（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式P417第二十二条第二十二条 内部控制评价报告内部控制评价报告至少应当披露下列内至少应当披露下列内容：容：（1）董事会对内部控制报告真实性的声明。）董事会对内部控制报告真实性的声明。（2）内部控制评价工作的总体情况。）内部控制评价工作的总体情况。（3）内部控制评价的依据。）内部控制评价的依据。（4）内部控制评价的范围。）内部控制评价的范围。（5）内部控制评价的程序和方法。）内部控制评价的程序和方法。（6）内部控制缺陷及其认定情况。）内部控制缺

47、陷及其认定情况。（7）内部控制缺陷的整改情况及重大缺陷拟采取）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。的整改措施。（8）内部控制有效性的结论。）内部控制有效性的结论。（一）内部控制评价报告的内容和格（一）内部控制评价报告的内容和格式式内部控制评价报告的参考格式见内部控制评价报告的参考格式见P424对内报告的格式、内容应该在符合以上要对内报告的格式、内容应该在符合以上要求的基础上进一步详尽地设计和表达。求的基础上进一步详尽地设计和表达。（二）内部控制评价报告的编制和报（二）内部控制评价报告的编制和报送送1.内部控制评价报告的编制内部控制评价报告的编制2.内部控制评价报告的报送内部控制评

48、价报告的报送1.内部控制评价报告的编制内部控制评价报告的编制（1）内部控制评价报告的编制时间）内部控制评价报告的编制时间（2）内部控制评价报告的编制主体）内部控制评价报告的编制主体（3）内部控制评价报告的编制程序）内部控制评价报告的编制程序（1）内部控制评价报告的编制时间）内部控制评价报告的编制时间P418定期内部控制评价报告：定期内部控制评价报告：至少每年一次至少每年一次，由董，由董事会对外发布，年度内部控制评价报告应当以事会对外发布，年度内部控制评价报告应当以12月月31日日为基准日。为基准日。非定期内部控制评价报告：非定期内部控制评价报告：可以是因特殊事项可以是因特殊事项或原因而或原因而

49、对外对外发布的内部控制评价报告，也可发布的内部控制评价报告，也可以是企业针对发现的重大缺陷专项内部控制评以是企业针对发现的重大缺陷专项内部控制评价等向董事会（审计委员会）或经理层报送的价等向董事会（审计委员会）或经理层报送的内部内部报告（即内部控制缺陷报告）。报告（即内部控制缺陷报告）。（2）内部控制评价报告的编制主体）内部控制评价报告的编制主体P418包括单个企业和企业集团的母公司。包括单个企业和企业集团的母公司。单个企业内部控制评价报告单个企业内部控制评价报告，属于，属于对内报对内报告告；企业集团母公司内部控制评价报告企业集团母公司内部控制评价报告，可以，可以是是对内或对外报告对内或对外报

50、告。（3）内部控制评价报告的编制程序）内部控制评价报告的编制程序P419首先，内部控制评价机构对工作底稿进行复核，根首先，内部控制评价机构对工作底稿进行复核，根据认定并按照规定的权限和程序审批确定的内部控据认定并按照规定的权限和程序审批确定的内部控制缺陷，判断内部控制的有效性；制缺陷，判断内部控制的有效性；其次，内部控制评价机构搜集整理编制内部控制评其次，内部控制评价机构搜集整理编制内部控制评价报告所需的相关资料；价报告所需的相关资料；再次，内部控制评价机构根据有关资料撰写内部控再次，内部控制评价机构根据有关资料撰写内部控制评价报告；制评价报告；最后，内部控制评价报告上报经理层审核、董事会最后