第三章 内部控制与评价

公司治理与内部控制

第四章 内部控制评价第一节 第二节 第三节 第四节 第五节

内部控制评价概述 内部控制评价的对象与内容 内部控制缺陷的认定 内部控制评价的方法 内部控制评价报告

为促进企业全面评价内部控制的设 计与运行情况，规范内部控制评价 程序和评价报告，揭示和防范风险， 财政部等五部委专门制定了《企 业内部控制评价指引》。对内部 控制的建立、实施进行评价，是优 化内部控制自我监督机制的一项重 要制度安排，是内部控制的重要组 成部分，与内部控制的建立、实施， 共同构成有机循环。

4.1 内部控制评价概述一、内部控制评价的作用 第一，内部控制评价有助于企业自我完善 内控体系。 第二，内部控制评价有助于提升企业市场 形象和公众认可度。 第三，内部控制评价有助于实现与政府监 管的协调互动。

4.1 内部控制评价概述二、内部控制评价的对象 内部控制评价是对内部控制有效性发表意见。 所谓内部控制有效性，是指企业建立与实施 内部控制对实现控制目标提供合理保证的程 度，包括内部控制设计的有效性和内部控制 运行的有效性。其中： ★内部控制设计的有效性，是指为实现控制 目标所必需的内部控制要素都存在并且设计 恰当；内部控制运行的有效性，是指现有内 部控制按照规定程序得到了正确执行。

4.1 内部控制评价概述

★评价内部控制运行的有效性，应当着重考 虑以下几个方面：(1)相关控制在评价期 内是如何运行的；(2)相关控制是否得到 了持续一致的运行；(3)实施控制的人员 是否具备必要的权限和能力。

4.1 内部控制评价概述三、 内部控制评价的原则 (1)全面性原则。全面性原则强调的是内部 控制评价的涵盖范围应当全面，具体来说， 是指内部控制评价工作应当包括内部控制的 设计与运行，涵盖企业及其所属单位的各种 业务和事项。 (2)重要性原则。重要性原则强调内部控制 评价应当在全面性的基础之上，着眼于风险， 突出重点。

4.1 内部控制评价概述(3)客观性原则。客观性原则强调内部控制 评价工作应当准确地揭示经营管理的风险状 况，如实反映内部控制设计和运行的有效性。 须要特别注意的是，财政部、银监会等五部 门制定的《企业内部控制评价指引》提出的 内部控制评价原则是企业实施内部控制评价 工作时至少遵循的三项最基本的原则。 同时，企业应根据评价工作目标与企业自身 的特点补充参考以下原则：

4.1 内部控制评价概述

(1)风险导向原则。内部控制评价应

当以风 险评估为基础，根据风险发生的可能性和对企 业单个或整体控制目标产生的影响程度来确定 需要评价的重点业务单元、重点业务领域或流 程环节的相关内部控制。 (2)独立性原则。内部控制评价机构的确定 及评价工作的组织实施应当保持相应的独立性。 (3)成本效益原则。内部控制评价应当以适 当的成本实现科学、有效的评价。

4.2

内部控制评价的对象与内容

《企业内部控制评价指引》第五条规定： “企业应当根据《企业内部控制基本规 范》、应用指引以及本企业的内部控制制 度，围绕内部环境、风险评估、控制活动、 信息与沟通、内部监督等要素，确定内部 控制评价的具体内容，对内部控制设计与 运行情况进行全面评价”。具体来说，内 部控制评价的内容包括：

4.2

内部控制评价的对象与内容

(1)内部环境评价。应当包括组织架构、发 展战略、人力资源、企业文化、社会责任等 方面。 (2)风险评估评价。应当对日常经营管理过 程中的目标设定、风险识别、风险分析、应 对策略等进行认定和评价。 (3)控制活动评价。应对企业各类业务的控 制措施与流程的设计有效性和运行有效性进 行认定和评价。

4.2

内部控制评价的对象与内容

(4)信息与沟通评价。应当对信息收集、处 理和传递的及时性、反舞弊机制的健全性、财 务报告的真实性、信息系统的安全性，以及利 用信息系统实施内部控制的有效性进行认定和 评价。 (5)内部监督评价。应当对管理层对于内部 监督的基调、监督的有效性及内部控制缺陷认 定的科学、客观、合理进行认定和评价。重点 关注监事会、审计委员会、内部审计机构等是 否在内部控制设计和运行中有效发挥作用。

4.3 内部控制缺陷的认定一、内部控制缺陷的类型 当内部控制的设计或运行不允许管理层或雇 员实施他们的职能来及时防止错误与舞弊的 发生，就发生了内部控制缺陷。内部控制缺 陷主要有以下三种分类方法。 1.设计缺陷和运行缺陷 《企业内部控制评价指引》第十六条指出， 内部控制缺陷包括设计缺陷和运行缺陷。

4.3 内部控制缺陷的认定企业对内部控制缺陷的认定，应当以日常监 督和专项监督为基础，结合年度内部控制评 价，由内部控制评价部门进行综合分析后提 出认定意见，按照规定的权限和程序进行审 核后予以最终认定。 设计缺陷和运行缺陷是内部控制缺陷的成因 (或来源)。

4.3 内部控制缺陷的认定

★设计缺陷是指企业缺少为实现控制目标所必 需的控制，或现存控制设计不适当，即使正常 运行

也难以实现控制目标。 ★运行缺陷是指设计有效(合理且适当)的内 部控制由于运行不当(包括由不恰当的人执行、 未按设计的方式运行、运行的时间或频率不当、 没有得到一贯有效运行等)而形成的内部控制 缺陷。

【提示】内部控制缺陷识别的基础内部控制缺陷是内部控制过程存在的缺点或 不足，这种缺点或不足使得内部控制无法为 控制目标的实现提供合理保证。内部控制评 价的目的是要发现内部控制缺陷，不断提高 为内部控制目标实现提供合理保证的程度。 对内部控制缺陷的识别以及缺陷严重程度的 划分是基于目标导向来进行内部控制缺陷的 识别与评估。 内部控制未能实现目标的原因分为两种：内 控缺陷和内控局限性。

【提示】内部控制缺陷识别的基础(一)内部控制缺陷和内部控制局限性的共 性表现 (1)两者都以目标为判断的准绳，内部控制 缺陷表现在不能为控制目标的实现提供合理 保证；而内部控制的局限性体现在能够为控 制目标的实现提供合理保证，但不能为控制 目标的实现提供绝对保证。 (2)它们都产生于内部控制设计和运行两个 环节；

【提示】内部控制缺陷识别的基础(3)尽管内部控制包括预防性控制和检查性 控制，但它对蓄意策划的合谋和管理层越权 行为而言是无能为力的，这既是内部控制的 固有局限性，也是内部控制最严重的运行缺 陷。 (4)衡量缺陷和局限性的标准不是看是否实 际发生偏离目标，而是看是否具有合理可能 性。

【提示】内部控制缺陷识别的基础(二)内部控制缺陷和内部控制局限性的区 别 (1)内部控制缺陷是内部控制设计者在设计 过程中未意识到缺点，以及内部控制执行过 程中不按设计意图运行而产生运行结果偏差 的可能；内部控制局限性则是设计者在设计 过程中事先预留的风险敞口，以及运行过程 中按照设计意图运行也无法实现控制目标的 可能。

【提示】内部控制缺陷识别的基础(2)由于内部控制存在着局限性，内控只能 为控制目标的实现提供合理保证，而不是绝 对保证；内部控制缺陷的存在使得内部控制 过程无法为控制目标的实现提供合理保证。 (3)内部控制存在着因合谋和越权而失效的 可能，这表现为内部控制的局限性；但某一 控制过程存在着合谋或越权的迹象，则表现 为内部控制的缺陷。

【提示】内部控制缺陷识别的基础

重要提示：无论是将内控的局限性误当内控 缺陷进行认定和揭露，还是误将缺陷作为局 限性来忽略，都将导致内部控制过程偏离控 制目标并可能导致内部控制有效性信

息的虚 假揭露。为保证内控缺陷识别和评估的科学 性，必须厘清内部控制缺陷和内部控制局限 性的共性与区别。

本文来源：https://www.bwwdw.com/article/lgx4.html