内部控制评价的报告

1. 内部控制评价的报告

内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。企业因其外部环境和内部条件的变化，其内部控制系统不可能是固定的、一成不变的，而是一个不断更新和自我完善的动态体系，因此对内部控制需要经常展开评价，在实际工作可以采用定期与不定期相结合的方式。对外报告一般采用定期的方式，即企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制报告。年度内部控制评价报告应当以12月31日为基准日。值得说明的是，如果企业在内部控制评价报告年度内发生了特殊的事项且具有重要性，或因为具有了某种特殊原因（如企业因目标变化或提升），企业需要针对这种特殊事项或原因及时编制内部控制评价报告并对外发布。这种类型的内部控制评价报告属于非定期的内部控制报告。内部报告一般采用不定期的方式，即企业可以持续地开展内部控制的监督与评价，并根据结果的重要性随时向董事会（审计委员会）或经理层报送评价报告。从广义上讲，企业针对发现的重大缺陷等向董事会（审计委员会）或经理层报送的内部报告（内部控制缺陷报告）也属于非定期的报告。企业应尽量按照统一的格式编制内部控制评价报告，以满足外部信息使用者对内控信息可比的要求。根据《评价指引》第二十一条和二十二条规定，内部控制评价对外报告一般包括以下内容。1．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。2．内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。3．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。4．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。5．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。6．内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。7．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。8．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。

2. 内部控制评价的内容

内部控制评价的对象是内部控制的有效性，而内部控制的有效性，是企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此，内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。具体地说，内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。 企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对于内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。具体的内部控制评价内容可通过设计内部控制评价指标体系来确定，评价指标是对内部控制要素的进一步细化，评价指标可以有多个层级，大体可分为核心评价指标和具体评价指标两大类，企业可根据其实际情况进行细分。具体的评价内容确定之后，内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、评价指标、评价标准、评价和测试的方法、主要风险点、采取的控制措施、有关证据资料以及认定结果等。工作底稿可以是通过一系列评价表格加以实现，通过对每个要素核心指标的分别分解、评价，最终汇总出评价结果。

3. 内部控制评价有哪些内容

关于内部控制评价内容，从范围看，一般认为企业内部控制评价应根据资源情况和组织需求来决定，既可以是全面内部控制评价，如对整个内部控制系统进行评价，然后把信息反馈给最高管理当局；也可以是局部评价，如对某个部门或某个控制进行评价，然后把发现的不足或某一方面控制精确度的信息反馈给某些管理人员。全面内部控制评价一般每年进行一次，而局部内部控制评价视需要而定。从内容看，大多从内部控制要素角度，要求内部控制评价内容至少包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素。当然，还有把内部控制评价分为内部控制设计和执行，自我评估和独立评估，全面内部控制和业务控制，过程评价和结果评价两个层面的。还有把内部控制评价的内容分为公司治理层面、业务流程层面、信息科技层面，治理结构层面、财务控制层面和业务控制层面等三个层面。从标准看，有些内部控制规范和理论认为，内部控制评价无论是总体还时局部，无论是设计还是执行，都应当以内部控制的健全性、恰当性（或者称为合理性、科学性）和有效性为标准。有些规范和理论认为，内部控制评价，包括对内部控制设计有效性和运行有效性的评价。还有人认为，内部控制评价要对内部控制系统设计的有效性、内部控制运行的有效性和内部控制系统设计及运行的经济性进行评价。
人们习惯于把内部控制评价的内容分为整体层面控制评价和业务层面控制评价。整体层面控制评价，就是对整体层面控制有效性的评价过程，是一个流程。这个流程包括：确定整体层面控制是否创建了一个使业务层面控制有效执行的总体环境；识别整体层面控制的弱点，这些弱点会影响业务层面控制测试的设计。整体层面控制评价不是内部控制总体评价，内部控制总体评价，是对各种控制过程与因素的综合考虑，从而得出一个总体的评论。整体层面控制的测试是针对具体的控制目标，但评价时应将控制作为一个整体，而不是单独的控制目标。如一个控制领域的弱点，可通过其他领域有效控制的设计和执行予以弥补。控制需有多可靠才能被认为是有效的？整体层面控制必须达到最高水平的可靠性才能有效吗？在决策时，应考虑以下事项：一是整体考虑。最终，内部控制有效性应以系统整体而不是单个组成要素来评估。在设计系统时，机构就应进行权衡，是改进系统中某些要素抑或是通过其他更有效的控制进行弥补。二是合理保证和重要性。内部控制仅能提供合理的而不是绝对的保证。内部控制有效性的评价应基于财务报表的整体作出判断，因此应从财务报表的整体来考虑，内部控制未能防止或发现的错报是否重要。用于评价整体层面控制的的流程包括：使用内部控制可靠性模型，为每一个控制目标的有效性分级；将单个控制目标融入组织整体层级控制之中。究竟如何对控制有效性进行最终评价？加拿大特许会计师协会对此进行了研究，一个特别的结论值得注意。证据不仅仅是事实的集合，而且是审计人员所了解的每一件事的整合。证据不是以整齐的先后顺序出现的——它是非线性的、零散的，必须进行整理、归类和综合。一些证据是具体的事实，可以客观地证实，但大多是所见、所听或所感的印象，它包括组织中人们的态度和意图、组织文化和道德论调。在有意或无意的过程中，人们会考虑所有这些因素——当形成结论时，把它们作为证据。业务层面控制评价，就是对业务层面控制有效性的评价过程，是内部控制评价的核心内容。
中天恒3C框架一直主张内部控制评价应当包括会计控制、业务控制和管理控制三个方面，会计控制评价是基础，业务控制评价是核心，管理控制评价是努力的方向。内部控制评价肯定包括设计和执行两个方面，但关键还是执行。
在信息系统环境下与手工处理环境下的内部控制评价内容肯定不同。通常，计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险，这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等），其风险来源于信息系统中应用系统本身的漏洞，直接威胁到数据的安全、准确。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。
关于内部控制评价的内容，理论上可继续探索，但实际执行中，还是要统一到《企业内部控制评价指引》的要求上来。我国企业内部控制评价的内容应以《企业内部控制基本规范》及配套指引为起点，以企业设计的《企业内部控制手册》为依据，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容。当然要对内部控制设计与运行情况进行全面评价。企业内部控制评价具体内容应由企业经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定，不能固定化和模式化。
这里需要特别强调的，内部控制评价内容不能仅仅限于对五要素的总体评价，而要对企业财务、业务、管理控制进行具体评价。企业的业务千差万别，规模大小也不一样，但企业内部控制评价具体内容应至少包括已经颁布的企业内部控制配套指引主要内容。

4. 内部控制评价报告的内容有哪些

内部控制评价报告至少应当包括下列内容：
（1）组织实施内部控制评价的总体情况；
（2）内部控制责任主体的声明；
（3）内部控制评价的范围和内容；
（4）内部控制评价的标准和依据；
（5）内部控制评价的程序和方法；
（6）内部控制重大缺陷及其认定情况；
（7）内部控制重大缺陷的整改措施及责任追究情况；
（8）内部控制有效性的结论；
存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。

5. 内部控制评价与监督情况

内部控制评价与监督情况：
内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。

内部控制评价的主体
是董事会或类似的权力机构，是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、领导、监督职责，并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作，但董事会仍对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。

6. 企业如何开展内部控制评价工作

不同企业执行企业内部控制规范工作，因受企业规模大小、参与人员和机构的认知水平不同等客观因素影响而显得不尽相同，执行内容和标准也千差万别，如何提高企业执行企业内部控制规范的水平，达到并实现国家颁布实施相关规范的初衷，成为摆在企业内控管理工作人员面前的重要课题。笔者在参与企业内部控制工作过程中，曾对企业内部控制工作进行了深入的思考和不断地反思，并归纳和总结出一些经验教训，在此结合日常的工作情况，谈一点自己的看法。
一、企业内部控制工作的最终目的是提高企业的效益。
企业生存、发展和获利是企业存在的永恒目标，企业的一切经营管理活动都要围绕此目标而实施，与此目标相违背的经营管理活动都是无效和无意义的。因此，企业的内部控制工作也要与此目标所相适应，主要体现在：
首先，企业的内部控制工作一定要与企业的发展阶段和企情相适应。生产力水平决定生产关系，生产关系反作用于生产力。企业在生存、发展和获利的进程中，所处的环境又各不相同，有的企业处于新生期，有的处于快速成长期（或扩展期）、成熟期，还有的处于转型期（或收缩期）、逐步衰退期。不同企业处于不同的发展阶段，由此决定了其各自内部控制工作内容的不尽相同。无论是理论上还是实践上，处于成熟期企业的内部控制体系都是无法适应新生期和成长期企业的内部控制工作要求的，反之亦然。就好比是让小孩和少年穿成人衣裳或让成人穿小孩和少年衣裳一样。不适宜的内部控制控制要么就是形同虚设或铺张浪费，要么就是束缚和限制企业的发展，最终降低企业的收益水平，因此，企业的内部控制工作要懂得量体裁衣。企业的内部控制工作的开展一定要深思熟虑，精心设计，不应完全借鉴和照搬其他企业的做法，而是要依据本企业的客观实际，吸收和借鉴与本企业发展模式和发展阶段相适应的企业做法，制定出适应本企业发展模式的内部控制管理体系。
其次，企业在实施企业内部控制工作时，要有效运用成本效益和重要性原则。由于企业内部控制工作的最终目的是提高企业的效益，因此，企业内部控制工作的实施必须要考虑投入产出效益。如果企业内部控制的投入大于产出，则说明其投入是不适宜的。但需要注意的是，企业内部控制工作立足成本效益原则，要注意从企业发展的整体和存在的全阶段、全过程来统筹考虑，不能仅就若干项具体内部控制工作的投入来进行单项衡量，如果单凭现阶段衡量和评估的话，相信绝大部分内部控制工作的投入都将会是无效的。此外，成本效益原则还要求企业内部控制工作不能面面俱到，而是要突出重点，要在资源有限的条件下，发挥出内部控制工作最大的风险防范性。有时，最主要业务流程或领域的普通风险防范点的内控意义要远大于普通业务流程或领域重点风险防范点的内控意义，对企业生存和发展一次性致命缺陷的风险性要大于不断发生小隐患的风险性，重要责任人所造成的损害要大于一般责任人。因此，一个企业内部的内部控制工作要有的放矢，突出重点，各有侧重，而不能平行并举，按照企业统一的模式实施，或者把企业内部控制管理重点放在普通责任人身上。
第三，企业内部控制工作的基石是企业存在授权。很显然，如果一个人做自己决定的事是不需要实施控制的，这个人一定会按照自己设定的目标而采取各种手段去实现之。企业之所以存在内部控制，就是因为企业为实现企业决策者的目标而进行了内部分工和授权，而由于各类制约因素的存在，会导致由于被分工和授权者的目标及行动或其理解的目标及行动与企业决策的真实目标不尽相同，企业内部控制就是针对这种不一致而采取的控制性和规范性措施。企业内部分工和授权范围越大，企业内部控制体系的规模就越庞大，手段就越丰富和健全。大型、多层次、多元化、跨区域的集团企业的内部控制工作一定要比单一生产或劳务企业或生产车间的内部控制体系更为复杂，以企业信息化为例，其信息化管理程度也会更深。很明显，中小企业是用不上为大型集团企业设计的、必须超大型计算机和数据库支撑的集团信息化管理系统的，单一版信息化软件很可能更适合。
首先，企业内部控制工作应具有保障和激励双重属性。企业内部控制工作要保证企业资金、资产的安全完整，企业经营效益的真实可靠，企业经营业务循环的顺畅有效，对风险的预防和控制就显得尤为重要。因此，其必然要具备很强保障性功能，为此，企业内部控制工作要特别关注内部牵制和制约、惩罚功能的实现，以防范相关资产的损失。但是企业的发展、人员的尽责仅靠内部牵制、制约、惩罚是无法长期持续的，对人的管理最终还得落实在激励制度的确立上。因此，企业内部控制工作中必须要包含很多激励性措施，而很多企业在设计内部控制制度体系时，往往着重于如何牵制和制约上，忽略了激励性措施的存在。
其次，企业内部控制工作的开展应该保持原则性与灵活性并存。很多企业在开展企业内部控制工作时，特别强调原则性和规范性，规定的内部控制程序和步骤非常繁杂，在任何环境下都要必须履行，就象已经确定的计算机程序一样，分毫不差，并认为只有这样才能适应企业内部控制工作的要求，并最终导致企业很多盈利机会的丧失。其实企业内部控制工作更应强调灵活性，企业内部控制工作应强调在特定条件下的特别授权管理，对特别业务的内控流程设计要体现出一定的弹性，以突出内部控制的适应性和灵活性。

7. 内部控制评价与监督情况

内部控制的评价与监督是确保内部控制建设不断完善并有效实施的重要环节。行政事业单位内部控制评价与监督包括自我评价、内部监督和外部监督三个层次。
行政事业单位内部控制自我评价是指由行政事业单位自行组织的，对单位内部控制的有效性进行评价，形成评价结论，出具评价报告的过程。
内部控制的内部监督应当与内部控制的建立和实施保持相对独立。对于设立了独立内部审计部门或者专职内审岗位的单位，应当指定内审部门或者岗位作为内部监督的实施主体，同时还应发挥内部纪检监察部门在内部监督中的作用。

对于没有内审部门或岗位的单位，或者内部审计部门因人手不足、力量薄弱等原因无法有效履行内部控制监督检查职能的单位，可以成立内部监督联合工作小组履行相应的职能。
内部控制的外部监督由财政部门的外部监督和审计部门的外部监督组成。
国务院财政部门及其派出机构和县级以上地方各级人民政府财政部门应当对单位内部控制的建立和实施情况进行监督检查，有针对性地提出检查意见和建议，并督促单位进行整改。
审计部门的外部监督；国务院审计机关及其派出机构和县级以上地方各级人民政府审计机关对单位进行审计时，应当调查了解单位内部控制建立和实施的有效性，揭示相关内部控制的缺陷，有针对性地提出审计处理意见和建议，并督促单位进行整改。

8. 内部控制评价的介绍

内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。