《周易》:“君子終日乾乾,夕惕若,厲,無咎。”是說君子能整天整日顯示出自強不息的行為狀態,是因為到晚間,也要保持戒慎,即檢查自己在白天的所作所為,不要把過錯帶進第二天。對內部控制的建立、實施進行評價,是優化內部控制自我監督機制的一項重要制度安排,是內部控制的重要組成部分,與內部控制的建立、實施,共同構成有機循環。《企業內部控制基本規范》第四十六條:“企業應當結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告”。因此,為促進企業全面評價內部控制的設計與運行情況,規范內部控制評價程序和評價報告,揭示和防范風險,專門制定了《企業內部控制評價指引》(下稱“《評價指引》”)。
《評價指引》第二條規定,企業內部控制評價是指企業董事會或類似權力機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。
一、內部控制評價概述
(一)內部控制評價的作用第一,內部控制評價有助于企業自我完善內控體系。內部控制評價是通過評價、反饋、再評價,報告企業在內部控制建立與實施中存在的問題,并持續地進行自我完善的過程。通過內部控制評價查找、分析內部控制缺陷并有針對性地督促落實整改,可以及時堵塞管理漏洞,防范偏離目標的各種風險,并舉一反三,從設計和執行等全方位健全優化管控制度,從而促進企業內控體系的不斷完善。
第二,內部控制評價有助于提升企業市場形象和公眾認可度。企業開展內部控制評價,需形成評價結論,出具評價報告。通過自我評價報告,將企業的風險管理水平、內部控制狀況以及與此相關的發展戰略、競爭優勢、可持續發展能力等公布于眾,樹立誠信、透明、負責任的企業形象,有利于增強投資者、債權人以及其他利益相關者的信任度和認可度,為自己創造更為有利的外部環境,促進企業的長遠可持續發展。
第三,內部控制評價有助于實現與政府監管的協調互動。政府監管部門有權對企業內部控制建立與實施的有效性進行監督檢查。事實上,在有關政府部門,比如審計機關開展的國有企業負責人離任經濟責任審計中,已將企業內部控制的有效性,以及企業負責人組織領導內控體系建立與實施情況納入審計范圍,并日益成為十分重要的一部分。盡管政府部門實施企業內控監督檢查有其自身的做法和特點,但監督檢查的重點部位是基本一致的,比如大多涉及重大經營決策的科學性、合規性以及重要業務事項管控的有效性等。實施企業內控自我評價,能夠通過自查及早排查風險、發現問題,并積極整改,有利于在配合政府監管中贏得主動,并借助政府監管成果進一步改進企業內控實施和評價工作,促進自我評價與政府監管的協調互動。
(二)內部控制評價的對象內部控制評價是對內部控制有效性發表意見。所謂內部控制有效性,是指企業建立與實施內部控制對實現控制目標提供合理保證的程度,包括內部控制設計的有效性和內部控制運行的有效性。其中,內部控制設計的有效性,是指為實現控制目標所必需的內部控制要素都存在并且設計恰當;內部控制運行的有效性,是指現有內部控制按照規定程序得到了正確執行。評價內部控制運行的有效性,應當著重考慮以下幾個方面:(1)相關控制在評價期內是如何運行的;(2)相關控制是否得到了持續一致的運行;(3)實施控制的人員是否具備必要的權限和能力。
需要強調的是,即使同時滿足設計有效性和運行有效性標準的內部控制,受內部控制固有局限影響,也只能為內部控制目標的實現提供合理保證,而不能提供絕對保證,不應不切實際地期望內部控制能夠絕對保證內部控制目標的實現,也不應以內部控制目標的最終實現情況和程度作為唯一依據直接判斷內部控制設計和運行的有效性。
(三)內部控制評價的原則內部控制評價的原則是開展評價工作應該注意的原則,與內部控制的原則不完全相同。根據《評價指引》第三條規定,企業對內部控制評價至少遵循以下原則:全面性原則、重要性原則和客觀性原則。
1.全面性原則。全面性原則強調的是內部控制評價的涵蓋范圍應當全面,具體來說,是指內部控制評價工作應當包括內部控制的設計與運行,涵蓋企業及其所屬單位的各種業務和事項。
2.重要性原則。重要性原則強調內部控制評價應當在全面性的基礎之上,著眼于風險,突出重點。具體來說,主要體現在制訂和實施評價工作方案、分配評價資源的過程之中,它的核心要求主要包括兩個方面:一是要堅持風險導向的思路,著重關注那些影響內部控制目標實現的高風險領域和風險點;二是要堅持重點突出的思路,著重關注那些重要的業務事項和關鍵的控制環節,以及重要業務單位。
3.客觀性原則。客觀性原則強調內部控制評價工作應當準確地揭示經營管理的風險狀況,如實反映內部控制設計和運行的有效性。只有在內部控制評價工作方案制定、實施的全過程中始終堅持客觀性,才能保證評價結果的客觀性。
(四)內部控制評價的組織形式和職責安排《評價指引》第四條規定,企業應當根據本評價指引,結合內部控制設計與運行的實際情況,制定具體的內部控制評價辦法,規定評價的原則、內容、程序、方法和報告形式等,明確相關機構或崗位的職責權限,落實責任制,按照規定的辦法、程序和要求,有序開展內部控制評價工作。
企業內部控制評價辦法應當結合《企業內部控制基本規范》第四十四條的規定,具體明確內部控制評價的組織形式,特別明確各有關方面在內部控制評價中的職責安排,處理好內部控制評價和內部監督的關系,定期由相對獨立的人員對內部控制有效性進行科學的評價,界定內部控制缺陷認定標準,保證內部控制評價有序地開展。
1.內部控制評價的組織形式企業可以授權內部審計機構或專門機構(下稱“內部控制評價機構”)負責內部控制評價的具體組織實施工作。
內部控制評價機構必須具備一定的設置條件:一是能夠獨立行使對內部控制系統建立與運行過程及結果進行監督的權力;二是具備與監督和評價內部控制系統相適應的專業勝任能力和職業道德素養;三是與企業其他職能機構就監督與評價內部控制系統方面應當保持協調一致,在工作中相互配合、相互制約,在效率效果上滿足企業對內部控制系統進行監督與評價所提出的有關要求;四是能夠得到企業董事會和經理層的支持,有足夠的權威性來保證內部控制評價工作的順利開展。
具體來說,企業可根據自身特點,決定是否單獨設置專門的內部控制評價機構。對于單獨設有專門內部控制機構的企業,也可以由內部控制機構來負責內部控制評價的具體組織實施工作。
為了保證評價的獨立性,負責內部控制設計和評價的部門應適當分離。
企業可以委托會計師事務所等中介機構實施內部控制評價。此時,董事會(審計委員會)應加強對內部控制評價工作的監督與指導。從業務性質上講,中介機構受托為企業實施內部控制評價是一種非保證服務,內部控制評價報告的責任仍然應由企業董事會承擔。另外,為保證審計的獨立性,為企業提供內部控制審計的會計師事務所,不得同時為同一家企業提供內部控制評價服務。
2.有關方面在內部控制評價中的職責和任務無論采取何種組織形式,董事會、經理層和內部控制評價機構在內部控制評價中的職能作用不會發生本質的變化。一般來說:(1)董事會對內部控制評價承擔最終的責任。《評價指引》第四條第二款規定,企業董事會應當對內部控制評價報告的真實性負責。董事會可以通過審計委員會來承擔對內部控制評價的組織、領導、監督職責。董事會或審計委員會應聽取內部控制評價報告,審定內控重大缺陷、重要缺陷整改意見,對內部控制部門在督促整改中遇到的困難,積極協調,排除障礙。監事會應審議內部控制評價報告,對董事會建立與實施內部控制進行監督。
(2)經理層負責組織實施內部控制評價工作,實際操作中,可以授權內部控制評價機構組織實施,并積極支持和配合內部控制評價的開展,創造良好的環境和條件。經理層應結合日常掌握的業務情況,為內部控制評價方案提出應重點關注的業務或事項,審定內部控制評價方案和聽取內部控制評價報告,對于內部控制評價中發現的問題或報告的缺陷,要按照董事會或審計委員會的整改意見積極采取有效措施予以整改。
(3)內部控制評價機構根據授權承擔內部控制評價的具體組織實施任務,通過復核、匯總、分析內部監督資料,結合經理層要求,擬訂合理評價工作方案并認真組織實施;對于評價過程中發現的重大問題,應及時與董事會、審計委員會或經理層溝通,并認定內部控制缺陷,擬訂整改方案,編寫內部控制評價報告,及時向董事會、審計委員會或經理層報告;溝通外部審計師,督促各部門、所屬企業對內、外部內控評價進行整改;根據評價和整改情況擬訂內部控制考核方案。
(4)各專業部門應負責組織本部門的內控自查、測試和評價工作,對發現的設計和運行缺陷提出整改方案及具體整改計劃,積極整改,并報送內部控制機構復核,配合內控機構(部門)及外部審計師開展企業層面的內控評價工作。
(5)企業所屬單位,也應逐級落實內部控制評價責任,建立日常監控機制,開展內控自查、測試和定期檢查評價,發現問題并認定內部控制有缺陷,需擬訂整改方案和計劃,報本級管理層審定后,督促整改,編制內部控制評價報告,對內部控制的執行和整改情況進行考核。
企業內部控制評價辦法中的原則、內容、程序、方法和報告形式參考本解讀其他部分的規定。
二、關于內部控制評價的內容
(一)內部控制評價的內容和工作底稿設計《評價指引》第五條到第十條具體介紹了內部控制評價內容。內部控制評價應緊緊圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督五要素進行,企業應結合《企業內部控制基本規范》、各項應用指引以及本企業的內部控制制度,確定具體評價內容,對內部控制設計與運行情況進行全面評價。
內部環境評價應當包括組織架構、發展戰略、人力資源、企業文化、社會責任等方面。組織架構評價可以重點從機構設置的整體控制力、權責劃分、相互牽制、信息流動路徑等方面進行;發展戰略可以重點從發展戰略的制定合理性、有效實施和適當調整三方面進行;人力資源評價應當重點從企業人力資源引進結構合理性、開發機制、激勵約束機制等方面進行;企業文化評價應從建設和評估兩方面進行,從而促進誠信、道德價值觀的提升,為內部控制的完善夯實人文基礎;社會責任可以從安全生產、產品質量、環境保護與資源節約、促進就業、員工權益保護等方面進行。
風險評估評價應當對日常經營管理過程中的目標設定、風險識別、風險分析、應對策略等進行認定和評價。
控制活動評價應對企業各類業務的控制措施與流程的設計有效性和運行有效性進行認定和評價。
信息與溝通評價應當對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性,以及利用信息系統實施內部控制的有效性進行認定和評價。
內部監督評價應當對管理層對于內部監督的基調、監督的有效性及內部控制缺陷認定的科學、客觀、合理進行認定和評價。
重點關注監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮作用。
企業應當以內部控制五要素為基礎,建立內部控制核心指標體系,在以上評價內容的基礎上,層層分解、展開,進一步細化,以下列舉了可供參考核心指標(見第4版附件1)。對于內容不能詳盡的,如控制活動涉及方方面面的業務,可以另外按業務列表增加。
具體評價內容確定后,根據《評價指引》第十一條規定,內部控制評價工作應形成工作底稿,詳細記錄企業執行評價工作的內容,包括評價要素、主要風險點、采取的控制措施、有關證據資料以及認定結果等。工作底稿可以是通過一系列評價表格加以實現。
三、關于內部控制評價的程序
《評價指引》第十二條至第十四條對企業組織內部控制評價程序和人員、預算作出具體規定。
(一)內部控制評價的一般程序內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、匯總評價結果、編報評價報告等。概括而言,主要分為以下幾個階段:1.準備階段(1)制定評價工作方案。內部控制評價機構應當根據企業內部監督情況和管理要求,分析企業經營管理過程中的高風險領域和重要業務事項,確定檢查評價方法,制定科學合理的評價工作方案,經董事會批準后實施。評價工作方案應當明確評價主體范圍、工作任務、人員組織、進度安排和費用預算等相關內容。評價工作方案既以全面評價為主,也可以根據需要采用重點評價的方式。
(2)組成評價工作組。評價工作組是在內部控制評價機構領導下,具體承擔內部控制檢查評價任務。內部控制評價機構根據經批準的評價方案,挑選具備獨立性、業務勝任能力和職業道德素養的評價人員實施評價。評價工作組成員應當吸收企業內部相關機構熟悉情況、參與日常監控的負責人或業務骨干參加。企業應根據自身條件,盡量建立長效內部控制評價培訓機制。
2.實施階段(1)了解被評價單位基本情況。充分與企業溝通企業文化和發展戰略、組織機構設置及職責分工、領導層成員構成及分工等基本情況。
(2)確定檢查評價范圍和重點。評價工作組根據掌握的情況進一步確定評價范圍、檢查重點和抽樣數量,并結合評價人員的專業背景進行合理分工。
檢查重點和分工情況可以根據需要進行適時調整。
(3)開展現場檢查測試。評價工作組根據評價人員分工,綜合運用各種評價方法對內部控制設計與運行的有效性進行現場檢查測試,按要求填寫工作底稿、記錄相關測試結果,并對發現的內部控制缺陷進行初步認定。
3.匯總評價結果、編制評價報告階段評價工作組匯總評價人員的工作底稿,初步認定內部控制缺陷,形成現場評價報告。評價工作底稿應進行交叉復核簽字,并由評價工作組負責人審核后簽字確認。評價工作組將評價結果及現場評價報告向被評價單位進行通報,由被評價單位相關責任人簽字確認后,提交企業內部控制評價機構。
內部控制評價機構匯總各評價工作組的評價結果,對工作組現場初步認定的內部控制缺陷進行全面復核、分類匯總;對缺陷的成因、表現形式及風險程度進行定量或定性的綜合分析,按照對控制目標的影響程度判定缺陷等級。
內部控制評價機構以匯總的評價結果和認定的內部控制缺陷為基礎,綜合內部控制工作整體情況,客觀、公正、完整地編制內部控制評價報告,并報送企業經理層、董事會和監事會,由董事會最終審定后對外披露。
4.報告反饋和跟蹤階段對于認定的內部控制缺陷,內部控制評價機構應當結合董事會和審計委員會要求,提出整改建議,要求責任單位及時整改,并跟蹤其整改落實情況;已經造成損失或負面影響的,企業應當追究相關人員的責任。
(二)內部控制評價的頻率企業每年應對內部控制進行評價并予以披露。但是內部控制自我評價的方式、范圍、程序和頻率,由企業根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等自行確定。國家有關法律法規另有規定的,從其規定。
另外,如果內部監督程序無效,或所提供信息不足以說明內部控制有效,應增加評價的頻率。
(三)內部控制評價的方法《評價指引》第十五條規定,內部控制評價工作組應當對被評價單位進行現場測試,綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等方法,充分收集被評價單位內部控制設計和運行是否有效的證據,按照評價的具體內容,如實填寫評價工作底稿,研究分析內部控制缺陷。
1.個別訪談法個別訪談法主要用于了解公司內部控制的現狀,在企業層面評價及業務層面評價的了解階段經常使用。訪談前應根據內部控制評價需求形成訪談提綱,撰寫訪談紀要,記錄訪談的內容。
2.調查問卷法調查問卷法主要用于企業層面評價。調查問卷應盡量擴大對象范圍,包括企業各個層級員工,應注意事先保密性,題目盡量簡單易答(如答案只需為“是”、“否”、“有”、“沒有”等等)。
3.穿行測試法穿行測試法是指在內部控制流程中任意選取一筆交易作為樣本,追蹤該交易從最初起源直到最終在財務報表或其他經營管理報告中反映出來的過程,即該流程從起點到終點的全過程(例如,在保險公司的內部控制評價中,選取一筆保險新單,追蹤其從投保申請到財務入賬的全過程),以此了解控制措施設計的有效性,并識別出關鍵控制點。
4.抽樣法抽樣法分為隨機抽樣和其他抽樣。
隨機抽樣是指按隨機原則從樣本庫中抽取一定數量的樣本;其他抽樣是指人工任意選取或按某一特定標準從樣本庫中抽取一定數量的樣本。
5.實地查驗法實地查驗法主要針對業務層面控制,它通過使用統一的測試工作表,與實際的業務、財務單證進行核對的方法進行控制測試。如實地盤點某種存貨。
6.比較分析法比較分析法是指通過數據分析,識別評價關注點的方法。數據分析可以是與歷史數據、行業(公司)標準數據或行業最優數據等進行比較。
7.專題討論法專題討論法主要是集合有關專業人員就內部控制執行情況或控制問題進行分析,既可以是控制評價的手段,也是形成缺陷整改方案的途徑。
此外,還可以使用觀察、重新執行等方法,也可以利用信息系統開發檢查方法,或利用實際工作和檢查測試經驗。對于企業通過系統采用自動控制、預防控制的,應在方法上注意與人工控制、發現性控制的區別。
四、內部控制缺陷的認定
內部控制缺陷是描述內部控制有效性的一個負向的維度。企業開展內部控制評價,主要工作內容之一就是要找出內部控制缺陷并有針對性地進行整改。
內部控制缺陷認定在一定程度上決定內部控制評價的成效,且具有一定難度,還需要運用職業判斷。為了指導企業科學、合理地認定內部控制缺陷,切實幫助企業有效開展內部控制評價,《評價指引》第十六條至第十九條對內部控制缺陷的分類、認定作出專門的解釋。
(一)內部控制缺陷的分類1.按照內部控制缺陷成因或來源,內部控制缺陷包括設計缺陷和運行缺陷。設計缺陷是指企業缺少為實現控制目標所必需的控制,或現存控制設計不適當,即使正常運行也難以實現控制目標。運行缺陷是指設計有效(合理且適當)的內部控制由于運行不當(包括由不恰當的人執行、未按設計的方式運行、運行的時間或頻率不當、沒有得到一貫有效運行等)而形成的內部控制缺陷。
內部控制存在設計缺陷和運行缺陷,會影響內部控制的設計有效性和運行有效性。
2.按照影響企業內部控制目標實現的嚴重程度,內部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。當存在任何一個或多個內部控制重大缺陷時,應當在內部控制評價報告中作出內部控制無效的結論。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度低于重大缺陷,但仍有可能導致企業偏離控制目標。重要缺陷的嚴重程度低于重大缺陷,不會嚴重危及內部控制的整體有效性,但也應當引起董事會、經理層的充分關注。
一般缺陷,是指除重大缺陷、重要缺陷以外的其他控制缺陷。
將內部控制評價中發現的內部控制缺陷劃分為重大缺陷、重要缺陷和一般缺陷,需要借助一套可系統遵循的認定標準,認定過程中還需要內部控制評價人員充分運用職業判斷。一般而言,如果一個企業存在的內部控制缺陷達到了重大缺陷的程度,我們就不能說該企業的內部控制是整體有效的。
3.按照具體影響內部控制目標的具體表現形式,還可以將內部控制缺陷分為財務報告缺陷和非財務報告缺陷。
(二)內部控制缺陷的認定標準1.部控制缺陷的重要性和影響程度《評價指引》第十六條規定,企業對內部控制缺陷的認定,應當以構成內部控制的內部監督要素中的日常監督和專項監督為基礎,結合年度內部控制評價,由內部控制評價機構進行綜合分析后提出認定意見,按照規定的權限和程序進行審核,由董事會予以最終確定。
首先,內部控制評價從屬于內部監督,是監督結果的總體體現。在企業正常的生產經營中,內部控制評價倚重內部監督;其次,充分利用日常監督與專項監督結果的基礎上,至少每年由內部控制評價機構對內部控制的五要素相對獨立地進行評價,全面地、綜合地分析,提出認定意見,報董事會審定;第三,企業應當根據評價指引,結合自身情況和關注的重點,自行確定內部控制重大缺陷、重要缺陷和一般缺陷的具體認定標準。第四,根據具體認定標準認定企業存在的內部控制缺陷,由董事會最終審定。企業在確定內部控制缺陷的認定標準時,應當充分考慮內部控制缺陷的重要性及其影響程度。
內部控制缺陷的重要性和影響程度是相對于內部控制目標而言的。按照對財務報告目標和其他內部控制目標實現的影響的具體表現形式,下面區分財務報告內部控制缺陷和非財務報告內部控制缺陷分別闡述內部控制缺陷的認定標準。
2.財務報告內部控制缺陷的認定標準財務報告內部控制是指針對財務報告目標而設計和實施的內部控制。由于財務報告內部控制的目標集中體現為財務報告的可靠性,因而財務報告內部控制的缺陷主要是指不能合理保證財務報告可靠性的內部控制設計和運行缺陷。
換句話說,財務報告內部控制的缺陷,是指不能及時防止或發現并糾正財務報告錯報的內部控制缺陷。
將財務報告內部控制的缺陷劃分為重大缺陷、重要缺陷和一般缺陷,所采用的認定標準直接取決于由于該內部控制缺陷的存在可能導致的財務報告錯報的重要程度。這種重要程度主要取決于兩個方面的因素:(1)該缺陷是否具備合理可能性導致企業的內部控制不能及時防止或發現并糾正財務報告錯報。合理可能性是指大于微小可能性(幾乎不可能發生)的可能性,確定是否具備合理可能性涉及評價人員的職業判斷。(2)該缺陷單獨或連同其他缺陷可能導致的潛在錯報金額的大小。另外,一些跡象通常表明財務報告內部控制可能存在重大缺陷:(1)董事、監事和高級管理人員舞弊;(2)企業更正已公布的財務報告;(3)注冊會計師發現當期財務報告存在重大錯報,而內部控制在運行過程中未能發現該錯報;(4)企業審計委員會和內部審計機構對內部控制的監督無效。
一般而言,如果一項內部控制缺陷單獨或連同其他缺陷具備合理可能性導致不能及時防止或發現并糾正財務報告中的重大錯報,就應將該缺陷認定為重大缺陷。重大錯報中的“重大”,涉及企業管理層確定的財務報告的重要性水平。
一般企業可以采用絕對金額法(例如,規定金額超過10000元的錯報應當認定為重大錯報)或相對比例法(例如,規定超過資產總額1%的錯報應當認定為重大錯報)來確定重要性水平。如果企業的財務報告內部控制存在一項或多項重大缺陷,就不能得出該企業的財務報告內部控制有效的結論。
一項內部控制缺陷單獨或連同其他缺陷具備合理可能性導致不能及時防止或發現并糾正財務報告中雖然未達到和超過重要性水平、但仍應引起董事會和管理層重視的錯報,就應將該缺陷認定為重要缺陷。不構成重大缺陷和重要缺陷的內部控制缺陷,應認定為一般缺陷。
3.非財務報告內部控制缺陷的認定標準非財務報告內部控制是指針對除財務報告目標之外的其他目標的內部控制。這些目標一般包括戰略目標、資產安全、經營目標、合規目標等。非財務報告評價應當作為企業內部控制評價的重點。
非財務報告內部控制缺陷認定具有涉及面廣、認定難度大的特點。企業可以根據風險評估的各項工作,對《企業內部控制應用指引》中每一篇應用指引所闡述的風險,根據自身的實際情況、管理現狀和發展要求,加以細化或按內部控制原理補充,參照財務報告內部控制缺陷的認定標準,合理確定定性和定量的認定標準,根據其對內部控制目標實現的影響程度認定為一般缺陷、重要缺陷和重大缺陷。其中:定量標準,即涉及金額大小,既可以根據造成直接財產損失絕對金額制定,也可以根據其直接損失占本企業資產、銷售收入及利潤等的比率確定;定性標準,即涉及業務性質的嚴重程度,可根據其直接或潛在負面影響的性質、影響的范圍等因素確定。以下跡象通常表明非財務報告內部控制可能存在重大缺陷:(1)國有企業缺乏民主決策程序,如缺乏“三重一大”決策程序;(2)企業決策程序不科學,如決策失誤,導致并購不成功;(3)違犯國家法律、法規,如環境污染;(4)管理人員或技術人員紛紛流失;(5)媒體負面新聞頻現;(6)內部控制評價的結果特別是重大或重要缺陷未得到整改。(7)重要業務缺乏制度控制或制度系統性失效。
為避免企業操縱內部控制評價報告,非財務報告內部控制缺陷認定標準一經確定,必須在不同評價期間保持一致,不得隨意變更。
需要強調的是,在內部控制的非財務報告目標中,戰略和經營目標的實現往往受到企業不可控的諸多外部因素的影響,企業的內部控制只能合理保證董事會和管理層了解這些目標的實現程度。因而,在認定針對這些控制目標的內部控制缺陷時,我們不能只考慮最終的結果,而主要應該考慮企業制定戰略、開展經營活動的機制和程序是否符合內部控制要求,以及不適當的機制和程序對企業戰略及經營目標實現可能造成的影響。
(三)內部控制缺陷的報告與整改1.內部控制缺陷報告的格式和途徑《評價指引》第十九條規定,企業內部控制評價機構應當編制內部控制缺陷認定匯總表,結合日常監督和專項監督發現的內部控制缺陷及其持續改進情況,對內部控制缺陷及其成因、表現形式和影響程度進行綜合分析和全面復核,提出認定意見(針對財務報告內部控制的缺陷,一般還應當反映缺陷對財務報告的具體影響),并以適當的形式向董事會、監事會或者經理層報告。重大缺陷應當由董事會予以最終認定。企業對于認定的重大缺陷,應當及時采取應對策略,切實將風險控制在可承受度之內,并追究有關部門或相關人員的責任。
內部控制缺陷報告應當采取書面形式,可以單獨報告,也可以作為內部控制評價報告的一個重要組成部分。一般而言,內部控制的一般缺陷、重要缺陷應定期(至少每年)報告,重大缺陷應立即報告。對于重大缺陷和重要缺陷及整改方案,應向董事會(審計委員會)、監事會或經理層報告并審定。如果出現不適合向經理層報告的情形,例如存在與管理層舞弊相關的內部控制缺陷,或存在管理層凌駕于內部控制之上的情形,應當直接向董事會(審計委員會)、監事會報告。
對于一般缺陷,可以與企業經理層報告,并視情況考慮是否需要向董事會(審計委員會)、監事會報告。
2.內部控制缺陷整改方案及期限企業對于認定的內部控制缺陷,應當及時采取整改措施,切實將風險控制在可承受度之內,并追究有關機構或相關人員的責任。
企業內部控制評價機構應當就發現的內部控制缺陷提出整改建議,并報經理層、董事會(審計委員會)、監事會批準。獲批后,應制定切實可行的整改方案,包括整改目標、內容、步驟、措施、方法和期限。整改期限超過一年的,整改目標應明確近期和遠期目標以及相應的整改工作內容。
五、關于內部控制評價報告
內部控制評價報告是內部控制評價的最終體現,按照編制主體、報送對象和時間,分為對內報告和對外報告。對外報告的內容、格式等強調符合披露要求,時間具有強制性,對內報告則主要以符合企業董事會(審計委員會)、經理層需要為主,編制主體層級更多、內容上更加詳盡、格式更加多樣,時間可以定期或不定期。《評價指引》第二十條規定,企業應當根據《企業內部控制基本規范》、應用指引和本指引,設計內部控制評價報告的種類、格式和內容,明確內部控制評價報告編制程序和要求,按照規定的權限報經批準后對外報出。
(一)內部控制評價報告的內容和格式《評價指引》第二十一條和二十二條規定了對外披露的內容,內部控制評價對外報告一般包括以下內容:1.董事會聲明。聲明董事會及全體董事對報告內容的真實性、準確性、完整性承擔個別及連帶責任,保證報告內容不存在任何虛假記載、誤導性陳述或重大遺漏。
2.內部控制評價工作的總體情況。明確企業內部控制評價工作的組織、領導體制、進度安排,是否聘請會計師事務所對內部控制有效性進行獨立審計。
3.內部控制評價的依據。說明企業開展內部控制評價工作所依據的法律法規和規章制度。
4.內部控制評價的范圍。描述內部控制評價所涵蓋的被評價單位,以及納入評價范圍的業務事項,及重點關注的高風險領域。內部控制評價的范圍如有所遺漏的,應說明原因,及其對內部控制評價報告真實完整性產生的重大影響等。
5.內部控制評價的程序和方法。描述內部控制評價工作遵循的基本流程,以及評價過程中采用的主要方法。
6.內部控制缺陷及其認定。描述適用本企業的內部控制缺陷具體認定標準,并聲明與以前年度保持一致或做出的調整及相應原因;根據內部控制缺陷認定標準,確定評價期末存在的重大缺陷、重要缺陷和一般缺陷。
7.內部控制缺陷的整改情況。對于評價期間發現、期末已完成整改的重大缺陷,說明企業有足夠的測試樣本顯示,與該重大缺陷相關的內部控制設計且運行有效。針對評價期末存在的內部控制缺陷,公司擬采取的整改措施及預期效果。
8.內部控制有效性的結論。對不存在重大缺陷的情形,出具評價期末內部控制有效結論;對存在重大缺陷的情形,不得作出內部控制有效的結論,并需描述該重大缺陷的性質及其對實現相關控制目標的影響程度,可能給公司未來生產經營帶來相關風險。自內部控制評價報告基準日至內部控制評價報告發出日之間發生重大缺陷的,企業須責成內部控制評價機構予以核實,并根據核查結果對評價結論進行相應調整,說明董事會擬采取的措施。
內部控制評價報告的參考格式(見附件2)。
對內報告的格式、內容應該在符合以上要求的基礎上進一步詳盡地設計和表達。
(二)內部控制評價報告的編制和報送《評價指引》第二十三條規定,企業應當根據年度內部控制評價結果,結合內部控制評價工作底稿和內部控制缺陷匯總表等資料,按照規定的程序和要求,及時編制內部控制評價報告。
1.評價報告的編制(1)內部控制評價報告的編制時間企業應當根據內部控制評價結果和整改情況,編制內部控制評價報告。內部控制評價報告分為定期內部控制評價報告和非定期內部控制評價報告。
企業應該定期進行內部控制評價并發布內部控制評價報告。企業至少應該每年進行一次內部控制評價并由董事會對外發布內部控制評價報告。年度內部控制評價報告應當以12月31日作為基準日。
非定期內部控制評價報告可以是因特殊事項或原因(如企業因目標變化或提升)而對外發布的內部控制評價報告,也可以是企業針對發現的重大缺陷專項內部控制評價等向董事會(審計委員會)或經理層報送的內部報告(即內部控制缺陷報告)。
(2)內部控制評價報告的編制主體內部控制評價報告的編制主體包括單個企業和企業集團的母公司。單個企業內部控制評價報告指某一企業以自身經營業務和管理活動為輻射范圍編制的內部控制評價報告,屬于對內報告;企業集團母公司內部控制評價報告是企業集團的母公司在匯總、復核、評價、分析后,以母公司及下屬(或控股子公司)的經營業務和管理活動為輻射范圍編制的內部控制評價報告,是對企業集團內部控制設計有效性和運行有效性的總體評價,可以是對內或對外報告。
2.評價報告的報送《評價指引》第二十四條至二十六條規定了評價報告及內部控制審計報告對外報送的要求。
此外,企業內部控制評價報告應按規定報送有關監管部門,例如國有控股企業應按要求報送國有資產監督管理部門和財政部門、金融企業應按規定報送銀行業監督管理部門和保險監督管理部門、公開發行證券的企業應報送證券監督管理部門。
(三)內部控制評價報告的披露和使用1.評價報告的披露公司的價值創造能力不僅取決于現有的經營基礎和目前的盈利水平,更主要取決于公司的決策科學性和管控能力。公眾公司必須向社會披露內部控制評估報告,滿足投資者及利益相關者了解企業治理水平、管理規范化和抵御各類風險的能力的需要,更好地服務于他們做出投資決策和相關決策。
2.評價報告的使用企業內部控制評價對外報告的使用者包括政府有關監管部門、投資者以及其他利益相關者、中介機構和研究機構等。對內報告的使用者主要是企業董事會(審計委員會)、各層級管理者以及有關監管部門。
內部控制評價是企業董事會對本企業內部控制有效性的自我評價,具有一定的主觀性,在此基礎上形成的內部控制評價報告也因此只能作為有關方面了解企業內部控制設計與運行情況的途徑之一。在使用內部控制評價報告時,還應注意與內部控制注冊會計師審計報告、內部控制監管信息、財務報告信息等相關信息結合使用,以起到全面分析、綜合判斷、相互驗證的效果。
《評價指引》第二十七條規定,建立內部控制評價工作檔案管理制度。內部控制評價的有關文件資料、工作底稿和證明材料等應當妥善保管,年度報告應永久保存。
