第五讲 企业内部控制评价指引.docVIP

第四章 内部控制缺陷的认定 第十六条 内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。 第十七条 企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。 重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。 第十八条 企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。 第十九条 企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。 企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。 法 规 条 文 【解读】 关于内部控制缺陷的认定。内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一。 （一）内部控制缺陷的认定标准 企业对内部控制评价过程中发现的问题，应当从定性和定量等方面进行衡量，判断是否构成内部控制缺陷，以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。 对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。因此，财务报告内部控制缺陷一般可以通过量的方式予以确定。 相对而言，非财务报告内部控制缺陷的认定很难形成统一的标准，企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中，对内部控制缺陷的认定，尤其是非财务报告内部控制缺陷的认定做出更具指导性的说明。需要强调的是，为避免企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。 （二）内部控制缺陷整改机制 企业通过内部控制评价发现内部控制的缺陷，应当建立内部控制缺陷整改机制，明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。与注册会计师的外部鉴证不同，尽管都是评价活动，企业的内控评价是由董事会及审计委员会负责领导，或是授权内审部门负责组织和实施的年度评价和专项评价，其独立性当然有所不同。两种评价都要认定内控制度的设计缺陷和运行缺陷，而作为评价的结果，注册会计师的审计报告仅是表达对内部控制有效性的意见，分为无保留意见、带说明段的无保留意见、否定意见、无法表示意见。企业评估的结果，除了对内控整体目标是否有效下结论外，还需对报告中列示的问题进行改进，并追究相关人员责任。 有效性是企业内部控制评价的一个重要方面，但是准确的说是对于内部控制的两个方面有效性的评价，即设计有效性和运行有效性。 内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。 评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，控制得到执行是指某项控制存在且正在使用。设计不当的控制可能表明内部控制存在重大缺陷。 （三）对信息系统有效性的评价 信息系统控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息系统控制分为两类，即信息技术的一般控制和应用控制。 （1）一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常不包括数据中心和网络运行控制，系统软件