第五讲 企业内的部控制评价指引.docVIP

第四章 内部控制缺陷的认定 【解读】 关于内部控制缺陷的认定。内部控制缺陷的认定，特别是非财务报告内部控制缺陷的认定，是企业内部控制评价工作中面临的重大挑战之一。 （一）内部控制缺陷的认定标准 企业对内部控制评价过程中发现的问题，应当从定性和定量等方面进行衡量，判断是否构成内部控制缺陷，以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。 对于财务报告内部控制缺陷，可由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素：一是该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报；二是该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。因此，财务报告内部控制缺陷一般可以通过量的方式予以确定。 相对而言，非财务报告内部控制缺陷的认定很难形成统一的标准，企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。其中：定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定；定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定。财政部将在即将发布的内部控制规范讲解中，对内部控制缺陷的认定，尤其是非财务报告内部控制缺陷的认定做出更具指导性的说明。需要强调的是，为避免企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。 （二）内部控制缺陷整改机制 企业通过内部控制评价发现内部控制的缺陷，应当建立内部控制缺陷整改机制，明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。与注册会计师的外部鉴证不同，尽管都是评价活动，企业的内控评价是由董事会及审计委员会负责领导，或是授权内审部门负责组织和实施的年度评价和专项评价，其独立性当然有所不同。两种评价都要认定内控制度的设计缺陷和运行缺陷，而作为评价的结果，注册会计师的审计报告仅是表达对内部控制有效性的意见，分为无保留意见、带说明段的无保留意见、否定意见、无法表示意见。企业评估的结果，除了对内控整体目标是否有效下结论外，还需对报告中列示的问题进行改进，并追究相关人员责任。 有效性是企业内部控制评价的一个重要方面，但是准确的说是对于内部控制的两个方面有效性的评价，即设计有效性和运行有效性。 内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。 评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，控制得到执行是指某项控制存在且正在使用。设计不当的控制可能表明内部控制存在重大缺陷。 （三）对信息系统有效性的评价 信息系统控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息系统控制分为两类，即信息技术的一般控制和应用控制。 （1）一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常不包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术的一般控制。 应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序有关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。 （2）一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。 应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。 （四）内部控制评价的证据 企业应当通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。 1.内部控制设计和运行有效性的判断应考虑的因素 (1)是否针对风险设置了合理的细化控制目标。 (2)是否针对细化控制目标设置了对应的控制活动。 (3)相关控制活动是如何运行的。 (4)相关控制活动是否得到了持续一致的运行。 (5)实施相关控制活动的人员是否具备必需的权限和能力。 2.导致内部控制失效的风险 企业应当充分评估下列因素导致内部控制失效的风险： (1)控制活动的类型，一般包括人工控