企业内部控制基本规范及三个指引——企业内部控制评价指引

企业内部控制评价指引

一、内部控制评价产生的历程：

19xx年，美国柯恩委员会（Cohen Commission）就建议企业管理当局在披露财务报告时，提交一份关于内部控制系统的评价报告，说明管理当局对公司会计系统及其控制的评估，包括对控制系统固有限制及公司对独立注册会计师认定的重大缺陷做出反应的描述，并要求独立注册会计师对该报告进行证明。

19xx年，全美反舞弊财务报告委员会在其报告中也提出了类似的建议，虽然全美反舞弊财务报告委员会未对内部控制提出结论，但其报告立刻引起了广泛的反应。

19xx年在《内部控制——整体框架》中提出了内部控制报告的框架。美国柯恩委员会（Cohen）报告、全美反舞弊财务报告委员会报告、COSO报告均认为，内部控制报告应着重说明控制系统的有效性。

在19xx年和19xx年，美国证券交易委员会（SEC）分别提议强制要求提供内部控制报告。

19xx年，美国政府审计署（GAO）也曾提议在存贷机构紧急援助议案中，应规定管理当局和审计人员报告内部控制，但都没有形成最终议案。

20xx年以来，美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注，严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心，迫于这种压力和形势。

20xx年7月，美国国会通过并颁布了SOX法案，致力于治理财务丑闻和财务报告中可能出现的问题，目的是为了恢复公众对公司会计实务和财务报告的信心。SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求，把过去的很多自愿和选择性做法变成了法定的、强制性的要求，其中302节和404节尤为具体，对内部控制的评价和报告进行了明确的规定和要求。

美国上市公司内部控制的评价和报告体系应当包括：公司管理层对财务报告内部控制的有效性进行评价，对内向审计委员会报告，对外发布公开报告；注册会计师对财务报告内部控制进行的审计，对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见等两个方面。

二、管理层对财务报告内部控制评价

（一）管理层对财务报告内部控制评价标准

管理层断定公司财务报告内部控制有效的限度：如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点，管理层就不能确定公司的财务报告内部控制是有效的。管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露。

（二）管理层对财务报告内部控制评价内容和方法:对公司财务报告内部控制的评估必须根据既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。要受到这种评价的控制包括但不限于：1.对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报告中包含的相关认定的控制；2.与非常规和非系统交易的动机和处理相关的控制；3.与适当会计政策的选择和应用相关的控制；4.与防止、识别和发现舞弊相关的控制。

（三）公司在实践评价并形成有关财务报告内部控制有效性的评价结论时，要求保存证据，为管理层对财务报告内部控制有效性的评价结论提供合理的支持。

这些证据可以证明：1.对内部控制是用来防止或发现重要错报或遗漏的评价；2.对测试进行了适当的规划和实施；3.测试的结果得到了适当考虑。

（四）为什么要进行内部控制的自我评价：

内部控制自我评价提倡的是以研讨会的方式让全体员工参与内部控制的建设。不仅有助于降低成本，而且符合人本管理的理念。因此，内部控制自我评价对企业的重要性不言而喻。《企业内部控制基本规范》第二章内部环境中要求审计委员会负责“审查企业内部控制，监督内部控制的有效实施和自我评价情况”，内部控制自我评价的现实意义是什么?如何具体实施内部控制自我评价等问题是每个企业应该关注的重要问题。

（五）内部控制自我评价的概述：

《企业内部控制规范－基本规范》所称的内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

某公司的内部控制评价办法是这样定义的，“内部控制评价是指对内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。”

建议将内部控制运行结果评价修改为对内部控制运行过程评价。

企业内部控制的 “控制自我评估”，是指每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。

其基本的特征是：1）关注业务的过程和控制的成效；2）由管理部门和职员共同进行；

3）用结构化的方法开展评估活动。“控制自我评估”是为提高组织内部控制的自我意识所做的努力，这种活动经常以研讨会的形式进行。

目的：是使人们了解哪里存在缺陷以及可能引致的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部审计人员站出来。研究表明，实施“控制自我评估”的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等有着积极的作用。

内部控制自我评价是指公司管理层和员工共同在公司内部为实现目标、控制风险，而进行的内部控制系统的有效性和恰当性实施的自我评价方法。有效的内部控制自我评价是一个对内部控制效果的监督和测试的持续过程。

（六）内部控制自我评价工作开展

评价工作必须获得公司所有阶层/级别支持，通常要成立并维持强而有效的指导委员会，对其成员要进行持续的培训以确保其胜任水平，要大力加强指导委员会的权力以确保政令的畅通，可以先以某些部门、业务单元作为试点，及时总结经验，使方案得到完善，然后大面积推开。评估、汇报及持续改善是确保效益的重要元素。对涉及内控评价的各个方面，必须清楚界定各角色职责并传达到位，

有效沟通必不可少，不仅包括公司内部与管理层的沟通，公司内部各个部门之间的沟通，还包括与独立审计师沟通，了解双方的项目范围及工作方式，对项目的重要、潜在的问题及时交流。及早将注意力集中到关键的问题，关注与财务报表有联系的事项以及有可能导致重大错误的流程及其影响范围。

另外，要建立相应的内控评价工作制度，并指定特定机构、人员负责并监督制度的贯彻实施；安排适当培训，加强有关人员对内部控制的认识与控制负责人的责任意识，确保知识与技术的传递；要学会利用适当的工具，以确保内控评价工作系统有效地进行；合理的项目组织与管理，明确项目的主导部门，与各部门的合作与协调方法，对项目进度的监控及形成定期的工作结果报告渠道。

注意文档记录。由于内控评价的过程都要留下文档记录，作为所做工作的证据，以便日后外部审计人员的审核评价以及明确责任，对所做评价的记录必须十分谨慎。尤其要注意避

免在缺少对风险进行有效评估的情况下记录内控缺陷。

对于需要按照监管要求实施内部控制评价的企业，为了在有限的时间内富有成效地完成大量相关工作，高级管理层需要对该工作给予足够的重视，必须十分清楚有关的内控规范要求以及监管部门的具体部署。

企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，规定评价的原则、内容、程序、方法和报告形式等，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。企业董事会应当对内部控制评价报告的真实性负责。

三、企业内部控制评价指引的讲解

第一节 框架概述

《企业内部控制评价指引》分为5章27条，从内部控制评价的各个方面阐述了其具体内容：

（一）第一章总则（第1～4条）。说明内部控制评价指引制定的依据、定义、遵循的原则等方面。

第1条，说明内部控制评价指引出台的目的和依据，主要的依据为《企业内部控制基本规范》。

第2条，指出内部控制评价的定义，内部控制评价是针对内部控制有效性的评价、报告过程。

第3条，说明企业实施内部控制评价应遵循的原则。即全面性原则、重要性原则和客观性原则。

第4条，指明企业依据内部控制评价指引应当履行的职责，并明确企业董事会应当对内部控制评价报告的真实性负责。

（二）第二章内部控制评价的内容（第5～11条）。

首先明确内部控制评价的内容是与五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）相联系的，然后分别阐述了对该五要素进行评价时，应当遵循的依据和要求，最后指明内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容。

（三）第三章内部控制评价的程序（第12～15条）。

第12条，内部控制评价工作开展的程序。

程序：制定评价方案→组成评价工作组→实施现场测试→认定控制缺陷→汇总评价结果→编制评价报告

第13条，明确拟订的评价工作方案要报经董事会或其授权机构审批后实施。

第14条，评价工作组的成员及回避事项。

第15条，内部控制评估和测试的方法。包括个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。

（四）第四章内部控制缺陷认定（第16～19条）。

第16～17条，内部控制缺陷的分析、判断因素和程度的划分。

内部控制的缺陷一般划分为设计缺陷和运行缺陷。

内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。

第18条，内部控制评价工作的质量交叉复核。

第19条，对内部控制评价工作中发现的内部控制缺陷进行分析，并报告相关部门。

重大缺陷应当由董事会予以最终认定。

（五）第五章内部控制评价报告（第20～27条）。 第20～21条，内部控制评价报告应分别就五要素进行设计，并就相关内容作出披露。 第22条，内部控制评价报告中至少应当披露的内容。 第23～26，内部控制评价报告报送部门、报告基准日及报送时限。

第27条，建立内部控制评价工作档案管理制度。

第二节 重要条款解读

一、内部控制评价概述

内部控制评价是企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。

（一）内部控制评价的目标

企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价，促使企业切实加强内部控制体系的建设并认真执行，并保证内部控制体系得以持续、有效的改进。

1.强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。

2.提高风险管理水平，为实现企业发展战略和经营目标提供保障。 3.增强企业业务、财务和管理信息的真实性、完整性和及时性。 4.保障企业资产的安全和完整。 5.确保企业各项活动的合法合规性。

6.为企业的风险管理提供信息服务和决策支持。

内部控制的目标：1）提高企业运营的效果和效率。2）财务报告的可靠性和完整性。3）法律法规和合同的遵循性。

（二）内部控制评价的原则

在《企业内部控制评价指引》中规定：企业实施内部控制评价，应当遵循下列原则：

1.全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

企业内部控制是否完整是评价标准中首要的一条，同时又是基础。若内部控制的完整性都达不到，则内部控制的合理性与有效性就无从谈起了。

2.重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。客观的评价内部控制，及时发现问题，及时予以更正，以使企业良好发展下去。

3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

在对某一企业评价其内部控制的适用性时，要注意控制点的设置是否合理，有没有安排过多或不必要的控制点；在每一个需要控制的地方是否都建立了控制环节；控制职能是否划分清楚；人员间的分工和牵制是否恰当，既不能分工过细，又能起到相互牵制的作用。同时，内部控制的适用性要以经济性为限制条件。

企业设置内部控制切忌照抄照搬，因此应当考虑企业内控设计和执行时的适应性和经济

性。因为，企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的差异，不同的企业就应当根据其不同的特点设置内部控制制度。

（三）内部控制评价的组织机构

企业内部控制评价是一项难度非常大的工作，需要强有力的组织保障。应该是企业最高级次的组织和人员进行总体负责。董事会下设审计委员会，在行政系统——经营管理系统设置审计机构；审计委员会成员由董事长、非执行董事、总审计长和非公司董事（外聘）等组成。

二、内部控制评价的内容

具体内容由内部控制要素评价标准和作业层级评价标准两部分组成，其中要素评价标准可分为5个方面，即控制环境、风险评估、控制活动、信息与沟通、监督；作业层级评价标准因其繁琐复杂，难以穷尽，如以生产性企业为例进行框架构建，可分为5个业务循环，即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。在内部控制评价的具体标准中，要素评价标准以作业层级评价标准为基础。

（一）内部控制五要素的评价

《企业内部控制基本规范》颁布后，企业内部控制评价有了统一的标准，企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。

1.内部环境的评价。

企业控制环境。控制环境设定了一个组织的基调，影响其员工的控制意识。企业控制环境决定其他控制要素能否发挥作用，是内部控制其他控制要素发挥作用的基础，直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现，是企业内部控制的核心。任何新生事物的成长，都要有与之适应的土壤。

我国大多数企业的公司治理结构不合理，鉴于一股独大现象的严重性和普遍性，使得公司董事会、监事会以及独立董事制度的作用发挥非常有限，审计委员会和内审部门的监管职能也无法正常行使，究其原因，中国设立监事会和建立独立董事制度，是基于上市公司的要求，从形式上满足规定，但是从《公司法》中对于监事会成员的要求可以看出，监事会成员与董事会成员的身份和地位是比较悬殊的，他们是依附于董事会和CEO的，因此很难发挥其应有的作用，如果监事会不对董事会的行为提出反对意见的时候，它还会成为董事会的保护伞。

企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

2.风险评估的评价。企业组织开展风险评估机制评价，应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

企业风险。企业管理层应对影响企业目标实现的内、外部各种风险进行分析，考虑其可能性和影响程度，制定必要的对策。在对企业风险防范作测评时，应重点关注企业是否建立完整的风险评估体系，是否建立审计委员和风险管理部门，是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控；是否对已发现的企业各类风险有控制措施，如内控制度执行情况的检查和监督，以及相关制度是否向子公司延伸，以确保子公司的经营安全。

同时，还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善，如

在日常经营风险管理中对“重大采购二次询价”、建立“不合格供应黑名单”是否有实时监控。是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。 内部审计关注风险识别的充分性；风险分析的恰当性；风险应对策略的充分性、有效性。 首先，应对企业的固有风险进行评估。确定对固有风险的风险反应模式才能够确定对固有风险的管理措施。

其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。 对风险影响的分析则可采用简单算术平均数、最差的情形下的估计值或事项的分布等技术来分析企业风险评估的方法，分为定量分析和定性分析两种。企业无须对所有的风险采用同样一种评估方法，可根据不同的风险目标确定相应的风险评估方法，达到成本最低情况下的效益最大化目的。（1）风险发生的概率很低，损失程度也很小。（2）风险发生的概率很高，但损失程度很小。（3）风险发生的概率很低，但造成的损失很大。（4）风险发生的概率很高，造成的损失也很大。

风险评估与舞弊行为：随着经济的发展和外部环境的复杂化，企业面临的风险也越来越大，而风险评估是提高企业内部控制效率和效果的关键，因此对企业面临的风险进行合理的评估是很有必要的。风险评估是一个动态的过程，主要分为三个步骤：第一，估计风险的严重程度；第二，评估风险发生的可能性（或频率）；第三，考虑应如何管理风险。可见，通过风险评估过程，可以及时发现企业经营过程中风险高发点和财务报表存在重大错报和漏报的可能性。

以医院为例阐述风险评估方面的评价：

为避免管理风险，要求每个项目均进行预决算审计。我们审计了：车库改造工程、1号楼安保监控系统改造工程、1号楼消防系统改造工程、1号楼11层净化手术部净化系统及设备管理维护、拆除及修补工程。对工程、设备维修审计，我们关注合同保修期，承包与分包的执行力。如：20xx年4月7日，按院部要求审计科对《1号楼11层净化手术部净化系统及设备管理维护合同》进行内部审计调查。基本情况：医院的1号楼11层洁净手术室安装工程是上海某洁净工程有限公司施工的。20xx年竣工投入使用。工程最后审定价约为1,648,085.00元（区财政局提供数据）。20xx年3月份科室提出该净化系统及设备需要进行管理维修，医院与该公司暂签了1个2年期的“维护”合同，合同价款（人民币大写）暂定贰拾肆万元整（240,000.00元）。

调查说明：我们从后保科处得到了该系统的原“工程分包施工合同”的复印件。合同为三方合同，即总包单位某建设工程发展有限公司，分包单位某洁净工程有限公司，建设单位是我们医院。工程分包项目基本情况明确反映，本专业分包合同保修期为2年。20xx年科室提出该净化系统及设备需要进行管理维修属于合同保修期范围内，正常维护。

调查建议：医院（目前）无需与上海某洁净工程有限公司签订“维护合同”。20xx年竣工的项目2年的维修期，应执行合同约定。认真阅读合同，可以避免医院成本重复支出。医院在收入一定的情况下，履行减少支出的职责，有利于医院发展。医院的风险评估是提供符合公认会计原则的财务报告有关风险的确认、分析和管理。风险评估过程必须判明医院完成既定的目标存在的外部风险，分析各风险的类型和程度，为风险管理提供依据。医院管理层应制订计划、程序或行动来避免具体风险。

3.控制活动的评价。企业组织开展控制活动评价，应当以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制制度，对相关控制措施的设计和运行情况进行认定和评价。

企业控制活动。企业管理层为确保风险对策有效执行和落实，所采取的措施和程序，主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

控制措施的实施就形成了内部控制制度，这是内部审计评价的重要内容。评价不相容职务分离控制的实施，内部审计应当系统分析业务流程中的控制点；评价授权审批控制的实施，内部审计对企业编制的常规授权权限指引进行审查；内部审计通过对财产的记录、盘点资料、报表等定期或不定期的进行重点抽查，审查相关手续、记录是否完整，账务处理是否及时正确来评价企业财产保护措施实施情况；关注企业预算控制的有效性，一方面是预算编制的可行性、准确性，另一方面是可行准确的预算得到了切实的执行；评价营运情况，分析制度的有效运行，关注其是否能合理分析企业获取的各类信息，改善企业运营状况，将风险控制在可承受度之内；内部审计要关注企业是否建立科学有效的绩效考评制度，是否以考评结果为依据决定企业员工的岗位安排。

在对企业控制活动测试时，要重点审核组织机构方面采取的控制活动。在组织结构方面重点审核：机构、岗位及职责权限是否合理设置和分工，不相容职务是否相互分离，是否成立相关法律事务部门和职能，对采购与验收等环节是否设置相互监督制度，做到人员分离。 针对信息系统设置相应的控制环节和程序。

控制活动是管理者为了确保管理指令能够得以有效实施而制定的各项政策和程序。政策是控制活动应遵循的原则，程序是具体的控制活动。我国存在着授权不足的现象，这样容易出现侵权行为，使得管理层逾越到内部控制之上，从而导致舞弊行为的发生。此外，如控制活动设计不合理、缺乏完整有效执行的规章制度，企业的各项政策和程序就难以发挥有效作用，也可能会给有舞弊动机的人以可乘之机。

以医院为例阐述控制活动的评价：

对医院中心实验室的审计工作。医院中心实验室成立于20xx年，成立初期院部并没有“建账立制”的要求，在规范流程上有一些欠缺之处。而实验室从成立开始就自发地建立了自己的“台帐”，同时对一些“合同协议”用自己的方式方法进行管理。几年后实验室又成立了“药物临床试验机构”，同时科室每年都有自己的课题与科研经费。经过对中心实验室基金、药物临床试验基金和课题经费的审计，发现主要存在以下薄弱环节：

财务科没有分项目核算每项“基金”，造成基金的收、付、存“统账”；“统账制”核算，财务监督管理比较薄弱，合同协议档案保管不规范。

具体表现在中心实验室基金使用方面：财务科账务处理记录“其他应付款”，不分具体项目核算。

使用临床试验基金方面：财务方面不够规范，会计科目“专用基金-科研基金-药物临床试验经费-中心实验室”设置欠规范。表现为项目基金实行“流水账”核算，各项目没有建立对应核算关系，不能反映各项目基金的取得、使用、结余。随着年份的增加，分类分项目比较困难，财务科监控力度渐显弱化，不便于检查、考核、细化账务管理。

档案管理欠规范：多年的项目协议与合同均有中心实验室科室自己保管，审计核对协议或合同缺乏核对资料。不符合“档案管理登记试行办法”的有关规定。合同或协议没有明确编号，历年的合同或协议“对应”区分比较困难。

科研基金的使用：课题经费“统账”核算，分类分项困难。分析其原因科室反映主要是一些预实验项目或已立项尚未批准的科研项目启动基金无法落实。

（二）内部审计开展内部控制评价的途径

4.信息与沟通的评价。企业开展信息与沟通评价，应当以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实

施内部控制的有效性等进行认定和评价。

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息是企业的资源，是企业各种经营管理行为的依据，信息的质量对管理层能否作出恰当的经营管理决策具有重大影响。充分、及时的沟通有助于管理层了解经营活动存在的问题，客观地评价各部门的工作。迅速采取有效的管理措施来保证企业经营活动的健康运行。

信息与沟通评价主要包括企业获取及处理信息的能力。内部审计要对企业信息系统的健全性、有效性和安全性进行审查与评价。

公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出是涵盖经营、财务外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。

沃尔玛信息系统的组建过程，从董事到部门主管，全部参与，使得投入的人力、物力和资金叹为观止，收到的效益也是令人乍舌。这几年来，我国大部分企业显然已经开始逐渐加大对信息系统的重视。许多公司成立了相应的IT部，并且其地位开始从二级管理辅助部门向“一把手工程”转变。北京翠微集团在创建之始就提出：管理手段要采用高新技术。正是在现代科技手段与现代管理理念相结合的基础上，翠微集团在短时间内崛起，并在中国商界占有一席之地。

以医院为例阐述信息系统和沟通的审计

医院对于怎样提高临床科室的经济效益方面的内部控制制度有一些规定：选定了“面神经瘫痪”、“扁桃体手术”和“突发性耳聋”三个项目进行了解和评价，对其病种的发病原因（医生协助分析）、年龄段、性别类型、费用明细以及比重分析分别作了详细的表格式说明。通过对单病种的治疗、检查、用药和收费等方面了解剖析，提出一些比较有用的信息供临床科主任参考，制定有科学依据的措施，降低或解决病人看病贵的问题。对于病种经济负担的计算控制，抽取样本数164例。时间跨度是：20xx年—20xx年5月

1.“面神经瘫痪瘫”单病种基本费用表；2.“扁桃体手术”单病种基本费用表；3.“突发性耳聋”单病种基本费用表。

住院人数分别是面神经瘫痪51例，扁桃体手术41例，突发性耳聋72例。

住院总费用分别面神经瘫痪32.81万元，扁桃体手术17.12万元，突发性耳聋45.49万元。

平均住院天数分别是面神经瘫痪27天，扁桃体手术10天，突发性耳聋24天。

平均住院费用分别是面神经瘫痪6433.33元，扁桃体手术4175.61元，突发性耳聋6318.06元。

患病人群统计（男女老少）来医院诊断的男女老少人数：男性病人75例，女性病人89例。其中老年病人58例，扁桃体手术16岁以下病人4例，16～60岁人群患病102例，占总样本数62.2%。同时“统计表”也反映了面神经瘫痪与突发性耳聋中老年人较多，慢性扁桃体炎年轻人比较多。统计中还发现面神经瘫痪病人男性比较多，而突发性耳聋病人则女性比较多。

三种单病种的平均住院费用分别为：面神经瘫痪6433.33元，扁桃体手术4175.61元，突发性耳聋6318.06元。

调查总结：单病种核算模式为医院提供有效的决策支持。为今后开展项目成本、病种成本核算打基础，为医院持续发展提供信息资料。一个健全的医院内部控制系统必须拥有一套

完善的有关信息传递、沟通与反馈的信息系统。信息是组织的命脉，不只因为信息能够在结构、技术、创新等方面辅助决策制定，还因为信息是组织连接医生和患者的“纽带”。沟通则是要让每个职工对于其在内部控制及财务报告中的作用与责任有充分的了解，它包括个人对于其行为对他人造成的影响的认识以及各部门之间业务活动的相互协调。

5.内部监督的评价。企业组织开展内部监督评价，应当以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

企业检查与监督。在对企业该项活动测试时，要重点审核公司是否已制定了内部控制检查监督办法，该项工作是否在董事会或审计委员会直接领导下，有风险管理部门或审计部门具体负责实施，并有相关制度。

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部控制是一个动态管理过程，随着时间的推移和环境的变化，曾经有效的内部控制可能会变得无效，因此，对内部控制的制定、执行及效果需要进行跟踪式的监督与评价，以便满足管理当局根据环境变化适时调整内部控制系统的需要，确保内部控制系统完整、有效。

内部监督评价主要就是评价监督机制是否执行并有效。监控是为了保证内部控制的有效实施，对企业内部控制框架进行评价的过程。通过对内部控制的监控，可以发现内控制实施过程中存在的问题，针对发现的内控漏洞予以尽快修补，可以达到防范舞弊和完善内控制度的目的。我国对内部控制进行监控的主体应该是内部审计部门及类似机构，然而目前企业内部审计的监督职能并没有真正实现，而是依靠行政干预建立起来的审计机制很难受到重视，在这种情况下，不可避免的出现舞弊行为。

以医院为例阐述对控制的监督管理的审计

医院的制度规定，内部审计部门参与对“医院药品、医疗器械、医用试剂和总务物资采购相关遴选会议”。对医院的财产物资购置提前介入，便于医院监督资产的管理。这就强化了一个内部审计部门的监督的职能。

（二）记录内部控制评价工作

内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。

评价工作底稿应当设计合理、证据充分、简便易行、便于操作。

三、内部控制评价的程序

（一）内部审计开展内部控制评价的途径

1.参与企业内部控制制定，改变内部控制在制定阶段主要交由相关业务部门完成的传统做法，使内部控制在建立之时就交由内部审计进行评价。内部审计师应站在企业内部控制全局的高度，统筹考虑并提出自己的建议，最大限度地克服内部控制建立时可能就有的天然缺陷。

2.在日常审计项目中，不仅通过内部控制评价，确定审计重点和审计风险，用以指导审计工作，而且还要对该项业务涉及到的内部控制的健全性、适当性、执行的有效性进行评价，评价其关键控制和程序能否保证内控目标的实现，能否有效抵御和控制企业各种风险，发现控制弱点和控制缺陷，及时报告管理层。

3.对企业内部控制单独立项，专门评价。

随着现代企业制度的建立和企业内部控制建设进程的加快，传统的报表审计、经济责任审计已远远不能满足管理层对内部审计的要求，内部审计应该在企业内部控制中发挥更大的

作用，将内部控制的监督、评价作为重要的工作内容，单独立项，专门评价。分步骤、有计划地对企业各部门、各环节的内部控制进行综合评价和全面测试，衡量企业内部控制建立健全程度和抵御风险能力，寻找内部控制薄弱环节，提出强化内控建设的措施，以防范和化解企业各种经营风险，提高企业管理水平。

4.组织管理部门开展内部控制自评。内部控制自评是指由内部审计人员与被审部门管理人员组成审计小组，管理人员在内部审计人员的帮助下，对本部门内部控制的恰当性和有效性进行评估，提出报告。内部控制自评可以让管理部门更好地熟悉本部门内部控制情况，明确本部门对企业内部控制的责任，促进其更好地履行职责；同时，还可以从执行者的角度更好地反映当前内部控制中存在的问题。既降低了审计成本，减少了审计人员工作量，又使内部审计达到了更好的效果。

评价企业内部控制的有效性实质是评价内部控制为相关目标的实现提供的保证水平是否达到或超过合理保证的水平。如果保证的水平处于有效内部控制的区间内，则内部控制是有效的，如果保证的水平低于合理水平，则内部控制是无效的。从另一个角度来看，就是评价相关目标的风险在经过内部控制之后是否已经降低到了一个适当的水平，如果已经降到了一个适当的水平，则内部控制是有效的；反之，则无效。

（二）内部控制评价的程序

企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价工作。

内部控制评价的具体组织实施工作可以授权给内部审计部门或专门机构负责。内部控制评价程序一般包括：

1.制定评价工作方案。评价方案应明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。

内部审计开展内部控制评价的范畴不应局限于内部会计控制。长期以来，人们对内部控制评价的定位，一直站在制度基础审计的角度，集中于会计控制。会计控制是企业内部控制系统最基础的控制平台，是企业内部控制的主要内容，但绝不是惟一内容。以目前我国许多上市公司为例，有些公司虽然会计制度比较健全，但由于忽略控制环境问题，使管理环节存在诸多缺陷，导致会计控制失效的事例频频发生。

每个企业关于内部控制自我评价范围、原则和目标并不相同，但一般应采用全员参与的、整个流程范围的自我评价。并要在所有的关键的利益相关者之间进行交流、调整，如内部审计师、高层管理人员和董事会。

内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

2.作用和责任的限定

有效的内部控制自我评价关键在于对参与者的作用和责任的限定。包括控制活动过程的岗位责任者，内部控制自我评价的测试人员以及复核人员。一般而言，一个过程的岗位负责人应该是一个拥有较强的项目管理技术的专家并且足够资深，以确保无论在何种情况下，内部控制自我评价能对风险优先排序。对测试人员要实行详细的检验，并将相应的结果文件化，测试人员必须对自我评价的过程理解并对所测试的基本控制进行适当的权衡，并且以合理程度的专业怀疑态度和独立性进行测试。内部控制自我评价的复核人员也必须对实施有效的复核过程有足够的理解。对某一个既定的过程而言，自我评价复核人员逻辑上通常是这个过程的岗位负责人。

3.组成评价工作组。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

企业可以委托中介机构实施内部控制评价。但是为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。

由企业内部审计人员组成评价工作组的：出于遵循法律法规的需要，一般都由内部审计人员正式地对内部控制自我评价进行评估并发表相应的意见；或者他们只是简单地对某个既定过程的基本的内部控制在一般的基于风险的审计范围内进行审计。无论内部控制自我评价在结构上采用何种方式，关键的是对上述人员的作用加以规定，并从项目涉及的各个参与人的视角进行协调，达成一致意见。

企业（或总部）应当成立内部控制检查评价工作领导小组（以下简称“检评领导小组”），组长由主要负责人担任，副组长由总会计师/分管财务领导担任，成员由财务、审计、人事、监察、销售、采购等部门的主要负责人组成。

检评领导小组应当根据实际情况，按照成本和效益原则，确定或组建内部控制检查评价工作组（以下简称“检评组”）。检评组可以设在（或授权）财务或审计部门，也可另行组成由财务、审计、人事、监察等有关部门相关人员参加的检评组，组长可由审计部门负责人担任。

4.提出实施的具体要求

对每一个关键控制的目标如何进行测试要制定测试手册。包括事先确定样本的规格、具体测试的步骤、步骤保留的证据以及每项测试通过与不通过的组成内容。可以多听取外部审计师及其他专家的意见。

检评组人员根据工作计划，按规定的抽样比例和方法，随机抽取各类业务的样本。同时依据各自的分工，对所抽取的业务样本控制点，按照规范的业务流程表中控制点和不相容职务/岗位分离及授权等要求，实施控制测试。

5.实施现场测试。评价人员应综合运用个别访谈、调查问卷、专题讨论、穿行测试、抽样等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

企业层面评估测试方法主要有：调查问卷、管理层访谈、获取并审阅相关文档抽样进行测试等。

6.认定控制缺陷。

当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时防止或发现差错，则说明存在着控制缺陷。分为设计缺陷和运行缺陷。当存在设计缺陷时，表明必要的控制或控制的必要成分缺失，无法达到控制目标或者现有的控制设计不当，即使按设计执行后仍无法满足控制目标。

在内部控制自我评价测试中，如果内部控制的缺陷已经被确认，或者是对所设计的控制有某些担心或者失败已确认，则应尽快启动对差异的矫正。确认已有的控制和最佳的控制之间的差距，从而不断改善、发现和掌握使内部控制程序和内部控制本身更有效的方法。 如果最终获得的支持性文档不能支持控制活动的存在性与有效性，而导致判断该控制存在缺陷，则需要将该文档内容的具体描述、不能满足要求的原因详细填写在“附注/解释”一栏中。

企业层面内部控制评估中要形成如下主要文档：企业层面内部控制调查问卷；控制测试工作底稿；支持性文档检查清单与支持性文档；发现问题汇总表等。

7.汇总评价结果。

实施内部控制自我评价后，要正式地征求反馈意见，总结经验和教训，使其不断得到完善。

检评组人员将检查测试情况按每笔业务逐笔如实进行记录（包括抽查时间、抽查方法、抽查的具体业务合同或凭证编号、检查测试得分结果等），建立检查评价工作底稿，签字后交检评组负责人或其授权人员审核签字。

企业需要从定性和定量两方面进行衡量，判断是否构成内部控制缺陷。如果存在下列情

况之一，则可认定内部控制存在设计或运行缺陷：（1）未实现规定的控制目标；（2）未执行规定的控制活动；（3）突破规定的权限；（4）不能及时提供控制运行有效的相关证据。 针对每一个控制缺陷，都必须提出整改建议。整改建议需要由问卷和测试的填写人与执行人在问卷和测试填写完成后与相关部门管理层讨论后拟定完成；整改建议必须内容具体，切实可行。而且要列出控制缺陷的风险级别，最好由内控评价负责人评估及填写。

8.编报评价报告。评价人员对检查出来的各类问题统一进行复核和确认，汇总检查评价结果，根据评价实施情况，编制评价报告，并向有关人员和机构报告。

四、内部控制评价的方法

传统的内部控制评价模式主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，审计报告中的建议也是管理当局早已经知道的，缺乏新意。风险导向审计法要求内部审计人员改变传统的评价模式，把审计的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。

1.详细评价法

详细评价法的逻辑和程序如图1所示：

2.风险基础评价法

风险基础评价法的逻辑和程序如图2所示：

风险基础评价法与详细评价法的区别类似于财务报表的详细审计与财务报表的风险基础审计，主要体现在以下几个方面：

第一，风险基础法首先评估实现内部控制相关目标的风险，根据风险评估的结果对照企业的内部控制，参考内部控制框架来判断企业内部控制设计的有效性。

第二，风险基础法需要更高程度的专业判断。无论是评价内部控制设计的有效性，还是测试内部控制运行的有效性都是根据最初的风险评估和后续的风险评估进行的，这与详细评价法下根据一个确定的框架来评价相比需要更高程度的专业判断。

比较上述两种评价方法的优劣以及从国际发展的总体趋势来看，风险基础的内部控制评价方法必然是未来的发展方向，因为无论是基于成本效益的考虑，还是与企业的实际情况相结合，从确保评价的合理性来说，风险基础评价法都比详细评价法具有明显的优势。

在内部审计领域，人们似乎对风险导向审计方法有着与外部审计不同的理解。内部审计师更多地将风险导向审计中的“风险”扩大为企业或组织在经营过程中面临的不能实现其目标的各种风险，并将其作为确定审计项目及其审计重点的依据。内部审计领域的风险导向审计是以影响企业经营目标实现的经营风险为依据确定审计项目，以企业进行的所有降低风险的活动为测试重点，评价风险降低的充分性和有效性，并提出恰当的降低风险的建议的一种方法。

在内部审计领域实施风险导向审计，改变了内部审计人员探讨风险和内部控制的方法，改变了过去那种内部审计人员以检查历史业务记录和内部控制系统的历史运营情况提出建议和意见的方式，变为更加关注企业面临的风险和企业未来的发展及企业为降低风险所进行的一项管理活动。

评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向审计法下，内部审计更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是可以接受的？控制的效果是否影响管理当局决策？只有清楚地了解了这些，内

部审计人员才能辨别何处控制环节过多，何处控制环节不充分，何处控制满意，何处控制需要改善。

对企业内部控制评价具体实施的方法主要包括：

1.个别访谈。是指企业根据检查评价需要，对被检查单位员工进行单独访谈，以获取有关信息。通过找有关人员谈话，可以调查了解内部控制制度，还可以针对可疑账项或异常情况等向有关人员提出询问。具体的运用流程是：

（1）设计访谈提纲。

（2）恰当进行提问。

（3）准确扑捉信息，及时收集有关资料。

（4）适当地做出回应。

（5）及时作好访谈记录，一般还要录音或录像。

2.调查问卷。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目做出评价。

是一种用于只需简单回答为是／否或者有／无的调查工具。业务流程的具体操作者使用调查结果去评估他们的控制结构。

设计企业层面调查问卷和问题清单。负责内控评价的部门必须负责设计调查问卷用以记录公司部门/分支机构在各关键控制领域具体执行情况与评价过程。调查问卷通常包含如下的栏目： 控制要求（应根据确定的关键控制领域的规范要求进行细化和明确）；实际操作描述；规章制度索引/实施记录索引；负责部门；控制设计缺陷。

问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握。他们需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充。问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进行讨论；可以在原有的问卷中增加一列，标注审阅意见（已填写的内容是否存在不清楚，不够完整等情况），以此作为访谈提纲。在访谈时，即可在这些审阅意见下加注访谈对象的回答，最后进行修改问卷。

3.专题讨论会。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

如果企业能够有效地接受和支持参会者实事求是的发言，如果组织文化属支持性的，推荐采用研讨会法；如果组织文化不属于支持性的，那么调查问卷的回复和管理层对内控制度分析能够强化控制环境。

研讨会法是一种从代表组织不同层次尤其是风险薄弱环节的工作组中收集内部控制信息，召集尽可能多的业务人员共同分享信息、讨论问题的方法。

研讨会主要有基于控制、流程、风险和目标的四种基本形式。在实践中，企业往往同时使用一种以上的形式组合。

1）基于控制的研讨会形式

该形式研讨会重点关注内部控制的实际运行状况，即内部控制执行的有效性。

2）基于风险的研讨会形式

该形式研讨会重点关注风险识别和风险管理。该形式研讨会容易为正确行动识别出显著的剩余风险，也较其他方法更易做出全面的自我评估。

3）基于流程的研讨会形式

该形式研讨会重点检查所选择过程内的执行活动情况。该研讨会的意图是评价、更新或改进选择过程。

4）基于目标的研讨会形式

该形式研讨会重点关注完成目标的最优途径的选择方面。研讨会的目的是确定是否选择

了最佳的内控技术，是否这些技术在可接受的剩余风险水平下得到有效的运行。

4.管理层分析法。是任何不使用上述方法的方法。管理层可生成一种业务流程的全员研究的内控环境。内部审计师将研究结果与其他经理和关键人物收集的信息结合起来。通过综合这些素材，开发出一种业务流程的具体操作方法，可以在控制中运用的分析框架。

5.穿行测试。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

6.抽样。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性做出评价。

五、内部控制缺陷认定和评价报告

（一）内部控制缺陷认定

1.内部控制缺陷的分类

内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。

（1）设计缺陷

设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。

内部控制不健全是指缺少实现内控目标必需的控制，即在企业生产经营活动过程中的某些环节、某些方面无章可循。这种情况长期下去，势必会导致经营秩序混乱、账目不清、决策失误，降低企业的抗风险能力，甚至使企业最终破产倒闭。内部控制制度不适当是指现有内控设计不合理，以至于即使按设计运行，通常也无法实现内控目标。企业建立的内部控制制度不符合企业生产经营活动的实际情况，或生搬硬套其他企业的内部控制制度，或内部控制制度陈旧过时，不能适应变化了的内控环境的需要。

（2）运行缺陷

运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

有些企业表面上似乎建立健全了企业内部控制制度，但往往只是写在纸上，挂在墙上，形同虚设，这种现象在相当一部分企业中存在。他们这样做的目的不过是做做样子，应付检查，实际上还是我行我素。此外，企业内部普遍存在授权不明、权责不清的情况，这也是内部控制不能有效运行的重要原因。内部控制在我国的发展比较快，但是人员素质还没跟上，员工必要的胜任能力不够，这在中小型企业中还是比较普遍的现象。

2.内部控制缺陷的认定标准

企业在日常监督、专项监督和年度评价工作中，应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。 美国上市公司会计监管委员会（PCAOB）审计准则第2号指出审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。根据缺陷对企业影响的严重程度可以分为3类。对缺陷的严重性进行评估应当包括定量和定性两个方面。

重大缺陷（或称实质性漏洞）实质性漏洞是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性。进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。

一般缺陷没有特别规定，但可以推测是以上两种缺陷之外的缺陷没有特别规定，但可以推测是以上两种缺陷之外的缺陷。

根据上述定义，判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：（1）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷；（2）针对同一细化控制目标所采取的不同控制活动之间的相互作用；（3）针对同一细化控制目标是否存在其他补偿性控制活动。

企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。

内部控制缺陷报告是监督控制活动的重要组成部分，企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。内部控制自我评价的意义也正是体现于评价结果向管理层及时、准确的反馈过程。

企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。

（二）内部控制评价报告

企业应当根据《企业内部控制基本规范》、应用指引和本指引，设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。

1.内部控制评价报告的内容

下表列示了我国和美国相关法规对内部控制评价报告内容的规定。企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。但是企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。 表3－3我国和美国对内部控制评价报告内容的规定

企业内部控制评价指引 内部控制评价报告至少应当披露下列内容：

（1）董事会对内部控制报告真实性的声明；

（2）内部控制评价工作的总体情况；

（3）内部控制评价的依据；

（4）内部控制评价的范围；

（5）内部控制评价的程序和方法；

（6）内部控制缺陷及其认定情况；

（7）内部控制缺陷的整改情况及重大缺陷拟采取的整改措施；

（8）内部控制有效性的结论

《深圳证券交易所上市公司内部控制指引》 自我评价报告至少应包括以下内容：

（1）对照本指引及有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；

（2）说明本指引重点关注的控制活动的自查和评估情况；

（3）说明内部控制缺陷和异常事项的改进措施（如适用）；

（4）说明上一年度的内部控制缺陷及异常事项的改善进展情况（如适用）

《上海证券交易所上市公司内部控制指引》 公司内部控制自我评估报告至少应包括如下内容：

（1）内控制度是否建立健全；

（2）内控制度是否有效实施；

（3）内部控制检查监督工作的情况；

（4）内控制度及其实施过程中出现的重大风险及其处理情况；

（5）对本年度内部控制检查监督工作计划完成情况的评价；

（6）完善内控制度的有关措施；

（7）下一年度内部控制有关工作计划

《萨班斯一奥克斯利法案》 上市公司披露的管理层内部控制报告主要包括：

（1）强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；

（2）发行人管理层最近财务年度末对内部控制体系及控制程序有效性的评价

美国上市公司会计监管委员会PCAOB审计准则第2号 管理层关于财务报告内部控制的报告必须包括下列内容：

（1）管理层建立和维护适当的公司财务报告内部控制的职责声明；

（2）由管理层所使用的、用来执行公司财务报告内部控制的有效性的必要评估的框架确定声明；

（3）在最近的财务年度结束时，公司的财务报告内部控制的有效性评估，包括一份清晰的关于财务报告内部控制是否有效的声明；

（4）对包括在年度报告中的财务报表进行了审计的会计师事务所签发的一份关于管理层对公司财务报告内部控制评估的验证报告的声明

企业应当根据年度内部控制评价结果，结合内部控制评价工作底稿和内部控制缺陷汇总表等资料，按照规定的程序和要求，及时编制内部控制评价报告。

2.内部控制评价报告的报出

（1）内部控制评价报告的批准结构

内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。

（2）内部控制评价报告的基准日及报送期限

企业应当以 12 月 31 日作为年度内部控制评价报告的基准日。

内部控制评价报告应于基准日后 4 个月内报出。

（3）企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。

（4）企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。