企业内部控制评价指引
企业内部控制评价指引
企业内部控制评价指引
企业内部控制评价指引
企业内部控制是保障企业运营管理合法化、有序化的重要手段,对公司的可持续发展具有密不可分的重要价值。
企业内部控制评价指引是企业内部控制的核心要素之一,它通过完整的评估程序来检测、分析内部控制,从而控制风险、提升企业效率和公司价值,实现企业可持续发展。
企业内部控制评价指引包括四大要素,第一是价值导向的设计原则,该原则主张以企业的价值创造和目标实现为出发点,旨在将企业的战略目标、绩效目标落实在具体的内部控制体系中,利用效率优化的投资来节约成本,最终达到企业最终的价值实现目标。
第二是企业责任分配的设计原则,该原则强调企业内部人员要全面配备,减少在资源调配上的差错犯错,确保企业管理运行一致和有序,同时要保证治理层控制权落实在企业的上下游。
第三是内部控制的完整性设计原则,该原则要求企业内部控制体系要完整,包括内部控制的原理、机制,以及内部控制的体系工具,要求内部控制机制能够支撑企业运行,实现企业控制层的有效实施。
第四是监督系统的平衡设计原则,该原则强调企业要制定有质量监督系统,以防止失效,保证企业内部控制的准确性和有效性,而且企业要不断改进内部控制体系,确保企业在控制过程中的安全和高效运行。
企业内部控制评价指引的不断改进和完善,是企业可持续发展的必要法宝,能在有限的资源中实现企业价值的最大化。
企业应坚持不懈的完善内部控制体系,并加强基础性的内部控制,实现可持续发展,满足社会各方的利益期望。
企业内部控制评价指引
企业内部控制评价指引一、评价目的和范围1.评价目的:评价企业的内部控制体系是否能够有效地保护企业财务信息的真实性、可靠性和完整性,预防欺诈和错误行为,并提供改进建议。
2.评价范围:涵盖企业财务报告编制流程、风险管理、内部控制环境、信息与沟通、监督和检查等一系列要素。
二、评价方法和步骤1.评价方法:采用问卷调查、文件审查、现场检查和相关人员访谈等方法,综合评价企业内部控制体系的强度和有效性。
2.评价步骤:(1)明确评价目标和范围;(2)收集和分析相关的内部控制文件和材料;(3)根据评价目标制定调查问卷并进行调查;(4)现场检查,包括盘点、核实和抽样检查等;(5)对相关人员进行访谈,了解其对内部控制的认识和运作情况;(6)对评价结果进行整理、分析和总结,并提出改进建议;(7)制定实施改进措施的计划,并监督其执行情况;(8)定期评估内部控制体系的有效性,并及时进行改进。
三、评价内容和指标1.财务报告编制流程:(1)制定和实施财务报告编制的相关政策和程序;(2)财务报告编制的准确性和完整性;(3)财务报告的及时提交和披露。
2.风险管理:(1)风险识别与评估的方法和程序;(2)制定风险防范和控制措施的能力和执行情况;(3)风险监控和控制结果的反馈和改进。
3.内部控制环境:(1)企业的管理层对内部控制的重视程度和支持;(2)业务流程的规范性和透明度;(3)内部控制制度的完备性和有效性。
4.信息与沟通:(1)内部信息的传递和沟通渠道的畅通;(2)信息共享和知识管理的机制和平台。
5.监督和检查:(1)内部审计的独立性和专业能力;(2)内部审计制度的健全性和有效性;(3)内部审计结果的反馈和改进。
四、评价结果和改进建议1.评价结果:根据评价内容和指标,对企业内部控制体系进行综合评价,得出一个评价结果。
2.改进建议:根据评价结果提出针对性的改进建议,包括建议的内容、具体措施和实施计划,并追踪和监督其执行情况。
五、评价报告和监督1.评价报告:根据评价结果和改进建议,编写评估报告,包括评价目的、范围、方法、步骤、内容、结果和建议。
《内部控制评价指引》
《内部控制评价指引》一、绪论内部控制评价是企业管理的重要环节,通过对企业内部的控制体系、流程和流程岗位等进行评估和评价,及时发现问题和风险,提出合理的改进意见和控制措施,以确保企业的运营稳定和风险控制。
二、评价的目标1.发现风险和问题:通过评价,及时发现企业内部存在的风险和问题,包括人员、流程和系统方面的问题。
2.提出改进建议:根据评价结果,提出合理的改进建议,以优化和完善企业的内部控制体系,提高运营效率和风险控制能力。
3.促进行动和落地:将改进建议纳入企业的管理体系,并推动相关部门和人员按照改进意见进行改进和执行,确保改进措施的落地和有效实施。
三、评价的方法1.比较法:将企业的内部控制与相关的法律法规、行业标准和最佳实践进行比较,以评估企业的内部控制是否满足相关要求。
2.流程分析法:对企业的运营流程进行分析,包括输入、加工和输出等环节,以评估企业的流程控制和风险控制能力。
3.统计分析法:通过对企业的相关数据进行统计分析,揭示潜在的问题和风险,以评估企业的内部控制和风险控制能力。
4.问卷调查法:通过发放问卷,收集员工和管理人员对企业内部控制的意见和建议,以评估企业的内部控制的有效性和改进建议。
四、评价的内容1.控制环境评价:评估企业的管理层是否重视内部控制,是否有明确的控制目标和策略,以及是否建立了合理的控制文化和价值观。
2.风险评估:评估企业内部存在的风险类型和程度,包括内部控制的关键风险和潜在风险。
3.控制活动评价:评估企业内部的具体控制措施和流程,包括人员的岗位职责和权限、系统的设置和使用等。
4.信息和沟通评价:评估企业内部的信息和沟通渠道,包括内部报告制度、沟通机制和信息系统等。
5.监督和反馈评价:评估企业的监督和反馈机制,包括内部审计、监管和第三方评价等。
五、评价结果的处理1.分析评价结果:针对评价结果,进行深入的分析和理解,掌握问题的本质和原因。
2.提出改进建议:根据评价结果,提出合理的改进建议,包括流程改进、岗位职责调整、系统升级等。
第4章企业内部控制评价指引
第四条 企业应当根据本评价指引,结合 内部控制设计与运行的实际情况,制定具 体的内部控制评价办法,规定评价的原则 、内容、 程序、方法和报告形式等,明 确相关机构或岗位的职责权限,落实责任 制,按照规定的办法、程序和要求,有序 开展内部控制评价工作。企业董事会应当 对内部控制评价报告的真实性负责。
第十五条 内部控制评价工作组应当对 被评价单位进行现场测试,综合运用个 别访谈、调查问卷、专题讨论、穿行测 试、实地查验、抽样和比较分析等方法 ,充分收集被评价单位内部控制设计和 运行是否有效的证据,按照评价的具体 内容,如实填写评价工作底稿,研究分 析内部控制缺陷。
第四章 内部控制缺陷的认定
第十六条 内部控制缺陷包括设计缺陷 和运行缺陷。企业对内部控制缺陷的 认定,应当以日常监督和专项监督为 基础,结合年度内部控制评价,由内 部控制评价部门进行综合分析后提出 认定意见,按照规定的权限和程序进 行审核后予以最终认定。
第五章 内部控制评价报告
第二十条 企业应当根据《企业内部 控制基本规范》、应用指引和本指引 ,设计内部控制评价报告的种类、格 式和内容,明确内部控制评价报告编 制程序和要求,按照规定的权限报经 批准后对外报出。
第二十一条 内部控制评价报告应当 分别内部环境、风险评估、控制活 动、信息与沟通、内部监督等要素 进行设计,对内部控制评价过程、 内部控制缺陷认定及整改情况、内 部控制有效性的结论等相关内容作 出披露。
第十八条 企业内部控制评价工作组 应当建立评价质量交叉复核制度,评 价工作组负责人应当对评价工作底稿 进行严格审核,并对所认定的评价结 果签字确认后,提交企业内部控制评 价部门。
第十九条 企业内部控制评价部门应当编制内 部控制缺陷认定汇总表, 结合日常监督和专 项监督发现的内部控制缺陷及其持续改进情 况,对内部控制缺陷及其成因,表现形式和 影响程度进行综合分析和全面复核,提出认 定意见,并以适当的形式向董事会、监事会 或者经理层报告。重大缺陷应当由董事会予 以最终认定。企业对于认定的重大缺陷,应 当及时采取应对策略,切实将风险控制在可 承受度之内,并追究有关部门或相关人员的 责任。
《企业内部控制评价指引》
《企业内部控制评价指引》第一讲1、以下哪项不属于内部控制评价作用的内容?(单选题)○有助于企业自我完善内部控制体系○有助于提升企业市场形象和公众认可度○有助于实现与政府监管的协调互助●有助于促进企业与利益相关者关系的发展2、内部控制运行有效性应考虑哪些问题?(多选题)●相关控制在评价期内是如何运行的●有关控制十分得到了持续一致的运行○有关控制是否得到了间歇性的运行●实施控制的人员是否具备必要的权限和能力3、经理层负责组织实施内部控制评价,也可以授权内部控制评价机构具体组织实施,并积极支持和配合内部控制评价的开展,创造良好的环境和条件。
(判断题)●正确○错误第二讲1、以下哪些不属于企业内部评价的内容。
(单选题)○内部环境○风险评估○控制活动●外部监督2、控制活动涉及到企业多项业务流程,每一项业务流程应该根据公司内部控制制度和相应的测试评价方法。
(判断题)●正确○错误3、公司组织构架的适应性包括哪些内容。
(多选题)●公司经营业务的性质●公司组织构架适当集中或分散●组织结构之间权限清晰、相互牵制○管理人员的变化4、企业内部环境评价属于“硬指标”,从企业层面评价内部环境具有一定的局限性。
(判断题)○正确●错误第三讲1、以下哪项不属于企业内部评价的实施阶段。
(单选题)●组织评价工作组○了解被评价单位基本情况○确定检查评价范围和重点○开展现场检查测试2、以下哪项不属于企业内部评价的方法。
(单选题)○个别访谈法○调查问卷法○抽样法●专家咨询法第四讲1、按照内部控制缺陷的成因或来源,企业内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
(判断题)○正确●错误2、以下哪些情况属于内部控制执行上的缺陷。
(多选题)○针对某一控制目标,缺失必要的控制点○已有的内部控制设计不当●设计恰当的内部控制未按照设计的要求正确执行●控制执行人没有取得必要的授权或缺乏必要的胜任能力3、非财务控制内部控制缺陷的一般缺陷为直接财产损失500万元到1000万元。
《企业内部控制评价指引》
附件1:企业内部控制评价指引(征求意见稿)第一章总则第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引.第二条本指引适用于中华人民共和国境内设立的大中型企业.第三条本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。
内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。
第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
第五条企业实施内部控制评价,应当遵循下列原则:(一)风险导向原则。
内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
(二)一致性原则。
内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
(三)公允性原则。
内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
(四)独立性原则.内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性.(五)成本效益原则。
内部控制评价应当以适当的成本实现科学有效的评价.第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。
监事会对董事会实施内部控制评价进行监督。
第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。
具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。
第八条企业内部控制评价,一般包括年度评价和专项评价。
年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。
《企业内部控制评价指引》
《企业内部控制评价指引》一、引言1.1指导背景:简要介绍内部控制评价的背景和目的。
1.2适用范围:明确指导适用的企业类型和规模。
二、内部控制评价的基本概念和原则2.1内部控制的定义:详细解释内部控制的定义和内涵,包括内部控制环境、风险评估和控制活动。
2.2内部控制评价的原则:列举内部控制评价的原则,如独立性、全面性、可靠性、可持续性等。
三、内部控制评价的方法和步骤3.1评价方法:介绍各种内部控制评价的方法,如问卷调查、检查清单、流程分析、抽样检查等。
3.2评价步骤:详细阐述内部控制评价的步骤,如准备调查材料、开展调查研究、分析评估结果、提出改进建议等。
四、内部控制评价的主要内容和要点4.1内部控制的组成要素:介绍内部控制的几个关键要素,包括控制环境、风险评估、控制活动、信息与沟通、监督与反馈等。
4.2内部控制的评价指标:列举内部控制评价的主要指标,如控制目标的实现程度、风险的识别和应对能力、信息的准确性和及时性等。
五、内部控制评价的结论和建议5.1结论:根据评价结果,给出内部控制的总体评价和审议结论。
5.2建议:针对评价结果中存在的问题和不足,提出改进和加强内部控制的建议和措施。
六、内部控制评价的监督和跟踪6.1监督机制:介绍建立有效的内部控制评价监督机制的方法和要点,如内部审计制度、监督委员会等。
6.2跟踪措施:提出跟踪和评估内部控制改进措施实施效果的方法和建议。
七、附录7.1内部控制评价表:提供一份示例的内部控制评价表,方便企业按照指引进行评价和记录。
以上是一份简单的企业内部控制评价指引的例子,企业可以根据自身的情况进行调整和完善,以提高内部控制的有效性和适应性。
通过进行内部控制评价,企业可以发现问题、改进漏洞,并加强对风险的控制和管理,提高企业的整体运营效率和风险抵御能力。
企业内部控制评价指引
附件1:企业内部控制评价指引(征求意见稿)第一章总则第一条为了规范企业内部控制评价,全面评估内部控制设计与运行情况,编制内部控制评价报告,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称内部控制评价,是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。
第三条企业应当根据《企业内部控制基本规范》和本评价指引,结合本企业的实际情况,制定内部控制评价办法,明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。
企业主要负责人应当对内部控制评价结论的真实性负责。
第四条企业应当建立内部控制评价结果分析利用和考核制度,将内部控制评价结果和整改情况作为内部绩效考评的重要依据。
第二章评价的原则和内容第五条企业实施内部控制评价,至少应当遵循全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。
全面性,是指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位实用文档的各种业务和事项。
重要性,是指在全面评价的基础上关注重要高风险领域。
独立性,是指评价工作应当于内部控制的设计与运行相互分离。
第六条企业内部控制评价应当以内部环境为基础,重点关注:治理结构是否形同虚设;发展战略是否可行;机构设置是否重叠;权责分配是否明晰;不相容岗位是否分离;人力资源政策和激励约束机制是否科学合理;企业文化是否促进员工勤勉尽责;社会责任是否有效履行等。
第七条企业内部控制评价应当以生产经营活动为重点,至少关注:资金的筹集、投放和营运过程是否存在资金链断裂;资产运行中是否存在效能低下或资产流失;采购与销售环节是否存在舞弊行为;研发项目是否经过科学论证;工程项目是否存在商业贿赂等。
第八条企业内部控制评价应当兼顾控制手段,至少关注:全面预算是否具有约束力;合同履行是否存在纠纷;信息系统是否与内部控制有机结合;内部报告是否及时传递和有效沟通等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件1:企业内部控制评价指引(征求意见稿)第一章总则第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引适用于中华人民共和国境内设立的大中型企业。
第三条本指引所称内部控制评价,是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。
内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。
第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
第五条企业实施内部控制评价,应当遵循下列原则:(一)风险导向原则。
内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
(二)一致性原则。
内部控制评价应当采用统一可比的评价方法和标准,保证评价结果的可比性。
(三)公允性原则。
内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
(四)独立性原则。
内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
(五)成本效益原则。
内部控制评价应当以适当的成本实现科学有效的评价。
第六条企业董事会及其审计委员会负责领导本企业的内部控制评价工作。
监事会对董事会实施内部控制评价进行监督。
第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。
具备条件的企业,可以设立专门的内部控制评价机构(以下合称内部控制评价机构)。
第八条企业内部控制评价,一般包括年度评价和专项评价。
年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价;专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。
第二章内部控制评价的内容和标准第九条企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。
第十条企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
第十一条应用信息系统加强内部控制的企业,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。
一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。
应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
第十二条企业应当根据《企业内部控制基本规范》及其应用指引的有关规定,建立与实施内部控制,并以此为依据和标准组织开展内部控制评价工作。
第十三条企业集团对被评价单位内部控制的有效性进行评价,应当至少涉及下列内容:(一)被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。
(二)被评价单位内部控制设计的方法是否适当,内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。
(三)被评价单位内部控制设计和运行的组织是否有效,人员配备、职责分工和授权是否合理。
(四)被评价单位是否开展内部控制自查并上报有关自查报告。
(五)被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。
(六)被评价单位在评价期间是否出现过重大风险事故等。
第三章内部控制评价的程序和方法第十四条企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。
第十五条内部控制评价机构应当根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容,报管理层和董事会审批。
第十六条内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。
第十七条内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集、确认、分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。
第十八条内部控制评估和测试的方法主要包括:(一)个别访谈法。
是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。
(二)调查问卷法。
是指企业设臵问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目作出评价。
(三)比较分析法。
是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
(四)标杆法。
是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。
(五)穿行测试法。
是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。
(六)抽样法。
是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性作出评价。
(七)实地查验法。
是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
(八)重新执行法。
是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
(九)专题讨论会法。
是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
第十九条企业应当根据通过评估和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。
证据的充分性是指获取证据的数量应当能合理保证相关控制的有效;证据的适当性是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。
第二十条企业应当根据所收集的证据,判断相关控制的设计与运行是否有效。
企业在判断内部控制设计与运行有效性时,应当充分考虑下列因素:(一)是否针对风险设臵了合理的细化控制目标。
(二)是否针对细化控制目标设臵了对应的控制活动。
(三)相关控制活动是如何运行的。
(四)相关控制活动是否得到了持续一致的运行。
(五)实施相关控制活动的人员是否具备必需的权限和能力。
第二十一条企业应当充分评估下列因素导致内部控制失效的风险:(一)控制活动的类型,一般包括人工控制和自动控制、预防性控制和发现性控制等。
(二)控制活动的复杂性,通常与企业组织结构、市场环境、经营规模、人员素质等相关。
(三)管理层逾越内部控制的风险。
(四)实施控制活动所需要的职业判断的程度。
(五)控制活动所针对风险事项的性质及其重要性。
(六)一项控制活动对其他控制活动有效性的依赖程度。
第二十二条企业应当及时记录开展内部控制评价工作的方法和程序,并以适当形式妥善保存相关证据。
第二十三条内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会审阅。
第四章内部控制缺陷认定和评价报告第二十四条企业在内部控制评价中,应对内部控制缺陷进行分类分析。
内部控制缺陷一般可分为设计缺陷和运行缺陷。
(一)设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当、即使正常运行也难以实现控制目标。
(二)运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
第二十五条企业对内部控制评价过程中发现的问题,应当从定量和定性等方面进行衡量,判断是否构成内部控制缺陷。
存在下列情况之一,企业应当认定内部控制存在设计或运行缺陷:(一)未实现规定的控制目标。
(二)未执行规定的控制活动。
(三)突破规定的权限。
(四)不能及时提供控制运行有效的相关证据。
第二十六条企业应当根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷(也称实质性漏洞,以下统称重大缺陷)。
重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。
内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。
第二十七条企业判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:(一)影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。
(二)针对同一细化控制目标所采取的不同控制活动之间的相互作用。
(三)针对同一细化控制目标是否存在其他补偿性控制活动。
第二十八条企业应当根据内部控制评价过程中发现的内部控制缺陷,督促相关单位或部门进行整改,并对整改结果进行核查和确认。
第二十九条对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形,企业应当认定针对这些整体控制目标的内部控制是有效的。
对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形,企业应当认定针对该项整体控制目标的内部控制是无效的。
第三十条对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形,内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性,确定其对整体控制目标有效性评价的影响。
第三十一条企业应当结合年末控制缺陷的整改结果,编制年度内部控制评价报告。
内部控制评价报告至少应当包括下列内容:(一)内部控制评价的目的和责任主体。
(二)内部控制评价的内容和所依据的标准。
(三)内部控制评价的程序和所采用的方法。
(四)衡量重大缺陷严重偏离的定义,以及确定严重偏离的方法。
(五)被评估的内部控制整体目标是否有效的结论。
(六)被评估的内部控制整体目标如果无效,存在的重大缺陷及其可能的影响。
(七)造成重大缺陷的原因及相关责任人。
(八)所有在评估过程中发现的控制缺陷,以及针对这些缺陷的补救措施及补救措施的实施计划等。
第三十二条企业可以根据被评估的整体控制目标的不同,适当调整评价报告的内容。
企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。
第三十三条企业应当定期对内部控制整体有效性进行评价、出具评价报告,并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。