商业银行内部控制指引第七章会计的内部控制(根据《商业银行内部控制指引》,商业银行内部控制)

知识点：内部控制评价

内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中，内部控制评价是极为重要的一环。

(一)内部控制评价应当遵循的原则

根据《评价指引》的要求，内部控制评价应遵循以下三个原则：

1.全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2.重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

(二)内部控制评价的内容

《企业内部控制评价指引》要求企业根据《企业内部控制基本规范》、《企业内部控制评价指引》以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。

(三)内部控制评价的程序

内部控制评价程序一般包括：制定评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。

1.制定评价控制方案

企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。

该评价部门或机构应具备以下条件：

(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;

(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;

(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约;

(4)能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。

内部控制评价部门或机构应根据内部监督情况和要求，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。

2.组成评价工作组

在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。

对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据《基本规范》的要求，该事务所不应同时为企业提供内部控制的审计服务。

3.实施评价工作与测试

评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。

(1)了解公司层面基本情况。

(2)了解各业务层面的主要流程及风险。在这一阶段，评价工作组把工作重点放在主要业务流程中，如资金管理流程、销售流程和采购流程等。

为支持评估工作与相关测试有效进行，企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程，识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有：

①风险控制矩阵文档。关注点在于复核风险流程的合理性，例如，文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理，以及复核控制点的识别，关键控制点、重要控制点、一般控制点的判断是否合适。

②流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚地标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉，以及内容是否涵盖所有流程实际操作及相应的控制活动。

③审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。

(3)确定检査评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量，进行分工与测试。

(4)开展现场检査测试。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。

4.认定内部控制缺陷

(1)内部控制缺陷的分类

①按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。

1)设计缺陷是指企业缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。

2)运行缺陷是指设计合理及有效的内部控制，但没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。

②按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。

1)重大缺陷(也称实质性漏洞)，是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

2)重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。

3)一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

下列迹象可能表明企业的内部控制存在重大缺陷：内部控制评价机构发现董事、监事和高级管理人员舞弊;发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。

(2)内部控制缺陷的认定程序与整改

对于重大缺陷和重要缺陷的整改方案，应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会(审计委员会)、监事会报告。

5.汇总评价结果

企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现的所有差异，如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异，也应在汇总中适当的记录。

企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。

重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。

6.编报内部控制评价报告

《企业内部控制评价指引》要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。

企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息。

《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：

(1)董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责;

(2)内部控制评价工作的总体情况，即概要说明;

(3)内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法;

(4)内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项;

(5)内部控制评价的程序和方法;

(6)内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;

(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;

(8)内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

审计委员会在内部控制中的作用

(一)审计委员会与内部控制

企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。

一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。在一般情况下，审计委员会负责整个风险管理过程，包括确保内部控制系统是充分且有效的。

就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统。审计委员会还应批准年报中有关内部控制和风险管理的陈述。审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告，以及内部或外聘审计师对控制所执行测试的结论的报告。

(二)审计委员会的履责方式

审计委员会应每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无须管理层出席。

(三)审计委员会与合规

审计委员会的主要活动之一是核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。

(四)审计委员会与内部审计

确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。它应该核查内部审计的有效性，并批准对内部审计主管的任命和解聘。它还应确保内部审计部门能直接与董事会主席接触，并负有向审计委员会说明的责任。

企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师的角色不断改变，这需要他们培养分析、技术、决策及沟通技巧。审计人员至少应当具有适当的教育背景或经验，以及与所承担的责任相匹配的组织技巧和技术。

(五)审计委员会与外聘审计师

审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任。审计委员会应监督新审计师的选择过程。审计委员会应批准外聘审计师的业务条款及审计服务的报酬。审计委员会复核审计师的审计工作范畴，并确信该审计范畴是充分的。审计委员会应确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行完工后的复核。审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。外聘审计师提供非审计服务时，不得损害外聘审计师的独立性或客观性。

(六)向股东报告内部控制

审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。

此外，年报亦应为股东提供有关审计委员会的工作信息。

审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。