四、内部控制评价的方法
企业在开展内部控制检查评价工作过程中,应当根据评价内容和被评价单位具体情况,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。证据的充分性是指获取的证据能够为形成内部控制评价结论提供合理保证;证据的适当性是指获取的证据与相关控制的设计与运行有关,并能可靠地反映控制的实际状况。
(一)个别访谈法
个别访谈法是指企业根据检查评价需要,对被查单位员工进行单独访谈,以获取有关信息。该方法主要用于了解企业及其所属单位内部控制的基本情况。
评价人员在访谈前应根据内部控制评价目标和要求形成访谈提纲,如有必要可先提供被访谈人员进行准备,被访谈人员主要为单位领导、相关机构负责人或一般岗位员工。评价人员在访谈工作结束后应撰写访谈纪要,如实记录访谈的内容。
(二)调查问卷法
常用于内部环境评价。
(三)专题讨论法
常用于控制活动评价。
(四)穿行测试法
含义:任意选取一笔交易作为样本,追踪该笔交易处理从起点到终点的全过程,以此识别出其中的关键控制环节,评估相关控制设计与运行的有效性。
(五)实地查验法
常用于对财产安全性目标的实现情况的评价,如对财产进行实地盘点、清查。
(六)抽样法
分为随机抽样和其他抽样。
(七)比较分析法
含义:指通过分析、比较数据间的关系、趋势或比率等来取得评价证据的方法。
适宜找出异常区间或控制点。
五、内部控制缺陷认定
(一)内部控制缺陷的定义与分类
定义:评价内控有效性的负向维度,如果內部控制的设计或运行无法合理保证內部控制目标的实现,即意味着存在內部控制缺陷。
分类:
1.设计缺陷和运行缺陷
2.财务报告内部控制缺陷和非财务报告内部控制缺陷
财务报告内部控制缺陷:财务报表缺陷;会计基础工作缺陷;与财务报告密切关联的信息系统控制缺陷
非财务报告内部控制缺陷:虽未直接影响财务报告的真实性和完整性,但影响其他內部控制目标的实现
3.重大缺陷、重要缺陷和一般缺陷
重大缺陷:严重影响内控的有效性,导致企业无法及时发现或防范严重偏离控制目标的情形。
重要缺陷:低于重大缺陷,但有较大可能导致企业无法及时发现或防范严重偏离控制目标的情形
一般缺陷:除重大缺陷和重要缺陷以外的缺陷。
(二)内部控制缺陷的认定标准
1.财务报告内部控制缺陷的认定标准
财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。
重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报,就应将该缺陷认定为重大缺陷。合理可能性是指大于微小可能性(几乎不可能发生)的可能性,对合理可能性的理解涉及评价人员的职业判断,且这种判断在不同评价期间应保持一致。
重大错报中的“重大”,涉及企业确定的财务报表的重要性水平。
一般而言,企业可以采用绝对金额法(如规定金额超过10 000元的错报应当认定为重大错报)或相对比例法(例如,规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报,就应将该缺陷认定为重要缺陷。
重要缺陷并不影响企业财务报告内部控制的整体有效性,但是应当引起董事会和经理层的重视。对于这类缺陷,应当及时向董事会和经理层报告,因此也称为“应报告情形”。
一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷,应认定为一般缺陷。
2.非财务报告内部控制缺陷的认定标准
(1)定量标准
(2)定性标准
3.常见的內部控制存在重大缺陷情形
当有确凿证据表明企业在评价期末存在下列情形之一时,通常应认定为内部控制重大缺陷:
企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见;
企业审计委员会和内部审计机构未能有效发挥监督职能;
企业董事、监事和高级管理人员已经或者涉嫌舞弊,或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响;
企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故,给企业造成重要损失和不利影响,或者遭受重大行政监管处罚。
上述控制缺陷如果对企业财务报表的真实可靠性产生影响,则为财务报告内部控制重大缺陷;如果不影响财务报表的真实可靠,则为非财务报告内部控制重大缺陷。
(三)内部控制缺陷的报告和整改
企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督过程中发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
1.内部控制缺陷报告
内部控制缺陷报告应当采取书面形式。
对于一般缺陷和重要缺陷,通常向企业经理层报告,并视情况考虑是否需要向董事会及其审计委员会、监事会报告;
对于重大缺陷,应当及时向董事会及其审计委员会、监事会和经理层报告。如果出现不适合向经理层报告的情形,如存在与经理层舞弊相关的内部控制缺陷,或存在经理层凌驾于内部控制之上的情形等,应当直接向董事会及其审计委员会、监事会报告。企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限
一般缺陷、重要缺陷应定期报告,重大缺陷即时报告。
2.内部控制缺陷整改
企业对于认定的内部控制缺陷,应当制定内部控制缺陷整改方案,按规定权限和程序审批后执行,即明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行的主要问题和重大风险得到及时解决和有效控制。对于认定的重大缺陷,还应及时采取应对策略,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
通常:
董事会应负责重大缺陷的整改,接受监事会的监督。
经理层负责重要缺陷的整改,接受董事会的监督。
内部有关单位负责一般缺陷的整改,接受经理层的监督。
内部控制缺陷整改方案一般包括整改目标、内容、步骤、措施、方法和期限等,整改期限超过一年的,还应在整改方案中明确近期目标和远期目标以及对应的整改工作任务等。
六、内部控制评价报告
(一)内部控制评价报告的内容
内部控制评价报告是内部控制评价工作的结论性成果,一般包括下列内容:
1.董事会对内部控制报告真实性的声明。
2.内部控制评价工作的总体情况。
3.内部控制评价的依据。
4.内部控制评价的范围。
5.内部控制评价的程序和方法。
6.内部控制缺陷及其认定。
7.内部控制缺陷的整改情况。
8.内部控制有效性的结论。
(二)内部控制评价报告的编制
1.编制时间:定期和不定期;
2.编制主体:单个企业和企业集团的母公司
3.编制程序
(三)内部控制评价报告的报送
内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。
上市公司年度内部控制评价报告必须向社会公开披露,接受社会监督,为投资者和社会公众决策提供依据;
非上市企业的内部控制评价报告须按规定报送财政等监管部门,接受政府的监督检查。
内部控制评价报告通常应于基准日后4个月内报出。
(四)内部控制评价报告的使用
使用者包括政府监管部门、投资者及其他利益相关者、中介机构、研究机构等。
