第六章 企业内部控制 【基本要求】 （一）掌握企业内部控制规范体系框架 （二）掌握企业内部控制的目标、原则和要素 （三）掌握资金活动等18项内部控制应用指引明确的控制目标、主要风险、关键控制点和主要控制措施 （四）掌握企业内部控制自我评价的内容、程序、方法、评价报告编制与报送要求 （五）掌握企业内部控制注册会计师审计的内容、程序、方法、审计报告编制与披露要求 【考试内容】 *节 企业内部控制规范体系框架 企业内部控制规范体系由基本规范和配套指引构成。 基本规范规定了内部控制的目标、原则、要素等基本要求，是制定配套指引的基本依据。企业内部控制配套指引由18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》组成。应用指引分为企业层面控制指引和业务层面控制指引。《企业内部控制评价 指引》为企业开展内部控制自我评价提供了自律性要求。《企业内部控制审计指引》为会计师事务所实施内部控制审计工作提供了应用性指导。 一、内部控制目标 内部控制目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 二、内部控制原则 内部控制原则是企业建立与实施内部控制应当遵循的基本准绳，包括全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。 三、内部控制要素 （一）内部环境，主要包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 （二）风险评估，主要包括目标设定、风险识别、风险分析和风险应对。 （三）控制活动，主要包括不相容职务分离控制、授权审批控制、会计系统 控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 （四）信息与沟通，主要包括信息质量、沟通制度、信息系统、反舞弊机制。 （五）内部监督，包括日常监督和专项监督。 第二节 企业内部控制体系建设 一、企业内部控制的组织形式 （一）董事会对内部控制的建立健全和有效实施负责，定期召开董事会议，商讨内部控制建设中的重大问题并作出决策。 （二）董事会下设的审计委员会在内部控制中的职责一般包括审査企业内部控制设计、监督内部控制有效实施、领导开展内部控制自我评价、与中介机构进行沟通协调等。 （三）监事会对董事会建立与实施内部控制进行监督。 （四）经理层负责组织领导企业内部控制的日常运行。 （五）企业可以根据需要成立专门的内部控制工作团队，以项目组的形式运作；也可以成立内部控制专职机构（或岗位），专门负责内部控制在企业内部各*间的组织协调和日常性事务工作。 （六）内部审计*在评价内部控制的有效性，以及提出改进建议等方面起着关键作用。 （七）财会*在保证与财务报告相关的内部控制有效性方面，发挥着十分重要的作用，不仅仅局限于财务活动，而是贯穿于企业经营管理的全过程。 （八）企业内部其他各职能*业务单位）及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。企业可以根据需要在各职能*（或业务单位）内部设立内部控制岗位，专门负责与本*相关的内部控制工作，并定期与内部控制职能*进行沟通。 二、企业层面控制 企业层面控制，是指对企业控制目标的实现具有重大影响，与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业内部控制应用指引目前规范了5类与内部环境直接相关的有关控制，包括组织架构、发展战略、人力资源、社会责任、企业文化等方面的控制。企业在建立健全上述与内部环境直接相关的控制时，应按相关内部控制应用指引的要求，确定主要风险，识别关键控制点，制定并运用相关控制措施。具体内容参见相关内部控制应用指引。 三、业务层面控制 业务层面控制，是指综合运用各种控制手段和方法，针对具体业务和事项实施的控制。企业内部控制应用指引针对多数企业普遍存在的业务控制，规范了13项涉及业务层面的有关控制，具体包括资金活动、采购业务、资产管理、销售业务、研究与开发、f程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统等。企业在建立健全上述业务层面控制时，应按相关内部控制应用指引的要求，确定主要风险，识别关键控制点，制定并运用相关控制措施。具体内容参见相关内部控制应用指引。 四、内部控制信息系统建设 利用信息化手段整合和优化内部控制系统，是企业内部控制体系建设的重要内容。 （一）内部控制信息系统建设的基本模式 企业应当根据自身的信息技术条件和管理水平，以及内部控制体系建设所处的阶段，合理选择适合本企业实际的内部控制信息系统建设模式，力求以较低的成本实现较好的控制效果。 1.独立模式，即建立独立运行的内部控制信息系统 2.整合模式，即利用现有管理系统进行整合 3.附加模式，即在现有管理系统中增加内部控制管理功能 （二）内部控制信息系统建设的主要步骤 1.内部控制体系建立 2.内部控制信息系统建设可行性分析 3.对企业现有信息系统进行更新改造 4.全面建成内部控制信息系统 第三节 企业内部控制评价和审计 一、企业内部控制评价 企业董事会或类似权力机构应当定期对内部控制的有效性进行全面评价、形成评价结论、出具评价报告。内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。 （一）内部控制评价的原则 企业对内部控制设计与运行的有效性实施评价，应当遵循全面性原则、重要性原则和客观性原则。 （二）内部控制评价的内容 企业应当从内部环境、风险评估、控制活动、信息与沟通、内部监督等要素入手，结合企业业务特点和管理要求，确定内部控制评价的具体内容，建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。 （三）内部控制评价的程序 企业开展内部控制评价工作，一般程序为：设置内部控制评价*、制订评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报口。 （四）内部控制评价的方法 企业在开展内部控制检査评价工作过程中，应当根据评价内容和被评价单位具体情况，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，广泛收集被评价单位内部控制设计和运行是否有效的证据。评价方法的选择应当有利于保证证据的充分性和适当性。 （五）内部控制缺陷认定 1.内部控制缺陷的定义和分类 （1）内部控制缺陷按其成因分为设计缺陷与运行缺陷。 （2）内部控制缺陷按其表现形式分为财务报告内部控制缺陷与非财务报告内部控制缺陷。 （3）内部控制缺陷按其严重程度分为重大缺陷、重要缺陷与一般缺陷。 2.内部控制缺陷的认定标准 企业对内部控制评价过程中发现的内部控制缺陷，应当综合分析缺陷的成因、表现形式及重要程度，并按照一定的标准将各项内部控制缺陷分别认定为重大缺陷、重要缺陷和一般缺陷。 （1）财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定，主要取决于两方面因素：该缺陷是否可能导致内部控制不能及时防止、发现并纠正财务报表错报；该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。 （2）企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。 （3）常见的内部控制重大缺陷情形参见相关内部控制评价指引。 3.内部控制缺陷的报告和整改 （1）内部控制缺陷报告应当采取书面形式，企业应根据内部控制缺陷的严重程度向相关*报告，还应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限。 （2）企业对于认定的内部控制缺陷，应当制订内部控制缺陷整改方案，按规定权限和程序审批后执行。 （六）内部控制评价报告 1.内部控制评价报告的内容 内部控制评价报告一般包括下列内容：董事会对内部控制报告真实性的声明；内部控制评价工作的总体情况；内部控制评价的依据；内部控制评价的范围；内部控制评价的程序和方法；内部控制缺陷及其认定；内部控制缺陷的整改情况和内部控制有效性的结论。 2.内部控制评价报告的编制 （1）内部控制评价报告按照编制时间的不同，分为定期报告和不定期报告。 （2）内部控制评价报告的编制主体包括单个企业和企业集团的母公司。 （3）内部控制评价报告的编制程序包括：内部控制评价*对工作底稿进行复核，根据内部控制缺陷判断内部控制的有效性；搜集整理编制内部控制评价报告所需的相关资料；撰写内部控制评价报告；将内部控制评价报告上报经理层审核、董事会审批后确定。 3.内部控制评价报告的报送 内部控制评价报告报经董事会批准后对外披露或报送相关主管*，通常应于基准日后4个月内报出。 4.内部控制评价报告的使用 内部控制评价报告的使用者包括*监管*、投资者及其他利益相关者、中介机构和研究机构等。 二、企业内部控制审计 （一）内部控制审计的含义 内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 内部控制审计与内部控制评价、财务报表审计既有内在的关联又有本质的区别。 （二）内部控制审计的程序 1.计划审计工作 2.实施审计工作 注册会计师按照自上而下的方法实施审计工作，将企业层面控制和业务层面控制的测试结合进行。 3.评价控制缺陷 注册会计师需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来是否构成重大缺陷并影响其审计结论。 4.完成审计工作 包括取得企业签署的书面声明、与企业沟通控制缺陷、形成审计意见并出具审计报告。 （三）内部控制审计报告 审计意见的类型包括无保留审计意见、带强调段的无保留意见、否定意见、无法表意见。