单位内部控制评价报告 内部控制审计报告

内部控制自我评价

内部控制自我评价

怎样写内控 自我评价 ?

单位内部控制评价报告 内部控制审计报告

一般情况下，根据自我评价报告内容和内控体实质性业务活动过程文件;系实际建设情况，外部审计机构对于企业的内部控制体系会出具三种意见的某一种：

达到内控要求：同意评价报告意见;

有重大缺陷：否定意见;

有范围限制：撤消业务约定，或无法表示意见。

上述意见并非仅凭借企业出具的自我评价报告，还需要依据：

内部控制文档(内控管理手册+管理 制度 汇编目录);

内控控制程序相关审计结果(如果有);

内控控制程序测试结果;

如果一个企业在内部控制体系建设过程中确实建立了标准和规范并予以实施，那在撰写内控自我评价报告的时候可以有所侧重。常规意义上，一份标准的内控自我评价报告包括(不同企业根据实际情况有所删减或强调)：

内部控制有效性评估(包括经营环境控制情况评述，重点内部控制活动和重点业务活动内部控制情况描述，问题及整改以及综合评价)

内容不复杂，主要是针对报告期间(一般是1.1-12.31)内部控制建设情况及内部控制体系应用的有效性进行自我评估。做的好企业，在撰写自我评价报告前，会考虑通过内部审计部门或由内控职能部门主导完成企业内部控制的自我评估检查。同时，对于集团型企业来说还是检查和评价各分支机构内控执行情况，并进行评价和绩效考核的方法。整体情况评价是看企业在报告期间内有否出现重大风险，是否进行了重大调整，对于调整部分内部控制是如何做的。对于业务活动部分，除了结合企业内部控制应用规范中要求逐一检查的内容外，主要是针对企业内控管理手册中各个控制点的控制情况进行了解并挑出确实卓有成效的部分进行详细描述。无论怎样，内控的意义是防止出现重大管理问题，督促企业进行规范运作，如果报告期间内企业已经出现了重大问题，内控评价报告怎样写都无法得到外审出具的种意见。

正如，重视风险管理和内部控制的企业会将内部控制作为规范企业运作和防范风险的手段，不重视的企业，会将内控做成只有一纸文书的应付事。即使企业什么都没做，写出内控自我评价报告也是完全可能的，毕竟没有企业是没有任何规章制度规范，在完全失控的状态去管理的。

公司内部控制自我评价

在以企业为纽带的博弈各方中，内部控制自我评价和审计师对内控的鉴证能够释放企业内部控制有效性的信息，使得投资者得以对管理层内部控制行动和自身的投资风险做出判断。2006年沪深两个交易所分别颁布了针对上市公司的《上海证券交易所上市公司内部控制指引》和《深圳证券交易所上市公司内部控制指引》，本文主要对沪市862家通过指定报纸和网站披露了2007年年度报告的上市公司其内部控制自我评价情况进行统计，分析内部控制自我评价产生的效果和存在的问题，并提出针对性建议。本文分为四个部分:部分阐述评价依据，第二、三部分通过对披露内控自我评价的公司和未披露内控自我评价的公司从四个维度进行数据分析，分析内控自我评价的效果及存在的问题，一部分提出相应建议。

一、评价依据

内部控制自我评价是由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证程度。尽管2007年年报披露内部控制自我评价报告和审计师审计报告时统一的内部控制基本规范尚未出台，但无论是财政部2001年颁布的《内部会计控制基本规范》，还是上海证券交易所的《上市公司内部控制指引》，遵循法律法规和企业内部公司章程及董事会议事规则等内部制度、合法授权使用和处置资产、财务报告及相关信息真实可靠都是内部控制要求达到的基本目标。因此，披露内部控制自我评价报告的公司，大都将财政部的《内部会计控制基本规范》，或是上海证券交易所的《上市公司内部控制指引》作为评价的依据。

二、数据分析

对包括投资者在内的企业外界各利益相关者而言，披露内部控制自我评价的信息是了解企业公司治理与管理规范化程度、企业抗风险能力，增强投资者信心的措施;对企业管理层而言，内部控制自我评价过程，能够使企业通过检测和反省内部控制设计与运行来持续提高内控系统与控制环境的藕合度，不断消除内部控制缺陷，增强企业抗风险的能力、消除不利于内控目标实现的不确定性因素。

按照《内部会计控制基本规范》和《上市公司内部控制指引》，一个内部控制系统有效运行的企业，至少要做到企业经营中严格执行的法律法规和公司章程等内部规章、按合理的授权使用和处置资产、严格按会计准则和上市公司信息披露要求对外提供真实可靠的财务报表。已披露内部控制自我评价的企业在内控自我评价过程中应该能够基于上述三个目标识别和认定内部控制的设计风险、运行风险以及设计或运行无效而导致错误或舞弊的风险，从而为上述三个目标的实现提供合理保证。尽管完善的内部控制系统能同时为实现包括战略实施、管理效率与效果在内的'五个目标提供合理保证，但证券监管机构和交易所的监管、注册会计师的财务报表审计基本上是基于上述三个目标进行的。有效的内控系统应该能够规避不利于上述目标实现的因素。因此，我们将上市公司未受到的处罚和交易所的谴责、对外发布的财务报表未出现会计错、财务报告审计意见为标准无保留意见作为衡量内部控制质量的指标。

三、存在的问题

根据我们对沪市862家上市公司2007年年报中内部控制信息披露状况的统计分析，可以发现，自愿披露内部控制自我评估报告的公司虽然比2006年有所提高，但占比仍然比较低，上市公司主动披露内部控制自我评价的意愿不强。但将披露自我评估报告与未披露自我评估报告的公司进行对比，我们发现，两类公司在财务报告的可靠性、资金管理与资产使用的合规性、经营合法性方面均有显著不同。我们的统计数据表明，就以上三个内部控制目标而言，披露自我评估报告的公司其内部控制有效性更强。

编制内部控制评价报告属于内部控制哪一环节

内容：内部控制评价的对象是内部控制的有效性，而内部控制的有效性，是企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。

通过对内部控制制度的评价，对财务报表的真实性进行保证，同时指出可能存在的风险和问题，提供改进意见和建议，推动内部控制的不断完善和优化。

企业内部控制评价是对内部控制执行有效性的检测，目前我国的内部控制评价标准体系尚未建立。今年3月，财政部发布了财会便(2007)7号关于印发《企业内部控制规范-基本规范》和17项具体规范(征求意见稿)的通知，其目的在于推动国内上市公司实行内部控制自我评价制度和注册会计师审计制度，填补企业内部控制标准的空白，从而为建立企业内部控制评价体系打下基础。在实际审计工作中，对被审计单位企业的内部控制进行评价，必须要有一套客观可行的基本参照标准。这套标准不仅可为企业自我评估和改进其内部控制以及注册会计师发表评价意见提供依据，还可以为各方面的沟通与理解提供统一的基础。我国在内部会计控制的建设与完善方面虽已进入起步阶段，但有关内部会计控制的标准和评价体系较为薄弱，制约了企业内部控制的有效执行。因此，建立一套完善的、符合实际的、具有可作性的企业内部控制评价体系已势在必行。内部控制评价体系框架研究、制定一套具有统一性、公认性和完善性，既符合实际又具有可作性的评价标准体系，应从目标定位、内容范围以及设置方式等方面来综合考虑，既可以从企业管理与控制的目标入手，也可以从内部控制要素入手。但无论怎样，企业内部控制评价标准都可以分为一般标准和具体标准两部分，一般标准以具体标准为基础，同时也是具体标准的升华，二者相辅相成，缺一不可，共同构成一个完整的评价体系。这里所说的一般标准大致包括3方面，即完整性、合理性、有效性。具体标准由内部控制要素评价标准和作业层级评价标准两部分组成，其中要素评价标准可分为5个方面，即控制环境、风险评估、控制活动、信息与沟通、监督；作业层级评价标准因其繁琐复杂，难以穷尽，如以生产性企业为例进行框架构建，可分为5个业务循环，即销售业务循环、购货业务循环、生产业务循环、薪金业务循环和理财业务循环。在内部控制评价的具体标准中，要素评价标准以作业层级评价标准为基础。一般标准测试的3大方面首先是完整性。企业内部控制是否完整是评价一般标准中首要的一条，同时又是基础。若内部控制的完整性都达不到，则内部控制的合理性与有效性就无从谈起了。从系统的观点出发，可以从企业资源利用角度去审视：应有“人力资源控制系统、物力资源控制系统、财力资源控制系统、信息资源控制系统”；从经营环节角度去审视：应有“供应环节控制系统、生产环节控制系统、销售环节控制系统”；等等。在对内部控制的完整性作出判断时，还应当考虑到企业经营规模及业务复杂程度的影响。一般情况下，企业经营规模愈大，业务复杂程度就愈高，对内部控制的完整性要求也愈高。其次是合理性。企业设置内部控制切忌照抄照搬，因此应当考虑企业内控设计和执行时的适应性和经济性。因为，企业所处行业、组织规模、交易性质、经济技术条件、人员素质等方面存在着很大的异，不同的企业就应当根据其不同的特点设置内部控制制度。在对某一企业评价其内部控制的适用性时，要注意控制点的设置是否合理，有没有安排过多或不必要的控制点；在每一个需要控制的地方是否都建立了控制环节；控制职能是否划分清楚；人员间的分工和牵制是否恰当，既不能分工过细，又能起到相互牵制的作用。同时，内部控制的适用性要以经济性为限制条件。第三是有效性。企业内部控制的有效性应该体现在是否能为提高经营效益、提供可靠财务报告和遵循法律法规方面提供合理保证，有效性是内部控制的精髓。在内部控制评价的3个一般标准中，内部控制的有效性以其完整性与合理性为基础，内部控制的完整性与合理性则以其有效性为目的。在对企业内控制度的有效性进行审核评价时，要注意内部控制不仅仅需要在总体上是有效的，而且需要各项具体制度也要有明确的目的并发挥其自身的作用。要审核内部控制系统是否相互协调，自相矛盾；是否顾此失彼、相互制约；是否有利于整体功能的发挥。要关注内部控制是否适度，如果过严则会使管理活动失去活力，影响相关方积极性的发挥；过宽又会引起运行的机制失调，达不到控制目的。具体标准测试的5大要素在对内控制度进行评价时，只有先从作性较强的具体标准入手，对具体内控制度的设计与运行有了认识之后，才能从整体上对企业内部控制的完整、合理、有效作出判断。对具体标准的评价方法常用的有“询问、观察、检查、重新执行”。企业内部控制评价可以按下列步骤：首先是企业控制环境。以《上市公司内部控制指引》为依据，对企业进行测评。主要有：企业治理结构是否完善，董事会、监事会和股东大会等管理架构是否合法运作和科学决策；是否建立有效的激励约束机制和树立风险防范意识；企业管理层及业务环节是否开展内控培训，让内部风险防范成为高管的共识；是否培育良好的企业精神和内部控制文化，创造全体职工充分了解并履行职责的环境；企业高管人员和采购人员是否签订诚信承诺书，对所有的重要原材料及设备供应商，在购销活动中首先签订阳光协议，要求其作过程透明公开，禁止商业贿赂等行为。其次是企业风险。企业管理层应对影响企业目标实现的内、外部各种风险进行分析，考虑其可能性和影响程度，制定必要的对策。在对企业风险防范作测评时，应重点关注企业是否建立完整的风险评估体系，是否建立审计委员和风险管理部门，是否对经营风险、财务风险、市场风险、政策法规风险和道德风险等进行持续监控；是否对已发现的企业各类风险有控制措施，如内控制度执行情况的检查和监督，以及相关制度是否向子公司延伸，以确保子公司的经营安全。同时，还要关注对相关业务项目及已知风险点是否进行定期检查评估、提示及完善，如在日常经营风险管理中对“重大采购二次询价”，建立“不合格供应黑名单”是否有实时监控。是否对客户建立资信信息档案、是否定期梳理与公司发展战略不符的业务或项目等等。第三是企业控制活动。企业管理层为确保风险对策有效执行和落实所采取的措施和程序，主要包括批准、授权、验证、协调、复核、定期盘点、记录核对、财产的保护、职责的分离、绩效考核等内容。在对企业控制活动测试时，要重点审核组织机构方面采取的控制活动和内控制度方面采取的控制活动。在组织结构方面重点审核：机构、岗位及职责权限是否合理设置和分工，不相容职务是否相互分离，是否成立相关法律事务部门和职能，对采购与验收等环节是否设置相互监督制度，做到人员分离。企业是否把业务流程作为内部控制制度建设的重点，设置关键控制点和反馈系统。在内控制度建设方面重点审核：企业是否制定了董事会的议事规则、总经理事权规则、财务管理制度、采购管理制度、投资管理制度、合同管理制度、子公司管理制度、内控检查监督制度等。第四是企业信息与沟通。在对企业信息活动测试时，要重点审核公司是否已制定公司内部信息和外部信息的管理政策，确保信息能够准确传递，确保董事会、监事会、高级管理人员及内部审计部门及时了解公司及其控股子公司的经营和风险状况，确保各类风险隐患和内部控制缺陷得到妥善处理；公司的日常业务包括资产、财务管理等是否实行流程表单化管理和建立ERP系统。第五是企业检查与监督。在对企业该项活动测试时，要重点审核公司是否已制定了内部控制检查监督法，该项工作是否在董事会或审计委员会直接下，有风险管理部门或审计部门具体负责实施，并有相关制度。如：基建项目是否有竣工决算审计制度、主要的离任是否实施责任审计，重大投资、担保、抵押、关联交易是否建立审核会签制度；以及是否有对公司重要物资、设备、原材料定期盘点和不定期的抽查制度，对公司现金、银行账户的抽查制度等。综上所述，注册会计师对企业内部控制作出评价，包括被评价的企业内控制度是否符合我国有关法律法规和证券监管部门的要求，是否对企业重大风险、严重管理舞弊及重要流程错误等方面有控制和防范作用等，都有赖于建立一个完善的企业内部控制评价标准体系。相信通过有关部门的高度重视和实践的积累，一套比较成熟的、适合国情的企业内部控制评价标准体系不久将会建立。

内部控制是指企业为实现业务目标，通过组织管理、内部监督、法律合规等措施，规范业务流程和资产管理，保障财务报告的真实性、及时性和准确性的一种管理方式。

其中，监督环节是指对于内部控制制度的执行情况进行持续、全面的评估和监督，以便及时发现并纠正问题，保证内部控制体系有效运行。

内部控制评价工作的终表现为

内部控制评价企业内部评估自查结果(如果有)。工作的终表内控整体情况综述(包括对整体内控情况评述、组织机构、制度建设和内控职能部门建立和运行情况的描述);现为内部控制评价报告。

内部环境评价：企业组织开展内部环境评价，应当以组织架构、发展战略、人力资源、企业文化、责任等应用指引为依据。其中，组织架构评价可以重点从组织架构的设计和运行等方面进行；

发展战略评价可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行；人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行；企业文化评价应从建设和评估两方面进行；责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。

客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

内部控制评价与监督情况

问询会是一种方式，但不作为审计底稿的依据。因此，一份内控自我评价报告的意义确实没有多大，虽然是自我评估的表达，但能否让外部审计机构接受，他们信还是不信需要有其他依据的。如果实际的内控体系只是一套文件，外部审计机构很难出具种意见，如果真出具了，对于广大的中小投资者也是很不负责任的行为。

内部控制评价与监督情况：

因此，内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。具体地说，内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。

内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。

内部控制评价的主体

是董事会或类似的权力机构，是指董事会或类似的权力机构是内部控制设计和运行的责任主体。董事会可指定审计委员会来承担对内部控制评价的组织、、监督职责，并通过授权内部审计部门或独立的内部控制评价机构执行内部控制评价的具体工作，但董事会仍对内部控制评价承担终的责任，对内部控制评价报告的真实性负责。

下列关于企业内部控制评价报告的内容不包括（）。

【答案】：A,B,D

下列关于企业内部控制评价报告的内容不包括（）。

A.监事会全体成员对内部控制有效性负责

B.内部控制评价的依据，一般指《企业内部控制基本规范》《企业内部控制评价指引》及企业在此基础上制定的评价办法

C.内部控制评价的范围，描述内部控制评价所涵企业实施内部控制评价至少应当遵循下列原则：全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。盖的被评价单位，以及纳入评价范围的业务事项

正确答案：A

如何开展 内部控制的有效性进行评价

D.内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷这个属于内部控制的监督环境。

《企业内部控制评价指引》要求企业在评价报告中至少披露的内容包括()。

内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。

[解析重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。]ABD

[解析]《企业内部控制评价指引》要求企业在评价报告中至少披露：(1)董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责。(2)’内部控制评价工作的总体情况，即概要说明。(3)内部控制评价的依据，一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。(4)内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项。(5)内部控制评价的程序和方法。(6)内部控制缺陷及其认定情况，主要描述适用于企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。(8)内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得做出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。