注會《風險》第七章風險管理框架下的內部控制

第四節內部控制評價與審計

一、內部控制評價（★★）

內部控制評價是指企業董事會或類似權力機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程。在企業內部控制實務中，內部控制評價是極為重要的一環。

（一）內部控制評價應當遵循的原則

根據《評價指引》的要求，內部控制評價應遵循以下三個原則：

1.全面性原則。評價工作應當包括內部控制的設計與執行，涵蓋企業及其所屬單位的各種業務和事項。

2.重要性原則。評價工作應當在全面評價的基礎上，關注重要業務單位、重大業務事項和高風險領域。

3.客觀性原則。評價工作應當準確地揭示經營管理的風險狀況，如實反映內部控制設計與執行的有效性。

【例題30·多選題】根據《評價指引》的要求，下列屬於內部控制評價應遵循的原則的有（）。

a.全面性原則

b.重要性原則

c.客觀性原則

d.適宜性原則

【答案】abc

【解析】根據《評價指引》的要求，內部控制評價應遵循以下三個原則：（1）全面性原則；（2）重要性原則；（3）客觀性原則。

（二）內部控制評價的內容

《企業內部控制評價指引》對內部控制評價內容的有關規定，是我國內部控制規範體系建設的一大創新。發達市場經濟國家或地區的通行做法一般要求企業對與財務報告相關的內部控制有效性進行自我評價，《企業內部控制評價指引》則在此基礎上更進一步，要求企業根據《企業內部控制基本規範》、《企業內部控制評價指引》以及本企業的內部控制制度，圍繞內部環境、風險評估、控制活動、資訊與溝通、內部監督等要素，對內部控制有效性進行全面評價，包括財務報告內部控制有效性和非財務報告內部控制有效性。

（三）內部控制評價的程式

根據《評價指引》的要求，企業應按照內部控制評價辦法規定程式，有序開展內部控制評價工作。內部控制評價程式一般包括：

制定評價控制方案；

組成評價工作組；

實施評價工作與測試；

認定控制缺陷；

彙總評價結果；

編報評價報告等環節。

1.制定評價控制方案

企業可以授權審計部門或專門機構負責內部控制評價組織的實施工作。這實際上就為內部控制評價工作的開展設定了專門的職能機構。

該評價部門或機構應具備以下條件：

（1）能夠獨立行使對內部控制系統建立與執行過程及結果進行監督的權力；

（2）具備與監督和評價內部控制系統相適應的專業勝任能力和職業道德素養；

（3）與企業其他職能機構就監督與評價內部控制系統方面應當保持協調一致，在工作中相互配合、相互制約；

（4）能夠得到企業董事會和經理層的支援，通常直接接受董事會及其審計委員會的領導和監事會的監督，有足夠的權威性來保證內部控制評價工作的順利開展。

內部控制評價部門或機構應根據內部監督情況和要求，制定評價工作方案，明確評價範圍、工作任務、人員組織、進度安排和費用預算等相關內容，報經董事會或其授權審批後實施。這是乙個進行內部控制評估前的全面計畫，提供內部控制評價的效率和效果。

【例題31·多選題】下列選項中，描述錯誤的有（）。

a.企業開展風險評估主要針對外部風險

b.內部審計機構負責內控的自我評價

c.重大人事任免應實行集體決策審批

d.控制活動的主要目標是將風險的影響降至零

【答案】abd

【解析】企業應開展風險評估，準確識別與實現控制目標的潛在外部風險和內部風險並確定相應的風險承受程度，選項a錯誤。內部審計機構對企業內部控制的有效性進行監督檢查，選項b錯誤。企業在處理「三重一大」問題上，即重大決策、重大事項、重要人事任免和大額資金使用，應當按照規定的許可權和程式實行集體決策審批或者聯籤制度，選項c正確。

控制活動的主要目標是將風險控制在可承受範圍之內，選項d錯誤。

【例題32·多選題】下列屬於內部控制評價部門或機構應具備的條件有（）。

a.能夠獨立行使對內部控制系統建立與執行過程及結果進行監督的權力

b.具備與監督和評價內部控制系統相適應的專業勝任能力和職業道德素養

c.與企業其他職能機構就監督與評價內部控制系統方面應當保持協調一致

d.能夠得到企業董事會和經理層的支援

【答案】abcd

【解析】內部控制評價部門或機構應具備以下條件：（1）能夠獨立行使對內部控制系統建立與執行過程及結果進行監督的權力；（2）具備與監督和評價內部控制系統相適應的專業勝任能力和職業道德素養；（3）與企業其他職能機構就監督與評價內部控制系統方面應當保持協調一致，在工作中相互配合、相互制約；（4）能夠得到企業董事會和經理層的支援，通常直接接受董事會及其審計委員會的領導和監事會的監督，有足夠的權威性來保證內部控制評價工作的順利開展。

2.組成評價工作組

在設定內部控制評價機構的基礎上，還要求企業成立專門的評價工作組，接受內部控制評價機構的領導，具體承擔內部控制檢查評價的任務。評價工作組成員應具備獨立性、業務勝任能力和職業道德素養及吸收企業內部相關機構熟悉情況、參與日常監控的負責人或業務骨幹參加。

對於擁有內部審計部門的企業來說，內審部門很大可能也同樣地擔當內部控制評價組的工作。如果企業決定利用外聘會計師事務所為其提供內部控制評價服務，根據《基本規範》的要求，該事務所不應同時為企業提供內部控制的審計服務。

3.實施評價工作與測試

評價工作組需通過了解企業公司層面基本情況、各業務層面的主要流程、識別有關主要風險後，才能開展實施及測試設計和執行有效性的內部控制工作。

（1）了解公司層面基本情況。評價工作組與被評價單位進行充分溝通，了解其經營業務範圍、企業文化、發展戰略、組織結構、人力資源等內部環境及內部控制內容中五個要素的運作情況。

（2）了解各業務層面的主要流程及風險。在這一階段，評價工作組把工作重點放在主要業務流程中，如資金管理流程、銷售流程和採購流程等。

為支援評估工作與相關測試有效進行，企業應建立全面文件記錄。文件記錄可以幫助評價工作組了解各個主要業務領域的流程，識別相關的風險關注點及可能存在的內部控制措施。

評價工作組可審閱的內控流程文件可能有：

①風險控制矩陣文件。關注點在於複核風險流程的合理性，例如，文件是否包含了流程面臨的所有風險、列示的風險是否得到定期或及時的更新、對於各項風險的重要性水平分析是否合理，以及複核控制點的識別，關鍵控制點、重要控制點、一般控制點的判斷是否合適。

②流程**檔。關注點在於流程圖是否與實際操作及風險控制矩陣描述相符合、流程圖是否清楚地標示所有風險點及控制點、流程圖中責任部門、崗位以及其他管理機構是否表述清晰、表述的流程路徑是否清晰、是否存在交叉，以及內容是否涵蓋所有流程實際操作及相應的控制活動。

③審批許可權表文件。關注點在於部門及崗位的描述是否準確、許可權的劃分和設定是否合理。

評價工作組應識別業務流程中的關鍵業務或固有風險，提出對於每一重大流程在交易過程中「可能出錯」而產生重大錯誤的問題，在這些控制點上識別減低風險的控制，這些控制應當能夠為防止發生重要的錯誤或者能發現並更正錯誤提供合理保證。有些控制可能並不顯而易見，可能是電子化或者是人工的，並且同時是高層及基層實施。這些關注點將是評價工作組進行設計或執行有效性並作出結論的地方。

【例題33·多選題】內部控制評價工作組可審閱的內控流程文件有（）。

a.風險控制矩陣文件

b.流程**檔

c.審批許可權表文件

d.內部審計文件

【答案】abc

【解析】評價工作組可審閱的內控流程文件可能有：（1）風險控制矩陣文件；（2）流程**檔；（3）審批許可權表文件。

（3）確定檢查評價範圍和重點。評價工作組根據掌握的情況確定評價範圍、檢查重點和抽樣數量，進行分工與測試。評價範圍、方式、程式和頻率，將因企業經營業務調整，經營環境、風險水平等因素而異。

（4）開展現場檢查測試。評價工作組可綜合運用個別訪談、調查問卷、專題討論、穿行測試、實地查驗、抽樣和比較分析等評價方法，收集被評價單位內部控制設計與執行是否有效的證據，按照要求填寫工作底稿、記錄有關測試結果。如果發現內部控制出現缺陷，則需與管理層溝通，對有關缺陷進行認定並進行記錄。

①個別訪談。評價工作組人員可以個別訪談企業或被評價單位的不同人員，了解公司內部控制的現狀與執行。個別訪談通常用於企業層面與業務層面評價的階段。

②調查問卷。調查問卷多用於企業層面的評價，通過擴大物件範圍，如企業中的全體員工收集簡單結果，如對公司企業文化的認同。

③專題討論。這是一種集合企業中有關專業人員就內部控制執**況或控制問題進行分析和討論。

④穿行測試。穿行測試是指在流程中任意選取一項交易為樣本，獲取原始單據、跟蹤交易從最初起源，到會計處理，資訊系統和財務報告編制，直到這項交易在財務報表中報告出來的全過程。通過執行「穿行測試」，評價工作人員可獲取確定對乙個流程的了解，查詢潛在的內控設計問題及識別出相關控制。

⑤實地查驗。這是乙個用於業務層面評價的方法。例如，評價工作人員進行實地盤點以測試企業記錄存貨的數量，或有關控制的有效性。

⑥抽樣。抽樣方法可以分為隨機抽樣和其他抽樣法。隨機抽樣一般被認為是最具有代表性或是基於統計學的取樣方式，從樣本庫中抽取一定數量的樣本，進行控制測試，以獲取有關控制的執行狀況。

隨機選取通常是採用電腦來完成。

⑦比較分析。這是一種通過資料分析，識別評價關注點的方法。例如，通過比較月度的銷售情況，識別異常區間，進行檢查。

注會《風險》第七章風險管理框架下的內部控制

注會《風險》第八章管理資訊系統的應用與管理

第七章合同的管理武

第七章管理資訊系統的應用

注會《風險》第七章風險管理框架下的內部控制

注會《風險》第八章管理資訊系統的應用與管理

第七章合同的管理武

第七章管理資訊系統的應用

相關推薦