企业内部控制配套指引二十讲19-PPT课件讲义.ppt

企业内部控制配套指引20讲第19讲,山东财政学院 主讲：教授 硕士导师 赵英林,进入21世纪后，美国的安然、世通、朗讯等公司相继爆出丑闻，震惊整个世界，投资人对上市公司的财务报告出现空前的信任危机。美国国会立即出台萨班斯法案（简称SOX法案），法案的404条款要求证券委员会出台相关规定：1.公司的CEO/CFO应当对内部控制有效性进行保证，明示责任，并向股东在年度终了出具评价报告，公开披露；2.聘请审计师审计内部控制报告，审计师要确保审计的真实有效。我国上市公司琼民源、银广夏、中关村、ST宏光等等，也相继爆出的会计管理舞弊问题，其中绝大多数都与管理不善、内部控制缺失直接相关。因此，国家财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。准备制定企业内部控制标准，确保财务报告真实可靠。2006年，11月8日，企业内部控制标准委员会发布了企业内部控制规范基本规范和17个具体规范的征求意见稿。,2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布了我国首部企业内部控制基本规范，原定于2009年7月1日起首先在上市公司范围内实施，后因世界性金融危机影响又暂定于2010年实施，再发布一系列内部控制指引。2010年4月15日中华人民共和国财政部、证监会、审计署、银监会、保监会五部门又联合发布（财会201011号）文件，通知印发企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引、企业内部控制审计指引（简称为企业内部控制配套指引）。我今天讲的就是企业内部控制评价指引。指引要求企业年终（12.31）必须编制内部控制评价报告，这是董事会的责任，内部控制是企业财务报告真实、可信的保障。并经注册会计师事务所审计鉴证，出具鉴证报告，4月30日前披露。,第十九讲：企业内部控制 评价指引,内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。在这一讲，我主要讲述5个大问题，即：1.框架概述；2.内部控制评价概述；3.内部控制评价原则和内容；4.内部控制评价的程序和方法；5.内部控制评价报告。,一、框 架 概 述,财政部颁发的企业内部控制评价指引分为5章27条，从内部控制评价的各个方面阐述了其具体内容，具体框架如下：第一章 总则（第14条）1.内部控制评价指引出台的目的和依据，主要的依据是企业内部控制基本规范。2.内部控制评价的定义和要求.3.内部控制评价的原则：全面性、重要性、独立性。4.企业要对内部控制实施进行评价，强调企业的负责人对内部控制评价结论的真实性负责。第二章 内部控制评价内容（第511条）1.内部控制评价应重点关注的内容。2.风险评估作为评价重点。3.应用指引应作为评价的依据。4.对企业信息开展与沟通、对内部控制的监督作出评价。5.内部控制评价活动的负责机构，主要为企业内部审计结构，也可以借助 外部中介机构和专家的能力.6.内部控制评价要建立工作底稿。,第三章 内部控制评价的程序（第1215条）1.内部控制评价一般程序。2.拟定工作方案。3.内部控制评价方法：个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。第四章 内部控制缺陷认定（第1619条）1.内部控制缺陷的划分：按其严重程度分为重大缺陷、重要缺陷和一般缺陷。2.内部控制评价工作组的工作要求。3.编制内部控制缺陷汇总表。4.重大缺陷由董事会最终认定.5.重大缺陷要采取应对措施，并追究责任。,第五章 内部控制评价报告（第2027条）1.内部控制评价报告的格式、内容。2.内部控制评价报告的审批机构：企业经理层审核、董事会审定。3.内部控制评价报告的基准日及报出日：以12月31日或6月30为基准日。内部控制评价报告应于基准日后4个月报出。4.内部控制评价工作档案制度。,二、内部控制评价概述,内部控制评价是指企业董事会（或类似决策机构）或其授权机构，对内部控制设计与运行的有效性进行综合评价的过程。企业应当根据国家有关法律法规和企业内部控制基本规范的要求，结合企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。（一）内部控制评价的目标 企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价，促使企业切实加强内部控制体系的建设并认真执行，并保证内部控制体系得以持续、有效的改进。1.强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。2.提高风险管理水平，为实现企业发展战略和经营目标提供保障。3.增强企业业务、财务和管理信息的真实性、完整性和及时性。4.保障企业资产的安全和完整。5.确保企业各项活动的合法合规性。6.为企业的风险管理提供信息服务和决策支持。,（二）内部控制评价的要求 每个企业的情况不同，设置的内部控制制度有所差异，对于内部控制评价也是一样，应当根据企业内部控制基本规范和评价指引的规定，结合企业的实际情况，制定出内部控制评价办法，并明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容，确保内部控制评价工作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。同时企业应当建立内部控制评价结果分析、利用和考核制度，将内部控制评价结果和整改情况作为内部绩效考评的重要依据。所以，内部控制评价的结果是企业业绩评价的基础，为企业业绩评价工作的开展和完善提供有力的保证。,三、内部控制评价的原则和内容,（一）内部控制评价的原则 1.基本原则 企业实施内部控制评价，应当遵循的基本原则为全面性、重要性和独立性原则，确保评价工作标准统一、客观公正。全面性原则，是指评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。重要性原则，是指全面评价的基础上关注重要高风险领域。独立性原则，是指评价工作应当与内部控制的设计与运行相互分离。,2.延伸原则 风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。一致性原则。内部控制评价应当采用统一、可比的评价方法和标准，保证评价结果的可比性。公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。这些原则都是非常重要的，但是内部控制就是要控制风险，所以应坚持以风险为基础的原则，来促进企业构建以风险为基础的内部控制体系。要求内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单位、重要业务领域或流程环节。,（二）内部控制评价的内容内部控制评价主要由以下五个要素为核心内容进行评价：1.内部环境的评价。对企业内部环境的评价应注意的焦点是操守及价值观、执行能力、董事会及监事会下属的审计委员会、管理哲学和经营风格、组织结构、权责分配、人力资源政策及实行七个方面。具体评价重点包括经营活动的复杂程度、管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程度的态度、组织文化的内容及组织成员对此的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人员的权责相称程度及其胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。2.风险评估的评价。对企业风险评估的评价，应注意的是风险评估整体目标的制定、作业层级目标的制定、风险分析和对变化的管理等。具体评价的重点是被评价企业对抗风险的能力和风险管理的具体办法及效果。3.控制活动的评价。关注对企业的每个作业环节是否都定有适当的政策和程序，现有的已确认的控制活动均被适当执行。具体评价的重点是控制活动建立的适当性、控制活动对风险的识别和规避、控制活动对组织目标实现的作用、控制活动执行的有效性。4.信息与沟通的评价。主要关注：就员工的任务和控制责任进行沟通的有效性；建立可用来报告不当、可疑行为的沟通渠道；管理阶层对员工提出的提高生产力和质量及其他类似的改进建议的接受程度；组织内沟通（如，采购部门和生产部门之间的沟通）的适当性，以及信息能使员工有效履行其责任的完整性、及时性和充分性；是否建立了与供应商、销售商及其他外界人上畅通沟通的渠道；外界对本企业的了解程度；管理阶层从顾客、供应商、管理机构或其他外界团体处获取信息后，所采取的追查行动的及时性和适当性。具体评价的要点：获取财务信息、非财务信息的能力、信息处理的及时性和适当世、信息传递渠道的便捷与畅通、管理信息系统的安全可靠性。5.内部监督的评价。包括日常监督评价、专项监督评价和缺陷报告评价。,案例 毕马威（KPM）在其内控指南中提出，董事会和管理层在对企业内部控制进行年度评价时至少应该考虑以下所列的这些问题：1.内部控制评价中应考虑的问题（1）风险评估 企业是否有明确的目标，并且已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向？例如：编制包括业绩指标的预算。显著的经营风险、财务风险和其他风险是否已经被认定和评估？认定和评估风险的基准是否是持续适用的？（显著风险可能包括和市场、信用、流动性、技术、法律和声誉等）管理层和企业中其他员工是否清楚地了解董事会可接受的风险？（2）控制环境和控制措施 董事会对已认定的风险是否有应对策略？是否制定了处理风险的政策？企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统？在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围？权责是否明确？决策和执行的人员是否合适？决策和执行是否很好地协调运作？企业是否和员工沟通企业对他们的期望，以及自由行动的界限？企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具？内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的？,（3）信息和沟通 董事会和管理层能否及时地接收来自企业内外的关于违反企业目标的信息及其可能带来的风险？例如：员工的态度和顾客的满意度等信息。信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺陷？周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景？是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道？（4）内部监督 企业是否制定了全面风险管理和内部控制的监督程序？这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目材、业务和内部环境改变的能力？是否存在有效的后续程序保证内控体系的改变以适应风险的变化？与董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是否合适？应该包括及时地报告任何显著的内控失效和控制弱点。是否存在内控监督和向董事会报告重大风险的具体安排？这些可能包括违法违规行为或者对公司的声誉和财务状况产生负面影响的行为。,2.内部控制评价中应特别关注的内容（1）企业内部控制评价应当以内部环境为基础，重点关注：治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制是否科学合理；企业文化是否促进员工勤勉尽责；社会责任是否有效履行等。（2）企业内部控制评价应当以生产经营活动为重点，至少关注：资金的筹集、投放和营运过程是否存在资金链断裂；资产运行中是否存在效能低下或资产流失；采购与销售环节是否存在舞弊行为；研发项目是否经过科学论证；工程项目是否存在商业贿赂等。（3）企业内部控制评价应当兼顾控制手段，至少关注：全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与内部控制有机结合；内部报告是否及时传递和有效沟通等。,三、内部控制评价的程序和方法,在这部分程序与方法中，我要讲述六个大问题：第一内部控制评价的组织机构；第二，内部控制评价的方法；第三，内部控制评价的程序；第四，内部控制有效性的评价；第五，内部控制缺陷认定；第六内部控制评价证据。这六个大问题中又分为若干小问题，所以注意标题，严防听错了序列。（一）内部控制评价的组织机构 企业内部控制评价是一项难度非常大的工作需要在企业内部明确负责的机构，以保证其有效的进行。企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作，根据内部控制评价办法制定评价方案，组成评价小组，采取现场检查等方式开展评价。企业可以借助中介机构或外部专家实施内部控制评价，参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。,（二）内部控制评价的程序 企业内部控制评价可以按照三个阶段进行，即制定评价方案、实施评价活动、编制评价报告。1.制定评价方案。评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。在制定后，应报管理层和董事会审批。内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。2.实施评价活动。评价人员应按照审批通过的评价方案实施评价。在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据评价方案对被评价项目进行测试，对有关数据进行确认和分析，并予以记录。3.编制评价报告。评价人员对检查出来的各类问题统一进行复核和确认，汇总检查评价结果，根据评价实施情况，编制评价报告，并向有关人员和机构报告。,（三）内部控制评价的方法 企业内部控制评价的方法有多种，主要介绍以下几种常用的八种方法：1.个别访谈法，是指企业根据检查评价需要，对被检查单位员工进行单独访谈，以获取有关信息。具体的运用流程是：（1）设计访谈提纲。无论是哪一种形式的访谈，一般在访谈之前都要设计一个访谈提纲，明确访谈的目的和所要获得的信息，列出所要访谈的内容和提问的主要问题。（2）恰当进行提问。要想通过访谈获取所需资料，对提问有特殊的要求。在表述上要求简单、清楚、明了、准确，并尽可能地适合受访者；在类型上可以有开放型与封闭型、具体型与抽象型、清晰型与含混型之分；另外适时、适度的追问也十分重要。（3）准确捕捉信息，及时收集有关资料。访谈法收集资料的主要形式是“倾听”。“倾听”可以在不同的层面上进行：在态度上，访谈者应该是“积极关注的听”，而不应该是“表面的或消极的听”；在情感层面上，访谈者要“有感情的听”和“共情的听”，避免“无感情的听”；在认知层面，要随时将受访者所说的话或信息迅速地纳入自己的认知结构中加以理解和同化，必要时还要与对方进行对话，与对方进行平等的交流，共同建构新的认识和意义。另外“倾听”还需要特别遵循两个原则：不要轻易地打断对方和容忍沉默。（4）适当地做出回应。访谈者不只是提问和倾听，还需要将自己的态度、意向和想法及时地传递给对方。回应的方式多种多样，可以是诸如“对”、“是吗”、“很好”等言语行为，也可以是点头、微笑等非言语行为还可以是重复、重组和总结。（5）及时作好访谈记录，一般还要录音或录像。,2.调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目做出评价。,例：销售内部控制调查问卷表,3.专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。4.穿行测试和重新执行法。穿行测试是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。重新执行是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。5.抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性做出评价。可以采用的抽样方法包括统计抽样和非统计抽样。统计抽样是指同时具备下列特征的抽样方法：随机选取样本；运用概率论评价样本结果，包括计量抽样风险。统计抽样的样本必须同时具备这两个特征，不同时具备上述两个特征的抽样方法为非统计抽样。一方面，即使严格按照随机原则选取样本，如果没有对样本结果进行统计评估，就不能认为使用了统计抽样。另一个方面，基于非随机选样的统计评估也是无效的。,6.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。常用的计算及比较方法包括下列各类：（1）绝对额比较。例如，将本期金额（如某账户余额）和预期金额进行简单比较等。（2）共同比分析，也称垂直分析。是指先计算出某财务报表的各组成要素占有关总额的百分比（例如，现金占总资产的百分比、毛利占销售收入的百分比），再将此比例与预期数比较。（3）比率分析。是注册会计师和财务分析人员常用的分析方法。此方法要求先计算出各种比率，再将其与预期比率进行比较。对计算出来的比率可单独分析，也可归类（如偿债能力、效率及获利比率等）分析。在分析中常用的财务比率有：,速动比率 速动比率=（速动资产流动负债）100=（流动资产存货待摊费用1年内到期的非 流动资产及其他流动资产）流动负债100=（货币资金+交易性金融资产+应收、预付款项）流动负债 100 它用以衡量被审计单位用现金和非现金资产对短期债权人所提供的保障程度。这个比率越大，流动性越大，短期偿债能力就越强。流动比率 流动比率=（流动资产流动负债）100 它用以衡量流动负债被流动资产偿还的程度，此比率越高，流动负债可被及时偿还的保证越大。资产负债率 资产负债率=（负债资产）100 它可以衡量企业在清算时保护债权人利益的程度。资产负债率越低，企业偿债越有保证，贷款越安全。资产负债率还代表企业的举债能力。一个企业的资产负债率越低，举债越容易。如果资产负债率高到一定程度，没有人愿意提供贷款了，则表明企业的举债能力已经用尽。,产权比率 产权比率=（负债总额股东权益）100 它用以衡量企业负债经营的情况，通常此比率不会超过100，因为此比率超过100，债权人将比所有者承担更大的风险。利息保障倍数 利息保障倍数=息税前利润利息费用=（净利润+利息费用+所得税费用）利息费用 它用以衡量企业以盈余支付固定利息的倍数。如果利息保障倍数小于1，表明自身产生的经营收益不能支持现有的债务规模。利息保障倍数等于1也是很危险的，因为息税前利润受经营风险的影响，是不稳定的，而利息的支付却是固定数额。利息保障倍数越大，公司拥有的偿还利息的缓冲资金越多。,应收账款周转率 应收账款周转率是应收账款与销售收入的比率。它有三种表现形式：应收账款周转次数、应收账款周转天数和应收账款与收入的比，具体计算公式如下：应收账款周转天数=360（销售收入应收账款平均占用）应收账款与收入的比=应收账款平均占用销售收入 它用以衡量一定期间内应收账款收回的次数，在具体分析时，还要关注销售收入的赊销比例问题，计算上采用赊销额代替销售收入更加恰当。一般的，应收账款的周转天数是越少越好。应收账款是赊销引起的，如果赊销有可能比现金销售更有利，周转无数就不会越少越好，收现时间的长短与企业的信用政策有关。,存货周转率 存货周转率是销售收入与存货的比值，也有三种计算方式，其计算公式如下：存货周转次数=销售收入（或销售成本）存货平均占用 存货周转天数=360销售收入存货平均占用 存货与收入比=存货销售收入 它用以衡量存货周转的速度。在计算存货周转率时，使用“销售收人”还是“销售成本”，要看分析的目的。在短期偿债能力分析中，为了评估资产的变现能力需要计量存货转换为现金的数量和时间，应采用“销售收入”。在分析总资产周转率时，为系统分析各项统资产的周转情况并识别主要的影响因素，应当使用“销售收入”计算周转率。如果是为了评估存货管理的业绩，应当使用销售成本”计算存货周转率，使其分子和分母保持口径一致。实际上，两种周转率的差额是毛利引起，使用哪一个都能够达到分析的目的。,销售利润率 销售利润率=（净利润销售收入）100 它表明1元销售收入与其成本费用之间可以“挤”出来的净利润，该比率越大则企业的盈利能力越强。总资产报酬率 总资产报酬率=净利润总资产100 它用以衡量总资产的获利能力。比率越高，表示公司能比较有效地使用资产。权益净利率 权益净利率=（净利润股东权益）100 它用以衡量管理层以所有者投资的资本赚取适当报酬的能力。此比率通常必须到10，以确保能提供发放股利及公司发展所需的资金。,（4）趋势分析。趋势分析是指比较两个以上会计期间的特定数据（绝对值、共同比或比率）以确定难以由本期和前期比较看出的重大变动。7.标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。标杆法是将本企业经营的各方面状况和环节与竞争对手或行业内外一流的企业进行对照分析的过程，是一种评价自身企业和研究其他组织的手段，是将外部企业的持久业绩作为自身企业的内部发展目标并将外界的最佳做法移植到本企业的经营环节中去的一种方法。实施标杆法的公司必须不断对竞争对手或一流企业的产品、服务、经营业绩等进行评价来发现优势和不足。一般的标杆法流程包括：（1）实施标杆法主要有确定内容、选择目标、收集分析数据、确定行动目标、实施计划和跟踪结果。（2）确定要进行标杆法的具体项目。（3）选择目标。确定了进行标杆法的环节后，就要选择具体的对象。通常，竞争对手和行业领先企业是首选对象。,（4）收集分析数据，包括本企业的情况和最佳企业（可以是竞争对手，也可以是非竞争对手）的情况。分析数据必须建立在充分了解本公司目前的状况以及最佳企业状况的基础之上，数据必须主要是针对企业的经营过程和活动，而不仅仅是针对经营结果。（5）确定行动计划。找到差距后进一步要做的是确定缩短差距的行动目标和应采取的行动措施，这些目标和措施必须融合到企业的经营计划中。（6）实施计划并跟踪结果。标杆法是发现不足，改进经营并达到最佳效果的一种有效手段，整个过程必须包括定期衡量评估达到目标的程度。如果没有达到目标，就需修正行动措施。8.实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。进行实地查验首先要有计划，明确目的，一般情况下，实地查验要和纳税评估结合起来进行，在实地查验过程中要尽量取得企业生产经营的第一手资料，资料要详细、准确。,（四）内部控制有效性的评价 1.有效性是企业内部控制评价的一个重要方面，但是准确的说是对于内部控制的两个方面有效性的评价，即设计有效性和运行有效性。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，控制得到执行是指某项控制存在且正在使用。设计不当的控制可能表明内部控制存在重大缺陷。2.采用信息系统加强内部控制的企业，对信息系统有效性的评价信息系统控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息系统控制分为两类，即信息技术的一般控制和应用控制。,3.企业集团的内部控制评价 企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：（1）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。（2）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。（3）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。（4）被评价单位是否开展内部控制自查并上报有关自查报告。（5）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。（6）被评价单位在评价期间是否出现过重大风险事故等。,（五）内部控制缺陷认定 1.内部控制缺陷的分类 内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误与舞弊，或者内部控制的运行存在弱点和偏差，不能及时发现共纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。（l）设计缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。（2）运行缺陷 运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。有些企业表面上似乎建立健全了企业内部控制制度，但往往只是写在纸上，挂在墙上，形同虚设，这种现象在相当一部分企业中存在，这样做的目的不过是做做样子，应付检查，实际上还是我行我素。此外，企业内部普遍存在授权不明、权责不清的情况，这也是内部控制不能有效运行的重要原因。2.内部控制缺陷的认定标准 企业对内部控制评价过程中发现的问题，应当从定性和定量等方面进行衡量，判断是否构成内部控制缺陷，以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。美国上市公司会计监管委员会（PCAOB）审计准则第2号指出审计师必须评估已发现的控制缺陷，并已决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。,根据缺陷对企业影响的严重程度我国企业内部控制评价指引第17条明确的分为三类：重大缺陷、重要缺陷、一般缺陷。重大缺陷：是指一个或多个控制缺陷组合，可能导致企业严重偏离控制目标。重要缺陷：是指一个或多个控制缺陷组合，其严重程度和经济后果低于重大缺陷，但仍然有可能导致企业偏离控制目标。一般缺陷：是指除重大缺陷和重要缺陷之外的其他缺陷。这三种缺陷的具体认定标准，由企业根据上述要求自行确定。,3.内部控制缺陷整改机制 企业内部评价部门应对发现的控制缺陷编制汇总表，分析成因、影响程度，提出认定意见。企业通过内部控制评价发现内部控制的缺陷，应当建立内部控制缺陷整改机制，明确内部各管理层级和单位整改的职责分工，确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。根据发现缺陷类别的不同，确定不同级次的管理和监督权限。董事会负责重大缺陷的整改，接受监事会的监督。经理层负责重要缺陷的整改，接受董事会的监督。内部有关单位负责一般缺陷的整改，接受经理层的监督。对于认定的重大缺陷，应采取对策及时将风险控制在可承受范围内，并追究相关部门或人员责任。,（六）内部控制评价的证据 企业应当通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。相关性和可靠性是证据适当性的核心内容，只有相关且可靠的证据才是高质量的证据。证据要有证明力，必须与内部控制评价的目标相关。证据的可靠性是证据的可信程度。充分性和适当性是证据的两个重要特征，两者缺一不可，只有充分且适当的证据才是有证明力的。,五、内部控制评价报告（一）内部控制评价报告的内容 企业内部控制评价指引和内部控制应用指引都要求董事会应根据内部控制检查监督工作报告及相关信息，评价公司内部控制的建立和实施情况，形成内部控制自我评估报告，并分别对内容做出了规定。美国2002年颁布的萨班斯一奥克斯利法案强制要求公众公司年度报告中应包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴证报告。但是国内外对内部控制自我评估报告的格式并没有统一，只是对必要的内容作了规定。企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。但是企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。并且至少披露如下内容：,第一，组织实施内部控制评价的总体情况；第二，内部控制责任主体的声明；第三，内部控制评价的范围和内容；第四，内部控制评价的标准和依据；第五，内部控制评价的程序和方法；第六，内部控制重大缺陷及其认定情况；第七，内部控制重大缺陷的整改措施及责任追究情况；第八，内部控制有效性的结论；存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论,（二）内部控制评价报告 1.内部控制评价的分类 企业内部控制评价，一般包括年度评价和专项评价。年度评价是指企业根据内部控制目标，对企业某一年度建立于实施 内部控制的有效性进行的评价。例如，企业按照有关法规的要求，每年都必须进行内部控制自我评估并出具内部控制自我评估报告。专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。还可以将内部控制评价分为全部内部控制评价和专项内部控制评价。全面内部控制评价是指对企业内部控制体系进行评价，包括控制环境、风险评估、控制活动、信息与沟通以及内部监督五个要素，对企业的所有业务和管理活动的内部控制进行全面的评价。专项评价是指针对内部控制中的某一要素，比如针对控制活动本身、或者针对企业的某项或者某些业务和管理活动的内部控制进行评价。2.内部控制评价报告应当报企业经理层审核、董事会审定后公布。,3.内部控制评价报告期限 企业应当以12月31日作为年度内部控制评价报告的基准日，也可选择6月30日作为基准日。内部控制评价报告应于基准日后4个月内报出。,19讲现在讲述完毕，请听20讲,