2023年解读企业内部控制评价指引四.docx

05 解读企业内部控制评价指引〔四〕 　解读企业内部控制评价指引〔四〕 　四、内部控制缺陷的认定 　内部控制缺陷认定在一定程度上决定内部控制评价的成效，且具有一定难度，还需要运用职业判断。 〔一〕内部控制缺陷的分类 　1．按照内部控制缺陷成因或来源，内部控制缺陷包括〔1〕设计缺陷和〔2〕运行缺陷。 〔1〕设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。 〔2〕运行缺陷是指设计有效〔合理且适当〕的内部控制由于运行不当〔包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等〕而形成的内部控制缺陷。 　2．按照影响企业内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。 　重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中作出内部控制无效的结论。 　重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制的整体有效性，但也应当引起董事会、经理层的充分关注。 　一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷，需要借助一套可系统遵循的认定标准，认定过程中还需要内部控制评价人员充分运用职业判断。 　3．按照具体影响内部控制目标的具体表现形式，还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。 〔二〕内部控制缺陷的认定标准 　1．内部控制缺陷的重要性和影响程度 评价指引第十六条规定，企业对内部控制缺陷的认定，应当以构成内部控制的内部监督要素中的日常监督和专项监督为根底，结合年度内部控制评价，由内部控制评价机构进行综合分析后提出认定意见，按照规定的权限和程序进行审核，由董事会予以最终确定。 　首先，内部控制评价附属于内部监督，是监督结果的总体表达。在企业正常的生产经营中，内部控制评价倚重内部监督。 　其次，充分利用日常监督与专项监督结果的根底上，至少每年由内部控制评价机构对内部控制的五要素相对独立地进行评价，全面地、综合地分析，提出认定意见，报董事会审定。 　第三，企业应当根据评价指引，结合自身情况和关注的重点，自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。 　第四，根据具体认定标准认定企业存在的内部控制缺陷，由董事会最终审定。 　按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。 　2．财务报告内部控制缺陷的认定标准 　财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。 　由于财务报告内部控制的目标集中表达为财务报告的可靠性，因而财务报告内部控制的缺陷主要是指不能合理保证财务报告可靠性的内部控制设计和运行缺陷。 　换句话说，财务报告内部控制的缺陷，是指不能及时防止或发现并纠正财务报告错报的内部控制缺陷。将财务报告内部控制的缺陷划分为重大缺陷、重要缺陷和一般缺陷，所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。这种重要程度主要取决于两个方面的因素： 〔1〕该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。合理可能性是指大于微小可能性〔几乎不可能发生〕的可能性，确定是否具备合理可能性涉及评价人员的职业判断。 〔2〕该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。 　另外，一些迹象通常说明财务报告内部控制可能存在重大缺陷： 〔1〕董事、监事和高级管理人员舞弊； 〔2〕企业更正已公布的财务报告； 〔3〕注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报； 〔4〕企业审计委员会和内部审计机构对内部控制的监督无效。 　一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷。重大错报中的“重大〞，涉及企业管理层确定的财务报告的重要性水平。一般企业可以采用绝对金额法〔例如，规定金额超过 10000 元的错报应当认定为重大错报〕或相比照例法〔例如，规定超过资产总额 1％的错报应当认定为重大错报〕来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中虽然未到达和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。 　3．非财务报告内部控制缺陷的认定标准 　非财务报告内部控制是指针对除财务报告目标之外的其他目标的内部控制，这些目标一般包括战略目标、资产平安、经营目标、合规目标等。 　非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的各项工作，对企业内部控制应用指引中每一篇应用指引所阐述的风险，根据自身的实际情况、管理现状和开展要求，加以细化或按内部控制原理补充，参照财务报告内部控制缺陷的认定标准，合理确定定性和定量的认定标准，根据其对内部控制目标实现的影响程度认定为一般缺陷、重要缺陷和重大缺陷。其中： 　定量标准，即涉及金额大小，既可以根据造成直接财产损失绝对金额制定，也可以根据其直接损失占本企业资产、销售收入及利润等的比率确定； 　定性标准，即涉及业务性质的严重程度，可根据其直接或潜在负面影响的性质、影响的范围等因素确定。 　以下迹象通常说明非财务报告内部控制可能存在重大缺陷： 〔1〕国有企业缺乏民主决策程序，如缺乏“三重一大〞决策程序。 〔2〕企业决策程序不科学，如决策失误，导致并购不成功。 〔3〕违犯国家法律、法规，如环境污染。 〔4〕管理人员或技术人员纷纷流失。 〔5〕媒体负面新闻频现。 〔6〕内部控制评价的结果特别是重大或重要缺陷未得到整改。 〔7〕重要业务缺乏制度控制或制度系统性失效。 　为防止企业操纵内部控制评价报告，非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。需要强调的是，在内部控制的非财务报告目标中，战略和经营目标的实现往往受到企业不可控的诸多外部因素的影响，企业的内部控制只能合理保证董事会和管理层了解这些目标的实现程度。因而，在认定针对这些控制目标的内部控制缺陷时，我们不能只考虑最终的结果，而主要应该考虑企业制定战略、开展经营活动的机制和程序是否符合内部控制要求，以及不适当的机制和程序对企业战略及经营目标实现可能造成的影响。 〔三〕内部控制缺陷的报告与整改 　1．内部控制缺陷报告的格式和途径 评价指引第十九条规定，企业内部控制评价机构应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改良情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见〔针对财务报告内部控制的缺陷，一般还应当反映缺陷对财务报告的具体影响〕，并以适当的形式向董事会、监事会或者经理层报告。 　重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。 　内部控制缺陷报告应当采取书面形式，可以单独报告，也可以作为内部控制评价报告的一个重要组成局部。 　一般而言，内部控制的一般缺陷、重要缺陷应定期〔至少每年〕报告，重大缺陷应立即报告。对于重大缺陷和重要缺陷及整改方案，应向董事会〔审计委员会〕、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，或存在管理层凌驾于内部控制之上的情形，应当直接向董事会〔审计委员会〕、监事会报告。对于一般缺陷，可以与企业经理层报告，并视情况考虑是否需要向董事会〔审计委员会〕、监事会报告。 　2．内部控制缺陷整改方案及期限 　企业对于认定的内部控制缺陷，应当及时采取整改措施，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。 　企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议，并报经理层、董事会〔审计委员会〕、监事会批准。获批后，应制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的，整改目标应明确近期和远期目标以及相应的整改工作内容。 　摘录人：