功能性膜材料公司內(nèi)部控制方案

1、泓域/功能性膜材料公司內(nèi)部控制方案功能性膜材料公司內(nèi)部控制方案xx（集團）有限公司目錄 TOC o 1-3 h z u HYPERLINK l _Toc110078154 一、 內(nèi)部控制的相關比較 PAGEREF _Toc110078154 h 4 HYPERLINK l _Toc110078155 二、 企業(yè)內(nèi)部控制規(guī)范體系的結(jié)構(gòu) PAGEREF _Toc110078155 h 7 HYPERLINK l _Toc110078156 三、 企業(yè)風險管理 PAGEREF _Toc110078156 h 8 HYPERLINK l _Toc110078157 四、 內(nèi)部牽制 PAGEREF _T

2、oc110078157 h 18 HYPERLINK l _Toc110078158 五、 評價控制缺陷與報告 PAGEREF _Toc110078158 h 20 HYPERLINK l _Toc110078159 六、 審計工作計劃與實施 PAGEREF _Toc110078159 h 24 HYPERLINK l _Toc110078160 七、 內(nèi)部監(jiān)督比較 PAGEREF _Toc110078160 h 29 HYPERLINK l _Toc110078161 八、 內(nèi)部監(jiān)督的內(nèi)容 PAGEREF _Toc110078161 h 30 HYPERLINK l _Toc11007816

3、2 九、 內(nèi)部控制缺陷的認定 PAGEREF _Toc110078162 h 36 HYPERLINK l _Toc110078163 十、 內(nèi)部控制評價工作底稿與報告 PAGEREF _Toc110078163 h 38 HYPERLINK l _Toc110078164 十一、 信息與溝通的作用 PAGEREF _Toc110078164 h 39 HYPERLINK l _Toc110078165 十二、 信息的含義與分類 PAGEREF _Toc110078165 h 41 HYPERLINK l _Toc110078166 十三、 信息控制 PAGEREF _Toc110078166

4、 h 43 HYPERLINK l _Toc110078167 十四、 溝通控制 PAGEREF _Toc110078167 h 53 HYPERLINK l _Toc110078168 十五、 公司治理的產(chǎn)生及動因 PAGEREF _Toc110078168 h 56 HYPERLINK l _Toc110078169 十六、 企業(yè)的演進 PAGEREF _Toc110078169 h 66 HYPERLINK l _Toc110078170 十七、 委托代理理論 PAGEREF _Toc110078170 h 71 HYPERLINK l _Toc110078171 十八、 不完全契約理論

5、 PAGEREF _Toc110078171 h 73 HYPERLINK l _Toc110078172 十九、 項目簡介 PAGEREF _Toc110078172 h 76 HYPERLINK l _Toc110078173 二十、 公司基本情況 PAGEREF _Toc110078173 h 80 HYPERLINK l _Toc110078174 二十一、 SWOT分析說明 PAGEREF _Toc110078174 h 82 HYPERLINK l _Toc110078175 二十二、 法人治理 PAGEREF _Toc110078175 h 90 HYPERLINK l _Toc

6、110078176 二十三、 項目風險分析 PAGEREF _Toc110078176 h 107 HYPERLINK l _Toc110078177 項目風險對策 PAGEREF _Toc110078177 h 110 HYPERLINK l _Toc110078178 （一）政策風險對策 PAGEREF _Toc110078178 h 110 HYPERLINK l _Toc110078179 目前，國內(nèi)有良好的宏觀經(jīng)濟政策，但還需要把握機會，抓住國家目前鼓勵符合產(chǎn)業(yè)政策項目建設的機會，讓項目盡快進入實施階段。 PAGEREF _Toc110078179 h 110內(nèi)部控制的相關比較（一）

7、目標的比較內(nèi)部控制是一個管理系統(tǒng)而非技術(shù)系統(tǒng)，是一個防守系統(tǒng)而不是進攻系統(tǒng)，因此，內(nèi)部控制要實現(xiàn)企業(yè)的價值最大化目標，無法依靠利益的增加而只能通過減少支出。內(nèi)部控制的目標，通常指內(nèi)部控制所要達到的預期效果和所要完成的控制任務。從理論上說，內(nèi)部控制的目標主要取決于內(nèi)部控制本身所具有的功能和人們在設計、執(zhí)行內(nèi)部控制時的主觀需要。內(nèi)部控制的目標限于內(nèi)部控制功能和人們的主觀需求之間，不可能高于其本身的客觀功能，當然，也不能低于主觀需求。1、國內(nèi)外相關報告的內(nèi)部控制目標比較內(nèi)部控制的目標并非單一的，是由幾個目標組成的目標結(jié)構(gòu)或體系，并且，各目標之間存在著相互聯(lián)系。目前內(nèi)部控制學關于目標的闡述有“三目標論

8、”“四目標論”“五目標論”，這些目標深入具有不同的層次，但有一個共同的目標指向，即降低各種風險帶來的損失。對內(nèi)部控制整體框架、企業(yè)風險管理框架與我國企業(yè)內(nèi)部控制基本規(guī)范中所規(guī)定的內(nèi)部控制目標進行的比較。標準或規(guī)范對內(nèi)部控制目標的規(guī)定有所差異，主要是因為第一，確定控制目標的設定基礎。有的以內(nèi)部會計控制為基礎設定（如1949年的定義），有的以內(nèi)部控制為基礎來設定，有的以風險管理為基礎設定；第二，頒布這些標準或規(guī)范的機構(gòu)不同。有的從企業(yè)層面頒布，有的從行業(yè)層面頒布，有的從監(jiān)管層面頒布。反觀我國基本規(guī)范，相較于企業(yè)風險管理框架，多了一個資產(chǎn)安全目標，資產(chǎn)安全是企業(yè)展開各種經(jīng)濟活動的物質(zhì)前提，但是從目標

9、的排列次序上可以看出，我國的基本規(guī)范中規(guī)定的次序恰恰與企業(yè)風險管理報告要求的相反，這是結(jié)合我國基本實情的具體規(guī)定。一般認為，首先，企業(yè)應當在合規(guī)合法的前提下開展活動，違背了這項原則，其他目標再好也是紙上談兵。其次，保證合規(guī)合法目標實現(xiàn)的基礎之上，資產(chǎn)作為企業(yè)經(jīng)濟活動的物質(zhì)前提，應當保證實現(xiàn)資產(chǎn)安全的目標。再次，企業(yè)應當保證財務報告及相關信息的真實完整，以便于利益相關者做出決策。與此同時，企業(yè)應當回歸到日常經(jīng)營管理活動當中來，提高企業(yè)的經(jīng)營效率和效果，提高經(jīng)營業(yè)績是企業(yè)的大勢所趨。最后，在上述四個目標實現(xiàn)的基礎上，提出了企業(yè)的發(fā)展戰(zhàn)略。2、我國內(nèi)部控制目標演進過程我國的相關法規(guī)制度對內(nèi)部控制目標

10、的界定也是一個不斷演進的過程，我國相關法規(guī)、制度對內(nèi)部控制目標的界定，可以分為三個發(fā)展演進階段。第一階段，外部化階段。強調(diào)內(nèi)部會計控制，突出財務報告的真實完整，主要表現(xiàn)在獨立審計具體準則第9號內(nèi)部控制和審計風險（體現(xiàn)內(nèi)部控制為審計服務）、財政部內(nèi)部會計控制規(guī)范一基本規(guī)范等。第二階段，內(nèi)部化階段。強調(diào)內(nèi)部控制，在保證財務報告真實完整的前提下提高經(jīng)營的效率和效果，主要表現(xiàn)在中國注冊會計師審計準則第1211號（體現(xiàn)風險導向的審計內(nèi)涵）、上交所上市公司內(nèi)部控制指引、深交所上市公司內(nèi)部控制指引等。第三階段，風險管理階段。強調(diào)企業(yè)風險管理，主要表現(xiàn)在五部委企業(yè)內(nèi)部控制基本規(guī)范。以上三個階段說明我國內(nèi)部控制

11、目標的發(fā)展是在借鑒國外最佳實踐的基礎上，關于內(nèi)部控制理念與實踐的提升。（二）內(nèi)部控制要素的比較縱觀內(nèi)部控制的歷史演進可以發(fā)現(xiàn)，從最早的內(nèi)部控制“一要素”階段內(nèi)部牽制階段，“二要素”階段一內(nèi)部控制制度階段，“三要素”階段一內(nèi)部控制結(jié)構(gòu)階段，到“五要素”階段內(nèi)部控制整合框架階段，再到“八要素”階段一風險管理整合框架階段，內(nèi)部控制的發(fā)展歷史實際上也是內(nèi)部控制要素不斷充實和豐富的過程。內(nèi)部控制基本要素反映了內(nèi)部控制的內(nèi)容，這些要素及其構(gòu)成方式與整個控制過程整合在一起，決定著控制的內(nèi)容與形式。企業(yè)風險管理框架在內(nèi)部控制整體框架的基礎上，將風險評估分解為目標制定、事項識別、風險評估和風險應對四個要素，納入

12、風險管理流程，突出了風險管理的重要性。而基本規(guī)范是五要素的體系結(jié)構(gòu)，一方面繼承內(nèi)部控制整體框架的理論成果，另一方面適當體現(xiàn)企業(yè)風險管理框架的先進理念，結(jié)合我國國情的基礎上將兩者有效結(jié)合。企業(yè)內(nèi)部控制規(guī)范體系的結(jié)構(gòu)2010年4月26日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了企業(yè)內(nèi)部控制配套指引。該配套指引包括18項企業(yè)內(nèi)部控制應用指引企業(yè)內(nèi)部控制評價指引和企業(yè)內(nèi)部控制審計指引，連同此前發(fā)布的企業(yè)內(nèi)部控制基本規(guī)范，標志著適應我國企業(yè)實際情況、融合國際先進經(jīng)驗的中國企業(yè)內(nèi)部控制規(guī)范體系基本建成。我國內(nèi)部控制規(guī)范體系分兩個層面，一是基本規(guī)范，二是配套指引。（一）基本規(guī)范企業(yè)內(nèi)部控制基本規(guī)范是

13、內(nèi)部控制建設與實施應該遵循的基本原則和總體要求，具有強制性，納入實施范圍的企業(yè)應當遵照執(zhí)行。（二）配套指引企業(yè)內(nèi)部控制配套指引（包括應用指引、評價指引和審計指引）是對企業(yè)內(nèi)部控制基本規(guī)范相關規(guī)定的進一步補充和說明具有指導性和示范性，企業(yè)可以結(jié)合所在行業(yè)要求和企業(yè)自身特點，參照配套指引的規(guī)定開展內(nèi)部控制建設與實施工作。配套指引包括應用指引、評價指引和審計指引，三者之間既相互獨立，又相互聯(lián)系，形成一個有機整體。1、企業(yè)內(nèi)部控制應用指引應用指引是對企業(yè)按照內(nèi)部控制五大原則和內(nèi)部控制五大要素建立健全本企業(yè)內(nèi)部控制所提供的指引，在配套指引乃至整個內(nèi)部控制規(guī)范體系中占據(jù)主體地位，主要包括控制環(huán)境類指引、控

14、制活動類指引和控制手段類指引。2、企業(yè)內(nèi)部控制評價指引評價指引是為企業(yè)管理層對本企業(yè)內(nèi)部控制有效性進行自我評價提供的指引，用于企業(yè)董事會或類似決策機構(gòu)對內(nèi)部控制有效性進行全面評價、形成評價結(jié)論、出具評價報告的過程。3、企業(yè)內(nèi)部控制審計指引審計指引是為注冊會計師和會計師事務所執(zhí)行內(nèi)部控制審計業(yè)務的執(zhí)業(yè)準則。企業(yè)風險管理（一）企業(yè)風險管理（2004）架構(gòu)1、基本框架2004年，COSO為企業(yè)風險管理確立了一個可普遍接受的定義，該定義融入眾多觀點并達成共識，為各組織識別風險和加強對風險的管理提供了堅實的理論基礎，即企業(yè)風險管理是一個受企業(yè)董事會、管理層和其他人士影響的過程，運用于制訂戰(zhàn)略之中，并且貫

15、穿整個企業(yè)，用以識別可能影響該企業(yè)的潛在事項，并且將風險控制在風險偏好的范圍之內(nèi)，為達到實體目標提供合理的保證。企業(yè)風險管理（2004）框架的主要貢獻就在于，其重新界定了風險管理，即由目標、要素和組織三個維度組成的有機整體。第一維度為企業(yè)的目標，即戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。在主體既定的使命或愿景范圍內(nèi)，管理當局制訂戰(zhàn)略目標、選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設定相應的目標。企業(yè)風險管理框架力求實現(xiàn)主體的戰(zhàn)略目標、經(jīng)營目標、報告目標和合規(guī)目標。戰(zhàn)略目標與高層目標相關，和企業(yè)使命相一致，企業(yè)所有的經(jīng)營管理活動必須長期有效地支持該使命。經(jīng)營目標與企業(yè)運營的效果和效率相關，包括業(yè)績和利潤目標，

16、運營變化以管理當局對結(jié)構(gòu)和業(yè)績的選擇為基礎，旨在使企業(yè)能夠高效地使用資源。報告目標與組織報告可靠性相關，包括對內(nèi)報告和對外報告，涉及財務和非財務信息。合規(guī)目標層次較低，也是最基礎的目標，與組織遵循相關法律法規(guī)有關。第二維度為構(gòu)成要素，即內(nèi)部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通和監(jiān)控。第三維度組織是企業(yè)的層級，包括主體層次、分部、業(yè)務單元及子公司。三個維度的關系是，全面風險管理的八個要素都是為企業(yè)的四個目標服務的；企業(yè)各個層級都要堅持同樣的四個目標；每個層次都必須從以上八個方面進行風險管理。2、構(gòu)成要素第二維度企業(yè)風險管理包含八個相互關聯(lián)的要素。它們來源于管理當局經(jīng)

17、營企業(yè)的方式，并與管理過程整合在一起。這些構(gòu)成要素的含義如下。內(nèi)部環(huán)境內(nèi)部環(huán)境包含組織的基調(diào)，它為主體內(nèi)的人員如何認識和對待風險設定了基礎，包括風險管理理念和風險容量、誠信和道德價值觀，以及他們所處的經(jīng)營環(huán)境。目標設定必須先有目標，管理當局才能識別影響目標實現(xiàn)的潛在事項。企業(yè)風險管理確保管理當局采取適當?shù)某绦蛉ピO定目標，確保所選定的目標支持和切合該主體的使命，并且與它的風險容量相符。事項識別必須識別影響主體目標實現(xiàn)的內(nèi)部和外部事項，區(qū)分風險和機會。機會被反饋到管理當局的戰(zhàn)略或目標制訂過程中。風險評估一通過考慮風險的可能性和影響來對其加以分析，并以此作為決定如何進行管理的依據(jù)。風險評估應立足于固

18、有風險和剩余風險。風險應對管理當局選擇風險應對回避、承受、降低或者分擔風險采取一系列行動以便把風險控制在主體的風險容忍度和風險容量以內(nèi)?？刂苹顒右恢朴喓蛨?zhí)行政策與程序以幫助確保風險應對得以有效實施。信息與溝通一一相關的信息以確保員工履行其職責的方式和時機，能被識別、獲取和溝通。有效溝通的含義比較廣泛，包括信息在主體中的向下、平行和向上流動。監(jiān)控對企業(yè)風險管理進行全面監(jiān)控，必要時加以修正。監(jiān)控可以通過持續(xù)的管理活動、個別評價或者兩者結(jié)合來完成。企業(yè)風險管理并不是一個嚴格的順次過程，一個構(gòu)成要素并不是僅僅影響接下來的那個構(gòu)成要素。它是一個多方向的、反復的過程，在這個過程中幾乎每一個構(gòu)成要素都會影響

19、其他構(gòu)成要素。3、企業(yè)風險管理（2004）框架面臨的問題企業(yè)風險管理（2004）框架在對企業(yè)風險管理進行定義時所強調(diào)的最重要也是最獨具一格的一點是“貫穿整個企業(yè)，應用于戰(zhàn)略制定中”。而這一點在實踐中卻被誤讀，甚至被無視。COSO最初在編制ERM框架時采用了類似于內(nèi)部控制框架所使用的立方體。雖然COSO對立方體右側(cè)的內(nèi)容進行了修改，刪除了有關活動和流程，改為側(cè)重于范圍更廣的實體和運營單位及分支機構(gòu)，但許多企業(yè)依然試圖在過于細微的層面實施該框架，例如運用于流程層面而非戰(zhàn)略制定。許多組織機構(gòu)將企業(yè)風險管理作為一種保證活動來實施，而不是將其視為一種更佳的企業(yè)管理方式，從而失去了治理效果。2008年金融

20、危機以及2011年的日本海嘯所引發(fā)的經(jīng)濟大蕭條，“黑天鵝”“大變臉”事件頻頻爆發(fā)，ERM有關問題和價值的主張便開始明朗起來，令許多企業(yè)進入危機應對模式，企業(yè)風險管理的實施也因此受到企業(yè)特別是C級高管的真正重視。6月24日，COSO委員會發(fā)布企業(yè)風險管理：風險與戰(zhàn)略和績效的協(xié)調(diào)，以向公眾征求意見，截止日期為2016年9月30日。（二）企業(yè)風險管理（2016）框架的內(nèi)容相對于企業(yè)風險管理（2004）框架，新版企業(yè)風險管理（風險與戰(zhàn)略和績效的協(xié)調(diào)）（2016）使用了構(gòu)成元素加原則的結(jié)構(gòu)，包括5個構(gòu)成元素，細分為23條原則，2013年COSO組織更新了企業(yè)內(nèi)部控制框架的部分內(nèi)容，在文章的整體結(jié)構(gòu)上就是

21、采用的這種結(jié)構(gòu)新的結(jié)構(gòu)加強了新框架的可讀性、可用性和一致性。新版ERM框架的五要素和23個原則。新版框架對ERM的定義為：組織在創(chuàng)造、保存、實現(xiàn)價值的過程中賴以進行風險管理的，與戰(zhàn)略制訂和實施相結(jié)合的文化、能力和實踐?？梢钥吹?，新版框架簡化了ERM的定義以方便閱讀和記憶。新定義方便的是所有讀者的理解，而不只是風險管理從業(yè)者。新定義包括文化和能力而不只是過程，更加強調(diào)風險與價值的相結(jié)合，突出價值創(chuàng)造而不只是防止損失，這樣也避免了和內(nèi)部控制定義的界限不清。新版框架中，ERM被視為戰(zhàn)略制定的重要組成和識別機遇、創(chuàng)造和保留價值的必要部分。新版框架中ERM不再是主體的一個額外的或是單獨的活動，而是融入主

22、體的戰(zhàn)略和運營當中的有機部分。新版框架注意到了自舊版框架發(fā)布以來，組織在實踐ERM過程中遇到的一些問題，包括對風險管理工作的定位，風險管理工作的范圍和目標等，新版框架定義了風險管理工作的高度，包括：戰(zhàn)略和業(yè)務目標與使命、愿景和價值觀不匹配的可能性；選定的戰(zhàn)略所隱含的意義；執(zhí)行戰(zhàn)略過程中的風險。1、風險治理和文化風險治理和文化構(gòu)成了ERM所有其他部分的基礎。風險治理定下主體的基本基調(diào)，加強ERM的重要性并確立ERM的監(jiān)管責任的分配；文化則是主體的價值觀、行為準則和對風險的理解。（1）實現(xiàn)董事會對風險的監(jiān)督。董事會對主體的風險監(jiān)督負有首要責任。（2）建立治理和運作模式。在明確的責任分配下，組織應該

23、建立完整的運營模式和匯報體系。（3）定義期望的組織行為。董事會和管理層通過定義其期望的行為將組織核心價值和對風險的態(tài)度具體化。（4）展現(xiàn)對誠實和道德的承諾。組織制定基調(diào)，建立員工行為準則并對偏離準則的行為做出回應。（5）加強問責。組織確保各個層級的個體在風險管理方面的職責明確，并確保其自身在提供準則和指導方面的職責明確。（6）吸引、發(fā)展并留住優(yōu)秀的個體。致力于根據(jù)戰(zhàn)略和業(yè)務目標構(gòu)筑人力資本，管理層通過在不同層面建立人力資源管理體系來吸引、培訓、指導人才，評價和留住人才。2、風險、戰(zhàn)略和目標設定ERM通過制訂戰(zhàn)略和業(yè)務目標的過程與主體的戰(zhàn)略計劃融合在一起。通過對商業(yè)環(huán)境的理解，組織可以得到對內(nèi)在

24、和外在因素的看法以及它們對風險的影響。組織在戰(zhàn)略制訂中確定其風險偏好，而業(yè)務目標使得戰(zhàn)略得以實踐并形成主體日常的運營。（1）考慮風險和業(yè)務環(huán)境。組織考慮業(yè)務環(huán)境對風險圖譜的潛在影響；組織要理解業(yè)務環(huán)境，考慮內(nèi)部和外部的環(huán)境和不同的利益相關者。（2）定義風險偏好。組織在創(chuàng)造、保存和實現(xiàn)價值的過程中定義風險偏好。（3）評估可供選擇的戰(zhàn)略。組織評估可替代的戰(zhàn)略和對風險狀況的影響。（4）建立業(yè)務目標的同時考慮風險。組織建立不同層次的業(yè)務目標以制定和支持戰(zhàn)略的同時考慮風險。（5）定義可接受的績效浮動區(qū)間?？山邮艿目冃Ц右部梢岳斫鉃轱L險容忍度。3、執(zhí)行中的風險組織識別并評估可能影響其實現(xiàn)戰(zhàn)略和業(yè)務目標的

25、風險，結(jié)合企業(yè)的風險偏好，對風險按照其嚴重程度排分優(yōu)先次序，組織選擇風險應對的方法并對績效進行監(jiān)控以做出調(diào)整。這樣，企業(yè)對追求戰(zhàn)略和業(yè)務目標時所面臨的風險量建立起一個組合的觀念。（1）識別執(zhí)行中的風險。組織識別執(zhí)行過程中影響業(yè)務目標實現(xiàn)的風險。（2）評估風險的嚴重程度。風險評估的重要工具是風險熱力圖，熱力圖從風險發(fā)生的可能性和影響程度兩方面對風險進行評級。風險評價要從固有風險、目標剩余風險和實際剩余風險三個層級進行。（3）區(qū)分風險的優(yōu)先次序。組織結(jié)合風險偏好，選定對風險排分優(yōu)先等級的標準，然后對所有識別的風險進行排分。（4）識別并選擇風險響應。這些控制活動在內(nèi)部控制一整合框架中已經(jīng)介紹。（5）

26、評估執(zhí)行中的風險。組織需要對績效進行監(jiān)測，如果績效的浮動區(qū)間超出了可以接受的范圍，則可能需要重新考慮業(yè)務目標或戰(zhàn)略；調(diào)整目標績效，重新進行風險評估；重新進行風險優(yōu)先級的排序；重新制定風險應對措施；重新確立風險偏好。（6）建立風險的組合觀。管理層需要從組織整體角度考慮風險，將組織風險作為一個整體去和實現(xiàn)績效目標所需要承受的風險進行對比，而不是將其視為一個個單獨的、分散的風險。4、風險信息、溝通和報告溝通是在主體中不斷迭代地取得并分享信息的過程。管理層利用從內(nèi)部和外部取得的有效信息來支持企業(yè)風險管理工作，組織利用信息系統(tǒng)來捕捉、處理和管理數(shù)據(jù)和信息。通過利用應用于所有組成部分的信息，組織就風險、文

27、化和績效做出報告。（1）使用相關信息。組織利用支持企業(yè)風險管理的信息，首先考慮有哪些可用的信息來源，然后衡量取得這些信息的成本，最終確定需要哪些信息來源。（2）利用信息系統(tǒng)。信息系統(tǒng)可以是正式的或者是非正式的。（3）溝通風險信息。溝通的對象既包括內(nèi)部的員工，也包括董事會、股東及其他外部的利益相關者。溝通方法可以是電子信息、外部/第三方材料、非正式/口頭、公共活動、培訓和研討會、內(nèi)部文件。（4）對風險、文化和績效進行報告。組織在各個層級對風險、文化和績效做出報告。5、監(jiān)控風險管理效果通過監(jiān)控風險管理（ERM）的效果，組織可以判斷ERM的各組成部分的長期運作是否良好并獲知有哪些實質(zhì)性的變化。（1）

28、對重大變化進行監(jiān)控。組織識別和評估可能對戰(zhàn)略和業(yè)務目標的達成造成實質(zhì)性影響的內(nèi)部和外部變化。造成這些實質(zhì)性影響的變化可能來自內(nèi)部的原因，如快速成長、新技術(shù)或者管理層及其他人事變動；可能來自外部環(huán)境，例如法規(guī)和經(jīng)濟環(huán)境的變化；還可能來自組織文化方面，例如并購和重組帶來的文化沖擊。（2）對ERM進行監(jiān)控。組織應監(jiān)控ERM的效果并隨時準備對其進行效率上和實用性上的改善，組織同樣要明確未來理想中的ERM狀態(tài)，做到持續(xù)改進。內(nèi)部牽制內(nèi)部牽制的概念最早在1905年由特克西提出。他認為內(nèi)部牽制由3部分組成：職責分工、會計記錄、人員輪換。這3部分內(nèi)容在現(xiàn)代內(nèi)部控制中都有所體現(xiàn)?？吕諘嬙~典中對內(nèi)部牽制曾做出最

29、全面的解釋，它認為“內(nèi)部牽制是指以提供有效的組織和經(jīng)營，并防止錯誤和其他非法業(yè)務發(fā)生的業(yè)務流程設計。其主要特點是以任何個人，或部門不能單獨控制任何一項或一部分業(yè)務權(quán)力的方式進行組織上的責任分工，每項業(yè)務通過正常發(fā)揮其他個人或部門的功能進行交叉檢查或交叉控制。設計有效的內(nèi)部牽制得以使每項業(yè)務能完整、正確地經(jīng)過規(guī)定的處理程序，而在這規(guī)定的處理程序中，內(nèi)部牽制機制永遠是一個不可缺少的組成部分”。由此可見，內(nèi)部牽制是以查錯防弊為目的，以職務分離、賬目核對為手段，以錢、賬、物等為主要控制對象。內(nèi)部牽制按照實現(xiàn)機制的不同，可分為分離式牽制和合作式牽制兩類。（一）分離式牽制內(nèi)部牽制制度的建立主要是基于兩個設

30、想，一是兩個人或兩個以上的人或部門無意識地犯同樣錯誤的機會是很小的：二是兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性。按照這樣的設想，通過內(nèi)部牽制機制，實現(xiàn)上下牽制，左右制約，相互監(jiān)督，因而具有查錯防弊這個主要功能。所謂的上下牽制是指，從縱向看，每項經(jīng)濟業(yè)務的處理，至少要經(jīng)過上下級有關人員之手，使下級受上級監(jiān)督，上級受下級制約，促使上下級均能忠于職守，不可疏忽大意。所謂左右制約是指，從橫向看，每項經(jīng)濟業(yè)務的處理，至少要經(jīng)過彼此不相隸屬的兩個部門的處理，使每一部門工作或記錄受另一部門的牽制，不相隸屬的不同部門均有完整的記錄，使之互相制約，自動檢查，防止或減

31、少錯誤和弊端；同時，通過交叉核對也能及時發(fā)現(xiàn)錯誤和弊病。分離式牽制即不相容職務相分離，所謂不相容職務是指那些如果由一個人或一個部門擔任既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。不相容職務主要有授權(quán)批準、業(yè)務經(jīng)辦、會計記錄、財產(chǎn)保管和稽核檢查等職務，包括崗位的不相容、部門的不相容以及流程的不相容。不相容職務分離主要是指授權(quán)審批與業(yè)務經(jīng)辦、業(yè)務經(jīng)辦與會計記錄、會計記錄與財產(chǎn)保管、業(yè)務經(jīng)辦與稽核檢查、授權(quán)批準與監(jiān)督檢查等不能由一個人或一個部門進行。由此可見，內(nèi)部牽制主要是以不相容職務分離為主要流程設計的，是內(nèi)部控制的最初形式和基本形態(tài)。其目的是為了保證財產(chǎn)物資的安全和完整，防止貪污

32、、舞弊。實踐證明，該設想是合理的，內(nèi)部牽制確實起到了防范錯弊的作用。（二）合作式牽制現(xiàn)代內(nèi)部牽制思想還包括合作式牽制。合作式牽制是指，通過合作達到相互制約、相互監(jiān)督的作用。例如，會審機制，企業(yè)面對重大決策、重大業(yè)務事項、重要的人事任免以及大額資金支付時，需要領導層集體決策、集體聯(lián)簽，以防止個人決策的失誤：又如合同會簽制度，即合同在生效前不僅需要主管部門簽字蓋章還需要其他協(xié)作部門共同參與，會審、會簽人員共同參與、共擔責任，以及降低決策、合同的風險。另外，企業(yè)內(nèi)部各部門之間在業(yè)務上的協(xié)助也屬于合作式牽制。例如，2012年財政部頒布要求在2014年1月1日試行的行政事業(yè)單位內(nèi)部控制規(guī)范中規(guī)定，重大事

33、項需集體決策和會簽。評價控制缺陷與報告（一）評價控制缺陷注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構(gòu)成重大缺陷。但是，在計劃和實施審計工作時，不要求注冊會計師尋找單獨或組合起來不構(gòu)成重大缺陷的控制缺陷。企業(yè)內(nèi)部控制可能存在重大缺陷情形有：（1）注冊會計師發(fā)現(xiàn)董事、監(jiān)事和高級管理人員舞弊；（2）企業(yè)更正已經(jīng)公布的財務報表；（3）注冊會計師發(fā)現(xiàn)當期財務報表存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)該錯報；（4）企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效。財務報告內(nèi)部控制缺陷的嚴重程度取決于：控制缺陷導致賬戶余額或列報錯報的可能性；因一個或多個控制

34、缺陷的組合導致潛在錯報的金額大小。控制缺陷的嚴重程度與賬戶余額或列報是否發(fā)生錯報無必然對應關系，而取決于控制缺陷是否可能導致錯報。評價控制缺陷時，注冊會計師需要根據(jù)財務報表審計中確定的重要性水平，支持對財務報告控制缺陷重要性的評價。注冊會計師需要運用職業(yè)判斷，考慮并衡量定量和定性因素，同時要對整個思考判斷過程進行記錄，尤其是詳細記錄關鍵判斷和得出結(jié)論的理由。而且，對于“可能性”和“重大錯報”的判斷，在評價控制缺陷嚴重性的記錄中，注冊會計師需要給予明確的考量和陳述。（二）內(nèi)部控制缺陷的報告1、對內(nèi)報告內(nèi)部控制缺陷報告應當采取書面形式。對于一般缺陷和重要缺陷，通常向企業(yè)經(jīng)理層報告，并視情況考慮是否

35、需要向董事會及其審計委員會、監(jiān)事會報告；對于重大缺陷，應當及時向董事會及其審計委員會、監(jiān)事會和經(jīng)理層報告。如果出現(xiàn)不適合向經(jīng)理層報告的情形，如存在與經(jīng)理層舞弊相關的內(nèi)部控制缺陷，或存在經(jīng)理層凌駕于內(nèi)部控制之上的情形等，應當直接向董事會及其審計委員會、監(jiān)事會報告。企業(yè)應根據(jù)內(nèi)部控制缺陷的影響程度合理確定內(nèi)部控制缺陷報告的時限，一般缺陷、重要缺陷應定期報告，重大缺陷即時報告。2、對外報告我國企業(yè)內(nèi)部控制審計指引第四條規(guī)定：注冊會計師應當對財務報告內(nèi)部控制的有效性發(fā)表審計意見，并對內(nèi)部控制審計過程中注意到的非財務報告內(nèi)部控制的重大缺陷，在內(nèi)部控制審計報告中增加“非財務報告內(nèi)部控制重大缺陷描述段”予以

36、披露。內(nèi)部控制信息披露服務于投資者的權(quán)益保護以及投資者對企業(yè)投資回報的預期。財務報告之所以是投資決策的重要依據(jù)，原因在于它有助于投資者評估企業(yè)未來產(chǎn)生現(xiàn)金流量的金額、時間和不確定性從而服務于投資決策。但是，依據(jù)財務數(shù)據(jù)對企業(yè)前景的預期能否成為現(xiàn)實、差異的波動方向取決于對未來不確定因素的管控。內(nèi)部控制的有效性以及缺陷的嚴重程度決定著它管控未來風險的能力以及預期變?yōu)楝F(xiàn)實的可靠程度。對外披露內(nèi)控缺陷信息是企業(yè)必須承擔的義務。但是，無論從法律賦予管理層的義務層面講，還是受托者對委托者承擔的道義責任層面講，并不是所有的內(nèi)部控制缺陷都必須對外披露。對外披露的缺陷應該是對投資者制定投資決策、修正以往投資決策

37、產(chǎn)生影響的缺陷信息。缺陷的披露實際上起風險提示的作用，只有較大可能偏離目標且危害程度較嚴重的缺陷才有必要對外披露。3、注冊會計師內(nèi)部控制審計意見類型企業(yè)內(nèi)部控制審計意見包括無保留意見、否定意見和無法表示意見三種類型。具體又可分為無保留意見、帶強調(diào)段的無保留意見、否定意見和無法表示意見四種類型。（1）無保留審計意見。發(fā)表無保留審計意見必須同時符合兩個條件：企業(yè)按照內(nèi)部控制有關法律法規(guī)以及企業(yè)內(nèi)部控制制度要求，在所有重大方面建立并實施有效的內(nèi)部控制；注冊會計師按照有關內(nèi)部控制審計準則的要求計劃和實施審計工作，在審計過程未受到限制。（2）帶強調(diào)段的無保留意見。注冊會計師認為財務報告內(nèi)部控制雖不存在重

38、大缺陷，但仍有一項或者多項重大事項需要提請審計報告使用者注意的，應在審計報告中增加強調(diào)事項段予以說明。該段內(nèi)容僅用于提醒內(nèi)部控制審計報告使用者關注，并不影響對財務報告內(nèi)部控制發(fā)表的審計意見。（3）否定意見。注冊會計師認為財務報告內(nèi)部控制存在一項或多項重大缺陷的，除非審計范圍受到限制，否則應對財務報告內(nèi)部控制發(fā)表否定意見。注冊會計師出具否定意見的內(nèi)部控制審計報告中需包括重大缺陷的定義、重大缺陷的性質(zhì)及其對財務報告內(nèi)部控制的影響程度等內(nèi)容。（4）無法表示意見。注冊會計師審計范圍受到限制的，應當解除業(yè)務約定或出具無法表示意見的內(nèi)部控制審計報告，在報告中指明審計范圍受到限制，無法對內(nèi)部控制有效性發(fā)表意

39、見。注冊會計師在已執(zhí)行的有效程序中發(fā)現(xiàn)內(nèi)部控制存在重大缺陷的，應當在“無法表示意見”的審計報告中對已發(fā)現(xiàn)的重大缺陷做出詳細說明。審計工作計劃與實施（一）審計工作計劃企業(yè)內(nèi)部審計指引第六條的規(guī)定：注冊會計師應該恰當?shù)赜媱潈?nèi)部控制審計工作，配備具有專業(yè)勝任能力的項目組，并對助理人員進行適當?shù)亩綄?。企業(yè)內(nèi)部審計指引第七條的規(guī)定：在計劃審計工作時，注冊會計師應當評價下列事項對內(nèi)部控制、財務報表以及審計工作的影響：與企業(yè)相關的風險；相關法律法規(guī)和行業(yè)概況；企業(yè)組織結(jié)構(gòu)和經(jīng)營特點、資本結(jié)構(gòu)等相關事項；企業(yè)內(nèi)部控制最近發(fā)生變化的程度：與企業(yè)溝通過的內(nèi)部控制缺陷；重要性、風險等與確定內(nèi)部控制重大缺陷相關的因素

40、對內(nèi)部控制有效性的初步判斷；可獲取的、與內(nèi)部控制有效性相關的證據(jù)的類型和范圍。注冊會計師應當以風險評估為基礎，選擇擬測試的控制，確定測試所需收集的證據(jù)。內(nèi)部控制的特定領域存在重大缺陷的風險越高，給予該領域的審計關注就越多。注冊會計師應當對企業(yè)內(nèi)部控制自我評價工作進行評估，判斷是否利用內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的工作以及可利用的程度，相應減少本應由注冊會計師執(zhí)行的工作。注冊會計師利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關人員的工作，應當對其專業(yè)勝任能力和客觀性進行充分評價。注冊會計師應當對發(fā)表的審計意見獨立承擔責任，其責任不因為利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他

41、相關人員的工作而減輕。（二）審計工作實施企業(yè)內(nèi)部審計指引第十條規(guī)定：注冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風險，選擇擬測試控制的基本思路。注冊會計師在實施審計工作時，可以將企業(yè)層面控制和業(yè)務層面控制的測試結(jié)合進行?！白陨隙隆钡姆椒ㄊ加谪攧請蟊韺哟危宰詴嫀煂ω攧請蟾鎯?nèi)部控制整體風險的了解開始，然后注冊會計師將關注重點放在企業(yè)層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關的認定。1、識別企業(yè)層面控制通過了解企業(yè)與財務報告相關的整體風險，注冊會計師可以識別出為保持有效的財務報告內(nèi)部控制而必需的企業(yè)層面內(nèi)部控制。注冊會計師測試企業(yè)層面控制，應當把握重

42、要性原則，至少應當關注以下幾方面。（1）與內(nèi)部環(huán)境相關的控制。內(nèi)部環(huán)境，即控制環(huán)境，包括治理職能和管理職能，以及治理層和管理層對內(nèi)部控制及其重要性的態(tài)度、認識和措施。在評價控制環(huán)境的設計時，注冊會計師應當考慮構(gòu)成控制環(huán)境的下列要素，以及這些要素如何被納入企業(yè)業(yè)務流程：對誠信和道德價值觀念的溝通與落實；對勝任能力的重視；治理層的參與程度：管理層的理念和經(jīng)營風格；組織結(jié)構(gòu)；6職權(quán)與責任的分配；人力資源政策與落實。（2）針對董事會、經(jīng)理層凌駕于控制之上的風險而設計的控制。注冊會計師可以根據(jù)對企業(yè)舞弊風險的評估做出判斷，選擇相關的企業(yè)層面控制進行測試，并評價這些控制能否有效應對管理層凌駕于控制之上的風

43、險。注冊會計師應當特別關注由于管理層凌駕于賬戶記錄控制之上，或規(guī)避控制行為而產(chǎn)生的重大錯報風險，并考慮企業(yè)如何糾正不正確的交易處理。（3）企業(yè)的風險評估過程。包括識別與財務報告相關的經(jīng)營風險和其他經(jīng)營管理風險，以及針對這些風險采取的措施。注冊會計師在對企業(yè)整體層面的風險評估過程進行了解和評估時，考慮的主要因素可能包括：企業(yè)是否已建立并溝通其整體目標，并輔以具體策略和業(yè)務流程層面的計劃；是否已建立風險評估過程，包括識別風險，估計風險的重大性，評估風險發(fā)生的可能性以及確定需要采取的應對措施；是否已建立某種機制，識別和應對可能對企業(yè)產(chǎn)生重大且普遍影響的變化；會計部門是否建立了某種流程，以識別會計準則

44、的重大變化；業(yè)務操作發(fā)生變化并影響交易記錄的流程時，是否存在溝通渠道以通知會計部門；風險管理部門是否建立了某種流程，以識別經(jīng)營環(huán)境，包括監(jiān)管環(huán)境發(fā)生的重大變化。（4）對內(nèi)部信息傳遞和財務報告流程的控制。注冊會計師應當從下列方面了解與財務報告相關的信息系統(tǒng)：對財務報表具有重大影響的各類交易；在信息技術(shù)和人工系統(tǒng)中，交易生成、記錄、處理和報告的程序；與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目；信息系統(tǒng)如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況；企業(yè)編制財務報告的過程，包括做出的重大會計估計和披露。財務報告流程的控制可以確保管理層按照適當?shù)臅嫓蕜t編

45、制合理、可靠的財務報告并對外報告。（5）對控制有效性的內(nèi)部監(jiān)督和自我評價。企業(yè)對控制有效性的內(nèi)部監(jiān)督和自我評價可以在企業(yè)層面上實施，也可以在業(yè)務流程層面上實施，包括對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執(zhí)行人員的監(jiān)控活動，以及將信息系統(tǒng)記錄數(shù)據(jù)與實物資產(chǎn)進行核對等。2、識別業(yè)務層面控制注冊會計師測試業(yè)務層面控制，應當把握重要性原則，結(jié)合企業(yè)實際內(nèi)部控制各項應用指引的要求和企業(yè)層面控制的測試情況，重點對生產(chǎn)經(jīng)營活動中的重要業(yè)務與事項的控制進行測試。注冊會計師應首先確定企業(yè)的重要業(yè)務流程和影響重大賬戶的重要交易類別，了解重要交易從發(fā)生到記入賬目的整個流程，與重大賬戶及其相關認定

46、相結(jié)合，在重要交易整個流程中確定錯報可能會在什么環(huán)節(jié)發(fā)生，即確定相應的控制目標；然后根據(jù)確定的審計測試策略、計劃對內(nèi)部控制進行進一步了解和評估，對重要交易流程中設計的防止或發(fā)現(xiàn)并糾正可能錯報的相關控制加以識別；再通過執(zhí)行穿行測試，來證實對重要交易流程和相關控制的了解，并確定相關控制是否得到執(zhí)行；最后對相關控制的設計和是否得到執(zhí)行進行評價，以確定進一步的審計程序。內(nèi)部監(jiān)督比較內(nèi)部控制制度的有效實施，依賴于有效的內(nèi)部監(jiān)督系統(tǒng)。內(nèi)部監(jiān)督作為內(nèi)部控制的基本要素之一，對于內(nèi)部控制的有效運行，以及內(nèi)部控制的不斷完善起著重要的作用。內(nèi)部監(jiān)督是對企業(yè)內(nèi)部控制整體運行情況的跟蹤、監(jiān)測和調(diào)節(jié)。內(nèi)部監(jiān)督是在盡可能不

47、影響企業(yè)正常經(jīng)營管理活動的情況下，對內(nèi)部控制實施情況進行評價，及時糾正企業(yè)發(fā)生的錯誤和舞弊，將內(nèi)部控制制度的缺陷和改進意見反饋給管理者，對發(fā)現(xiàn)的內(nèi)部控制缺陷及時予以彌補。COSO的企業(yè)內(nèi)部控制整體框架和企業(yè)風險管理框架中都規(guī)定監(jiān)督為其構(gòu)成要素。COSO報告與我國企業(yè)內(nèi)部控制基本規(guī)范在內(nèi)部監(jiān)督的定義、內(nèi)容與組織機構(gòu)方面進行了比較。我國企業(yè)內(nèi)部控制基本規(guī)范指出內(nèi)部監(jiān)督是企業(yè)對內(nèi)部控制建立與實施情況進行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應當及時加以改進，內(nèi)部監(jiān)督的主要內(nèi)容包括日常監(jiān)督和專項監(jiān)督、缺陷報告、檔案記錄與驗證，內(nèi)部監(jiān)督的主要進行機構(gòu)為內(nèi)部審計機構(gòu)（或經(jīng)授權(quán)的其他監(jiān)督機構(gòu)）。

48、內(nèi)部監(jiān)督的內(nèi)容（一）內(nèi)部監(jiān)督及其職能企業(yè)內(nèi)部監(jiān)督一般應由內(nèi)部審計承擔。內(nèi)部審計作為企業(yè)內(nèi)部控制的一部分，能夠協(xié)調(diào)管理層更有效地履行其責任，提高企業(yè)的運作效率并增強其活動的附加值。內(nèi)部審計是由被審計單位內(nèi)部的機構(gòu)或人員，對其內(nèi)部控制的有效性、財務信息的真實完整性以及經(jīng)營活動的效率和效果等開展的一種評價活動，是與獨立審計、政府審計并列的三種審計類型之一。它的目的是發(fā)現(xiàn)并預防錯誤和舞弊，提高企業(yè)的運作效率，為企業(yè)增加價值。它采取系統(tǒng)化、規(guī)范化的方法對企業(yè)的內(nèi)部控制、風險管理進行檢查和評價，并提供建議等咨詢服務，來提高他們的效率，從而幫助實現(xiàn)企業(yè)的目標。企業(yè)內(nèi)部審計的職能如下。（1）監(jiān)督職能。監(jiān)督職能

49、是內(nèi)部審計的基本職能。（2）控制職能。內(nèi)部審計機構(gòu)是集團的一個重要職能部門，它獨立于其他各部門和其他控制系統(tǒng)，是對其他控制的一種再控制，與其他控制形式相比，更具有獨立性、權(quán)威性和全面性。內(nèi)部審計又是內(nèi)部控制的特殊構(gòu)成要素，是對內(nèi)部控制實施的再控制。（3）評價職能。通過內(nèi)部審計可以熟悉子公司的生產(chǎn)經(jīng)營情況和財務狀況，并且由于內(nèi)部審計部門獨立于子公司，更能客觀、公正地評價子公司的管理情況和運行業(yè)績。（4）服務職能。內(nèi)部審計可以通過事前、事中和事后控制為管理當局的決策、計劃、控制提供依據(jù)，這些都充分體現(xiàn)了內(nèi)部審計的服務職能。企業(yè)制定內(nèi)部審計規(guī)范，明確審計的范圍、責任和計劃，以此為基礎合理配置審計人員

50、，并要求他們遵守企業(yè)職業(yè)道德規(guī)范及內(nèi)部審計規(guī)范；內(nèi)部審計部門應具有適當?shù)牡匚徊⒂凶銐虻馁Y源履行其職責；內(nèi)部審計部門根據(jù)授權(quán)可以參加有關經(jīng)營及財務管理的決策會議，對管理中存在的薄弱環(huán)節(jié)、違反國家法律法規(guī)的行為、內(nèi)部控制管理漏洞，向管理層及時提出調(diào)整意見。（二）內(nèi)部監(jiān)督的程序我國企業(yè)內(nèi)部控制基本規(guī)范第四十五條規(guī)定：企業(yè)應當制定內(nèi)部控制缺陷認定標準，對監(jiān)督過程中發(fā)現(xiàn)的內(nèi)部控制缺陷，應當分析缺陷的性質(zhì)和產(chǎn)生的原因，提出整改方案，采取適當?shù)男问郊皶r向董事會、監(jiān)事會或者經(jīng)理層報告。因此，企業(yè)應強化內(nèi)部監(jiān)督，保證內(nèi)部控制持續(xù)有效。1、制定內(nèi)部控制缺陷標準（1）內(nèi)部控制缺陷的相關概念內(nèi)部控制缺陷，是指內(nèi)部控制

51、的設計存在漏洞，不能有效防范錯誤與舞弊，或者內(nèi)部控制的運行存在弱點和偏差，不能及時發(fā)現(xiàn)并糾正錯誤與舞弊的情形。內(nèi)部控制的缺陷包括設計缺陷和運行缺陷。設計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或現(xiàn)存控制設計不適當，即使正常運行也難以實現(xiàn)控制目標，包括內(nèi)部控制不健全、內(nèi)部控制制度不適當。例如，“未建立定期的現(xiàn)金盤點程序”即屬于控制設計問題。運行缺陷是指現(xiàn)存設計完好的控制沒有按設計意圖運行，或執(zhí)行者沒有獲得必要授權(quán)或缺乏勝任能力以有效地實施控制。比較常見的例子就是企業(yè)內(nèi)部控制制度設計健全，但工作人員我行我素，并不按照制度執(zhí)行。例如，“物資采購申請金額已超過其采購權(quán)限，卻未向上級公司申請安排大宗物品

52、采購”，這是存在權(quán)限管理規(guī)定，卻未在實際操作中按照執(zhí)行。（2）內(nèi)部控制缺陷的分類企業(yè)根據(jù)內(nèi)部控制缺陷影響整體控制目標實現(xiàn)的嚴重程度，將內(nèi)部控制缺陷分為重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一個或多個一般缺陷的組合，可能嚴重影響內(nèi)部整體控制的有效性，進而導致企業(yè)無法及時防范或發(fā)現(xiàn)嚴重偏離整體控制目標的情形。主要考慮如下因素：影響整體控制目標實現(xiàn)的多個一般缺陷的組合是否構(gòu)成重大缺陷；針對同一細化控制目標所采取的不同控制活動之間的相互作用；針對同一細化控制目標是否存在其他補償性控制活動。例如，有關控制漏洞為企業(yè)帶來重大的損失或造成企業(yè)財務報表重大的錯報、漏報。又如，憑證連續(xù)編號可以保證所有業(yè)務活

53、動都得到記錄和反映，如果憑證沒有連續(xù)編號的話，為了避免遺漏重大的業(yè)務事項，采用嚴格的憑證之間、賬證之間、賬賬之間的核對就是保證業(yè)務記錄完整性的補償性控制。重要缺陷是指一個或多個一般缺陷的組合，其嚴重程度低于重大缺陷，但導致企業(yè)無法及時防范或發(fā)現(xiàn)偏離整體控制目標的嚴重程度依然重大，需引起企業(yè)管理層關注。例如，有關缺陷造成的負面影響在部分區(qū)域流傳，為公司聲譽帶來損害。一般缺陷是指以上兩種缺陷之外的缺陷。（三）內(nèi)部監(jiān)督的方法內(nèi)部監(jiān)督的方法有兩種，包括日常監(jiān)督和專項監(jiān)督。內(nèi)部控制體系日常監(jiān)督的有效性程度越高，對專項監(jiān)督的需要程度就越低。管理層為了合理確認內(nèi)部控制體系的有效性所必須進行的個別評估的頻率取

54、決于管理層的判斷。通常情況下，日常監(jiān)督和專項監(jiān)督的合并使用在某種程度上將會保證內(nèi)部控制體系隨著時間的變化而保持有效性。1、日常監(jiān)督日常監(jiān)督是指企業(yè)對建立和實施內(nèi)部控制的整體情況所進行的連續(xù)的、全面的、系統(tǒng)的、動態(tài)的監(jiān)督。日常監(jiān)督是在及時的基礎上執(zhí)行的，能對環(huán)境的改變做出動態(tài)的反應，它存在于單位的日常管理活動之中，能及時地發(fā)現(xiàn)問題。日常監(jiān)督的范圍和頻率越大，其有效性就越高，則企業(yè)所需的日常監(jiān)督就越少。日常監(jiān)督活動的重要環(huán)節(jié)主要包括以下幾方面。（1）獲得內(nèi)部控制執(zhí)行的證據(jù)。獲得內(nèi)部控制執(zhí)行的證據(jù)是指企業(yè)員工在實施日常生產(chǎn)經(jīng)營生活時，取得必要的、相關的證據(jù)證明內(nèi)部控制系統(tǒng)發(fā)揮功能的程度。（2）外部反

55、映對內(nèi)部信息的印證程度。即與外界各方的溝通能夠印證內(nèi)部生成的信息或揭示問題。（3）定期核對財務系統(tǒng)數(shù)據(jù)與實物資產(chǎn)。也就是說，將信息系統(tǒng)所記錄的數(shù)據(jù)與實物資產(chǎn)相比較，做到賬實相符。（4）內(nèi)外部審計定期提供建議。審計人員評估內(nèi)部控制的設計以及測試其有效性，識別潛在的缺陷，并向管理層建議采取替代方案，為決策提供有用的信息。（5）管理層對內(nèi)部控制執(zhí)行的監(jiān)督。管理層可以通過以下渠道進行監(jiān)督：審計委員會接收、保留及處理各種投訴及舉報，并保證其保密性；管理層通過培訓、會議了解內(nèi)部控制的執(zhí)行情況；管理層認真審核員工提出的各項合理建議，并不斷完善建議機制。（6）定期考核員工。內(nèi)部監(jiān)督部門和人力資源管理部門根據(jù)公

56、司管理層的授權(quán)定期要求企業(yè)員工明確說明他們是否理解并遵守員工行為準則，是否遵守員工職業(yè)道德規(guī)范，并匯報控制活動的開展情況等。（7）內(nèi)部審計活動的有效性。適當?shù)慕M織結(jié)構(gòu)以及監(jiān)督活動可促進內(nèi)部控制職能的執(zhí)行，識別內(nèi)部控制的缺陷。2、專項監(jiān)督專項監(jiān)督又稱個別評估，是指企業(yè)對內(nèi)部控制建立與實施的某一方面或者某些方面的情況進行的不定期、有針對性的監(jiān)督檢查。專項監(jiān)督的范圍和頻率應根據(jù)風險評估結(jié)果以及日常監(jiān)督的有效性等予以確定。一般來說，風險水平較高并且重要的控制，對其進行專項監(jiān)督的頻率應較高。通常，專項監(jiān)督采用自我評估形式，即負責某一單位或職責的人，員對受其控制的活動的有效性進行評價。專項監(jiān)督主要關注以下

57、兩個方面。（1）高風險且重要的項目。審計部門依據(jù)持續(xù)監(jiān)督的結(jié)果，對風險較高且重要的項目要進行個別評估?？紤]到成本效益原則，對風險很高但不重要的項目或很重要但是風險很小的項目可以減少個別評估的次數(shù)。應該將高風險且重要的項目作為專項監(jiān)督對象。（2）內(nèi)部環(huán)境變化。當內(nèi)控環(huán)境發(fā)生變化時，要進行專項監(jiān)督，以確定內(nèi)部控制是否還能適應新的內(nèi)控環(huán)境。日常監(jiān)督和專項監(jiān)督應當有機結(jié)合。前者是后者的基礎，后者是前者的有效補充。日常監(jiān)督的程度越高，其有效性也越高，則企業(yè)所需的專項監(jiān)督次數(shù)就越少。如果發(fā)現(xiàn)專項監(jiān)督需要經(jīng)常性地進行，企業(yè)就有必要將其納入日常監(jiān)督中，進行日常持續(xù)的監(jiān)控。通常情況下，兩種監(jiān)督有效組合能確保企業(yè)

58、內(nèi)部控制在一定時期內(nèi)保持有效性。內(nèi)部控制缺陷的認定1、內(nèi)部控制缺陷的分類對于內(nèi)部控制缺陷的分類，在第一節(jié)“內(nèi)部監(jiān)督”中已做相關闡述，這里不再贅述。需要強調(diào)的是，企業(yè)對內(nèi)部控制缺陷的認定，應當以日常監(jiān)督和專項監(jiān)督為基礎，結(jié)合年度內(nèi)部控制評價，由內(nèi)部控制評價部門或機構(gòu)進行綜合分析后提出認定意見，按照規(guī)定的權(quán)限和程序進行審核后予以最終認定。對于按嚴重程度分類的內(nèi)部控制，內(nèi)部控制評價部門或機構(gòu)和管理層應當合理確定相關目標發(fā)生偏差的可容忍水平，從而對嚴重偏離的情形予以確定。2、內(nèi)部控制認定程序與整改如果評價工作人員在實施測試中發(fā)現(xiàn)控制差異，應分析差異是否屬于控制缺陷并評價其嚴重程度。如果審查了解控制差異

59、的起因和結(jié)果后，斷定控制目標未能達到。同時，評價工作組人員不能通過增加其他測試程序證明已發(fā)現(xiàn)的差異不能代表所有內(nèi)控的情況，將形成缺陷的結(jié)論。管理層應評價其嚴重程度并在其年度自我評價報告中披露，同時，有責任對有關控制缺陷進行整改，做出補救措施。由于控制缺陷可以分為設計缺陷和執(zhí)行缺陷，因此，整改方案應根據(jù)缺陷的不同類別制定不同的整改方法。對于需整改的內(nèi)控設計缺陷，企業(yè)需在已有的內(nèi)控管理制度體系中補充相關規(guī)定或修改原有規(guī)定，按照企業(yè)既定的管理制度報批程序?qū)ψ龀龅难a充或修改進行審批。對于需整改的內(nèi)控執(zhí)行缺陷，企業(yè)需加強內(nèi)控的執(zhí)行力度，要求控制執(zhí)行人嚴格按照相關規(guī)定執(zhí)行。對于重大缺陷和重要缺陷的整改方案

60、，應向董事會（審計委員會）、監(jiān)事會或經(jīng)理層報告，并由董事會、監(jiān)事會或經(jīng)理層審定。如果出現(xiàn)不適合向經(jīng)理層報告的情形，例如，存在與管理層舞弊相關的內(nèi)部控制缺陷，內(nèi)部控制評價組應當直接向董事會（審計委員會）、監(jiān)事會報告。重要缺陷并不影響企業(yè)內(nèi)部控制的整體有效性，但是應當引起董事會和管理層的重視。對于一般缺陷，可以向企業(yè)管理層報告，并視情況考慮是否需要向董事會（審計委員會）、監(jiān)事會報告。內(nèi)部控制評價工作底稿與報告（一）內(nèi)部控制評價工作底稿根據(jù)企業(yè)內(nèi)部控制評價指引第十一條的要求，內(nèi)部控制評價工作應當形成工作底稿，詳細記錄企業(yè)執(zhí)行評價工作的內(nèi)容，包括評價要素、主要風險點、采取的控制措施、有關證據(jù)資料以及認