内控评价报告白皮书

A. 内部控制评价的报告

内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。
企业因其外部环境和内部条件的变化，其内部控制系统不可能是固定的、一成不变的，而是一个不断更新和自我完善的动态体系，因此对内部控制需要经常展开评价，在实际工作可以采用定期与不定期相结合的方式。
对外报告一般采用定期的方式，即企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制报告。年度内部控制评价报告应当以12月31日为基准日。值得说明的是，如果企业在内部控制评价报告年度内发生了特殊的事项且具有重要性，或因为具有了某种特殊原因（如企业因目标变化或提升），企业需要针对这种特殊事项或原因及时编制内部控制评价报告并对外发布。这种类型的内部控制评价报告属于非定期的内部控制报告。
内部报告一般采用不定期的方式，即企业可以持续地开展内部控制的监督与评价，并根据结果的重要性随时向董事会（审计委员会）或经理层报送评价报告。从广义上讲，企业针对发现的重大缺陷等向董事会（审计委员会）或经理层报送的内部报告（内部控制缺陷报告）也属于非定期的报告。
企业应尽量按照统一的格式编制内部控制评价报告，以满足外部信息使用者对内控信息可比的要求。
根据《评价指引》第二十一条和二十二条规定，内部控制评价对外报告一般包括以下内容。
1．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
2．内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。
3．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。
4．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。
5．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。
6．内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。
8．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。

B. 内部控制评价报告的内容有哪些

内部控制评价报告至少应当包括下列内容：
（1）组织实施内部控制评价的总体情况；
（2）内部控制责任主体的声明；
（3）内部控制评价的范围和内容；
（4）内部控制评价的标准和依据；
（5）内部控制评价的程序和方法；
（6）内部控制重大缺陷及其认定情况；
（7）内部控制重大缺陷的整改措施及责任追究情况；
（8）内部控制有效性的结论；
存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。

C. 2012年内控建设白皮书

关于印发企业内部控制规范体系实施中相关问题解释第1号的通知（财会〔2012〕3号）

中共中央直属机关事务管理局，铁道部、国务院机关事务管理局，解放军总后勤部、武警部队后勤部，各省、自治区、直辖市、计划单列市财政厅（局），新疆生产建设兵团财务局，各中央管理企业、上市公司：
《企业内部控制基本规范》（财会〔2008〕7号）及其配套指引已于2011年1月1日起在境内外同时上市的公司和部分在境内主板上市的公司实施和试点。具体执行过程中，企业反映了一些问题，我部会同证监会、审计署、银监会、保监会对这些问题进行了研究，并征求了有关上市公司、咨询公司等单位的意见，在此基础上制定了《企业内部控制规范体系实施中相关问题解释第1号》。经会签证监会、审计署、银监会、保监会，现予印发。
附件：企业内部控制规范体系实施中相关问题解释第1号
财政部
二〇一二年二月二十三日
附件：
企业内部控制规范体系实施中相关问题解释第1号
根据财政部等五部委的要求，《企业内部控制基本规范》（财会〔2008〕7号）及其配套指引已于2011年1月1日起在境内外同时上市的69家公司实施。同时，财政部、证监会又选择了200多家在境内主板上市的公司进行试点。实施一年总体进展顺利，但也存在一定问题。为推动《企业内部控制基本规范》及其配套指引的顺利实施，现对有关问题解释如下：
1.如何把握企业内部控制规范体系的强制性与指导性的关系？
答：在实施试点中，一些企业反映，《企业内部控制基本规范》及其配套指引的规定是否需要逐条执行。
《企业内部控制基本规范》是内部控制建设与实施应该遵循的基本原则和总体要求，具有强制性，纳入实施范围的企业应当遵照执行。《企业内部控制配套指引》（财会〔2010〕11号，包括18个应用指引、1个评价指引和1个审计指引）是对《企业内部控制基本规范》相关规定的进一步补充和说明，具有指导性和示范性，纳入实施范围的企业可以结合所在行业要求和企业自身特点，参照配套指引的规定开展内部控制建设与实施工作。
2.已经完全按照境外监管机构要求建设与实施内部控制的境内外同时上市的公司，是否需要执行我国的企业内部控制规范体系？
答：目前，许多国家和地区对公众公司内部控制都有相关的规定和要求。我国企业内部控制规范体系在充分借鉴国际上先进经验和做法的同时，更多地适应了我国国情，尤其是充分考虑了我国目前法律法规体系、公司治理结构、企业管理体制、风险管控实务等具体情况，提出了内部控制的目标、原则、要素等，且不局限于财务报告内部控制，更多突出全面内部控制的要求。因此，境内外同时上市的公司应当在满足境外监管机构要求的基础上，对照我国企业内部控制规范体系，特别是应当围绕《企业内部控制基本规范》提出的内部控制五目标，对相关控制措施进行适当调整或补充完善。
3.企业按照企业内部控制规范体系建设与实施内部控制，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的有关要求？
答：《企业内部控制基本规范》及其配套指引是对不同行业、各类企业提出的一般性要求，具有普适性。行业主管或监管部门对所辖企业的内部控制管理规定，是不同行业内部控制的特殊要求，也是《企业内部控制基本规范》的重要补充。企业应当按照《企业内部控制基本规范》及其配套指引规定和行业管理、市场监管的要求，建设与实施内部控制。
4.如何协调好内部控制与风险管理的关系？
答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。
在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。
5.对于《企业内部控制配套指引》尚未规范的领域，应如何处理？
答：由于企业所面临的客观环境和自身的经营管理活动比较复杂，目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中，对于《企业内部控制配套指引》尚未规范的业务领域，企业应当遵循《企业内部控制基本规范》的原则和要求，按照内部控制建设与实施的基本原理和一般方法，从企业经营目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定和执行相应控制措施。
6.如何权衡内部控制的实施成本与预期效益？
答：企业按照《企业内部控制基本规范》及其配套指引的要求建设与实施内部控制，必然需要支付一定的成本，可能会发生内部控制制度和流程的设计与实施费用、聘请专业机构提供咨询服务费用、建立融入内部控制要求的信息系统费用、聘请会计师事务所开展内部控制审计费用，等等。建设与实施内部控制应当从提高企业长期效益出发，从促进企业可持续发展出发，将内部控制作为一项常规性工作，贯穿于企业管理之中，加大投入。同时，应当按照重要性原则，关注重要业务事项和高风险领域，抓住关键风险控制点。集团性企业可以采取分类试点、逐步推广的方式，选择下属不同类型的企业试点，形成范本，减少重复建设。
聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节，是检验内部控制有效性的重要手段和有力保证。内部控制审计费用是企业实施内部控制规范体系应当承担的成本，企业应安排相应经费确保审计工作的及时、有效开展。内部控制审计是一项区别于财务报告审计的独立业务，企业应就该项业务与会计师事务所签订单独的业务约定书。同时，企业也应权衡审计成本与审计效益，在业务约定书中明确有关费用标准，并对会计师事务所审计资源的投入和审计质量提出明确要求。
7.如何协调好内部控制与其他管理体系的关系？
答：内部控制贯穿于整个企业管理，与其他管理体系相辅相成、密不可分，是企业管理的重要组成部分。企业现有管理体系的设计、运行以及审核认证需要遵循已经发布的国家标准或行业标准。这些标准与企业内部控制规范体系的原则和要求并不矛盾。在实际工作中，个别企业的内部控制体系建设与管理体系运行发生冲突，原因可能是企业采用的方式方法出现了偏差，如简单照搬内部控制应用指引的规定，没有考虑企业的实际情况，为控制而控制，导致控制设计不合理，出现控制过度或控制冗余；也可能是企业经营管理部门对内部控制的重要性认识不足，不愿意受到更多的牵制和监督，从而以影响经营效率和目标为借口，拒绝必要的内部控制；等等。对此，企业应当立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内部控制的要求融入各项管理体系中，形成内部控制的长效机制，使内部控制真正为经营管理服务；应当从总体目标出发，通过培训教育提高企业经营管理人员对内部控制的理解和认识，将内部控制的要求纳入绩效考核体系以加强执行；可以利用信息技术固化业务流程，提高业务处理效率和信息共享水平，从而尽可能减少内部控制与其他经营管理体系的冲突。
8.企业如何确定内部控制缺陷的认定标准？
答：查找并纠正企业内部控制设计和运行中的缺陷，是开展企业内部控制评价的一项重要工作，是不断完善企业内部控制的重要手段。由于企业所处行业、经营规模、发展阶段、风险偏好等存在差异，《企业内部控制基本规范》及其配套指引没有对内部控制缺陷的认定标准进行统一规定。企业可以根据《企业内部基本规范》及其配套指引，结合企业规模、行业特征、风险水平等因素，研究确定适合本企业的内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业确定的内部控制缺陷标准应当从定性和定量的角度综合考虑，并保持相对稳定。通过不断的实践，总结经验，形成一套行之有效的内部控制缺陷认定方法。
企业在开展内部控制监督检查中，对发现的内部控制缺陷，应当及时分析缺陷性质和产生原因，并提出整改方案，采取适当形式向董事会、监事会或者管理层报告。对于重大缺陷，企业应当在内部控制评价报告中进行披露。
财政部将会同证监会、审计署、银监会、保监会等有关部门，根据首次执行和试点情况，分行业、分类型总结企业的内部控制缺陷认定标准，供参考。
9.实施《企业内部控制基本规范》及其配套指引的企业，是否需要设置专门的内部控制机构？
答：根据《企业内部控制基本规范》的规定，企业董事会负责内部控制的建立健全和有效实施。为便于董事会履行好企业内部控制规范体系的设计、建立、运行与改进方面的职责，董事会应当指定专门委员会负责指导内部控制建设与实施工作。一般情况下企业应当成立专门机构负责组织协调内部控制的建立实施及日常工作。
对于少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门的内部控制管理机构的，可暂将内部控制管理职能划归现有机构。随着企业内部控制建设的持续深入和相关条件的不断成熟，企业应考虑成立专门机构，保证有足够的资源支持和协调内部控制工作的开展，确保内部控制工作的相对独立性。
10.如何编制和披露企业内部控制评价报告？
企业内部控制评价是企业董事会对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。开展内部控制评价，可以及时发现和纠正企业内部控制建设与实施中存在的问题，并持续自我完善。企业可以独立开展内部控制评价工作，也可以委托不承担本企业内部控制审计的中介机构协助开展内部控制评价工作。
根据《企业内部控制基本规范》、《企业内部控制评价指引》的要求，我们制定了企业内部控制评价报告的格式，供企业编制评价报告时参考，企业也可以根据实际情况对具体的报告方式作适当调整，但有关内容原则上应体现在年度报告中。

D. 内控自我评估报告 内控评价报告是一个概念吗

是一个概念。

E. 求大大告知：1、内部控制评价报告、内部控制鉴证报告、内部控制审计报告的区别

1.被审计单位管理层就内部控制的有效性提供书面认定，其作用类似于财务报表，它用于明确被审计单位管理层建立健全内部控制并保质期有效地责任（对） \r\n \r\n2.内部控制作为企业各项管理的基础，是衡量现代企业管理水平的重要标志，也是企业持续健康发展的可靠保证（对） \r\n \r\n3.内部控制时一项复杂的系统工程，不能靠人治，而要靠制度、靠方法（对） \r\n \r\n4.注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试（对 ) \r\n \r\n5.建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任，按照《企业内部控制审计指引》的要求，在实施审计工具的基础上对内部控制的有效性发表审计意见，是企业管理层的责任（错） \r\n \r\n6.董事会的责任：建立健全和有效实施内部控制，评价内部控制的有效性（错） \r\n \r\n7.注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关的工作而减轻（对？错？） \r\n \r\n8.经济组织规模越大，对内部控制需求越强烈，这是必然的；在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况需要了解（对） \r\n \r\n9.你饿不控制审计时接受企业委托的会计师事务所，根据《企业内部空盒子基本规范》及其配套的《企业内部控制审计指引》、《中国注册会计师鉴证业务基本准则》和相关执业准则，对企业与财务报告相关的内部控制的有效性进行审计并出具审计报告的审计业务（对？错？） \r\n \r\n10.注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多（对) \r\n \r\n2011-10-12 22:54 补充问题 \r\n第9小题，笔下有误，应该是： \r\n内部控制审计是接受企业委托的会计师事务所，根据《企业内部空盒子基本规范》及其配套的《企业内部控制审计指引》、《中国注册会计师鉴证业务基本准则》和相关执业准则，对企业与财务报告相关的内部控制的有效性进行审计并出具审计报告的审计业务（错）

F. 内部控制报告和内部控制自我评价报告有什么区别

一，目标指标的完成情况 二，存在的问题 三，拟采取的措施及完成时间