證券2014年內部控制評價

『壹』 內部控制評價有哪些內容

關於內部控制評價內容，從范圍看，一般認為企業內部控制評價應根據資源情況和組織需求來決定，既可以是全面內部控制評價，如對整個內部控制系統進行評價，然後把信息反饋給最高管理當局；也可以是局部評價，如對某個部門或某個控制進行評價，然後把發現的不足或某一方面控制精確度的信息反饋給某些管理人員。全面內部控制評價一般每年進行一次，而局部內部控制評價視需要而定。從內容看，大多從內部控制要素角度，要求內部控制評價內容至少包括控制環境、風險評估、控制活動、信息與溝通和內部監督五要素或內部環境、目標設定、事件識別、風險評估、控制活動、信息與溝通和監控內部監督八要素。當然，還有把內部控制評價分為內部控制設計和執行，自我評估和獨立評估，全面內部控制和業務控制，過程評價和結果評價兩個層面的。還有把內部控制評價的內容分為公司治理層面、業務流程層面、信息科技層面，治理結構層面、財務控制層面和業務控制層面等三個層面。從標准看，有些內部控制規范和理論認為，內部控制評價無論是總體還時局部，無論是設計還是執行，都應當以內部控制的健全性、恰當性（或者稱為合理性、科學性）和有效性為標准。有些規范和理論認為，內部控制評價，包括對內部控制設計有效性和運行有效性的評價。還有人認為，內部控制評價要對內部控制系統設計的有效性、內部控制運行的有效性和內部控制系統設計及運行的經濟性進行評價。
人們習慣於把內部控制評價的內容分為整體層面控制評價和業務層面控制評價。整體層面控制評價，就是對整體層面控制有效性的評價過程，是一個流程。這個流程包括：確定整體層面控制是否創建了一個使業務層面控制有效執行的總體環境；識別整體層面控制的弱點，這些弱點會影響業務層面控制測試的設計。整體層面控制評價不是內部控制總體評價，內部控制總體評價，是對各種控制過程與因素的綜合考慮，從而得出一個總體的評論。整體層面控制的測試是針對具體的控制目標，但評價時應將控製作為一個整體，而不是單獨的控制目標。如一個控制領域的弱點，可通過其他領域有效控制的設計和執行予以彌補。控制需有多可靠才能被認為是有效的？整體層面控制必須達到最高水平的可靠性才能有效嗎？在決策時，應考慮以下事項：一是整體考慮。最終，內部控制有效性應以系統整體而不是單個組成要素來評估。在設計系統時，機構就應進行權衡，是改進系統中某些要素抑或是通過其他更有效的控制進行彌補。二是合理保證和重要性。內部控制僅能提供合理的而不是絕對的保證。內部控制有效性的評價應基於財務報表的整體作出判斷，因此應從財務報表的整體來考慮，內部控制未能防止或發現的錯報是否重要。用於評價整體層面控制的的流程包括：使用內部控制可靠性模型，為每一個控制目標的有效性分級；將單個控制目標融入組織整體層級控制之中。究竟如何對控制有效性進行最終評價？加拿大特許會計師協會對此進行了研究，一個特別的結論值得注意。證據不僅僅是事實的集合，而且是審計人員所了解的每一件事的整合。證據不是以整齊的先後順序出現的——它是非線性的、零散的，必須進行整理、歸類和綜合。一些證據是具體的事實，可以客觀地證實，但大多是所見、所聽或所感的印象，它包括組織中人們的態度和意圖、組織文化和道德論調。在有意或無意的過程中，人們會考慮所有這些因素——當形成結論時，把它們作為證據。業務層面控制評價，就是對業務層面控制有效性的評價過程，是內部控制評價的核心內容。
中天恆3C框架一直主張內部控制評價應當包括會計控制、業務控制和管理控制三個方面，會計控制評價是基礎，業務控制評價是核心，管理控制評價是努力的方向。內部控制評價肯定包括設計和執行兩個方面，但關鍵還是執行。
在信息系統環境下與手工處理環境下的內部控制評價內容肯定不同。通常，計算機信息系統內部控制可分為一般控制和應用控制。一般控制適用於較寬范圍的風險，這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險（如工資、應收賬款和采購應用系統等），其風險來源於信息系統中應用系統本身的漏洞，直接威脅到數據的安全、准確。一般控制評價應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求，是否有利於企業內部控制目標的實現，並以此評價信息系統的安全性、可靠性和合理性。應用控制評價應當結合企業業務流程特點，著重考慮信息系統中與業務流程相關的控制點，並以此評價相關應用系統操作數據的真實性、准確性和合規性。
關於內部控制評價的內容，理論上可繼續探索，但實際執行中，還是要統一到《企業內部控制評價指引》的要求上來。我國企業內部控制評價的內容應以《企業內部控制基本規范》及配套指引為起點，以企業設計的《企業內部控制手冊》為依據，圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督等要素，確定內部控制評價的具體內容。當然要對內部控制設計與運行情況進行全面評價。企業內部控制評價具體內容應由企業經營業務調整、環境變化、業務發展狀態和實際風險水平等自行確定，不能固定化和模式化。
這里需要特別強調的，內部控制評價內容不能僅僅限於對五要素的總體評價，而要對企業財務、業務、管理控制進行具體評價。企業的業務千差萬別，規模大小也不一樣，但企業內部控制評價具體內容應至少包括已經頒布的企業內部控制配套指引主要內容。

『貳』 證券公司內部控制指引的監督、評價

第一百三十二條 證券公司業務部門和分支機構的負責人負責對其業務范圍內的具體作業程序和風險控制措施進行自我檢查和評價，並接受證券公司上級管理部門和監督檢查部門的業務檢查和指導。
直接從事業務經營活動的業務部門和分支機構的相關人員有義務向證券公司報告內部控制的缺陷並及時加以糾正；相關人員應對違反職責范圍內的內部控制導致的風險和損失承擔首要責任。
第一百三十三條 證券公司應設立監督檢查部門或崗位，獨立履行合規檢查、財務稽核、業務稽核、風險控制等監督檢查職能；負責提出內部控制缺陷的改進建議並敦促有關責任單位及時改進。
監督檢查部門對證券公司董事會負責，並應同時向經理人員和監事會報告證券公司內部控制的建設與執行情況。
第一百三十四條 證券公司應有高級管理人員專門負責證券公司內部控制的監督、檢查與評價工作。該高級管理人員和監督檢查部門負責人可列席證券公司任何會議。
證券公司負責監督檢查部門的高級管理人員不得兼管業務部門。
第一百三十五條 證券公司應當為監督檢查部門配備足夠的具有法律、財會、計算機以及相關業務技能、經驗的專業人員，確保監督檢查部門的人員具有專業勝任能力，並為監督檢查部門及人員履行職責提供必要的條件。
證券公司監督檢查部門人員名單應向證券公司注冊地的中國證監會派出機構備案。
第一百三十六條 證券公司監督檢查部門應加強對內部控制執行情況的現場檢查、非現場檢查和常規稽核、非常規稽核，並將檢查結果報證券公司注冊地中國證監會派出機構。
證券公司監督檢查部門應當對監督檢查不力、發現問題隱瞞不報等承擔相應責任。
第一百三十七條 證券公司所有部門和人員應當積極配合監督檢查部門的工作，對拒絕、阻撓監督檢查部門工作和打擊、報復、陷害監督檢查人員的行為應嚴肅處理。
第一百三十八條 證券公司應積極配合中國證監會及外部審計機構對證券公司內部控制情況的檢查和評價，不得以任何形式干預、阻撓。
第一百三十九條 證券公司應明確董事會、監事會、經理人員的內部控制職責。
（一）董事會負責督促、檢查和評價證券公司各項內部控制制度的建立與執行情況，對內部控制的有效性負最終責任；每年至少進行一次全面的內部控制檢查評價工作，並形成相應的專門報告。
董事會應對中國證監會、外部審計機構和證券公司監督檢查部門等對證券公司內部控制提出的問題和建議認真研究並督促落實。
（二）監事會應對董事會、經理人員履行職責的情況進行監督，對證券公司財務情況和內部控制建設及執行情況實施必要的檢查，督促董事會、經理人員及時糾正內部控制缺陷，並對督促檢查不力等情況承擔相應責任。
（三）證券公司經理人員負責建立健全責任明確、程序清晰的組織結構，組織實施各類風險的識別與評估，建立健全有效的內部控制機制和內部控制制度，及時糾正內部控制存在的缺陷和問題，並對內部控制不力及不及時糾正內部控制缺陷等承擔相應責任。
第一百四十條 證券公司應當建立健全內部控制缺陷的糾正與處理機制，應根據內部控制的檢查情況和評價結果，提出整改意見和糾正措施，督促業務主管部門和分支機構落實，並對落實情況進行跟蹤檢查。

『叄』 內部控制評價方式有哪些

內部控制評價方式，是指內部控制評價工作的基本形式，是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行，從內部控制評價本身以及目前的發展情況來看，主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價，就是以內部控制框架或標准為參照物，根據內部控制框架的構成要素是否存在，評價內部控制的設計有效性；然後，測試內部控制的運行有效性；最後，綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判斷是否存在實質性漏洞，確定內部控制是否有效。顯然，詳細全面評價是一種傳統的內部控制評價方式，企業最初進行內部控制建設或日常的評價中應用較多，主要是採用「內部控制調查問卷」和符合性測試，對企業已經存在的內部控制進行評價，評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險，即從內部控制到相關目標實現的風險，比較適合用於內部控制的建立和保持，而對評價內部控制的有效性並不十分恰當，存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯，但是，內部控制的框架或標准本身是一個通用的框架，更多地關注內部控制的「What and Why」，盡管這些框架或標准提供了評價有效性的標准，但不夠細致，不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價，就是以風險為導向，首先，要評估相關目標實現的風險；其次，識別和確定組織充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；第三，識別和確定內部控制運行有效性的證據，評價現有的控制是否得到了有效的運行；最後，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。這種方式是從風險到控制，即從內部控制相關目標實現的風險到內部控制，充分體現了「自上而下，風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始，然後到具體作業層級控制的測試，主要體現在：從財務報表整體開始，然後到賬戶、披露；從公司層面的控制開始，然後到活動層面的控制。「風險基礎」主要體現在：以評估控制目標實現的風險為起點；關注重要的財務報告和披露風險與問題；僅評價充分應對風險的控制；證據的獲取和場所的選擇根據風險評估的結果；評價結論（內部控制是否有效）也是風險基礎的，判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況，避免與內部控制框架的簡單核對，具有更好的成本效益性和更廣泛的適用性及靈活性；關注最重要的風險，提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式，要求評價人員改變傳統的評價模式，把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上，分析風險，並提出控制風險的建議和方法。特別需要指出，評價內部控制並非為了控制本身，而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下，評價人員更為關心的是下列問題：與控制相關的目標是什麼？這種控制要解決的問題是什麼？這種控制是否對被審計單位的經營活動有益？是否存在重復控制？什麼樣的風險水平是可以接受的？控制的效果是否影響管理當局決策？風險為導向評價方式下，評價人員大多採用內部控制自評（CSA）、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看，內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南（SEC，2007）和內部控制審計准則（PCAOB，2007）都採用了這一方式，英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則：採用一種自上而下的重視風險的方法，即著眼於與財務報告相關重要虛假記載相聯系的風險，對業務流程相關的內部控制進行評價，具體策略：運用自上而下的風險方法；內部控制缺陷的分類，將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類；不採用直接業務報告的做法；內部控制審計與財務報表審計一並實施；內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素（控制環境、風險評估、控制活動、信息與溝通、內部監督）為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎，根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。

『肆』 急！求內部控制評價方法的案例

內部控制評價方式，是指內部控制評價工作的基本形式，是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行，從內部控制評價本身以及目前的發展情況來看，主要存在詳細全面評價和風險導向評價兩種方式。
◎詳細全面評價。
詳細全面評價，就是以內部控制框架或標准為參照物，根據內部控制框架的構成要素是否存在，評價內部控制的設計有效性；然後，測試內部控制的運行有效性；最後，綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判斷是否存在實質性漏洞，確定內部控制是否有效。顯然，詳細全面評價是一種傳統的內部控制評價方式，企業最初進行內部控制建設或日常的評價中應用較多，主要是採用「內部控制調查問卷」和符合性測試，對企業已經存在的內部控制進行評價，評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險，即從內部控制到相關目標實現的風險，比較適合用於內部控制的建立和保持，而對評價內部控制的有效性並不十分恰當，存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯，但是，內部控制的框架或標准本身是一個通用的框架，更多地關注內部控制的「What and Why」，盡管這些框架或標准提供了評價有效性的標准，但不夠細致，不足以說明如何完成內部控制有效性的評價。
◎風險導向評價。
風險導向評價，就是以風險為導向，首先，要評估相關目標實現的風險；其次，識別和確定組織充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；第三，識別和確定內部控制運行有效性的證據，評價現有的控制是否得到了有效的運行；最後，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。這種方式是從風險到控制，即從內部控制相關目標實現的風險到內部控制，充分體現了「自上而下，風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始，然後到具體作業層級控制的測試，主要體現在：從財務報表整體開始，然後到賬戶、披露；從公司層面的控制開始，然後到活動層面的控制。「風險基礎」主要體現在：以評估控制目標實現的風險為起點；關注重要的財務報告和披露風險與問題；僅評價充分應對風險的控制；證據的獲取和場所的選擇根據風險評估的結果；評價結論（內部控制是否有效）也是風險基礎的，判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況，避免與內部控制框架的簡單核對，具有更好的成本效益性和更廣泛的適用性及靈活性；關注最重要的風險，提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式，要求評價人員改變傳統的評價模式，把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上，分析風險，並提出控制風險的建議和方法。特別需要指出，評價內部控制並非為了控制本身，而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下，評價人員更為關心的是下列問題：與控制相關的目標是什麼？這種控制要解決的問題是什麼？這種控制是否對被審計單位的經營活動有益？是否存在重復控制？什麼樣的風險水平是可以接受的？控制的效果是否影響管理當局決策？風險為導向評價方式下，評價人員大多採用內部控制自評（CSA）、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看，內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南（SEC，2007）和內部控制審計准則（PCAOB，2007）都採用了這一方式，英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則：採用一種自上而下的重視風險的方法，即著眼於與財務報告相關重要虛假記載相聯系的風險，對業務流程相關的內部控制進行評價，具體策略：運用自上而下的風險方法；內部控制缺陷的分類，將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類；不採用直接業務報告的做法；內部控制審計與財務報表審計一並實施；內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素（控制環境、風險評估、控制活動、信息與溝通、內部監督）為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎，根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。

『伍』 內部控制評價的報告

內部控制評價報告可分為對內報告和對外報告，對外報告是為了滿足外部信息使用者的需求，需要對外披露，在時間上具有強制性，披露內容和格式強調符合披露要求；對內報告主要是為了滿足管理層或治理層改善管控水平的需要，不具有強制性，內容、格式和披露時間由企業自行決定。
企業因其外部環境和內部條件的變化，其內部控制系統不可能是固定的、一成不變的，而是一個不斷更新和自我完善的動態體系，因此對內部控制需要經常展開評價，在實際工作可以採用定期與不定期相結合的方式。
對外報告一般採用定期的方式，即企業至少應該每年進行一次內部控制評價並由董事會對外發布內部控制報告。年度內部控制評價報告應當以12月31日為基準日。值得說明的是，如果企業在內部控制評價報告年度內發生了特殊的事項且具有重要性，或因為具有了某種特殊原因（如企業因目標變化或提升），企業需要針對這種特殊事項或原因及時編制內部控制評價報告並對外發布。這種類型的內部控制評價報告屬於非定期的內部控制報告。
內部報告一般採用不定期的方式，即企業可以持續地開展內部控制的監督與評價，並根據結果的重要性隨時向董事會（審計委員會）或經理層報送評價報告。從廣義上講，企業針對發現的重大缺陷等向董事會（審計委員會）或經理層報送的內部報告（內部控制缺陷報告）也屬於非定期的報告。
企業應盡量按照統一的格式編制內部控制評價報告，以滿足外部信息使用者對內控信息可比的要求。
根據《評價指引》第二十一條和二十二條規定，內部控制評價對外報告一般包括以下內容。
1．董事會聲明。聲明董事會及全體董事對報告內容的真實性、准確性、完整性承擔個別及連帶責任，保證報告內容不存在任何虛假記載、誤導性陳述或重大遺漏。
2．內部控制評價工作的總體情況。明確企業內部控制評價工作的組織、領導體制、進度安排，是否聘請會計師事務所對內部控制有效性進行獨立審計。
3．內部控制評價的依據。說明企業開展內部控制評價工作所依據的法律法規和規章制度。
4．內部控制評價的范圍。描述內部控制評價所涵蓋的被評價單位，以及納入評價范圍的業務事項，及重點關注的高風險領域。內部控制評價的范圍如有所遺漏的，應說明原因，及其對內部控制評價報告真實完整性產生的重大影響等。
5．內部控制評價的程序和方法。描述內部控制評價工作遵循的基本流程，以及評價過程中採用的主要方法。
6．內部控制缺陷及其認定。描述適用本企業的內部控制缺陷具體認定標准，並聲明與以前年度保持一致或做出的調整及相應原因；根據內部控制缺陷認定標准，確定評價期末存在的重大缺陷、重要缺陷和一般缺陷。
7．內部控制缺陷的整改情況。對於評價期間發現、期末已完成整改的重大缺陷，說明企業有足夠的測試樣本顯示，與該重大缺陷相關的內部控制設計且運行有效。針對評價期末存在的內部控制缺陷，公司擬採取的整改措施及預期效果。
8．內部控制有效性的結論。對不存在重大缺陷的情形，出具評價期末內部控制有效結論；對存在重大缺陷的情形，不得作出內部控制有效的結論，並需描述該重大缺陷的性質及其對實現相關控制目標的影響程度，可能給公司未來生產經營帶來相關風險。自內部控制評價報告基準日至內部控制評價報告發出日之間發生重大缺陷的，企業須責成內部控制評價機構予以核實，並根據核查結果對評價結論進行相應調整，說明董事會擬採取的措施。

『陸』 內部控制評價方法有哪些

轉載以下資料，供您參考：
內部控制評價方式，是指內部控制評價工作的基本形式，是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行，從內部控制評價本身以及目前的發展情況來看，主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價，就是以內部控制框架或標准為參照物，根據內部控制框架的構成要素是否存在，評價內部控制的設計有效性；然後，測試內部控制的運行有效性；最後，綜合設計和運行的評價對內部控制的有效性做出總體評價，評估內部控制目標實現的風險，判斷是否存在實質性漏洞，確定內部控制是否有效。顯然，詳細全面評價是一種傳統的內部控制評價方式，企業最初進行內部控制建設或日常的評價中應用較多，主要是採用「內部控制調查問卷」和符合性測試，對企業已經存在的內部控制進行評價，評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險，即從內部控制到相關目標實現的風險，比較適合用於內部控制的建立和保持，而對評價內部控制的有效性並不十分恰當，存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯，但是，內部控制的框架或標准本身是一個通用的框架，更多地關注內部控制的「What and Why」，盡管這些框架或標准提供了評價有效性的標准，但不夠細致，不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價，就是以風險為導向，首先，要評估相關目標實現的風險；其次，識別和確定組織充分應對這些風險的內部控制是否存在，即評價內部控制的設計應對相關目標實現風險的有效性；第三，識別和確定內部控制運行有效性的證據，評價現有的控制是否得到了有效的運行；最後，對控制缺陷進行評估，判定是否構成實質性漏洞，確定內部控制是否有效。這種方式是從風險到控制，即從內部控制相關目標實現的風險到內部控制，充分體現了「自上而下，風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始，然後到具體作業層級控制的測試，主要體現在：從財務報表整體開始，然後到賬戶、披露；從公司層面的控制開始，然後到活動層面的控制。「風險基礎」主要體現在：以評估控制目標實現的風險為起點；關注重要的財務報告和披露風險與問題；僅評價充分應對風險的控制；證據的獲取和場所的選擇根據風險評估的結果；評價結論（內部控制是否有效）也是風險基礎的，判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況，避免與內部控制框架的簡單核對，具有更好的成本效益性和更廣泛的適用性及靈活性；關注最重要的風險，提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式，要求評價人員改變傳統的評價模式，把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上，分析風險，並提出控制風險的建議和方法。特別需要指出，評價內部控制並非為了控制本身，而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下，評價人員更為關心的是下列問題：與控制相關的目標是什麼？這種控制要解決的問題是什麼？這種控制是否對被審計單位的經營活動有益？是否存在重復控制？什麼樣的風險水平是可以接受的？控制的效果是否影響管理當局決策？風險為導向評價方式下，評價人員大多採用內部控制自評（CSA）、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看，內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南（SEC，2007）和內部控制審計准則（PCAOB，2007）都採用了這一方式，英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則：採用一種自上而下的重視風險的方法，即著眼於與財務報告相關重要虛假記載相聯系的風險，對業務流程相關的內部控制進行評價，具體策略：運用自上而下的風險方法；內部控制缺陷的分類，將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類；不採用直接業務報告的做法；內部控制審計與財務報表審計一並實施；內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素（控制環境、風險評估、控制活動、信息與溝通、內部監督）為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎，根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。

『柒』 內部控制評價程序一般包括哪些內容內部控制評價報告應當披露哪些內容

內部控制評價流程
內部控制評價流程，就是內部控制評價工作從開始到結束的基本過程。國際上權威的觀點認為評價一個內部控制體系本身就是一個過程，在這個過程中應有一套規程以及其一些內在的基本要素。內部控制評價流程到底包括哪些基本要素，在理論界和實務界認識是不同的，做法也是不一樣的，也因評價主體和內容的不同而不同。管理層自我評估和審計機構評價流程會略有不同。基於財務報告內部控制評價和基於全面內部控制評價的流程也不可能完全一樣。我國《企業內部控制評價指引》要求企業應當按照內部控制評價辦法規定的程序，有序開展內部控制評價。內部控制評價程序一般包括：制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。這是我國企業內部控制評價工作的法定程序，是必須要執行的最基本的程序。中天恆3C框架把內部控制評價流程分為評價准備、評價實施、評價報告三個階段，每個階段又可細分若干內容。
企業應當根據內部控制評價結果和整改情況，編制內部控制評價報告。內部控制評價報告至少應當包括下列內容：
（1）組織實施內部控制評價的總體情況；
（2）內部控制責任主體的聲明；
（3）內部控制評價的范圍和內容；
（4）內部控制評價的標准和依據；
（5）內部控制評價的程序和方法；
（6）內部控制重大缺陷及其認定情況；
（7）內部控制重大缺陷的整改措施及責任追究情況；
（8）內部控制有效性的結論；
存在一個或多個內部控制重大缺陷的，應當作出內部控制無效的結論。
《深圳證券交易所上市公司內部控制指引》自我評價報告至少應包括以下內容：
（1）對照本指引及有關規定，說明公司內部控制制度是否建立健全和有效運行，是否存在缺陷；
（2）說明本指引重點關注的控制活動的自查和評估情況；
（3）說明內部控制缺陷和異常事項的改進措施（如適用）；
（4）說明上一年度的內部控制缺陷及異常事項的改善進展情況（如適用）
《上海證券交易所上市公司內部控制指引》公司內部控制自我評估報告至少應包括如下內容：
（1）內控制度是否建立健全；
（2）內控制度是否有效實施；
（3）內部控制檢查監督工作的情況；
（4）內控制度及其實施過程中出現的重大風險及其處理情況；
（5）對本年度內部控制檢查監督工作計劃完成情況的評價；
（6）完善內控制度的有關措施；
（7）下一年度內部控制有關工作計劃