证券2014年内部控制评价

『壹』 内部控制评价有哪些内容

关于内部控制评价内容，从范围看，一般认为企业内部控制评价应根据资源情况和组织需求来决定，既可以是全面内部控制评价，如对整个内部控制系统进行评价，然后把信息反馈给最高管理当局；也可以是局部评价，如对某个部门或某个控制进行评价，然后把发现的不足或某一方面控制精确度的信息反馈给某些管理人员。全面内部控制评价一般每年进行一次，而局部内部控制评价视需要而定。从内容看，大多从内部控制要素角度，要求内部控制评价内容至少包括控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、控制活动、信息与沟通和监控内部监督八要素。当然，还有把内部控制评价分为内部控制设计和执行，自我评估和独立评估，全面内部控制和业务控制，过程评价和结果评价两个层面的。还有把内部控制评价的内容分为公司治理层面、业务流程层面、信息科技层面，治理结构层面、财务控制层面和业务控制层面等三个层面。从标准看，有些内部控制规范和理论认为，内部控制评价无论是总体还时局部，无论是设计还是执行，都应当以内部控制的健全性、恰当性（或者称为合理性、科学性）和有效性为标准。有些规范和理论认为，内部控制评价，包括对内部控制设计有效性和运行有效性的评价。还有人认为，内部控制评价要对内部控制系统设计的有效性、内部控制运行的有效性和内部控制系统设计及运行的经济性进行评价。
人们习惯于把内部控制评价的内容分为整体层面控制评价和业务层面控制评价。整体层面控制评价，就是对整体层面控制有效性的评价过程，是一个流程。这个流程包括：确定整体层面控制是否创建了一个使业务层面控制有效执行的总体环境；识别整体层面控制的弱点，这些弱点会影响业务层面控制测试的设计。整体层面控制评价不是内部控制总体评价，内部控制总体评价，是对各种控制过程与因素的综合考虑，从而得出一个总体的评论。整体层面控制的测试是针对具体的控制目标，但评价时应将控制作为一个整体，而不是单独的控制目标。如一个控制领域的弱点，可通过其他领域有效控制的设计和执行予以弥补。控制需有多可靠才能被认为是有效的？整体层面控制必须达到最高水平的可靠性才能有效吗？在决策时，应考虑以下事项：一是整体考虑。最终，内部控制有效性应以系统整体而不是单个组成要素来评估。在设计系统时，机构就应进行权衡，是改进系统中某些要素抑或是通过其他更有效的控制进行弥补。二是合理保证和重要性。内部控制仅能提供合理的而不是绝对的保证。内部控制有效性的评价应基于财务报表的整体作出判断，因此应从财务报表的整体来考虑，内部控制未能防止或发现的错报是否重要。用于评价整体层面控制的的流程包括：使用内部控制可靠性模型，为每一个控制目标的有效性分级；将单个控制目标融入组织整体层级控制之中。究竟如何对控制有效性进行最终评价？加拿大特许会计师协会对此进行了研究，一个特别的结论值得注意。证据不仅仅是事实的集合，而且是审计人员所了解的每一件事的整合。证据不是以整齐的先后顺序出现的——它是非线性的、零散的，必须进行整理、归类和综合。一些证据是具体的事实，可以客观地证实，但大多是所见、所听或所感的印象，它包括组织中人们的态度和意图、组织文化和道德论调。在有意或无意的过程中，人们会考虑所有这些因素——当形成结论时，把它们作为证据。业务层面控制评价，就是对业务层面控制有效性的评价过程，是内部控制评价的核心内容。
中天恒3C框架一直主张内部控制评价应当包括会计控制、业务控制和管理控制三个方面，会计控制评价是基础，业务控制评价是核心，管理控制评价是努力的方向。内部控制评价肯定包括设计和执行两个方面，但关键还是执行。
在信息系统环境下与手工处理环境下的内部控制评价内容肯定不同。通常，计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险，这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等），其风险来源于信息系统中应用系统本身的漏洞，直接威胁到数据的安全、准确。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。
关于内部控制评价的内容，理论上可继续探索，但实际执行中，还是要统一到《企业内部控制评价指引》的要求上来。我国企业内部控制评价的内容应以《企业内部控制基本规范》及配套指引为起点，以企业设计的《企业内部控制手册》为依据，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容。当然要对内部控制设计与运行情况进行全面评价。企业内部控制评价具体内容应由企业经营业务调整、环境变化、业务发展状态和实际风险水平等自行确定，不能固定化和模式化。
这里需要特别强调的，内部控制评价内容不能仅仅限于对五要素的总体评价，而要对企业财务、业务、管理控制进行具体评价。企业的业务千差万别，规模大小也不一样，但企业内部控制评价具体内容应至少包括已经颁布的企业内部控制配套指引主要内容。

『贰』 证券公司内部控制指引的监督、评价

第一百三十二条 证券公司业务部门和分支机构的负责人负责对其业务范围内的具体作业程序和风险控制措施进行自我检查和评价，并接受证券公司上级管理部门和监督检查部门的业务检查和指导。
直接从事业务经营活动的业务部门和分支机构的相关人员有义务向证券公司报告内部控制的缺陷并及时加以纠正；相关人员应对违反职责范围内的内部控制导致的风险和损失承担首要责任。
第一百三十三条 证券公司应设立监督检查部门或岗位，独立履行合规检查、财务稽核、业务稽核、风险控制等监督检查职能；负责提出内部控制缺陷的改进建议并敦促有关责任单位及时改进。
监督检查部门对证券公司董事会负责，并应同时向经理人员和监事会报告证券公司内部控制的建设与执行情况。
第一百三十四条 证券公司应有高级管理人员专门负责证券公司内部控制的监督、检查与评价工作。该高级管理人员和监督检查部门负责人可列席证券公司任何会议。
证券公司负责监督检查部门的高级管理人员不得兼管业务部门。
第一百三十五条 证券公司应当为监督检查部门配备足够的具有法律、财会、计算机以及相关业务技能、经验的专业人员，确保监督检查部门的人员具有专业胜任能力，并为监督检查部门及人员履行职责提供必要的条件。
证券公司监督检查部门人员名单应向证券公司注册地的中国证监会派出机构备案。
第一百三十六条 证券公司监督检查部门应加强对内部控制执行情况的现场检查、非现场检查和常规稽核、非常规稽核，并将检查结果报证券公司注册地中国证监会派出机构。
证券公司监督检查部门应当对监督检查不力、发现问题隐瞒不报等承担相应责任。
第一百三十七条 证券公司所有部门和人员应当积极配合监督检查部门的工作，对拒绝、阻挠监督检查部门工作和打击、报复、陷害监督检查人员的行为应严肃处理。
第一百三十八条 证券公司应积极配合中国证监会及外部审计机构对证券公司内部控制情况的检查和评价，不得以任何形式干预、阻挠。
第一百三十九条 证券公司应明确董事会、监事会、经理人员的内部控制职责。
（一）董事会负责督促、检查和评价证券公司各项内部控制制度的建立与执行情况，对内部控制的有效性负最终责任；每年至少进行一次全面的内部控制检查评价工作，并形成相应的专门报告。
董事会应对中国证监会、外部审计机构和证券公司监督检查部门等对证券公司内部控制提出的问题和建议认真研究并督促落实。
（二）监事会应对董事会、经理人员履行职责的情况进行监督，对证券公司财务情况和内部控制建设及执行情况实施必要的检查，督促董事会、经理人员及时纠正内部控制缺陷，并对督促检查不力等情况承担相应责任。
（三）证券公司经理人员负责建立健全责任明确、程序清晰的组织结构，组织实施各类风险的识别与评估，建立健全有效的内部控制机制和内部控制制度，及时纠正内部控制存在的缺陷和问题，并对内部控制不力及不及时纠正内部控制缺陷等承担相应责任。
第一百四十条 证券公司应当建立健全内部控制缺陷的纠正与处理机制，应根据内部控制的检查情况和评价结果，提出整改意见和纠正措施，督促业务主管部门和分支机构落实，并对落实情况进行跟踪检查。

『叁』 内部控制评价方式有哪些

内部控制评价方式，是指内部控制评价工作的基本形式，是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行，从内部控制评价本身以及目前的发展情况来看，主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价，就是以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在，评价内部控制的设计有效性；然后，测试内部控制的运行有效性；最后，综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在实质性漏洞，确定内部控制是否有效。显然，详细全面评价是一种传统的内部控制评价方式，企业最初进行内部控制建设或日常的评价中应用较多，主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险，即从内部控制到相关目标实现的风险，比较适合用于内部控制的建立和保持，而对评价内部控制的有效性并不十分恰当，存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错，但是，内部控制的框架或标准本身是一个通用的框架，更多地关注内部控制的“What and Why”，尽管这些框架或标准提供了评价有效性的标准，但不够细致，不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价，就是以风险为导向，首先，要评估相关目标实现的风险；其次，识别和确定组织充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。这种方式是从风险到控制，即从内部控制相关目标实现的风险到内部控制，充分体现了“自上而下，风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始，然后到具体作业层级控制的测试，主要体现在：从财务报表整体开始，然后到账户、披露；从公司层面的控制开始，然后到活动层面的控制。“风险基础”主要体现在：以评估控制目标实现的风险为起点；关注重要的财务报告和披露风险与问题；仅评价充分应对风险的控制；证据的获取和场所的选择根据风险评估的结果；评价结论（内部控制是否有效）也是风险基础的，判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性及灵活性；关注最重要的风险，提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式，要求评价人员改变传统的评价模式，把评价的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。特别需要指出，评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向评价方式下，评价人员更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是可以接受的？控制的效果是否影响管理当局决策？风险为导向评价方式下，评价人员大多采用内部控制自评（CSA）、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看，内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南（SEC，2007）和内部控制审计准则（PCAOB，2007）都采用了这一方式，英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则：采用一种自上而下的重视风险的方法，即着眼于与财务报告相关重要虚假记载相联系的风险，对业务流程相关的内部控制进行评价，具体策略：运用自上而下的风险方法；内部控制缺陷的分类，将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类；不采用直接业务报告的做法；内部控制审计与财务报表审计一并实施；内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素（控制环境、风险评估、控制活动、信息与沟通、内部监督）为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

『肆』 急！求内部控制评价方法的案例

内部控制评价方式，是指内部控制评价工作的基本形式，是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行，从内部控制评价本身以及目前的发展情况来看，主要存在详细全面评价和风险导向评价两种方式。
◎详细全面评价。
详细全面评价，就是以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在，评价内部控制的设计有效性；然后，测试内部控制的运行有效性；最后，综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在实质性漏洞，确定内部控制是否有效。显然，详细全面评价是一种传统的内部控制评价方式，企业最初进行内部控制建设或日常的评价中应用较多，主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险，即从内部控制到相关目标实现的风险，比较适合用于内部控制的建立和保持，而对评价内部控制的有效性并不十分恰当，存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错，但是，内部控制的框架或标准本身是一个通用的框架，更多地关注内部控制的“What and Why”，尽管这些框架或标准提供了评价有效性的标准，但不够细致，不足以说明如何完成内部控制有效性的评价。
◎风险导向评价。
风险导向评价，就是以风险为导向，首先，要评估相关目标实现的风险；其次，识别和确定组织充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。这种方式是从风险到控制，即从内部控制相关目标实现的风险到内部控制，充分体现了“自上而下，风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始，然后到具体作业层级控制的测试，主要体现在：从财务报表整体开始，然后到账户、披露；从公司层面的控制开始，然后到活动层面的控制。“风险基础”主要体现在：以评估控制目标实现的风险为起点；关注重要的财务报告和披露风险与问题；仅评价充分应对风险的控制；证据的获取和场所的选择根据风险评估的结果；评价结论（内部控制是否有效）也是风险基础的，判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性及灵活性；关注最重要的风险，提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式，要求评价人员改变传统的评价模式，把评价的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。特别需要指出，评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向评价方式下，评价人员更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是可以接受的？控制的效果是否影响管理当局决策？风险为导向评价方式下，评价人员大多采用内部控制自评（CSA）、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看，内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南（SEC，2007）和内部控制审计准则（PCAOB，2007）都采用了这一方式，英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则：采用一种自上而下的重视风险的方法，即着眼于与财务报告相关重要虚假记载相联系的风险，对业务流程相关的内部控制进行评价，具体策略：运用自上而下的风险方法；内部控制缺陷的分类，将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类；不采用直接业务报告的做法；内部控制审计与财务报表审计一并实施；内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素（控制环境、风险评估、控制活动、信息与沟通、内部监督）为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

『伍』 内部控制评价的报告

内部控制评价报告可分为对内报告和对外报告，对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求；对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。
企业因其外部环境和内部条件的变化，其内部控制系统不可能是固定的、一成不变的，而是一个不断更新和自我完善的动态体系，因此对内部控制需要经常展开评价，在实际工作可以采用定期与不定期相结合的方式。
对外报告一般采用定期的方式，即企业至少应该每年进行一次内部控制评价并由董事会对外发布内部控制报告。年度内部控制评价报告应当以12月31日为基准日。值得说明的是，如果企业在内部控制评价报告年度内发生了特殊的事项且具有重要性，或因为具有了某种特殊原因（如企业因目标变化或提升），企业需要针对这种特殊事项或原因及时编制内部控制评价报告并对外发布。这种类型的内部控制评价报告属于非定期的内部控制报告。
内部报告一般采用不定期的方式，即企业可以持续地开展内部控制的监督与评价，并根据结果的重要性随时向董事会（审计委员会）或经理层报送评价报告。从广义上讲，企业针对发现的重大缺陷等向董事会（审计委员会）或经理层报送的内部报告（内部控制缺陷报告）也属于非定期的报告。
企业应尽量按照统一的格式编制内部控制评价报告，以满足外部信息使用者对内控信息可比的要求。
根据《评价指引》第二十一条和二十二条规定，内部控制评价对外报告一般包括以下内容。
1．董事会声明。声明董事会及全体董事对报告内容的真实性、准确性、完整性承担个别及连带责任，保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。
2．内部控制评价工作的总体情况。明确企业内部控制评价工作的组织、领导体制、进度安排，是否聘请会计师事务所对内部控制有效性进行独立审计。
3．内部控制评价的依据。说明企业开展内部控制评价工作所依据的法律法规和规章制度。
4．内部控制评价的范围。描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项，及重点关注的高风险领域。内部控制评价的范围如有所遗漏的，应说明原因，及其对内部控制评价报告真实完整性产生的重大影响等。
5．内部控制评价的程序和方法。描述内部控制评价工作遵循的基本流程，以及评价过程中采用的主要方法。
6．内部控制缺陷及其认定。描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致或做出的调整及相应原因；根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7．内部控制缺陷的整改情况。对于评价期间发现、期末已完成整改的重大缺陷，说明企业有足够的测试样本显示，与该重大缺陷相关的内部控制设计且运行有效。针对评价期末存在的内部控制缺陷，公司拟采取的整改措施及预期效果。
8．内部控制有效性的结论。对不存在重大缺陷的情形，出具评价期末内部控制有效结论；对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的性质及其对实现相关控制目标的影响程度，可能给公司未来生产经营带来相关风险。自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的，企业须责成内部控制评价机构予以核实，并根据核查结果对评价结论进行相应调整，说明董事会拟采取的措施。

『陆』 内部控制评价方法有哪些

转载以下资料，供您参考：
内部控制评价方式，是指内部控制评价工作的基本形式，是解决内部控制评价工作到底如何进行的问题。关于内部控制评价工作到底如何进行，从内部控制评价本身以及目前的发展情况来看，主要存在详细全面评价和风险导向评价两种方式。 ◎详细全面评价。详细全面评价，就是以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在，评价内部控制的设计有效性；然后，测试内部控制的运行有效性；最后，综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在实质性漏洞，确定内部控制是否有效。显然，详细全面评价是一种传统的内部控制评价方式，企业最初进行内部控制建设或日常的评价中应用较多，主要是采用“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进行评价，评价报告中的建议也是“审核数豆子的人是否将豆子数得一粒不差”。这种方式的特点是从控制到风险，即从内部控制到相关目标实现的风险，比较适合用于内部控制的建立和保持，而对评价内部控制的有效性并不十分恰当，存在着成本高、效率低、结论不可靠性等不足。根据内部控制框架或标准评价内部控制本身并没有错，但是，内部控制的框架或标准本身是一个通用的框架，更多地关注内部控制的“What and Why”，尽管这些框架或标准提供了评价有效性的标准，但不够细致，不足以说明如何完成内部控制有效性的评价。 ◎风险导向评价。风险导向评价，就是以风险为导向，首先，要评估相关目标实现的风险；其次，识别和确定组织充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。这种方式是从风险到控制，即从内部控制相关目标实现的风险到内部控制，充分体现了“自上而下，风险基础”的理念。“自上而下”方法由评估组织整体层级的控制开始，然后到具体作业层级控制的测试，主要体现在：从财务报表整体开始，然后到账户、披露；从公司层面的控制开始，然后到活动层面的控制。“风险基础”主要体现在：以评估控制目标实现的风险为起点；关注重要的财务报告和披露风险与问题；仅评价充分应对风险的控制；证据的获取和场所的选择根据风险评估的结果；评价结论（内部控制是否有效）也是风险基础的，判断有效与否是根据内部控制是否相当可能没有防止或发现财务报表中的重要错报。风险导向评价方式可以充分考虑企业特定的情况，避免与内部控制框架的简单核对，具有更好的成本效益性和更广泛的适用性及灵活性；关注最重要的风险，提高了评价的成本效益和效率。不过这种方式与详细全面评价根据一个确定的框架来评价相比需要更高程度的专业判断。 风险导向评价是一种现代的内部控制评价方式，要求评价人员改变传统的评价模式，把评价的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和方法。特别需要指出，评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。在风险导向评价方式下，评价人员更为关心的是下列问题：与控制相关的目标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险水平是可以接受的？控制的效果是否影响管理当局决策？风险为导向评价方式下，评价人员大多采用内部控制自评（CSA）、内部控制矩阵法、利用网络信息开展动态评估。 从目前的现状以及未来国际发展趋势来看，内部控制评价基本上都趋向于采用风险导向评价方式。美国证券交易委员会和公共公司会计监督委员会2007年分别发布的管理层报告内部控制的指南（SEC，2007）和内部控制审计准则（PCAOB，2007）都采用了这一方式，英国、日本、加拿大等国的上市公司的内部控制年度评价也采用了风险导向评价方式。日本内部控制评价与审计准则：采用一种自上而下的重视风险的方法，即着眼于与财务报告相关重要虚假记载相联系的风险，对业务流程相关的内部控制进行评价，具体策略：运用自上而下的风险方法；内部控制缺陷的分类，将内部控制的缺陷区分为“重要缺陷”和“缺陷”两类；不采用直接业务报告的做法；内部控制审计与财务报表审计一并实施；内部控制审计报告与财务报表审计报告一并编制等。在我国拟在建立以风险防范和增加价值为评价导向、以五大要素（控制环境、风险评估、控制活动、信息与沟通、内部监督）为核心评价内容、以控制标准和评价标准为评估标尺的内控自我评价体系。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

『柒』 内部控制评价程序一般包括哪些内容内部控制评价报告应当披露哪些内容

内部控制评价流程
内部控制评价流程，就是内部控制评价工作从开始到结束的基本过程。国际上权威的观点认为评价一个内部控制体系本身就是一个过程，在这个过程中应有一套规程以及其一些内在的基本要素。内部控制评价流程到底包括哪些基本要素，在理论界和实务界认识是不同的，做法也是不一样的，也因评价主体和内容的不同而不同。管理层自我评估和审计机构评价流程会略有不同。基于财务报告内部控制评价和基于全面内部控制评价的流程也不可能完全一样。我国《企业内部控制评价指引》要求企业应当按照内部控制评价办法规定的程序，有序开展内部控制评价。内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。这是我国企业内部控制评价工作的法定程序，是必须要执行的最基本的程序。中天恒3C框架把内部控制评价流程分为评价准备、评价实施、评价报告三个阶段，每个阶段又可细分若干内容。
企业应当根据内部控制评价结果和整改情况，编制内部控制评价报告。内部控制评价报告至少应当包括下列内容：
（1）组织实施内部控制评价的总体情况；
（2）内部控制责任主体的声明；
（3）内部控制评价的范围和内容；
（4）内部控制评价的标准和依据；
（5）内部控制评价的程序和方法；
（6）内部控制重大缺陷及其认定情况；
（7）内部控制重大缺陷的整改措施及责任追究情况；
（8）内部控制有效性的结论；
存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。
《深圳证券交易所上市公司内部控制指引》自我评价报告至少应包括以下内容：
（1）对照本指引及有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；
（2）说明本指引重点关注的控制活动的自查和评估情况；
（3）说明内部控制缺陷和异常事项的改进措施（如适用）；
（4）说明上一年度的内部控制缺陷及异常事项的改善进展情况（如适用）
《上海证券交易所上市公司内部控制指引》公司内部控制自我评估报告至少应包括如下内容：
（1）内控制度是否建立健全；
（2）内控制度是否有效实施；
（3）内部控制检查监督工作的情况；
（4）内控制度及其实施过程中出现的重大风险及其处理情况；
（5）对本年度内部控制检查监督工作计划完成情况的评价；
（6）完善内控制度的有关措施；
（7）下一年度内部控制有关工作计划