企業內部控制評價的內容不包括監事會全體成員對內部控制有效性負責。
內部控制評價的對象是內部控制的有效性,而內部控制的有效性,是企業建立與實施內部控制對實現控制目標提供合理保證的程度。內部控制的目標包括合規目標、資產目標、報告目標、經營目標和戰略目標。
因此,內部控制評價的內容應是對以上五個目標的內控有效性進行全面評價。具體地說,內部控制評價應緊緊圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督五要素進行。
1、控制活動評價
企業組織開展控制活動評價,應當以《企業內部控制基本規範》和各項應用指引中的控制措施為依據,結合本企業的內部控制制度,對相關控制措施的設計和運行情況進行認定和評價。
2、內部監督評價
企業組織開展內部監督評價,應當以《企業內部控制基本規範》有關內部監督的要求,以及各項應用指引中有關日常管控的規定為依據。
結合本企業的內部控制制度,對於內部監督機制的有效性進行認定和評價,重點關註監事會、審計委員會、內部審計機構等是否在內部控制設計和運行中有效發揮監督作用。
3、內部環境評價
企業組織開展內部環境評價,應當以組織架構、發展戰略、人力資源、企業文化、社會責任等應用指引為依據。其中,組織架構評價可以重點從組織架構的設計和運行等方面進行;發展戰略評價可以重點從發展戰略的制定合理性、有效實施和適當調整三方面進行。
人力資源評價應當重點從企業人力資源引進結構合理性、開發機制、激勵約束機制等方面進行;企業文化評價應從建設和評估兩方面進行;社會責任可以從安全生產、產品質量、環境保護與資源節約、促進就業、員工權益保護等方面進行。
4、信息與溝通評價
企業組織開展信息與溝通評價,應當以內部信息傳遞、財務報告、信息系統等相關指引為依據,結合本企業的內部控制制度。
對信息收集、處理和傳遞的及時性、反舞弊機制的健全性、財務報告的真實性、信息系統的安全性,以及利用信息系統實施內部控制的有效性進行認定和評價。
5、風險評估評價
企業組織開展風險評估評價,應當以《企業內部控制基本規範》有關風險評估的要求,以及各項應用指引中所列主要風險為依據,結合本企業的內部控制制度,對日常經營管理過程中的目標設定、風險識別、風險分析、應對策略等進行認定和評價。
具體的內部控制評價內容可通過設計內部控制評價指標體系來確定,評價指標是對內部控制要素的進壹步細化,評價指標可以有多個層級,大體可分為核心評價指標和具體評價指標兩大類,企業可根據其實際情況進行細分。
註意:
具體的評價內容確定之後,內部控制評價工作應形成工作底稿,詳細記錄企業執行評價工作的內容,包括評價要素、評價指標、評價標準、評價和測試的方法、主要風險點、采取的控制措施、有關證據資料以及認定結果等。
工作底稿可以是通過壹系列評價表格加以實現,通過對每個要素核心指標的分別分解、評價,最終匯總出評價結果。