《企业内部控制规范体系实施中相关问题解释第2号》（财会[2012]18号）

对内部控制全面或某一方面进行日常和专项检查评价，也可以对认定的重大风险进行专项监督，定期出具内部控制评价报告，报董事会或类似权力机构审核。

企业也可以根据自身特点，成立内部控制评价工作的非常设机构，比如，抽调内部审计、内部控制等相关机构的人员组成内部控制评价小组，具体组织实施内部控制评价工作。 此外，企业可以委托中介机构实施内部控制评价。 7.企业应如何对待内部控制评价中发现的缺陷？

答：内部控制缺陷按照成因分为设计缺陷和运行缺陷。对于设计缺陷，应从企业内部的管理制度入手查找原因，需要更新、调整、废止的制度要及时进行处理，并同时改进内部控制体系的设计，弥补设计缺陷的漏洞。对于运行缺陷，则应分析出现的原因，查清责任人，并有针对性地进行整改。

内部控制缺陷按照影响程度分为重大缺陷、重要缺陷和一般缺陷。对于重大缺陷，应当由董事会予以最终认定，企业要及时采取应对策略，切实将风险控制在可承受度之内。对于重要缺陷和一般缺陷，企业应当及时采取措施，避免发生损失。

企业应当编制内部控制缺陷认定汇总表，结合实际情况对内部控制缺陷的成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见和改进建议，确保整改到位，并以适当形式向董事会、监事会或者经理层报告。

对于因内部控制缺陷造成经济损失的，企业应当查明原因，追究相关部门和人员的责任。

8.如果会计师事务所将其内部控制咨询业务和内部控制审计业务进行分离后，是否可以为同一企业提供内部控制审计和咨询服务？

答：基本规范及配套指引的发布实施，拓宽了会计师事务所的业务领域。随着2012年国内主板上市公司分类分批实施，内部控制咨询、内部控制评价、内部控制审计的需求会很大。当前，我国会计师事务所在内部控制咨询和内部控制审计方面的专业人才和技术力量有限。据了解，很多会计师事务所为了执行基本规范第十条的规定，主动开展了内部体制机制整合。

会计师事务所在受聘为企业提供有关内部控制咨询或审计服务时，应坚持独立性原则，严格遵守《中国注册会计师职业道德守则》要求，不得与具有网络关系的中介机构同时为同一企业提供内部控制咨询和审计服务。

有的会计师事务所采取内部隔离方式，即在内部成立咨询部门和审计部门，两个部门之间相互独立，人员不交叉使用，在形式上建立了内部的“防火墙”。这种方式难以有效地将内部控制咨询和内部控制审计业务进行分离，不符合独立性要求。

也有会计师事务所新设立了具有法人资格的咨询机构，如果新设立的咨询机构与原事务所构成网络关系，则违反独立性原则，也不能同时为同一家企业提供内控咨询和审计服务。

9.注册会计师在开展内部控制审计时应如何安排时间？

答：按照配套指引中《企业内部控制审计指引》的要求，注册会计师在确定测试的时间安排时，应当尽量在接近企业内部控制自我评价基准日实施测试，实施的测试需要涵盖足够长的时间。

企业应按照要求及时委托会计师事务所开展内部控制审计业务，保证按期对外披露或报送内部控制审计报告。首次进行内部控制审计时，企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作，从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务，如果企业在基准日前对其进行了整改，但整改后的业务控制尚没有运行足够长的时间，注册会计师应当将其认定为内部控制在审计基准日存在缺陷。注册会计师在接受或开展内部控制审计业务时，应当尽早与企业沟通内部控制审计计划，并合理安排内部控制测试的时间。

在连续进行内部控制审计的过程中，注册会计师应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内部控制审计工作方案和时间安排。

10.与大、中型企业相比，小型企业在实施内部控制时应有哪些特殊的考虑？

答：小型企业通常是指具有业务比较单一、所有权和管理权集中、管理层级较少、部门设置简单等特征的企业。小型企业根据基本规范及配套指引实施内部控制时，在保证有效性的基础上，可结合企业特点进行适当调整。

小型企业的管理层级一般较少，所有权、决策权和管理权较为集中，治理层通常密切参与公司日常经营及管理活动，使企业的控制力和执行力得到了提高，但也容易导致决策失误或舞弊风险，因此要提高董事会的集体决策能力，加强企业决策过程的控制。 小型企业应明确内部控制目标，准确评估经营风险，建立健全各项制度，将决策过程和各项业务流程制度化、规范化；明确不同层级部门和人员的权限和职责，强化岗位制衡，做到适度授权和分权；重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制。

小型企业应提高财务、会计和审计人员的素质，培养和聘用内部控制专业人才，加强对财务会计工作和财务报告的重视程度。小型企业的机构设置简单，管理资源易于整合，可以根据企业所面临的主要风险和相关控制的效果，适当简化内部控制体系建设，灵活设计、选择控制流程和控制活动，达到有效控制风险和防范舞弊的目的。

基于效率的考虑，小型企业应当提高信息技术的应用，结合业务风险和信息系统风险评估，加强信息系统控制的应用，采取手工控制与自动控制相结合的方式，将风险控制在可承受度之内。

小型企业应建立健全内部控制的监督机制，持续监控和定期评价内部控制的有效性，尤其要对会计信息、资金运转、资产安全、采购及销售等方面加强监控，及时发现和纠正缺陷，确保内部控制在企业不同成长阶段、不同环境下的持续有效改进。