评价报告

　　首席审计执行官通常每年向高级管理层和董事会提交关于组织风险管理和控制程序的报告。该报告要表明风险管理和控制程序在实现组织目标方面所起的主要作用，同时阐述内部审计部门开展工作的性质和范围，以及在形成意见时所依赖的其他确认服务提供者的工作性质和范围。

　　·评价内容与程序

　　内部控制评价，是由组织董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

　　组织董事会应当对内部控制评价报告的真实性负责。

　　组织可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作。

　　内部控制评价工作应当形成工作底稿，详细记录组织执行评价工作的内容。

　　·缺陷的认定

　　内部控制缺陷包括设计缺陷和运行缺陷。按其影响程度分为实质性缺陷、重大缺陷和一般缺陷。

　　实质性缺陷，是指一个或多个控制缺陷的组合，可能导致组织严重偏离控制目标。

　　重大缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于实质性缺陷，但仍有可能导致组织偏离控制目标。

　　一般缺陷，是指除实质性缺陷、重大缺陷之外的其他缺陷。

　　实质性缺陷、重大缺陷和一般缺陷的具体认定标准，由组织根据上述要求自行确定。

　　·评价报告

　　内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。

　　内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。

　　·报告可以分为三个级别：

　　“适度”

　　“要求管理层关注”

　　“要求管理层立即关注”