企业内部控制评价体系课件.ppt

企业内部控制评价体系,第一部分 中国企业内部控制评价体系的理论框架,第一层次：内部控制规制的定位和相关利益主体的相互平衡第二层次：内部控制的相关规制体系第三层次：内部控制的评价标准第四层次：内部控制管理层评价和外部审计的实施标准,第一层次：内部控制规制的定位和相关利益主体的相互平衡,这一层次需要解决规制本身的出发点和归宿问题，即它应该达到什么目标、内部控制范畴的界定、主要保护谁的利益、出现利益不平衡时应该如何解决等等基本理论问题。例如：以监管为出发点的内部控制，主要是为了实现一定的监管目标。比较典型的代表是美国，试图通过财务报告内部控制评价的强制要求确保财务报告的可靠性。以企业内部管理需要为出发点的内部控制评价，主要是为实现企业的目标服务。比较典型的就是大型企业自发的内部控制评价与报告。,第二层次：内部控制的相关规制体系,解决了规制的出发点和归宿问题后，应该考虑规制体系的构成问题。即一个完善的内部控制规制体系应该包括哪些层次的法规或条例组成，以及各个层次的规制应该由什么机构负责制定和检查监督等。例如美国的规制体系由SOX法案、SEC规则、PCAOB审计准则、COSO内控标准等构成。,第三层次：内部控制的评价标准,在上述两个层次层解决了目的和动机之后，我们需要回答我们的内部控制是什么样子的，它的内容及内容之间的内在逻辑关系，基于我国的国情，中央企业、上市公司和中小企业的内部控制有什么不同，主要侧重于公司治理层面还是公司管理层面等。（例如美国所采用的COSO框架）,第四层次：内部控制管理层评价和外部审计的实施标准,内部控制评价和审计的标准，即怎么样对企业的内部控制进行评价、如何审计、评价和审计的标准是什么、方法是什么、程序是什么，以及如何保证评价和审计的效率和质量等。,主要内容,第一部分 中国企业内部控制评价体系的理论框架第二部分 内部控制的评价规制第三部分 内部控制的评价标准第四部分 内部控制的评价（审计）方法第五部分 内部控制的评价（审计）程序,精品资料网（http:/）,第二部分 内部控制的评价规制体系,美、英国上市公司内部控制评价规制体系特点构成评价内容评价目标报告体系 美、英内部控制评价规制体系的比较 中国企业内部控制评价规制体系,由SEC和实施证券交易规则的条文性法规组成 层次分明、系统的内部控制规制体系,规制特点,规制构成,SOX法案 302条款 404条款,SEC规则 最终规则 解释指南,PCAOB审计准则 AS No.5 相关审计准则,COSO内控标准 整合框架 风险管理 小规模公司指南,特点、构成、评价内容,规制角度，SEC选用“财务报告内部控制”公司管理实务，广泛应用COSO“内部控制”和“风险管理”,评价内容,市场决定和调节的原则,普通法与公司法,上市规则,联合规则,Turnbull指南,公司治理导向的内部控制,内部控制扩展到所有重要控制 控制活动、信息与沟通过程、监督内部控制系统持续有效的过程,美 国,英 国,管理层对财务报告内部控制的有效性出具评价结论 注册会计师对财务报告内部控制的有效性出具审计意见,评价目标,评价目标、报告体系,对外报告：管理层责任声明 具体的有效性评价结论,报告体系,对内报告审计委员会：重大缺陷 舞弊行为,审计师报告：对管理层评价的意见（AS 5中已取消）对内部控制的审计意见,董事会：审查管理层的报告并做年度评价，承担披露责任 管理层：监督内控，并向董事会提供定期报告,内部控制报告：包括一些有意义的、高层次的信息，反映公司如何应用联合规则C.2原则，适用“遵守或解释”原则,注册会计师：审查内部控制有关遵循声明，评价公司公布内部控制声明是否有文档记录的证明、是否适当反映了董事会审查内部控制系统的过程；如果遵循声明与实际情况不一致，审计告中要增加一个说明段,董事会对发布声明，说明如何遵守联合规则的C.2原则（董事会应当维持一套健全的内部控制系统，以保护股东的投资和公司的资产）。注册会计师审查董事会的遵守声明，看与实际情况是否一致,美 国,英 国,美、英内部控制评价规制体系比较,美 国,英 国,项目,结论,采取“评价小口径内部控制+有效性披露”的规则导向的模式,采取“评价大口径内部控制+遵循披露”的规则导向的模式,中国企业内部控制评价规制体系,规制体系现状分析 规制体系的建设方向,规制体系现状分析,参与部门多，行业特色浓，缺乏统一的规制和标准,规制特点,规制具体构成,会计法-人大,内部会计控制规范-财政部,审计准则-中注协,证券公司内部控制-证监会法规,商业银行内部控制-银监会法规,各法规定位参差不齐，目标体系的逻辑和层次不够清晰 缺乏统一、内在一致的概念体系,内部控制评价内涵与目标,涉及会计控制、管理控制、内部控制、风险管理 与COSO内部控制框架结构和要素类似，具体内容存在一些差别,内部控制评价内容与结构,评价存在自愿和强制 评价主体可以是CPA或企业 法规没有对企业的自我评价在方法程序上作出具体规范,内部控制评价与报告,规制现状分析,规制体系的建设方向,1、建立健全相关法案：修改公司法、会计法等相关法规，明确公司的相关责任 规范内部控制标准的制定机制，提高内部控制标准委员会的权威性 建立公司法+会计法+上市公司信息披露规则三位一体的强制实施机制,2、制定和发布统一标准：统一标准。统一平台、内在一致的内部控制概念体系 从公司最佳实践出发，选择泛义内部控制概念，借鉴COSO内部控制和风险管理，考虑公司战略目标，体现内部控制对公司经营管理的价值 在统一内部控制标准的前提下，区分企业规模大小 规定内部控制目标和构成要素等基本内容,3、制定和发布统一的评价实施标准和审计准则：企业内部控制评价实施标准内部控制审计准则 规定基本的评价方法和程序，允许企业根据实际情况作出调整 选择风险基础的评价方法，注重效率和成本效益,5、加强标准的国际协调：内部控制标准的技术属性：接轨与趋同 内部控制标准的经济与政治属性：通过协调，实现互认,建设方向,4、建立上市公司内制部控评价报告体系：报告的责任主体 报告的类型 报告的范围 报告的审计 报告的内容,上市公司内部控制评价报告体系,1、报告的责任主体：以董事会为主，以总经理为辅，由董事长和总经理负责评价和报告内部控制，并对评价结论签字确认,2、报告的类型：对外随年度财务报告一起对外报出，向资本市场及相关部门呈报 对内对监事会、股东大会定期报告企业内部控制的运行情况,3、评价和报告的范围：对外主要针对财务报告内部控制 对内涵盖包括合规、报告、经营和战略目标在内的完整的内部控制,5、报告的内容：对外董事会、管理层要报告中就其有效性形成结论，说明是否有效。注册会计师就被审计单位是否在所有重大方面保持了有效的财务报告内部控制发表意见 对内董事会、管理层对内部控制的设计和运行情况进行评价和说明，报告内部控制存在的问题以及采取的纠正措施,4、评价和报告的审计：对外由董事会、管理层按年度进行评价，形成评价报告和是否有效的结论，并由注册会计师进行审计 对内由董事会、管理层定期进行评价，形成评价报告，向监事会、股东大会定期报告，无需注册会计师审计,主要内容,第一部分 中国企业内部控制评价体系的理论框架第二部分 内部控制的评价规制第三部分 内部控制的评价标准第四部分 内部控制的评价（审计）方法第五部分 内部控制的评价（审计）程序,第三部分 内部控制评价的标准,美国上市公司内部控制评价标准 美上市公司内部控制评价标准比较 中国企业内部控制评价标准的发展方向,美国上市公司企业内部控制评价标准,COSO内部控制整合框架：一般企业、三类目标,评价标准体系,COSO财务报告内部控制小规模公众公司指引：小规模企业、财务报告目标,COSO企业风险管理整合框架：一般企业，四类目标,内部控制要素评估工具COSO，纯技术性,评价实施标准,管理层评价内部控制的解释性指南SEC，半强制性,内部控制5号审计准则 PCAOB，强制性,美国企业内部控制评价标准分析,结 论,具体、规则，可操作性强,广义，选择战略、经营、报告、合规4目标,以实践为基础，满足战略和经营管理需要,考虑不同规模企业内部控制差异,评价标准和实施标准均是原则性的,确保,仅是对法规的一种遵循,效率和成本效益,适用性、实用性和前瞻性,适用性和灵活性,建成体系,完整性、实用性,避免,提高,确保,提高,内部控制评价标准,内部控制评价(审计)实施标准,制定企业内部控制评价规范,作为企业评价内部控制的实施指南，对内部控制评价的基本方法和程序进行规范,制定中国注册会计师其他鉴证业务准则第X号内部控制审计,规范和指导CPA对内部控制的审计,中国企业内部控制评价标准的发展方向,目标,评价标准体系,发展方向,上市公司及大型企业执行企业内部控制基本规范，在企业内部控制基本规范的基础上考虑中小型企业的特殊情况,中国企业内部控制评价标准的发展动态,企业内部控制规范,企业内部控制规范-基本规范,企业内部控制规范-基本规范 解读,企业内部控制具体规范第xx号-采购与付款,企业内部控制具体规范第xx号-合同,主要内容,第一部分 中国企业内部控制评价体系的理论框架第二部分 内部控制的评价规制第三部分 内部控制的评价标准第四部分 内部控制的评价（审计）方法第五部分 内部控制的评价（审计）程序,第四部分 内部控制评价的方法,美国COSO内部控制评价方法SEC自上而下、风险基础评价法PCAOB自上而下、风险基础审计法 其他国家英国风险基础评价法 会计事务所安永自上而下、风险基础评价法普华内部控制评价方法 中国企业内部控制评价方法发展方向,COSO的内部控制评价方法,要素评估工具，,风险评估和控制活动，是通过5项基本价值链活动和支持基本价值链活动的4项基础活动共计25项活动进行评价。,特点与评价,对内部控制的所有组成要素和所有控制活动逐一进行分析和评价,基本不考虑风险大小的区别，对所有的风险和控制活动实施同等水平的详细检查,耗费的人力、时间和费用较多,适用于企业内部控制的建设阶段，不适用于内部控制有效性的的年度定期评价,COSO的内部控制评价方法,成本效益问题产生的原因,自愿评价背景下的灵活性,强制评价背景下的责任约束与过度谨慎,成本效益与效率问题,改进建议,考虑定性和定量因素，实施真正的风险基础方法,应用自上而下的方法，集中于重要的事项；,优化IT控制，提高控制组合的成本有效性,在流程层次应用持续的测试技术，提高结果的可靠性,提高财务报告流程的运行有效性和效率,把管理层对控制的认知与评估过程相结合,自上而下、风险基础评价方法,SEC,评价企业已实施控制的设计，确定这些控制是否充分应对了财务报表的重要错报没有被及时防止或发现的风险,基本原则,根据内部控制风险评估对评价所需要的证据做出风险基础的判断,在自上而下方法中的每一个决策点都要进行风险评估,应当使用自上而下的方法来选择要测试的控制,识别财务报告风险,评价程序,评价财务报告内部控制运行有效性的证据,评价控制缺陷与报告,PCAOB,识别充分应对财务报告风险的控制,识别重大账户、相关认定,识别公司层面的控制,识别主要的交易类别和重要流程,选择要测试的控制,测试设计有效性,测试运行有效性,评价识别出的控制缺陷,英国风险基础评价方法,以风险评估为起点，了解风险，设计、测试和评价内部控制,英国风险基础评价方法,总体上讲是一种风险基础的方法，从企业目标的风险开始，设计和运行内部控制，强调应对重大的风险和内部控制问题。,精品资料网（http:/）,中国企业内部控制评价方法发展方向,思路和方法方法类型方法分析方法选择 设计财务报告内部控制的评价思路和方法合规内部控制的评价思路和方法战略和经营内部控制的评价思路和方法IT内部控制的评价思路和方法,一个适当的内部控制评价思路和方法要满足一些必要的条件，但是在实务中根据内部控制框架或标准对内部控制的有效性进行评价却可以选择不同的起点或切入点。从内部控制评价本身以及目前的发展情况来看，内部控制评价至少存在构成要素评价法和风险基础评价法两种方法。,思路与方法,方法类型,构成要素评价法,否,是,对照,识别和评估企业内部控制目标实现的风险,企业实际的内部控制,识别充分应对目标风险的相关控制,评价相关控制运行有效性的证据,评价控制的设计有效性,评价控制的运行有效性,有效的内部控制,确定是否存在重要弱点,内部控制框架,评价控制缺陷,无效的内部控制,风险基础评价法,特点：从控制到风险，即从内部控制到相关目标实现的风险,特点：从风险到控制，即从内部控制相关目标实现的风险到内部控制,风险基础评价法与构成要素评价法的区别类似于财务报表的详细审计与财务报表的风险基础审计。与构成要素评价法相比，风险基础评价法首先评估实现内部控制相关目标的风险，根据风险评估的结果来进行后续的工作，具有更好的成本效益性和更广泛的适用性和灵活性，评价程序也包括内部控制的设计和运行两个方面，评价结论的可靠性可以达到合理的水平，能够为评价结果提供合理的证据文件支持。构成要素评价法在企业进行内部控制建设时应用较多，但对于上市公司目前的年度有效性评价并不适用，而且，企业在改进和完善现有的内部控制时最好也使用风险基础法。,方法分析,方法选择,政府制定原则基础的企业内部控制评价规范，对企业内部控制评价进行规范和指导,企业实施：报告和合规目标的内部控制，采用自上而下、风险基础的方法；经营和战略目标的内部控制，应当考虑采用修正的自上而下、风险基础法；,我国企业内部控制评价方法的选择,设计财务报告内部控制评价方法,重要错报能够影响财务报表使用人决策的错报，从数量上来看，超过重要性水平，或者从性质上来看，比较严重。可靠的财务报告没有重要错报的财务报告。财务报告风险财务报表发生重要错报的风险。实质性漏洞财务报告内部控制的一个控制缺陷或多个控制缺陷的组合，在这样的情况下导致内部控制没有防止或发现公司年度或中期财务报表的一个重要错报的可能性达到了相当概率(RP)。,概念界定,评价逻辑,设计财务报告内部控制评价方法,设计合规内部控制评价方法,概念界定,重要违规企业可能发生的影响或性质达到重要性水平的违规。企业违规风险企业发生重要违规的风险。实质性漏洞内部控制的一个控制缺陷或多个控制缺陷的组合，在这样的情况下导致内部控制没有防止或发现公司一个重要违规的可能性达到了相当概率。,设计战略和经营内部控制评价方法,重要偏差战略目标和经营目标可能发生的达到重要性水平的偏差。战略目标和经营目标的风险战略目标和经营目标发生重要偏差的风险。实质性漏洞内部控制的一个控制缺陷或多个控制缺陷的组合，在这样的情况下导致内部控制没有防止或发现公司战略目标或经营目标一个重要偏差的可能性达到了相当概率。,概念界定,精品资料网（http:/）,设计IT内部控制的评价方法,1、计划和确定IT控制的范围：复核整个项目记录，并识别应用程序控制 识别范围内的应用程序 识别范围内的基础设施和数据库,2、评估IT风险：评估IT系统导致财务报表发生错误或舞弊的可能性和影响,3、记录控制：记录应用程序控制（自动的或设置的控制和混合的控制）记录IT总体控制（接触，程序开发和变动，以及计算机运行）,4、评价控制的设计和运行有效性：确定所有关键的控制都已记录 测试控制，以确认它们的运行有效性,5、排序和纠正缺陷：通过评估缺陷导致财务报表错误或舞弊的影响和可能性评价它们 考虑是否存在弥补性控制，并能够信赖,6、建立持续性：考虑使控制自动化，以改进它们的可靠性和减少测试的工作 使控制合理化，以删除冗余的和重复的控制,主要内容,第一部分 中国企业内部控制评价体系的理论框架第二部分 内部控制的评价规制第三部分 内部控制的评价标准第四部分 内部控制的评价（审计）方法第五部分 内部控制的评价（审计）程序,第五部分 财务报告内部控制评价的程序,1、组织与准备,5、评价控制缺陷,企业财务报告内部控制评价,2、评估财务报告风险,4、评价财务报告内部控制的运行,3、评价财务报告内部控制的设计,6、评价报告与披露,主 要 内 容,第一部分 总体情况第二部分 研究内容第三部分 企业内部控制评价规范基本规范第三部分 下一步工作计划,第三部分 企业内部控制评价规范基本规范,由于本课题的研究涵盖了企业内部控制评价的主要内容，为制定企业内部控制评价规范奠定了雄厚的基础。根据对企业内部控制评价体系的研究结果，我们编写了企业内部控制评价规范基本规范（建议稿），希望能对制订我国企业内部控制评价规范起到积极的作用。,企业内部控制评价规范,第一章 总则,第二章 企业内部控制评价的组织形式,第三章 企业内部控制评价的目标与内容,第四章 企业内部控制评价的标准与方法,第五章 企业内部控制评价的程序,第六章 评价报告与披露,第三部分 企业内部控制评价规范基本规范（建议稿）,第一章 总则制定目的规范的内容适用范围术语界定基本原则规范的性质 第二章 企业内部控制评价的组织和形式董事会的责任评价组织评价形式,评价规范的架构和主要内容,第三章 企业内部控制评价的目标与内容评价目标合理保证评价内容 第四章 企业内部控制评价的方法评价依据评价方法,评价规范的架构和主要内容,