企业内部控制规范和内部控制评价.ppt

,内部控制规范和内部控制评价,2009年4月,第 0 页,本报告介绍内容,第一部分：内部控制基本规范第二部分：内部控制评价方法,第 1 页,第一部分,内部控制基本规范介绍,企业内控制度概述内控制度五大目标内控制度五大原则内控制度五大要素,第 2 页,中国内部控制体系财政部出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法,企业内部控制基本规范企业内部控制评价指引（征求意见稿）企业内部控制应用指引（征求意见稿）企业内部控制鉴证指引（征求意见稿）,规的形式要求上市公司对本公司内部控制的有效性进行自我评价。证券交易所、行业监管机构均出台了一系列的内部控制指引，为企业建立和实施内部控制制度提供行业性指引。企业内部控制基本规范的三项指引正在征求意见过程中。企业内部控制评价指引具体规范了内控评价,上市公司内控指引上交所内控指引深交所内控指引证券交易所,行业内控指引商业银行内控指引证券公司内控指引寿险公司内部控制评价办法行业监管机构,的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。企业内部控制应用指引具体提出22个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。企业内部控制鉴证指引为指导注册会计师执,行内部控制鉴证业务的具体指引。第 3 页,内部控制基本规范,基本规范执行的时间,根据财政部、证监会、审计署、银监会、保监会关于印发企业内部控制基本规范的通知，企业内部控制基本规范（以下简称“基本规范”）自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。,基本规范适用的范围,根据本规范第一章总则第二条，本规范适用于中华人民共和国境内设立的大中型企业。,小企业和其他单位可以参照本规范建立与实施内部控制 大中型企业和小企业的划分标准根据国家有关规定执行,第 4 页,度,内部控制基本规范,为么加企的部制,什要强业内控制,满足外部监管机构的要求完善业务流程，提高公司管理和控制水平与效率完善规章制度，明确职责，加强监督更好的理解企业所面的风险，有效地规避风险,全面风险管理将成为企业管理的标准规范第 5 页,内部控制的五大目标,内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程：,目标1，合理保证企业经营管理合法合规目标2，资产安全,目标3，财务报告及相关信息真实完整目标4，提高经营效率和效果目标5，促进企业实现发展战略,第 6 页,内部控制五大目标对内部控制目标的阐述,COSO内部控制整体框架经营的效率和效果财务报告的可靠性法律法规的遵循性,财政部企业内部控制基本规范提高经营效率和效果资产安全财务报告及相关信息真实完整合理保证企业经营管理合法合规,促进企业实现发展战略第 7 页,内部控制五大原则,全面性原则重要性原则制衡性原则适应性原则成本效益原则,*注释：摘自企业内部控制基本规范第 8 页,内部控制五大原则,（一）全面性原则,内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（摘自企业内部控制基本规范）,内部控制应覆盖企业的各项业务活动、各个部门和各级人员，并应针对业务处理过程中的关键控制点，将内部控制活动渗透到决策、执行、监督等各个经营环节，即要在企业内部实行全过程、全员性的控制，不能存在内部控制活动的空白点。,第 9 页,内部控制五大原则,（二）重要性原则,重要性原则要求企业在对各项经济业务活动实施全面,控制的基础上，要有针对性的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。（摘自企业内部控制基本规范）,对重要性的应用需要一定的专业判断，企业应当根据所处行业环境和自身经营特点，从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。,第 10 页,内部控制五大原则,（三）制衡性原则,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（摘自企业内部控制基本规范）,制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。,横向：完成某个环节的工作需有来自彼此独立的两个部门或人员协,调运作、相互监督、相互制约、相互证明；,纵向：完成某个工作需经过互不隶属的两个或两个以上的岗位和环,节，以使下级受上级监督，上级受下级牵制。,第 11 页,内部控制五大原则,（四）适应性原则,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（摘自企业内部控制基本规范）,内部控制随着企业内外环境的变化，其控制效果也会发生改变。一些原本效果较好的控制制度，可能会随着环境的改变而失效。因此，企业内部控制应当具有前瞻性，应当随着国家法律法规、政策制度等外部环境的改变和企业经营战略、经营方针、经营理念等内部环境的变化及时进行相应的修改或完善。,企业应当适时地对内部控制制度进行评估，以发现可能存在的重大,缺陷，并及时采取措施予以补救。,第 12 页,内部控制五大原则,（五）成本效益原则,内部控制应当权衡实施成本与预期效益，以适当的成本实现有效的控制。（摘自企业内部控制基本规范）,内部控制的任何分工、审核、制衡，都必须考虑是否符合成本效益原则。企业内部控制的设计一定要考虑控制投入成本和控制产出效益之比。如果某项控制的成本高于其效益，则不应当采用该项控制。,企业应从整体利益角度来综合判断某项控制是否符合成本效益原则。尽管一些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时就应该实施该项控制。,企业应当充分发挥各部门及人员的工作积极性，尽量降低经营运作成本,，保证以合理的成本达到最佳的内部控制效果。,第 13 页,内部控制五大原则（五）成本效益原则,国外经验举例内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。*调查发现:,第一年美国上市企业萨班斯法案合规平均成本(2004年)第四年美国上市企业萨班斯法案合规平,440万美元*170万美元*,均成本(2007年)下降原因:2006年起采用了“自上而下的风险评估”方法进行内控工作，专注于高风险领域。*注释:摘自企业内部控制基本规范*注释:该调查出自Financial Executives International Press release*注释:该调查出自FEI Survey:Average 2007 SOX Compliance Cost$1.7 Million第 14 页,内部控制五大原则（五）成本效益原则国外经验举例调查发现：*,2007年,2006年,内控工作加强了财务报告的准确性内控工作加强了财务报告的可靠性内控工作加强防止及查找舞弊行为投资者对企业的财务报告更有信心,50%同意56%同意44%同意69%同意,46%同意48%同意34%同意60%同意,*注释:该调查出自Financial Executives International Press release第 15 页,内部控制五大要素基本规范中所描述的内部控制要素,战,略,经,营,财,务,合,规,内部环境,风险评估控制活动,公司层面,业务分部,业务单元,子公司,信息与沟通内部监督第 16 页,内部控制五大要素（一）内部环境内部环境是实施内部控制的基础，在基本规范中主要包括以下几点规范的公司治理结构和议事规则机构设置及权责分配,审计委员会内部审计人力资源政策企业文化建设,法律顾问制度及重大法律纠纷案件备案制度第 17 页,内部控制五大要素（一）内部环境建立规范的公司治理结构和议事规则*股东大会,表决权决策权,行使企业经营方针、筹资、投资、利润分配等重大事项的表决权董事会对股东大会负责，依法行使企业的经营决策权,监事会,对股东(大)会负责,监督企,监督,经理层,业董事、经理和其他高级管理人员依法履行职责,经营管理,负责组织实施股东（大）会、董事会决议事项，支持,企业的生产经营管理工作*注释:摘自企业内部控制基本规范第 18 页,内部控制五大要素（一）内部环境内部控制的建立与实施*,董事会监事会经理层执行层*注释：摘自企业内部控制基本规范第 19 页,建立健全内部控制并有效实施。对董事会建立与实施的内部控制进行监督。组织领导企业内部控制的日常运行。专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。,内部控制五大要素（一）内部环境良好的内审职能,独立独立于管理和营运单位，能做出客观的分析和判断审计具备审计知识和经验来准确地判断审计结果第 20 页,公正,权利得到高级管理层的有效支持，有效推动内审的策划与实行行业知识具备行业知识来有效地执行审计程序,内部控制五大要素（一）内部环境人力资源政策*,人力资源政策,根据企业的具体情况制定和实施有利于企业可持续发展的人力资源政策。制定明确的人力资源管理制度人力资源管理制定明确，透明和有相应文档记录的规章制度。机构、岗位设置与分析对机构和岗位设置进行分析，确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。*注释:摘自企业内部控制基本规范第 21 页,内部控制五大要素（一）内部环境职业道德修养及专业胜任能力*职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准加强员工培训和继续教育,提升员工素质,高级管理人员发挥主导作用，加强企业文化建设建立并贯彻员工行为守则*注释：摘自企业内部控制基本规范第 22 页,内部控制五大要素（一）内部环境企业文化建设*高级管理人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础培养积极向上的价值观和责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理理念,强化风险意识,建立并贯彻员工行为守则*注释：摘自企业内部控制基本规范第 23 页,法律顾问*作为上市公司，必须接受国家和证券监管部门颁布的法律法规监管，这是市场经济法则的客观要求，为达到这些目标，企业应当,加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法律观念严格依法决策、依法办事、依法监督建立健全法律顾问制度和重大法律纠纷案件备案制度*注释：摘自企业内部控制基本规范第 24 页,内部控制五大要素（二）风险评估内部控制的目标合理保证企业经营管理合法合规,资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略全面系统持续地收集相关信息，结合实际情况，及,*注释:摘自企业内部控制基本规范第 25 页,时进行风险评估,*,内部控制五大要素（二）风险评估内部风险识别,管理因素,安全环保因素 自主创新因素,财务因素,人力资源因素,组织结构,营运安全,技术投入,财务状况,职业操守,经营方式,员工健康,信息技术,经营成果,专业胜任能力,资产管理,环境保护,研究开发,现金流量,团队精神,业务流程,*注释：摘自企业内部控制基本规范第 26 页,内部控制五大要素（二）风险评估*外部风险识别,经济因素经济形势产业政策,法律因素法律法规监管要求,社会因素安全稳定文化传统,行业技术因素技术进步工艺改进,自然环境因素自然灾害环境状况,融资环境市场竞争资源供给,社会信用教育水平消费者行,为*注释：摘自企业内部控制基本规范第 27 页,内部控制五大要素,（二）风险评估,对辨识出的风险及其特征，以及对企业战略发展的影响层面进行明确的定义和描述，结合定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险*,*注释：摘自企业内部控制基本规范,第 28 页,内部控制五大要素（二）风险评估风险应对策略*,风险规避风险降低风险分担风险承受,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。企业对风险承受度之内的风险，在权衡成本效益之后，,不准备采取控制措施降低风险或者减轻损失的策略。*注释：摘自企业内部控制基本规范第 29 页,内部控制五大要素,（三）控制活动,控制措施*,控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯彻执行,控制活动必须与风险评估是一个整体,*注释:摘自企业内部控制基本规范,第 30 页,内部控制五大要素（三）控制活动各种控制措施的综合运用预防性控制及发现性控制风险可承受度,第 31 页,手工控制及自动控制,管理控制及监督控制,内部控制五大要素（三）控制活动控制措施举例*,绩效考评控制,财产保护控制,授权审批控制会计系统控制,控制措施,预算控制运营分析控制,不相容职务分离控制*注释：摘自企业内部控制基本规范第 32 页,内部控制五大要素,（四）信息与沟通,信息与沟通*,信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制,及时准确的最新信息,所有层次上对信息、期望和责任的沟通内部与外部的沟通,*注释:摘自企业内部控制基本规范,第 33 页,内部控制五大要素（四）信息与沟通信息的收集合理的筛选、核对、整合可提高信息的有用性,内部信息,财务会计资料经营管理资料调研报告内部刊物办公网络等渠道,外部信息,行业协会组织/监管部门社会中介机构业务往来单位市场调查,网络媒体等渠道第 34 页,内部控制五大要素,（四）信息与沟通,建立信息与沟通制度*,内部控制相关信息的收集,信息的处理与传递,信息的及时沟通,信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。,*注释：摘自企业内部控制基本规范,第 35 页,内部控制五大要素,（四）信息与沟通,信息沟通中发现问题应及时报告并加以解决*,重要信息应当及时传递给董事会、监事会和经理层*,*注释：摘自企业内部控制基本规范,第 36 页,内部控制五大要素,（四）信息与沟通,信息技术,企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。,*注释：摘自企业内部控制基本规范,第 37 页,内部控制五大要素,（四）信息与沟通,反舞弊机制*,企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,*注释：摘自企业内部控制基本规范,第 38 页,内部控制五大要素,（四）信息与沟通,反舞弊工作重点*,采用未经授权等方式侵占、挪用企业资产，牟取不当利益,董事、监事、经理及其他高级管理人员滥用职权,在财务会计报告和信息披露等方面存在虚假记录、误导性陈述或者重大遗漏,相关机构或人员串通舞弊,*注释：摘自企业内部控制基本规范,第 39 页,内部控制五大要素（四）信息与沟通举报投诉制度*为确保举报、投诉成为企业有效掌握信息的重要途径，企业应当：,设置举报专线,明确举报投诉处理程序、办理时限和办理要求将举报投诉制度及时传达至全体员工*注释：摘自企业内部控制基本规范第 40 页,内部控制五大要素,（四）信息与沟通,举报人保护制度,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。,举报投诉制度和举报人保护制度应当及时传达至全体员工。*,*注释：摘自企业内部控制基本规范,第 41 页,内部控制五大要素,（五）内部监督,内部控制监督制度,企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求*,内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障,*注释：摘自企业内部控制基本规范,第 42 页,*,内部控制五大要素（五）内部监督内部控制缺陷认定标准企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告*其中，内部控制缺陷包括：,设计缺陷运行缺陷,注释：摘自企业内部控制基本规范第 43 页,内部控制五大要素,（五）内部监督,内部控制自我评价,基本规范中要求，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。*,*注释：摘自企业内部控制基本规范,第 44 页,建设内部控制体系的步骤实施基本规范，企业必须建立一套与企业战略目标相一致的，均衡的风险管理方法和基于企业整体运营的内部控制体系，该内部控制体系应该切实满足企业内、外部两方面的要求。内部控制体系建设工作的主要步骤包括：,内部控制意识及基础设施的建立内审/内控合规部门/职能的运作体系和资源配置编制内部控制政策、内控评估执行方案建立内部控制文档保存制度开展风险和内部,内部控制的评估及确认建立风险评估的方法通过访谈、问卷、穿行/控制测试等活动，完成内控评估工作确认相关的流程、内控、缺陷和整改工作,整改及确认对已被识别的控制缺陷进行确认参照最佳实务，管理层制订整改方案及时间表对整改后的控制点进行再测试定期对内部控制制定测试方案,汇报制订各级单位内控管理工作汇报与沟通的内容、形式及程序定期自下而上对内控工作中发现的问题进行汇报管理层定期自上而下了解各级内,监督建立内部控制监督体系、包括管理层、内审部门负责人及职能等定期进行监督考评内控工作的成效内控建设和绩效考核相结合,控制的培训建立完善的内部控制体系第 45 页,控工作的情况以及重大缺陷,第二部分 内部控制制度的评价,基本规范中要求，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。,第 46 页,实施风险评估,确定内控评价范围,对控制环节进行,记录、测试和评价,缺陷及整改,管理层内部,控制评价报告,识别关键业务风险,对关键业务风险进行评,估,制定重要性水平，识别,财务报告重要组成要素,识别财务报告风险应关,注的重要业务流程/IT,系统,企业层面,流程层面,识别并记录缺陷,缺陷的汇总和评价,制定整改方案并跟踪,整改落实的进度,对整改的结果进行再,测试和评价,基于管理层测试的,结果，作出内部控,制有效性的结论,管理层编制内部控,制自我评价报告,将关键风险和重要流程,相对应，识别需评价的,重要业务流程/IT系统,确定企业层面、流程层,面和IT层面的内控评价,范围,定义缺陷认定标准、,表述方式及统计口径,评价设计有效性和运,行有效性,内部控制评价的整体实施方法,实施风险评估确定内控评价范围识别关键业务风险对关键业务风险进行评估制定重要性水平，识别财务报告重要组成要素识别财务报告风险应关注的重要业务流程/IT系统,对控制环节进行记录、测试和评价企业层面确定企业层面评价的关键控制内容进行问卷调查、访谈、审阅文档等评价工作流程层面记录和理解交易流程和相关内控,缺陷及整改识别并记录缺陷缺陷的汇总和评价制定整改方案并跟踪整改落实的进度对整改的结果进行再测试和评价,管理层内部控制评价报告基于管理层测试的结果，作出内部控制有效性的结论管理层编制内部控制自我评价报告,将关键风险和重要流程相对应，识别需评价的重要业务流程/IT系统确定企业层面、流程层面和IT层面的内控评价范围第 47 页,基于对控制的记录和理解进行必要的测试程序定义缺陷认定标准、表述方式及统计口径评价设计有效性和运行有效性与管理层持续有效的沟通,企业层面评价实务,第 48 页,企业层面评价实务,企业层面的内部控制评估的重要性,企业层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。,其结果将会影响管理层对内部控制其他方面的评估工作。,企业层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。,第 49 页,第一步,第二步,第三步,第四步,第五步,第六步,企业层面评价实务企业层面内控评价的方法和一般步骤,第一步第二步第三步第四步第五步第六步第 50 页,明确企业层面内部控制工作的范围设计企业层面调查问卷和问题清单下发和初步填制调查问卷问卷初步审阅、访谈确认及问卷修改获取并审阅支持性文档、完成测试汇总并确认发现问题,企业层面评价实务,第一步,明确企业层面内部控制工作的范围确定在企业不同层级（各分支机构/部门）应考虑的部分,索引号ABCDEFGHIJKLM,重要的控制领域公司治理结构公司组织架构、政策与流程内部审计人力资源程序员工行为守则管理层基调与态度风险识别、评估与管理内部控制活动战略、经营计划与经营业绩分析会计系统控制信息与沟通反舞弊程序投资策略与管理,总部,营业部,第 51 页,企业层面评价实务,第二步,设计企业层面调查问卷和问题清单,一，设计企业层面调查问卷调查问卷的组成要素考虑包括以下内容：控制要求实际操作描述规章制度索引/实施记录索引负责部门控制设计缺陷第 52 页,企业层面评价实务,第二步,设计企业层面调查问卷和问题清单,设计企业层面调查问题清单针对细化的控制要求设计调查问题清单其中控制要求应根据确定的关键控制领域的法规要求进行细化和明确。可根据公司的实际情况，设计分部门的调查问题清单，以协助相关部门管理人员更好地理解控制要求；该调查问卷控制问题清单由相关负责部门进行填写；如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，以保证其内容的一致性和逻辑关系的连贯性。第 53 页,企业层面评价实务,第三步,下发和初步填制调查问卷,编制调查问卷填写指引：明确调查问卷每项内容的填写要求；规范各部门填写调查问卷，保证填写的质量；方便内控评价人员对填写的问卷进行审阅。第 54 页,企业层面评价实务,第四步,问卷初步审阅、访谈确认及问卷修改,问卷初步审阅：问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握；问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充；问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进行讨论；第 55 页,企业层面评价实务,第四步,问卷初步审阅、访谈确认及问卷修改,访谈确认及问卷修改：访谈前应详细阅读企业层面内部控制的调查问卷，归纳相关部门所涉及的问题，并据此准备访谈提纲以及相应需要提供的支持性文档清单；在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；访谈后，及时整理访谈内容，修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）第 56 页,企业层面评价实务,第五步,获取并审阅支持性文档、完成测试,审阅支持性文档获取调查问卷中提及的支持性文档，并在支持性文档清单中进行汇总；审阅文档内容是否能满足了控制要求，是否有重大遗漏；文档索引编号应与调查问卷一致。第 57 页,企业层面评价实务,第五步,获取并审阅支持性文档、完成测试,记录企业层面控制测试过程：可编制测试底稿填写指引保证测试底稿的规范性；测试底稿应与企业层面内部控制调查问卷进行索引；测试底稿内容应完整,如：底稿对应的控制、控制内容、控制编号、访谈人、时间、执行性文档名称及索引号等；在测试中，有若干个控制需要随机选取25名员工进行访谈。建议这些测试的选用相同的样本-即与25名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿中。并且在测试底稿中需要保留选取25名员工的轨迹。第 58 页,企业层面评价实务,第五步,获取并审阅支持性文档、完成测试,企业层面内控测试可以借助工作底稿来完成。内控测试工作底稿建议设置以下栏目：测试步骤编号，测试步骤内容，访谈对象，访谈日期，审阅的文档名称，审阅的文档编号，访谈结果或审阅文档能否支持控制活动的存在与有效性，注释，是否为缺陷，缺陷索引等。第 59 页,企业层面评价实务,第六步,汇总并确认发现问题,对内控发现问题进行汇总和报告：对问卷填写与控制测试中发现的所有控制缺陷，按一定规则进行编号与汇总；整改建议需要由问卷和测试的填写人与执行人在问卷和测试填写完成后与相关部门管理层讨论后拟定完成；整改建议必须切实可行，内容具体而充分，如：由XXX部门通过XXX方式建立XXX制度/流程；评估控制缺陷的风险级别，建议由内控评价负责评估及填写。第 60 页,企业层面评价实务,第六步,汇总并确认发现问题,可通过“企业层面发现问题汇总表”来汇总相关信息。企业层面发现问题汇总表可设置一下栏目：缺陷编号，控制领域，控制要求编号，缺陷内容，整改建议，涉及部门及责任人，管理层反馈及对策，负责缺陷部门的责任人，预计解决时间等第 61 页,流程层面评价实务,第 62 页,流程层面评价实务,流程层面评价的一般步骤,第一步.了解重要业务流程,第二步.根据业务流程描述，识别风险与控制,第三步 执行穿行测试,第四步.执行控制测试,第五步.汇总和报告发现问题,第 63 页,流程层面评价实务,第一步 了解重要业务流程,流程描述,详细记录流程中所涉及的交易被初始、授权、处理、记录和报告的过程；,应考虑在流程中由谁、在何时、何地、进行何种交易、如何进行以及交易目的；,应清晰地记录交易数据从初始到报告的流转过程，包括：关键的活动、决策点、活动中使用的或产生的资料，以及活动是人工/系统进行的。,第 64 页,流程层面评价实务,第一步.了解重要业务流程,流程图,流程图的作用：,使我们较为直观和系统地了解整个业务流程的关键活动和决策点清晰地显示业务/交易数据和资料在各部门间的流转过程更容易辨别主要风险点和与之相关的控制(或不足的控制）更容易辨别有问题的部分和获得机会提高的可能性,主要元素包括：,主要输入资料,重要数据，文档信息和相关记录,重要处理程序，包括更改和重新处理的程序，以及决策点重要的输出文档，记录和报告职责独立的功能,第 65 页,流程层面评价实务,第二步.根据业务流程描述，识别风险与控制,识别流程中的风险（什么会出错），可考虑以下问题：,要使流程达到其目的或者正确报告其结果，哪些环节一定要做对；,流程中什么地方出错会使其无法实现其目标；流程中的固有风险；,在交易流程过程中可能发生错误和损失的地方；,识别关键控制点：,规避风险，实现控制目标最有影响的一个或多个控制,第 66 页,流程层面评价实务,第三步.执行穿行测试,具体步骤：,选取样本,获取原始单据、跟踪交易全过程；,例如：销售流程通常包括：合同月度销售计划收款开具提货单计量发货编制结算凭证帐务处理对帐记录测试过程、复印留存相关文档并在复印件上逐一编号填写穿行测试底稿,将穿行测试底稿及复印的相关文档妥善归档,第 67 页,流程层面评价实务第三步.执行穿行测试底稿的基本内容底稿的基本信息,样本描述测试过程的描述发现问题描述,控制设计有效性的结论第 68 页,流程层面评价实务,第四步.执行控制测试,控制测试的目的,确认控制如管理层所理解的那样运行与实施；确认控制在整个相关期间内完整运行与实施；获取充分的证据以支持管理层内控评价有效性的结论,控制测试的对象,在了解重要流程过程中识别的关键控制点：包括直接的企业层面控制和流程层面控制,第 69 页,流程层面评价实务第四步.执行控制测试工作底稿的内容底稿的基本信息样本量，样本覆盖期间测试的步骤与性质测试的记录与差异,发现问题,测试结果：控制执行有效性的结论第 70 页,流程层面评价实务,第四步.执行控制测试,内控评价与测试的方法（评价指引）,个别访谈法：是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。,调查问卷法：是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。,比较分析法：是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。标杆法：是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。,穿行测试法：是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。,抽样法：是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。,实地查验法：是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。,重新执行法：是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。,第 71 页,流程层面评价实务,第五步.汇总和报告发现问题,发现问题汇总表（建议设置以下栏目）,问题编号/涉及财务报表科目/涉及的业务流程及编号/涉及的业务子流程及编号/风险类别/问题出现阶段/问题类型（设计问题还是执行问题）/对发现问题及产生原因的具体描述/涉及科目和金额/内控缺陷评价（重大缺陷/重要缺陷/一般缺陷）/建议的改进措施/该控制涉及的部门/部门责任人/分部管理层对此问题的回应/改进措施计划完成的时间等。,第 72 页,缺陷与报告内部控制缺陷的认定当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时防止或发现差错，则控制缺陷存在。内部控制缺陷,设计缺陷当存在设计缺陷时，表明：必要的控制或控制的必要成分缺失无法达到控制目标现有的控制设计不当，即使按设计执行后仍无法满足控制目标。第 73 页,运行缺陷当存在运行缺陷时，表明：一个设计合理的控制未能按预期执行执行控制的人员没有执行所需的授权或能力，导致无法有效执行该控制,缺陷与报告,内部控制缺陷的认定,企业需要从定性和定量两方面进行衡量，判断是否构成内部控制缺陷。如果下列情况之一存在，需认定内部控制存在设计或运行缺陷：,未实现规定的控制目标,未执行规定的控制活动,突破规定的权限,不能及时提供控制运行有效的相关证据,第 74 页,缺陷与报告,内部控制缺陷的分类,企业应当根据内部控制缺陷影响整体控制目标实现的严重程度，对缺陷进行分类。,一般缺陷,重要缺陷：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注；,重大缺陷（也称实质性漏洞）：一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形；,第 75 页,缺陷与报告,内部控制缺陷的分类举例,合理确定相关目标发生偏差的可容忍水平，制定缺陷认定标准，从而对严重偏离的情形予以确定，以下为缺陷认定标准的简单举例：,一般缺陷 缺陷可能对日常运营带来轻微的影响；可能导致轻微的人身伤害；业务影响情况可以立刻得到较为有力的控制；为公司带来轻微的财务损失；造成的负面影响在部分区域流传，给公司声誉带来明显损害。,重要缺陷 缺陷可能对日常运营造成一定程度的影响；可能导致需要进行医疗救护的人,身伤害；,为公司带来一定程度的财务损失；其造成的负面影响波及范围较广，在部分地区给公司,声誉带来较为严重的损害。,重大缺陷 缺陷可能引起重大的业务失误；可能导致发生人身伤亡；为公司带来极大财,务损失；,其造成的负面影响波及范围极广，普遍引起公众关注，给公司声誉 带来无法弥补的损,害；政府或监管机构已经针对相关方面进行调查。,第 76 页,缺陷与报告,判断和认定内部控制缺陷的考虑因素,影响整体控制目标实现的多个一般缺陷的组合是否构,成重大缺陷,针对同一细化控制目标所采取的不同控制活动之间的,相互作用,针对同一细化控制目标是否存在其他补偿性控制活动,第 77 页,缺陷与报告,财务报告内部控制出现重大缺陷的一般迹象,大量的审计调整或重新分类,对以前发表的财务报表进行重报，以反映对错误或舞弊导致的错报的纠正审计师发现的公司当期财务报表的重大错报，但该错报没有被公司有关财务报告的内部控制首先发现（即使管理层随后对错报进行了纠正，这也是存在实质性漏洞的强烈迹象）,公司审计委员会对公司外部财务报告及对随财务报告内部控制的监督失效对需要设立内部审计职能或风险评估职能来进行有效监控或风险评估的公,司而言，如大型或综合性公司，这些职能失效,对监管严格行业的复杂公司，合规性监管职能失效，该违规行为可能对财,务报告的可靠性产生重大影响,涉及高层管理人员的任何程度的舞弊行为,已向管理层和审计委员会汇报的重要缺陷，经过合理期限后仍然没有被整,改,控制环境失效,第 78 页,4、内部控制缺陷,缺陷与报告,内部控制有效性的认定,-对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的,-对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该整体控制目标的内部控制是无效的,-对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效的情形，内部控制评价机构应当充分考虑该项业务流程及相关控制的重要性，确定其对整体控制目标有效性评价的影响,第 79 页,缺陷与报告,内部控制评价报告的内容,内部控制评价的目的和责任主体,内部控制评价的内容和所依据的标准内部控制评价的程序和所采用的方法,衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法,被评估的内部控制整体目标是否有效的结论,被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响,造成重大缺陷的原因及相关责任人,所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等,*企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容,第 80 页,训,实施内控规范的时间安排建议的整体时间安排估计和具体各阶段重要工作内容如下图所示，更精确的时间安排和工作步骤有待和管理层进一步商讨确定：,阶段一前期准备（2个月内）组建项目管理办公室，项目初步计划与人员安排基础技术及管理方面培训风险评估，确定项目范围，选择各子公司合适的,阶段二设计和试点工作（3个月）针 对试点 参与 人员进 行评价 方法 的培开 展试点 机构 的评价工作制 定缺陷 认定 标准，发现问 题并 提出改进方案,阶段三（一）重点推广（34个月）对稽核部全体人员进行内控测试与评价方法的培训从企业层面、流程层面和IT层面进行重点推广机构的评价工作发现问题，实施整改,阶段三（二）全面推广（34个月）从企业层面、流程层面 和IT层面进行全面推广机构的评价工作发现问题，实施整改,阶段四管理层评价和披露（46个月）稽核部对内部合规控制工作进行管理层测试内部控制评价及整改工作结果的上报及汇总工作工作结果汇总与管理层评价内部控制自我评价报告的披露建立日常化的内控评价体系,试点直属分支机构、重要业务和重要流程提出并讨论内控梳理及评价的工作模板（覆盖各,在 标准模 板基 础上，结合各 直属 分支机 构实际 的操 作情况、形成一套 贵公司 适用的 全面 的覆盖 各业务 和流 程的,主要的业务）,评价模板,持续报告并汇总内控缺陷的发现并实施整改,2009年1月,2个月,6个月,9个月,12个月,14个月,16个月,2010年4月第 81 页,