内部控制自我评价方法介绍.ppt

内部控制自我评价方法介绍（培训材料）德勤华永会计师事务所有限公司企业风险管理服务2009年7月,1,主要内容,我国内部控制相关的监管要求 财政部层面,我国内部控制相关的监管要求上交所层面,公司内控自评报告格式“内容精简、责任明确、问题清晰”规定报告内容为：内控目标、内控固有局限性、考虑了哪些方面内控基本要素、公司是否存在重大缺陷、审计师审计意见（重大缺陷包括但不限于：企业会计报表及其附注存在重大不真实、不准确或不完整的情况；被有关部门或监管机构处罚；因内控失效而导致的资产发生重大损失；高管舞弊等情形。如存在这些缺陷公司已采取的整改措施包括哪些方面，并指明尚未整改完毕的重大缺陷和预计整改完成的时间）鼓励上市公司聘请审计机构对公司内部控制进行核实评价，公司聘请审计机构对公司内部控制进行核实评价的，应披露审计机构对公司内部控制的核实评价意见。上市公司应将董事审议内控报告的工作底稿提交各董事。董事必须亲自填写工作底稿，工作底稿中明确了董事在审议内控报告之前，至少应关注到的内容，形成对上市公司内控报告审议的依据。上市公司则应为董事填写工作底稿有关内容提供便利，并将工作底稿作为董事会会议记录的一部分，按规定保存。,上交所年报工作布置要点提示,5,建立一个健全的内部控制制度是公司高级管理层的职责,必须的工作：1.明确内控检查监督的专门职能部门2.确定并记录公司现有的内部控制流程，包括公司层面和部门层面，涵盖各业务流程环节和各项公司管理制度3.持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制,6,管理层对于内部控制执行的自我评估以及检查监督,必须的工作：1.制定内控监督检查办法和年度内部控制检查监督计划;跟踪内部控制执行缺陷并确保缺陷得到及时改进2.对关键控制点进行监督检查并记录检查结果;生成内部控制检查监督工作报告并每半年呈交董事会3.董事会或审计委员会审核内部控制检查监督工作报告；并以此为基础制作内部控制自我评估报告并形成董事会决议4.披露内部控制自我评估报告以及会计师事务所对该报告出具的核实评价意见,积极响应外部监管要求公司作为上市公司，财政部要求于2009年7月1日起，按五部委联合颁布的企业内部控制基本规范建立健全内部控制体系，并建立长效机制对内控有效性进行持续维护、自评及测试。,内部控制自我评价的意义,踏实提高公司整体管理水平公司将借助内部控制体系的建设，进一步梳理完善公司现有管理政策体系，提高经营管理水平和风险防范能力，提高公司综合竞争力，促进公司可持续发展。,内部控制自我评价的意义,内控自我评估主要步骤介绍,管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制 进行培训 将内控项目计划承交董事会审阅进行风险评估确定项目范围,选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制,董事会审核内部控制自我评价报告；披露内部控制自我评价报告以及会计师事务所对该报告出具的核实评价/审计意见,制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成内部控制自我评价报告承交董事会,主要步骤,项目阶段,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制 进行培训 将内控项目计划承交董事会审阅进行风险评估确定项目范围,主要步骤,项目阶段,关键事项管理层委任项目领导及项目小组高层重视并直接参与非常重要；管理层事先将内控项目计划向董事会汇报符合上交所指引的精神：以董事会为内控制度之完整合理、实施有效之责任主体制定分批/分对象因材施教的培训计划，增进全员意识。根据管理层需求制作培训材料；分批/分对象地实施培训。,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤1：机构设立和计划阶段,管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制 进行培训 将内控项目计划承交董事会审阅进行风险评估确定项目范围,主要步骤,项目阶段,项目成果制定项目小组制度，以及专门委派的职能部门或项目小组定义项目职责分工制定项目实施具体计划制定分批/分对象的培训计划，制作培训材料；分批/分对象地实施培训。明确的范围界定。,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤1：机构设立和计划阶段（续）,主要步骤,项目阶段,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,关键事项对试点公司以风险评估为基础，有侧重点地选择哪些下属部门/公司的、哪些业务环节需要重点关注。对关键内控控制进行记录，形成内控手册通过记录，与最佳实践和监管机构要求进行对比，辨识内部控制设计缺陷；对业务流程进行穿行测试，辨识内部控制实施缺陷；对关键控制点进行执行有效性测试，辨识内部控制执行有效性缺陷建立和推广内部控制标准文档模版。对在内控推广中发现的控制缺陷，确定和设计整改方案；整改方案将为管理层增加价值，并非只是为了符合指引要求，而是对公司的规范运作和长远发展有利,项目主要步骤2：建立健全内控制度（自我评估）,选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制,主要步骤,项目阶段,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目成果记录整理内控控制进行文档化形成标准的内控文档纳入范围的子公司的内控文档就推广中发现的内控缺陷，编制内控缺陷汇总报告和改进跟踪表；,项目主要步骤2：建立健全内控制度（自我评估）,选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案,主要步骤,项目阶段,关键事项跟踪掌握整改方案的改进情况，并且根据新的业务流程更新内控文档,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤2：建立健全内控制度（整改及持续监督）,持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制,主要步骤,项目阶段,项目成果更新的内控文档,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤2：建立健全内控制度（整改及持续监督）,持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制,主要步骤,项目阶段,关键事项在制定内控监督检查办法和年度内控检查计划时亦应当进行风险评估，使有限的资源被有侧重地运用到高风险的领域抽检管理层的内控文档，通过检查和必要的抽样测试等手段确认内控文档是否准确填写，并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合指引中内控框架下“检查监督”层面的精神跟踪监控整改方案的实施情况，确认整改是否被有效落实起草内部控制自我评价报告,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤3：内控自我检查监督和汇报阶段,制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成内部控制自我评价报告承交董事会,主要步骤,项目阶段,项目成果符合性测试计划检查和必要的抽样测试的测试程序、方法和具体计划。内部控制自我评价报告草稿,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成内部控制自我评价报告承交董事会,项目主要步骤3：内控自我检查监督和汇报阶段,董事会或审计委员会审核内部控制检查监督工作报告；并以此为基础制作内部控制自我评价报告并形成董事会决议披露内部控制自我评价报告以及会计师事务所对该报告出具的核实评价意见,主要步骤,项目阶段,关键事项董事会是公司内控制度之完整合理、实施有效之责任主体董事会应当根据董事会议事规则以及其它相关法规的要求，采取适当的步骤和取得充分的资料，来支持其对公司内控的年度决议，这些资料既应包括检查监督部门递交的内部控制检查监督工作报告；也应包括管理层提交的其他支持性文件，包括管理层的内控文档等。,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤4：董事会报告及披露阶段,董事会或审计委员会审核内部控制检查监督工作报告；并以此为基础制作内部控制自我评价报告并形成董事会决议披露内部控制自我评价报告以及会计师事务所对该报告出具的核实评价意见,主要步骤,项目阶段,项目成果根据董事会议事规则以及其它相关法规的要求，制定董事会内部控制检查监督清单（Checklist），并制定董事会内部控制资料检查制度，制度中规定董事会应采取的适当步骤，来支持其对公司内控的年度决议或有重大内部控制缺陷时的披露程序董事会拟定内部控制自我评估报告并披露,机构设立和计划阶段,建立健全内控制度阶段,董事会报告及披露阶段,内控自我检查监督和汇报阶段,项目主要步骤4：董事会报告及披露阶段,内控自我评估理论知识介绍-CSA定义,内部控制自我评估(Control Self-Assessment,简写成CSA)是一个对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。,对发现的内控缺陷进行持续整改,业务部门/子公司自我评估,对内控设计及文档修订维护,21,内控自我评估理论知识介绍-CSA原理,控制目标,定义风险,现行做法是否存在改进空间？,集思广益的改进方案,整个团队对于问题的共识和认知,22,内控自我评估理论知识介绍-CSA的四种形式,基于控制目标的自评：识别最佳的控制技术是否已被用于达成控制目标，并且有效的将风险控制在可接受的水平。基于风险的自评：关注风险的识别和管理，检查现有控制活动是否足够用于防范关键风险，识别剩余风险以寻求控制活动的改进措施。基于控制执行的自评：关注控制运行的情况，分析实际运行情况与初始设计的差距。基于流程的自评：通过检查现有控制，对流程进行评估、更新和优化。,23,内部控制自我评估的开展方式,内部控制自我评估的开展方式主要包括：访谈（Interviews）内控评估问卷（Questionnaires）内控自评小组研讨会（Workshops）,目前将以问卷的形式为主来开展；不排除在未来条件成熟之后，逐步开始使用研讨会这种国外较为先进的方式,24,主要内容,25,内控自我评估机制设计的介绍-自我检查表的体系,各业务流程内控自查表,公司层面内控自我检查表,这二者合称为内控自我检查表,内部控制自我评估表由内控手册中的控制矩阵精炼而成,内控自我评估机制设计的介绍-内控自我评估表,27,内控自我评估机制设计的介绍-内控自我评估表,销售流程采购流程存货管理流程资金管理流程投资管理流程 通用计算机控制流程,财务报告流程计划与预算流程固定资产管理流程人事薪酬管理费用支出流程对下属公司的管控,各业务流程内控自查表,填写原则：由熟悉业务或实际操作业务的主管级人员作为业务流程拥有者（Process Owner）进行回答，由部门经理及系统负责人签署确认。Process Owner可以进一步将本人的自查表分解给下属；但是“工作可以分解交办，责任不会随之转移”。Process Owner，部门经理和系统负责人对不正确的回答负责。,内控自我评估机制设计的介绍-企业管治对外声明的蓝图,29,内控自我评估机制设计的介绍-自查表的填表说明,各业务流程内控自查表,公司层面内控自我检查表,30,主要内容,31,内控自我评估的几个阶段,内控控制自我评估表介绍,内控控制自我评估表介绍,该部分须由填表人员填写，需注意一下几点：自查覆盖时间：年底向前追溯一个合理的时间段。如某项控制活动从今年年中某一时间开始执行，则应针对最新的情况进行回答，同时须在后面“附注”栏中注明该开始的时点，精确到日期并签署填表人姓名。“不适用”仅适于在没有该项业务的情况下可以填，并且需要说明理由，最后由填表人签署姓名。以下详细说明：,内控控制自我评估表介绍,是否依照描述执行（是/否）：若现有实际流程与左栏“关键控制活动说明”相同，则回答“是”；若现有实际流程与左栏“关键控制活动说明”不同，则请填写“否”，并在“附注”中简要描述新的流程的不同点，以及该新流程开始执行的日期；若本单位/部门无此项业务，则填“不适用”，并在“附注”中说明。,内控控制自我评估表介绍,控制设计是否有效（是/否）：若公司是按照左侧栏中的“关键控制活动说明”、或者附注中说明的新的控制活动那样在执行实际操作，则回答“是”；在以下情况下回答“否”：某一个控制目标下没有任何控制活动可以与之相对应；回答“否”的时候，请在“附注”栏同时说明管理层拟改进的计划和时间。,内控控制自我评估表介绍,控制执行是否有效（是/否）/控制活动涉及的文档如果填写“是”，填表人需要举出实际业务的样本证据，并在后“控制活动涉及的文档”栏中写下该证据表单的名称；只须举出一个样本证据即可；但是请注意，内部审计将会对抽检到的控制活动进行测试来验证问卷回答的正确性；,