内部控制自我评估操作流程分享.ppt

1、内部控制自我评估操作流程分享本次培训由德勤华永会计师事务所（以下简称“德勤华永”）提供的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)为内部使用目的而编制的。它仅提供给德勤华永所授权的人士使用。该材料仅供一般指引之用，并非旨在构成任何决策的基础，且不能被解释为德勤华永的建议、意见或推荐。此外，由于德勤华永在编制有关材料时受时间及适用的资料所限，可能并未知悉所有的事实或资料，因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机密文件。除德勤华永所授权的人士外，任何其它人士未经

2、德勤华永事先书面同意，不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任（包括但不限于疏忽引起的责任）。德勤华永保留本材料的著作权及其它一切知识产权。重要声明重要声明2议程议程31企业内部控制评价指引解读2企业内部控制自评实务操作中国内部控制监管要求中国内部控制监管要求规定内容摘要或内容简介出台日期生效日期财政部、证监会、审计署、银监会、保监会（“五部委”）：企业内部控制基本规范企业应当根据有关法律法规、本规范及其配套方法，制定本企业内部控制制度并组织实施。接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审

3、计，出具审计报告。2008-6-282009-7-1五部委：企业内部控制应用指引包括财务报告，资金，采购，销售，研发，工程项目，资产，担保，业务外包，全面预算，合同管理，内部信息传递，信息系统、组织架构，发展战略，人力资源，企业文化，社会责任等18个具体指引。2010-4-26 2011-1-12012-1-1 五部委：五部委：企业内部控制评企业内部控制评价指引价指引为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。2010-4-26 2011-1-12012-1-14企业内部控制基本规范企

4、业内部控制应用指引企业内部控制评价指引企业内部控制审计指引五部委内部控制规范体系五部委内部控制规范体系5关键用途关键用途适用对象适用对象适用于企业、监管机构、咨询方、鉴证机构适用于审计师主要用于公司建立健全内部控制体系主要用于公司对内部控制体系进行独立评价持续改进用于审计师对内部控制体系进行外部评价并指导企业持续改进内控缺陷，完善内控等6五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读章节结构章节结构第一章第一章总则：明确目的、界定范围、列示评价原则第二章第二章内部控制评价的内容第三章第三章内部控制评价的程序第四章第四章内部控制缺陷的认定第五章第五章内部控制评价报告五部委配

5、套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第一章第一章 总则总则内部控制评价定义：内部控制评价定义：是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。内部控制评价需要遵循的原则：内部控制评价需要遵循的原则：全面性原则：全面性原则：评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。重要性原则：重要性原则：评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。客观性原则：客观性原则：评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。五部委配套企业内部控制评价指引

6、解读五部委配套企业内部控制评价指引解读第二章：内部控制评价的内容第二章：内部控制评价的内容企业应当根据企业内部控制基本规范、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。内部控制评价工作应当形成工作底稿:评价要素主要风险点采取的控制措施有关证据资料认定结果五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第三章第三章 内部控制评价的程序内部控制评价的程序内审部内审部/评价部门评价部门 评价工作组评价工作组 评估工作组负责人评估工作组负责人执行评估评估控制执行/设

7、计的有效性明确具体工作任务复核评估结果综合分析控制缺陷人员组织计划进度安排计划评价工作方案经董事会或其授权机构是否签字确认流程评估结果和评价底稿是否B BEndEnd满足要求批准明确评价范围A AB B与评价工作组讨论并重新评估与控制活动执行人和业务领域负责人共同讨论改进建议填写评价工作底稿编制内控缺陷认定汇总表控制缺陷类别认定形成认定意见董事会董事会重大缺陷最终认定审阅批准内部控制评价报告内审部内审部/评价部门评价部门10五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第三章第三章 内部控制评价的程序内部控制评价的程序企业实施内部控制评价程序的具体流程企业实施内部控制评价

8、程序的具体流程 负责对内部控制的有效性进行全面评价、形成结论，出具报告董事会负责内部控制评价的具体组织实施工作，控制缺陷的分析、复核、报告及跟踪内部控制评价部门内部控制评价部门（内部审计机构（内部审计机构/其他专门机构）其他专门机构）领导和监督内控评价工作审计委员会向董事会、监视会或者经理层报告发现的内控缺陷具体实施内部控制评价工作，并完成评价工作底稿评价工作组评价工作组吸纳企业内部相关机构熟悉情况的业务骨干（注：对本部门评价工作实行回避制度）/可委托中介机构实施内控评价工作对内控评价报告真实性负责组建组建五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读内部控制评价体系中各

9、机构的角色及职责内部控制评价体系中各机构的角色及职责五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读内部控制评价的测试方法内部控制评价的测试方法内部控制缺陷类型：设计缺陷和运行缺陷内部控制缺陷的认定：重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标 重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标 一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷财务报告内部控制缺陷的认定：一般通过定量的方式予以确定非财务报告内部控制缺陷的认定：定量和定性相结合的方式予以确定 定量:既可以根据缺陷造成直接财产损失的绝

10、对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定 定性：可以根据缺陷潜在负面影响的性质、范围等因素确定五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第四章第四章 内部控制缺陷的认定内部控制缺陷的认定 企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追

11、究有关部门或相关人员的责任。五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第四章第四章 内部控制缺陷的认定内部控制缺陷的认定内控评价结果内控评价工作底稿 内控评价报告内控缺陷汇总表+编报编报涵盖内容涵盖内容董事会对内部控制报告真实性的声明内部控制评价工作的总体情况内部控制评价的依据内部控制缺陷的整改情况及重大缺陷拟采取的整改措施内部控制有效性的结论内部控制评价的范围内部控制评价的程序和方法内部控制缺陷及其认定情况应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露

12、注：内部控制评价部门负责编制，报经董事会或类似权力机构批准，董事会对内部控制评价报告的真实注：内部控制评价部门负责编制，报经董事会或类似权力机构批准，董事会对内部控制评价报告的真实性负责。性负责。五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第五章第五章 内部控制评价报告内部控制评价报告 内部控制评价报告应当报经董事会或类似权力机构批准报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制报告基准日至内部控制评价报告发出月之间是否发生影响内部控制有效性的因素评价报告发出月之间是否发生影响内部控制有效性的因素，并

13、根据其性质和影响程度对评价结论进行相应调整。企业应当以 12 12 月月 31 31 日日作为年度内部控制评价报告的基准日，内部控制评价报告应于基准日后基准日后 4 4 个月内个月内报出。企业应当建立内部控制评价工作档案管理制度档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管五部委配套企业内部控制评价指引解读五部委配套企业内部控制评价指引解读第五章第五章 内部控制评价报告内部控制评价报告议程议程1企业内部控制评价指引解读2企业内部控制自评实务操作建设内部控制体系的路线图建设内部控制体系的路线图内控自评阶段内控自评阶段内控梳理对标内控梳理对标内控整改固化内控整改固化内控

14、评价内控评价制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计内控审计进行模拟审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范管理层持续整改管理层持续整改/内部监督持续开展内部监督持续开展18 2010德勤华永会计师事务所有限公司版权所有 保留一切权利信息化建设信息化建设各阶段工作解决方案分享各阶段工作解决方案分享内控自评整体工作流内控自评整体工作流开展内控评价跟踪缺陷整改编制内控评价报告内控自评内控自评内

15、控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计1920制定评价工作方案制定评价工作方案基本要素 确定自评范围（包括纳入单位、流程等）确定自评内容（包括执行测试程序、认定内控缺陷、落实整改等）自评人员和时间安排 自评工作费用预算 其他事项制定评价工作方案制定评价工作方案自评范围的确定自评范围的确定v以风险评估为基础，结合财务报表从定性，定量两方面进行分析，选择进行内控自我评估的下属板块、公司、相关业务及流程，确定自评范围。分支机构分支机构重要性重要性分支机构的分支机构的管理水平管理水平*实际风险水平实际风险水平自评频率自评频率高G中2年自评一次A中12年自评一次W

16、高1年自评一次中G低3年自评一次A中12年自评一次W高1年自评一次低G低23年自评一次A低23年自评一次W低23年自评一次*机构管理水平分析：根据以往各机构管理水平的了解，以及过往审计发现的多寡，将机构的管理水平分为好（G）、可以接受（A）、弱（W）制定评价工作方案制定评价工作方案自评范围的确定自评范围的确定确定确定 不同单位和流程的自评频率示例：不同单位和流程的自评频率示例：制定评价工作方案制定评价工作方案自评范围的确定自评范围的确定确定纳入自评范围确定纳入自评范围工作单位工作单位/流程流程底稿模板底稿模板制定评价工作方案制定评价工作方案自评内容的确定自评内容的确定 确定自评工作内容示例：确

17、定自评工作内容示例：计算纳入自评范围的分支机构与业务流程预计所需自评人员的人数和工作量。结合年度其他项目所需人员数量和工作量，检查集团是否有足够的资源开展内控自我评估工作，以判断是否需要调整年度内控自评计划。根据调整后与现有资源相适应的内控自评计划，安排自评人员和时间。在安排内控自评人员时应考虑其专业胜任能力。制定评价工作方案制定评价工作方案人员和时间安排人员和时间安排制定评价工作方案制定评价工作方案人员和时间安排人员和时间安排 人员安排示例人员安排示例 时间安排示例时间安排示例制定评价工作方案制定评价工作方案费用预算费用预算 企业可以根据自身情企业可以根据自身情况设计自评工作的费用况设计自评

18、工作的费用预算（示例如右图）预算（示例如右图）回避原则：相关自评人员应该遵循企业内部控制评价指引第十四条的回避原则（“企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。”）与外部审计的协调制定评价工作方案制定评价工作方案其他事项其他事项企业可以根据自身情况列举所需说明事项，例如：企业可以根据自身情况列举所需说明事项，例如：实施现场测试实施现场测试内控自评测试表内控自评测试表 内控自评测试表是实施自评工作的重要底稿之一控制活动控制活动发

19、生频率：发生频率：q针对内控手册中列示的控制活动发生频率，结合下页的样本量选取表格，抽取适当数量的样本进行独立测试。q发生频率为按需的情况下，须首先计算控制活动在测试期间的发生的总数，再根据选取表格决定样本数量。实施现场测试实施现场测试内控自评测试样本量内控自评测试样本量Nature of Control Nature of Control Frequency of Performance Frequency of Performance Number of SelectionsNumber of Selections控制的性质控制的性质执行的频率执行的频率选择的数目选择的数目Manual手工

20、Many times per day 每天多次25Manual手工Daily 每天15Manual手工Weekly每周5Manual手工Monthly每月2Manual手工Quarterly 每季1Manual手工Annually每年1Programmed Test one instance of each programmed control程序化 对每个程序化控制测试一次General IT Controls计算机环境整体控制 Follow the guidance above for manual and programmed aspects of general IT controls

21、.对计算机环境整体控制，分别按照以上的手工及程序化控制测试的指引来执行实施现场测试实施现场测试内控自评测试样本量内控自评测试样本量测试程序测试程序：q对应每个控制活动的内控设计情况而制定测试程序。若事前了解的企业控制活动现状与内控手册中的关键控制活动有所变化有所变化，其测试程序也需相应更新。q先执行穿行测试先执行穿行测试（即用一个样本（即用一个样本模拟该流程），模拟该流程），只有当穿行测试只有当穿行测试通过的前提下才通过的前提下才获取充足的样本获取充足的样本量，并检查其是量，并检查其是否符合标准，据否符合标准，据此评价该控制活此评价该控制活动的有效性。动的有效性。实施现场测试实施现场测试内控自

22、评测试程序内控自评测试程序销售和收款（合同及订单的管理）销售和收款（合同及订单的管理）控制活动编号控制活动编号HTJD-RE-CA-202 样本量样本量5（测试期间共2个月，共签订10份合同，可视为每周）测试程序测试程序从综合管理部维护的销售合同台帐中随机抽取测试样本：1.检查这一份合同是否都有对应的合同请示报告书；2.检查该合同请示报告书是否经过总经理、主管副总经理、市场营销部经理及法务专员的审批；3.检查该笔合同金额是否超过100万，若超过100万，该笔合同评审是否召开合同评审会，由市场营销部、技术部、生产制造部、采购物流部、财务经理、质保部、法务专员共同审批通过；4.检查该份合同是否都经

23、过有效盖章。样本描述样本描述文件名称文件名称日期日期是否满足测是否满足测试程序试程序#1#1是否满足测是否满足测试程序试程序#2#2是否满足测是否满足测试程序试程序#3#3是否满足测是否满足测试程序试程序#4#41 1销售合同（合同号：XX）2010年9月22日是是 合同请示报告书2010年9月20日是是备注备注结论结论控制活动执行有效发现改进点描述发现改进点描述无实施现场测试实施现场测试内控自评测试程序内控自评测试程序 在穿行测试通过的前提下，应当设置工作底稿以详细记录一定样本量的测试情况；根据充足样本的测试结果对该控制活动的有效性进行评价。1、对应每个控制活动的内控设计情况而制定测试程序。

24、若通过穿行测试了解到的实际控制活动与原内控手册的关键控制活动有所变化，其测试程序也需相应更新。2、测试程序应重点针对关键控制活动的4W+1H4W+1H进行编写，检查内控活动的执行人执行人员、过程、结果、频率、文档的流转和保存员、过程、结果、频率、文档的流转和保存等是否如内控活动所述展开。3、测试方法可以有观察、获取并检查文件资料、访谈、重新测试观察、获取并检查文件资料、访谈、重新测试等选择。4、样本量的界定需按照频率执行，依照测试样本量选取表格的要求，获取并检查符合标准的样本数量。5、对所有的测试程序，须建立单独的测试模板页面，注明相关的控制活动编号、样本量、测试程序、测试样本的填写模板等，并

25、做好与内控手册的链接。实施现场测试实施现场测试内控自评测试程序编写要点内控自评测试程序编写要点内控测试程序举例一内控测试程序举例一控制目标：控制目标：企业应当结合采购申请机制建立外购固定资产请购与审批制度，确定归口管理部门，授予相应的请购权，明确相关部门或人员的职责权限及相应的请购和审批程序。控制活动：控制活动：在固定资产请购时，由使用部门提出请购申请，填写设备仪器申购单，经申请各部门审批、总经理审批后交采管部进行采购。测试程序：测试程序：第一步：从公司固定资产财务账中，估算抽样样本数量，选取样本，取得新增固定资产凭证；第二步：检查是否附有设备仪器申购单；第三步：查验设备仪器申购单上申请原因是

26、否合理；第四步：检查申购单是否经过申请部门经理、总经理审批，并在审批后进行采购。控制目标：控制目标：企业应当综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，确保存货处于最佳库存状态。控制活动：控制活动：仓库主管每月对存储情况进行分析制定存储分析报告，包括存储面积分析、存量与品类分析、存储质量分析、存储改善内容等，以此为依据调整仓储情况。报告由仓库主管编制，采购部负责人审核确认。测试程序：测试程序：第一步：从测试期间随机抽取两个月作为样本月，取得当月的存储分析报告作为测试样本；第二步：检查仓库主管是否每月对存储情况进行分析；第三步：查验仓库管理人员是否按照分析报告对仓储情况进行调整；

27、第四步：检查报告是否由采购部负责人审核确认。内控测试程序举例二内控测试程序举例二控制目标：控制目标：企业在选择客户时，应当充分了解和考虑客户的信用、财务状况等有关情况。控制活动：控制活动：在签订合同前，提供服务的分子公司由生产业务部门和财务部门通过外部专业机构、行业协会或者公开信息对客户的资信情况进行调研，形成书面报告，作为是否应该承接业务，与该客户签订合同的依据之一。测试程序：测试程序：第一步：按照全年签订合同的数量，估算抽样样本数量，在集团生产业务部随机抽查对应的合同；第二步：查看对应客户的营业执照等是否齐备，是否符合法律上的资质要求；第三步：查验对应客户是否经过生产部和财务部的前期信用和

28、财务状况调查，是否有相关调查报告。内控测试程序举例三内控测试程序举例三变化后的控制活动：变化后的控制活动：在签订合同前，提供服务的分子公司由市场部市场部和财务部门通过外部专业机构、行业协会或者公开信息对客户的资信情况进行调研，形成书面报告。该书面报告须该书面报告须提交办公会议讨论，若办公会议讨论决定该客户的财务、信用状况符合公司要求提交办公会议讨论，若办公会议讨论决定该客户的财务、信用状况符合公司要求后方可签订合同。后方可签订合同。更新后的测试程序：更新后的测试程序：第一步：按照全年签订合同的数量，估算抽样样本数量，在集团生产业务部随机抽查对应的合同；第二步：查看对应客户的营业执照等是否齐备，

29、是否符合法律上的资质要求；第三步：查验对应客户是否经过市场部市场部和财务部的前期信用和财务状况调查，是否有相关调查报告；第四步：检查办公会议的会议纪要，是否对该客户及其调研报告进行讨论。第四步：检查办公会议的会议纪要，是否对该客户及其调研报告进行讨论。内控测试程序举例三（续）内控测试程序举例三（续）内控活动改变后，如何编写测试程序？内控活动改变后，如何编写测试程序？控制目标：控制目标：企业应建立选聘人员试用期和岗前培训考核制度，确保选聘员工全面了解岗位职责，掌握岗位基本技能，适应工作要求。控制活动：控制活动：当员工完成了试用期的工作后，需由员工本人填制员工试用期考核表，在表当中对于试用期的表现

30、情况进行自评，随后该表单交直接上级及人力资源部经理进行评审。从而确保员工全面掌握了岗位基本技能，适应岗位要求。测试程序：测试程序：第一步：按照全年员工试用期考核表的数量，估算抽样样本数量，在人力资源部随机抽查对应的员工试用期考核表；第二步：查看员工在试用期结束后，是否均由本人填制该表单并作出自评；第三步：检查直接上级及人力资源部经理是否在表单中对员工进行了评估；第四步：查看评估结果是否表明员工能胜任相关岗位。内控测试程序举例四内控测试程序举例四内控测试程序举例四内控测试程序举例四内控活动改变后，如何编写测试程序？内控活动改变后，如何编写测试程序？变化后的控制活动：变化后的控制活动：当员工完成了

31、试用期的工作后，需由员工本人填制员工试用期考核表，在表当中对于试用期的表现情况进行自评，随后该表单交直接上级、部门经理、部门经理及人力资源部经理进行评审。从而确保员工全面掌握了岗位基本技能，适应岗位要求。更新后的测试程序：更新后的测试程序：第一步：按照全年员工试用期考核表的数量，估算抽样样本数量，在人力资源部随机抽查对应的员工试用期考核表；第二步：查看员工在试用期结束后，是否均由本人填制该表单并作出自评；第三步：检查直接上级、部门经理、部门经理及人力资源部经理是否在表单中对员工进行了评估；第四步：查看评估结果是否表明员工能胜任相关岗位。认定内部控制缺陷认定内部控制缺陷缺陷的表述方法缺陷的表述方

32、法-问题描述：描述内部控制缺陷的客观事实，即企业现有的控制举措及其与五部委应用指引要求或行业最佳实践间的差异所在；-风险/影响：该内部缺陷可能为企业带来的风险/影响。可以结合定性或定量的方法，从财务、声誉、安全等多个角度进行表述；-整改建议：内部审计针对该内部控制缺陷提出的可行的整改建议。认定内部控制缺陷认定内部控制缺陷缺陷的认定标准缺陷的认定标准 财务报告相关内控缺陷的认定标准示例：认定内部控制缺陷认定内部控制缺陷缺陷的认定标准缺陷的认定标准 非财务报告相关内控缺陷的认定标准示例：认定内部控制缺陷认定内部控制缺陷缺陷的认定标准缺陷的认定标准 非财务报告相关内控缺陷的认定标准示例（续）：企业常

33、见的内部控制缺陷企业常见的内部控制缺陷1 1公司治理结构设置有公司治理结构设置有待完善待完善2 2缺乏完善的风险评估缺乏完善的风险评估和内控自评流程和内控自评流程3 3缺乏有效的反舞弊和缺乏有效的反舞弊和匿名举报机制匿名举报机制5 5未能在岗位设置上保未能在岗位设置上保证恰当的职责分离证恰当的职责分离8 8财务报表编制与信息财务报表编制与信息披露程序有待完善披露程序有待完善7 7对关联方交易控制不对关联方交易控制不足足1414缺乏有效的系统变更缺乏有效的系统变更与版本管理与版本管理4 4各类授权审核的充分各类授权审核的充分性、有效性有待提高性、有效性有待提高6 6业务业务/职能部门与财职能部门

34、与财务部缺乏充分沟通务部缺乏充分沟通1010缺乏对各类资产的减缺乏对各类资产的减值值/跌价评估跌价评估9 9对各类主文档的管理对各类主文档的管理有待加强有待加强1212缺乏对投资项目的跟缺乏对投资项目的跟踪管理及后评估机制踪管理及后评估机制1515用户系统权限管理有用户系统权限管理有待加强待加强1313未能建立各类应急预未能建立各类应急预案、并进行恢复演练案、并进行恢复演练1111缺乏对实物记录和会缺乏对实物记录和会计记录进行及时核对计记录进行及时核对常见内控缺陷常见内控缺陷1 1：公司治理结构设置有待完善：公司治理结构设置有待完善具体表现问题为具体表现问题为:1.企业未建立审计委员会；2.审

35、计委员会中缺乏具有专业胜任能力的人员；3.审计委员会及其成员缺乏独立性；4.审计委员会缺乏充分的职权履行职责；5.审计委员会会议流于表面；6.内部审计机构不具备相应的独立性或缺乏地位使得其无法有效发挥作用；7.内部审计机构对审计过程中发现的重大问题由于人为限制无法直接向审计委员会或者董事会报告。46 审计委员会会议应发挥其监管作用，不应流于表面形式。同时，应发挥独立董事的监督优势，具有监督职能的审计委员会主席应由独立董事担任。背景介绍背景介绍2003年3月南方保健的财务舞弊丑闻浮出水面，创下了上市公司财务舞弊涉案人员最多的纪录（11名高管人员涉案)，25亿美元的虚假利润更使其成为仅次于世界通信

36、的第二大“会计造假大王”。失败原因：审计委员会未发生应有效用失败原因：审计委员会未发生应有效用早在2001年，美国联邦政府和美国司法部因南方保健的频繁关联交易和诈骗Medicare 保险金就起诉过南方保健，但是公司审计委员会对于上述重大事件不闻不问。根据南方保健董事会会议记录，在2001年发生重大事件的当年，审计委员会仅开过一次例会。更有甚者，南方保健审计委员会中的两名成员所拥有的私人公司与南方保健之间竟存在着密切的关联交易。南方保健的审计委员会未尽勤勉责任也未信守诚信义务，从而为会计造假滋生温床。内控省思内控省思常见内控缺陷常见内控缺陷1 1：公司治理结构设置有待完善：公司治理结构设置有待完

37、善案例（一）案例（一）47 由具备独立性的外部董事担任审计委员会发挥有效的制衡的功能。背景介绍背景介绍宝钢集团有限公司董事会设有9个董事，其中有5位外部董事，成为中央企业中第一家外部董事全部到位且超过半数的董事会。作为中央企业建立和完善国有独资公司董事会第一批试点企业。成功的内控措施成功的内控措施通过对外部董事资格的严格要求，避免董事与经理人员的高度重合，真正实现决策权与执行权的分权制衡。同时，董事会都被赋予足够的职权，包括重大投融资决策权、挑选经理人员、考核经理人员、决定经理人员薪酬的权利。董事会设立董事会办公室和董事会秘书，并在董事会下设战略委员会、薪酬与考核委员会、提名委员会、内部审计委

38、员会等专门委员会。借鉴意义借鉴意义常见内控缺陷常见内控缺陷1 1：公司治理结构设置有待完善：公司治理结构设置有待完善案例（二）案例（二）48企业应设内部审计部门，直接由审计委员会负责。内部审计的主要人员应由审计委员会任命，并向审计委员会汇报工作，首席执行官或高层财务官员不能直接介入审计委员会的工作。审计委员会应不时与内部审计部门沟通，并进行有效的督导。内部审计部门应制定全面的年度内审计划，并采用系统的方法评估和确定需要内审的重点部门和重点领域，以确保会计信息的真实性，防范财务舞弊产生。背景介绍背景介绍世通公司是美国第二大通信公司，因负债400万美元并爆出财务造假丑闻，成为美国历史上迄今为止最大

39、的破产案。失败原因失败原因世通公司弊案的曝光，最初是由一个内部审计员在一次例行审计中发现公司财务中有故意造假行为后向当时的首席财务官报告，而首席财务官其实就是参与欺诈的人员之一，于是他让内部审计员立即停止审计调查。但该内部审计员越过高管层将内幕报告给审计委员会主席，最终发现了超过三十亿美元的假账。内控省思内控省思常见内控缺陷常见内控缺陷1 1：公司治理结构设置有待完善：公司治理结构设置有待完善案例（三）案例（三）49内控的重心要从细节控制转向风险管理。要求董事会与管理层特别重视可能产生重大风险的环节，且将风险管理作为内控的最主要内容。背景介绍背景介绍失败原因：未有效建立风险评估体系失败原因：未

40、有效建立风险评估体系2002年下半年，在中航油进行石油期权交易时，其决策者风险意识淡薄，判断、控制和驾驭风险的能力明显较弱，同时对所面临机会与风险缺乏一套有效的体系去识别和评估。内控省思内控省思中航油新加坡公司于2001年底获批在新加坡上市，在取得中国航油集团公司授权后，自2003年开始做油品套期保值业务。但在此期间，公司总裁擅自扩大业务范围，从事石油衍生品期权交易。2004年12月，中航油新加坡公司因从事投机性石油衍生品交易，亏损5.54亿美元，不久就向新加坡证券交易所申请停牌，并向当地法院申请破产保护，成为继巴林银行破产以来最大的投机丑闻。常见内控缺陷常见内控缺陷2:2:缺乏完善的风险评估

41、和内控自评流程缺乏完善的风险评估和内控自评流程案例（一）案例（一）50-企业应当建立风险识别、评估和应对体系，并将结果应用于实际工作中。-在进行日常业务审核过程中，切忌审核流于形式，应确保审核人具备充分的胜任能力、且审核范围应当足够充分。背景介绍背景介绍失败原因：对保险合同的审核缺乏有效性失败原因：对保险合同的审核缺乏有效性-未对风险进行系统评估，没有考虑对各类重大风险进行识别和评估，从而没有明确保险范围-业务部门、法律部门等未对保险合同进行严格审核，没有及时发现保险公司删减了其中“雪灾、冰凌”的保险责任条款内控省思内控省思2008年1月，宜宾兴文县遭遇百年不遇的特大冰雪灾害，其中电力也受损。

42、事后，兴文电力公司多次向其投保的中华联合财产保险公司宜宾支公司提出理赔未果，遂向法院提起诉讼，称中联保险用删减后的财险条款与之签订保险协议（事先未告知），回避“雪灾、冰凌”的灾害责任范围，请求法院判令中联保险赔偿因保险事故造成的财产损失800余万元及利息。2009年12月25日，此案经宜宾市中院一审判决，驳回兴文电力的诉讼请求。常见内控缺陷常见内控缺陷4:4:各类授权审核的充分性、有效性有待提高各类授权审核的充分性、有效性有待提高案例（一）案例（一）51常见内控缺陷常见内控缺陷5 5：未能在岗位设置上保证恰当的职责分离未能在岗位设置上保证恰当的职责分离财务岗位的设置与安排，讲究的是相互制衡，比

43、如出纳与会计的相互牵制，会计各岗位的相互监督等等。失败原因：没有形成有效的职责分工和相互监督机制失败原因：没有形成有效的职责分工和相互监督机制挪用公司资金的问题，本来完全可以通过出纳依据每月或每季的银行对账单查明，或者子公司财务人员可以通过编制月报或季报甚至是年报发现问题，从这点上可以看出公司财务岗位的设置与安排失衡。公司财务部门与其他部门间缺乏相互监督机制。作为一家房地产发展有限公司，财务部、工程部、客户部以及材料采购部之间本应相互监督，材料的采购与款项的收回，不单单是财务部的事情，相关部门均有责任。会计凭证也是根据原始凭证填列的，而原始凭证可能来自采购部、工程部，要想通过更改会计凭证来挪用

44、公款是很容易被发现的，但却在在四五年的时间内都无人发觉。内控省思内控省思背景介绍背景介绍浦东金桥的子公司上海全桥出口加工区房地产发展有限公司（“金桥房地产发展有限公司”）约1500万左右的银行存款不翼而飞。案例（一）案例（一）52常见内控缺陷常见内控缺陷8 8：财务报表编制与信息披露程序有待完善财务报表编制与信息披露程序有待完善53案例（一）案例（一）背景介绍背景介绍某年11月20日，乐山电力3000吨/年的新光硅业二期项目的投资意向已经敲定，21日该股既未公布这一消息也未向交易所提出停牌申请，并在开盘后大幅上涨被交易所紧急停牌，但迟至28日，乐山电力才发布了这份投资意向书。对此，杭萧钢构虚假

45、陈述民事赔偿案代理律师认为，乐山电力未及时披露重大投资意向，已经可能涉嫌信息虚假了；加上出现股价异动，公司可能涉嫌泄密甚至内幕交易。此事已经引起监管当局关注，上交所也已开始着手调查。失败原因失败原因企业缺乏恰当的信息披露机制，在重大项目产生的时候，没有任何部门及人员提出披露需求并启动披露程序，说明企业该方面的内部控制存在薄弱之处。公司应当建立恰当的信息披露程序，严格按照有关法律法规的规定，及时识别需要进行信息披露的情形，并启动恰当的披露程序，确保企业的行为合法合规，避免不必要的诉讼事件。内控省思内控省思企业应当建立充分的应急预案，对于预计产生重大影响的突发事件做好充分的应对准备，并且这些应急预

46、案应当得到适当演练，企业对应急预案需要定期复核和更新，确保预案能够在突发事件发生时起到应有的作用，减少企业的损失。背景介绍背景介绍失败原因失败原因电力公司的相关部门没有建立较为完善的应急预案，对重要突发事件的应急演练不够，导致无法及时处理相关事件。内控省思内控省思福建省是自然灾害多发的省份，台风、洪涝等频繁的自然灾害给电力安全带来了严峻的挑战。1995年5月9日福建电网发生“5.9”事故，电网振荡，损失发电功率84.5万千瓦，约占全省发电功率296.6万千瓦负荷的28.5，造成电网事故。自1999年以来，又先后经历了1999年10月8日厦门全岛停电、2002年“飞燕”台风福州市区大面积停电事故

47、（事故造成福州长乐机场停电）、2005年“龙王”台风和2006年“桑美”台风引发的大面积停电等II级事故，电力公司因此遭受巨大损失。案例（一）案例（一）常见内控缺陷常见内控缺陷1313：未能建立各类应急预案、并进行恢复演练未能建立各类应急预案、并进行恢复演练54中国平安按照ITIL标准和原则建立了职责分工明确、定位清晰的基础架构体系，并在实际运作过程中发挥着越来越大的作用，为公司的持续增长与扩展提供了有力的支持。ITIL项目提高了我们IT管理水平与质量，有效弥补和预防了管理机制中出现的漏洞，也为各项业务的顺利实施提供了保障。背景介绍背景介绍成功的内控措施成功的内控措施中国平安引入ITIL（信息

48、技术基础设施库）来保障并提高IT系统的服务管理水平。惠普按照ITIL管理体系为平安保险建立运行管理平台、管理制度和流程，设计相应人员职责角色，优化管理组织结构，提出有助于管理的工具方案，通过人员、技术和流程的有机结合，有效实现上述管理流程，并形成一个整体的IT运营管理系统，从而实现IT运维管理标准化和规范化，有效提高IT运营的整体水平。借鉴意义借鉴意义早在2001年，中国平安就开始着手进行合并所有IT基础架构的项目，彻底实现系统的集中化及标准化，并且选择了惠普帮助其进行风险评估及灾难恢复演习项目。案例（一）案例（一）常见内控缺陷常见内控缺陷1515：用户系统权限管理有待加强：用户系统权限管理有

49、待加强55内部控制自我评估报告内部控制自我评估报告报告要素报告要素管理层声明段管理层声明段管理层责任段管理层责任段内控固有局限性内控固有局限性参考要素段参考要素段内部控制自我评估报告内部控制自我评估报告报告要素（续）报告要素（续）重大缺陷描述段重大缺陷描述段整改措施描述段整改措施描述段内部控制自我评估报告内部控制自我评估报告报告要素（续）报告要素（续）尚未整改缺陷描尚未整改缺陷描述段述段总体评价段总体评价段管理层授权段管理层授权段内部控制的目标，公司可内部控制的目标，公司可根据自身情况进行调整根据自身情况进行调整企业可根据自身建立内控企业可根据自身建立内控的实际情况，披露公司内的实际情况，披露公司内控的基本要素。控的基本要素。内部控制自我评估报告内部控制自我评估报告其他说明其他说明企业应如实披露内企业应如实披露内控自评中发现的重控自评中发现的重大缺陷大缺陷内部控制自我评估报告内部控制自我评估报告其他说明其他说明列示截止报告前列示截止报告前数日，尚未整改数日，尚未整改完毕的重大缺陷完毕的重大缺陷及预计完成时间及预计完成时间报告须经管理层报告须经管理层审议通过，并由审议通过，并由总经理或同等级总经理或同等级别授权人签字盖别授权人签字盖章章内部控制自我评估报告内部控制自我评估报告其他说明其他说明