内部控制规范和内部控制评价课件.ppt

1、第 0 页内部控制规范和内部控制评价内部控制规范和内部控制评价第 1 页本报告介绍内容本报告介绍内容 第一部分：内部控制基本规范第一部分：内部控制基本规范第二部分：内部控制评价方法第二部分：内部控制评价方法第 2 页第一部分第一部分内部控制基本规范介绍内部控制基本规范介绍企业内控制度概述企业内控制度概述内控制度五大目标内控制度五大目标内控制度五大原则内控制度五大原则内控制度五大要素内控制度五大要素第 3 页国际内部控制的发展与最新趋势2001200720022003公司治理公司治理联合准则联合准则HIHHIH保险保险公司公司One.Tel安然安然萨班斯萨班斯奥克奥克斯利法斯利法案案世通世通Qw

2、est 公司监公司监管守则管守则200420052006公司治理公司治理 守则守则第第9 9号法案号法案审计改革和审计改革和公司信息披公司信息披露法案露法案 企业管治企业管治常规守则常规守则内部控制内部控制规范规范金融工具金融工具与交易法与交易法内部会内部会计控制计控制规范规范内控制度概述内控制度概述内部控制的历史演进内部控制的历史演进-国际经验国际经验第 4 页萨班斯法案与财务报告相关的内部控制管理层报告指引审计准则第5号COSO框架国会COSO委员会SECPCAOBCOSO委员会公布的内部控制整体框架（即“COSO框架”）已成为美国上市公司内部控制框架的参照性标准。美国国会颁布的萨班斯法案

3、，其中404条款强制要求上市公司管理层对财务报告内部控制的有效性进行年度评价，并取得外部审计师确认。美国证券交易委员会（SEC），对财务报告内部控制进行了诠释，定义了管理层对财务报告内部控制的控制政策和程序。美国公众公司会计监督委员会（PCAOB）颁布的审计准则第5号，是审计师针对财务报表有关的内部控制出具审计意见的遵循标准。美国内部控制体系的发展美国内部控制体系的发展内控制度概述内控制度概述内部控制的历史演进内部控制的历史演进-国际经验国际经验第 5 页 中国内部控制的发展中国内部控制的发展2006(财政部财政部)企业内部控制鉴证指引企业内部控制鉴证指引企业内部控制评价指引企业内部控制评价指

4、引企业内部控制应用指引企业内部控制应用指引 (征求意见稿征求意见稿)(上交所上交所/深交所深交所)内部控制内部控制指引指引(国资委国资委)中央企中央企业全面业全面风险管风险管理指引理指引2007(财政部财政部)企业内部控企业内部控制规范制规范-基本基本规范规范(征求意见稿征求意见稿)2008(财政部财政部)企业企业内部控内部控制基本制基本规范规范（保监会）（保监会）寿险公司寿险公司内部控制内部控制评价办法评价办法（试行）（试行）保险公司保险公司内部审计内部审计指引（试行）指引（试行）保险公司保险公司风险管理风险管理指引（试行）指引（试行）(证监会）证监会）上市公司上市公司信息披露信息披露管理办

5、法管理办法（银监会）（银监会）银行业银行业金融机构信金融机构信息系统风险息系统风险管理的指引管理的指引（银监（银监会）会）商业银商业银行内部行内部控制指控制指引引（银监（银监会会)商业银商业银行合规行合规风险管风险管理指引理指引（证监（证监会）会）证券公证券公司风险司风险控制指控制指标管理标管理办法办法（证监会）（证监会）证券公司证券公司合规管理合规管理试行规定试行规定（证监会）（证监会）证券公司证券公司监督管理监督管理条例条例（银监会）（银监会）商业银行商业银行操作风险操作风险管理指引管理指引内控制度概述内控制度概述内部控制的历史演进内部控制的历史演进-国内经验国内经验第 6 页证券交易所、

6、行业监管机构均出台了一系列的内部控制指引，为企业建立和实施内部控制制度提供行业性指引。行业内控指引商业银行内控指引证券公司内控指引寿险公司内部控制评价办法上市公司内控指引上交所内控指引深交所内控指引证券交易所行业监管机构企业内部控制基本规范财政部企业内部控制评价指引（征求意见稿）企业内部控制鉴证指引（征求意见稿）财政部出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。企业内部控制基本规范的三项指引正在征求意见过程中。企业内部控制评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评

7、价报告的相关内容。企业内部控制应用指引具体提出22个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。企业内部控制鉴证指引为指导注册会计师执行内部控制鉴证业务的具体指引。企业内部控制应用指引（征求意见稿）中国内部控制体系中国内部控制体系第 7 页内部控制基本规范内部控制基本规范 基本规范执行的时间基本规范适用的范围根据财政部、证监会、审计署、银监会、保监会关于印发企业内部控制基本规范的通知，企业内部控制基本规范（以下简称“基本规范”）自20092009年年7 7月月1 1日起日起在上市公司范围内施行，鼓励非上市的大中型

8、企业执行。根据本规范第一章总则第二条，本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制 大中型企业和小企业的划分标准根据国家有关规定执行第 8 页内部控制基本规范内部控制基本规范为什么要加强企业的内部控制制度满足外部监管机构的要求完善业务流程，提高公司管理和控制水平与效率完善规章制度，明确职责，加强监督更好的理解企业所面的风险，有效地规避风险全面风险管理将成为企业管理的标准规范第 9 页内部控制的五大目标内部控制的五大目标第三条*注释：摘自企业内部控制基本规范内部控制是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程：合理保

9、证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略第 10 页财政部财政部企业内部控制基本规范企业内部控制基本规范COSO内部控制整体框架内部控制整体框架经营的效率和效果经营的效率和效果提高经营效率和效果提高经营效率和效果财务报告的可靠性财务报告的可靠性法律法规的遵循性法律法规的遵循性合理保证企业经营管理合法合规合理保证企业经营管理合法合规资产安全资产安全财务报告及相关信息真实完财务报告及相关信息真实完整整促进企业实现发展战略促进企业实现发展战略对内部控制目标的阐述对内部控制目标的阐述内部控制五大目标内部控制五大目标第 11 页内部控制五大原

10、则内部控制五大原则第四条*注释：摘自企业内部控制基本规范企业建立与实施内部控制，应当遵循：全面性原则 重要性原则 制衡性原则 适应性原则 成本效益原则第 12 页内部控制五大原则（一）内部控制五大原则（一）全面性原则全面性原则*注释:摘自企业内部控制基本规范全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。*重要性原则内部控制应覆盖企业的各项业务活动、各个部门和各级人员，并应针对业务处理过程中的关键控制点，将内部控制活动渗透到决策、执行、监督等各个经营环节，即要在企业内部实行全过程、全员性的控制，不能存在内部控制活动的空白点。制衡性原则适应性原则成本效益原

11、则第 13 页内部控制五大原则（二）内部控制五大原则（二）重要性原则重要性原则*注释:摘自企业内部控制基本规范全面性原则重要性原则要求企业在对各项经济业务活动实施全面控制的基础上，要有针对性的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。*重要性原则对重要性的应用需要一定的专业判断，企业应当根据所处行业环境和自身经营特点，从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。制衡性原则适应性原则成本效益原则第 14 页内部控制五大原则（三）内部控制五大原则（三）制衡性原则制衡性原则*注释:摘自企业内部控制基本规范全面性原则内部控制应当在治理结构、机构设置及权责分配、业务

12、流程等方面形成相互制约、相互监督，同时兼顾运营效率。*重要性原则制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。横向：完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明；纵向：完成某个工作需经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。制衡性原则适应性原则成本效益原则第 15 页内部控制五大原则（四）内部控制五大原则（四）适应性原则适应性原则*注释:摘自企业内部控制基本规范全面性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平

13、等相适应，并随着情况的变化及时加以调整。*重要性原则内部控制随着企业内外环境的变化，其控制效果也会发生改变。一些原本效果较好的控制制度，可能会随着环境的改变而失效。因此，企业内部控制应当具有前瞻性，应当随着国家法律法规、政策制度等外部环境的改变和企业经营战略、经营方针、经营理念等内部环境的变化及时进行相应的修改或完善。企业应当适时地对内部控制制度进行评估，以发现可能存在的重大缺陷，并及时采取措施予以补救。制衡性原则适应性原则成本效益原则第 16 页内部控制五大原则（五）内部控制五大原则（五）成本效益原则成本效益原则*注释:摘自企业内部控制基本规范全面性原则内部控制应当权衡实施成本与预期效益，以

14、适当的成本实现有效的控制。*重要性原则内部控制的任何分工、审核、制衡，都必须考虑是否符合成本效益原则。企业内部控制的设计一定要考虑控制投入成本和控制产出效益之比。如果某项控制的成本高于其效益，则不应当采用该项控制。企业应从整体利益角度来综合判断某项控制是否符合成本效益原则。尽管一些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时就应该实施该项控制。企业应当充分发挥各部门及人员的工作积极性，尽量降低经营运作成本，保证以合理的成本达到最佳的内部控制效果。制衡性原则适应性原则成本效益原则第 17 页第一年美国上市企业萨班斯法案合规平均成本(2004年)440万美元*第四年美国上市企业萨班斯

15、法案合规平均成本(2007年)170万美元*调查发现:下降原因:2006年起采用了“自上而下的风险评估”方法进行内控工作，专注于高风险领域。内部控制五大原则（五）内部控制五大原则（五）成本效益原则成本效益原则 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。*注释:摘自企业内部控制基本规范*注释:该调查出自FEI Survey:Average 2007 SOX Compliance Cost$1.7 Million*注释:该调查出自Financial Executives International Press release第 18 页 成本效益原则（续）2007年2006年内

16、控工作加强了财务报告的准确性50%同意46%同意内控工作加强了财务报告的可靠性56%同意48%同意内控工作加强防止及查找舞弊行为44%同意34%同意投资者对企业的财务报告更有信心69%同意60%同意调查发现：*内部控制五大原则（五）内部控制五大原则（五）成本效益原则成本效益原则*注释:该调查出自Financial Executives International Press release第 19 页内部控制五大要素内部控制五大要素基本规范中所描述的内部控制要素内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督合合 规规经经 营营战战 略略财财 务务公司层面公

17、司层面业务单元业务单元子公司子公司业务分部业务分部第五条第 20 页内部环境是实施内部控制的基础，在基本规范中主要包括以下几点内部控制五大要素内部控制五大要素（一）内部环境（一）内部环境规范的公司治理结构和议事规则机构设置及权责分配审计委员会内部审计人力资源政策企业文化建设法律顾问制度及重大法律纠纷案件备案制度第 21 页 建立规范的公司治理结构和议事规则*股东大会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权董事会对股东大会负责，依法行使企业的经营决策权监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责经理层负责组织实施股东（大）会、董事会决议事项，支持企业

18、的生产经营管理工作表决权决策权经营管理监督第十一条*注释:摘自企业内部控制基本规范内部控制五大要素内部控制五大要素（一）内部环境（一）内部环境第 22 页执行层内部控制的建立与实施*第十二条*注释：摘自企业内部控制基本规范董事会监事会经理层对董事会建立与实施的内部控制进行监督。组织领导企业内部控制的日常运行。建立健全内部控制并有效实施。专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。内部控制五大要素内部控制五大要素（一）内部环境（一）内部环境第 23 页良好的内审职能第十四条审计行业知识具备审计知识和经验来准确地判断审计结果独立于管理和营运单位，能做出客观的分析和判断得到高级管理层

19、的有效支持，有效推动内审的策划与实行具备行业知识来有效地执行审计程序公正公正权利独立内部控制五大要素内部控制五大要素 （一）（一）内部环境内部环境第 24 页人力资源政策*人力资源政策根据企业的具体情况制定和实施有利于企业可持续发展的人力资源政策。制定明确的人力资源管理制度人力资源管理制定明确，透明和有相应文档记录的规章制度。机构、岗位设置与分析对机构和岗位设置进行分析，确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。第十六条*注释:摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （一）（一）内部环境内部环境第 25 页职业道德修养及专业胜任能力作为选拔和聘

20、用员工的重要标准加强员工培训和继续教育提升员工素质高级管理人员发挥主导作用，加强企业文化建设建立并贯彻员工行为守则职业道德修养及专业胜任能力*第十七条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （一）（一）内部环境内部环境第 26 页高级管理人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础培养积极向上的价值观和责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理理念强化风险意识建立并贯彻员工行为守则企业文化建设*第十八条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （一）（一）内部环境内部环境第 27 页作为上市公司

21、，必须接受国家和证券监管部门颁布的法律法规监管，这是市场经济法则的客观要求，为达到这些目标，企业应当加强法制教育增强董事、监事、经理及其他高级管理人员和员工的法律观念严格依法决策、依法办事、依法监督建立健全法律顾问制度和重大法律纠纷案件备案制度法律顾问*第十九条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （一）（一）内部环境内部环境第 28 页内部控制五大要素内部控制五大要素（二）（二）风险评估风险评估 资产安全资产安全 财务报告及相关信息真实完整财务报告及相关信息真实完整 提高经营效率和效果提高经营效率和效果 促进企业实现发展战略促进企业实现发展战略 合理保证企业经营管

22、理合法合规合理保证企业经营管理合法合规内部控制的目标全面系统持续地收集相关全面系统持续地收集相关信息，结合实际情况，及信息，结合实际情况，及时进行风险评估时进行风险评估第二十条*注释:摘自企业内部控制基本规范第 29 页*注释：摘自企业内部控制基本规范内部风险识别管理因素组织结构经营方式资产管理业务流程安全环保因素营运安全员工健康环境保护自主创新因素研究开发技术投入信息技术财务因素财务状况经营成果现金流量人力资源因素职业操守专业胜任能力团队精神内部控制五大要素内部控制五大要素 （二）风险评估（二）风险评估第 30 页*注释：摘自企业内部控制基本规范外部风险识别经济因素经济形势产业政策融资环境市

23、场竞争资源供给法律因素法律法规监管要求社会因素安全稳定文化传统社会信用教育水平消费者行为行业技术因素技术进步工艺改进自然环境因素自然灾害环境状况内部控制五大要素内部控制五大要素（二）（二）风险评估风险评估第 31 页 对辨识出的风险及其特征，以及对企业战略发展的影响层面进行明确的定义和描述，结合定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素（二）（二）风险评估风险评估第 32 页风险应对策略*第二十六条*注释：摘自企业内部控制基本规范风险规避企业对超出风险承受度

24、的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。内部控制五大要素内部控制五大要素（二）风险评估（二）风险评估第 33 页控制措施*内部控制五大要素内部控制五大要素（三）（三）控制活动控制活动控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯

25、彻执行控制活动必须与风险评估是一个整体第二十八条*注释:摘自企业内部控制基本规范第 34 页各种控制措施的综合运用风险可承受度预防性控制及预防性控制及发现性控制发现性控制管理控制及管理控制及监督控制监督控制手工控制及手工控制及自动控制自动控制内部控制五大要素内部控制五大要素（三）（三）控制活动控制活动第 35 页控制措施举例*不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制绩效考评控制*注释：摘自企业内部控制基本规范控制控制措施措施内部控制五大要素内部控制五大要素 （三）（三）控制活动控制活动第 36 页内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟

26、通信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制及时准确的最新信息所有层次上对信息、期望和责任的沟通内部与外部的沟通信息与沟通*第三十八条*注释:摘自企业内部控制基本规范第 37 页信息的收集第三十九条财务会计资料经营管理资料调研报告内部刊物办公网络等渠道行业协会组织/监管部门社会中介机构业务往来单位市场调查网络媒体等渠道内内部部信信息息外外部部信信息息合理的筛选、核对、整合可提高信息的有用性内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟通第 38 页建立信息与沟通制度*内部控制相关信息的收集信息的处理与传递信息的及时沟通信息与沟通系统能及时识

27、别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟通第 39 页信息沟通中发现问题应及时报告并加以解决*重要信息应当及时传递给董事会、监事会和经理层*第四十条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟通第 40 页企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。信息技术第四十一条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四）信息与沟

28、通信息与沟通第 41 页反舞弊机制*企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。第四十二条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟通第 42 页反舞弊工作重点*采用未经授权等方式侵占、挪用企业资产，牟取不当利益董事、监事、经理及其他高级管理人员滥用职权在财务会计报告和信息披露等方面存在虚假记录、误导性陈述或者重大遗漏相关机构或人员串通舞弊*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四

29、）信息与沟通信息与沟通第 43 页为确保举报、投诉成为企业有效掌握信息的重要途径，企业应当：设置举报专线明确举报投诉处理程序、办理时限和办理要求将举报投诉制度及时传达至全体员工举报投诉制度*第四十三条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （四）（四）信息与沟通信息与沟通第 44 页举报人保护制度企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。*第四十三条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （

30、四）（四）信息与沟通信息与沟通第 45 页内部控制五大要素内部控制五大要素 （五）（五）内部监督内部监督内部控制监督制度企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求*内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障第四十四条*注释：摘自企业内部控制基本规范第 46 页内部控制缺陷认定标准企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告*其中，内部控制缺陷

31、包括：设计缺陷运行缺陷第四十五条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （五）（五）内部监督内部监督第 47 页基本规范基本规范中要求，中要求，企业应当结合内部监企业应当结合内部监督情况，定期对内部督情况，定期对内部控制的有效性进行自控制的有效性进行自我评价，出具内部控我评价，出具内部控制自我评价报告。制自我评价报告。*内部控制自我评价第四十六条*注释：摘自企业内部控制基本规范内部控制五大要素内部控制五大要素 （五）（五）内部监督内部监督第 48 页建设内部控制体系的步骤建设内部控制体系的步骤实施基本规范，企业必须建立一套与企业战略目标相一致的，均衡的风险管理方法和基

32、于企业整体运营的内部控制体系，该内部控制体系应该切实满足企业内、外部两方面的要求。内部控制体系建设工作的主要步骤包括：内部控制内部控制意识及基意识及基础设施的础设施的建立建立内部控制内部控制的评估及的评估及确认确认整改及确认整改及确认汇报汇报监督监督内审/内控合规部门/职能的运作体系和资源配置编制内部控制政策、内控评估执行方案建立内部控制文档保存制度开展风险和内部控制的培训建立完善的内部控制体系建立风险评估的方法通过访谈、问卷、穿行/控制测试等活动，完成内控评估工作确认相关的流程、内控、缺陷和整改工作建立内部控制监督体系、包括管理层、内审部门负责人及职能等定期进行监督考评内控工作的成效内控建设

33、和绩效考核相结合制订各级单位内控管理工作汇报与沟通的内容、形式及程序定期自下而上对内控工作中发现的问题进行汇报管理层定期自上而下了解各级内控工作的情况以及重大缺陷对已被识别的控制缺陷进行确认参照最佳实务，管理层制订整改方案及时间表对整改后的控制点进行再测试定期对内部控制制定测试方案第 49 页第二部分第二部分 内部控制制度的评价内部控制制度的评价基本规范基本规范中要求，企业应当结合内中要求，企业应当结合内部监督情况，定期对内部控制的有效性进部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告行自我评价，出具内部控制自我评价报告。第 50 页4企业层面（含IT）4流程层面（含

34、IT）4定义缺陷认定标准、表述方式及统计口径4评价设计有效性和运行有效性内部控制评价的整体实施方法内部控制评价的整体实施方法4基于管理层测试的结果，作出内部控制有效性的结论4管理层编制内部控制自我评价报告4识别关键业务风险4对关键业务风险进行评估4制定重要性水平，识别财务报告重要组成要素4识别财务报告风险应关注的重要业务流程/IT系统4将关键风险和重要流程相对应，识别需评价的重要业务流程/IT系统4确定企业层面、流程层面和IT层面的内控评价范围 4识别并记录缺陷4缺陷的汇总和评价4制定整改方案并跟踪整改落实的进度4对整改的结果进行再测试和评价管理层内部管理层内部控制评价报告控制评价报告 缺陷及

35、整改缺陷及整改对控制环节进行对控制环节进行记录、测试和评价记录、测试和评价实施风险评估实施风险评估确定内控评价范围确定内控评价范围与管理层持续有效的沟通与管理层持续有效的沟通确定企业层面评价的关键控制内容进行问卷调查、访谈、审阅文档等评价工作记录和理解交易流程和相关内控基于对控制的记录和理解进行必要的测试程序第 51 页企业层面评价实务企业层面评价实务第 52 页企业层面的内部控制评估的重要性企业层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。其结果将会影响管理层对内部控制其他方面的评估工作。企业层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。企业层面评价实务企业层面评价

36、实务第 53 页企业层面内控评价的方法和一般步骤编制访谈计编制访谈计划并设计调划并设计调查问卷查问卷高级管理层高级管理层访谈访谈完成调查问完成调查问卷并审阅文卷并审阅文档档了了解解公公司司内内部部控控制制初步评初步评价价和反和反馈馈控制测控制测试试控制的设控制的设计是否有计是否有效？效？否否缺陷报告缺陷报告和改进建和改进建议议控制是否控制是否有效运行？有效运行？否否是是是是持续监持续监督督企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划

37、及实施整改来进行的。在企业层面所进行的内控评价可以按照下面图示列明的程序来进行：调查问卷缺陷汇总测试底稿企业层面评价实务企业层面评价实务第 54 页明确企业层面内部控制工作的范围设计企业层面调查问卷和问题清单下发和初步填制调查问卷问卷初步审阅、访谈确认及问卷修改获取并审阅支持性文档、完成测试 汇总并确认发现问题 第一步第一步 第三步第三步 第五步第五步 第二步第二步 第四步第四步 第六步第六步企业层面内控评价的方法和一般步骤企业层面评价实务企业层面评价实务第 55 页明确企业层面内部控制工作的范围索引号索引号重要的控制领域重要的控制领域总部总部营业部营业部A A公司治理结构B B公司组织架构、

38、政策与流程C C内部审计D D人力资源程序E E员工行为守则F F管理层基调与态度G G风险识别、评估与管理H H内部控制活动I I战略、经营计划与经营业绩分析J J会计系统控制K K信息与沟通L L反舞弊程序M M投资策略与管理 第一步第一步确定在企业不同层级（各分支机构/部门）应考虑的部分企业层面评价实务企业层面评价实务第 56 页。调查问卷的组成要素考虑包括以下内容：控制要求实际操作描述规章制度索引/实施记录索引负责部门控制设计缺陷其中控制要求应根据确定的关键控制领域的法规要求进行细化和明确。测试步骤测试底稿索引控制执行缺陷管理层回馈及整改措施设计企业层面调查问卷和问题清单 第二步第二步

39、根据评价需要确定调查问卷组成要素重要控制领域/控制点细化明确控制要求针对细化的控制要求设计调查问题清单设计企业层面调查问卷企业层面评价实务企业层面评价实务第 57 页可根据公司的实际情况，设计分部门的调查问题清单，以协助相关部门管理人员更好地理解控制要求；该调查问卷控制问题清单由相关负责部门进行填写；如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，以保证其内容的一致性和逻辑关系的连贯性。第二步第二步设计企业层面调查问卷和问题清单企业层面调查问题清单（示例）设计企业层面调查问卷E企业层面评价实务企业层面评价实务第 58 页编制调查问卷填写指引：明确调查问卷每项内容的填写要求；规

40、范各部门填写调查问卷，保证填写的质量；方便内控评价人员对填写的问卷进行审阅。第三步第三步下发和初步填制调查问卷企业层面调查问题填写指引（示例）企业层面评价实务企业层面评价实务第 59 页问卷初步审阅：问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握；问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充；问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进行讨论；可以在原有的问卷中增加一列，标注审阅意见（已填写的内容是否存在不清楚，不够完整的），以此作为访谈提纲。第四

41、步第四步问卷初步审阅、访谈确认及问卷修改企业层面评价实务企业层面评价实务第 60 页访谈前应详细阅读企业层面内部控制的调查问卷，归纳相关部门所涉及的问题，并据此准备访谈提纲以及相应需要提供的支持性文档清单；在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；访谈后，及时整理访谈内容，修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）访谈确认及问卷修改：第四步第四步问卷初步审阅、访谈确认及问卷修改企业层面评价实务企业层面评价实务第 61 页文档编号文档编号文档类型文档类型（纸质版纸质版/电子版电子版）文档名称文档名称是否已提供是否已提供(已提供已

42、提供尚未提供尚未提供）E-3-100纸质纸质 有限公司董事、高级职员和各级员工职有限公司董事、高级职员和各级员工职业道德行为准则业道德行为准则 已提供已提供E-3-200纸质纸质 宣传推广实施方案宣传推广实施方案已提供已提供E-3-300电子版电子版准则在网站上的链接截屏准则在网站上的链接截屏已提供已提供 第五步第五步获取并审阅支持性文档、完成测试 审阅支持性文档获取调查问卷中提及的支持性文档，并在支持性文档清单中进行汇总；审阅文档内容是否能满足了控制要求，是否有重大遗漏；文档索引编号应与调查问卷一致。支持性文档清单（示例）企业层面评价实务企业层面评价实务第 62 页记录企业层面控制测试过程：

43、可编制测试底稿填写指引保证测试底稿的规范性；测试底稿应与企业层面内部控制调查问卷进行索引；测试底稿内容应完整,如：底稿对应的控制、控制内容、控制编号、访谈人、时间、执行性文档名称及索引号等；在测试中，有若干个控制需要随机选取25名员工进行访谈。建议这些测试的选用相同的样本-即与25名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿中。并且在测试底稿中需要保留选取25名员工的轨迹。第五步第五步获取并审阅支持性文档、完成测试 企业层面评价实务企业层面评价实务第 63 页 第五步第五步获取并审阅支持性文档、完成测试 企业层面内控测试底稿（示例）企业层面评价实务企业层面评价实务第 64 页对内控发

44、现问题进行汇总和报告：对问卷填写与控制测试中发现的所有控制缺陷，按一定规则进行编号与汇总；整改建议需要由问卷和测试的填写人与执行人在问卷和测试填写完成后与相关部门管理层讨论后拟定完成；整改建议必须切实可行，必须有充分的内容，如：由XXX部门通过XXX方式建立XXX制度/流程；评估控制缺陷的风险级别，建议由内控评价负责评估及填写。第六步第六步汇总并确认发现问题企业层面评价实务企业层面评价实务第 65 页缺陷缺陷编号编号控制领控制领域域控制要控制要求编号求编号缺陷内容缺陷内容整改建议整改建议风险风险级别级别涉及部涉及部门及负门及负责人责人管理层反管理层反馈及对策馈及对策负责解决部负责解决部门门/责

45、任人责任人预计解预计解决时间决时间缺陷缺陷-E E-1-1员工行员工行为守则为守则E3E3缺陷E-1 在在对对2525个员工个员工进行测试中，进行测试中，有有2 2个员工未个员工未签署员工行签署员工行为守则。为守则。建议补充对建议补充对未签署员工未签署员工行为守则员行为守则员工的签署工工的签署工作。作。低低 缺陷缺陷-E E-2 2员工行员工行为守则为守则E4E4XXXXXXXX 缺陷缺陷-E E-3 3员工行员工行为守则为守则E5E5XXXXXXXX 第六步第六步汇总并确认发现问题企业层面发现问题汇总表（示例）企业层面评价实务企业层面评价实务第 66 页问卷：问卷：下发公司层面评估问卷访谈访

46、谈：对主要部门及公司领导的访谈撰写访谈纪要：撰写访谈纪要：根据访谈结果撰写访谈纪要测试：测试：获取相关资料及审阅汇总评估资料，汇总评估资料，完成工作底稿完成工作底稿完成公司层面评完成公司层面评估缺陷报告估缺陷报告与相关部门确认工与相关部门确认工作底稿与缺陷报告作底稿与缺陷报告制定整改计划及制定整改计划及实施整改实施整改 企业层面内部控制评估步骤企业层面内部控制评估步骤第 67 页流程层面评价实务流程层面评价实务第 68 页流程是一组逻辑相关的活动将投入转化为产出的过程。3、流程控制是在流程中为了减轻风险而设计的活动开始开始活动活动 1 1Y/NY/N活动活动 2 2活动活动 3 3活动活动 4

47、 4活动活动 5 5结束结束流程示例流程示例这些作业构成控制活动这些作业构成控制活动控制与流程*并非所有流程中的活动都是控制。记记 录录报报 告告初初 始始授授 权权处处 理理流程的概念流程的概念第 69 页流程层面评价实务流程层面评价实务实施框架和方法介绍实施框架和方法介绍评估与监督评估与监督评估和监控控制的有评估和监控控制的有效性效性评价控制是否合乎当初设计的有效性识别和记录影响财务识别和记录影响财务报告和风险评估的关报告和风险评估的关键业务和固有风险键业务和固有风险在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报告记录对财务报告和风险评估中关注的固有风险的评价识别重要财务科目和

48、识别重要财务科目和业务流程应考虑下列业务流程应考虑下列因素：因素：潜在的重大差错规模和组成对于人为操纵和损 失的敏感性较多的交易数量交易的复杂性识别和理解重要流识别和理解重要流程程包括对于能够影响重要科目（或科目组合）和主要业务流程的主要交易类别，识别和理解其流程及相关内部控制活动识别减低风险的控制识别减低风险的控制识别和考虑针对每一重要流程解决其“可能出错”的问题的控制措施这些控制能够为防止发生重要的错误或者能发现并更正错误提供合理保证控制可能并不显而易见，可能是电子化或者是人工的，并且同时是高层及基层实施提出提出“什么地方会什么地方会出错出错”的问题的问题对于每一重大流程需要提出在交易的过

49、程中哪里可能产生重大错误的问题根据我们对每一接受评价的重要流程可能引起的重大风险，决定“什么地方会出错”恰当的具体化程度测试控制的有效性并作出结论发现问题并提出解决方案及行动计划识别战略目标与重要风险识别战略目标与重要风险记录流程与应用系统控制记录流程与应用系统控制关键业务风险关键业务风险和固有风险和固有风险重要流程重要流程什么地方什么地方会出错会出错控制控制评价和监控评价和监控报告报告财务科目与流程财务科目与流程管理层认定管理层认定财务报告财务报告与风险评估与风险评估?2003FinancialStatements2008企业战略目标企业战略目标l内部控制内部控制管理成报告管理成报告第 70

50、 页第一步第一步.了解重要业务流程了解重要业务流程第二步第二步.根据业务流程描述，识别风险与控制根据业务流程描述，识别风险与控制第三步第三步 执行穿行测试执行穿行测试 第四步第四步.执行控制测试执行控制测试流程层面评价的一般步骤 第五步第五步.汇总和报告发现问题汇总和报告发现问题流程层面评价实务流程层面评价实务第 71 页详细记录流程中所涉及的交易被初始、授权、处理、记录和报告的过程；应考虑在流程中由谁、在何时、何地、进行何种交易、如何进行以及交易目的；应清晰地记录交易数据从初始到报告的流转过程，包括：关键的活动、决策点、活动中使用的或产生的资料，以及活动是人工/系统进行的。第一步 了解重要业