内部控制规范和内部控制评价PPT课件.ppt

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,第,*,页,Click to edit Master title style,XX Month 200X,Presentation title,Page,*,Click to edit Master title style,Click to edit Master title style,Click to edit Master title style,内部控制规范

2、和内部控制评价,本报告介绍内容,第一部分：内部控制基本规范,第二部分：内部控制评价方法,第一部分内部控制基本规范介绍,企业内控制度概述内控制度五大目标内控制度五大原则内控制度五大要素,国际内部控制的发展与最新趋势,2001,200,7,2002,2003,公司治理联合准则,HIH,保险公司,One.Tel,安然,萨班斯奥克斯利法案,世通,Qwest,公司监管守则,2004,2005,2006,公司治理 守则,第9号法案审计改革和公司信息披露法案,企业管治,常规守则,内部控制规范,金融工具与交易法,内部会计控制规范,内控制度概述,内部控制的历史演进,-,国际经验,萨班斯法案,与财务报告相关的内部

3、控制管理层报告指引,审计准则第,5,号,COSO,框架,国会,COSO,委员会,SEC,PCAOB,COSO,委员会,公布的,内部控制,整体框架,（即“,COSO框架,”）已成为美国上市公司内部控制框架的参照性标准。,美国国会颁布的,萨班斯法案,，其中,404,条款强制要求上市公司管理层对财务报告内部控制的有效性进行年度评价，并取得外部审计师确认。,美国证券交易委员会（,SEC,），对财务报告内部控制进行了诠释，定义了管理层对财务报告内部控制的控制政策和程序。,美国公众公司会计监督委员会（PCAOB,）颁布的审计准则第,5,号，是审计师针对财务报表有关的内部控制出具审计意见的遵循标准。,美国内

4、部控制体系的发展,内控制度概述,内部控制的历史演进,-,国际经验,中国内部控制的发展,2006,(,财政部,),企业内部控制鉴证指引,企业内部控制评价指引,企业内部控制应用指引,(,征求意见稿,),(,上交所,/,深交所,),内部控制指引,(,国资委,),中央企业全面风险管理指引,200,7,(,财政部,),企业内部控制规范,-,基本规范,(,征求意见稿,),200,8,(,财政部,),企业,内部控制基本规范,（保监会）,寿险公司内部控制评价办法（试行）,保险公司,内部审计,指引（试行）,保险公司,风险管理,指引（试行）,(,证监会）,上市公司信息披露管理办法,（银监会）,银行业,金融机构信息

5、系统风险管理的指引,（银监会）,商业银行内部控制指引,（银监会,),商业银行合规风险管理指引,（证监会）,证券公司风险控制指标管理办法,（证监会）,证券公司合规管理试行规定,（证监会）,证券公司监督管理条例,（银监会）,商业银行操作风险管理指引,内控制度概述,内部控制的历史演进,-,国内经验,内部控制基本规范,为什么要加强企业的内部控制制度,满足外部监管机构的要求,完善业务流程，提高公司管理和控制水平与效率,完善规章制度，明确职责，加强监督,更好的理解企业所面的风险，有效地规避风险,全面风险管理将成为企业管理的标准规范,内部控制的五大目标,第三条,*注释：摘自,企业内部控制基本规范,内部控制是

6、指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,：,合理保证企业经营管理合法合规,资产安全,财务报告及相关信息真实完整,提高经营,效率和,效果,促进企业实现发展战略,财政部,企业内部控制基本规范,COSO,内部控制整体框架,经营的效率和效果,提高经营效率和效果,财务报告的可靠性,法律法规的遵循性,合理保证企业经营管理合法合规,资产安全,财务报告及相关信息真实完整,促进企业实现发展战略,对内部控制目标的阐述,内部控制五大目标,内部控制五大原则,第四条,*注释：摘自,企业内部控制基本规范,企业建立与实施内部控制，应当遵循：,全面性原,则,重要性原则,制衡性原则,适应性原则,

7、成本效益原则,内部控制五大原则（一）,全面性原则,*注释,:,摘自,企业内部控制基本规范,全面性原则,内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。*,重要性原则,内部控制应覆盖企业的各项业务活动、各个部门和各级人员，并应针对业务处理过程中的关键控制点，将内部控制活动渗透到决策、执行、监督等各个经营环节，即要在企业内部实行全过程、全员性的控制，不能存在内部控制活动的空白点。,制衡性原则,适应性原则,成本效益原则,内部控制五大原则（二）,重要性原则,*注释,:,摘自,企业内部控制基本规范,全面性原则,重要性原则要求企业在对各项经济业务活动实施全面控制的基础上，要有

8、针对性的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。*,重要性原则,对重要性的应用需要一定的专业判断，企业应当根据所处行业环境和自身经营特点，从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。,制衡性原则,适应性原则,成本效益原则,内部控制五大原则（三）,制衡性原则,*注释,:,摘自,企业内部控制基本规范,全面性原则,内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。*,重要性原则,制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督

9、横向：完成某个环节的工作需有来自彼此独立的两个部门或人员协调运作、相互监督、相互制约、相互证明；,纵向：完成某个工作需经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。,制衡性原则,适应性原则,成本效益原则,内部控制五大原则（四）,适应性原则,*注释,:,摘自,企业内部控制基本规范,全面性原则,内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。*,重要性原则,内部控制随着企业内外环境的变化，其控制效果也会发生改变。一些原本效果较好的控制制度，可能会随着环境的改变而失效。因此，企业内部控制应当具有前瞻性，应当随着国家法

10、律法规、政策制度等外部环境的改变和企业经营战略、经营方针、经营理念等内部环境的变化及时进行相应的修改或完善。,企业应当适时地对内部控制制度进行评估，以发现可能存在的重大缺陷，并及时采取措施予以补救。,制衡性原则,适应性原则,成本效益原则,内部控制五大原则（五）,成本效益原则,*注释,:,摘自,企业内部控制基本规范,全面性原则,内部控制应当权衡实施成本与预期效益，以适当的成本实现有效的控制。*,重要性原则,内部控制的任何分工、审核、制衡，都必须考虑是否符合成本效益原则。企业内部控制的设计一定要考虑控制投入成本和控制产出效益之比。如果某项控制的成本高于其效益，则不应当采用该项控制。,企业应从整体利

11、益角度来综合判断某项控制是否符合成本效益原则。尽管一些控制会影响工作效率，但可能会避免整个企业面临更大损失，此时就应该实施该项控制。,企业应当充分发挥各部门及人员的工作积极性，尽量降低经营运作成本，保证以合理的成本达到最佳的内部控制效果。,制衡性原则,适应性原则,成本效益原则,第一年美国上市企业萨班斯法案合规平均成本,(2004,年,),440,万美元,*,第四年美国上市企业萨班斯法案合规平均成本,(2007,年,),170,万美元,*,调查发现,:,下降原因,:2006,年起采用了“自上而下的风险评估,”,方法进行内控工作，专注于高风险领域。,内部控制五大原则（五）,成本效益原则,内部控制应

12、当权衡实施成本与预期效益，以适当的成本实现有效控制。,*,*注释,:,摘自,企业内部控制基本规范,*注释,:,该调查出自,FEI Survey:Average 2007 SOX Compliance Cost$1.7 Million,*注释,:,该调查出自,Financial Executives International Press release,成本效益原则（续）,2007,年,2006,年,内控工作加强了财务报告的准确性,50%,同意,46%,同意,内控工作加强了财务报告的可靠性,56%,同意,48%,同意,内控工作加强防止及查找舞弊行为,44%,同意,34%,同意,投资者对企业的财

13、务报告更有信心,69%,同意,60%,同意,调查发现：*,内部控制五大原则（五）,成本效益原则,*注释,:,该调查出自,Financial Executives International Press release,内部控制五大要素,基本规范,中所描述的内部控制要素,内部环境,风险评估,控制活动,信息与沟通,内部监督,合 规,经 营,战 略,财 务,公司层面,业务单元,子公司,业务分部,第五条,内部环境是实施内部控制的基础，在,基本规范,中主要包括以下几点,内部控制五大要素,（一）内部环境,规范的公司治理结构和议事规则,机构设置及权责分配,审计委员会,内部审计,人力资源政策,企业文化建设,法

14、律顾问制度及重大法律纠纷案件备案制度,建立规范的公司治理结构和议事规则,*,股东大会,行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,董事会,对股东大会负责，依法行使企业的经营决策权,监事会,对股东,(,大,),会负责,监督企业董事、经理和其他高级管理人员依法履行职责,经理层,负责组织实施股东（大）会、董事会决议事项，支持企业的生产经营管理工作,表决权,决策权,经营管理,监督,第十一条,*注释,:,摘自,企业内部控制基本规范,内部控制五大要素,（一）内部环境,执行层,内部控制的建立与实施*,第十二条,*注释：摘自,企业内部控制基本规范,董事会,监事会,经理层,对董事会建立与实施的内部

15、控制进行监督。,组织领导企业内部控制的日常运行。,建立健全内部控制并有效实施。,专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。,内部控制五大要素,（一）内部环境,良好的内审职能,第十四条,审计,行业知识,具备审计知识和经验来准确地判断审计结果,独立于管理和营运单位，能做出客观的分析和判断,得到高级管理层的有效支持，有效推动内审的策划与实行,具备行业知识来有效地执行审计程序,公正,权利,独立,内部控制五大要素,（一）,内部环境,人力资源政策*,人力资源政策,根据企业的具体情况制定和实施有利于企业可持续发展的人力资源政策。,制定明确的人力资源管理制度,人力资源管理制定明确，透明和有相

16、应文档记录的规章制度。,机构、岗位设置与分析,对机构和岗位设置进行分析，确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。,第十六条,*注释,:,摘自,企业内部控制基本规范,内部控制五大要素,（一）,内部环境,职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准,加强员工培训和继续教育,提升员工素质,高级管理人员发挥主导作用，加强企业文化建设,建立并贯彻员工行为守则,职业道德修养及专业胜任能力*,第十七条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（一）,内部环境,高级管理人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础,培养积极向

17、上的价值观和责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识,建立并贯彻员工行为守则,企业文化建设*,第十八条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（一）,内部环境,作为上市公司，必须接受国家和证券监管部门颁布的法律法规监管，这是市场经济法则的客观要求，为,达到这些目标，企业应当,加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法律观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度,法律顾问*,第十九条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（一）,内部环境,内部控制五大要素

18、二）,风险评估,资产安全,财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,合理保证企业经营管理合法合规,内部控制的目标,全面系统持续地收集相关信息，结合实际情况，及时进行风险评估,第二十条,*注释,:,摘自,企业内部控制基本规范,*,*注释：摘自,企业内部控制基本规范,内部风险识别,管理因素,组织结构,经营方式,资产管理,业务流程,安全环保因素,营运安全,员工健康,环境保护,自主创新因素,研究开发,技术投入,信息技术,财务因素,财务状况,经营成果,现金流量,人力资源因素,职业操守,专业胜任能力,团队精神,内部控制五大要素,（二）风险评估,*,*注释：摘自,企业内部控制

19、基本规范,外部风险识别,经济因素,经济形势,产业政策,融资环境,市场竞争,资源供给,法律因素,法律法规,监管要求,社会因素,安全稳定,文化传统,社会信用,教育水平,消费者行为,行业技术因素,技术进步,工艺改进,自然环境因素,自然灾害,环境状况,内部控制五大要素,（二）,风险评估,对辨识出的风险及其特征，以及对企业战略发展的影响层面进行明确的定义和描述，结合定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险*,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（二）,风险评估,风险应对策略*,第二十六条,*注释：摘自,企业内部

20、控制基本规范,风险规避,企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。,风险降低,企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。,风险分担,企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。,风险承受,企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。,内部控制五大要素,（二）风险评估,控制措施*,内部控制五大要素,（三）,控制活动,控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯彻

21、执行,控制活动必须与风险评估是一个整体,第二十八条,*注释,:,摘自,企业内部控制基本规范,各种控制措施的综合运用,风险,可承受度,预防性控制及发现性控制,管理控制及监督控制,手工控制及自动控制,内部控制五大要素,（三）,控制活动,控制措施举例*,不相容职务分离控制,财产保护控制,会计系统控制,运营分析控制,授权审批控制,预算控制,绩效考评控制,*注释：摘自,企业内部控制基本规范,控制,措施,内部控制五大要素,（三）,控制活动,内部控制五大要素,（四）,信息与沟通,信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制,及时准确的最新信息,所有层次上对信息、期望和责任的

22、沟通,内部与外部的沟通,信息与沟通*,第三十八条,*注释,:,摘自,企业内部控制基本规范,信息的收集,第三十九条,财务会计资料,经营管理资料,调研报告,内部刊物,办公网络等渠道,行业协会组织,/,监管部门,社会中介机构,业务往来单位,市场调查,网络媒体等渠道,内部信息,外部信息,合理的筛选、核对、整合可提高信息的有用性,内部控制五大要素,（四）,信息与沟通,建立信息与沟通制度*,内部控制相关信息的收集,信息的处理与传递,信息的及时沟通,信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。,*注释：摘自,企业内部控制基本规范

23、内部控制五大要素,（四）,信息与沟通,信息沟通中发现问题应及时报告并加以解决*,重要信息应当及时传递给董事会、监事会和经理层*,第四十条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。,信息技术,第四十一条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,反舞弊机制*,企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,第四十二条,*注释：

24、摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,反舞弊工作重点*,采用未经授权等方式侵占、挪用企业资产，牟取不当利益,董事、监事、经理及其他高级管理人员滥用职权,在财务会计报告和信息披露等方面存在虚假记录、误导性陈述或者重大遗漏,相关机构或人员串通舞弊,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,为确保举报、投诉成为企业有效掌握信息的重要途径，企业应当：,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,将举报投诉制度及时传达至全体员工,举报投诉制度*,第四十三条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,举

25、报人保护制度,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。,举报投诉制度和举报人保护制度应当及时传达至全体员工。,*,第四十三条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（四）,信息与沟通,内部控制五大要素,（五）,内部监督,内部控制监督制度,企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求*,内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障,第四十四条,

26、注释：摘自,企业内部控制基本规范,内部控制缺陷认定标准,企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告*,其中，内部控制缺陷包括：,设计缺陷,运行缺陷,第四十五条,*,注释：摘自,企业内部控制基本规范,内部控制五大要素,（五）,内部监督,基本规范,中要求，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。,*,内部控制自我评价,第四十六条,*注释：摘自,企业内部控制基本规范,内部控制五大要素,（五）,内部监督,建设内部控制体系的步骤,实施基本

27、规范，企业必须建立一套与企业战略目标相一致的，均衡的风险管理方法和基于企业整体运营的内部控制体系，该内部控制体系应该切实满足企业内、外部两方面的要求。内部控制体系建设工作的主要步骤包括：,内部控制意识及基础设施的建立,内部控制的评估及确认,整改及确认,汇报,监督,内审,/,内控合规部门,/,职能的运作体系和资源配置,编制内部控制政策、内控评估执行方案,建立内部控制文档保存制度,开展风险和内部控制的培训,建立完善的内部控制体系,建立风险评估的方法,通过访谈、问卷、穿行,/,控制测试等活动，完成内控评估工作,确认相关的流程、内控、缺陷和整改工作,建立内部控制监督体系,、,包括管理层、内审部门负责人

28、及职能等,定期进行监督考评内控工作的成效,内控建设和绩效考核相结合,制,订各,级单位,内控,管理工作汇报与沟通的内容、形式及程序,定期自下而上对内控工作中发现的问题进行汇报,管理层定期自上而下了解各级内控工作的情况以及重大缺陷,对已被识别,的控制缺陷进行确认,参照最佳实务，管理,层制订整改方案及时间表,对整改后的控制点进行再测试,定期对内部控制制定测试方案,第二部分 内部控制制度的评价,基本规范,中要求，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告,。,企业层面（含,IT,）,流程层面（含,IT,）,定义缺陷认定标准、表述方式及统计口径,评价设计有效性

29、和运行有效性,内部控制评价的整体实施方法,基于管理层测试的结果，作出内部控制有效性的结论,管理层编制内部控制自我评价报告,识别关键业务风险,对关键业务风险进行评估,制定重要性水平，识别财务报告重要组成要素,识别财务报告风险应关注的重要业务流程,/,IT,系统,将关键风险和重要流程相对应，识别需评价的重要业务流程,/,IT,系统,确定企业层面、流程层面和,IT,层面的内控评价范围,识别并记录缺陷,缺陷的汇总和评价,制定整改方案并跟踪整改落实的进度,对整改的结果进行再测试和评价,管理层内部,控制评价报告,缺陷及整改,对控制环节进行,记录、测试和评价,实施风险评估,确定内控评价范围,与管理层持续有效

30、的沟通,确定企业层面评价的关键控制内容,进行问卷调查、访谈、审阅文档等评价工作,记录和理解交易流程和相关内控,基于对控制的记录和理解进行必要的测试程序,企业层面评价实务,企业层面的内部控制评估的重要性,企业层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。,其结果将会影响管理层对内部控制其他方面的评估工作。,企业层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。,企业层面评价实务,企业层面内控评价的方法和一般步骤,编制访谈计划并设计调查问卷,高级管理层访谈,完成调查问卷并审阅文档,了解公司内部控制,初步评价和反馈,控制测试,控制的设计是否有效？,否,缺陷报告和改进建议,控制是

31、否有效运行？,否,是,是,持续监督,企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行的。在企业层面所进行的内控评价可以按照下面图示列明的程序来进行：,调查问卷,缺陷汇总,测试底稿,企业层面评价实务,明确企业层面内部控制工作的范围,设计企业层面调查问卷和问题清单,下发和初步填制调查问卷,问卷初步审阅、访谈确认及问卷修改,获取并审阅支持性文档、完成测试,汇总并确认发现问题,第一步,第三步,第五步,第二步,第四步,第六步,企业

32、层面内控评价的方法和一般步骤,企业层面评价实务,明确企业层面内部控制工作的范围,索引号,重要的控制领域,总部,营业部,A,公司治理结构,B,公司组织架构、政策与流程,C,内部审计,D,人力资源程序,E,员工行为守则,F,管理层基调与态度,G,风险识别、评估与管理,H,内部控制活动,I,战略、经营计划与经营业绩分析,J,会计系统控制,K,信息与沟通,L,反舞弊程序,M,投资策略与管理,第一步,确定在企业不同层级（各分支机构,/,部门）应考虑的部分,企业层面评价实务,。调查问卷的组成要素考虑包括以下内容：,控制要求,实际操作描述,规章制度索引,/,实施记录索引,负责部门,控制设计缺陷,其中控制要求

33、应根据确定的关键控制领域的法规要求进行细化和明确。,测试步骤,测试底稿索引,控制执行缺陷,管理层回馈及整改措施,设计企业层面调查问卷和问题清单,第二步,根据评价需要确定调查问卷组成要素,重要控制领域,/,控制点细化明确控制要求,针对细化的控制要求设计调查问题清单,设计企业层面调查问卷,企业层面评价实务,可根据公司的实际情况，设计分部门的调查问题清单，以协助相关部门管理人员更好地理解控制要求；,该调查问卷控制问题清单由相关负责部门进行填写；,如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，以保证其内容的一致性和逻辑关系的连贯性。,第二步,设计企业层面调查问卷和问题清单,企业层面

34、调查问题清单（示例）,设计企业层面调查问卷,E,企业层面评价实务,编制调查问卷填写指引,：,明确调查问卷每项内容的填写要求；,规范各部门填写调查问卷，保证填写的质量；,方便内控评价人员对填写的问卷进行审阅。,第三步,下发和初步填制调查问卷,企业层面调查问题填写指引（示例）,企业层面评价实务,问卷初步审阅,：,问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握；,问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充；,问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进

35、行讨论；,可以在原有的问卷中增加一列，标注审阅意见（已填写的内容是否存在不清楚，不够完整的），以此作为访谈提纲。,第四步,问卷初步审阅、访谈确认及问卷修改,企业层面评价实务,访谈前应详细阅读企业层面内部控制的调查问卷，归纳相关部门所涉及的问题，并据此准备访谈提纲以及相应需要提供的支持性文档清单；,在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；,访谈后，及时整理访谈内容，修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）,访谈确认及问卷修改,：,第四步,问卷初步审阅、访谈确认及问卷修改,企业层面评价实务,文档编号,文档类型,（纸质版/电子版

36、文档名称,是否已提供(已提供尚未提供）,E,-,3,-100,纸质,有限公司董事、高级职员和各级员工职业道德行为准则,已提供,E-3-200,纸质,宣传推广实施方案,已提供,E-3-300,电子版,准则在网站上的链接截屏,已提供,第五步,获取并审阅支持性文档、完成测试,审阅支持性文档,获取调查问卷中提及的支持性文档，并在支持性文档清单中进行汇总；,审阅文档内容是否能满足了控制要求，是否有重大遗漏；,文档索引编号应与调查问卷一致。,支持性文档清单（示例）,企业层面评价实务,记录企业层面控制测试过程,：,可编制测试底稿填写指引保证测试底稿的规范性；,测试底稿应与,企业层面内部控制调查问卷进行索

37、引；,测试底稿内容应完整,如：底稿对应的控制、控制内容、控制编号、访谈人、时间、执行性文档名称及索引号等；,在测试中，有若干个控制需要随机选取,25,名员工进行访谈。建议这些测试的选用相同的样本,-,即与,25,名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿中。并且在测试底稿中需要保留选取,25,名员工的轨迹。,第五步,获取并审阅支持性文档、完成测试,企业层面评价实务,第五步,获取并审阅支持性文档、完成测试,企业层面内控测试底稿（示例）,企业层面评价实务,对内控发现问题进行汇总和报告,：,对问卷填写与控制测试中发现的所有控制缺陷，按一定规则进行编号与汇总；,整改建议需要由问卷和测试的填

38、写人与执行人在问卷和测试填写完成后与相关部门管理层讨论后拟定完成；,整改建议必须切实可行，必须有充分的内容，如：由,XXX,部门通过,XXX,方式建立,XXX,制度,/,流程,；,评估控制缺陷的风险级别，建议由内控评价负责评估及填写。,第六步,汇总并确认发现问题,企业层面评价实务,缺陷编号,控制领域,控制要求编号,缺陷内容,整改建议,风险级别,涉及部门及负责人,管理层反馈及对策,负责解决部门/责任人,预计解决时间,缺陷-,E,-1,员工行为守则,E3,缺陷,E-1,在对,25,个员工进行测试中，有,2,个员工未签署员工行为守则。,建议补充对未签署员工行为守则员工的签署工作。,低,缺陷-,E,-

39、2,员工行为守则,E4,XXXX,缺陷-,E,-,3,员工行为守则,E5,XXXX,第六步,汇总并确认发现问题,企业层面发现问题汇总表（示例）,企业层面评价实务,问卷：,下发公司层面评估问卷,访谈,：对主要部门及公司领导的访谈,撰写访谈纪要：,根据访谈结果撰写访谈纪要,测试：,获取相关资料及审阅,汇总评估资料，完成工作底稿,完成公司层面评估缺陷报告,与相关部门确认工作底稿与缺陷报告,制定整改计划及实施整改,企业层面内部控制评估步骤,流程层面评价实务,流程是一组逻辑相关的活动将投入转化为产出的过程。,3,、流程,控制是在流程中为了减轻风险而设计的活动,开始,活动,1,Y/N,活动,2,活动,3

40、活动,4,活动,5,结束,流程示例,这些作业构成控制活动,控制与流程,*并非所有流程中的活动都是控制。,记 录,报 告,初 始,授 权,处 理,流程的概念,流程层面评价实务,实施框架和方法介绍,评估与监督,评估和监控控制的有效性,评价控制是否合乎当初设计的有效性,识别和记录影响财务报告和风险评估的关键业务和固有风险,在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报告,记录对财务报告和风险评估中关注的固有风险的评价,识别重要财务科目和业务流程应考虑下列因素：,潜在的重大差错,规模和组成,对于人为操纵和损 失的敏感性,较多的交易数量,交易的复杂性,识别和理解重要流程,包括对于能够影响重

41、要科目（或科目组合）和主要业务流程的主要交易类别，识别和理解其流程及相关内部控制活动,识别减低风险的控制,识别和考虑针对每一重要流程解决其“可能出错”的问题的控制措施,这些控制能够为防止发生重要的错误或者能发现并更正错误提供合理保证,控制可能并不显而易见，可能是电子化或者是人工的，并且同时是高层及基层实施,提出“什么地方会出错”的问题,对于每一重大流程需要提出在交易的过程中哪里可能产生重大错误的问题,根据我们对每一接受评价的重要流程可能引起的重大风险，决定“什么地方会出错”恰当的具体化程度,测试控制的有效性并作出结论,发现问题并提出解决方案及行动计划,识别战略目标与重要风险,记录流程与应用系统

42、控制,关键业务风险,和固有风险,重要流程,什么地方,会出错,控制,评价和监控,报告,财务科目与流程,管理层认定,财务报告,与风险评估,?,2003,Financial,Statements,2008,企业战略目标,l,内部控制,管理成报告,第一步,.,了解重要业务流程,第二步,.,根据业务流程描述，识别风险与控制,第三步 执行穿行测试,第四步,.,执行控制测试,流程层面评价的一般步骤,第五步,.,汇总和报告发现问题,流程层面评价实务,详细记录流程中所涉及的交易被初始、授权、处理、记录和报告的过程；,应考虑在流程中由谁、在何时、何地、进行何种交易、如何进行以及交易目的；,应清晰地记录交易数据从初

43、始到报告的流转过程，包括：关键的活动、决策点、活动中使用的或产生的资料，以及活动是人工,/,系统进行的。,第一步 了解重要业务流程,流程描述,流程层面评价实务,流程图的作用：,使我们较为直观和系统地了解整个业务流程的关键活动和决策点,清晰地显示业务,/,交易数据和资料在各部门间的流转过程,更容易辨别主要风险点和与之相关的控制,(,或不足的控制）,更容易辨别有问题的部分和获得机会提高的可能性,主要元素包括：,主要输入资料,重要数据，文档信息和相关记录,重要处理程序，包括更改和重新处理的程序，以及决策点,重要的输出文档，记录和报告,职责独立的功能,第一步,.,了解重要业务流程,流程图,流程层面评价

44、实务,识别流程中的风险（什么会出错），可考虑以下问题：,要使流程达到其目的或者正确报告其结果，哪些环节必须做对；,流程中什么地方出错会使其无法实现其目标；,流程中的固有风险；,在交易流程过程中可能发生错误和损失的地方；,识别关键控制点：,规避风险，实现控制目标最有影响的一个或多个控制,第二步,.,根据业务流程描述，识别风险与控制,典型的关键控制有：,职责分离、系统与数据的接触限制、变更控制,（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、,物理安全、授权批准、输入控制,（对于输入者的授权，输入数据的复核等）、,审阅,等等。,流程层面评价实务,第三步,.,执行穿行测试,具

45、体步骤：,选取样本,获取原始单据、跟踪交易全过程；,例如：销售流程通常包括：合同月度销售计划收款开具提货单计量发货编制结算凭证帐务处理对帐,记录测试过程、复印留存相关文档并在复印件上逐一编号,填写穿行测试底稿,将穿行测试底稿及复印的相关文档妥善归档,流程层面评价实务,第三步,.,执行穿行测试底稿的基本内容,底稿的基本信息,样本描述,测试过程的描述,发现问题描述,控制设计有效性的结论,流程层面评价实务,控制测试的目的,确认控制如管理层所理解的那样运行与实施；,确认控制在整个相关期间内完整运行与实施；,获取充分的证据以支持管理层内控评价有效性的结论,控制测试的对象,在了解重要流程过程中识别的关键控

46、制点：包括直接的企业层面控制和流程层面控制,第四步,.,执行控制测试,流程层面评价实务,流程层面评价实务,第四步,.,执行控制测试工作底稿的内容,底稿的基本信息,样本量，样本覆盖期间,测试的步骤与性质,测试的记录与差异,发现问题,测试结果：控制执行有效性的结论,需要较少的证据,*,需要更多的证据,*,高,低,高,财务报告要素,错报的风险,控制失败的风险,中,中,管理层对于财务报告元素错报风险的考虑，包括：,财务报告要素的重要性水平。如财务报告要素的重要性水平增加并且可能导致财务报表重大错报，管理层对财务报告元素错报风险的评估，一般会相应增加。,财务报告要素所涉及的交易，账户余额或其他辅助性资料

47、是否容易导致重大错报。例如：,1,）决定其记录金额所需的判断,2,）是否易于导致舞弊,3,）是否涉及复杂会计处理,4,）所涉及的交易在性质或交易量上发生变化,5,）易于受环境因素变化的影响,管理层对于控制可能会失败的考虑包括：,控制的类型（人工或系统）和运作的频率,;,控制的复杂程度,;,管理层越权的风险,;,操作控制所需的判断,;,人员对于控制执行和监督控制效果的胜任能力,;,在执行控制或监督控制效果的关键人员是否有所更改；,该控制的用意是防止或侦查重大错报的,性质和重要性；,在何种程度上该控制依赖于其它控制的成效（例如，信息技术的一般控制）,;,前一,/,几年控制的运作实例。,决定支持评价

48、结论所需的证据,(SEC,管理层指南）,*证据的多少包括对证据的数量及质量的考虑，即证据的充分性。,第四步,.,执行控制测试,流程层面评价实务,内控评价与测试的方法（评价指引）,第四步,.,执行控制测试,个别访谈法,：是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。,调查问卷法,：是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。,比较分析法,：是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。,标杆法,：是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。,穿行测试法,：是指通过抽取

49、一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。,抽样法,：是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。,实地查验法,：是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。,重新执行法,：是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。,流程层面评价实务,第五步,.,汇总和报告发现问题,发现问题汇总表（示例）,流程层面评价实务,内部控制缺陷的认定,当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职

50、责，及时防止或发现差错，则控制缺陷存在。,当存在设计缺陷时，表明：,必要的控制或控制的必要成分缺失无法达到控制目标,现有的控制设计不当，即使按设计执行后仍无法满足控制目标。,当存在运行缺陷时，表明：,一个设计合理的控制未能按预期执行,执行控制的人员没有执行所需的授权或能力，导致无法有效执行该控制,设计缺陷,运行缺陷,内部控制缺陷,缺陷与报告,未实现规定的控制目标,未执行规定的控制活动,突破规定的权限,不能及时提供控制运行有效的相关证据,内部控制缺陷的认定,企业需要从定性和定量两方面进行衡量，判断是否构成内部控制缺陷。如果下列情况之一存在，需认定内部控制存在设计或运行缺陷：,缺陷与报告,内部控制