企业内部控制及评价.ppt

企业内部控制及评价 1 2009-11-13 内容提要 一、内部控制及评价的发展 二、企业内部控制体系简介 三、企业内部控制评价实例 2 2009-11-13 内容提要 一、内部控制及评价的发展 3 2009-11-13 内部控制的演进 内部牵制(1940年代以前)：帐目相互核对，不相容岗位分离 内部控制制度(1940-1970年代)：内部会计控制、内部管理控制 内部控制结构(1988)：控制环境、会计制度和控制程序 内部控制整体框架(COSO,1992)：五要素 企业风险管理框架(COSO,2004)：八要素 4 2009-11-13 企业内部控制整体框架 内部控制是由公司 董事会、管理层及其 全体员工实施的，为 经营活动的效率和效 果、财务报告的可靠 性、相关法律法规的 遵循性等目标的实现 而提供合理保证的过 程。 COSO 扩充 三个要素， 2004年9月 推出： “企业风险 管理整体架 构” 控制环境 风险评估 控制活动 信息与沟通 监控 COSO报告：内部控制综合性框架 5 2009-11-13 COSO企业风险管理整体框架 运营 公司层面 分支机构 战略 报告遵循 分、子公司 业务板块 监控 信息与沟通 控制活动 风险应对 风险分析 风险识别 目标设定 内部环境 企业风险管理整体框架 （ERM） 6 2009-11-13 1985年，美国注册会计师协会、美国会计学会等机 构共同资助设立了全国舞弊性财务报告委员会，即 Treadway委员会，其研究的主要问题之一就是舞弊性财务 报告产生的原因，其中包括内部控制不健全问题。基于 Treadway委员会的建议，这些资助机构后来又设立了专门 研究内部控制的COSO委员会。1992年，COSO委员会发布 内部控制整体框架(1994年进行了修订) 。 2004年9月，COSO委员会发布了企业风险管理 (ERM)整体框架，在内部控制的基础上提出了新的概念 “企业风险管理” 。 COSO委员会 7 2009-11-13 内部控制与内部审计 内部审计是企业内部控制的重要组成部分 l 1986年4月最高审计机关国际组织发表总声明：“内部控制作为 完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。” l 1992年美国C0S0报告提出，内部控制包括控制环境、控制活动、信息 和沟通及监督五个因素。其中“监督”因素也包括内部审计。 l 我国将要实施的“企业内部控制基本规范”，其中内部环境包括了内 部审计（第五条、第十五条）。 8 2009-11-13 内控评价伴随审计发展 内部控制评价是现代审计的基础 l 内部控制经历不同的发展阶段，内部控制概念逐步扩展，推进审 计方法的变革。无论账项基础审计、制度基础审计，还是在风险基 础审计中，内控评价都是审计工作不可或缺的组成部分。 l 现代审计能够通过对内部控制测试和评价，确定进一步审计的方 向，提高审计工作效率，降低审计成本和审计风险。 9 2009-11-13 内控评价在审计中的应用 l 外审：侧重于把内控评价作为一种审计方式，其目的是在了解、 测试与会计报表相关的内部控制的基础上评估其控制风险，再根据 控制风险评估结果修订审计计划和确定实质性测试的性质、时间和 范围，进而对会计报表发表意见。 l 内审：侧重于把内控评价作为一项审计内容。也可以根据审计的 目的，把内控评价作为一种审计方式。 根据评价主体的不同，内控评价可分为注册会计师执 行的内控评价和内部审计人员执行的内控自我评价。 10 2009-11-13 一般内控测试与评价 健全性测试和评价 符合性测试和评价 综合评价 企业内部控制测试和评价 11 2009-11-13 内部控制审计程序 调查了解企业内部控制 符合性测试 综合评价被审企业内部控制 确定审计范围、重点和方法 实质性审计 审计报告 评价企业内部控制的健全性 不健全 无效 有效 企业内部控制测试评价审计及报告 健全 12 2009-11-13 中国内部控制评价指引 l 内部控制审核指导意见（2002年2月） l 内部审计具体准则第5号内部控制审计（2003年6月） l 内部审计具体准则第16号风险管理审计（2005年5月） 13 2009-11-13 美国内部控制评价指引 l PCAOB发布第2号审计准则（2004年3月） l PCAOB发布第5号审计准则（2007年6月） l SEC发布解释性公告，为管理层提供内控报告指引（ 2007年6月） 14 2009-11-13 企业内部控制评价指 引 评价指引（5章26条）：总则、内部控制评价的内容 、内部控制评价的程序、内部控制缺陷的认定、内部控 制评价报告 。 l 企业内部控制评价表：按照内部控制五个要素，分别填写评价内 容、业务描述、评价结论（有效性/缺陷）、评价记录。 l 企业内部控制评价报告附注：董事会声明、内部控制评价工 作的总体情况、内部控制评价的依据、内部控制评价的范围、内部 控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的 整改情况、内部控制有效性的结论 。 15 2009-11-13 企业内部控制审计指 引 审计指引（7章36条）：总则、计划审计工作、实施审计工作 、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作 。 l 标准内控审计报告：一、企业对内控的责任；二、注册会计师的责任；三、 内控的固有局限性；四、财务报告内控审计意见；五、非财务报告内控的重大 缺陷。 l 带强调事项段的无保留意见内控审计报告：增“强调事项”。 l 否定意见内控审计报告：除“一至三”外，增“导致否定意见的事项”、“ 财务报告内控审计意见”、“非财务报告内控的重大缺陷”。 l无法表示意见内控审计报告：除“一、二”外，增“导致无法表示意见的事 项”、“财务报告内控审计意见”、“识别的及非财务报告内控的重大缺陷” 。 16 2009-11-13 内部控制审计调查表举 例 企业基本情况 货币资金 投资业务 采购业务 销售业务 会计政策 会计电算化2 关联交易 控制环境 筹资业务 固定资产 存货管理 会计系统 会计电算化1 会计电算化3 企业 内控 审计 调查 (15） 17 2009-11-13 内容提要 二、企业内部控制体系简介 18 2009-11-13 中国石油化工股份有限公司 中国石油化工股份有限公司（简称“中国石化”）是中国最 大的石油产品和主要石化产品生产商和供应商，中国第二 大原油生产商，世界第三大炼油公司，拥有比较完备销售 网络，境内外（上海、香港、纽约、伦敦）四地上市的股 份制企业。 2009年集团公司列世界500强第9位。 中国石化现有全资子公司、控股和参股子公司、分公司等 共90余家，包括油气勘探开发、炼油、化工、产品销售以 及科研、外贸等，经营资产和主要市场集中在中国的东部 、南部和中部地区。 19 2009-11-13 股东大会 董事会 股份公司总裁班子 炼、化 分（子）公司 监事会 董事会秘书局战略委员会 审计委员会薪酬与考核委员会 化工事业部油田勘探开发事业部油品销售事业部 炼油事业部机关职能部门 总裁办公室 法律事务部 发展计划部 生产经营管理部 财务部 科技开发部 人事部 安全环保部 外事部 工程部 物资装备部 信息系统管理部 审计部 监察部 油 田 分 （子） 公 司 销 售 分 （子） 公 司 专 业 公 司 研 发 单 位 炼 油 部 分 化 工 部 分 中国石化组织结构 20 2009-11-13 中国石化内部控制的定位 l美国萨班斯-奥克斯利法案(2002) l香港联交所企业管治常规守则(2006) l上海证交所上市公司内部控制指引（2006) l国资委中央企业全面风险管理指引(2006) l五部委发布企业内部控制基本规范(2008) l财务、管理信息真实可靠； l保障资产安全完整； l规范经营行为，提高风险管理水平； l促进健全制度化管理体系； l完善法人治理结构。 法律法规要求 企业自身需要 21 2009-11-13 中国石化内控制度体系 内 部 控 制 度 体 系 中国石化内部控制手册（上、下册 ） 内部控制相关的管理制度（上、中、下册 ） 分公司实 施细则 子公司内 控手册 研究院内 部控制手册 22 2009-11-13 内部控制手册 23 2009-11-13 内部控制手册的结构 内部控制基本要求 按业务分类控制的具体程序和措施 财务报告计划矩阵和业务控制矩阵 相关重要附件 内 部 控 制 手 册 的 结 构 总则 业务流程 控制矩阵 附则 权限指引 检查评价 不同管理层次、级别的权限规定 内控检查评价与考核 24 2009-11-13 内控手册总则 目的和意义、定义、原则、适用范围 内部环境 风险评估 控制活动 信息与沟通 内部监督 内部控制手册结构、生效、更新 总则包括七个方面 25 2009-11-13 内部控制：由董事会、监事会、管理层和全体员工实 施的、为经营管理合规合法、资产安全、财务报告及 相关信息的可靠性，经营活动的效率和效果、发展战 略的实现提供合理保证的过程。 五要素：内部环境、风险评估、控制活动、信息与沟 通、内部监督。 内控手册总则 （一）内部控制定义、原则、适用范围 26 2009-11-13 内控手册总则 （一）内部控制定义、原则、适用范围（续） 合规性原则 全面性与系统性原则 重要性原则 内部牵制及不相容原则 适应性原则 包容性原则 成本效益原则 27 2009-11-13 内控手册总则 合规性原则 企业内控制度必须符合国家的法律、法规和政 策；符合股份公司上市地（上海、香港、纽约 、伦敦）证券监管机构有关上市公司的法律、 法规和要求。 28 2009-11-13 内控手册总则 包容性原则 内部控制手册是依据内控框架，充分吸收中国石化现 行各项管理制度中控制风险的内容而系统编制，内容涵盖 公司治理、经营管理、业务操作等不同层次。 内部控制手册力求避免与其他制度相矛盾，尽可能包 容不同企业现有的内部控制要求；对确实脱离实际的各项 内部管理制度，应及时修改、完善，并以内部控制手册 规定为准。 29 2009-11-13 内控手册总则 总部、分公司和全资子公司 分公司和全资子公司按照更严、更具体、更全 面的原则，结合实际制定“实施细则”，总部一 般不审批。 控股子公司参照制定手册 按照“业务覆盖、权限比照分公司”的原则制定 ，履行本公司董事会审批程序。 更具针对性 满足体制需要 （一）内部控制定义、原则、适用范围（续） 30 2009-11-13 内控手册总则 （二）内部环境 企业文化：设企业文化部，编制中石化文化建设纲要整合企业文化 ； 员工守则：守法纪、讲诚信； 治理结构：明确董事会及其审计委员会、监事会、总裁班子内控职责； 组织机构：集体决定与调整机构，委派子公司股东代表、董事、监事； 总部内控机构及企业内控机构 责任分配与授权：明确岗位分离，授权管理； 人力资源政策：激励与约束相结合； 反舞弊机制：建立举报投诉制度和举报人保护制度并公开； 内部审计：两级审计机构，审计部门的内控职责。 31 2009-11-13 内控手册总则 总部内部控制组织机构 财务部 法律事务部部 审计部 股份公司内部控制领导小组 组长：总裁 信息系统管理部 内控办公室 人事部 32 2009-11-13 内控手册总则 分子公司内部控制组织机构 企业内部控制领导小组 组长：分公 司总经理 财务处 企管处 法律事务处 审计处 内控办公室 人事处 信息处 33 2009-11-13 内控手册总则 （三）风险评估 根据目标，各部门归口收集信息，确定风险承受度； 内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等； 外部风险：经济市场政策、法律、社会、科技、自然环境等； 风险评估机制：各部门针对责任内控流程，总部、企业针对系统风险。 34 2009-11-13 内控手册总则 （四）控制活动 根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内； 控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产 保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技 术控制、运营分析控制和绩效考评控制等； 综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相 结合；建立重大风险预警机制和突发事件应急处理机制。 通过编制业务流程具体控制 ：18大类、59个流程。 35 2009-11-13 内控手册总则 （五）信息与沟通 信息资源归口管理，不断完善信息搜集机制； 信息系统集中管理，完善系统沟通平台； 对外信息披露由总裁办审核、提供； 分级、分类，重要信息及时传递董事会、监事会和总裁班子 。 36 2009-11-13 内控手册总则 （六）内部监督 日常监督：建立两级内部控制监督检查机制，持续性监督； 专项监督：针对内部控制某一或某些方面的监督检查； 管理层每年评价，出具内部控制自我评价报告。 37 2009-11-13 内控手册总则 （七） 内部控制手册结构、生效、更新 结构六个部分 生效董事会审批 更新每年一次 38 2009-11-13 内控手册控制流程 预算 采购 销售 成本费用 资金 资本支出 资产 关联交易 合并报表 重大事项 信息管理与披露 生产运行 安全环保 税务管理 合同管理 人力资源 信息系统控制 内部审计 内控手册 业务流程 分类 （18类、 59个流程 ） 39 2009-11-13 内控手册控制流程 1.1原油采购业务流程 1.2进口原油代理业务流程 1.4一般物资采购业务流程 采购类控制流程 4.1原油销售业务流程 4.2天然气销售业务流程 4.3一般产品销售业务流程 销售类控制流程 40 2009-11-13 内控手册控制流程 一般物资采购业务流程 （一）业务目标（二）业务风险 经营目标财务目标合规目标经营风险财务风险合规风险 1.1建立“统 一 管理、统一采 购、统一储备 、统一结算” 的物资采购供 应管理体制。 1.2 按质按量 按时和经济高 效地满足生产 建设物资需求 。 2.1资金支付 安全。 2.2会计核算 真实、准确、 完整、及时。 3.1物资采购 过程公开、 规范有序、 合法合规。 3.2物资采购 合同或协议 符合国家法 律、法规、 外贸政策和 股份公司内 部规章制度 。 1.1分散对外采购， 不能形成整体和批 量采购优势，造成 采购资金浪费和流 失。 1.2 国内外采购割 裂，不能在全球范 围内搜寻资源，对 全球供应市场行情 缺乏了解、跟踪、 分析和研究，价格 监管不力，导致采 购性能价格比不合 理。 2.1资金分散 使用，付款 时间、方式 、 金额不恰当 造成资金效 益的流失。 2.2结算不及 时，多记、 错记、漏记 物资入库、 库存或应付 账款，导 致财务数据 不准确、不 完整。 3.1制度不健全 或有漏洞，执行 制度不到位和监 督考核不力,导 致违纪违规问题 发生。 3.2 物资采购合 同或协议不符合 国家法律、法规 、外贸政策和股 份公司内部规章 制度的要求，造 成损失。 41 2009-11-13 内控手册控制流程 一般物资采购业务流程（续） （三）业务流程步骤与控制 点 物资供应职责的界定 物资计划编制与审核 采购渠道确定与控制 采购价格确定与控制 框架协议和采购合同签订与审批 供应过程控制 绩效评价、考核与监督 采购资金使用和控制 42 2009-11-13 内控手册控制流程 一般物资采购业务流程控制点举例： 1.5 物资供应部门内部实行计划、采购、质检、合同 审核、申请付款等环节相互监督的分段管理模式。【 ERP】各分（子）公司物资供应部门在ERP系统中设 计计划、采购等岗位的权限时，应遵从内部牵制及不 相容原则。 5.3 【ERP】对于超过合同有效期3个月以上未执行 完成的采购订单，分（子）公司物资供应部门要及时 核销。维护采购订单交货容差时依据分（子）公司相 关规定执行。 43 2009-11-13 内控手册控制流程 （四）相关制度目录 （制度后标号为内控 手册配套规章制度汇编目录索引号） 1.关于印发中国石油化工股份有限公司对外贸易管理规定的通知（石 化股份外2003274号）1.9.1 一般物资采购业务流程（续） 44 2009-11-13 内控手册控制流程 一般产品销售业务流程 （一）业务目标（二）业务风险 经营目标财务目标合规目标经营风险财务风险合规风险 1.1获取经营 利润。 1.2扩大市场 份额。 2.1核算规 范，保证销售 收入及应收账 款的真实、准 确、完整。 3.1产品销售 符合国家有 关法律、法 规和股份公 司内部规章 制度。 1.1随意降价导致收 入减少。 1.2擅自提价导致市 场丢失。 2.1虚增或截留 收入，多记或 少记应收账 款，导致财务 数据失真。 2.2核算不正 确，造成财务 数据不准确。 3.1产品销售不 符合国家有关法 律、法规和股份 公司内部规章制 度，受到处罚。 3.2产品销售合 同不符合合同法 等国家法律、法 规和股份公司内 部规章制度的要 求，造成损 失。 45 2009-11-13 内控手册控制流程 一般产品销售业务流程（续） （三）业务流程步骤与控制点 接受客户订单与编制销售计划 客户主数据维护和信用审核 确定销售价格 签订销售合同 开票和收款 发货 财务记账 编制销售日报表 催收账款 月末盘点 分析与考核 46 2009-11-13 内控手册控制流程 一般产品销售业务流程控制点举例： 2.1主数据维护员按审核后的客户信息在ERP系统中维护客户 主数据。系统信用主数据应设置为高风险级别或零信用。 2.2分（子）公司营销和财务等部门共同建立客户信用动态档 案，并至少每年更新一次，由不相容岗位人员提出划分、调整 客户信用等级的方案；根据客户信用等级和企业信用政策，拟 定客户信用具体的限额和时限，经营销及财务部门负责人审核 后，报分（子）公司经理或信用管理领导小组审批。财务部门 按照审批结果在ERP系统中维护客户信用主数据。 47 2009-11-13 内控手册控制流程 （四）相关制度目录 （制度后标号为内控手册配套规章制 度汇编目录索引号） 1.关于印发中国石油化工股份有限公司应收款项管理实施 细则的通知（石化股份财 2007506号） -1.6.4 一般产品销售业务流程（续） 48 2009-11-13 内控手册控制流程 2009版内控手册共计1272个控制点，分类如下： 控制点合计管理相关控制点 与财务报告相关 控制点 ERP控制点 数量1272843429161 49 2009-11-13 内控手册控制矩阵 为更好地遵循外部监管要求，同时便于落实内 部管理责任，编制财务报告计划矩阵和每项业 务的控制矩阵。 50 2009-11-13 内控手册控制矩阵 财务报告计划矩阵：旨在将会计报表项目和监管事 项与业务流程建立联系，以确保内控制度合理保证对 外披露的会计报告及重大事项真实可靠。 51 2009-11-13 业务控制矩阵：明确每一控制点的“目标、风险、责任单位、不相容岗 位、分值、记录文档、相关制度索引、会计报表认定、会计报表”，便于落 实内部控制责任。 特别是：对每一控制点都进行“业务风险”描述，容易识别内部控制设计 是否必要和充分，体现内部控制以全面风险管理为导向的基本要求。 内控手册控制矩阵 52 2009-11-13 内控手册权限指 引 授权是内部控制的重要手段。为适应公司一级法人 为主的经营体制，达到“授权有度、风险受控”的目 的，按照分级授权的指导思想，特别制定了权限指 引，统一规范权限管理。 （一）制定权限指引，明确责任和授权 53 2009-11-13 内控手册权限指 引 （二）权限控制指标的定义 权限指引中的权限为该项业务的决定 权、审批权、最终处置权，不包括过程中的 建议权、拟议权。 54 2009-11-13 内控手册权限指 引 （三）权限控制指标的设置原则 内部往来业务从宽，直接对外的业务事项从严； 经批准的预算（计划）内授权从宽，预算外从严； 常规授权从宽，特别授权及转授权从严。 55 2009-11-13 内控手册权限指 引 按照企业的业务规模分为大、中、小三类； 不同板块的企业，根据业务性质设置不同权限； 分公司在实施过程中可以制订向下延伸的权限级别； 子公司按照“子公司体制、分公司地位”的原则，比照 分公司权限执行 。 （四）权限指引的企业分类及应用 56 2009-11-13 内控手册权限指 引 （五）权限指引的结构 权限指引列表，以矩阵式表格描述，由横向、纵向两个 指标体系构成。 编制权限指引说明，对权限指引表中事项进行统一解释。 57 2009-11-13 内控手册检查评价办法 内控检查评价体系 每年检查总部部门和一定数 量的分（子）公司、研究院 ，其中审计部25家。 至少每年 一次 内控检查 评价指引 总部部门检 查评价考核 实施细则 单位 自查 股份公司年度 综合检查评价 检 查 评 价 办 法 综合检查评 价（企业） 测试（总部 ） 至少每半 年一次 测试（企业 ） 至少每半 年一次 企业自查 指导意见 58 2009-11-13 内控手册检查评价办法 设“内部控制执行情况”指标: 根据年度综合检查评 价结果及执行情况，只扣不奖 高层管理人员业绩奖金考核：设2分、5分、10分三档 单位经营目标考核： 设1分、2分、5分三档 内部控制考核 59 2009-11-13 内控手册附则 内控业务流程总部部门联系人 内部控制手册控制流程适用单位 内控手册配套规章制度目录及索引 员工守则 附 则 60 2009-11-13 内容提要 三、企业内部控制评价实例 61 2009-11-13 中国石化内控评价 自2005年已组织五次全系统内控综合检查 l 管理层内控自我评价 l 外部审计师对财务报告内控审计 62 2009-11-13 内控自我评价依据 l 依据内控手册及相关制度，检查内部控制健全性（设计） l 依据适用的内容、范围，检查内部控制符合性（执行） 63 2009-11-13 内控自我评价指引 l企业内控检查评价指引 包括：注明具体检查步骤方法的工作底稿、案例分析等 l总部层面内控检查评价与考核实施细则 64 2009-11-13 内控自我评价依据（续） 65 2009-11-13 内控自我评价方式 中国石化从“量化评分”和“内控 缺陷认定”两个方面进行内控评 价，满足内控考核和外部监管的 要求。 66 2009-11-13 内控自我评价范围 l总部层面：各管理部门 l企业层面：各管理部门、所属单位 67 2009-11-13 内控自我评价流程图 编制内部控制自我评价报告 修订完善 补救整改 组织现场检查 制定检查方案，报内控领导小组批准 报告管理层 健全性测试符合性测试 检查汇总结果 集中培训检查人员 68 2009-11-13 内控自我评价 （一）制定年度内控检查方案 （二）检查前培训 （三）现场检查 （四）跟踪整改 （五）汇报检查结果及修订完善 （六）编制内控自我评价报告及对外披露 69 2009-11-13 制定年度内控检查方案 召开内控领导小组会议批准检查方案 l 检查范围及重点（总部部门、企业层面） l 检查人员选拔及分组 l 检查前培训安排 l 检查主要事项 70 2009-11-13 内控自我评价 （一）制定年度内控检查方案 （二）检查前培训 （三）现场检查 （四）跟踪整改 （五）汇报检查结果及修订完善 （六）编制内控自我评价报告及对外披露 71 2009-11-13 检查前培训 l 讲解内控检查评价指引（方法、案例 ） l 合理分组，熟悉被检查单位基本情况 l 分组讨论，集中答疑 72 2009-11-13 内控自我评价 （一）制定年度内控检查方案 （二）检查前培训 （三）现场检查 （四）跟踪整改 （五）汇报检查结果及修订完善 （六）编制内控自我评价报告及对外披露 73 2009-11-13 现场检查评价步骤 见面会 掌握基本情况 分析/定范围 抽样、访谈等抽样、访谈等 缺陷认定 填写底稿 签字确认 编写报告 讲评会 交换意见 汇报内控办公室 审计部 检查结果 现场检查小组现场检查小组 评分/评价 74 2009-11-13 1、组织现场检查小组 l 组长负责与企业班子成员谈话，参加见面会及讲评会； l 副组长负责检查内控环境（访谈部门负责人）、企业自查 情况，并撰写现场检查报告； l 检查人员按内控流程分组(以内控管理人员为主，搭配各 类专业人员、特别是IT专业人员） 分配成员任务 75 2009-11-13 2、召开见面会 通过企业介绍，掌握基本情况 l 企业基本情况（生产经营业务范围、组织机构、经 理班子成员及其分工、财务管理核算体制、ERP建设 和实施情况等）； l 检查区间生产经营计划和预算完成情况； l 内部控制实施情况（内控宣传培训、实施细则及相 关制度修订完善、日常内控工作机制、单位测试自查 及整改情况）； l 最近一次审计或财务稽核查出问题的整改情况等。 76 2009-11-13 3、搜集、分析材料 l 实施细则及配套规章制度 l 内控自查整改材料 l 内控流程责任分工（责任部门、责任人、联系人） l 企业组织架构图（领导分工、部门职能、重要岗位人员名单） l 检查区间的会计报表、经济活动分析材料等 l 最近一次审计问题及整改材料 l 获得ERP 最大查询权限 77 2009-11-13 确定范围及重点 l 选择检查单位（企业所属全资、控股、参股子公 司原则上全部检查，并至少抽查3个直属单位） l 选择重点内控流程和控制点（必检内容） l 确定重点检查样本 l 加强内部沟通，适时调整检查内容和方向 78 2009-11-13 4、现场检查评价内容 l 内控环境、要素评价（10分） l 企业自查情况评价（20分） l 业务流程综合检查评价（70分） l 内部控制缺陷认定（修正总得分） 79 2009-11-13 内部环境、要素评价 检查评价内容主要包括7个方面（访谈、检查证据）： 诚信与道德 责任分配与授权 组织结构 管理哲学和经营风格 人力资源政策与实务 信息与沟通 监督 检查组长或副组长填写“内控环境检查评价表” 80 2009-11-13 企业自查情况评价 l 企业责任部门内控流程测试情况（检查实际效果） l 企业内控自查情况（至少验证5个流程） 复查核实，副组长填写“企业自查情况评价表” 81 2009-11-13 业务流程评价 对照内控手册及相关制度，分析适用流程、控制点（健全性 ） 判定业务是否发生，确定应检查的控制点（符合性） 参照检查工作底稿中拟定的检查步骤和方法，结合实际选择 抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方 法。 （1）分析适用流程，判断业务发生 82 2009-11-13 业务流程评价（续） 不相容岗位分离 控制点执行情况 执行了控制点规定的控制步骤或控制方法（“控制点描 述”、 “检查步骤及方法”） 未突破规定的权限（权限指引） 实现规定的控制目标 （实质性检查） 及时提供有效的控制点相关资料 同时符合 （2）控制点得分/扣分的判断方法 83 2009-11-13 业务流程评价（续） 控制点检查评价后，填写“内控流程检查工作底稿” 与财务报告相关的控制点（控制矩阵已注明），还应填写“ 财务报告抽样记录表” “内控流程检查工作底稿” 和“财务报告抽样记录表”需 经检查人、被查单位责任人签定确认。 （3）分析是否与财务报告相关，填写检查记录 84 2009-11-13 业务流程评价（续） 内控流程综合检查评价得分=控制点检查评价得分70/控 制点基础分值。 其中，控制点检查评价得分为被检查单位所有适用内控流程 控制点“检查评价得分”之和；控制点基础分值为被检查单位所 有适用内控流程剔除不适用控制点及业务未发生控制点后的“控 制点分值”之和。 （4）内控流程评价计分方法 85 2009-11-13 内控缺陷的分类 影响会计报表缺陷 其他会计信息质量缺陷 IT控制缺陷 内控重大事故事件缺陷 内 部 控 制 缺 陷 企业内部管理缺陷 财务报告缺陷 内控缺陷是指在内控设计和运行方面，已经 发生的内控程序不足或产生不足的可能性。 86 2009-11-13 内控缺陷的划分等级 财务报告缺陷财务报告缺陷 内部管理缺陷内部管理缺陷 填写“内部控制缺陷认定汇总表 ” 重大缺陷重大缺陷 重要缺陷重要缺陷 一般缺陷一般缺陷 结 果 结 果 一般缺陷一般缺陷 一般情况 下 87 2009-11-13 内控缺陷的扣分 l一般缺陷：扣减总得分的1% l 重要缺陷：扣减总得分的50% l 重大缺陷：综合检查得分为零 88 2009-11-13 内控缺陷的认定 影响会计报表的缺陷：根据错误样本比例推算潜在错报金额 1 1、记录错报样本记录错报样本 2 2、确定潜在确定潜在错报率错报率 3 3、计算潜在错报金额（相应会计科目同向累计发生额、计算潜在错报金额（相应会计科目同向累计发生额潜在错报率潜在错报率 ） 4 4、计算错报指标计算错报指标 错报指标错报指标1=1=潜在错报金额合计潜在错报金额合计/ /被检查单位当期主营业务收入或被检查单位当期主营业务收入或 期末资产总额孰高；期末资产总额孰高； 错报指标错报指标2=2=潜在错报金额合计潜在错报金额合计/ /股份公司当期主营业务收入。股份公司当期主营业务收入。 5 5、错报指标与缺陷等级、错报指标与缺陷等级 一般缺陷一般缺陷: :错报指标错报指标1111，且错报指标，且错报指标2 211 重要缺陷重要缺陷:1:1错报指标错报指标2 255 重大缺陷重大缺陷: :错报指标错报指标2525 89 2009-11-13 内控缺陷的认定（续） 其他会计信息质量一般缺陷：外部监管重点关注的事项 （1）会计人员缺乏必要的任职资格和胜任能力。 （2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。 （3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。 （4）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消 原始凭证。 （5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100万元 以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。 （6）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。 （7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。 （8）存货盘点未按照规定执行。 （9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。 90 2009-11-13 内控缺陷的认定（续） IT控制一般缺陷：整体层面控制、一般性控制、应用控制 （1）ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。 （2）ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。 （3）分（子）公司信息化管理机构不健全，职责不到位。 （4）分（子）公司ERP支持中心人员不落实，支持中心人员没有履行相关职责。 （5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离 。 （6）未进行信息安全教育和培训。 （7）ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。 91 2009-11-13 内控缺陷的认定（续） 内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善造 成财产损失或影响给股东带来利益损害为判别依据。 缺陷认定等 级 直接财产损 失金额重大负面影响 一般缺陷 10万元（含10万元） 500万元 或受到省级（含省级）以下政府部 门处罚 但未对公司定期报告披露造 成负面影响 重要缺陷 500万元（含500万元） 1000万元 或受到国家政府部门处罚 但未对股 份公司定期报告披露造成负面影响 重大缺陷1000万元及以上 或已经对外正式披露并对公司定期 报告披露造成负面影响 92 2009-11-13 内控缺陷的认定（续） 内部管理一般缺陷：不影响财务报告，但违反内部管理要 求的突出事项。根据内控手册和管理制度（文件）判断。 1物资采购供应未归口管理 2销售管理中客户信用等级和信用限额未经信用领导小组审批，销 售价格政策未经价格领导小组审批 3投资项目无计划或超计划，或未按规定招投标，或先施工后补签 合同 4对未即时清结的交易没有签订书面合同；未按规定使用标准合同 文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管 理员审核 5未按规定开立或使用银行账户 6成本、费用指标未考核 7由于违章行为导致安全环保事故（事件）发生 8瞒报事故 93 2009-11-13 内控缺陷的认定（续） 内控缺陷认定后，应累计填写“内部控制缺陷认定汇 总表”，由检查小组组长（或副组长）、被查单位内 控办公室主任签字确认。 内控缺陷的汇总 94 2009-11-13 5、检查方法 （1）一般方法 （2）抽样检查 （3）ERP控制点检查 95 2009-11-13 5、检查方法（续） （1）一般检查方法及应用： 抽样法 穿行测试法 个别访谈法 比较分析法 实地查验法 专项讨论会法 重新执行法 基本方法 业务流程 内控环境、异常情况 价格、预算、报表分析 盘点、验证 遇到专业疑难问题 怀疑结果有重大错误 不限于此 综合运用 注意取得 最原始 单据 96 2009-11-13 5、检查方法（续） 综合应用各种方法： 检查前：比较分析、个别访谈，预抽样 实施检查：抽样、穿行测试、实地查验、个别 访谈、比较分析 疑难问题：专家讨论会 佐证不足怀疑结果：重新执行、扩大抽样 97 2009-11-13 5、检查方法（续） （2）抽样检查 抽样数量 抽样方法 抽样步骤及要求 98 2009-11-13 5、检查方法（续） 序号业务发生频率至少抽样数量 1每年一次1笔 2每年一次以上至每季度一次2笔 3每季度一次以上至每月一次2笔 4每月一次以上至每周一次5笔 5每周一次以上至每天一次15笔 6每天多次25笔 99 2009-11-13 5、检查方法（续） 抽样数量 非财务报告点抽样数量一般为3个（少于3个的选用整 体抽样）； 财务报告点抽样数量在“财务报告抽样记录表”中已经 根据业务发生频率列出“应抽取的样本量”，除非实际业 务量不足，否则不得减少“应抽取的样本量”； 特别说明:抽取样本数量不限于上述“应抽取的样本量” ，如果检查人员认为抽样数量不足以证明内控执行有效 ，可以根据需要增加样本量。 100 2009-11-13 5、检查方法（续） 抽样方法抽样方法 1）整体抽样 2）随机抽样 3）等距抽样 4）指定抽样 101 2009-11-13 5、检查方法（续） 1）整体抽样 被检查单位某项经济业务很少发生，被检查的 样本个数少于或等于规定数量时，应抽取全部样 本做为检查样本。 如存货减值、存货处置、现 金、存货、固定资产盘 点等可以采取整体抽样 方式，抽取所有减值会 计凭证、存货处置会计 凭证、存货盘点表、存 货盘盈盘亏的会计凭证 。 102 2009-11-13 5、检查方法（续） 2）随机抽样：控制点检查原则上采取“随机抽样”的方法。 时间分布比较均匀：如涉及的经济业务在检查区间内各月基本均匀发生。 品种比较齐全：如销售业务应包括各种产品样本。 金额分布合理：包括大中小金额。 业务对象分布合理：如采购、销售业务尽量覆盖全部供应商或客户；借款 应覆盖各币种、各银行的借款。 业务发生单位分布合理：指被检查企业如果有很多单位都发生同一类经济 业务，应尽量覆盖。 采购合同、付款和发票校验会计凭证，销售订单、价格、合同、发货会计 凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法 。 经济业务 频繁发生 样本数较多 通过分析确认样本 特性分布均匀 103 2009-11-13 5、检查方法（续） 3）等距抽样 如果样本的分布特性比较均匀稳定，可以采取 等距抽样的方法。即可以拟定选择原始单据编号 以1（或2、3、4）结尾的样本等。 如收付款会计凭证、出入库单等等。 104 2009-11-13 5、检查方法（续） 4）指定抽样 通过分析，对于特殊的经济业务事项（如非正 常发生的经济业务）可以指定抽样。如修理费 业务，可指定公司本部大额修理费支出；成本 业务，可指定手工结转的凭证；销售、费用支 出等业务可指定红字冲销业务；还可指定暂估 业务等。 105 2009-11-13 5、检查方法（续） 对于同一业务不同企业选用的抽样方法可能不同。如 对于票据业务很少的企业，可以采用整体抽样的方法； 对于票据业务较多的企业，则可以根据发生日期、出票 行、被背书人、贴现行等采用随机抽样等方法； 对于检查区间包括年末和年初的，应加大抽取样本量 。重点关注是否存在虚挂或少挂成本费用，虚增或少记 收入，用以调节利润的情况。其他样本也应有选择性地 多抽1、3、6、9月。 抽样的特殊性： 106 2009-11-13 5、检查方法（续） 抽样步骤及要求： 1.搜集信息，拟定 “抽样实施方案 ”