Group6：内控的自我评价与外部评价.pptVIP

内部控制的自我评价与外部评价 案例：梅花生物科技集团股份有限公司 小组成员及分工 案例讲解的流程 Part1：美国内控评价法律体系概况 美国内部控制部分法规制度及职业标准 法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义 1、反海外贿赂行为法 美国国会、1977 年 该法案明确规定：内部控制不是会计部门的 责任，而是美国公司董事会的责任。该法案 确认的内部控制目标主要涉及授权、记录、 使用资产和资产的会计责任四个领域。 2、内部控制整合框 架 COSO、1992年COSO内部控制整合框架构建了由三 大目标和五项要素组成的内部控制框架。该 框架的发布和广泛采用标志着内部控制在理 论上和实务上走出审计范畴，从而成为企业 整个管理体系的有机组成部分，该框架同时 也为企业内部控制评价提供了指导。 美国内部控制部分法规制度及职业标准 法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义 3、企业风险管理整 合框架 COSO、2004年9月COSO企业风险管理整合框架 构 建了由四大目标和八项要素组成的企业 风险管理框架，实现了内部控制5要素 与风险管理8要素的有机结合，其重点 是强化内部控制环境和风险应对问题。 4、萨班斯-奥克斯利法 案 美国国会、2002 年7 月 萨班斯法案是1933年以来美国证券 立法中影响最深远的法案。它通过加强 上市公司财务信息披露的可靠性和内部 控制有效性，确保审计师的独立性以及 改善公司治理结构来“重获投资者的信 心”。成立新的监管机构上市公司会 计监督委员会（PCAOB）加强对上市公 司和独立审计师的监管。 美国内部控制部分法规制度及职业标准 法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义 5、与财务报表审计相融合的 内部控制审计（简称第5号审 计准则） PCAOB、2007年5月指引审计师将审计重点放在最重要的内部控制 事件的审计。要求审计师重点关注公司内部控 制中那些可能会导致财务报告中的重大错报不 能被发现或预防的高风险领域，并沿用了第2 号审计准则指南中强调的从上到下的审计方法 。 6、关于管理层报告财务报告内 部控制的指引 SEC、2007年6月为了对管理层有关财务报告内部控制的评价和 评估提供指引。该指引提出了一种方法，管理 层可以据以对财务报告内部控制实施自上而下 、以风险为基础的评价。 7、金融工具公允价值计量审 计和利用专家工作的相关问题 PCAOB、2007年12月PCAOB 发布了审计实务提示（Staff Audit Practice Alert）第2号金融工具公允价值计 量审计和利用专家工作的相关问题。该提示 是在美国次贷危机的背景下发布的，主要为了 提醒注册会计师注意美国公允价值会计审计准 则中的有关规定。 基于内控评价COSO五要素的解读 内控环境：主要包括组织架构、企业文化、人力资源管理、发展战略、 社会责任五个子要素。内控环境确定了公司的总体态度，是内部控制所 有其他组成要素的基础。管理层在对控制环境评估时，也应该考虑反舞 弊机制、审计委员会或其他监管职能的有效性。 风险评估：由业务风险评估、固有风险、舞弊风险三个子要素构成。企 业要充分识别企业的外部环境（如：政治、经济、法律法规等方面）存 在的，并对相关控制目标有影响的风险。其次，充分的风险评估过程要 包括对重大风险的评估、对风险发生可能性的评估，以及应对风险方法 的确定。 控制活动：包括不相容职务分离控制、授权审批控制、会计系统控制、 信息系统控制等。控制活动在整个公司所有级别和职能部门实施，确保 管理层的指令得到执行。控制活动要注重具体信息处理的目标。 基于内控评价COSO五要素的解读 信息与沟通：要素包括一套能够支持信息确认、获取、交流的系统。 在评估信息与沟通要素时，管理层须考虑内部和外部生成的数据以及 数据的质量。此外，管理层还应关注财务信息至关重要的系统和程序 。 内部监督：由持续监督、独立评估、缺陷报告三个要素组成。定期监 督主要工作是管理层定期对内控系统进行审核。对监督过程发现的内 控缺陷，应当分析缺陷的性质及产生原因，并提出整改方案。企业应 当结合内控监督情况定期对内控的有效性进行自我评价，并出具内控 自我评价报告。 萨班斯404条款主要内容 1.管理层内部控制方面要求 要求公司年报中包括一份内部控制报告，该报告应包括以下内容： (1)明确指出公司管理层对建立和保持一套完整的，并与财务报告相关的 内部控制系统和程序所负有的责任； (2)包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序 的有效性的评估。 2.审计师内部控制评价报告 受托的上市公司审计师应按照上市公司会计监管委员会审核发布的或采 用的准则就管理层关于内部控制的评估进行测试和评价，并出具评价 报告。 PCAOB第5号和第2号审计准则对比 指引审计师将注意力投向最重要的控制 内控审计准则提案内容沿用了PCAOB关于第2号审计准则指南中强调的至上 而下的方法。在使用至上而下的方法时，审计师要从财务报表和公司层 面的控制开始，确定将要测试的控制，并将财务报表要素和公司层面的 控制与重要账目、相关论断以及其他重要控制所在的重大流程联系在一 起。 强调风险评估的重要性 该提案要求审计师在每一决策点的风险评估中采用至上而下的方法。审计 师对重要账目和相关论断的确定要求审计师应清楚存在的相关风险。审 计师的风险评估应内控审计具有普遍影响。从审计师开始对公司实质性 漏洞风险评估开始，以至对单独账户、论断或控制层面风险的分析，审 计师应不断调整审计程序，以反映审计师掌握的信息，包括内控审计和 财务报表审计的经验。 PCAOB第5号和第2号审计准则对比 修订重大缺陷和实质性漏洞的定义 l用“合理可能性”替代“微小可能性” l重新确定实质性漏洞的定义，以去除重大缺陷 l用“重大”取代“不仅仅是不合理” 修订实质性漏洞的重要指标 第2号审计准则对那些至少为重大缺陷和实质性漏洞的重要指标的环境 进行描述。此类环境包括已发布的财务报表重编以及无效的控制环境 。为保证提案的要求不会迫使审计师在缺陷不存在的情况下，做出缺 陷存在的结论，委员会修改了关于将上述环境认为是至少具有重大缺 陷的要求。 PCAOB第5号和第2号审计准则对比 明确实质性在审计中的作用 审计师在计划和执行内部控制审计中采用的实质性方法应与年度财报 中采用的方法一致。 删除评价管理层评估过程的的要求 为强调适当的审计工作范围，简化报告，准则提案要求审计师对内部 控制只能发表一个意见。提案删除了对管理层的评估分别发表单独 意见的要求。若审计师对内控持相反意见，应在管理层报告的实质 性漏洞进行单独、详尽的描述。若管理层未能公正反应实质性漏洞 ，审计报告中应包含一段解释以及必要信息。 PCAOB第5号和第2号审计准则对比 调整审计准则，适用较小公司的规模 较小公司的财务报告通常与较大、较复杂的公司不同，并且较小公司 内部控制系统通常能够利用不同的方式较好的处理风险。审计师应 执行的程序要依赖于公司规模和复杂程度的具体情况 简化要求 l特定性和细节性水平降低，鼓励审计师根据实际情况进行职业判断 l对陈述报告进行了重组，以更好的反映内控审计流程 l要求陈述的方式更具有可读性，让客户和审计师更好理解 Part2：中国内控自我评价体系 我国与内部控制相关的部分法规制度 法规与指引名称颁布机构与时间与内控与风险管理相关内容 1、证券公司内部控制指引 中国证监会、2003年12月 引导证券公司规范经营，完 善证券公司内部控制机制， 增强证券公司的自我约束能 力，推动证券公司现代企业 制度建设，防范和化解金融 风险。 2、证券公司融资融券业务 试点内部控制指引 中国证监会、2006年6月30日 指导证券公司建立健全融资 融券业务试点的内部控制机 制，防范与融资、融券业务 有关的各类风险。 3、商业银行内部控制指引 中国银监会、2007年7月3日该指引首次提出要对内部控 制进行全流程评价，将内部 控制体系的五大要素有机地 联系在一起。 我国与内部控制相关的部分法规制度 法规与指引名称颁布机构与时间与内控与风险管理相关内容 4、银行业金融机构信息系 统风险管理指引和商业银 行操作风险管理指引 中国银监会、2006年、2007 年 银监会先后发布了银行业金融机构 信息系统风险管理指引和商业银 行操作风险管理指引，为银行业金 融机构的操作风险管理提出系统性的 要求和指导。 5、上海证券交易所上市公 司内部控制指引 上交所、2006年6月5日 该指引要求上市公司应从2006年 年度报告起披露内部控制自我评估报 告和会计师事务所对自我评估报告的 核实评价意见。 6、深圳证券交易所上市公 司内部控制指引 深交所、2006年9月28日从国有企业管理实践的内在需求以及 国有资产出资人监管的角度出发，对 中央企业开展风险管理工作的目标、 全面风险管理体系建设的内容、流程 以及工具和方法进行了详细阐述，并 提出了明确的执行要求。 我国与内部控制相关的部分法规制度 法规与指引名称颁布机构与时间与内控与风险管理相关内容 7、中央企业全面风险管理指 引 国资委、2006年 6月 从国有企业管理实践的内在需求以及国有资产出资 人监管的角度出发，对中央企业开展风险管理工作 的目标、全面风险管理体系建设的内容、流程以及 工具和方法进行了详细阐述，并提出了明确的执行 要求。 8、企业内部基本规范五部委、2008年 5月 我国第一部加强和完善企业内部控制系统，提高企 业经营管理水平和风险防范能力，促进企业可持续 发展，维护社会主义市场经济秩序和社会公众利益 的重要法规文件。 9、企业内部控制应用指引 、企业内部控制评价指引 、企业内部控制审计指引 五部委、2010年 4月 配套指引通知要求执行企业内部基本规范及企 业内部控制配套指引的上市公司和非上市大中型企 业，对其内控的有效性进行自我评价，披露年度自 我评价报告，并出具内控有效性的审计报告。 建立一个健全的内部控制制度是公司 高级管理层的职责 1.明确内控检查监督的专门职能部门 2.确定并记录公司现有的内部控制流程，包括公司 层面和部门层面，涵盖各业务流程环节和各项公司 管理制度 3.持续性地按照法律法规，部门规章及证券交易所 上市规则的规定把建立/完善内部控制制度纳入长效 管理机制 管理层对于内部控制执行的自我评估 以及检查监督 1. 制定内控监督检查办法和年度内部控制检查监督计划; 跟踪内 部控制执行缺陷并确保缺陷得到及时改进 2. 对关键控制点进行监督检查并记录检查结果;生成内部控制 检查监督工作报告并每半年呈交董事会 3.董事会或审计委员会审核内部控制检查监督工作报告；并 以此为基础制作内部控制自我评估报告并形成董事会决议 4. 披露内部控制自我评估报告以及会计师事务所对该报告出 具的核实评价意见 内部控制自我评价的意义 积极响应外部要求 公司作为上市公司，财政部要求于2009年7月1日起，按五部委联 合颁布的企业 内部控制基本规范建立健全内部控制体系 ，并建立长效机制对内控有效性进行持续维护、自评及测试。 踏实提高公司整体管理水平 公司将借助内部控制体系的建设，进一步梳理完善公司现有管理 政策体系，提高经营管理水平和风险防范能力，提高公司综合 竞争力，促进公司可持续发展。 内控自我评估主要步骤介绍 管理层委任项目领 导及项目小组 成立专门职能部门 （检查监督部门）， 定义监督检查部门 职责分工 确定项目计划以建 立/完善公司的内部 控制 进行培训 将内控项目计划承 交董事会审阅 进行风险评估确定 项目范围 选定试点公司 盘点现有制度、流程， 辨识与记录公司层面、 下属部门与附属公司的 、以及各业务环节的现 有内部控制，找出内部 控制需要改进的关键点 建立标准内控文档模版 推广内控文档 汇总内部控制设计缺陷 并提出整改方案 执行整改方案 持续性地按照法律法规 ，部门规章及证券交易 所上市规则的规定把建 立/完善内部控制制度纳 入长效管理机制 董事会审核内部控 制自我评价报告； 披露内部控制自我 评价报告以及会计 师事务所对该报告出 具的核实评价/审计 意见 制定内控监督检查办法 和年度内部控制检查监 督计划（符合性测试） 对关键控制点进行监督 检查并记录结果 监控内控缺陷的整改情 况 生成内部控制自我评 价报告承交董事会 主要 步骤 项目阶 段 机构设立 和计划阶段 建立健全 内控制度阶段 董事会报告 及披露阶段 内控自我检查 监督和汇报阶段 内控自我评估理论介绍CSA定义 内部控制自我评价（control self-assessment，简写为CSA）是 一个对企业内部控制的效力进行检查和评价的过程。其目标是 为企业实现所有经营目标提供合理的保证。 内控自我评估理论介绍CSA原理 内部控制自我评估开展方式 访谈 内控评估问卷 国内目前主要以问卷形式开展 内控自评小组研讨会 国外普遍采用研讨会的形式开展 内控自我评估机制设计的介绍 自我检查表体系 内控自我评估机制设计的介绍 内控自我评估表 填写原则： 由熟悉业务或实际操作业务的主管级人员作为业务流程控制者进行回 答，由部门经理及系统负责人签署确认。 可以进一步将本人的自查表分解给下属；但是“工作可以分解交办， 责任不会随之转移”。业务流程控制者，部门经理和系统负责人对 不正确的回答负责。 业务流程： 销售流程、采购流程、存货管理流程、资金管理流程、投资管理流程 、控制流程、财务报告流程、计划与预算流程、固定资产管理流程 、人事薪酬管理、费用支出流程、对下属公司的管控 内控自我评估表样张 内部控制自我评估几个阶段 准备内控自我评估文档并下发 管理层组织内控自我评估 收集内控自我评估结果并执行抽查 汇报沟通、管理层改进缺陷以及必要的再次测试 协助管理层汇总内控自我评估结果并内控自我评 估报告 Part3：西藏上市公司内控评价 披露的现状 西藏上市公司内控评价披露现状 序 号 公司全称证券简称 股票代码上市时间注册地址内控评价披露情况 1 梅花生物科技集 团股份有限公司 梅花集团6008731995/2/17 西藏自治区拉萨 经济技术开发区 金珠西路189号 2010年开始披露自 我评价报告、审计 报告，2012年起披 露社会责任报告 2 西藏珠峰工业股 份有限公司 西藏珠峰600338 2000/12/27 西藏自治区拉萨 市北京中路65号 未查询到相关资料 3 西藏诺迪康药业 股份有限公司 西藏药业6002111999/7/21 西藏自治区拉萨 市北京中路93号 未披露，2012开始 建立内控制度 4 西藏旅游股份有 限公司 西藏旅游6007491996/10/15 西藏自治区拉萨 市林廓东路6号 未披露自我评价和 审计报告，2012年 起披露社会责任报 告 西藏上市公司内控评价披露现状 序 号 公司全称 证券 简称 股票代码 上市时间注册地址内控评价披露情况 5 西藏城市发展投资 股份有限公司 西藏 城投 6007731996/11/8 西藏自治区拉萨市金 珠西路75号2楼 2011年起披露自我评价 、审计报告 6 西藏银河科技发展 股份有限公司 西藏 发展 000752 1997/6/2 5 西藏自治区拉萨市色 拉路36号 2012年披露自我评价报 告 7 西藏天路股份有限 公司 西藏 天路 6003262001/1/16 西藏自治区拉萨市夺 底路14号 2012年起披露自我评价 、审计报告 8 西藏海思科药业集 团股份有限公司 海思 科 0026532012/1/17 西藏自治区山南地区 泽当镇香曲东路8号 2011年披露自我评价、 审计报告 西藏上市公司内控评价披露现状 序 号 公司全称 证券 简称 股票代码上市时间注册地址 内控评价披露情 况 9 西藏矿业发展 股份有限公司 西藏 矿业 0007621997/7/8 西藏自治区拉萨市中和 国际城金珠二路8号 2012年起披露自 我评价、审计报 告 10 西藏奇正藏药 股份有限公司 奇正 藏药 002287 2009/8/28 西藏自治区林芝地区八 一镇泉州路1号 2011年披露自我 评价、审计报告 Part4：梅花集团案例分析 梅花生物科技集团简介 梅花集团全称为梅花生物科技集团股份有限公司，总部设在 河北省廊坊市，是一家以生物发酵为主的大型产业集团。前 身为五洲明珠股份有限公司（简称“五洲明珠”），五洲明珠 重大资产重组吸收合并原梅花生物科技集团股份有限公司后 ，“五洲明珠股份有限公司“更名为“梅花生物科技集团股份有 限公司“，原梅花集团注销。经过资产重组，公司成功实现 了从输配电设备制造行业向味精、氨基酸等生物发酵领域的 转型。2010年底，梅花集团在上海证券交易所上市，股票代 码600873。 梅花生物科技集团内控管理制度 环境控制 l主要包括授权管理和人力资源管理 l公司建立合理的组织架构，确保各项工作责权到位，有序进行。明确股东 大会、董事会、监事会、经理层、各部门和子公司的具体职责范围 l公司建立分级授权制度，各级授权要适当，职责要分明，并对授权实行动 态管理，建立有效的评价和反馈机制 l公司建立人力资源管理相应制度，明确公司的机构和岗位设置、职务任免 、薪酬管理、竞聘上岗、员工培训、考核与奖惩等内容，有效加强员工素 质控制，确保企业内部激励机制和监督约束机制的完善，为公司营造科学 、健康、公平、公正的人事管理环境 梅花生物科技集团内控管理制度 业务控制 l包括部门的设置、岗位责任、操作流程及具体的业务规章 l公司各部门、分公司、子公司根据实际工作内容，明确各自工作职责 l公司各部门、分公司、子公司根据业务操作流程，针对各个风险点拟定 或制定必要的控制程序 l公司应制定采购管理制度、设备管理制度、生产工艺管理制 度、产品委托加工管理规定、营销管理制度、财务管理制 度等管理制度，确保各项 业务正常开展 l公司应制定人力资源管理办法，对员工的雇佣、签订聘用合用、培训、 请假、加班、离岗、薪资记录及支付、个人所得税等费用的代扣代缴、 考核考勤等方面加强管理。 梅花生物科技集团内控管理制度 对子公司的管理控制 l公司应制定控股子公司管理办法，对子公司的规范运作、人事 管理、财务管理、内部审计、信息披露、投融资管理、经营考核进 行风险控制 l公司各部门对子公司的相应对口部门进行专业指导、监督及支持。 各子公司必须统一执行公司颁布各项规范制度 l各子公司应建立重大事项报告制度和审议程序 l各子公司应及时向公司报送定期报告，定期报告包括月报、季报、 半年报和年度报告 梅花生物科技集团内控管理制度 关联交易的内部控制 对外担保的内部控制 资金筹集、使用的内部控制 对外投资的内部控制 信息披露的内部控制 梅花集团内部控制的检查和披露 公司设立审计部门，在董事会审计委员会的领导下，定期检查公司内部控制缺 陷，评估其执行的效果和效率，并及时提出改进建议 公司应制定内部审计管理制度，明确内部审计监督的范围、内容、职权、 工作程序、质量控制，以及奖励和惩罚等 公司董事会审计委员会依据公司内部审计报告，对公司内部控制情况进行审议 评估，形成内部控制自我评价报告初稿，提交董事会审定。公司监事会和独立 董事对此报告发表意见 公司于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评 价意见报送上海证券交易所，与公司年度报告同时对外披露 公司内部审计部门的工作底稿、审计报告及相关资料，保存时间十年以上 梅花集团2011年内控自我评价报告与 审计报告 管理层对内部