第4讲 内部控制自我评价

第四讲内部控制自我评价,提纲,内部控制评价概述内部控制评价的组织与人员内部控制评价实务内部控制评价结果的沟通与汇报内部控制评价的其他考虑领域总结,2011,2,企业内部控制规范体系培训,第五部分,内部控制评价概述,企业内部控制评价指引的体系架构,2011,4,企业内部控制规范体系培训,企业内部控制评价指引的体系架构,2011,5,企业内部控制规范体系培训,企业内部控制评价指引的体系架构,2011,6,企业内部控制规范体系培训,内部控制评价人员需要回答的几个问题,2011,7,企业内部控制规范体系培训,关于内部控制评价的几个认识误区,2011,8,企业内部控制规范体系培训,第五部分,内部控制评价的组织与人员,内部控制评价的主观意愿,主观意愿强调两个方面：内部控制评价的最终责任人和内部控制评价的日常参与者。,2011,10,企业内部控制规范体系培训,内部控制评价人员所需的知识技能,2011,11,企业内部控制规范体系培训,内部控制评价的职责分配,2011,12,企业内部控制规范体系培训,内部控制评价的组织形式,2011,13,企业内部控制规范体系培训,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,什么是财务报告内部控制,财务报告内部控制是指，由公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序：保存充分、适当的记录，准确、公允地反映企业的交易和事项合理保证按照企业会计准则的规定编制财务报表合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项,2011,16,企业内部控制规范体系培训,涉及主要交易的发起、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制,业务系统,核心业务活动,销售与收款,财务核算系统,财务报告,内部控制,什么是财务报告内部控制（续）,资金管理,主营业务收入,应收账款,坏账准备,内部控制,内部控制,2011,17,企业内部控制规范体系培训,如何识别内部控制,要进行内部控制有效性的评价，首先需要识别业务流程中哪些活动是内部控制；右图做了一个形象的阐释,交易发生,业务人员纪录交易内容,独立人员复核交易信息的完整性/准确性/存在性（SD）,交易审批（AU）,系统输入前，审查操作人员是否具备适当授权（SD）,操作人员对交易进行记录,系统A,独立的业务人员符合交易数据的准确性、完整性和准确性（SD）,系统自动记录权限控制/查验痕迹,接口/转换控制（如存在两个或两个以上的系统）,系统设置与账项映射,生成交易分析、例外报告,审阅例外报告，跟进处理差异事项，重新输入系统（OA）,例外报告,系统B,报告,SD-不相容职务分离,AU-授权审批控制,手工控制,系统控制,启动,授权,记录,处理,报告,OA-运营分析控制,系统之间数据的一致性,2011,18,企业内部控制规范体系培训,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,财务报告内部控制评价范围确定的概念,企业内部控制规范体系培训,20,2011,交易,交易,交易,交易,交易,单位,单位,单位,单位,单位,总部,组织结构,业务流程,经营活动,科目,控制,财务报告内部控制评价范围确定的几个考虑,按照法规要求，企业应该以财务报告内部控制为评价的主题需要确定三个方面的范围所需要覆盖的单位所需要覆盖的业务流程需要纳入到测试范围的控制单位的覆盖范围一般以相关单位的重要性为判断标准包括总部和下属单位单独重大、存在特殊风险、整合后重大重要性一般以资产、利润或收入作为判定的标准业务流程和控制点的覆盖面以风险为导向风险的程度：是否有可衡量的水平基于风险来挑选需要被测试的控制点,企业内部控制规范体系培训,21,2011,财务报告内部控制关键控制确定的概念,明确所关注的风险：财务报告的重大错报针对可能会造成错报的领域根据风险来确定相对应的流程根据流程里的关键环节来确定所需要纳入测试的控制,2011,22,企业内部控制规范体系培训,控制目标：财务报告,控制,风险事项,风险事项,流程,重大错报风险,流程,控制,关键控制点的挑选,控制的设计和实施应以风险和管理需要为依据每个业务流程面对多个类型的风险，因此影响：每个业务流程中的各个子流程的设置应对每类风险所制定的控制措施,2011,23,企业内部控制规范体系培训,风险管理和内部控制密不可分。,营销战略及计划,项目调研,投标,报价,合同管理,生产计划,项目运行管理,发货管理,发票及应收账款管理,目标市场与客户（国内及海外市场、新兴市场）产品结构（清洁/再生能源、宏观政策）板块及整体业务量（增长率、订单数量、毛利率）营销团队（客户反馈、架构、激励等）,营销计划的审批,预收款额度质保金条款其他,定价策略毛利率预测区间战略合作/外包关联公司交易价格,报价审批,合同审批,投标评审会审批,生产计划审批,项目定期汇报,帐龄分析,2011,24,企业内部控制规范体系培训,评价过程的整体概念,上市公司,业务流程1,业务流程2,业务流程3,业务单元1,业务单元2,业务单元3,业务环节1,业务环节2,业务环节3,发现1,发现2,发现3,计划层面：根据风险，选择适当的业务流程和业务单元进行评价,执行层面：以财务报告错报为主题，确认需要进行测试的关键业务环节和控制点,内部控制评价的发现评价所发现的内部控制陷德重大程度，形成最终的评价意见,2011,25,企业内部控制规范体系培训,从定性和定量角度评估确定内控评价的范围示例,定量因素,定性因素,示例,2011,26,企业内部控制规范体系培训,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,设计有效性与执行有效性,内部控制的设计有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计合理、恰当：存在性：过程和风险已被充分识别，过程和风险的控制措施得到明确规定并得以保持合理性：内部控制的设计在符合内部控制原理的同时，本着客观、公平、公正的原则制定，对董事会、监事会、经理层和员工具有执行的基础和约束力恰当性：内部控制的设计结合企业自身的环境条件、业务范围、经营模式等进行风险识别和评估，确定主要及重大风险控制措施，从而有利于实现控制目标,2011,28,企业内部控制规范体系培训,设计有效性与执行有效性,内部控制的运行有效性，是指现有内部控制按照规定程序得到了正确执行。评价运行有效性，可考虑的因素包括：相关控制是否得到持续一致的运行；相关控制是否由适当的人员执行（执行人员具有相应的权限和能力）相关控制是否在适当的时间被执行（例如，某交易在发生前得到相应的授权和审批，而不是在事后补齐授权审批手续）执行方式恰当（例如，某控制按规定应执行管理层审批程序，但实际执行人仅进行审阅，没有批示决策意见，则该控制执行不当）执行结果进行了适当的记录（重要控制环节需要签字、邮件、会议纪要等记录）执行时发现的差异及时得到了跟进（例如对账环节，核对并不是最终目的，最终目的是核对过程中发现的差异均进行了调查跟进）,2011,29,企业内部控制规范体系培训,设计有效性与执行有效性,控制设计无效的定义一项控制尽管被有效执行，但仍然不能满足预期的控制目标多方面的成因构成设计无效，包括：关键控制的缺失人员没有足够经验，或没有得到充分培训业务或其他因素的改变导致原来有效的控制变成无效,控制执行无效的定义一项设计有效的控制没有得到有效的执行多方面的成因构成执行无效，包括：制度没有被有效传达人员判断失误，或没有按照规定去执行没有足够、及时或准确的信息支持控制的执行,2011,30,企业内部控制规范体系培训,设计有效性与执行有效性的评价,内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和有效运行是否有效，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。企业内部控制评价指引第十五条需要采用不同的方法去评价设计有效性和执行有效性需要考虑控制的类型及性质,2011,31,企业内部控制规范体系培训,发现设计有效性的方法,审阅制度以及流程文档必须拥有充分的业务和行业知识、经验大量的专业判断强调技能的要求执行穿行测试（Walkthrough）是跟踪业务交易从发生到记账的“端到端”的技巧不是一项“测试”工作不等于简单的选择“一个样本”其他可以使用的手段个别访谈、专题讨论,2011,32,企业内部控制规范体系培训,发现执行有效性的方法,对关键控制执行测试工作，以收集控制执行有效与否的信息通用的测试及检查方法：普遍根据控制执行的频率进行抽样验证其他方法包括：个别访谈、调查问卷、专题讨论、实地查验、比较分析,2011,33,企业内部控制规范体系培训,流程、控制目标、风险及内部控制的对应关系,示例,2011,34,企业内部控制规范体系培训,流程、控制目标、风险及内部控制的对应关系,示例,2011,35,企业内部控制规范体系培训,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,评价内部控制设计和执行有效性企业层面示例,内部控制是否建立？,控制措施能否实现控制目标？,内部控制是否有效执行？,示例,2011,37,企业内部控制规范体系培训,评价内部控制设计和执行有效性流程层面示例,示例,内部控制是否建立？,控制措施能否实现控制目标？,内部控制是否有效执行？,2011,38,企业内部控制规范体系培训,评价内部控制设计和执行有效性信息技术层面示例,示例,2011,39,企业内部控制规范体系培训,内部控制评价结果记录,内部控制的测试评价方法多样，包括个别访谈、调查文件、穿行测试、抽样测试、实地查验、比较分析等。相应地，内部控制评价工作的记录方式也有多种选择。评价测试工作底稿中通常应记录以下信息：测试时间测试内容（控制点）测试步骤样本来源和样本量测试结果（包括发现问题描述）总体来说，评价工作的记录应具有可追踪性，即评价工作结束后，独立的检查人员可以根据评价记录，追踪至执行评价时抽取的样本、访谈的人员、采取的评价步骤等等,2011,40,企业内部控制规范体系培训,41,内部控制评价结果记录,示例,2011,41,企业内部控制规范体系培训,内部控制缺陷分类,2011,42,企业内部控制规范体系培训,第五部分,内部控制评价实务财务报告内部控制的定义范围确定设计有效性与执行有效性执行评价程序对所发现的问题的处理,44,内部控制缺陷的整改,评价人员对发现的内部控制缺陷提出整改建议，根据重要程度，通报经理层、董事会（审计委员会）、监事会经理层及董事会根据内部控制缺陷的性质以及对业务的考虑，制定切实可行的整改方案，包括整改目标、内容、步骤、措施、方法和期限整改期限超过一年的，应区分近期整改目标和远期整改目标以及相应的工作内容,2011,44,企业内部控制规范体系培训,45,常见的整改措施,制度建设：根据内控改进建议，对缺失的重要内控制度进行修补，对已有的内控制度进行完善明确控制目标、风险、关键控制点、执行者、执行方法等宣贯培训：针对修补后的制度向员工进行适当的宣贯和培训，确保控制执行人理解到位监督检查：建立监督机制，对内控执行情况进行监督检查，对执行不到位情况进行矫正，对内控设计不合时宜之处进行改进更新,2011,45,企业内部控制规范体系培训,第五部分,内部控制评价结果的沟通与汇报,47,内部控制评价结果的沟通,在报告阶段，评价人员应与董事会、审计委员会、监事会和经理层进行汇报沟通：重大缺陷和重要缺陷，向董事会（审计委员会）、监事会或经理层报告并审定一般缺陷，与经理层汇报，视情况向董事会（审计委员会）、监事会报告对于不适当向经理层报告的情形，例如管理层舞弊或管理层凌驾于内部控制之上的情况，直接向董事会（审计委员会）、监事会报告,2011,47,企业内部控制规范体系培训,48,内部控制评价结果的沟通,与外部审计师针对如下事项进行沟通：在计划阶段，评价人员向外部审计师了解外部审计中发现的问题，为企业整体风险情况的初步评估提供信息支持管理层内控评价的方法、标准，例如风险评估方法和内控缺陷认定标准缺陷认定过程中，尤其关注外部审计师发现当期财务报告存在，而内控运行过程中未能发现的重大错报,2011,48,企业内部控制规范体系培训,49,内部控制缺陷的报告,报告形式报告应采取书面形式，可以单独报告，也可以作为内部控制评价报告的组成部分报告内容评价人员编制内部控制缺陷认定汇总表，表中应包含内部控制缺陷及其成因、表现形式和影响程度针对财务报告内部控制的缺陷，还应在表中反映缺陷对财务报告的具体影响评价人员对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见,2011,49,企业内部控制规范体系培训,50,内部控制缺陷的报告,报告频率一般缺陷、重要缺陷定期（至少每年）报告，重大缺陷立即汇报报告途径重大缺陷和重要缺陷，向董事会（审计委员会）、监事会或经理层报告并审定一般缺陷，与经理层汇报，视情况向董事会（审计委员会）、监事会报告对于不适当向经理层报告的情形，例如管理层舞弊或管理层凌驾于内部控制之上的情况，直接向董事会（审计委员会）、监事会报告,2011,50,企业内部控制规范体系培训,第五部分,内部控制评价的其他考虑领域,内部控制评价的其他考虑领域,形式和实际年度报告和年度评价评价机构：内部审计或内部控制和其他监督职能的沟通,2011,52,企业内部控制规范体系培训,第五部分,总结,整合现有的内部控制工作成果，有效满足各种监督监管要求,企业应当建立自身的内部控制体系的愿景目标，由此制定基本规范实施项目的目标、成果运用、内控常态化的组织体系、职责分工、以及日常信息积累和汇报机制,董事会,各专业委员会,监事会,审计与关联交易控制委员会,董事会办公室,高级管理层,总部内部审计部门,分支机构内部审计部门,总部操作风险管理部门,分支机构操作风险管理部门,总部业务和职能管理部门,分支机构业务和职能管理部门,一道防线,二道防线,三道防线,业务操作人员,总部合规风险管理部门,分支机构合规风险管理部门,内部控制培训指导监督评价,反馈风险和内控管理信息,日常行为规范监督,重大风险事件监控,业务培训制度约束,内控合规文化建设,信息反馈,定期报告,2011,54,企业内部控制规范体系培训,内控体系建设的挑战：整合现有的内部控制工作成果，有效满足各种监督监管要求,企业可以通过合理规划，将现有的内部控制工作成果进行整合，并有效利用。,内部审计,风险管理,法律法规,行业监管,管理层,统一的公司层面内部控制框架,监管机构,资本市场,内部监督,投资者,治理层,统一的流程梳理从风险到控制,系统的有充分依据的管理层内部控制自我评估,2011,55,企业内部控制规范体系培训,答问,企业内部控制制度不仅仅是合规性的要求，而是旨在提高企业经营管理水平和风险防范能力，促进企业的可持续发展。,版权所有：中国证券监督管理委员会,附录,企业内部控制评价的工具,附录,企业内部控制评价的工具模板：内部控制缺陷评价决策树,内部控制缺陷评价决策树,为帮助具一定知识和经验的评价人员以相同的方式来评价缺陷程序图从工作流的角度，以线性渐进的方式介绍缺陷评价的流程实际操作中，缺陷的评价是一个反复的过程，需要在程序图相关步骤中不断根据新取得的信息重新审视并考虑以前的步骤和分析判断是否充分适当缺陷评价是一个需要大量判断的思考过程，机械地应用程序图并不一定会得出正确的结论,2011,60,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明,步骤一：该缺陷是否与实现一个或多个财务报告认定直接相关与财务报告认定间接相关的控制通常是那些为促进其他控制有效运行的控制，以作为财务报告内部控制整体设计的一部分一些公司层面控制和信息系统总体控制也可能与一个或多个财务报告认定直接相关在评估与财务报告认定只是间接相关的控制缺陷的严重性时，应当考虑由此缺陷（或同类缺陷的汇总影响）导致的可能出现或已经出现的其他控制缺陷的可能性和重大程度在评估信息系统总体控制缺陷时，应当针对在其基础上运行的系统自动控制的可靠性，考虑单独或结合的影响,2011,61,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明（续）,步骤一：该缺陷是否与实现一个或多个财务报告认定直接相关（续）与财务报表认定直接相关：多为业务层面控制，包括人工或自动控制与财务报表认定直接相关的企业层面控制缺陷，如：年度财务报告编制、经营活动分析等支持一个或多个财务报表认定相关的信息系统一般控制与财务报表认定间接相关：信息系统一般控制与财务报表认定不直接相关的企业层面控制，如人力资源、企业文化等,2011,62,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明（续）,步骤二：此缺陷是否存在合理的可能性导致财务报告错报需要评估缺陷（无论单独或汇总）导致财务报告错报的可能性；在分析财务报告内部控制缺陷的严重程度时需要考虑：（1）内部控制缺陷导致账户余额或列报错报的可能性（2）一个或多个内部控制缺陷的组合导致潜在错报的金额大小。步骤二和步骤三分别讨论如何从错报可能性和重要性两个维度评价财务报告内部控制缺陷的严重程度。一般不需要对“可能性”进行定量评估，进行合理的定性判断就已足够；在工作底稿中必须详细记录分析的过程和判断的依据。,2011,63,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明（续）,步骤二：此缺陷是否存在合理的可能性导致财务报告错报（续）在评价一个缺陷或缺陷汇总是否存在合理的可能性导致财务报表错报时，需要考虑的因素包括但不仅限于：账户，列报和相关认定的性质；比如，非常规交易和关联交易可能涉及较大风险。相关资产或负债对损失或舞弊的敏感程度，即越敏感，风险就越大。确定涉及金额所需判断的程度及其主观性和复杂性，即所需判断越多（如与会计估计有关），主观性复杂性越强，则风险也越大。在控制执行有效性测试中发现的控制偏差的产生原因和频率。,2011,64,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明（续）,步骤三：此缺陷或缺陷汇总可能导致的错报是否对财务报告构成重大影响？在分析了内部控制缺陷导致财务报表错报的可能性后，还需要分析其导致错报的重大程度。需要对控制缺陷或缺陷汇总可能导致的财务报表错报进行估算，与财务报表重要性水平比较，判断内部控制缺陷导致的错报是否对财务报告构成重大影响。在评价缺陷的重大程度时，必须考虑实际或潜在错报对年度财务报告的影响。在计算错报影响时应当考虑的因素包括但不限于：（1）受内部控制缺陷影响的账户余额或相关交易发生的总额；（2）本期或预计未来期间受内部控制缺陷影响的账户余额或交易的交易量。,2011,65,企业内部控制规范体系培训,财务报告内部控制缺陷评价决策树步骤说明（续）,步骤四：是否存在有效运行的补偿性控制可以预防或发现年度财务报告重大错报？应当评估补偿性控制，决定已确认的控制缺陷或缺陷汇总是否存在合理的可能性导致财务报告错报。为了得出补偿性控制有效运行的结论，应当获取其运行有效的证据以一定程度的精确性有效运行