内部控制自我评价方法介绍（培训材料）课件

内部控制自我评价方法介绍（培训材料）

德勤华永会计师事务所有限公司

企业风险管理服务

2009年7月内部控制自我评价方法介绍（培训材料）

德勤华永主要内容1国内监管要求及内控自我评估理论知识介绍

2内控自我评估机制设计的介绍3开展内控自我评估工作的具体要求2主要内容1国内监管要求及内控自我评估理论知识介绍2内控自我规定内容摘要出台日期生效日期财政部等5部委：《企业内部控制基本规范》财政部发布《企业内部控制基本规范》，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，并应委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计，出具审计报告。2008-6-282009-7-1财政部等5部委：《企业内部控制应用指引》（征求意见稿）财政部发布关于印发《企业内部控制应用指引》（征求意见稿）的通知，包括资金，采购，存货，销售，工程项目，固定资产，无形资产，长期股权投资，筹资，预算，成本费用，担保，合同协议，业务外包，对子公司的控制，财务报告编制与披露，人力资源政策，信息系统一般控制，衍生工具，企业并购，关联交易，内部审计。共22项分流程的具体指引。2008-6-28尚未明确财政部等5部委：《企业内部控制评价指引》（征求意见稿）为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。2008-6-28尚未明确我国内部控制相关的监管要求——财政部层面规定内容摘要出台日期生效日期财政部等5部委：财政部发布《企业3规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006-06-042006-7-1上海证券交易所：《关于做好上市公司2008年履行社会责任的报告及内部控制自我评估报告披露工作的通知》“上证公司治理板块”的231家样本上市公司、发行境外上市外资股的公司及金融类公司在披露2008年年度报告的同时，披露社会责任报告和内控自评报告。同时，鼓励其他有条件的公司披露社会责任报告和内控报告。

2008-12-42008-12-31我国内部控制相关的监管要求——上交所层面规定内容摘要出台日期生效日期上海证券交易所：要求上市公司董事4公司内控自评报告格式“内容精简、责任明确、问题清晰”规定报告内容为：内控目标、内控固有局限性、考虑了哪些方面内控基本要素、公司是否存在重大缺陷、审计师审计意见（重大缺陷包括但不限于：企业会计报表及其附注存在重大不真实、不准确或不完整的情况；被有关部门或监管机构处罚；因内控失效而导致的资产发生重大损失；高管舞弊等情形。如存在这些缺陷公司已采取的整改措施包括哪些方面，并指明尚未整改完毕的重大缺陷和预计整改完成的时间）鼓励上市公司聘请审计机构对公司内部控制进行核实评价，公司聘请审计机构对公司内部控制进行核实评价的，应披露审计机构对公司内部控制的核实评价意见。上市公司应将董事审议内控报告的工作底稿提交各董事。董事必须亲自填写工作底稿，工作底稿中明确了董事在审议内控报告之前，至少应关注到的内容，形成对上市公司内控报告审议的依据。上市公司则应为董事填写工作底稿有关内容提供便利，并将工作底稿作为董事会会议记录的一部分，按规定保存。上交所年报工作布置要点提示公司内控自评报告格式“内容精简、责任明确、问题清晰”规定报5

建立一个健全的内部控制制度是公司高级管理层的职责

必须的工作：1.明确内控检查监督的专门职能部门

2. 确定并记录公司现有的内部控制流程，包括公司层面和部门层面，涵盖各业务流程环节和各项公司管理制度

3. 持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制6

建立一个健全的内部控制制度是公司高级管理层的职责6

管理层对于内部控制执行的自我评估以及检查监督必须的工作：1.制定内控监督检查办法和年度内部控制检查监督计划;跟踪内部控制执行缺陷并确保缺陷得到及时改进

2.对关键控制点进行监督检查并记录检查结果;生成《内部控制检查监督工作报告》并每半年呈交董事会

3. 董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评估报告》并形成董事会决议

4.披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见

7

管理层对于内部控制执行的自我评估以及检查监督7积极响应外部监管要求公司作为上市公司，财政部要求于2009年7月1日起，按五部委联合颁布的《企业内部控制基本规范》建立健全内部控制体系，并建立长效机制对内控有效性进行持续维护、自评及测试。内部控制自我评价的意义积极响应外部监管要求内部控制自我评价的意义8踏实提高公司整体管理水平公司将借助内部控制体系的建设，进一步梳理完善公司现有管理政策体系，提高经营管理水平和风险防范能力，提高公司综合竞争力，促进公司可持续发展。内部控制自我评价的意义踏实提高公司整体管理水平内部控制自我评价的意义9内控自我评估主要步骤介绍管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围

选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

董事会审核《内部控制自我评价报告》；披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价/审计意见

制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段内控自我评估主要步骤介绍管理层委任项目领导及项目小组选定试点10管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围主要步骤项目阶段关键事项管理层委任项目领导及项目小组高层重视并直接参与非常重要；管理层事先将内控项目计划向董事会汇报符合上交所《指引》的精神：以董事会为内控制度之完整合理、实施有效之责任主体制定分批/分对象因材施教的培训计划，增进全员意识。根据管理层需求制作培训材料；分批/分对象地实施培训。机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤1：机构设立和计划阶段管理层委任项目领导及项目小组主要步骤项目阶段关键事项机构设立11管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围主要步骤项目阶段项目成果制定项目小组制度，以及专门委派的职能部门或项目小组定义项目职责分工制定项目实施具体计划制定分批/分对象的培训计划，制作培训材料；分批/分对象地实施培训。明确的范围界定。机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤1：机构设立和计划阶段（续）管理层委任项目领导及项目小组主要步骤项目阶段项目成果机构设立12主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段关键事项对试点公司以风险评估为基础，有侧重点地选择哪些下属部门/公司的、哪些业务环节需要重点关注。对关键内控控制进行记录，形成内控手册通过记录，与最佳实践和监管机构要求进行对比，辨识内部控制设计缺陷；对业务流程进行穿行测试，辨识内部控制实施缺陷；对关键控制点进行执行有效性测试，辨识内部控制执行有效性缺陷建立和推广内部控制标准文档模版。对在内控推广中发现的控制缺陷，确定和设计整改方案；整改方案将为管理层增加价值，并非只是为了符合《指引》要求，而是对公司的规范运作和长远发展有利项目主要步骤2：建立健全内控制度（自我评估）选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段机构设立建立健全董事会报告内控自我检查

监督13主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目成果记录整理内控控制进行文档化形成标准的内控文档纳入范围的子公司的内控文档就推广中发现的内控缺陷，编制内控缺陷汇总报告和改进跟踪表；项目主要步骤2：建立健全内控制度（自我评估）选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案

主要步骤项目阶段机构设立建立健全董事会报告内控自我检查

监督14主要步骤项目阶段关键事项跟踪掌握整改方案的改进情况，并且根据新的业务流程更新内控文档机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤2：建立健全内控制度（整改及持续监督）持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段关键事项机构设立建立健全董事会报告内控自我检15主要步骤项目阶段项目成果更新的内控文档机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤2：建立健全内控制度（整改及持续监督）持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段项目成果机构设立建立健全董事会报告内控自我检16主要步骤项目阶段关键事项在制定内控监督检查办法和年度内控检查计划时亦应当进行风险评估，使有限的资源被有侧重地运用到高风险的领域抽检管理层的内控文档，通过检查和必要的抽样测试等手段确认内控文档是否准确填写，并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合《指引》中内控框架下“检查监督”层面的精神跟踪监控整改方案的实施情况，确认整改是否被有效落实起草内部控制自我评价报告机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤3：内控自我检查监督和汇报阶段制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

主要步骤项目阶段关键事项机构设立建立健全董事会报告内控自我检17主要步骤项目阶段项目成果符合性测试计划检查和必要的抽样测试的测试程序、方法和具体计划。内部控制自我评价报告草稿机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

项目主要步骤3：内控自我检查监督和汇报阶段主要步骤项目阶段项目成果机构设立建立健全董事会报告内控自我检18董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评价报告》并形成董事会决议披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价意见主要步骤项目阶段关键事项董事会是公司内控制度之完整合理、实施有效之责任主体董事会应当根据董事会议事规则以及其它相关法规的要求，采取适当的步骤和取得充分的资料，来支持其对公司内控的年度决议，这些资料既应包括检查监督部门递交的《内部控制检查监督工作报告》；也应包括管理层提交的其他支持性文件，包括管理层的内控文档等。÷机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤4：董事会报告及披露阶段董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为19董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评价报告》并形成董事会决议披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价意见主要步骤项目阶段项目成果根据董事会议事规则以及其它相关法规的要求，制定董事会内部控制检查监督清单（Checklist），并制定董事会内部控制资料检查制度，制度中规定董事会应采取的适当步骤，来支持其对公司内控的年度决议或有重大内部控制缺陷时的披露程序董事会拟定《内部控制自我评估报告》并披露机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤4：董事会报告及披露阶段董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为20内控自我评估理论知识介绍-CSA定义内部控制自我评估

(ControlSelf-Assessment,简写成CSA)是一个对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。对发现的内控缺陷进行持续整改业务部门/子公司自我评估对内控设计及文档修订维护内控自我评估理论知识介绍-CSA定义对发现的内控缺陷进行持续21

内控自我评估理论知识介绍-CSA原理控制目标定义风险现行做法是否

存在改进空间？集思广益的改进方案整个团队对于

问题的共识和认知22

内控自我评估理论知识介绍-CSA原理控制目标定义风险现行

内控自我评估理论知识介绍-CSA的四种形式

基于控制目标的自评：识别最佳的控制技术是否已被用于达成控制目标，并且有效的将风险控制在可接受的水平。

基于风险的自评：关注风险的识别和管理，检查现有控制活动是否足够用于防范关键风险，识别剩余风险以寻求控制活动的改进措施。

基于控制执行的自评：关注控制运行的情况，分析实际运行情况与初始设计的差距。

基于流程的自评：通过检查现有控制，对流程进行评估、更新和优化。23

内控自我评估理论知识介绍-CSA的四种形式23

内部控制自我评估的开展方式内部控制自我评估的开展方式主要包括：访谈（Interviews）内控评估问卷（Questionnaires）内控自评小组研讨会（Workshops）目前将以问卷的形式为主来开展；不排除在未来条件成熟之后，逐步开始使用研讨会这种国外较为先进的方式24

内部控制自我评估的开展方式内部控制自我评估的开展方式主要包主要内容1国内监管要求及内控自我评估理论知识介绍

2内控自我评估机制设计的介绍3开展内控自我评估工作的具体要求25主要内容1国内监管要求及内控自我评估理论知识介绍2内控自我内控自我评估机制设计的介绍

-自我检查表的体系各业务流程

内控自查表负责填写各单位总部部门公司层面内控

自我检查表这二者合称为内控自我检查表负责填写高级管理层26内控自我评估机制设计的介绍

-内部控制自我评估表由内控手册中的控制矩阵精炼而成内控自我评估机制设计的介绍

-内控自我评估表内部控制自我评估表由内控手册中的控制矩阵精炼而成内控自我评估27内控自我评估机制设计的介绍

-内控自我评估表销售流程采购流程存货管理流程资金管理流程投资管理流程

通用计算机控制流程

财务报告流程计划与预算流程固定资产管理流程人事薪酬管理费用支出流程对下属公司的管控各业务流程

内控自查表填写原则：由熟悉业务或实际操作业务的主管级人员作为业务流程拥有者（ProcessOwner）进行回答，由部门经理及系统负责人签署确认。ProcessOwner可以进一步将本人的自查表分解给下属；但是“工作可以分解交办，责任不会随之转移”。ProcessOwner，部门经理和系统负责人对不正确的回答负责。28内控自我评估机制设计的介绍

-内控自内控自我评估机制设计的介绍

-企业管治对外声明的蓝图高级管理层/董事会秘书总经理审计委员会/董事会采购流程本部子公司资金流程本部子公司销售流程本部子公司…

其他流程检查监督报告检查监督部门(职能部门)

对问卷回答实行抽检，制作报告3内部检查监督部门

的工作底稿签署确认内控自评表总部职能部门领导/子公司总经理签署签署确认内控自评表其他内控要素

自评表2审议4在年报中披露，递交上交所决议内部控制自我评估报告5业务流程

内控自评表协调部门收集内控自评表业务流程

内控自评表业务流程

内控自评表签署1内控自我评估机制设计的介绍

-企业管治对外声29内控自我评估机制设计的介绍

-自查表的填表说明各业务流程

内控自查表自查表填写要求原则上，总部以及每个分/子公司只需填写并交回一套自查表。“一套”是指公司层面内控和业务流程内控自查表两份。各联系人须负责将业务流程内控自查表中的不同问题分配到不同的主管人员进行填写，然后回收。建议联系人用台账或其他形式记录本单位/部门的每个问题的回答人员，以便未来的内审抽查和责任划分。自查表须经本分/子公司，或者本总部部门的负责人签署后汇总到股份审计部。再次强调对各级管理层均适用的原则：“工作可以分解交办，责任不会随之转移”。公司层面内控

自我检查表30内控自我评估机制设计的介绍

-主要内容1国内监管要求及内控自我评估理论知识介绍

2内控自我评估机制设计的介绍3开展内控自我评估工作的具体要求31主要内容1国内监管要求及内控自我评估理论知识介绍2内控自我准备内控自我评估文档并下发管理层组织内控自我评估，德勤现场指导收集内控自我评估结果并执行抽查汇报沟通、管理层改进缺陷以及必要的再次测试协助管理层汇总内控自我评估结果并内控自我评估报告内控自我评估的几个阶段32准备内控自我评估文档并下发管理层组织内控自我评估，德勤现场指内控控制自我评估表介绍

各业务流程自查表中，该部分内容与内控手册相一致，可以通过编号找到内控手册的相关章节，便于自查工作的开展。该部分的内容无需填表人员填写。该部分的内容需填表人员填写。内控控制自我评估表介绍

各业务流程自查表中，该部分内容与内控33内控控制自我评估表介绍

该部分须由填表人员填写，需注意一下几点：

自查覆盖时间：年底向前追溯一个合理的时间段。

如某项控制活动从今年年中某一时间开始执行，则应针对最新的情况进行回答，同时须在后面“附注”栏中注明该开始的时点，精确到日期并签署填表人姓名。“不适用”仅适于在没有该项业务的情况下可以填，并且需要说明理由，最后由填表人签署姓名。以下详细说明：内控控制自我评估表介绍

该部分须由填表人员填写，需注意一下几34内控控制自我评估表介绍

是否依照描述执行（是/否）：若现有实际流程与左栏“关键控制活动说明”相同，则回答“是”；若现有实际流程与左栏“关键控制活动说明”不同，则请填写“否”，并在“附注”中简要描述新的流程的不同点，以及该新流程开始执行的日期；若本单位/部门无此项业务，则填“不适用”，并在“附注”中说明。内控控制自我评估表介绍

是否依照描述执行（是/否）：35内控控制自我评估表介绍

控制设计是否有效（是/否）：若公司是按照左侧栏中的“关键控制活动说明”、或者附注中说明的新的控制活动那样在执行实际操作，则回答“是”；在以下情况下回答“否”：某一个控制目标下没有任何控制活动可以与之相对应；回答“否”的时候，请在“附注”栏同时说明管理层拟改进的计划和时间。内控控制自我评估表介绍

控制设计是否有效（是/否）：36内控控制自我评估表介绍

控制执行是否有效（是/否）/控制活动涉及的文档如果填写“是”，填表人需要举出实际业务的样本证据，并在后“控制活动涉及的文档”栏中写下该证据表单的名称；只须举出一个样本证据即可；但是请注意，内部审计将会对抽检到的控制活动进行测试来验证问卷回答的正确性；内控控制自我评估表介绍

控制执行是否有效（是/否）/控制活37内部控制自我评价方法介绍（培训材料）课件内部控制自我评价方法介绍（培训材料）

德勤华永会计师事务所有限公司

企业风险管理服务

2009年7月内部控制自我评价方法介绍（培训材料）

德勤华永主要内容1国内监管要求及内控自我评估理论知识介绍

2内控自我评估机制设计的介绍3开展内控自我评估工作的具体要求40主要内容1国内监管要求及内控自我评估理论知识介绍2内控自我规定内容摘要出台日期生效日期财政部等5部委：《企业内部控制基本规范》财政部发布《企业内部控制基本规范》，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，并应委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计，出具审计报告。2008-6-282009-7-1财政部等5部委：《企业内部控制应用指引》（征求意见稿）财政部发布关于印发《企业内部控制应用指引》（征求意见稿）的通知，包括资金，采购，存货，销售，工程项目，固定资产，无形资产，长期股权投资，筹资，预算，成本费用，担保，合同协议，业务外包，对子公司的控制，财务报告编制与披露，人力资源政策，信息系统一般控制，衍生工具，企业并购，关联交易，内部审计。共22项分流程的具体指引。2008-6-28尚未明确财政部等5部委：《企业内部控制评价指引》（征求意见稿）为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。2008-6-28尚未明确我国内部控制相关的监管要求——财政部层面规定内容摘要出台日期生效日期财政部等5部委：财政部发布《企业41规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006-06-042006-7-1上海证券交易所：《关于做好上市公司2008年履行社会责任的报告及内部控制自我评估报告披露工作的通知》“上证公司治理板块”的231家样本上市公司、发行境外上市外资股的公司及金融类公司在披露2008年年度报告的同时，披露社会责任报告和内控自评报告。同时，鼓励其他有条件的公司披露社会责任报告和内控报告。

2008-12-42008-12-31我国内部控制相关的监管要求——上交所层面规定内容摘要出台日期生效日期上海证券交易所：要求上市公司董事42公司内控自评报告格式“内容精简、责任明确、问题清晰”规定报告内容为：内控目标、内控固有局限性、考虑了哪些方面内控基本要素、公司是否存在重大缺陷、审计师审计意见（重大缺陷包括但不限于：企业会计报表及其附注存在重大不真实、不准确或不完整的情况；被有关部门或监管机构处罚；因内控失效而导致的资产发生重大损失；高管舞弊等情形。如存在这些缺陷公司已采取的整改措施包括哪些方面，并指明尚未整改完毕的重大缺陷和预计整改完成的时间）鼓励上市公司聘请审计机构对公司内部控制进行核实评价，公司聘请审计机构对公司内部控制进行核实评价的，应披露审计机构对公司内部控制的核实评价意见。上市公司应将董事审议内控报告的工作底稿提交各董事。董事必须亲自填写工作底稿，工作底稿中明确了董事在审议内控报告之前，至少应关注到的内容，形成对上市公司内控报告审议的依据。上市公司则应为董事填写工作底稿有关内容提供便利，并将工作底稿作为董事会会议记录的一部分，按规定保存。上交所年报工作布置要点提示公司内控自评报告格式“内容精简、责任明确、问题清晰”规定报43

建立一个健全的内部控制制度是公司高级管理层的职责

必须的工作：1.明确内控检查监督的专门职能部门

2. 确定并记录公司现有的内部控制流程，包括公司层面和部门层面，涵盖各业务流程环节和各项公司管理制度

3. 持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制44

建立一个健全的内部控制制度是公司高级管理层的职责6

管理层对于内部控制执行的自我评估以及检查监督必须的工作：1.制定内控监督检查办法和年度内部控制检查监督计划;跟踪内部控制执行缺陷并确保缺陷得到及时改进

2.对关键控制点进行监督检查并记录检查结果;生成《内部控制检查监督工作报告》并每半年呈交董事会

3. 董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评估报告》并形成董事会决议

4.披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见

45

管理层对于内部控制执行的自我评估以及检查监督7积极响应外部监管要求公司作为上市公司，财政部要求于2009年7月1日起，按五部委联合颁布的《企业内部控制基本规范》建立健全内部控制体系，并建立长效机制对内控有效性进行持续维护、自评及测试。内部控制自我评价的意义积极响应外部监管要求内部控制自我评价的意义46踏实提高公司整体管理水平公司将借助内部控制体系的建设，进一步梳理完善公司现有管理政策体系，提高经营管理水平和风险防范能力，提高公司综合竞争力，促进公司可持续发展。内部控制自我评价的意义踏实提高公司整体管理水平内部控制自我评价的意义47内控自我评估主要步骤介绍管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围

选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

董事会审核《内部控制自我评价报告》；披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价/审计意见

制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段内控自我评估主要步骤介绍管理层委任项目领导及项目小组选定试点48管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围主要步骤项目阶段关键事项管理层委任项目领导及项目小组高层重视并直接参与非常重要；管理层事先将内控项目计划向董事会汇报符合上交所《指引》的精神：以董事会为内控制度之完整合理、实施有效之责任主体制定分批/分对象因材施教的培训计划，增进全员意识。根据管理层需求制作培训材料；分批/分对象地实施培训。机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤1：机构设立和计划阶段管理层委任项目领导及项目小组主要步骤项目阶段关键事项机构设立49管理层委任项目领导及项目小组成立专门职能部门（检查监督部门），定义监督检查部门职责分工确定项目计划以建立/完善公司的内部控制进行培训将内控项目计划承交董事会审阅进行风险评估确定项目范围主要步骤项目阶段项目成果制定项目小组制度，以及专门委派的职能部门或项目小组定义项目职责分工制定项目实施具体计划制定分批/分对象的培训计划，制作培训材料；分批/分对象地实施培训。明确的范围界定。机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤1：机构设立和计划阶段（续）管理层委任项目领导及项目小组主要步骤项目阶段项目成果机构设立50主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段关键事项对试点公司以风险评估为基础，有侧重点地选择哪些下属部门/公司的、哪些业务环节需要重点关注。对关键内控控制进行记录，形成内控手册通过记录，与最佳实践和监管机构要求进行对比，辨识内部控制设计缺陷；对业务流程进行穿行测试，辨识内部控制实施缺陷；对关键控制点进行执行有效性测试，辨识内部控制执行有效性缺陷建立和推广内部控制标准文档模版。对在内控推广中发现的控制缺陷，确定和设计整改方案；整改方案将为管理层增加价值，并非只是为了符合《指引》要求，而是对公司的规范运作和长远发展有利项目主要步骤2：建立健全内控制度（自我评估）选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段机构设立建立健全董事会报告内控自我检查

监督51主要步骤项目阶段机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目成果记录整理内控控制进行文档化形成标准的内控文档纳入范围的子公司的内控文档就推广中发现的内控缺陷，编制内控缺陷汇总报告和改进跟踪表；项目主要步骤2：建立健全内控制度（自我评估）选定试点公司盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点建立标准内控文档模版推广内控文档汇总内部控制设计缺陷并提出整改方案执行整改方案

主要步骤项目阶段机构设立建立健全董事会报告内控自我检查

监督52主要步骤项目阶段关键事项跟踪掌握整改方案的改进情况，并且根据新的业务流程更新内控文档机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤2：建立健全内控制度（整改及持续监督）持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段关键事项机构设立建立健全董事会报告内控自我检53主要步骤项目阶段项目成果更新的内控文档机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤2：建立健全内控制度（整改及持续监督）持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制

主要步骤项目阶段项目成果机构设立建立健全董事会报告内控自我检54主要步骤项目阶段关键事项在制定内控监督检查办法和年度内控检查计划时亦应当进行风险评估，使有限的资源被有侧重地运用到高风险的领域抽检管理层的内控文档，通过检查和必要的抽样测试等手段确认内控文档是否准确填写，并向总裁办公会及董事会报告测试结果。管理层内控自我评估加上检查监督部门循环抽查符合《指引》中内控框架下“检查监督”层面的精神跟踪监控整改方案的实施情况，确认整改是否被有效落实起草内部控制自我评价报告机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤3：内控自我检查监督和汇报阶段制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

主要步骤项目阶段关键事项机构设立建立健全董事会报告内控自我检55主要步骤项目阶段项目成果符合性测试计划检查和必要的抽样测试的测试程序、方法和具体计划。内部控制自我评价报告草稿机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段制定内控监督检查办法和年度内部控制检查监督计划（符合性测试）对关键控制点进行监督检查并记录结果监控内控缺陷的整改情况生成《内部控制自我评价报告》承交董事会

项目主要步骤3：内控自我检查监督和汇报阶段主要步骤项目阶段项目成果机构设立建立健全董事会报告内控自我检56董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评价报告》并形成董事会决议披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价意见主要步骤项目阶段关键事项董事会是公司内控制度之完整合理、实施有效之责任主体董事会应当根据董事会议事规则以及其它相关法规的要求，采取适当的步骤和取得充分的资料，来支持其对公司内控的年度决议，这些资料既应包括检查监督部门递交的《内部控制检查监督工作报告》；也应包括管理层提交的其他支持性文件，包括管理层的内控文档等。÷机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤4：董事会报告及披露阶段董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为57董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评价报告》并形成董事会决议披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价意见主要步骤项目阶段项目成果根据董事会议事规则以及其它相关法规的要求，制定董事会内部控制检查监督清单（Checklist），并制定董事会内部控制资料检查制度，制度中规定董事会应采取的适当步骤，来支持其对公司内控的年度决议或有重大内部控制缺陷时的披露程序董事会拟定《内部控制自我评估报告》并披露机构设立和计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查

监督和汇报阶段项目主要步骤4：董事会报告及披露阶段董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为58内控自我评估理论知识介绍-CSA定义内部控制自我评估

(ControlSelf-Assessment,简写成CSA)是一个对企业内部控制的效力进行检查和评价的过程，其目标是为企业实现所有经营目标提供合理的保证。对发现的内控缺陷进行持续整改业务部门/子公司自我评估对内控设计及文档修订维护内控自我评估理论知识介绍-CSA定义对发现的内控缺陷进行持续59

内控自我评估理论知识介绍-CSA原理控制目标定义风险现行做法是否

存在改进空间？集思广益的改进方案整个团队对于

问题的共识和认知60

内控自我评估理论知识介绍-CSA原理控制目标定义风险现行

内控自我评估理论知识介绍-CSA的四种形式

基于控制目标的自评：识别最佳的控制技术是否已被用于达成控制目标，并且有效的将风险控制在可接受的水平。

基于风险的自评：关注风险的识别和管理，检查现有控制活动是否足够用于防范关键风险，识别剩余风险以寻求控制活动的改进措施。

基于控制执行的自评：关注控制运行的情况，分析实际运行情况与初始设计的差距。

基于流程的自评：通过检查现有控制，对流程进行评估、更新和优化。61

内控自我评估理论知识介绍-CSA的四种形式23

内部控制自我评估的开展方式内部控制自我评估的开展方式主要包括：访谈（Interviews）内控评估问卷（Questionnaires）内控自评小组研讨会（Workshops）目前将以问卷的形式为主来开展；不排除在未来条件成熟之后，逐步开始使用研讨会这种国外较为先进的方式62

内部控制自我评估的开展方式内部控制自我评估的开展方式主要包主要内容1国内监管要求及内控自我评估理论知识介绍

2内控自我评估机制设计的介绍3开展内控自我评估工作的具体要求63主要内容1国内监管要求及内控自我评估理论知识介绍2内控自我内控自我评估机制设计的介绍

-自我检查表的体系各业务流程

内控自查表负责填写各单位总部部门公司层面内控

自我检查表这二者合称为内控自我检查表负责填写高级管理层64内控自我评估机制设计的介绍

-内部控制自我评估表由内控手册中的控制矩阵精炼而成内控自我评估机制设计的介绍

-内控自我评估表内部控制自我评估表由内控手册中的控制矩阵精炼而成内控自我评估65内控自我评估机制设计的介绍

-内控自我评估表销售流程采购流程存货管理流程资金管理流程投资管理流程

通用计算机控制流程

财务报告流程计划与预算流程固定资产管理流程人事薪酬管理费用支出流程对下属公司的管控各业务流程

内控自查表填写原则：由熟悉业务或实际操作业务的主管级人员作为业务流程拥有者（ProcessOwner）进行回答，由部门经理及系统负责人签署确认。ProcessOwner可以进一步将本人的自查表分解给下属；但是“工作可以分解交办，责任不会随之转移”。ProcessOwner，部门经理和系统负责人对不