1、0,内控自我评估与鉴证的企业经验介绍,中国电信 吕洪涵 博士 2008年9月,1,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,2,香港资本市场的企业管制要求,中国电信需要遵守香港和美国资本市场的监管要求,美国萨班萨法案的法律要求,企业管制:透过公司的组织架构、内部流程和监控机制,以提高公司长期价值和保证公司的财务健全。,要求上市公司:对其披露的财务报告真实性负责,并建立有效的监控措施保证这种真实性。,内控建设情况介绍,3,公司遵从SOX404的范围,4,公司内控建设出发点
2、,国际上有COSO、COCO、Cadbury、King等内控框架, 公司的内控建设和评估工作采用COSO框架(IT控制采用COBIT框架)作为标准和依据,内控首先是满足监管底线要求SEC依据法案规定,公司内控应能保证其财务报告符合有关会计准则的要求。 因此内控必须:确保各项交易活动均经过适当授权确保公司财产受到保护,避免未经批准或其他不正当使用公司财产的情况发生确保公司从事的交易活动的记录和报告符合有关要求,其次是管理的需求以此为契机,进一步完善内控,保持并增强财务报告的真实性,使其为管理层提供更好的决策依据。,5,当前内控制度体系,股份公司内控手册上册公司层面控制中册IT一般控制下册业务流程
3、层面控制 总部及分公司的实施细则配套的权限列表 其他内控制度、办法,上述内控制度体系用以指导日常工作,同时也是开展内控自我评估,内控独立评估和外部审计师内控审计的依据。,6,公司层面控制,7,IT一般控制,8,业务流程层面控制,9,权限列表,10,手册构成要素,一、业务流程范围1、所涉及的业务范围2、所涉及的部门范围3、所涉及的计算机系统和相关维护部门,二、(控制)目标 三、风险 四、相关会计科目 五、流程概述,11,内控建设成果,建立了分级授权责任体系,强化了股份公司各专业部门对下的监督管理职能 建立了以专业线为主的垂直管理、指导、监督机制,形成了上级对下级指导、检查,下级对上级负责的专业管
4、理格局 实现了内控责任在各级公司的落地 公司各项基础管理工作开始走向系统化、制度化、流程化,实现了各项经营管理活动有规则、有流程、有标准、有监督、有记录 树立和增强了内部控制整体框架的概念,深化了对内部控制的认识,提高了内控意识 针对一些重大的内控问题开展整改工作,持续提升管理水平,内控管理暂行办法、内控责任追究办法、内控岗位职责说明书 内控缺陷限期整改责任书、违规积分管理办法、内控自我评估工作考核细则、内控制度执行情况考核办法,进行有效管理和促进内控制度落实的基本制度和措施,12,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作
5、,公司内控IT支撑系统简介,对内控建设和评估作的思考,13,自我评估,独立评估,评估体系,要发挥内审技术特长,为自评提供技术支持和业务指导,如设计自评程序、指导制定自评工作计划和自评工作质量标准。要发挥自评主体的信息优势和业务技能特长,一方面为内外部审计提供相关内控信息,另一方面可作为特聘业务专家,充实独立评估力量。,以自评推进内控建设和执行,夯实基础工作,落实精确化管理。,公司内控评估体系,14,自我评估的程序,制定评估实施方案,股份公司内控评估工作团队,下达方案部署工作,开展自我评估,股份公司各部门,股份公司所属单位,汇总本部及下属单位自评 结果形成本单位自评报告,上报自评报告,领导小组审
6、议 审核后提交内控,股份公司审计部,我评估报告 汇总形成自,依据改进计划 落实改进措施,依据改进计划 落实改进措施,15,自我评估组织机构,内部控制领导小组,内部控制评估工作团队,评估实施部门,领导机构,审计部门牵头、财务、市场、网发、法律、董办等部门负责人及相关人员组成,流程评估牵头部门,流程其他评估实施部门,牵头进行对特定流程内控设计有效性的评估,并汇总流程执行有效性评估结果,对本部门所负责的控制点的执行有效性进行评估,并配合设计有效性评估,16,审核批准内控自我评估计划及实施方案 审议公司内控自我评估报告 监督检查内控自我评估工作,内部控制领导小组职责,内部控制评估工作团队职责,制定自评
7、计划及实施方案,分解评估责任 指导、协调各部门及所属单位的自评 监督、检查本单位及所属单位自评工作质量抽查评估底稿、复核评估报告 审核汇总内控缺陷,讨论确认内控缺陷性质,提出改进建议 审核公司本部及公司汇总自评报告,并提交股份公司内部控制领导小组审议,自我评估组织机构的职责,17,牵头组织部门职责,牵头制定自我评估计划及实施方案,牵头进行评估职责分解部署自评工作组织自评培训 召集相关部门对自评过程中的有关问题进行研究 为自评工作提供咨询 组织汇总分部门评估结果,召集评估团队分析缺陷性质并提出改进建议,起草总部自评报告审核所属单位自评报告,组织评估团队汇总并整理内控缺陷,并判断缺陷性质和提出改进
8、建议,起草股份公司自评报告,自我评估实施部门职责,制定本部门自我评估实施方案 组织完成本部门所负责控制点自评工作,针对缺陷制定改进计划,出具本部门自评报告 指导所属单位相关业务的自评工作,自我评估组织机构的职责(续),18,内控评估的报告机制,各省级分公司、分支机构,股份公司 评估要点及 时间安排,自身情况,内部控制评估计划,自我 评估 计划,独立 评估 计划,自我评估,独立评估,自我 评估 结果,独立 评估 结果,股份公司 审计部,各单位年度内控评估报告,内部控制管理层报告书 股份年度内控评估报告,报备,报批,股份公司内控评 估评估工作团队,审核,内部控制领导小组审定,19,自我评估的沟通协
9、调机制,内部控制领导小组,内部控制评估工作团队(牵头实施部门),评估实施部门(含流程评估牵头部门),指导监督,方案报批,汇报重大缺陷,上报评估报告,下达方案、提供底稿模板、提出质量要求 协调解决出现的问题 就缺陷界定、改进计划组织进行协商讨论 牵头部门对工作底稿及报告进行审核,流程评估牵头部门配合完成准备工作 各评估实施部门提交本部门方案 寻求技术支持 提供阶段性信息,报告重大缺陷 提交评估结果报告和评估工作底稿以及改进报告,20,自我评估的沟通协调机制(续),流程评估牵头部门,流程其他评估实施部门,牵头组织所负责流程内部控制设计有效性的评估工作并发表评估意见 对所负责流程的评估工作进行指导及
10、协调,参与内控设计有效性的评估工作 报送各流程控制点评估结果,21,自我评估的沟通协调机制(续),上级单位,下级单位,指导、监督、考核对自我评估结果进行审核把关并组织质询,汇报评估方案、评估工作进度、评估结果及内控改进情况及时上报重大内控缺陷就评估中的有关问题向上级单位评估工作团队或对口专业部门寻求支持,22,自我评估项目实施程序,省公司根据股份公司统一部署,制定本省自我评估实施方案,报经省公司内控领导小组审批后下达所属单位实施,省公司制定省公司本部内部控制自我评估实施方案,经省公司内部控制领导小组审批后下达各部门实施,评估内部控制五要素的总体情况 评估内部控制设计的有效性; 评估内部控制执行
11、的有效性; 汇总内部控制缺陷并制定改进计划,各单位(部门)根据改进计划落实内部控制缺陷改进措施,并在规定时间内向上级单位(本单位)内部控制评估工作团队上报内部控制缺陷改进情况内部控制评估工作团队对内部控制缺陷改进情况进行审核,显著缺陷或实质性漏洞的改进情况,应报告内部控制领导小组,准备阶段,实施阶段,报告阶段,改进阶段,汇总各部门、各流程评估结果,编制省公司本部自我评估报告,汇总各所属单位评估结果,编制全省自我评估报告,23,自评项目准备阶段,落实评估职责,内部控制自我评估方案评估责任分解表 底稿索引号:,内部控制自我评估方案业务流程评估实施部门及牵头部门 底稿索引号:,明确所有控制点的评估实
12、施部门,就每一子流程明确流程评估实施部门,并指定该流程的评估牵头部门,24,自评项目准备阶段(续),明确评估方法和工作要求,自我评估实施前,评估工作团队应制定评估方法、抽样原则、评估报告格式、工作底稿格式等方面的工作要求,以统一标准,规范操作,评估实施部门制定具体实施方案,内部控制自我评估方案部门实施方案 底稿索引号:,25,自评项目实施阶段,评估内部控制四要素的总体情况,责任部门:内部控制评估工作团队或牵头组织部门评估内容:COSO内控框架五要素评估方式:问卷调查、访谈,公司内部控制四要素的自我评估结果将影响后续的流程层面控制活动的评估范围和方式。如果公司内部控制要素存在缺陷,在评估流程层面
13、控制活动的有效性时,应适当扩大评估的范围,采取更谨慎的评估方式。,评估IT一般控制,26,自评项目实施阶段(续),评估内部控制设计的有效性,内控设计有效性评估以子流程为单位开展责任部门子流程的评估牵头部门负责牵头组织子流程其他评估实施部门参与并配合评估内容分析内部控制失效的风险针对查找出的风险,评估是否均存在相应的控制措施进行控制评估既有的控制措施是否设计恰当评估方式控制点执行人自我评估问卷个别访谈集体讨论,27,自评项目实施阶段(续),评估内部控制执行的有效性,28,自评项目报告阶段,编制省公司本部自我评估报告,评估实施部门向内部控制评估工作团队上报本部门的自我评估报告,流程评估牵头部门向内
14、控评估工作团队上报分流程的自我评估报告。 牵头组织部门对各部门自我评估工作进行复核。 复核内容主要包括:复核评估范围是否完整抽查评估工作底稿,检查评估程序是否完整,评估方法和样本量是否符合评估质量要求,评估工作记录是否清晰,底稿编制是否规范复核自我评估结论是否恰当,是否有充分可靠的评估证据做支撑,关于内控缺陷的潜在影响的分析判断是否正确复核改进计划是否具体可行,责任是否落实牵头组织部门汇总各流程内部控制自我评估工作结果,起草省公司本部自我评估报告。自我评估报告经评估工作团队初步审议后,报内部控制领导小组审定。,29,自评项目报告阶段(续),编制全省自我评估报告,省公司所属单位向省公司评估工作团
15、队上报自我评估报告。省公司牵头组织部门在复核的基础上,汇总省公司本部自我评估结果和各所属单位评估结果,编制全省自我评估报告。,自我评估报告的主要内容,1、自我评估概况 2、本省内部控制有效性结论 3、评估中发现的内部控制缺陷(包括显著缺陷和实质性漏洞)及改进计划 4、改进内部控制的建议 5、附件:内部控制缺陷及改进计划汇总表,公司应在自我评估报告中发表内部控制设计及执行是否有效的结论。如果经过评估发现一个或一个以上显著缺陷或实质性漏洞,则不能做出内部控制有效的结论,而应就评估发现的显著缺陷或实质性漏洞进行披露。,30,自评项目报告阶段(续),附件: 内部控制缺陷及改进计划汇总表 底稿索引号:
16、编制单位: 年 月 日,编制全省自我评估报告(续),31,自评项目改进阶段,内部控制缺陷改进计划实施情况表 底稿索引号:部门/单位: 时间:,各单位(部门)落实内控缺陷改进措施,并上报改进情况内控评估工作团队对内控缺陷改进情况进行审核,显著缺陷和实质性漏洞的改进情况应报内控领导小组审核,32,自评工作底稿,自我评估工作底稿的基本要求,编制评估工作底稿的要求,应当做到内容完整、格式规范、记录清晰、结论明确。评估工作底稿要包括足够的信息,清晰记录测试的方法、时间、范围和结果,以及取得的证据和做出的结论,并能够证明评估工作是按照股份公司的规定或要求进行的,以便内部审计人员、外部审计师或有关人员在复核
17、、检查或使用评估工作底稿时,能够清楚地了解和把握评估情况。,获取评估工作底稿的要求,对于获取的评估工作底稿,评估人员应注明资料来源,并实施必要的程序审核资料的真实性,同时形成相应的文字记录。必要时,应要求提供资料的单位或人员盖章或签名。评估工作底稿应有索引编号,相关的评估工作底稿之间,应保持清晰的勾稽关系,相互引用时,应注明交叉索引编号。,33,自评工作底稿(续),对选取样本的记录,如果从总体中随机选取一组样本进行评估,评估工作底稿应该记录可以认定的特征,比如,记录所选取样本的具体的文件(凭证)编号;如果从总体中选取超过一定金额的所有项目,评估工作底稿只需要描述样本的特征和范围,比如,从十月份
18、的现金日记账中选取所有超过10,000元的项目;如果是系统抽样,评估工作底稿只需要记录样本的来源、选样起点、选样终点以及间隔。如,对10月1日到12月31日的销售明细账进行系统抽样,发票起点号为542,每隔40张选一张。,评估工作底稿中应清晰记录抽查的样本,对样本的记录可以通过描述对象总体和选样标准来实现,34,自评工作底稿(续),自我评估工作底稿的复核,评估程序是否完整、方法是否恰当;所获取的证据是否充分、适当;判断是否有理有据;评估结论是否恰当;底稿是否格式规范、内容完整。,自我评估工作中,各部门自我评估负责人或指定人员负责对评估工作底稿进行复核。复核人要签署复核人名字及日期。,复核的基本
19、要点包括:,35,自评工作底稿(续),其他与评估工作相关的文件材料,改进阶段评估底稿,报告阶段评估底稿,自我评估工作底稿的归档,以下自我评估工作底稿由自我评估实施部门按照相关档案管理办法分别归档(其他文件材料由牵头组织部门进行归档保管): 1、内部控制设计有效性个别访谈表、集体讨论记录表、控制点执行人自我评估问卷; 2、内部控制执行有效性测试底稿; 3、除显著缺陷和实质性漏洞以外的其他发现和问题的相关证据; 4、内部控制执行过程中产生的文件记录。,实施阶段评估底稿,准备阶段评估底稿,36,内控评估的考核监督,内部控制评估结果及评估工作的开展情况纳入经营者绩效考核体系 内部控制评估的考核由股份公
20、司内部控制领导小组统一组织实施 股份公司内部控制评估工作团队和审计部分别根据内部控制自我评估工作情况和独立评估工作情况提出考核意见,上级单位负责对下级单位的内部控制评估工作进行监督检查 各单位内部控制领导小组负责对本单位的内部控制评估工作进行监督检查,37,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,评估项目的实施,独立评估概述,评估报告及 评估档案管理,38,独立评估概述,做好内控评估工作需要掌握或了解三方面基础知识:内部控制框架现代审计原理与技术相关法规的监管要求(让
21、我们知道该做什么,用什么标准去做),独立评估基础知识,COSO风险管理框架:,与国资委全面风险管理吻合 与企业内部控制基本规范吻合与IIA内部审计定义吻合,39,评估对重要性的考虑,审计风险固有风险控制风险检查风险内控评估中的重要性是指,内控缺陷造成的财务报告错漏可能影响报告使用者的判断或决策的程度。,以下情形利用重要性原则确定评估程序、评估对象、评估范围时 评价评估结果时。,应从定性和定量两方面考虑重要性 定量:内控缺陷是否对财务报表造成重大数量影响 定性:内控缺陷是否影响报表使用者依赖报表信息所做的判断或决策(如影响收益变动趋势的错漏或使亏损变为盈余的错漏),40,重点关注舞弊,内控评估应
22、特别关注专门用于防范舞弊风险的重要(关键)控制点,这些控制点一旦失效,将可能对公司财务报表造成重大影响。,防范舞弊的控制点包括用于防止贪污(盗用、挪用)公司财产的控制点公司的风险评估流程公司道德(行为)守则内部审计工作用于处理投诉和接受有关财务或审计方面的秘密举报的程序,41,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,评估项目的实施,独立评估概述,评估报告及 评估档案管理,42,独立评估的程序,制定独立 评估方案、 下达通知书,组织实 施独立 评估,编制独立评估报告、征
23、求被评估单位意见,工作底稿,内部审计机构,下达独立 评估意见,被评估单位 反馈执行情况,后续评估(必要时),内部控制领导 小组审定,制定年度独立评估计划,43,独立评估的实施程序,44,独立评估方案样例,表1: 内部控制独立评估工作方案 底稿索引号:,45,从风险的角度看,在确定评估对象时,应考虑所属单位发生重大错漏的可能性,并考虑对公司财务数据的相对重要性。,其次考虑对公司具有重大影响的单位 某单位占公司总资产或总收入的10以上,判断失控风险常考虑的因素业务性质 内外部环境影响因素控制环境的有效性 业务性质和交易量发生了变化管理层遭受的压力,及变动情况以往是否出现过重大内控缺陷接受内控评估、
24、内部部审计等检查的时间间隔,确定评估对象的程序与方法,首先确定具有较高内控失效风险的单位,46,判断需测试控制点的程序,Y1 了解被评估单位内控的基本情况 Y2 识别公司层面内控 Y3 确定重要会计科目和披露事项 Y4 确定与重要会计科目和披露事项相关的会计报表认定 Y5 确定重要业务流程和主要交易类型 Y6 进行穿行测试 Y7 确定需测试的控制点,确定需要测试的控制点的程序,可采用问卷调查、询问、查阅文件、穿行测试等方法了解内控基本情况。不同控制点作用不同,应通盘考虑各控制点综合作用效果。,47,Y2 识别公司层面内控, 属于控制环境的控制点 管理层的风险评估流程 集中于公司层面的流程和控制
25、点 对经营结果的监督控制措施 对其他控制点进行监控的控制点 公司财务报告流程 公司最高管理机构通过的重大业务控制,和实施的重大风险管理政策,公司层面控制:集中于公司管理、重大决策层面以及对业务流程或应用层控制具有重大影响的控制。应首先评估公司层面内部控制设计的有效性,采用Top-Down的评估方式,首先从公司层面控制点出发开展评估。,48,Y3 确定重要科目和披露事项,会计科目余额的数值大小和构成要素 因错误或舞弊造成损失的可能性 该科目所反映的交易的数量、会计科目的复杂程度,以及通过该科目反映的交易的同质性 会计科目的性质 与该会计科目相关的账务处理和报告的复杂程度 会计科目所反映的公司面临
26、损失的风险 会计科目反映的交易类型导致公司承担或有负债的风险 会计科目中是否包含关联交易 会计科目的性质较前期发生变化,决定重要会计科目重要性的数量和性质因素,49,Y4 确定重要会计科目的相关会计报表认定,存在和发生完整性 权利和义务估价或分摊 表达与披露,会计报表认定是公司管理层在会计报表中所做的以下方面的判断或声明,分析相关认定对应发生错漏可能性时,要评估如下因素,该项认定的性质与该项认定相关的交易或数据的量 处理该项认定的信息系统的性质和复杂程度,50,Y5 确定重要业务流程和主要交易类型,经常性交易非经常性交易估计性交流,主要交易类型是指对财务报表具有重大影响的那些交易类型。不同类型
27、的(主要)交易具有不同的固有风险水平,要求采取的控制也不同,针对重要业务流程和主要交易,应完成如下工作,了解交易的处理程序找出流程中可能发生错漏的风险点找出用于控制上述错漏的控制点找出用于预防或检查未经授权的资产购置、使用或处置的控制点,通常可利用穿行测试获取上述信息,51,会计认定与业务流程和交易的对应,表2:重要会计科目、披露事项及相关认定表,被评估单位: 底稿索引号:,应找到重要科目和会计认定对应的控制点,往往是需要测试的控制点,52,Y7 穿行测试,穿行测试的作用,巩固对交易处理流程的了解巩固对内控设计的了解 判断业务流程中所有风险点是否都识别到了,以确认对业务流程的了解是否完整 评估
28、内控设计的有效性评估内控执行的有效性,穿行测试是评估内控设计有效性和执行有效性的重要程序。,53,Y8 确定需要测试的控制点,确定需要测试控制点时应主要评估的要素,了解控制点的性质是否为关键控制点 控制点对于实现控制目标的重要性,同一控制目标是否有多个控制点,或某控制目标需要多个控制点 控制点不能有效执行的风险会计科目代表的内容与以前年度相比是否产生了变化控制点距上次评估的时间间隔应将识别出的各控制点对应到相应的会计科目和认定上,交易的性质和数量变化,影响到执行有效性 控制点的设计或执行人发生变化控制点对其他控制点有效性的依赖程度手工控制还是自动控制控制点的复杂程度,影响控制点执行有效性因素,
29、54,需要测试控制点分析表,表3: 重大业务流程及需测试的控制点分析表 底稿索引号:,稽核,每日,是,55,关键控制点,与财务报告披露有关的控制点重要交易启动、授权、记录、处理和报告的控制措施选择与采用会计政策的控制措施资产保护的控制措施用于避免或发现舞弊行为的控制措施作为其他控制措施的基础的控制措施针对重要的非经常性和非系统交易的控制措施公司层面的内部控制其他针对重要会计科目和披露事项及其相关认定的控制措施,常见的关键控制点,56,设计有效性测试:识别控制目标识别实现控制目标的控制措施判断当正确执行控制措施时,能否预防或发现可能造成财务报告重大错漏的错误或舞弊。执行有效性测试:控制点是否按设
30、计要求正常执行了/执行人是否获得了适当授权/执行人是否有足够能力有效履行控制职责。缺陷分类:分为一般性缺陷、显著缺陷和实质性漏洞。当存在实质性漏洞时,认定内控无效。缺陷整改:发现的重大缺陷,必须立即整改,运行足够时间才能证明其有效。影响较小的缺陷可基于成本效益原则,于有充裕资源时整改。,控制点有效性评估流程,57,控制点有效性测试程序,识别被评估单位各个领域的控制目标识别被评估单位用来实现每一控制目标的控制措施 判断当这些控制措施都被正确执行时,是否能够防止或检查出可能造成财务报告重大错漏的错误或舞弊报告披露有关的控制点,设计有效性评估程序,执行有效性测试程序,控制点是否按照设计的要求正常执行
31、了 控制点执行人是否获得了正当的授权 控制点执行人是否有足够的能力有效履行该项控制职责,58,观察:即观察内部控制运行的实际情况;询问:即通过询问内部控制执行人或其他相关人员,验证内部控制设计和运行的情况;调查:即采取问卷调查或面谈的方式,调查了解内部控制设计和运行的情况;讨论:即采取集体讨论的方式分析风险,评估内部控制设计的有效性;文件检查:即检查内部控制的记录和文件,验证内部控制设计和执行的有效性;重新履行:即重新履行某些内部控制程序,以验证其运行是否正确。,内控评估的主要方法,59,设计有效性测试表,被评估单位: 底稿索引号:,表4: 业务流程穿行测试及设计有效性测试表,60,执行有效性
32、测试的抽样方法,确定测试抽样的样本量时主要考虑的因素,控制点的性质 控制点执行的频率 控制点的重要性 控制点执行人的胜任能力及是否发生变动 控制点所涉及的交易的数量和性质是否发生变化 控制点的设计是否发生变化 控制点以前是否曾经出现缺陷 测试人员的业务经验及对控制点的了解程度,61,评估抽样的要求,表5:测试样本量经验数据表,判断是否需要追加测试主要考虑的因素 例外是否是由于内部控制设计存在问题造成的 样本是否能够代表总体 控制点的重要性及执行的频率,62,测试底稿示例独评,执行有效性测试底稿(设计测试底稿见表4),63,测试底稿的填写执行有效性,64,判断内控缺陷性质的流程,A:内控缺陷(集
33、合)潜在的影响大小对于年度和中期财务报表而言是否都无关紧要?,B:是否存在可实现同一控制目标的其他预防型控制并得到有效执行?,C:是否存在检查型控制并得到有效执行,能将年度和中期财务报表中错漏的程度降低到无关紧要?,D:潜在影响的大小对于年度和中期财务报表而言是否都没达到重大的程度?,E:是否存在检查型控制并得到有效执行,能将年度和中期财务报表中错漏的程度降低到重大以下?,F:年度和中期财务报表发生重大错漏的的可能性是否十分微小?,实质性漏洞,G:综合考虑年度和中期财务报表,一个谨慎的专业报表使用者是否会将该缺陷评定为至少是显著性缺陷?,一般性内控缺陷,H:综合考虑年度和中期财务报表,一个谨慎
34、的报表使用者是否会将该缺陷评定为实质性漏洞?,显著缺陷,否,否,否,否,否,否,是,是,是,否,否,是,是,是,是,是,第1步:判断是否存在显著缺陷,第2步:判断是否存在实质性漏洞,65,判断内控缺陷的性质(1),内部控制缺陷影响程度的决定因素 控制缺陷或控制缺陷的集合造成科目余额或信息披露错漏的可能性 控制缺陷或缺陷的集合造成的潜在错漏的重要程度,影响内控缺陷造成财务报表错漏可能性的因素 会计科目、披露事项及相关认定的性质相关资产或负债易遭受损失或舞弊的可能性 判断会计科目金额时的主观性、复杂性已知的或在评估中发现的内部控制执行例外的原因和频率控制点与其他控制点的关系及相互作用情况内部控制缺
35、陷的相互作用内部控制缺陷可能造成的潜在影响,66,判断内控缺陷的性质(2),缺陷严重程度的定量影响因素 该缺陷可能影响的财务报表金额或交易总额 该缺陷可能影响的近期已发生或将来会发生的业务活动数量或交易种类,性质比较严重的缺陷例子舞弊或违法行为造成的缺陷影响履约义务的缺陷 影响收益趋势的缺陷超出正常预期出现的缺陷,67,内控缺陷定性判断标准,具有以下特征的缺陷,至少定为显著缺陷 发现公司管理层存在的任何程度的舞弊已经发现并报告给管理层的重大内控缺陷在经过合理的时间后,并未加以改正控制环境无效影响收益趋势的缺陷影响关联交易总额超过股东批准的关联交易额度的缺陷 外部审计发现的重大错报不是由公司首先
36、发现的其他可能影响报表使用者正确判断的缺陷,68,判断内控缺陷的定量标准,财务报表错漏重要程度定量标准表,影响,项目,69,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,评估项目的实施,独立评估概述,评估报告及 评估档案管理,70,内控独立评估报告内容,评估工作概况 被评估单位内控建立和执行的基本情况 评估中发现的主要内控缺陷 改进内控的建议 评估结论 附件:内部控制缺陷及改进建议汇总表,内控缺陷对资产负债表、利润表影响表,71,内控独立评估意见,评估中发现的主要内控缺陷改
37、进内控的建议评估结论对被评估单位反馈内控改进情况的时间要求,跟踪检查独立评估意见执行情况的方式要求书面反馈评估意见执行情况 结合其他审计项目,实地检查必要时组织后续评估,内部控制缺陷改进情况表 底稿索引号,72,年度评估报告,财务年度终了,各级公司综合自我评估与独立评估的结果,就公司该年度内部控制评估情况及评估结果出具年度内部控制评估报告,是股份公司最终发表内部控制管理层报告书的重要支撑。各级公司管理层对年度评估报告的真实性负责。年度内部控制评估报告在以下工作的基础上编制:,汇总自我评估及独立评估的结果 核实内部控制缺陷改进情况,确认已发现的内部控制缺陷是否得到了有效改进 实施补充评估程序,确
38、认有效的内部控制在年度末是否仍然有效运行,年度内部控制评估报告的基准日为每年12月31日,73,评估档案管理,内部控制评估档案的作用 内部控制评估档案的内容 自我评估文件材料 独立评估文件材料 年度评估报告有关文件材料 备查类文件材料,评估工作底 底稿的基本要素 底稿应满足的基本要求 对选样的记录 重大发现或问题的记录 利用他人工作结果的记录 底稿的复核,74,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,评估项目的实施,独立评估概述,评估报告及 评估档案管理,75,外审内
39、控审计工作,外审内控审计工作开展方式,公司配合外审内控审计工作机制,公司内控问题整改机制,配合外审出具年度审计报告,公司内控评估、外审内控审计与审计委员会的关系,76,公司管理层内控评估报告06年报,77,外审内控审计报告06年报,78,公司管理层内控评估报告07年报,79,外审内控审计报告07年报,80,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,评估项目的实施,独立评估概述,评估报告及 评估档案管理,81,内控支撑系统开发思路,功能:控制点执行和评估责任动态分解,重点
40、评估点筛选,评估方法固化是关键功能,作用:不仅解决评估的问题,也将促进内控建设和维护的流程化、规范化,设计:在继承原有评估工作成果的同时,优化评估内容、方法和组织实施,演进:审计信息系统相协调,内控支撑 系统,定位: OA系统,82,系统主要功能,内控支撑系统,内控组织机构,细则管理,职责分解,自评检查,审核汇总,领导小组 内控团队 相关领导 内控管理员,内控手册,内控细则,控制点,内控资料库,细则修订,分解至 牵头部门,分解至 执行部门,分解至 执行人,一人一表,分解至 牵头部门,分解至 检查部门,分解至 检查人,分解至 个人,执行人自评,检查人评估,审核 测试底稿,审核缺陷及改进计划,按部
41、门 汇总,按流程 汇总,跟踪缺陷 改进情况,83,(预期)效果1,责任明确化:自动形成“一人一表”或“一岗一表”,执行和评估责任更明确,84,(预期)效果2,责任动态化:建立“一人一表”或“一岗一表”动态更新维护的机制,减轻集中分解评估责任所带来的工作量,85,(预期)效果3,提高底稿质量:评估方法固化将进一步提高底稿质量,86,(预期)效果4,强化建设、维护和评估过程管控:从整体上把握众多部门和基层单位的建设、维护和评估的进度,87,(预期)效果5,评估日常化和专项化:可以分批次或针对具体问题组织评估,满足多层次的评估需求,88,(预期)效果6,内控细则修订流程化:实现内控细则和控制点增、删
42、、改工作固化和规范化,89,(预期)效果7,缺陷改进情况追踪:了解缺陷整改进展情况,督促缺陷改进最终落实,90,(预期)效果8,文档管理自动化:自动生成底稿和表格,并实现文档自动传送,减少重复制表、粘贴基础信息和汇总的工作量;实现评估资料的有效保存,便于检索,91,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,内控评估工作,内控建设工作,对外审的影响,92,能有效改善一家公司的内控结构,从而降低公司风险 协助公司管理层识别无效和低效的程序并消除多余的控制和流程 提高财务报告
43、的可靠性,恢复近几年发生财务丑闻后公众对财务报告的信心,内控建设目标内控建设是动态的持续进程,最终应形成一个相互联系、综合作用的控制整体,使控制活动与企业环境、战略目标及风险控制相结合,形成一套不断改进、自我完善的内部管理控制机制。,内控的好处,93,2、避免内控完美主义倾向内控是合理保证,存在固有的局限,优化内控建设工作,3、内控成为一个管理工具用内控的概念框架来统驽日常工作,加以系统化并予以提升,手册不应当而且也不能是日常内控制度的简单重复或总结,4、内控工作应成为防范风险的共识的平台内控体系的建设和更新,最重要的是对日常内控制度的梳理和反思,是一个全员学习和讨论的工作过程,应起到内控知识
44、积累和传播的作用,5、内控工作是“将遵循性融入管理流程”的过程内控体系的维护和更新是业务流程再造的过程,指导各项规章制度不能违背遵循性原则,指导各级员工从总体上全面了解公司的业务流程和管理模式,公司各项规章制度指导具体业务处理。,1、内控不是新事物内控工作不能追求“新瓶装新酒”,94,优化内控建设工作(续),6、坚持风险导向抓住关键风险点、关键控制点、关键环节,简化非重大风险的控制或增加非重大风险控制的灵活性希望从谨慎出发,不断增加控制链条和环节,以期增加控制降低风险,分散本部门责任、转移本部门风险的本位主义 希望事无巨细都讲控制,一是对风险颗粒要求的较小,希望将很小的风险都控制住,二是希望将
45、失控的可能性降至最低,设计些冗余控制,以“双保险、多保险”的方式试图将内控原理要求的“合理保证”变为“肯定保证”,7、强调内控的体系性统筹把握各项内控措施,理顺内控手册和公司规章制度、业务流程图、岗位说明书等各项内控制度的关系 把内控工作当作全新工作,而没有意识到内控项目是对传统内控体系的梳理和完善,不能充分利用原有内控建设成果,重复劳动过多,而且对以前一些基本的、优良的内控制度扬弃太多,95,优化内控建设工作(续),8、 内控与日常管理工作融合内控规则一定要符合企业的实际情况,避免与日程管理工作两张皮,9、淡化对流程具体内容的描述,注意力集中于风险和控制引入流程图,以示意图的方式来表达流程性
46、的要求,可以促使业务流程中的控制既不脱离流程,也不过度陷于流程,10、 具体化风险点,将控制点与风险点关联起来未能明确地定义风险、控制、控制程序和控制政策等控制因素,造成将所有的活动都当作“风险”或“控制”来抓,11、精确内控责任,增强意识,培养习惯内控责任要能明确到机构、岗位和个人,通过内控责任追究机制和内控建设、评估工作,逐步增强广大员工内控意识,形成按内控办事的习惯,12、 内控是动态的审视业务的变化、目标的变化、风险的变化,及时调整控制措施,96,优化内控建设工作(续),13、应特别关注衔接环节的控制重视跨部门、业务、流程的内控,重视业务与业务数据、业务与财务数据的核对机制和异常处理规
47、则,14、重视IT一般控制特别是依赖信息系统程度较高的企业,重视系统的开发和变更、超级用户访问权限等,15、平衡控制与效率内控建设过程是持续优化业务处理流程的过程 “补课”产生的工作量不应视为内控影响了效率 工作中“走过场”产生无效工作量,使内控工作成果打折扣,16、形成良好的内控运行机制健全内控制度建设、执行、评估(检查)、改进的机制,形成内控的闭环,97,内控自我评估与鉴证的企业经验介绍,内控评估体系及自评,公司内控建设简介,独立评估实务工作介绍,外审的内控审计工作,公司内控IT支撑系统简介,对内控建设和评估工作的思考,内控评估工作,内控建设工作,对外审的影响,98,优化内控评估工作,1、
48、固化评估工作要求筛选重点评估点、规范评估要素和评估底稿、统一抽样数量和测试标准,使自评工作的要求得到固化,保证评估质量。,99,优化内控评估工作,3、推进自评与日常管理工作有效结合 自评与专业检查相结合,利用检查结果,简化自评程序和方法,减少工作重复 针对属于程序性、基础管理工作的内控,更多靠日常监控和专业检查保证其持续改进和有效执行,自评工作重点解决突出内控问题,尤其是跨部门问题专业部门和流程责任部门要将本专业、本流程内控执行情况纳入平时的专业检查和过程管控,并形成内控工作意见和可供查询、引用的资料要为业务部门的专业检查提供检查方式和技术手段支撑,提出需要关注的风险点,并在自我评估报告中体现业务部门的专业检查工作和成果,2、坚持风险导向原则 在风险分析基础上确定关键控制点,在减少评估工作量的同时降低发表错误评估结论的风险,4、自评与独评、评估与审计工作融合自我评估和独立评估有效互补,独立评估侧重测试自我评估难以发现重大失控风险的薄弱环节 将内控独立评估与其他内审项目有效结合,减少内审工作重复性,100,优化内控评估工作,5、优化和细化评估工作方案 加强牵头部门与专业部门及下属公司的沟通,努力形成有效的自评方案制定、选题、重点评估点确定机制 将评估方案细化到绕不开,要么暴露问题,要么作假,
