1、企业内部控制建设及评价交流企业内部控制建设及评价交流 0内控哪个环节出了问题,如何用内控去防范?内控哪个环节出了问题,如何用内控去防范?为什么为什么SOXSOX重拳打击虚假财务信息,重拳打击虚假财务信息,又来了金融危机又来了金融危机?为什么为什么麦当劳肯德基始终一尘不染,小胖墩总是爱去麦当劳肯德基始终一尘不染,小胖墩总是爱去?为什么巴林银行交易员能够越权,越权交易暴露滞后为什么巴林银行交易员能够越权,越权交易暴露滞后?为什么在同一市场中,同类企业经营现金流反差很大为什么在同一市场中,同类企业经营现金流反差很大?中国移动社会责任报告跟垃圾短信是否存在必然联系中国移动社会责任报告跟垃圾短信是否存在
2、必然联系?为什么中信泰富事前备受追捧,事后却成负面典型为什么中信泰富事前备受追捧,事后却成负面典型?为什么国内企业虚收入安在,安然世通却倒闭了为什么国内企业虚收入安在,安然世通却倒闭了?为什么富士康跳楼连连,大家还蜂拥而入为什么富士康跳楼连连,大家还蜂拥而入?为什么内控制度你写你的,他做他的为什么内控制度你写你的,他做他的?为什么高科技企业发展中都变味了为什么高科技企业发展中都变味了1交流提纲交流提纲 内部控制建设流程内部控制建设流程内部控制工作的机制要素内部控制工作的机制要素 内部控制评价流程内部控制评价流程l 内部控制的基本要素和基调内部控制的基本要素和基调l 内部控制工作机制内部控制工作
3、机制l 国内外企业内控工作经验简介国内外企业内控工作经验简介内控问题案例及启示内控问题案例及启示2内部控制的基本要素内部控制的基本要素价值观价值观执行执行力力管理格管理格调调权限设权限设置置信息沟信息沟通通运行机制运行机制目标目标内部控制基本要素体系内部控制基本要素体系3302及906条财务报告及信息披露404条财务报告及信息披露302条及906条证明书管理层对于404条的内控报告外部审计报告道德条款道德条款 公司监控公司监控内控自评内控自评政策及程序政策及程序编写及记录内编写及记录内控文件控文件内控内控评价评价对内控不足之对内控不足之处改进处改进外部审计:外部审计:1 1、对管理层评价的认证
4、;、对管理层评价的认证;2 2、对内控的评价、对内控的评价 企业特性决定了内控的基调企业特性决定了内控的基调u 监管环境:资本市场、五部委、国资委监管环境:资本市场、五部委、国资委u 风险偏好风险偏好u 管理风格管理风格SOXSOX体现上市公司内控的真谛体现上市公司内控的真谛 4内部控制工作组织机构内部控制工作组织机构四四个个层层级级的的职职责责设设定定启动启动与调研与调研方案设计方案设计实施规划实施规划评估验收评估验收内控领导小组各职能部门 内控建设团队 审计/监察 联络人虚拟团队市场部牵头建设部牵头财务部牵头市场组资本组财务组IT组信息部牵头项目管理项目管理1.培训及知识转移培训及知识转移
5、2.试点、推广、全面实施试点、推广、全面实施 3.IT系统设计和上线系统设计和上线4.流程、监控体系设计流程、监控体系设计5.内部控制手册的编制内部控制手册的编制6.董事会及审核委员会内控评价团队 5搭建内控支撑系统搭建内控支撑系统内控支撑系统内控组织机构细则管理职责分解内控自评缺陷整改领导小组内控团队相关领导内控管理员内控手册内控细则控制点内控资料库细则修订分解至牵头部门分解至执行部门分解至执行人评价责任分解进度监控审核汇总执行人自评检查人评价缺陷确认及导入整改任务分配整改过程跟踪整改结果反馈缺陷统计分析控制库一人一表缺陷库权限配置实现内控建设和实现内控建设和 评价的流程化、规范化评价的流程
6、化、规范化控制点执行和评控制点执行和评价责任动态分解,评价重价责任动态分解,评价重点筛选和方法固化点筛选和方法固化与公司与公司OAOA等各系统有效衔接等各系统有效衔接6内控责任体系内控责任体系内控责任管内控责任管理办法理办法授权审批授权审批权限设定权限设定内控责任分解内控责任分解整体层面整体层面责任分解责任分解业务流程层业务流程层面责任分解面责任分解责任追究机构责任追究机构内控工作领导小组内控工作领导小组各业务和管理部门各业务和管理部门内控工作团队内控工作团队审计部门审计部门内控评价工作团队内控评价工作团队 口头批评口头批评书面批评书面批评通报批评通报批评绩效处罚绩效处罚行政处罚行政处罚刑事责
7、任刑事责任考 核 手 段考 核 手 段问问题题严严重重程程度度一般一般 重要重要 重大重大7建立有效的制度体系建立有效的制度体系l内控管理办法l内控评价办法l内控责任追究办法l内控岗位职责说明书l内控缺陷限期整改责任书l违规积分管理办法l内控自我评价工作考核细则l内控制度执行情况考核办法管理和促进内控落实的制度和措施管理和促进内控落实的制度和措施内控开展情况,内控问题纳入经营者绩效考核体系内控考核由股份公司内部控制领导小组统一组织实施内控建设团队、评价团队、内审部门分别提出考核意见上级单位负责对下级单位的内控工作进行监督检查各单位内部控制领导小组负责对本单位的内控工作监督检查内控工作监督考核内
8、控工作监督考核8内控建设理论框架内控建设理论框架国际上具影响力的内部控制框架国际上具影响力的内部控制框架 中国不断加强内部控制及风险管理的监管要求中国不断加强内部控制及风险管理的监管要求1992,美国COSO报告:内部控制综合性框架,简称COSO;1995,加拿大COCO委员会控制原则标准,简称COCO原则;1999,英国Turnbull指南内部控制综合守则的董事指南;2004,美国COSO委员会发布ERM,即企业风险管理-综合性框架;2004,香港联交所企业管治常规守则及企业管治报告。1996,财政部独立审计具体准则第9号内部控制和审计风险;1997,中国人民银行加强金融机构内部控制的指导原
9、则;1999,保监会保险公司内部控制制度建设指导原则;1999,全国人大常委会会计法;2001,证监会证券公司内部控制指引;2001,财政部内部会计控制规范基本规范(试行)等;2002,中国人民银行商业银行内部控制指引;2006,国资委中央企业全面风险管理指引;2006,财政部牵头成立“中国内部控制标准委员会”;2006、2007,深交所、上交所内控指引;2008,财政部等五部委联合发布企业内控基本规范。?国内外思路差异国内外思路差异 9COSOCOSO内控框架内控框架 监监 督督信信 息息 与与 沟沟 通通控控 制制 活活 动动风风 险险 应应 对对风风 险险 评评 估估 事事 项项 识识
10、别别目目 标标 设设 定定内内 部部 环环 境境战战 略略报报 告告经经 营营合合 规规COSOCOSO内部控制整体框架内部控制整体框架 (1992)(1992)COSOCOSO企业风险管理框架企业风险管理框架 (2004)(2004)经经 营营监监 督督信信 息息 与与 沟沟 通通 控控 制制 活活 动动风风 险险 评评 估估控控 制制 环环 境境财务报告财务报告合合 规规弥补缺口弥补缺口运运 营营子子 公公 司司营营 业业 单单 位位 部部 门门 公公 司司 层层 面面 其他内控体系其他内控体系 nCOCOnTurnbulln“中国COSO”,全面风险管理n日本.n ISO xxxn 属于
11、思路/原则/方向层面n 内控表现为一系列的程序(process)和政策(policy)n相当于企业内控的“宪法”n属于防御性制度体系n 管理体系的建立要遵循COSO宪法n管理体系一般应该满足一定的形式。10内控定义内控定义 内控基本规范内控基本规范 全面风险管理全面风险管理 COSOCOSO内控框架内控框架 本办法所称内部控制,是由企业董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。本指引所称内部控制系统,指围绕风险管理策略目标,针对企业战略、规划环境保
12、护等各项业务管理及其重要业务流程,通过执行风险管理基本流程,制定并执行的规章制度、程序和措施。公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率,财务报告的可靠性和遵 守适用的法律法规。COSOCOSO风险管理风险管理 企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确定可能影响企业的潜在事项,并在其风险偏好范围内管理风险,从而对企业目标实现提供合理保证。?内控定义的共性约定内控定义的共性约定 11国内外企业内控建设工作总结国内外企业内控建设工作总结l 通常的实施方法通常的实施方法l 实施牵头部门实施
13、牵头部门l 内控的成本内控的成本l 实施难点实施难点l 关键成功要素关键成功要素 12 内部控制建设流程内部控制建设流程l 内部控制的设计步骤内部控制的设计步骤 l 风险评估流程与技术风险评估流程与技术l 建立信息与沟通机制建立信息与沟通机制l 公司层面控制举例公司层面控制举例13内控建设基本方法内控建设基本方法n相互牵制原则n协调配合原则n程式定位原则n成本效益原则n全面系统原则n标准、有效n适用、务实n全面、协调n及时、预见n灵活、弹性内控制度设计基本原则内控制度设计基本原则内控制度设计基本要求内控制度设计基本要求内控制度设计步骤内控制度设计步骤拟定控制目标确定控制措施分析、整合控制流程鉴
14、别重要控制环节风险评估14拟定控制目标拟定控制目标 公司愿景公司愿景 战略战略 规划规划 计划计划 制定目标的假设前提制定目标的假设前提 SOWT?SOWT?多少企业直奔流程主体?多少企业直奔流程主体?不同企业特性不同目标不同企业特性不同目标 用工:工作环境,薪酬计量和发放,安全生产用工:工作环境,薪酬计量和发放,安全生产 目标具体化目标具体化 多细的目标多细的目标 多高的目标多高的目标企者不立,跨者不行企者不立,跨者不行 15公司层面风险评估公司层面风险评估风险:任何风险:任何可能影响组织实现其目标的事项可能影响组织实现其目标的事项威胁威胁不确定因素不确定因素机会机会战略风险战略风险财务财务
15、/市场风险市场风险经营性的经营性的/法律法律法规性的风险法规性的风险风险包括风险包括:l恶性事件恶性事件l不确定事件不确定事件l机会事件机会事件 主主要要风风险险因因素素 管理层的能力管理层的能力 管理层的道德观管理层的道德观 近期系统变化近期系统变化 组织规模组织规模 资产流动性资产流动性 变革变革 复杂程度复杂程度 快速增长快速增长 规章制度是否健全规章制度是否健全 风险评估方法风险评估方法l专家讨论法专家讨论法l调查分析法调查分析法l风险地图法风险地图法l财务指标分析法财务指标分析法16公司层面风险评估公司层面风险评估确定关键风险的核心,是确定风险的可能性和影响程度两大指标确定关键风险的
16、核心,是确定风险的可能性和影响程度两大指标n通过评估风险的重要性和紧迫性两个维度,确定每个风险在模型中的位置n从风险因素在风险图谱的不同位置,确定关键风险n关键风险由于其重要性高、紧迫性高,因此一般需要重点管控风险图谱示例风险图谱示例需关注的需关注的关键风险关键风险图谱中绿色区域图谱中黄色区域图谱中红色区域风险区域风险区域低风险一般风险关键风险风险分级风险分级17公司层面风险评估公司层面风险评估评分评分12345定性等级划分极低低中等高极高文字描述定量一定时期风险事件发生的概率风险事件发生频率风险事件的数量评分评分12345风险影响程度描述极低低中等高极高定量对收入的影响损失或费用占税前利润比
17、定性对企业声誉的影响安全方面的影响程度企业日常运营风险发生可能性风险发生可能性风险影响程度风险影响程度18公司层面风险评估公司层面风险评估19公司层面风险评估公司层面风险评估将评估结果对应到风险图谱,落在红色区域的为关键风险,加以重点控制将评估结果对应到风险图谱,落在红色区域的为关键风险,加以重点控制20风险分析及判断风险分析及判断 从整体业务层面分析从整体业务层面分析 从业务性质层面分析从业务性质层面分析 从财务报表层面分析从财务报表层面分析 从会计科目层面分析从会计科目层面分析 从会计科目认定分析从会计科目认定分析 业务和财务分析映射业务和财务分析映射风险评估切入点风险评估切入点判断风险影
18、响判断风险影响 风险的直接影响风险的直接影响 风险的潜在影响风险的潜在影响21内控建设基本方法内控建设基本方法n控制流程是依次贯穿于某项业务活动始终的基本控制步骤及相应环节n通常与业务流程相吻合,主要由控制点组成n当企业的业务流程存在缺陷时,需要根据控制目标和控制原则加以整合分析、整合控制流程分析、整合控制流程资金支出控制流程举例(流程及控制点责任分解)资金支出控制流程举例(流程及控制点责任分解)支付申请支付审批支付复核办理支付用款部门审批人员会计部门出纳部门22内控建设基本方法内控建设基本方法n鉴别目的实现控制目标,主要控制容易发生偏差的业务环节n控制环节或控制点那些可能发生错弊因而需要控制
19、的业务环节n关键控制点作用大,影响广,甚至决定全局成效的控制点n一般控制点只发挥局部作用,影响特定范围的控制点鉴别鉴别重要重要控制控制环节环节u控制活动类型授权、审批、复核及核对、资产实物控制、差异分析报告、职责分离、信息处理控制、业绩评价、职责分工等u控制措施为预防和发现错弊而在某控制点所运用的各种控制技术和手续等确定确定控制控制措施措施n 预防控制,检查控制;主控制,冗余控制;基础控制,应用控制;手工控制,自动控制23企业内控建设实施流程企业内控建设实施流程央企内控建设项目实例央企内控建设项目实例项目前期准备现状描述及讨论制订并实施修补计划对内控缺陷提修改建议编写内控手册(初稿)管理层审定
20、现状及修改建议试行内控手册(初稿)检查试行情况总结汇报、完善内控手册企业企业内控内控体系体系总公司内控手册总公司内控手册 总部及分公司的实施细则总部及分公司的实施细则v 配套的权限列表配套的权限列表其他公司制度、办法其他公司制度、办法 24国外企业内控建设工作经验借鉴国外企业内控建设工作经验借鉴企业可以采用不同的方式记录内部控制企业可以采用不同的方式记录内部控制q业务流程描述的方式业务流程描述的方式有利于打破企业内部不同部门之间的条块界线q 流程图表的方式流程图表的方式能够直观地表现业务事项发生发展的逻辑关系q 编写控制点列表的方式编写控制点列表的方式有利于内控记录持续更新、添加或删减控制点使
21、用软件系统辅助使用软件系统辅助404404条款遵循工作条款遵循工作促进404条款遵循工作流程的标准化 便于管理层汇总、分析404条款遵循工作的情况及成果 提供404条款遵循工作的即时信息 降低404条款遵循工作管理成本、显著提高工作效率?中国企业基本业务流程描述方式中国企业基本业务流程描述方式 25业务流程描述模式业务流程描述模式一、业务流程范围一、业务流程范围 1、所涉及的业务范围 2、所涉及的部门范围 3、所涉及的计算机系统和相关维护部门二、(控制)目标二、(控制)目标三、风险三、风险四、相关会计科目四、相关会计科目五、流程概述五、流程概述26流程图表模式(续)流程图表模式(续)编号流程步
22、骤责任部门岗位流程步骤描述输出文档控制编号活动/控制描述编号文档名称01编制财务报表财务部合同及报表管理岗每月结账后,财务部合同及报表管理岗按照企业会计准则,依据交易事项以及账簿记录等资料,按照统一的编制口径、报表格式和编制要求,编制x月财务报表【EF01】总部X月财务报表02审核财务部核算部经理【C01】财务部核算部经理审核总部x月财务报表.主要关注财务报表各项数据的真实性和准确性,财务会计政策的运用是否符合国家和集团公司的规定等内容,审核通过后提交给财务部合并报表岗。【EF01】总部X月财务报表27控制点列表模式控制点列表模式28内控信息收集与沟通流程图内控信息收集与沟通流程图 信访举报
23、内控、会计、审计事项 否 按信访办法的其他规定处理 审计部门是 业务检查 内外审计 政府检查 收集到信息的各个业务部门、审计部门或财务部门,初步核实、判断缺陷性质 (书面转交)是 承办部门核实 审计委员会 办公室或监察部门收集 建立信息与沟通机制建立信息与沟通机制l 信息与沟通是COSO框架五要素之一 l 业务、财务等信息的收集、处理和传递l 业务间信息、业务与财务信息的传递和比对l 上下级、各部门间信息的传递29公司层面控制公司层面控制属于控制环境的控制点管理层的风险评估流程IT一般控制集中于公司层面的流程和控制点对经营结果的监督控制措施对其他控制点进行监控的控制点公司财务报告流程公司最高管
24、理机构通过的重大业务控制,和实施的重大风险管理政策 公司层面控制:集中于公司管理、重大决策层面以及对业务流程或应用层控制具有重大影响的控制。30例例1:预算风险及控制方法:预算风险及控制方法目标:战略、预算、考核、激励一体化,加强过程控制,提高预算的预见性、科学性和准确性。风险控制方法预算不能支撑战略造成资源浪费预算管理流于形式u基于战略的资源配置u预算工作组织机构u预算为资源投入的唯一渠道u纵向到底,横向到边u配置预算内机动资源u年度预算按期间分解u预算的刚性与调整u事前事中事后全过程控制u预算执行纳入单位和个人考核31 例例2:人力资源风险及控制方法:人力资源风险及控制方法目标:选择适当的
25、人力资源政策,为企业招聘并留住合格的员工,员工胜任并认同企业文化,以确保企业计划正确执行并达到既定目标。风险控制方法招聘不到合适员工风险参见流程分析员工胜任风险u背景调查u培训u清晰的岗位职责界定u充实工作内容u授权u职位轮换u功效挂钩u员工业绩认可32 例例2:人力资源风险及控制方法(续):人力资源风险及控制方法(续)目标:选择适当的人力资源政策,为企业招聘并留住合格的员工,员工胜任并认同企业文化,以确保企业计划正确执行并达到既定目标风险控制方法员工价值观和行为规范风险u管理层树立和传达核心价值观u沟通价值观和理念u考核评估制度u奖励符合道德规范的行为u消除诱惑u鼓励价值观和道德的培训与研讨
26、u保持纪律的一贯性和违纪处理及时性关键管理人员设置风险u关键管理人员职责定义的充分性u关键管理人员的职责约定和期望,可以畅通而清晰地向领导汇报u关键管理人员应具备的岗位知识、经验33 例例2:人力资源风险及控制方法(续):人力资源风险及控制方法(续)提出用人申请用人申请审核与汇总批复发布招聘信息流程流程风险风险紧急的、临时性的用人需求客观上难以满足人力资源需求计划不能正确评估、审核用人申请,造成超编、工资总额超标或不能满足用人部门需求未经批复发布招聘信息招聘渠道不合适,导致收到的简历不符合要求对人才需求的数量、结构预测不准确笔试、面试与外调由于考官个人、面试过程组织等原因导致没有招聘到最合适的
27、人才或给公司带来的负面影响录用未经批复擅自录用34 例例2:人力资源风险及控制方法(续):人力资源风险及控制方法(续)流程流程风险风险签订劳动合同员工入职更新员工数据库招聘费用核算劳动合同不完善导致劳动纠纷不规范用工新员工入职手续办理不完全或过高承诺招聘费用超出预算风风险险管管理理措措施施风险接受:风险接受:1、加强业务发展的预见性,规定用人部门至少要提前1-2个月时间提出需求。2、加强人力资源部门的审核权力,把人才结构、工资总额等优化、约束条件在用人申请的审核环节中充分考虑。3、加强招聘渠道的收集、比较和评估。4、制定周密的入职流程表,为每个新入职员工及时办理各项手续。5、严格控制招聘过程发
28、生的支出,超出标准应申请上级审批。35 内部控制评价流程内部控制评价流程l 评价机制及实施程序评价机制及实施程序l 评价工作技术和方法评价工作技术和方法l 评价报告与缺陷整改评价报告与缺陷整改l 评价记录和缺陷判断评价记录和缺陷判断 36评价工作的组织模式评价工作的组织模式 总部内审部门统一实施总部内审部门统一实施 公司专门成立内控工作办公室实施公司专门成立内控工作办公室实施 委托中介机构实施委托中介机构实施 业务部门自评业务部门自评+内审部门审计内审部门审计37公司内控评价体系公司内控评价体系自我评估独立评估评估体系评估体系内控责任人实施全覆盖的审查日常的基础工作第一道关内审人员实施重点抽查
29、自评基础上的阶段性工作第二道关n自我评估:由公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动。n独立评估:内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动。年度自评年度自评专项自评专项自评38内控评价的报告机制内控评价的报告机制各省级分公司、分支机构股份公司评价要点及时间安排自身情况内部控制评价计划自我评价计划独立评价计划自我评价独立评价自我评价结果独立评价结果股份公司审计部各单位年度内控评价报告内部控制管理层报告书股份年度内控评价报告报备报批股份公司内控评估评价工作团队审核内部控制领导小组审定39内部控制领导小组内部控制领导小组审计部法律部财务部建设部市场部
30、董办 评价工作团队办公室市场部财务部人事部 IT部 自评实施部门内控评价组织机构内控评价组织机构 独评实施部门审计部?四个层级的职责设定四个层级的职责设定40评价工作的沟通协调机制评价工作的沟通协调机制内部控制领导小组内部控制评价工作团队(牵头实施部门)评价实施部门(含流程评价牵头部门)指导监督方案报批汇报重大缺陷上报评价报告下达方案、提供底稿模板、提出质量要求协调解决出现的问题就缺陷界定、改进计划组织进行协商讨论牵头部门对工作底稿及报告进行审核流程评价牵头部门配合完成准备工作各评价实施部门提交本部门方案寻求技术支持提供阶段性信息,报告重大缺陷提交评价结果报告和评价工作底稿以及改进报告上级单位
31、下级单位指导指导 监督监督 考核考核 质询质询汇报工作汇报工作 寻求支持寻求支持41评价工作的实施流程评价工作的实施流程制定评价实施方案股份公司内控评价工作团队下达方案部署工作开展评价工作股份公司各部门股份公司所属单位汇总本部及下属单位评价结果形成本单位评价报告上报评价报告领导小组审议审核后提交内控股份公司审计部评价报告形成汇总依据改进计划落实改进措施依据改进计划落实改进措施准备阶段准备阶段 实施阶段实施阶段 报告阶段报告阶段 改进阶段改进阶段 实施的四个程序实施的四个程序42评价项目准备和实施阶段评价项目准备和实施阶段 落实评价职责落实评价职责评价实施部门控制点描述控制点编号 评价实施部门制
32、定具体实施方案评价实施部门制定具体实施方案评价人控制点检查人控制点检查人(重点评价点)(重点评价点)控制点执行人控制点执行人 评价方法 控制点描述 控制点编号评价时间范围:部门:明确评价方法和工作要求明确评价方法和工作要求制定评价方法、抽样原则、评价报告/底稿格式等要求,统一标准,规范操作 l 评价内部控制四要素的总体情况评价内部控制四要素的总体情况l 评价评价ITIT一般控制一般控制 l 评价选定的控制点评价选定的控制点43 设计有效性测试:设计有效性测试:识别控制目标识别实现控制目标的控制措施判断当正确执行控制措施时,能否预防或发现可能造成财务报告重大错漏的错误或舞弊。执行有效性测试:执行
33、有效性测试:控制点是否按设计要求正常执行了/执行人是否获得了适当授权/执行人是否有足够能力有效履行控制职责。缺陷分类:缺陷分类:一般性缺陷、重要缺陷和重大缺陷。存在重大缺陷认定内控无效。缺陷整改:缺陷整改:大缺陷必须立即整改,运行足够时间证明整改有效。小缺陷可基于成本效益原则,于有充裕资源时整改。评价方法:评价方法:访谈和讨论、文件检查、重新履行控制点有效性评价流程控制点有效性评价流程设计有效性测试评价缺陷执行 有效性测试有效有效无效无效相关目标评价目标实现风险业务流程是否存在重大缺陷是是否否内控有效内控无效44判断需测试控制点的程序判断需测试控制点的程序 S1 了解被评价单位内控的基本情况了
34、解被评价单位内控的基本情况 S2 识别公司层面内控/ITGC S3 确定重要会计科目和披露事项 S4 确定与重要会计科目和披露事项相关的会计报表认定 S5 确定重要业务流程和主要交易类型 S6 进行穿行测试 S7 确定需测试的控制点确定需测试的控制点确定需要测试的控制点的程序确定需要测试的控制点的程序45评价报告阶段评价报告阶段 编制评价报告编制评价报告分层编制、上报评价报告牵头部门对各部门评价工作复核:评价范围是否完整抽查评价工作底稿评价结论是否恰当改进计划具体可行否,责任落实否牵头部门汇总各评价工作结果,起草评价报告,逐级上报 评价报告的主要内容评价报告的主要内容1、评价工作概况2、本单位
35、内部控制有效性结论3、评价中发现的内部控制缺陷及改进计划4、改进内部控制的建议5、附件:内部控制缺陷及改进计划汇总表u公司应在评价报告中发表内部控制设计及执行是否有效的结论。如果经过评价发现一个或一个以上重要缺陷或重大缺陷,则不能做出内部控制有效的结论,而应就评价发现的重要缺陷或重大缺陷进行披露。46评价报告阶段(续)评价报告阶段(续)已消除的一般性内部控制缺陷:已消除的一般性内部控制缺陷:尚未消除的一般性内部控制缺陷:尚未消除的一般性内部控制缺陷:重要缺陷:重要缺陷:重大缺陷:重大缺陷:下一步改进计划缺陷未完全消除的原因目前的改目前的改进情况进情况已采取的改进措施已造成或潜在的影响产生原因发
36、生时间缺陷描述编号 编制评价报告(续)编制评价报告(续)附表附表1:内部控制缺陷及改进建议汇总表内部控制缺陷及改进建议汇总表附表附表2:缺陷对财务报表的影响汇总缺陷对财务报表的影响汇总47评价工作改进阶段评价工作改进阶段 内部控制缺陷改进计划实施情况表内部控制缺陷改进计划实施情况表 稿索引号:部门/单位:时间:改进情况改进情况审核意见审核意见改进计划改进计划实施部门实施部门及责任人及责任人实际实际完成完成日期日期计划计划完成完成日期日期改进改进措施措施详述详述缺陷缺陷描述描述编号编号采用条块结合方式布置整改,各单位(部门)落实内控缺陷改进措施,并上报改进情况,上级单位审核整改效果48判断内控缺
37、陷的定量标准判断内控缺陷的定量标准省级分公司财务报表错漏重要程度定量标准表省级分公司财务报表错漏重要程度定量标准表一般缺陷一般缺陷重要缺陷重要缺陷重大缺陷重大缺陷利润总额潜在错漏错漏利润总额的3或X亿元利润总额的3或X亿元错漏利润总额的5或X亿元错漏利润总额的5或X亿元资产总额潜在错漏错漏资产总额的0.5或X亿元资产总额的0.5或X亿元错漏资产总额的1或X亿元错漏资产总额的1或X亿元经营收入潜在错漏错漏经营收入总额的0.5或X亿元经营收入总额的0.5或X亿元错漏经营收入总额的1或X亿元错漏经营收入总额的1或X亿元所有者权益潜在错漏错漏所有者权益总额的0.5或X亿元所有者权益总额的0.5或X亿元
38、错漏所有者权益总额的1或X亿元错漏所有者权益总额的1或X亿元缺陷缺陷项目项目49l 公司层面内控问题案例公司层面内控问题案例l 内部控制的动态维护内部控制的动态维护l 内部控制工作启示内部控制工作启示公司层面内控案例及启示公司层面内控案例及启示50内控案例内控案例内控工作整体上常见问题内控工作整体上常见问题设计设计费用发生需求环节无本部门审批,无评标原则发起发起生米做成熟饭,先斩后奏授权授权集团集中采购科目,分公司自行安排采购审批审批只见签字,不见意见,经办人眼里只有领导,无原则处理处理自行组织评标,不用专家库记录记录用错科目,凭证不一,资产清查无记录披露披露中信泰富管理层早在08年9月7日,
39、就已知衍生品交易出现约150亿港元亏损,9月中旬对外公布坚称公司经营“未出现任何重大不利变动”51内控工作的瓶颈内控工作的瓶颈u控制为上侧重控制和遵循性,牺牲了效率和效益u目标狭隘对公司整体战略和重大经营策略目标关注不够u风险模糊对风险的描述不够清晰,带来控制设计针对性不强u不分主次未对风险有效评估,从而分轻重缓急制定控制措施u浪费机会未对风险清晰描述和界定,不清楚哪些风险可以带来价值u反应滞后不能动态分析风险、审视控制、更新控制52内部控制的动态化内部控制的动态化风险和控制的日常更新风险和控制的日常更新基于价值的内控评价基于价值的内控评价风险要素更新控制要素更新风险评估风险影响排序评价安排风
40、险补充、更新l风险所在l风险描述更新控制活动l业务流程l政策制度l责任单位l将关键计划和战略比对l访谈管理层和业务部门l借鉴业务部门风险管理结果l历史经验和积累l量化风险影响l量化出错的可能性l找出需测试的流程和控制点l发布风险分析结果及评价要点l以省公司为主开展评价l股份公司管控评价质量l股份公司抽评风险风险评价矩阵动态维护评价矩阵动态维护风险预警与日常管控风险预警与日常管控风险收集与告知风险收集与告知日常风险评估与管控日常风险评估与管控一次性风险一次性风险临时性风险临时性风险相结合日常风险评估与管控日常风险评估与管控53今日主题启示今日主题启示u坚定内控创造价值的信念坚定内控创造价值的信念u建立良好的闭环工作机制建立良好的闭环工作机制u内部控制不是新瓶装新酒内部控制不是新瓶装新酒u核心在公司治理和整体层面核心在公司治理和整体层面u避免完美主义避免完美主义u强调内控的体系性强调内控的体系性u精确责任,增强意识,培养习惯精确责任,增强意识,培养习惯u评价是推进日常化的最给力手段评价是推进日常化的最给力手段u适时适时ITIT固化工作流程固化工作流程54 谢谢谢谢 !55
