内部控制规范和内部控制评价.ppt

1、内部控制规范和内部控制评价2009年4月,本报告介绍内容,第一部分：内部控制基本规范第二部分：内部控制评价方法,第一部分内部控制基本规范介绍企业内控制度概述内控制度五大目标内控制度五大原则内控制度五大要素,国际内部控制的发展与最新趋势,2001,2007,2002,2003,公司治理联合准则,HIH保险公司One.Tel,安然,萨班斯奥克斯利法案,世通Qwest,公司监管守则,2004,2005,2006,公司治理 守则,第9号法案审计改革和公司信息披露法案,企业管治常规守则,内部控制规范,金融工具与交易法,内部会计控制规范,内控制度概述内部控制的历史演进-国际经验,与财务报告相关的内部控制管

2、理层报告指引,审计准则第5号,COSO框架,国会,COSO委员会,SEC,PCAOB,COSO委员会公布的内部控制整体框架（即“COSO框架”）已成为美国上市公司内部控制框架的参照性标准。,美国国会颁布的萨班斯法案，其中404条款强制要求上市公司管理层对财务报告内部控制的有效性进行年度评价，并取得外部审计师确认。,美国证券交易委员会（SEC），对财务报告内部控制进行了诠释，定义了管理层对财务报告内部控制的控制政策和程序。,美国公众公司会计监督委员会（PCAOB）颁布的审计准则第5号，是审计师针对财务报表有关的内部控制出具审计意见的遵循标准。,美国内部控制体系的发展,内控制度概述内部控制的历史演

3、进-国际经验,中国内部控制的发展,2006,(财政部)企业内部控制鉴证指引企业内部控制评价指引企业内部控制应用指引 (征求意见稿),(上交所/深交所)内部控制指引,(国资委)中央企业全面风险管理指引,2007,(财政部)企业内部控制规范-基本规范(征求意见稿),2008,(财政部)企业内部控制基本规范,（保监会）寿险公司内部控制评价办法（试行）,保险公司内部审计指引（试行）保险公司风险管理指引（试行）,(证监会）上市公司信息披露管理办法,（银监会）银行业金融机构信息系统风险管理的指引,（银监会）商业银行内部控制指引,（银监会)商业银行合规风险管理指引,（证监会）证券公司风险控制指标管理办法,（

4、证监会）证券公司合规管理试行规定,（证监会）证券公司监督管理条例,（银监会）商业银行操作风险管理指引,内控制度概述内部控制的历史演进-国内经验,证券交易所、行业监管机构均出台了一系列的内部控制指引，为企业建立和实施内部控制制度提供行业性指引。,行业内控指引商业银行内控指引证券公司内控指引寿险公司内部控制评价办法,上市公司内控指引上交所内控指引深交所内控指引,证券交易所,行业监管机构,企业内部控制基本规范,财政部,企业内部控制评价指引（征求意见稿）,企业内部控制鉴证指引（征求意见稿）,财政部出台的企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部

5、控制的有效性进行自我评价。,企业内部控制基本规范的三项指引正在征求意见过程中。企业内部控制评价指引具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。企业内部控制应用指引具体提出22个具体流程的应用指引。在每个具体流程中规定了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。企业内部控制鉴证指引为指导注册会计师执行内部控制鉴证业务的具体指引。,企业内部控制应用指引（征求意见稿）,中国内部控制体系,内部控制基本规范,基本规范执行的时间基本规范适用的范围,根据财政部、证监会、审计署、银监会、保监会关于印发企业内部控制基本

6、规范的通知， 企业内部控制基本规范（以下简称“基本规范”）自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。,根据本规范第一章总则第二条，本规范适用于中华人民共和国境内设立的大中型企业。 小企业和其他单位可以参照本规范建立与实施内部控制 大中型企业和小企业的划分标准根据国家有关规定执行,内部控制基本规范,内部控制的五大目标,第三条,* 注释：摘自企业内部控制基本规范,经营的效率和效果,财务报告及相关信息真实完整,对内部控制目标的阐述,内部控制五大目标,内部控制五大原则,第四条,* 注释：摘自企业内部控制基本规范,内部控制五大原则（一）全面性原则,* 注释:摘自企业内部控制

7、基本规范,内部控制五大原则（二）重要性原则,* 注释:摘自企业内部控制基本规范,内部控制五大原则（三）制衡性原则,* 注释:摘自企业内部控制基本规范,内部控制五大原则（四）适应性原则,* 注释:摘自企业内部控制基本规范,内部控制五大原则（五）成本效益原则,* 注释:摘自企业内部控制基本规范,调查发现 :,下降原因: 2006年起采用了 “自上而下的风险评估”方法进行内控工作，专注于高风险领域。,内部控制五大原则（五）成本效益原则,内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。*,* 注释:摘自企业内部控制基本规范,* 注释:该调查出自FEI Survey: Average 20

8、07 SOX Compliance Cost $1.7 Million,* 注释:该调查出自Financial Executives International Press release,成本效益原则（续）,调查发现：*,内部控制五大原则（五）成本效益原则,* 注释:该调查出自Financial Executives International Press release,内部控制五大要素,基本规范中所描述的内部控制要素,内部环境,风险评估,控制活动,信息与沟通,内部监督,合 规,经 营,战 略,财 务,公司层面,业务单元,子公司,业务分部,第五条,内部环境是实施内部控制的基础，在基本规范中

9、主要包括以下几点,内部控制五大要素（一）内部环境,规范的公司治理结构和议事规则机构设置及权责分配审计委员会内部审计人力资源政策企业文化建设法律顾问制度及重大法律纠纷案件备案制度,建立规范的公司治理结构和议事规则*,股东大会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,董事会对股东大会负责，依法行使企业的经营决策权,监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责,经理层负责组织实施股东（大）会、董事会决议事项，支持企业的生产经营管理工作,表决权,决策权,经营管理,监督,第十一条,* 注释:摘自企业内部控制基本规范,内部控制五大要素（一）内部环境,执行层,内

10、部控制的建立与实施*,第十二条,* 注释：摘自企业内部控制基本规范,董事会,监事会,经理层,对董事会建立与实施的内部控制进行监督。,组织领导企业内部控制的日常运行。,建立健全内部控制并有效实施。,专门机构或适当机构负责组织协调内部控制的建立实施及日常工作。,内部控制五大要素（一）内部环境,良好的内审职能,第十四条,审计,行业知识,具备审计知识和经验来准确地判断审计结果,独立于管理和营运单位，能做出客观的分析和判断,得到高级管理层的有效支持，有效推动内审的策划与实行,具备行业知识来有效地执行审计程序,公正,权利,独立,内部控制五大要素 （一）内部环境,人力资源政策*人力资源政策根据企业的具体情况

11、制定和实施有利于企业可持续发展的人力资源政策。制定明确的人力资源管理制度人力资源管理制定明确，透明和有相应文档记录的规章制度。机构、岗位设置与分析对机构和岗位设置进行分析，确保部门资源与人员配置的合理性。制定各部门明确清晰的岗位说明书以划分职责。,第十六条,* 注释:摘自企业内部控制基本规范,内部控制五大要素 （一）内部环境,职业道德修养及专业胜任能力作为选拔和聘用员工的重要标准加强员工培训和继续教育提升员工素质高级管理人员发挥主导作用，加强企业文化建设建立并贯彻员工行为守则,职业道德修养及专业胜任能力*,第十七条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （一）内部环境,高级管理

12、人员发挥核心主导作用：管理层基调和态度是公司道德规范和文化环境建设的基础培养积极向上的价值观和责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理理念强化风险意识建立并贯彻员工行为守则,企业文化建设*,第十八条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （一）内部环境,作为上市公司，必须接受国家和证券监管部门颁布的法律法规监管，这是市场经济法则的客观要求，为达到这些目标，企业应当加强法制教育增强董事、监事、经理及其他高级管理人员和员工的法律观念严格依法决策、依法办事、依法监督建立健全法律顾问制度和重大法律纠纷案件备案制度,法律顾问*,第十九条,* 注释：摘自企业内部控制

13、基本规范,内部控制五大要素 （一）内部环境,内部控制五大要素（二）风险评估,资产安全,财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,合理保证企业经营管理合法合规,内部控制的目标,全面系统持续地收集相关信息，结合实际情况，及时进行风险评估,第二十条,* 注释:摘自企业内部控制基本规范,*,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （二）风险评估,*,* 注释：摘自企业内部控制基本规范,内部控制五大要素（二）风险评估,对辨识出的风险及其特征，以及对企业战略发展的影响层面进行明确的定义和描述，结合定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的

14、风险进行分析和排序，确定关注重点和优先控制的风险*,* 注释：摘自企业内部控制基本规范,内部控制五大要素（二） 风险评估,风险应对策略*,第二十六条,* 注释：摘自企业内部控制基本规范,内部控制五大要素（二）风险评估,控制措施*,内部控制五大要素（三） 控制活动,控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯彻执行控制活动必须与风险评估是一个整体,第二十八条,* 注释:摘自企业内部控制基本规范,各种控制措施的综合运用,风险可承受度,预防性控制及发现性控制,管理控制及监督控制,手工控制及自动控制,内部控制五大要素（三） 控制活动,控制措施举例*,不相容职务分离控制,财产保护控

15、制,会计系统控制,运营分析控制,授权审批控制,预算控制,绩效考评控制,* 注释：摘自企业内部控制基本规范,控制措施,内部控制五大要素 （三）控制活动,内部控制五大要素 （四）信息与沟通,信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制及时准确的最新信息所有层次上对信息、期望和责任的沟通内部与外部的沟通,信息与沟通*,第三十八条,* 注释:摘自企业内部控制基本规范,信息的收集,第三十九条,财务会计资料经营管理资料调研报告内部刊物办公网络等渠道,行业协会组织/监管部门社会中介机构业务往来单位市场调查网络媒体等渠道,内部信息,外部信息,合理的筛选、核对、整合可提高信息的

16、有用性,内部控制五大要素 （四）信息与沟通,建立信息与沟通制度*,内部控制相关信息的收集,信息的处理与传递,信息的及时沟通,信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,信息沟通中发现问题应及时报告并加以解决*重要信息应当及时传递给董事会、监事会和经理层*,第四十条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。,信息技术,第四十一条,*

17、注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,反舞弊机制*,企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,第四十二条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,反舞弊工作重点* 采用未经授权等方式侵占、挪用企业资产，牟取不当利益董事、监事、经理及其他高级管理人员滥用职权在财务会计报告和信息披露等方面存在虚假记录、误导性陈述或者重大遗漏相关机构或人员串通舞弊,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）

18、信息与沟通,为确保举报、投诉成为企业有效掌握信息的重要途径，企业应当：设置举报专线明确举报投诉处理程序、办理时限和办理要求将举报投诉制度及时传达至全体员工,举报投诉制度*,第四十三条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,举报人保护制度,企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。*,第四十三条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （四）信息与沟通,内部控制五大要素 （五）内部监督,内部控制监

19、督制度企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求*内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障,第四十四条,* 注释：摘自企业内部控制基本规范,内部控制缺陷认定标准,企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告*其中，内部控制缺陷包括：设计缺陷运行缺陷,第四十五条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （五）内部监督,基本规范中

20、要求，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。*,内部控制自我评价,第四十六条,* 注释：摘自企业内部控制基本规范,内部控制五大要素 （五）内部监督,建设内部控制体系的步骤,实施基本规范，企业必须建立一套与企业战略目标相一致的，均衡的风险管理方法和基于企业整体运营的内部控制体系，该内部控制体系应该切实满足企业内、外部两方面的要求。内部控制体系建设工作的主要步骤包括：,内部控制意识及基础设施的建立,内部控制的评估及确认,整改及确认,汇报,监督,内审/内控合规部门/职能的运作体系和资源配置编制内部控制政策、内控评估执行方案建立内部控制文档保存制度开展

21、风险和内部控制的培训建立完善的内部控制体系,建立风险评估的方法通过访谈、问卷、穿行/控制测试等活动，完成内控评估工作确认相关的流程、内控、缺陷和整改工作,建立内部控制监督体系、包括管理层、内审部门负责人及职能等定期进行监督考评内控工作的成效内控建设和绩效考核相结合,制订各级单位内控管理工作汇报与沟通的内容、形式及程序定期自下而上对内控工作中发现的问题进行汇报管理层定期自上而下了解各级内控工作的情况以及重大缺陷,对已被识别的控制缺陷进行确认参照最佳实务，管理层制订整改方案及时间表对整改后的控制点进行再测试定期对内部控制制定测试方案,第二部分 内部控制制度的评价,基本规范中要求，企业应当结合内部监

22、督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。,企业层面（含IT）流程层面（含IT）定义缺陷认定标准、表述方式及统计口径评价设计有效性和运行有效性,内部控制评价的整体实施方法,基于管理层测试的结果，作出内部控制有效性的结论管理层编制内部控制自我评价报告,识别关键业务风险对关键业务风险进行评估制定重要性水平，识别财务报告重要组成要素识别财务报告风险应关注的重要业务流程/IT系统将关键风险和重要流程相对应，识别需评价的重要业务流程/IT系统确定企业层面、流程层面和IT层面的内控评价范围,识别并记录缺陷缺陷的汇总和评价制定整改方案并跟踪整改落实的进度对整改的结果进行再测试和评

23、价,管理层内部控制评价报告,缺陷及整改,对控制环节进行记录、测试和评价,实施风险评估确定内控评价范围,与管理层持续有效的沟通,确定企业层面评价的关键控制内容进行问卷调查、访谈、审阅文档等评价工作,记录和理解交易流程和相关内控基于对控制的记录和理解进行必要的测试程序,企业层面评价实务,企业层面的内部控制评估的重要性企业层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。其结果将会影响管理层对内部控制其他方面的评估工作。企业层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。,企业层面评价实务,企业层面内控评价的方法和一般步骤,编制访谈计划并设计调查问卷,高级管理层访谈,完成调查问卷

24、并审阅文档,了解公司内部控制,初步评价和反馈,控制测试,控制的设计是否有效？,否,缺陷报告和改进建议,控制是否有效运行？,否,是,是,持续监督,企业层面内部控制评价通常首先通过设计针对企业层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行的。在企业层面所进行的内控评价可以按照下面图示列明的程序来进行：,企业层面评价实务,明确企业层面内部控制工作的范围设计企业层面调查问卷和问题清单下发和初步填制调查问卷问卷初步审阅、访谈确认及问卷修改获取并审阅支持性文档、完成测试 汇

25、总并确认发现问题,企业层面内控评价的方法和一般步骤,企业层面评价实务,明确企业层面内部控制工作的范围,确定在企业不同层级（各分支机构/部门）应考虑的部分,企业层面评价实务,。调查问卷的组成要素考虑包括以下内容：控制要求实际操作描述规章制度索引/实施记录索引负责部门控制设计缺陷其中控制要求应根据确定的关键控制领域的法规要求进行细化和明确。,测试步骤测试底稿索引控制执行缺陷管理层回馈及整改措施,设计企业层面调查问卷和问题清单,根据评价需要确定调查问卷组成要素重要控制领域/控制点细化明确控制要求针对细化的控制要求设计调查问题清单,设计企业层面调查问卷,企业层面评价实务,可根据公司的实际情况，设计分部

26、门的调查问题清单，以协助相关部门管理人员更好地理解控制要求；该调查问卷控制问题清单由相关负责部门进行填写；如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，以保证其内容的一致性和逻辑关系的连贯性。,设计企业层面调查问卷和问题清单,企业层面调查问题清单（示例）,设计企业层面调查问卷,E,企业层面评价实务,编制调查问卷填写指引： 明确调查问卷每项内容的填写要求；规范各部门填写调查问卷，保证填写的质量；方便内控评价人员对填写的问卷进行审阅。,下发和初步填制调查问卷,企业层面调查问题填写指引（示例）,企业层面评价实务,问卷初步审阅：问卷的审阅人（内控评价人员）必须非常了解问卷的整体构架

27、和编制思路，能够做到对整体内容的把握；问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充；问卷的审阅人在审阅过程中需要及时与负责内控评价的部门就难以把握的问题进行讨论；可以在原有的问卷中增加一列，标注审阅意见（已填写的内容是否存在不清楚，不够完整的），以此作为访谈提纲。,问卷初步审阅、访谈确认及问卷修改,企业层面评价实务,访谈前应详细阅读企业层面内部控制的调查问卷，归纳相关部门所涉及的问题，并据此准备访谈提纲以及相应需要提供的支持性文档清单；在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；访谈后，及时整理访谈内容，

28、修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）,访谈确认及问卷修改：,问卷初步审阅、访谈确认及问卷修改,企业层面评价实务,获取并审阅支持性文档、完成测试,审阅支持性文档获取调查问卷中提及的支持性文档，并在支持性文档清单中进行汇总；审阅文档内容是否能满足了控制要求，是否有重大遗漏；文档索引编号应与调查问卷一致。,支持性文档清单（示例）,企业层面评价实务,记录企业层面控制测试过程：可编制测试底稿填写指引保证测试底稿的规范性；测试底稿应与企业层面内部控制调查问卷进行索引；测试底稿内容应完整, 如：底稿对应的控制、控制内容、控制编号、访谈人、时间、执行

29、性文档名称及索引号等；在测试中，有若干个控制需要随机选取25名员工进行访谈。建议这些测试的选用相同的样本-即与25名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿中。并且在测试底稿中需要保留选取25名员工的轨迹。,获取并审阅支持性文档、完成测试,企业层面评价实务,获取并审阅支持性文档、完成测试,企业层面内控测试底稿（示例）,企业层面评价实务,对内控发现问题进行汇总和报告：,对问卷填写与控制测试中发现的所有控制缺陷，按一定规则进行编号与汇总；整改建议需要由问卷和测试的填写人与执行人在问卷和测试填写完成后与相关部门管理层讨论后拟定完成；整改建议必须切实可行，必须有充分的内容，如：由XXX部门

30、通过XXX方式建立XXX制度/流程；评估控制缺陷的风险级别，建议由内控评价负责评估及填写。,汇总并确认发现问题,企业层面评价实务,汇总并确认发现问题,企业层面发现问题汇总表（示例）,企业层面评价实务,问卷：下发公司层面评估问卷,访谈 ：对主要部门及公司领导的访谈,撰写访谈纪要：根据访谈结果撰写访谈纪要,测试：获取相关资料及审阅,汇总评估资料，完成工作底稿,完成公司层面评估缺陷报告,与相关部门确认工作底稿与缺陷报告,制定整改计划及实施整改,企业层面内部控制评估步骤,流程层面评价实务,流程是一组逻辑相关的活动将投入转化为产出的过程。,3、流程,控制是在流程中为了减轻风险而设计的活动,控制与流程,*

31、 并非所有流程中的活动都是控制。,流程的概念,流程层面评价实务实施框架和方法介绍,评估与监督,第一步. 了解重要业务流程,第二步. 根据业务流程描述，识别风险与控制,第三步 执行穿行测试,第四步. 执行控制测试,流程层面评价的一般步骤,第五步. 汇总和报告发现问题,流程层面评价实务,详细记录流程中所涉及的交易被初始、授权、处理、记录和报告的过程；应考虑在流程中由谁、在何时、何地、进行何种交易、如何进行以及交易目的；应清晰地记录交易数据从初始到报告的流转过程，包括：关键的活动、决策点、活动中使用的或产生的资料，以及活动是人工/系统进行的。,第一步 了解重要业务流程,流程描述,流程层面评价实务,流

32、程图的作用：使我们较为直观和系统地了解整个业务流程的关键活动和决策点清晰地显示业务/交易数据和资料在各部门间的流转过程更容易辨别主要风险点和与之相关的控制(或不足的控制）更容易辨别有问题的部分和获得机会提高的可能性主要元素包括：主要输入资料重要数据，文档信息和相关记录重要处理程序，包括更改和重新处理的程序，以及决策点重要的输出文档，记录和报告职责独立的功能,第一步. 了解重要业务流程,流程图,流程层面评价实务,识别流程中的风险（什么会出错），可考虑以下问题：要使流程达到其目的或者正确报告其结果，哪些环节必须做对；流程中什么地方出错会使其无法实现其目标；流程中的固有风险；在交易流程过程中可能发生

33、错误和损失的地方；识别关键控制点：规避风险，实现控制目标最有影响的一个或多个控制,第二步. 根据业务流程描述，识别风险与控制,典型的关键控制有：职责分离、系统与数据的接触限制、变更控制（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、物理安全、授权批准、输入控制（对于输入者的授权，输入数据的复核等）、审阅等等。,流程层面评价实务,第三步. 执行穿行测试,具体步骤：选取样本获取原始单据、跟踪交易全过程；例如：销售流程通常包括：合同月度销售计划收款开具提货单计量发货编制结算凭证帐务处理对帐记录测试过程、复印留存相关文档并在复印件上逐一编号填写穿行测试底稿将穿行测试底稿及复印的

34、相关文档妥善归档,流程层面评价实务,第三步. 执行穿行测试底稿的基本内容,底稿的基本信息样本描述测试过程的描述发现问题描述控制设计有效性的结论,流程层面评价实务,控制测试的目的确认控制如管理层所理解的那样运行与实施；确认控制在整个相关期间内完整运行与实施；获取充分的证据以支持管理层内控评价有效性的结论控制测试的对象在了解重要流程过程中识别的关键控制点：包括直接的企业层面控制和流程层面控制,第四步. 执行控制测试,流程层面评价实务,流程层面评价实务,第四步. 执行控制测试工作底稿的内容,底稿的基本信息样本量，样本覆盖期间测试的步骤与性质测试的记录与差异发现问题测试结果：控制执行有效性的结论,管理

35、层对于财务报告元素错报风险的考虑，包括：财务报告要素的重要性水平。如财务报告要素的重要性水平增加并且可能导致财务报表重大错报，管理层对财务报告元素错报风险的评估，一般会相应增加。财务报告要素所涉及的交易，账户余额或其他辅助性资料是否容易导致重大错报。例如：1）决定其记录金额所需的判断 2）是否易于导致舞弊 3）是否涉及复杂会计处理 4）所涉及的交易在性质或交易量上发生变化 5）易于受环境因素变化的影响,管理层对于控制可能会失败的考虑包括： 控制的类型（人工或系统）和运作的频率;控制的复杂程度; 管理层越权的风险; 操作控制所需的判断; 人员对于控制执行和监督控制效果的胜任能力; 在执行控制或监

36、督控制效果的关键人员是否有所更改；该控制的用意是防止或侦查重大错报的 性质和重要性；在何种程度上该控制依赖于其它控制的成效（例如，信息技术的一般控制） ; 前一/几年控制的运作实例。,决定支持评价结论所需的证据(SEC管理层指南）,*证据的多少包括对证据的数量及质量的考虑，即证据的充分性。,第四步. 执行控制测试,流程层面评价实务,内控评价与测试的方法（评价指引）,第四步. 执行控制测试,个别访谈法：是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。调查问卷法：是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。比较分析法：是指通过分析

37、、比较数据间的关系、趋势或比率来取得评价证据的方法。标杆法：是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。穿行测试法：是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。抽样法：是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。实地查验法：是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。重新执行法：是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。,流程层面评价实务,第

38、五步. 汇总和报告发现问题,发现问题汇总表（示例）,流程层面评价实务,内部控制缺陷的认定当某项控制或若干项控制的设计或运行不能使管理层或员工在日常履行其职责，及时防止或发现差错，则控制缺陷存在。,当存在设计缺陷时，表明：必要的控制或控制的必要成分缺失无法达到控制目标现有的控制设计不当，即使按设计执行后仍无法满足控制目标。,当存在运行缺陷时，表明：一个设计合理的控制未能按预期执行执行控制的人员没有执行所需的授权或能力，导致无法有效执行该控制,设计缺陷,运行缺陷,内部控制缺陷,缺陷与报告,未实现规定的控制目标未执行规定的控制活动突破规定的权限不能及时提供控制运行有效的相关证据,内部控制缺陷的认定企

39、业需要从定性和定量两方面进行衡量，判断是否构成内部控制缺陷。如果下列情况之一存在，需认定内部控制存在设计或运行缺陷：,缺陷与报告,内部控制缺陷的认定企业在缺陷认定的过程中需要考虑差异的起因和结果、是否可以增加其它测试程序证明已经发现差异能否代表所有内控的情况、扩大测试范围进行补充测试结果，一般可以按照下图进行：,缺陷与报告,重要缺陷：一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注；,重大缺陷（也称实质性漏洞） ：一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏

40、离整体控制目标的情形；,内控评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。,内部控制缺陷的分类,企业应当根据内部控制缺陷影响整体控制目标实现的严重程度，对缺陷进行分类。,一般缺陷,缺陷与报告,合理确定相关目标发生偏差的可容忍水平，制定缺陷认定标准，从而对严重偏离的情形予以确定，右图为缺陷认定标准的简单举例。,企业判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：,影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷针对同一细化控制目标所采取的不同控制活动之间的相互作用针对同一细化控制目标是否存在其他补偿性控制活动,内部控制缺陷的分类 一般考

41、虑,缺陷与报告,大量的审计调整或重新分类对以前发表的财务报表进行重报，以反映对错误或舞弊导致的错报的纠正审计师发现的公司当期财务报表的重大错报，但该错报没有被公司有关财务报告的内部控制首先发现（即使管理层随后对错报进行了纠正，这也是存在实质性漏洞的强烈迹象）公司审计委员会对公司外部财务报告及对随财务报告内部控制的监督失效对需要设立内部审计职能或风险评估职能来进行有效监控或风险评估的公司而言，如大型或综合性公司，这些职能失效对监管严格行业的复杂公司，合规性监管职能失效，该违规行为可能对财务报告的可靠性产生重大影响涉及高层管理人员的任何程度的舞弊行为已向管理层和审计委员会汇报的重要缺陷，经过合理期

42、限后仍然没有被整改控制环境失效,财务报告内部控制出现重大缺陷的一般迹象,缺陷与报告,4、内部控制缺陷,-对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的 -对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该整体控制目标的内部控制是无效的 -对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效的情形，内部控制评价机构应当充分考虑该项业务流程及相关控制的重要性，确定其对整体控制目标有效性评价的影响,内部控制有效性的认定,缺陷与报告,内部控制评价报告的内容,内部控制评价

43、的目的和责任主体内部控制评价的内容和所依据的标准内部控制评价的程序和所采用的方法衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法被评估的内部控制整体目标是否有效的结论被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响造成重大缺陷的原因及相关责任人所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等,* 企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容,缺陷与报告,2个月,6个月,9个月,12个月,14个月,16个月,2009年1月,2010年4月,持续报告并汇总内控缺陷的发现并实施整改,建议的整体时间安排估计和具体各阶段重要工作内容如下图

44、所示，更精确的时间安排和工作步骤有待和管理层进一步商讨确定：,组建项目管理办公室，项目初步计划与人员安排基础技术及管理方面培训风险评估，确定项目范围，选择各子公司合适的试点直属分支机构、重要业务和重要流程提出并讨论内控梳理及评价的工作模板（覆盖各主要的业务）,针对试点参与人员进行评价方法的培训开展试点机构的评价工作制定缺陷认定标准，发现问题并提出改进方案在标准模板基础上，结合各直属分支机构实际的操作情况、形成一套 贵公司适用的全面的覆盖各业务和流程的评价模板,对稽核部全体人员进行内控测试与评价方法的培训从企业层面、流程层面和IT层面进行重点推广机构的评价工作发现问题，实施整改,从企业层面、流程层面和IT层面进行全面推广机构的评价工作发现问题，实施整改,稽核部对内部合规控制工作进行管理层测试内部控制评价及整改工作结果的上报及汇总工作工作结果汇总与管理层评价内部控制自我评价报告的披露建立日常化的内控评价体系,实施内控规范的时间安排,