0 內控自我評估與鑒證的企業經驗介紹 中國電信呂洪涵博士2008年9月 1 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 2 香港資本市場的企業管制要求 中國電信需要遵守香港和美國資本市場的監管要求 美國薩班薩法案的法律要求 企業管制 透過公司的組織架構 內部流程和監控機制 以提高公司長期價值和保證公司的財務健全 要求上市公司 對其披露的財務報告真實性負責 并建立有效的監控措施保證這種真實性 內控建設情況介紹 3 公司遵從SOX404的范圍 4 公司內控建設出發點 國際上有COSO COCO Cadbury King等內控框架 公司的內控建設和評估工作采用COSO框架 IT控制采用COBIT框架 作為標準和依據 內控首先是滿足監管底線要求SEC依據法案規定 公司內控應能保證其財務報告符合有關會計準則的要求 因此內控必須 確保各項交易活動均經過適當授權確保公司財產受到保護 避免未經批準或其他不正當使用公司財產的情況發生確保公司從事的交易活動的記錄和報告符合有關要求 其次是管理的需求以此為契機 進一步完善內控 保持并增強財務報告的真實性 使其為管理層提供更好的決策依據 5 當前內控制度體系 股份公司內控手冊上冊 公司層面控制中冊 IT一般控制下冊 業務流程層面控制總部及分公司的實施細則配套的權限列表其他內控制度 辦法 上述內控制度體系用以指導日常工作 同時也是開展內控自我評估 內控獨立評估和外部審計師內控審計的依據 6 公司層面控制 7 IT一般控制 8 業務流程層面控制 9 權限列表 10 手冊構成要素 一 業務流程范圍1 所涉及的業務范圍2 所涉及的部門范圍3 所涉及的計算機系統和相關維護部門 二 控制 目標三 風險四 相關會計科目五 流程概述 11 內控建設成果 建立了分級授權責任體系 強化了股份公司各專業部門對下的監督管理職能建立了以專業線為主的垂直管理 指導 監督機制 形成了上級對下級指導 檢查 下級對上級負責的專業管理格局實現了內控責任在各級公司的落地公司各項基礎管理工作開始走向系統化 制度化 流程化 實現了各項經營管理活動有規則 有流程 有標準 有監督 有記錄樹立和增強了內部控制整體框架的概念 深化了對內部控制的認識 提高了內控意識針對一些重大的內控問題開展整改工作 持續提升管理水平 內控管理暫行辦法 內控責任追究辦法 內控崗位職責說明書 內控缺陷限期整改責任書 違規積分管理辦法 內控自我評估工作考核細則 內控制度執行情況考核辦法 進行有效管理和促進內控制度落實的基本制度和措施 12 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估作的思考 13 自我評估 獨立評估 評估體系 要發揮內審技術特長 為自評提供技術支持和業務指導 如設計自評程序 指導制定自評工作計劃和自評工作質量標準 要發揮自評主體的信息優勢和業務技能特長 一方面為內外部審計提供相關內控信息 另一方面可作為特聘業務專家 充實獨立評估力量 以自評推進內控建設和執行 夯實基礎工作 落實精確化管理 公司內控評估體系 14 自我評估的程序 制定評估實施方案 股份公司內控評估工作團隊 下達方案部署工作 開展自我評估 股份公司各部門 股份公司所屬單位 匯總本部及下屬單位自評結果形成本單位自評報告 上報自評報告 領導小組審議審核后提交內控 股份公司審計部 我評估報告匯總形成自 依據改進計劃落實改進措施 依據改進計劃落實改進措施 15 自我評估組織機構 內部控制領導小組 內部控制評估工作團隊 評估實施部門 領導機構 審計部門牽頭 財務 市場 網發 法律 董辦等部門負責人及相關人員組成 流程評估牽頭部門 流程其他評估實施部門 牽頭進行對特定流程內控設計有效性的評估 并匯總流程執行有效性評估結果 對本部門所負責的控制點的執行有效性進行評估 并配合設計有效性評估 16 審核批準內控自我評估計劃及實施方案審議公司內控自我評估報告監督檢查內控自我評估工作 內部控制領導小組職責 內部控制評估工作團隊職責 制定自評計劃及實施方案 分解評估責任指導 協調各部門及所屬單位的自評監督 檢查本單位及所屬單位自評工作質量 抽查評估底稿 復核評估報告審核匯總內控缺陷 討論確認內控缺陷性質 提出改進建議審核公司本部及公司匯總自評報告 并提交股份公司內部控制領導小組審議 自我評估組織機構的職責 17 牽頭組織部門職責 牽頭制定自我評估計劃及實施方案 牽頭進行評估職責分解部署自評工作組織自評培訓召集相關部門對自評過程中的有關問題進行研究為自評工作提供咨詢組織匯總分部門評估結果 召集評估團隊分析缺陷性質并提出改進建議 起草總部自評報告審核所屬單位自評報告 組織評估團隊匯總并整理內控缺陷 并判斷缺陷性質和提出改進建議 起草股份公司自評報告 自我評估實施部門職責 制定本部門自我評估實施方案組織完成本部門所負責控制點自評工作 針對缺陷制定改進計劃 出具本部門自評報告指導所屬單位相關業務的自評工作 自我評估組織機構的職責 續 18 內控評估的報告機制 各省級分公司 分支機構 股份公司評估要點及時間安排 自身情況 內部控制評估計劃 自我評估計劃 獨立評估計劃 自我評估 獨立評估 自我評估結果 獨立評估結果 股份公司審計部 各單位年度內控評估報告 內部控制管理層報告書股份年度內控評估報告 報備 報批 股份公司內控評估評估工作團隊 審核 內部控制領導小組審定 19 自我評估的溝通協調機制 內部控制領導小組 內部控制評估工作團隊 牽頭實施部門 評估實施部門 含流程評估牽頭部門 指導監督 方案報批 匯報重大缺陷 上報評估報告 下達方案 提供底稿模板 提出質量要求協調解決出現的問題就缺陷界定 改進計劃組織進行協商討論牽頭部門對工作底稿及報告進行審核 流程評估牽頭部門配合完成準備工作各評估實施部門提交本部門方案尋求技術支持提供階段性信息 報告重大缺陷提交評估結果報告和評估工作底稿以及改進報告 20 自我評估的溝通協調機制 續 流程評估牽頭部門 流程其他評估實施部門 牽頭組織所負責流程內部控制設計有效性的評估工作并發表評估意見對所負責流程的評估工作進行指導及協調 參與內控設計有效性的評估工作報送各流程控制點評估結果 21 自我評估的溝通協調機制 續 上級單位 下級單位 指導 監督 考核對自我評估結果進行審核把關并組織質詢 匯報評估方案 評估工作進度 評估結果及內控改進情況及時上報重大內控缺陷就評估中的有關問題向上級單位評估工作團隊或對口專業部門尋求支持 22 自我評估項目實施程序 省公司根據股份公司統一部署 制定本省自我評估實施方案 報經省公司內控領導小組審批后下達所屬單位實施 省公司制定省公司本部內部控制自我評估實施方案 經省公司內部控制領導小組審批后下達各部門實施 評估內部控制五要素的總體情況評估內部控制設計的有效性 評估內部控制執行的有效性 匯總內部控制缺陷并制定改進計劃 各單位 部門 根據改進計劃落實內部控制缺陷改進措施 并在規定時間內向上級單位 本單位 內部控制評估工作團隊上報內部控制缺陷改進情況內部控制評估工作團隊對內部控制缺陷改進情況進行審核 顯著缺陷或實質性漏洞的改進情況 應報告內部控制領導小組 準備階段 實施階段 報告階段 改進階段 匯總各部門 各流程評估結果 編制省公司本部自我評估報告 匯總各所屬單位評估結果 編制全省自我評估報告 23 自評項目準備階段 落實評估職責 內部控制自我評估方案 評估責任分解表底稿索引號 內部控制自我評估方案 業務流程評估實施部門及牽頭部門底稿索引號 明確所有控制點的評估實施部門 就每一子流程明確流程評估實施部門 并指定該流程的評估牽頭部門 24 自評項目準備階段 續 明確評估方法和工作要求 自我評估實施前 評估工作團隊應制定評估方法 抽樣原則 評估報告格式 工作底稿格式等方面的工作要求 以統一標準 規范操作 評估實施部門制定具體實施方案 內部控制自我評估方案 部門實施方案底稿索引號 25 自評項目實施階段 評估內部控制四要素的總體情況 責任部門 內部控制評估工作團隊或牽頭組織部門評估內容 COSO內控框架五要素評估方式 問卷調查 訪談 公司內部控制四要素的自我評估結果將影響后續的流程層面控制活動的評估范圍和方式 如果公司內部控制要素存在缺陷 在評估流程層面控制活動的有效性時 應適當擴大評估的范圍 采取更謹慎的評估方式 評估IT一般控制 26 自評項目實施階段 續 評估內部控制設計的有效性 內控設計有效性評估以子流程為單位開展責任部門子流程的評估牽頭部門負責牽頭組織子流程其他評估實施部門參與并配合評估內容分析內部控制失效的風險針對查找出的風險 評估是否均存在相應的控制措施進行控制評估既有的控制措施是否設計恰當評估方式控制點執行人自我評估問卷個別訪談集體討論 27 自評項目實施階段 續 評估內部控制執行的有效性 28 自評項目報告階段 編制省公司本部自我評估報告 評估實施部門向內部控制評估工作團隊上報本部門的自我評估報告 流程評估牽頭部門向內控評估工作團隊上報分流程的自我評估報告 牽頭組織部門對各部門自我評估工作進行復核 復核內容主要包括 復核評估范圍是否完整抽查評估工作底稿 檢查評估程序是否完整 評估方法和樣本量是否符合評估質量要求 評估工作記錄是否清晰 底稿編制是否規范復核自我評估結論是否恰當 是否有充分可靠的評估證據做支撐 關于內控缺陷的潛在影響的分析判斷是否正確復核改進計劃是否具體可行 責任是否落實牽頭組織部門匯總各流程內部控制自我評估工作結果 起草省公司本部自我評估報告 自我評估報告經評估工作團隊初步審議后 報內部控制領導小組審定 29 自評項目報告階段 續 編制全省自我評估報告 省公司所屬單位向省公司評估工作團隊上報自我評估報告 省公司牽頭組織部門在復核的基礎上 匯總省公司本部自我評估結果和各所屬單位評估結果 編制全省自我評估報告 自我評估報告的主要內容 1 自我評估概況2 本省內部控制有效性結論3 評估中發現的內部控制缺陷 包括顯著缺陷和實質性漏洞 及改進計劃4 改進內部控制的建議5 附件 內部控制缺陷及改進計劃匯總表 公司應在自我評估報告中發表內部控制設計及執行是否有效的結論 如果經過評估發現一個或一個以上顯著缺陷或實質性漏洞 則不能做出內部控制有效的結論 而應就評估發現的顯著缺陷或實質性漏洞進行披露 30 自評項目報告階段 續 附件 內部控制缺陷及改進計劃匯總表底稿索引號 編制單位 年月日 編制全省自我評估報告 續 31 自評項目改進階段 內部控制缺陷改進計劃實施情況表底稿索引號 部門 單位 時間 各單位 部門 落實內控缺陷改進措施 并上報改進情況內控評估工作團隊對內控缺陷改進情況進行審核 顯著缺陷和實質性漏洞的改進情況應報內控領導小組審核 32 自評工作底稿 自我評估工作底稿的基本要求 編制評估工作底稿的要求 應當做到內容完整 格式規范 記錄清晰 結論明確 評估工作底稿要包括足夠的信息 清晰記錄測試的方法 時間 范圍和結果 以及取得的證據和做出的結論 并能夠證明評估工作是按照股份公司的規定或要求進行的 以便內部審計人員 外部審計師或有關人員在復核 檢查或使用評估工作底稿時 能夠清楚地了解和把握評估情況 獲取評估工作底稿的要求 對于獲取的評估工作底稿 評估人員應注明資料來源 并實施必要的程序審核資料的真實性 同時形成相應的文字記錄 必要時 應要求提供資料的單位或人員蓋章或簽名 評估工作底稿應有索引編號 相關的評估工作底稿之間 應保持清晰的勾稽關系 相互引用時 應注明交叉索引編號 33 自評工作底稿 續 對選取樣本的記錄 如果從總體中隨機選取一組樣本進行評估 評估工作底稿應該記錄可以認定的特征 比如 記錄所選取樣本的具體的文件 憑證 編號 如果從總體中選取超過一定金額的所有項目 評估工作底稿只需要描述樣本的特征和范圍 比如 從十月份的現金日記賬中選取所有超過10 000元的項目 如果是系統抽樣 評估工作底稿只需要記錄樣本的來源 選樣起點 選樣終點以及間隔 如 對10月1日到12月31日的銷售明細賬進行系統抽樣 發票起點號為542 每隔40張選一張 評估工作底稿中應清晰記錄抽查的樣本 對樣本的記錄可以通過描述對象總體和選樣標準來實現 34 自評工作底稿 續 自我評估工作底稿的復核 評估程序是否完整 方法是否恰當 所獲取的證據是否充分 適當 判斷是否有理有據 評估結論是否恰當 底稿是否格式規范 內容完整 自我評估工作中 各部門自我評估負責人或指定人員負責對評估工作底稿進行復核 復核人要簽署復核人名字及日期 復核的基本要點包括 35 自評工作底稿 續 其他與評估工作相關的文件材料 改進階段評估底稿 報告階段評估底稿 自我評估工作底稿的歸檔 以下自我評估工作底稿由自我評估實施部門按照相關檔案管理辦法分別歸檔 其他文件材料由牽頭組織部門進行歸檔保管 1 內部控制設計有效性個別訪談表 集體討論記錄表 控制點執行人自我評估問卷 2 內部控制執行有效性測試底稿 3 除顯著缺陷和實質性漏洞以外的其他發現和問題的相關證據 4 內部控制執行過程中產生的文件記錄 實施階段評估底稿 準備階段評估底稿 36 內控評估的考核監督 內部控制評估結果及評估工作的開展情況納入經營者績效考核體系內部控制評估的考核由股份公司內部控制領導小組統一組織實施股份公司內部控制評估工作團隊和審計部分別根據內部控制自我評估工作情況和獨立評估工作情況提出考核意見 上級單位負責對下級單位的內部控制評估工作進行監督檢查各單位內部控制領導小組負責對本單位的內部控制評估工作進行監督檢查 37 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 評估項目的實施 獨立評估概述 評估報告及評估檔案管理 38 獨立評估概述 做好內控評估工作需要掌握或了解三方面基礎知識 內部控制框架現代審計原理與技術相關法規的監管要求 讓我們知道該做什么 用什么標準去做 獨立評估基礎知識 COSO風險管理框架 與國資委 全面風險管理 吻合與 企業內部控制基本規范 吻合與IIA內部審計定義吻合 39 評估對重要性的考慮 審計風險 固有風險 控制風險 檢查風險內控評估中的重要性是指 內控缺陷造成的財務報告錯漏可能影響報告使用者的判斷或決策的程度 以下情形利用重要性原則確定評估程序 評估對象 評估范圍時評價評估結果時 應從定性和定量兩方面考慮重要性定量 內控缺陷是否對財務報表造成重大數量影響定性 內控缺陷是否影響報表使用者依賴報表信息所做的判斷或決策 如影響收益變動趨勢的錯漏或使虧損變為盈余的錯漏 40 重點關注舞弊 內控評估應特別關注專門用于防范舞弊風險的重要 關鍵 控制點 這些控制點一旦失效 將可能對公司財務報表造成重大影響 防范舞弊的控制點包括 用于防止貪污 盜用 挪用 公司財產的控制點 公司的風險評估流程 公司道德 行為 守則 內部審計工作 用于處理投訴和接受有關財務或審計方面的秘密舉報的程序 41 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 評估項目的實施 獨立評估概述 評估報告及評估檔案管理 42 獨立評估的程序 制定獨立評估方案 下達通知書 組織實施獨立評估 編制獨立評估報告 征求被評估單位意見 工作底稿 內部審計機構 下達獨立評估意見 被評估單位反饋執行情況 后續評估 必要時 內部控制領導小組審定 制定年度獨立評估計劃 43 獨立評估的實施程序 44 獨立評估方案樣例 表1 內部控制獨立評估工作方案底稿索引號 45 從風險的角度看 在確定評估對象時 應考慮所屬單位發生重大錯漏的可能性 并考慮對公司財務數據的相對重要性 其次考慮對公司具有重大影響的單位 某單位占公司總資產或總收入的10 以上 判斷失控風險常考慮的因素業務性質內外部環境影響因素控制環境的有效性業務性質和交易量發生了變化管理層遭受的壓力 及變動情況以往是否出現過重大內控缺陷接受內控評估 內部部審計等檢查的時間間隔 確定評估對象的程序與方法 首先確定具有較高內控失效風險的單位 46 判斷需測試控制點的程序 Y1了解被評估單位內控的基本情況Y2識別公司層面內控Y3確定重要會計科目和披露事項Y4確定與重要會計科目和披露事項相關的會計報表認定Y5確定重要業務流程和主要交易類型Y6進行穿行測試Y7確定需測試的控制點 確定需要測試的控制點的程序 可采用問卷調查 詢問 查閱文件 穿行測試等方法了解內控基本情況 不同控制點作用不同 應通盤考慮各控制點綜合作用效果 47 Y2識別公司層面內控 屬于控制環境的控制點 管理層的風險評估流程 集中于公司層面的流程和控制點 對經營結果的監督控制措施 對其他控制點進行監控的控制點 公司財務報告流程 公司最高管理機構通過的重大業務控制 和實施的重大風險管理政策 公司層面控制 集中于公司管理 重大決策層面以及對業務流程或應用層控制具有重大影響的控制 應首先評估公司層面內部控制設計的有效性 采用Top Down的評估方式 首先從公司層面控制點出發開展評估 48 Y3確定重要科目和披露事項 會計科目余額的數值大小和構成要素因錯誤或舞弊造成損失的可能性該科目所反映的交易的數量 會計科目的復雜程度 以及通過該科目反映的交易的同質性會計科目的性質與該會計科目相關的賬務處理和報告的復雜程度會計科目所反映的公司面臨損失的風險會計科目反映的交易類型導致公司承擔或有負債的風險會計科目中是否包含關聯交易會計科目的性質較前期發生變化 決定重要會計科目重要性的數量和性質因素 49 Y4確定重要會計科目的相關會計報表認定 存在和發生完整性權利和義務估價或分攤表達與披露 會計報表認定是公司管理層在會計報表中所做的以下方面的判斷或聲明 分析相關認定對應發生錯漏可能性時 要評估如下因素 該項認定的性質與該項認定相關的交易或數據的量處理該項認定的信息系統的性質和復雜程度 50 Y5確定重要業務流程和主要交易類型 經常性交易非經常性交易估計性交流 主要交易類型是指對財務報表具有重大影響的那些交易類型 不同類型的 主要 交易具有不同的固有風險水平 要求采取的控制也不同 針對重要業務流程和主要交易 應完成如下工作 了解交易的處理程序找出流程中可能發生錯漏的風險點找出用于控制上述錯漏的控制點找出用于預防或檢查未經授權的資產購置 使用或處置的控制點 通常可利用穿行測試獲取上述信息 51 會計認定與業務流程和交易的對應 表2 重要會計科目 披露事項及相關認定表 被評估單位 底稿索引號 應找到重要科目和會計認定對應的控制點 往往是需要測試的控制點 52 Y7穿行測試 穿行測試的作用 鞏固對交易處理流程的了解鞏固對內控設計的了解判斷業務流程中所有風險點是否都識別到了 以確認對業務流程的了解是否完整評估內控設計的有效性評估內控執行的有效性 穿行測試是評估內控設計有效性和執行有效性的重要程序 53 Y8確定需要測試的控制點 確定需要測試控制點時應主要評估的要素 了解控制點的性質 是否為關鍵控制點控制點對于實現控制目標的重要性 同一控制目標是否有多個控制點 或某控制目標需要多個控制點控制點不能有效執行的風險會計科目代表的內容與以前年度相比是否產生了變化控制點距上次評估的時間間隔應將識別出的各控制點對應到相應的會計科目和認定上 交易的性質和數量變化 影響到執行有效性控制點的設計或執行人發生變化控制點對其他控制點有效性的依賴程度手工控制還是自動控制控制點的復雜程度 影響控制點執行有效性因素 54 需要測試控制點分析表 表3 重大業務流程及需測試的控制點分析表底稿索引號 稽核 每日 是 55 關鍵控制點 與財務報告披露有關的控制點重要交易啟動 授權 記錄 處理和報告的控制措施選擇與采用會計政策的控制措施資產保護的控制措施用于避免或發現舞弊行為的控制措施作為其他控制措施的基礎的控制措施針對重要的非經常性和非系統交易的控制措施公司層面的內部控制其他針對重要會計科目和披露事項及其相關認定的控制措施 常見的關鍵控制點 56 設計有效性測試 識別控制目標 識別實現控制目標的控制措施 判斷當正確執行控制措施時 能否預防或發現可能造成財務報告重大錯漏的錯誤或舞弊 執行有效性測試 控制點是否按設計要求正常執行了 執行人是否獲得了適當授權 執行人是否有足夠能力有效履行控制職責 缺陷分類 分為一般性缺陷 顯著缺陷和實質性漏洞 當存在實質性漏洞時 認定內控無效 缺陷整改 發現的重大缺陷 必須立即整改 運行足夠時間才能證明其有效 影響較小的缺陷可基于成本效益原則 于有充裕資源時整改 控制點有效性評估流程 57 控制點有效性測試程序 識別被評估單位各個領域的控制目標識別被評估單位用來實現每一控制目標的控制措施判斷當這些控制措施都被正確執行時 是否能夠防止或檢查出可能造成財務報告重大錯漏的錯誤或舞弊報告披露有關的控制點 設計有效性評估程序 執行有效性測試程序 控制點是否按照設計的要求正常執行了控制點執行人是否獲得了正當的授權控制點執行人是否有足夠的能力有效履行該項控制職責 58 觀察 即觀察內部控制運行的實際情況 詢問 即通過詢問內部控制執行人或其他相關人員 驗證內部控制設計和運行的情況 調查 即采取問卷調查或面談的方式 調查了解內部控制設計和運行的情況 討論 即采取集體討論的方式分析風險 評估內部控制設計的有效性 文件檢查 即檢查內部控制的記錄和文件 驗證內部控制設計和執行的有效性 重新履行 即重新履行某些內部控制程序 以驗證其運行是否正確 內控評估的主要方法 59 設計有效性測試表 被評估單位 底稿索引號 表4 業務流程穿行測試及設計有效性測試表 60 執行有效性測試的抽樣方法 確定測試抽樣的樣本量時主要考慮的因素 控制點的性質控制點執行的頻率控制點的重要性控制點執行人的勝任能力及是否發生變動控制點所涉及的交易的數量和性質是否發生變化控制點的設計是否發生變化控制點以前是否曾經出現缺陷測試人員的業務經驗及對控制點的了解程度 61 評估抽樣的要求 表5 測試樣本量經驗數據表 判斷是否需要追加測試主要考慮的因素例外是否是由于內部控制設計存在問題造成的樣本是否能夠代表總體控制點的重要性及執行的頻率 62 測試底稿示例 獨評 執行有效性測試底稿 設計測試底稿見表4 63 測試底稿的填寫 執行有效性 64 判斷內控缺陷性質的流程 A 內控缺陷 集合 潛在的影響大小對于年度和中期財務報表而言是否都無關緊要 B 是否存在可實現同一控制目標的其他預防型控制并得到有效執行 C 是否存在檢查型控制并得到有效執行 能將年度和中期財務報表中錯漏的程度降低到無關緊要 D 潛在影響的大小對于年度和中期財務報表而言是否都沒達到重大的程度 E 是否存在檢查型控制并得到有效執行 能將年度和中期財務報表中錯漏的程度降低到重大以下 F 年度和中期財務報表發生重大錯漏的的可能性是否十分微小 實質性漏洞 G 綜合考慮年度和中期財務報表 一個謹慎的專業報表使用者是否會將該缺陷評定為至少是顯著性缺陷 一般性內控缺陷 H 綜合考慮年度和中期財務報表 一個謹慎的報表使用者是否會將該缺陷評定為實質性漏洞 顯著缺陷 否 否 否 否 否 否 是 是 是 否 否 是 是 是 是 是 第1步 判斷是否存在顯著缺陷 第2步 判斷是否存在實質性漏洞 65 判斷內控缺陷的性質 1 內部控制缺陷影響程度的決定因素控制缺陷或控制缺陷的集合造成科目余額或信息披露錯漏的可能性控制缺陷或缺陷的集合造成的潛在錯漏的重要程度 影響內控缺陷造成財務報表錯漏可能性的因素會計科目 披露事項及相關認定的性質相關資產或負債易遭受損失或舞弊的可能性判斷會計科目金額時的主觀性 復雜性已知的或在評估中發現的內部控制執行例外的原因和頻率控制點與其他控制點的關系及相互作用情況內部控制缺陷的相互作用內部控制缺陷可能造成的潛在影響 66 判斷內控缺陷的性質 2 缺陷嚴重程度的定量影響因素該缺陷可能影響的財務報表金額或交易總額該缺陷可能影響的近期已發生或將來會發生的業務活動數量或交易種類 性質比較嚴重的缺陷例子舞弊或違法行為造成的缺陷影響履約義務的缺陷影響收益趨勢的缺陷超出正常預期出現的缺陷 67 內控缺陷定性判斷標準 具有以下特征的缺陷 至少定為顯著缺陷發現公司管理層存在的任何程度的舞弊已經發現并報告給管理層的重大內控缺陷在經過合理的時間后 并未加以改正控制環境無效影響收益趨勢的缺陷影響關聯交易總額超過股東批準的關聯交易額度的缺陷外部審計發現的重大錯報不是由公司首先發現的其他可能影響報表使用者正確判斷的缺陷 68 判斷內控缺陷的定量標準 財務報表錯漏重要程度定量標準表 影響 項目 69 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 評估項目的實施 獨立評估概述 評估報告及評估檔案管理 70 內控獨立評估報告內容 評估工作概況被評估單位內控建立和執行的基本情況評估中發現的主要內控缺陷改進內控的建議評估結論附件 內部控制缺陷及改進建議匯總表 內控缺陷對資產負債表 利潤表影響表 71 內控獨立評估意見 評估中發現的主要內控缺陷改進內控的建議評估結論對被評估單位反饋內控改進情況的時間要求 跟蹤檢查獨立評估意見執行情況的方式要求書面反饋評估意見執行情況結合其他審計項目 實地檢查必要時組織后續評估 內部控制缺陷改進情況表底稿索引號 72 年度評估報告 財務年度終了 各級公司綜合自我評估與獨立評估的結果 就公司該年度內部控制評估情況及評估結果出具年度內部控制評估報告 是股份公司最終發表內部控制管理層報告書的重要支撐 各級公司管理層對年度評估報告的真實性負責 年度內部控制評估報告在以下工作的基礎上編制 匯總自我評估及獨立評估的結果核實內部控制缺陷改進情況 確認已發現的內部控制缺陷是否得到了有效改進實施補充評估程序 確認有效的內部控制在年度末是否仍然有效運行 年度內部控制評估報告的基準日為每年12月31日 73 評估檔案管理 內部控制評估檔案的作用內部控制評估檔案的內容 自我評估文件材料 獨立評估文件材料 年度評估報告有關文件材料 備查類文件材料 評估工作底 底稿的基本要素 底稿應滿足的基本要求 對選樣的記錄 重大發現或問題的記錄 利用他人工作結果的記錄 底稿的復核 74 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 評估項目的實施 獨立評估概述 評估報告及評估檔案管理 75 外審內控審計工作 外審內控審計工作開展方式 公司配合外審內控審計工作機制 公司內控問題整改機制 配合外審出具年度審計報告 公司內控評估 外審內控審計與審計委員會的關系 76 公司管理層內控評估報告 06年報 77 外審內控審計報告 06年報 78 公司管理層內控評估報告 07年報 79 外審內控審計報告 07年報 80 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 評估項目的實施 獨立評估概述 評估報告及評估檔案管理 81 內控支撐系統開發思路 功能 控制點執行和評估責任動態分解 重點評估點篩選 評估方法固化是關鍵功能 作用 不僅解決評估的問題 也將促進內控建設和維護的流程化 規范化 設計 在繼承原有評估工作成果的同時 優化評估內容 方法和組織實施 演進 審計信息系統相協調 內控支撐系統 定位 OA系統 82 系統主要功能 內控支撐系統 內控組織機構 細則管理 職責分解 自評檢查 審核匯總 領導小組內控團隊相關領導內控管理員 內控手冊 內控細則 控制點 內控資料庫 細則修訂 分解至牽頭部門 分解至執行部門 分解至執行人 一人一表 分解至牽頭部門 分解至檢查部門 分解至檢查人 分解至個人 執行人自評 檢查人評估 審核測試底稿 審核缺陷及改進計劃 按部門匯總 按流程匯總 跟蹤缺陷改進情況 83 預期 效果1 責任明確化 自動形成 一人一表 或 一崗一表 執行和評估責任更明確 84 預期 效果2 責任動態化 建立 一人一表 或 一崗一表 動態更新維護的機制 減輕集中分解評估責任所帶來的工作量 85 預期 效果3 提高底稿質量 評估方法固化將進一步提高底稿質量 86 預期 效果4 強化建設 維護和評估過程管控 從整體上把握眾多部門和基層單位的建設 維護和評估的進度 87 預期 效果5 評估日常化和專項化 可以分批次或針對具體問題組織評估 滿足多層次的評估需求 88 預期 效果6 內控細則修訂流程化 實現內控細則和控制點增 刪 改工作固化和規范化 89 預期 效果7 缺陷改進情況追蹤 了解缺陷整改進展情況 督促缺陷改進最終落實 90 預期 效果8 文檔管理自動化 自動生成底稿和表格 并實現文檔自動傳送 減少重復制表 粘貼基礎信息和匯總的工作量 實現評估資料的有效保存 便于檢索 91 內控自我評估與鑒證的企業經驗介紹 內控評估體系及自評 公司內控建設簡介 獨立評估實務工作介紹 外審的內控審計工作 公司內控IT支撐系統簡介 對內控建設和評估工作的思考 內控評估工作 內控建設工作 對外審的影響 92 能有效改善一家公司的內控結構 從而降低公司風險協助公司管理層識別無效和低效的程序并消除多余的控制和流程提高財務報告的可靠性 恢復近幾年發生財務丑聞后公眾對財務報告的信心 內控建設目標內控建設是動態的持續進程 最終應形成一個相互聯系 綜合作用的控制整體 使控制活動與企業環境 戰略目標及風險控制相結合 形成一套不斷改進 自我完善的內部管理控制機制 內控的好處 93 2 避免內控完美主義傾向內控是合理保證 存在固有的局限 優化內控建設工作 3 內控成為一個管理工具用內控的概念框架來統駑日常工作 加以系統化并予以提升 手冊不應當而且也不能是日常內控制度的簡單重復或總結 4 內控工作應成為防范風險的共識的平臺內控體系的建設和更新 最重要的是對日常內控制度的梳理和反思 是一個全員學習和討論的工作過程 應起到內控知識積累和傳播的作用 5 內控工作是 將遵循性融入管理流程 的過程內控體系的維護和更新是業務流程再造的過程 指導各項規章制度不能違背遵循性原則 指導各級員工從總體上全面了解公司的業務流程和管理模式 公司各項規章制度指導具體業務處理 1 內控不是新事物內控工作不能追求 新瓶裝新酒 94 優化內控建設工作 續 6 堅持風險導向抓住關鍵風險點 關鍵控制點 關鍵環節 簡化非重大風險的控制或增加非重大風險控制的靈活性希望從謹慎出發 不斷增加控制鏈條和環節 以期增加控制降低風險 分散本部門責任 轉移本部門風險的本位主義希望事無巨細都講控制 一是對風險顆粒要求的較小 希望將很小的風險都控制住 二是希望將失控的可能性降至最低 設計些冗余控制 以 雙保險 多保險 的方式試圖將內控原理要求的 合理保證 變為 肯定保證 7 強調內控的體系性統籌把握各項內控措施 理順內控手冊和公司規章制度 業務流程圖 崗位說明書等各項內控制度的關系把內控工作當作全新工作 而沒有意識到內控項目是對傳統內控體系的梳理和完善 不能充分利用原有內控建設成果 重復勞動過多 而且對以前一些基本的 優良的內控制度揚棄太多 95 優化內控建設工作 續 8 內控與日常管理工作融合內控規則一定要符合企業的實際情況 避免與日程管理工作兩張皮 9 淡化對流程具體內容的描述 注意力集中于風險和控制引入流程圖 以示意圖的方式來表達流程性的要求 可以促使業務流程中的控制既不脫離流程 也不過度陷于流程 10 具體化風險點 將控制點與風險點關聯起來未能明確地定義風險 控制 控制程序和控制政策等控制因素 造成將所有的活動都當作 風險 或 控制 來抓 11 精確內控責任 增強意識 培養習慣內控責任要能明確到機構 崗位和個人 通過內控責任追究機制和內控建設 評估工作 逐步增強廣大員工內控意識 形成按內控辦事的習慣 12 內控是動態的審視業務的變化 目標的變化 風險的變化 及時調整控制措施 96 優化內控建設工作 續 13 應特別關注銜接環節的控制重視跨部門 業務 流程的內控 重視業務與業務數據 業務與財務數據的核對機制和異常處理規則 14 重視IT一般控制特別是依賴信息系統程度較高的企業 重視系統的開發和變更 超級用戶訪問權限等 15 平衡控制與效率內控建設過程是持續優化業務處理流程的過程 補課 產生的工