内部控制评价孙继斌 Crowe Horwath Consulting2011年12月中国铁建个人简介孙继斌 德国卡尔斯鲁厄大学 软件工程 国富浩华 管理咨询 合伙人 国际信息系统审计师(CISA) 系统架构师 超过十年的流程再造、系统评估以及管理咨询相关 经验 丰富的ERP、风险管理、内部控制等实践经验 联系方式： 电邮: sunjibinchcncpa-ln.com 电话：18001216890, 159405713662011-12-282目录一、内部控制评价基础理论二、内部控制评价体系三、内部控制评价实践四、内部控制评价示例2011-12-283一、内部控制评价基础理论4内部控制 由企业董事会、监事会、经理层和全体员工实施 的、旨在实现控制目标的过程。设计这个过程是 为达成下列目标提供合理的保证： 营运的效果和效率 财务报表的可靠性 相关法令的遵循 实现发展战略 资产安全内部控制理论2011-12-285内部控制评价基础理论2011-12-2861905193619971988194919582005大小早期内控的范围和影响1.内部牵制阶段 ：保护现金和资 产安全及账簿记 录的准确性3.内部控制框架 阶段：融入了控 制环境及控制程 序4.一体化控制阶 段：形成COSO 框架，增加了遵 从性目标内控活动可以追 溯到人类社会发 展早期，例如古 罗马采取的“双人 记帐制度”和我国 西周时的周礼审 计制度趋势：全 面风险管 理L.R.Dicksee提出内 部牵制概念， AICPA 接受AICPA颁布审 计准则公告第 55号提出内 部控制结构AICPA发布了审 计准则公告第78号 ，全面接受 COSO报告的内容2.内部控制阶段 ：增加了管理控 制以提高经营效 率AICPA首次提出 内部控制的定义每个阶段并不意味着对前一阶段的否定,而是在其基础上的提升2011-12-28内部控制发展沿革72011-12-28内部审计与内部评价8内控与审计、风险管理和企业管理的关系2011-12-28企业管理风险管理内部控制控制环境风险评估控制活动信息沟通持续监控目标设定风险应对各项经营管理活 动，如战略管 理、人力资源管 理、财务管理、 资产管理（风险 管理应贯穿其中 ）内部审计 外部审计事项识别作为出资人，国资 委的全面风险指引 正确地拓展到全面 风险管理作为政府市场监管 ，萨班斯仅限于对 企业财务报告方面 的合规型内控香港联交所的管治 常规守则虽已涉及 了风险管理要求， 但仍以合规为主9企业风险的定义未来的不确定性对企业实现其经营目标的影响2011-12-28 市场经济的活力来自于不确定性，来自 于风险。风险既可能带来损失，也可能 带来机会和收益。风险会使企业盈或亏 ，成功或失败, 这需要看企业管理风险 的能力。 风险既取决于客观环境、内外资源约束 ，也取决于企业的战略选择和组织结构 安排 风险意识是企业家的第一素质。“企业 家是一个经营冒险事业的组织者，是组 织、拥有、管理并承担这一事业全部风 险的人。”（经济学家韦伯斯特）可能的实 际行为目标 行为情景 分布时 间经营指标0T风险管理是通过针对一系列不同层面风险的管理控制活动，将不确定性对公司发展的影响降低到最低程 度。10控制针对一定范围的特定事项2011-12-28企业面临着诸多风险，不同的控制方法是为特定事项的相关风险而设置公司对待风险和收益关 系的态度?公司是否有足够的能力 化解风险?管理者能否有效监控风 险?资本投资方向正确吗?资本是否得到有效配置以 提高回报率风险与盈利的平衡风险管理能力盈利能力11二、内部控制评价体系12内部控制制度体系2011-12-2813内 部 控 制 度 体 系股份公司内部控制手册相关的管理制度、流程、操作指南、岗位 职责分公司/事业部 实施细则子公司内控手 册内部控制评价体系内部控制评价管理办法内部控制评价工作方案内部控制评价标准内部控制评价报告2011-12-2814内部控制评价的定义内部控制评价，是指股份公司各级对内部 控制的有效性进行全面评价、形成评价结 论、出具评价报告的过程。2011-12-2815内部控制评价原则全面与重点结合原则独立公允原则客观一致原则2011-12-2816内部控制自我评价范围总部层面：各职能部门企业层面：下属单位流程层面：各主要业务流程2011-12-2817内部控制评价职责董事会对内部控制评价工作负责经理层负责组织开展内部控制评价工作职能部门负责组织本部门的自查以及评价工作下属单位落实内部控制措施，建立日常监控机制，开展内控自查和评价2011-12-2818内部控制评价的实施一、阶段划分： 自我评价 独立评价二、主体划分 独立完成 委托完成2011-12-2819内部控制评价报告内部控制评价报告应分别内部环境、风险评估、 控制活动、信息与沟通、内部监督等要素进行设 计，涵盖内控评价过程、缺陷认定和整改情况、 内控有效性结论等相关内容，结合工作底稿等资 料，进行编制。2011-12-2820内部控制评价报告内容内部控制评价报告至少应包括下列内容：董事会（或类似机构）对报告真实性的说明；评价工作的总体情况；评价的范围和依据；评价的程序和方法；缺陷认定和整改情况；内部控制有效性的结论2011-12-2821内部控制评价报告 内部控制评价报告按照编制主体、报送对象和时间，分为对内报告和对外报告。 股份公司编制对外及内部控制评价报告 股份公司所属企业、部门编制的内部控制评价报告2011-12-2822内部控制评价等级2011-12-2823内控流程评价计分方法 内控流程综合检查评价得分=控制点检查评价得分控制点基础分值2011-12-2824内部控制缺陷 如果被评价企业、部门存在重大缺陷，综合评分为五级， 存在重要缺陷，每个重要缺陷综合评分 扣除5分。2011-12-2825内部控制缺陷 内部控制缺陷包括设计缺陷和运行缺陷 按影响程度分为重大缺陷、重要缺陷和一般缺陷。2011-12-2826内部控制缺陷 重大缺陷，是指一个或多个控制缺陷的组合，可 能导致企业严重偏离控制目标。 重要缺陷，是指一个或多个控制缺陷的组合，其 严重程度和经济后果低于重大缺陷，但仍有可能 导致企业偏离控制目标。 一般缺陷，是指除重大缺陷、重要缺陷之外的其 他缺陷。2011-12-2827缺陷判定考虑其他因素 影响整体控制目标实现的多个一般缺陷的组合是 否构成重大、重要缺陷； 针对同一细化控制目标所采取的不同控制活动之 间的相互作用； 针对同一细化控制目标是否存在其他补偿性控制 活动； 是否在评价期间已经发生或者在可以预见的期限 内必然发生重大风险事故。2011-12-2828三、内部控制评价实践29内控的主要成果物2011-12-2830业务单元 自我评估内控部门 独立测评持续整改并对 内部控制手册 进行相应修订内部控制 自我评估内部控制手 册修订内部控制测 评工作底稿 及报告内部控制自我评估（一）制定评价方案（二）人员培训（三）内控评价（四）跟踪整改（五）汇总评价结果（六）编制内控自我评价报告（七） 对外披露或者上报2011-12-2831制定评价方案p评价范围p人员选拔p 评价重点p时间安排2011-12-2832人员培训 领会内部控制理论 掌握必须的工具2011-12-2833内控评价2011-12-2834内控评价准备掌握基本情况：l企业基本情况；l绩效考核办法l 当期生产经营情况；l 内部控制实施情况；l 最近审计或核查出问题的整改情况等。2011-12-2835资料收集实施细则及配套规章制度企业组织架构图管理流程责任分工内控自查整改材料 当期会计报表经营分析材料等 最近检查发现问题及整改材料 信息系统可能获得的最大查询权限2011-12-2836确定抽样方案选择检查单位 选择重点内控流程和控制点（必检内容） 确定重点检查样本2011-12-2837实施评价 参照检查工作底稿中拟定的检查步骤和方法，结 合实际选择抽样、穿行测试、检查证据、实地观 察、对比分析、访谈等方法。 穿行测试：流程完整性 实质性测试2011-12-2838一般检查方法及应用：抽样法穿行测试法个别访谈法比较分析法实地查验法专项讨论会法重新执行法基本方法业务流程内控环境、异常情况价格、预算、报表分析盘点、验证遇到专业疑难问题怀疑结果有重大错误2011-12-2839检查方法1.搜集信息，拟定“ 抽样实施方案”2.制作初步抽样清单 3.抽取样本详细了解情况尽量覆盖全部业务针对性抽样2011-12-2840抽样步骤及要求1）整体抽样2）随机抽样3）等距抽样4）指定抽样2011-12-2841抽样方法抽样标准 测试人工控制的最小样本规模控制运行频率控制运行次数至少抽样数量每年一次11每季度一次42每月一次122-5每周一次525-15每天一次25015-25每天多次大于25025-602011-12-2842检查汇总l复核所有检查表格、工作底稿和内控缺陷 认定。l 记录相关资料证据。l 所有检查资料编号装订。l上交现场检查报告及各种检查资料（含电 子版）2011-12-2843整体计分方法 内控流程综合检查评价得分=控制点检查评价得分控制点基础分值2011-12-2844单项计分方法1.被评价对象的过程和风险已被充分识别的，可得 该项分值的百分之二十； 2.在满足前项的基础上，被评价项目的过程和对风 险的控制措被规定并遵循要求的，可得该项分值 的百分之三十； 3.在满足前两项的基础上，被评价项目的规定得到 实施和保持，可再得该项分值的百分之三十； 4.在满足前三项的基础上，被评价项目在实现风险 控制的结果方面，控制措施有效且适宜的，可再 得该项分值的百分之二十。2011-12-2845内部控制活动u不相容职务分离控制u明确授权控制u会计制度控制u资产保护控制u预算控制u运营分析控制u绩效考评控制2011-12-2846内部控制的种类2011-12-2847按控制内容分按控制内容分 一般控制一般控制 应用控制应用控制按控制地位分按控制地位分主导性控制主导性控制补偿性控制补偿性控制按控制功能分按控制功能分 预防式控制预防式控制 侦察式控制侦察式控制按控制时序分按控制时序分 原因控制原因控制 过程控制过程控制 结果控制结果控制 如果被评价企业、部门存在重大缺陷，综合评分为五级； 存在重要缺陷，每个重要缺陷综合评分 扣除5分。2011-12-2848 设计缺陷和运行缺陷 未实现规定的控制目标 未执行规定的控制活动 突破规定的权限 不能及时提供控制运行有效的相关证据2011-12-2849常见缺陷示例 人员缺乏必要的任职资格和胜任能力。 岗位职责不清晰，或未执行规定的不相容岗位分离。 控制活动没有留存足够的书面证据。 重要原始凭证不连号或未经审批取消原始凭证。 没有制定权限规定或者超权限操作。 操作未按规定审批或者复核。 未按规定与股份公司内、外部往来单位对账及编制往 来账户余额调节表 存货盘点未按照规定执行。 入账不及时。2011-12-2850内部控制缺陷认定标准 方法：定量与定性 常用因子： 公司日常运营 公司声誉 安全 财务损失 违法程度和罚款金额 发作时间2011-12-2851内控评价构成 内控环境等要素评价 企业自查情况评价 业务流程综合检查评价 内部控制缺陷认定（修正总得分）2011-12-2852跟踪整改 下达整改通知书 制定整改计划 组织整改 整改检查2011-12-28