上市公司内部控制知识.ppt

上市公司内部控制上市公司内部控制内容内容内部控制理论知识内部控制理论知识为什么要建设内部控制为什么要建设内部控制内部控制发展史内部控制发展史中国内部控制标准中国内部控制标准企业内部控制实务企业内部控制实务内部控制监管内部控制监管1外部的法定要求还是内部管理需要？外部的法定要求还是内部管理需要？应付还是应对？应付还是应对？为什么要建设内部控制为什么要建设内部控制2为什么要建设内部控制教训为什么要建设内部控制教训3q出问题前是美国名列第二名的电出问题前是美国名列第二名的电信公司，财富信公司，财富500强前强前100名名q2002年宣布其在年宣布其在2002年和年和2001年间的盈利被作大了年间的盈利被作大了38亿亿美元，并申请破产保护，是美国美元，并申请破产保护，是美国史上最大宗破产案史上最大宗破产案q四名主管（包括四名主管（包括CEO及及CFO）被联邦法院提起刑事诉讼被联邦法院提起刑事诉讼(CEO被被判有罪，面临判有罪，面临85年监禁年监禁)案例背景案例背景q管理层管理层刻意将费用资本化以隐瞒刻意将费用资本化以隐瞒亏损的事实亏损的事实q企业文化企业文化只重视争取良好业绩，只重视争取良好业绩，并不鼓励举报不当的行为，以致并不鼓励举报不当的行为，以致延误了数年之后，虚增盈利的情延误了数年之后，虚增盈利的情况才被揭发况才被揭发q首席执行官权利过大，缺乏有效首席执行官权利过大，缺乏有效的的监督制衡监督制衡机制机制主要主要发现发现为什么要建设内部控制教训（续）为什么要建设内部控制教训（续）4案例背景案例背景q成立于成立于1762年，倒闭前是英年，倒闭前是英国历史最久、名声显赫的银行国历史最久、名声显赫的银行q在在1992至至1995年间新加坡年间新加坡分公司的期货交易员里森刻意分公司的期货交易员里森刻意隐藏了金融衍生产品交易所造隐藏了金融衍生产品交易所造成的亏损成的亏损q至至1995年年2月累计总亏损达月累计总亏损达14亿美元。英格兰银行宣布该亿美元。英格兰银行宣布该行不得继续从事交易活动并将行不得继续从事交易活动并将申请资产清理，最终被荷兰国申请资产清理，最终被荷兰国际集团收购际集团收购主要发现主要发现q内部内部职责划分职责划分存在严重弊病，里森身存在严重弊病，里森身兼双职，既担任前台首席交易员，又兼双职，既担任前台首席交易员，又负责管理后线清算负责管理后线清算q公司公司管理层管理层不重视对财务报表的分析不重视对财务报表的分析工作：管理层未能及時就工作：管理层未能及時就1994年底年底资产负债表上显示的资产负债表上显示的5,000万英镑不万英镑不明的差额采取行动明的差额采取行动q内部控制制度内部控制制度在资金管理流程存在缺在资金管理流程存在缺口，里森在过程中多次成功向伦敦总口，里森在过程中多次成功向伦敦总部取得大额资金以支付衍生产品交易部取得大额资金以支付衍生产品交易亏损所需追加的保证金，但内部监察亏损所需追加的保证金，但内部监察机制未能由此发现问题机制未能由此发现问题为什么要建设内部控制教训（续）为什么要建设内部控制教训（续）5案例背景案例背景q在在2001年年12月月6日于新加坡交日于新加坡交易所主板挂牌易所主板挂牌q涉足石油衍生金融工具的投机炒涉足石油衍生金融工具的投机炒卖，最初获利，后来转为亏损卖，最初获利，后来转为亏损q2004年年11月末公布因石油衍生月末公布因石油衍生品投机业务导致的总亏损达品投机业务导致的总亏损达5.5亿亿美元，被迫向新加坡法院申请破美元，被迫向新加坡法院申请破产保护产保护主要主要发现发现q操作的操作的风险风险远超过公司可承担的水远超过公司可承担的水平平q风险管理的风险管理的制度制度未有效地执行未有效地执行q高管层的风险高管层的风险认知认知及能力不足及能力不足q缺乏有效的公司缺乏有效的公司治理治理结构结构为什么要建设内部控制教训（续）为什么要建设内部控制教训（续）6案例背景案例背景q1994年在上海证券交易所上市，年在上海证券交易所上市，曾一度是国内股市少有的绩优股曾一度是国内股市少有的绩优股q2004年年12月月28日发布了上市日发布了上市10年以来的首次预亏公告年以来的首次预亏公告q亏损主要缘自对单一应收账款戶亏损主要缘自对单一应收账款戶(美国美国APEX公司公司)的坏账准备的坏账准备q从从1998年始，年始，APEX公司已经累公司已经累积拖欠积拖欠4.67亿美元货款亿美元货款主要主要发现发现q对对主要经销商主要经销商的运营缺乏充分的了的运营缺乏充分的了解解q缺乏有效的缺乏有效的内部控制内部控制，以反映应收，以反映应收账款回收的问题账款回收的问题q管理者管理者可能刻意隐瞒已发生的损失可能刻意隐瞒已发生的损失内部控制到底是什么？内部控制到底是什么？刹车刹车ABSABSESPESP为什么要建设内部控制为什么要建设内部控制7内控能包治百病吗？内控能包治百病吗？内部控制的设计和运行受制于成本与效益原则，先天不足；内部控制的设计和运行受制于成本与效益原则，先天不足；内部控制一般仅针对常规业务活动而非舞弊而设计；内部控制一般仅针对常规业务活动而非舞弊而设计；内部控制可能因有关人员相互勾结、内外串通（舞弊）、玩忽职守而内部控制可能因有关人员相互勾结、内外串通（舞弊）、玩忽职守而失效；失效；如果机构内部行使控制职责的人员素质不适应岗位要求，也会影响内如果机构内部行使控制职责的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥；部控制功能的正常发挥；内部控制可能因执行人员滥用职权（越权、侵权和强权）或屈从于外内部控制可能因执行人员滥用职权（越权、侵权和强权）或屈从于外部压力而失效；部压力而失效；内部控制可能因时间的推移、经营环境的变化、业务性质的改变而削内部控制可能因时间的推移、经营环境的变化、业务性质的改变而削弱或失效弱或失效为什么要建设内部控制（续）为什么要建设内部控制（续）8内容内容内部控制理论知识内部控制理论知识为什么要建设内部控制为什么要建设内部控制内部控制发展史内部控制发展史中国内部控制标准中国内部控制标准企业内部控制实务企业内部控制实务内部控制监管内部控制监管9内部控制发展史内部控制发展史10萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理1940s1940s1970s1970s2000s2000s1990s1990s2020世纪世纪4040年代前年代前最早于最早于19051905年提出内部牵制。他认为，内部牵制由三个要素构成：职责年提出内部牵制。他认为，内部牵制由三个要素构成：职责分工；会计记录；人员轮换。分工；会计记录；人员轮换。蒙哥马利于蒙哥马利于19121912年提出：所谓内部牵制是指一个人不能完全支配账户，年提出：所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。另一个人也不能独立地加以控制的制度。George George E.BennettE.Bennett发展了内部牵制的概念，他于发展了内部牵制的概念，他于19301930年给内部牵制制度年给内部牵制制度下了一个完整的定义：内部牵制是帐户和程序组成的协作系统，这个系统下了一个完整的定义：内部牵制是帐户和程序组成的协作系统，这个系统使得员工在从事本身工作时，独立地对其他员工的工作进行连续性的检查，使得员工在从事本身工作时，独立地对其他员工的工作进行连续性的检查，以确定其舞弊的可能性。以确定其舞弊的可能性。内部控制发展史（续）内部控制发展史（续）11萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理2020世纪世纪4040年代以前，通常使用的都是年代以前，通常使用的都是“内部牵制内部牵制”，主要是为保护财产安全，主要是为保护财产安全而设置。而设置。假定：两个或两个以上的人或部门无意识地犯同样的错误机会较少；假定：两个或两个以上的人或部门无意识地犯同样的错误机会较少；两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。或部门舞弊的可能性。职能：职能：实物牵制实物牵制 如钥匙交两个以上的持有如钥匙交两个以上的持有物理牵制物理牵制 如银库大门按非正确手续操作就会报警如银库大门按非正确手续操作就会报警分权牵制分权牵制 每项业务由不同的人或部门去执行每项业务由不同的人或部门去执行簿记牵制簿记牵制 明细帐与总帐定期核对明细帐与总帐定期核对内部控制发展史（续）内部控制发展史（续）12萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理2020世纪世纪4040年代末至年代末至7070年代年代定义：定义：“内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确内部控制包括组织的计划和企业为了保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有性和可靠性，提高经营效率，以及促使遵循既定的管理方针等所采用的所有方法和措施。方法和措施。”（AICPAAICPA，19491949）构成：内部会计控制与内部管理控制构成：内部会计控制与内部管理控制内部控制发展史（续）内部控制发展史（续）13萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理2020世纪世纪8080年代至年代至9090年代年代定义：为合理保证公司实现具体目标而设立的一系列政策和程序（定义：为合理保证公司实现具体目标而设立的一系列政策和程序（AICPAAICPA，19881988）要素：要素：一是控制环境一是控制环境二是会计系统二是会计系统三是控制程序三是控制程序内部控制发展史（续）内部控制发展史（续）14萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理2020世纪世纪9090年代二十一世纪年代二十一世纪定义：内部控制是受企业董事会、管理层和其他员工影响的，为营运的效率定义：内部控制是受企业董事会、管理层和其他员工影响的，为营运的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的性、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。（结合。（COSOCOSO委员会，委员会，19971997）构成要素：控制环境、风险评估、控制活动、信息与沟通、监督构成要素：控制环境、风险评估、控制活动、信息与沟通、监督内部控制发展史（续）内部控制发展史（续）15萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理二十一世纪以后二十一世纪以后定义：企业风险管理是受企业董事会、管定义：企业风险管理是受企业董事会、管理层和其他员工影响的，用于识别那些可理层和其他员工影响的，用于识别那些可能影响企业的潜在事件并管理风险，使之能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，为企业目标的达在企业的风险偏好之内，为企业目标的达成而提供合理保证的过程。这个过程从企成而提供合理保证的过程。这个过程从企业战略制定一直贯穿到企业的各项活动中。业战略制定一直贯穿到企业的各项活动中。（COSOCOSO委员会，委员会，20032003年）年）内部控制发展史（续）内部控制发展史（续）16萌芽期内部牵制发展期内部控制过渡期内部控制结构完善期内控整体架构成熟期全面风险管理控 制 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合 规子公司业务单位分支机构企业整体层次内部控制发展史（续）美国资本市场对内部控制的要求内部控制发展史（续）美国资本市场对内部控制的要求17萨班斯法案萨班斯法案 法案性质法案性质一项法律一项法律参众两院通过参众两院通过总统签署总统签署执行机构执行机构 PCAOB（公众公司会计监察委员会）（公众公司会计监察委员会）法案内容法案内容对象对象会计师事务所及其注册会计师会计师事务所及其注册会计师上市公司的管理层，审计委员会上市公司的管理层，审计委员会证券交易所，执业证券经纪师证券交易所，执业证券经纪师成立独立的成立独立的监管执行公监管执行公众公司审计众公司审计职业职业要求加强要求加强审计师审计师的独立性的独立性要求加大要求加大公司的财务公司的财务报告责任报告责任 要求强化要求强化财务披露财务披露义务义务 加重了违法加重了违法行为的处罚行为的处罚措施措施 强化强化SEC的的监管职能监管职能 要求美国要求美国审计总署审计总署加强调查加强调查研究研究 监管机构监管机构SEC（证券交易委员会）（证券交易委员会）PCAOB审计标准第审计标准第2/5号号对于上市公司：对于上市公司：要求加大公司的财务报告责任要求加大公司的财务报告责任 要求强化财务披露义务要求强化财务披露义务 加重了违法行为的处罚措施加重了违法行为的处罚措施 对于监管机构和审计师：对于监管机构和审计师：强化强化SECSEC的监管职能的监管职能 要求美国审计总署加强调查研究要求美国审计总署加强调查研究 成立独立的公众公司会计监察委员会成立独立的公众公司会计监察委员会(PCAOB)(PCAOB)，监管执行公众公司审计，监管执行公众公司审计业务的会计师事务所业务的会计师事务所 要求加强审计师的独立性要求加强审计师的独立性 内部控制发展史（续）美国资本市场对内部控制的要求（续）内部控制发展史（续）美国资本市场对内部控制的要求（续）18萨班斯法案萨班斯法案的相关规定的相关规定404404条款条款:管理层对内部控制的评价管理层对内部控制的评价要求公司管理层在年度报告中：要求公司管理层在年度报告中：描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任中的责任对财务报告系统内部控制有效性以一个公认架构进行评估（例如对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSOCOSO内控架构）内控架构）同时要求外部审计人员：同时要求外部审计人员：对管理层评估结果进行鉴证对管理层评估结果进行鉴证内部控制发展史（续）美国资本市场对内部控制的要求（续）内部控制发展史（续）美国资本市场对内部控制的要求（续）19内部控制发展史（续）日本资本市场对内部控制的要求内部控制发展史（续）日本资本市场对内部控制的要求20内阁府令2007年8月公布，同月下旬公开方针草案。实务指南（对财务报告的内部控制的审计相关的实务上的使用）2007年7月公开草案约80页（其中20页为审计报告样式）金融厅金融厅 企业企业会计会计审议会审议会 国会 Q&A（内部控制报告书制度Q&A）2007年10月公布最终定稿19个问题及回答（是否还将出台续篇？）金融商品交易法2006年6月形成2008年4月以后财年开始适用以所有上市公司3800家为对象标准（与财务报告相关的内部控制的评估以及审计的标准）2005年12月公布、2007年2月最终定稿约21页：要求的概要实施标准（与财务报告相关的内部控制的评估以及审计的实施标准）2006年11月公布草案、2007年2月最终定稿约90页：要求的具体化 注册会计师协会注册会计师协会 内部控制发展史（续）日本资本市场对内部控制的要求（续）内部控制发展史（续）日本资本市场对内部控制的要求（续）21（确认书）（确认书）第二十四条第四款之二 第1项必须提交有价证券报告的公司应将确认该有价证券报告的披露内容是按照金融商品交易法编制的确认书与该有价证券报告一并提交给内阁总理大臣。（内部控制报告）（内部控制报告）第二十四条第四款之四 第1项必须提交有价证券报告的公司应在每个财年按照内阁政府的府令对公司的体制进行评估及提交报告（以下简称“内部控制报告”）与该有价证券报告一并提交给内阁总理大臣，作为确保该公司所属企业集团及该公司财务核算相关资料等信息的准确性的资料。（外部审计）（外部审计）第一百九十三条第二款 第2项 正文在金融商品交易所上市的发行有价证券的公司等在政令中有所规定的，其按照第二十四条第四款之四的规定提交的内部控制报告还必须证明与注册会计师或会计师事务所无特殊利益关系。金融商品交易法内部控制发展史（续）日本资本市场对内部控制的要求（续）内部控制发展史（续）日本资本市场对内部控制的要求（续）22上市公司财务报表（有价证券报告）对结果的审计财务报表内部控制报告财务报告内部控制内部控制金融工具和交易法财务报表审计报告内部控制审计报告对程序的审计由同一审计师审计保证可信性评估有效性内部控制发展史（续）中国内部控制发展史内部控制发展史（续）中国内部控制发展史23中国人民银行印发加强金融机构内部控制的指导原则19971997年年20022002年年20052005年年1010月月20012001年年财政部从2001年起发布了一系列的内部会计控制规范中国注册会计师协会发布了内部控制审核指导意见中国人民银行发布更新后的商业银行内部控制指引中国“银广厦事件”、美国“安然事件”20032003年年20042004年年中国证券监督委员会出台证券公司内部控制指引中国银行业监督委员会出台的商业银行内部控制评价试行办法20062006年年5 5月月中国证监会10月出台关于提高上市公司质量意见，国务院10月19日就进行了批转【国发（2005）34号】，要求加强上市公司内部控制，提高上市公司质量。2006年5月17日，中国证券监督管理委员会令第32号首次公开发行股票并上市管理办法，其中第29条规定“第二十九条 发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告。”内部控制发展史（续）中国内部控制发展史内部控制发展史（续）中国内部控制发展史2420062006年年6 6月月20062006年年7 7月月2006年9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知，6月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知”7月15日，财政部发起成立企业内部控制标准委员会；中国注册会计师协会发起成立会计师事务所内部治理指导委员会20082008年年6 6月月2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会,发布了企业内部控制基本规范20102010年年4 4月月20062006年年9 9月月财政部等五部委联合发布了“关于印发企业内部控制配套指引的通知”（下称“通知”），同时发布三项配套指引，即企业内部控制应用指引、企业内部控制评价指引及企业内部控制审计指引（下称“配套指引”）内容内容内部控制理论知识内部控制理论知识为什么要建设内部控制为什么要建设内部控制内部控制发展史内部控制发展史中国内部控制标准中国内部控制标准企业内部控制实务企业内部控制实务内部控制监管内部控制监管25中国内部控制标准中国内部控制标准 企业内部控制基本规范企业内部控制基本规范财政部、证监会、审计署、银监会、保监会于财政部、证监会、审计署、银监会、保监会于2008年年6月月28日联合发日联合发布了布了企业内部控制基本规范企业内部控制基本规范，适用于在中华人民共和国境内设立的，适用于在中华人民共和国境内设立的大中型企业：大中型企业：u要求上市公司要求上市公司对本公司内部控制的有效性进行自我评对本公司内部控制的有效性进行自我评价，披露年度自我评价报告价，披露年度自我评价报告聘请具有证券、期货业务资格的中介机聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计构对内部控制的有效性进行审计u鼓励非上市的其他大中型企业执行鼓励非上市的其他大中型企业执行u小企业和其他单位可以参照本规范建立小企业和其他单位可以参照本规范建立与实施内部控制与实施内部控制企业内部控制企业内部控制基本规范基本规范总则总则内部监督内部监督风险评估风险评估控制活动控制活动信息与信息与沟通沟通内部环境内部环境附则附则26 20102010年年4 4月月2626日，财政部、证监会、审计署、银监会、保监会联合发布日，财政部、证监会、审计署、银监会、保监会联合发布了了“关于印发企业内部控制配套指引的通知关于印发企业内部控制配套指引的通知”（下称（下称“通知通知”），要求实施的），要求实施的企业上报内部控制自评估报告和审计报告。企业上报内部控制自评估报告和审计报告。配套指引的主要内容配套指引的主要内容企业内部控制应用指引企业内部控制应用指引企业内部控制评价指引企业内部控制评价指引企业内部控制审计指引企业内部控制审计指引配套指引的实施时间表配套指引的实施时间表 20112011年年1 1月月1 1日日 境内外同时上市的公司施行境内外同时上市的公司施行 20122012年年1 1月月1 1日日 上海证券交易所、深圳证券交易所主板上市公司上海证券交易所、深圳证券交易所主板上市公司中国内部控制标准中国内部控制标准企业内部控制企业内部控制配套指引配套指引27中国内部控制标准中国内部控制标准内部控制应用指引内部控制应用指引概览概览企业内部控制应用指引企业内部控制应用指引 共分共分1818个主题个主题担保业务担保业务资金活动资金活动工程项目工程项目组织结构组织结构发展战略发展战略采购业务采购业务内部信息传递内部信息传递财务报告财务报告人力资源人力资源业务外包业务外包合同管理合同管理企业文化企业文化全面预算全面预算社会责任社会责任销售业务销售业务研究与开发研究与开发资产管理资产管理28内部环境类指引控制活动类指引控制手段类指引企业内部控制企业内部控制 评价指引评价指引共共五章二十七条，主要共共五章二十七条，主要结构：结构：总则：总则：明确目的、界定范围、列示评价原则明确目的、界定范围、列示评价原则 内部控制评价的内容内部控制评价的内容 内部控制评价的程序内部控制评价的程序 内部控制缺陷的认定内部控制缺陷的认定 内部控制评价报告内部控制评价报告29中国内部控制标准中国内部控制标准指引解读评价指引指引解读评价指引企业内部控制企业内部控制 审计指引审计指引共七章三十五条，主要结构：共七章三十五条，主要结构：总则：明确目的、界定范围总则：明确目的、界定范围 计划审计工作计划审计工作 实施审计工作实施审计工作 评价控制缺陷评价控制缺陷 完成审计工作完成审计工作 出具审计报告出具审计报告 记录审计工作记录审计工作30中国内部控制标准中国内部控制标准指引解读审计指引指引解读审计指引内容内容内部控制理论知识内部控制理论知识企业内部控制实务企业内部控制实务构建内部控制体系的一般思路构建内部控制体系的一般思路构建内部控制体系的成功要素构建内部控制体系的成功要素内部控制监管内部控制监管31企业内部控制实务构建内部控制体系的一般思路企业内部控制实务构建内部控制体系的一般思路32内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评制定监督制度制定监督制度跟踪缺陷整改跟踪缺陷整改开展自我评价开展自我评价编制自评报告编制自评报告记录内控缺陷记录内控缺陷设计整改方案设计整改方案完善内控制度完善内控制度更新内控文件更新内控文件成立专属部门成立专属部门确定梳理范围确定梳理范围实施风险评估实施风险评估整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范内控审计内控审计进行模拟审计进行模拟审计提供所需证据提供所需证据出具管理声明出具管理声明披露审计报告披露审计报告信息化建设信息化建设内控与风险管理工作持续开展内控与风险管理工作持续开展33成立专属部门成立专属部门确定梳理范围确定梳理范围实施风险评估实施风险评估整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计内控梳理对标内控梳理对标董事会董事会负责组织协调内控的负责组织协调内控的 建立实施及日常工作建立实施及日常工作对内控体系运行进行内部独立检对内控体系运行进行内部独立检查查;向董事会报告监督检查中发现向董事会报告监督检查中发现的内控重要和重大缺陷的内控重要和重大缺陷监督内控的有效实施和内控自我评价情况审计委员会审计委员会其他专业委员会其他专业委员会内部独立监督内部独立监督日常监督日常监督企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）负责内控建立健全，有效实施，和自评负责内控建立健全，有效实施，和自评经理层经理层业务运营部门业务运营部门内审或内审或内控内控自评部门自评部门成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计34从内部控制五要素出发梳理企业内控，关注重要业务事项从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：和高风险领域：变革管理反舞弊机制专项监督外部信息收集与沟通风险应对风险分析风险识别内部审计机制人力资源政策企业文化与道德规范内部环境 控制活动治理结构、内部机构设置与职责分配目标设定内部信息收集与沟通日常监督人力资源合同财务报告存货销售资金采购工程项目担保信息系统固定资产风险评估 信息与沟通 内部监督 .企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）成立专属部门成立专属部门确定梳理范围确定梳理范围实施风险评估实施风险评估整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范内控梳理对标内控梳理对标 风险识别与评估的依据风险识别与评估的依据：梳理出的重要业务领域中可能存在的风险梳理出的重要业务领域中可能存在的风险有条件的企业应当执行全面风险评估，从而使内控合规和全有条件的企业应当执行全面风险评估，从而使内控合规和全面风险管理有机结合面风险管理有机结合 可运用适当的风险识别工具，逐步细化风险点和管理手段可运用适当的风险识别工具，逐步细化风险点和管理手段 充分运用风险管理工具，强化风险管理，提升经营水平，并充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础为内控体系建设和内控评价奠定良好基础内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计35企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）成立专属部门成立专属部门确定梳理范围确定梳理范围实施风险评估实施风险评估整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范内控梳理对标内控梳理对标 绘制企业风险地图内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计36企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）37成立专属部门成立专属部门确定梳理范围确定梳理范围实施风险评估实施风险评估整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范内控梳理对标内控梳理对标 依托最佳实践和控制数据库进行对标梳理依托最佳实践和控制数据库进行对标梳理相关法定要求 访谈内容企业现有制度内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）业内最佳实践内控梳理对标内控梳理对标 控制活动编写的原则：控制活动编写的原则：4W+1H4W+1H WHO:WHO:哪个岗位执行控制活动哪个岗位执行控制活动 WHEN:WHEN:该控制活动发生的时间或频率该控制活动发生的时间或频率 WHERE:WHERE:该控制活动发生的地点该控制活动发生的地点 WHAT:WHAT:根据什么进行控制如制度、单据、报告、根据什么进行控制如制度、单据、报告、电子邮件、系统数据等电子邮件、系统数据等 HOW:HOW:控制活动的具体内容是如何？如何操作？控制活动的具体内容是如何？如何操作？内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计成立专属部门成立专属部门确定梳理范围确定梳理范围确定梳理范围确定梳理范围整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范38企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）记录内控缺陷记录内控缺陷设计整改方案设计整改方案完善内控制度完善内控制度更新内控文件更新内控文件内控整改固化内控整改固化 建立内部控制缺陷认定汇总表建立内部控制缺陷认定汇总表 记录内部控制缺陷成因、表现形式和影响程度记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心，打破部门和流程局限，设计以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案适合企业运营特点的整改方案 明确整改责任部门与责任人明确整改责任部门与责任人 明确整改完成期限明确整改完成期限 追踪整改进度追踪整改进度 保留整改证据保留整改证据内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计39企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控整改固化 内部控制手册、业务流程图与流程文件内部控制手册、业务流程图与流程文件内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计40企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控整改固化 管理制度更新管理制度更新 版式、内容更新：版式、内容更新：制度中规定的内容切合现行业务现状以及管控现状，实质内容不需更制度中规定的内容切合现行业务现状以及管控现状，实质内容不需更新，但是需要依据公司管理层的要求对行文或格式进行调整；新，但是需要依据公司管理层的要求对行文或格式进行调整；制度中规定的相关内容已经不适用于公司运作现状，需要对相关内容制度中规定的相关内容已经不适用于公司运作现状，需要对相关内容进行调整更新，调整更新的方式包括：重新编写部分内容，对某些制进行调整更新，调整更新的方式包括：重新编写部分内容，对某些制度中的相关内容按照实际情况，进行删减、合并或者替换等；度中的相关内容按照实际情况，进行删减、合并或者替换等；制度新增：公司无此制度，建议新增的制度制度新增：公司无此制度，建议新增的制度名称更新：根据名称更新：根据管理制度管理制度覆盖面，内容和细致度等进行分覆盖面，内容和细致度等进行分层级层级划分，统一划分，统一制度制度名称。如划分为名称。如划分为准则或规则、制度、管理办法、细则或程序准则或规则、制度、管理办法、细则或程序、及其及其他他等。等。内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计41企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）记录内控缺陷记录内控缺陷设计整改方案设计整改方案完善内控制度完善内控制度更新内控文件更新内控文件内控整改固化内控整改固化 内控活动与制度对接内控活动与制度对接内控梳理对标内控梳理对标内控整改固化内控整改固化内控评价内控评价内控审计内控审计42企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）43制定监督制度制定监督制度开展自我评价开展自我评价跟踪缺陷整改跟踪缺陷整改编制自评报告编制自评报告内控自评内控自评 制定监督制度、明确监督活动制定监督制度、明确监督活动监督主体监督主体工作内容工作内容政府、外部审 计师等公司内部审计监督各业务系统 日常监督内控鉴证监管检查专项内部控制评价内部控制缺陷整改跟踪按内部控制制度自我监督内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）44内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计内审部内审部/评价部门评价部门 评价工作组评价工作组 评估工作组负责人评估工作组负责人执行评价评估控制执行/设计的有效性明确具体工作任务复核评价工作底稿综合分析控制缺陷人员组织计划进度安排计划费用预算是否签字确认评价底稿是否BEnd内控有效？批准？明确评价范围A与评价工作组讨论并重新评价进入整改流程填写评价工作底稿编制内控缺陷认定汇总表控制缺陷类别认定形成认定意见并起草内控评价报告董事会董事会重大缺陷最终认定审阅批准内部控制评价报告内审部内审部/评价部门评价部门评价工作方案经董事会或其授权机构审批制定监督制度制定监督制度开展自我评价开展自我评价跟踪缺陷整改跟踪缺陷整改编制自评报告编制自评报告内控自评内控自评企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）ABCC45内控梳理对标内控梳理对标内控整改固化内控整改固化内控自评内控自评内控审计内控审计各业务、职能部门各业务、职能部门 评价工作组评价工作组执行评价评估控制设计/执行有效性落实整改措施自查整改完成情况是否内控有效？联合内控评价工作组制订整改方案填写评价工作底稿，继续内控评价及编制自评报告制定监督制度制定监督制度开展自我评价开展自我评价跟踪缺陷整改跟踪缺陷整改编制自评报告编制自评报告内控自评内控自评企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体系的一般思路（续）CABC内控有效？否是控制测试底稿示例控制测试底稿示例控制活动编号控制活动编号IV-CA-104控制活动控制活动采购预报与收货清单信息核对一致后，收货组人员对货物进行初步检查，检查无误后在收货凭证上签字；对于检查有误的采购预报与收货清单信息核对一致后，收货组人员对货物进行初步检查，检查无误后在收货凭证上签字；对于检查有误的情况，填写情况，填写业务联系单业务联系单，经业务主管及分管仓储的副总监审核确认后，通知采购中心，并根据其回复意见处理。，经业务主管及分管仓储的副总监审核确认后，通知采购中心，并根据其回复意见处理。集团项目组测试集团项目组测试总样本量总样本量25个个截止上次测试累计有效样本量截止上次测试累计有效样本量0个个具体测试方法具体测试方法获取存货收货凭证，检查：获取存货收货凭证，检查：1.与该批存货对应的采购预报、收货清单上信息一致；与该批存货对应的采购预报、收货清单上信息一致；2.收货组人员在收货凭证上签字确认；收货组人员在收货凭证上签字确认；若存在检查有误的情况，还需获取若存在检查有误的情况，还需获取业务联系单业务联系单并检查：并检查：1.业务联系单业务联系单依次经过业务主管及分管仓储分总监审核；依次经过业务主管及分管仓储分总监审核；2.采购中心根据管理层意见执行相关处理。采购中心根据管理层意见执行相关处理。测试属性测试属性样本描述样本描述与该批存货对应的采购与该批存货对应的采购预报、收货清单上信息预报、收货清单上信息一致一致收货组人员在收货凭证收货组人员在收货凭证上签字确认上签字确认检查有误的情况，检查有误的情况，业务联系单业务联系单依次依次经过业务主管及分管仓储分总监审核；经过业务主管及分管仓储分总监审核；同时同时.采购中心根据管理层意见执行相关采购中心根据管理层意见执行相关处理处理样本属性样本属性解释解释未达标样本底稿索引未达标样本底稿索引第一轮测试样本：第一轮测试样本：1）XXX集团集团-2009.10.23-存货存货收货凭证编号收货凭证编号X235498号，金号，金额额RMB2,394,000元元是是是是不适用不适用正常正常不适用不适用企业内部控制实务构建内部控制体系的一般思路（续）企业内部控制实务构建内部控制体