Group6内控的自我评价与外部评价

内部控制的自我评价与外部评价案例：梅花生物科技集团股份有限公司小组成员及分工前期资料查询：次仁央宗，米玛片多，姜武君资料汇总整理：杨林课堂案例讲解：杨林，姜武君案例讲解的流程1.美国的内控评价法律体系2.中国的内控自我评价体系3.西藏上市公司内控评价披露的现状4.案例：梅花生物科技集团股份有限公司Part1：美国内控评价法律体系概况美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义1、《反海外贿赂行为法》美国国会、1977年该法案明确规定：内部控制不是会计部门的责任，而是美国公司董事会的责任。该法案确认的内部控制目标主要涉及授权、记录、使用资产和资产的会计责任四个领域。2、《内部控制——整合框架》COSO、1992年COSO《内部控制——整合框架》构建了由三大目标和五项要素组成的内部控制框架。该框架的发布和广泛采用标志着内部控制在理论上和实务上走出审计范畴，从而成为企业整个管理体系的有机组成部分，该框架同时也为企业内部控制评价提供了指导。美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义3、≪企业风险管理——整合框架≫COSO、2004年9月COSO≪企业风险管理——整合框架≫构建了由四大目标和八项要素组成的企业风险管理框架，实现了内部控制5要素与风险管理8要素的有机结合，其重点是强化内部控制环境和风险应对问题。4、《萨班斯-奥克斯利法案》美国国会、2002年7月《萨班斯法案》是1933年以来美国证券立法中影响最深远的法案。它通过加强上市公司财务信息披露的可靠性和内部控制有效性，确保审计师的独立性以及改善公司治理结构来“重获投资者的信心”。成立新的监管机构——上市公司会计监督委员会（PCAOB）加强对上市公司和独立审计师的监管。美国内部控制部分法规制度及职业标准法规制度与职业标准名称颁布机构与时间与内控与风险管理相关内容及意义5、《与财务报表审计相融合的内部控制审计》（简称第5号审计准则）PCAOB、2007年5月指引审计师将审计重点放在最重要的内部控制事件的审计。要求审计师重点关注公司内部控制中那些可能会导致财务报告中的重大错报不能被发现或预防的高风险领域，并沿用了第2号审计准则指南中强调的从上到下的审计方法。6、关于管理层报告财务报告内部控制的指引SEC、2007年6月为了对管理层有关财务报告内部控制的评价和评估提供指引。该指引提出了一种方法，管理层可以据以对财务报告内部控制实施自上而下、以风险为基础的评价。7、《金融工具公允价值计量审计和利用专家工作的相关问题》PCAOB、2007年12月PCAOB发布了审计实务提示（StaffAuditPracticeAlert）第2号《金融工具公允价值计量审计和利用专家工作的相关问题》。该提示是在美国次贷危机的背景下发布的，主要为了提醒注册会计师注意美国公允价值会计审计准则中的有关规定。基于内控评价COSO五要素的解读内控环境：主要包括组织架构、企业文化、人力资源管理、发展战略、社会责任五个子要素。内控环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。管理层在对控制环境评估时，也应该考虑反舞弊机制、审计委员会或其他监管职能的有效性。风险评估：由业务风险评估、固有风险、舞弊风险三个子要素构成。企业要充分识别企业的外部环境（如：政治、经济、法律法规等方面）存在的，并对相关控制目标有影响的风险。其次，充分的风险评估过程要包括对重大风险的评估、对风险发生可能性的评估，以及应对风险方法的确定。控制活动：包括不相容职务分离控制、授权审批控制、会计系统控制、信息系统控制等。控制活动在整个公司所有级别和职能部门实施，确保管理层的指令得到执行。控制活动要注重具体信息处理的目标。基于内控评价COSO五要素的解读信息与沟通：要素包括一套能够支持信息确认、获取、交流的系统。在评估信息与沟通要素时，管理层须考虑内部和外部生成的数据以及数据的质量。此外，管理层还应关注财务信息至关重要的系统和程序。内部监督：由持续监督、独立评估、缺陷报告三个要素组成。定期监督主要工作是管理层定期对内控系统进行审核。对监督过程发现的内控缺陷，应当分析缺陷的性质及产生原因，并提出整改方案。企业应当结合内控监督情况定期对内控的有效性进行自我评价，并出具内控自我评价报告。萨班斯404条款主要内容1.管理层内部控制方面要求要求公司年报中包括一份内部控制报告，该报告应包括以下内容：(1)明确指出公司管理层对建立和保持一套完整的，并与财务报告相关的内部控制系统和程序所负有的责任；(2)包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序的有效性的评估。2.审计师内部控制评价报告受托的上市公司审计师应按照上市公司会计监管委员会审核发布的或采用的准则就管理层关于内部控制的评估进行测试和评价，并出具评价报告。PCAOB第5号和第2号审计准则对比指引审计师将注意力投向最重要的控制内控审计准则提案内容沿用了PCAOB关于第2号审计准则指南中强调的至上而下的方法。在使用至上而下的方法时，审计师要从财务报表和公司层面的控制开始，确定将要测试的控制，并将财务报表要素和公司层面的控制与重要账目、相关论断以及其他重要控制所在的重大流程联系在一起。强调风险评估的重要性该提案要求审计师在每一决策点的风险评估中采用至上而下的方法。审计师对重要账目和相关论断的确定要求审计师应清楚存在的相关风险。审计师的风险评估应内控审计具有普遍影响。从审计师开始对公司实质性漏洞风险评估开始，以至对单独账户、论断或控制层面风险的分析，审计师应不断调整审计程序，以反映审计师掌握的信息，包括内控审计和财务报表审计的经验。PCAOB第5号和第2号审计准则对比修订重大缺陷和实质性漏洞的定义用“合理可能性”替代“微小可能性”重新确定实质性漏洞的定义，以去除重大缺陷用“重大”取代“不仅仅是不合理”修订实质性漏洞的重要指标第2号审计准则对那些至少为重大缺陷和实质性漏洞的重要指标的环境进行描述。此类环境包括已发布的财务报表重编以及无效的控制环境。为保证提案的要求不会迫使审计师在缺陷不存在的情况下，做出缺陷存在的结论，委员会修改了关于将上述环境认为是至少具有重大缺陷的要求。PCAOB第5号和第2号审计准则对比明确实质性在审计中的作用审计师在计划和执行内部控制审计中采用的实质性方法应与年度财报中采用的方法一致。删除评价管理层评估过程的的要求为强调适当的审计工作范围，简化报告，准则提案要求审计师对内部控制只能发表一个意见。提案删除了对管理层的评估分别发表单独意见的要求。若审计师对内控持相反意见，应在管理层报告的实质性漏洞进行单独、详尽的描述。若管理层未能公正反应实质性漏洞，审计报告中应包含一段解释以及必要信息。PCAOB第5号和第2号审计准则对比调整审计准则，适用较小公司的规模较小公司的财务报告通常与较大、较复杂的公司不同，并且较小公司内部控制系统通常能够利用不同的方式较好的处理风险。审计师应执行的程序要依赖于公司规模和复杂程度的具体情况简化要求特定性和细节性水平降低，鼓励审计师根据实际情况进行职业判断对陈述报告进行了重组，以更好的反映内控审计流程要求陈述的方式更具有可读性，让客户和审计师更好理解Part2：中国内控自我评价体系我国与内部控制相关的部分法规制度法规与指引名称颁布机构与时间与内控与风险管理相关内容1、《证券公司内部控制指引》中国证监会、2003年12月引导证券公司规范经营，完善证券公司内部控制机制，增强证券公司的自我约束能力，推动证券公司现代企业制度建设，防范和化解金融风险。2、《证券公司融资融券业务试点内部控制指引》中国证监会、2006年6月30日指导证券公司建立健全融资融券业务试点的内部控制机制，防范与融资、融券业务有关的各类风险。3、《商业银行内部控制指引》中国银监会、2007年7月3日该指引首次提出要对内部控制进行全流程评价，将内部控制体系的五大要素有机地联系在一起。我国与内部控制相关的部分法规制度法规与指引名称颁布机构与时间与内控与风险管理相关内容4、《银行业金融机构信息系统风险管理指引》和《商业银行操作风险管理指引》中国银监会、2006年、2007年银监会先后发布了《银行业金融机构信息系统风险管理指引》和《商业银行操作风险管理指引》，为银行业金融机构的操作风险管理提出系统性的要求和指导。5、《上海证券交易所上市公司内部控制指引》上交所、2006年6月5日该《指引》要求上市公司应从2006年年度报告起披露内部控制自我评估报告和会计师事务所对自我评估报告的核实评价意见。6、《深圳证券交易所上市公司内部控制指引》深交所、2006年9月28日从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标、全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求。我国与内部控制相关的部分法规制度法规与指引名称颁布机构与时间与内控与风险管理相关内容7、《中央企业全面风险管理指引》国资委、2006年6月从国有企业管理实践的内在需求以及国有资产出资人监管的角度出发，对中央企业开展风险管理工作的目标、全面风险管理体系建设的内容、流程以及工具和方法进行了详细阐述，并提出了明确的执行要求。8、《企业内部基本规范》五部委、2008年5月我国第一部加强和完善企业内部控制系统，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益的重要法规文件。9、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》五部委、2010年4月配套指引通知要求执行《企业内部基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，对其内控的有效性进行自我评价，披露年度自我评价报告，并出具内控有效性的审计报告。建立一个健全的内部控制制度是公司高级管理层的职责1.明确内控检查监督的专门职能部门2.确定并记录公司现有的内部控制流程，包括公司层面和部门层面，涵盖各业务流程环节和各项公司管理制度3.持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制管理层对于内部控制执行的自我评估以及检查监督1.制定内控监督检查办法和年度内部控制检查监督计划;跟踪内部控制执行缺陷并确保缺陷得到及时改进2.对关键控制点进行监督检查并记录检查结果;生成《内部控制检查监督工作报告》并每半年呈交董事会3.董事会或审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评估报告》并形成董事会决议4.披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见内部控制自我评价的意义积极响应外部要求公司作为上市公司，财政部要求于2009年7月1日起，按五部委联合颁布的《企业内部控制基本规范》建立健全内部控制体系，并建立长效机制对内控有效性进行持续维护、自评及测试。踏实提高公司整体管理水平公司将借助内部控制体系的建设，进一步梳理完善公司现有管理政策体系，提高经营管理水平和风险防范能力，提高公司综合竞争力，促进公司可持续发展。内控自我评估主要步骤介绍•管理层委任项目领导及项目小组•成立专门职能部门（检查监督部门），定义监督检查部门职责分工•确定项目计划以建立/完善公司的内部控制•进行培训•将内控项目计划承交董事会审阅•进行风险评估确定项目范围•选定试点公司•盘点现有制度、流程，辨识与记录公司层面、下属部门与附属公司的、以及各业务环节的现有内部控制，找出内部控制需要改进的关键点•建立标准内控文档模版•推广内控文档•汇总内部控制设计缺陷并提出整改方案•执行整改方案•持续性地按照法律法规，部门规章及证券交易所上市规则的规定把建立/完善内部控制制度纳入长效管理机制•董事会审核《内部控制自我评价报告》；•披露《内部控制自我评价报告》以及会计师事务所对该报告出具的核实评价/审计意见•制定内控监督检查