内控评价基础知识及方法论XXXX00312

1页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散内控评价基础知识及方法论中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散2页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散主要内容2中国平安贯彻落实内控法规情况3中国平安内控评价工作实施方法企业内部控制基本规范与配套指引13页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散2008年6月28日，财政部、审计署、证监会、银监会和保监会联合颁布了《企业内部控制基本规范》，确立了中国企业建设内部控制规范的标准体系。为了配合《企业内部控制基本规范》的实施，财政部又一次联合审计署、证监会、银监会和保监会于2010年4月26日颁布了三个指引性文件，并公布了《企业内部控制基本规范》的实施时间表：《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》发布《基本规范》及配套指引征求意见稿管理层披露自我评价报告的第一个财政年度配套指引征求意见截止(2008.9.30)《基本规范》的新生效日期（境内外同时上市企业）2008.6.282011.1.12011.12.312010.4.26发布配套指引3一、《企业内部控制基本规范》及配套指引—发布历程4页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散基本规范：处于最高层次，起统驭作用，是制定应用指引、评价指引、审计指引的基本依据。应用指引：处于主体地位，为企业建立健全内部控制体系提供的指引。评价指引：为企业管理层对本企业内部控制有效性进行自我评价提供的指引。审计指引：为注册会计师执行内部控制审计业务提供执业准则。企业内部控制基本规范企业内部控制评价指引企业内部控制应用指引企业内部控制审计指引一、《企业内部控制基本规范》及配套指引—框架体系5页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散序号流程名称序号流程名称1组织架构10资产管理2发展战略11资金活动3人力资源12工程项目4社会责任13财务报告5企业文化14全面预算6内部信息传递15研究与开发7信息系统16担保业务8销售业务17业务外包9采购业务18合同管理一、《企业内部控制基本规范》及配套指引—流程范围6页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散1.合理保证企业经营管理合法合规2.合理保证资产安全3.合理保证财务报告及相关信息真实完整4.提高经营效率和效果5.促进企业实现发展战略6一、《企业内部控制基本规范》及配套指引—五个目标7页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散全面性适应性成本与效益贯穿决策、执行和监督全过程覆盖企业及其所属单位各种业务和事项关注重要业务事项和高风险领域在治理结构、机构设置、权责分配、业务流程等方面形成相互制约、相互监督的机制并兼顾运营效率权衡实施成本与预期效益适应企业规模和风险水平随情况变化及时加以调整一、《企业内部控制基本规范》及配套指引—五个原则8页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散8对内部控制的有效性进行自我评价，披露年度自我评价报告聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告负责建立有效的内部控制体系，以及维护其有效运行管理层一、《企业内部控制基本规范》及配套指引—管理层责任9页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散9进行独立审计，出具财务报告内部控制有效性的审计意见获取充分、适当的审计证据来支持其对内部控制有效性发表的意见对在内部控制审计过程中所注意到的非财务报告内部控制的重大缺陷，在审计报告中予以描述披露——是我国内部控制法规的一项独特的要求审计师一、《企业内部控制基本规范》及配套指引—审计师责任10页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散企业类型实施时间境内外同时上市的公司2011年1月1日，并需要于2011年12月31日完成自我评价，审计师也需要在该基准日进行审计并完成审计报告。上海证券交易所上市的公司、深圳证券交易所主板上市的公司2012年1月1日，并需要于2012年12月31日完成自我评价，审计师也需要在该基准日进行审计并完成审计报告。中小板和创业板上市公司择机待定非上市大中型企业鼓励执行10一、《企业内部控制基本规范》及配套指引—实施时间表11页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散主要内容2中国平安贯彻落实内控法规情况3中国平安内控评价工作实施方法企业内部控制基本规范与配套指引112页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散平安贯彻内控法规要求，践行内控标准，建立内控评价机制，持续对全集团关键业务及流程对照《企业内部控制基本规范》及其配套指引要求实施内部控制有效性评估2008年2009年2010年至今学习内控法规要求研究部署平安落实内控法规方式，确定以项目形式开展聘请咨询公司评估确定项目范围，规划制定项目计划，协调资源，正式启动实施分阶段、先试点后推广开展内控项目，实施内控评价，完成评价报告学习咨询公司经验，固化内控项目成果，建立平安内控评价标准、制度、方法、工具、系统平台等健全内控评价机制，出台制度规范独立组织开展内控评价活动组织内控培训与宣导，强化风控意识对外披露与展示内控成果，创建信赖积极行动全面落实整合升级13页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散落实内控法规仅是基础，利用政府创造的良好环境和强大推动力，将平安的内控体系进行整合升级，提升风险管控水平才是关键平安已建立内控评价机制，整合升级内控体系：形成了符合内控法规要求和平安实际情况的内部控制评价方法论制订了《内部控制评价管理办法》、《内部控制自评手册》，进一步健全内控制度体系构建了内控评价和机构风险评级系统平台(RiskIntegrator)为管理层提供风险状况及决策支持确立了“合规人人有责、内控人人参与”内控评价日常化运作机制14页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散主要内容2中国平安贯彻落实内控法规情况3中国平安内控评价工作实施方法企业内部控制基本规范与配套指引115页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散内控评价方法论16页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散确定评价范围风险识别及评估识别控制活动穿行测试运行有效测试整改控制缺陷评价与报告1234567通过访谈、审阅文档梳理流程，识别固有风险、确定风险评级通过访谈、审阅文档识别控制活动执行内控设计有效性自我评估采用定性分析与定量分析相结合的方法确定评价范围执行内控运行有效性自我评估落实改进点整改工作，跟踪整改完成情况内控独立评估，自我评估报告，外部审计及出具审计报告内控评价工作实施步骤17页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散定量分析定性分析•确定重大错报水平（一般而言，余额或发生额大于重大错报水平的科目应考虑是否作为关键科目）以集团合并财务报表及披露事项为基础，采用定性分析与定量分析相结合的方法，根据错报风险发生的可能性和对财务报告及相关信息的真实性完整性造成的影响程度来确定需要纳入范围的关键科目及披露事项。注：从确定关键科目的目的出发，评估错报发生的可能性时，不应考虑任何与财务报告相关的内部控制的有效性因素。+•对主要风险因素的判断（参见第12页）•对财务报告使用者关注程度的分析（参见第24页）步骤一：确定评价范围(1/5)采用定性分析与定量分析相结合的方法确定关键科目18页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散重要性水平（Materiality）代表了一个对财务报告错报或漏报程度的定量衡量标准，一般采用税前利润或损失、总收入、总费用、总资产以及净资产等作为计算基数。适用比率可依据董事会及管理层的风险承受度在一定范围内进行选择，例如：采用税前利润或损失作为计算基数的，可考虑3-10%之间的比例；采用总资产、总收入或总费用作为计算基数的，可考虑0.5-2%之间的比例。很多美国上市公司在萨班斯法案的遵循期间所做的选择是不超过其税前利润或损失的5%，或总资产、总收入的0.5%作为重要性水平。重大错报水平（SignificantMisstatementThreshold，SMT）为重要性水平的一定比例，例如75%。在确定这一比例时，同样需依据董事会及管理层的风险承受度来作出决定。当会计科目的余额/发生额大于重大错报水平时，一般被认为是关键科目。步骤一：确定评价范围(2/5)确定重要性水平及重大错报水平19页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散2.3对以下八个风险因素进行定性分析，然后综合评价错报风险发生的可能性。1、会计科目是否易受错误和舞弊的影响2、会计科目所处理的业务交易的数量、复杂程度和同质性3、与会计科目相关的会计处理和报告的复杂程度4、会计科目所反映的相关交易发生损失的风险5、会计科目所反映的交易引致重大或有负债的可能性6、是否存在关联方交易7、科目特征较之以前期间发生的变化8、会计科目的其他性质综合考虑八个因素，判断错报可能性1、错报的可能性较小2、有合理的错报可能性错报可能性评级八个风险因素3、错报的可能性较大步骤一：确定评价范围(3/5)判断错报风险发生的可能性需考虑的八个因素20页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散公司层面合并财务报表错报风险的影响程度？错报风险发生的可能性？确定公司层面的关键科目及披露这些科目及披露分别与哪些业务线有关？这些科目及披露分别与业务线下的哪些流程有关？确定关键业务流程细分关键科目至子科目这些流程分别涉及哪些实施单位？确定关键流程对应的重要实施单位实施单位是否需要细分关键科目？是确定关键子流程否确定关键的IT系统这些子流程分别涉及哪些重要的IT系统？筛选确定实施单位下属的分支机构实施单位层面需进行的工作①注①：另外需考虑到非财务报表因素对确定重要业务流程的影响步骤一：确定评价范围(5/5)确定评价范围整体思路21页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散步骤二：风险识别及评估(1/9)行业较佳实践已有的文档公司现有的制度和政策管理人员的经验识别流程层面风险点的方法和途径22页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散从风险发生的可能性和影响程度，综合分析，评价固有风险等级步骤二：风险识别及评估(2/9)风险评级原理23页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散步骤二：风险识别及评估(3/9)风险发生可能性评估标准24页中国平安保险（集团）股份有限公司版权所有未经许可，不得扩散步骤二：风险识别及评估(4/9)风险影响程度评级12345几乎无影响轻微一般严重灾难性财务损失无直接的财务损失评估单位税前利润的1%以下评估单位税前利润的1%(含)到5%之间评估单位税前利润的5%(含)到10%之间评估单位税前利润的10%及以上业务损失（对核心业务绩效的影响）对评估单位业务存在极小影响对评估单位业务存在轻微影响，造成其相应业务指标变动1%以下（指标是指评估单位的收入、客户数量、市场份额等）对评估单位业务存在一定影响，造成其相应业务指标变动1%(含)到5%之间，但经过一定的弥补措施仍可能达成原有营运目标或关键业绩指标,（指标是指评估单位的收入、客户数量、市场份额等）对评估单位业务存在较大影响，无法达到部分营运目标或关键业绩指标，造成其相应业务指标变动5%(含)到10%之间.（指标是指评估单位的收入、客户数量、市场份额等）对评估单位业务存在极大影响，无法达到所有的营运目标或关键业绩指标.造成其相应业务指标变动10%及以上.（指标是指评估单位的收入、客户数量、市场份额等）信息错报影响对评估单位的内、外部信息使用者不会产生影响对评估单位信息准确性有轻微影响，但不会影响集团内使用者的判断对评估单位信息使用者有一定的影响，可能会影响集团内信息使用者对于事物性质的判断，在一