搜索
管理层内部控制-自我评估流程解析2008年9月18日©2008德勤华永会计事务所有限公司2免责声明本次培训的所有资料或解释(并不只限于下列投影片)(以下统称为「材料」)是以一般常用词汇编制而成的,且仅为本次演讲之用。该等材料仅可作为参考之用,而不应视为由德勤及/或其雇员(以下统称为「德勤」)所提供的意见或建议。此外,由于德勤在编制有关材料时受时间及适用的资料所限,可能并未知悉所有的事实或资料,因此该等材料并不应被视为全面完备的材料。而德勤亦不会就材料的准确性、完整性或充分性进行任何陈述。就特定情况下使用该等材料时,应根据实际情况而酌情采用。使用者在任何特定的情况下应用有关材料时,应先咨询专业人士的意见。在任何情况下,有关材料均绝不可替代该等专业意见。使用者应当自行承担因应用该等材料的内容而产生的风险。虽然德勤已谨慎编制有关材料,但德勤并不会向任何第三方(包括你)承担任何责任(包括但不限于因疏忽所产生的责任)。©2008德勤华永会计事务所有限公司主要内容第一部分:与管理层内部控制自我评估相关的基本概念第二部分:管理层与审计人员在CSOX中的角色与职责第三部分:评估程序第四部分:管理层内部控制自我评估的实施3©2008德勤华永会计事务所有限公司主要内容第一部分:与管理层内部控制自我评估相关的基本概念第二部分:管理层与审计人员在CSOX中的角色与职责第三部分:评估程序第四部分:管理层内部控制自我评估的实施4©2008德勤华永会计事务所有限公司什么是中国企业的内部控制(CSOX)?.什么是财务报表相关的内部控制(ICFR)?.什么是管理层对内部控制的自我评估?.与管理层内部控制自我评估相关的基本概念5©2008德勤华永会计事务所有限公司什么是CSOX?随着我国市场经济规模的不断扩大,现代企业制度的不断完善,相关监管机构也开始积极研究如何对上市公司进行监管,包括如何帮助企业建立和推进内部控制制度,完善企业风险管理体系,从而提高上市公司经营管理和规范运作水平,加强上市公司的信息披露质量,提高投资者信心。国务院转发证监会《关于提高上市公司质量意见的通知》•首次公开发行股票并上市管理办法•上市公司证券发行管理办法上海证券交易所上市公司内部控制指引上市公司内部控制指引(征求意见稿)只适用新发行申请者IPO或增发适用于上市公司上交所深交所需公司管理层自评价,但不需要外部审计人员审核国务院中国证监会外部审计人员的内控审核(内控有效性)经外审师审核后公司管理层的内控自评6©2008德勤华永会计事务所有限公司什么是CSOX?-相关法规对内部控制审计的要求•国发〔2005〕34号文国务院批转证监会《关于提高上市公司质量意见的通知》§2005年10月19日国务院同意证监会起草的《关于提高上市公司质量的意见》,转发给各省、自治区、直辖市人民政府,国务院各部委、各直属机构认真贯彻执行,该文要点如下:q提高认识,高度重视提高上市公司质量工作q完善公司治理,提高上市公司经营管理和规范运作水平–完善法人治理结构–建立健全公司内部控制制度:……要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价,并披露相关信息……–提高公司运营的透明度–加强对高级管理人员及员工的激励和约束–增强上市公司核心竞争力和盈利能力q注重标本兼治,着力解决影响上市公司质量的突出问题q采取有效措施,支持上市公司做优做强q完善上市公司监督管理机制,强化监管协作q加强组织领导,营造促进上市公司健康发展的良好环境7©2008德勤华永会计事务所有限公司什么是CSOX?-相关法规对内部控制审计的要求Ø中国证券监督管理委员会令第32号《首次公开发行股票并上市管理办法》§2006年5月17日证监会公布《首次公开发行股票并上市管理办法》,要求在中华人民共和国境内首次公开发行股票并上市的公司于2006年5月18日起遵照执行;§《首次公开发行股票并上市管理办法》加强了对发行人独立性的要求,提高了发行人的财务指标条件,强化了中介机构的核查责任,突出了市场对发行上市行为的约束机制,体现了保护公众投资者利益的精神。§在该办法的第二十四条、第二十九条中,特别规定了:q发行人的内部控制制度健全且被有效执行,能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果。q发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告。8©2008德勤华永会计事务所有限公司什么是财务报表相关的内部控制(ICFR)?-什么是内部控制审核?•鉴证意见•审计意见q积极保证意见(positiveassuranceopinion)•包括内部控制的以下方面:q内部控制的设计q内部控制的实施q执行的有效性•需要审计的内部控制范围q与会计报表相关的内部控制,即:财务报告流程涉及的内部控制9©2008德勤华永会计事务所有限公司什么是财务报告相关的内部控制(ICFR)?-与财务报告审计的差异交易事项不同的业务流程中与财务报告相关的内部控制措施总帐会计分录财务报告及附注会计处理、关账关账及财务报告流程(‘FCRP’)内部控制审核财务报告审计交易事项交易事项交易事项10©2008德勤华永会计事务所有限公司什么是财务报告相关的内部控制(ICFR)?-什么是ICFR?§中国相关法律条文:第9号——内部控制与审计风险q第二条:“本准则所称内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制包括:–控制环境–会计系统–控制程序11©2008德勤华永会计事务所有限公司什么是财务报告相关的内部控制(ICFR)?-什么是ICFR?COSOframeworkCICPA’sAuditingStandard#9Controlenvironment控制环境RiskassessmentNodirectmatchControlactivities控制程序Information&Communication会计系统MonitoringNodirectmatch•根据COSO框架,有5个要素需要关注:q控制环境q风险评估q控制活动q信息与沟通q监控•中国审计准则的3要素与COSO框架5要素的比较如下:12©2008德勤华永会计事务所有限公司什么是管理层对内部控制的自我评估?财政部企业内部控制评价指引(征求意见稿):§内部控制评价指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。评价的目标:§依据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个和整体控制目标的实现进行评价。13©2008德勤华永会计事务所有限公司主要内容第一部分:与管理层内部控制自我评估相关的基本概念第二部分:管理层与审计人员在CSOX中的角色与职责第三部分:评估程序第四部分:管理层内部控制自我评估的实施14©2008德勤华永会计事务所有限公司管理层在C-SOX中的职责管理层的职责:§管理层对建立健全内部控制并保持其有效性负责;§管理层需对内部控制的有效性进行评价;§管理层需作出特定日期与会计报表相关的内部控制有效性的认定;§管理层需向注册会计师告知内部控制在设计和执行方面存在的重大缺陷;§管理层需注册会计师告知发生的重大舞弊,以及虽不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊;其中:§企业董事会及其审计委员会负责领导本企业的内部控制评价工作,独立的内审人员负责实施现场审核,并就管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见;§监事会对董事会实施内部控制评价进行监督15©2008德勤华永会计事务所有限公司主要内容第一部分:与管理层内部控制自我评估相关的基本概念第二部分:管理层与审计人员在CSOX中的角色与职责第三部分:评估程序第四部分:管理层内部控制自我评估的实施16©2008德勤华永会计事务所有限公司•与财务报表相关的内控管理层自我评估给出了以下6个步骤的指引:§界定与计划§了解与会计报表相关的内部控制§评估并测试与会计报表相关的内控设计的有效性§评估并测试与会计报表相关的内控运行的有效性§缺陷评估§出具内控评估意见界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性缺陷评估评估程序出具内控评估意见17©2008德勤华永会计事务所有限公司评估程序-界定与计划•范围的界定需考虑的因素:§被评估单位所在行业的情况,包括行业景气程度、经营风险、技术进步等;§被评估单位的内部情况,包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等;§被评估单位近期在经营和内部控制方面的变化;§管理当局的诚信、能力及发生舞弊的可能性;§管理当局评价内部控制有效性的方法和证据;§对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断;§特定内部控制的性质及其在内部控制整体中的重要性;§对内部控制有效性的初步判断;§从其他专业服务中了解到的有关被评估单位内部控制的情况;§如果被评估单位有多个经营场所,还应当考虑:q不同场所之间经营活动和内部控制的相似性q会计处理的集中程度q控制环境的有效性,尤其是管理当局对各经营场所行使授权的控制和有效监督经营活动的能力q各经营场所发生交易的性质和金额。界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性出具内控评估意见缺陷评估18©2008德勤华永会计事务所有限公司评估程序-界定与计划•计算机整体控制评估领域:-信息安排-信息系统操作-应用系统实施与维护-数据库实施与维护-网络支持-系统软件支持界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性出具内控评估意见缺陷评估19©2008德勤华永会计事务所有限公司评估程序-了解会计报表相关的内部控制•首先应了解与会计报表相关的内部控制q通过询问、观察、查看文件、追踪系统交易等方式了解与会计报表相关的内部控制q应根据COSO五要素了解设计层面的与会计报表相关的内部控制q确定公司层面的控制,审计人员首先应对公司层面的有效性进行了解与测试q确定重要会计科目q确定重要的业务流程和主要类别的交易q对于每一个重要的流程,审计人员需要:ü了解交易如何发起、授权、记录、处理和报告的流程ü确定错报的关键点ü确定导致潜在误报的控制ü……p了解财务报表的结账流程p进行穿行测试,每一类重要交易至少进行一次穿行测试p……界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性缺陷评估出具内控评估意见20©2008德勤华永会计事务所有限公司评估程序-评估并测试与会计报表相关的内控设计的有效性•在评估与会计报表相关的内控设计的有效性时,审计人员应确定公司的内控是否能够满足以下目标q确定每一个领域公司的控制目标q确定内部控制是否能满足每一领域的控制目标q确定这些控制如果合理运行,是否能有效地防止或侦察导致会计报表重大错报的舞弊q……界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性缺陷评估出具内控评估意见21©2008德勤华永会计事务所有限公司评估程序-评估并测试与会计报表相关的内控运行的有效性•在评估与会计报表相关的内控运行的有效性时,审计人员应了解q每一类测试的性质q内部控制测试的时点q内部控制测试的程度q评估测试结果时运用专业的谨慎q利用他人的工作q……界定与计划了解与会计报表相关的内部控制评估并测试与会计报表相关的内控设计的有效性评估并测试与会计报表相关的内控运行的有效性缺陷评估出具内控评估意见22©2008德勤华永会计事务所有限公司