内部控制评价指引解读

企业内部控制评价指引解读议程11《企业内部控制评价指引》解读2企业内部控制自评实务操作中国内部控制监管要求规定内容摘要或内容简介出台日期生效日期财政部、证监会、审计署、银监会、保监会（“五部委”）：《企业内部控制基本规范》企业应当根据有关法律法规、本规范及其配套方法，制定本企业内部控制制度并组织实施。接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。2008-6-282009-7-1五部委：《企业内部控制应用指引》包括财务报告，资金，采购，销售，研发，工程项目，资产，担保，业务外包，全面预算，合同管理，内部信息传递，信息系统、组织架构，发展战略，人力资源，企业文化，社会责任等18个具体指引。2010-4-262011-1-12012-1-1五部委：《企业内部控制评价指引》为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。2010-4-262011-1-12012-1-12企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引五部委内部控制规范体系3关键用途适用对象适用于企业、监管机构、咨询方、鉴证机构适用于审计师主要用于公司建立健全内部控制体系主要用于公司对内部控制体系进行独立评价持续改进用于审计师对内部控制体系进行外部评价并指导企业持续改进内控缺陷，完善内控等4五部委配套《企业内部控制评价指引》解读—章节结构章节内容第一章总则：明确目的、界定范围、列示评价原则第二章内部控制评价的内容第三章内部控制评价的程序第四章内部控制缺陷的认定第五章内部控制评价报告五部委配套《企业内部控制评价指引》解读—第一章总则•内部控制评价定义：是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。•内部控制评价需要遵循的原则：•全面性原则：评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。•重要性原则：评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。•客观性原则：评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。全面性原则重要性原则客观性原则五部委配套《企业内部控制评价指引》解读—第二章：内部控制评价的内容内部环境评价风险评估机制评价控制活动评价信息与沟通评价内部监督评价•企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。•内部控制评价工作应当形成工作底稿:‒评价要素‒主要风险点‒采取的控制措施‒有关证据资料‒认定结果五部委配套《企业内部控制评价指引》解读—第三章内部控制评价的程序制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告内审部/评价部门评价工作组评估工作组负责人执行评估评估控制执行/设计的有效性明确具体工作任务复核评估结果综合分析控制缺陷人员组织计划进度安排计划评价工作方案经董事会或其授权机构是否签字确认流程评估结果和评价底稿是否BEnd满足要求批准明确评价范围AB与评价工作组讨论并重新评估与控制活动执行人和业务领域负责人共同讨论改进建议填写评价工作底稿编制内控缺陷认定汇总表控制缺陷类别认定形成认定意见董事会重大缺陷最终认定审阅批准内部控制评价报告内审部/评价部门8五部委配套《企业内部控制评价指引》解读—第三章内部控制评价的程序企业实施内部控制评价程序的具体流程负责对内部控制的有效性进行全面评价、形成结论，出具报告董事会负责内部控制评价的具体组织实施工作，控制缺陷的分析、复核、报告及跟踪内部控制评价部门（内部审计机构/其他专门机构）领导和监督内控评价工作审计委员会向董事会、监视会或者经理层报告发现的内控缺陷具体实施内部控制评价工作，并完成评价工作底稿评价工作组吸纳企业内部相关机构熟悉情况的业务骨干（注：对本部门评价工作实行回避制度）/可委托中介机构实施内控评价工作对内控评价报告真实性负责组建五部委配套《企业内部控制评价指引》解读—内部控制评价体系中各机构的角色及职责五部委配套《企业内部控制评价指引》解读—内部控制评价的测试方法测试方法个别访谈调查问卷专题讨论穿行测试实地查验抽样比较分析内部控制缺陷类型：设计缺陷和运行缺陷内部控制缺陷的认定：重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷财务报告内部控制缺陷的认定：一般通过定量的方式予以确定非财务报告内部控制缺陷的认定：定量和定性相结合的方式予以确定定量:既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定定性：可以根据缺陷潜在负面影响的性质、范围等因素确定五部委配套《企业内部控制评价指引》解读—第四章内部控制缺陷的认定•企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。•重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。五部委配套《企业内部控制评价指引》解读—第四章内部控制缺陷的认定内控评价结果内控评价工作底稿内控评价报告内控缺陷汇总表++编报涵盖内容董事会对内部控制报告真实性的声明内部控制评价工作的总体情况内部控制评价的依据内部控制缺陷的整改情况及重大缺陷拟采取的整改措施内部控制有效性的结论内部控制评价的范围内部控制评价的程序和方法内部控制缺陷及其认定情况应当分别对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露注：内部控制评价部门负责编制，报经董事会或类似权力机构批准，董事会对内部控制评价报告的真实性负责。五部委配套《企业内部控制评价指引》解读—第五章内部控制评价报告•内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制评价报告发出月之间是否发生影响内部控制有效性的因素，并根据其性质和影响程度对评价结论进行相应调整。•企业应当以12月31日作为年度内部控制评价报告的基准日，内部控制评价报告应于基准日后4个月内报出。•企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、工作底稿和证明材料等应当妥善保管五部委配套《企业内部控制评价指引》解读—第五章内部控制评价报告议程1《企业内部控制评价指引》解读2企业内部控制自评实务操作建设内部控制体系的路线图—内控自评阶段内控梳理对标内控整改固化内控评价制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计进行模拟审计提供所需证据出具管理声明披露审计报告内部控制应用指引内部控制评价指引内部控制审计指引内部控制基本规范管理层持续整改/内部监督持续开展16©2010德勤华永会计师事务所有限公司版权所有保留一切权利信息化建设各阶段工作解决方案分享－内控自评整体工作流开展内控评价跟踪缺陷整改编制内控评价报告内控自评内控梳理对标内控整改固化内控自评内控审计17制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告18制定评价工作方案—基本要素•确定自评范围（包括纳入单位、流程等）•确定自评内容（包括执行测试程序、认定内控缺陷、落实整改等）•自评人员和时间安排•自评工作费用预算•其他事项制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告制定评价工作方案—自评范围的确定以风险评估为基础，结合财务报表从定性，定量两方面进行分析，选择进行内控自我评估的下属板块、公司、相关业务及流程，确定自评范围。定量，即指将各专业公司财务报表科目数据与重要性水平进行比较，对于大于重要性水平的科目所对应的流程纳入评价范围。•管理层在选择重要性水平时，建议与外部审计师进行沟通，使用小于等于外部审计的重要性水平，有利于外部审计师认同公司的内部控制自我评估工作。•选择合并财务报表的关键财务指标：总资产、营业收入、税前利润等，根据各专业公司的具体情况确定定量门槛，将各专业公司从定量分析上划分为重要性高、中、低。定性，即指从管理层、各业务部门基于对公司情况的了解及风险认识，将有风险的事项与财务科目挂钩，将相关的流程纳入评价范围。同时结合各专业公司的管理水平进行分析。•在开展内控自我评估的第一年，可以仅以风险情况进行定性分析，在以后年度，则可以在完成内控自我评估后对机构进行内控评分，得出剩余风险，以确定其管理水平。制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告分支机构重要性分支机构的管理水平*实际风险水平自评频率高G中2年自评一次A中1－2年自评一次W高1年自评一次中G低3年自评一次A中1－2年自评一次W高1年自评一次低G低2－3年自评一次A低2－3年自评一次W低2－3年自评一次*机构管理水平分析：根据以往各机构管理水平的了解，以及过往审计发现的多寡，将机构的管理水平分为好（G）、可以接受（A）、弱（W）制定评价工作方案—自评范围的确定制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告确定不同单位和流程的自评频率示例：制定评价工作方案—自评范围的确定制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告确定纳入自评范围工作单位/流程底稿模板纳入单位纳入流程制定评价工作方案—自评内容的确定制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告详见后续“实施现场测试”、“认定控制缺陷”、“汇总评价结果”和“编制评价报告”各环节中的有关内容•确定自评工作内容示例：•计算纳入自评范围的分支机构与业务流程预计所需自评人员的人数和工作量。•结合年度其他项目所需人员数量和工作量，检查集团是否有足够的资源开展内控自我评估工作，以判断是否需要调整年度内控自评计划。•根据调整后与现有资源相适应的内控自评计划，安排自评人员和时间。•在安排内控自评人员时应考虑其专业胜任能力。制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告制定评价工作方案—人员和时间安排制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告制定评价工作方案—人员和时间安排•人员安排示例•时间安排示例制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告制定评价工作方案—费用预算•企业可以根据自身情况设计自评工作的费用预算（示例如右图）•回避原则：相关自评人员应该遵循《企业内部控制评价指引》第十四条的回避原则（“企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。”）•与外部审计的协调制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告制定评价工作方案—其他事项企业可以根据自身情况列举所需说明事项，例如：实施现场测试—内控自评测试表制定评价工作方案组成评价工作组实施现场测试认定控制