中国电信内控自我评估与鉴证的企业经验介绍

0内控自我评估与鉴证的企业经验介绍中国电信吕洪涵博士2008年9月1内控自我评估与鉴证的企业经验介绍内控评估体系及自评公司内控建设简介独立评估实务工作介绍外审的内控审计工作公司内控IT支撑系统简介对内控建设和评估工作的思考2香港资本市场的企业管制要求中国电信需要遵守香港和美国资本市场的监管要求美国萨班萨法案的法律要求企业管制：透过公司的组织架构、内部流程和监控机制，以提高公司长期价值和保证公司的财务健全。要求上市公司：对其披露的财务报告真实性负责，并建立有效的监控措施保证这种真实性。内控建设情况介绍3公司遵从SOX404的范围层次内容范围公司层面控制COSO的四个控制要素必须信息系统一般控制对程序和数据的访问程序变更程序开发系统运行最终用户计算部分与财务报告相关的IT系统操作层面控制手工控制自动控制COSO控制活动（业务流程）会计科目和披露事项的重要性风险4公司内控建设出发点国际上有COSO、COCO、Cadbury、King等内控框架，公司的内控建设和评估工作采用COSO框架(IT控制采用COBIT框架）作为标准和依据内控首先是满足监管底线要求SEC依据法案规定，公司内控应能保证其财务报告符合有关会计准则的要求。因此内控必须：确保各项交易活动均经过适当授权确保公司财产受到保护，避免未经批准或其他不正当使用公司财产的情况发生确保公司从事的交易活动的记录和报告符合有关要求其次是管理的需求以此为契机，进一步完善内控，保持并增强财务报告的真实性，使其为管理层提供更好的决策依据。5当前内控制度体系股份公司内控手册上册－公司层面控制中册－IT一般控制下册－业务流程层面控制总部及分公司的实施细则配套的权限列表其他内控制度、办法上述内控制度体系用以指导日常工作，同时也是开展内控自我评估，内控独立评估和外部审计师内控审计的依据。6公司层面控制7IT一般控制8业务流程层面控制9权限列表10手册构成要素一、业务流程范围1、所涉及的业务范围2、所涉及的部门范围3、所涉及的计算机系统和相关维护部门二、（控制）目标三、风险四、相关会计科目五、流程概述11内控建设成果建立了分级授权责任体系，强化了股份公司各专业部门对下的监督管理职能建立了以专业线为主的垂直管理、指导、监督机制，形成了上级对下级指导、检查，下级对上级负责的专业管理格局实现了内控责任在各级公司的落地公司各项基础管理工作开始走向系统化、制度化、流程化，实现了各项经营管理活动有规则、有流程、有标准、有监督、有记录树立和增强了内部控制整体框架的概念,深化了对内部控制的认识，提高了内控意识针对一些重大的内控问题开展整改工作，持续提升管理水平《内控管理暂行办法》、《内控责任追究办法》、《内控岗位职责说明书》《内控缺陷限期整改责任书》、《违规积分管理办法》、《内控自我评估工作考核细则》、《内控制度执行情况考核办法》进行有效管理和促进内控制度落实的基本制度和措施12内控自我评估与鉴证的企业经验介绍内控评估体系及自评公司内控建设简介独立评估实务工作介绍外审的内控审计工作公司内控IT支撑系统简介对内控建设和评估作的思考13自我评估独立评估评估体系内控责任人实施全覆盖的审查日常的基础工作第一道关内审人员实施重点抽查自评基础上的阶段性工作第二道关要发挥内审技术特长，为自评提供技术支持和业务指导，如设计自评程序、指导制定自评工作计划和自评工作质量标准。要发挥自评主体的信息优势和业务技能特长，一方面为内外部审计提供相关内控信息，另一方面可作为特聘业务专家，充实独立评估力量。以自评推进内控建设和执行，夯实基础工作，落实精确化管理。公司内控评估体系14自我评估的程序制定评估实施方案股份公司内控评估工作团队下达方案部署工作开展自我评估股份公司各部门股份公司所属单位汇总本部及下属单位自评结果形成本单位自评报告上报自评报告领导小组审议审核后提交内控股份公司审计部我评估报告汇总形成自依据改进计划落实改进措施依据改进计划落实改进措施15自我评估组织机构内部控制领导小组内部控制评估工作团队评估实施部门领导机构审计部门牵头、财务、市场、网发、法律、董办等部门负责人及相关人员组成流程评估牵头部门流程其他评估实施部门牵头进行对特定流程内控设计有效性的评估，并汇总流程执行有效性评估结果对本部门所负责的控制点的执行有效性进行评估，并配合设计有效性评估16审核批准内控自我评估计划及实施方案审议公司内控自我评估报告监督检查内控自我评估工作内部控制领导小组职责内部控制评估工作团队职责制定自评计划及实施方案，分解评估责任指导、协调各部门及所属单位的自评监督、检查本单位及所属单位自评工作质量—抽查评估底稿、复核评估报告审核汇总内控缺陷，讨论确认内控缺陷性质，提出改进建议审核公司本部及公司汇总自评报告，并提交股份公司内部控制领导小组审议自我评估组织机构的职责17牵头组织部门职责牵头制定自我评估计划及实施方案，牵头进行评估职责分解部署自评工作组织自评培训召集相关部门对自评过程中的有关问题进行研究为自评工作提供咨询组织汇总分部门评估结果，召集评估团队分析缺陷性质并提出改进建议，起草总部自评报告审核所属单位自评报告，组织评估团队汇总并整理内控缺陷，并判断缺陷性质和提出改进建议，起草股份公司自评报告自我评估实施部门职责制定本部门自我评估实施方案组织完成本部门所负责控制点自评工作，针对缺陷制定改进计划，出具本部门自评报告指导所属单位相关业务的自评工作自我评估组织机构的职责（续）18内控评估的报告机制各省级分公司、分支机构股份公司评估要点及时间安排自身情况内部控制评估计划自我评估计划独立评估计划自我评估独立评估自我评估结果独立评估结果股份公司审计部各单位年度内控评估报告内部控制管理层报告书股份年度内控评估报告报备报批股份公司内控评估评估工作团队审核内部控制领导小组审定19自我评估的沟通协调机制内部控制领导小组内部控制评估工作团队（牵头实施部门）评估实施部门(含流程评估牵头部门）指导监督方案报批汇报重大缺陷上报评估报告下达方案、提供底稿模板、提出质量要求协调解决出现的问题就缺陷界定、改进计划组织进行协商讨论牵头部门对工作底稿及报告进行审核流程评估牵头部门配合完成准备工作各评估实施部门提交本部门方案寻求技术支持提供阶段性信息，报告重大缺陷提交评估结果报告和评估工作底稿以及改进报告20自我评估的沟通协调机制（续）流程评估牵头部门流程其他评估实施部门牵头组织所负责流程内部控制设计有效性的评估工作并发表评估意见对所负责流程的评估工作进行指导及协调参与内控设计有效性的评估工作报送各流程控制点评估结果21自我评估的沟通协调机制（续）上级单位下级单位指导、监督、考核对自我评估结果进行审核把关并组织质询汇报评估方案、评估工作进度、评估结果及内控改进情况及时上报重大内控缺陷就评估中的有关问题向上级单位评估工作团队或对口专业部门寻求支持22自我评估项目实施程序省公司根据股份公司统一部署，制定本省自我评估实施方案，报经省公司内控领导小组审批后下达所属单位实施省公司制定省公司本部内部控制自我评估实施方案，经省公司内部控制领导小组审批后下达各部门实施评估内部控制五要素的总体情况评估内部控制设计的有效性；评估内部控制执行的有效性；汇总内部控制缺陷并制定改进计划各单位（部门）根据改进计划落实内部控制缺陷改进措施，并在规定时间内向上级单位（本单位）内部控制评估工作团队上报内部控制缺陷改进情况内部控制评估工作团队对内部控制缺陷改进情况进行审核，显著缺陷或实质性漏洞的改进情况，应报告内部控制领导小组准备阶段实施阶段报告阶段改进阶段汇总各部门、各流程评估结果，编制省公司本部自我评估报告汇总各所属单位评估结果，编制全省自我评估报告23自评项目准备阶段落实评估职责内部控制自我评估方案－评估责任分解表底稿索引号：评估实施部门控制点描述控制点编号内部控制自我评估方案－业务流程评估实施部门及牵头部门底稿索引号：流程评估牵头部门流程评估实施部门流程名称流程编号明确所有控制点的评估实施部门就每一子流程明确流程评估实施部门，并指定该流程的评估牵头部门24自评项目准备阶段（续）明确评估方法和工作要求自我评估实施前，评估工作团队应制定评估方法、抽样原则、评估报告格式、工作底稿格式等方面的工作要求，以统一标准，规范操作评估实施部门制定具体实施方案内部控制自我评估方案－部门实施方案底稿索引号：评估人控制点检查人控制点执行人评估方法控制点描述控制点编号评估时间范围：部门：25自评项目实施阶段评估内部控制四要素的总体情况责任部门：内部控制评估工作团队或牵头组织部门评估内容：COSO内控框架五要素评估方式：问卷调查、访谈公司内部控制四要素的自我评估结果将影响后续的流程层面控制活动的评估范围和方式。如果公司内部控制要素存在缺陷，在评估流程层面控制活动的有效性时，应适当扩大评估的范围，采取更谨慎的评估方式。评估IT一般控制26自评项目实施阶段（续）评估内部控制设计的有效性内控设计有效性评估以子流程为单位开展责任部门•子流程的评估牵头部门负责牵头组织•子流程其他评估实施部门参与并配合评估内容•分析内部控制失效的风险•针对查找出的风险，评估是否均存在相应的控制措施进行控制•评估既有的控制措施是否设计恰当评估方式•控制点执行人自我评估问卷•个别访谈•集体讨论27自评项目实施阶段（续）评估内部控制执行的有效性28自评项目报告阶段编制省公司本部自我评估报告评估实施部门向内部控制评估工作团队上报本部门的自我评估报告，流程评估牵头部门向内控评估工作团队上报分流程的自我评估报告。牵头组织部门对各部门自我评估工作进行复核。复核内容主要包括：•复核评估范围是否完整•抽查评估工作底稿，检查评估程序是否完整，评估方法和样本量是否符合评估质量要求，评估工作记录是否清晰，底稿编制是否规范•复核自我评估结论是否恰当，是否有充分可靠的评估证据做支撑，关于内控缺陷的潜在影响的分析判断是否正确•复核改进计划是否具体可行，责任是否落实牵头组织部门汇总各流程内部控制自我评估工作结果，起草省公司本部自我评估报告。自我评估报告经评估工作团队初步审议后，报内部控制领导小组审定。29自评项目报告阶段（续）编制全省自我评估报告省公司所属单位向省公司评估工作团队上报自我评估报告。省公司牵头组织部门在复核的基础上，汇总省公司本部自我评估结果和各所属单位评估结果，编制全省自我评估报告。自我评估报告的主要内容1、自我评估概况2、本省内部控制有效性结论3、评估中发现的内部控制缺陷（包括显著缺陷和实质性漏洞）及改进计划4、改进内部控制的建议5、附件：内部控制缺陷及改进计划汇总表公司应在自我评估报告中发表内部控制设计及执行是否有效的结论。如果经过评估发现一个或一个以上显著缺陷或实质性漏洞，则不能做出内部控制有效的结论，而应就评估发现的显著缺陷或实质性漏洞进行披露。30自评项目报告阶段（续）附件：内部控制缺陷及改进计划汇总表底稿索引号：编制单位：年月日已消除的一般性内部控制缺陷：尚未消除的一般性内部控制缺陷：显著缺陷：实质性漏洞：下一步改进计划缺陷未完全消除的原因目前的改进情况已采取的改进措施已造成或潜在的影响产生原因发生时间缺陷描述编号编制全省自我评估报告（续）31自评项目改进阶段内部控制缺陷改进计划实施情况表底稿索引号：部门/单位：时间：改进情况审核意见改进计划实施部门及责任人实际完成日期计划完成日期改进措施详述缺陷描述编号各单位（部门）落实内控缺陷改进措施，并上报改进情况内控评估工作团队对内控缺陷改进情况进行审核，显著缺陷和实质性漏洞的改进情况应报内控领导小组审核32自评工作底稿自我评估工作底稿的基本要求编制评估工作底稿的要求应当做到内容完整、格式规范、记录清晰、结论明确。评估工作底稿要包括足够的信息，清晰记录测试的方法、时间、范围和结果，以及取得的证据和做出的结论，并能够证明评估工作是按照股份公司的规定或要求进