德勤中国企业建立健全内部控制研讨会

《德勤中国企业建立健全内部控制研讨会》由会员分享，可在线阅读，更多相关《德勤中国企业建立健全内部控制研讨会（68页珍藏版）》请在金锄头文库上搜索。

1、.德勤中国企业建立健全内部控制研讨会德勤 企业风险管理服务2008年9月2008 德勤2议程议程上午上午主题一主题一主题二主题二下午下午主题三主题三主题四主题四讨论讨论 2008 德勤中国内控监管要求发展及中国内控监管要求发展及企业内部控制基本规范企业内部控制基本规范介绍介绍如何建立和评价内部控制体系如何建立和评价内部控制体系经验分享上汽经验分享上汽经验分享东航经验分享东航如何高效地建立健全内控体系？如何高效地建立健全内控体系？主题一：中国内控监管要求发展主题一：中国内控监管要求发展及及企业内部控制基本规范企业内部控制基本规范介介绍绍.1ab24主题一：中国内控监管要求发展及主题一：中国内控监

2、管要求发展及企业内部控制基本规范企业内部控制基本规范介绍介绍中国内部控制相关规定的发展中国内部控制相关规定的发展中国内部控制相关规定发展历程中国内部控制相关规定发展历程我国内部控制相关的监管要求我国内部控制相关的监管要求企业内部控制基本规范企业内部控制基本规范介绍介绍 2008 德勤5中国内部控制相关规定发展历程中国内部控制相关规定发展历程中国中国“银广厦事银广厦事件件”、美国、美国“安然安然事件事件”中国人民银行发布更新后的商业银行内部控制指引中国证券监督委员会出台证券公司内部控制指引中国证监会10月出台关于提高上市公司质量意见，国务院10月19日就进行了批转【国发（2005）34号】，这是

3、国务院首次就上市公1997年年2001年年2002年年2003年年2004年年2005年年4月月司工作批转发布文件2005年年10月月上交所率先提出上交所率先提出法规法规中国人民银行印发加强金融机构内部控制的指导原则财政部在2001年起提出了在新形势下加强单位内部会计监督的要求，逐步发行了一系列的内部会计控制规范中国银行业监督委员会出台的商业银行内部控制评价试行办法中国注册会计师协会呼应财政部的工作，为规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量，在2002年发布了内部控制审核指导意对上市公司内控对上市公司内控的全面要求的全面要求为推动上海证券交易所上市公司建立健全内部控制制

4、度，提升公司风险管理水平，保护投资者的合法权益，上海证券交易所根据上海证券交易所股票上市规则等规定，制定上海证券交易所上市公司内部控制制度指引(征求意见稿)见等 2008 德勤6中国内部控制相关规定发展历程中国内部控制相关规定发展历程在中国，内部控制和风险管理制度的发展随着对上市公司信息要求的提高和国际在此领域的发展而快速发展，尤其在2005年10月国务院国务院批转证监会关于提高上市公司质量意见的通知之后，开始进一步加速。2006年5月17日，中2006年年5月月 2006年年6月月 2006年年7月月2007年年3月月2008年年6月月国证券监督管理委员会令第32号首次公开发行股票并上市管理

5、办法，其中第29条规定“第二十九条发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告。”7月15日，财政部发起成立企业内部控制标准委员会；中国注册会计师协会发起成立会计师事务所内部治理指导委员会法规法规6月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知”对公司的细则对公司的细则3月3日，财政部发布关于印发企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知对公司的细则对公司的细则2006年9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知，法规法

6、规法规法规2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会,发布了企业内部控制基本规范以及企业内部控制评价指引、企业内部控制应用指引和中注协主持起草的企业内部控制鉴证指引等配套规范的征求意见稿。 2008 德勤1ab27主题一：中国内控监管要求发展及主题一：中国内控监管要求发展及企业内部控制基本规范企业内部控制基本规范介绍介绍中国内部控制相关规定的发展中国内部控制相关规定的发展中国内部控制相关规定发展历程中国内部控制相关规定发展历程我国内部控制相关的监管要求我国内部控制相关的监管要求企业内部控制基本规范企业内部控制基本规范介绍介绍 2008 德勤知

7、稿）我国内部控制相关的监管要求我国内部控制相关的监管要求1国务院国务院/证监会层面证监会层面规定证监会：国务院批转证监会的通内容摘要要求：“上市公司要加强内部控制制度建设,强化内部管理,对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进出台日期2005-10-19生效日期发布之日行核实评价,并披露相关信息。”国务院法制办:上市公司监督管理条例（征求意见上市公司董事会应当对公司内部控制制度及其完整性、合理性和有效性进行自我检查和评估，并在上市公司年度报告中披露自我检查和评估结果。2007-9-7发布之日负责上市公司财务

8、会计报告审计业务的会计师事务所应当对公司内部控制制度及其执行情况、董事会的自我评估进行评价。上市公司应当在年度报告中披露会计师事务所的评价结果。证监会:第32号令首次公开发行股票并上第二十九条 发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告。2006-5-172006-5-18市管理办法 2008 德勤88到稿）引。我国内部控制相关的监管要求我国内部控制相关的监管要求2 财政部层面财政部层面规定财政部：内容摘要在2001年起逐步发行了一系列的内部会计控制规出台日期2001-6-22生效日期发布之日内部会计控制规范范。此规范以单位内部会计控制为主，同时兼

9、顾与会计相关的控制。主要包括：货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制2004-10-10起执行财政部等5部委：企业内部控制基本规范财政部发布企业内部控制基本规范，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，并应委托从事内部控制审计的2008-6-282009-7-1会计师事务所对企业内部控制的有效性进行审计，出具审计报告。财政部等5部委：企业内部控制应用指引（征求意见财政部发布关于印发企业内部控制应用指引（征求意见稿）的通知 ，包括资金，采购，存货，销售，工程项目，固定资产，无形资产，长期股权投2

10、008-6-28尚未明确资，筹资，预算，成本费用，担保，合同协议，业务外包，对子公司的控制，财务报告编制与披露，人力资源政策，信息系统一般控制，衍生工具，企业并购，关联交易，内部审计。共22项分流程的具体指财政部等5部委：企业内部控制评价指引（征求意见稿） 2008 德勤为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。2008-6-28尚未明确991我国内部控制相关的监管要求我国内部控制相关的监管要求3交易所层面交易所层面规定上海证券交易所：上海证券交易所上市公司内部控制内容摘要要求上市公

11、司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。出台日期2006-06-04生效日期2006-7-1指引深圳证券交易所：上市公司应当于每个会计年度结束后四个月内将内2006-09-282007-7-1上市公司内部控制指引 2008 德勤部控制自我评价报告和注册会计师评价意见报送本所，并与年度报告全文同时对外披露。100会：11我国内部控制相关法规对审计师的要求我国内部控制相关法规对审计师的要求规定中国注册会计师协内容摘要中国注册会计师协会呼应财政部的工作，为规范注册会出台日期2002-2-2生效日期2002-5-1计师执行内

12、部控制审核业务，明确工作要求，保证执业内部控制审核指导意见质量，在2002年发布了内部控制审核指导意见等财政部：财政部为指导注册会计师执行企业内部控制鉴证业务，2008-6-28尚未明确企业内部控制鉴证指引（征求意见稿） 2008 德勤明确工作要求，保证执业质量，制定企业内部控制鉴证指引（征求意见稿），要求对企业内部控制的有效性出具鉴证意见。1112主题一：中国内控监管要求发展及主题一：中国内控监管要求发展及企业内部控制基本规企业内部控制基本规范范介绍介绍中国内部控制相关规定的发展中国内部控制相关规定的发展财政部财政部企业内部控制基本规范企业内部控制基本规范介绍介绍 2008 德勤12内部环内

13、部环内部内部监督监督境境信信息息与与沟沟通通企业内部控制基本规范企业内部控制基本规范简介简介财政部、证监会、审计署、银监会、保监会于财政部、证监会、审计署、银监会、保监会于2008年年6月月28日联合发布日联合发布了了企业内部控制基本规范企业内部控制基本规范，共七章五十条，适用于在中华人民共和，共七章五十条，适用于在中华人民共和国境内设立的大中型企业：国境内设立的大中型企业： 要求上市公司于2009年7月1日起开始实施，执行基本规范的上市公司，应当附则附则总总则则对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计；企业

14、内部控制基企业内部控制基本规范本规范 鼓励非上市的其他大中型企业执行； 小企业和其他单位可以参照本规范建立与实施内部控制。控制活控制活动动风风险险评评估估 2008 德勤13内涵内涵目标目标要素要素企业内部控制基本规范企业内部控制基本规范简介简介界定内部控制界定内部控制定位内部控制定位内部控制确定内部控制确定内部控制原则原则构建内部控制构建内部控制建立内部控制建立内部控制实施机制实施机制 2008 德勤强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、

15、提高经营效率和效果的基础上，着力促进企业实现发展战略。要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托进会计师事务所对本企业内部控制的有效性行审计，出具审计报告。1

16、4中国对内部控制监管的最新要求中国对内部控制监管的最新要求企业内部控制基本规范企业内部控制基本规范 2008 德勤15中国对内部控制监管的最新要求中国对内部控制监管的最新要求企业内部控制基本规范企业内部控制基本规范 我国内部控制概念基本借鉴了我国内部控制概念基本借鉴了COSO报告的理论研究成果，即以五要素为框架，适当体报告的理论研究成果，即以五要素为框架，适当体现了现了“企业风险管理企业风险管理整体框架整体框架”中提出的八要素的先进理念。中提出的八要素的先进理念。 从目标上看，我国的内部控制概念提出了从目标上看，我国的内部控制概念提出了1. 企业战略；企业战略；2. 经营的效率和效果；经营的效

17、率和效果；3. 财务报告及管理信息的真实、可靠和完整；财务报告及管理信息的真实、可靠和完整；4. 资产的安全完整；资产的安全完整；5. 遵守国家法律法规和有关监遵守国家法律法规和有关监管要求等五项基本目标。管要求等五项基本目标。 2008 德勤16经营效益和效果财务报告真及实管完理整信息资产的完安整全遵规守国和有家法关律求监管法要企业战略董事会监事会经理层全体人员内部控制基本规范中描述的内控框架内部控制基本规范中描述的内控框架五部委联合发布企业内部控制基本规范对内控制度设计充分保证信息能及时有效地沟通的流程来自高级管理层的信息政策及流程培训道德标准IT信息系统对内部、外部影响企业的因素的评估内

18、 部 环 境集团层面的风险评估流程层面的风险评估注：根据 五部委联合发布企业内部控内部 监 督信 息 沟 通控 制 活 动风 险 评 估内 部 环 境企业内部控制的道德意识，是“来自高层的声音”道德标准高级管理层价值观性，执行有效性进行监督达到控制目标的活动和经营程序授权批准日常操作流程及系统职责分离会计对帐财务和管理软件中的自动控制制基本规范的第二、三、 五条制作 2008 德勤公司治理17中国对内部控制监管的最新要求中国对内部控制监管的最新要求 企业内部控制基本规范企业内部控制基本规范的意义的意义 基本规范的意义：基本规范的意义： 基本规范基本规范的制定发布，为企业加强内部控制建设提供了基

19、础性、权威的制定发布，为企业加强内部控制建设提供了基础性、权威性的指引，必将有利于提高企业公司经营管理水平和风险防范能力；性的指引，必将有利于提高企业公司经营管理水平和风险防范能力； 进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制，被进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制，被认为是国内企业治理国际化的重要里程碑；认为是国内企业治理国际化的重要里程碑； 为我国内部控制体系建设提供了统一的技术标准，为我国内部控制体系建设提供了统一的技术标准，并与国际接轨。并与国际接轨。 2008 德勤18企业内部控制基本规范企业内部控制基本规范的特点的特点1. 强调了企业内外对

20、内部控制的投入和监管力度在总则中有关会计师事务所的表述v一方面，要求负责内部控制咨询的会计师事务所，不得为同一企业提供内部控制审计服务，以保持事务所的独立性；v另一方面，规定了国家有关监管部门应当对会计师事务所从事内部控制审计的执业质量进行监督检查的内容，以加强对事务所开展此类业务的监管。 2008 德勤1919战略企业内部控制基本规范企业内部控制基本规范的特点的特点2. 强调了信息的外部沟通：企业内部控制基本规范要求企业应当规范信息沟通的渠道、方式和程序，促进内部控制相关信息在企业内部各管理层级、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面

21、之间的沟通和反馈。3. 适用范围：2007版企业内部控制基本规范征求意见稿规定，“本规范适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业。”而基本规范将“境内的大型企业”扩大为“境内设立的大中型企业”。 2008 德勤2020战略企业内部控制基本规范企业内部控制基本规范的特点的特点4. 强化了反舞弊机制与信息与沟通相结合：企业内部控制基本规范要求企业将可能损害投资者利益的下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；董事、监事、高级管理人员滥用职权；相关

22、机构或者人员串通舞弊；结合企业经营特点确定的其他舞弊情形。 2008 德勤2121战略企业内部控制基本规范企业内部控制基本规范的特点的特点5. 在内部监督和公司治理结构方面更好地与国际接轨内控机构由“有条件再设立”，变为“必须有专门或指定机构”；有关内部审计机构：企业应当加强内部审计工作，保证内部审计机构设置、人员配备及其工作开展的独立性。内部审计机构对审计过程中发现的与内部控制相关的重大问题，有权直接向董事会及其审计委员会报告。对审计委员会负责人主席任命，具有更强的普遍适用性：企业可以根据股东（大）会决议和治理结构，在董事会下设立审计委员会。审计委员会成员应当具备相应的独立性、良好的职业操守

23、和专业胜任能力。上市公司的审计委员会负责人原则上应当由独立董事担任。 2008 德勤2222企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）共五章三十七条：共五章三十七条：第一章第一章第二章第二章第三章第三章第四章第四章第五章第五章 2008 德勤总章总章内部控制评价的内容和标准内部控制评价的内容和标准内部控制评价的程序和方法内部控制评价的程序和方法内部控制缺陷认定和评估报告内部控制缺陷认定和评估报告附则附则23企业内部控制应用指引企业内部控制应用指引（征求意见稿）（征求意见稿）企业内部控制应用指引企业内部控制应用指引（2008年征求意见稿）年征求意见稿）22项项 2008

24、 德勤资金采购存货销售工程项目固定资产长期股权投资筹资 预算 成本费用 担保 合同协议 对子公司的控制 人力资源政策 信息系统一般控制 财务报告编制与披露 无形资产 衍生工具 企业并购 关联交易 内部审计 业务外包24企业内部控制应用指引企业内部控制应用指引（征求意见稿）（征求意见稿）除对子公司的控制、关联交易和内部审计应用指引外，基本每项包括三除对子公司的控制、关联交易和内部审计应用指引外，基本每项包括三部分内容：部分内容：总则总则制定的依据制定的依据相关定义相关定义关注的主要风险关注的主要风险关键的控制领域关键的控制领域职责分工与授权批准职责分工与授权批准不兼容岗位及轮岗要求不兼容岗位及轮

25、岗要求业务素质和职业道德的要求业务素质和职业道德的要求授权审批制度授权审批制度业务流程的制定业务流程的制定 2008 德勤具体业务的控制具体业务的控制25企业内部控制鉴证指引企业内部控制鉴证指引（征求意见稿）（征求意见稿）共八章一百条：共八章一百条：第一章第一章第二章第二章第三章第三章第四章第四章第五章第五章第六章第六章第七章第七章第八章第八章 2008 德勤总章总章制定鉴证计划制定鉴证计划实施鉴证工作实施鉴证工作评价控制缺陷评价控制缺陷完成鉴证工作完成鉴证工作鉴证报告鉴证报告工作底稿工作底稿附则附则26企业内部控制鉴证指引企业内部控制鉴证指引（征求意见稿）（征求意见稿）q 目的：指导注册会计

26、师执行企业内部控制鉴证业务，明确工作要求，目的：指导注册会计师执行企业内部控制鉴证业务，明确工作要求，保证执业质量保证执业质量q 定义：企业内部控制鉴证是指会计师事务所接受委托，对企业与财务定义：企业内部控制鉴证是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见报告相关的内部控制的有效性进行鉴证，并发表鉴证意见q 相关职责：按照国家有关法律法规的要求，设计、实施和维护有效的相关职责：按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是企业管理层的责任。按照本指引的要内部控制，并评估其有效性是企业管理层的责任。按照本指引的要求，在实施

27、鉴证工作的基础上对内部控制有效性发表鉴证意见，是注求，在实施鉴证工作的基础上对内部控制有效性发表鉴证意见，是注册会计师的责任。内部控制鉴证不能减轻管理层的责任。册会计师的责任。内部控制鉴证不能减轻管理层的责任。 2008 德勤27企业内部控制鉴证指引企业内部控制鉴证指引（征求意见稿）（征求意见稿）重要内容重要内容 范围的确定以风险评估为基础范围的确定以风险评估为基础 利用他人的工作利用他人的工作 使用与财务报表审计相同的重要性水平使用与财务报表审计相同的重要性水平 企业层面控制的测试企业层面控制的测试 流程层面控制的测试流程层面控制的测试 控制缺陷的评价：控制缺陷的评价： 缺陷、应关注缺陷、重

28、大缺陷缺陷、应关注缺陷、重大缺陷 鉴证意见：无保留意见、否定意见、无鉴证意见：无保留意见、否定意见、无法表示意见法表示意见 2008 德勤28对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 财政部等五部委联合发布企业内部控制基本规范的背景是什么？ 2008 德勤29对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 规范与其他国家同类型的法律法规相比有何特点和优势？ 2008 德勤30对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 规范的出台会给中国企业带来什么影响？ 20

29、08 德勤31对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 实施规范对于企业加强风险管理有什么作用？ 2008 德勤32对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 实施企业内部控制基本规范，会不会给企业带来额外负担并增加成本？ 2008 德勤33对于出台的企业内部控制基本规范存在的普遍问题对于出台的企业内部控制基本规范存在的普遍问题 实施企业内部控制基本规范后是否可以完全遏制舞弊，或防止财务丑闻的出现？ 2008 德勤34主题二：如何建立和评价内部主题二：如何建立和评价内部控制体系控制体系.12主题二：如

30、何建立和评价内部控制体系主题二：如何建立和评价内部控制体系企业如何建立其内部控制体系企业如何建立其内部控制体系企业如何评价其内部控制体系企业如何评价其内部控制体系 2008 德勤36内部控制体系的定义及目标内部控制体系的定义及目标企业内部控制基本规范企业内部控制基本规范内部控制是指由企业董事会、监事会、管理层和全体员工共同实施的、旨在实现内部控制是指由企业董事会、监事会、管理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证控制目标的过程。内部控制的目标是合理保证:企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略 2008 德勤

31、37经营效益和效果财务报告真及实管完理整信息资产的完安整全企董事会监事会经理层全体人员遵规守国和有家法关律求监管法要业战略构建企业内部控制体系的要素构建企业内部控制体系的要素企业内部控制基本规范企业内部控制基本规范五部委联合发布企业内部控制基本规范企业建立有效的内部控制，至少应当考虑以下基本要素：企业建立有效的内部控制，至少应当考虑以下基本要素：内部环境风险评估控制活动信息与沟通内部监督内 部 环 境 2008 德勤内部 监 督信 息 沟 通控 制 活 动风 险 评 估内 部 环 境38如何构建企业内部控制体系如何构建企业内部控制体系内部环境内部环境规范公司治理结构及议事规则规范公司治理结构及

32、议事规则审视内部机构的设置，明确职责、权利和责任，建立岗位职责说明审视内部机构的设置，明确职责、权利和责任，建立岗位职责说明建立审批权限和授权机制建立审批权限和授权机制保证内部审计机构设置、人员配备和工作的独立性保证内部审计机构设置、人员配备和工作的独立性制定和实施有利于企业可持续发展的人力资源政策制定和实施有利于企业可持续发展的人力资源政策制定员工聘用标准，加强员工培训和教育制定员工聘用标准，加强员工培训和教育通过各种渠道加强文化建设，强化风险意识，加强法制教育通过各种渠道加强文化建设，强化风险意识，加强法制教育员工行为守则员工行为守则成立专门机构或指定适当机构具体负责组织协调内控的建立实施

33、及成立专门机构或指定适当机构具体负责组织协调内控的建立实施及日常工作日常工作 2008 德勤39公司治理架构公司治理架构 2008 德勤40审批权限举例审批权限举例费用费用预算内资本性支出预算内资本性支出 预算外资本性支出预算外资本性支出XXXXXXXXXXXX总经理财务总监营运总监部门经理125,00050,00037,50010,000125,00050,00037,5005,00050,00025,00012,500 2008 德勤41如何构建企业内部控制体系如何构建企业内部控制体系风险评估风险评估建立风险评估机制以建立风险评估机制以确定风险承受度确定风险承受度识别内部、外部风险识别内部

34、、外部风险采用定性与定量相结合的方法，对风险进行分析和排序，采用定性与定量相结合的方法，对风险进行分析和排序，确定关注重点和优先控制的风险确定关注重点和优先控制的风险根据风险评估的结果，结合风险承受度，权衡风险与收根据风险评估的结果，结合风险承受度，权衡风险与收益，确定风险应对策略益，确定风险应对策略持续收集与风险变化相关的信息，进行风险识别和风险分持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略析，及时调整风险应对策略 2008 德勤42如何构建企业内部控制体系如何构建企业内部控制体系控制活动控制活动参考参考基本规范应用指引基本规范应用指引，确定各种业务和事项的，确

35、定各种业务和事项的控制目标并设计控制活动控制目标并设计控制活动手工控制与自动控制相结合手工控制与自动控制相结合预防性控制与发现性控制相结合预防性控制与发现性控制相结合常用的控制活动包括：常用的控制活动包括：不相容职务分离不相容职务分离授权审批授权审批会计系统会计系统财产保护财产保护预算预算运营分析运营分析绩效考评绩效考评建立重大风险预警机制和突发事件应急处理机制建立重大风险预警机制和突发事件应急处理机制 2008 德勤43如何构建企业内部控制体系如何构建企业内部控制体系流程层面不兼容职责分离举例流程层面不兼容职责分离举例A：采购申请：采购申请B：采购审批：采购审批C：采购验收：采购验收D：费用

36、支付申请：费用支付申请E：费用支付审批：费用支付审批F：应付账款的审批：应付账款的审批G：应付账款的入账：应付账款的入账 2008 德勤44如何构建企业内部控制体系如何构建企业内部控制体系流程层面控制目标和控制活动举例流程层面控制目标和控制活动举例控制目标控制目标控制活动控制活动除不列入采购流程的报销与付款以外的采购需求都由申请部门根据实际消耗或需求提出采购申请，填写“采购申请单”；申请部门负责人签字确认。确保采购申请有效且符合公司利益 2008 德勤5,000元人民币采购估算金额 20,000元人民币，由申请部门负责人和归口部门负责人批准；采购估算金额 20,000元人民币，经申请部门负责人

37、和归口部门负责人批准后，由公司分管领导批准。所有采购申请单均须送达财务部，由财务部进行预算审核。45如何构建企业内部控制体系如何构建企业内部控制体系信息与沟通信息与沟通建立信息与沟通制度，明确内部控制相关信息的收集、处建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序理和传递程序加强信息系统控制加强信息系统控制建立反舞弊机制建立反舞弊机制建立举报投诉制度和举报人保护制度并及时传达至全体员建立举报投诉制度和举报人保护制度并及时传达至全体员工工 2008 德勤46建立有效的举报投诉制度的考虑要点建立有效的举报投诉制度的考虑要点匿名举报匿名举报举报热线电话号码、邮箱向全体员工传达举报热线

38、电话号码、邮箱向全体员工传达举报热线电话号码、邮箱向客户、供应商等外部利益相关举报热线电话号码、邮箱向客户、供应商等外部利益相关方公开方公开对于高级管理层的举报渠道直接通往审计委员会对于高级管理层的举报渠道直接通往审计委员会举报及其调查结果记录在案并定期向审计委员会报告举报及其调查结果记录在案并定期向审计委员会报告如跨国，语言的考虑及时差的考虑如跨国，语言的考虑及时差的考虑 2008 德勤47如何构建企业内部控制体系如何构建企业内部控制体系内部监督内部监督制定内部控制监督制度，明确内部审计机构和其他机构在制定内部控制监督制度，明确内部审计机构和其他机构在内部监督中的职责权限，规范内部监督的程序

39、、方法和要内部监督中的职责权限，规范内部监督的程序、方法和要求求制定内部控制缺陷认定标准制定内部控制缺陷认定标准跟踪内部控制缺陷整改情况，并就内部监督中发现的重大跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或责任人的责任缺陷，追究相关责任单位或责任人的责任定期对内部控制的有效性进行自我评价，出具内部控制自定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告我评价报告以书面或其他适当形式妥善保存内部控制建立与实施过程以书面或其他适当形式妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建设与实施过程的中的相关记录或者资料，确保内部控制建设与实施过

40、程的可验证性可验证性 2008 德勤48如何构建和完善企业内部控制体系如何构建和完善企业内部控制体系项目阶段项目阶段建议时间安排建议时间安排财政部财政部企业内部企业内部控制基本规范控制基本规范深交所深交所上市公司上市公司内部控制指引内部控制指引4-6周周第第11-14，16条条要求要求第第13、59条要求条要求6-12周周第第6， 28-36条要条要求求第第5-13条要求条要求4-8周周第第45条要求条要求第第12，59条要求条要求8-16周周第第44-47条要求条要求第第60-61条要求条要求2-6周周第第10条要求条要求第第62-63、66条条要求要求 2008 德勤4912主题二：如何建

41、立内部控制体系主题二：如何建立内部控制体系企业如何建立其内部控制体系企业如何建立其内部控制体系企业如何评价其内部控制体系企业如何评价其内部控制体系 2008 德勤50企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）定义和原则定义和原则 内部控制评价，是指由企业董事会和管理层实施的，对企内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。能够为控

42、制目标的实现提供合理的保证。 评价原则评价原则 风险导向原则风险导向原则 一致性原则一致性原则 公允性原则公允性原则 独立性原则独立性原则 成本效益原则成本效益原则 2008 德勤51企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）内部控制评价内容和标准内部控制评价内容和标准 涵盖内部环境、风险评估、控制活动、信息与沟通、内部涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素监督等要素 设计有效性和运行有效性设计有效性和运行有效性 信息系统有效性，包括信息系统一般控制和信息系统应用信息系统有效性，包括信息系统一般控制和信息系统应用控制控制 根据根据企业内部控制基本

43、规范企业内部控制基本规范及其应用指引的有关规定及其应用指引的有关规定建立与实施内部控制，并以此为依据和标准组织开展内部建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作控制评价工作 2008 德勤52企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）内部控制评价程序和方法内部控制评价程序和方法评价程序和方法：评价程序和方法：1.制定评价方案（目的、范围、组织、标准、方法、进度安制定评价方案（目的、范围、组织、标准、方法、进度安排和费用预算等）排和费用预算等）评价范围的确定应遵循风险导向、自上而下的原则来确定评价范围的确定应遵循风险导向、自上而下的原则来确定需要评价

44、的分支机构、重要业务单元、重点业务领域或流程环节需要评价的分支机构、重要业务单元、重点业务领域或流程环节2.实施评价活动（个别访谈法、调查问卷法、比较分析法、实施评价活动（个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法）专题讨论会法）3.编制评价报告编制评价报告 2008 德勤53企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）内部控制评价程序和方法（续）内部控制评价程序和方法（续）判断内部控制设计与运行有效性时应充分考虑：判断内部控制设计与运行有效性时应充分考虑：1.

45、是否针对风险设置了合理的细化控制目标是否针对风险设置了合理的细化控制目标2.是否针对细化控制目标设置了对应的控制活动是否针对细化控制目标设置了对应的控制活动3.相关控制活动是如何运行的相关控制活动是如何运行的4.相关控制活动是否得到了持续一致的运行相关控制活动是否得到了持续一致的运行5.实施相关控制活动的人员是否具备必需的权限和能力实施相关控制活动的人员是否具备必需的权限和能力 2008 德勤54企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）内部控制缺陷认定内部控制缺陷认定 设计缺陷和运行缺陷设计缺陷和运行缺陷 未实现规定的控制目标未实现规定的控制目标 未执行规定的控制活

46、动未执行规定的控制活动 突破规定的权限突破规定的权限 不能及时提供控制运行有效的相关证据不能及时提供控制运行有效的相关证据 一般缺陷、重要缺陷和重大缺陷（实质性漏洞）一般缺陷、重要缺陷和重大缺陷（实质性漏洞） 定量和定量和定性等方面进行衡量定性等方面进行衡量 为实现某一整体控制目标而设计或运行的控制存在一个或多为实现某一整体控制目标而设计或运行的控制存在一个或多个重大缺陷时，针对该项整体控制目标的内部控制无效个重大缺陷时，针对该项整体控制目标的内部控制无效 2008 德勤55企业内部控制评价指引企业内部控制评价指引（征求意见稿）（征求意见稿）内部控制评估报告内部控制评估报告年度内部控制评价报告

47、至少应当包括下列内容：年度内部控制评价报告至少应当包括下列内容：1. 内部控制评价的目的和责任主体内部控制评价的目的和责任主体2. 内部控制评价的内容和所依据的标准内部控制评价的内容和所依据的标准3. 内部控制评价的程序和所采用的方法内部控制评价的程序和所采用的方法4. 衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法5. 被评估的内部控制整体目标是否有效的结论被评估的内部控制整体目标是否有效的结论6. 被评估的内部控制整体目标如果无效，存在的重大缺陷及其可被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响能的影响7. 造成重大缺

48、陷的原因及相关责任人造成重大缺陷的原因及相关责任人8. 所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等措施及补救措施的实施计划等 2008 德勤56评价内部控制体系的有效工具内控手册评价内部控制体系的有效工具内控手册问题：问题： 企业是否建立了内部控制？（如何证明其存在） 企业建立的内部控制是否有效？（衡量内部控制是否有效应衡量其设计有效性和执行有效性）有效性）解决方法：解决方法： 通过内控手册中的控制目标和控制活动的对标（即：内部控制设计有效性评估）并将之书面化，反映了之书面化，反映了1、企业管理层建立了

49、内部控制；、企业管理层建立了内部控制；2、已建立的内部控制在设计上是有、已建立的内部控制在设计上是有效的。效的。 内控手册中的控制活动是各级企业管理层进行内部控制执行有效性的抓手，对已建立内控活动执行有效性由稽核部门进行测试以确保其得到贯策执行。内控活动执行有效性由稽核部门进行测试以确保其得到贯策执行。 2008 德勤57内控手册内控手册何谓内控手册何谓内控手册 内控手册是从内部控制的角度按通行的内控框架记录企业关键内部控制内控手册是从内部控制的角度按通行的内控框架记录企业关键内部控制活动的一种体系文件活动的一种体系文件 内控手册包括控制矩阵，流程图、辅以适当的文字说明内控手册包括控制矩阵，流

50、程图、辅以适当的文字说明 内部控制活动设置在业务活动发生的流程中因而按企业经营流程归类描内部控制活动设置在业务活动发生的流程中因而按企业经营流程归类描述，所以内控手册是一种程序性的文件述，所以内控手册是一种程序性的文件 内部控制不等于流程内部控制不等于流程 内控手册的核心是内控框架内控手册的核心是内控框架5要素及相关的控制目标和控制活动要素及相关的控制目标和控制活动 2008 德勤58内控手册简介内控手册简介内控手册举例（简要文字说明）内控手册举例（简要文字说明） 2008 德勤59内控手册简介内控手册简介内控手册举例（流程图辅以控制活动说明）内控手册举例（流程图辅以控制活动说明）控制活动：R

51、E-1A-1根据公司政策要求，客户调查表须包括客户的背景资料。RE-1A-2销售经理审核客户调查表，并在客户调查表上签署意见，决定是否参加客户招标。RE-1A-3北京公司合规部做有关客户调查，查看是否该客户在公司禁止合作的公司范围内，并书面回复工厂是否批准参加投标。RE-1A-4总经理按照公司审批权限书面批准客户信用额度申请单。 2008 德勤60内控手册简介内控手册简介内控手册举例（控制矩阵）内控手册举例（控制矩阵） 2008 德勤61内控手册内控手册内控手册内控手册VS其他文件其他文件企业文件体系通常包括：企业文件体系通常包括：1、治理类文件：、治理类文件：如公司章程、董事会、监事会及其他

52、各专业委员会的章程及相关文件、决议等2、程序性文件（包括内控、程序性文件（包括内控手册及其他流程性文件如手册及其他流程性文件如ISO认证体系文件等）如销认证体系文件等）如销售流程、采购流程等售流程、采购流程等3、以管理关注领域为组织形式的各管理制度、以管理关注领域为组织形式的各管理制度/规定规定/办法：办法：如合同管理、印章管理、档案管理、绩效考核说明等4、其他类文件：、其他类文件：如会计政策/制度、员工手册、企业文化相关文件等 2008 德勤62.主题三：经验分享上汽主题三：经验分享上汽.主题四：经验分享东航主题四：经验分享东航.讨论：讨论：如何高效地建立健全内控体系？如何高效地建立健全内控

53、体系？如何高效地建立健全内控体系如何高效地建立健全内控体系 您认为应由哪个部门来牵头实施内控建设的项目？您认为应由哪个部门来牵头实施内控建设的项目？ 您认为可能遇到的最大的障碍和阻力是什么？您认为可能遇到的最大的障碍和阻力是什么？ 如何充分利用企业已有的基础，如现有的政策、管理制度、如何充分利用企业已有的基础，如现有的政策、管理制度、ISO文档文档等？等？ 企业内部是否有恰当的人力资源来开展这项工作？完全依靠内部资源还企业内部是否有恰当的人力资源来开展这项工作？完全依靠内部资源还是适当使用外部资源？怎样的方式比较高效？是适当使用外部资源？怎样的方式比较高效？ 2008 德勤66总结与答疑总结与

54、答疑.Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, its member firms, and theirrespective subsidiaries and affiliates. As a Swiss Verein (association), neither Deloitte Touche Tohmatsu nor any ofits member firms has any liability for each others acts or omissions. Each of

55、the member firms is a separate andindependent legal entity operating under the names “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu”,or other related names. Services are provided by the member firms or their subsidiaries or affiliates and not bythe Deloitte Touche Tohmatsu Verein.2008 Deloitte Touche Tohmatsu. All rights reserved. 2008 德勤68