《第八章内部控制评价概论课件》由会员分享,可在线阅读,更多相关《第八章内部控制评价概论课件(81页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制学(第二版)企业内部控制学(第二版)案例引入:常电公司开展内部控制自我评价工作案例引入:常电公司开展内部控制自我评价工作2009年年1月,江苏常熟发电有限公司(以下简月,江苏常熟发电有限公司(以下简称称“常电公司常电公司”)正在开展内部控制自我评价)正在开展内部控制自我评价工作,此次工作的工作,此次工作的目的目的是为了客观反映企业内是为了客观反映企业内部控制的总体情况,及时发现内部控制的缺陷部控制的总体情况,及时发现内部控制的缺陷和薄弱环节,以达到加强管理、堵塞漏洞目的,和薄弱环节,以达到加强管理、堵塞漏洞目的,从而提高企业的抗风险能力,提高企业的管理从而提高企业的抗风险能力,提高
2、企业的管理水平和经济效益,合理保障职工及股东的利益水平和经济效益,合理保障职工及股东的利益。该公司这次内部控制自我评价的依据为该公司这次内部控制自我评价的依据为企业管企业管治常规守则治常规守则,中国电力制度体系、中国电力,中国电力制度体系、中国电力内部控制手册内部控制手册等。等。评价内容评价内容主要有十八项,主要有十八项,分别为控制环境、风险管理、战略与计划管理、分别为控制环境、风险管理、战略与计划管理、全面预算管理、授权管理控制、人力资源管理、全面预算管理、授权管理控制、人力资源管理、货币资金管理控制、销售与收款管理控制、采购货币资金管理控制、销售与收款管理控制、采购与付款管理控制、燃料管理
3、控制、工程项目管理与付款管理控制、燃料管理控制、工程项目管理控制、对外投资管理控制、筹资控制、固定资产控制、对外投资管理控制、筹资控制、固定资产管理控制、担保业务控制、外币业务管理控制、管理控制、担保业务控制、外币业务管理控制、信息保护和审计监督。信息保护和审计监督。该公司这次内部控制自我评价工作从该公司这次内部控制自我评价工作从10月月10日开日开始,分始,分准备阶段准备阶段、实施阶段实施阶段和和总结阶段总结阶段三个部分三个部分进行实施,预计到进行实施,预计到10月月28日全部结束。日全部结束。 自自企业内部控制基本规范企业内部控制基本规范及其配套指引发布及其配套指引发布之后,全国各省、各行
4、业都纷纷争先开展内部控之后,全国各省、各行业都纷纷争先开展内部控制自我评价的培训工作,掀起了一阵制自我评价的培训工作,掀起了一阵内部控制自内部控制自我评价的热潮我评价的热潮。内部控制作为存在于企业内部的。内部控制作为存在于企业内部的一种重要的制度安排,本质上属于企业内部管理一种重要的制度安排,本质上属于企业内部管理制度的一部分。制度的一部分。内部控制自我评价本质上是对内部控制制度本内部控制自我评价本质上是对内部控制制度本身进行监督和控制的必要机制,是完善与优化身进行监督和控制的必要机制,是完善与优化内部控制系统的重要制度安排。那么内部控制系统的重要制度安排。那么什么是内什么是内部控制评价?谁是
5、内部控制评价的主体?内部部控制评价?谁是内部控制评价的主体?内部控制评价的客体是什么?内部控制评价工作应控制评价的客体是什么?内部控制评价工作应该如何开展?内部控制评价工作的最终成果表该如何开展?内部控制评价工作的最终成果表现为什么?现为什么? 本章概要第一节第一节 内部控制评价基本理论内部控制评价基本理论第二节第二节 内部控制评价的内容内部控制评价的内容第三节第三节 内部控制评价的程序内部控制评价的程序第四节第四节 内部控制缺陷内部控制缺陷第五节第五节 内部控制评价报告内部控制评价报告第六节第六节 内部控制评价的国际发展内部控制评价的国际发展第八章内部控制评价概述第八章内部控制评价概述第一节
6、内部控制评价基本理论第一节内部控制评价基本理论l实践证明,内部控制评价是内部控制的重要组成实践证明,内部控制评价是内部控制的重要组成内容,与内部控制的设计和实施形成了一个闭合内容,与内部控制的设计和实施形成了一个闭合的有机循环。它对内部控制的合理设计以及有效的有机循环。它对内部控制的合理设计以及有效实施至关重要。如今,世界各国监管当局越来越实施至关重要。如今,世界各国监管当局越来越重视对内部控制评价的规范,内部控制评价在实重视对内部控制评价的规范,内部控制评价在实务中也得到了广泛推广。务中也得到了广泛推广。l我国我国企业内部控制基本规范企业内部控制基本规范第四十六条规定,第四十六条规定,企业应
7、当结合内部监督的情况,定期对内部控制企业应当结合内部监督的情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价的有效性进行自我评价,出具内部控制自我评价报告。报告。一、内部控制评价的概念一、内部控制评价的概念(一)内部控制评价的定义(一)内部控制评价的定义 企业内部控制评价是指企业董事会或类似权力企业内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。论、出具评价报告的过程。 p从以下从以下三个角度三个角度进行理解:进行理解:u(1)内部控制评价的)内部控制评价的主体主体是董事会或类似
8、权力机构。是董事会或类似权力机构。u(2)内部控制评价的)内部控制评价的对象对象是内部控制的有效性。是内部控制的有效性。u(3)内部控制评价是一个)内部控制评价是一个过程过程。内部控制运行的有效性内部控制设计的有效性内部控制的有效性,是指企业建立与实施内部控制对内部控制的有效性,是指企业建立与实施内部控制对实现控制目标提供实现控制目标提供合理保证合理保证的程度。的程度。 内部控制的有效性控制过程控制过程控制目标合规目标内部控制的有效性资产目标内部控制的有效性报告目标内部控制的有效性经营目标内部控制的有效性战略目标内部控制的有效性(二)内部控制评价的内容(二)内部控制评价的内容内部控制评价应紧紧
9、围绕内部控制评价应紧紧围绕内部控制五要素内部控制五要素进行:进行: u(1)内部环境评价)内部环境评价u(2)风险评估评价)风险评估评价u(3)控制活动评价)控制活动评价u(4)信息与沟通评价)信息与沟通评价u(5)内部监督评价)内部监督评价二、内部控制评价的理论基础二、内部控制评价的理论基础企业内部控制学(第二版)117三、内部控制评价的作用三、内部控制评价的作用(一一)内部控制评价是提升企业内部控制效果的根本保证内部控制评价是提升企业内部控制效果的根本保证 内部控制评价是对内部控制的设计和运行效果的全面检查。首先,内部控制评价是对内部控制的设计和运行效果的全面检查。首先,需要了解内部控制各
10、要素的详细构成情况,并在此基础上,针对每个需要了解内部控制各要素的详细构成情况,并在此基础上,针对每个要素,进一步了解其实施结果。其次,根据了解记录的情况展开分析要素,进一步了解其实施结果。其次,根据了解记录的情况展开分析评价。由此,通过分析现有内部控制系统,可以发现内部控制制度在评价。由此,通过分析现有内部控制系统,可以发现内部控制制度在多大程度上能够保证控制目标的实现,关键控制点的选择是否契合企多大程度上能够保证控制目标的实现,关键控制点的选择是否契合企业经营业的实际状况;通过与理想模式的比较,明确现行控制与理想业经营业的实际状况;通过与理想模式的比较,明确现行控制与理想模式的差距,分析产
11、生差距的原因及可能造成的后果;最后,通过对模式的差距,分析产生差距的原因及可能造成的后果;最后,通过对内部控制实施结果的分析与记录,可以发现内部控制运行的薄弱环节,内部控制实施结果的分析与记录,可以发现内部控制运行的薄弱环节,准确定位内部控制责任区和责任人。准确定位内部控制责任区和责任人。(二二)内部控制评价是实现内部控制自我完善的主要途径内部控制评价是实现内部控制自我完善的主要途径 任何好的管理制度都必须与特定企业的经营业务相适任何好的管理制度都必须与特定企业的经营业务相适应。内控本质上是动态的、系统的过程,只有通过定期或应。内控本质上是动态的、系统的过程,只有通过定期或不定期的内部控制评价
12、,才能及时发现现有内控制度的缺不定期的内部控制评价,才能及时发现现有内控制度的缺陷,并不断完善、改善内部管理,从而提升企业价值。陷,并不断完善、改善内部管理,从而提升企业价值。(三三)内部控制评价是提高管理层内部控制水平的压力机制内部控制评价是提高管理层内部控制水平的压力机制 任何信息,只要公开就会产生一定的压力,因为信任何信息,只要公开就会产生一定的压力,因为信息公开就意味着接受公众的监督,能够在某种程度上敦息公开就意味着接受公众的监督,能够在某种程度上敦促被监督者不断改进工作,提高工作成效。内部控制评促被监督者不断改进工作,提高工作成效。内部控制评价相关信息的公开同样可以让投资者、债权人、
13、监管机价相关信息的公开同样可以让投资者、债权人、监管机构等就企业内控有没有设计并得到有效执行进行进一步构等就企业内控有没有设计并得到有效执行进行进一步的分析,从而对管理层的绩效进行综合评价。的分析,从而对管理层的绩效进行综合评价。(四四)内部控制评价是促进内部审计职能发挥的基础内部控制评价是促进内部审计职能发挥的基础 前面已谈到,内部审计既是对内部控制的再控制,是前面已谈到,内部审计既是对内部控制的再控制,是其有机组成,同时又有独立的理论和方法体系。两者之间其有机组成,同时又有独立的理论和方法体系。两者之间相互重叠的内容主要体现为内部控制评价。内部控制评价相互重叠的内容主要体现为内部控制评价。
14、内部控制评价和内部审计相互依赖,相互促进。借助内部控制评价结果,和内部审计相互依赖,相互促进。借助内部控制评价结果,可以了解内部控制系统的薄弱环节和高风险领域,更准确可以了解内部控制系统的薄弱环节和高风险领域,更准确的确定审计的范围,审计的重点和采用的审计方法。健全的确定审计的范围,审计的重点和采用的审计方法。健全的内部控制制度还可以保证审计测试的质量。的内部控制制度还可以保证审计测试的质量。(五五)内部控制评价有助于实现与政府监管的协调互动内部控制评价有助于实现与政府监管的协调互动 政府监管部门有权对企业内部控制建立与实施的有效政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。事
15、实上,在有关政府部门,比如审计性进行监督检查。事实上,在有关政府部门,比如审计机关开展的国有企业负责人离任经济责任审计中,已将机关开展的国有企业负责人离任经济责任审计中,已将企业内部控制的有效性,以及企业负责人组织领导内部企业内部控制的有效性,以及企业负责人组织领导内部控制体系建立与实施情况纳入审计范围,并且日益成为控制体系建立与实施情况纳入审计范围,并且日益成为十分重要的一部分。十分重要的一部分。四、内部控制评价的原则四、内部控制评价的原则五、内部控制评价的对象五、内部控制评价的对象六、内部控制评价的组织六、内部控制评价的组织第二节内部控制评价的内容第二节内部控制评价的内容一、内部控制评价的
16、内容一、内部控制评价的内容二、工作底稿二、工作底稿第三节内部控制评价的程序第三节内部控制评价的程序一、内部控制评价的一般程序一、内部控制评价的一般程序企业每年应对内部控制进行评价并予以披露。但是企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。状况、实际风险水平等自行确定。国家有关法律国家有关法律法规法规另有规定的,从其规定。另有规定的,从其规定。如果内部监督程序无效,或所提供信息不足以说明如果内
17、部监督程序无效,或所提供信息不足以说明内部控制有效,应增加内部控制评价的频率。内部控制有效,应增加内部控制评价的频率。二、内部控制评价的频率二、内部控制评价的频率三、内部控制评价的方法三、内部控制评价的方法第四节内部控制缺陷第四节内部控制缺陷 一、内部控制缺陷的分类二、内部控制缺陷的认定标准1 1内部控制缺陷的重要性和影响程度内部控制缺陷的重要性和影响程度2 2财务报告内部控制缺陷的认定标准财务报告内部控制缺陷的认定标准3 3非财务报告内部控制缺陷的认定标准非财务报告内部控制缺陷的认定标准 非财务报告内部控制是指针对除财务报表目非财务报告内部控制是指针对除财务报表目标之外的其他目标的内部控制,
18、一般包括战略目标之外的其他目标的内部控制,一般包括战略目标、资产安全、经营目标、合规目标等。标、资产安全、经营目标、合规目标等。 非财务报告内部控制缺陷认定具有涉及面广、非财务报告内部控制缺陷认定具有涉及面广、认定难度大的特点。企业可以根据风险评估的工认定难度大的特点。企业可以根据风险评估的工作,根据自身实际情况、管理现状和发展要求加作,根据自身实际情况、管理现状和发展要求加以细化或补充,合理确定定性和定量的认定标准,以细化或补充,合理确定定性和定量的认定标准,根据影响程度认定为一般缺陷、重要缺陷和重大根据影响程度认定为一般缺陷、重要缺陷和重大缺陷。缺陷。三、内部控制缺陷的报告与整改1 1内部
19、控制缺陷报告的格式和途径内部控制缺陷报告的格式和途径2 2内部控制缺陷整改方案及期限内部控制缺陷整改方案及期限第五节内部控制评价报告第五节内部控制评价报告 一、内部控制评价报告的内容一、内部控制评价报告的内容 二、内部控制评价报告的编制和报送二、内部控制评价报告的编制和报送三、内部控制评价报告的披露和使用三、内部控制评价报告的披露和使用第六节内部控制评价的国际发展第六节内部控制评价的国际发展企业内部控制学(第二版)119一、国外内部控制评价的最新发展一、国外内部控制评价的最新发展(一一) )内部控制评价的重要性内部控制评价的重要性美国萨奥法案美国萨奥法案(1)第第103条款规定条款规定,注册会
20、计师需要对管理层财务报告内部控注册会计师需要对管理层财务报告内部控制自我评估进行审核制自我评估进行审核,评价公司的内部控制政策和程序是否包括评价公司的内部控制政策和程序是否包括详细、合理的记录详细、合理的记录,以准确、公允地反映以准确、公允地反映:公司的资产交易和处公司的资产交易和处置情况置情况;内部控制是否合理保证公司对发生的交易活动进行了必内部控制是否合理保证公司对发生的交易活动进行了必要的记录要的记录,以满足财务报告编制符合公认会计原则的要求以满足财务报告编制符合公认会计原则的要求;是否是否合理保证公司的管理层和董事会对公司的收支活动进行了合理合理保证公司的管理层和董事会对公司的收支活动
21、进行了合理授权。授权。(3)第第404条款规定条款规定,所有除投资公司以外的企业所有除投资公司以外的企业,其年报中都必其年报中都必须包括须包括:管理层建立和维护适当内部控制结构和财务报告程序管理层建立和维护适当内部控制结构和财务报告程序的责任报告的责任报告;管理层就公司内部控制结构和财务报告程序的有管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价效性在该财政年度终了出具的评价;注册会计师已就注册会计师已就中提到中提到的管理层评价出具了鉴证报告的管理层评价出具了鉴证报告。(2)第第302条款规定条款规定,公司首席执行官和首席财务官应当对所提公司首席执行官和首席财务官应当对
22、所提交的年度或季度报告签署书面证明交的年度或季度报告签署书面证明,担保所在公司财务报告的真担保所在公司财务报告的真实性以及保证公司拥有完善的内部控制系统实性以及保证公司拥有完善的内部控制系统,能够及时发现并阻能够及时发现并阻止公司欺诈及其他不当行为。止公司欺诈及其他不当行为。(二二)内部控制评价的标准内部控制评价的标准美国美国COSO报告报告 19921992年,美国年,美国COSOCOSO委员会提出了企业内部控制委员会提出了企业内部控制一一整合框架,定义了内控三目标五要素组成的新框架。整合框架,定义了内控三目标五要素组成的新框架。20032003年,年,COSOCOSO委员会在委员会在COS
23、OCOSO报告基础上进行了修订和补报告基础上进行了修订和补充,发布了企业风险管理充,发布了企业风险管理一整合框架。企业风险管一整合框架。企业风险管理理(ERM)(ERM)框架将内部控制的重点转向风险管理,在结构上框架将内部控制的重点转向风险管理,在结构上扩展为四个目标和八个要素。内部控制框架的提出得到了扩展为四个目标和八个要素。内部控制框架的提出得到了许多国家的认可,很多企业开始运用许多国家的认可,很多企业开始运用COSOCOSO框架指导内部框架指导内部控制构建,并将其应用于作为内部控制评价体系的标准。控制构建,并将其应用于作为内部控制评价体系的标准。企业内部控制学(第二版)120(三三) )
24、内部控制评价的方法之一内部控制评价的方法之一加拿大加拿大CoCoCoCo委员委员会的评估控制指南会的评估控制指南1.在目的方面在目的方面 (1) (1)我们清晰地理解了组织的使命和远景吗?我们清晰地理解了组织的使命和远景吗? (2) (2)我们理解了我们的目标以及这些目标如何与组织我们理解了我们的目标以及这些目标如何与组织内的其他目标相协调吗?内的其他目标相协调吗? (3) (3)我们可以获取的信息能够使我们识别和评估风险我们可以获取的信息能够使我们识别和评估风险吗?吗?2.在承诺方面在承诺方面 (1)(1)我们的诚信原则和伦理价值观得到了共享和实施吗我们的诚信原则和伦理价值观得到了共享和实施
25、吗? (2) (2)根据组织的目标和价值观,员工们公平地获得了回根据组织的目标和价值观,员工们公平地获得了回报吗?报吗? (3) (3)我们清晰地了解我们负责的内容吗?我们清晰地了解我们负责的内容吗? (4) (4)我们清晰地界定了权力和责任吗?我们清晰地界定了权力和责任吗?4.在监督与学习方面在监督与学习方面3.在能力方面在能力方面 (1) (1)我们有合适的人员、技术、工具和资源吗?我们有合适的人员、技术、工具和资源吗? (2) (2)错误、坏消息和其他信息可以及时地传递给需要错误、坏消息和其他信息可以及时地传递给需要知道的人,而不用担心报复吗?知道的人,而不用担心报复吗? (3) (3)
26、我们的对策与组织的其他部分协调一致吗?我们的对策与组织的其他部分协调一致吗?(l)(l)我们审查内部和外部环境,考虑是否需要对目标我们审查内部和外部环境,考虑是否需要对目标和控制做出改变吗、和控制做出改变吗、(2)(2)我们参考相关目标和指标监控绩效吗?我们参考相关目标和指标监控绩效吗?(3)(3)我们质疑我们目标背后的假设吗?我们质疑我们目标背后的假设吗?( (四四) )内部控制评价的方法之二内部控制评价的方法之二控制自我评估控制自我评估1.控制自我评估的含义控制自我评估的含义2.控制自我评估的特征控制自我评估的特征3.控制自我评估的构成控制自我评估的构成(1)前期计划和前期审计工作。前期计
27、划和前期审计工作。(2)组织人们在同一时间或同一地点开会组织人们在同一时间或同一地点开会,甚至包括有利于交流和活动的甚至包括有利于交流和活动的座位安排座位安排(U字形会议桌字形会议桌)和会议设施。和会议设施。(3)安排结构化的议事日程安排结构化的议事日程,以使参加人员检查过程的风险和控制。以使参加人员检查过程的风险和控制。企业内部控制学(第二版)121(4)可以有选择地聘用一位书记员对各阶段的现场工作进行记录并处可以有选择地聘用一位书记员对各阶段的现场工作进行记录并处理电子投票的技术问题理电子投票的技术问题,以使参加人员可以不记名地发表自己的感想。以使参加人员可以不记名地发表自己的感想。(5)
28、报告和实施行动计划。报告和实施行动计划。4.控制自我评估的主要方法控制自我评估的主要方法(1)研讨会法。研讨会法。(2)问卷调查法问卷调查法,是一种用于只需简单回答是一种用于只需简单回答“是是/否否”或者或者“有有/无无”的调的调查工具。查工具。(3)管理层分析法是不使用上述两种方法的其他方法。管理层分析法是不使用上述两种方法的其他方法。5.研讨会法的工作形式研讨会法的工作形式二、我国内部控制评价的发展现状二、我国内部控制评价的发展现状 ( (一一) )企业内部控制基本规范企业内部控制基本规范1.评价主体评价主体2.评价内容评价内容外部主体外部主体监管部门和注册会计师监管部门和注册会计师内部监
29、督内部监督企业本身,如由审计委员会指导内部审计企业本身,如由审计委员会指导内部审计部门对内控进行评价,监事会行使监督职责部门对内控进行评价,监事会行使监督职责评评价价内容内容内部控制的设计和执行情况内部控制的设计和执行情况 2.评价内容评价内容1.评价主体评价主体 ( (二二) )企业内部控制评价指引企业内部控制评价指引( (征求意见稿征求意见稿) ) 内部控制评价指引规定,企业实施内部控制评价,包内部控制评价指引规定,企业实施内部控制评价,包括对内部控制设计有效性和运行有效性的评价。所谓内部控括对内部控制设计有效性和运行有效性的评价。所谓内部控制设计有效性是指为实现控制目标所必需的内部控制要
30、素都制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。内部控制评价指引还指按照规定程序得到了正确执行。内部控制评价指引还指出,当企业运用信息系统加强内部控制时,应当对信息系统出,当企业运用信息系统加强内部控制时,应当对信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统的有效性进行评价,包括信息系统一般控制评价和信息系统应用控制评价。应用控制评价。企业内部控制学(第二版)1223.评价原则评价原则4.评价信息披露评价信息披露 内部控制评价指引明确了企业内
31、部控制自我评价中的风险导向,提内部控制评价指引明确了企业内部控制自我评价中的风险导向,提出了风险导向原则。在确定评价范围时,要求企业以风险评估为基础,出了风险导向原则。在确定评价范围时,要求企业以风险评估为基础,根据风险发生的可能性和对目标实现的影响程度按照自上而下的原型来根据风险发生的可能性和对目标实现的影响程度按照自上而下的原型来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。在内部控制缺陷认定中,应确定与实现整体控制目标相关的风险,并据在内部控制缺陷认定中,应确定与实现整体控制目标相关的风险,并据此认定和报告内部
32、控制中的缺陷。此认定和报告内部控制中的缺陷。 内部控制评价指引规定,在内部控制评价过程中,应该内部控制评价指引规定,在内部控制评价过程中,应该对内部控制缺陷分为设计缺陷和运行缺陷,并分别加以分析。对内部控制缺陷分为设计缺陷和运行缺陷,并分别加以分析。3.评价信息披露评价信息披露2.评价内容评价内容1.评价主体评价主体( (三三) )企业内部控制鉴证指引企业内部控制鉴证指引( (征求意见稿征求意见稿) )注册会计师注册会计师 将注册会计师执行的企业内部控制鉴证结果界定为对企业与财务报告将注册会计师执行的企业内部控制鉴证结果界定为对企业与财务报告相关的内部控制的有效性进行鉴证,使得内控鉴证内涵过于
33、狭窄。相关的内部控制的有效性进行鉴证,使得内控鉴证内涵过于狭窄。 应包含整体的内部控制,而不仅仅局限于与企业与财务报告相关的内应包含整体的内部控制,而不仅仅局限于与企业与财务报告相关的内部控制。部控制。 按内按内控控不足严重程度分为缺陷、应关注缺陷和重大缺陷,并单独出不足严重程度分为缺陷、应关注缺陷和重大缺陷,并单独出具内控鉴证报告。具内控鉴证报告。企业内部控制学(第二版)1231.评价主体评价主体 ( (四四) )商业银行内部控制评价试行办法商业银行内部控制评价试行办法银监会及其派出机构组织银监会及其派出机构组织2.评价内容评价内容 办法规定,商业银行内部控制评价是指对商业银行内办法规定,商
34、业银行内部控制评价是指对商业银行内部控制体系建设、实施和运行结果独立开展的调查、测试、部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。分析和评估等系统性活动。 根据办法的相关条款,可以得出监管当局的监管思根据办法的相关条款,可以得出监管当局的监管思路:重结果监管,但更重过程监管。这一思路一方面秉承了路:重结果监管,但更重过程监管。这一思路一方面秉承了监管当局的内部控制指导思想,即商业银行必须树立监管当局的内部控制指导思想,即商业银行必须树立“基于基于过程的风险控制过程的风险控制”,另一方面,办法第八条提出:内部,另一方面,办法第八条提出:内部控制评价应从充分性、合规
35、性、有效性和适宜性等控制评价应从充分性、合规性、有效性和适宜性等4 4个方面个方面进行。进行。过程和风险是否已被充分识别;过程和风险是否已被充分识别;过程和风险的控过程和风险的控制措施是否遵循相关要求,是否有明确规定并得以实施郓保制措施是否遵循相关要求,是否有明确规定并得以实施郓保持;持;控制措施是否有效;控制措施是否有效;控制措施是否同的评价方法和控制措施是否同的评价方法和评价标准分别开展评价。评价标准分别开展评价。三、什么是内部控制审计评价三、什么是内部控制审计评价3.评价标准评价标准 定量标准定量标准1010项分析指标项分析指标规定规定内容摘要内容摘要出台日期出台日期生效日期生效日期财政
36、部等财政部等5 5部委:部委:企业内部控制企业内部控制基本规范基本规范财政部发布财政部发布企业内部控制基本规范企业内部控制基本规范,要求,要求上市公司必须、鼓励其他大中型企业,制定内上市公司必须、鼓励其他大中型企业,制定内部控制制度部控制制度并实施有效的内部控制,并应委托并实施有效的内部控制,并应委托从事内部控制审计的会计师事务所对企业内部从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计,出具审计报告。控制的有效性进行审计,出具审计报告。2008-6-282008-6-282009-7-12009-7-1财政部等财政部等5 5部委:部委:企业内部控制企业内部控制应用指引应用指引(征
37、(征求意见稿)求意见稿) 财政部发布关于印发财政部发布关于印发企业内部控制应用指引企业内部控制应用指引(征求意见稿)的通知(征求意见稿)的通知 ,包括资金,采购,包括资金,采购,存货,销售,工程项目,固定资产,无形资产,存货,销售,工程项目,固定资产,无形资产,长期股权投资,筹资,预算,成本费用,担保,长期股权投资,筹资,预算,成本费用,担保,合同协议,业务外包,对子公司的控制,财务合同协议,业务外包,对子公司的控制,财务报告编制与披露,人力资源政策,信息系统一报告编制与披露,人力资源政策,信息系统一般控制,衍生工具,企业并购,关联交易,内般控制,衍生工具,企业并购,关联交易,内部审计。共部审
38、计。共2222项分流程的具体指引。项分流程的具体指引。2008-6-282008-6-28尚未明确尚未明确财政部等财政部等5 5部委:部委:企业内部控制企业内部控制评价指引评价指引(征(征求意见稿)求意见稿) 为规范企业内部控制评价工作,要求企业应对为规范企业内部控制评价工作,要求企业应对其内部控制的设计和运行状况定期评价,出具其内部控制的设计和运行状况定期评价,出具评价报告,发现企业内部控制缺陷,提出和实评价报告,发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行。施改进方案,确保内部控制有效运行。2008-6-282008-6-28尚未明确尚未明确我国内部控制相关的监管要求我国
39、内部控制相关的监管要求 财政部层面财政部层面规定规定内容摘要内容摘要出台日期出台日期生效日期生效日期上海证券交易所:上海证券交易所:上海证券交易上海证券交易所上市公司内部所上市公司内部控制指引控制指引要求上市公司董事会应在年度报告披露的同时,要求上市公司董事会应在年度报告披露的同时,披露披露年度内部控制自我评估报告年度内部控制自我评估报告,并披露,并披露会计会计师事务所对内部控制自我评估报告的核实评价师事务所对内部控制自我评估报告的核实评价意见意见。2006-06-2006-06-04 04 20062006-7-1-7-1上海证券交易所:上海证券交易所:关于做好上市关于做好上市公司公司200
40、82008年履行年履行社会责任的报告社会责任的报告及内部控制自我及内部控制自我评估报告披露工评估报告披露工作的通知作的通知“上证公司治理板块上证公司治理板块”的的231231家样本上市公司、家样本上市公司、发行境外上市外资股的公司及金融类公司在披发行境外上市外资股的公司及金融类公司在披露露20082008年年度报告的同时,披露社会责任报告年年度报告的同时,披露社会责任报告和和内控自评报告内控自评报告。同时,鼓励其他有条件的公。同时,鼓励其他有条件的公司披露社会责任报告和内控报告。司披露社会责任报告和内控报告。 2008-12-42008-12-42008-12-2008-12-3131我国内部
41、控制相关的监管要求我国内部控制相关的监管要求上交所层面上交所层面70建立一个健全的内部控制制度是公司高级管理层的职责建立一个健全的内部控制制度是公司高级管理层的职责必须的工作:必须的工作:1. 1. 明确内控检查监督的专门职能部门明确内控检查监督的专门职能部门 2.2. 确定并记录公司现有的内部控制流程,包括公司层面和部门层面,确定并记录公司现有的内部控制流程,包括公司层面和部门层面,涵盖各业务流程环节和各项公司管理制度涵盖各业务流程环节和各项公司管理制度 3.3. 持续性地按照法律法规,部门规章及证券交易所上市规则的规定把持续性地按照法律法规,部门规章及证券交易所上市规则的规定把建立建立/
42、/完善内部控制制度纳入长效管理机制完善内部控制制度纳入长效管理机制71管理层对于内部控制执行的自我评估以及检查监督管理层对于内部控制执行的自我评估以及检查监督必须的工作:必须的工作:1. 1. 制定内控监督检查办法和年度内部控制检查监督计划制定内控监督检查办法和年度内部控制检查监督计划; ; 跟踪内部控跟踪内部控制执行缺陷并确保缺陷得到及时改进制执行缺陷并确保缺陷得到及时改进 2. 2. 对关键控制点进行监督检查并记录检查结果对关键控制点进行监督检查并记录检查结果; ;生成生成内部控制检查监内部控制检查监督工作报告督工作报告并每半年呈交董事会并每半年呈交董事会 3.3. 董事会或审计委员会审核
43、董事会或审计委员会审核内部控制检查监督工作报告内部控制检查监督工作报告;并以此;并以此为基础制作为基础制作内部控制自我评估报告内部控制自我评估报告并形成董事会决议并形成董事会决议 4. 4. 披露披露内部控制自我评估报告内部控制自我评估报告以及会计师事务所对该报告出具的以及会计师事务所对该报告出具的核实评价意见核实评价意见 内控自我评估理论知识介绍内控自我评估理论知识介绍-CSA-CSA定义定义内部控制自我评估内部控制自我评估 (Control Self-Assessment,(Control Self-Assessment,简写成简写成CSA)CSA)是一个对是一个对企业内部控制的效力进行检
44、查和评价的过程,其目标是为企业实现所企业内部控制的效力进行检查和评价的过程,其目标是为企业实现所有经营目标提供合理的保证。有经营目标提供合理的保证。对发现的内控缺陷进行持续整改业务部门/子公司自我评估对内控设计及文档修订维护 1987 年,由于法庭判决要求报告年,由于法庭判决要求报告内部控制制度内部控制制度以及传统审计程以及传统审计程序对发现公司内部舞弊无能为力,加拿大海湾公司的内部审计部序对发现公司内部舞弊无能为力,加拿大海湾公司的内部审计部门着手设计一套全新的方法,他们称之为控制的自我评估门着手设计一套全新的方法,他们称之为控制的自我评估(CSA)。由员工和经理组成的各个小组出席由高级内部
45、审计)。由员工和经理组成的各个小组出席由高级内部审计人员召集的为期一天的专题讨论会,在这些讨论会上,各小组畅人员召集的为期一天的专题讨论会,在这些讨论会上,各小组畅所欲言,确认内部控制的运转情况,并需要采取相应的措施。所欲言,确认内部控制的运转情况,并需要采取相应的措施。控制自我评估(控制自我评估(CSA)也被称为管理自我评估、控制和风险自)也被称为管理自我评估、控制和风险自我评估、我评估、经营活动经营活动自我评估以及控制自我评估以及控制/风险自我评估风险自我评估,是指企业内是指企业内部为实现目标、控制风险而对内部部为实现目标、控制风险而对内部控制系统控制系统的有效性和恰当性实的有效性和恰当性
46、实施自我评估的方法。施自我评估的方法。其有三个基本特征其有三个基本特征:关注业务的过程和控制关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。评估。内部控制自我评估内部控制自我评估是一种在西方发达国家广泛使用的内部审计技是一种在西方发达国家广泛使用的内部审计技术和工具,它是由管理层或业务人员直接参与的考察和评估内部术和工具,它是由管理层或业务人员直接参与的考察和评估内部控制效果的过程,其目的是为组织目标的实现提供合理保证。控制效果的过程,其目的是为组织目标的实现提供合理保证。西方国家在实践中已经发展了多至西
47、方国家在实践中已经发展了多至20余种的余种的CSA方法,方法,但从其基本形式来看,主要有三种,即:引导会议法、但从其基本形式来看,主要有三种,即:引导会议法、问卷调查法和管理结果分析法。问卷调查法和管理结果分析法。5.1引导会议法引导会议法引导会议法是指把管理当局和员工召集起来就特定的问引导会议法是指把管理当局和员工召集起来就特定的问题或过程进行面谈和讨论的一种方法。题或过程进行面谈和讨论的一种方法。CSA引导会议法引导会议法又有四种主要形式:以控制为基础的、以程序为基础的、又有四种主要形式:以控制为基础的、以程序为基础的、以风险为基础的和以目标为基础的。以风险为基础的和以目标为基础的。5.2
48、问卷调查法问卷调查法问卷调查方法利用问卷工具使得受访者只要做出简单的问卷调查方法利用问卷工具使得受访者只要做出简单的“是是/否否”或或“有有/无无”的反应,控制程序的执行者则利用调查的反应,控制程序的执行者则利用调查结果来评价他们的内部控制系统。结果来评价他们的内部控制系统。 5.3管理结果分析法管理结果分析法管理结果分析法是指除上述两种方法之外的管理结果分析法是指除上述两种方法之外的任何任何CSA方法。通过这种方法,管理当局布置方法。通过这种方法,管理当局布置工作人员学习经营过程。工作人员学习经营过程。CSA引导者(可以是引导者(可以是一个内审人员)把员工的学习结果与他们从其一个内审人员)把
49、员工的学习结果与他们从其他方面如其他经理和关键人员收集到的信息加他方面如其他经理和关键人员收集到的信息加以综合。通过综合分析这些材料,以综合。通过综合分析这些材料,CSA引导者引导者提出一种分析方法,使得控制程序执行者能在提出一种分析方法,使得控制程序执行者能在他们为他们为CSA做出努力时利用这种分析方法。做出努力时利用这种分析方法。76内控自我评估理论知识介绍内控自我评估理论知识介绍-CSA-CSA的四种形式的四种形式 基于控制目标的自评基于控制目标的自评:识别最佳的控制技术是否已被用:识别最佳的控制技术是否已被用于达成控制目标,并且有效的将风险控制在可接受的水平。于达成控制目标,并且有效的
50、将风险控制在可接受的水平。 基于风险的自评基于风险的自评:关注风险的识别和管理,检查现有控:关注风险的识别和管理,检查现有控制活动是否足够用于防范关键风险,识别剩余风险以寻求制活动是否足够用于防范关键风险,识别剩余风险以寻求控制活动的改进措施。控制活动的改进措施。 基于控制执行的自评基于控制执行的自评:关注控制运行的情况,分析实际:关注控制运行的情况,分析实际运行情况与初始设计的差距。运行情况与初始设计的差距。 基于流程的自评基于流程的自评:通过检查现有控制,对流程进行评估、:通过检查现有控制,对流程进行评估、更新和优化。更新和优化。内部控制是一个整合系统。它通过某种制度安排将企内部控制是一个
51、整合系统。它通过某种制度安排将企业内部各种资源,包括资金、人员、信息、文化等融业内部各种资源,包括资金、人员、信息、文化等融合在一起,形成真正的生产能力。内部控制是一种控合在一起,形成真正的生产能力。内部控制是一种控制机制,通过分析、计划、执行和评价反馈将各要素制机制,通过分析、计划、执行和评价反馈将各要素融合在一起,使之朝着企业既定的目标努力。内部控融合在一起,使之朝着企业既定的目标努力。内部控制是一个信息系统,从识别经营中的关键风险点、制制是一个信息系统,从识别经营中的关键风险点、制定风险控制策略,到评价控制效率和效果并反馈给相定风险控制策略,到评价控制效率和效果并反馈给相关人员,体现了信
52、息的获取、加工和处理、侍递的过关人员,体现了信息的获取、加工和处理、侍递的过程。控制论、信息论和系统论论恰好为内部控制评价程。控制论、信息论和系统论论恰好为内部控制评价的建立提供了理论上的支持。内部控制评价系统作为的建立提供了理论上的支持。内部控制评价系统作为内部控制的子系统,其建立和发展理所当然受到上述内部控制的子系统,其建立和发展理所当然受到上述理论的影响。理论的影响。控制论是研究复杂动态系统控制调整规律的科学。根据控制论控制论是研究复杂动态系统控制调整规律的科学。根据控制论的观点,一切控制系统所共有的基本特性是信息的交换和反馈的观点,一切控制系统所共有的基本特性是信息的交换和反馈过程。利
53、用这些特征可以达到对系统的认识、分析和控制的目过程。利用这些特征可以达到对系统的认识、分析和控制的目的。的。从控制论角度分析,内部控制着眼于企业内各具体组织的内部从控制论角度分析,内部控制着眼于企业内各具体组织的内部经营管理活动,每个单位发挥他们应有的管理功能,并在管理经营管理活动,每个单位发挥他们应有的管理功能,并在管理过程中实现自我调节和自我控制,最终使企业向着既定的目标过程中实现自我调节和自我控制,最终使企业向着既定的目标努力。控制在很大程度上是管理工作成为一个闭环系统。努力。控制在很大程度上是管理工作成为一个闭环系统。 控制论对内部控制评价的影响表现为:内部控制系统是管理控控制论对内部
54、控制评价的影响表现为:内部控制系统是管理控制系统的有机组成部分;内部控制评价系统的设计以清晰的战制系统的有机组成部分;内部控制评价系统的设计以清晰的战略目标为前提;内部控制评价系统必须与企业的组织结构相联略目标为前提;内部控制评价系统必须与企业的组织结构相联系;内部控制评价必须采用适合不同评价对象的信息;内部控系;内部控制评价必须采用适合不同评价对象的信息;内部控制评份标准必须客观合理;找出关键内部控制评价指标;发现制评份标准必须客观合理;找出关键内部控制评价指标;发现偏差以后必须及时采取行动,予以纠正。(文胜泽,偏差以后必须及时采取行动,予以纠正。(文胜泽,20072007)信息论产生于信息
55、论产生于20世纪世纪60年代,是一门应用概率论与数量年代,是一门应用概率论与数量统计方法研究信息处理和信息传递的科学。它主要研究统计方法研究信息处理和信息传递的科学。它主要研究信息的获取、变换、传输、处理等问题,由信号传递理信息的获取、变换、传输、处理等问题,由信号传递理论与信息系统论组成。论与信息系统论组成。一个现代化的管理系统必须具有信息系统的功能,要能一个现代化的管理系统必须具有信息系统的功能,要能够对企业内部和外部的信息进行完整的收集、正确的加够对企业内部和外部的信息进行完整的收集、正确的加工、迅速的传递,以及有效的使用等等,以保证信息流工、迅速的传递,以及有效的使用等等,以保证信息流
56、的畅通。的畅通。根据信息传递理论,内部控制评价有助于提高信息的可根据信息传递理论,内部控制评价有助于提高信息的可信程度,信程度,促进促进有效的决策。信息系统论认为,内部控制有效的决策。信息系统论认为,内部控制评价是以委托代理理论为基础的,对于受托方提供的信评价是以委托代理理论为基础的,对于受托方提供的信息,通过信息输入、信息加工、信息输出三个阶段,最息,通过信息输入、信息加工、信息输出三个阶段,最终达到能够提供一个客观公正的信息系统的目的。终达到能够提供一个客观公正的信息系统的目的。系统是相互关联、相互制约、相互作用的若干要素组成系统是相互关联、相互制约、相互作用的若干要素组成的具有特定功能的
57、有机整体。系统论研究系统、要素、的具有特定功能的有机整体。系统论研究系统、要素、环境三者的相互关系和变动的规律性。环境三者的相互关系和变动的规律性。根据企业风险管理框架,内部控制具有四目标、八要素根据企业风险管理框架,内部控制具有四目标、八要素及两个层次,基于系统论,四目标是组织努力的方向,及两个层次,基于系统论,四目标是组织努力的方向,八要素是实现这些目标所必须的条件,两个层次是实现八要素是实现这些目标所必须的条件,两个层次是实现目标的途径。而内部控制评价系统是内控子系统,其不目标的途径。而内部控制评价系统是内控子系统,其不同要素之间也是有机联系在一起的。同要素之间也是有机联系在一起的。而内
58、部控制评价系统是内部控制大系统中的子系统,其而内部控制评价系统是内部控制大系统中的子系统,其不同要素之间也是有机联系在一起的。一个有效的内部不同要素之间也是有机联系在一起的。一个有效的内部控制评价系统包括控制评价系统包括评价目标、评价主体、评价客体、评评价目标、评价主体、评价客体、评价指标、评价标准、评价方法和评价报告价指标、评价标准、评价方法和评价报告等构成要素。等构成要素。加拿大特许会计师协会加拿大特许会计师协会( CICA)( CICA)下属的控制标准委下属的控制标准委员会员会(CoCo)(CoCo)继继19951995发布了控制指南后,又于发布了控制指南后,又于19991999年发布了评估控制指南,明确规定:为年发布了评估控制指南,明确规定:为评估内控的有效性,企业需形成一份由评估内控的有效性,企业需形成一份由1010步程步程序和序和2020个具体标准构成的评估报告。该评估报个具体标准构成的评估报告。该评估报告针对实体的具体情况,从目的、能力、承诺、告针对实体的具体情况,从目的、能力、承诺、监督与学习监督与学习4 4个方面把评价指标设计成一系列问个方面把评价指标设计成一系列问题,根据问题的答案来评价内部控制的有效性题,根据问题的答案来评价内部控制的有效性程度。主要的评价问题表述如下:程度。主要的评价问题表述如下:
