内部控制评价指引解读

B
8
五部委配套《企业内部控制评价指引》解读 —内部控制评价体系中各机构的角色及职责
董事会 负责对内部控制的有效性进行 全面评价、形成结论，出具报告
对内控评价报告 真实性负责
审计委员会 领导和监督内控评价 工作
内部控制评价部门 （内部审计机构/其他专门机构）
负责内部控制评价的具体组织实 施工作，控制缺陷的分析、复核、 报告及跟踪 向董事会、监视会或者经理层 报告发现的内控缺陷
记录内控缺陷 设计整改方案 完善内控制度 更新内控文件
制定内控评价办法 开展内控评价 跟踪缺陷整改 编制内控评价报告
进行模拟审计 提供所需证据 出具管理声明 披露审计报告
信息化建设
管理层持续整改/内部监督持续开展
16
© 2010德勤华永会计师事务所有限公司版权所有 保留一切权利
各阶段工作解决方案分享－内控自评整体工作流
内部控制缺陷的 整改情况及重大 缺陷拟采取的整 改措施
注：内部控制评价部门负责编制，报经董事会或类似权力机构批准，董事会对内部控制评价报告的真实 性负责。
内部控制有效 性的结论
五部委配套《企业内部控制评价指引》解读 —第五章 内部控制评价报告
• 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关 部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制 评价报告发出月之间是否发生影响内部控制有效性的因素，并根据其性质和影 响程度对评价结论进行相应调整。 • 企业应当以 12 月 31 日作为年度内部控制评价报告的基准日，内部控制评价报 告应于基准日后 4 个月内报出。 • 企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件资料、
中
G A W
低
G A W
* 机构管理水平分析：根据以往各机构管理水平的了解，以及过往审计发现的多寡，将机 构的管理水平分为好（G）、可以接受（A）、弱（W）
制定评价工作方案—自评范围的确定
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
确定纳入自评范围工作单位/流程底稿模板
评价工作组
组建
具体实施内部控制评 价工作，并完成评价 工作底稿
吸纳企业内部相关机构熟悉情况的业务骨 干（注：对本部门评价工作实行回避制度） /可委托中介机构实施内控评价工作
五部委配套《企业内部控制评价指引》解读 —内部控制评价的测试方法
个别访 谈
比较分 析
调查问 卷
测试方法
抽样
专题讨 论
实地查 验
‒ 评价要素
内部环境 评价
内部监督 评价
风险评估 机制评价
信息与沟 通评价
控制活动 评价
‒ 主要风险点
‒ 采取的控制措施
‒ 有关证据资料 ‒ 认定结果
五部委配套《企业内部控制评价指引》解读 —第三章 内部控制评价的程序
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
客观性 原则
重要性 原则 全面性原则
五部委配套《企业内部控制评价指引》解读 —第二章：内部控制评价的内容
• 企业应当根据《企业内部控制基本规 范》、应用指引以及本企业的内部控 制制度，围绕内部环境、风险评估、 控制活动、信息与沟通、内部监督等 要素，确定内部控制评价的具体内容， 对内部控制设计与运行情况进行全面 评价。 • 内部控制评价工作应当形成工作底稿:
以风险评估为基础，结合财务报表从定性，定量两方面进行分析，选择进行内控 自我评估的下属板块、公司、相关业务及流程，确定自评范围。
定量，即指将各专业公司财务报表科目数据与重要性水平进行比较，对于大 于重要性水平的科目所对应的流程纳入评价范围。
• 管理层在选择重要性水平时，建议与外部审计师进行沟通，使用小于等于外部审计 的重要性水平，有利于外部审计师认同公司的内部控制自我评估工作。 • 选择合并财务报表的关键财务指标：总资产、营业收入、税前利润等，根据各专业 公司的具体情况确定定量门槛，将各专业公司从定量分析上划分为重要性高、中、 低。
评估控制执行/ 设计的有效性
批准 是
综合分析控制 缺陷
人员组织计划
是 进度安排计划 满足要求 否 与控制活动执 行人和业务领 域负责人共同 讨论改进建议
签字确认流 程评估结果 和评价底稿
控制缺陷类别 认定
评价工作方案 经董事会或其 授权机构
形成认定意见 与评价工作组 讨论并重新评估
填写评价工作 底稿
制定评价工作方案—人员和时间安排
五部委配套《企业内部控制评价指引》解读 —第四章 内部控制缺陷的认定
• 企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专 项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现 形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董 事会、监事会或者经理层报告。
• 重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷，应当及时采 取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责 任。
五部委配套《企业内部控制评价指引》解读 —第五章 内部控制评价报告
董事会对内部 控制报告真实 性的声明 内部控制评价 工作的总体情 况
内控评价 结果
工作底稿和证明材料等应当妥善保管
议程
1 2
《企业内部控制评价指引》解读 企业内部控制自评实务操作
建设内部控制体系的路线图—内控自评阶段
内部控制基本规范
内部控制应用指引
内部控制评价指引
内部控制审计指引
内控梳理对标
内控整改固化
内控评价
内控审计
成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范
纳入单位
纳入流程
制定评价工作方案—自评内容的确定
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
• 确定自评工作内容示例：
详见后续“实施现场测试”、“认定控制缺陷”、“汇总评价 结果”和“编制评价报告”各环节中的有关内容
制定评价工作方案—人员和时间安排
定性，即指从管理层、各业务部门基于对公司情况的了解及风险认识，将有 风险的事项与财务科目挂钩，将相关的流程纳入评价范围。同时结合各专业 公司的管理水平进行分析。
• 在开展内控自我评估的第一年，可以仅以风险情况进行定性分析，在以后年度，则 可以在完成内控自我评估后对机构进行内控评分，得出剩余风险，以确定其管理水 平。
+
内控评价 工作底稿
+编报ຫໍສະໝຸດ 内控评价 报告涵盖内容
内控缺陷 汇总表
应当分别对内部 环境、风险评估、 控制活动、信息 与沟通、内部监 督等要素进行设 计，对内部控制 评价过程、内部 控制缺陷认定及 整改情况、内部 控制有效性的结 论等相关内容作 出披露
内部控制评价 的依据 内部控制评价 的范围 内部控制评价 的程序和方法 内部控制缺陷 及其认定情况
穿行测 试
五部委配套《企业内部控制评价指引》解读 —第四章 内部控制缺陷的认定
内部控制缺陷类型：设计缺陷和运行缺陷 内部控制缺陷的认定： 重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏 离控制目标 重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后 果低于重大缺陷，但仍有可能导致企业偏离控制目标 一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷 财务报告内部控制缺陷的认定：一般通过定量的方式予以确定 非财务报告内部控制缺陷的认定：定量和定性相结合的方式予以确定 定量:既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根 据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定 定性：可以根据缺陷潜在负面影响的性质、范围等因素确定
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
• 计算纳入自评范围的分支机构与业务流程预计所需自评人员的人数和工作 量。 • 结合年度其他项目所需人员数量和工作量，检查集团是否有足够的资源开 展内控自我评估工作，以判断是否需要调整年度内控自评计划。 • 根据调整后与现有资源相适应的内控自评计划，安排自评人员和时间。 • 在安排内控自评人员时应考虑其专业胜任能力。
编报评 价报告
五部委配套《企业内部控制评价指引》解读 —第三章 内部控制评价的程序
企业实施内部控制评价程序的具体流程
内审部/评价部门 A 明确评价范围 明确具体工作任务 B 评价工作组 执行评估 评估工作组负责人 复核评估结 果 否 内审部/评价部门 编制内控缺陷 认定汇总表 董事会 重大缺陷最终 认定 审阅批准内部 控制评价报告 End
企业内部控制 基本规范
企业内部控制 应用指引
企业内部控制 评价指引
企业内部控制 审计指引
关键用途
主要用于公司建立 健全内部控制体系
主要用于公司对内 部控制体系进行独 立评价持续改进
用于审计师对内部控制 体系进行外部评价并指 导企业持续改进内控缺 陷，完善内控等 适用于审计师
适用对象
适用于企业、监管机构、咨询方、鉴证机构
编报评 价报告
• 确定自评范围（包括纳入单位、流程等） • 确定自评内容（包括执行测试程序、认定内控缺陷、落实整改等） • 自评人员和时间安排 • 自评工作费用预算 • 其他事项
18
制定评价工作方案—自评范围的确定
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
企业内部控制 评价指引解读
议程
1 2
《企业内部控制评价指引》解读 企业内部控制自评实务操作
1
中国内部控制监管要求
规定 财政部、证监会、 审计署、银监会、 保监会（“五部 委”）： 《企业内部控制基 本规范》 五部委： 《企业内部控制应 用指引》 内容摘要或内容简介 企业应当根据有关法律法规、本规范及其配套 方法，制定本企业内部控制制度并组织实施。 接受企业委托从事内部控制审计的会计师事务 所，应当根据本规范及其配套办法和相关执业 准则，对企业内部控制的有效性进行审计，出 具审计报告。 包括财务报告，资金，采购，销售，研发，工 程项目，资产，担保，业务外包，全面预算， 合同管理，内部信息传递，信息系统、组织架 构，发展战略，人力资源，企业文化，社会责 任等18个具体指引。 2010-4-26 出台日期 2008-6-28 生效日期 2009-7-1
制定评价工作方案—自评范围的确定
确定不同单位和流程的自评频率示例： 分支机构 重要性 分支机构的 管理水平* 实际风险水平
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
自评频率
高
G
A W
中
中 高 低 中 高 低 低 低
2年自评一次
1－2年自评一次 1年自评一次 3年自评一次 1－2年自评一次 1年自评一次 2－3年自评一次 2－3年自评一次 2－3年自评一次
3
五部委配套《企业内部控制评价指引》解读—章节结构
章节
第一章 第二章 第三章
内容
总则：明确目的、界定范围、列示评价原则 内部控制评价的内容 内部控制评价的程序
第四章
第五章
内部控制缺陷的认定
内部控制评价报告
4
五部委配套《企业内部控制评价指引》解读 —第一章 总则
• 内部控制评价定义：是指企业董事会或 类似权力机构对内部控制的有效性进行 全面评价、形成评价结论、出具评价报 告的过程。 • 内部控制评价需要遵循的原则： • 全面性原则：评价工作应当包括内部 控制的设计与运行，涵盖企业及其所 属单位的各种业务和事项。 • 重要性原则：评价工作应当在全面评 价的基础上，关注重要业务单位、重 大业务事项和高风险领域。 • 客观性原则：评价工作应当准确地揭 示经营管理的风险状况，如实反映内 部控制设计与运行的有效性。
2011-1-1 2012-1-1
五部委： 《企业内部控制评 价指引》
为规范企业内部控制评价工作，要求企业应对 其内部控制的设计和运行状况定期评价，出具 评价报告，发现企业内部控制缺陷，提出和实 施改进方案，确保内部控制有效运行。
2010-4-26
2011-1-1 2012-1-1
2
五部委内部控制规范体系
内控梳理对标 内控整改固化 内控自评
内控审计
内控自评
开展内控评价 跟踪缺陷整改 编制内控评价 报告
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果
编报评 价报告
17
制定评价工作方案—基本要素
制定评 价工作 方案
组成评 价工作 组
实施现 场测试
认定控 制缺陷
汇总评 价结果