企业内部控制应用指引解读 第15-18号指引、评价指引、审计指引

由NordriDesign™提供www.nordridesign.com企业内部控制配套指引讲解云南财经大学会计学院杨静主要内容：——全面预算——管理——内部信息传递——信息系统——内部控制审计——内部控制评价 《企业内部控制应用指引第15号——全面预算》 学习内容： （一）本指引的意义 （二）全面预算概述 （三）预算的编制 （四）预算的执行 （五）预算的考核（一）本指引的意义 是贯彻落实企业发展战略的需要 是协调各部门、各单位、各有关人员行动的需要 是有效配置资源的需要 是科学评价企业绩效和考核的需要 是防范和降低企业经营风险和财务风险的需要（二）全面预算概述 1、全面预算的概念 2、全面预算的流程 3、全面预算的主要风险 4、全面预算的组织领导体制（二）全面预算概述 1、全面预算的概念 全面预算——是指企业对一定期间的经营活动、投资活动、财务活动等作出的预算安排。 全面预算作为一种全方位、全过程、全员参与编制与实施的预算管理模式，凭借其、协调、控制、激励、评价等综合管理功能，整合和优化配置企业资源，提升企业运行效率，成为促进实现企业发展战略的重要抓手。（二）全面预算概述 正确认识和理解全面预算的内涵应当把握以下几个方面： （1）全方位、全过程、全员参与编制与实施的预算管理模式 （2）企业实施内部控制、防范风险的重要手段和措施 （3）企业实现发展战略和年度经营目标的有效方法和工具 （4）有利于企业优化资源配置、提高经济效益 （5）有利于实现制约和激励（二）全面预算概述 2、全面预算的流程（二）全面预算概述 3、全面预算管理中的主要风险： ——不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。 ——预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。 ——预算缺乏刚性、执行不力、考核不严，可能导致预算管理流于形式。（二）全面预算概述 4、全面预算的组织领导体制（三）预算的编制 预算编制是企业实施全面预算管理的起点，主要控制措施： 第一，全面性控制。 一是明确企业各个部门、单位的预算编制责任，使企业各个部门、单位的业务活动全部纳入预算管理； 二是将企业经营、投资、财务等各项经济活动的各个方面、各个环节都纳入预算编制范围。（三）预算的编制 第二，编制依据和基础控制。 一是制定明确的战略规划，并依据战略规划制定年度经营目标和计划，作为制定预算目标的首要依据； 二是深入开展企业外部环境的调研和预测，确保预算编制以市场预测为依据，与市场、社会环境相适应； 三是深入分析企业上一期间的预算执行情况，充分预计预算期内企业资源状况、生产能力、技术水平等自身环境的变化，确保预算编制符合企业生产经营活动的客观实际。（三）预算的编制 第三，编制程序控制。企业应当按照上下结合、分级编制、逐级汇总的程序，编制年度全面预算。 第四，编制方法控制。企业应当本着遵循经济活动规律，充分考虑符合企业自身经济业务特点、基础数据管理水平、生产经营周期和管理需要的原则，选择或综合运用固定预算、弹性预算、滚动预算等方法编制预算。 第五，预算编制时间控制。企业可以根据自身规模大小、组织结构和产品结构的复杂性、预算编制工具和熟练程度、全面预算开展的深度和广度等因素，确定合适的全面预算编制时间，并应当在预算年度开始前完成全面预算草案的编制工作。（三）预算的编制 预算审批 主要风险：全面预算未经适当审批或超越授权审批，可能导致预算权威性不够、执行不力，或可能因重大差错、舞弊而导致损失。 主要控制措施：企业全面预算应当按照《公司法》等相关法律法规及企业章程的规定报经股东（大）会审议批准。（三）预算的编制 预算下达 主要风险：全面预算下达不力，可能导致预算执行或考核无据可查。 主要控制措施：企业全面预算经审议批准后应及时以文件形式下达执行。（四）预算的执行主要控制措施： 第一，企业全面预算一经批准下达，各预算执行单位应当认真组织实施，将预算指标层层分解落实。 第二，建立预算执行责任制度，对照已确定的责任指标，定期或不定期地对相关部门及人员责任指标完成情况进行检查，实施考评。（四）预算的执行主要控制措施： 第三，严格审批控制，及时制止不符合预算目标的经济行为，确保各项业务和活动都在授权的范围内运行。 对于超预算或预算外事项，应当实行严格、特殊的审批程序，一般须报经总经理办公会或类似权力机构审批；金额重大的，还应报经预算管理委员会或董事会审批。（四）预算的执行 第四，建立预算执行实时监控制度，及时发现和纠正预算执行中的偏差。 第五，建立重大预算项目特别关注制度。对于工程项目、对外投融资等重大预算项目，企业应当密切跟踪其实施进度和完成情况，实行严格监控。（四）预算的执行 第六，建立健全预算执行情况内部反馈和报告制度，确保预算执行信息传输及时、畅通、有效。 预算管理工作机构应当加强与各预算执行单位的沟通，运用财务信息和其他相关资料监控预算执行情况，采用恰当方式及时向预算管理委员会和各预算执行单位报告、反馈预算执行进度、执行差异及其对预算目标的影响，促进企业全面预算目标的实现。（四）预算的执行 第七，建立预算分析制度。企业预算管理工作机构和各预算执行单位应当建立预算执行情况分析制度，定期召开预算执行分析会议，通报预算执行情况，研究、解决预算执行中存在的问题，认真分析原因，提出改进措施。 第八，建立预算调整制度。主要控制措施： 第一，明确预算调整条件。 第二，强化预算调整原则。 第三，规范预算调整程序，严格审批。（五）预算的考核 主要控制措施： 第一，建立健全预算执行考核制度。 一是建立严格的预算执行考核制度，对各预算执行单位和个人进行考核，将预算目标执行情况纳入考核和奖惩范围，切实做到有奖有惩、奖惩分明。 二是制定有关预算执行考核的制度或办法，并认真、严格地组织实施。 三是定期组织实施预算考核，预算考核的周期一般应当与年度预算细分周期相一致，即一般按照月度、季度实施考评，预算年度结束后再进行年度总考核。（五）预算的考核 主要控制措施： 第二，明晰考核的基本原则： ——公开：考核程序、、结果要对组织中的每个人公开。 ——公正：考核结果和奖惩措施要客观公正地反映预算执行效果。 ——公平：考核标准对所有预算执行单位和个人一视同仁。 《企业内部控制应用指引第16号——合同管理》 学习内容： （一）本指引的意义 （二）合同管理概述 （三）合同订立 （四）合同履行（一）本指引的意义 是协调各方关系、促进企业可持续发展的需要 是降低企业法律风险，维护合法权益的需要（二）合同管理概述1、合同的定义 合同——是企业与自然人、法人及其他组织等平等主体之间设立、变更、终止民事权利义务关系的协议。 企业应当加强合同管理，确定合同归口管理部门，明确合同拟定、审批、执行等环节的程序和要求，定期检查和评价合同管理中的薄弱环节，采取相应控制措施，促进合同有效履行，切实维护企业的合法权益。（二）合同管理概述 2、合同管理过程中的主要风险 ——未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈，可能导致企业合法权益受到侵害。 ——合同未全面履行或监控不当，可能导致企业诉讼失败、经济利益受损。 ——合同纠纷处理不当，可能损害企业信誉和形象。（二）合同管理概述 3、合同管理的组织体制 ——分级授权管理：企业应当根据经济业务性质、组织机构设置和管理层级安排，建立合同分级。属于上级管理权限的合同，下级单位未经授权不得签署。 ——统一归口管理：企业可以根据实际情况指定法律部门等作为合同归口管理部门，对合同实施统一规范管理。（三）合同订立 1、合同订立的范围 企业对外发生经济行为，除及时结清方式外，均应订立书面合同。 2、合同订立前的尽职调查 ——调查内容：对方当事人的主体资格、信用状况等有关内容，确保其具备履约能力。 ——合同谈判：对于影响重大、涉及较高专业技术或法律关系复杂的合同，应当组织法律、技术、财会等专业人员参与谈判。 ——记录保存：谈判过程中的重要事项和参与谈判人员的主要意见，应当予以记录并妥善保存。（三）合同订立 3、合同文本的选择 基本原则：条款内容完整，表述严谨准确，相关手续齐备，避免出现重大疏漏。 合同文本一般由业务承办部门起草，法律部门审核；重大合同或法律关系复杂的特殊合同应当由法律部门参与起草。 国家或行业有合同示范文本的，可以优先选用，但对涉及权利义务关系的条款应当进行认真审查，并根据实际情况进行适当修改。 须经国家主管部门审查或备案的，应当履行相应程序。（三）合同订立 4、合同文本的审核 ——合法性：合同的主体、内容和形式是否合法 ——经济性：合同内容是否符合企业的经济利益 ——可行性：对方当事人是否具有履约能力， ——严密性：同权利和义务、违约责任和争议解决条款是否明确 建立会审制度。对影响重大或法律关系复杂的合同文本，组织财会部门、内部审计部、法律部、业务关联的相关部门进行审核，内部相关部门应当认真履行职责。 慎重对待审核意见。认真分析研究，慎重对待，对审核意见准确无误地加以记录，必要时对合同条款作出修改并再次提交审核。（三）合同订立 5、合同签署 按照规定的权限和程序与对方当事人签署合同。正式对外订立的合同应当由企业法定代表人或由其授权的代理人签名或加盖有关印章。授权签署合同的，应当签署授权委托书。 6、合同印章管理 严格合同专用章保管制度，合同经编号、审批及企业法定代表人或由其授权的代理人签署后，方可加盖合同专用章。 7、保密管理 企业应当加强合同信息安全保密工作，未经批准，不得以任何形式泄露合同订立与履行过程中涉及的商业秘密或国家机密。（四）合同履行 1、合同履行基本原则 ——诚实信用 2、合同变更处理 ——变更情形：显失公平、条款有误或对方有欺诈行为等；政策调整、市场变化等客观因素导致合同无法正常履行。 ——处理方法：承办单位及时报告，经双方协商一致后，按照规定权限和程序办理合同变更或解除事宜。（四）合同履行 3、合同纠纷管理 ——对方原因造成的纠纷 ——自身原因造成的纠纷 控制要点： 依据国家相关法律法规，在规定时效内与对方当事人协商并按规定权限和程序及时报告。 合同纠纷经协商一致的，双方应当签订书面协议。 合同纠纷经协商无法解决的，应当根据合同约定选择仲裁或诉讼方式解决。 纠纷处理过程中，未经授权批准，相关经办人员不得向对方当事人作出实质性答复或承诺。（四）合同履行 4、合同结算管理 合同结算是合同执行的重要环节，既是对合同签订的审查，也是对合同执行的监督，一般由财会部门负责办理。 主要管控措施： 第一，财会部门应当在审核合同条款后办理结算业务，按照合同规定付款，及时催收到期欠款。 第二，未按合同条款履约或应签订书面合同而未签订的，财会部门有权拒绝付款，并及时向企业有关负责人报告。（四）合同履行 5、合同登记 合同登记管理制度体现合同的全过程封闭管理，合同的签署、履行、结算、补充或变更、解除等都需要进行合同登记。 主要管控措施：合同管理部门应当加强合同登记管理，充分利用信息化手段，定期对合同进行统计、分类和归档，详细登记合同的订立、履行和变更、终结等情况，合同终结应及时办理销号和归档手续，以实行合同的全过程封闭管理。（四）合同履行 6、合同管理的后评估 企业应当建立合同管理的后评估制度，即合同履行情况评估制度，至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估，对分析评估中发现合同履行中存在的不足，应当及时加以改进。 《企业内部控制应用指引第17号——内部信息传递》 学习内容： （一）本指引的意义 （二）内部信息传递概述 （三）内部报告形成 （四）内部报告使用（一）本指引的意义 贯彻落实基本规范“信息与沟通”要求的需要 贯彻落实企业发展战略、实现企业经营目标等的需要 避免信息孤岛、协调企业业务及管理各子系统运行的需要（二）内部信息传递概述 1、内部信息传递的概念 内部信息传递——是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。 企业的内部控制活动离不开信息的沟通和传递。 信息在企业内部进行有目的地传递，对贯彻落实企业发展战略、执行企业全面预算、识别企业生产经营活动中的内外部风险具有重要作用。（二）内部信息传递概述 2、内部信息传递的流程与职责分工 企业在实际操作中，应当充分结合自身业务特点和管理要求，构建和优化内部信息传递流程。★企业内部各管理层级均应指定专人负责内部报告工作，重要信息可以直接报告高级管理人员。信息的处理（二）内部信息传递概述 3、主要风险点 ——内部报告系统缺失，功能不健全，内容不完整，可能影响生产经营有序运行。 ——内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。 ——内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。（三）内部报告形成 1、建立内部报告指标体系 内部报告指标体系是否科学直接关系到内部报告反映的信息是否完整和有用，这就要求企业应当根据自身的发展战略、风险控制和业绩考核特点，系统、科学地规范不同级次内部报告的指标体系，合理设置关键信息指标和辅助信息指标，并与全面预算管理等相结合，同时应随着环境和业务的变化不断进行修订和完善。（三）内部报告形成 2、收集内外部信息 获取外部信息：通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道获取； 获取内部信息：通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道获取。 合理的筛选、核对、整合可提高信息的有用性。（三）内部报告形成 3、编制经营快报等内部报告 控制要求： 要与全面预算管理相结合 内部报告应当简洁明了，通俗易懂，传递及时 指标体系应当随着环境和业务的变化不断进行修订和完善经营快报1、销售收入2、市场占有率3、库存状况4、流动资金5、……（内部报告指标体系）（三）内部报告形成 4、信息技术的利用 充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。（三）内部报告形成 5、内部报告的渠道 正常渠道：内部报告应当按照职责分工和权限指引中规定的报告关系传递信息。 特殊渠道：重要信息应当及时传递给董事会、监事会和经理层。 企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。 （三）内部报告形成 6、反舞弊 主要控制措施： 第一，企业应当重视和加强反舞弊机制建设，对员工进行道德准则培训，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。 第二，企业应通过审计委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查，监督各类舞弊行为。（三）内部报告形成 6、反舞弊 主要控制措施： 第三，企业应当建立反舞弊情况通报制度，定期召开反舞弊情况通报会。 第四，企业应当建立举报投诉制度。通过设立员工信箱、投诉热线等有效方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。 第五，企业应当建立举报人保护制度，设立举报责任主体、举报程序，明确举报投诉处理程序，并做好投诉记录的保存。（四）内部报告使用 1、内部报告用途 ——指导生产经营。 ——进行风险评估。 ——重大问题的应急预警。（四）内部报告使用 2、内部报告的保密要求 企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。（四）内部报告使用 3、内部报告评估 企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。 《企业内部控制应用指引第18号——信息系统》 学习内容： （一）本指引的意义 （二）信息系统概述 （三）信息系统的开发 （四）信息系统的运行维护 （一）本指引的意义 特点： 企业内部信息流的传递平台。 实施内部控制的手段。 目的： 为了促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素（二）信息系统概述 定义： 信息系统——是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。 作用： 提高企业现代化管理水平的重要手段 提高企业风险防范能力的有效措施（二）信息系统概述 应关注的主要风险： ——信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 ——系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。 ——系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。 搭建企业信息化平台，修筑信息高速公路控制效率 建立企业信息化管理平台，可以解决在管理不失控的前提下的效率最大化问题。 信息化管理系统多如牛毛： 企业资源计划(ERP) 物料需求计划(MRP) 制造资源计划(MRPII) 客户关系管理(CRM) 制造执行系统(MES) 供应链管理(SCM) 销售和客户服务管理(SSM) 产品及产品工艺管理(P/PE) 分销管理系统(EMO)。信息化管理？管理的信息化？企业需要 ERP（企业资源计划）也好，MRPII（制造资源计划）也罢，都是将我们的管理进行信息化的过程。 换句话说，就是为了在相同效率下，提高了控制力度或在控制力度相同的情况下，实现了效率的提升。（三）信息系统开发 开发阶段的主要环节项目建设方案的提出与审批上线准备进行开发开发过程的跟踪管理验收测试（三）信息系统开发 1、项目建设方案的提出与审批 企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。（三）信息系统开发 2、进行开发 开发方式： 企业可以采取自行开发、外购调试、业务外包等方式开发信息系统。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。 系统开发： 企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。（三）信息系统开发 3、开发过程的跟踪管理 企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。（三）信息系统开发 4、验收测试 企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。 5、上线准备 企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。（四）信息系统的运行与维护 运行与维护阶段的主要环节 运行与维护的管理数据备份系统用户管理网络安全管理设备管理（四）信息系统的运行与维护 1、系统运行与维护管理 企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。 企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。（四）信息系统的运行与维护 2、系统安全管理 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。 企业应当建立信息系统安全保密和泄密责任追究制度。 企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。（四）信息系统的运行与维护 3、用户管理 企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。（四）信息系统的运行与维护 4、网络安全管理 企业应当特别注重加强对服务器等关键部位的防护；对于存在网络应用的企业，应当综合利用防火墙、路由器等网络设备，采用内容过滤、漏洞扫描、入侵检测等软件技术加强网络安全，严密防范来自互联网的黑客攻击和非法侵入。 对于通过互联网传输的涉密或者关键业务数据，企业应当采取必要的技术手段确保信息传递的保密性、准确性、完整性。（四）信息系统的运行与维护 5、数据备份 企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。 系统首次上线运行时应当完全备份，然后根据业务频率和数据重要性程度，定期做好增量备份。（四）信息系统的运行与维护 6、设备（硬件）管理 企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。 《企业内部控制评价指引》 学习内容： （一）内部控制评价概述 （二）内部控制评价的依据和内容 （三）内部控制评价的程序 （四）内部控制评价的方法 （五）内部控制缺陷的认定 （六）内部控制评价报告（一）内部控制评价概述 1、内部控制评价的作用 第一，内部控制评价有助于企业自我完善内控体系。 第二，内部控制评价有助于提升企业市场形象和公众认可度。 第三，内部控制评价有助于实现与政府监管的协调互动。（一）内部控制评价概述 2、内部控制评价的对象 内部控制评价是对内部控制有效性发表意见。 内部控制有效性——是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。 内部控制设计的有效性——是指为实现控制目标所必需的内部控制要素都存在并且设计恰当。 内部控制运行的有效性——是指现有内部控制按照规定程序得到了正确执行。（一）内部控制评价概述 3、内部控制评价的原则 内部控制评价的原则是开展评价工作应该注意的原则，与内部控制的原则不完全相同。 企业对内部控制评价至少遵循以下原则： ——全面性原则 ——重要性原则 ——客观性原则（一）内部控制评价概述 4、内部控制评价的组织形式和职责安排 组织形式： 企业可以授权内部审计机构或专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作。 内部控制评价机构必须具备一定的设置条件。（一）内部控制评价概述 4、内部控制评价的组织形式和职责安排 （1）董事会对内部控制评价承担最终的责任。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。 （2）监事会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。 （3）经理层负责组织实施内部控制评价工作，实际操作中，可以授权内部控制评价机构组织实施，并积极支持和配合内部控制评价的开展，创造良好的环境和条件。 （4）内部控制评价机构根据授权承担内部控制评价的具体组织实施任务。 （5）各专业部门应负责组织本部门的内控自查、测试和评价工作。（二）内部控制评价的依据和内容 评价依据： 企业应结合《企业内部控制基本规范》、各项应用指引以及本企业的内部控制制度，确定具体评价内容，对内部控制设计与运行情况进行全面评价。 评价内容： 内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行。（三）内部控制评价的程序 内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。 概括而言，主要分为以下几个阶段： 1．准备阶段 （1）制定评价工作方案 内部控制评价机构应当根据企业内部监督情况和管理要求，分析企业经营管理过程中的高风险领域和重要业务事项，确定检查评价方法，制定科学合理的评价工作方案，经董事会批准后实施。 评价工作方案既以全面评价为主，也可以根据需要采用重点评价的方式。（三）内部控制评价的程序 （2）组成评价工作组 评价工作组是在内部控制评价机构领导下，具体承担内部控制检查评价任务。 内部控制评价机构根据经批准的评价方案，挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。 评价工作组成员应当吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。 企业应根据自身条件，尽量建立长效内部控制评价培训机制。（三）内部控制评价的程序 2．实施阶段 （1）了解被评价单位基本情况。 （2）确定检查评价范围和重点。 （3）开展现场检查测试。 （4）编制现场评价报告。 （5）提交现场评价结论。（三）内部控制评价的程序 3．报告阶段 （1）汇总评价结果 内部控制评价部门汇总各评价工作组的评价结果，对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级。 对于认定的内部控制缺陷，内部控制评价部门应当提出整改建议，要求责任单位及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，企业应当追究相关人员的责任。（三）内部控制评价的程序 3．报告阶段 （2）编报评价报告 内部控制评价部门以汇总的评价结果和认定的内部控制缺陷为基础，综合内部控制工作整体情况，客观、公正、完整地编制内部控制评价报告，并报送企业经理层、董事会和监事会，由董事会最终审定后对外披露或以其他形式加以合理利用。（四）内部控制评价的方法 个别访谈法 调查问卷法 专题讨论法 穿行测试法 实地查验法 抽样法 比较分析法（五）内部控制缺陷认定 1．内部控制缺陷的定义与分类 内部控制缺陷——是评价内部控制有效性的负向维度，如果内部控制的设计或运行无法合理保证内部控制目标的实现，即意味着存在内部控制缺陷。 内部控制缺陷按不同的分类方式分为： ——设计缺陷与运行缺陷； ——财务报告内部控制缺陷与非财务报告内部控制缺陷； ——重大缺陷、重要缺陷与一般缺陷（五）内部控制缺陷认定 2．内部控制缺陷的认定标准 （1）财务报告内部控制缺陷的认定标准 财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定，这种重要程度主要取决于两方面因素： 第一，该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报； 第二，该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。（五）内部控制缺陷认定 2．内部控制缺陷的认定标准 ①重大缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中的重大错报，就应将该缺陷认定为重大缺陷。 ②重要缺陷。如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止、发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和经理层重视的错报，就应将该缺陷认定为重要缺陷。 ③一般缺陷。不构成重大缺陷和重要缺陷的财务报告内部控制缺陷，应认定为一般缺陷。（五）内部控制缺陷认定 2．内部控制缺陷的认定标准 （2）非财务报告内部控制缺陷的认定标准 企业可以根据自身的实际情况，参照财务报告内部控制缺陷的认定标准，合理确定非财务报告内部控制缺陷的定量和定性认定标准。 非财务报告内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更。（五）内部控制缺陷认定 2．内部控制缺陷的认定标准 （3）常见的内部控制重大缺陷情形 当有确凿证据表明企业在评价期末存在下列情形之一时，通常应认定为内部控制重大缺陷： ①企业财务报表已经或者很可能被注册会计师出具否定意见或者拒绝表示意见。 ②企业审计委员会和内部审计机构未能有效发挥监督职能。（五）内部控制缺陷认定 2．内部控制缺陷的认定标准 ③企业董事、监事和高级管理人员已经或者涉嫌舞弊，或者企业员工存在串谋舞弊情形并给企业造成重要损失和不利影响。 ④企业在财务会计、资产管理、资本运营、信息披露、产品质量、安全生产、环境保护等方面发生重大违法违规事件和责任事故，给企业造成重要损失和不利影响，或者遭受重大行政监管处罚。 上述控制缺陷如果对企业财务报表的真实可靠性产生影响，则为财务报告内部控制重大缺陷；如果不影响财务报表的真实可靠，则为非财务报告内部控制重大缺陷。（五）内部控制缺陷认定 3．内部控制缺陷的报告和整改 （1）内部控制缺陷报告 内部控制缺陷报告应当采取书面形式。 对于一般缺陷和重要缺陷，通常向企业经理层报告，并视情况考虑是否需要向董事会及其审计委员会、监事会报告； 对于重大缺陷，应当及时向董事会及其审计委员会、监事会和经理层报告。 一般缺陷、重要缺陷应定期报告，重大缺陷即时报告。（五）内部控制缺陷认定 3．内部控制缺陷的认定标准 （2）内部控制缺陷整改 企业对于认定的内部控制缺陷，应当制定内部控制缺陷整改方案，按规定权限和程序审批后执行； 对于认定的重大缺陷，还应及时采取应对策略，切实将风险控制在可承受度之内，并追究有关机构或相关人员的责任。（六）内部控制评价报告 1．内部控制评价报告的内容 （1）董事会对内部控制报告真实性的声明。 （2）内部控制评价工作的总体情况。 （3）内部控制评价的依据。 （4）内部控制评价的范围。 （5）内部控制评价的程序和方法。 （6）内部控制缺陷及其认定。 （7）内部控制缺陷的整改情况。 （8）内部控制有效性的结论。（六）内部控制评价报告 2．内部控制评价报告的编制 （1）编制时间 内部控制评价报告按照编制时间的不同，分为定期报告和不定期报告。 （2）编制主体 内部控制评价报告的编制主体包括单个企业和企业集团的母公司。（六）内部控制评价报告 （3）编制程序 ①内部控制评价部门对工作底稿进行复核，根据认定并按照规定的权限和程序审批确定的内部控制缺陷，判断内部控制的有效性。 ②内部控制评价部门搜集整理编制内部控制评价报告所需的相关资料。 ③内部控制评价部门根据有关资料撰写内部控制评价报告。 ④内部控制评价报告上报经理层审核、董事会审批后确定。（六）内部控制评价报告 3．内部控制评价报告的报送 内部控制评价报告报经董事会批准后对外披露或报送相关主管部门。 上市公司年度内部控制评价报告必须向社会公开披露，接受社会监督，为投资者和社会公众决策提供依据； 年度内部控制评价报告应当以12月31日作为基准日。内部控制评价报告通常应于基准日后4个月内报出。（六）内部控制评价报告3．内部控制评价报告的报送企业内部控制评价报告应按规定报送有关监管部门，例如：国有控股企业应按要求报送国有资产监督管理部门和财政部门金融企业应按规定报送银行业监督管理部门和保险监督管理部门公开发行证券的企业应报送证券监督管理部门。（六）内部控制评价报告 4．内部控制评价报告的使用 对外使用者: ——政府有关监管部门 ——投资者以及其他利益相关者 ——中介机构 ——研究机构等 对内使用者： ——企业董事会（审计委员会） ——各层级管理者以及内部监管部门 《企业内部控制审计指引》 学习内容： （一）内部控制审计概述 （二）内部控制审计的程序 （三）内部控制审计报告 （一）内部控制审计概述 内部控制审计——是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 1．内部控制审计与内部控制评价 ——本质不同 ——责任主体不同 ——评价目标不同 ——评价结果不同 ——基准日相同、测试方法相似 2．内部控制审计与财务报表审计 ——目标不同 ——程序不同 ——均关注财务报告质量和审计风险 ——审计证据可以相互支持，故可以整合 3．内部控制审计与内部控制监管 共同点： ——都是内部控制的外部评价 区别： ——主体不同 （二）内部控制审计的程序 1、计划审计工作 人员配备 计划时应考虑的事项 风险评估 利用他人的工作可否利用利用后责任的承担 （二）内部控制审计的程序 2、实施审计工作 ——测试企业层面控制 ——测试业务层面控制 ——测试舞弊相关的控制 ——测试内控设计与运行的有效性 ——获取内控有效的证据 （二）内部控制审计的程序 3、评价控制缺陷 ——财务报告内部控制缺陷 ——非财务报告内部控制缺陷 （二）内部控制审计的程序 4、完成审计工作 ——取得书面声明 ——沟通控制缺陷 ——形成审计意见 （三）内部控制审计报告 ——审计报告内容 ——审计意见类型 ——审计期后事项推进内控体系建设的一点建议 真正重视 扎实贯彻 借机提升 互动共赢（一）真正重视 真正重视就是要提高认识，更新观念，统一思想。特别是企业负责人要高度重视，负总责，亲自抓。 企业重视内部控制的原因有以下几方面： 第一，对企业有促进作用。 第二，重视内控对个人是保护。（二）扎实贯彻 真正抓好贯彻落实，基本上是以下九部曲： 第一，加强领导，健全机构。 第三，梳理流程，评估风险。 第二，狠抓培训，提高认识。 第四，制定指引，明确权限。 第五，全面入手，健全制度。 第六，制定细则，分级实施。 第七，动态完善，持续修订。 第八，组织评估，改进缺陷。 第九，强化责任，严格奖惩。 （三）借机提升 实施内控对财会人员的素质提出了挑战，对管管人员的管理理念提出了挑战。抓内控、实施内控一定要借机提升自己。 （四）互动共赢 内控建设中建立沟通机制、协调机制非常重要，怎样把内控体制建立好、实施好，需要大家上下联动，齐心协力，共同努力。 不要消极看作应景之作； 不要习惯等同财会控制； 不要人为割裂风险管理； 不要机械对照制度条文； 不要偏重形式忽略真谛； 不要简单寄望一蹴而就。谢谢大家！