企业内部控制评价指引解读陈骏

企业内部控制评价指引解读陈骏博士全国会计学术领军后备人才（2013）江苏省青蓝工程优秀骨干教师（2012）南京审计学院国际商学院副教授硕士生导师中国注册会计师非执业会员（CICPA）国际注册内部审计师（CIA）2015年3月·南京千里之行始于足下——内控评价的定义江苏·南京·2015年03月企业内部控制评价指引解读3什么是内部控制•COSO：•内部控制是一个过程，该过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：–营运的效果和效率–财务报表的可靠性–相关法令的遵循•企业内部控制基本规范•内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发发展战略。江苏·南京·2015年03月企业内部控制评价指引解读4什么是内部控制评价•《企业内控评价指引》第二条的定义，内部控制评价，是指企业董事会或类似权利机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。•《第2201号内部审计具体准则——内部控制审计》第二条本准则所称内部控制审计，是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。江苏·南京·2015年03月企业内部控制评价指引解读5什么是内部控制评价内部控制评价/审计内部评价外部审计自我评价内部审计政府审计注册会计师审计企业内部控制评价指引第2201号内部审计具体准则企业内部控制审计指引内部控制评价的分类善谋者大成于事——内控评价的基本思路江苏·南京·2015年03月企业内部控制评价指引解读7内部控制评价的战略意义•企业自我完善内控体系的助推器•提升企业市场形象和公众认可度•实现与政府监管的协调互动江苏·南京·2015年03月企业内部控制评价指引解读8内部控制评价的战略目标•内部控制设计的有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；•内部控制运行的有效性，是指现有内部控制按照规定程序得到了正确执行。内部控制评价是对内部控制有效性发表意见。内部控制的目标？内部控制有效性是指企业建立与实施内部控制对实现控制目标提供合理保证的程度，包括江苏·南京·2015年03月企业内部控制评价指引解读9内部控制评价的战略原则内部控制评价的原则企业对内部控制评价至少遵循以下原则：全面性原则涵盖所属单位的各种业务和事项。重要性原则着眼风险，突出重点。客观性原则客观评价，如实反映。江苏·南京·2015年03月企业内部控制评价指引解读10企业内控评价的规范企业内控评价指引第一章总则第二章内部控制评价的内容第三章内部控制评价的程序第四章内部控制缺陷的认定第五章内部控制评价报告第2201号内审具体准则第一章总则第二章一般原则第三章内部控制审计的内容第四章内部控制审计的具体程序与方法第五章内部控制缺陷的认定第六章内部控制审计报告江苏·南京·2015年03月企业内部控制评价指引解读11内部控制评价的基本思路评价范围控制控制目标控制目标风险事项单位或流程风险事项控制风险导向-自上而下知己知彼百战不殆——内控评价的具体实务江苏·南京·2015年03月企业内部控制评价指引解读13内部控制评价实务内部控制有效性评价主体评价方法评价程序内控评价内容江苏·南京·2015年03月企业内部控制评价指引解读14内控评价实务——评价主体企业可以授权内部审计机构或专门机构负责内部控制评价的具体组织实施工作。内部控制评价的组织形式设置条件：独立行使监督的权力；具备专业胜任能力和职业道德素养；与企业其他职能机构保持协调一致；具有权威性，得到企业董事会和经理层的支持。江苏·南京·2015年03月企业内部控制评价指引解读15内控评价实务——评价主体对内部控制评价承担最终的责任负责组织实施内部控制评价工作内部控制评价中的职责安排董事会经理层内控评价机构职能部门所属单位负责组织本部门的内控自查、测试和评价工作逐级落实内部控制评价责任根据授权承担内部控制评价的具体组织实施任务江苏·南京·2015年03月企业内部控制评价指引解读16内控评价实务——评价主体江苏·南京·2015年03月企业内部控制评价指引解读17内控评价实务——评价内容评价公司整体层面内部控制企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。评价业务流程层面内部控制根据管理需求和业务活动的特点，针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、财务报告、全面预算、合同管理、信息系统等业务层面内部控制的设计和运行情况进行评价。根据《评价指引》第二章“内部控制评价的内容”根据《内审准则》第三章“内部控制审计的内容”江苏·南京·2015年03月企业内部控制评价指引解读18内控评价实务——评价内容公司整体层面内部控制COSO内部控制五要素监督信息与沟通控制活动风险评估控制环境江苏·南京·2015年03月企业内部控制评价指引解读19内控评价实务——评价内容《企业内部控制基本规范》•内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、单位文化等。COSO五要素之内部环境《COSO报告》•控制环境是一个公司的基调，它影响着公司内部员工的控制意识。•最高管理层对公司内部控制的态度、理念、观点与哲学等。江苏·南京·2015年03月企业内部控制评价指引解读20内控评价实务——评价内容COSO五要素之内部环境•治理结构•机构设置与权责分配•人力资源政策•组织文化•内部审计江苏·南京·2015年03月企业内部控制评价指引解读21内控评价实务——评价内容《企业内部控制基本规范》•风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。《COSO报告》•风险评估是确认和分析影响目标实现的相关风险，形成确定如何管理风险的依据。COSO五要素之风险评估江苏·南京·2015年03月企业内部控制评价指引解读22内控评价实务——评价内容控制目标风险识别风险分析风险应对识别内部风险与外部风险确定相应的风险承受度按风险发生的可能性和影响程度对风险分析并排序，确定关注重点和优先控制的风险识别内部风险与外部风险确定相应的风险承受度风险规避、风险降低、风险分担和风险承受按风险发生的可能性和影响程度对风险分析并排序，确定关注重点和优先控制的风险单位应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。COSO五要素之风险评估江苏·南京·2015年03月企业内部控制评价指引解读23内控评价实务——评价内容《企业内部控制基本规范》•企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。《COSO报告》•控制活动是确保管理部门指令得到贯彻执行的各项政策及程序，它确保在发现风险后能够采取必要的行动从而保证公司目标的实现。控制活动贯穿于公司的各个阶层和职能部门，包括审批、授权、验证、业绩评价、资产保护及职责分工等。COSO五要素之控制活动江苏·南京·2015年03月企业内部控制评价指引解读24内控评价实务——评价内容不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制等COSO五要素之控制活动控制措施一般包括：江苏·南京·2015年03月企业内部控制评价指引解读25内控评价实务——评价内容《企业内部控制基本规范》•企业及时、准确地收集、传递与内部控制相关的信息，确保信息在单位内部、以及与外部组织之间进行有效沟通。《COSO报告》•必须以适当的方式在一定的时间范围内识别、获取和沟通有关的信息，以便员工能够履行其职责。信息必须在组织内自上而下、平行、自下而上，以及与外部各方有效传递。COSO五要素之信息与沟通江苏·南京·2015年03月企业内部控制评价指引解读26内控评价实务——评价内容COSO五要素之信息与沟通沟通：企业应当将内部控制相关信息在单位内部各管理级次、责任单位、业务环节之间，以及与外部组织、债权人、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。江苏·南京·2015年03月企业内部控制评价指引解读27内控评价实务——评价内容《企业内部控制基本规范》•内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。《COSO报告》•监督是一个不断对内部控制体系的运行质量进行评估的过程。它可以通过持续监控活动、个别评价或两者结合实现。COSO五要素之内部监督江苏·南京·2015年03月企业内部控制评价指引解读28内控评价实务——评价内容企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案。COSO五要素之内部监督内部监督分为日常监督专项监督–日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；–专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。江苏·南京·2015年03月企业内部控制评价指引解读29内控评价实务——评价内容被审计单位业务流程1业务流程2业务流程3业务单元1业务单元2业务单元3…………业务流程层面：根据风险，选择适当的业务流程和业务单元进行评价公司整体层面：根据内控目标，对内部控制五要素从组织整体层面进行评价业务流程层面内部控制江苏·南京·2015年03月企业内部控制评价指引解读30内控评价实务——评价内容•公司整体层面内部控制的评价内容包括但不限于：–1.单位组织结构中的职责分工的健全状况。–2.各项内部控制制度及相关措施是否健全、规范，是否与单位内部的组织管理相吻合。–3.各项工作中的业务处理与记录程序是否规范、经济，其执行是否有效。–4.各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备。–5.各岗位的职权划分是否符合不相容岗位相互分离的原则，其职权履行是否得到有效控制。–6.是否有严格的岗位责任制度和奖惩制度。–7.关键控制点是否均有必要的控制措施，其措施是否有效执行。–8.内部控制制度在执行中受管理层的影响程度。江苏·南京·2015年03月企业内部控制评价指引解读31内控评价实务——评价内容•业务流程层面内部控制有效性的评价应至少涉及下列内容–1.被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。–2.被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。–3.被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。–4.被评价单位是否开展内部控制自查并上报有关自查报告。–5.被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。–6.被评价单位在评价期间是否出现过重大风险事故等。江苏·南京·2015年03月企业内部控制评价指引解读32内控评价实务——评价内容信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。众多企业实施了ERP系统，由于ERP系统的集成度较高，因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。信息系统控制江苏·南京·2015年03月企业内部控制评价指引解读33内控评价实务——评价程序准备阶段汇总评价结果、编制评价报告阶段实施阶段报告反馈和跟踪阶段制定评价工作方案组成评价工作组江苏·南京·2015年03月企业内部控制评价指引解读34内控评价实务——评价程序准备阶段汇总评价结果、编制评价报告阶段实施阶段报告反馈和跟踪阶段了解被评价单位基本情况确定检查评价范围和重点开展现场检查测试江苏·南