内控审计体系建设

2009年售前工作总结和2010年工作规划企业内部控制审计体系与方法基于财政部《企业内部控制审计指引》和《企业内部控制审计指引实施意见》的实践00:12:34——写在前面的问题——企业内部控制体系建设与运行对企业风险管理的或企业经营的贡献度有多大？00:12:34——写在前面的问题——经营策略在很大程度上影响着内部控制体系建设的方法与思路00:12:34以利润为中心以客户为中心以股东利益为中心不同的经营理念不同的经营策略决定着企业内部控制的实际操作管理方向和途径——目录——•内控审计的体系与方法论•特定内控项目的审计•基于数据分析的内控缺陷识别基于内控审计总体目标分解来建立严谨完善的内控审计体系及对应的方法论对企业极为重要的那些特定内控项目的专项审计是保证内控目标实现的重要环节点引入非现场审计与现场审计相结合的模式提高问题发现的精准度并提升审计效率•面向应用的内控审计工作平台将前述的体系与方法落实到审计信息系统中实现审计工作的工具平台化操作00:12:34一、内控审计的体系与方法论——审计目标内控审计目标这里所说的企业内部控制审计是指会计师事务所或企业内部审计部门接受委托，对特定基准日企业内部控制的设计和运行的有效性进行的审计。内控审计责任建立健全和有效实施企业内部控制，是企业全体股东和董事会的整体要求，也涉及到企业员工的共同利益。评价企业内部控制设计和运行的有效性，是董事会的责任也是受委托会计师事务所代表股东利益和社会利益而肩负的共同责任。00:12:34一、内控审计的体系与方法论——审计目标内部控制设计及运行有效性内部控制对战略目标实现具有一定的保障作用，但与战略目标实现密切相关的资源配置和行动序列属于决策层面，故在内控实现目标中略去了战略目标实现遵从法律法规保障资产安全披露真实完整营运效率效果00:12:34一、内控审计的体系与方法论——任务分析财务报告完整真实遵从企业内法与外法保障企业资产安全提升运营效率效果内控审计内控设计\构建有效性内控运行有效性内控审计审什么？00:12:34一、内控审计的体系与方法论——任务分析内控审计内控设计\构建有效性内控运行有效性企业内部控制系统构建有效性审计，主要是从内控体系设计构建的体系完备性、系统深入性、管理详细性、目标达成性、运行有效性和维护持续性诸方面评估内控体系建设的质量——这是一种基于理论方法的审计或者是一种基于完备内控体系标准的设计。企业内部控制系统运行有效性审计，当从企业内部控制系统运行的实际效果出发，监测它对内部控制四大目标实现的满足程度——这是一种基于企业内控系统运行事实或成效的审计，内控效果评估是审计的核心。00:12:34一、内控审计体系与方法论——内控构建有效性企业内控体系设计构建有效性审计是内控效果审计的第一步，一个千疮百孔的内控体系构建也很难谈得上运行的有效性，因此从内控体系的设计理念和实际构建的内容和程度出发检查内控体系建设的有效性是非常必要的。内控体系设计\构建评估当从以下几个方面入手：1.体系完备性2.系统深入性3.管理详细性4.目标达成性5.运行有效性6.维护持续性如果能够建立上述6个方面的指标体系，我们就可以通过调查问卷、查证查验对企业内控体系构建的质量进行评测。00:12:34一、内控审计体系与方法论——内控构建有效性评价体系完备性风险及内控管理组织机构企业风险管理文化建设内控管理责任及地位内部控制涵盖业务面内控体系信息采集与监测环节内部控制包含的层次内部控制管理信息系统00:12:34一、内控审计体系与方法论——内控构建有效性评价企业风险管理机构设置是否健全、职责是否明确、组织管理是否合理。体制内全员风险管理与内部控制培训是否开展，风险管理意识和职业操守标准是否建立。是否有企业级领导专职负责内部控制，其职权范围和精力是否合适和充沛。风险管理是否涵盖企业财务、市场营销、产品销售、物资采购、人力资源管理、绩效考核、对外对内投资、安全生产、合规等各个业务和管理层面。是否建立了有效的内部控制管理信息系统信息采集点是否包括了主要的业务环节如：财务出纳、市场反馈、产品销售、企业供应链、工作计划进度、绩效考核、薪酬体系等。控制管理层次分明，包括：风险管理战略—控制管理环境建立—风险点发现—风险点评估—风险应对—流程管控—信息沟通—监测。评价指标体系－体系完备性00:12:34一、内控审计体系与方法论——内控构建有效性评价系统深入性业务流程节点设置与操作目标的匹配度业务流程风险点的详尽程度业务流程关键风险点管控是否具体明确业务流程操作目标与管理目标的匹配性风险点管控中风险偏好设置的清晰性内控管理的层次是否分明清晰00:12:34一、内控审计体系与方法论——内控构建有效性评价控制管理层次分明，包括：风险管理战略—控制管理环境建立—风险点发现—风险点评估—风险应对—流程管控—信息沟通—监测是否建立了完整的关键风险点的管控机制和应对措施企业在典型业务流程上（例如内控指引的18个管控条线）是否具备广泛的风险点知识库，使得企业对风险点的识别系统全面建立在风险偏好基础上的风险点管控策略，即内控设计中，从风险点中基于风险偏好来选择控制点控制目标应与经营目标、管理目标保持一致，并且在流程环节上始终围绕着操作目标建立控制策略评价指标体系－系统深入性00:12:34一、内控审计体系与方法论——内控构建有效性评价管理详细性企业内部控制节点的规模控制程序文件的详尽程度风险事件库的规模风险预警观测点组织层级深入程度控制程序文件的严谨、规范和适用性信息记录和传递的及时、准确和全面性00:12:34一、内控审计体系与方法论——内控构建有效性评价评价指标体系－管理详细性企业内部控制节点的详细程度，是否覆盖了必要的各个环节控制程序文件的详尽程度，是否对于风险的发生有明显的抑制作用风险事件库的设置是否详细，有助于快速的查询，以应对紧迫的风险管理的需要风险预警观测点是否按照业务或组织层级的深入进行布置的，是否有助于提前发现风险信号控制程序文件编写是否严谨、规范和适用性，没有歧义或二义性业务信息记录和传递的及时、准确和全面性00:12:34一、内控审计体系与方法论——内控构建有效性评价内部控制策略对企业管理战略的迎合内部控制是否增进了对企业的全面深入了解内部控制是否建立了检查和平衡机制现金流是否处于日常监控和定期分析环境中风险点控制是否设立了风险限额和范围经营指标是否与风险控制和计量保持平衡内部控制是否使管理触角从顶层直达最低层企业的重大关键风险是否处在日常的监视中员工考核和激励补偿是否与控制管理目标一致风险\控制报告的全面性和结论的可检验性目标达成性00:12:34一、内控审计体系与方法论——内控构建有效性评价评价指标体系－目标达成性内控管理目标是否迎合企业的发展战略，是否对战略目标进行了有效的分解是内控系统设计与构建的重要原则内控系统建设与运行是否增进了对企业的全面深入了解（资产、现金、工作进展、人员状况、市场反馈等等）是内控系统有效性的一个标识。内控管理的触角应该具有一个从顶层直达最低层的快捷机制，并且建立了检查和牵制的平衡机制对员工的绩效考核和激励补偿是否与企业内控的目标一致，并且迎合了企业的长远发展战略。企业的重大关键风险（例如前N大风险）是否处在日常的监视中（是否有电子化的预警辅助系统）。风险管理报告（包括财务报告）的真实性、可检验性和其中风险指标的是否全面，是否包含了事前预警、分析和事后处理。00:12:34一、内控审计体系与方法论——内控构建有效性评价运行有效性实体流程控制的技术完备程度及时发现内控缺陷的机制风险点评估的及时性、快捷性、准确性内控风险应对策略的适用性、经济性危机处理预案的完整性、可操作性内控信息沟通、内控报告、成效评估制度的常态化00:12:34一、内控审计体系与方法论——内控构建有效性评价评价指标体系－运行有效性是否有（通常是建立在IT系统上的）实体流程管控平台，这是企业内部控制从纸面上的管控规定落实为真实的流程控制的重要手段，融合在OA系统或者其他业务系统中的业务流程管控是内部控制落地的发展方向。建立基于事件或指标或测试的内控缺陷发现机制是保障内控系统有效运行的有力措施。掌握与否快速进行风险点评估的技术是建立风险应对策略的基础。同时风险应对策略的合理性、适用性、经济性也是设计的要点危机处理是内部控制的重要内容，危机应对预案的建立以及启用流程的设置也是内控系统运行的重要内容。00:12:34一、内控审计体系与方法论——内控构建有效性评价持续维护性是否有内控管理监控体系在常规运行是否有因应环境变化而对系统进行修订的机制是否有专职人员负责系统的改善和修订企业内控体系是否有适应不同发展阶段的不同要求的机制00:12:34一、内控审计体系与方法论——内控构建有效性评价评价指标体系－持续维护性是否有日常的内控管理监控体系在常规的运行，并定期对运行的状况进行反馈是否有因应环境变化而对系统进行修订的机制（体系的自适应机制）对是否有专职人员以及组织机构负责系统的改善、修订企业内部控制管理系统是否适应企业不同发展阶段对内部控制的不同要求00:12:34一、内控审计体系与方法论——内控运行有效性审计评估企业内控体系运行有效性是企业内控审计的根本目的，在审计方法上，针对所涉及的各个业务条线从上述四个方面，通过风险事件、风险指标、实地测试获得内控系统的运行数据，从而完成企业内控系统运行有效性的评测资产安全审计效率效果审计外法合规审计披露真实审计00:12:34一、内控审计的体系与方法论——内控审计流程框架调查问卷审计立项查询查证设计/构建有效性评估指标体系内控体系构建有效性评估风险事件风险指标测试查证内控目标满足度分项评估内控运行有效性评估内控审计报告00:12:34一、内控审计的体系与方法论——讨论题（1）讨论：内部控制与风险管理的关系00:12:34一、内控审计的体系与方法论——讨论题（1）合规风险管理大合规/遵从外法和内法小合规/仅遵从外法合规政策内控制度RCSA控制程序文件业务流程风险点损失事件库合规风险识别沟通与交流改进与监控合规作为内控的制约目标00:12:34一、内控审计的体系与方法论——讨论题（1）事先管理员工绩效管理内部控制内控环境内控目标内控规则合规风险管理合规监测预警风险暴露、经济资本、风险对冲风险与控制自评估操作风险/运营风险事中管理事后管理沟通与监控00:12:34——目录——•内控审计的体系与方法论•特定内控项目的审计•基于数据分析的内控缺陷识别基于内控审计总体目标分解来建立严谨完善的内控审计体系及对应的方法论对企业极为重要的那些特定内控项目的专项审计是保证内控目标实现的重要环节点引入非现场审计与现场审计相结合的模式提高问题发现的精准度并提升审计效率•面向应用的内控审计工作平台将前述的体系与方法落实到审计信息系统中实现审计工作的工具平台化操作00:12:34二、特定内控项目审计（1）——“三重一大”“三重一大”指重大决策、重要人事任免、重大项目安排和大额度资金运作。“三重一大”事项坚持集体决策原则。国有企业应当健全议事规则，明确“三重一大”事项的决策规则和程序，完善群众参与、专家咨询和集体决策相结合的决策机制。国有企业党委(党组)、董事会、未设董事会的经理班子等决策机构要依据各自的职责、权限和议事规则，集体讨论决定“三重一大”事项，防止个人或少数人专断。要坚持务实高效，保证决策的科学性；一般说来，企业特别是中央企业建立健全议事规则、明确“三重一大”事项的决策规则和程序都是可以做到的，然而实质性问题是什么样的决策规则（包括决策依据和如何作出决策）和什么样的决策程序00:12:34二、特定内控项目审计（1）——“三重一大”什么样的决策程序能够保证决策的客观性和科学性采用什么样的决策支持方法才能是决策具有全面性、总体客观性和规避今后面临的重要风险中共中央办公厅、国务院办公厅《关于进一步推进国有企业贯彻落实“三重一大”决策制度的意见》议事规则、决策流程、决策支持三重一大议事规则