解读内部控制评价

德勤华永会计师事务所有限公司北京分所2011年4月15日中银保险有限公司--内部控制评价介绍(交流）©2011德勤华永会计师事务所有限公司培训目的Ø了解监管机构对内部控制的要求Ø了解内部控制评价的步骤Ø了解内部控制评价的方法2©2011德勤华永会计师事务所有限公司目录132监管机构对内部控制的要求4内部控制评价的步骤3沟通与问答内部控制评价的方法©2011德勤华永会计师事务所有限公司内部控制基本规范及配套指引4财政部、证监会、审计署、银监会、保监会五部委联合发布的《内控基本规范》及配套指引构成了国内关于内控建设、评价和审计的技术框架。2008年6月28日，财政部、证监会、审计署、银监会、保监会五部委联合发布2010年4月15日，财政部、证监会、审计署、银监会、保监会五部委联合发布18项内部控制应用指引、内部控制评价指引和内部控制审计指引企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引适用于企业、监管机构、咨询方、鉴证机构适用于审计师©2011德勤华永会计师事务所有限公司内部控制基本规范及配套指引（续）5内控基本规范明确：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目的：•合理保证企业经营管理合法合规•资产安全•财务报告及相关信息真实完整•提高经营效率和效果•促进企业实现发展战略©2011德勤华永会计师事务所有限公司内部控制基本规范及配套指引（续）618个内部控制应用指引：内部环境类（5个）控制活动类（9个）控制手段类（4个）•组织架构•发展战略•人力资源•企业文化•社会责任•资金活动•采购业务•资产管理•销售业务•研究与开发•工程项目•担保业务•业务外包•财务报告•全面预算•合同管理•内部信息传递•信息系统©2011德勤华永会计师事务所有限公司保险公司内部控制基本准则保监会《保险公司内部控制基本准则》对内部控制作了新的解读。7前台对直接面对市场和客户的营销及交易行为的控制活动。以市场和客户为导向，以业务品质和效益为中心。后台对业务处理和后援支持等运营行为的控制活动。以效率和风险控制为中心，集中化、专业化基础对决策支持和资源保障等管理行为的控制活动。既是内控的基础，也是内控的对象，制度化、规范化内部控制销售控制运营控制基础管理控制资金运用控制划分三个业务层次把握四个内控重点资金运用是保险公司经营活动中相对独立的部分，是内部控制的重点领域，以安全性、收益性、流动性为中心，要求集中、统一、专业、规范。©2011德勤华永会计师事务所有限公司保险公司内部控制基本准则（续）《保险公司内部控制基本准则》将保险公司的控制活动分为四个重要部分。8保险公司内控活动前台控制后台控制基础控制资金运用控制销售控制•销售人员和机构管理•销售过程和品质管理•佣金手续费管理•…………运营控制•承保管理•理赔管理•保全管理•收付费管理•再保险管理•业务单证管理•会计处理•客户服务电话中心管理•反洗钱•………..基础控制•战略规划•人力资源管理•计划财务•精算法律•信息系统管理•行政管理•分支机构管理•风险管理•………….资金运用控制•资产战略配置•资产负债管理•投资决策•交易行为•资金存管•…………….©2011德勤华永会计师事务所有限公司保险公司内部控制基本准则（续）9公司治理层面•董事会对公司内部控制负最终责任•监事会对董事会、管理层履行内部控制职责进行监督•管理层根据董事会的决定，组织领导内部控制体系的建立健全与日常运行职能管理层面•内控管理职能部门负责对保险公司内部控制的事前、事中的统筹规划，组织推动、实时监控和定期排查执行层面•保险公司直接负责经营管理、承担内部控制直接责任的业务单位、部门和人员，对内控负首要责任•应当参与制定并严格执行内部控制制度，按照规定的流程和方式进行操作•对内控缺陷和风险问题，进行报告与整改监督问责层面•保险公司内部审计部门对内部控制履行事后检查监督职能•保险公司应当建立内控问责制度，明确划分责任等级，规定具体的处理措施和程序保险公司内部控制组织体系包括四个部分控制组织体系分为四部分©2011德勤华永会计师事务所有限公司目录132监管机构对内部控制的要求4内部控制评价的步骤10沟通与问答内部控制评价的方法©2011德勤华永会计师事务所有限公司内部控制体系建设的目标11满足监管部门对内部控制的监管要求梳理所有重要的内控流程和关键控制点,协助管理层建立健全内部控制体系和自我评估的机制为公司战略目标的实现打下坚实的内部基础达到合规要求健全公司内控体系确保公司战略目标实现©2011德勤华永会计师事务所有限公司内部控制体系建设的总体方案通常情况下，公司内部控制体系的构建和完善需要以公司价值和风险为导向，以部门和岗位来推进与实施。•依据：内控体系要符合监管部门的规定和要求：包括财政部等五部委联发的《企业内部控制基本规范》和18个企业内部控制配套指引的具体要求设定，保监会颁发的《保险公司内部控制基本准则》等；•要充分利用公司的现有成果，包括制度建设等；•借鉴行业最佳实践经验和模式。12©2011德勤华永会计师事务所有限公司内部控制评价项目框架13我们建立了关于内部控制评价项目的标准方法论，时间维度是从机构设立、建立健全内控制度、内控自我检查监督和汇报、董事会报告及披露四个阶段展开，空间维度则是在每一个阶段再分别按照项目进度、人员、流程三个角度详细说明。项目计划专职人员参与风险评估和控制梳理，对内控体系设计有效性评估项目组成立与培训项目实施，质量监控专职人员参与运行有效性测试多层次培训和沟通项目阶段项目报告建立健全内控制度阶段董事会报告及披露阶段内控自我检查监督和汇报阶段计划阶段追踪各项内控设计和执行缺陷的整改项、落实整改建议•确定项目管理机制并成立专门机构•确定项目范围和时间表，建立项目计划•根据公司要求开展前期培训•梳理流程现状，辨识记录现有风险和内部控制；•形成风险控制矩阵(RCM)；•评估重要业务流程的风险，识别、记录内控设计缺陷，并制定整改方案•制定内控自我评估和内控检查监督计划•执行内控缺陷的有效性测试，跟踪整改完成情况并进行更新测试建立对内控框架进行持久性的监督，协助管理层完成《内部控制自我评估报告》和其他披露文件。项目进度项目成员项目内容©2011德勤华永会计师事务所有限公司内部控制评价项目步骤14主要步骤项目阶段关键事项•明确项目的背景、目标、范围、项目团队配置、总体时间进度安排。•以风险评估为基础，有侧重点地选择哪些下属部门/公司的、哪些业务环节需要进行内控建立健全的工作•确定项目组的构成人员、成员权责并制定项目日常管理方法和沟通机制，如日常的工作周报、项目的阶段性汇报等。•制定分批/分对象培训计划，增进全员意识。德勤根据管理层需求制作培训材料；分批/分对象地实施培训。计划阶段建立健全内控制度阶段内控自我检查监督和汇报阶段举例：•制定项目计划（确定时间表和范围）•分批/分对象地实施培训阶段性成果•管理层委任项目领导及项目小组/召开项目启动会•确定项目计划和范围•组织培训第一步是关键董事会报告及披露阶段©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）15工作计划包括项目背景、目标、范围、工作步骤、项目时间表、人员安排、工作成果等，明确联合项目团队的结构及各自的职责，项目的日常管理方法、报告与沟通机制。项目范围界定底稿基于财务报表数据，结合定量定性分析，确定测试重点流程及控制点。主要成果展示：©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）16主要步骤关键事项•根据最佳实践和监管机构要求，设计风险控制矩阵，并以此作为起点，建立适合公司的内部控制制度•对在建立健全内控过程中发现的控制缺陷提出内控设计整改方案和时间表是非常关键的，这并非只是为了符合监管要求，而是为公司规范运作和长远发展打下更好的基础。举例：•风险控制矩阵•内控缺陷汇总表及整改建议阶段性成果•通过访谈梳理流程现状，辨识记录现有风险和内部控制；•设计风险控制矩阵，并记录各业务流程中发现的内部控制设计缺陷，汇总并提出整改方案•根据整改方案纠正内控设计缺陷，完善内部控制制度第二步是核心项目阶段计划阶段董事会报告及披露阶段内控自我检查监督和汇报阶段建立健全内控制度阶段©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）17覆盖内控指引范围，描述关键业务流程及本地化控制活动。公司层面和流程层面控制矩阵主要成果展示©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）18主要步骤关键事项•设计开展内控自我评价和抽样评审的标准和工具，包括：抽样测试的程序、方法和具体工作底稿，执行控制有效性测试。•跟踪监控内控运行整改方案的实施情况，不仅是合规的要求，也是提升公司执行力的关键举例：•设计开展内控自我评价和抽样评审的标准和工具，包括：抽样测试的程序、方法和具体工作底稿•执行有效性缺陷报告和相应的整改方案建议阶段性成果•开展第一轮执行有效性测试，分析内控执行缺陷，提出改进建议•相关部门进行缺陷整改第三步是保障计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查监督和汇报阶段项目阶段©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）19缺陷汇总报告形成内控缺陷报告，并提出整改建议。主要成果展示©2011德勤华永会计师事务所有限公司内部控制评价项目步骤（续）20主要步骤关键事项•董事会是公司内控制度之完整合理、实施有效之责任主体•董事会应当根据监管机构将要出台的董事会议事规则以及其它相关法规的要求，采取适当的步骤和取得充分的资料，来支持其对公司内控有效性的年度决议。举例：•拟定《内部控制自我评估报告》或者其他的披露文件阶段性成果•董事会/审计委员会审核《内部控制检查监督工作报告》；并以此为基础制作《内部控制自我评估报告》形成董事会决议•披露《内部控制自我评估报告》以及会计师事务所对该报告出具的核实评价意见第四步是体系推进的必然要求计划阶段建立健全内控制度阶段董事会报告及披露阶段内控自我检查监督和汇报阶段项目阶段©2011德勤华永会计师事务所有限公司目录132监管机构对内部控制的要求4内部控制评价的步骤21沟通与问答内部控制评价的方法©2011德勤华永会计师事务所有限公司内控评价范围的界定方法公司内部控制评价范围的界定采用自上而下，风险导向来确定。通常情况下，以公司的财务报表为基础，结合公司的实际情况来确定内控评价的范围，包括：•重要业务流程及子流程的确定•重要分支机构的确定22©2011德勤华永会计师事务所有限公司业务流程的梳理方法23流程梳理的定义•流程梳理是指围绕企业的内部要素与外部要素，对整个企业的业务特点和管理现状进行深入细致的分析、整理的活动，包括明确管理的关键点、信息化管理重点、要解决的问题、可能的解决方式、解决的程度、实现的深度等。•流程梳理是以业务流程为主线，将企业的运作和管理组织在一起。梳理的成果包括流程描述和流程图。©2011德勤华永会计师事务所有限公司业务流程的梳理方法（续）24流程描述：§流程描述是一种以文字叙述的形式对一个业务流程中所涉及的工作流程、负责人员和内部控制活动进行的描述；§每一个业务流程的描述包括基本信息、流程总述、负责人员和流程描述几项基本内容；§对于每一个业务流程的描述应包括该流程下面所有模块的流程描述和相关人员的职责分工。要注意：§请每个部门安排熟悉本部门业务的人员梳理相关的管理制度和操作程序，将日常业务活动的参与岗位、涉及的具体文档等，按照5W1H对活动进行细化，形成流程描述；并将控制环节提炼，形成流程图。§对于跨部门的活动，请各部门写出本部门与其他部门的接口，例如“本部门xx岗从xx部门xx岗接收xx文件，完成xx工作后，由xx岗以xx方式传递至xx部门xx岗”，以便之后将各部门的活动连接起来形成完整的业务流程。©2011德勤华永会计师事务所有限公司控制活动WHYWHY工作目的WHOWHO谁执行WHENWHEN何时执行WHEREWHERE在哪里执行WHATWHAT活动内容涉