公司治理与内部控制第十一章内部监督

第十一章内部监督1了解内部控制缺陷标准、内部控制监督的记录与报告、内部控制评价报告熟悉内部监督、内部控制评价的定义、内部控制审计与财务报表审计的联系与区别掌握内部监督的方式、内部控制评价的内容和标准教学目标引例：三鹿公司毒奶粉事件2内部监督内部控制评价内部控制审计目录曲突徙薪亡恩泽焦头烂额为上客3第一节内部监督4一、内部监督比较名称定义内容组织机构COSO92监控•对内部控制在一定时期内的运行质量进行评估的过程。企业可以通过持续性的监督活动、单独评估或两者并用来实现这个过程•持续监控活动•个别评价•报告缺陷•内部审计部门COSO04监控•对企业风险管理进行监控以确定企业风险管理的运行是否有效的过程。•同上•企业风险管理部门基本规范内部监督•企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。•日常监督和专项监督•缺陷报告•档案记录与验证•内部审计机构（或经授权的其他监督机构）5内部监督的机构及职责内部审计案例：上海姚记扑克股份有限公司内部审计机构和人员设置内部监督的程序二、内部监督的内容制定内部控制缺陷标准评估控制结果记录与报告6制定内部控制缺陷标准内部控制的缺陷包括设计缺陷和运行缺陷对目标的影响：重大缺陷、重要缺陷和一般缺陷重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注一般缺陷是以上两种缺陷之外的缺陷二、内部监督的内容7评估控制结果内部控制的有效性判断标准合法；设计完整、合理；有效贯彻执行，并实现内部控制的目标。内部控制的无效性判断标准可能有与法律、法规相抵触的地方；或者内部控制制度设计不够完整、合理；中没有得到有效的贯彻执行，从而无法实现内部控制的目标具体判断对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效的。对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该项整体控制目标的内部控制是无效的。对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响二、内部监督的内容8内部监督的方法日常监督（持续性监督），是指企业对建立和实施内部控制的整体情况所进行的连续的、全面的、系统的、动态的监督持续监控的程序越大，其有效性就越高，则企业所需的个别评估就越少专项监督（个别评估），是指企业对内部控制建立与实施的某一方面或者某些方面的情况进行的不定期、有针对性的监督检查专项监督的范围和频率应根据风险评估结果以及持续性监督的有效性等予以确定高风险且重要的项目、内部环境变化日常监督和专项监督应当有机结合二、内部监督的内容9第二节内部控制评价10企业董事会应当对内部控制评价报告的真实性负责内部控制评价概念企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。内部控制评价应当遵循的原则全面性原则、重要性原则、客观性原则内部控制评价的内容七个方面内部控制评价的程序一、内部控制评价的组织与实施制定评价控制方案组织评价工作组实施评价工作与测试认定控制缺陷汇总评价结果编报评价报告11如果评价工作人员在实施测试中发现控制差异，应分析差异是否属于控制缺陷及评价其严重程度根据缺陷的不同类别制定不同的整改方案对于需整改的内控设计缺陷：补充相关规定或修改原有规定，按照企业既定的管理制度报批程序对做出的补充或修改进行审批对于需整改的内控执行缺陷：企业需加强内控的执行力度，要求控制执行人严格按照相关规定执行评价报告对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定不适合向经理层报告的情形重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视对于一般缺陷，可以与企业管理层报告二、内部控制缺陷认定12内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。评价工作底稿应当设计合理、证据充分、简便易行、便于操作内部控制评价报告披露的内容董事会对内部控制报告真实性的申明内部控制评价工作的总体情况内部控制评价的依据内部控制评价的范围内部控制评价的程序和方法内部控制缺陷及其认定情况内部控制的整改情况及重大缺陷拟采取的整改措施内部控制有效性的结论报经董事会或类似权力机构批准后与审计报告一起对外披露企业应当以12月31日作为年度内部控制评价报告的基准日，内部控制评价报告应当在基准日后4个月内报出三、内部控制评价工作底稿与报告范例：XX公司20xx年度内部控制评价报告13第三节内部控制审计14企业内部控制基本规范要求内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法内部控制审计的范围限于特定日期与财务报表相关的内部控制内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态内控审计目标与财务报表审计目标的联系与区别一、审计范围与审计目标15审计工作计划注册会计师应该恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导应当以风险评估为基础，选择拟测试的控制利用企业内部审计人员、内部控制评价人员和其他相关人员的工作审计工作实施注册会计师应当按照自上而下的方法实施审计工作自上而下的方法是注册会计师识别风险，选择拟测试控制的基本思路注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行识别企业层面控制识别业务层面控制二、审计工作计划与实施16评价控制缺陷企业内部控制可能存在重大缺陷情形财务报告内部控制控制缺陷的严重程度取决于，控制缺陷导致账户余额或列报错报的可能性；因一个或多个控制缺陷的组合导致潜在错报的金额大小案例：单个控制缺陷的识别案例：多个控制缺陷的识别控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系，而取决于控制缺陷是否可能导致错报三、评价控制缺陷与报告17内部控制缺陷的报告对内报告内部控制缺陷报告应当采取书面形式对于一般缺陷和重要缺陷，通常向企业经理层报告，并视情况考虑是否需要向董事会及其审计委员会、监事会报告；对于重大缺陷，应当及时向董事会及其审计委员会、监事会和经理层报告如果出现不适合向经理层报告的情形，如存在与经理层舞弊相关的内部控制缺陷，或存在经理层凌驾于内部控制之上的情形等，应当直接向董事会及其审计委员会、监事会报告企业应根据内部控制缺陷的影响程度合理确定内部控制缺陷报告的时限，一般缺陷、重要缺陷应定期报告，重大缺陷即时报告。三、评价控制缺陷与报告18内部控制缺陷的报告对外报告我国《企业内部控制审计指引》第四条指出：注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。范例：标准内部控制审计报告的参考格式范例：带强调事项段的无保留意见内部控制审计报告的参考格式范例：否定意见内部控制审计报告的参考格式范例：无法表示意见内部控制审计报告的参考格式三、评价控制缺陷与报告19信息处理和信息生成的可靠性和完整性错误或错报的风险最优化的内部控制阶段5不可依赖的内部控制阶段1非正式的内部控制阶段2标准化的内部控制阶段3受监控的内部控制阶段4内部控制成熟性模型20信息处理和信息生成的可靠性和完整性错误或错报的风险已预测级别：战略目标阶段5合规目标阶段0已执行级别：资产目标阶段1已管理级别：报告目标阶段3已建立级别：经营目标阶段4已优化级别：阶段2内部控制成熟性模型212008年6月28日，财政部、证监会、审计署、银监会、保监会联合发的《企业企业内部控制基本规范》（以下简称基本规范），自2009年7月1日起在上市公司两周内施行。2008年7月，A公司（上市公司）召开董事会，研究贯彻执行基本规范事宜。会议责成A公司经理层根据基本规范中关于建立与实施内部控制的五项原则，抓紧拟订本公司实施基本规范的工作方案，报董事会批准后施行。2008年9月，A公司经理层提交了基本规范实施方案，其要点如下：（1）明确控制目标。本公司实施内部控制的目标，是保证经营管理合法合规、资产安全完整、财务报告真实可靠，确保聘请会计师事务所进行内部控制审计后获得标准无保留审计意见。（2）优化内部环境，严格按照《公司法》建立规范的公司治理结构，明确董事会、经理层、监事会在决策、执行、监督等方面的职责权限。为此，建议在董事会下增设审计委员会，由总会计师兼任委员会主任；同时，成立本公司内部控制领导小组，由总会计师兼任组长，全权负责本公司内部控制的建立健全和有效实施；在完善公司人力资源政策方面，以业务能力作为选人、用人的决定性标准，培养一支能力过硬的职工队伍。案例分析22（3）开展风险评估。考虑到外部风险的复杂性和多变性，加之本公司风险分析力量不足，拟对外部风险忽略不计，重点识别和分析内部风险，根据定性分析结果，主要采取风险规避策略应对风险。（4）严格控制活动。强化绩效考评控制，将全体员工实施内部控制的情况作为绩效考评的参考指标。（5）加强信息沟通。充分发挥信息技术在信息与沟通中的作用，只要将年内的会计电算化向全面ERP管理系统转化，将控制流程“固化”在信息系统之中，坚决杜绝错误和舞弊现象发生。（6）强化内部监督。突出内部监督，主要将与财务会计工作密切相关的业务环节和控制流程纳入监督范围。增强监督检查的针对性，把开展专项监督摆在首要位置，重点监督内部控制的运行缺陷，提高内部控制的执行力。为了协调好内部监督与外部审计的关系，建议聘请与公司合作关系较好的会计师事务所为建立健全内部控制提供有力支持和咨询服务，并聘请该事务所开展内部控制审计要求：从内部控制理论和方法角度，指出A公司经理层提交的基本规范实施方案各要点中的不当之处，并简要说明理由。案例分析23思考2424END25