企业内部控制配套指引二十讲19_PPT课件讲义(40页PPT).pptx

《企业内部控制配套指引二十讲19_PPT课件讲义(40页PPT).pptx》由会员分享，可在线阅读，更多相关《企业内部控制配套指引二十讲19_PPT课件讲义(40页PPT).pptx（40页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、 企业内部控制配套指引企业内部控制配套指引2020讲讲第第1919讲讲 进入进入21世纪后，美国的安然、世通、朗讯等公司相继爆出世纪后，美国的安然、世通、朗讯等公司相继爆出丑闻，震惊整个世界，投资人对上市公司的财务报告出现空前的丑闻，震惊整个世界，投资人对上市公司的财务报告出现空前的信任危机。美国国会立即出台信任危机。美国国会立即出台萨班斯法案萨班斯法案（简称（简称SOX法案），法案），法案的法案的404条款要求证券委员会出台相关规定：条款要求证券委员会出台相关规定：1.公司的公司的CEO/CFO应当对内部控制有效性进行保证，明示责任，并向应当对内部控制有效性进行保证，明示责任，并向股东在年度

2、终了出具评价报告，公开披露；股东在年度终了出具评价报告，公开披露；2.聘请审计师审计内部控制报告，审计师要确保审计的真实有效。聘请审计师审计内部控制报告，审计师要确保审计的真实有效。我国上市公司琼民源、银广夏、中关村、我国上市公司琼民源、银广夏、中关村、ST宏光等等，也相继爆出的宏光等等，也相继爆出的会计管理舞弊问题，其中绝大多数都与管理不善、内部控制缺失直接相会计管理舞弊问题，其中绝大多数都与管理不善、内部控制缺失直接相关。关。因此，国家财政部、国资委、证监会、审计署、银监会和保监会联合发起成因此，国家财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。准备制定

3、企业内部控制标准，确保财务报告真实立企业内部控制标准委员会。准备制定企业内部控制标准，确保财务报告真实可靠。可靠。2006年，年，11月月8日，企业内部控制标准委员会发布了日，企业内部控制标准委员会发布了企业内部控制规范企业内部控制规范基基本规范本规范和和17个具体规范的征求意见稿。个具体规范的征求意见稿。2008年年6月月28日，财政部、证监会、审计署、日，财政部、证监会、审计署、银监会、保监会五部委联合发布了我国首部银监会、保监会五部委联合发布了我国首部企业内部控制基本规范企业内部控制基本规范，原定于，原定于2009年年7月月1日起首先在上市公司范围内实施，后因世界性日起首先在上市公司范围

4、内实施，后因世界性金融危机影响又暂定于金融危机影响又暂定于2010年实施，再发布一系列内部控年实施，再发布一系列内部控制指引。制指引。2010年年4月月15日中华人民共和国财政部、证监会、审计署、银监日中华人民共和国财政部、证监会、审计署、银监会、保监会五部门会、保监会五部门又联合发布（财会又联合发布（财会201011号）文件号）文件，通知印，通知印发发企业内部控制应用指引第企业内部控制应用指引第1号组织架构号组织架构等等18项应用指引、项应用指引、企业内部控制评价指引企业内部控制评价指引、企业内部控制审计指引企业内部控制审计指引（简称（简称为企业内部控制配套指引）。为企业内部控制配套指引）。

5、我今天讲的就是我今天讲的就是企业内部控制评价指引企业内部控制评价指引。指引要求企。指引要求企业年终（业年终（12.31）必须编制内部控制评价报告，这是董事会的）必须编制内部控制评价报告，这是董事会的责任，内部控制是企业财务报告真实、可信的保障。并经注责任，内部控制是企业财务报告真实、可信的保障。并经注册会计师事务所审计鉴证，出具鉴证报告，册会计师事务所审计鉴证，出具鉴证报告，4月月30日前披露。日前披露。第十九讲：企业内部控制第十九讲：企业内部控制 评价指引评价指引 内部控制评价，是指企业董事会或类内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全似权力机构对内部控制的有效性进

6、行全面评价，形成评价结论，出具评价报告面评价，形成评价结论，出具评价报告的过程。的过程。在这一讲，我主要讲述在这一讲，我主要讲述5 5个大问个大问题，即：题，即：1.1.框架概述；框架概述；2.2.内部控制评价概述；内部控制评价概述；3.3.内部控制评价原则和内容；内部控制评价原则和内容；4.4.内部控制评价的程序和方法；内部控制评价的程序和方法；5.5.内部控制评价报告。内部控制评价报告。一、框一、框 架架 概概 述述 财政部颁发的财政部颁发的企业内部控制评价指引企业内部控制评价指引分为分为5 5章章2727条，从内部控制评价的各个方面阐述了其具体内容，条，从内部控制评价的各个方面阐述了其具

7、体内容，具体框架如下：具体框架如下：第一章第一章 总则（第总则（第14条）条）1.1.内部控制评价指引出台的目的和依据，主要的依据是内部控制评价指引出台的目的和依据，主要的依据是内部控制评价指引出台的目的和依据，主要的依据是内部控制评价指引出台的目的和依据，主要的依据是企业内部控制基企业内部控制基企业内部控制基企业内部控制基本规范本规范本规范本规范。2.2.内部控制评价的定义和要求内部控制评价的定义和要求内部控制评价的定义和要求内部控制评价的定义和要求.3.3.内部控制评价的原则：全面性、重要性、独立性。内部控制评价的原则：全面性、重要性、独立性。内部控制评价的原则：全面性、重要性、独立性。内

8、部控制评价的原则：全面性、重要性、独立性。4.4.企业要对内部控制实施进行评价，强调企业的负责人对内部控制评价结论的企业要对内部控制实施进行评价，强调企业的负责人对内部控制评价结论的企业要对内部控制实施进行评价，强调企业的负责人对内部控制评价结论的企业要对内部控制实施进行评价，强调企业的负责人对内部控制评价结论的真实性负责。真实性负责。真实性负责。真实性负责。第二章第二章 内部控制评价内容（第内部控制评价内容（第511条）条）1.1.内部控制评价应重点关注的内容。内部控制评价应重点关注的内容。内部控制评价应重点关注的内容。内部控制评价应重点关注的内容。2.2.风险评估作为评价重点。风险评估作为

9、评价重点。风险评估作为评价重点。风险评估作为评价重点。3.3.应用指引应作为评价的依据。应用指引应作为评价的依据。应用指引应作为评价的依据。应用指引应作为评价的依据。4.4.对企业信息开展与沟通、对内部控制的监督作出评价。对企业信息开展与沟通、对内部控制的监督作出评价。对企业信息开展与沟通、对内部控制的监督作出评价。对企业信息开展与沟通、对内部控制的监督作出评价。5.5.内部控制评价活动的负责机构，主要为企业内部审计结构，也可以借助内部控制评价活动的负责机构，主要为企业内部审计结构，也可以借助内部控制评价活动的负责机构，主要为企业内部审计结构，也可以借助内部控制评价活动的负责机构，主要为企业内

10、部审计结构，也可以借助 外部中介机构和专家的能力外部中介机构和专家的能力外部中介机构和专家的能力外部中介机构和专家的能力.6.6.内部控制评价要建立工作底稿。内部控制评价要建立工作底稿。内部控制评价要建立工作底稿。内部控制评价要建立工作底稿。第三章第三章 内部控制评价的程序内部控制评价的程序 （第（第1215条）条）1.1.内部控制评价一般程序内部控制评价一般程序内部控制评价一般程序内部控制评价一般程序 。2.2.拟定工作方案拟定工作方案拟定工作方案拟定工作方案 。3.3.内部控制评价方法：个别访谈、调查问卷、专题讨论、穿行内部控制评价方法：个别访谈、调查问卷、专题讨论、穿行内部控制评价方法：

11、个别访谈、调查问卷、专题讨论、穿行内部控制评价方法：个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。测试、统计抽样、比较分析等。测试、统计抽样、比较分析等。测试、统计抽样、比较分析等。第四章第四章第四章第四章 内部控制缺陷认定（第内部控制缺陷认定（第内部控制缺陷认定（第内部控制缺陷认定（第16161919条）条）条）条）1.1.内部控制缺陷的划分：按其严重程度分为重大缺陷、重要缺陷内部控制缺陷的划分：按其严重程度分为重大缺陷、重要缺陷内部控制缺陷的划分：按其严重程度分为重大缺陷、重要缺陷内部控制缺陷的划分：按其严重程度分为重大缺陷、重要缺陷和一般缺陷。和一般缺陷。和一般缺陷。和一

12、般缺陷。2.2.内部控制评价工作组的工作要求。内部控制评价工作组的工作要求。内部控制评价工作组的工作要求。内部控制评价工作组的工作要求。3.3.编制内部控制缺陷汇总表。编制内部控制缺陷汇总表。编制内部控制缺陷汇总表。编制内部控制缺陷汇总表。4.4.重大缺陷由董事会最终认定重大缺陷由董事会最终认定重大缺陷由董事会最终认定重大缺陷由董事会最终认定.5.5.重大缺陷要采取应对措施，并追究责任。重大缺陷要采取应对措施，并追究责任。重大缺陷要采取应对措施，并追究责任。重大缺陷要采取应对措施，并追究责任。第五章第五章 内部控制评价报告内部控制评价报告 （第（第20272027条）条）1.1.内部控制评价报

13、告的格式、内容。内部控制评价报告的格式、内容。内部控制评价报告的格式、内容。内部控制评价报告的格式、内容。2.2.内部控制评价报告的审批机构：企业经理层审内部控制评价报告的审批机构：企业经理层审内部控制评价报告的审批机构：企业经理层审内部控制评价报告的审批机构：企业经理层审核、董事会审定。核、董事会审定。核、董事会审定。核、董事会审定。3.3.内部控制评价报告的基准日及报出日：以内部控制评价报告的基准日及报出日：以内部控制评价报告的基准日及报出日：以内部控制评价报告的基准日及报出日：以1212月月月月3131日日日日或或或或6 6月月月月3030为基准日。内部控制评价报告应于基准日后为基准日。

14、内部控制评价报告应于基准日后为基准日。内部控制评价报告应于基准日后为基准日。内部控制评价报告应于基准日后4 4个月报出。个月报出。个月报出。个月报出。4.4.内部控制评价工作档案制度。内部控制评价工作档案制度。内部控制评价工作档案制度。内部控制评价工作档案制度。二、内部控制评价概述二、内部控制评价概述 内部控制评价是指企业董事会（或类似决策机构）内部控制评价是指企业董事会（或类似决策机构）或其授权机构，对内部控制设计与运行的有效性进行综合评价或其授权机构，对内部控制设计与运行的有效性进行综合评价的过程。企业应当根据国家有关法律法规和的过程。企业应当根据国家有关法律法规和企业内部控制基本规范企业

15、内部控制基本规范的要求，结合的要求，结合企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息企业实际情况，对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。行评价。（一）内部控制评价的目标（一）内部控制评价的目标 企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价，促使企企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价，促使企业切实加强内部控制体系的建设并认真执行，并保证内部控制

16、体系得以持续、有效的改进。业切实加强内部控制体系的建设并认真执行，并保证内部控制体系得以持续、有效的改进。1.强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。强化内部控制意识，建立健全内部控制机制，严格落实各项控制措施，确保内部控制体系有效运行。2.提高风险管理水平，为实现企业发展战略和经营目标提供保障。提高风险管理水平，为实现企业发展战略和经营目标提供保障。3.增强企业业务、财务和管理信息的真实性、完整性和及时性。增强企业业务、财务和管理信息的真实性、完整性和及时性。4.保障企业资产的安全和完整。保障企业资产的安全和完整。5.确保企业各项活动的合法合规

17、性。确保企业各项活动的合法合规性。6.为企业的风险管理提供信息服务和决策支持。为企业的风险管理提供信息服务和决策支持。（二）内部控制评价的要求（二）内部控制评价的要求 每个企业的情况不同，设置的内部控制制度有所差异，每个企业的情况不同，设置的内部控制制度有所差异，对于内部控制评价也是一样，应当根据对于内部控制评价也是一样，应当根据企业内部控制基本规范企业内部控制基本规范和评价指和评价指引的规定，结合企业的实际情况，制定出内部控制评价办法，并明确内部控制评引的规定，结合企业的实际情况，制定出内部控制评价办法，并明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容，确保内部控制评价工价

18、的原则和内容、程序和方法、以及报告形式等相关内容，确保内部控制评价工作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。同时企业应当建立内部控制评价结果分析、利用和考核制度，将内部控制评价结同时企业应当建立内部控制评价结果分析、利用和考核制度，将内部控制评价结同时企业应当建立内部控制评价结果分析、利用和考核制度，将内部控制评价结同时企业应当建立内部控制评价结果分析、利用和考核制度，将内部控制评价结果和整改情况作为内部绩效考评的重要依据。所以，内部控制评价的结果是企业业绩果和整改情况作为内部绩效考评的重要依据。所以，内部控制

19、评价的结果是企业业绩果和整改情况作为内部绩效考评的重要依据。所以，内部控制评价的结果是企业业绩果和整改情况作为内部绩效考评的重要依据。所以，内部控制评价的结果是企业业绩评价的基础，为企业业绩评价工作的开展和完善提供有力的保证。评价的基础，为企业业绩评价工作的开展和完善提供有力的保证。评价的基础，为企业业绩评价工作的开展和完善提供有力的保证。评价的基础，为企业业绩评价工作的开展和完善提供有力的保证。三、内部控制评价的原则和内容三、内部控制评价的原则和内容（一）内部控制评价的原则（一）内部控制评价的原则 1.基本原则基本原则 企业实施内部控制评价，应当遵循的基本原则为全企业实施内部控制评价，应当遵

20、循的基本原则为全面性、重要性和独立性原则，确保评价工作标准统一、面性、重要性和独立性原则，确保评价工作标准统一、客观公正。客观公正。uu 全面性原则全面性原则全面性原则全面性原则，是指评价工作应当包括内部控制的设计是指评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。与运行，涵盖企业及其所属单位的各种业务和事项。uu 重要性原则，重要性原则，重要性原则，重要性原则，是指全面评价的基础上关注重要高风险是指全面评价的基础上关注重要高风险领域。领域。uu 独立性原则，独立性原则，独立性原则，独立性原则，是指评价工作应当与内部控制的设计与是指评价工作应当与内部控制的设计与运行

21、相互分离。运行相互分离。2.延伸原则延伸原则l 风险导向原则。风险导向原则。内部控制评价应当以风险评估为内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。l 一致性原则。一致性原则。内部控制评价应当采用统一、可比的评价方法和标准，保证内部控制评价应当采用统一、可比的评价方法和标准，保证评价结果的可比性。评价结果的可比性。l 公允性原则。公允性原则。内部控制评价应当以事实为依据，评

22、价结果应当有适当的内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。证据支持。l 成本效益原则。成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。内部控制评价应当以适当的成本实现科学有效的评价。这些原则都是非常重要的，但是内部控制就是要控制风险，所以应坚这些原则都是非常重要的，但是内部控制就是要控制风险，所以应坚这些原则都是非常重要的，但是内部控制就是要控制风险，所以应坚这些原则都是非常重要的，但是内部控制就是要控制风险，所以应坚持以风险为基础的原则，来促进企业构建以风险为基础的内部控制体系。要持以风险为基础的原则，来促进企业构建以风险为基础的内部控制体系。要持以风险为基

23、础的原则，来促进企业构建以风险为基础的内部控制体系。要持以风险为基础的原则，来促进企业构建以风险为基础的内部控制体系。要求内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单求内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单求内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单求内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单位、重要业个或整体控制目标造成的影响程度来确定需要评价的重点业务单位、重要业个或整体控制目标造成的影响程度来确定需要评价的重点业务单位、重要业个或整体控制目标造

24、成的影响程度来确定需要评价的重点业务单位、重要业务领域或流程环节。务领域或流程环节。务领域或流程环节。务领域或流程环节。（二）内部控制评价的内容（二）内部控制评价的内容（二）内部控制评价的内容（二）内部控制评价的内容内部控制评价主要由以下五个要素为核心内容进行评价：内部控制评价主要由以下五个要素为核心内容进行评价：1.内部环境的评价。内部环境的评价。对企业内部环境的评价应注意的焦点是操守及价值观、执行能力、董事会及监事会下属的审计对企业内部环境的评价应注意的焦点是操守及价值观、执行能力、董事会及监事会下属的审计委员会、管理哲学和经营风格、组织结构、权责分配、人力资源政策及实行七个方面。具体评价

25、重点包括经营活动的复杂程度、委员会、管理哲学和经营风格、组织结构、权责分配、人力资源政策及实行七个方面。具体评价重点包括经营活动的复杂程度、管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程度的态度、组织文化的内容及组织成员对此管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程度的态度、组织文化的内容及组织成员对此的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人员的权责相称程度及其

26、胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。员的权责相称程度及其胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。2.风险评估的评价风险评估的评价。对企业风险评估的评价，应注意的是风险评估整体目标的制定、作业层级目标的制定、对企业风险评估的评价，应注意的是风险评估整体目标的制定、作业层级目标的制定、风险分析和对变化的管理等。具体评价的重点是被评价企业对抗风险的能力和风险管理的具体办法及效果。风险分析和对变化的管理等。具体评价的重点是被评价企业对抗风险的能力和风险管理的具体办法及效果。3.控制活动的评价。控制活动的评价。关注对企业的每个作业环节是否都定有适当的政策和程序，现

27、有的已确认的控制活动均被适当执行。具关注对企业的每个作业环节是否都定有适当的政策和程序，现有的已确认的控制活动均被适当执行。具体评价的重点是控制活动建立的适当性、控制活动对风险的识别和规避、控制活动对组织目标实现的作用、控制活动执行的有效性。体评价的重点是控制活动建立的适当性、控制活动对风险的识别和规避、控制活动对组织目标实现的作用、控制活动执行的有效性。4.信息与沟通的评价。信息与沟通的评价。主要关注：主要关注：就员工的任务和控制责任进行沟通的有效性；就员工的任务和控制责任进行沟通的有效性；建立可用来报告不建立可用来报告不当、可疑行为的沟通渠道；当、可疑行为的沟通渠道；管理阶层对员工提出的提

28、高生产力和质量及其他类似的改进建议的接受程度；管理阶层对员工提出的提高生产力和质量及其他类似的改进建议的接受程度；组织内组织内沟通（如，采购部门和生产部门之间的沟通）的适当性，以及信息能使员工有效履行其责任的完整性、及时性和充分沟通（如，采购部门和生产部门之间的沟通）的适当性，以及信息能使员工有效履行其责任的完整性、及时性和充分性；性；是否建立了与供应商、销售商及其他外界人上畅通沟通的渠道；是否建立了与供应商、销售商及其他外界人上畅通沟通的渠道；外界对本企业的了解程度；外界对本企业的了解程度；管理阶层从顾管理阶层从顾客、供应商、管理机构或其他外界团体处获取信息后，所采取的追查行动的及时性和适当

29、性。具体评价的要点：获取客、供应商、管理机构或其他外界团体处获取信息后，所采取的追查行动的及时性和适当性。具体评价的要点：获取财务信息、非财务信息的能力、信息处理的及时性和适当世、信息传递渠道的便捷与畅通、管理信息系统的安全可靠财务信息、非财务信息的能力、信息处理的及时性和适当世、信息传递渠道的便捷与畅通、管理信息系统的安全可靠性。性。5.内部监督的评价。内部监督的评价。包括日常监督评价、专项监督评价和缺陷报告评价。包括日常监督评价、专项监督评价和缺陷报告评价。案例案例案例案例 毕马威（毕马威（KPM）在其内控指南中提出，）在其内控指南中提出，董事会和管理层在对企业内部控制进行年度董事会和管理

30、层在对企业内部控制进行年度评价时至少应该考虑以下所列的这些问题：评价时至少应该考虑以下所列的这些问题：1.1.内部控制评价中应考虑的问题内部控制评价中应考虑的问题内部控制评价中应考虑的问题内部控制评价中应考虑的问题 （1 1）风险评估）风险评估）风险评估）风险评估l 企业是否有明确的目标，并且已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向？例如：编制包括企业是否有明确的目标，并且已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向？例如：编制包括企业是否有明确的目标，并且已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向？例如：编制包括企业是否有明确的目标，并且

31、已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向？例如：编制包括业绩指标的预算。业绩指标的预算。业绩指标的预算。业绩指标的预算。l l 显著的经营风险、财务风险和其他风险是否已经被认定和评估？认定和评估风险的基准是否是持续适显著的经营风险、财务风险和其他风险是否已经被认定和评估？认定和评估风险的基准是否是持续适显著的经营风险、财务风险和其他风险是否已经被认定和评估？认定和评估风险的基准是否是持续适显著的经营风险、财务风险和其他风险是否已经被认定和评估？认定和评估风险的基准是否是持续适用的？（显著风险可能包括和市场、信用、流动性、技术、法律和声誉等）用的？（显著风险可能包括和市场、信

32、用、流动性、技术、法律和声誉等）用的？（显著风险可能包括和市场、信用、流动性、技术、法律和声誉等）用的？（显著风险可能包括和市场、信用、流动性、技术、法律和声誉等）l l 管理层和企业中其他员工是否清楚地了解董事会可接受的风险？管理层和企业中其他员工是否清楚地了解董事会可接受的风险？管理层和企业中其他员工是否清楚地了解董事会可接受的风险？管理层和企业中其他员工是否清楚地了解董事会可接受的风险？（2 2）控制环境和控制措施）控制环境和控制措施）控制环境和控制措施）控制环境和控制措施l 董事会对已认定的风险是否有应对策略？是否制定了处理风险的政策？董事会对已认定的风险是否有应对策略？是否制定了处理

33、风险的政策？董事会对已认定的风险是否有应对策略？是否制定了处理风险的政策？董事会对已认定的风险是否有应对策略？是否制定了处理风险的政策？l l 企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统？企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统？企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统？企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统？l l 在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围

34、？在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围？在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围？在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正在和营造互相信任的氛围？l l 权责是否明确？决策和执行的人员是否合适？决策和执行是否很好地协调运作？权责是否明确？决策和执行的人员是否合适？决策和执行是否很好地协调运作？权责是否明确？决策和执行的人员是否合适？决策和执行是否很好地协调运作？权责是否明确？决策和执行的人员是否合适？决策和执行是否很好地协调运作？l l 企业是否和员工沟通企业对他们的期

35、望，以及自由行动的界限？企业是否和员工沟通企业对他们的期望，以及自由行动的界限？企业是否和员工沟通企业对他们的期望，以及自由行动的界限？企业是否和员工沟通企业对他们的期望，以及自由行动的界限？l l 企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具？企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具？企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具？企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具？l l内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的？内部控制体系是如何调整

36、以适应新的风险以及如何改正内控缺陷的？内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的？内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的？（3）信息和沟通）信息和沟通l l 董事会和管理层能否及时地接收来自企业内外的关于董事会和管理层能否及时地接收来自企业内外的关于董事会和管理层能否及时地接收来自企业内外的关于董事会和管理层能否及时地接收来自企业内外的关于违反企业目标的信息及其可能带来的风险？例如：员工的态度和顾违反企业目标的信息及其可能带来的风险？例如：员工的态度和顾违反企业目标的信息及其可能带来的风险？例如：员工的态度和顾违反企业目标的信息及其可能带来的风险？例如：员工

37、的态度和顾客的满意度等信息。客的满意度等信息。客的满意度等信息。客的满意度等信息。l l 信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺陷？陷？陷？陷？l l 周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景？周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景？周期报告包括半年报和年报的程序是否有效地传达企业的现状和前

38、景？周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景？l l 是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道？是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道？是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道？是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道？（4 4）内部监督）内部监督）内部监督）内部监督l 企业是否制定了全面风险管理和内部控制的监督程序？企业是否制定了全面风险管理和内部控制的监督程序？企业是否制定了全面风险管理和内部控制的监督程序？企业是否制定了全面风险管理和内部控制的监督程序？l l 这些监督程序是否具有监控企业重新评估风险及

39、有效地调整控制以适应企业目材、业务和内部环境改这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目材、业务和内部环境改这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目材、业务和内部环境改这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目材、业务和内部环境改变的能力？变的能力？变的能力？变的能力？l l 是否存在有效的后续程序保证内控体系的改变以适应风险的变化？是否存在有效的后续程序保证内控体系的改变以适应风险的变化？是否存在有效的后续程序保证内控体系的改变以适应风险的变化？是否存在有效的后续程序保证内控体系的改变以适应风险的变化？l l 与

40、董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是与董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是与董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是与董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是否合适？应该包括及时地报告任何显著的内控失效和控制弱点。否合适？应该包括及时地报告任何显著的内控失效和控制弱点。否合适？应该包括及时地报告任何显著的内控失效和控制弱点。否合适？应该包括及时地报告任何显著的内控失效和控制弱点。l l 是否存在内控监督和向董事会报告重大风险的具体安排？这些可能包括违法违规行为或者对公

41、司的声是否存在内控监督和向董事会报告重大风险的具体安排？这些可能包括违法违规行为或者对公司的声是否存在内控监督和向董事会报告重大风险的具体安排？这些可能包括违法违规行为或者对公司的声是否存在内控监督和向董事会报告重大风险的具体安排？这些可能包括违法违规行为或者对公司的声誉和财务状况产生负面影响的行为。誉和财务状况产生负面影响的行为。誉和财务状况产生负面影响的行为。誉和财务状况产生负面影响的行为。2.2.内部控制评价中应特别关注的内容内部控制评价中应特别关注的内容内部控制评价中应特别关注的内容内部控制评价中应特别关注的内容 （1）企业内部控制评价应当以内部环境为基础，重点关注：）企业内部控制评价

42、应当以内部环境为基础，重点关注：治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制是否科学合理；企业文化是否促进员工勤勉尽责；社会责任是否有效履是否科学合理；企业

43、文化是否促进员工勤勉尽责；社会责任是否有效履是否科学合理；企业文化是否促进员工勤勉尽责；社会责任是否有效履是否科学合理；企业文化是否促进员工勤勉尽责；社会责任是否有效履行等。行等。行等。行等。（2）企业内部控制评价应当以生产经营活动为重点，至少关注：）企业内部控制评价应当以生产经营活动为重点，至少关注：资金的筹集、投放和营运过程是否存在资金链断裂；资产运行中是否存在资金的筹集、投放和营运过程是否存在资金链断裂；资产运行中是否存在资金的筹集、投放和营运过程是否存在资金链断裂；资产运行中是否存在资金的筹集、投放和营运过程是否存在资金链断裂；资产运行中是否存在效能低下或资产流失；采购与销售环节是否存

44、在舞弊行为；研发项目是否经效能低下或资产流失；采购与销售环节是否存在舞弊行为；研发项目是否经效能低下或资产流失；采购与销售环节是否存在舞弊行为；研发项目是否经效能低下或资产流失；采购与销售环节是否存在舞弊行为；研发项目是否经过科学论证；工程项目是否存在商业贿赂等。过科学论证；工程项目是否存在商业贿赂等。过科学论证；工程项目是否存在商业贿赂等。过科学论证；工程项目是否存在商业贿赂等。（3）企业内部控制评价应当兼顾控制手段，至少关注：）企业内部控制评价应当兼顾控制手段，至少关注：全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与

45、全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与内部控制有机结合；内部报告是否及时传递和有效沟通等。内部控制有机结合；内部报告是否及时传递和有效沟通等。内部控制有机结合；内部报告是否及时传递和有效沟通等。内部控制有机结合；内部报告是否及时传递和有效沟通等。三、内部控制评价的程序和方法三、内部控制评价的程序和方法在这部分程序与方法中，我要讲述六个大问题：第一在这部分程序与方法中，我要讲述六个大问题：第一内部控制评价的组织机构；第二，内部控制评价的方法；内部控制评价的组织机构；第二，内部控制评价的方法；第三，内部控制评价的程序

46、第三，内部控制评价的程序；第四，内部控制有效性的评价；第五，第四，内部控制有效性的评价；第五，内部控制缺陷认定；第六内部控制评价证据。这六个大问题中内部控制缺陷认定；第六内部控制评价证据。这六个大问题中又分为若干小问题，所以注意标题，严防听错了序列。又分为若干小问题，所以注意标题，严防听错了序列。（一）内部控制评价的组织机构（一）内部控制评价的组织机构 企业内部控制评价是一项难度非常大的工作需要在企业内部控制评价是一项难度非常大的工作需要在企业内部明确负责的机构，以保证其有效的进行。企业内部明确负责的机构，以保证其有效的进行。企业应当指定内部审计机构或其他机构具体组织实企业应当指定内部审计机构

47、或其他机构具体组织实企业应当指定内部审计机构或其他机构具体组织实企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作，根据内部控制评价办法制定评价施内部控制评价工作，根据内部控制评价办法制定评价施内部控制评价工作，根据内部控制评价办法制定评价施内部控制评价工作，根据内部控制评价办法制定评价方案，组成评价小组，采取现场检查等方式开展评价。方案，组成评价小组，采取现场检查等方式开展评价。方案，组成评价小组，采取现场检查等方式开展评价。方案，组成评价小组，采取现场检查等方式开展评价。企业可以借助中介机构或外部专家实施内部控制评企业可以借助中介机构或外部专家实施内部控制评价，参与企业内部控制

48、评价的中介机构不得同时为同一价，参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。企业提供内部控制审计服务。（二）内部控制评价的程序（二）内部控制评价的程序 企业内部控制评价可以按照三个阶段进行，即制定企业内部控制评价可以按照三个阶段进行，即制定评价方案、实施评价活动、编制评价报告。评价方案、实施评价活动、编制评价报告。1.制定评价方案。制定评价方案。评价方案应明确本次评价的目的、范围、准则、时评价方案应明确本次评价的目的、范围、准则、时评价方案应明确本次评价的目的、范围、准则、时评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。在制定后，应报管理层和董事

49、会审批。间安排和相应的资源配置。在制定后，应报管理层和董事会审批。间安排和相应的资源配置。在制定后，应报管理层和董事会审批。间安排和相应的资源配置。在制定后，应报管理层和董事会审批。内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。需要评价的分支机构、重要业务单元、重点业务领域或流程环节。需要评价的分支机构、重要业务单元、重点业务领域或流程环节。需要

50、评价的分支机构、重要业务单元、重点业务领域或流程环节。2.实施评价活动。实施评价活动。评价人员应按照审批通过的评价方案实施评价。评价人员应按照审批通过的评价方案实施评价。评价人员应按照审批通过的评价方案实施评价。评价人员应按照审批通过的评价方案实施评价。在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出正式安排，通过适当的方法收集与评价目的、范围和准则有关的信息，根据正式安排，通过适