德勤中国企业建立健全内部控制研讨会.ppt

.,德勤,中国企业建立健全内部控制研讨会,德勤 企业风险管理服务,2008年9月,2008 德勤,2,议程上午,主题一主题二下午主题三主题四讨论 2008 德勤,中国内控监管要求发展及企业内部控制基本规范介绍如何建立和评价内部控制体系经验分享上汽经验分享东航如何高效地建立健全内控体系？,主题一：中国内控监管要求发展及企业内部控制基本规范介,绍,.,1,a,b,2,4,主题一：中国内控监管要求发展及企业内部控制基本规范介绍,中国内部控制相关规定的发展,中国内部控制相关规定发展历程,我国内部控制相关的监管要求,企业内部控制基本规范介绍,2008 德勤,5,中国内部控制相关规定发展历程,中国“银广厦事件”、美国“安然事件”,中国人民银行发布更新后的商业银行内部控制指引,中国证券监督委员会出台证券公司内部控制指引,中国证监会10月出台关于提高上市公司质量意见，国务院10月19日就进行了批转【国发（2005）34号】，这是国务院首次就上市公,1997年,2001年,2002年,2003年,2004年,2005年4月,司工作批转发布文件,2005年10月上交所率先提出,法规,中国人民银行印发加强金融机构内部控制的指导原则财政部在2001年起提出了在新形势下加强单位内部会计监督的要求，逐步发行了一系列的内部会计控制规范,中国银行业监督委员会出台的商业银行内部控制评价试行办法中国注册会计师协会呼应财政部的工作，为规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量，在2002年发布了内部控制审核指导意,对上市公司内控的全面要求为推动上海证券交易所上市公司建立健全内部控制制度，提升公司风险管理水平，保护投资者的合法权益，上海证券交易所根据上海证券交易所股票上市规则等规定，制定上海证券交易所上市公司内部控制制度指引(征求意见稿),见等 2008 德勤,6,中国内部控制相关规定发展历程在中国，内部控制和风险管理制度的发展随着对上市公司信息要求的提高和国际在此领域的发展而快速发展，尤其在2005年10月国务院国务院批转证监会关于提高上市公司质量意见的通知之后，开始进一步加速。,2006年5月17日，中,2006年5月 2006年6月 2006年7月,2007年3月,2008年6月,国证券监督管理委员会令第32号首次公开发行股票并上市管理办法，其中第29条规定“第二十九条发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告。”,7月15日，财政部发起成立企业内部控制标准委员会；中国注册会计师协会发起成立会计师事务所内部治理指导委员会法规6月5日，上海证券交易所出台上海证券交易所上市公司内部控制指引6月6日，国务院国有资产监督管理委员会“关于印发中央企业全面风险管理指引的通知”对公司的细则,3月3日，财政部发布关于印发企业内部控制规范基本规范和17项具体规范（征求意见稿）的通知对公司的细则2006年9月28日，深圳证券交易所出台关于发布上市公司内部控制指引的通知，法规,法规2008年6月28日，财政部、证监会、审计署、银监会、保监会联合召开企业内部控制基本规范发布会,发布了企业内部控制基本规范以及企业内部控制评价指引、企业内部控制应用指引和中注协主持起草的企业内部控制鉴证指引等配套规范的征求意见稿。,2008 德勤,1,a,b,2,7,主题一：中国内控监管要求发展及企业内部控制基本规范介绍,中国内部控制相关规定的发展,中国内部控制相关规定发展历程,我国内部控制相关的监管要求,企业内部控制基本规范介绍,2008 德勤,知,稿）,我国内部控制相关的监管要求1国务院/证监会层面,规定证监会：国务院批转证监会的通,内容摘要要求：“上市公司要加强内部控制制度建设,强化内部管理,对内部控制制度的完整性、合理性及其实施的有效性进行定期检查和评估,同时要通过外部审计对公司的内部控制制度以及公司的自我评估报告进,出台日期2005-10-19,生效日期发布之日,行核实评价,并披露相关信息。”,国务院法制办:上市公司监督管理条例（征求意见,上市公司董事会应当对公司内部控制制度及其完整性、合理性和有效性进行自我检查和评估，并在上市公司年度报告中披露自我检查和评估结果。,2007-9-7,发布之日,负责上市公司财务会计报告审计业务的会计师事务所应当对公司内部控制制度及其执行情况、董事会的自我评估进行评价。上市公司应当在年度报告中披露会计师事务所的评价结果。,证监会:第32号令首次公开发行股票并上,第二十九条 发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告。,2006-5-17,2006-5-18,市管理办法,2008 德勤,8,8,到,稿）,引。,我国内部控制相关的监管要求2 财政部层面,规定财政部：,内容摘要在2001年起逐步发行了一系列的内部会计控制规,出台日期2001-6-22,生效日期发布之日,内部会计控制规范,范。此规范以单位内部会计控制为主，同时兼顾与会计相关的控制。主要包括：货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制,2004-10-10,起执行,财政部等5部委：企业内部控制基本规范,财政部发布企业内部控制基本规范，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，并应委托从事内部控制审计的,2008-6-28,2009-7-1,会计师事务所对企业内部控制的有效性进行审计，出具审计报告。,财政部等5部委：企业内部控制应用指引（征求意见,财政部发布关于印发企业内部控制应用指引（征求意见稿）的通知，包括资金，采购，存货，销售，工程项目，固定资产，无形资产，长期股权投,2008-6-28,尚未明确,资，筹资，预算，成本费用，担保，合同协议，业务外包，对子公司的控制，财务报告编制与披露，人力资源政策，信息系统一般控制，衍生工具，企业并购，关联交易，内部审计。共22项分流程的具体指,财政部等5部委：企业内部控制评价指引（征求意见稿）2008 德勤,为规范企业内部控制评价工作，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告，发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行。,2008-6-28,尚未明确,9,9,1,我国内部控制相关的监管要求3交易所层面,规定上海证券交易所：上海证券交易所上市公司内部控制,内容摘要要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。,出台日期2006-06-04,生效日期2006-7-1,指引,深圳证券交易所：,上市公司应当于每个会计年度结束后四个月内将内,2006-09-28,2007-7-1,上市公司内部控制指引 2008 德勤,部控制自我评价报告和注册会计师评价意见报送本所，并与年度报告全文同时对外披露。,100,会：,11,我国内部控制相关法规对审计师的要求,规定中国注册会计师协,内容摘要中国注册会计师协会呼应财政部的工作，为规范注册会,出台日期2002-2-2,生效日期2002-5-1,计师执行内部控制审核业务，明确工作要求，保证执业,内部控制审核指导意见,质量，在2002年发布了内部控制审核指导意见等,财政部：,财政部为指导注册会计师执行企业内部控制鉴证业务，,2008-6-28,尚未明确,企业内部控制鉴证指引（征求意见稿）2008 德勤,明确工作要求，保证执业质量，制定企业内部控制鉴证指引（征求意见稿），要求对企业内部控制的有效性出具鉴证意见。,11,1,2,主题一：中国内控监管要求发展及企业内部控制基本规范介绍中国内部控制相关规定的发展财政部企业内部控制基本规范介绍,2008 德勤,12,内部环,内部,监督,境,信,息,与,沟,通,企业内部控制基本规范简介财政部、证监会、审计署、银监会、保监会于2008年6月28日联合发布了企业内部控制基本规范，共七章五十条，适用于在中华人民共和国境内设立的大中型企业：,要求上市公司于2009年7月1日起开始实施，执行基本规范的上市公司，应当,附则,总,则,对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请,具有证券、期货业务资格的中介机构对内部控制的有效性进行审计；,企业内部控制基本规范,鼓励非上市的其他大中型企业执行；小企业和其他单位可以参照本规范建立与实施内部控制。,控制活,动,风,险,评,估,2008 德勤,13,内涵,目标,要素,企业内部控制基本规范简介,界定内部控制定位内部控制确定内部控制原则构建内部控制建立内部控制实施机制 2008 德勤,强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。要求企业在保证经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果的基础上，着力促进企业实现发展战略。要求企业在建立和实施内部控制全过程中贯彻全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。有机融合世界主要经济体加强内部控制的做法经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系；国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托进会计师事务所对本企业内部控制的有效性行审计，出具审计报告。,14,中国对内部控制监管的最新要求企业内部控制基本规范,2008 德勤,15,中国对内部控制监管的最新要求企业内部控制基本规范 我国内部控制概念基本借鉴了COSO报告的理论研究成果，即以五要素为框架，适当体现了“企业风险管理整体框架”中提出的八要素的先进理念。从目标上看，我国的内部控制概念提出了1.企业战略；2.经营的效率和效果；3.财务报告及管理信息的真实、可靠和完整；4.资产的安全完整；5.遵守国家法律法规和有关监管要求等五项基本目标。,2008 德勤,16,经,营,效,益,和,效,果,财,务,报,告,真及,实管,完理,整信,息,资,产,的,完安,整全,遵,规守国,和,有家法,关,律,求监管法,要,企,业,战,略,董事会,监事会,经理层,全体人员,内部控制基本规范中描述的内控框架五部委联合发布企业内部控制基本规范对内控制度设计充分,保证信息能及时有效地沟通的流程来自高级管理层的信息政策及流程培训道德标准IT信息系统对内部、外部影响企业的因素的评估内 部 环 境集团层面的风险评估流程层面的风险评估注：根据 五部委联合发布企业内部控,内部 监 督信 息 沟 通控 制 活 动风 险 评 估内 部 环 境企业内部控制的道德意识，是“来自高层的声音”道德标准高级管理层价值观,性，执行有效性进行监督达到控制目标的活动和经营程序授权批准日常操作流程及系统职责分离会计对帐财务和管理软件中的自动控制,制基本规范的第二、三、五条制作 2008 德勤,公司治理,17,中国对内部控制监管的最新要求 企业内部控制基本规范的意义 基本规范的意义：基本规范的制定发布，为企业加强内部控制建设提供了基础性、权威性的指引，必将有利于提高企业公司经营管理水平和风险防范能力；进一步明确并细化了公司、政府与审计机构相互独立的三方监督机制，被认为是国内企业治理国际化的重要里程碑；为我国内部控制体系建设提供了统一的技术标准，并与国际接轨。,2008 德勤,18,企业内部控制基本规范的特点1.强调了企业内外对内部控制的投入和监管力度在总则中有关会计师事务所的表述v一方面，要求负责内部控制咨询的会计师事务所，不得为同一企业提供内部控制审计服务，以保持事务所的独立性；v另一方面，规定了国家有关监管部门应当对会计师事务所从事内部控制审计的执业质量进行监督检查的内容，以加强对事务所开展此类业务的监管。,2008 德勤,1919,战,略,企业内部控制基本规范的特点2.强调了信息的外部沟通：企业内部控制基本规范要求企业应当规范信息沟通的渠道、方式和程序，促进内部控制相关信息在企业内部各管理层级、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间的沟通和反馈。3.适用范围：2007版企业内部控制基本规范征求意见稿规定，“本规范适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业。”而基本规范将“境内的大型企业”扩大为“境内设立的大中型企业”。,2008 德勤,2020,战,略,企业内部控制基本规范的特点4.强化了反舞弊机制与信息与沟通相结合：企业内部控制基本规范要求企业将可能损害投资者利益的下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益；在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等；董事、监事、高级管理人员滥用职权；相关机构或者人员串通舞弊；结合企业经营特点确定的其他舞弊情形。,2008 德勤,2121,战,略,企业内部控制基本规范的特点5.在内部监督和公司治理结构方面更好地与国际接轨内控机构由“有条件再设立”，变为“必须有专门或指定机构”；有关内部审计机构：企业应当加强内部审计工作，保证内部审计机构设置、人员配备及其工作开展的独立性。内部审计机构对审计过程中发现的与内部控制相关的重大问题，有权直接向董事会及其审计委员会报告。对审计委员会负责人主席任命，具有更强的普遍适用性：企业可以根据股东（大）会决议和治理结构，在董事会下设立审计委员会。审计委员会成员应当具备相应的独立性、良好的职业操守和专业胜任能力。上市公司的审计委员会负责人原则上应当由独立董事担任。,2008 德勤,2222,企业内部控制评价指引（征求意见稿）共五章三十七条：,第一章第二章第三章第四章第五章 2008 德勤,总章内部控制评价的内容和标准内部控制评价的程序和方法内部控制缺陷认定和评估报告附则,23,企业内部控制应用指引（征求意见稿）企业内部控制应用指引（2008年征求意见稿）22项,2008 德勤,资金采购存货销售工程项目固定资产长期股权投资筹资,预算 成本费用 担保 合同协议 对子公司的控制 人力资源政策 信息系统一般控制,财务报告编制与披露 无形资产 衍生工具 企业并购 关联交易 内部审计 业务外包,24,企业内部控制应用指引（征求意见稿）除对子公司的控制、关联交易和内部审计应用指引外，基本每项包括三部分内容：,总则,制定的依据相关定义关注的主要风险关键的控制领域,职责分工与授权批准不兼容岗位及轮岗要求业务素质和职业道德的要求,授权审批制度业务流程的制定,2008 德勤,具体业务的控制,25,企业内部控制鉴证指引（征求意见稿）共八章一百条：,第一章第二章第三章第四章第五章第六章第七章第八章 2008 德勤,总章制定鉴证计划实施鉴证工作评价控制缺陷完成鉴证工作鉴证报告工作底稿附则,26,企业内部控制鉴证指引（征求意见稿）q 目的：指导注册会计师执行企业内部控制鉴证业务，明确工作要求，保证执业质量q 定义：企业内部控制鉴证是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见q 相关职责：按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是企业管理层的责任。按照本指引的要求，在实施鉴证工作的基础上对内部控制有效性发表鉴证意见，是注册会计师的责任。内部控制鉴证不能减轻管理层的责任。,2008 德勤,27,企业内部控制鉴证指引（征求意见稿）重要内容 范围的确定以风险评估为基础 利用他人的工作 使用与财务报表审计相同的重要性水平 企业层面控制的测试 流程层面控制的测试 控制缺陷的评价：缺陷、应关注缺陷、重大缺陷 鉴证意见：无保留意见、否定意见、无法表示意见,2008 德勤,28,对于出台的企业内部控制基本规范存在的普遍问题 财政部等五部委联合发布企业内部控制基本规范的背景是什么？,2008 德勤,29,对于出台的企业内部控制基本规范存在的普遍问题 规范与其他国家同类型的法律法规相比有何特点和优势？,2008 德勤,30,对于出台的企业内部控制基本规范存在的普遍问题 规范的出台会给中国企业带来什么影响？,2008 德勤,31,对于出台的企业内部控制基本规范存在的普遍问题 实施规范对于企业加强风险管理有什么作用？,2008 德勤,32,对于出台的企业内部控制基本规范存在的普遍问题 实施企业内部控制基本规范，会不会给企业带来额外负担并增加成本？,2008 德勤,33,对于出台的企业内部控制基本规范存在的普遍问题 实施企业内部控制基本规范后是否可以完全遏制舞弊，或防止财务丑闻的出现？,2008 德勤,34,主题二：如何建立和评价内部,控制体系,.,1,2,主题二：如何建立和评价内部控制体系企业如何建立其内部控制体系企业如何评价其内部控制体系,2008 德勤,36,内部控制体系的定义及目标企业内部控制基本规范内部控制是指由企业董事会、监事会、管理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证:企业经营管理合法合规资产安全财务报告及相关信息真实完整提高经营效率和效果促进企业实现发展战略,2008 德勤,37,经,营,效,益,和,效,果,财,务,报,告,真及,实管,完理,整信,息,资,产,的,完安,整全,企,董事会,监事会,经理层,全体人员,遵,规守国,和,有家法,关,律,求监管法,要,业,战,略,构建企业内部控制体系的要素企业内部控制基本规范五部委联合发布企业内部控制基本规范企业建立有效的内部控制，至少应当考虑以下基本要素：内部环境风险评估控制活动,信息与沟通内部监督内 部 环 境 2008 德勤,内部 监 督信 息 沟 通控 制 活 动风 险 评 估内 部 环 境,38,如何构建企业内部控制体系内部环境规范公司治理结构及议事规则审视内部机构的设置，明确职责、权利和责任，建立岗位职责说明建立审批权限和授权机制保证内部审计机构设置、人员配备和工作的独立性制定和实施有利于企业可持续发展的人力资源政策制定员工聘用标准，加强员工培训和教育通过各种渠道加强文化建设，强化风险意识，加强法制教育员工行为守则成立专门机构或指定适当机构具体负责组织协调内控的建立实施及日常工作,2008 德勤,39,公司治理架构,2008 德勤,40,审批权限举例,费用,预算内资本性支出 预算外资本性支出,XXXXXXXXXXXX,总经理财务总监营运总监部门经理,125,00050,00037,50010,000,125,00050,00037,5005,000,50,00025,00012,500,2008 德勤,41,如何构建企业内部控制体系风险评估建立风险评估机制以确定风险承受度识别内部、外部风险采用定性与定量相结合的方法，对风险进行分析和排序，确定关注重点和优先控制的风险根据风险评估的结果，结合风险承受度，权衡风险与收益，确定风险应对策略持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略,2008 德勤,42,如何构建企业内部控制体系控制活动参考基本规范应用指引，确定各种业务和事项的控制目标并设计控制活动手工控制与自动控制相结合预防性控制与发现性控制相结合常用的控制活动包括：不相容职务分离,授权审批会计系统财产保护预算运营分析绩效考评,建立重大风险预警机制和突发事件应急处理机制,2008 德勤,43,如何构建企业内部控制体系流程层面不兼容职责分离举例A：采购申请B：采购审批C：采购验收D：费用支付申请E：费用支付审批F：应付账款的审批G：应付账款的入账,2008 德勤,44,如何构建企业内部控制体系流程层面控制目标和控制活动举例,控制目标,控制活动,除不列入采购流程的报销与付款以外的采购需求都由申请部门根据实际消耗或需求提出采购申请，填写“采购申请单”；申请部门负责人签字确认。确保采购申请有效且符合,公司利益 2008 德勤,5,000元人民币采购估算金额 20,000元人民币，由申请部门负责人和归口部门负责人批准；采购估算金额 20,000元人民币，经申请部门负责人和归口部门负责人批准后，由公司分管领导批准。所有采购申请单均须送达财务部，由财务部进行预算审核。,45,如何构建企业内部控制体系信息与沟通建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序加强信息系统控制建立反舞弊机制建立举报投诉制度和举报人保护制度并及时传达至全体员工,2008 德勤,46,建立有效的举报投诉制度的考虑要点,匿名举报举报热线电话号码、邮箱向全体员工传达举报热线电话号码、邮箱向客户、供应商等外部利益相关方公开对于高级管理层的举报渠道直接通往审计委员会举报及其调查结果记录在案并定期向审计委员会报告如跨国，语言的考虑及时差的考虑,2008 德勤,47,如何构建企业内部控制体系内部监督制定内部控制监督制度，明确内部审计机构和其他机构在内部监督中的职责权限，规范内部监督的程序、方法和要求制定内部控制缺陷认定标准跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或责任人的责任定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告以书面或其他适当形式妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建设与实施过程的可验证性,2008 德勤,48,如何构建和完善企业内部控制体系项目阶段,建议时间安排财政部企业内部控制基本规范深交所上市公司内部控制指引,4-6周第11-14，16条要求第13、59条要求,6-12周第6，28-36条要求第5-13条要求,4-8周第45条要求第12，59条要求,8-16周第44-47条要求第60-61条要求,2-6周第10条要求第62-63、66条要求,2008 德勤,49,1,2,主题二：如何建立内部控制体系企业如何建立其内部控制体系企业如何评价其内部控制体系,2008 德勤,50,企业内部控制评价指引（征求意见稿）定义和原则 内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。评价原则 风险导向原则 一致性原则 公允性原则 独立性原则 成本效益原则,2008 德勤,51,企业内部控制评价指引（征求意见稿）内部控制评价内容和标准 涵盖内部环境、风险评估、控制活动、信息与沟通、内部监督等要素 设计有效性和运行有效性 信息系统有效性，包括信息系统一般控制和信息系统应用控制 根据企业内部控制基本规范及其应用指引的有关规定建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作,2008 德勤,52,企业内部控制评价指引（征求意见稿）内部控制评价程序和方法评价程序和方法：1.制定评价方案（目的、范围、组织、标准、方法、进度安排和费用预算等）评价范围的确定应遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节2.实施评价活动（个别访谈法、调查问卷法、比较分析法、标杆法、穿行测试法、抽样法、实地查验法、重新执行法、专题讨论会法）3.编制评价报告,2008 德勤,53,企业内部控制评价指引（征求意见稿）内部控制评价程序和方法（续）判断内部控制设计与运行有效性时应充分考虑：1.是否针对风险设置了合理的细化控制目标2.是否针对细化控制目标设置了对应的控制活动3.相关控制活动是如何运行的4.相关控制活动是否得到了持续一致的运行5.实施相关控制活动的人员是否具备必需的权限和能力,2008 德勤,54,企业内部控制评价指引（征求意见稿）内部控制缺陷认定 设计缺陷和运行缺陷 未实现规定的控制目标 未执行规定的控制活动 突破规定的权限 不能及时提供控制运行有效的相关证据 一般缺陷、重要缺陷和重大缺陷（实质性漏洞）定量和定性等方面进行衡量 为实现某一整体控制目标而设计或运行的控制存在一个或多个重大缺陷时，针对该项整体控制目标的内部控制无效,2008 德勤,55,企业内部控制评价指引（征求意见稿）内部控制评估报告年度内部控制评价报告至少应当包括下列内容：1.内部控制评价的目的和责任主体2.内部控制评价的内容和所依据的标准3.内部控制评价的程序和所采用的方法4.衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法5.被评估的内部控制整体目标是否有效的结论6.被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响7.造成重大缺陷的原因及相关责任人8.所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等,2008 德勤,56,评价内部控制体系的有效工具内控手册问题：企业是否建立了内部控制？（如何证明其存在）企业建立的内部控制是否有效？（衡量内部控制是否有效应衡量其设计有效性和执行有效性）解决方法：通过内控手册中的控制目标和控制活动的对标（即：内部控制设计有效性评估）并将之书面化，反映了1、企业管理层建立了内部控制；2、已建立的内部控制在设计上是有效的。内控手册中的控制活动是各级企业管理层进行内部控制执行有效性的抓手，对已建立内控活动执行有效性由稽核部门进行测试以确保其得到贯策执行。,2008 德勤,57,内控手册何谓内控手册 内控手册是从内部控制的角度按通行的内控框架记录企业关键内部控制活动的一种体系文件 内控手册包括控制矩阵，流程图、辅以适当的文字说明 内部控制活动设置在业务活动发生的流程中因而按企业经营流程归类描述，所以内控手册是一种程序性的文件 内部控制不等于流程 内控手册的核心是内控框架5要素及相关的控制目标和控制活动,2008 德勤,58,内控手册简介内控手册举例（简要文字说明）,2008 德勤,59,内控手册简介内控手册举例（流程图辅以控制活动说明）控制活动：RE-1A-1根据公司政策要求，客户调查表须包括客户的背景资料。RE-1A-2销售经理审核客户调查表，并在客户调查表上签署意见，决定是否参加客户招标。RE-1A-3北京公司合规部做有关客户调查，查看是否该客户在公司禁止合作的公司范围内，并书面回复工厂是否批准参加投标。RE-1A-4总经理按照公司审批权限书面批准客户信用额度申请单。,2008 德勤,60,内控手册简介内控手册举例（控制矩阵）,2008 德勤,61,内控手册内控手册VS其他文件企业文件体系通常包括：1、治理类文件：如公司章程、董事会、监事会及其他各专业委员会的章程及相关文件、决议等2、程序性文件（包括内控手册及其他流程性文件如ISO认证体系文件等）如销售流程、采购流程等3、以管理关注领域为组织形式的各管理制度/规定/办法：如合同管理、印章管理、档案管理、绩效考核说明等4、其他类文件：如会计政策/制度、员工手册、企业文化相关文件等,2008 德勤,62,.,主题三：经验分享上汽,.,主题四：经验分享东航,.,讨论：,如何高效地建立健全内控体系？,如何高效地建立健全内控体系 您认为应由哪个部门来牵头实施内控建设的项目？您认为可能遇到的最大的障碍和阻力是什么？如何充分利用企业已有的基础，如现有的政策、管理制度、ISO文档等？企业内部是否有恰当的人力资源来开展这项工作？完全依靠内部资源还是适当使用外部资源？怎样的方式比较高效？,2008 德勤,66,总结与答疑,.,Deloitte refers to one or more of Deloitte Touche Tohmatsu,a Swiss Verein,its member firms,and theirrespective subsidiaries and affiliates.As a Swiss Verein(association),neither Deloitte Touche Tohmatsu nor any ofits member firms has any liability for each others acts or omissions.Each of the member firms is a separate andindependent legal entity operating under the names“Deloitte”,“Deloitte&Touche”,“Deloitte Touche Tohmatsu”,or other related names.Services are provided by the member firms or their subsidiaries or affiliates and not bythe Deloitte Touche Tohmatsu Verein.2008 Deloitte Touche Tohmatsu.All rights reserved.,2008 德勤,68,