KPMG毕马威内控配套指引讲解

专业精诚《企业内部控制配套指引》实施解读二零一零年十一月十五日风险管理和合规咨询服务0©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。目录一、《企业内部控制配套指引》主要内容解析二、企业的合规遵循挑战三、合规之路该如何计划四、经验分享©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。一、《企业内部控制配套指引》主要内容解析©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。何为企业内部控制配套指引？企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引《应用指引》、《评价指引》和《审计指引》构成企业内部控制配套指引用于指导企业如何更加有效实施基本规范。《企业内部控制应用指引》：共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 性内容。《企业内部控制评价指引》：用以指导企业开展内部控制评价，以满足基本规范的实施要求。内容包含评价原则、评价制度要求、评价的内容、评价的程序、缺陷的认定、评价报告。《企业内部控制审计指引》：用以规范注册会计师执行企业内部控制审计业务。内容包含审计目标、计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告、记录审计工作、审计报告参考格式。《基本规范》从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角度，对于中国企业应如何建立、维持有效的内部控制提出了原则性的要求，建立了具有中国特色的内部控制框架。2008年6月28日发布2010年4月26日发布©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。财务报告内部控制有效性的外部审计内部控制有效性的自我评价内控体系的建设和实施配套指引协助做好三件事企业•按照《评价指引》的相关要求，对内部控制的有效性进行自我评价•评价对象包括企业建立和实施的财务和非财务内部控制，需对这些内部控制的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 和执行有效性进行评价企业•从《基本规范》 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 的五大要素出发，参照《应用指引》的具体要求，建立和实施完善的内部控制体系审计师：•按照《审计指引》的要求，对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露•评价对象为企业建立和实施的财务报告内部控制©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。2012年12月31日年报实施时间适用企业2011年1月1日《企业内部控制配套指引》2012年1月1日择机实施鼓励提前实施境、内外同时上市的公司在上海证券交易所、深圳证券交易所主板上市公司实施中小板和创业板上市公司非上市大中型企业企业内部控制配套指引的实施对象/范围和时间第一个合规报告年度2011年12月31日年报企业披露年度自我评价报告会计师事务所出具内控审计报告©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制应用指引的体系架构《企业内部控制应用指引》：共18项，用以指导企业开展内部控制建设，并为企业及事务所的内部控制评价及审计提供参考。内容包含制定该项指引的总体目标、涉及事项的定义、相关风险描述、业务流程规范和关键控制点要求等标准性内容。应用指引条目如下：1-组织架构2-发展战略3-人力资源4-社会责任5-企业文化6-资金活动7-采购业务8-资产管理9销售业务10研究与开发11工程项目12担保业务13业务外包14财务报告15全面预算16合同管理17内部信息传递18信息系统根据各具体指引所规范内容的不同，可以将应用指引分为三类：内部环境类（5个）控制活动类（9个）控制手段类（4个）•组织架构•发展战略•人力资源•社会责任•企业文化•资金活动•采购业务•资产管理•销售业务•研究与开发•全面预算•合同管理•内部信息传递•信息系统•工程项目•担保业务•业务外包•财务报告©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制应用指引的体系架构（续）目标：对于流程控制目标的整体要求。企业可参考指引中所述目标，从定性和定量两个角度细化本企业各流程的具体控制目标，作为流程风险评估的基础定义：对于流程所涉及业务范围的定义。企业应根据自身实际业务情况，对流程所涉及的业务范围进行明确定义。风险：流程中可能涉及的主要风险。企业可考虑参考指引中所述风险，采用一定的风险评估方法，识别、评估本企业流程可能涉及的重大风险，并作为内控建设的基础对于流程控制的整体要求。应作为企业设计本流程内部控制体系的整体性原则。主要业务环节及具体内控要求。企业可参考这些具体要求，结合本企业实际情况，制定细化的内部控制步骤和程序，包括明确内控执行的岗位和人员、频率、文档、问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 跟进措施等。©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。注意事项•应用指引仅是对于主要业务流程环节和内部控制提出了原则性的要求•18项应用指引涵盖了制造企业常见的重要业务领域，但是对于具体企业来说，肯定会存在一些应用指引无法涵盖的业务活动。因此企业需要根据基本规范和应用指引的总体原则和企业实际的风险情况，对自身业务、风险和内部控制进行详细梳理，而不能仅仅依赖应用指引进行内控体系的建设。（例如对于银行业来说，并没有专门的指引对商业银行的核心业务流程，例如存款业务、贷款业务、资金业务、中间业务等进行明确规定）•企业可以参考应用指引的架构和内容，细化制定本企业的内部控制手册在应用指引使用过程中应注意以下问题：©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业内部控制评价指引的体系架构章节关注点第一章总则•内部控制评价的最终责任机构是企业董事会或类似权力机构•企业内部控制评价的原则：全面性、重要性、客观性•企业应根据评价指引及实际情况，制定具体的内部控制评价办法第二章内部控制评价的内容•企业内部控制评价应围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素，并包含内部控制设计和运行两个方面•内部控制评价工作应当形成工作底稿，详细记录企业执行评价工作的内容第三章内部控制评价的程序•企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作•评价工作 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 应报经董事会或其授权机构审批后实施•评价工作组成员对本部门的内部控制评价工作应当实行回避制度•企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务第四章内部控制缺陷的认定•内部控制缺陷包括设计缺陷和运行缺陷•内部控制缺陷的认定应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定•内部控制缺陷可以分为重大缺陷、重要缺陷和一般缺陷（但具体认定标准由企业根据指引中原则自行确定）•企业应对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核；缺陷应向董事会、监事会或者经理层报告；重大缺陷应当由董事会予以最终认定；对于重大缺陷应追究有关部门或相关人员的责任第五章内部控制评价报告•对报告的主要内容进行了要求。报告应当报经董事会或类似权力机构批准后对外披露©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。关键条文概述配套指引对董事会的要求董事会是企业内部控制体系的重要组成部分。董事会依法行使企业的经营决策权，对企业重大经济事项进行审批。-应用指引董事会须对内部控制有效性的评价负责。董事会应审批评价工作方案，对重大缺陷进行认定，对评价报告进行批准，并出具内部控制报告真实性的声明。-评价指引企业内部控制评价指引-指引所称内部控制评价，是指企业董事会（或类似权力机构）对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。-企业董事会应当对内部控制评价报告的真实性负责。-企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。-企业内部控制评价部门应当编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见，并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。-内部控制评价报告应当披露董事会对内部控制报告真实性的声明。-内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业内部控制应用指引-董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。-董事会（或类似权力机构）应对发展战略方案，重大研究项目，重大工程项目的立项，重大担保业务，重大业务外包方案，和全面预算草案进行审批。企业内部控制审计指引-董事会应向注册会计师提交书面声明，声明董事会认可其对建立健全和有效实施内部控制负责。-注册会计师以书面形式与董事会沟通其在审计过程中识别的重大缺陷和重要缺陷；审计范围受到限制的情况及对审计委员会和内部审计机构对内部控制的监督无效的认定。董事会应向审计师提供声明书，声明董事会认可其对建立健全和有效实施内部控制负责。并与审计师沟通审计师确认的重大缺陷和重要缺陷等重要内控事项。-审计指引董事会负责内部控制的建立健全和有效实施-基本规范，具体体现在：新新新©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。配套指引要求与美国、香港内控监管要求简要对比比较内容配套指引的要求美国萨班斯法案第404条款香港企业管制常规守则C2.1条款主要实施要求ƒ企业应当对内部控制的有效性进行自我评价，并披露年度自我评价报告；ƒ企业应当聘请会计师事务所对财务报告内部控制的有效性发表审计意见ƒ公司管理层申明对建立和维持适当财务报告内控结构及控制程序的责任，并在其提交的年报中对内控有效性做出评价ƒ审计师须对管理层遵循情况进行测试和评价，并出具评价报告ƒ董事应至少每年检讨一次上市公司及其附属公司的内部监控系统是否有效，并在企业管治报告中向股东汇报已经完成的有关检讨。有关检讨应涵盖所有重要的监控方面，包括财务监控、运作监控及合规监控以及风险管理功能。ƒ没有对与内控审计的具体要求是否给出评价指引ƒ企业内部控制评价指引ƒSEC给出了“管理层评价指引”，但并不强制企业遵循，提供了可接受的一种遵循途径ƒ没有颁布专门的评价指引，仅在香港会计师公会为此专门制定的《内部监控和风险管理的基本框架》中，对于检讨程序有原则性规定评价责任机构ƒ董事会（或类似权力机构）ƒ管理层ƒ董事评价结论的判定标准ƒ未明确说明内控有效性结论的判定标准ƒ存在一个或多个实质性漏洞，内部控制即告无效ƒ未要求评价工作给出评价结论©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。二、企业的合规遵循挑战©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。外部法规带来的挑战遵循基本规范和配套指引的挑战——来自外部法规的挑战•基本规范和配套指引为原则性指引，且专业性强，有些企业可能会觉得理解起来，操作起来有难度。•除财务报告内部控制有效性外，企业还需评价企业在合法合规、资产安全、经营的效率和效果以及发展战略方面内部控制的有效性，内容广泛，任务重。•对于2011和2012年即将为第一个遵循年度，遵循时间紧迫。•指引中没有对缺陷分类的具体认定标准，企业需自己确定，工作难度高。•指引中缺乏对企业内部控制有效性的结论的判断标准的说明，操作起来将有一定难度。•基本规范和配套指引为原则性指引，且专业性强，有些企业可能会觉得理解起来，操作起来有难度。•除财务报告内部控制有效性外，企业还需评价企业在合法合规、资产安全、经营的效率和效果以及发展战略方面内部控制的有效性，内容广泛，任务重。•对于2011和2012年即将为第一个遵循年度，遵循时间紧迫。•指引中没有对缺陷分类的具体认定标准，企业需自己确定，工作难度高。•指引中缺乏对企业内部控制有效性的结论的判断标准的说明，操作起来将有一定难度。•对于首年上市企业无豁免条款，对于上市时间短、内控基础稍差的企业来说，挑战很大。•非生产制造类型企业，特别是银行、保险、证券公司、基金公司等特殊行业对应用指引的借鉴会有一定的局限性，遵循挑战较大•审计指引中没有对缺陷的具体定义，可能存在企业与审计师在缺陷认定上的分歧。•审计指引中没有针对“财务报告内部控制”的内涵和外延的明确规定，可能引发企业与审计师的意见分歧。……•对于首年上市企业无豁免条款，对于上市时间短、内控基础稍差的企业来说，挑战很大。•非生产制造类型企业，特别是银行、保险、证券公司、基金公司等特殊行业对应用指引的借鉴会有一定的局限性，遵循挑战较大•审计指引中没有对缺陷的具体定义，可能存在企业与审计师在缺陷认定上的分歧。•审计指引中没有针对“财务报告内部控制”的内涵和外延的明确规定，可能引发企业与审计师的意见分歧。……©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。来自企业自身的挑战知识与观念架构与实务IT系统项目管理遵循基本规范和配套指引的挑战——来自企业自身的挑战•治理层对内控要求不了解，指导和监督内控工作不到位•经理层和其他高级管理人员不理解建设内部控制的意义，认为内部控制阻碍经营效率，将内控工作做成“两张皮”•企业员工不理解什么是内控，不清晰自己的内控责任，无法自觉维护内控有效性。•企业缺乏足够的具备所需知识、技能的内控维护和监督队伍•缺乏对内控缺陷进行判断的经验•从未系统地按五要素框架进行内控架构的梳理，评估，缺乏相关的知识和经验。•从未进行过系统的风险评估工作•缺乏全面的、规范的规章制度对内部控制设计情况进行记录•系统与业务发展脱节，不能对公司战略的实施提供良好支撑•业务系统和财务系统脱节，信息一致性和可用性无法得到保证•信息系统存在明显的安全漏洞•系统开发和变更控制薄弱•出于利用人工流程的便捷和灵活性的目的，回避信息系统内部控制•第一年的遵循工作规模大，涉及面广，要求企业具备组织、管理大型项目的丰富经验•缺乏完善的监督机制，导致内部控制执行不力•内部控制的运行缺乏书面证据•反舞弊程序和控制薄弱•低估遵循项目难度，遵循工作不能按时间表进行，或缺乏对工作成果的质量控制•未能有效计划、控制遵循成本©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。三、合规之路该如何计划©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。毕马威建议的遵循路线一般而言，企业可考虑通过以下六个步骤来实现对基本规范和配套指引的遵循：1、制订遵循计划计划遵循工作的进行方式、范围、时间表、成果和所需资源；组建项目团队；启动项目2、检查、评价内控的设计情况3、检查、评价内控执行情况4、确认并纠正内控缺陷5、编制内控报告并接受内控审计通过风险评价、对标等方法检查、评价内部控制的设计情况，包括审视内控记录是否足够根据对设计情况的评估结果，制定测试方案并实施对内控执行情况的评估归集并评估内控设计和执行方面的缺陷；在治理层和管理层的主导下，计划和实施纠正工作跟踪验证纠正工作的结果；编制内控自我评价报告；配合审计师进行内控审计6、建立持续改善和遵循机制有计划、有步骤的建立内控持续改善和内控规范持续遵循的有效机制（如建立相关职能、IT系统和有关制度）©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业的下一步遵循工作从哪里做起？对于已经启动和推进遵循方案的企业：•应根据三项指引重新审视既定的遵循方案并视情况进行必要调整。其中，境内外同时上市的企业应准确理解已经实施的境外上市地监管规定与即将实施的中国规定之间的差异，并据以考虑是否需要开展补充性工作。•应积极与监管机构互动，获得监管机构对于所遇到的重大问题的指导，并促使监管机构进一步发布有关解释公告。•应注重与审计师就遵循方案及其执行情况进行沟通。©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业的下一步遵循工作从哪里做起？对于尚未开展遵循工作的企业：•应尽快着手制定遵循方案，明确以下要素：-遵循策略-组织体系-过程、步骤及时间表-内部和外部资源需求及资源获取方案-费用预算•建议企业可考虑在法定遵循年度的前一年开展试评价。•有条件的企业，在初次遵循时应考虑聘请外部咨询顾问，以提高遵循的效率和效果并为以后年度持续遵循奠定良好基础。•积极参加监管机构规划和实施的一系列培训，以掌握监管动态。Administrator高亮©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。2.对内控现状进行全面梳理和记录3.对标基本规范和应用指引进行差距分析4.完善内部控制，修补差距5.试行内部控制有效性自我评价8.内部控制中期审计$10.年度内控有效性自我评价6.试行内部控制审计7.内部控制持续改进和完善12.编制并披露内控评价报告1.制定遵循计划企业合规之路体系建设评价试行和完善9.内部控制缺陷跟踪和改进11.内部控制年终审计年度评价和报告©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。遵循工作的时间安排项目结束项目启动2011年3月6月9月2012年以上时间表为于2011年1月1日起实施基本规范的境内外同时上市公司遵循时间表的示例。其他遵循企业可再更长期间内计划和实施其遵循工作1.制订遵循计划（1-2个月）2.对内控现状进行全面梳理和记录3.对标基本规范和应用指引进行差距分析（3-5个月）4.完善内部控制，修补差距（5-7个月）7.内部控制持续改进和完善5.试行内部控制有效性自我评价6.试行内部控制审计（3-6个月）8.内部控制中期审计9.内部控制缺陷跟踪和改进11.内部控制年终审计10.年度内控有效性自我评价体系建设12.编制并披露内控评价报告评价试行和完善（4-7个月）（1-2个月）年度评价和报告©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。四、经验分享©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。合规遵循主要工作成果基本规范第四十七条：企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。根据以上原则，企业在遵循基本规范及其配套指引的过程中，需保留一系列的工作记录，包括：工作内容：根据《应用指引》的要求，建立和实施内部控制体系发生完整性准确性截止分类存在权利和义务完整性1控制点所在流程的名称（与风险列表相对应）控制点所在子流程名称（与风险列表相对应）与风险列表中的风险类别相对应与风险列表中的风险描述相对应控制点的详细描述234XX银行企业内部控制基本规范遵循项目编号风险控制情况财务报表关系与交易和事项相关的认定与期末账户余额相序号子流程/业务环节风险类别流程名称控制点编号风险描述控制点描述涉及财务报表科目对于企业来说，内部控制的建立和实施包括两方面的内容：•一是建立。企业需要以书面的形式，对其各业务领域的内部控制进行明确规定。常见的书面形式可以包括流程描述、流程图、风险控制矩阵等•二是实施，即内控执行。企业应妥善保存相关执行记录，这些执行记录包括书面文档（例如签报）、电子文档（例如电子邮件）、信息系统记录等。工作内容：根据《评价指引》的要求，对内控有效性进行自我评价自我评价工作中涉及的工作记录包括：•内部控制评价办法（评价指引第四条）•内部控制评价过程中相关工作底稿，例如：内部控制执行有效性测试方案、穿行测试工作底稿、控制测试工作底稿、缺陷汇总表及修补计划、内控缺陷认定标准等•内部控制自我评价报告工作内容：聘请会计师事务所对财务报告内部控制的有效性进行审计•审计报告工作底稿索引号：测试单位名称：测试地点：测试日期：流程负责人：测试负责人：流程名称子流程/业务环节控制点编号控制点简单描述穿行测试程序例如，选取近期一笔交易，获取与流程相关的文档进行检查、询问相关流程负责人等进行穿行测试XX股份有限公司内部控制项目穿行测试工作底稿业务流程子流程控制编号控制描述自动或人工控制控制类型控制频率进行测试的业务流程名称进行测试的业务流程子流程名称从风险控制矩阵中选择需要测试的关键控制点自动控制人工控制授权及批准核对系统设置关键绩效指标例外情况报告和预警报告配置账项映射控制系统系统访问权限管理层审阅职责分工界面/转换控制每年半年每季每月每周每天频繁发生按需不定期系统控制企业内部控制基本规范遵循项目内控执行有效性测试方案控制信息（与风险控制矩阵对应）工作底稿索引号：业务流程名称：XX流程测试地点：测试日期：2009年X月X日流程负责人：测试负责人：测试步骤（与测试方案相对应）S1S2S3S4S5S6抽样文档的具体信息根据样本反映的具体信息，以部门、客户等为索引执行该测试步骤时是否发现了缺陷/例外情况(Y/N/NA)(Y/N/NA)(Y/N/NA)(Y/N/NA)(Y/N/NA)(Y/N/NA)企业内部控制基本规范遵循项目内控执行有效性测试工作底稿序号样本描述样本序列号控制编号样本生成时间编号涉及的流程子流程控制点编号受影响的控制点缺陷描述涉及的会计科目缺陷可能造成的影响设计缺陷/运行缺陷控制缺陷所在的业务流程名称控制缺陷所在的业务流程子流程名称直接受控制缺陷影响的控制点对发现问题及产生原因的具体描述内控缺陷对实现控制目标可能造成的影响确定该缺陷是设计缺陷还是运行缺陷XX银行企业内部控制基本规范遵循项目内控缺陷及修补建议汇总表©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。流程描述主要内容•对流程涉及的业务范围、部门范围、流程目标、流程的起点和终点、各子流程/业务环节的发起、授权、记录、处理及报告程序、流程中的主要控制活动、相应流程负责人以及相关控制文档等进行描述•对控制活动的描述主要包括控制目标、控制活动发生时间、执行人、主要控制措施及其执行方法、控制活动产生的结果、控制活动出现问题或差异时的处理方法等主要用途•用于指导和规范公司各项业务的操作程序•作为员工执行控制程序和措施的指南，并有利于标准化与控制流程相关的控制活动•是对流程图的补充和加强•供测试人员用于内控执行有效性的评价编制方法•项目组人员牵头组织相关业务部门进行编制•根据流程图，从流程的起点到终点，对每个流程环节进行具体描述流程描述部分合规工作成果示例-流程描述©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。流程图流程图主要内容•以直观的方式展示各子流程/业务环节的发起、授权、记录、处理及报告程序，以及流程中的负责部门或岗位、以及各部门/各环节之间的信息传递关系等•每个流程图依次由各子流程、子流程中的主要活动以及各项任务构成主要用途•用于指导和规范公司各项业务的操作程序，以及各部门之间的信息沟通程序•用于明确各部门之间的工作接口，确保业务流程和关键控制活动的完整性•供测试人员用于内控执行有效性的评价•可用于分析和诊断影响流程目标实现的动因，识别流程中存在的问题（例如权责分配的合理性、流程步骤的有效性、内部监控的足够性、流程活动的价值性），继而进行流程的优化编制方法•项目组人员牵头组织相关业务部门进行绘制•根据项目管理委员会审批确定的流程图制作标准，统一制作关键流程的流程图部分合规工作成果示例-流程图©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。风险控制矩阵主要内容•从公司层面、流程层面和信息技术层面，分别记录内控评价过程中所识别的关键控制点•记录上述关键控制点对应的风险、控制活动目标、涉及的财务报表科目及认定•记录控制点的性质、种类、频率等•记录控制点对应的穿行测试和控制测试及缺陷整改记录索引（如有）主要用途•作为业务单元的关键控制点的基础文件•作为控制测试的基础信息来源•作为建立目标-风险-控制-科目等对应关系的基础文件•作为内部控制工作系统平台的基础数据来源编制方法•项目组人员根据对各业务单元的内控状况梳理结果和测试结果进行填制风险控制矩阵发生完整性准确性截止分类存在权利和义务完整性1控制点所在流程的名称（与风险列表相对应）控制点所在子流程名称（与风险列表相对应）与风险列表中的风险类别相对应与风险列表中的风险描述相对应控制点的详细描述234XX银行企业内部控制基本规范遵循项目编号风险控制情况财务报表关系与交易和事项相关的认定与期末账户余额相序号子流程/业务环节风险类别流程名称控制点编号风险描述控制点描述涉及财务报表科目预防性/检查性每年/每季度/每月/每周/每天/每天多次/按需不定期授权及批准/核对/系统设置/关键绩效指标/例外情况报告和预警报告/配置账项映射/系统访问权限/管理层审阅/职责分工/其他人工/自动/人工依赖自动控制测试底稿索引控制设计缺陷（是/否）控制执行缺陷（是/否）发现问题汇总表的索引编号预防性控制或检查性控制属于那种控制组（人工/自动/人工依赖自动）适用的IT系统穿行测试底稿索引控制行为出现的频率控制活动种类XX银行企业内部控制基本规范遵循项目风险控制矩阵控制点性质测试结果部分合规工作成果示例-风险控制矩阵©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。内部控制执行有效性测试方案主要内容•记录内部控制执行有效性测试的控制点相关信息、样本信息及其测试步骤，包括如何进行测试，何时进行测试以及测试负责人等•明确样本库范围、抽样方式、样本数量、抽样涉及期间等内容主要用途•用于指导测试人员根据控制点的性质、执行的频率、重要性等因素，合理确定测试抽样方式和样本量•用于指导和规范测试人员开展控制测试的具体工作•为开展控制测试提供有效的方法和工具编制方法•项目组人员进行编制•项目管理委员会对控制测试方案进行审批内部控制执行有效性测试方案业务流程子流程控制编号控制描述自动或人工控制控制类型控制频率进行测试的业务流程名称进行测试的业务流程子流程名称从风险控制矩阵中选择需要测试的关键控制点自动控制人工控制授权及批准核对系统设置关键绩效指标例外情况报告和预警报告配置账项映射控制系统系统访问权限管理层审阅职责分工界面/转换控制每年半年每季每月每周每天频繁发生按需不定期系统控制企业内部控制基本规范遵循项目内控执行有效性测试方案控制信息（与风险控制矩阵对应）样本量样本期间测试步骤控制负责人所需资料根据事先确定的抽样方法和标准进行确定2009年1月1日至2009年12月31日描述具体的测试步骤，包括抽样检查相关文件记录、询问、重新执行、模拟操作、观察、问卷调查等方法和程序执行该控制点的部门及其责任人列出测试所需的资料清单企业内部控制基本规范遵循项目内控执行有效性测试方案样本信息测试方案部分合规工作成果示例-内部控制执行有效性测试方案©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。合理的项目组织架构对遵循项目的顺利实施起到了至关重要的作用，我们建议合规企业建立结构化的项目组织架构。以下为可选择的一种组织架构。总部分支机构分支机构现场工作小组项目指导委员会项目核心小组信息技术工作小组业务工作小组财务工作小组分支机构现场业务工作小组内部审计工作小组分支机构现场工作小组项目管理办公室分支机构现场工作小组合规工作的项目组织架构公司层面控制工作小组分支机构现场工作小组©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。企业可考虑采取全员参与、分级实施、逐级汇总的方式进行内部控制体系的建设和评价工作：ƒ全员参与，即内控建设和评价工作由总部、各级分支机构的管理层和流程负责人负责实施，集团内所有公司、分支机构，各单位的所有部门和岗位，均应参与内控建设和评价工作。ƒ分级实施，即总部、各级分支机构分别负责组织实施本单位的内部控制建设和自我评价工作，并指导所属单位的内控工作。ƒ逐级汇总，即下级单位应向上级单位上报内控建设和评价结果，上级单位在汇总下级单位和本单位建设和评价结果的基础上，形成汇总的内控自我评价报告。合规工作的项目组织架构（续）©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。•负责项目的整体管理和协调工作•负责制定项目实施的方法、标准、工具和模板•负责对各部门和分支机构内控梳理和评价工作进行指导，并对结果进行质量控制•负责内控评价结果的汇总和披露•负责本部门或单位内内控建设工作的组织、协调和推进工作•负责本部门或单位内内控建设工作的整体项目管理，包括进度管理、质量管理等•负责根据总部项目核心团队制定的方法、标准、工具和模板等，实行所负责业务流程的内部控制梳理和测试工作•对所负责流程的内控缺陷进行汇报和整改工作•提供培训和各种专业技术支持；•协助进行项目所需方法、工具和模板的开发；•协助进行项目管理•协助进行内控梳理工作•协助对所识别的内控缺陷提供发现和建议•由独立于流程负责人之外的专职部门或机构（例如内部审计机构）负责实施内部控制独立评价•结合日常监督和专项监督，基于风险评估的重点检查，对象为涉及高风险领域的相关控制•相对独立的、客观的评价主要职责各部门和分支机构项目协调人各部门和分支机构流程负责人外部咨询机构独立评价团队由各部门和分支机构指派，应具有一定的职位层级和组织能力，能在本部门和本机构内行使组织和协调工作各部门和分支机构内各主要业务流程均应指派一名或若干名业务骨干作为流程负责人员内部审计人员外部咨询机构项目核心团队总部及有代表性的分支机构抽调的业务、财务、IT等部门人员构成合规工作的所需人力资源©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。30使用信息系统辅助内部控制记录与评估ƒ总体来说，如果仅为满足《企业内部控制基本规范》的内控自我评价工作，企业可采用手工或现成的软件，例如Excel达到ƒ管理层关注的是，任何公司投入的精力和资源是否值得、是否有机会长远地为公司带来更大价值ƒ毕马威开发了内部控制记录评估工具(“内控工具”)，旨在帮助企业超越对《企业内部控制基本规范》进行遵循合规的框框，利用通过内控工具累积的信息，让企业找到更多机会，带来更加深远的价值创造，将长远的合规成本化成具有无形回报的投资©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。31毕马威内控工具的重要功能灵活的报表功能，提供管理层信息具有巨大容量和可扩展性的集中数据库加强信息的保护网络运行及可跨越地域多用户使用自动电邮提示监控进度企业应考虑利用内控工具支持合规遵循工作©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。32毕马威内控工具的核心就是一个企业信息的宝库企业内控流程瞭如指掌企业变革与改进契机改善流程和内控成本效益改善企业管治应对其他地区监管需求改善业务流程内控工具汇集企业内控、流程、风险信息库专业精诚讲者资料何敏超高级经理+85221438781bernard.ho@kpmg.com所载数据仅供一般参考用，并非针对任何个人或团体的个别情况而提供。虽然本所已致力提供准确和及时的数据，但本所不能保证这些数据在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。所载资料仅供一般参考用，并非针对任何个人或团体的个别情况而提供。虽然本所已致力提供准确和及时的资料，但本所不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事。©2010毕马威企业咨询（中国）有限公司是一家中国外商独资企业，同时也是与瑞士合作组织毕马威国际相关联的独立成员所网络中的成员。版权所有，不得转载。中国印刷。