内部控制风险管理与内部审计的关系和整合课件

2023-2-3内部控制风险管理与内部审计的关系和整合内部控制、风险管理与内部控制、风险管理与内部审计的关系和整合内部审计的关系和整合内部控制风险管理与内部审计的关系和整合2 2目录目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制风险管理与内部审计的关系和整合内部控制的演变和发展趋势内部控制的演变和发展趋势3 3COSOCOSO内部控制内部控制整体框架整体框架内控评价内控评价内部审计内部审计进展进展40年代前年代前4070年代年代8090年代年代90年代后年代后2002年后年后2006年后年后内部牵制内部牵制-实物牵制-薄记牵制内部控制内部控制结构完善结构完善-控制环境-会计系统-控制程序-建立内控-数据准确一致-内控可靠性以风险为以风险为导向的内导向的内部控制部控制广义内控广义内控长期性长期性持续性持续性后萨班后萨班萨班斯萨班斯 斯时代斯时代法案法案-法律责任-控制环境 -与财务报-风险评估 告相关的-控制活动 内部控制-信息沟通-持续监控内部控制风险管理与内部审计的关系和整合内部控制的作用内部控制的作用4 4良好的内部控制会良好的内部控制会:降低舞弊的可能 获得(或重获)投资者的信心 遵守法律和法规 降低资源流失的风险 以更高质量和更及时的信息优化业务决策 暴露经营中的低效环节薄弱的内部控制会薄弱的内部控制会:提高舞弊发生的可能 错误的财务报表 不良的公众形象 对股东价值的负面影响 招致证券监管机构制裁 诉讼或者其他法律纠纷 资产的流失 经营决策不能最优化内部控制不是静止的，是会随着时间的流逝和经验的增加而不断进步。内部控制风险管理与内部审计的关系和整合5 5目录目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制风险管理与内部审计的关系和整合6 6风险管理的演化发展风险管理的演化发展全面风险管理全面风险管理风险的数量化风险的数量化管理管理保险和安全生产保险和安全生产70年代年代1995年年内部控制风险管理与内部审计的关系和整合时间时间机构机构/国家国家标准标准1988年BCBS巴塞尔协议1999年澳大利亚和新西兰AS/NZ436019992002年加拿大风险管理：决策者指南加拿大国家标准2003年英国AIRMIC/ALARM/IRM2004年COSO企业风险管理整合框架2004年BCBS巴塞尔协议2005年香港会计师公会内部控制与风险管理的基本架构2008欧洲委员会偿付能力7 7国外主要风险管理标准国外主要风险管理标准内部控制风险管理与内部审计的关系和整合支柱1最低资本要求信用风险标准化流程基础IRB高级IRB市场风险标准化流程内部VaR模型操作风险基本指标法标准法支柱2监管当局的监督检查银行框架良好的资本评估整体资本充足率全面风险评估监管框架银行内部系统评估风险组合评估合规性评估监管机制支柱3市场约束披露要求银行风险信息的对市场的透明度提高银行间的可比性8国外主要风险管理标准巴巴塞尔新资本协议国外主要风险管理标准巴巴塞尔新资本协议2004年6月，巴塞尔委员会发布了统一资本计量和资本标准的国际协议：修订框架，新协议将会对整个国际金融市场产生深远的影响：签署新协议的100多个国家的银行、证券公司、基金公司、资产管理公司、保险公司等都会受到直接或间接的影响。我国于1996年加入了巴塞尔成员国行列，标志着我国银行业接受了巴塞尔协议的要求。财务稳定性财务稳定性内部控制风险管理与内部审计的关系和整合沟通及协商沟通及协商监控及评价监控及评价9 9建立风险评估基础建立风险评估基础内外部基础信息，包括对公司目标的了解和信息掌握风险管理基础设定识别风险识别风险分析风险分析风险现有风险结构影响程度 可能性风险值整合风险整合风险评估风险评估风险应对风险应对风险 评估各种可能方案国外主要风险管理标准：澳新标准框架国外主要风险管理标准：澳新标准框架澳新标准是由澳大利亚与新西兰联合标准委员会发布的关于风险管理的一个标准。该标准主要建立了一个风险管理的基础框架，为企业提供一个通用的建立和实施有效风险管理流程的指引，强调在实施风险评估工作之前要建立风险评估基础。内部控制风险管理与内部审计的关系和整合1010国外主要风险管理标准：国外主要风险管理标准：COSOCOSO的的ERMERM框架框架2004年9月，COSO正式颁布企业风险管理整体框架，包含4大目标（战略、经营、报告和合规目标）、8个相互关联的要素（内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控）和应用的企业及单位（公司层面、子公司、业务单元和科室）。内部控制风险管理与内部审计的关系和整合保险风险市场风险信用风险流动性风险操作风险支柱支柱1投资规则执行定量要求定量要求准备金最低资本金要求支柱支柱2(监管者的能力和职权,活动领域)控制监管者复核监管者复核定性要求金融服务法规监管支柱支柱3竞争相关因素披露市场约束市场约束透明度披露要求国外主要风险管理标准：偿付能力国外主要风险管理标准：偿付能力 （SolvencySolvency IIII）2003年4月，欧盟保险委员会(European Insurance Committee)会议确定了偿付能力的基本概念和原则。修改定稿的偿付能力将于2011年10月提交英国金融服务管理局（FSA），预计可于2012年10月正式实施。这也将可能成为我国保险行业未来的趋势。SOLVENCY II将Solvency II嵌入业务11内部控制风险管理与内部审计的关系和整合时间时间机构机构标准标准2005年银监会商业银行市场风险管理指引2006年国资委中央企业全面风险管理指引2006年银监会商业银行合规风险管理指引2007年银监会商业银行操作风险管理指引2007年保监会保险公司风险管理指引2009年银监会商业银行流动风险管理指引2009年银监会商业银行声誉风险管理指引2009年银监会商业银行信息科技风险管理指引2010年保监会人身保险公司全面风险管理实施指引1212国内主要风险管理规定国内主要风险管理规定内部控制风险管理与内部审计的关系和整合1313国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引战略风险信息财务风险信息市场风险信息运营风险信息法律风险信息风险管理初始信息风险辨识风险分析风险评价风险解决具体目标所需的组织领导所涉及的管理及业务流程以及资源等风险事件发生前、中、后所采取的应对措施以及风险管理工具部门和业务单位自查和检验风险管理职能部门检查和检验内部审计部门监督评价中介机构评价风险管理流程风险评估风险管理解决方案风险管理的监督与改进风险承担风险规避风险转移风险转换风险对冲风险补偿风险控制风险管理策略董事会就全面风险管理工作的有效性对股东（大）会负责风险管理委员会对董事会负责总经理对全面风险管理工作的有效性向董事会负责设立专职部门或确定相关职能部门履行全面风险管理职责董事会下设立审计委员会，内审部门对审计委员会负责其他职能部门及各业务单位接受风险管理职能部门和内部审计部门的组织、协调、指导和监督指导和监督其全资、控股子企业风险管理组织体系信息技术应用于风险管理实践风险管理信息系统保障风险信息量化值的要求风险管理信息系统的功能要求风险管理信息系统应该实现跨部门的集成与共享风险管理信息系统应确保安全、稳定运行风险管理信息系统的建设与更新风险管理体系风险管理信息系统风险管理文化风险管理文化建设的目标和任务风险管理文化的内涵风险管理文化传播和培育的方法中央企业全面风险管理指引内部控制风险管理与内部审计的关系和整合1414风险管理流程风险管理流程纵观以上国际国内的风险管理标准和指引，我们可以看到：风险管理的框架和概念存在着多个流派，风险管理框架和风险管理语言的不统一；多种风险管理框架造成多重的监管标准要求，使得风险管理在实务界存在重复投资和资源浪费现象，最后导致损失的是企业。我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。内部控制风险管理与内部审计的关系和整合理同经营理同经营规划和战规划和战冗余冗余劲高效的劲高效的 略制定相略制定相 综合风险转综合风险转结合结合风险评估风险评估流程流程优化风险优化风险争优势争优势保护和提升保护和提升企业价值企业价值牌形象牌形象1515企业风险管理的作用企业风险管理的作用裁减裁减活动活动将风险管将风险管实施更强实施更强建立竞建立竞 管理成本管理成本定因素定因素移和风险移和风险接受决策接受决策正确厘定交易正确厘定交易固有风险的价固有风险的价格格协调风险偏好与战协调风险偏好与战略的关系，确保两略的关系，确保两者间匹配者间匹配提高应对变革的提高应对变革的就绪程度就绪程度减少经营损减少经营损失和意外事失和意外事件件改善合规和改善合规和风险应对措风险应对措施施改善对全改善对全企业共同企业共同风险的管风险的管理理改善资本改善资本利用及资利用及资源调配源调配确保风险承确保风险承担与核心业担与核心业深化对影深化对影响收益和响收益和资本的风资本的风险认识险认识务竞争力相务竞争力相符符保护声保护声誉和品誉和品引入系统引入系统化的风险化的风险评估流程评估流程，提高管理，提高管理层对风险管层对风险管理的信心理的信心改善经改善经营绩效营绩效预见和预见和沟通绩沟通绩效目标效目标中固有中固有的不确的不确企业风险管理的价值企业风险管理的价值主张：主张：企业风险管理除推动管理层的风险管理能力日趋成熟以外，还从以下三方面帮助管理层保护和提升企业价值：建立可持续的竞争优势；优化风险管理成本帮助管理层改善经营业绩内部控制风险管理与内部审计的关系和整合16161通过评估重大事件发生的可能性及其影响效应，以及提出预防这些事件发生或管理这些事件（如确实已经发生）影响的响应措施，减少绩效的不稳定性。减少绩效的不稳定性2当风险管理的职能部门不止一个，而要管理的风险也不止一种时，就需要有一个通用的框架。同时也可回答投资者经常提出的问题：“有哪些风险，怎么管理这些风险，你又是怎么知道这些风险的?”协调和整合风险管理的职能部门和管理程序3投资者可评价企业在了解和管理风险方面的能力，以便对照所承受的风险，粗略地评估自己的投资回报是否足够丰厚。增强投资者的信心4提升企业识别风险、确定风险轻重缓急次序和规划风险的能力，合理调配企业资源。响应不断变化的业务环境企业风险管理的作用（续）企业风险管理的作用（续）企业风险管理有助于管理层协调风险偏好与企业战略之间的匹配关系，强化风险应对决策，减少营运意外事件和损失，识别和管理贯穿整个企业的风险，建立抵抗多重风险的综合响应预案，抓住机遇及改善资本配置。内部控制风险管理与内部审计的关系和整合1717目录目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制风险管理与内部审计的关系和整合内部审计演进内部审计演进控制纠正与管理层合作价值创造实行风险和控制自我评估中间阶段流程改进企业全面风险管理持续的风险管理风险咨询舞弊防范财务/合规性审计合规性价值保护关注交易/资产保护相关风险范围流程分析&最佳实务操作有限的全面的1818内部控制风险管理与内部审计的关系和整合风险评估及风险评估及建立模型建立模型制定内部制定内部审计方案审计方案提交结论及提交结论及建议建议执行内部执行内部审计测试审计测试内部审计内部审计建立内部建立内部审计测试审计测试德勤内部审计模型德勤内部审计模型审计准备审计准备内部控制风险管理与内部审计的关系和整合2020目录目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制风险管理与内部审计的关系和整合目标设定目标设定事项识别事项识别风险评估风险评估风险应对风险应对内部控制和风险管理的框架：内部控制和风险管理的框架：COSOCOSO框架的演进框架的演进监控监控子子公公业业 司司务务分分 单单支支 位位企企 机机业业 构构层层面面内部环境内部环境信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境控制活动控制活动信息与沟通信息与沟通监督监督COSO内控框架内控框架(1992)COSO风险管理框架风险管理框架(2004)2121内部控制风险管理与内部审计的关系和整合目前对风险管理与内控认识存在的误区目前对风险管理与内控认识存在的误区把内部控制与全面风险管理体系的建设理解为建章立制。内部控制体系和全面风险管理体系是相互独立的。内部控制和全面风险管理的作用被夸大。内部控制与全面风险管理理念在企业实践落地难。误区误区 内置于企业日常管理过程中，是一种常规运行的机制。整合建设，但根据企业特点各有侧重。无论多么先进的内部控制和风险管理体系都只能为企业相关目标的实现提供合理的而非绝对的保证。新事物的导入有个过程，要认清风险管理成熟度。正解2222内部控制风险管理与内部审计的关系和整合风险管理与内部控制的关系风险管理与内部控制的关系理论界对内部控制与风险管理的关系有两种观点：q 观点1：认为风险管理是内部控制的组成部分q 观点2：认为内部控制是风险管理的组成部分2323内部控制风险管理与内部审计的关系和整合2424风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）我们的看法是：q 如果以风险作为管理的起点，则内部控制是风险的应对，可以理解为控制属于风险管理的实现工具，因此控制包含于风险管理；q 如果认为企业管理的实质是控制，风险管理只是在资源有限性和对象复杂性矛盾下的平衡和导向，那么风险管理可以作为控制系统的一部分；q 从组织结构来看，内部控制和风险管理相应的组织结构是完全一致的，说明二者都应该无缝整合到一定的组织结构中，和其他有关的业务和职能管理共同服务于企业管理。内部控制风险管理与内部审计的关系和整合风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）公司治理、风险管理和内部控制是现代企业管控体制的组成部分。q 公司治理：是现代企业调整所有者和管理者矛盾的体系；q 风险管理：是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；q 内部控制是：现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。现代企业管控体制现代企业管控体制公司治理公司治理风险管理风险管理内部控制内部控制2525内部控制风险管理与内部审计的关系和整合 风险管理：做正确的事 风险管理解决的不仅是流程问题，更是要解决战略决策问题、应急处理问题；不仅要解决当前的问题，更要预测和应对将来可能发生的问题；不但要解决“正确地做事”，关键是还要解决“做正确的事”风险管理更偏向于前端，对影响目标实现的因素的分析、评估与应对，防止重大决策失误，防止出现重大危机问题。内控：正确的做事 内控解决的是流程问题，包括业务流程、管理流程中的风险控制，解决的是“正确地做事”。内部控制更加重视实施，嵌入到企业各业务流程的具体业务活动中，融合在企业的各项规章制度之中，使企业在正常运营过程中自发地防止错误，确保合规和真实，从而合理保证目标的实现。2626风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）内部控制风险管理与内部审计的关系和整合2727风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）我们认为，风险管理不是罗列所有风险，而是一个循环管理的机制，通过识别、评估风险、建立应对措施、对风险进行监控与汇报、针对风险持续改善这个流程，形成风险管理机制，为公司健康发展奠定基础。核心是风险管理文化与意识。内部控制风险管理与内部审计的关系和整合固有风险固有风险 -风险控制措施风险控制措施 =变幻无常的世界变幻无常的世界财务财务声誉声誉法律法规法律法规健康安全环保健康安全环保无处不在的病菌无处不在的病菌病毒库病毒库企业可接受的风企业可接受的风险险和管理缺陷和管理缺陷如何积极应对如何积极应对病痛病痛服药服药/手术手术企业的管控体系企业的管控体系预防或预防或积极应对及积极应对及恢复恢复提升提升人体免疫系统人体免疫系统自身免疫自身免疫/锻炼锻炼剩余风险剩余风险（风险敞口）（风险敞口）2828风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）内部控制风险管理与内部审计的关系和整合2929风险管理与内部控制的关系（续）风险管理与内部控制的关系（续）风险与内控要适度，过度的控制和过度的风险都会给公司带来不利影响。过度的控制过度的控制官僚作风官僚作风 生产力生产力复杂性复杂性周期周期非增值性活动非增值性活动过度的风险过度的风险资产的损失资产的损失业务决策不流畅业务决策不流畅不守法不守法丑闻丑闻内部控制风险管理与内部审计的关系和整合内部审计与内部控制的关系内部审计与内部控制的关系判定内部控制设计的有效性和执行的有效性，定期评估内控内外审计监控内控缺失弥补内部审计部门对内部控制履行事后检查监督职能。内部审计部门定期对公司内部控制的健全性、合理性和有效性进行审计，审计范围应覆盖公司所有主要风险点。审计发现的内控缺陷向同级内控管理职能部门反馈，确保内控缺陷及时彻底整改。3030内部控制风险管理与内部审计的关系和整合内部审计与风险管理的关系内部审计与风险管理的关系内部审计部门在审计委员会的领导下作为企业风险管理的第三道防线，针对公司已经建立的风险管理流程和各项风险的控制程序和活动进行监督。3131内部控制风险管理与内部审计的关系和整合内部控制和风险管理体系对内部审计的作用内部控制和风险管理体系对内部审计的作用q 内部审计在制定审计计划的过程中，可以利用风险评估结果，对于高风险领域投入更多的审计资源；q 对于内部控制自评估发现的缺陷，内部审计可以借鉴利用，提高内部控制审计质量；q 内部控制对业务流程的梳理和关键控制的确定可以加深内部审计对于企业业务的深入理解；q 风险管理体系中识别的风险，可以为审计业务的开展提供很好的参考。3232内部控制风险管理与内部审计的关系和整合实践中的做法实践中的做法业务部门业务部门搭建风险与内控管理框架，搭建风险与内控管理框架，确定风险分类和路径：确定风险分类和路径：协助各部门、单位识别各种风险；收集风险信息并定期更新风险数据库，对风险进行分类，进行内控体系建设和操作风险管理；共享内审部门风险导向型审计计划的同时，及时从内审部门获取各项评估或者审计的结果，并据其对风险做进一步评估及排序。风险与风险与内控管理部门内控管理部门按照既定规程操作和运营：按照既定规程操作和运营：向风险管理部门提供风险信息；定期确认风险控制矩阵的持续正确，并对过时的内容提出更新建议；在内审部门牵头下进行测试以验证控制设计有效性；开展自我评估，自我确认关键控制执行是否有效；在内控执行力评估的过程中，配合内审部门开展运行有效性测试的工作。内部审计内部审计部门部门对管理层内部控制自我评估工作进行监督：对管理层内部控制自我评估工作进行监督：结合风险评估制定年度审计计划，在高风险领域投入更多的审计资源 在内控执行力评估中，进行独立评价，审阅内控缺陷汇总及整改情况，并对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。3333内部控制风险管理与内部审计的关系和整合德勤关于建立健全内部控制体系的实施方法论德勤关于建立健全内部控制体系的实施方法论3434内部控制风险管理与内部审计的关系和整合3535目录目录对内部控制的理解风险管理与其在企业管理中的作用内部审计及其在企业管理中的作用内部控制、风险管理和内部审计的关系与整合风险导向的内部控制体系的构建内部控制风险管理与内部审计的关系和整合建设内部控制体系的路线图建设内部控制体系的路线图内控评价内控评价制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内控梳理对标内控梳理对标成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计内控审计进行模拟审计提供所需证据出具管理声明披露审计报告信息化建设信息化建设管理层持续整改管理层持续整改/内部监督持续开展内部监督持续开展36内部控制风险管理与内部审计的关系和整合37各阶段工作解决方案分享内控梳理对标各阶段工作解决方案分享内控梳理对标内部控制风险管理与内部审计的关系和整合38成立专属部门确定梳理范围确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标风险应对风险应对变革管理变革管理内部审计机制内部审计机制控制活动控制活动治理结构、治理结构、内部机构设置内部机构设置与职责分配与职责分配企业文化与企业文化与道德规范道德规范人力资源政策人力资源政策目标设定目标设定风险识别风险识别风险分析风险分析内部信息内部信息收集与沟通收集与沟通外部信息外部信息收集与沟通收集与沟通反舞弊机制反舞弊机制日常监督日常监督专项监督专项监督人力资源人力资源合同合同资金资金销售销售全面预算全面预算工程项目工程项目信息系统一信息系统一般控制般控制财务报告财务报告存货存货固定资产固定资产管理管理信息与沟信息与沟通通采购采购 风险评估风险评估内部控制内部控制内部环境内部环境各阶段工作解决方案分享内控梳理对标（续）各阶段工作解决方案分享内控梳理对标（续）从内部控制五要素五要素出发梳理企业内控，关注重要业务事项和高风险领域：内部控制风险管理与内部审计的关系和整合成立专属部门确定梳理范围实施风险评估实施风险评估整理现有制度辨识内控环节对标管理规范 可运用适当的风险识别工具，逐步细化风险点和管理手段 充分运用风险管理工具，强化风险管理，提升经营水平，并为内控体系建设和内控评价奠定良好基础39各阶段工作解决方案分享内控梳理对标（续）各阶段工作解决方案分享内控梳理对标（续）风险识别与评估的依据：内控梳理对标内控梳理对标 应重点关注18个内部控制应用指引中所列示的风险内部控制风险管理与内部审计的关系和整合40各阶段工作解决方案分享内控梳理对标（续）各阶段工作解决方案分享内控梳理对标（续）风险识别和管理工具企业风险地图内控梳理对标内控梳理对标成立专属部门确定梳理范围实施风险评估实施风险评估整理现有制度辨识内控环节对标管理规范内部控制风险管理与内部审计的关系和整合成立专属部门确定梳理范围确定梳理范围整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范企业现有制度访谈内容41各阶段工作解决方案分享内控梳理对标（续）各阶段工作解决方案分享内控梳理对标（续）依托最佳实践和控制数据库进行对标梳理内控梳理对标内控梳理对标内部控制风险管理与内部审计的关系和整合控制活动编写的原则：4W+1H WHO:哪个岗位执行控制活动 WHEN:该控制活动发生的时间或频率 WHERE:该控制活动发生的地点 WHAT:根据什么进行控制如制度、单据、报告、电子邮件、系统数据等 HOW:控制活动的具体内容是如何？如何操作？42内控梳理对标内控梳理对标成立专属部门确定梳理范围确定梳理范围整理现有制度整理现有制度辨识内控环节辨识内控环节对标管理规范对标管理规范各阶段工作解决方案分享内控梳理对标（续）各阶段工作解决方案分享内控梳理对标（续）内部控制风险管理与内部审计的关系和整合内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件 记录内部控制缺陷成因、表现形式和影响程度 以控制目标为核心，打破部门和流程局限，设计适合企业运营特点的整改方案 明确整改责任部门与责任人 明确整改完成期限 追踪整改进度 保留整改证据43各阶段工作解决方案分享内控整改固化各阶段工作解决方案分享内控整改固化 建立内部控制缺陷认定汇总表内部控制风险管理与内部审计的关系和整合44各阶段工作解决方案分享内控整改固化（续）各阶段工作解决方案分享内控整改固化（续）内部控制手册、业务流程图与流程文件内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内部控制风险管理与内部审计的关系和整合内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件 版式、内容更新：制度中规定的内容切合现行业务现状以及管控现状，实质内容不需更新，但是需要依据公司管理层的要求对行文或格式进行调整；制度中规定的相关内容已经不适用于公司运作现状，需要对相关内容进行调整更新，调整更新的方式包括：重新编写部分内容，对某些制度中的相关内容按照实际情况，进行删减、合并或者替换等；制度新增：公司无此制度，建议新增的制度名称更新：根据管理制度覆盖面，内容和细致度等进行分层级划分，统一制度名称。如划分为准则或规则、制度、管理办法、细则或程序、及其他等。45各阶段工作解决方案分享内控整改固化（续）各阶段工作解决方案分享内控整改固化（续）管理制度更新内部控制风险管理与内部审计的关系和整合46各阶段工作解决方案分享内控整改固化（续）各阶段工作解决方案分享内控整改固化（续）内控活动与制度对接内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内部控制风险管理与内部审计的关系和整合47各阶段工作解决方案分享内控整改固化（续）各阶段工作解决方案分享内控整改固化（续）内控与制度智能化查询软件内控整改固化内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件内部控制风险管理与内部审计的关系和整合制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告48制定评制定评价工作价工作方案方案组成评组成评价工作价工作组组实施现实施现场测试场测试认定控认定控制缺陷制缺陷汇总评汇总评价结果价结果编报评编报评价报告价报告各阶段工作解决方案分享内控评价各阶段工作解决方案分享内控评价解决方案一解决方案一：基于指引，实施方案的最低要求：内控评价内控评价内部控制风险管理与内部审计的关系和整合控制活动编号控制活动IV-CA-104采购预报与收货清单信息核对一致后，收货组人员对货物进行初步检查，检查无误后在收货凭证上签字；对于检查有误的情况，填写业务联系单，经业务主管及分管仓储的副总监审核确认后，通知采购中心，并根据其回复意见处理。集团项目组测试集团项目组测试截止上次测试累计有效样本量0 个总样本量具体测试方法25个获取存货收货凭证，检查：1.与该批存货对应的采购预报、收货清单上信息一致；2.收货组人员在收货凭证上签字确认；若存在检查有误的情况，还需获取业务联系单并检查：1.业务联系单依次经过业务主管及分管仓储分总监审核；2.采购中心根据管理层意见执行相关处理。测试属性样本描述预报、收货清单上信息上签字确认一致次经过业务主管及分管仓储分总监审核；解释同时.采购中心根据管理层意见执行相与该批存货对应的采购收货组人员在收货凭证 检查有误的情况，业务联系单依 样本属性 未达标样本底稿索引关处理第一轮测试样本：1）XXX集团-2009.10.23-存货收款凭证编号X235498号，金额RMB 2,394,000元是是不适用正常不适用控制测试底稿模版示例控制测试底稿模版示例内部控制风险管理与内部审计的关系和整合制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告50业务业务部门部门自评自评组成组成评价评价工作工作组组实施实施现场现场测试测试认定认定控制控制缺陷缺陷汇总汇总评价评价结果结果编报编报评价评价报告报告制定制定评价评价工作工作方案方案建议：在内控评价部门及其工作小组开展内部控制评价工作之前，编制内部控制自评问卷，交由各业务部门各控制责任人，自行梳理相关内部控制、检查内部控制的有效性并填写内部控制自评问卷。内控评价部门及其工作小组在各业务部门自评的基础上开展内部控制评价工作。各阶段工作解决方案分享内控评价（续）各阶段工作解决方案分享内控评价（续）解决方案二解决方案二：基于指引，实施方案的建议要求：内控评价内控评价内部控制风险管理与内部审计的关系和整合内部控制自我评价问卷模版示例内部控制自我评价问卷模版示例内部控制风险管理与内部审计的关系和整合52业务部业务部门自评门自评组成评组成评价工作价工作组组实施现实施现场测试场测试认定控认定控制缺陷制缺陷汇总评汇总评价结果价结果编报评编报评价报告价报告制定评制定评价工作价工作方案方案建议：在内控建立阶段，就将企业内部控制固化至信息系统中，在信息系统中为各内部控制落实责任人，审阅人、自评记录以及测试记录、结果汇总、缺陷跟踪等功能配置，使得上述“解决方案二”的工作完全可以在线维护，在线开展！制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告各阶段工作解决方案分享内控评价（续）各阶段工作解决方案分享内控评价（续）解决方案三解决方案三：基于指引，实施方案的最佳要求：内控评价内控评价运用信息系统，将工作运用信息系统，将工作IT化化内部控制风险管理与内部审计的关系和整合方案方案要求要求特点特点一最低要求满足合规二推荐要求有利于提高业务部门的意识和责任感，为管理提升和未来走向全面风险内控打下基础三努力方向，最佳要求此为方案二的增强版，用IT系统固化，企业竞争能力融入管理体系中而不是个别领导脑袋中。内控评价内控评价53解决方案一解决方案一Vs解决方案二解决方案二Vs解决方案三解决方案三制定内控评价办法开展内控评价跟踪缺陷整改编制内控评价报告各阶段工作解决方案分享内控评价（续）各阶段工作解决方案分享内控评价（续）内部控制风险管理与内部审计的关系和整合内控审计内控审计进行模拟审计提供所需证据出具管理声明披露审计报告有备无患：聘请外部审计师提前进行模拟审计 更系统化的测试方法，有利提高内部团队水平 更专业化的整改建议，有利完善内部控制环节 更客观化的缺陷评定，有利了解审计师结论 更全面化的程序预演，有利资料准备与效率提高54各阶段工作解决方案分享内控审计各阶段工作解决方案分享内控审计内部控制风险管理与内部审计的关系和整合成内部控制审计与企业相关的风险相关法律法规和行业概况企业组织结构、经营特点和资本结构等相关重要事项企业内部控制最近发生变化的程度相关制度政策及内部控制文档已注意到的内部控制缺陷与内部控制有效性相关的证据自我评价工作底稿进行模拟测试提供所需证据出具管理声明披露审计报告内控审计内控审计55各阶段工作解决方案分享内控审计（续）各阶段工作解决方案分享内控审计（续）企业应提供详尽的以下信息将有利于注册会计师省时高效的完内部控制风险管理与内部审计的关系和整合 企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论 企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础 企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷 企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决 企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素内控审计内控审计进行模拟测试提供所需证据出具管理声明披露审计报告56各阶段工作解决方案分享内控审计（续）各阶段工作解决方案分享内控审计（续）管理声明的内容应包括 企业董事会认可其对建立健全和有效实施内部控制负责内部控制风险管理与内部审计的关系和整合57最新理念最新理念 基于岗位的风险内控推进体系基于岗位的风险内控推进体系公司层面控制信息系统流程保费流程理赔流程资金管理流程投资管理流程再保险流程精算流程内部控制风险管理与内部审计的关系和整合按岗位在线帮助在线提示在线防错风险事件风险事件知识模版总库风险案例风险案例关键控制点关键控制点具体的制度和细则具体的制度和细则风险案例行政监管处罚法规和监管要求的变化风险事件经营管理系统和其他业务系统58最新理念最新理念 基于岗位的风险内控推进体系（续）基于岗位的风险内控推进体系（续）内部控制风险管理与内部审计的关系和整合本岗位风险本岗位风险操作人员将风险确认作为操作人员将风险确认作为业务操作步骤，必须确认业务操作步骤，必须确认完毕才能操作业务。完毕才能操作业务。操作失当操作失当超授权超授权假赔案假赔案客户流失、低续客户流失、低续约率约率外包机构外包机构资质不当资质不当不合理的不合理的查勘费用查勘费用机构、人力资源机构、人力资源变动变动费用管理不善费用管理不善（超支、虚列等）（超支、虚列等）.业务系统业务系统友情提示友情提示：操作人员可以在操作画面直操作人员可以在操作画面直接获取对应提示或警示。接获取对应提示或警示。本岗位的关键控制本岗位的关键控制59最新理念最新理念 基于岗位的风险内控推进体系（续）基于岗位的风险内控推进体系（续）强制性提示强制性提示2023-2-3内部控制风险管理与内部审计的关系和整合