内部控制理论和实务课件

内部控制理论和实务上海国家会计学院袁敏内容概述内控理论更新内控实务问题剖析结语Copyright@YuanMin概述背景资本市场健康与审计业可持续发展SOX法案出台其他资本市场的类似要求中国财政部基本规范及配套指引/解释行政事业单位内控行业内部控制一个过程五部委：统一认识仅概念就争论很久，现在还在争论——边界在哪里？董事会是否应被控制；把资产安全纳入——立足于中国Copyright@YuanMin过程美国：92年COSO框架04年风管框架08年还是出了危机中国：在路上，早着呢——期待不要太高加强培训：中石化2002年就参加调研，对SOX法案提意见，2005年真正做，2006年评价，动辄数万人培训，但内控人才（专业）还是很少基本规范后，不断打补丁（监管层面）——监管不可缺失、内部监督不可缺失，不断跟进与提升内审部的地位：内控/风管，法制方面提的很高，但实务部门很低——“不中用的人”？386199部队？Copyright@YuanMin过程内控如何与公司治理/业务/风险控制/信息化/专门人才/文化/管理等融合起来？ISO9000——质量管理与质量保证系列标准（1987）ISO14000——环境管理体系系列标准（1996）ISO18000——职业健康安全卫生管理QHSE/ERP/全面预算的整合统一语言，企业的业务流程应只有一套，与不同体系挂钩与融合真正的内控和风管应该与企业粘合在一起，内嵌于业务Copyright@YuanMin404条款的适用对象及要求ICOFR的要求日发行方状况管理层报告外部审计鉴证美国发行方大加速编报公司或减速编报（市值大于7500万美元）2004年11月15日2004年11月15日非加速编报公司2007年12月15日2010年7月21日D-F永久豁免外国私募发行方大加速编报（7亿美元市值以上）2006年7月15日2006年7月15日加速编报（7500万-7亿）2006年7月15日2007年7月15日非加速编报(低于7500万）2007年12月15日D-F永久豁免新上市公司（包括美国及外国私募公司）大加速编报或加速编报在IPO后的次年IPO后的次年非加速编报IPO后的次年永久豁免Copyright@YuanMin国资委、财政部关于加快购建央企内控体系有关事项的通知2012.5.7，国资发评价[2012]68号一、提高思想认识，切实加强对内控工作的组织领导二、分类分步推进，全面启动内控建设与实施工作三、立足企业实际，建立健全内控体系四、采取得力措施，确保内控有效执行五、加强评价与审计，促进内控持续改进与优化六、按时报送评价报告，加强出资人监督检查上市公司现状财务会计基础工作薄弱，财务造假屡禁不止目标定位不清晰战略管理流于形式经营效率效果低下违法乱纪现象频出……copyright◎袁敏一、内控理论更新一、内控理论更新COSO的更新风险评估其他报告:董事会监控内部审计的关注可持续发展的关注首次开展风险管理与KRI的建立Copyright@YuanMin控制环境风险评估控制活动信息&沟通监控活动COSO对有效内控基本原则的更新1.诚信和价值观（质量也是价值观）履行监控职责建立组织架构（复星+/通用）、授权批准和职责匹配胜任能力（选/马+育+用+留+辞）强化受托责任Enforcesaccountability明确合适的目标识别并分析风险评估舞弊风险识别并分析重要的变更选择并建立控制活动11.选择并建立有关技术的一般控制通过政策和程序配置这些控制使用相关的信息内部沟通外部沟通开展持续或单独的评价对缺陷进行评估并进行沟通内部控制与目标设定——经营目标管理流程部分建立不适用内部控制部分详细说明经营部管理层评估与存货周转目标相关的经营目标是否恰当，如果不恰当，则向目标设定流程提供反馈设立公司寻求提高业绩，通过增加存货周转率至每年12次，同时意识到较低的存货水平可能导致更多的客户缺货通知使用经营部管理层识别并评估达成存货周转率1年12次的风险更新描述不同的控制如何影响原则，如:控制环境1.组织展示出对诚信和价值观的义务.要素原则内嵌于其他要素中的控制可以影响该原则人力资源复核员工的确认函来评估执业准则得到组织内员工的理解并遵循控制环境管理层通过举报热线捕获的潜在偏离，获得并检查相关的数据和信息来评估信息质量信息&沟通内部审计单独评价控制环境，考虑员工行为和举报热线结果，并报告其结论监控活动我国企业内部控制规范体系内控基本规范内控应用指引内控评价指引内控审计指引企业注册会计师1：1个框架2：2个层面/2大原则3：3类指引/3种缺陷4：4个环节/步骤5：5个目标/5个要素/5个原则内部环境内部环境是企业实施内部控制的基础，一般包括：治理结构内部机构设置与权责分配企业文化人力资源政策内部审计等。copyright◎袁敏[审计委员会]

在董事会下设立审计委员会。审计委员会成员应当具备相应的独立性、良好的职业操守和专业胜任能力。上市公司的审计委员会负责人原则上应当由独立董事担任，非上市公司的审计委员会负责人应当由独立于企业管理层的人员担任copyright◎袁敏[内部机构设置]

内部机构的设置应当科学合理，明确管理层、职能部门、分支机构和基层作业单位的职责权限，将权利与责任分解到各责任单位内部管理手册组织结构图业务流程图岗位描述权限指引等

copyright◎袁敏[人力资源政策]人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职；（二）员工的薪酬、考核、晋升与奖惩；（三）关键岗位员工的强制休假制度和定期岗位轮换制度；（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（五）其他有关人力资源管理的政策。copyright◎袁敏[员工聘用]

将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，重视并加强员工培训，不断提升员工素质。建立并实施对全体员工的激励和约束机制，明确考核标准，严格考核程序，落实奖惩办法，实行优胜劣汰，促进员工责、权、利的有机统一。copyright◎袁敏[内部审计]加强内部审计工作，保证内部审计机构及其工作开展的独立性。内部审计机构与财会机构应当相互制衡。内部审计机构对审计过程中发现的与内部控制相关的重大问题，有权直接向董事会及其审计委员会报告。copyright◎袁敏风险识别与实现控制目标相关分内部风险和外部风险确定风险承受度整体业务层面copyright◎袁敏风险识别（续）内部风险关注因素董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素组织结构、经营方式、资产管理、业务流程设计、财务报告编制与信息披露等管理因素财务状况、经营成果、现金流量等财务因素；研究开发、技术投入、信息技术运用等自主创新因素；营运安全、员工健康、等安全环保因素；其他有关内部风险因素。copyright◎袁敏风险识别（续）外部风险关注因素经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素法律法规、监管要求等法律因素安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；技术进步、工艺改进等科学技术因素；其他有关外部风险因素。copyright◎袁敏[风险分析的概念]对已识别的风险进行分析，建立与实际运营情况相适应的风险等级划分标准。风险等级划分标准包括定性分析标准、定量分析标准或两者相结合的分析标准。从风险发生的可能性及其影响程度两个方面对风险进行排序，确定应重点关注的风险。copyright◎袁敏[风险应对策略]根据经管理层确定的风险分析结论，结合风险因素、企业整体风险承受能力以及业务层面的可接受风险水平，合理确定并综合运用风险应对策略。风险应对策略一般包括风险规避、风险降低、风险转移和风险承担等。copyright◎袁敏控制活动

控制活动是企业根据风险评估情况综合采取的具体控制措施。copyright◎袁敏控制措施职务分离授权审批财产保护会计系统分析与报告预算控制绩效考评等copyright◎袁敏[职责分离控制]

合理设置职能部门和工作岗位，明确各部门、各岗位的职责权限，形成各司其职、各负其责、相互制约、便于考核的工作机制。copyright◎袁敏[授权审批控制]

根据职责分工，明确各部门、各岗位办理经营业务与事项的权限范围、审批程序和相应责任等。copyright◎袁敏授权一般包括常规授权和特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权；特别授权是指企业在特殊情况、特定条件下进行的临时性授权。copyright◎袁敏[财产保护控制]

采取财产记录、实物保管、定期盘点、账实核对等措施，限制未经授权的人员对相关财产的接触和处置，确保财产安全。copyright◎袁敏[会计系统控制]

根据国家统一的会计制度，健全财会机构，制定适合本企业的内部会计制度，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计信息真实完整。copyright◎袁敏[分析与报告控制]

建立和完善内部报告制度，明确相关信息的采集、分析、报告和处理程序，及时提供业务和财务重要信息，利用因素分析、对比分析、趋势分析等方法，定期对企业经营管理活动进行分析，发现存在的问题，查找原因并提出改进意见和应对措施。copyright◎袁敏[绩效考评控制]

科学设置考核指标体系和考核标准水平，对各部门和员工工作业绩进行客观评价，实现相应的奖惩。copyright◎袁敏信息与沟通

信息与沟通是企业及时、准确、完整地采集和传递与内部控制相关的各种信息，并使这些信息以适当的方式在企业内部、企业与外部之间进行有效沟通和正确使用。copyright◎袁敏[内部信息采集]

通过财务会计资料、经营管理资料、内部调研报告、专项信息、报刊网络等资料或渠道，获取内部信息。copyright◎袁敏[外部信息采集]

通过立法机关、监管部门、中介机构、行业协会组织、业务往来单位、市场调查、外部来信来访、网络媒体等渠道或方式，获取外部信息。copyright◎袁敏[内部沟通]

建立通畅的内部沟通渠道，实现内部信息、外部信息在企业内部的及时、准确传递，促进董事会、管理层和企业员工正确履行职责。内部沟通应重点关注来自不同部门和岗位、不同渠道的相关信息核对相符和正确使用。copyright◎袁敏[外部沟通]

建立良好的外部沟通渠道，对外部有关方面的建议、需求、投诉等信息进行记录，并及时予以处理、反馈。外部沟通应重点关注与投资者、债权人、客户、供应商、中介机构和监管部门等有关方面的沟通。copyright◎袁敏[信息技术控制]

结合实际情况和信息技术应用状况，建立与经营管理相适应的自动控制，提高业务处理效率，减少或消除人为操纵因素。加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运行。copyright◎袁敏[反舞弊机制建立]

建立教育、制度与监督并重，惩防并举、重在预防的反舞弊机制，明确有关部门在反舞弊工作中的职责权限，规范反舞弊调查处理程序，确定反舞弊的重点领域、关键环节和主要内容。copyright◎袁敏内部监督

内部监督是企业对内部控制的有效性进行检查、评价，并不断加以改进。copyright◎袁敏[检查评价主体]

授权审计委员会、内部审计机构或者履行内部控制监督职责的其他机构对内部控制有效性进行检查和评价。copyright◎袁敏[检查方式]

结合企业实际情况，采取适当的程序和方法进行内部控制检查。内部检查方式主要包括日常检查和专项检查。日常检查是指企业对建立并实施内部控制的整体情况所进行的常规的、连续的检查；专项检查是指企业对建立并实施内部控制的某一方面或者某些方面的情况进行的有针对性的、不定期的检查。copyright◎袁敏[缺陷评估与报告]

制定内部控制缺陷认定标准，对在检查过程中发现的内部控制缺陷进行评价，并采取适当的形式及时进行报告。内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指内部控制的设计存在漏洞，不能预防和及时发现错误和舞弊的情形；运行缺陷是指内部控制的运行存在弱点和偏差，不能及时发现并纠正错误和舞弊的情形。copyright◎袁敏[缺陷分析]

分析内部控制缺陷产生的原因，提出和实施整改方案，并对整改结果进行核查和确认。copyright◎袁敏[内控自我评价]

结合内部控制检查情况，定期对企业内部控制建立与实施的有效性进行自我评价，形成书面评价报告，提交董事会及其审计委员会。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定。copyright◎袁敏内控实务问题剖析二、内控实务问题剖析财政部内控解释内控手册例示制度的评价与改进（乔）美国SOX后续GAO的建议DELL/PARCAR/JP.Morgan……中国人治还是法制（董）新华制药/上海金陵/上海家化2012-2014实践Copyright@YuanMin实施内控三、实施内控环节设计环境、活动、手段；涵盖组织架构、业务流程等；三板斧的重要性:职责分工之JPM人员轮换之GAO会计记录之PARCAR+BDH(会议纪要)IT固化执行评价报告……Copyright@YuanMin三、实施内控着手开展内控体系建设目标适当高度重视成立或指定专门工作机构健全风险评估机制梳理风险管控流程完善各项经营管理制度优化内部信息系统建立内控责任与员工绩效考评挂钩制度……Copyright@YuanMin三、实施内控聚焦重点：控股子公司/参股子公司管控RA的确定好的环境组织职责清晰运行结构有效技术支持发挥作用……Copyright@YuanMin三、实施内控从内控到管理企业管理成功的经验：从人治—法制-德治站在企业家的角度看管理（姜）管理理念、经营风格(诚信\价值观\大哥的重要性)员工第一(使命)创新(定位)专注(可持续发展)客户服务(价值实现和认同)……Copyright@YuanMin三、实施内控：从内控到风险管理EnterpriseRiskManagementIntegratedFrameworkInternalControlIntegratedFrameworkFocusesonStrategicObjectivesDealswithalternateriskresponses(riskavoidance,acceptance,sharing,andreduction)DealswithalternateriskreductionCopyright@袁敏仅用于本次课程结语结语：从招式到口诀令狐冲的故事道生一一个框架/一个定义/一个过程一生二风险导向由上至下二生三从舞弊——到内控——管理——人…三生万物……Copyright@YuanMinQ&ACopyright@YuanMin谢谢！讲者：

袁敏

上海国家会计学院教研部

电邮：forym@

学院网页：Copyright@YuanMin财政部解释第1号1.内控规范体系强制性与指导性的关系基本规范是基本原则和总体要求，具有强制性配套指引是进一步补充和说明，具有指导性和示范性，企业可结合所在行业要求和企业自身特点，参照执行Copyright@YuanMin财政部解释第1号2.已完全按照境外监管机构要求建设与实施内控的境内外同时上市公司，是否要执行我国内控规范体系来源于美国，高于美国（考虑我国法律法规体系、公司治理结构、企业管制体制、风险管控实务，不局限于ICOFR,更多突出全面内控要求在满足境外监管机构要求的基础上，对照我国企业内控规范体系，特别是内控基本规范的五目标，对相关控制措施进行适当调整或补充完善Copyright@YuanMin财政部解释第1号3.按企业内控规范体系，是否还需要遵守我国行业主管部门和市场监管部门对内部控制的要求金融类监管机构、交易所基本规范具有普适性，行业主管或兼管部门的规定是特殊要求，也是重要补充企业应按照基本规范及其配套指引规定和行业管理、市场监管的要求，建设与实施内控Copyright@YuanMinX公司内控自我评估报告（深市）内控体系综述内控组织架构内控制度建设情况内部审计体系情况重点控制活动控股子公司的管理控制关联交易控制对外担保控制募集资金使用控制重大投资控制信息披露控制存在问题及整改计划内控整体评价独立董事意见监事会意见Copyright@YuanMinZ公司内控自我评估报告（沪市）公司基本情况内部控制建设基本情况目标设定内部环境建设风险管理控制活动信息与沟通监控与评价管理改进内控评价内部控制有效性认定重大风险失控、严重管理舞弊、重要流程错误持续改进事务所审计情况等Copyright@YuanMin财政部解释第1号4.如何协调好内部控制与风险管理的关系内控规范体系充分吸收了全面风险管理的理念和方法，强调了内控与风险管理的统一内控的目标就是防范和控制风险，促进企业实现发展战略，与风险管理的目标一致两者都要求将风险控制在可承受范围之内，因此两者不对立，而是协调统一的整体实际工作中，内控和风险管理工作由不同机构负责，因此可对有关机构和业务进行整合，从工作内容、目标、要求及具体工作执行的方法、程序等方面，将两者有机结合起来，避免职能交叉、资源浪费、重复劳动，降低管理成本，提高工作效率和效果Copyright@YuanMin财政部解释第1号5.对配套指引尚未规范的领域，如何处理？配套指引仅对常见的、一般性生产经营过程的主要方面和环节进行了规范对尚未规范的业务领域，应遵循基本规范的原则和要求，按照内控建设与实施的基本原理和一般方法，从经营目标出发，识别和评估相关风险，梳理关键业务流程，根据风险评估的结果，制定和执行相应控制措施Copyright@YuanMin财政部解释第1号6.如何权衡内部控制的实施成本与预期收益？制度和流程的设计和实施费用、聘请专业机构提供咨询服务费用、建立融入内控要求的信息系统费用、聘请事务所的审计费用等应从提高企业长期效益出发，从促进企业可持续发展出发，将内控作为一项常规性工作，贯穿于管理之中，加大投入按照重要性原则，关注重要业务事项和高风险领域，抓关键控制点集团性企业可采取分类试点、逐步推广的方式，选择下属不同类型的企业试点，形成范本、减少重复建设Copyright@YuanMin财政部解释第1号7.如何协调好内部控制与其他管理体系的关系？内控贯穿于整个企业管理，与其他管理体系相辅相成、密不可分应立足管理现状，全面梳理各项管理制度和管理体系，从管理体制、机制以及落实各级权利责任等方面，将内控要求融入各项管理体系中从总体目标出发，通过培训教育提高经管人员对内控的理解和认识，将内控要求纳入绩效考核体系可利用信息技术固化业务流程，提高业务处理效率和信息共享水平，尽可能减少内控与其他经营管理体系的冲突Copyright@YuanMin财政部解释第1号8.企业如何确定内控缺陷的认定标准？企业自主决定可根据基本规范及配套指引，结合企业规模、行业特征、风险水平等因素，研究确定缺陷的具体认定标准应从定性、定量的角度综合考虑，并保持相对稳定通过不断实践、总结经验对发现的缺陷，应及时分析缺陷性质和产生原因，并提出整改方案，采取适当形式向董事会、监事会或高管层报告…Copyright@YuanMin财政部解释第1号9.是否需设置专门的内控机构？董事会负责建立健全和有效实施应指定专门委员会负责指导内控建设与实施工作一般应成立专门机构负责组织协调内控的建立实施及日常工作对少数企业受制于岗位编制、专业人员等条件限制，目前尚不具备成立专门管理机构的，可暂将其职能划归现有机构，随工作深入和条件成熟，考虑成立专门机构Copyright@YuanMin财政部解释第1号10.如何编制和披露内控评价报告？XX公司20xx年度内部控制评价报告收件人：**公司全体股东一、董事会声明二、内控评价工作的总体情况三、内控评价的范围四、内控评价的程序和方法五、内控缺陷及其认定六、内控缺陷的整改情况七、内控有效性的结论董事长签名+**公司+年月日（具体参见范例）Copyright@YuanMin财政部解释第2号1.企业应如何正确把握内控的组织实施工作？开始时,按照基本规范确定的内控目标、要素、原则和具体要求开展工作，强化组织领导，夯实内控基础董事会负责建立健全和有效实施监事会对董事会建立健全与实施内控进行监督经理层负责组织领导企业内控的日常运行全员参与具体实施内控部门结合实际，制定内控体系建设的分阶段目标，围绕五要素扎实开展工作，深入宣传、认真执行、严格监督、严肃考核，保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率效果，规避生产经营风险随实施工作不断深入，企业应加强内控全员、全面、全过程管理，进一步推动管理创新，不断提升管理水平，有效防控经营风险，保证实现价值目标，最终促进企业实现发展战略Copyright@YuanMin财政部解释第2号2.不同企业应如何把握好内控实施的进度和重点？即将企业或刚刚启动的上市公司、国有企业和集团企业,应按照相关业务主管部门、监管部门等要求加快推动，根据企业实际全面实施；已经在部分下属分公司和子公司建立了较为完善的内控体系的企业，应总结和借鉴已经开展内控建设的分子公司的经验和做法，将其推广至全公司范围已经在全公司范围内建立起覆盖全过程、各层级内控体系的企业，应将工作重点放在内控的持续改进上，充分运用CSA的方法和手段，按照有关要求对实施情况进行常规、持续的监督检查，查找实施中的缺陷与不足，促进其持续改进和不断优化非上市的企业或集团，应从实际情况出发，根据下属公司的经营性质、业务规模等特点制定切实可行的内控实施方案，分类分步推进，全面启动内控建设与实施工作企业集团也可根据业务板块、管理特点等，先试点再推广，逐步建立覆盖集团的内控体系，体现集团管控的要求Copyright@YuanMin财政部解释第2号3.企业应如何改善内控专业人才缺乏的状况？可抽调财会、审计和生产管理等业务骨干开展内控管理工作同时有计划培养内控专门人才（外学）通过参加政府部门、中介机构、企业举办的培训学习等,（内练）让从事内控的专业人员，在工作实践中不断探索学习，以内控基础理论、基本规范及配套指引为指针借鉴其他企业的经验，结合实际，自我学习、自我积累，探索创新，不断提升个人的业务能力和企业内控管理水平（偷师）聘请中介机构开展内控咨询、审计服务时，充分利用中介机构的专业力量，通过业务沟通交流与参与实际运作来锻炼培养Copyright@YuanMin财政部解释第2号4.集团企业应如何确定内控评价的范围？遵循全面性、重要性、客观性原则，在对总部及下属不同业务类型、不同规模的企业进行全面、客观评价的基础上，关注重要业务单位、重大事项和高风险业务重要业务单位：一般以资产、收入、利润等作为判断标准重大事项：一般指重大投资决策项目，兼并重组、资产调整、产权转让项目，期权、期货等金融衍生业务，融资、担保项目，重大的生产经营安排，重要设备和技术引进，采购大宗物资和购买服务，重大工程建设项目，年度决算内大额资金调动和使用，以及其他大额度资金运作事项等高风险业务：经风险评估后确定为较高或高风险的业务，也包括特殊行业及特殊业务，国家法律、法规有特殊管制或监管要求的业务等Copyright@YuanMin财政部解释第2号5.企业在选择中介机构协助开展内控体系建设与实施工作时，应重点考虑哪些因素？原则上立足于行业特点和企业实际，倡导自上而下、自主开展内控建设与实施确有需要选择中介机构协助，可重点考虑：中介机构的专业性，如内控咨询团队的专业知识及项目管理经验服务内容与企业需求的匹配程度，如实施方案是否符合企业实际情况等团队的配置水平，如人员数量是否适当、团队的整体知识结构、过去的成功案例情况及客户评价等服务报价合理性应采取有效方式保护企业核心商业秘密和国家机密，防范泄密风险Copyright@YuanMin财政部解释第2号6.企业应采用何种组织形式开展内控评价工作？内控评价是指董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程，包括日常检查评价和专项检查评价可授权内审机构具体实施定期评价工作成立了专门的内控机构的企业，由内控机购负责协调内控的建立实施及日常管理工作，其工作直接向董事会或类似权力机构负责可组织实施内控评价工作，组织审计、生产管理、财务等专业人员进行全面或某一方面日常和专项检查评价，也可对认定的重大风险进行专项监督，定期出具报告，报董事会或类似权力机构审核也可根据自身特点，成立评价工作的非常设机构，比如抽调内审、内控等相关机构的人员组成评价小组，具体实施还可委托中介机构实施Copyright@YuanMin财政部解释第2号7.企业应如何对待内控评价中发现的缺陷？成因分设计缺陷和运行缺陷设计缺陷，从企业内部管理制度入手查找原因，需要更新、调整、废止的制度要及时进行处理，并同时改进设计，弥补漏洞运行缺陷，分析原因，查找责任人，有针对性地进行整改按影响程度分一般、重要和重大缺陷重大缺陷，董事会予以最终认定，企业及时采取应对策略，切实将风险控制在可承受度之内重要缺陷和一般缺陷，应及时采取措施，避免发生损失企业应编制内控缺陷认定汇总表，结合实际情况对其成因、表现形式和影响程度进行综合分析和全面复核，提出认定意见和改进建议，确保整改到位，并以适当形式向董、监事会或管理层报告造成经济损失的，查明原因，追究责任Copyright@YuanMin财政部解释第2号8.如果事务所将其内控咨询业务和审计业务进行分离后，是否可以为同一企业提供审计和咨询服务？事务所受聘提供咨询或审计服务时，坚持独立性原则，遵守职业道德守则要求，不得与具有网络关系的中介机构同时为同一企业提供内控咨询和审计服务事务所采取内部隔离方式，在内部成立咨询部门和审计部门，两个部门之间相互独立，人员不交叉使用，形式上建立“防火墙”，——难以有效将内控咨询和审计业务进行分离，不符合独立性要求事务所新设具有法人资格的咨询机构，如果新设机构与原事务所构成网络关系，违反独立性原则，不同同时为同一家企业提供咨询和审计服务。Copyright@YuanMin财政部解释第2号9.注册会计师在开展内控审计时如何安排时间？在确定测试的时间安排时，应尽量在接近企业内控自我评价基准日实施测试，实施的测试需要涵盖足够长的时间。企业及时委托事务所开展内控审计业务，保证按期对外披露或报送内控审计报告首次进行，应在当期会计年度的上半年即开始准备该年度的内控审计工作，保证整改后的控制运行足够长的时间对认定为缺陷的业务，如果企业在基准日前对其进行了整改，但整改后的业务控制尚没有运行足够长的时间，CPA应将其认定为内控在审计基准日存在缺陷CPA在接受或开展内控审计业务时应尽早与企业沟通内控审计计划，并合理安排内控测试的时间连续审计，CPA应考虑以前年度执行内控审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内控审计工作方案和时间安排。Copyright@YuanMin财政部解释第2号10.与大、中型企业相比，小型企业在实施内部控制时应有哪些特殊的考虑？小型企业：业务比较单一、所有权和管理权集中、管理层级较少、部门设置简单等根据基本规范及配套指引实施时，在保证有效性的基础上，可结合企业特点进行适当调整管理层级较少，所有权、决策权和管理权较为集中，治理层通常密切参与公司日常经营及管理活动，使企业的控制力和执行力得到了提高，但容易导致决策失误或舞弊风险，因此要提高董事会的集体决策能力，加强企业决策过程的控制应明确内控目标，准确评估经营风险，建立健全各项制度，将决策过程和各项业务流程制度化、规范化明确不同层级部门和人员的权限和职责，强化岗位制衡，做到适度授权和分权重点关注与企业资金、资产、资本、财务报告等关键业务有关的风险的控制Copyright@YuanMin财政部解释第2号10.与大、中型企业相比，小型企业在实施内部控制时应有哪些特殊的考虑？应提高财务、会计和审计人员的素质，培养和聘用内控专门人才，加强对财务会计工作和财务报告的重视程度基于效率的考虑，应提高信息技术的应用，结合业务风险和信息系统风险评估，加强信息系统控制的应用，采取手工控制与自动控制相结合的方式，将风险控制在可承受度之内应建立健全监督机制，持续监控和定期评价内控的有效性，尤其对会计信息、资金运转、资产安全、采购及销售等方面加强监控，及时发现和纠正缺陷，确保内控在企业不同成长阶段、不同环境下的持续有效改进Copyright@YuanMinCOSO的新成果（1）内容：成功的钥匙初始行动步骤持续改进和完善Copyright@YuanMinCOSO的新成果（1）（一）成功的钥匙（1）高层支持是必须的2008年金融危机后，越来越强调董事会对公司风险管理活动的监控职责，例如纽交所的公司治理规则要求：上市公司的审计委员会讨论公司的风险评估和风险管理策略；美国SE