內控評價實施指南
㈠ 如何將《內控手冊》要求融入到企業的管理流程當中
首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。
為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。
--------------轉自新浪微博《馬軍生-內部控制博客》
㈡ 內部控制評價方法有哪些
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
㈢ 求《企業內部控制審計工作底稿編制指南》電子版文檔。
如果誰能提供一套完整的內部控制評價底稿和審計底稿,我付費!
㈣ 內部控制評價方式有哪些
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。
㈤ 商業銀行內部控制評價辦法實施指南的目錄
第一篇 商業銀行內部控制的監管歷程
第一章 商業銀行內部控制的歷史演變
第二章 我國商業銀行內部控制探索
第三章 我國商業銀行內部控制監管與成效
第四章 我國商業銀行內部控制缺陷及監管方向
第二篇 《商業銀行內部控制評價試行辦法》及操作說明
第一章 商業銀行內部控制評價試行辦法
第二章 《商業銀行內部控制評價試行辦法》的主要內容和出台
第三章 《商業銀行內部控制評價試行辦法》的操作說明
第三篇 商業銀行內部控制過程評價示例
第一章 授信業務內部控制過程評價示例
第二章 資金業務內部控制過程評價示例
第三章存款和櫃面業務內部控制過程評價示例
第四章 國際業務內部控制過程評價示例
第五章 中間業務內部控制過程評價示例
第六章 計劃財務活動內部控制過程評價示例
第七章 會計管理活動內部控制過程評價示例
第八章 產品開發活動內部控制過程評價示例
第九章 安全保衛活動內部控制過程評價示例
第四篇 商業銀行內部控制評價案例分析
第一章 商業銀行法人機構內部控制評價案例
第二章 商業銀行分支機構內部控制評價案例
第三章 商業銀行內部控制失敗案例分析
第五篇 商業銀行內部控制的戰略與實踐
第一章 國有商業銀行內部控制的戰略與實踐
健全內控體系強化內控管理建設具有國際競爭力的現代金融企業
中國工商銀行行長 楊凱生
加強內部控制完善內控機制全面提高農業銀行風險管理水平
中國農業銀行行長楊明生
建設系統、動態、主動和可證實的內部控制體系 保障商業銀行穩健發展
中國銀行行長 李禮輝
以股份制改造為契機全面提升商業銀行內部控制能力與水平
中國建設銀行行長 常振明
第二章 股份制商業銀行的內部控制的戰略與實踐
切實加強內控機制建設不斷提高風險管理水平
交通銀行行長 張建國
不斷完善風險內部控制與管理水平努力促進銀行發展戰略和經營目標的順利實現
中國光大銀行行長 郭 友
建立和完善操作風險防範的長效管理機制
招商銀行行長 馬蔚華
關於進一步加強內部控制工作的實踐與思路
上海浦東發展銀行董事長 金運
第三章 城市商業銀行內部控制的戰略與實踐.
商業銀行內部控制體系建設的思考
北京銀行行長嚴曉燕
加快內控體系建設走有質量、有效益的科學發展之路
上海銀行行長 陳辛
強化理念完善體系進一步加強內部控制工作
南京市商業銀行行長 章 寧
加強內部控制促進穩健經營
深圳市商業銀行行長 陳玉明
完善內部控制體系切實加強風險管理
寧波市商業銀行行長 俞鳳英
構建城市商業銀行內部控制長效機制的思考
溫州市商業銀行行長 邢增福
第四章 農村商業銀行內部控制的戰略與實踐
確立新理念落實新舉措全力構建新形勢下的農村商業銀行內部控制體系
張家港農村商業銀行董事長 王自忠
第六篇 商業銀行內部控制規章制度示範
第一章 ××銀行內部控制指引
第二章 ××銀行內部控制實施細則
第三章 ××銀行內部控制評價管理辦法(試行)
第四章 ××銀行內部控制評價實施細則
附 錄
巴塞爾委員會關於《銀行機構的內部控制制度框架》
後記
㈥ 什麼是內控手冊
1、 編制《內部控制手冊》的背景
為規范江蘇亨通光電股份有限公司(以下簡稱「股份公司」)的管理,貫徹《中華人民共和國公司法》、《中華人民共和國證券法》、《中華人民共和國會計法》以及其他有關法律、法規,滿足國內外資本市場對上市公司的監管要求,股份公司特製訂《內部控制手冊》,作為建立、執行、評價及驗證內部控制的依據。
完整的內部控制體系和完善的內部控制制度,是約束、規范企業管理行為的准則,是減少風險的重大措施。實施內部控制可以及時發現和糾正各種錯弊及不法行為,有利於保證資產安全、完整,保證經營成果與財務狀況真實、可靠。其必要性表現為:
一是建立現代企業管理制度,完善法人治理結構,實現經營機制的轉換,加強企業管理,提高企業經營業績,改善企業財務狀況。
二是貫徹我國有關法律法規,遵循財政部、證監會、審計署、銀監會、保監會等五部委《企業內部控制基本規范》、《企業內部控制配套指引》,以及美國《薩班斯-奧克斯法案》等國內外資本市場監管需求,提高會計信息質量。
三是積極參與競爭、努力降低風險。隨著市場競爭日趨激烈和信息技術高度發展,以及全球經濟一體化的進程加速,股份公司所面臨的風險也逐漸加大。建立健全有效的內部控制制度,是防範風險、提高經營效率和效果的重要措施。
四是建立統一規范的內部控制制度,使股份公司各項規章制度成為系統性、可操作性和包容性很強的內部管理制度,更為有效的體現股份公司管理理念。
2、 《內部控制手冊》遵循的基本原則
一是合規性原則。合規性是指企業內部控制制度必須符合國家的法律、法規和政策;符合股份公司上市地證券監管機構有關上市公司的法律、法規和要求。
二是全面性和系統性原則。《內部控制手冊》涉及股份公司經營活動的各個方面,其內部監督和控制貫穿於經營管理活動的全過程並涉及全體員工。股份公司的每一個員工既是內部控制的主體,又是內部控制的客體;既要對其負責的作業實施控制,又要受其他人員或制度的監督和制約。《內部控制手冊》使股份公司內部各部門、各崗位形成較為系統的既互相制約又具有縱橫交錯關系的統一整體,確保各部門和各崗位均能按特定的目標相互協調的發揮作用,最終實現股份公司內部控制的總體目標。
三是內部牽制及不相容原則。內部牽制是指部門與部門、員工與員工以及各崗位之間所建立的互相驗證、互相制約的關系,屬於企業內部控制制度一個重要組成部分。其主要特徵是將有關責任進行分配,使單獨的一個人或一個部門對任何一項或多項經濟業務活動沒有完全的處理權,必須經過不相容的其他部門或人員的驗證、核對和制約。
四是權責明確、獎懲結合原則。根據各部門和崗位的職能與性質,明確各部門及人員應承擔的責任並賦予相應的許可權,根據操作規則和處理程序,確定追究、查處責任的措施與獎懲辦法等,使權有所屬,利有所享,避免發生越權或互相推諉的現象。
五是成本效益原則。在內部控制活動中貫穿成本效益原則,就是要力爭以最少的控制或最低管理成本獲取最大的經濟利益。要實行有選擇的控制:要努力降低控製成本,盡量精簡機構和人員,改進控制方法和手段,提高效率。
六是可操作性原則。《內部控制手冊》必須符合股份公司實際,無論在業務流程式控制制點的設置,還是授權項目許可權的確定,都要考慮實際管理工作中是否可行,保證其可操作性。
七是包容性原則。《內部控制手冊》是依據股份公司現行各項管理制度,為控制風險而編制的一系列流程式控制制體系,內容涵蓋投資、生產、經營、財務、監督檢查等方方面面。《內部控制手冊》力求避免與其他制度相矛盾,盡可能包容現有的各項制度,對確實有沖突的其他各項管理制度,應及時修改、完善,並以《內部控制手冊》規定為准。
八是信息反饋原則。確定與控制工作有關的人員在信息傳遞中的任務與責任,規定信息的傳遞程序、收集方法和時間要求等事項,建立嚴密的紀錄、報告等信息反饋系統。
3、 《內部控制手冊》的適用范圍
《內部控制手冊》適用於股份公司及其下屬公司(下屬公司是指股份公司投資(控股)和託管公司)。股份公司投資(控股)和託管公司應當參照股份公司《內部控制手冊》,結合自身特點,按照「業務必須覆蓋股份公司《內部控制手冊》中對應的所有規定內容,許可權比照股份公司」的原則,制定內控手冊,履行本公司審批程序後,報股份公司內控部備案。
4、 內部控制定義
內部控制是為了適應國內外證券機構監管要求,提高風險管理能力和經營管理要求,由股份公司董事會、管理層及其全體員工實施的,為經營活動的效率與效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現而提供合理保證的過程。內部控制主要由內部環境、風險評估、控制活動、信息溝通及監督檢查等五個要素構成:
內部環境是影響、制約內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置和權職分配、企業文化、人力資源、內部審計機制、反舞弊機制等。
風險評估是及時識別、科學分析和評估影響股份公司目標實現的各種不確定因素並制定應對策略的過程。風險評估主要包括風險識別、風險衡量、風險應對和風險報告。控制活動是指根據風險評估結果、結合風險應對策略,採用恰當的控制措施以確保內部控制目標得以實現的政策和程序,是實施內部控制的具體方式,控制措施的選擇應當結合企業具體業務和事項的特點與要求,主要包括權責分離控制、授權與審批控制、預算控制、財產保護控制、分析與報告控制、績效考核控制、信息技術控制等。
信息溝通是指及時、准確、完整地收集與股份公司經營管理相關的各種信息,並使這些信息以適當的方式在有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制以及內部與外部有關方面的溝通機制等。
監督檢查是對內部控制的有效性進行檢查評價,形成書面報告並作出相應處理的過程,是實施內部控制的重要保證。
2010年五部委頒布《企業內部控制規范配套指引》,分18項應用指引,1項評價指引,1項審計指引,是對《企業內部控制基本規范》的進一步細化指導。
5、 內部控制組織機構
按照《企業內部控制基本規范》和《企業內部控制配套指引》的要求,為確保公司內部控制規范體系建設工作順利開展,公司內部各項內控制度得到貫徹執行,以實現股東利益最大化經營宗旨,促進公司的全面可持續發展,公司成立了內部控制規范實施工作領導小組和工作小組,以及內部控制規范評價組,組織公司對內控機制建設的工作部署,落實公司制定的內控機制基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制健康運行。
內控領導小組由公司董事長擔任負責人,工作組職責:組織公司對內控機制建設的工作部署,落實公司制定的內控機制的基本制度和工作標准,按內控要求對公司內控體系的布局進行整體規劃,監督內控機制工作的整體進程,確保內控機制有效運行等。
內控建設工作組由股份公司總經理牽頭,小組職責:落實公司內控領導小組要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。協調召開內控建設工作會議,負責協調督辦各子公司及各部門開展內控工作等。
內控評價工作組由股份公司監事及審計部門組成,小組職責:落實公司內控工作領導小組要求,按職責分工開展內控評價相關工作,督促落實公司制定的各項內控制度,負責日常工作的風險防控檢查等。
內部控制工作各組按照公司內部控制工作要求,按職責分工開展相關工作,落實公司制定的各項內控制度,負責日常工作的風險防控等。內控部及審計部作為內控規范的牽頭部門,聯合公司各職能部門、各子公司協同開展組織內控建設和自我評價。內控部作為股份公司內部控制工作日常管理機構,具體負責組織內部控制執行情況監督檢查,內部控制評價,《內部控制手冊》更新及培訓等工作。
6、 《內部控制手冊》使用指南
本《手冊》包括五部分,即《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》、《內部控制手冊》、《授權指引》、《不相容職務分離》、《風險評估》。
《江蘇亨通光電股份有限公司內部控制手冊編制使用說明》即本文內容,對《內部控制手冊》編制背景、遵循原則、適用范圍、內部控制定義、內部控制組織機構、使用指南、貫徹實施的責任和要求、編寫與管理、發放、使用要求、生效、維護、更新作出闡述;
《內部控制手冊》,描述了內部控制體系組織結構與職責,較為全面地闡述了內部控制體系的建設目標,以五部委《企業內部控制應用指引》18個子項,從控制環境、風險評估、控制活動、信息與溝通和內部監督等五個方面對內控關注要點及相應措施進行了較為全面、系統的闡述。
《授權指引》,描述了公司管理、決策、一切控制活動授權審批的范圍、層次、程序、責任,對內控關注要點的審批許可權進行了闡述;
《不相容職務分離》,描述了公司內部機構、崗位的設置及其職責許可權的合理劃分,確保不同崗位形成各司其職、各負其責、相互制約的工作機制,並匯編了公司所有不相容職務。
《風險評估》,描述了公司風險控制目標和風險評估的基本概念以及風險的分類,風險管理制度從確定風險評估目標、風險評估機制、建立並完善風險管理體系三個方面對內控關注要點及相應措施進行了闡述,並匯編了公司一切活動的風險內容及評估。
7、 《內部控制手冊》貫徹實施的責任和要求
《手冊》建立了一套科學、系統的內部控制體系建設方法和標准,是公司建設並實施內部控制體系的綱領性文件。為保證內部控制體系「設計有效、執行有力」,各部門、各公司要認真組織實施,嚴格遵照執行。要充分認識內部控制體系建設工作的長期性和艱巨性,把建立和有效運行內部控制體系作為重要工作,建立長效機制,指定管理部門或管理崗位,履行內部控制職能,切實做到實施有力。
為推動《手冊》的貫徹執行,提高《手冊》的使用效果,股份公司及各子公司每年至少舉辦一次《手冊》使用培訓,要有計劃地做好培訓,將內控工作要求傳達到每個員工、每個崗位,確保執行到位。
各公司要按照五部委《企業內部控制基本規范》、《企業內部控制配套指引》及《股份公司內部控制手冊》編制規范的要求,修訂、完善和細化本公司的手冊。
各公司內控負責人要對本公司內部控制體系運行情況進行檢查和督促,內控部將定期組織考核並進行通報。
8、 《內部控制手冊》編寫與管理
《手冊》由內控部組織編寫,內控委員會審定,股份公司行文發布。內控部對《手冊》進行規范管理,以保證其有效、完整、統一和適用。
9、 《內部控制手冊》發放
《手冊》須按發放范圍統一發放。發放范圍由內控部提出,經管理層批准執行。一般包括公司高管、股份公司相關職能部門等。
《手冊》包括紙質版和電子版兩種,電子版的配發范圍為股份公司高管;紙質版的配發范圍為公司各職能部門及特殊使用者。
10、 《內部控制手冊》使用要求
本《手冊》是公司重要文件,屬公司機密。各單位應按相關要求正確使用,未經允許,不得復印,不得對外泄露。在使用過程中遇到疑難問題,及時向內控部咨詢。
11、 《內部控制手冊》生效、維護、更新
《手冊》的維護是一項長期性、經常性的重要工作,需要各部門及公司高度重視,積極參與,大力配合。各公司應指定內控管理人負責本單位《手冊》的日常管理和維護。對《手冊》日常使用過程中發現的問題,應認真記錄並及時反饋給內控部。內控部應及時掌握《手冊》的執行情況,並採取有效措施確保內部控制管理體系的有效運行。
《手冊》的修訂由內控部負責。每年內控部將根據國內和上市地新出台的相關法律法規的要求、內外部審計對公司內部控制的評價、公司內控管理中出現的新問題以及反饋的意見及建議等,對《手冊》進行修訂,更新後的《內部控制手冊》經董事長審批後正式生效,並由內控部下發到各部門和各公司,更新後的電子版本將存檔於股份公司網路中心,並按照資料異地備份要求,存檔於七都網路部。
㈦ 簡述如何理解評價內部控制的風險水平
內部控制評價方式,是指內部控制評價工作的基本形式,是解決內部控制評價工作到底如何進行的問題。關於內部控制評價工作到底如何進行,從內部控制評價本身以及目前的發展情況來看,主要存在詳細全面評價和風險導向評價兩種方式。 ◎詳細全面評價。詳細全面評價,就是以內部控制框架或標准為參照物,根據內部控制框架的構成要素是否存在,評價內部控制的設計有效性;然後,測試內部控制的運行有效性;最後,綜合設計和運行的評價對內部控制的有效性做出總體評價,評估內部控制目標實現的風險,判斷是否存在實質性漏洞,確定內部控制是否有效。顯然,詳細全面評價是一種傳統的內部控制評價方式,企業最初進行內部控制建設或日常的評價中應用較多,主要是採用「內部控制調查問卷」和符合性測試,對企業已經存在的內部控制進行評價,評價報告中的建議也是「審核數豆子的人是否將豆子數得一粒不差」。這種方式的特點是從控制到風險,即從內部控制到相關目標實現的風險,比較適合用於內部控制的建立和保持,而對評價內部控制的有效性並不十分恰當,存在著成本高、效率低、結論不可靠性等不足。根據內部控制框架或標准評價內部控制本身並沒有錯,但是,內部控制的框架或標准本身是一個通用的框架,更多地關注內部控制的「What and Why」,盡管這些框架或標准提供了評價有效性的標准,但不夠細致,不足以說明如何完成內部控制有效性的評價。 ◎風險導向評價。風險導向評價,就是以風險為導向,首先,要評估相關目標實現的風險;其次,識別和確定組織充分應對這些風險的內部控制是否存在,即評價內部控制的設計應對相關目標實現風險的有效性;第三,識別和確定內部控制運行有效性的證據,評價現有的控制是否得到了有效的運行;最後,對控制缺陷進行評估,判定是否構成實質性漏洞,確定內部控制是否有效。這種方式是從風險到控制,即從內部控制相關目標實現的風險到內部控制,充分體現了「自上而下,風險基礎」的理念。「自上而下」方法由評估組織整體層級的控制開始,然後到具體作業層級控制的測試,主要體現在:從財務報表整體開始,然後到賬戶、披露;從公司層面的控制開始,然後到活動層面的控制。「風險基礎」主要體現在:以評估控制目標實現的風險為起點;關注重要的財務報告和披露風險與問題;僅評價充分應對風險的控制;證據的獲取和場所的選擇根據風險評估的結果;評價結論(內部控制是否有效)也是風險基礎的,判斷有效與否是根據內部控制是否相當可能沒有防止或發現財務報表中的重要錯報。風險導向評價方式可以充分考慮企業特定的情況,避免與內部控制框架的簡單核對,具有更好的成本效益性和更廣泛的適用性及靈活性;關注最重要的風險,提高了評價的成本效益和效率。不過這種方式與詳細全面評價根據一個確定的框架來評價相比需要更高程度的專業判斷。 風險導向評價是一種現代的內部控制評價方式,要求評價人員改變傳統的評價模式,把評價的起點放在關注企業發展戰略和識別企業業務流程的風險上,分析風險,並提出控制風險的建議和方法。特別需要指出,評價內部控制並非為了控制本身,而應針對企業經營過程中可能面臨的風險。在風險導向評價方式下,評價人員更為關心的是下列問題:與控制相關的目標是什麼?這種控制要解決的問題是什麼?這種控制是否對被審計單位的經營活動有益?是否存在重復控制?什麼樣的風險水平是可以接受的?控制的效果是否影響管理當局決策?風險為導向評價方式下,評價人員大多採用內部控制自評(CSA)、內部控制矩陣法、利用網路信息開展動態評估。 從目前的現狀以及未來國際發展趨勢來看,內部控制評價基本上都趨向於採用風險導向評價方式。美國證券交易委員會和公共公司會計監督委員會2007年分別發布的管理層報告內部控制的指南(SEC,2007)和內部控制審計准則(PCAOB,2007)都採用了這一方式,英國、日本、加拿大等國的上市公司的內部控制年度評價也採用了風險導向評價方式。日本內部控制評價與審計准則:採用一種自上而下的重視風險的方法,即著眼於與財務報告相關重要虛假記載相聯系的風險,對業務流程相關的內部控制進行評價,具體策略:運用自上而下的風險方法;內部控制缺陷的分類,將內部控制的缺陷區分為「重要缺陷」和「缺陷」兩類;不採用直接業務報告的做法;內部控制審計與財務報表審計一並實施;內部控制審計報告與財務報表審計報告一並編制等。在我國擬在建立以風險防範和增加價值為評價導向、以五大要素(控制環境、風險評估、控制活動、信息與溝通、內部監督)為核心評價內容、以控制標准和評價標准為評估標尺的內控自我評價體系。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節