企业内部控制和内部审计实务

11企业内部控制和内部审计实务怎样建立及完善企业内部控制体系2WelcomeSlide欢迎各位的到来请先做自我介绍,相互认识–姓名–所在的公司–所从事的工作–从事目前工作多久了3企业内部控制和内部审计实务什么是企业内部控制内控的体系的建立内部控制与内部审计企业内部控制实务常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求4企业内部控制象什么?企业内部控制可以形象地比喻成一件孩子的衣服企业的经营需要内部控制，就象孩子每天要穿衣服一样根据企业经营的实际需和发展的不同阶段，来设计不同的控制程序。这就象依据气候变化来给孩子增减衣服。当孩子长大了，就要给他穿合身的衣服5内部控制是一套完整的系统,它包括一系列的公司政策和执行程序.从开始运行到仔细地监控,它对实现公司组织的下列四个目标提供合理的保障:内部控制的定义6内部控制的定义公司运作的有效性和效率(Effectiveness&EfficiencyofOperations)公司资产的安全性(SafeguardingofAssets)财务报表的可靠性(ReliabilityofFinancialReporting)公司运作的合法性(CompliancewithApplicableLaws&Regulations)AllenThomalla,Inc.7内部控制到底要控制什么?内部控制是要控制风险风险就是不确定性风险分为商业风险和市场风险不同的企业面对着不同的风险–制造业–贸易性行业–银行及金融业8一般的商业风险因素财务方面的因素-财务控制失败导致的风险:资金短缺缺乏信用评估舞弊系统的问题较差的会计科目调节表战略方面的因素-计划失败的风险:较差的市场策略较差的购并策略改变消费者的习惯政治方面的变化经营方面的因素-人为错误导致的风险:设计的错误不安全的行为员工操作的风险蓄意破坏技术方面的因素-资产实物的失败或损坏导致的风险:机器设备的损坏基础设施的损坏火灾爆炸污染旱灾/或其他自然灾害商业方面的因素-业务中断的风险:损失一名主要的执行官源于供应商的失败存在遵守法律的问题9风险评估的因素评估潜在风险时,管理层需要考虑下列被普遍接受的风险范畴:–错误的记录–不可接受的会计政策–业务中断–错误的管理层的决定关注重要的内容(Materiality)10风险评估的因素评估潜在风险时,管理层需要考虑下列被普遍接受的风险范畴:–舞弊和盗用(Fraudandembezzlement)–额外成本(Excessivecosts)–资产的损失或丢失–竞争的劣势关注重要的内容(Materiality)11内部控制与风险内部控制主要是加强内部管理来归避经营性风险,因为风险是始终存在的好的内部控制就是要为企业撑起一把保护伞来抵御风险12内部控制的类型控制可分为以下几种:预防类控制prevent–职责分工威慑类控制deter–开除有不良品行的员工察觉/发现类控制detect–审阅银行调节表13控制结构的基本要素(COSO框架)内部控制环境–如董事会的关切,高级管理层的支持,公司政策和程序,明晰的组织机构关系和委托授权风险分析–侧重于高风险领域,帮助管理层减少或消除风险信息和沟通–公司政策指导,程序手册,宽松的沟通环境(open-doorpolicy),举报热线等COSO:InternalControl-IntegratedFrameworkdevelopedin1992bytheCommitteeofSponsoringOrganizationsoftheTradewayCommission14控制结构的基本要素(COSO框架)内部控制程序–在不同层面的检查,例如工作质量检查,调节表,年底存货盘点,职责分工,工作岗位轮换等跟踪和监控–例如:内控自查问卷/内部自我审核,外部审计和日常的财务分析工作COSO:InternalControl-IntegratedFrameworkdevelopedin1992bytheCommitteeofSponsoringOrganizationsoftheTradewayCommission15影响控制环境的因素管理层的经营理念和经营风格公司的组织结构管理权力和责任的分配内部审计的职能16内部控制的基本技巧是为了达到控制目的同时减少风险.主要有以下几方面:–有能力和值得信赖的人员–良好的职责分工–良好的交易授权批准程序内部控制的基本技巧17–充分定义的政策规定和程序–良好的资产和记录的实际控制–对业绩的独立审核内部控制的基本技巧18控制与成本的关系任何控制都需要成本的投入过多的控制并不是好的控制以最小的成本达到控制的目的19控制与成本的关系案例分析一:–一家公司的任何一部电话都能直拨打IDD,管理层的解释是业务需要.如果申请呼叫限制,又需要交固定的费用.–解决方案:要求公司IT部门,给员工每人一个密码用于拨打IDD,部门经理定期审阅电话费用20什么是企业的内部控制BACKUPSLIDEQUESTIONSANDANSWER21企业内部控制和内部审计实务什么是企业内部控制内控的控制体系的建立内部控制与内部审计企业内部控制实务常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求22如何建立一套合适的内部控制系统现代企业的运作可分解为:–物品的流转,如原材料的投入到产成品的入库–数据的流转,如成本数据,费用数据,出库及销售数据.数据的流转很大程度上是通过ERP来完成的–单据的流转,如仓库把入库单的一联交给财务,财务据此为确认存货和负债的凭证23如何建立一套合适的内部控制系统好的内部控制体系,就是要把这三者有机地联系起来.能做到:–杜绝可能出现的漏洞–可跟踪和追溯每一笔交易--KEEPAUIDTTRIAL–发现错误和舞弊24如何建立一套合适的内部控制系统案例分析二:付款中的三单相符–采购合同–收料单–供应商发票发票上的单价与采购合同的单价一致发票上的数量与收料单的数量一致25如何建立一套合适的内部控制系统一家公司在付款时,核对了发票上的数量和入库单的数量.但是没有把发票上的单价和合同单价进行比较核对,按发票金额付款.因为发票单价比合同单价高,导致超额付款USD100,00026安然事件留给我们的思考如何建立有效的内控制度–人的因素最重要诚信是首要条件(INTEGRITY)–没有经验是可以培训和积累的–但是,如果员工缺乏诚信,是不可接受的内控人员的经验和专业素质–熟悉企业的业务流程–有会计或审计经验–自信和良好的沟通技巧–团队合作精神27如何建立一套合适的内部控制系统案例分析三:–一公司要求管理人员每年都需要填写利益冲突调查表,需要揭示与供应商,客户和公司内部其他人员存在的利益冲突,如存在亲属关系.销售经理把公司的产品销售给自己岳母投资设立的公司以有两年了,但是从未披露过.后来经过调查属实,公司立即将该经理开除.–虽然公司的销售业绩在短期内受到影响,但公司更看中的是员工的诚信.28如何建立一套合适的内部控制系统新形势下的新要求--萨宾.奥斯利法案(SOX)法案出台的背景–由于安然破产案和知名的大公司纷纷爆出财务丑闻,投资者开始公司财务报表产生了信任危机–在这种前提下,必须有一种强制手段来规范公司的责任和行为(AccountabilityandActions)2002年7月25日,美国国会通过萨宾.奥斯利(Sarbanes-OxleyActof2002),美国总统布什于2002年7月30日签署该法案并使之生效29如何建立一套合适的内部控制系统谁负责实施SOX法案–美国证券交易委员会(SEC),要求从2004财务年度开始,所有在美国上市的公司必须提交经过CPA审计过的内部控制评估报告–PublicCompanyAccountingOversightBoard(PCAOB)是依据SOX法案新成立的机构,主要负责监管对上市公司进行审计的会计师事务所的行为30如何建立一套合适的内部控制系统SOX法案中的最重要的部分—Section404–Section404要求CPA审核公司管理层对内部控制的自我评估,并对其有效性发表意见–对公司而言,如何来满足Section404的要求(我们将专题讨论)31企业内部控制设计的总体思路控制风险，杜绝漏洞(RiskBasisControl)–让我们引入生产管理中的一个概念—Just-in-Time来解释建立在风险基础上的内部控制.做到既不过分控制也不是控制不足.做到成本效益的最大化职责分工，相互制约(SegregationofDuty)–这个原则的基础是没有人可以公证地评价自己的工作制定程序，提供培训(DocumentationandTraining)独立核查，完善程序(ReviewandImprove)32内部控制设计的步骤、方法依据流程分析找出风险和相应的控制点建立相应的职责分工制订和实施控制程序审核和完善程序33内部控制设计的步骤、方法案例分析四—对零星物品出门的管理–零星物品出门是指非产品的物品出门–零星物品可分为需要返回的物品和无需返回的物品.前者如工具和办公用品需要送出修理和维护.后者如废品出门–可能存在的风险和漏洞????34内部控制设计的步骤、方法零星物品出门管理中可能出现的漏洞和风险–出门单没有连续编号或连续编号不完整,因而不能确保单据的完整性–出门单没有得到有效的审批–须返回的物品未及时返回,可能导致公司资产的流失–应该作为销售的产品,被做为零星物品出门,导致少确认收入35内部控制设计的步骤、方法针对于漏洞和风险,需要设立的控制点–出门单需要有预先印好的连续编号.并由独立人员定期审核已使用过的单号的完整性–出门单需要有部门经理的审批方能生效–门卫必须保留一份及时更新的部门经理签字样本来核对审批的有效性–对于须返还的物品必须在出门单上注明拟返回日期,独立人员定期跟踪返还情况.对于未能及时返还的物品要查明原因–财务人员应审阅零星物品出门单,确认没有应该作为销售,而没开发票的项目36内部控制设计的步骤、方法建立相应的职责分工–独立人员审阅已使用的出门单的完整性–门卫检查出门单审批的真实性–独立人员定期跟踪须返回的物品的返还情况–财务人员审核是否有遗漏的应该记销售的物品(通常情况下,零星物品出门单是由生产或行政部门签发的,而不是财务部门)37内部控制设计的步骤、方法制订和实施控制程序–将控制点制订为程序文件并进行实施审核和完善程序–依据定期审核具体实施情况,完善控制程序38内部控制的局限性内部控制主要是针对于常规事务,对于非常规事务不一定有效内部控制不能防止人为的错误内部控制不能防止勾结串通(Collusion)有时管理层的意志可能会凌驾于控制系统之上(Override)39企业内部控制体系的建立BACKUPSLIDEQUESTIONSANDANSWER40企业内部控制和内部审计实务什么是企业内部控制内控的控制体系的建立内部控制与内部审计企业内部控制实务常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求41审计内部控制的手段与方法流程分析法–通过流程分析,找出控制程序上存在的弱点及相应的风险–检查职责分工是否合理–流程分析法可以找出问题的大致方向–缺点:不能发现具体执行中发生的差错(violation)42审计内部控制的手段与方法审计抽样测试–通过审计抽样,把在程序上的可能存在的问题变得明确–审计抽样查出的问题更加具有说服力.–缺点:通过抽样测试,难以匡算出程序问题(ProcessIssueorSystemIssue)的总体影响.43审计内部控制的手段与方法审计抽样测试–例如:在抽样测试中发现一个样本存在销售确认提前的问题.这可能是系统问题的反映也可能是在执行中的偏差.我们要通扩大样本量和流程分析来进行判断.如果是程序的问题,单纯靠抽样测试是不能匡算出全部的影响,必须把在会计期间相关的凭证都进行审核.44审计内部控制的手段与方法实地考察法–通过