内部控制鉴证-山东省注协欢迎您！

企业内部控制鉴证二零零九年六月八日第一部分内部控制和萨宾斯法案介绍第二部分企业内部控制基本规范解读内部控制和萨宾斯法案介绍只针对萨宾斯法案的要求--和财务报告有关的部分覆盖的业务主体内部控制的专注点内部控制的广泛性内部控制绝对不是不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。内部控制是：美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。因此，整个集团的共同参与对于项目的成功至关重要。规范要求的长远益处四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些因素是遵循规范的结果，也是价值的创造提供的数据客观，形象的表示了公司业绩财务报表更改的情况将很少发生业绩将更接近原有的预期持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化随着时间的推移，信息将快速的产生需要快速的提供给投资者相关信息简单化和标准化的信息使得更容易被理解和接受管理层要直接看到推动业务的相关因素及时可预测透明精确19992000200120022003EEarnings走进内部控制–主要内容主要内容一、基本概念阐述二、内控系统整体架构三、内部控制的实施一、基本概念阐述经营回报公司管理层经营回报与风险什么是风险？风险是某一事件或行为对企业经济利益可能的威胁商业风险和管理风险财务和经营信息不足政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标管理风险管理风险习惯上分为以下五类：•经营中断•法律诉讼•商业欺诈•竞争失败•无益开支•资产损失•决策失误风险的后果？加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报风险如何最小化？暴露的金额发生的可能性风险的大小内部控制降低内部控制如何降低风险？成功有效的内部控制风险与经营回报的良好平衡内部控制的重要性COSO报告《内部控制－整体架构》AICPA《审计准则公告第78》号《会计法》（第四章第27条）财政部《内部会计控制规范》证监会《证券公司内部控制指引》证监会《商业银行内部控制指引》征求意见稿财政部等五部委《企业内部控制基本规范》内部控制的重要性（续）什么是内部控制？18内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：•营运的效果和效率•财务报表的可靠性•相关法令的遵循内部控制的定义二、内部控制整体架构内控系统的整体架构内控系统五要素架构目标有效率且有效果的使用公司资源财务报告的可靠性遵循适用的法律、法规是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格---传达公司的正直、诚实的道德规范组织结构---董事会及其委员会职能职责分配和授权--权利、职责分工人事政策--保证员工正直并有能力胜任工作控制环境是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：•管理哲学和经营风格•组织结构•董事会及其委员会职能•职责分配和授权•人事政策控制环境控制环境－管理哲学和经营风格审计署对23家企业的调查结果项目％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87其中：虚报94.98%36.92隐瞒52.89%20.53潜亏92.77%36.06控制环境－管理哲学和经营风格独立董事专门委员会•设立审计委员会，及委员会成员资格要求•审计委员会职责•专门委员会与外部中介机构监事会•监事会职责•监事会与外部中介机构控制环境－董事会及委员会职能企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估风险分为：公司整体层面的风险具体业务活动层面的风险风险分析的步骤：评估风险的重要性评估风险发生的可能性（或发生的频率）考虑如何管理风险，即评估应采取何种行动风险评估对应予以特别关注的环境变化保持警觉:法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司经理迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营风险评估次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长近期变动如何有效地进行风险管理各行业的前10种最主要的风险因素企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动控制活动的类型事前事中事后检查性控制补偿性控制预防性控制纠正性控制事前事中事后控制活动的类型审批（高层审阅）保护实物资产异常报告制度关键绩效指标分析职责分工控制活动你的批准意味着什么？你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你有同意的基础，即:你，或者你指派的适当人员，而非文件的编制者，已经审核了有关信息你对自己的审批负全责控制因素活动-----审批在开展任何业务之前都应进行授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制控制活动因素-保护实物资产例如:实物与会计记录的定期核对把文件锁起来!!!财务报表!!!保护数据中心、本地局域网控制室以及工作站设备标签安全系统/警报系统设围墙配置保安工作证件隐藏的摄像镜头返回例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进控制因素活动---异常活动报告职责分离控制授权批准控制内部报告控制电子信息技术控制……一些重要的内控方法一些重要的内控方法•不同人员或部门之间的职责分工可以通过一系列检查措施，例如:降低发生错误的风险，并控制人为蓄意的操纵.•避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动.•通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营.控制因素活动---职责分工工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金不相容职务相互分离控制－示例内部报告控制完善内部管理报告系统内部报告上报时间及报告路线内部报告的分析和跟进内部报告的分发控制信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全符合相关的法律、法规和政策信息系统控制－目标提高企业信息系统的整体可信赖程度的控制信息系统的组织和管理信息系统操作数据安全危机处理与业务持续计划外包厂商管理网络支持系统软件支持应用系统安装与维护硬件支持数据库安装与支持一般信息系统控制贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任信息与沟通信息通过信息系统识别、采集、加工和汇报信息信息系统经常被认为是经营活动的一个组成部分信息与沟通信息质量内容相关–是不是所需要的信息?提供及时–是不是在需要时可以及时提供?时效性–是不是最新的?正确性–数据是不是正确?可获得性–是不是可以从正常渠道轻松获得?信息与沟通内部每一各人都需要了解内部控制系统的相关方面，系统如何工作，以及他（她）本人在系统中的角色和职责外部与外部单位的交流经常能提供履行内部控制职能所需要的重要信息监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息，以便其比较容易地理解企业所面临的环境和风险下一步信息与沟通(续)监督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制监督是谁的职责?•管理层应对内控执行情况进行持续监督•内部审计部门应进行定期、不定期的个别评估监督持续监控管理者审阅管理信息比较内部信息与外部信息适当的组织结构和监督责任设置信息与实务的比较利用内外部审计师的工作主动纳谏要求员工定期声明自省行为个别评价汇报内部控制缺陷返回控制环境风险评估控制活动信息与沟通监督监督与会计报表中所有重要科目及信息披露相关的所有报表认定存在或发生完整性权利和责任价值表述和披露返回上市公司会计监察委员会发布第2号审计准则对审计师工作内容的要求根据准则规定，审计师必须进行以下工作进行项目计划;评估管理层的评估过程;理解与财务报告相关的内部控制情况；测试并评估与财务报告相关的内部控制的设计有效性；测试并评估与财务报告相关的内部控制的运行有效性；以及就与财务报告相关的内部控制的有效性形成一个结论上市公司会计监察委员会发布第2号审计准则对审计师取得审计证据途径的要求评估和测试管理层的评估流程评估和测试他人（如：内部审计师）对内部控制进行的工作独立对于财务报告相关的内部控制的有效性进行测试准则规定了审计师取得审计证据的以下途径：上市公司会计监察委员会发布第2号审计准则对审计师的要求确认评估对象：确认需要测试的控制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评估控制的失效风险：评估由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认评估范畴：确认应纳入评估范围的具体公司地址或业务单元(针对拥有多个办公地点或业务单元的公司)；评估控制的有效性：对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及实践方面的有效性进行评估；评估缺陷的严重性：确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；沟通：就主要发现与相关方面进行沟通；及形成结论：评估主要发现是否与评估结果相一致。审计师需要确定管理层是否进行了以下评估工作：内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用三、内部控制的实施实施内部控制制度最有效的办法逐项复核内控是否存在于现有流程中，是否有效必要时进一步制定具体政策和管理报告考虑成本效益原则强化对内控的监督与评估实施内部控制制度实施控制时的成本效益原则管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病实施内控时常出现的误区中国：80％－组织日常财务工作70％－审核财务报表及管理报表6