上海国家会计学院内控培训课件

内部控制评价与审计案例研究概念形成和演进概念形成和演进•1992年，美国“反对虚假财务报告委员会”（NationalCommissiononFraudulentReporting），所属的内部控制专门研究委员会发起机构委员会（简称COCO），在进行专门研究后提出专题报告：《内部控制-整体架构》（internalcontrol-integratedframework），也称COCO报告。COCO报告内容回顾•COCO报告支出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。COCO报告内容回顾•它认为内部控制整体架构主要由五项要素构成：•控制环境•风险评估•控制活动•信息与沟通•监督内部控制组成要素与目标及作业轰动相互关系图内部控制各组成要素关系图概念形成和演进•经过两年的修改，1994年COSO委员会提出对外报告的修改篇，扩大了内部控制涵盖的范围，增加了与保证资产安全有关的控制概念的形成与演进•COSO报告得到了美国审计署的认可。•与此同时，AICPA则全面接受COSO报告的内容并修改了审计准则•安然事件之后，美国出台了SOX法案，全面借鉴了COSO报告的成果。中国企业内部控制规范•2008年5月，财政部等五部委联合发布《企业内部控制规范-基本规范》•2010年4月，财政部等五部委联合发布《企业内部控制规范配套指引》内部控制评价与审计案例研究•企业内部控制规范-基本规范企业内部控制规范-基本规范•第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。•内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略。企业内部控制规范-基本规范•第五条企业建立有效的内部控制，应当包括以下基本要素：（一）内部环境。内部环境是实施内部控制的基础。内部环境主要包括治理结构、机构设置与权责分配、企业文化、人力资源政策、内部审计、反舞弊机制等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与现实内部控制目标相关的风险，合理确定风险应对策略。（三）控制措施。控制措施是根据风险评估结果，采用相应的控制措施，将风险控制住可承受之内。主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，并发现内部控制缺陷，应当及时加以改进。企业内部控制规范-基本规范企业内部控制规范-基本规范视频案例分析（刘谦魔术）•内部环境——基础•持续的风险评估•控制活动•信息与沟通•内部监督内部环境•治理结构•机构设置及权责分配•内部审计•人力资源政策•企业文化第1号——组织架构•企业至少应当关注组织架构设计与运行中的下列风险：•（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。•（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、智能交叉或缺失、推诿扯皮，运行效率低下。第1号——组织架构•集体决策审批或者联签制度•不相容职务相互分离•-可行性研究与决策审批•-决策审批与执行•-执行与监督检查•企业应当制定组织结构图、业务流程图、岗（职）位说明书和权限指引等内部管理制度或相关文件。组织架构示例•董事会•审计委员会AB风险管理委员会•管理层•业务部门•内部控制AB风险管理•业务部门是第一道防线•风险管理是第二道防线•内部审计是第三道防线第2号——发展战略•企业发展战略至少应当关注下列风险：•（一）缺乏明确的发展战略或发展战略实施不到位，可能导致企业盲目发展，难以形成竞争优势，丧失机遇和动力。•（二）发展战略过于激进，脱离实际能力或偏离主业，可能导致企业过度扩张，甚至经营失败。•（三）发展战略因主观原因频繁变动，可能导致资源浪费，甚至危及企业的生存和持续发展。第3号—人力资源•企业人力资源管理至少应当关注下列风险：•（一）人力资源缺乏或过剩、结构不合理、开发机制不健全，可能导致企业发展战略难以实现。•（二）人力资源激励约束制度不合理、关键岗位人员管理不完善，可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。•（三）人力资源退出机制不当，可能导致法律诉讼或企业声誉受损。第3号—人力资源•人力资源需求计划•因事设岗、以岗选人•岗位回避制度•岗位保密制度•岗前培训制度•人力资源开发•人力资源的激励约束机制•员工退出机制社会责任•企业至少应当关注在履行社会责任方面的下列风险：•（一）安全生产措施不到位，责任不落实，可能导致企业发生安全事故。•（二）产品质量低劣，侵害消费者利益，可能导致企业巨额赔偿、形象受损，甚至破产。•（三）环境保护投入不足，资源消耗大，造成环境污染或资源枯竭，可能导致企业巨额赔偿、缺乏发展后劲，甚至停业。•（四）促进就业和员工权益保护不够，可能导致员工积极性受挫，影响企业发展和社会稳定。企业文化•加强企业文化建设至少应当关注下列风险：•（一）缺乏积极向上的企业文化，可能导致员工丧失对企业的信心和认同感，企业缺乏凝聚力和竞争力。•（二）缺乏开拓创新、团队协作和风险意识，可能导致企业发展目标难以实现，影响可持续发展。•（三）缺乏诚实守信的经营理念，可能导致舞弊事件的发生，造成企业损失，影响企业信誉。•（四）忽视企业间的文化差异和理念冲突，可能导致并购重组失败。风险评估•第二十条企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。•第二十一条企业开支风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险评估•第二十四条企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。•第二十五条企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。•第二十六条企业应当综合运用风险规避、风险降低、风险承担和风险承受等风险应对策略，实现对风险的有效控制。案例分析•请记录案例细节•风险地图•风险应对策略•对自己工作的启示风险评估•风险的来源•内部：顾客、供应商、现存竞争者、潜在竞争者、替代品•外部：政治、经济、社会、技术案例研讨•公司战略对风险评估的影响•分析战略类型•分析战略选择所影响到的运营环节•评估战略风险风险地图（纵轴代表可能性、横轴代表影响程度）•减少：质量控制，管理和标准•财务控制•标准操作管理•检查新员工条件•研发与技术发展•应急计划•结构培训和其他程序•监督•避免：决定退出某一地区•当检查发现客户无信用时，决定不再与该客户进行交易•决定不出售明知是一种不道德的产品•接受：成本效益分析，如针对风险制定控制和其他回应•决定在一个面临绑架高风险的国家运营—你无法控制•接受超过100万的保险费政策•为提高销售数量，接受高信用风险客户•转移：采取保险政策•定期维护外包给设备管理公司•与供应商签订的合同应明确不能满足约定条件时，可以获得财务补偿•与其他公司建立合资公司，与其共同开发商业机会控制活动•第二十八条企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制相结合的方法，运用控制措施，将风险控制在可承受度之内。•控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考核控制等。案例分析•区分财产保护控制和会计系统控制•举出三个典型控制示例第6号——资金活动•企业资金活动至少应当关注下列风险：•（一）筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危机。•（二）投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断裂或资金使用效益低下。•（三）资金调度不合理、营运不畅，可能导致企业陷入财务困境或资金冗余。•（四）资金活动管控不严，可能导致资金被挪用、侵占、抽逃或遭受欺诈。第7号——采购业务•企业采购业务至少应当关注下列风险：•（一）采购计划安排不合理，市场变化趋势预测不准确，造成库存短缺或积压，可能导致企业生产经营停滞或资源浪费。•（二）供应商选择不当，采购方式不合理，招投标或定价机制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或遭受欺诈。•（三）采购验收不规范，付款审核不严，可能导致采购物资、资金损失或信用受损。第8号——资产管理•企业资产管理至少应当关注下列风险：•（一）存货积压或短缺，可能导致流动资金占用过量、存货价值贬损或生产中断。•（二）固定资产更新改造不够、使用效能低下、维护不当、产能过剩，可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。•（三）无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业法律纠纷、缺乏持续发展能力。第9号——销售业务•企业销售业务至少应当关注下列风险：•（一）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。•（二）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。•（三）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。研究与开发•企业开展研发活动至少应当关注下列风险：•（一）研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费。•（二）研发人员配备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失败。•（三）研究成果转化应用不足、保护措施不力，可能导致企业利益受损。第11号——工程项目•企业工程项目至少应当关注下列风险：•（一）立项缺乏可行性研究或可行性研究流于形式，决策不当，盲目上马，可能导致难以实现预期效益或项目失败。•（二）项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。•（三）工程造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投资失控。•（四）工程物资质次价高，工程监理不到位，项目资金不落实，可能导致工程质量低劣，进度延迟或中断。•（五）竣工验收不规范，最终把关不严，可能导致工程交付使用后存在重大隐患。第12号——担保业务•企业办理担保业务至少应当关注下列风险：•（一）对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。•（二）对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致企业承担法律责任。•（三）担保过程中存在舞弊行为，可能导致经办审批等相关人员涉案或企业利益受损。第13号——业务外包•企业的业务外包至少应当关注下列风险：•（一）外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失。•（二）业务外包监控不严、服务质量低劣，可能导致企业难以发挥业务外包的优势。•（三）业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。第14号——财务报告•企业编制、对外提供和分析利用财务报告，至少应当关注下列风险：•（一）编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。•（二）提供虚假财务报告，误导财务报告使用者，造成决策失误，干扰市场秩序。•（三）不能有效利用财务报告，难以及时发现企业经营管理中存在的问题，可能导致企业财务和经营风险时空。第15号——全面预算•企业实行全面预算管理，至少应当关注下列风险：•（一）不编制预算或预算不健全，可能导致企业经营缺乏约束或盲目经营。•（二）预算目标不合理、编制不科学，可能导致企业资源浪费或发展战略难以实现。•（三）预算缺乏刚性、执行不力、考核不严