22行政事业单位会计内部控制规范讲座-2014

-1-内部控制规范培训行政事业单位内部控制规范（试行）•共五章，65条•总则:目标、原则和流程•风险评估控制方法•单位层面内部控制•业务层面内部控制•评价监督内容•一、背景及趋势•二、政策解读•三、实务操作•从刚性到人性•从有形到无形•从形式到实质-3-一、背景及趋势•内部控制的概念•上市公司和商业银行内部控制•行政事业单位内部控制-4-内部控制的概念•20世纪40年代前•40年代末至70年代•80年代至90年代•90年代之后内部牵制内部控制制度内部控制结构内部控制整合框架内部控制（InternalControl）概念的演变大致可划分为四个阶段：内部牵制•1905年L.R.Dicksee提出内部牵制（InternalCheck）•内部牵制由三个要素构成：职责分工会计记录人员轮换•两个或两个以上的人或部门无意识地犯同样的错误机会较少•两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个或部门舞弊的可能性。内部控制整合框架（1992）•“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：•①财务报告的可靠性；•②经营的效果和效率；•③符合适用的法律和法规。”内部控制划分为五个要素控制环境•风险评估•控制活动•信息与沟通•监控•中国人民银行2012年9月发布•《商业银行内部控制指引》•近日，银监会对《商业银行内部控制指引》进行了修订。现向社会公开征求意见。-9-财政部、证监会、审计署、银监会和保监会五部委联合发布•2008年6月《企业内部控制基本规范》•2010年4月《企业内部控制配套指引》包括:《企业内部控制应用指引》《企业内部控制评价指引》《企业内部控制审计指引》要求国内上市企业分别在2011年和2012年施行单位建立内部控制-11-外部评价内部控制单位内部定期评价内部控制社会监督2010-2012年上市公司执行内控及评价对比201020112012内审部门10%20%40%内控评价小组034%38%披露合计28%78%88%-12-2013年美国SEC对帕卡公司内部控制缺陷的处罚•帕卡公司，美国最大的卡车制造企业，世界500强•并没有发生财务报表舞弊、欺诈等行为，可能引起的错报占比不大•SEC对内部会计控制的缺陷提出指控•帕卡公司支付22.5万美元庭外和解-13-小结：•内部控制—古来有之•上世纪40年代由美国注册会计师协会首先提出，目的是为了财务报表审计！•90年代舞弊增加，由多部门联合发文•我国是商业银行、上市公司先行，公共部门随后，符合西方经验•防范舞弊、预防腐败是中国特色•既有象征意义，又有实际意义-14-内部控制的局限性•内部控制本身的局限性：•人为失误•串通舞弊•成本与效益•管理越权•不确定性•内部控制规范的不足：缺乏具体操作规范、内控缺陷认定无标准•实务中：高层重视不够、缺乏内控专业人才-15-内部控制是个谜！为什么？•合理保证-无关紧要的小错误是可以容忍的吗？•巴林银行的破产源于一个人未经监督的行为；•一个船长喝醉导致阿拉斯加州的环境灾难和埃克森石油公司的巨大损失•航天飞机助推火箭中的氧气在寒冷天气下凝固，导致“挑战者”号机毁人亡•美国雷曼、美林等一些自称或被外部审计鉴证为拥有“健全内部控制”的大公司在金融风险中纷纷破产或被收购内部控制的定位•法律法规要求•单位自身需要•以新的理念连结、补充现有的控制•人和文化的因素是关键-17-国际注册内部控制自我评估师（CertificationinControlSelf-Assessment，CCSA）考试•由国际内部审计师协会IIA为内部控制自我评估的从业人员而设置的一项专业证书。•内部控制自我评估的基本原理（5-10%）•内部控制自我评估的综合方案（15-25%）•内部控制自我评估程序的原理（15-25%）•企业的目标和机构的执行情况（10-15%）•风险的确认和评估（15-20%）•控制理论和实施状况（20-25%）ControlSelf-Assessment:APracticalGuide(CCSA考试指定用书)IIA出版。•英文闭卷笔试，一份试卷，共计125道选择题，时间为210分钟二、规范解读•行政事业单位的特点•行政事业单位侧重于社会公共服务与公共管理，强调效率与公平•受托责任履行自觉性不同•自主程度小•社会危害相对较小•行政事业单位管理的绩效侧重于社会效益-19-20最终形成：内控制度体系内控制度体系《内部控制手册》内部控制相关的管理制度《实施细则》围绕两个层次、六项业务•单位层面内部控制•业务层面内部控制•预算业务•收支业务•政府采购•资产业务•建设项目•合同-21-22《内部控制手册》的结构内部控制基本要求按业务分类的具体控制程序财务和业务控制矩阵相关重要附件内部控制手册的结构总则业务流程控制矩阵附则权限指引检查评价不同管理层次、级别的权限内控检查评价与考核形式：•现有文件、制度•文字说明•流程图•控制矩阵图•表格-23-（一）内部控制的定义•内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。-24-（一）内部控制的定义•内部控制的原理和方法可适用于所有的业务活动。•规范暂定位于经济活动的内部控制，过多地局限于以财政资金为主线的会计控制上•内部控制不仅仅是“制度、措施、程序”•要体现内部控制是一个动态、连续的过程（实质）-25-•内部控制体系（第七条）•内部管理制度（第七条）•内部控制机制（第十条）-26-内部牵制内部控制制度内部控制结构内部控制整合框架（二）内部控制的目标•合理保证单位经济活动合法合规•资产安全和使用有效•财务信息真实完整•有效防范舞弊和预防腐败，提高公共服务的效率和效果。•目标定位很高-27-财务信息资产安全公共服务反映分解愿景线安全线主线警戒线底线防范舞弊合法合规保证前提单位控制目标（二）内部控制的目标（二）内部控制的目标•《规范》并未明确内部控制的五要素框架，从现有管理水平出发，强调目标导向•先制定目标，再设计内部控制•目标在内部控制之前设定-29-（三）内部控制的原则•全面性原则：全员参加，全过程控制，系统性•重要性原则：重要经济活动及重大风险•制衡性原则：制衡机制•适应性原则：适应变化•删除了成本效益原则：效益不好衡量，不能以成本为借口-30-（四）单位负责人的责任•按照《会计法》和《内部会计控制基本规范》的规定，单位负责人是单位财务与会计工作的第一责任主体，对本单位财务会计报告的真实性、完整性以及内部控制制度的合理性、有效性负主要责任。•单位负责人对本单位内部控制的建立健全和有效实施负责。-31-•西方分权思想•内部控制＞预算控制•内部控制＞会计控制或监督•内部控制不是目标管理•对“一把手”的权力范围进行科学界定•科学分解权力•问责机制•由谁牵头？-32-（五）具体工作•梳理各类经济活动的业务流程•明确业务环节•系统分析经济活动风险•确定风险点•选择风险应对策略•建立健全制度•督促执行（与反馈）•体现的是过程管理-33-三、实务操作•（一）风险评估•（二）控制方法•（三）单位层面内部控制•（四）业务层面内部控制•（五）评价与监督-34-（一）经济活动风险评估•风险通常是指潜在事项的发生对目标实现产生的影响。这种影响是负面的。•事项—是源于内部或外部的影响目标实现的事故或事件。•带来正面影响的被称作机会。•风险通过影响程度和发生的可能性来衡量。-35-（一）经济活动风险评估20世纪20年代20世纪50年代20世纪60年代20世纪70年代20世纪80年代肇始：采用保险办法处理风险对风险有了质的认识系统研究风险管理发展成新兴学科财务风险管理转向：全面风险管理20世纪20年代行政事业单位经济活动的主要风险包括：1、单位经济活动不合法或不合规的风险；2、国有资产流失、资源使用效益低下的风险；3、财务信息不真实、不完整的风险；4、发生舞弊或腐败现象的风险；5、其他风险。（一）经济活动风险评估造经济活动风险的形成原因：1、内部管理制度不健全2、制衡机制缺失3、关键岗位职责不清4、管理中存在其他漏洞或隐患。-38-什么是风险评估？风险评估是量化测评风险发生的可能程度及其造成的后果。风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。-39--40-风险识别风险评估流程梳理风险评估程序•1、目标设定•2、风险识别•风险识别是对行政事业单位面临的各种不确定因素进行梳理、汇总，形成风险点清单。•风险识别需要对单位的经济活动的管理现状进行全面摸底，而且是一个动态的、连续的过程•在流程梳理的过程中进行-41-常用的识别风险的方法①风险清单分析法②现场调查法③财务报表分析法④组织结构图分析法⑨专家意见法⑤流程图法⑦事故树法⑧记分法⑥因果图法3、风险分析在风险识别的基础之上，运用定量和定性方法进一步分析风险发生的可能性和对单位目标实现的影响程度，以便为制定风险应对策略、选择应对措施提供依据。具包括风险可能性和影响程度分析。目的是对识别的风险进行排序，确定内部控制需要重点关注和优先控制的风险点-43-风险发生可能性评级发生可能性标准／定义低即使不采取措施，风险几乎也不带来损失中不采取措施，风险就会造成损失高不采取措施，风险很容易造成损失风险影响程度评级影响程度标准／定义低不采取措施，风险损失不对关键指标造成影响中不采取措施，风险损失对关键指标造成影响高不采取措施，风险损失对资源造成巨大浪费风险评估方法风险事项：外部环境、经济活动或管理要求等发生重大变化的，就要求进行风险评估，当前则主要对应的是内部控制规范要求来识别单位自身风险及外部变化要求的风险。987654321123456789高需要行动低监督/重新部署?中等密切监督/确定和准备风险评估方法依据单位能够承受风险的能力，确定风险对策风险对策的四种基本模式规避转嫁承担化解风险应对策略风险识别、分析与评估清单序号控制目标可能产生风险风险等级风险应对措施-47-评估结果的应用评估工作完成后，风险评估工作小组应当做好汇总、整理和分析工作，必须形成书面报告，及时提交单位领导班子，作为完善内部控制的依据。-48-经济活动风险评估至少每年进行一次。第一次风险评估应当尽可能全面、细化，形成业务流程图，确定关键风险点后续的可以定期进行，主要侧重于经济活动的变化部分。单位如果外部环境、经济活动或管理要求等发生了重大变化对某些高风险经济活动开展不定期评估-49-（二）控制方法-50-•八种方法：•授权审批•归口管理•职责分离•预算控制•财产保护控制•会计控制•单据控制•信息内部公开职责分工问题（强调不相容职务分离）•授权批准职务与执行业务职务相分离；•执行业务职务与监督审核职务相分离；•执行业务职务与会计记录职务相分离；•财产保管职务与会计记录职务相分离；•执行业务职务与财产保管职务相分离。一项完整的经济业务，如果是经过两个以上的相互制约环节对其进行监督和核查，发生错弊的概率大大降低。横向控制-52-•授权批准控制授权常规授权特别授权既定的程序、原则制度计划预算日常经济活动特殊情况特定条件非日常经济活动如：离岗单位层面内部控制风险评估和控制方法评价与监督业务层面内部控制总则附则三、实务操作•（一）单位层面内部控制•控制环境:是其它内部控制组成部分的基础，用来描述高层对内控的态度、意识和行为。•诚信与道德观•组织结构•授权及职责•人力资源政策，激励与约束•高层的关注和监督•员工的胜任能力，守法纪、讲诚信•反舞弊机制，建立举报投诉制度和举报人保护制度并公开-54-•诚信和道德观•影响到重要业务流程的设计和运行。•内部控制的有效性直接依赖于负责创建、管理和监督内部控制的人员的诚信和道德价值观念。•通过规范以及高层的身体力行，对诚信和道德观的营造和保持。-55-中航油（新加坡）公司事件•核心业务：负责全国100多个机场的供油设施的建设和加油设备的购置•被评为2004年新加坡最具透明度的上市公司•2002年3月，总