AIS的内部控制审计-财务管理（PPT54页）

AIS的内部控制审计主要内容•内部控制概念演进及框架•信息系统环境下的内部控制•SOX法案与IT环境下的内部控制•我国内部控制规范（2009）•内部控制审计方法与步骤一、内部控制概念及发展•内部牵制阶段•内部控制的产生•内部控制两要素阶段•内部控制三要素阶段--内部控制结构•内部控制五要素阶段--内部控制整体框架•内部控制八要素阶段--企业风险管理整体框架内部牵制•内部牵制的理念产生于上世纪40年代以前•主要特点：任何个人或部门不能单独控制任何一项或一部分业务权力，必须进行组织上的责任分工。•内部牵制的形式–实物牵制：例如把保险柜的钥匙交给二个以上的工作人员持有。–机械牵制：例如保险柜的大门若非按正确程序操作就打不开。–体制牵制：采用双重控制预防错误和舞弊的发生。–簿记牵制：定期将明细账与总账进行核对。•内部牵制的基本理念–二个或以上的人或部门无意识地犯同样错误的机会是很小的；–二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部控制的产生•1949年，美国会计师协会的审计程序委员会在《内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”•此定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念的重大贡献，因为在此之前内部控制概念从未受到如此的重视。内部控制两要素阶段•1958年10月美国审计程序委员会发布了第29号《审计程序公告》对内部控制进行了重新定义，将内部控制划分为会计控制和管理控制两要素。•内部会计控制：包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序，包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。•内部管理控制：包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序，一般包括统计分析、业绩报告、员工培训和质量控制等。“COSO”与“美国反欺诈财务报告委员会”•COSO（TheCommitteeOfSponsoringOrganizationsoftheTreadwayCommission）：–1985年，美国五大会计职业团体为发起设立Treadway委员会，并成立了一个“发起组织委员会”，这是一个自发的民间组织，其目的是发起设立美国反欺诈财务报告委员会，并提供财务支持。–同时致力于研究如何通过改善商业道德、有效的内部控制和公司治理来提高财务报告质量。内部控制三要素的发展•1988年美国AICPA发布了第55号《审计准则公告》，首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。•内部控制结构包括三个要素：–控制环境：反映董事会、管理者、所有者对控制的态度和行为。–会计系统：规定各项经济业务的确认、归集、分类、登记和编报方法。–控制程序：指管理当局为保证实现目标而制定的政策和程序。内部控制三要素的发展•内部控制结构的特点：–正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素，但渐渐地认识到控制环境是内部控制的一个组成部分，是内部控制体系得以建立和运行的基础及保证。–二是不再区分会计控制与管理控制，这是因为通过研究发现，这两者往往是不可分割的，是相互关系的。“COSO”与“内部控制整体框架”（五要素）•自1987年的Treadway报告和1988年9个审计准则公告发布后，COSO对内部控制问题又进行了较深入系统的研究，于1992年发布了《内部控制——整体框架》报告，该报告是国际内部控制理论发展的又一重要里程碑。•COSO认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。COSO中的内部控制结构COSO五要素•控制环境：用以规范企业之纪律及内部控制之架构，为一重要基础。道德价值观，诚信原则，管理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式的控制。•风险评估：企业辨认不能达成组织目标或临时发生性的状况所做出分析，以作为应对管理的依据。•控制活动：确保管理层的指令得以实现的机制，授权、核准、验证、调节。•信息及沟通：财务及非财务之信息用适时有效的方式，并给予以辨识、搜集、传递与相关人员。•监督：由各管理阶层或特定组织检查与评估内部控制执行质量的过程。•内部控制发展至五个要素阶段，为什么如此重要呢？•几个案例农行邯郸支行现金被盗案•邯郸市中级人民法院2007年8月9日一审对任晓峰、马向景做出死刑、剥夺政治权利终身的判决，对赵学楠、宋长海、张强三被告人判罚有期徒刑五年、三年和缓期徒刑的判决后，任晓峰、马向景、赵学楠不服，均提出上诉。•9月19日上午，河北省高级人民法院经审理认为，一审判决认定的事实清楚，证据确实、充分，适用法律正确，量刑适当，审判程序合法，并依照《中华人民共和国刑事诉讼法》的有关规定，做出终审裁定，驳回任晓峰、马向景、赵学楠的上诉，全案维持原判。对任晓峰、马向景维持死刑判决的裁定，河北省高级人民法院将依法报请最高人民法院核准。任晓峰、马向景、赵学楠、张强、宋长海（由左至右）农行邯郸支行现金被盗案•邯郸市中级人民法院经审理查明：2006年10月13日至18日，任晓峰与赵学楠、张强利用看管金库的便利条件，先后两次从金库盗取人民币20万元购买彩票，后归还。•2007年3月16日至4月13日，任晓峰与马向景又多次从金库盗取人民币共计近3,296万元，任晓峰用其中3,125万元购买彩票，在投入巨额资金未中奖的情况下，任晓峰用余款中的7.68万元购买了捷达轿车一辆，准备出逃。•2007年4月14日8时许，任晓峰和马向景再次密谋后，从金库盗出现金6箱共计1,800万元，用其中1,410万元购买彩票。任晓峰分得余款329.9万元，马向景分得余款60万元。任晓峰得知彩票未中奖后，遂通知马向景分头潜逃。农行邯郸支行现金被盗案•与邯郸农行金库5,100万元盗案相关，4名银行职员也被指控犯有国有企业人员失职罪，其中包括原农行邯郸分行副行长张希仲和原现金管理中心副主任安长海。•去年3至4月间，邯郸农行金库管库员任晓峰、马向景等轻而易举地从银行金库盗取现金5,000余万元，直至案发后邯郸农行才发现金库现金被盗，从而暴露了邯郸农行在管理方面存在的漏洞，这4名银行职员因此受到刑事追究。农行邯郸支行现金被盗案•另一事件：•2006年11月6日下午，丛台区法院开庭审理邯郸农行直属营业部会计主管程红英涉嫌国有企业人员失职罪一案。据指控，去年4月12日17时30分许，邯郸农行管库员任晓峰打电话给程红英，谎称其一个朋友是直属营业部的大户，要存95万元，程红英以快下班无法清点为由予以拒绝。任晓峰提出由现金清点中心替其营业部收款后，程红英表示同意为其办理。程红英违反操作规程，在未见储户、未审核存款人的有效身份证件、未收取现金的情况下，授权柜员办理了95万元的存款业务，并让任晓峰代替储户在存款凭条上签名确认，致使邯郸农行损失95万元。公诉方认为，程红英在担任邯郸农行营业部会计主管期间，滥用职权，造成国有企业严重损失，也应当以国有企业人员失职罪追究其刑事责任。炒作期货失控案例•1995年2月26日，新加坡巴林公司期货经理尼克·里森投资日经225股指期货失利，造成巴林银行14亿美元损失，最终导致具有200多年历史的英国巴林银行的破产。•2004年10月，中国航油（新加坡）股份有限公司由于操作风险较高的原油期货期权等金融衍生工具不当，导致公司亏损约5.5亿美元。完善内部控制制度的必要性•近年来国内商业银行和企业频繁发生重大案件，表明商业银行和企业自身的内部控制存在严重缺陷，主要表现在：•没有形成系统的内部控制制度，缺乏主动的风险识别与评估机制，内部控制措施零散、不系统，监督检查环节不到位，内部控制结果不稳定，缺乏对内部控制持续改进的驱动力，风险管理的长效机制没有从根本上得到建立。从五个要素来看--缺陷•控制环境–无效的审计委员会–缺乏由高层管理推动的全公司范围的内部控制管理流程–缺乏反舞弊和举报机制–会计政策和程序过时、不一致、没有完整记录或缺乏有效沟通–对非常规、复杂或特殊交易的帐务处理的控制不充分内部控制的主要缺陷•风险评估–缺乏正式的企业风险管理流程或程序•控制活动–缺乏有效运行和记录完整的公司层面控制–错误报告和信息披露编制流程无效–对分支机构的控制无效•信息与沟通–缺乏对信息系统的有效控制–缺乏对财务报告中使用的终端用户应用程序（如电子表格）和数据的控制内部控制的主要缺陷•监督–董事会和审计委员会对风险和控制的理解不充分–无效的内部审计–缺乏正式的对财物结账流程的控制或监督–不能对外包流程的控制进行评估和测试任晓峰的建议书•根据我这次的犯罪经过，我把我对银行金库管理的一些建议写出来，希望能对防止犯罪事件的再次发生，起到一些作用。一、监控方面1、应安排专人负责查看监控录像，并定期抽查以前的录像记录，查看是否有违规操作等情况；2、每日必须检查监控设备的正常使用及备份情况，监控数据备份保存时间最少在3个月以上；3、在非工作时间必须设防110联网报警系统，对非工作时间，进入设防范围或金库内的人员，要马上向领导汇报详细情况；4、金库内必须安装监控设备。任晓峰的建议书•二、严格执行规章制度1、应安排现金中心，主管或副主任每旬查一次金库，安排现金中心主任每月查一次金库；2、在查库时，应先核对记帐情况是否属实，然后根据碰库清单，认真核对现金数额，对装好的整包现金，必须打开包进行核对；3、各级领导在查库时，都不应该在固定时间和日期；4、对重要岗位的人员(如记帐员、管库员)，应实行强制休假制度，在不事先通知情况下，由领导监督交接工作；5、应对现金中心的每个岗位，都制定出各自的岗位职责和工作要求，对现金中心工作人员要定期进行思想教育学习。任晓峰的建议书•三、现金中心岗位设置1、应设立记帐员岗位，现金中心金库的往来帐目由管库员记帐，对现金中心所有往来帐目都应该由专人记帐，这样可以防止管库员在记帐方面做假帐，从金库挪用资金；2、对银行内部资金调拨和安排到人民银行交取款的情况，应由专人负责。•四、农行的信用卡通过电话银行往彩票中心转彩票款，应设置最高转款限额。COSO的八要素——企业风险管理•企业风险管理框架的建立背景–二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。–2001年，COSO设立研究项目，委托PwC研发一个能被管理层用来评价和改进其企业风险管理的框架。–2003年7月，公布研究报告讨论稿。–2004年9月，研究报告“企业风险管理：整体框架（EnterpriseRiskManagement–IntegratedFramework）”正式发布。COSO《企业风险管理》（2004）•《企业风险管理框架》（《EnterpriseRiskManagementFramework》ERM）认为“全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”从“内部控制”到“企业风险管理”控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通内部环境目标设定事件识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次内部控制发展总结应掌握：•内部控制发展阶段•内部控制五要素含义•风险框架八要素含义思考：信息系统体现在COSO五要素的哪些方面？二、信息系统环境下的内部控