企业内控知识介绍

企业内控知识概述及WBCR系统介绍慧点科技课程纲要内控基本知识WBCR系统对SOX404的合规性对应经验分享慧点科技基于流程的组织了解市场和客户需求树立理念、使命和目标规划产品销售和售后服务原材料采购储运管理拓展人力资源市场营销采购仓库送货行政目前未来?企业组织机制的变化：组织架构必须体现灵活性和职责性组织架构必须配合执行企业发展战略的需要采纳流程防风险的观点来进行架构重组，鼓励跨部门的协作并减少架构重叠或职责混淆客户传统的层级制组织慧点科技内部控制发展的三个阶段：（一）萌芽期－－内部牵制查访错弊职务分离和帐目核对钱、帐、物为主要会计控制对象（二）发展期－－内部会计控制与内部管理控制组织计划业务授权资产接触信息保证（三）成熟期－－内部控制结构和内部控制整体架构控制环境风险评估控制活动信息与沟通监督内部控制的发展历程内控流程分类及对应控制体系：管理流程－－COSO业务流程－－COSOIT管理流程－－COBIT慧点科技内控的基本概念内部控制绝对不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）；某一个项目的任务。内部控制是：美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。因此，各层级人员的共同参与对于内控的成功至关重要。慧点科技控制活动控制活动确保管理层的政策/流程付诸实施，使公司面临的风险得到有效控制包括审批，授权，确认，建议，业绩考核，资产保全和权限分离等监控管理层利用内部审计等手段对公司内部控制体系进行实时而独立的监控控制环境控制环境是公司营造的内部管理控制的氛围及环境控制环境具体体现在员工的道德价值观，完成工作的能力，明确的授权与责任等控制环境是其他内部控制组成部分的基础信息和沟通公司管理层为了确保内部控制有效运行，必须建立一套完整的信息与沟通渠道及体系，保证管理层实时了解内控进展风险评估风险评估是公司管理层为了达到企业目标而确认和分析相关的风险所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO框架中的五个控制组成部分慧点科技控制环境风险评估整合的控制(COSO内部控制体系)控制活动监控信息信息慧点科技企业内部控制要素－－控制环境控制环境监控信息与沟通控制活动风险评估控制环境：是指对建立、加强或消弱特定政策和程序效率发生影响的各种因素；管理者的经营风格和经营理念；董事会及审计委员会；组织结构与权责分派体系；人员的品行和素质；管理控制方法；外部影响；慧点科技企业内部控制要素－－风险评估控制环境监控信息与沟通控制活动风险评估风险评估：指企业根据发展战略制定经营目标后，对实现目标的经营过程中的风险进行判别和分析，并采取相应的行动；目标的建立和达成；风险识别及分析；改变的管理；慧点科技企业内部控制要素－－控制活动控制环境监控信息与沟通控制活动风险评估控制活动：是管理者为了确保管理指令能够得以有效实施而制定的各种政策和程序；授权和目标；职责划分；业务流程和操作规程；业务记录；规章制度；独立检查规章制度；控制标准；慧点科技企业内部控制要素－－信息与沟通控制环境监控信息与沟通控制活动风险评估信息与沟通：企业必须建立健全信息传递和反馈系统，以保证企业政策和方针的贯彻实施；而信息传递有赖于良好的沟通方式和渠道；信息系统；沟通；慧点科技企业内部控制要素－－监控控制环境监控控制活动风险评估信息与沟通监控：是评价期间企业内部控制业绩质量的进程，它是对企业内部控制整体框架及其运行情况的跟踪、检测和调节，以自始至终确保其有效性；自我控制；内部审计；慧点科技非正式的内部控制-已设计了控制活动但缺乏充分的纪录；控制主要依赖于人；没有对控制活动的正式培训及交流不可依赖的内部控制-不存在控制活动或控制设置不合理，公司尚处于不可控制环境中标准化的内部控制-已设置了标准的控制政策；控制活动由书面制度，并已下达给员工；但偏离制度要求的行为尚不能被观察。受监控的内部控制-设置了标准化的控制制度对控制活动的设计及运行的有效性进行定期测试，并将结果报告管理层最优化的内部控制-建立了完整的内部控制框架，管理层可以进行实时监控并不断对控制框架进行改进。内部控制成熟模型1.阶段一——不可依赖的内部控制不存在控制活动或控制设置不合理，公司尚处于不可控制环境中。2.阶段二——非正式的内部控制已设计了控制活动但缺乏充分的纪录；控制主要依赖于人；没有对控制活动的正式培训及交流。3.阶段三——标准化的内部控制已设置了标准的控制政策；控制活动由书面制度，并已下达给员工；但偏离制度要求的行为尚不能被观察。4.阶段四——受监控的内部控制设置了标准化的控制制度对控制活动的设计及运行的有效性进行定期测试，并将结果报告管理层5.阶段五——最优化的内部控制建立了完整的内部控制框架，管理层可以进行实时监控并不断对控制框架进行改进内部控制成熟度分析慧点科技《萨班斯——奥克斯利法案》的生命周期不断改进《萨班斯——奥克斯利法案》的生命周期改进原有控制程序不间断的记录与修正不断进行控制与测试满足要求实现价值自我检测是否已达到标准初期努力使自身满足要求第一年实现目标并不意味着以后的各年仍是符合要求我们的工作重心要由现阶段的短期目标向长期持续生命周期转变，它能帮助我们实现企业的价值。我们现阶段的工作重心是符合《萨班斯—奥克斯利法案》第404条的要求慧点科技PCAOB的全称是美国上市公司监控委员会，它是根据2002年7月出台的《萨班斯－奥克斯利法案》（Sarbanes－OxleyAct，简称SOXAct，《萨班斯法案》）建立的，2003年4月正式开始运作，负责检查和规范会计行业，同时制订新的会计标准。PCAOB推出一系列标准，用来规范相关的审计工作，包括AuditStandard2，其中细化的具体的审计要求，作为萨班斯遵循工作的基础。PCAOB的介绍慧点科技PCAOB对404条款报告的审计标准主要观点•审计师必须评估管理层的文档记录。•审计机构除了要测试管理层的评估之外还必须测试内部控制的有效性。•一个实质性漏洞就可以得出保留或否定意见。慧点科技404条款的重要性美国审计准则，美国证券监管委员会上市公司章程中规定外部审计师要如实记录在审计过程中发现，对于发现的所有实质性漏洞以及合并考虑后能构成实质性漏洞的重大缺陷必须如实在年报中进行披露。一旦发现实质性漏洞，外部审计师就将对被审计单位出具保留意见或否定意见如果外部审计师出具了保留意见或否定意见，将会对上市公司在资本市场上产生重大影响。尽管SEC不能对一家公司进行“停盘”或者“摘牌”处理，但从实务角度、财务角度和声誉方面的负面影响却是可以预见的。SEC能够有效限制上市公司将来在美国市场融资的途径。SEC有权力派遣审计队伍去审查上市公司的财务报告及相关的内部控制。中国证监会和国资委已经强调了中国在美上市公司全面遵守萨班斯•奥克斯利法案的重要性，并且强调了随着中国经济持续发展，进入美国资本市场的战略重要性。慧点科技美国第一轮接受综合审计公司的统计结果基于所获得的最可靠信息，以下是截至2005年5月17日的统计结果:事务所出具的404报告数量否定意见数量百分比德勤4965911.9%安永7237810.8%毕马威5977612.7%普华永道6597611.5%其他3396820.1%合计2,81435712.7%同时，截至2005年5月，有几十家尚未完成年度报告编制的企业披露了可能导致否定或保留意见的重大缺陷/实质性漏洞，我们预计最后获得否定意见的企业可能占到总体报告数量的14%左右。慧点科技所有公司提及的实质性漏洞分类数目百分比公认会计政策的应用12610%交易审核11810%员工有关事项(级别、技术、培训)1129%税务事项998%政策/文档记录问题887%财务报表结账流程/合并流程796%固定资产，租约776%控制环境726%职责分工504%其它504%合同/借款/第三方交易464%国际贸易及分子公司433%兼并/母公司有关问题413%IT及应用系统安全/用户控制353%存货管理333%收入302%员工福利/养老金222%应收账款181%IT及应用系统基础构造171%应付账款171%预提/重组费用161%公司内部对账151%法规遵循131%IT及应用系统变更控制101%反舞弊控制81%IT及应用系统数据保护50%1240100%提及的实质性漏洞分类10-K表慧点科技发现问题的分类外部审计师在对被审计单位审计中发现的问题，按其重要程度根据质和量上的标准把这些问题分为三类：控制缺陷：如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错报，那么就存在一般内部控制缺陷。重大缺陷：是一种严重影响公司根据公认会计准则要求对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总，重要缺陷能够在可能性大于“微小”的情况下，导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。例如，–会计政策的选择与公认会计准则不符；–反舞弊政策与程序无效；–针对非常规交易无效；–期末报告有关的控制无效等。慧点科技发现问题的分类（续）实质性漏洞：导致年度或中期财务报告中的重大错报未被防止或发现的可能性大于“微小”的一个重大缺陷或多个重大缺陷的组合。例如，–高级管理层任何形式，任何数量的舞弊行为；–以往财务报表的错误声明（无论由于错误或者舞弊而发生的）；–本期审计师发现的重大错报；–审计委员会监管无效；–内审、风险评估无效；–受高度监管的企业（如电力行业），法规遵循情况无效；–已告知管理层和审计委员会的重大缺陷没有改正；–控制环境无效。慧点科技如何减少实质性漏洞及重大缺陷的发生公司及各站段的管理层需要积极参与到内控工作中对于管理层内控测评工作中发现的重大缺陷和实质性漏洞管理层要坚决进行整改。慧点科技企业内部控制制度设计的基本原则和重点合规合法性原则全面性与系统性原则内部牵制原则成本效益原则权限明确、奖惩结合原则信息反馈原则1234预防为主、查处为辅注重选择关键控制点注重相互牵制设立补救措施内控制度设计重点慧点科技企业内部控制测试与评价调查了解企业内部控制确定审计范围、重点和方法综合评价被审企业内部控制符合性测试评价企业内部控制的健全性实质性审计审计报告不健全无效测试评价审计及报告健全性测试与评价符合性测试与评价综合评价健全性测试与评价是针对企业所实行的企业内部控制本身是否完善、是否健全所进行的测试和评价；符合性测试与评价是审计人员为了证实企业内部控制在实际工作中是否得到贯彻执行程度如何，而对在健全性评价中被认为健全或基本健全的企业内部控制所进行的测试与评价。慧点科技测试方法及综合性评价健全性测试方法记述法(书面说明法)调查表法流程图法符合性测试方法检查证据法穿行试验法实地考察法综合性评价报告内容总体评价主要执行偏差内部控制改进意见控制发生频率建议测试样本数量每月一次2－4每旬一次3－8每周一次4－10每日一次10－25全年次数在1000次以下25－50全年次数在1000次以上50－100慧点科技基本方法以设计好的测评模型为基础把测评的结果写在测评模型中把每一步的测评结果写在测评模板中对于发现的例外情况进行初步的判断测评的基本方法重新执行检查观察询问可靠性递增慧点科技通过口头或书面形式确认控制存在做薄弱的测试方法应该与其他测试共同执行应该询问多人以确定结果一致文档记录要求：