1. 1. 内部控制概述 2. 内部控制体系建立情况 3. 内部控制体系评价 2. 管理核心 降低风险,快速发现问题,确保目标实现,加强公司治理,避免管理和员工舞弊 3 4 5 6 错误记录和虚假财务报告 业务中断 错误的业务决策 欺诈和挪用 法律制裁 成本过高 资源浪费 竞争劣势 7 员工报告 内部控制 内部审计 客户反馈 偶然发现 管理层调查 58% 51% 43% 41% 37% 35% 2003 Prentice Hall Business Publishing,审计和保证服务 9/e内控制度培训,Arens/Elder/Beasley 匿名报告电话
2. 通知员工调查政府公告外部审计的其他原因 35% 25% 21% 16% 4% 20% 8 9 实现企业目标,确保守法经营 提供正确信息,维护资产安全 10 11 管控环境 监督与管理控制活动 风险评估 沟通信息 12 外部 影响董事会和审计委员会的管理理念和运作风格、职责分配和授权、人力资源政策和实践、组织结构、诚信原则和道德价值观13是确保公司管理层识别风险后,针对风险发布的指示得到实施的政策和程序。 14 风险评估步骤 1. 识别自然或人为风险 2. 评估风险发生的可能性 潜在损失 考虑有效性和时间 评估成本和收益 3. 确定成本/收益/有效性 15 16 有效的监督培训
3. 协助员工,监控绩效,纠正错误,确保资产安全。 使用预算、配额、标准成本和差异调查进行负责任的报告。 内部审计:审查财务报告和公开信息,评估对内部控制的影响 17 目标控制方法 组织控制方法 授权控制方法 程序控制方法 检查控制方法 18 成本限制共谋与欺诈 人为差错管理 紫外线态势变化 19 20 信息与控制视角 系统与动态视角 行为与目标视角 21 改进建议 评估 实际状态 描述 理想状态 实际状态 观察文件 建议 评估计划/目标 22 信息化原则 系统化原则 个性化原则 23 确定设计范围 确定设计主题 坚持自上而下、自下而上的设计准则24:坚持预防为主、注重制度遏制、注重程序
4、控制,注重责任遏制 25 确定控制目标,建立控制流程,研究控制环节,设定控制要点,提出控制措施,形成控制文件 26 处理内部控制与经营的矛盾,处理内部控制与经营的矛盾讲好内部控制和效率,搞好内部控制和效率 27 第三部分:企业内部控制制度评价 28 内部控制制度评价是指对单位现行内部控制制度与理想情况的适当性和有效性进行分析和价值评价。以及适当的内部控制系统理论模型。 有效的内部控制必须遵循三个原则:适当性、一致性和成本效益。 企业内部控制制度必须健全、合理、有效。 29. 组织架构是否清晰,职责分工适当? 是否有一套审批、记录程序的制度来控制各项活动?实际工作中是否充分使各组织部门能够
5. 职责和职能是否履行? 是否有与职责相称的人员? 30 内部控制体系调查方法 内部控制体系描述及初步评价 合规测试综合评价 31 确定调查内容 综合运用各种系统调查技术 审查法 询问法 观察法 问卷调查法 32 P-主要调查方法 S-次要调查方法调查 33 34 解释法、制表法、流程图绘制法 35 阐明所审查系统的理想模型“应该是什么”。 澄清当前的控制系统“是什么”。 比较两者以确定当前系统的有效性和适当的控制。 36 依据 规定的控制体系对实际生产、技术、经营或会计、财务活动进行检查,以确定这些控制环节是否实际存在、是否始终一致、是否存在失控的情况。 这是合规性测试。 合规性测试通常采用抽查的方式。 正方形
6、按方法进行,即从大量经济业务或相关记录中选取一定数量的样本,进行详细检查,根据检查结果确定总体有效性。 37 测试前主要考虑:时间、类型和范围 选择测试计划的内容:目的、时间、性质(具体步骤和适当的证据)、获取证据的方法、证据的数量 确定测试的程度:能够评估控制实施情况所需的测试数量 确定具体测试技术:证据检查法、再处理方法、现场观察 方法 38 控制类型 测试方法 测试证据方法 再处理方法 现场观察方法 物理控制 SN /AP 批准和授权 PSN/A 审核 PSN/A 职责分离 SN/AP P - 主要取证方法 S - 次要取证方法 N/A - 不适用 39 序列号 测试问题 测试内容 测试方法 测试数据 测试时期
7、中期检验结果 40 重点内容:企业的组织机构和职责分工是否健全; 体现制度的各种文件是否规范; 管理制度、会计制度、内部审计制度是否健全; 业务办理和备案程序是否正确有效,授权、审批、执行、备案等核查、报告等程序是否齐全? 人员选拔、培训、考核、岗位、轮换是否科学合理? 是否有明确的岗位职责和奖惩制度? 关键控制点是否必要? 是否有必要的控制措施? 内部控制是否注重两项经济评价? 方面 诚信评价 薄弱环节评价 41 内部控制体系构成要素评价 企业内部活动控制评价 42 控制环境评价 目标 风险评价 活动控制评价 信息与沟通评价 监督评价 43 从企业文化角度价值观:企业成员的诚实、正直、管理理念4
8. 4. 总体目标的设定。 设定部门或业务活动目标。 识别影响目标实现和意外事件管理的风险。 45. 企业总体目标是否存在特定风险? 总体目标是根据公司当前的资源状况制定的吗? 已明确传达给公司全体员工并正在实施。 公司战略是否与公司总体发展目标一致,资源配置是否有效,公司计划和预算是否根据战略和总体目标制定,隐含假设是否基于过去的经验和经验管理层接受当前现实 46 树立风险意识,加强风险防范 所有者遇到的风险 经营者遇到的风险 管理者遇到的风险 经营者遇到的风险 47 确定企业是否已识别、捕获和处理与风险相关的所有内外部信息企业48 企业活动可以使用波特价值链进行分析
9. 描述企业的所有活动可以分为主要业务活动和为客户创造价值的业务支持活动。 代表性企业价值链如下: 49 企业基础设施 人力资源管理 技术开发 采购 内部物流 生产经营 外部物流 营销与销售 服务 利润 利润 辅助活动 基本活动 50 确定活动的主次目标 预测可能出现的风险活动中提出评价活动要点 51 产品研发活动 人力资源活动 行政后勤活动 52 内部控制组成部分单项评价表 风险评估与控制活动 内控体系总体评价表草案 53 重点描述/评论(填写相关重要问题)到此组件)(通过回答焦点问题
10. 通常是有关单位如何处理问题的信息,而不是“是”或“否”的答案)结论/所需采取的行动(评估每个要素组成的子问题后,记录相关控制是否有效以及可能采取的措施)需要采取或考虑的行动)该要素的概要结论/所需采取的行动(记录该要素的总体评估结果并得出该要素中包含的相关控制是否总体有效以及需要采取的补救措施的结论)是,评估内部控制体系的五个组成部分,格式如下: 54 序号 目的 性质 风险因素 风险分析评估结论 可能性 控制活动 其他受影响的目标 55 内部控制组成部分 初步结论/要求措施 其他补充信息 控制环境 风险评估 控制活动 信息和沟通 监督 总体结论 56 结束 57 总体目标 财务报告目标 内部控制
11. 系统原理 控制 环境风险评估系统 监控活动 信息沟通 58 使用系统保证信息获取的正确性 使用系统保证信息的畅通和充分利用 使用系统保证信息的及时反馈 59 根据信息根据反馈流程和各阶段特点,实行职能分离、职责分工、事务分工,明确职责,确保信息正确、及时提供和使用。 建立合理的业务处理和凭证传递程序,保证信息反馈过程的顺畅,防止信息反馈过程中关键点的堵塞和迟缓。 在点或平衡点实施严格的控制程序,建立定期检查制度,避免并及时发现错误。 60运用系统视角和系统方法的完整性、综合性、结构层次性、关联性、动态平衡性和综合性。 分析统一性等特点,设计纵横交错的控制网络和点面结合的控制系统。
12、线路控制。 系统性原则三方面:基于系统思维、基于系统观点进行系统规划、系统分析设计系统功能、设计系统结构 61 根据企业实际情况,制定内部控制制度,符合企业经营要求 62 符合国家政策法规,适合企业 其经营特点相互制约,符合成本效益要求。 63 控制环境提供企业纪律和结构,塑造企业文化,影响企业员工的控制意识。 它是所有其他内部控制组成部分的基础。控制环境包括以下七个方面 64 严格并始终如一地保持诚实行为和道德标准 不盲目追求不切实际的目标,造成不必要的压力 敏感岗位之间的财务分工必须准确且细致,避免造成资产被盗或隐瞒不良业绩的诱惑,对加强公司内部审计制度起到积极作用
13、董事会的职能是客观监督企业最高管理层,提供道德指导,使全体员工在一般和具体情况下保持正确的判断。 制定书面行为准则和政策声明,并将其传达给所有员工,以尽量减少对人们不诚实、非法和不道德行为的激励。 65 制定正式或非正式的职位描述来分析每个项目并规定每个职位所需的知识和技能。 66. 成员在管理方面的经验。 外部董事的比??例。 成员参与管理的程度。 所采取措施的适当性。 管理层提出的问题的深度和广度。 他们与内部和外部审计师的关系的性质。 67 处理和承担业务风险的方式依赖于书面政策、绩效指标和报告系统,以便与关键管理人员就对财务报告的态度和所采取的措施进行沟通。
14.对信息处理和会计职能和人员的态度,以及对现有替代会计准则和会计价值估计的谨慎或激进态度。 68 组织结构的适当性及其提供管理企业所需信息的沟通能力。 每位主管的职责是否适当。 根据主管的职责,判断其是否具备足够的知识和丰富的经验。 当环境发生变化时,企业配合组织结构变化的程度以及员工数量,特别是负责管理和监督职能的员工数量是否充足。 69 为组织内的所有活动合理有效地分配职责和权限。 为执行任务和承担责任的组织成员,特别是关键岗位的组织成员提供和配备所需的资源,并确保他们的经验和知识与其职责和权限相匹配。 让所有员工都知道:他们的工作行为、责任职责以及表彰方法和完成情况
15.与组织目标的联系。 70 确保组织所有成员具有一定水平的诚信、道德和能力的人力资源政策和实践。 建立健全的招聘和选拔政策和操作程序。 对新员工进行企业文化和道德价值观的入职培训。 任何违反行为准则的行为都将得到解决。 对表现良好的员工制定纪律约束和处罚措施,制定奖惩计划,奖惩结合,避免诱发不道德行为。 根据定期绩效评估的结果,对员工进行晋升、指导、奖惩。 71 每个企业都面临着来自内部和外部的不同风险。 这些风险必须被识别和评估,并采取相应的措施来应对。风险评估包括以下几个方面72 设定目标是风险评估的前提。 企业的总体目标通常由企业的理念和追求的价值观决定,并且
16、与之相协调的是企业下级各部门的具体目标。 公司总体目标包括: 经营目标,包括业绩和利润目标,以及确保资产安全避免损失。 财务报告目标是防止外部报告。 提交不真实财务报告遵循目标内控制度培训,公司遵循国家相关法律法规。 73 识别和分析风险是一个持续、迭代的过程,也是有效内部控制的关键组成部分。 管理层必须密切关注各部门风险并采取必要的管理措施。 企业风险一般由外部因素和内部因素引起。 外部因素包括:技术发展; 客户需求或期望的变化; 竞赛; 新的法律和行政命令; 自然灾害; 经济环境的变化等。内部因素包括:信息系统处理的中断; 聘用员工的素质、培训方式和激励制度; 管理者职责的变化; 公司的
17. 活动的性质以及雇员获得资产的程度; 74 经济、产业和管理环境会发生变化,企业的活动也应随之变化。 因此,风险评估最基本的部分是如何识别已经发生的变化并采取必要的行动。 变化因素包括:行业环境的变化; 新员工; 业务快速增长; 新技术; 新业务、产品、运营; 公司重组; 75 控制活动是指确保企业管理层识别风险后,针对风险下达的指令得到执行的政策和程序,如批准、授权、核查、调整、审查经营业绩、确保资产安全和分工等。控制活动发生在企业内部的各个层级和职能部门。 76 管理记录业务活动(如市场拓展、生产流程改进、
18. 成本控制)结果然后与预算、预测、以往绩效和竞争对手绩效进行比较,以衡量目标实现程度并监督计划(如新产品开发、合资、融资活动)的执行情况。 77 负责某个部门的经理审查其所负责部门的绩效报告,并检查该部门各项业务活动的状况以识别趋势。 78 信息系统的控制活动可分为两类。 第一类是一般控制,帮助管理层确保系统能够持续、正常运行; 第二类是应用控制,包括应用软件中的计算机化步骤和相关的手动程序。 (一般控制包括:对数据中心运行的控制;对系统软件的控制;对访问安全的控制;对应用系统开发和维护的控制。(应用控制包括:输入控制;输出控制)。 79 防护设备、库存
19. 定期盘点证券、现金和其他资产的实物安全,并与控制记录中显示的金额进行比较。 80 将不同组的数据(如经营数据、财务数据)进行相互比较,分析它们之间的关系,然后进行调查和修正。 以库存为例,其绩效指标包括:进货价差、订单中“急单”的比例、退货占总订单的比例。 管理层需要调查意外结果或异常趋势,并找出无法实现采购目标的原因。 81 职责分离并将不相容的职责分配给不同的员工,以减少错误或不当行为的风险。 82 在其运营过程中,企业需要以某种形式识别、获取和传达准确的信息,以使员工能够履行其职责。信息系统不仅处理企业内部产生的信息,还
20. 管理与外部事务、活动和环境有关的信息。 企业所有员工必须明确从承担控制责任的最高管理层获取信息,必须有方法向上级部门传达重要信息,并与外部客户、供应商、政府部门和股东进行有效沟通。 83 信息系统处理企业内部和外部的信息。 内部信息数据包括采购数据、销售交易数据、内部业务活动数据和内部生产过程数据; 外部信息数据包括显示特定市场或行业对公司产品的需求变化时的经济数据,并用于公司的生产。 产品信息、显示顾客偏好的市场情报、竞争对手产品开发活动的信息、立法和行政机构发布的信息。企业必须建立良好的信息系统; 建立良好的信息系统支撑战略、信息
21、制度与企业运营应有效结合; 应选择信息系统更新的最佳时机; 而且信息质量应该非常好。 84 内部沟通需要使所有员工,特别是那些负有重要运营职责或财务管理职责的员工,除了管理其所负责的活动的重要信息外,还应收到有关控制职责的内部明确信息; 每个人都必须清楚地了解自己所负责的具体任务,了解内部控制制度的规定、如何发挥作用,以及自己在控制制度中扮演什么角色以及承担的责任。 责任:员工在执行任务时,一旦发生突发事件,不仅要关注事件本身,还要关注导致事件发生的原因,以便发现潜在的缺陷,采取行动,防止再次发生。 发生; 员工必须知道他或她
22. 他们负责的活动与其他人的工作有何关系? 员工必须有方法在组织中向上传达重要信息。 外部沟通应确保: 客户和供应商可以通过开放的沟通渠道输入重要信息; 与相关外部团体沟通,以获得有关公司内部控制职能的重要信息; 外部审计师在审计公司的运营、相关业务问题和控制系统后,可以向管理层和董事会提供重要的控制信息; 主要政府机构(银行或保险机构(如银行或保险机构)报告的审查或检查结果可以有效弥补控制的不足。85内部控制系统也需要受到监控和用来评估自身的运营情况监督是由适当的人员适时、适当地对内部控制制度的设计和实际运行情况进行评价。监督活动包括持续监督和个别评价,以保证公司内部控制制度的健全
23.持续有效的运作。 86 当负责运营的管理层执行日常管理活动时,他们获得有关内部控制系统持续运作的信息。 当经营报告和财务报告与他们所获得的信息存在重大偏差时,他们可以对外界的报告提出质疑。 群组沟通可以验证内部信息的正确性并及时反映问题。 适当的组织结构和监督活动可以用来识别各种职责分离的情况,以便不同的员工可以相互检查以防止欺诈。 信息系统记录的信息与实际资产核对; 内部和外部审计师定期提出加强内部控制体系的建议。 培训课程、计划会议和其他会议可以向管理层反馈控制是否有效的重要信息,并定期要求员工陈述意见。 公司的行为准则是??否得到理解和遵守,87尽管持续的监控程序可能会
24、有效评估内部控制体系,但企业有时需要组织异常评估来直接监控控制体系的有效性。 这种方法可以评估正在进行的监督过程。 评估的范围和频率将取决于风险的程度和控制的重要性。 88 内部控制缺陷应自下而上报告,某些缺陷应向高级管理层和董事会报告。 89 管理层是内部控制体系的最终负责人。 在大型企业中,高层管理人员为中层管理人员提供发展方向,并定期审查他们对业务的控制力。 中层管理者通过为下属建立控制制度和程序来履行各自的职责。 在实现内部控制的过程中,最重要的责任人是财务人员 90 目标和目标 计划和程序 理想状态 实际状态 差异的衡量 异常与例外 向管理部门报告必要的行动 继续 91 权限控制设计 授权控制设计 激励机制设计 信息传达设计 92 文本描述方法采用叙述性描述来描述系统。 文字描述法常用的问题有:工作人员办理了什么业务或凭证? 这些业务或凭证是如何发生的? 需要什么审批程序? 有会计分录吗? 产生什么样的记录? 93 序号 弱点情况 管理层意见 可能存在的问题 改进控制意见 内部控制体系薄弱记录清单 序号 强项情况 控制目标职能绩效 控制改进意见 内部控制体系强项记录清单 94 环境控制风险控制(道德风险、财务风险) 过程控制 能力控制 资源控制 95