中国内部控制标准体系.ppt

,中国内部控制标准体系,李崇刚,副教授 硕士生导师 管理学（会计与审计）硕士 内蒙古会计学会理事 联系电话电邮：,中国内部控制标准体系简介,第一部分,中国内部控制标准体系简介,（一）企业内部控制基本规范 （二）企业内部控制应用指引 （三）企业内部控制评价指引 （四）企业内部控制审计指引,基本规范的制定主体,在该委员会之下专门设立政府于非盈利组织内部控制标准咨询专家组并启动相关课题研究工作,内部控制标准体系,基本规范,以评价指引、应用指引、鉴证指引等配套办法为补充,以其为统领是重中之重,1、五个目标： 合规性、可靠性、安全性、经济性，战略性 （coso：3个目标，无安全性和战略性） 2、五个原则： 全面性、重要性、制衡性、适应性、成本效益 3、五个要素： 内部环境、风险评估、信息与沟通、控制活动、内部监督,（一）企业内部控制基本规范1个,（二）企业内部控制应用指引15个,1、组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任 2、资金、资产、采购、销售、研发、工程项目 3、全面预算、合同、内部报告、信息系统 注：财政部等还将出台具体的操作手册或讲解材料 思考问题：如何设计和应用？,（三）企业内部控制评价指引,1、管理层要提交内部控制评价报告 （年度评价和专项评价） 2、评价组织与实施 a.谁负责：企业主要负责人 b.谁实施：董事会（或类似决策机构）或其授权机构 （可借助cpa或外部专家） c.遵循原则：全面性、重要性和独立性 d.评价方案设计及实施 e.评价方法（访谈、问卷、专题讨论、穿行测试、 统计抽样、比较分析等） f.工作底稿编制与复核,（三）企业内部控制评价指引,3、年度评价和报告的内容 a.评价：对整个年度、整个内部控制在某一基准日的有效性评价后，发表一个意见。 b.报告：内控设计或执行方面的重大缺陷 a).重大缺陷 b).重要缺陷 c).一般缺陷,（三）企业内部控制评价指引,4、内部控制缺陷的认定 a，设计缺陷和运行缺陷 企业在内部控制评价中，应对内部控制缺陷进行分类分析。 1、设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。 2、运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。,（三）企业内部控制评价指引,b,重大缺陷、重要缺陷和一般缺陷 重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。 重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。 注意：缺陷的整改责任人不同：董事会（监事会监督）、经理层、内部有关单位,（三）企业内部控制评价指引,5、内部控制评价报告 （一）组织实施内部控制评价的总体情况。 （二）内部控制责任主体的声明。 （三）内部控制评价的范围和内容。 （四）内部控制评价的标准和依据。 （五）内部控制评价的程序和方法。 （六）内部控制重大缺陷及其认定情况。 （七）内部控制重大缺陷的整改措施及责任追究情况。 （八）内部控制有效性的结论（基准日）。 注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。,（四）内部控制审计,企业（公司）领导层要高度重视 cpa和企业的责任在不断加大 内部控制审计结果将成为企业的重要考核指标 与财务报表审计有很大不同,内部控制基本规范简介,第二部分,基本规范的主要内容,基本规范的框架结构,内部控制基本规范,坚持立足我国国情，借鉴国际惯例，确立了我国企业建立和实施内部控制的基本框架。 规定了内部控制的 目标 要素 原则 要求 是制定应用指引和评价指引的基本依据,基本规范,基本规范的适用范围,自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。 执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计 小企业和其他有关单位 可以参照本规范建立与实施内部控制,适用 范围,内部控制的定义,由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,科学的界定内部控制的内涵，有利于企 业树立全面、全员、全过程控制的理念。,内部控制的目标,合理保证经营管理合法合规 （合规性目标） 资产安全 财务报告及相关信息真是完整 （报告目标） 提高经营效率和效果 （经营目标） 着力促进企业实现发展战略 （战略目标）,erm的四目标,内部控制的5要素框架,内部环境 风险评估 控制活动 信息与沟通 内部监督,五要素间的关系,内部环境 重要基础 前提 风险评估 重要环节 基础 控制活动 重要手段 主体 信息与沟通 重要条件 保障 内部监督 重要保证 手段,coso,内部环境,治理结构 机构设置与权责分配 内部审计 人力资源政策 企业文化,诚信的原则和道德价值观 评定员工的能力 董事会和审计委员会 管理哲学和经营风格 组织结构 职责的划分与授权 人力资源政策及程序,coso,治理结构,根据国家有关法律法规和企业章程： 建立规范的公司治理结构和议事规则 明确决策、执行、监督等方面的职责权限 形成科学有效的职责分工和制衡机制,企业应当做什么？,规范的公司治理结构及其职责权限,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,依法行使 企业经营 决策权,负责内控 的建立健 全与实施,主持企业的 生产经营管 理工作,负责组织实 施股东大会、 董事会决议 事项,股东大会,董事会,经理层,监事会,审计委员会,监督企业董事经理和 其他高级管理人员依 法履行职责,对董事会建立与 实施内部控制进 行监督,负责审查企业内部控 制，监督内部控制的 有效实施和内部控制 自我评价情况，协调 内部控制审计及其 他相关事宜等,负责组织领导企业内部控制的日常运行,机构设置与权责分配,企业应当 结合业务特点和内部控制要求设置内部机构 明确职责权限 将权力与责任落实到各责任单位 通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。,具体要求,股东大会,各责任单位,各责任人,审计委员会,监事会,经理层,董事会,内部各职能部门,事业部制组织结构图,杜邦公司组织结构图,内部审计,企业应通过设置独立的内部审计机构，配备独立的内审人员来加强内部审计工作，保证其工作的独立性。 内部审计机构的职能之一 结合内部审计监督，对内部控制的有效性进行监督评价； 监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告； 监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,人力资源政策,员工的聘用、培训、辞退与辞职。 员工的薪酬、考核、晋升与奖惩。 关键岗位员工的强制休假制度和定期岗位轮换制度。 掌握国家秘密或重要商业机密的员工离岗的限制性规定。 有关人力资源管理的其他政策。,主要 包括,人力资源政策,将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准 切实加强员工培训和继续教育，不断提升员工素质。,选聘员工的标准,企业文化建设,企业应当加强文化建设 培育积极向上的价值观和社会责任感 倡导诚实守信、爱岗敬业、开拓创新和团队协作精神 树立现代管理观念，强化风险意识 董事、监事、经理及其其他高级管理人员应当在企业文化建设中发挥主导作用 企业员工应遵守员工行为守则，认真履行岗位职责 增强董事、监事、经理及其其他高级管理人员和员工的法制观念 建立健全法律顾问制度和重大法律纠纷案件备案制度,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,目标设定 风险识别 风险分析 风险应对,主括 包括,erm中 四要素,目标设定,企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行分析评估。,风险识别,风险识别,风险的分析与应对,风险分析 采用定性、定量相结合的方法； 按照风险发生的可能性及其影响程度等； 对识别的风险进行分析和排序； 确定关注重点和优先控制的风险,风险应对策略 风险规避 风险降低 风险分担 风险承受,与erm相同,控制活动,不相容职务 分工控制 授权审批控制 会计系统控制 预算控制 财产保护控制 运营分析控制 绩效考评控制,业绩检查 信息处理 实物控制 职责分离,主要 包括,coso,不相容职务的分工控制,不相容职务分离控制要求企业 全面系统地分析，梳理业务流程中所涉及的不相容职务，实施相应的分离措施； 形成各司其职，各负其责，相互制约的工作机制。,不相容职务的分工控制,交易的授权和交易的执行职务的相分离 交易的执行与审核监督职务的相分离 交易的执行与相关资产的保管职务相分离 交易的执行与会计记录职务相分离 资产的保管和会计记录职务相分离 注意 不相容职务分离，要贯彻实质重于形式的原则,授权审批控制,要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围，审批程序和相应责任 企业应编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。 常规授权：企业在日长发经营管理活动中按照既定的职责和程序进行的授权，如，出纳会计的职责权限 特别授权：企业在特殊情况、特定条件下进行的授权,授权审批控制,各级管理人员应当在授权范围内行使职权和承担责任 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,授权审批案例,a公司规定：为对货币资金开支实行严格控制，在年度预算内的资金预算如下： 5万元以下的开支由财务处长审批 5万20万元的开支由总会计师审批 20万50万元的开支由总会计师签署意见，总经理审批； 50万元以上的开支由董事会商讨决定。 某日，公司采购部门送来付款申请及相关凭证，要求按采购合同约定以转账支票支付上月采购某种货物的货款6万元。 碰巧，当日总会计师在外出差，负责预算内资金支付的出纳小王也因病请假，小王的名章和票据经财务处长同意由小张保管，但小张平时只负责零星开支和与银行对账，不经手支票开立事务。 因此，财务处长答复采购部门，暂时无法支付货款。但采购部说按合同，当日若无法付款，将支付供货方一定的违约金。,授权审批案例,此种情况下，财务科长启动特殊授权程序： 1）他立即与总会计师取得联系，说明具体 情况，总会计师同意先由财务处长代签， 出差回来后再办理补签手续，财务处长将 总会计的特殊授权意见及时告知相关复核 人员。 2）财务处长授权小张暂行小王职权，待小王 病假回来后仍各归其位，各负其责。 3)向管理公司法定代表人图章的小李说明情 况，取得其支持。 至此，特殊授权程序完成，采购货款得以 顺利支付。,会计系统控制,会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证，会计账薄和财务会计报告的处理程序，保证会计资料真实完整 企业应当依法设置会计机构，配备会计从业人员 从事会计工作的人员，必须取得会计从业资格证书 会计机构负责人应当具备会计师以上专业技术职务资格 大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。,财产保护控制,要求企业建立财产日常管理制度和定期清查制度 采取财产记录，实物保管，定期盘点，帐实核对等措施，确保财产安全 企业应当严格限制未经授权的人员接触和处置财产,预算控制,要求企业实施全面预算管理制度 明确各责任单位在预算管理中的职责权限 规范预算的编制、审定、下达和执行程序，强化预目的预算约束。,运营分析控制,要求企业建立运营情况分析制度 经理层应当综合运用生产、购销、投资、筹贷、财务等方面的信息。通过因素分析，对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进,绩效考评控制,企业应建立和实施绩效考评制度 科学设置考核指标体系 对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价 将考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据,控制活动,企业应根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 企业应建立重大风险预警机制和突发事件应急处理机制。 明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确责任人员、规范处理程序，确保突发事件得到及时妥善处理,外部信息获取渠道 行业协会组织 社会中介机构 业务往来单位 市场调查 来信来访 网络媒体 有关监督部门等,内部信息获取渠道 财务会计资料 经营管理资料 调研报告 专项信息 内部刊物 办公网络等,信息与沟通,“管理就是沟通，沟通再沟通”,通用电气ceo杰克.威尔逊,信息与沟通,信息沟通的对象 企业内部各管理级次、责任单位、业务环节之间 与外部投资者、债权人、客户、供应商、中介机构和监管部门之间,信息沟通结果处理 信息沟通过程中发现的问题应当及时报告并加以解决 重要信息应当及时传递给 董事会 监事会 经理层,信息与沟通 企业应建立反舞弊机制（第42条） 至少应该将下列情形作为反舞弊工作的重点： 未经授权或者采取其他不法方式侵占、挪用企业资产、牟取不当利益。 在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等 董事、监事、经理及其他高级管理人员滥用职权 相关机构或人员串逃舞弊 企业应当建立举报投诉制度和举报人员保护制度，设置举报专线（第43条）,内部监督,内部监督 是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应及时加以改正。 监督主体： -内部审计机构（或经授权的其他监督机构） -其他内部机构（各职能管理部门）,内部监督,监督方式 -日常监督 -专项监督 企业应定期对内部控制的有效性进行自我评价 并出具内部控制自我评价报告,内部监督,内部控制缺陷包括设计缺陷和运行缺陷。 企业应当跟踪内部控制缺陷整改情况。 就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。 企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 内部控制自我评价方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。,企业的一切管理工作 应从建立健全内部控制开始 企业的一切决策应统驭在完善的内部控制之下 企业的一切活动都不能游离于内部控制之外,我们提倡这样一种理论,内部控制审计的理论与实务,第三部分,关键词 审计基准日 财务报告内部控制 合理保证 有效性与重大缺陷 管理层与注册会计师所承担的责任,内部控制审计,1. 审计基准日 内部控制是一个流程，但内部控制的有效性是该流程在某个时点的情况或状态 注册会计师对于内部控制有效性的审计意见应当与财务报告审计意见保持同一日期,内部控制审计,2. 财务报告内部控制 审计师仅对财务报告内部控制的有效性发表审计意见 企业财务报告控制目标包括合理保证企业财务报告的真实完整。 如果企业建立了有效的财务报告内部控制，那么： 保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况。 合理保证按照企业会计准则和相关会计制度编制财务报表，发生的收入和支出已经过企业管理层和董事会的授权。 合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。,内部控制审计,3. 合理的保证 内部控制本身，包括财务报告内部控制在内，是有局限性的 合理的保证不等于绝对的保证 合理的保证取决于审计师具备适当的胜任能力及审慎，并执行了 适当的审计步骤从而得出的结论,内部控制审计,4. 有效性与重大缺陷 有效的财务报告内部控制，能够为企业按照适用的会计准则和相关会计制度的规定编制真实完整的财务报表提供合理保证 缺陷的分类： “ 一般缺陷” “重要缺陷” “重大缺陷” 如果存在一个或多个重大缺陷，财务报告内部控制应被认定为无效。 即使财务报表不存在重大错报，财务报告内部控制也可能存在重大缺陷。,内部控制审计,5. 管理层与注册会计师所承担的责任 设计、实施和保持有效的财务报告内部控制，并评价其有效性是企业管理层的责任。 财务报告内部控制审计并不能减轻企业管理层的责任。 注册会计师在实施审计工作的基础上对财务报告内部控制的有效性发表审计意见，而财务报告内部控制审计工作本身不能减轻企业管理层的责任 注册会计师在企业财务报告内部控制审计或财务报表审计中实施的程序也并不能作为企业财务报告内部控制的组成部分。,内部控制审计,内部控制审计,需要明确的几个问题 1、内控审计的范围 2、内控审计业务由谁来做？ 3、对时点还是时期内控发表意见？ 4、与财务报表审计整合进行 5、内控审计意见的决策 6、内部控制审计报告标准格式,1、内控审计的范围,本指引中内部控制审计的范围，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即财务报告内部控制。 注册会计师应当向企业询问非财务报告内部控制设计的合理性和执行的有效性，并取得董事会对非财务报告内部控制遵循情况的书面声明。对内部控制审计过程中注意到的非财务报告内部控制的缺陷，注册会计师应当在内部控制审计报告中予以描述，但无需对其有效性发表审计意见。 本指引以下章节条款中所指内部控制，除非特别指明均指财务报告内部控制。,2、内控审计业务由谁来做？,问题1:同一单位的内部控制审计和财务报表审计由谁来做？ a,同一会计师事务所（国外做法） b,不同的会计师事务所 问题2：同一单位的內控的咨询和审计由谁来做？ (内控基本规范的规定.业务相容?独立道德?),3、对时点还是时期内控发表意见,a、只对特定时点相关内控有效性发表意见 为什么不对时期内控的有效性发表意见？ b、为什么还要同时收集特定时期相关内控的有效性 讨论：企业该怎么做？,4、与财务报表审计整合进行,整合的要点-内部控制了解测试 以风险评估为基础 采用自上而下方法选择拟测试的控制 注意：重大缺陷与重大错报的关系,5、内控审计意见的决策,需要几种审计意见（只有3种，不准发表保留意见） 1）有重大缺陷：否定意见（发现一个后还继续查吗？） 2）有范围限制：撤消业务约定，或无法表示意见（此时在报告里，还要说明范围受限前，执行有效程序发现的重大缺陷吗？） 查出内控问题的层次及审计处理： 1）deficiency_缺陷_可能沟通 2）significant defi_重要缺陷_仅沟通即可 3）material weakness_重大缺陷_影响审计报告,6、内部控制审计报告标准格式,（一）标题；（二）收件人；（三）引言段； （四）企业对内部控制的责任段； （五）注册会计师的责任段； （六）内部控制审计的范围段； （七）内部控制固有局限性的说明段； （八）财务报告内部控制审计意见段； （九）非财务报告内部控制缺陷描述段； （十）财务报表审计意见类型的提及段； （十一）注册会计师的签名和盖章； （十二）会计师事务所的名称、地址及盖章； （十三）报告日期。,内部控制审计,企业内部控制审计程序 审计计划 企业层面内部控制的测试 业务流程层面内部控制的测试 信息技术一般控制的测试 控制测试中的抽样技术运用 控制缺陷评价,“计划审计工作”的主要内容： 总体要求 风险评估的作用 调整审计工作 应对舞弊风险 利用他人的工作 确定重要性水平 使用服务机构,内部控制审计,分类,内部控制审计,企业层面内部控制,业务流程层面内部控制,对企业具有普遍影响,影响具体账户、列报及认定,内部控制审计,企业层面内部控制测试的主要内容 自上而下的审计方法 对所测试的企业层面内部控制程序的选择 评价企业层面内部控制的主要内容,自上而下的审计方法,从财务报表层次初步了解内部控制整体风险 识别企业层面内部控制 识别重要账户、列报及其相关认定 了解错报可能来源及选择拟测试的财务报告相关控制 执行控制测试 ,内部控制审计,对所测试的企业层面内部控制的选择 内部控制审计中，注册会计师应当测试对评价内部控制有效性有重要影响的企业层面内部控制；对企业层面内部控制的评价，可能增加或减少本应对其他控制进行的测试。 注册会计师应考虑在执行业务的早期阶段进行企业层面内部控制的评价工作,内部控制审计,了解和测试企业层面内部控制的方法 了解和测试企业层面内部控制的方法包括但不限于： 询问 观察 检查 穿行测试 仅仅通过询问不能为控制设计和运行的有效性提供充分证据。可能需要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论,企业层面内部控制的主要内容,（一）与控制环境相关的控制 （二）企业的风险评估过程 （三）对控制的监督 （四）针对管理层凌驾于控制之上的风险而设计的控制 （五）集中化的处理和控制，包括共享的服务环境 （六）监控经营成果的控制 （七）对期末财务报告流程的控制 （八）针对重大经营控制及风险管理实务而采取的政策,整合审计 “整合审计”要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来，从整体角度考虑。 财务报告内部控制审计和财务报表审计的目标不同，会计师应当计划和执行测试工作，以同时实现二者的目标： 支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见； 注册会计师在实施报表审计时，是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一； 报表审计的结果又会影响到财务报表内部控制审计的结果。 因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来