企业内部控制理论与实务.ppt

1,企业内部控制理论与实务,2,内部控制的概念 内部控制五要素,内部控制的定义,3,在组织内建立经营政策、标准和程序，并通过各级管理层和员工有效运行，以此来防范风险，达成组织的目标。组织中的所有人员都负有相应的职责。,4,控 制 为 什 么,+,+,控 制 什 么,谁 来 控 制,帮助达成组织目标,风险,董事会 总裁室 经理层 员工层,=,5,内部控制的目标：, 保证信息的可靠性和完整性 保证遵循政策、计划、程序、法律和法规 保护资产的安全 提高经营的经济性和有效性 保证完成所制定的经营任务和目标,6,7,内部控制的目标：, 保证信息的可靠性和完整性 保证遵循政策、计划、程序、法律和法规 保护资产的安全 提高经营的经济性和有效性 保证完成所制定的经营任务和目标,8,内部控制设定原则 明确经营目标与控制措施的关系 特定目标对控制设计的影响 控制目标设定时对成本效益考虑 管理控制与会计控制,9,法案产生之背景 安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。 会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。 重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。 2002年6月，布什总统签署的萨班斯奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称萨班斯奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。 法案出台之目的 - 重建公司信用，培育公众信心，振兴证券市场。 - 加强公司监管，规范业务运作。 - 增加财务报告与信息披露的透明度。 - 确保公司管理层可以从有效监控的系统中获取重要信息。 - 公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。,萨班斯奥克斯利法案概述,10,法案之主要内容 - 成立独立的公众公司会计监察委员会，监管执行上市公司审计职业 - 要求加强注册会计师的独立性 - 要求加大公司的财务报告责任 - 要求强化财务披露义务 - 加重了违法行为的处罚措施 - 增加经费拨款，强化美国证券管理委员会的监管职能 - 要求美国审计总署加强调查研究 其中与上市公司管理层直接相关的是： 第302节 公司对财务报告的责任 第404节 管理层对内部控制的评价,萨班斯奥克斯利法案概述(续),11,法案之主要内容 第302节 公司对财务报告的责任 - 要求公司首要官员及首要财务官在季度/年度报告中保证 - 对信息披露的控制和程序负责（含刑事责任） - 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 - 对披露控制的有效性进行评估，评估结果需存档 - 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 - 存档描述内部控制的重大变化 - 介绍信息披露的控制和程序 - 强调财务人员的正直和财务报告系统控制的完整性 - 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼 - 美国证券管理委员会要求 - 扩大信息披露的控制和财务报告系统内部控制程序的认证 - 将内控评估日改为财务报告截止日,萨班斯奥克斯利法案概述(续),12,萨班斯奥克斯利法案概述(续),法案之主要内容 第404节 管理层对内部控制的评价 - 要求公司管理层在年度报告中： - 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任 - 对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构） - 同时要求外部审计人员： - 对管理层评估结果进行签证 - 美国证券管理委员会要求 - 扩大信息披露的控制和财务报告系统内部控制程序的认证 - 将内控评估日改为财务报告截止日,13,在美国上市的公司，不论规模，均需遵守萨班斯奥克斯利法案的有关规定。 即使上一年注册会计师出具的是无保留意见的审计报告，也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定，独立审计人员还需另外证明客户公司的内部控制系统是有效的。 美国国会清楚地规定，公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为：证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说，管理层必须独立地评估，执行和监控内部控制程序（但是可以聘请独立审计人员以外的咨询人员协助就绪及评估工作）。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。 法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。,法案对于在美国上市公司的规定与影响,14,董事会成员和审计委员会有进行自我评估和接受后续教育的责任 纽约证券交易所和纳斯达克证券交易所的规定 公司治理的要求 公司内控的失败提高了董事会接受相关培训，改进内控程序的重要性,法案要求公司对员工的职业道德作出书面规定 要求审计委员会建立内部举报激励机制,职业操守和公司守法,董事会成员的责任,15,美国证券管理委员会公布了以下新的规定 管理层信息与分析 非通用会计准则下的财务处理 资产负债表表外事项 美国证券管理委员会建议成立信息披露委员会,透明度和信息披露,16,公司财务报告系统内部控制报告书的规定 必须陈述下列情况以评估公司内部控制程序： 管理层承认对公司内部控制有效性负有责任 公司必须使用适当的控制标准（例如COSO) 来评估内部控制的有效性 公司必须提供充分的证据来支持其评估结果 公司必须书面记录与提交其对内部控制有效性的评估结论 需要提供下列证据和文件来支持评估结论： 评估需包括分支机构和业务单元的认定 重要内部控制的认定 重要内部控制程序的设计 控制实施的有效性 内控之重大失败和/或重大缺陷的认定 评估结果,管理层责任评估财务报告系统内部控制的有效性,17,在判定控制的重要性时必须考虑下列因素： 控制失败将导致财务报告失真的可能性 用其他控制手段达到相同控制目的的程度 重要的控制包括: 会计系统初始化、帐务处理、重要帐户余额记录、交易类别和披露方面的控制 反舞弊控制 跨部门的共同控制，缺少它，其他重要控制程序不能独立发生作用 同时使用才能达到一定控制目标的重要控制程序 对重大的非常规和非系统的交易监控的程序 对期末财务报告步骤实施监控的程序,管理层责任评估财务报告系统内部控制的有效性,18,测试内部控制实施效果的方法： 内部审计人员对内部控制有效性进行测试 在管理层的领导下由其他人对内部控制的有效性进行测试 使用外部服务机构的评估 自我评估步骤 测试需考虑的因素 测试手段不能仅限于问询的方式 需测试的控制程序和测试的时间可能会受到公司风险评估和监控步骤的影响 所有重要的分支机构和重要的控制程序都要进行评估 公司不可以使用独立审计人员对内部控制程序的测试结果来支持其作出的内部控制程序有效的结论,管理层责任评估财务报告系统内部控制的有效性,19,文档记录的重要性 文档记录可以为控制程序的确定和控制的监管提供证据 内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷 缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告 管理层声明 完成评估后，公司必须向它的审计师提供一份关于内部控制有效性的书面声明 管理层声明必须作为一个独立的报告包括在管理当局说明书中(*) 对于拒绝出具书面的管理层声明的公司，外部审计人员必须拒绝对其内部控制系统发表意见,* 公司CEO和CFO对该声明书全权负责，并对不实的声明承担刑事责任,管理层责任评估财务报告系统内部控制的有效性,20,项目进度表（初步计划） 关键流程和子流程（财务报表相关内控流程） 访谈提纲、时间表、记录、资料清单 流程文字描述（穿行测试） 流程图 确认流程文字描述和流程图 控制矩阵 内部控制和流程差异性分析 内控设计差异分析报告（问题，建议，改进方案） 符合性测试计划 符合性测试工作底稿 内控实施差异分析报告（问题，建议，改进方案）,本阶段项目主要成果,21,测试步骤-具体要求,明确测试目的,测试资料审核,进行资料准备,了解流程测试目的； 确定需要准备哪些资料；,按流程而不是部门进行资料分类； 根据项目小组所选样本，提供相关凭证和文件；,审核测试样本与流程描述是否相符； 回答项目小组所提出的问题,22,内部控制类型： 预防性控制 检查性控制 纠正性控制 指导性控制 补偿性控制,23,内部控制方法： 组织控制 人事控制 风险评估 程序控制 检查控制 设施设备控制,24,组织控制, 目标、授权和职责 分离不相容职务 决策授权 工作说明书,信息与沟通,控制环境,风险评估,控制活动,监 控,25,人事控制,甄选合适的人员,绩效考核,适时的人员培训,信息与沟通,控制环境,风险评估,控制活动,监 控,休假和工作轮换,26,风 险 识 别,风 险 分 析,风险评估：,建 立 机 制,信息与沟通,控制环境,风险评估,控制活动,监 控,27,发生坏账 政府处罚 法律诉讼 成本超标 收入的减少 资产的毁损 竞争劣势 管理信息谬误 ,风险是普遍存在的：,信息与沟通,控制环境,风险评估,控制活动,监 控,28,政策 规章制度 流程 作业指导书,程序控制,信息与沟通,控制环境,风险评估,控制活动,监 控,29,设施设备控制 计算机软硬件控制 权限设置 摄像头 门禁,信息与沟通,控制环境,风险评估,控制活动,监 控,30,实施监控,纠正偏差,检查控制,信息与沟通,控制环境,风险评估,控制活动,监 控,31,监控方法, 检查 审计,信息与沟通,控制环境,风险评估,控制活动,监 控,32,内部审计的工作流程：,选择审计对象,制订审计计划,审计 准备,审计 实施,形成审计结论和建议,报告,后续 跟进,33,第一章、执行内部控制的目标,期望通过本项目建立一套能实现以下目标的内部控制系统： 满足美国萨宾斯法案（Sarbanes-Oxley Act)对内部控制要求； 作为统一公司的制度和流程的基础；及 开始建立与现代企业制度相适应的公司治理结构和控制环境。,34,美国的萨宾斯法案 （Sarbanes-Oxley Act) 所有在美国上市的公司均需遵行 强调外部会计师的独立性 关注公司内部治理及对外信息透明、完整与正确性 以强化内部控制为核心的要求,执行内部控制的外部压力法案的强制性,35,美国的萨宾斯法案 （Sarbanes-Oxley Act) 需符合规定的时间： 提交截止年底的经审计师鉴证的内部控制报告 根据我们的经验，美国类似规模的上市公司需要一年以上的时间进行准备。,执行内部控制的紧迫性,36,只针对萨宾斯法案的要求 和财务报告有关的部分 覆盖的业务主体,执行内部控制的专注点,37,执行内部控制的广泛性,内部控制绝对不是： 静态的结构； 某一层次人员的任务（例如：高级管理层）； 某一部门的任务（例如：财务、内部审计）； 某一实体的任务（例如：总部、省级公司）。 内部控制是：,美国反欺骗性财务报告委员会（COSO）的定义： 内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证： 经营的效果性和效率性； 财务报告的可信性； 对法律和规章制度的遵循性。,因此，整个集团的共同参与对于项目的成功至关重要。,38,萨宾斯法案的要求的长远益处,四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些因素是遵循萨宾斯法案的结果也是价值的创造,提供的数据客观，形象的表示了公司业绩 财务报表更改的情况将很少发生,业绩将更接近原有的预期 持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化,随着时间的推移，信息将快速的产生 需要快速的提供给投资者相关信息,简单化和标准化的信息使得更容易被理解和接受 管理层要直接看到推动业务的相关因素,及时,可预测,透明,精确,Earnings,39,内部控制和萨宾斯法案,40,第二章、公司治理与内部控制,一、公司治理视野中的内部控制 二、控制环境 三、风险评估 四、控制活动 五、信息与沟通 六、监控,41,为什么要关注内部控制？ 谁关注内部控制？ 审计师提高审计效率 企业管理当局加强企业管理 政府监管部门健全公司治理,一、公司治理视野中的内部控制,42,不同视角下的内部控制 我国： 中注协注册会计师角度 证监会内部控制机制与内部控制制度 财政部内部会计控制 美国： COSO（发起人组织委员会）整体框架 SEC（证券交易委员会）针对财务报告的内部控制,43,财政部 内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。,44,内部控制的构成,控制环境 风险评估 控制活动 信息与沟通 监控,45,内部控制,内部会计控制,内部管理控制,46,内部会计控制包括认可交易、防护资产、以及保证财务记录的精确性的方法和程序，如一套好的会计控制制度有助于效益最大化，并将浪费、过失和舞弊的损失减少到最低限度。 内部管理控制包括组织计划，以及所有可能为管理计划和经营控制提供方便的方法和程序，如部门预算程序、业绩报告，以及向顾客提供信贷的程序。,47,内部控制的特征,不仅仅是制度而是一种理念！ 同战略有关，帮助完成企业目标（确保管理人员和一般员工一贯以企业目标为准则） 同企业的管理哲学、规范和完整性有关 包括制定标准和经营指标 监控、报告及评估 同计划、组织、指导紧密相关的一个不断发展过程 包括人而且受人影响 只能提供合理保证！,48,谁应对内部控制负责？,必须明确，内部控制是每一位主管人员的责任 制定标准的工作可以由计划人员来做；收集信息、分析偏差和造成偏差的原因等工作可以由财务人员、统计人员、销售人员来完成，这些工作甚至可以完全由机器来完成；但是采取纠正措施的职责，必须主要由主管人员来履行，因为他们掌握着职权、承担着实现组织目标和计划的主要职责。,49,内部控制的过程,内部控制是一个信息反馈过程，包括三个基本步骤： 确立标准 衡量成效 纠正偏差,指出偏差,实际与标准 成效比较,计量实际 成效,实际工作 成效,分析偏差 原因,制定纠正 计划,进行纠正,预期工作 成效,50,内部控制的具体活动,内部控制可以是,管理,保证,纠正,指导,预防,发现,监督,51,谁应负责内部控制的建立,董事会 管理人员 会计人员 所有员工,52,内部控制系统的特点 内部控制的各个系统都是为了一定目的而建立的 各个控制系统按其业务活动的繁简而形成大小不等的系统，并构成相互关系 各个控制系统由若干个控制点构成 各个控制点分别存在于有关的管理制度或未建立制度的实际管理活动之中,内部控制系统,53,建立严密而完善的内部控制系 统应遵循的原则 合法性 系统性 适用性 层次性 协调性 经济性,54,内部控制所面临的挑战,控制失败 舞弊内部相互勾结，内外勾结 管理层不受内控牵制 环境、业务性质变化 过度控制高成本 不灵活变通 破坏企业内部的平衡,55,控制失败举例,舞弊：虚假销售 动机：为达到销售目的 手段：盘点时藏匿存货 同第三方达成协议 控制失败：总部对此一无所知缺乏联系 目的不同 缺乏报告和预算控制 截止程序控制很差（未发货先开票） 没有设置出库单控制系统 没有设置客户确认收货控制 未在合同中约定或明确销售确认方法,56,关于舞弊的一些举例,非法侵占和挪用财产 用欺诈等手段获取货币资金 用虚假或误导性的陈述获取资金 欺骗性的滥用获取资金 贪污佣金或奖励 非法接近电脑数据 破坏电脑数据,57,二、控制环境,企业的价值观 胜任能力 董事会或审计委员会 管理哲学与经营风格 组织结构 权力和责任的分配 人力资源政策,58,三、风险评估,企业中风险无处不在！ 企业的所有经营活动，包括销售、生产、投资 融资都是存在着风险的。 财务管理的基本理念之一就是风险收益权衡。 风险的分类： 内在风险与外在风险 管理风险、供应风险、生产风险、融资风险、销售与信用风险 经营风险与财务风险 流动性风险和资产分配风险,59,风险识别 围绕目标：营运目标、财务报告目标、遵循性目标 关注变化：如经营环境、会计规则、科技发展、顾客需求、行业竞争、自然灾害、信息系统、企业活动的性质、员工等 方法：头脑风暴法、德尔非法,60,风险评估,何谓风险评估？ 由高级管理层和部门管理层进行的对经营的复核，它是作为战略计划的一部分，用以确定存在什么风险、风险在哪里以及风险的严重性。,61,风险评估的目的,确定将控制重点置于何处 准备内部审计计划（即把重点放在主要风险上） 为达到此两种目的而需执行的风险评估程序是一样的,62,公司层风险评估,确定集团或公司的主要领域，即主要法律实体或部门 建立公司目标 定义风险 建立风险评估模型 优先考虑风险 确定将控制重点置于何处，准备内部审计计划,63,部门层风险评估,选择高风险部门 确定每个已选部门的经营目标 确定每个已选部门的各项职能区域 与管理人员讨论发生于每个职能领域的风险 评估风险造成的后果及其发生概率 确定将控制重点置于何处，准备内部审计计划,64,风险评估的方法,风险预警的组织机制,会计信息系统,财务信息的收集、传递机制,风险分析机制,风险处理机制,风险责任机制,基础机制,过程机制,风险预警系统机制构成图,65,风险评估的方法,定性分析方法 风险分析调查法 阶段特征分析法 流程图分析法管理评分法 定量分析方法 财务预警模型 财务报表分析法,66,四、控制活动,内部控制的基本方式： 组织结构控制 授权批准控制 资产与记录保护控制 职工素质控制 内部报告控制 风险控制 预算控制 内部审计,67,内部控制系统的构成因素,组织结构、岗位责任、 业务程序、处理手续、 检查标准、人员素质、 内部审计等,内部牵制制度,内部审计制度,程序控制制度,责任控制制度,会计控制制度,财产、凭单 管理制度,68,内部控制的方法介绍,检查（审计） 控制,财务（预算） 控制,程序控制,管理机构控制,作业控制,计量控制,人员控制,质量控制,企业文化,经营目标控制,检查（审计） 控制,69,组织结构控制 基本原则：不相容职务相互分离 授权进行某项经济业务的职务与执行该项业务的职务要分离 执行某项业务的职务与审核该项业务的职务要分离 执行某项业务的职务与记录该项业务的职务要分离 保管某项财产的职务与记录该项业务的职务要分离,70,组织结构控制,如何平衡集权与分权的关系 绝对集权分权与相对集权分权 纵向集权分权与横向集权分权 对财务集权分权的认识 1、组织类型： 子公司、分公司 2、权力安排： 投资决策权 对外融资、利润分配权 财务公司与结算中心 人员委派 财务制度、指标的严格财务报告的频率,71,组织结构控制,体制 优 势 弊 端,集 权 规模效益 能力 总部战略保障 官僚主义 高级人才放大效用 效率 减低组织、代理成本 下级抵触,分权 1+1 2 诸侯现象，母子竞争 企业家精神层层衰减,72,组织结构控制,集权与分权体制的困惑与制约因素 1、集团公司的发展战略 2、集团公司的产品（产业）选择 3、集团公司总部的控制素质 4、分支企业对母公司的财务战略影响重要程度 5、企业集团的不同发展阶段 6、体制本身的各因素分析,73,管理制度控制,企业战略与企业管理制度 企业特征与企业管理制度 企业生命周期与企业管理制度 员工素质与企业管理制度 管理制度的激励效应与约束效应,74,五、信息与沟通,信息： 信息获得； 信息传递； 管理层支持 沟通： 建立渠道； 沟通内容； 沟通有效； 沟通及时,75,评价内部控制系统的成效 日常监控 单独评价 报告分析,六、监控,76,内部控制审核细则,正当授权 凭证完整 恰当的程序 财产保护 休假、责任的替换、保险 独立核对 成本/收益分析,77,集团公司中的内部控制建设,筹资管理 投资管理 财务会计信息报告 担保管理 会计政策 预算管理 财务主管考核,78,第三章、内部控制的相关知识点,1、控制流程图 2、工资业务控制 3、投资业务控制,79,控制流程图描述的是公司整个控制系统的程序和过程，是对一步一步的交易处理过程的图形化表示，包括文件的准备、授权、流程和保管等 可分为:水平流程图（horizontal flowcharts）和垂直垂直流程图(vertical flowcharts) 水平流程图（系统流程图）是将程序中所涉及的部门或只能以水平的方式描述在页面上。通常，代表某一部门或职能所应承担的活动、应遵守的控制制度和文件资料的流程被反映在同一垂直列上。 垂直流程图以从上到下的形式反映某程序的连续步骤，其不能清晰的反映系统所涉及的各个部门以及部门的职能。,1、控制流程图,80,流程图绘制方法,1、确定流程图式 （1）横式 （2）直式 2、确定信息介质符号显示方式 （1）一次显示 （2）重复显示 3、基本规则 （1）从左到右，从上到下