企业内部控制规范与评价PPT课件

企业内部控制规范与评价,提纲,内部控制管理应该管什么,为什么要做内部控制管理,内部控制管理应该怎么管,1,内部控制规范,2,内部控制评价,内部控制评价应该评什么,为什么要做内部控制评价,内部控制管理应该怎么评,为什么要做内部控制管理,内部控制古已有之,在内部控制、预算和审计程序等方面，周代在古代世界是无与伦比的。美国会计史学家迈克尔查特菲尔德,内部控制无处不在,制度认识误区一：制度都有，只是执行不力,囚犯移民的困惑18世纪末期，英国政府决定把犯了罪的英国人统统发配到澳洲去。一些私人船主承包了运送犯人的工作，英国政府以上船的犯人数支付船主费用，多运多得。3年以后，英国政府发现：运往澳洲的犯人在船上的死亡率达12%，最严重的死亡率高达37%。为达到目的，英国政府想了很多办法：办法一：每一艘船上都派一名政府官员监督，再派一名医生负责犯人的医疗卫生，同时对犯人在船上的生活标准做了硬性规定。结果：死亡率不仅没有下降，官员和医生要么“受了贿”，要么“喂了鱼”。办法二：讲“三个代表”，教育船长们把思想统一到国家战略高度上来，别把钱看得太重。效果：死亡率依然没有降下来。办法三：政府以到澳洲上岸的人数为准计算报酬，不论你在英国上船装多少人，到了澳洲上岸的时候再清点人数支付报酬。效果：船主主动请医生跟船，在船上准备药品，改善生活，尽可能让每一个上船的人都健康地到达澳洲：一个人意味着一份收入。死亡率降到了1%以下。有些运载几百人的船只，经过几个月的航行竟然没有一人死亡。,制度认识误区二：制度太麻烦，影响效率,启示一：制度可能影响个别人个别时候的效率，但提高整体的长期的效率启示二：方法的优化、手段的更新可以实现更高的效率启示三：制度提高效果,红绿灯设计,制度认识误区三：内部控制是财务部门的事情,违规补签合同某企业建设管理部门对12个子项目通过招投标签订合同后，又与施工企业违规签订补充合同，更改原合同实质性内容，对付款时间、质保款支付、工程量确认方式等做出重大变更，并擅自决定再支付施工方5%至6%的奖励款，增加建设成本2099万元。调查发现，部分补充合同无分管领导及经办人签字，无合同签订日期，无集体决策记录，无用章登记。,责任划分：一是建设管理部门不按规矩办事，承担第一责任，二是合同印章管理不善，合同归口管理部门承担管理责任，财务部门付款时才知道这段“公案”，但“生米已煮成熟饭”。启示：内部控制需要“人人参与，共同实施”，端口前移,制度认识误区四：大事、小事都由领导实施内控,部分企业缺乏分级授权或授权不合理，控制职责集中在金字塔顶端，大事、小事交由领导审批：1、事无巨细找领导，“审批”变“签字”；2、缺乏支撑信息，领导无法判断；3、基层员工甚至中层未承担应有的控制责任，长此以往缺乏风险意识和主动性，导致领导陷入繁杂的日常事物（领导的主要职责是战略把控、重大决策与监控）应按重要性大小，分层授权，逐级审批。日常事务，制定标准，少麻烦领导，领导负责处理例外事项。,制度需要插上“内控”的翅膀,制度应当闪耀着“内控”的光芒，何为“内控”？,指导性和约束性,制度对相关人员做些什么工作、如何开展工作都有一定的提示和指导，同时也明确相关人员不得做些什么，以及违背了会受到什么样的惩罚。因此，制度有指导性和约束性的特点。,制度的设定包含奖优罚劣的内容，随时鞭策和激励着人员遵守纪律、努力学习、勤奋工作.,制度对实现工作程序的规范化，岗位责任的法规化，管理方法的科学化，起着重大作用。制度的制定必须以有关政策、法律、法令为依据。制度本身要有程序性，为人们的工作和活动提供可供遵循的依据。,鞭策性和激励性,规范性和程序性,企业内部控制规范背景分析,COSO是全国虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布内部控制整合框架，简称COSO报告，1994年进行了增补。,企业内部控制规范背景分析,内控体系起源：国际资本市场监管机构对内部控制的合规要求,企业内部控制规范背景分析,财政部会同证监会、审计署、银监会、保监会，于2008年6月28日正式发布企业内部控制基本规范,为了配合企业内部控制基本规范的施行，财政部等五部委联合发布了企业内部控制评价指引、企业内部控制应用指引和企业内部控制审计指引等配套规范的征求意见稿。,2010年4月26日发布正式稿,于2008年9月30日截止征求意见，反馈较多；经过几轮内部反馈的征求意见，2010年4月26日发布正式稿。,财政部等五部委于2008年6月发布的企业内部控制基本规范对上市公司和大中型企业的内部控制提出了更高的要求。,内部控制管理应该管什么,内部控制五要素,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部监督分为日常监督和专项监督。,信息与沟通信息与沟通是及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。,控制活动不相容职务相互分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,内部环境治理结构机构设置及权责分配内部审计人力资源政策企业文化法律顾问及重大纠纷备案制度,内部控制概念,管理定义,企业为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动风险进行防范和管控。(内控建设不是另起炉灶，而是用先进内控理念和方法、工具改造传统管理),风险导向,以控制、降低、消除风险为目的,流程管理,内部控制是将所有业务活动按流程进行风险分析，并按风险点制定控制措施,制衡性,相互制衡是建立和实施内部控制的核心理念。,企业内部控制体系,风险识别,风险评估,控制矩阵,业务流程,制度索引,不相容权限分离,组织架构设计,管理模式设计,机构设置,职责分工与岗位权限,治理结构,权限指引,内部环境,企业内控目标,企业层面控制,业务层面控制,内部控制评价,对企业内部控制的有效性进行评价，形成评价结论,评价概念,评价目的,保证内部控制有效实施评价内部控制的有效性持续改进内部控制,内部评价报告,工作成果,内部控制管理应该怎么管,企业内部控制规范执行内容,企业层面控制,组织机构、岗位职责、权限指引、监督机制,业务层面控制,业务流程及控制矩阵（包括预算、收支、采购、工程、资产、合同）,风险评估,目标设定、风险识别、风险分析、风险应对,企业内部控制规范风险评估,风险评估的一般程序（技术思路）,六大总体目标各业务具体目标,目标设定,风险识别,风险分析,风险应对,风险规避风险降低风险分担风险承受,潜在事项，不确定性因素有哪些,内外部成因可能性影响程度,企业内部控制规范风险评估,案例：伊拉克七日游,快乐之旅、平安之旅、收获之旅,中枪、中弹、被绑架,可能性：高影响程度：极高（灾难性）,策略具体措施（控制活动）风险规避取消旅游计划风险分担购买保险风险降低穿防弹衣风险接受妹妹你大胆地往前走,设定目标,识别风险,评估风险,应对风险,企业内部控制规范风险识别与分析,风险评估的范围：企业层面应当重点关注的方面,职能部门或牵头部门？的沟通协调和联动机制？,决策、执行、监督分离？权责是否对等？议事决策机制、岗位责任制、内部监督等机制？,管理制度是否健全？执行是否有效？,组织情况,机制的建设情况,制度的完善情况,3,2,1,人员的培训、评价、轮岗等机制？人员是否具备相应的资格和能力？,是否按照国家统一的会计制度对经济业务事项进行账务处理、财务会计报告。,关键岗位人员的管理情况,财务信息的编报情况,5,4,企业内部控制规范风险评估,风险评估范围：业务层面应当重点关注的方面,资产管理,合同管理,政府采购,建设项目,预算管理,收支业务,部门沟通？与工作对应？进度？无预算、超预算？决算？,收入是否归口？收入凭据？印章、票据管理？支出审核？假票套取资金？,是否按预算和计划？采购和验收程序合法合规？档案？,归口管理？盘点？账实不符的处理？处置？,概算？审核审批？招投标？变更？资金安全？档案？,归口管理？范围和条件？合同履行情况监督？合同纠纷？,企业内部控制规范风险应对,不相容职责分离,内部授权审批,归口管理,预算控制,财产保护控制,会计控制,单据控制,信息内部公开,八大控制方法,企业内部控制规范执行内容,企业层面控制,组织机构、岗位职责、权限指引、监督机制,业务层面控制,流程及控制矩阵（包括预算、收支、采购、工程、资产、合同）,风险评估,目标设定、风险识别、风险分析、风险应对,企业内部控制规范企业层面内部控制,内部控制决策机制,2,内部控制关键岗位责任制,3,内部控制监督机制与协同机制,4,严格的会计控制机制,5,内部控制组织机构,1,信息系统控制,6,企业内部控制规范企业层面内部控制,企业应当单独设置内部控制职能部门或者确定内部控制牵头部门，负责组织协调内部控制工作。同时，应当充分发挥财会、内部审计、纪检监察、采购、基建、资产管理、销售、生产等部门或岗位在内部控制中的作用。注：牵头部门在内部控制建设工作中扮演“组织委员”的角色，不能代替专业部门的职责各部门对本专业领域的内部控制的建设与实施承担具体责任内部审计与纪检监察部门负责对企业内部控制进行监督和评价,企业内部控制规范企业层面内部控制,到底什么是“三重一大”？标准应该十分明确，要量化,企业经济活动的决策、执行和监督应当相互分离。,企业应当建立健全集体研究、专家论证和技术咨询相结合的议事决策机制。,重大经济事项的内部决策，应当由企业领导班子集体研究决定。重大经济事项的认定标准应当根据有关规定和本企业实际情况确定，一经确定，不得随意变更。,企业内部控制规范企业层面内部控制,建立关键岗位责任制,建立关键岗位轮岗制,关键岗位主要包括,关键岗位资格能力,企业应当建立健全内部控制关键岗位责任制，明确岗位职责及分工，确保不相容岗位相互分离、相互制约和相互监督。,企业应当实行内部控制关键岗位工作人员的轮岗制度，明确轮岗周期。不具备轮岗条件的企业应当采取专项审计等控制措施。,预算业务管理、收支业务管理、政府采购业务管理、资产管理、建设项目管理、合同管理以及内部监督等,关键岗位工作人员应当具备相应的资格和能力。企业应当加强内部控制关键岗位工作人员业务培训和职业道德教育，不断提升其业务水平和综合素质。,企业内部控制规范企业层面内部控制,监督机制,协同机制,日常监督制度：部门内部各岗位相互监督、归口管理部门对业务部门的监督、审计、纪检部门的监督内部审计制度：保证内部审计的独立性、权威性内控评价制度：细化内部控制评价工作程序、内容，定期对本企业及所属企业的内部控制建设实施情况进行检查，针对缺陷制定整改方案并督导落实。,岗位协同：合理确定部门职责与分工，建立部门间、岗位间的协同机制。流程协同：以预算为主线、资金管控为核心，将预算、收支、采购、资产管理、建设项目、合同管理等业务流程紧密联系，形成相互配合、相互验证和相互监督的内控机制,企业内部控制规范企业层面内部控制,Addyourtextinhere,Addyourtextinhere,Addyourtextinhere,Addyourtextinhere,ClicktoaddText,ClicktoaddText,ClicktoaddText,建立健全会计核算与财务管理制度,依法建立会计机构、设置会计岗位：明确岗责、不相容分离、稽核、后续教育,会计制度建设,会计机构人员,根据实际发生的经济业务事项，遵守国家统一的会计制度，确保财务信息真实、完整,建立财务部门和其他业务部门的沟通协调机制，切实发挥会计的反映与监督职能,核算与报告编制,财务与业务协调,企业内部控制规范企业层面内部控制,Addyourtextinhere,Addyourtextinhere,Addyourtextinhere,Addyourtextinhere,ClicktoaddText,ClicktoaddText,ClicktoaddText,设置信息管理部门或指定专门机构对信息系统建设与维护实施统一管理,明确信息系统建设规划、开发、运行和维护流程，及系统用户管理、数据备份、系统安全和保密等要求,归口管理,建立健全制度,充分利用财务管理系统规范日常预算管理、财务核算、预算执行、资金管理、资产管理等工作,按照财务联席监控实施办法的有关规定，利用财务管理信息系统加强对所属企业的监督和检查工作,充分利用财务管理系统实施管理,利用财务管理系统加强监督和检查工作,财政部规范第十八条企业应当充分运用现代科学技术手段加强内部控制。对信息系统建设实施归口管理，将经济活动及其内部控制流程嵌入企业信息系统中，减少或消除人为操纵因素，保护信息安全。,企业内部控制规范执行内容,企业层面控制,组织机构、岗位职责、权限指引、监督机制,业务层面控制,流程及控制矩阵,风险评估,目标设定、风险识别、风险分析、风险应对,企业内部控制规范业务层面内部控制,企业内部控制规范业务层面内部控制,示例,企业内部控制规范业务层面内部控制,流程图是以图标形式来反映业务流程的记录方式，明确了“哪个部门/岗位”、“做什么事情”、“与谁有工作衔接”、“产生什么文档或数据”、“借助哪个系统平台”等重要信息。,示例,c1,c2,企业内部控制规范业务层面内部控制,内部控制矩阵实际是流程图的详细说明文档，按具体步骤，详细描述了每一步骤谁来操作（责任部门/负责岗位）、前后衔接是谁（部门/岗位），本步骤是否涉及审批、输入输出文档是什么、在哪个系统中操作、有否相关制度规定，本步骤潜在的风险和如何控制风险等信息。,示例,提纲,内部控制管理应该管什么,为什么要做内部控制管理,内部控制管理应该怎么管,1,内部控制规范,2,内部控制评价,内部控制评价应该评什么,为什么要做内部控制评价,内部控制管理应该怎么评,为什么要做内部控制评价,内部控制评价的必要性,风险是否被充分识别并应对,内控评价必要性,内部控制设计是否合理,内部控制体系是否得到有效执行,企业内部控制规范评价与监督,对企业内部控制的有效性进行评价并出具企业内部控制自我评价报告,评价报告,国务院财政部门及其派出机构和县级以上地方各级人民政府财政部门,外部监督,检查频率,定期不定期根据实际情况确定方法、范围和频率至少每年一次,通过评价与监督推动企业内部控制持续改进与完善,内部控制评价应该评什么,内部控制执行评价框架,内部控制评价框架,集权分权,三权分离,组织架构,职责权限,企业层面,业务层面,设计,运行,内控制度,运行有效性,设计有效性,效果传递,风险评估、风险应对,评价测试,内控目标,内部控制评价内容及步骤,风险事件应对,内控设计评价,内控运行评价,风险评估,体系评价,架构及制度评价,权限授权评价,体系宣贯评价,风险识别评估,风险应对评估,主观评价,客观评价,关键岗位访谈,流程执行评价,控制执行评价,风险事件分析,风险识别评价,控制措施评价,风险事件应对,整改措施设计,整改结果评价,内部控制评价应该怎么评,内部控制评价,风险事件应对,内控设计评价,内控运行评价,风险评估,体系评价,架构及制度评价,权限授权评价,体系宣贯评价,风险识别评估,风险应对评估,主观评价,客观评价,关键岗位访谈,流程执行评价,控制执行评价,风险事件分析,风险识别评价,控制措施评价,风险事件应对,整改措施设计,整改结果评价,周期性评价,针对性评价,内部控制评价评价程序,内部控制评价制定评价方案,内部控制评价成立内控评价小组,评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。测试控制的人不能是执行控制的人、测试控制的人可以是评价控制的人、测试控制的人必须真正了解控制。企业可以委托中介机构实施内部控制评价。,一般检查方法及应用,内部控制评价评价检查方法,内部控制评价评价检查方法,询问,确信水平,低,高,检查,再执行,观察,企业内部控制审计指引：测试控制有效性的程序包括：询问、观察、检查和重新执行；询问本身不足以得出控制是否有效的结论；对缺乏正式控制运行证据的被审计企业或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察、检查非正式的书面记录或重新执行某些控制，获取有关控制是否有效的充分、适当的审计证据。,内部控制评价评价方法设计,内控设计评价,内控运行评价,风险评估,体系评价,架构及制度评价,权限授权评价,体系宣贯评价,风险识别评估,风险应对评估,主观评价,客观评价,关键岗位访谈,流程执行评价,控制执行评价,抽样方法,个别访谈法,比较分析法,实地查验法,重新执行法,专项讨论会法,穿行测试法,内部控制评价检查方法询问,问谁？,选择的询问对象应包括管理人员与非管理人员，尤其是那些管理者想极力掩盖问题的企业，更应重视对非管理人员的询问。,问什么？,应主要询问那些能够评价政策有效性的问题，询问的内容应该明确、具体，能让被询问者理解，便于回答。,如何问？,1、拟订出询问提纲；2、观察询问人员的行为举止、先询问经验性问题、不要表明你的观点等；3、应对询问内容认真做好记录；4、评价人员在询问被评价企业有关人员或查阅被评价企业有关资料时，针对所了解到的有关内部控制方面的情况，通常需要以文字记录的形式加以描述。,内部控制评价检查方法询问,内部控制评价检查方法观察,观看,侧面观察,现场观察,企业对财产进行盘点、清查，并对存货出、入库等控制环节进行现场观察，以检查验证其规定的控制措施是否得到严格执行的一种方法。,观察,内部控制评价检查方法检查,对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽查总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而评价业务流程控制运行的有效性。,浏览,检查,抽查,文件审阅,通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。如：为了评价采购内部控制，评价人员或以选取一笔或若干笔材料采购，依据“请购单订货验收入库库存保管核准发票付款记账”的业务流程，对整个采购程序进行详细检查。,内部控制评价检查方法穿行测试,01,计划阶段,02,执行阶段,03,验收阶段,填报计划,内部控制评价检查方法穿行测试示例,上报备案,下载分发,导入计划,备案招标,央采中心,自行采购,判断采购方式,组织验收,计划不科学合理1、是否真实需求？2、是否需要采购？3、上报是否准确？,01,计划阶段,02,执行阶段,03,验收阶段,穿行测试示例设计合规性检查,1、年度预算和月度计划保证需求的合理性2、根据采购内容的不同设定对应的计划