【行政管理制度】企业内控制度培训提纲.ppt

企业内部控制管理,天马行空官方博客：,2,议题,内部控制综述内部控制系统的建立内部控制系统的评估,3,1.1为什么要控制？,管理的核心降低风险迅速发现问题保证目标实现加强法人治理避免管理层及雇员欺诈,4,没有内控系统的企业，就象坐在飞驰的马车上却没有手握缰绳!,5,企业内控系统就象牵引风筝的线，没有线的风筝是飞不起来的,6,巴菱银行的倒闭三株的沉没郑州亚细亚的垮台,案例：,7,内控系统不健全的一般表现,错误的记录虚假的财务报告业务中断错误的经营决策欺诈和挪用,法律制裁过高的成本资源浪费竞争劣势,8,员工汇报,内部控制,内部审计,客户反馈,偶然发现,管理层调查,58%,51%,43%,41%,37%,35%,问题是如何被发现的？,2003PrenticeHallBusinessPublishing,AuditingandAssuranceServices9/e,Arens/Elder/Beasley,匿名汇报,电话通知,员工调查,政府公告,外部审计,其它原因,35%,25%,21%,16%,4%,20%,9,什么企业内部控制,内部控制是为了合理保证企业经营活动的效益性、财务报告的可靠性和法律法规的遵循性。而自行检查、制约和调整内部业务活动的自律系统，内部控制贯穿于经营活动的全部过程,10,建立内控制度目的,实现企业目标确保守法经营提供正确信息维护资产安全,11,企业内控组织,董事会管理层内部审计人员其他相关人员,12,企业内控系统的组成要素,13,控制环境,外部影响,董事会和审计委员会,管理理念和经营风格,组织架构,责任的分配与授权,人力资源政策及实务,诚信的原则和道德价值观,14,控制活动,是确保企业管理阶层辩识风险后，针对风险发出的指令得以执行的政策及程序,控制活动,交易和活动的正确授权设计和使用正确的文件和记录资产和记录的安全措施独立稽核职责分离,15,风险评估,风险评估的步骤1、识别风险自然的或人为的2、评估风险发生的可能性潜在的损失考虑效力和时间评估成本和收益3、确定成本/收益/效力,16,信息和沟通,最基本的财务情报系统是记录、加工、存储、传递组织的信息。,交易如何发起的数据是如何获取的计算机文件是如何存储和更新的数据是如何加工成信息的信息是如何报告给内部使用者和外部使用者的,17,执行监督,有效的监督培训和帮助员工,监控业绩,纠正错误,保障资产安全责任报告使用预算、定额、标准成本和差异调查。内部审计：复核财务报告及公开信息，评估对内部控制的影响,18,企业的内控方法,目标控制法组织控制法授权控制法程序控制法检查控制法,19,内部控制的局限性,成本限制串通舞弊人为差错管理越权形势变化,20,21,内部控制系统的建立,信息和控制的观点系统和动态的观点行为和目标的观点,22,一般的内部控制模式,改进建议,评估,实际状态描述,理想状态,实际状态,观察,文件,建议,评估,计划/目标,23,企业内控系统的设计原则,信息化原则系统性原则个性化原则,24,企业内控系统的设计方法,确定设计范围确定设计主体坚持从上而下，从下而上的设计准则,25,企业内控系统的设计要点,坚持预防为主注重体制牵制注重程序制约注重责任牵制,26,建立内控制度的几个步骤,确定控制目标设立控制流程研究控制环节设置控制关键点提出控制措施形成控制文件,27,建立内控系统应该注意的几个方面,处理好内控与经营的矛盾处理好内控与效率的矛盾处理好内控与,28,第三部分：企业内控系统的评估,29,企业内控系统的评估,内控系统的评估是指对照内控制度理想、合适的理论模式，对单位现行的内控制度的适当性和有效性，进行分析以及价值的评定。有效的内部控制必须符合三个原则：适当、具有一贯性和成本效益原则企业内控系统必须具备完整性、合理性和有效性,30,内部控制评价的基本原则,有无明确的组织结构将职能和责任适当分工？有无批准和记录手续的规定制度以便进行各项活动的控制？实际工作是否完全使得每一个组织部门的责任与职能得以完成？有无与责任相称的工作人员？,31,企业内控制度的评估步骤和方法,内部控制制度调查,内控制度符合性测试,内控制度综合测试,内控制度调查方法,内控制度描述和初评,符合性测试,综合评估,内控制度健全性测试,32,调查内控制度方法,确定调查内容综合运用各种制度调查技术,审阅法询问法观察法调查表法,33,内控制度调查,P-调查的主要方法S-调查的次要方法,34,内控制度调查,35,内控制度描述方法,文字说明法制表法流程图绘制法,36,制度初评方法,明确受审制度的理想模式“应当是什么”明确现行的控制制度“是什么”将两者进行比较，决定现行制度的有效性和具备足够的控制,37,符合性测试方法,根据规定的控制制度对实际的生产、技术、经营或是会计、财务活动进行检查，确定这些控制环节是否确实存在，是否始终相符，有无失控之处，即为符合性测试符合性测试一般采用抽查方法进行，即从大量经济业务或有关记录中选择一定数量的样本，进行详细检查，根据检查结果判定整体的有效性,38,符合性测试方法,测试前的主要考虑因素：时间、种类、范围选择测试计划的内容：目的、时间、性质（特定步骤和适当证据）、获得证据的方法、证据数量确定测试程度：能够评价控制执行情况所需要的测试数量确定具体测试技术：检查证据法、重新处理法、实地观察法,39,测试方法与控制类型,P-获取证据的主要方法S-获取证据的次要方法N/A-不适用,40,符合性测试记录表,41,综合评价方法,重点内容企业组织架构与职责分工是否健全反映制度的各种文件是否规范管理制度、会计制度及内审制度是否完整业务处理与记录程序是否正确有效授权、批准、执行、记录、核对、报告等手续是否完备人员选用、培训、考核、职务、轮换是否科学合理是否有明确的岗位职责制度和奖惩制度关键控制点是否有必要的控制措施内部控制是否讲究经济性评价的两个方面可信赖程度评价薄弱环节评价,42,评估内控系统的两个方面,内控系统组成要素的评估企业内部活动控制的评估,43,企业内控系统组成要素评估,控制环境评估目标风险评估活动控制评估资讯与沟通评估监督评估,44,控制环境评估,从企业文化的角度企业价值观：企业成员的诚实、正直，管理层的管理哲学,45,风险评估的焦点,整体目标的制定部门或业务活动目标的制定影响目标达成的风险辩识权变的管理,46,企业整体目标形成的风险,有无特定的，根据本企业现有资源状况确立的整体目标,整体目标是否清晰地传达给公司全体员工，并处于贯彻之中,公司战略与公司整体发展目标是否一致，资源的配置是否有效,企业计划和预算是否依据战略及整体目标制订，隐含的假设是否依据过去的经验及目前的实际，是否为管理层接受,47,风险评估,树立风险意识加强风险防范所有者遇到的风险经营者遇到的风险管理者遇到的风险操作者遇到的风险,48,资讯与沟通评估,确定企业是否已经辨认、捕捉和处理了所有与企业相关的内外部信息,49,企业内部活动控制评估,企业活动可以用波特的价值链来描述一个企业的所有活动可以分为为顾客创造价值的主要业务活动和业务支持活动具有代表性的企业价值链如下：,50,企业基础设施,人力资源管理,技术开发,采购,内部后勤,生产经营,外部后勤,市场销售,服务,利润,利润,辅助活动,基本活动,价值链,51,如何评估企业内部活动,确定该项活动的主要和次要目标预测活动中可能产生的风险提出评价活动的关键点,52,企业支持活动控制评估,产品研发活动人力资源活动行政后勤活动,53,内控系统的评估工具,内控组成要素个别评估表风险评估及控制活动底稿内控制度整体评估表,54,内部控制要素个别评估表,即分别评估内部控制系统的五个组成要素，格式如下：,55,风险评估及控制活动底稿,56,内部控制制度整体评估表,用于汇总记录各组成要素的评估结果，以便利评估主管来复核初步的结果并加入更多的信息,57,结束,58,过程控制的观点,总体目标,财务报告目标,内部控制原理,控制环境,风险评估,系统监控,控制活动,信息沟通,59,信息化原则,用制度确保获取信息的正确性用制度确保信息畅通和充分利用用制度确保信息得到及时反馈,60,信息化原则的三个方面,根据信息反馈过程及各阶段的特征，实行职能分立、职责分工、事务分管，以明确职责，保证信息提供与使用的正确与及时建立业务处理与凭证传递的合理程序，保证信息反馈过程的流畅，防止阻塞与呆滞在信息反馈过程的关键点或平衡点实行严格的控制手续，并建立经常性的核对制度，以避免和及时发现差错,61,系统化原则,运用系统观点与系统方法的整体性、全面性、结构层次性、相关性、动态平衡性和综合与分析的统一性等特征，设计出纵横交诺的控制网络与点面结合的控制线路。,系统化原则的三个方面：根据系统思想，进行制度规划依据系统观点，设计制度功能运用系统分析，设计制度结构,62,个性化原则,根据企业实际，制定符合企业运营要求的内部控制制度,63,个性化原则的几个方面,符合国家政策法规适合企业本身的营运特点相互牵制，符合成本效益的要求,64,企业内控环境,控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境包括以下七个方面,65,诚信的原则和道德价值观,严格一致地保持诚信行为和道德标准不盲目追求不切实际的目标，以致形成不必要的压力对敏感职位之间的财务分工要准确明细，以避免造成偷窃资产或隐藏不佳绩效的引诱加强企业的内部审核制度发挥董事会的职能，使其客观监督企业的高层管理阶层提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断制作文字化的行为准则和政策声明，将其传达给全体雇员将诱发人们不诚实、非法和不道德行为的动机降至最低。,66,正确评定员工能力,制定正式或非正式的职务说明书逐项分析并规定各工作岗位所须具备的知识和技能。,67,建立有效的董事会和审计委员会,成员的经验相对于管理层的独立性外部董事的比例其成员参与管理的程度所采取措施的适宜性对管理层提出问题的深度和广度他们与内部、外部审计人员的关系实质。,68,管理哲学和经营风格,对待和承担经营风险的方式依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通对财务报告的态度和所采取的措施对信息处理以及会计功能、人员所持的态度对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。,69,组织结构,组织结构的合适性，及其提供管理企业所需信息的沟通能力各主管人员所负责任的适当性按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验当环境改变时，企业配合改变其组织结构的程度员工，尤其是负责管理及监督职能的员工人数的充足程度。,70,责任的分配与授权,对于组织内的全部活动要合理有效地分配职责和权限为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配使所有员工知道:他们的工作行为、职责担负形式和认可方式与完成组织目标的联系。,71,人力资源政策及实务,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践建立完善的招聘与选拔方针及操作性程序对新员工进行企业文化和道德价值观的导向培训对违反行为准则的任何事项，制订纪律约束与处罚措施对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚。,72,风险评估,每个企业都面临来自内部和外部的不同风险，这些风险都必须加以辨认和评估，并采取相应的措施来应对。风险评估包括以下几个方面,73,制定目标,制定目标，是风险评估的先决条件企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具休目标企业整体目标包括:营运目标，包括绩效和获利目标及保障资产的安全，使其免受损失财务报告目标，防止对外报送不真实的财务报告遵循目标，企业遵循国家的相关法律法规。,74,辨识和分析风险,辨识和分析风险是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险，并采取必要的管理措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害;经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接近资产的程度;董事会或监事会不够坚定或无效等。,75,风险管理,经济、产业及管理的环境都是会改变的，企业的活动应随之改变。因此，风险评估中最基本的部分，就是如何辨认已发生的改变，并采取必要的行动。改变因素包括:行业环境的改变;新员工;业务迅速成长;新科技;新业务、产品、作业;公司重组;国外业务等。,76,控制活动,控制活动，是确保企业管理阶层辩识风险后，针对风险发出的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现，,77,高层经理的企业绩效分析,管理阶层记录经营活动(如:市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如:新产品开发、合资经营、融资行为)的执订情况。,78,直接部门管理。,负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。,79,信息处理的控制,信息系统的控制活动可分为两类，第一类是一般控制，它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制，它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。(应用控制包括:输入控制;输出控制)。,80,实体控制,保护设备、存货、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。,81,绩效指标的比较,把不同的几套数据资料(如:经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标包括:购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。,82,分工,即将责任划分，再将不相容职务分派给不同的员工，以降低错误或不当行为的风险。,83,信息与沟通,企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。,84,信息系统,信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时，某种特定市场或行业的经济资料，用于企业生产的商品的资料，显示顾客偏好的市场情报，竞争对手产品开发活动的信息，立法机关与行政机关所发布的信息。企业建立良好的信息系统，必须做到；建立良好的信息系统支持策略，信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。,85,沟通,内部沟通需要做到:所有的员工，特别是那些负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息;必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他(她)在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生;员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息;与相关的外部团体沟通，以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如:银行或保险机关)所报道的复核或检查的结果，可以有效的弥补控制的缺失。,86,对内控系统的监督,内控系统也需要被监督，用于评估其自身的运营状况。监督是由适当的人员，在适当及时的基础下，评估内控系统的设计和实际运作。监督活动由持续监督、个别评估所组成，以确保企业内控系统持续有效的运作。,87,持续的监督活动,负责营运的管埋阶层在履行其日常的管理活动时，取得内