思源电气内部控制管理培训教材

思源电气内控培训,审计内控部,0,课程简介,课程名称：内控培训目标学员：各公司内控新成员课程时长：4H,2,培训目标,了解内控整体框架及企业风险管理体系,1,掌握公司内控体系建设开展情况,2,介绍内控工作的流程、方法及工具,3,增强员工风险意识,4,课程目录,第一章 内控整体框架及企业风险管理体系第二章 公司内控概况第三章 内控实务操作简介第四章 各业务模块内控点介绍及案例分析第五章 法务内控体系简介,4,第一章：内控整体框架及企业风险管理体系,第一章 内控整体框架及企业风险管理体系,第二章 公司内控概况,第三章 内控实务操作简介,第四章 各业务模块内控点介绍及案例分析,第五章 法务内控体系简介,5,推行内部控制的背景,2002年美国因为安然事件出台了萨班斯-奥克斯利法案（SOX）法案中针对内部控制的内容主要是404条款，该条款引用COSO的内部控制框架，作为对公司内部控制有效性进行审核的专业标准；条款提出内部控制评审要求，目的在于通过内部控制来改进公司治理状况，最终加强公司的责任。法案302条款要求包括首席执行官和首席财务官在内的企业管理层在提交财务报告的同时，还应进行相应声明，提交一份证明文件，对管理层承担责任提出了更高要求,6,推行内部控制的背景,2008年5月22日，中国财政部等五部委联合发布了企业内部控制基本规范，将自2011年1月1日起首先在境内外同时上市的公司施行，2012年1月1日起扩大到在上交所、深交所主板上市的公司施行，鼓励非上市的大中型企业执行，这标志着中国版的“萨奥法案”已正式启动2012年8月14日，财办会201230号：主板上市公司分类分批实施五部委不包括国资委,我国内控现状12345,一个框架：内部控制基本规范二个原则：由上至下、风险导向三类指引：应用、评价、审计指引四个环节：设计、执行、评估、报告五个目标：资产、战略、效率效果、合法合规、 报告,7,8,从COSO到ERM,Step 1,Step 2,Step 3,COSO-内部控制框架,ERM-企业风险管理框架,9,几个内控专业术语,COSO（1992）-做事方法、标准SOX（2002）-对管理层承担责任提出了更高要求按照COSO的体系来执行即可满足SOX的要求ERM（2004）-思维方式的转变BPR（企业流程重组）-文档的载体文档的重要性（每个岗位40-50页）,10,COSO简介,COSO：美国反虚假财务报告委员会的发起组织委员会The Committee Of Sponsoring Organizations (COSO) of The National Commission of Fraudulent Financial Reporting (the Treadway Commission),COSO报告：内部控制 综合性框架（Internal Control Integrated Framework）,11,COSO控制框架,COSO控制框架的核心概念：内部控制定义：内部控制是由公司董事会、（2013年增加监事会）、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证 的一个过程。,三个目标：经营效率与效果； 财务报告的可靠性； 法律法规的遵行性,五个要素：控制环境； 风险评估； 控制活动； 信息与沟通； 监控,强调了财务报告的可靠性；强调了控制要素的完整性。,12,企业风险管理框架-ERM,内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。,内部控制框架有些局限性，对风险强调不够，使得内部控制无法与企业的风险管理相结合。2004年10月份发布的企业风险管理(Enterprise Risk Management，ERM)框架是在1992年报告的基础上，结合萨班斯一奥克斯法案(SarbanesOxley Act)的相关要求扩展研究得到的。强调了风险偏好、风险容忍度等概念,13,内部环境目标制定事件识别风险评估风险应对控制活动信息和沟通监控,ERM控制框架,14,COSO和ERM的不同构成要素,COSO控制环境风险评估控制活动信息与沟通监控,ERM内部环境制定目标事件确认风险评估风险反映控制活动信息与沟通监控,15,内部控制与风险管理的关系,内部控制是全面风险管理体系的组成部分是开展全面风险管理工作的重要手段和必要举措风险管理是内控的扩展风险-内控=可接受风险度内控： 如何“正确地做事”风险管理：如何“做正确的事”,16,内控发展趋势,强调高级管理层的控制责任大力提倡和营造一种“控制文化”.充分关注对企业全部风险的评估控制活动已成为企业日常工作的一部分非常强调信息与交流对内部控制的评价已成为管理层日常监管与现场检查的一部分.由COSO内控体系向ERM全面风险管理的转变,17,正确看待内部控制,全员参与法律法规使之不敢职业道德使之不愿内部控制使之不能,18,大内控与小内控,大内控：基于公司层面的内部控制，更多采用ERM，与公司战略目标有效结合小内控：基于业务流程层面的内部控制，应以战略和经营目标为导向来进行,19,第二章 公司内控概况,第一章 内控整体框架及企业风险管理体系,第二章 公司内控概况,第三章 内控实务操作简介,第四章各业务模块内控点介绍及案例分析,第五章 法务内控体系简介,内部控制是什么？,内部控制是现代企业管理架构的构成部分，是企业持续发展的制度保证。内部控制的目标：为我们实现经营的效果性和效率性、（财务）报告的可靠性以及适用法律、法规的遵循性等目标提供合理的保证。,20,良好的风险意识,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,21,机会,合理性可能性,风险,经营环境变化公司营销战略人员延续性,21,内控工作被忽视的理由,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,22,我的员工忠诚可靠，我相信我的员工我们从没发生过问题外部审计师在检查我们的财务报表我没时间程序耗时又没有用处我最好还是把时间用在其它战略问题上面我的任务是拿订单，回款不是我的工作,22,公司内控发展状况,2007内控标准手册颁布及宣贯,2008年成立内控小组，组织内控自查,内控手册更新，内控整改完善,内控体系中生产安全风险、法律风险已有专业人员进行深层次推进,23,Page 24,公司内控发展,内控发展,制度,执行、完善及细化,单一的财务内控、采购内控,业务单位、总部管理及审计内控PDCA滚动快速发展,24,25,公司内控体系,文控体系：内控标准手册，流程和政策，操作手册，OA数据库组织体系：三级架构，虚拟内控小组检察监督体系：各公司自查，内部审计，后续审计，月度内控评比，年度内控评分,成熟度评价法务体系：法务风险提示手册，风险提示专刊,四大武器,A,D,B,C,公司审计内控工作主要工具,尚方宝剑-内控标准手册 内控小组工作制度,独门绝技过硬的专业知识,组织的力量内控小组的工作,全面的信息优势OA数据库,26,审计内控部,董事会审计委员会,各分子公司内控小组（虚拟组织）,内控管理三级组织架构,组织体系：三级架构,27,文控体系：内控标准手册,28,内控点对应举例,2.2 资信,2.1 订单入帐/审核,投标业务内控点,签订合同内控点,装运、开票、收款内控点,2.8 合同管理,2.3 装运,2.4 开具发票,2.5 应收账款,2.6 收帐,2.7 现金收入,29,30,公司具体的内部经营风险,销售部分：防止货物销售给无资信的客户，销售无法确认，货款无法回笼。采购部分：确保合格供应商的供货，防止采购人员索贿，确保合格品的入库。人事部分：确保招聘过程三公原则，薪资支付无差错，录用人员背景清楚。制造部分：确保物资帐实相符，成本核算准确。,31,财务部分：确保财务数据及报表的准确性网络部分：确保员工正确、合理使用公司计算机系统行政部分：公司用印管理，公司资产管理，实物进出控制其他模块：依据内控标准手册及日常工作中可能存在的各种风险,公司具体的内部经营风险 （续）,检察监督: 对舞弊的威慑和预防,如果员工发现可能发生舞弊的情形，应向其管理部门报告。如果员工怀疑已经发生舞弊行为，应第一时间向公司审计部门举报，员工可以通过公司专设的 举报信箱: 报告舞弊行为。,32,33,第三章 内控实务操作简介,第一章 内控整体框架及企业风险管理体系,第二章 公司内控概况,第三章 内控实务操作简介,第四章各业务模块内控点介绍及案例分析,第五章 法务内控体系简介,34,一些重要的内控方法,授权批准控制实物控制借款控制职责分离控制内部报告控制绩效考评电子信息技术控制,35,控制标准的例外,替代性控制程序成本效益原则,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,风险应对选择,36,事前预防,事中控制,事后审计,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,37,各公司内控小组自查工作,各公司成立内控小组集团审计内控部年初统一下发年度自查计划各公司内控小组按月开展，提交自查报告及整改计划（提交总经办会议）按计划进行整改（动态跟踪表）年度循环自查,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,38,自查问题整改流程,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,39,第四章 各业务模块内控点介绍及案例分析,第一章 内控整体框架及企业风险管理体系,第二章 公司内控概况,第三章 内控实务操作简介,第四章各业务模块内控点介绍及案例分析,第五章 法务内控体系简介,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,2.0 收入,40,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,内控点对应举例,2.2 资信,2.1 订单入帐/审核,投标业务内控点,签订合同内控点,装运、开票、收款内控点,2.8 合同管理,2.3 装运,2.4 开具发票,2.5 应收账款,2.6 收帐,2.7 现金收入,41,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,案例3：新客户信誉调查,42,Copyright Sieyuan Electric Co., Ltd. All Rights Reserved.,案例5：发货授权控制,发货出门单无公司内部任何人员签字有可能导致货物丢失及客户投诉,运费结算不以客户回单作为结算审核和报账依据,43,案例6：发货信息流转控制,1.收到承运商发货单后，不及时扫描进履约数据库，部门之间信息不能及时流转；2.关联公司之间信息流转不通畅3.客户回执获取不及时或不作为运费结算依据导致有可能的法律诉讼,发货信息传递,1.客户收到发票后不愿意填写回执,开票后回执管理,发货单据,1.承运商不及时传递；2.货物多次转运，发货单不完整（东北输配电案例，法务会重点阐述）,44,案例9：产品调用及发货管理,产品调用及借料流程失控导致客户二次投诉产品发货未经现场检验出门导致产品质量事故或客户投诉（产品发货检功能缺失）,45,3.0 采购,46,1、公司应加强对敏感岗位员工的职业道德教育和培训2、定期或不定期的轮岗制度能有效防止滋生舞弊行为,案例1采购人员无良好职责道德,供应商质量工程师XX、测试工程师XX在供应商出差过程中，休息日期间接受供应商安排游览景区，未能做到清廉自律，严重违反了公司制度。供应商质量工程师xx作为出差组织者负主要责任，给予解除劳动关系处理,案例分析,47,案例2采购发票面临到期无法抵扣因而伪造出入库单据的事例,48,4.0 人力资源,49,案例1诺基亚人事经理舞弊案,诺基亚公司原人力资源经理曹威利用离职员工名义，假报销478万余元，并将钱款据为己有。 原为诺基亚(中国)有限公司手机事业部中国研究中心人力资源经理，负责本地聘用外国员工的福利，如房租、养老保险、孩子教育、员工关怀礼物(结婚、生子)以及本部门内向她汇报诺基亚员工的日常费用报销，作为人事部员工，她能够进入系统修改人员信息。 2008年4月初，诺基亚(中国)投资有限公司在财务审计过程中，发现人力资源经理曹威账务异常：曹威所在部门有个姓王的员工，在2007年至2008年4月间，报销的金额高达400余万元。,50,案例1诺基亚人事经理舞弊案（续）,但公司调查后发现，这名王姓员工仅在公司工作了14天，早已离职。而据这名员工说，其间从未向公司报销过任何费用，公司要求曹威对此做出解释。 最终曹威在2008年4月12日，承认自己假借离职员工王某之名，在公司报销各项费用达400余万元。她自己承认，由于是诺基亚公司的人力资源经理，所以她可以自由进入系统修改人员信息。在修改相关信息后，她开设了银行账户，私自利用自己的审批权限，在一年多时间里，违规审批报销，并把这些钱据为己有。 最终查明，2007年1月至2008年4月，曹威利用职务之便，虚报各类费用52笔，共计人民币478万余元，后转入其个人账户内消费挥霍。,51,案例1诺基亚人事经理舞弊案（续）,1、不兼容岗位控制2、记录修改的恰当授权3、员工档案信息的完整性和真实性控制4、员工信息的定期核实与确认5、预算费用控制6、离职员工的变动信息及时通知工资及报销部门7、请大家思考,52,案例2员工手册未及时宣贯,目前员工劳动纠纷案例增多 没有正式版本的员工手册用以在新员工入职时给其宣贯，员工基本没有见过任何形式的员工手册，仅就现行的相关人事奖惩制度进行了培训并由员工签字确认。 没有下发电子档或纸质版本的员工手册给员工阅知并签收（员工签收记录应保存在其档案类作为后续可能面临纠纷的正式法律证据。,53,案例3招聘流程不规范,某公司人事经理利用职权之便，未走公司招聘管理流程就将其小姨子招进公司当前台。 之后其在担任前台工作期间多次造成公司及员工信件、资料丢失。同时，查出该前台贪污公司餐费（外公司人员在我司就餐时需持现金至前台购买餐券）XX元。,1、招聘流程不规范、是否是编制内招聘2、敏感岗位的背景调查3、无制度控制前台人员收受现金且无法有效追溯,案例分析,54,5.0 制造,55,案例1内部流程不规范导致公司损失,X年X月X日，接员工举报，某子公司采购部、成本科、技术中心对待处理的废硝酸（共5桶，每桶1000升）进行检测。经检测发现，在其中一桶中，每升废硝酸内含银约3g，该桶容量为1000升，共含银3kg，按照当时市场6300元/吨的银价计算，金额为18900元。 由于废硝酸具有强腐蚀性，若用昂贵的专业仪器来检测会导致仪器损坏，所以本次检测仅是通过用烧杯舀取表面一层的废硝酸来进行的检测，由于银的密度高，实际上约在底层，银的含量应越高，因此，上述测出的含银值应低于实际的含银值。 事后，该公司拟对有关责任人进行提报处罚。,56,案例2-操纵存货盘点侵吞公司财产,某成品油销售公司的仓管人员，在对公司的库存进行盘点时，发现该企业2012年度油品盘亏70吨，其中汽油25吨、柴油45吨；盘盈50吨，其中汽油18吨、柴油32吨，仓管人员对于盘亏的油品进行了账务处理，但对于盘盈的却是直接转出仓库，据为已有。,57,财务内审范围（内控手册中非财务模块及财务模块）,一、收入模块：2.4开具发票；2.5应收账款；2.6收账；2.7现金收入；二、采购模块：3.4应付账款；3.5支付；三、人力资源模块：4.3工资支付控制；4.4工资发放；四、制造模块：5.1成本会计；5.2存货控制；5.4存货盘存程序；五、资金活动：6.1一般控制；6.2筹资业务；6.3投资业务；6.4营运；6.5 担保业务；六、财务模块：7.1一般的财务原则；7.2现金及银行存款；7.3会计处理和报告；7.4内部往来；7.5固定资产和无形资产；,58,财务内审案例现金管理,现金盘点，盘盈XX元。形成原因是支付离职人员工资因离职人员已离开公司且未提供银行卡信息，出纳无法执行支付。,资金管理风险意识不强，导致不兼容岗位监督意识薄弱1）费用会计编制工资时就存在无法支付风险，未进行进一步核实；2）现金周抽盘或月抽盘，未提交无法支付信息。,59,会计主体独立意识不强，把不同会计主体资产混淆：1）出纳紧急挪用时，是否经过部门领导审批，审批形式是口头或白条；2）长期挪用外币现金，是否特批审批手续？3）出纳现金日盘点，记录是否完整；4）现金周抽盘或月抽盘，异常信息是否及时传递？,财务内审案例现金管理,某公司现金外币科目为贷方余额（负数）。形成原因：出纳同时兼管两个公司的外币现金账户，为节约购汇费用，未办理任何手续，直接从另一公司外币现金挪用。,60,公司开立账户未纳入财务账户管理，可能存在资产管理不完整风险1）从明细账信息反馈，该账户有资金入账，不是纯代支付账户；2）该账户开户部门是人事，对账单由人事保管；3）费用会计未将银行账户纳入日常管理；,某公司某账户有银行存款余额，但无银行对账单。经了解，该账户属于代支付的社保账户。,财务内审案例银行存款,61,资产状态未及时更新，可能存在债权损失风险：1）票据挂失止付，应及时向领导反馈。2）票据退回，及时由客户签收确认，并进行帐务处理，确保债权。,盘点某公司票据，发现实物比账面少30万。形成原因是发现该票据挂失止付后直接交业务员去客户处退换，未通知相关领导，未进行帐务处理。,财务内审案例应收票据,62,1）单据管理的规范，法律风险的规避2）无制度支撑，对所有内部关联交易的制度化控制,内部关联交易产品发货、验收单据不规范、不完整，存在较大经营及法律风险： A公司为内部关联公司B公司生产的产品需负责发货至港口仓库，A公司发货及签收单据作为货物已送达港口仓库及B公司应付款的相关证明，在抽查的单据中，发货单抬头为A公司，且未有签字验收。该发货单只能证明A方与B方的业务存在，而无法证明B方与其需方客户的法律合同关系，一旦发生法律纠纷将使B公司面临较大的风险。,财务内审案例内部关联交易,63,1、各公司固定资产管理数据库的使用2、各公司重大招投标项目的全程监控,固定资产管理及招投标管理,64,8.0 计算机系统控制-IT,65,案例1：研发机密信息被盗用,案例描述,案例分析,内控风险,2004年5月，某大型企业研发中心发现某国外竞争对手领先一步完成了A产品的设计开发，该企业本想依托A产品完成产品线的转换，且之前从未听说有其他企业在进行A产品的开发。老总得知消息后，认为是内部人员泄密，随即下令该项目所有人员停止开发，迅速离开工作岗位，并向公安部门报案。 公安部门技术人员到达现场后，发现该研发中心保密工作存在重大疏漏：设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网经过检查，公安部门初步判定为内部人员泄密，但要查出是谁将资料泄密，难度太大。最终该案不了了之，企业也只能对研发中心领导进行降职处罚，该企业付出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。,1、公司的信息可能被揭示或丢失，对公司的竞争地位不利（可通过网络或打印成纸质资料泄密）2、储存在计算机系统内的敏感性信息和专有资讯，可能未能得到保护（计算机本地文件可能被盗取）3、在资料传送过程中的专有资讯可能揭示给未经许可的人员（可能传输给未经授权的人导致泄密）,1、该企业信息安全防护体系非常脆弱和混乱，在网络管理及权限设置等方面，未针对安全等级高的信息和掌握该信息的相关人员制定相关规定和采取相应措施；2、该企业缺乏相关信息安全监控系统，机密信息一旦泄露根本无法追查，在实际的诉讼过程中取证也成为最大的问题，因为无法取证，或证据效力不够，导致企业只能吃哑巴亏。,66,案例2：高级工程师携机密资料离职,案例描述,案例分析,内控风险,杨某，中国某集团公司所属研究所重要涉密人员、高级工程师。在未办理任何手续的情况下擅自离所，受聘到北京某有限责任公司任职。 研究所对其工作期间使用的型号图纸、资料、文件进行了清理，发现其中一些重要的图纸资料没有归还，所在单位保存的一些重要图纸资料丢失，这些图纸、资料、文件涉及多项国家秘密。 研究所立即向集团公司和有关部门进行了报告。国家安全机关依法对杨某进行了传唤，并对其住宅进行了搜查。从杨建国处搜查出的图纸、资料经鉴定机密级文件、资料4份，秘密级文件、资料和图纸332份（套）。杨某已以非法持有国家秘密罪被依法逮捕。,1、已离职/调职的员工可能使用或毁坏敏感性的公司资料，扰乱正常的经营过程或将敏感性的资料揭示给公司以外的人员。2、可能无法查出离职/调离员工对系统的使用，无法查出离职、调离人员的计算机帐户。,企业关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接，对所有包含专有资讯的计算机设备及资料档案的移动，必须经主管人员的特定许可，并加以记录核对。所有资料档案必须按安全分类等级进行处理，确保所有公司财产和专有资讯已归还。,67,案例7：机房管理安全隐患,案例描述,案例分析,内控风险,2007年10月8日，上海某外企，长假后上班第一天，机房管理人员早晨一打开机房门，一股热浪从机房里扑来，一股橡胶味熏得人喘不过气来，原来空调没有正常工作，什么时候停的，因什么原因停的都不知道，机房设备损失超过了一百五十万，更重要的是服务器内的数据，要长时间才能恢复，给公司运营带来巨大的麻烦。事发后，公司相关管理人员都受到了严重的处罚。总经理、部门经理年薪减半，机房管理员失职开除。,1、计算机硬件，软件，数据，及文件可能未得到适当保护而损坏或被窃。2、计算机硬件可能被未经授权的人员使用，逃避了正常的安全及操作控制，进入保密性的系统及数据资料。3、由于不充分的环境监控及控制系统，可能会对计算机硬件，软件，资料产生很大的损害。,机房安全对公司正常运转是非常重要，机房可能面临的安全隐患包括空调、漏水、停电、温度和湿度过高等。机房内的所有设备不仅