企业内控知识概述和WBCR系统介绍

企业内控知识概述及WBCR系统介绍

第1页课程纲要内控基本知识WBCR系统对SOX404合规性对应经验分享慧点科技第2页基于流程组织了解市场和客户需求树立理念、使命和目标规划产品销售和售后服务原材料采购储运管理拓展人力资源市场营销采购仓库送货行政当前未来?企业组织机制改变：组织架构必须表达灵活性和职责性组织架构必须配合执行企业发展战略需要采纳流程防风险观点来进行架构重组，勉励跨部门协作并降低架构重合或职责混同客

户传统层级制组织慧点科技第3页内部控制发展三个阶段：（一）萌芽期－－内部牵制察访错弊职务分离和帐目查对钱、帐、物为主要会计控制对象（二）发展期－－内部会计控制与内部管理控制组织计划业务授权资产接触信息确保（三）成熟期－－内部控制结构和内部控制整体架构控制环境风险评定控制活动信息与沟通监督内部控制发展历程内控流程分类及对应控制体系：管理流程－－COSO业务流程－－COSOIT管理流程－－COBIT慧点科技第4页内控基本概念内部控制绝对不是：静态结构；某一层次人员任务（比如：高级管理层）；某一部门任务（比如：财务、内部审计）；某一实体任务（比如：总部、省级企业）；某一个项目标任务。内部控制是：美国反坑骗性财务汇报委员会（COSO）定义：内部控制是一个靠组织董事会、管理层和其它员工去实现过程，实现这一过程是为了合理确保：经营效果性和效率性；财务汇报可信性；对法律和规章制度遵照性。所以，各层级人员共同参加对于内控成功至关主要。慧点科技第5页控制活动

控制活动确保管理层政策/流程付诸实施，使企业面临风险得到有效控制包含审批，授权，确认，提议，业绩考评，资产保全和权限分离等监控管理层利用内部审计等伎俩对企业内部控制体系进行实时而独立监控控制环境控制环境是企业营造内部管理控制气氛及环境控制环境详细表达在员工道德价值观，完成工作能力，明确授权与责任等控制环境是其它内部控制组成部分基础信息和沟通企业管理层为了确保内部控制有效运行，必须建立一套完整信息与沟通渠道及体系，确保管理层实时了解内控进展风险评定风险评定是企业管理层为了到达企业目标而确认和分析相关风险全部五个部分必须同时作用才能使内部控制得以产生影响

COSO框架中五个控制组成部分慧点科技第6页

控制环境风险评定整合控制(COSO内部控制体系)控制活动监控信息信息慧点科技第7页企业内部控制要素－－控制环境控制环境监控信息与沟通控制活动风险评定控制环境：是指对建立、加强或消弱特定政策和程序效率发生影响各种原因；管理者经营格调和经营理念；董事会及审计委员会；组织结构与权责分配体系；人员品行和素质；管理控制方法；外部影响；慧点科技第8页企业内部控制要素－－风险评定控制环境监控信息与沟通控制活动风险评定风险评定：指企业依据发展战略制订经营目标后，对实现目标经营过程中风险进行判别和分析，并采取对应行动；目标建立和达成；风险识别及分析；改变管理；慧点科技第9页企业内部控制要素－－控制活动控制环境监控信息与沟通控制活动风险评定控制活动：是管理者为了确保管理指令能够得以有效实施而制订各种政策和程序；授权和目标；职责划分；业务流程和操作规程；业务统计；规章制度；独立检验规章制度；控制标准；慧点科技第10页企业内部控制要素－－信息与沟通控制环境监控信息与沟通控制活动风险评定信息与沟通：企业必须建立健全信息传递和反馈系统，以确保企业政策和方针落实实施；而信息传递有赖于良好沟通方式和渠道；信息系统；沟通；慧点科技第11页企业内部控制要素－－监控控制环境监控控制活动风险评定信息与沟通监控：是评价期间企业内部控制业绩质量进程，它是对企业内部控制整体框架及其运行情况跟踪、检测和调整，以自始至终确保其有效性；自我控制；内部审计；慧点科技第12页内部控制成熟模型阶段一——不可依赖内部控制

不存在控制活动或控制设置不合理，企业尚处于不可控制环境中。2.阶段二——非正式内部控制

已设计了控制活动但缺乏充分纪录；控制主要依赖于人；没有对控制活动正式培训及交流。3.阶段三——标准化内部控制

已设置了标准控制政策；控制活动由书面制度，并已下达给员工；但偏离制度要求行为尚不能被观察。4.阶段四——受监控内部控制

设置了标准化控制制度对控制活动设计及运行有效性进行定时测试，并将结果汇报管理层5.阶段五——最优化内部控制

建立了完整内部控制框架，管理层能够进行实时监控并不停对控制框架进行改进内部控制成熟度分析慧点科技第13页《萨班斯——奥克斯利法案》生命周期不停改进《萨班斯——奥克斯利法案》生命周期改进原有控制程序不间断统计与修正不停进行控制与测试满足要求实现价值自我检测是否已到达标准早期努力使本身满足要求第一年实现目标并不意味着以后各年仍是符合要求我们工作重心要由现阶段短期目标向长久连续生命周期转变，它能帮助我们实现企业价值。我们现阶段工作重心是符合《萨班斯—奥克斯利法案》第404条要求慧点科技第14页PCAOB全称是美国上市企业监控委员会，它是依据7月出台《萨班斯－奥克斯利法案》（Sarbanes－OxleyAct，简称SOXAct，《萨班斯法案》）建立，年4月正式开始运作，负责检验和规范会计行业，同时制订新会计标准。PCAOB推出一系列标准，用来规范相关审计工作，包含AuditStandard2，其中细化详细审计要求，作为萨班斯遵照工作基础。PCAOB介绍慧点科技第15页PCAOB对404条款汇报审计标准主要观点审计师必须评定管理层文档统计。审计机构除了要测试管理层评定之外还必须测试内部控制有效性。一个实质性漏洞就能够得出保留或否定意见。慧点科技第16页404条款主要性美国审计准则，美国证券监管委员会上市企业章程中要求外部审计师要如实统计在审计过程中发觉，对于发觉全部实质性漏洞以及合并考虑后能组成实质性漏洞重大缺点必须如实在年报中进行披露。一旦发觉实质性漏洞，外部审计师就将对被审计单位出具保留心见或否定意见假如外部审计师出具了保留心见或否定意见，将会对上市企业在资本市场上产生重大影响。尽管SEC不能对一家企业进行“停盘”或者“摘牌”处理，但从实务角度、财务角度和声誉方面负面影响却是能够预见。SEC能够有效限制上市企业未来在美国市场融资路径。SEC有权力派遣审计队伍去审查上市企业财务汇报及相关内部控制。中国证监会和国资委已经强调了中国在美上市企业全方面恪守萨班斯•奥克斯利法案主要性，而且强调了伴随中国经济连续发展，进入美国资本市场战略主要性。慧点科技第17页美国第一轮接收综合审计企业统计结果基于所取得最可靠信息，以下是截至年5月17日统计结果:事务所出具404汇报数量否定意见数量百分比德勤4965911.9%安永7237810.8%毕马威5977612.7%普华永道6597611.5%其它3396820.1%累计2,81435712.7% 同时，截至年5月，有几十家还未完成年度汇报编制企业披露了可能造成否定或保留心见重大缺点/实质性漏洞，我们预计最终取得否定意见企业可能占到总体汇报数量14%左右。慧点科技第18页全部企业提及实质性漏洞分类慧点科技第19页发觉问题分类外部审计师在对被审计单位审计中发觉问题，按其主要程度依据质和量上标准把这些问题分为三类：控制缺点：假如内控设计或运行无法使管理层或员工在执行指定任务正常过程中，及时预防或发觉错报，那么就存在普通内部控制缺点。重大缺点：是一个严重影响企业依据公认会计准则要求对外部财务数据进行可靠初始化处理、授权、统计、处理和汇报能力一个内部控制缺点或多个控制缺点汇总，主要缺点能够在可能性大于“微小”情况下，造成不能预防或发觉错报金额大于“不主要”年度或中期财务汇报错报。比如，会计政策选择与公认会计准则不符；反舞弊政策与程序无效；针对非常规交易无效；期末汇报相关控制无效等。慧点科技第20页发觉问题分类（续）实质性漏洞：造成年度或中期财务汇报中重大错报未被预防或发觉可能性大于“微小”一个重大缺点或多个重大缺点组合。比如，高级管理层任何形式，任何数量舞弊行为；以往财务报表错误申明（不论因为错误或者舞弊而发生）；本期审计师发觉重大错报；审计委员会监管无效；内审、风险评定无效；受高度监管企业（如电力行业），法规遵照情况无效；已通知管理层和审计委员会重大缺点没有更正；控制环境无效。慧点科技第21页怎样降低实质性漏洞及重大缺点发生企业及各站段管理层需要主动参加到内控工作中对于管理层内控测评工作中发觉重大缺点和实质性漏洞管理层要果断进行整改。慧点科技第22页企业内部控制制度设计基本标准和重点合规正当性标准全方面性与系统性标准内部牵制标准成本效益标准权限明确、奖惩结合标准信息反馈标准1234预防为主、查处为辅重视选择关键控制点重视相互牵制设置补救办法内控制度设计重点慧点科技第23页企业内部控制测试与评价健全性测试与评价符合性测试与评价综合评价健全性测试与评价是针对企业所实施企业内部控制本身是否完善、是否健全所进行测试和评价；符合性测试与评价是审计人员为了证实企业内部控制在实际工作中是否得到落实执行程度怎样，而对在健全性评价中被认为健全或基本健全企业内部控制所进行测试与评价。慧点科技第24页测试方法及综合性评价健全性测试方法记述法(书面说明法)调查表法流程图法符合性测试方法检验证据法穿行试验法实地考查法综合性评价汇报内容总体评价主要执行偏差内部控制改进意见控制发生频率提议测试样本数量每个月一次2－4每旬一次3－8每七天一次4－10每日一次10－25整年次数在1000次以下25－50整年次数在1000次以上50－100慧点科技第25页基本方法以设计好测评模型为基础把测评结果写在测评模型中把每一步测评结果写在测评模板中对于发觉例外情况进行初步判断测评基本方法重新执行检验观察问询可靠性递增慧点科技第26页经过口头或书面形式确认控制存在做微弱测试方法应该与其它测试共同执行应该问询多人以确定结果一致文档统计要求：谁，什么时候，哪里，怎样观察员工执行控制步骤可能需要其它跟进测试文档统计要求：谁，什么时候，观察结果审阅文档统计或汇报提供详细内容从而能够重复测试步骤并检验结果采取独立数据重新进行对账按系统计算公式重新计算在系统中输入测试数据来查看结果测试文档统计详细程度能够确保重新测试 问询观察检验重新执行最不可靠最可靠控制测试慧点科技第27页内部控制与内控管理控制/优化业务过程风险内控管理内控管理内控管理建立了一套相对独立体系与机制，对企业内部控制进行评价、监督和优化。手工OAERP、HR、财务等业务系统其它系统手工独立内控管理业务系统内部控制战略运行汇报合规国资委、证监会、财政部保值增值COSO内控是企业为控制经营风险、实现经营目标而制订各项政策和程序。慧点科技第28页内部控制是内控建设、内控执行和内控评定三个层面统一体

发觉内部缺点提出改进办法落实改进办法(各责任单位)监控评定汇报内控标准内审部门独立评价与检测支持控制优化对欺诈独立调查内控建设管理帮助流程责任人进行业务流程内控梳理与设计监控业务流程内控建设改变业务管理部门制订业务流程（责任人）执行自我评定（自我评价）处理内控问题（自我完善）事后监控事前／事中监控企业管理层内控迎审内控自测内控手册/矩阵管理内控审计慧点科技第29页慧点科技第30页体系建立体系落实与执行内控管理需要完善管理体系体系监督与反馈体系连续改进完善管理体系慧点科技第31页内控管理业务总体视图手册维护业务内容内控测试执行情况汇报整改计划执行主体内控管理部门自测业务部门人员（不相容标准）检测企业内企业外－外审人员内控人员内审人员其它专业人员检测全部者整改执行：业务部门整改监督设计缺点：内控管理部门执行缺点：检测全部者考评慧点科技第32页内控管理业务特点：管理集中、任务分级管理集中（全国一盘棋）管理理念落实执行（思想统一）提供全局手册（规范统一）总体计划（行动统一）汇总汇报（结果统一）

任务分级（协作分工）内控业务管理层级手册维护计划自测与整改检测与整改汇报监控集团内控处业务部门下属单位内控工作组业务部门慧点科技第33页未来内控管理体系基本方向：内控职能推进建设、各业务和职能部门实施、审计部保障风控职能内控审计部业务/

职能部门总裁推进管理体系制度化建设起创新、协调、推进、知识传授

作用实施管理体系制度化建设起日常执行、操作、改进、责任担当作用保障管理体系制度化建设起监督、提议、跟踪、保障作用目：作用：慧点科技第34页内控管理部门目标：成为有效第三方监控者伎俩职能定规则：企业内控管理全景视图流程梳理指标定义手册维护定标准：提取相关指标、证据有效通道、机制和接口定方法：进行风险分析/评定先进方法、机制和模型先进内控管理IT系统是内控管理部门独立业务管理系统完整支持上述功效目标实现与企业其它各业务IT系统有效集成和融合三定三管计划与任务分配执行与监控：对目标、控制点体系、信息、证据、评定结果整体分类管理功效汇总、汇报与展现：将分析/评定结果以最有效方式提供并展现给决议者，有效持企业决议能力和机制

慧点科技第35页内控管理优化过程--内控部门是宣导者，教育者--家长式强制执行第一阶段：拉着--内控部门是辅导者，帮助者--教师式帮助执行第二阶段：陪着--内控部门是管理者，监督者--日常式融入执行第三阶段：看着--内控部门失业了--自动自觉无为而治慧点科技第36页广深铁路SOX内控现实状况目标安永普华广深慧点内审

√√外审√√√

内审范围>外审范围。外审着眼点是流程，内审着眼点是组织内审需要企业内控手册以及全内控矩阵支持外审是以满足纽交所SOX404汇报为最终目标。外审机构是指导人，内审部是执行人内审是以建立企业内部健全最终目标。内审部是指导人，企业各部门相关责任人员是执行人慧点科技第37页项目进度表（初步计划）关键流程和子流程（财务报表相关内控流程）访谈提要、时间表、统计、资料清单流程文字描述（穿行测试）流程图控制矩阵内控设计差异分析汇报（问题，提议，改进方案）符合性测试计划符合性测试工作底稿内控实施差异分析汇报（问题，提议，改进方案）内控项目主要结果慧点科技第38页课程纲要内控基本知识WBCR系统对SOX404合规性对应经验分享慧点科技第39页内控管理系统应用价值—用三个一实现四化信息集中化数据规范化管理系统化汇报自动化一套框架一个平台BCR一套管理体系慧点科技第40页WBCR对Sarbanes-Oxley法案遵从响应法案条款法案要求WBCR响应302财务汇报季度或年度证实将财务汇报作为控制，实现控制管理内控效力按季度披露提供认证功效，提升管理层签署内控汇报信心404内控效力和变更年度证实提供控制文档，测试和状态汇报409主要事件实时披露提供集汉字档管理，及时文档搜集。802统计保持提供实时归档和提取功效慧点科技第41页内控管理系统价值企业全方面遵从支持长期有效改进企业治理降低总体内控成本加强内控系统性与规范化提升企业形象CEO、CFO等高管层提升签字信心全方面掌控企业内控情况

内控管理部门及工作人员解放生产，管理聚焦增加内控透明度提升内控质量缩短内控测评时间

企业其它业务部门工作简化整改及时外部审计人员促进沟通提升效率慧点科技第42页IT工具在SOX遵从过程中能帮助企业统计、测试和评定内部控制程序IT工具使企业能够以更一致、更系统方式搜集并监视控制信息，由此组成企业评定财务汇报流程基础,

并帮您简化、并自动化实现第404部分遵从情况评定工作,帮助客户快速处理迎接法案挑战时需要克服遵从技术问题，从而满足Sarbanes-Oxley法案第404部分要求。IT工具能帮助企业实现以下价值：文档搜集功效：为搜集企业控制信息提供有序方法，包含对财务汇报控制；权限管理功效：经过有效权限设置和角色定义明确业务流程、组织部门甚至是个人控制责任；文档管理功效：实现流程文档化，便于流程数据查询检索和修改；内控流程管理：预先定制内控流程管理模板，源于KPMG等多年咨询审计经验；内控情况实时查询：管理层对内部控制监控由被动变为主动,便于更及时了解内部控制执行情况；控制元素快速定位：允许依据角色和权限,访问关键财务指标，从而快速评定您流程.降低测试成本：多个流程控制共享能够帮助降低测试；历史版本数据保留：依据控制历史统计发展趋势能够准确预计企业发展动力和进展情况。慧点科技第43页与企业内部控制业务流程一致范围文档评定汇报定义组织结构和建立对应责任定义组织业务流程、子流程、目标、风险、控制点和过程统计和执行测试过程，评定测试效果为范围定义、文档统计结果和评定状态等提供从不一样角度视图慧点科技第44页课程纲要内控基本知识WBCR系统对SOX404合规性对应经验分享慧点科技第45页有效内控体系组成内控及风控管理系统是信息与沟通平台良好风险文化和内控意识是关键融入工作是目全员全方面参加是基础完整管理体系是根本内控团体建设是保障高层领导重视和支持是前提慧点科技第46页关键成功要素制度落实到底手册维护及时汇报展现透明目标设定合理计划执行有序过程进度可控整改及时高效权责分离明晰行为规范固化帮助考评工作制度方面执行方面组织方面理清楚落得实管到位慧点科技第47页完善推广试点分步建设企业内控管理系统平台提议分三个阶段来实施试点：在集团和几个分子企业进行建设：3～4个月推广：将更多分子企业纳入到建设范围中：5～6个月完善：覆盖全部分子企业，并完善应用：12个月分企业分企业分企业总部固化，僵化，优化--华为任正非慧点科技第48页案例剖析－－某石油企业客户特点业务比较简单管理集中案例特点利用内控系统实现了内控测评工作标准化、自动化在内控管理基础上向风险管理扩展慧点科技第49页某石油企业内控管理系统实践良好内部环境配套考评制度做好培训工作保障机制总部内控处完成内控手册维护，同时对测评工作进行计划、指导与监督，提交内控汇报分企业内控测评人员以关键控制点为重点进行全方面测评工作方法业务上内控处对内控测评人员垂直管理定岗定责管理模式业务描述内置工作模板库样例库实时、主动地检验企业内控信息，并可公布相关工作指令内控评价流程标准化、自动化集中性文档维护和管理组织管理，责任到人提供便利查询功效。内控汇报分析灵活组织结构定义强大用户管理与权限管理功效实现慧点科技第50页企业层面流程处理慧点科技第51页系统展示——内控范围界定

即组织机构建立，从而确定要实施内控范围，当前已在系统中建立了总部、各分企业及其下各作业企业。慧点科技第52页系统展示——内控制度统计

在业务单位下建立各自内控制度，统一有效管理。慧点科技第53页系统展示——测试过程和结果统计测试人员在系统中针对各自负责流程进行测试，统计测试过程和结果。慧点科技第54页系统展示——内控效果查看用户可登陆系统，以文字和图表方式实时查看内控工作进展。慧点科技第55页系统展示——工作文档管理把工作相关文档建立统一系统进行管理，便于版本控制和查阅。慧点科技第56页案例剖析－－某电力企业客户特点业务简单高度集权专职测评人员内控测评质量监督人员独立内审人员案例特点形成一套强有力管理体系利用内控系统实现了内控测评工作日常化慧点科技第57页WBCR中内控管理模式慧点科技第58页内控业务工作模式内控业务管理层级手册维护计划自测与整改检测与整改汇报监控集团内控部门业务部门下属单位专职测评人员业务部门慧点科技第59页内控管理系统在某电力企业中应用良好内部环境配套考评制度做好培训工作保障机制总部内控部门完成内控手册维护，同时对测评工作进行计划、指导与监督，提交内控汇报分厂专职内控测评人员以关键控制点为重点进行全方面测评独立审计人员实施独立监督工作方法业务上内控部门对专职测评人员垂直管理定岗定责管理模式业务描述内置工作模板库样例库在线咨询与答疑系统内控文档管理系统个性化工作台内控测评在线监控内控工作咨询与答疑内控缺点整改实时跟踪内控总体视图与内控汇报灵活组织结构定义强大用户管理与