《{财务管理内部控制}企业内部控制鉴证》由会员分享,可在线阅读,更多相关《{财务管理内部控制}企业内部控制鉴证(159页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制鉴证,二零零九年六月八日,第一部分内部控制和萨宾斯法案介绍 第二部分企业内部控制基本规范解读,内部控制和萨宾斯法案介绍,只针对萨宾斯法案的要求 -和财务报告有关的部分 覆盖的业务主体,内部控制的专注点,内部控制的广泛性,内部控制绝对不是不是: 静态的结构; 某一层次人员的任务(例如:高级管理层); 某一部门的任务(例如:财务、内部审计); 某一实体的任务(例如:总部、省级公司)。 内部控制是:,美国反欺骗性财务报告委员会(COSO)的定义: 内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程,实现这一过程是为了合理的保证: 经营的效果性和效率性; 财务报告的可信性; 对法
2、律和规章制度的遵循性。,因此,整个集团的共同参与对于项目的成功至关重要。,规范要求的长远益处,四个关键信息质量的驱动因素是行业领先的公司进行变革的目标,这些因素是遵循规范的结果,也是价值的创造,提供的数据客观,形象的表示了公司业绩 财务报表更改的情况将很少发生,业绩将更接近原有的预期 持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化,随着时间的推移,信息将快速的产生 需要快速的提供给投资者相关信息,简单化和标准化的信息使得更容易被理解和接受 管理层要直接看到推动业务的相关因素,及时,可预测,透明,精确,Earnings,走进内部控制 主要内容主要内容,一、基本概念阐述 二、内控系
3、统整体架构 三、内部控制的实施,一、基本概念阐述,经营回报,公司管理层,经营回报与风险,什么是风险?,风险是某一事件或行为对企业经济 利益可能的威胁,商业风险和管理风险,财务和经营信息不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用,不能达到企业的目的和目标,管理风险,管理风险习惯上分为以下五类:,经营中断,法律诉讼,商业欺诈,竞争失败,无益开支,资产损失,决策失误,风险的后果?,风险如何最小化?,暴露的金额,发生的 可能性,风险的大小,内部控制如何降低风险?,有效的 内部控制,风险与经营回报的良好平衡,内部控制的重要性,COSO报告内部控制整体架构 AICPA审计准则
4、公告第78号 会计法(第四章第27条) 财政部内部会计控制规范 证监会证券公司内部控制指引 证监会商业银行内部控制指引征 求意见稿 财政部等五部委企业内部控制基本规范,内部控制的重要性(续),什么是内部控制?,18,内部控制 - 被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证: 营运的效果和效率 财务报表的可靠性 相关法令的遵循,COSO,内部控制的定义,二、内部控制整体架构,内控系统的整体架构,内控系统五要素架构,目标,有效率且有效果的使用公司资源,财务报告的可靠性,遵循适用的法律、法规,是任何企业的核心,是企业的人以及它所处的环境
5、是推动企业的引擎,也是其他要素的基础,控制环境的组成要素: 管理哲学和经营风格-传达公司的正直、诚实的道德规范 组织结构-董事会及其委员会职能 职责分配和授权-权利、职责分工 人事政策-保证员工正直并有能力胜任工作,控制环境,是任何企业的核心,是企业的人以及它所处的环境 是推动企业的引擎,也是其他要素的基础,控制环境的组成要素: 管理哲学和经营风格 组织结构 董事会及其委员会职能 职责分配和授权 人事政策,控制环境,控制环境管理哲学和经营风格,审计署对23家企业的调查结果,控制环境管理哲学和经营风格,独立董事 专门委员会 设立审计委员会,及委员会成员资格要求 审计委员会职责 专门委员会与外部中
6、介机构 监事会 监事会职责 监事会与外部中介机构,控制环境董事会及委员会职能,企业必须了解它所面临的风险,并加以控制。即设立可辨识、分析和管理相关风险的机制 风险评估就是分析和辨识为实现企业目标所可能发生的风险。,环境变化后的管理,评估和更新,风险评估,风险分为: 公司整体层面的风险 具体业务活动层面的风险 风险分析的步骤: 评估风险的重要性 评估风险发生的可能性(或发生的频率) 考虑如何管理风险,即评估应采取何种行动,风险评估,对应予以特别关注的环境变化保持警觉: 法规或经营环境的改变 新加入的员工、较高的人员流动性 新的或改善过的信息系统 公司经理迅速发展时期 新技术的出现 新业务、新产品
7、、新的经营活动或并购 公司重组 跨国经营,风险评估,次序 银行/保险业/证券 制造业 其他 1 内部控制的质量 内部控制的质量 内部控制的质量 2 管理人员的能力 管理人员的能力 管理人员的能力 3管理人员的正直程度 管理人员的正直程度 管理人员的正直程度 4会计系统的近期变动 单位的规模 会计系统的近期变动 5单位的规模 经济环境恶化 业务的复杂性 6资产的流动性 业务的复杂性 资产的流动性 7重要人员的变动 重要人员的变动 单位的规模 8业务的复杂性 会计系统的近期变动 经济环境恶化 9快速的增长 快速的增长 重要人员的变动 10 政府法规 管理人员对完成目标的压力 快速的增长近期变动,如
8、何有效地进行风险管理 各行业的前10种最主要的风险因素,企业必须基于风险评估的结果订立控制风险的政策及程序,并予以执行。 通常可以按业务分别进行制定。,控制活动,控制活动的类型,事前事中事后,检查性控制,补偿性控制,预防性控制 纠正性控制,事前 事中事后,控制活动的类型,审批(高层审阅) 保护实物资产 异常报告制度 关键绩效指标分析 职责分工,控制活动,你的批准意味着什么? 你已经检查过文件的正确性、完整性以及适当性 你同意文件的内容 你有同意的基础,即: 你,或者你指派的适当人员,而非文件的编制者,已经审核了有关信息 你对自己的审批负全责,控制因素活动-审批,在开展任何业务之前都应进行授权,
9、授权以后,为了避免滥用权力,还要 经常对业务流程进行审查,按性质的不同分为综合授权和特别授权,要对授权做好记录,并提供证明文件,避免两个极端:“层层审批”和“一支笔”,授权批准控制,控制活动因素-保护实物资产,例如: 实物与会计记录的定期核对 把文件锁起来 ! 财务报表 ! 保护数据中心、本地局域网控制室以 及工作站 设备标签 安全系统/警报系统 设围墙 配置保安 工作证件 隐藏的摄像镜头,返回,例如: 超过还款期限的应收账款报告 加班统计报告 重复付款报告 未享受到的折扣 重点是发现异常情况并及时跟进,控制因素活动-异常活动报告,职责分离控制 授权批准控制 内部报告控制 电子信息技术控制 ,
10、一些重要的内控方法,一些重要的内控方法,不同人员或部门之间的职责分工可以通过一系列检查措施,例如:降低发生错误的风险,并控制人为蓄意的操纵. 避免独立个人同时负责一项完整的交易的发生、授权和记录,或避免独立个人在保管资产的同时负责记录其变动. 通过岗位轮换, 使更多的高级管理者参与日常运营的主要活动, 以外部视角来观察各个部门的运营.,控制因素活动-职责分工,不相容职务相互分离控制示例,内部报告控制,完善内部管理报告系统,内部报告上报时间及报告路线,内部报告的分析和跟进,内部报告的分发控制,信息系统控制目标,提高资源使用效率,信息系统控制目标,符合相关的法律、法规和政策,信息系统控制目标,提高
11、企业信息系统的整体可信赖程度的控制,信息系统的组织和管理,信息系统操作,数据安全,危机处理与业务持续计划,外包厂商管理,网络支持,系统软件支持,应用系统安装与维护,硬件支持,数据库安装与支持,一般信息系统控制,贯穿在风险评估和控制活动过程中 这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯,并交换这些资讯 信息系统:内部、外部 沟通:使员工知悉其在业务经营、财务报告及法律遵循方面的责任,信息与沟通,信息 通过信息系统识别、采集、加工和汇报信息 信息系统经常被认为是经营活动的一个组成部分,信息与沟通,信息质量 内容相关 是不是所需要的信息? 提供及时 是不是在需要时可以及时
12、提供? 时效性 是不是最新的? 正确性 数据是不是正确? 可获得性 是不是可以从正常渠道轻松获得?,信息与沟通,内部 每一各人都需要了解内部控制系统的相关方面,系统如何工作,以及他(她)本人在系统中的角色和职责 外部 与外部单位的交流经常能提供履行内部控制职能所需要的重要信息 监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点 与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息,以便其比较容易地理解企业所面临的环境和风险,下一步,信息与沟通(续),监督,整个内部控制的执行过程必须被监督 确保内部控制制度随情况的改变而作出动态的反应 应建立检查和报告体制,监
13、督是谁的职责? 管理层应对内控执行情况进行持续监督 内部审计部门应进行定期、不定期的个别评估,监 督,持续监控 管理者审阅管理信息 比较内部信息与外部信息 适当的组织结构和监督责任设置 信息与实务的比较 利用内外部审计师的工作 主动纳谏要求员工定期声明自省行为 个别评价 汇报内部控制缺陷,返回,监 督,与会计报表中所有重要科目及信息披露相关的所有报表认定,存在或发生 完整性 权利和责任 价值 表述和披露,返回,上市公司会计监察委员会发布第2号审计准则对审计师工作内容的要求,根据准则规定,审计师必须进行以下工作,进行项目计划; 评估管理层的评估过程; 理解与财务报告相关的内部控制情况; 测试并评
14、估与财务报告相关的内部控制的设计有效性; 测试并评估与财务报告相关的内部控制的运行有效性; 以及就与财务报告相关的内部控制的有效性形成一个结论,上市公司会计监察委员会发布第2号审计准则对审计师取得审计证据途径的要求,评估和测试管理层的评估流程 评估和测试他人(如:内部审计师)对内部控制进行的工作 独立对于财务报告相关的内部控制的有效性进行测试,准则规定了审计师取得审计证据的以下途径:,上市公司会计监察委员会发布第2号审计准则对审计师的要求,确认评估对象:确认需要测试的控制措施,包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施; 评估控制的失效风险:评估由于控制措施失效而导致会
15、计报表错记的可能性、此类错记的严重性,以及其他控制措施实现相同控制目标的程度; 确认评估范畴:确认应纳入评估范围的具体公司地址或业务单元(针对拥有多个办公地点或业务单元的公司); 评估控制的有效性:对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及实践方面的有效性进行评估; 评估缺陷的严重性:确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞; 沟通:就主要发现与相关方面进行沟通;及 形成结论:评估主要发现是否与评估结果相一致。,审计师需要确定管理层是否进行了以下评估工作:,内部控制的主体:管理层(承担的职责是计划、 组织、领导其组织的活动,即对组织的内部 控制负责),内部审计对管理层组织的内部控制进行监督, 以协助管理层有效地履行他们的职责。,管理层在内部控制中的地位和作用,三、内部控制的实施,实施内部控制制度,逐项复核内控是否存在于现有流程中,是否有效 必要时进一步制定具体政策和管理报告 考虑成本效益原则 强化对内控的监督与评估,实施内部控制制度,实施控制时的成本效益原则,管理层在实施内控中未承担应有职责 过分强调控制成本 片面强调人员素质 认为内控包治百病,实施内控时常出现的误区,中国: 80组织日常财务工作 70审核财务报表及管理报表 60制定投融资决策 55制定内控 30制定公司