《企业内部控制理论与实务教学材料》由会员分享,可在线阅读,更多相关《企业内部控制理论与实务教学材料(112页珍藏版)》请在金锄头文库上搜索。
1、1,企业内部控制理论与实务,2,内部控制的概念 内部控制五要素,内部控制的定义,3,在组织内建立经营政策、标准和程序,并通过各级管理层和员工有效运行,以此来防范风险,达成组织的目标。组织中的所有人员都负有相应的职责。,5,内部控制的目标:, 保证信息的可靠性和完整性 保证遵循政策、计划、程序、法律和法规 保护资产的安全 提高经营的经济性和有效性 保证完成所制定的经营任务和目标,6,7,内部控制的目标:, 保证信息的可靠性和完整性 保证遵循政策、计划、程序、法律和法规 保护资产的安全 提高经营的经济性和有效性 保证完成所制定的经营任务和目标,8,内部控制设定原则 明确经营目标与控制措施的关系 特
2、定目标对控制设计的影响 控制目标设定时对成本效益考虑 管理控制与会计控制,9,法案产生之背景 安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信用危机。 会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。 重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。 2002年6月,布什总统签署的萨班斯奥克斯利法案正式生效,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,故简称萨班斯奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法作了不少修订,在会计职业监管、公
3、司治理、证券市场监管等方面作出了许多新的规定。 法案出台之目的 - 重建公司信用,培育公众信心,振兴证券市场。 - 加强公司监管,规范业务运作。 - 增加财务报告与信息披露的透明度。 - 确保公司管理层可以从有效监控的系统中获取重要信息。 - 公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。,萨班斯奥克斯利法案概述,10,法案之主要内容- 成立独立的公众公司会计监察委员会,监管执行上市公司审计职业 - 要求加强注册会计师的独立性 - 要求加大公司的财务报告责任 - 要求强化财务披露义务 - 加重了违法行为的处罚措施 - 增加经费拨款,强化美国证券管理委员会的监管职
4、能 - 要求美国审计总署加强调查研究 其中与上市公司管理层直接相关的是: 第302节 公司对财务报告的责任 第404节 管理层对内部控制的评价,萨班斯奥克斯利法案概述(续),11,法案之主要内容 第302节 公司对财务报告的责任 - 要求公司首要官员及首要财务官在季度/年度报告中保证 - 对信息披露的控制和程序负责(含刑事责任) - 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 - 对披露控制的有效性进行评估,评估结果需存档 - 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 - 存档描述内部控制的重大变化 - 介绍信息披露的控制和程序 - 强调财务人员的正直
5、和财务报告系统控制的完整性 - 需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以及法律诉讼 - 美国证券管理委员会要求 - 扩大信息披露的控制和财务报告系统内部控制程序的认证 - 将内控评估日改为财务报告截止日,萨班斯奥克斯利法案概述(续),12,萨班斯奥克斯利法案概述(续),法案之主要内容 第404节 管理层对内部控制的评价 - 要求公司管理层在年度报告中: - 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任 - 对财务报告系统内部控制有效性以一个公认架构进行评估(例如COSO内控架构) - 同时要求外部审计人员: - 对管理层评估结果进行签证 - 美国证
6、券管理委员会要求 - 扩大信息披露的控制和财务报告系统内部控制程序的认证 - 将内控评估日改为财务报告截止日,13,在美国上市的公司,不论规模,均需遵守萨班斯奥克斯利法案的有关规定。 即使上一年注册会计师出具的是无保留意见的审计报告,也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定,独立审计人员还需另外证明客户公司的内部控制系统是有效的。 美国国会清楚地规定,公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为:证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说,管理层必须独立地评估,执行和监控内部控制程序(但是可以聘
7、请独立审计人员以外的咨询人员协助就绪及评估工作)。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。 法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。,法案对于在美国上市公司的规定与影响,14,董事会成员和审计委员会有进行自我评估和接受后续教育的责任 纽约证券交易所和纳斯达克证券交易所的规定 公司治理的要求 公司内控的失败提高了董事会接受相关培训,改进内控程序的重要性,法案要求公司对员工的职业道德作出书面规定 要求审计委员会建立内部举报激励机制,职业操守和公司守法,董事会成员的责任,15,美国证券管理委员会公布了以下新的规定 管理层信息与分析
8、非通用会计准则下的财务处理 资产负债表表外事项 美国证券管理委员会建议成立信息披露委员会,透明度和信息披露,16,公司财务报告系统内部控制报告书的规定 必须陈述下列情况以评估公司内部控制程序: 管理层承认对公司内部控制有效性负有责任 公司必须使用适当的控制标准(例如COSO) 来评估内部控制的有效性 公司必须提供充分的证据来支持其评估结果 公司必须书面记录与提交其对内部控制有效性的评估结论 需要提供下列证据和文件来支持评估结论: 评估需包括分支机构和业务单元的认定 重要内部控制的认定 重要内部控制程序的设计 控制实施的有效性 内控之重大失败和/或重大缺陷的认定 评估结果,管理层责任评估财务报告
9、系统内部控制的有效性,17,在判定控制的重要性时必须考虑下列因素: 控制失败将导致财务报告失真的可能性 用其他控制手段达到相同控制目的的程度 重要的控制包括: 会计系统初始化、帐务处理、重要帐户余额记录、交易类别和披露方面的控制 反舞弊控制 跨部门的共同控制,缺少它,其他重要控制程序不能独立发生作用 同时使用才能达到一定控制目标的重要控制程序 对重大的非常规和非系统的交易监控的程序 对期末财务报告步骤实施监控的程序,管理层责任评估财务报告系统内部控制的有效性,18,测试内部控制实施效果的方法: 内部审计人员对内部控制有效性进行测试 在管理层的领导下由其他人对内部控制的有效性进行测试 使用外部服
10、务机构的评估 自我评估步骤 测试需考虑的因素 测试手段不能仅限于问询的方式 需测试的控制程序和测试的时间可能会受到公司风险评估和监控步骤的影响 所有重要的分支机构和重要的控制程序都要进行评估 公司不可以使用独立审计人员对内部控制程序的测试结果来支持其作出的内部控制程序有效的结论,管理层责任评估财务报告系统内部控制的有效性,19,文档记录的重要性 文档记录可以为控制程序的确定和控制的监管提供证据 内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷 缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷,并签发反对意见报告 管理层声明 完成评估后,公司必须向它的审计师
11、提供一份关于内部控制有效性的书面声明 管理层声明必须作为一个独立的报告包括在管理当局说明书中(*) 对于拒绝出具书面的管理层声明的公司,外部审计人员必须拒绝对其内部控制系统发表意见,* 公司CEO和CFO对该声明书全权负责,并对不实的声明承担刑事责任,管理层责任评估财务报告系统内部控制的有效性,20,项目进度表(初步计划) 关键流程和子流程(财务报表相关内控流程) 访谈提纲、时间表、记录、资料清单 流程文字描述(穿行测试) 流程图 确认流程文字描述和流程图 控制矩阵 内部控制和流程差异性分析 内控设计差异分析报告(问题,建议,改进方案) 符合性测试计划 符合性测试工作底稿 内控实施差异分析报告
12、(问题,建议,改进方案),本阶段项目主要成果,21,测试步骤-具体要求,明确测试目的,测试资料审核,进行资料准备,了解流程测试目的; 确定需要准备哪些资料;,按流程而不是部门进行资料分类; 根据项目小组所选样本,提供相关凭证和文件;,审核测试样本与流程描述是否相符; 回答项目小组所提出的问题,22,内部控制类型: 预防性控制 检查性控制 纠正性控制 指导性控制 补偿性控制,23,内部控制方法: 组织控制 人事控制 风险评估 程序控制 检查控制 设施设备控制,24,组织控制, 目标、授权和职责 分离不相容职务 决策授权 工作说明书,信息与沟通,控制环境,风险评估,控制活动,监 控,25,人事控制
13、,甄选合适的人员,绩效考核,适时的人员培训,信息与沟通,控制环境,风险评估,控制活动,监 控,休假和工作轮换,26,风 险 识 别,风 险 分 析,风险评估:,建 立 机 制,信息与沟通,控制环境,风险评估,控制活动,监 控,27,发生坏账 政府处罚 法律诉讼 成本超标 收入的减少 资产的毁损 竞争劣势 管理信息谬误 ,风险是普遍存在的:,信息与沟通,控制环境,风险评估,控制活动,监 控,28,政策 规章制度 流程 作业指导书,程序控制,信息与沟通,控制环境,风险评估,控制活动,监 控,29,设施设备控制 计算机软硬件控制 权限设置 摄像头 门禁,信息与沟通,控制环境,风险评估,控制活动,监
14、控,30,实施监控,纠正偏差,检查控制,信息与沟通,控制环境,风险评估,控制活动,监 控,31,监控方法, 检查 审计,信息与沟通,控制环境,风险评估,控制活动,监 控,32,内部审计的工作流程:,选择审计对象,制订审计计划,审计 准备,审计 实施,形成审计结论和建议,报告,后续 跟进,33,第一章、执行内部控制的目标,期望通过本项目建立一套能实现以下目标的内部控制系统: 满足美国萨宾斯法案(Sarbanes-Oxley Act)对内部控制要求; 作为统一公司的制度和流程的基础;及 开始建立与现代企业制度相适应的公司治理结构和控制环境。,34,美国的萨宾斯法案 (Sarbanes-Oxley
15、Act) 所有在美国上市的公司均需遵行 强调外部会计师的独立性 关注公司内部治理及对外信息透明、完整与正确性 以强化内部控制为核心的要求,执行内部控制的外部压力法案的强制性,35,美国的萨宾斯法案 (Sarbanes-Oxley Act) 需符合规定的时间: 提交截止年底的经审计师鉴证的内部控制报告 根据我们的经验,美国类似规模的上市公司需要一年以上的时间进行准备。,执行内部控制的紧迫性,36,只针对萨宾斯法案的要求 和财务报告有关的部分 覆盖的业务主体,执行内部控制的专注点,37,执行内部控制的广泛性,内部控制绝对不是: 静态的结构; 某一层次人员的任务(例如:高级管理层); 某一部门的任务(例如:财务、内部审计); 某一实体的任务(例如:总部、省级公司)。 内部控制是:,美国反欺骗性财务报告委员会(COSO)的定义: 内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程,实现这一过程是为了合理的保证: 经营的效果性和效率性; 财务报告的可信性; 对法律和规章制度的遵循性。,因此,整个集团的共同参与对于项目的成功至关重要。,38,萨宾斯法案的要求的长远益处,四个关键信息质量的驱动因素是行业领先的公司进行变革的目标,这些因素是遵循萨宾
