《内控审计体系建设(精品课件)》由会员分享,可在线阅读,更多相关《内控审计体系建设(精品课件)(69页珍藏版)》请在金锄头文库上搜索。
1、2009年售前工作总结和2010年工作规划,企业内部控制审计体系与方法,基于财政部企业内部控制审计指引和企业内部控制审计指引实施意见的实践,01:14:31,写在前面的问题,企业内部控制体系建设与运行对企业风险管理的或企业经营的贡献度有多大?,01:14:31,写在前面的问题,经营策略在很大程度上影响着内部控制体系建设的方法与思路,01:14:31,以利润为中心,以客户为中心,以股东利益为中心,不同的经营理念不同的经营策略决定着企业内部控制的实际操作管理方向和途径,目录,内控审计的体系与方法论,特定内控项目的审计,基于数据分析的内控缺陷识别,基于内控审计总体目标分解来建立严谨完善的 内控审计体
2、系及对应的方法论,对企业极为重要的那些特定内控项目的专项审计是保证 内控目标实现的重要环节点,引入非现场审计与现场审计相结合的模式提高 问题发现的精准度并提升审计效率,面向应用的内控审计工作平台,将前述的体系与方法落实到审计信息系统中实现 审计工作的工具平台化操作,01:14:31,一、内控审计的体系与方法论审计目标,内控审计目标,这里所说的企业内部控制审计是指会计师事务所或企业内部审计部门接受委托,对特定基准日企业内部控制的设计和运行的有效性进行的审计。,内控审计责任,建立健全和有效实施企业内部控制,是企业全体股东和董事会的整体要求,也涉及到企业员工的共同利益。评价企业内部控制设计和运行的有
3、效性,是董事会的责任也是受委托会计师事务所代表股东利益和社会利益而肩负的共同责任。,01:14:31,一、内控审计的体系与方法论审计目标,01:14:31,一、内控审计的体系与方法论任务分析,财务报告完整真实,遵从企业内法与外法,保障企业资产安全,提升运营效率效果,内控审计,内控 设计构建有效性,内控 运行有效性,内控审计审什么?,01:14:31,一、内控审计的体系与方法论任务分析,内控审计,内控 设计构建有效性,内控 运行有效性,企业内部控制系统构建有效性审计,主要是从内控体系设计构建的体系完备性、系统深入性、管理详细性、目标达成性、运行有效性和维护持续性诸方面评估内控体系建设的质量这是一
4、种基于理论方法的审计或者是一种基于完备内控体系标准的设计。,企业内部控制系统运行有效性审计,当从企业内部控制系统运行的实际效果出发,监测它对内部控制四大目标实现的满足程度这是一种基于企业内控系统运行事实或成效的审计,内控效果评估是审计的核心。,01:14:31,一、内控审计体系与方法论内控构建有效性,企业内控体系设计构建有效性审计是内控效果审计的第一步,一个千疮百孔的内控体系构建也很难谈得上运行的有效性,因此从内控体系的设计理念和实际构建的内容和程度出发检查内控体系建设的有效性是非常必要的。 内控体系设计构建评估当从以下几个方面入手: 体系完备性 系统深入性 管理详细性 目标达成性 运行有效性
5、 维护持续性 如果能够建立上述6个方面的指标体系,我们就可以通过调查问卷、查证查验对企业内控体系构建的质量进行评测。,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,企业风险管理机构设置是否健全、职责是否明确、组织管理是否合理 。 体制内全员风险管理与内部控制培训是否开展,风险管理意识和职业操守标准是否建立。 是否有企业级领导专职负责内部控制,其职权范围和精力是否合适和充沛。 风险管理是否涵盖企业财务、市场营销、产品销售、物资采购、人力资源管理、绩效考核、对外对内投资、安全生产、合规等各个业务和管理层面。 是否建立了有
6、效的内部控制管理信息系统 信息采集点是否包括了主要的业务环节如:财务出纳、市场反馈、产品销售、企业供应链、工作计划进度、绩效考核、薪酬体系等 。 控制管理层次分明,包括:风险管理战略控制管理环境建立风险点发现风险点评估风险应对流程管控信息沟通监测。,评价指标体系体系完备性,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,控制管理层次分明,包括:风险管理战略控制管理环境建立风险点发现风险点评估风险应对流程管控信息沟通监测 是否建立了完整的关键风险点的管控机制和应对措施 企业在典型业务流程上(例如内控指引的18个管控条线)
7、是否具备广泛的风险点知识库,使得企业对风险点的识别系统全面 建立在风险偏好基础上的风险点管控策略,即内控设计中,从风险点中基于风险偏好来选择控制点 控制目标应与经营目标、管理目标保持一致,并且在流程环节上始终围绕着操作目标建立控制策略,评价指标体系系统深入性,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,评价指标体系管理详细性,企业内部控制节点的详细程度,是否覆盖了必要的各个环节 控制程序文件的详尽程度,是否对于风险的发生有明显的抑制作用 风险事件库的设置是否详细,有助于快速的查询,以应对紧迫的风险管理的需要 风险预
8、警观测点是否按照业务或组织层级的深入进行布置的,是否有助于提前发现风险信号 控制程序文件编写是否严谨、规范和适用性,没有歧义或二义性 业务信息记录和传递的及时、准确和全面性,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,评价指标体系目标达成性,内控管理目标是否迎合企业的发展战略,是否对战略目标进行了有效的分解是内控系统设计与构建的重要原则 内控系统建设与运行是否增进了对企业的全面深入了解(资产、现金、工作进展、人员状况、市场反馈等等)是内控系统有效性的一个标识。 内控管理的触角应该具有一个从顶层直达最低层的快捷机制,
9、并且建立了检查和牵制的平衡机制 对员工的绩效考核和激励补偿是否与企业内控的目标一致,并且迎合了企业的长远发展战略。 企业的重大关键风险(例如前N大风险)是否处在日常的监视中 (是否有电子化的预警辅助系统)。 风险管理报告(包括财务报告)的真实性、可检验性和其中风险指标的是否全面,是否包含了事前预警、分析和事后处理。,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,评价指标体系运行有效性,是否有(通常是建立在IT系统上的)实体流程管控平台,这是企业内部控制从纸面上的管控规定落实为真实的流程控制的重要手段,融合在OA系统或
10、者其他业务系统中的业务流程管控是内部控制落地的发展方向。 建立基于事件或指标或测试的内控缺陷发现机制是保障内控系统有效运行的有力措施。 掌握与否快速进行风险点评估的技术是建立风险应对策略的基础。同时风险应对策略的合理性、适用性、经济性也是设计的要点 危机处理是内部控制的重要内容,危机应对预案的建立以及启用流程的设置也是内控系统运行的重要内容。,01:14:31,一、内控审计体系与方法论内控构建有效性评价,01:14:31,一、内控审计体系与方法论内控构建有效性评价,评价指标体系持续维护性,是否有日常的内控管理监控体系在常规的运行,并定期对运行的状况进行反馈 是否有因应环境变化而对系统进行修订的
11、机制(体系的自适应机制) 对是否有专职人员以及组织机构负责系统的改善、修订 企业内部控制管理系统是否适应企业不同发展阶段对内部控制的不同要求,01:14:31,一、内控审计体系与方法论内控运行有效性审计,评估企业内控体系运行有效性是企业内控审计的根本目的,在审计方法上,针对所涉及的各个业务条线从上述四个方面,通过风险事件、风险指标、实地测试获得内控系统的运行数据,从而完成企业内控系统运行有效性的评测,资产安全 审计,效率效果 审计,外法合规 审计,披露真实 审计,01:14:31,一、内控审计的体系与方法论内控审计流程框架,调查问卷,审计立项,查询查证,设计/构建 有效性评估 指标体系,内控体
12、系 构建 有效性评估,风险事件,风险指标,测试查证,内控目标 满足度 分项评估,内控运行 有效性评估,内控审计 报告,01:14:31,一、内控审计的体系与方法论讨论题(1),讨论:内部控制与风险管理的关系,01:14:31,一、内控审计的体系与方法论讨论题(1),合规风险管理,大合规/遵从外法和内法,小合规/仅遵从外法,合规作为内控的制约目标,01:14:31,一、内控审计的体系与方法论讨论题(1),事先管理,员工绩效管理,内部控制,内控环境,内控目标,内控规则,合规风险管理,合规监测预警,风险暴露、经济资本、风险对冲,风险与控制自评估,操作风险/运营风险,事中管理,事后管理,沟通与监控,0
13、1:14:31,目录,内控审计的体系与方法论,特定内控项目的审计,基于数据分析的内控缺陷识别,基于内控审计总体目标分解来建立严谨完善的 内控审计体系及对应的方法论,对企业极为重要的那些特定内控项目的专项审计是保证 内控目标实现的重要环节点,引入非现场审计与现场审计相结合的模式提高 问题发现的精准度并提升审计效率,面向应用的内控审计工作平台,将前述的体系与方法落实到审计信息系统中实现 审计工作的工具平台化操作,01:14:31,二、特定内控项目审计(1)“三重一大”,“三重一大”指重大决策、重要人事任免、重大项目安排和大额度资金运作。 “三重一大”事项坚持集体决策原则。国有企业应当健全议事规则,
14、明确“三重一大”事项的决策规则和程序,完善群众参与、专家咨询和集体决策相结合的决策机制。国有企业党委(党组)、董事会、未设董事会的经理班子等决策机构要依据各自的职责、权限和议事规则,集体讨论决定“三重一大”事项,防止个人或少数人专断。要坚持务实高效,保证决策的科学性; 一般说来,企业特别是中央企业建立健全议事规则、明确“三重一大”事项的决策规则和程序都是可以做到的,然而实质性问题是什么样的决策规则(包括决策依据和如何作出决策)和什么样的决策程序,01:14:31,二、特定内控项目审计(1)“三重一大”,01:14:31,二、特定内控项目审计(1)“三重一大”,01:14:31,二、特定内控项目
15、审计(2)“风险管理”,内部控制应明确规定企业应建立其经营管理主要方面的风险预警,从内部控制角度去看风险管理应该明确风险管理架构与主要功能,内部控制应明确风险发现之后的处理机制、流程及相关风险责任,风险管理与内部控制关系清晰性,内部控制是否覆盖到了风险管理,01:14:31,二、特定内控项目审计(2)“风险管理”,风险管理体系,风险预警,风险披露,风险会商,风险应对,建立风险管理系统,对经营管理主要方面开展风险预警,一旦发现风险建立风险披露制度,与风险责任部门展开风险会商,与风险责任部门一起制定风险应对措施,01:14:31,二、特定内控项目审计(3)“绩效考核”,01:14:31,二、特定内
16、控项目审计(3)“绩效考核”,劳动生产率,客户服务,产品交付,人才保持,各类人员薪酬平衡度 各类人员绩效匹配度,成本费用利润率 主营业务利润率 总资产报酬率,薪酬绩效平衡,企业经营效果,绩效体系设计、运行有效性评估六维度模型,01:14:31,二、特定内控项目审计(4)关于内部控制的内部控制,内部控制体系建设实效性测评 内控实效是企业隐含着的另外一个大的风险类,内控目标的达成性,建立切实有效的内控实效性测评方法或测评系统,检验所建立的内部控制能否实际保障资产安全、运营的效率效果、合规和经营报告的全面真实,设置必要的制度和流程来实际检查内部控制体系的应用有效性,内部控制效果评测应该发展一套有效方法测评或度量内控效果,01:14:31,如何评价一个企业的组织架构是满足内控要求的?,二、特定内控项目审计(5)组织架构,01:14:31,组织成熟度可以从另外一个侧面评价组织架构设计与运行的合理性与有效性。从机构的组织能力出发可以将组织能力分为五种类型:,Level 1,Level 2,Le
