北京国家会计学院_三、内部控制

《北京国家会计学院_三、内部控制》由会员分享，可在线阅读，更多相关《北京国家会计学院_三、内部控制（69页珍藏版）》请在金锄头文库上搜索。

1、北京国家会计学院北京国家会计学院梅放梅放 安永企业风险管理服务安永企业风险管理服务 合伙人合伙人梅放梅放 安永企业风险管理服务安永企业风险管理服务 合伙人合伙人20062006年年8 8月月7 7日日北京北京风险管理与内部控制专题风险管理与内部控制专题风险管理与内部控制专题风险管理与内部控制专题1一、 安永简介一、 安永简介二、 企业风险管理二、 企业风险管理三、 风险管理与内部控制三、 风险管理与内部控制四、 内部审计四、 内部审计五、 欺诈、腐败与造假五、 欺诈、腐败与造假六、 公司治理与绩效管理六、 公司治理与绩效管理2三、风险管理与内部控制三、风险管理与内部控制内部控制介绍内部控制介绍

2、内部控制评估的整体方案内部控制评估的整体方案与财务报告相关的内部控制与财务报告相关的内部控制3内部控制介绍内部控制介绍内部控制是指： 一个要靠企业的董事会成员、管理层和员工去实现 的过程，其设计在于为以下三个类別提供合理的保 证: 经营的效果性和效率性； 财务报告的可信性； 对有关的法律和规章制度的遵循性。4内部控制的关键概念： 内部控制是一项流程； 内部控制程序可通过手册、系统、表格等建立，但 其有效性的关键极受企业文化（对内控的重视程 度）、执行的认真程度和持续改善机制的影响； 内部控制只能对于公司的管理提供合理的保证，而 非绝对的保证； 内部控制应根据企业的战略目标和业务改变而进行 相应

3、的修改。内部控制介绍内部控制介绍5COSO内部控制及其五个组成部分COSO 是自发的私营组织，旨在通过提高商业道德，有效的内部控 制与公司治理，加强财务报告的质量。Committee Of Sponsoring Organizations of the Treadway Committee (COSO)的“内控程序-整体框架”报告以及SAS 55的指引是公司内 控系统审核中最常被作为参考的文献资料，它们提供了最为具体、 广为接受及可行的基准。内部控制介绍内部控制介绍6内部控制的组成部分遵遵循循运运营营财财务务报报告告功功 能能 单单 位位业业 务务 单单 位位控制环境控制环境风险评估风险评估控

4、制活动控制活动信息与沟通信息与沟通监督监督内部控制介绍内部控制介绍7控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内部控制的五个核心组成部分内部控制介绍内部控制介绍8控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督“任何公司的核心在于其员 工，他们每个人的诚信准则， 道德价值和能力，以及他们工 作的环境。”内部控制介绍内部控制介绍9控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督影响控制环境的六个因素：1.诚信与道德价值控制环境的基本要素，影响重要流程的设计，管理及监督。 管理层应采取行动，去除或减少可能导致

5、员工进行不法或不道 德行为的机会。 通过公司政策，行为准则及领导层的以身作则，明确公司的价 值取向， 2.致力于能力的承诺 考虑不同工作的对能力的不同要求。 考虑重要岗位人员是否能够胜任其工作。内部控制介绍内部控制介绍10控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督影响控制环境的六个因素：3. 董事会或审计委员会的参与 董事会及审计委员会负责公司会计及财务报表的政策与步 骤，并向股东及公众负责。 考虑管理层的独立性与经验，成员的身份，参与的程度， 对公司业务的巡视，等等。 4. 管理哲学与运营风格管理层负责指导及控制业务，建立、传达及监督公司政策 章程。 控制意

6、识内部控制介绍内部控制介绍11控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督影响控制环境的六个因素：5 公司结构与权威和责任的分配整体计划，指示控制活动的框架。 考虑管理层如何分配权威，监督分散经营的业务，对信息系统 的管理监督，及监督公司政策章程的执行。 6. 人事政策与惯例内部控制介绍内部控制介绍12控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督控制环境通常发现的问题： 1.治理结构不完善，不能对管理层进行独立有效的监督 与控制 2.管理层风险控制意识薄弱 3.公司组织架构与公司规模、业务不匹配 4.没有一整套严格、统一的授权体系

7、 5.财务及信息系统管理分散 6.没有明确统一的员工行为守则 7.没有岗位说明书以及合理的员工绩效考核办法内部控制介绍内部控制介绍13控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督风险评估是决定如何进行风险管理 的基础。 风险评估是识别及分析那些可能影 响企业达到其企业目标的事件或条 件。内部控制介绍内部控制介绍14控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督企业面临各种各样的内部与外部风险。风险评估的前提是建立 企业目标，因为风险存在与企业与其所要达成的目标之间。 三种企业目标： 1.业务目标 内部制定的业务效率及有效性的标准 2

8、.财务目标 在公司外部建立的。 财务结果属于业务目标；而财务报告准确性(衡量及披露标准)的目标 是在公司外部建立的。 3.遵循法律法规的目标 在公司外部建立的。 达到这些目标是在公司控制范围内内部控制介绍内部控制介绍15控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内部控制介绍内部控制介绍风险评估通常发现的问题： 1.缺乏企业整体目标，包括战略目标的确定与更新 2.下属机构与总部目标不一致，导致对风险识别的不一 致 3.缺乏风险识别与预警机制以及缺乏对新市场、新产品/ 服务的风险评估 4.缺乏机制来进行定期系统的风险评估16控制环境控制环境风险评估风险评估控制活动

9、控制活动信息与沟通信息与沟通监督监督控制活动是公司建立执行的政策章程， 以确保管理层的指示可以得到顺利贯彻 执行。控制活动必须与风险评估是一个整体。内部控制介绍内部控制介绍17控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督控制活动的三种形式：控制活动的三种形式： 1.预防性控制及检查性控制 2.人工控制及IT控制 3.管理控制及监督控制内部控制介绍内部控制介绍18? 预防性控制 是为了防止错误和舞弊的发生而采取的控制: 职责分离； 监督性检查； 正确性校验； 设置权限。? 检查性控制 把已经发生和存在的错误检查出来的控制： 异常情况报告； 编制调节表； 周期性的审

10、计； 盘点。内部控制介绍内部控制介绍19?IT控制 IT控制包括系统控制和应用控制： 系统控制包括: 系统性的软件控制； 系统准入控制。 应用控制包括： 确保通过系统进行的交易的准确性和完整性的控制。内部控制介绍内部控制介绍20控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督控制活动举例?高管人员注意运营结果，对运营结果进行总体审阅， 如预算与实际比较，财务计划等 ?对具体业务与具体部门的直接管理，如数据统计，生 产报告，帐龄分析等 ?信息与数据处理的检查，错误处理，报告等等 ?物理控制，如限制出入 ?绩效表现指标，如数据比较，关系分析，变化分析 ?职责分离 ?章程

11、与程序步骤内部控制介绍内部控制介绍21控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督控制活动通常发现的问题举例：1.缺乏全面预算管理 2.缺乏有效项目管理 3.缺乏有效的IT控制 4.着重预防型控制而忽略检查型控制 5.缺乏对控制的文档记录内部控制介绍内部控制介绍22控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督围绕着风险评估与控制活动的是信息与 沟通系统。只有以一定形式并在一定时间内，对相 应信息进行识别，获取及沟通，才可以 保证公司员工履行他们的职责。内部控制介绍内部控制介绍23信息信息 信息控制对公司控制至关重要。 信息控制的三

12、个要点： 1.适量的正确的信息 2.在适当的时候 3.给正确的人员信息必须是公司战略与整体系统的一部分。控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督内部控制介绍内部控制介绍24控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督沟通沟通 ?沟通是信息流通的渠道，也是信息的来源。?内部沟通包括水平与垂直两种方式。?外部沟通有多种来源：顾客，供应商，政府，利益 相关者。内部控制介绍内部控制介绍25控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督信息与沟通通常发现的问题信息与沟通通常发现的问题 1.信息系统无法满足财

13、务、业务需要，向管理层及时 提供正确相关的信息 2.信息系统的设计与公司战略不一致 3.公司上传下达不力 4.部门或地区之间沟通不力内部控制介绍内部控制介绍26控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督监督是一个在一定时间范围内评估公司 内部控制的质量的流程，可以分为以下 三种：1. 持续的监督活动 2. 单独评估活动 3. 缺陷报告。内部控制介绍内部控制介绍27控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督持续的监督活动建立在正常的，重复的运作中，如：定期的管理活动 外部反馈 信息系统记录的数据 内部反馈 内部审计 培训及计划

14、行为准则内部控制介绍内部控制介绍28控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督单独评估活动专注于内部控制系统本身，而不是系统所控制 的业务，因此不是通常的内部审计。在进行单 独评估活动中，COSO注重以下方面：评估的范围与频率 评估执行人员 评估流程 评估方法 内控系统的记录 缺陷弥补执行计划内部控制介绍内部控制介绍29控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督缺陷报告缺陷报告涉及四个方面：信息的来源是什么 需要报告的内容是什么 谁是报告的接受者 报告的指示是什么内部控制介绍内部控制介绍30控制环境控制环境风险评估风险评估控制

15、活动控制活动信息与沟通信息与沟通监督监督与内部控制系统有关联的各方的角 色与责任管理层 董事会 内审人员 其他内部人员 外部审计师 立法者、政府人员 与公司有关联各方，如顾客，供应商等内部控制介绍内部控制介绍31控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督监督通常发现的问题1.缺乏对内部控制的定期评估 2.内审部门没有独立性，不能有效进行监督工作 3.内审工作范围与计划不合理 4.内部控制缺陷不能及时得到纠正内部控制介绍内部控制介绍32内部控制能有效保证/保护： 信息（会计信息和经营信息）的可靠性和完整性； 遵循政策、计划、程序、法律和法规； 资产的安全； 提高

16、经营效益和有效性； 实现企业的经营和赢利的目标，并且能防止资源的损 失。内部控制介绍内部控制介绍33内部控制不能： 将一个原本拙劣的管理体系改变成一个优良的管理体 系； 改变政府的法规和政策、竞争对手的行动或经济状 况； 保证企业的成功，甚至是持续存在； 杜绝员工或管理层舞弊、欺诈的行为。内部控制介绍内部控制介绍34谁对内部控制负责？? 经营管理层 最终对内部控制的有效性和充分性负责。 ? 董事会 主要由常务董事和外部独立董事组成，负责内部控制的治理、 指导和监督。 ? 内部审计人员： 负责评估内部控制系统的有效性，是主要监督工作实施者。内部控制介绍内部控制介绍35三、风险管理与内部控制三、风险管理与内部控制内部控制介绍内部控制介绍内部控制评估的整体方案内部控制评估的整体方案与财务报告相关的内部控制与财务报告相关的内部控制36检查控制检查控制 ?员工业绩