《内控体系和检查方法介绍》由会员分享,可在线阅读,更多相关《内控体系和检查方法介绍(36页珍藏版)》请在金锄头文库上搜索。
1、内控体系及检查方法介绍汇报人:杜建华审计办公室 2016年3月31日企业风险管理与内部控制企业风险管理与内部控制企业风险管理与内部控制企业风险管理与内部控制COSOCOSO风险管理框架有三个维度风险管理框架有三个维度 :第一维是企业的目标:企业的目标有四个,即战略目标、经第一维是企业的目标:企业的目标有四个,即战略目标、经 营目标、报告目标和合规目标。营目标、报告目标和合规目标。 第二维全面风险管理要素有第二维全面风险管理要素有8个,即内部环境;目标设定;个,即内部环境;目标设定; 事件识别;风险评估;风险对策;控制活动;信息和交流;事件识别;风险评估;风险对策;控制活动;信息和交流; 监控。
2、监控。 第三个维度是企业的层级:包括整个企业、各职能部门、各第三个维度是企业的层级:包括整个企业、各职能部门、各 条业务线及下属各子公司。条业务线及下属各子公司。三个维度的关系是,企业风险管理的三个维度的关系是,企业风险管理的8个要素都是为企业的个要素都是为企业的 四个目标服务的;企业各个层级都要坚持同样的四个目标;四个目标服务的;企业各个层级都要坚持同样的四个目标; 每个层次都必须从以上每个层次都必须从以上8个方面进行风险管理。该框架适合个方面进行风险管理。该框架适合 各种类型的企业或机构的风险管理。各种类型的企业或机构的风险管理。香港联交所香港联交所企业管治常规守则企业管治常规守则(200
3、6)(2006)上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引(2006)2006)深交所深交所上市公司内部控制指引上市公司内部控制指引(20072007)国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引(2006)(2006)五部委发布五部委发布企业内部控制基本规范企业内部控制基本规范(2008)(2008)企业内部控制规范企业内部控制规范基本规范和基本规范和1717项具体规范项具体规范财务、管理信息真实可靠;财务、管理信息真实可靠;保障资产安全完整;保障资产安全完整;规范经营行为,提高营运效率、效果;规范经营行为,提高营运效率、效果;建立风险管理体系;建立风险管理
4、体系;内控制度的健全、合理、有效。内控制度的健全、合理、有效。金吉列现阶段整体的管理要求金吉列现阶段整体的管理要求法律法规要求企业自身需要5企业的一切管理工作,从建立和健全 内部控制开始;企业的一切决策,应统驭在完善的内 部控制之下;企业的一切活动,都不能游离于内部 控制之外。6内部控制定义内部控制定义由企业董事会、经理层和其他员工实施的,为营运效 率、效果、财务报告的可靠性、相关法令的遵循性等目标 的达成而提供合理保证的过程。内部控制是? 工具、方法? 制度? 目标? 审计?内控是.工具、方法?有效地和有效率地 去避免业务运作时 发生严重的问题。用于减缓有可能 防障组织目标达 成的风险。Fo
5、r example: 流程的控制点,评审程序,内控自我评估,考核内控是.制度?For example: 不同类形的组织结构、审计体系、管理规定、流程、指导书等组织结构组织结构制度制度程序程序合理地确保管合理地确保管 理层的目的和理层的目的和 责任得以达到。责任得以达到。等。等。组织结构组织结构程序程序合理地确保管合理地确保管 理层的目的和理层的目的和 责任得以达到。责任得以达到。组织结构组织结构程序程序合理地确保管 理层的目的和 责任得以达到。内控是.目标?For example: 应收账龄分析, 其目的并不只是要知道客户欠账 多久, 而是保障货款能尽快回收.由企业董事会、管理 层和各阶层人员
6、一起 推动和执行内控是.审计?For example: 审计项目,资询服务为管理层提供监控提供业务部门适当 的内控建议12内控缺少的后果内控缺少的后果1、责任人犯错误;、责任人犯错误;2、公司资产受损失;、公司资产受损失;3、责任人坐牢;、责任人坐牢;4、公司倒闭;、公司倒闭;5、员工失业。、员工失业。道德使之不愿、法律使之不敢、制度使之不能道德使之不愿、法律使之不敢、制度使之不能二、对公司风险管控二、对公司风险管控1.解决流程梳理、重组、优化的实施;2.解决风险管理的具体操作,使风险可视化;3.提供穿行测试的工具、方法;4.使用系统工具来查找、解决制度的健全性以及有制度不执行的情况。要系统化
7、解决公司的问题要系统化解决公司的问题一、对中高层管理者一、对中高层管理者1.通过该系统工具掌握核心业务关键控制点的识别;2.筛选对关键控制点的管控方法、措施;3.培养中高层管理者设计制度、流程的能力。1.以梳理流程为起点,风险导向为基础,识别流程目标实现的风险;对风险进行评估、排序,确定控制点;运用内控方法、措施设计内控,对控制点进行控制;2.检查现有业务流程,查找制度设计的控制点和实际操作的控制点;对实际操作控制点的有效性进行检查;3.对照内控设计的控制点、流程制度的控制点、实际操作的控制点,对制度的健全性以及有制度不执行的情况进行判断,并找出问题的原因,从源头上提出改进的措施。总体目标总体
8、目标现有流程制度控制点现有流程制度控制点内控设计控制点内控设计控制点实际操作控制点实际操作控制点第二个对比:解决有制第二个对比:解决有制 度不执行和超越制度的度不执行和超越制度的 控制情况控制情况第一个对比:检查现有第一个对比:检查现有 内控制度的健全性内控制度的健全性对现有控制点进行测试对现有控制点进行测试 ,评价实际操作控制点,评价实际操作控制点 的有效性的有效性关键业务穿行关键业务穿行1、以目标为起点,识别控制目标实现过程中所面临的风险;2、运用风险评估的办法,对识别的风险进行风险管理;3、识别和确定企业充分应对这些风险的内部控制是否存在,即评价内部控制的设计应对相关目标实现风险的有效性
9、;4、识别和确定内部控制运行有效性的证据,评价现有的控制是否得到了有效的运行;5、对控制缺陷进行评估,判定是否构成实质性漏洞,确定内部控制是否有效。6、形成内控评价报告(评价工作底稿、改进措施、改进责任人、改进时间)。测试方法测试方法-风险评价法风险评价法风险的识别有很多方法、技巧,一般说来,以下这些是最常用的:头脑风暴(集思广益)行业参照问卷调查情境分析(最好和最差情境)业务流程分析(风险推导法)研讨会事件树分析调查与审计筛选监测诊断方法德尔菲法(专家意见法)风险识别方法风险识别方法风险衡量风险衡量任何风险最后都需要用数字或精确的文字描述来表述,否则是无法被 大多数人正确认识的。对于风险的衡
10、量,一般是通过分析两个维度: 发生的可能性 与一旦发生所造成后果的严重程度风险衡量通常可以通过风险图形来表示风险衡量通常可以通过风险图形来表示风险衡量风险衡量-定性分析风险坐标图定性分析风险坐标图影响程 度风险衡量风险衡量-定量分析风险坐标图定量分析风险坐标图影响程 度影响程 度风险对策风险对策C低风险区域低风险区域D中等风险区域中等风险区域影响程度发生可能性0A高风险区域高风险区域B中等风险区域中等风险区域规避规避- A区域中的风险,或采取其他 战略措施,且优先安排,严格防范损失; 严格控制严格控制- B区域中的风险,且专 门补充制定各项控制措施; 承担承担- C区域中的风险且不再增加控 制
11、措施; 监控或分担监控或分担- D区域中的风险,制 定应急预案。舞弊的三角理论舞弊的三角理论舞弊的三角理论舞弊的三角理论企业舞弊产生的原因是由压力、机会和借口三要素组成的,这三者也是美国最 新的反舞弊准则(SAS No.99)提醒注册会计师应该关注的舞弊产生的主要条件。 1. 压力要素是企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞弊的压 力大体上可分为四类:经济压力,习惯的压力,与工作相关的压力和其他压力。 2. 机会要素是指可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机,主 要有六种情况:缺乏发现企业舞弊行为的内部控制,无法判断工作的质量,缺乏 惩罚措施,信息不对称,能力不
12、足和审计制度不健全。 3. 在面临压力、获得机会后,真正形成企业舞弊还有最后一个要素借口(自我 合理化),即企业舞弊者必须找到某个理由,使企业舞弊行为与其本人的道德观 念、行为准则相吻合,无论这一解释本身是否真正合理。企业舞弊者常用的理由 有:这是公司欠我的,我只是暂时借用这笔资金、肯定会归还的,我的目的是善 意的,用途是正当的,等等。压力、机会和借口三要素,缺少任何一项要素都不可能真正形成企业舞弊行为。防患舞弊行为防患舞弊行为舞弊要发生,三要素缺一不可。只要有效控舞弊要发生,三要素缺一不可。只要有效控 制其中的任意一环,就有可能防范舞弊于未制其中的任意一环,就有可能防范舞弊于未 然!然!内部
13、控制的五原则内部控制的五原则(一)全面性原则(一)全面性原则 内部控制应当贯穿决策、执行和监督全过程,覆盖企业及内部控制应当贯穿决策、执行和监督全过程,覆盖企业及 其所属单位的各种业务和事项。其所属单位的各种业务和事项。 (二)重要性原则重要性原则 内部控制应当在全面控制的基础上,关注重要业务事项和内部控制应当在全面控制的基础上,关注重要业务事项和 高风险领域。高风险领域。 (三)制衡性原则制衡性原则 内部控制应当在治理结构、机构设置及权责分配、业务流内部控制应当在治理结构、机构设置及权责分配、业务流 程等方面形成相互制约、相互监督,同时兼顾运营效率。程等方面形成相互制约、相互监督,同时兼顾运
14、营效率。 (四)适应性原则适应性原则 内部控制应当与企业经营规模、业务范围、竞争状况和风内部控制应当与企业经营规模、业务范围、竞争状况和风 险水平等相适应,并随着情况的变化及时加以调整。险水平等相适应,并随着情况的变化及时加以调整。 (五)成本效益原则成本效益原则 内部控制应当权衡实施成本与预期效益,以适当的成本实内部控制应当权衡实施成本与预期效益,以适当的成本实 现有效控制。现有效控制。测试方法测试方法(1 1)一般方法)一般方法(2 2)抽样检查)抽样检查一般检查方法及应用:一般检查方法及应用:抽样法抽样法穿行测试法穿行测试法个别访谈法个别访谈法比较分析法比较分析法实地查验法实地查验法专项
15、讨论会法专项讨论会法重新执行法重新执行法基本方法基本方法业务流程业务流程内控环境、异常情况内控环境、异常情况价格、预算、报表分析价格、预算、报表分析盘点、验证盘点、验证遇到专业疑难问题遇到专业疑难问题怀疑结果有重大错误怀疑结果有重大错误不限于此 综合运用综合应用各种方法:综合应用各种方法: 检查前:比较分析、个别访谈,预抽样 实施检查:抽样、穿行测试、实地查验、个别访 谈、比较分析 疑难问题:专家讨论会 佐证不足怀疑结果:重新执行、扩大抽样抽样检查:抽样检查:序号序号业务发生频率业务发生频率至少抽样数量至少抽样数量1每年一次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次4笔4每月
16、一次以上至每周一次8笔5每周一次以上至每天一次15笔6每天多次25笔识别关键业务识别关键业务业务评价业务评价了解关键业务了解关键业务分析关分析关键业务目标键业务目标运用风险评运用风险评 估的方法估的方法见下页见下页识别实际业务关键控制点识别实际业务关键控制点评价相关控制点控制的有效性评价相关控制点控制的有效性评价控制的运行的有效性评价控制的运行的有效性业务穿行结果业务穿行结果续上页续上页了解实际业务的内部控制了解实际业务的内部控制识别和评估业务内部控制目标实现的风险识别和评估业务内部控制目标实现的风险检查充分应对目标风险的相关控制检查充分应对目标风险的相关控制评价控制的设计健全性、有效性评价控制的设计健全性、有效性业务穿行报告业务穿行报告运行结果对照现有制度、文件对照现有制度、文件设计测试结果设计测试结果设计结果1.第一步,以梳理流程为起点,风险导向为基础,识别流程目标 实现的风
