《上海国家会计学院内控培训课件》由会员分享,可在线阅读,更多相关《上海国家会计学院内控培训课件(55页珍藏版)》请在金锄头文库上搜索。
1、内部控制评价与审计案例研究概念形成和演进概念形成和演进1992年,美国“反对虚假财务报告委员会”(National Commission on Fraudulent Reporting),所属的内部控制专门研究委员会发起机构委员会(简称COCO),在进行专门研究后提出专题报告:内部控制-整体架构(internal control-integrated framework),也称COCO报告。COCO报告内容回顾COCO报告支出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。COCO报告内容回顾它认为内部控制整体架构主要由
2、五项要素构成:控制环境风险评估控制活动信息与沟通监督内部控制组成要素与目标及作业轰动相互关系图内部控制各组成要素关系图概念形成和演进经过两年的修改,1994年COSO委员会提出对外报告的修改篇,扩大了内部控制涵盖的范围,增加了与保证资产安全有关的控制概念的形成与演进COSO报告得到了美国审计署的认可。与此同时,AICPA则全面接受COSO报告的内容并修改了审计准则安然事件之后,美国出台了SOX法案,全面借鉴了COSO报告的成果。中国企业内部控制规范2008年5月,财政部等五部委联合发布企业内部控制规范-基本规范2010年4月,财政部等五部委联合发布企业内部控制规范配套指引内部控制评价与审计案例
3、研究企业内部控制规范-基本规范企业内部控制规范-基本规范第三条 本规范所称内部控制内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程过程。内部控制的目标是合理保证企业经营管理经营管理合法合规合法合规、资产安全资产安全、财务报告及相关信财务报告及相关信息真实完整息真实完整、提高经营效率效果提高经营效率效果、促进企促进企业实现发展战略业实现发展战略。企业内部控制规范-基本规范 第五条 企业建立有效的内部控制,应当包括以下基本要素: (一)内部环境。内部环境是实施内部控制的基础。内部环境主要包括治理结构、机构设置与权责分配、企业文化、人力资源政策、内部审计、反舞弊机制等
4、。 (二)风险评估。风险评估是企业及时识别、系统分析经营活动中与现实内部控制目标相关的风险,合理确定风险应对策略。 (三)控制措施。控制措施是根据风险评估结果,采用相应的控制措施,将风险控制住可承受之内。主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 (四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有
5、关方面的沟通机制等。 (五)内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,并发现内部控制缺陷,应当及时加以改进。企业内部控制规范-基本规范企业内部控制规范-基本规范视频案例分析(刘谦魔术)内部环境基础持续的风险评估控制活动信息与沟通内部监督内部环境治理结构机构设置及权责分配内部审计人力资源政策企业文化第1号组织架构企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、智能交叉或缺失、推诿扯皮,运行效率低下
6、。第1号组织架构集体决策审批或者联签制度不相容职务相互分离 -可行性研究与决策审批 -决策审批与执行 -执行与监督检查企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件。组织架构示例 董事会审计委员会 A B 风险管理委员会 管理层 业务部门内部控制 A B 风险管理业务部门是第一道防线风险管理是第二道防线内部审计是第三道防线第2号发展战略企业发展战略至少应当关注下列风险:(一)缺乏明确的发展战略或发展战略实施不到位,可能导致企业盲目发展,难以形成竞争优势,丧失机遇和动力。(二)发展战略过于激进,脱离实际能力或偏离主业,可能导致企业过度扩张,甚至经营失败。(
7、三)发展战略因主观原因频繁变动,可能导致资源浪费,甚至危及企业的生存和持续发展。第3号人力资源企业人力资源管理至少应当关注下列风险:(一)人力资源缺乏或过剩、结构不合理、开发机制不健全,可能导致企业发展战略难以实现。(二)人力资源激励约束制度不合理、关键岗位人员管理不完善,可能导致人才流失、经营效率低下或关键技术、商业秘密和国家机密泄露。(三)人力资源退出机制不当,可能导致法律诉讼或企业声誉受损。第3号人力资源人力资源需求计划因事设岗、以岗选人岗位回避制度岗位保密制度岗前培训制度人力资源开发人力资源的激励约束机制员工退出机制社会责任企业至少应当关注在履行社会责任方面的下列风险:(一)安全生产措
8、施不到位,责任不落实,可能导致企业发生安全事故。(二)产品质量低劣,侵害消费者利益,可能导致企业巨额赔偿、形象受损,甚至破产。(三)环境保护投入不足,资源消耗大,造成环境污染或资源枯竭,可能导致企业巨额赔偿、缺乏发展后劲,甚至停业。(四)促进就业和员工权益保护不够,可能导致员工积极性受挫,影响企业发展和社会稳定。企业文化加强企业文化建设至少应当关注下列风险:(一)缺乏积极向上的企业文化,可能导致员工丧失对企业的信心和认同感,企业缺乏凝聚力和竞争力。(二)缺乏开拓创新、团队协作和风险意识,可能导致企业发展目标难以实现,影响可持续发展。(三)缺乏诚实守信的经营理念,可能导致舞弊事件的发生,造成企业
9、损失,影响企业信誉。(四)忽视企业间的文化差异和理念冲突,可能导致并购重组失败。风险评估第二十条 企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。第二十一条 企业开支风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。风险评估第二十四条 企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。第二十五条 企业应当根据风险分析的结果,结合风险承受度,权衡风险与收益,确定风险应对策略。第二十六条 企业应当综合运用风险规避、风险降低、风险承担和风险承受等风
10、险应对策略,实现对风险的有效控制。案例分析请记录案例细节风险地图风险应对策略对自己工作的启示风险评估风险的来源内部:顾客、供应商、现存竞争者、潜在竞争者、替代品外部:政治、经济、社会、技术案例研讨公司战略对风险评估的影响分析战略类型分析战略选择所影响到的运营环节评估战略风险风险地图(纵轴代表可能性、横轴代表影响程度)减少:质量控制,管理和标准 财务控制 标准操作管理 检查新员工条件 研发与技术发展 应急计划 结构培训和其他程序 监督避免 : 决定退出某一地区 当检查发现客户无信用时,决定不再与该 客户进行交易 决定不出售明知是一种不道德的产品接受:成本效益分析,如针对风险制定控 制和其他回应决
11、定在一个面临绑架高风险的国家运营你无法控制接受超过100万的保险费政策为提高销售数量,接受高信用风险客户转移:采取保险政策定期维护外包给设备管理公司与供应商签订的合同应明确不能满足约定条件时,可以获得财务补偿与其他公司建立合资公司,与其共同开发商业机会控制活动第二十八条 企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制相结合的方法,运用控制措施,将风险控制在可承受度之内。 控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考核控制等。案例分析区分财产保护控制和会计系统控制举出三个典型控制示例第6号资金活动企业资金活动至少应当
12、关注下列风险:(一)筹资决策不当,引发资本结构不合理或无效融资,可能导致企业筹资成本过高或债务危机。(二)投资决策失误,引发盲目扩张或丧失发展机遇,可能导致资金链断裂或资金使用效益低下。(三)资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。(四)资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈。第7号采购业务企业采购业务至少应当关注下列风险:(一)采购计划安排不合理,市场变化趋势预测不准确,造成库存短缺或积压,可能导致企业生产经营停滞或资源浪费。(二)供应商选择不当,采购方式不合理,招投标或定价机制不科学,授权审批不规范,可能导致采购物资质次价高,出现舞弊或遭受欺诈。(
13、三)采购验收不规范,付款审核不严,可能导致采购物资、资金损失或信用受损。第8号资产管理企业资产管理至少应当关注下列风险:(一)存货积压或短缺,可能导致流动资金占用过量、存货价值贬损或生产中断。(二)固定资产更新改造不够、使用效能低下、维护不当、产能过剩,可能导致企业缺乏竞争力、资产价值贬损、安全事故频发或资源浪费。(三)无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患,可能导致企业法律纠纷、缺乏持续发展能力。第9号销售业务企业销售业务至少应当关注下列风险:(一)研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费。(二)研发人员配备不合理或研发过程管理不善,可能导致研发成
14、本过高、舞弊或研发失败。(三)研究成果转化应用不足、保护措施不力,可能导致企业利益受损。研究与开发企业开展研发活动至少应当关注下列风险:(一)研究项目未经科学论证或论证不充分,可能导致创新不足或资源浪费。(二)研发人员配备不合理或研发过程管理不善,可能导致研发成本过高、舞弊或研发失败。(三)研究成果转化应用不足、保护措施不力,可能导致企业利益受损。第11号工程项目企业工程项目至少应当关注下列风险:(一)立项缺乏可行性研究或可行性研究流于形式,决策不当,盲目上马,可能导致难以实现预期效益或项目失败。(二)项目招标暗箱操作,存在商业贿赂,可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员
15、涉案。(三)工程造价信息不对称,技术方案不落实,概预算脱离实际,可能导致项目投资失控。(四)工程物资质次价高,工程监理不到位,项目资金不落实,可能导致工程质量低劣,进度延迟或中断。(五)竣工验收不规范,最终把关不严,可能导致工程交付使用后存在重大隐患。第12号担保业务企业办理担保业务至少应当关注下列风险:(一)对担保申请人的资信状况调查不深,审批不严或越权审批,可能导致企业担保决策失误或遭受欺诈。(二)对被担保人出现财务困难或经营陷入困境等状况监控不力,应对措施不当,可能导致企业承担法律责任。(三)担保过程中存在舞弊行为,可能导致经办审批等相关人员涉案或企业利益受损。第13号业务外包企业的业务
16、外包至少应当关注下列风险:(一)外包范围和价格确定不合理,承包方选择不当,可能导致企业遭受损失。(二)业务外包监控不严、服务质量低劣,可能导致企业难以发挥业务外包的优势。(三)业务外包存在商业贿赂等舞弊行为,可能导致企业相关人员涉案。第14号财务报告企业编制、对外提供和分析利用财务报告,至少应当关注下列风险:(一)编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损。(二)提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序。(三)不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险时空。第15号全面预算企业实行
17、全面预算管理,至少应当关注下列风险:(一)不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目经营。(二)预算目标不合理、编制不科学,可能导致企业资源浪费或发展战略难以实现。(三)预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。第16号合同管理企业合同管理至少应当关注下列风险:(一)未订立合同、未经授权对外订立合同、合同对方主题资格未达要求、合同内容存在重大疏漏和欺诈,可能导致企业合法权益收到侵害。(二)合同未全面履行或监控不当,可能导致企业诉讼失败、经济利益受损。(三)合同纠纷处理不当,可能损害企业利益、信誉和形象。信息与沟通第三十八条 企业应当建立信息与沟通制度。第三十九条
18、企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性。第四十条 企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监督部门等有关方面之间进行沟通和反馈。信息与沟通第四十一条 企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制哦,保证信息系统安全稳定运行。第四十二条 企业应当建立反舞弊机制。第17号内部信息传递企业内部信息传递至少应当关注下列风险:(一)内部报告系统缺失
19、、功能不健全、内部不完整,可能影响生产经营有序运行。(二)内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。(三)内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。第18号信息系统企业利用信息系统实施内部控制至少应当关注下列风险:(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。(三)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。内部监督第四十四条 企业应当制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。第四十五条 企业应当制定内部控制缺陷认定标准。内部控制缺陷包括设计缺陷和运行缺陷。案例分析查舞弊与找缺陷设计缺陷和运行缺陷持续监督独立性运行缺陷和设计缺陷运行缺陷运行缺陷设计缺陷设计缺陷政策制度流程完备未按既定制度执行政策制度流程不完备政策制度流程完备遵循既定制度执行案例分析请记录案例细节有哪些可取之处有哪些值得改进之处对自己工作的启示内部审计的三大功能财务监督:财务账的可用性;内部管理和制度的执行。经营诊断:管理审计以及效率和效益审计;检查和诊断经营和管理中的偏差和失误。
