中国内部控制标准体系.ppt

,中国内部控制标准体系,李崇刚,副教授 硕士生导师管理学（会计与审计）硕士 内蒙古会计学会理事联系电话：13847126288电邮：L,中国内部控制标准体系简介,第一部分,中国内部控制标准体系简介,（一）企业内部控制基本规范（二）企业内部控制应用指引（三）企业内部控制评价指引（四）企业内部控制审计指引,基本规范的制定主体,在该委员会之下专门设立政府于非盈利组织内部控制标准咨询专家组并启动相关课题研究工作,内部控制标准体系,基本规范,以评价指引、应用指引、鉴证指引等配套办法为补充,以其为统领是重中之重,1、五个目标：合规性、可靠性、安全性、经济性，战略性（COSO：3个目标，无安全性和战略性）2、五个原则：全面性、重要性、制衡性、适应性、成本效益3、五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督,（一）企业内部控制基本规范1个,（二）企业内部控制应用指引15个,1、组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任2、资金、资产、采购、销售、研发、工程项目3、全面预算、合同、内部报告、信息系统 注：财政部等还将出台具体的操作手册或讲解材料思考问题：如何设计和应用？,（三）企业内部控制评价指引,1、管理层要提交内部控制评价报告（年度评价和专项评价）2、评价组织与实施A.谁负责：企业主要负责人B.谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）C.遵循原则：全面性、重要性和独立性D.评价方案设计及实施E.评价方法（访谈、问卷、专题讨论、穿行测试、统计抽样、比较分析等）F.工作底稿编制与复核,（三）企业内部控制评价指引,3、年度评价和报告的内容A.评价：对整个年度、整个内部控制在某一基准日的有效性评价后，发表一个意见。B.报告：内控设计或执行方面的重大缺陷 A).重大缺陷 B).重要缺陷 C).一般缺陷,（三）企业内部控制评价指引,4、内部控制缺陷的认定A，设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制缺陷进行分类分析。1、设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。2、运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。,（三）企业内部控制评价指引,B,重大缺陷、重要缺陷和一般缺陷重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。注意：缺陷的整改责任人不同：董事会（监事会监督）、经理层、内部有关单位,（三）企业内部控制评价指引,5、内部控制评价报告（一）组织实施内部控制评价的总体情况。（二）内部控制责任主体的声明。（三）内部控制评价的范围和内容。（四）内部控制评价的标准和依据。（五）内部控制评价的程序和方法。（六）内部控制重大缺陷及其认定情况。（七）内部控制重大缺陷的整改措施及责任追究情况。（八）内部控制有效性的结论（基准日）。注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。,（四）内部控制审计,企业（公司）领导层要高度重视CPA和企业的责任在不断加大内部控制审计结果将成为企业的重要考核指标与财务报表审计有很大不同,内部控制基本规范简介,第二部分,基本规范的主要内容,基本规范的框架结构,内部控制基本规范,坚持立足我国国情，借鉴国际惯例，确立了我国企业建立和实施内部控制的基本框架。规定了内部控制的目标要素原则要求是制定应用指引和评价指引的基本依据,基本规范,基本规范的适用范围,自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计小企业和其他有关单位可以参照本规范建立与实施内部控制,适用范围,内部控制的定义,由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,科学的界定内部控制的内涵，有利于企业树立全面、全员、全过程控制的理念。,内部控制的目标,合理保证经营管理合法合规（合规性目标）资产安全财务报告及相关信息真是完整（报告目标）提高经营效率和效果（经营目标）着力促进企业实现发展战略（战略目标）,ERM的四目标,内部控制的5要素框架,内部环境风险评估控制活动信息与沟通内部监督,五要素间的关系,内部环境重要基础前提风险评估重要环节基础控制活动重要手段主体信息与沟通 重要条件保障内部监督重要保证手段,COSO,内部环境,治理结构机构设置与权责分配内部审计人力资源政策企业文化,诚信的原则和道德价值观评定员工的能力董事会和审计委员会管理哲学和经营风格组织结构职责的划分与授权人力资源政策及程序,COSO,治理结构,根据国家有关法律法规和企业章程：建立规范的公司治理结构和议事规则明确决策、执行、监督等方面的职责权限形成科学有效的职责分工和制衡机制,企业应当做什么？,规范的公司治理结构及其职责权限,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权,依法行使企业经营决策权,负责内控的建立健全与实施,主持企业的生产经营管理工作,负责组织实施股东大会、董事会决议事项,股东大会,董事会,经理层,监事会,审计委员会,监督企业董事经理和其他高级管理人员依法履行职责,对董事会建立与实施内部控制进行监督,负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等,负责组织领导企业内部控制的日常运行,机构设置与权责分配,企业应当结合业务特点和内部控制要求设置内部机构明确职责权限将权力与责任落实到各责任单位通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。,具体要求,股东大会,各责任单位,各责任人,审计委员会,监事会,经理层,董事会,内部各职能部门,事业部制组织结构图,杜邦公司组织结构图,内部审计,企业应通过设置独立的内部审计机构，配备独立的内审人员来加强内部审计工作，保证其工作的独立性。内部审计机构的职能之一结合内部审计监督，对内部控制的有效性进行监督评价；监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,人力资源政策,员工的聘用、培训、辞退与辞职。员工的薪酬、考核、晋升与奖惩。关键岗位员工的强制休假制度和定期岗位轮换制度。掌握国家秘密或重要商业机密的员工离岗的限制性规定。有关人力资源管理的其他政策。,主要包括,人力资源政策,将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准切实加强员工培训和继续教育，不断提升员工素质。,选聘员工的标准,企业文化建设,企业应当加强文化建设培育积极向上的价值观和社会责任感倡导诚实守信、爱岗敬业、开拓创新和团队协作精神树立现代管理观念，强化风险意识董事、监事、经理及其其他高级管理人员应当在企业文化建设中发挥主导作用企业员工应遵守员工行为守则，认真履行岗位职责增强董事、监事、经理及其其他高级管理人员和员工的法制观念建立健全法律顾问制度和重大法律纠纷案件备案制度,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,目标设定风险识别风险分析风险应对,主括包括,ERM中四要素,目标设定,企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行分析评估。,风险识别,风险识别,风险的分析与应对,风险分析采用定性、定量相结合的方法；按照风险发生的可能性及其影响程度等；对识别的风险进行分析和排序；确定关注重点和优先控制的风险,风险应对策略风险规避风险降低风险分担风险承受,与ERM相同,控制活动,不相容职务 分工控制授权审批控制会计系统控制预算控制财产保护控制运营分析控制绩效考评控制,业绩检查信息处理实物控制职责分离,主要包括,COSO,不相容职务的分工控制,不相容职务分离控制要求企业全面系统地分析，梳理业务流程中所涉及的不相容职务，实施相应的分离措施；形成各司其职，各负其责，相互制约的工作机制。,不相容职务的分工控制,交易的授权和交易的执行职务的相分离交易的执行与审核监督职务的相分离交易的执行与相关资产的保管职务相分离交易的执行与会计记录职务相分离资产的保管和会计记录职务相分离注意 不相容职务分离，要贯彻实质重于形式的原则,授权审批控制,要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围，审批程序和相应责任企业应编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权：企业在日长发经营管理活动中按照既定的职责和程序进行的授权，如，出纳会计的职责权限特别授权：企业在特殊情况、特定条件下进行的授权,授权审批控制,各级管理人员应当在授权范围内行使职权和承担责任企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,授权审批案例,A公司规定：为对货币资金开支实行严格控制，在年度预算内的资金预算如下：5万元以下的开支由财务处长审批5万20万元的开支由总会计师审批20万50万元的开支由总会计师签署意见，总经理审批；50万元以上的开支由董事会商讨决定。某日，公司采购部门送来付款申请及相关凭证，要求按采购合同约定以转账支票支付上月采购某种货物的货款6万元。碰巧，当日总会计师在外出差，负责预算内资金支付的出纳小王也因病请假，小王的名章和票据经财务处长同意由小张保管，但小张平时只负责零星开支和与银行对账，不经手支票开立事务。因此，财务处长答复采购部门，暂时无法支付货款。但采购部说按合同，当日若无法付款，将支付供货方一定的违约金。,授权审批案例,此种情况下，财务科长启动特殊授权程序：1）他立即与总会计师取得联系，说明具体 情况，总会计师同意先由财务处长代签，出差回来后再办理补签手续，财务处长将 总会计的特殊授权意见及时告知相关复核 人员。2）财务处长授权小张暂行小王职权，待小王 病假回来后仍各归其位，各负其责。3)向管理公司法定代表人图章的小李说明情 况，取得其支持。至此，特殊授权程序完成，采购货款得以 顺利支付。,会计系统控制,会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证，会计账薄和财务会计报告的处理程序，保证会计资料真实完整企业应当依法设置会计机构，配备会计从业人员从事会计工作的人员，必须取得会计从业资格证书会计机构负责人应当具备会计师以上专业技术职务资格大中型企业应当设置总会计师，设置总会计师的企业，不得设置与其职权重叠的副职。,财产保护控制,要求企业建立财产日常管理制度和定期清查制度采取财产记录，实物保管，定期盘点，帐实核对等措施，确保财产安全企业应当严格限制未经授权的人员接触和处置财产,预算控制,要求企业实施全面预算管理制度明确各责任单位在预算管理中的职责权限规范预算的编制、审定、下达和执行程序，强化预目的预算约束。,运营分析控制,要求企业建立运营情况分析制度经理层应当综合运用生产、购销、投资、筹贷、财务等方面的信息。通过因素分析，对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进,绩效考评控制,企业应建立和实施绩效考评制度科学设置考核指标体系对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价将考核结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据,控制活动,企业应根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。企业应建立重大风险预警机制和突发事件应急处理机制。明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案，明确责任人员、规范处理程序，确保突发事件得到及时妥善处理,外部信息获取渠道行业协会组织社会中介机构业务往来单位市场调查来信来访网络媒体有关监督部门等,内部信息获取渠道 财务会计资料经营管理资料调研报告专项信息内部刊物办公网络等,信息与沟通,“管理就是沟通，沟通再沟通”,通用电气CEO杰克.威尔逊,信息与沟通,信息沟通的对象企业内部各管理级次、责任单位、业务环节之间与外部投资者、债权人、客户、供应商、中介机构和监管部门之间,信息沟通结果处理信息沟通过程中发现的问题应当及时报告并加以解决重要信息应当及时传递给 董事会 监事会 经理层,信息与沟通 企业应建立反舞弊机制（第42条）至少应该将下列情形作为反舞弊工作的重点：未经授权或者采取其他不法方式侵占、挪用企业资产、牟取不当利益。在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等董事、监事、经理及其他高级管理人员滥用职权相关机构或人员串逃舞弊企业应当建立举报投诉制度和举报人员保护制度，设置举报专线（第43条）,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应及时加以改正。监督主体：-内部审计机构（或经授权的其他监督机构）-其他内部机构（各职能管理部门）,内部监督,监督方式-日常监督-专项监督企业应定期对内部控制的有效性进行自我评价并出具内部控制自我评价报告,内部监督,内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况。就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。,企业的一切管理工作 应从建立健全内部控制开始企业的一切决策应统驭在完善的内部控制之下企业的一切活动都不能游离于内部控制之外,我们提倡这样一种理论,内部控制审计的理论与实务,第三部分,关键词审计基准日财务报告内部控制合理保证有效性与重大缺陷管理层与注册会计师所承担的责任,内部控制审计,1.审计基准日内部控制是一个流程，但内部控制的有效性是该流程在某个时点的情况或状态注册会计师对于内部控制有效性的审计意见应当与财务报告审计意见保持同一日期,内部控制审计,2.财务报告内部控制审计师仅对财务报告内部控制的有效性发表审计意见企业财务报告控制目标包括合理保证企业财务报告的真实完整。如果企业建立了有效的财务报告内部控制，那么：保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况。合理保证按照企业会计准则和相关会计制度编制财务报表，发生的收入和支出已经过企业管理层和董事会的授权。合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产。,内部控制审计,3.合理的保证内部控制本身，包括财务报告内部控制在内，是有局限性的合理的保证不等于绝对的保证合理的保证取决于审计师具备适当的胜任能力及审慎，并执行了适当的审计步骤从而得出的结论,内部控制审计,4.有效性与重大缺陷有效的财务报告内部控制，能够为企业按照适用的会计准则和相关会计制度的规定编制真实完整的财务报表提供合理保证缺陷的分类：“一般缺陷”“重要缺陷”“重大缺陷”如果存在一个或多个重大缺陷，财务报告内部控制应被认定为无效。即使财务报表不存在重大错报，财务报告内部控制也可能存在重大缺陷。,内部控制审计,5.管理层与注册会计师所承担的责任设计、实施和保持有效的财务报告内部控制，并评价其有效性是企业管理层的责任。财务报告内部控制审计并不能减轻企业管理层的责任。注册会计师在实施审计工作的基础上对财务报告内部控制的有效性发表审计意见，而财务报告内部控制审计工作本身不能减轻企业管理层的责任注册会计师在企业财务报告内部控制审计或财务报表审计中实施的程序也并不能作为企业财务报告内部控制的组成部分。,内部控制审计,内部控制审计,需要明确的几个问题1、内控审计的范围2、内控审计业务由谁来做？3、对时点还是时期内控发表意见？4、与财务报表审计整合进行5、内控审计意见的决策6、内部控制审计报告标准格式,1、内控审计的范围,本指引中内部控制审计的范围，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即财务报告内部控制。注册会计师应当向企业询问非财务报告内部控制设计的合理性和执行的有效性，并取得董事会对非财务报告内部控制遵循情况的书面声明。对内部控制审计过程中注意到的非财务报告内部控制的缺陷，注册会计师应当在内部控制审计报告中予以描述，但无需对其有效性发表审计意见。本指引以下章节条款中所指内部控制，除非特别指明均指财务报告内部控制。,2、内控审计业务由谁来做？,问题1:同一单位的内部控制审计和财务报表审计由谁来做？A,同一会计师事务所（国外做法）B,不同的会计师事务所问题2：同一单位的內控的咨询和审计由谁来做？(内控基本规范的规定.业务相容?独立道德?),3、对时点还是时期内控发表意见,A、只对特定时点相关内控有效性发表意见为什么不对时期内控的有效性发表意见？B、为什么还要同时收集特定时期相关内控的有效性 讨论：企业该怎么做？,4、与财务报表审计整合进行,整合的要点-内部控制了解测试以风险评估为基础采用自上而下方法选择拟测试的控制注意：重大缺陷与重大错报的关系,5、内控审计意见的决策,需要几种审计意见（只有3种，不准发表保留意见）1）有重大缺陷：否定意见（发现一个后还继续查吗？）2）有范围限制：撤消业务约定，或无法表示意见（此时在报告里，还要说明范围受限前，执行有效程序发现的重大缺陷吗？）查出内控问题的层次及审计处理：1）Deficiency_缺陷_可能沟通 2）Significant Defi_重要缺陷_仅沟通即可 3）Material Weakness_重大缺陷_影响审计报告,6、内部控制审计报告标准格式,（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制审计的范围段；（七）内部控制固有局限性的说明段；（八）财务报告内部控制审计意见段；（九）非财务报告内部控制缺陷描述段；（十）财务报表审计意见类型的提及段；（十一）注册会计师的签名和盖章；（十二）会计师事务所的名称、地址及盖章；（十三）报告日期。,内部控制审计,企业内部控制审计程序审计计划企业层面内部控制的测试业务流程层面内部控制的测试信息技术一般控制的测试控制测试中的抽样技术运用 控制缺陷评价,“计划审计工作”的主要内容：总体要求风险评估的作用 调整审计工作 应对舞弊风险 利用他人的工作确定重要性水平使用服务机构,内部控制审计,分类,内部控制审计,企业层面内部控制,业务流程层面内部控制,对企业具有普遍影响,影响具体账户、列报及认定,内部控制审计,企业层面内部控制测试的主要内容自上而下的审计方法对所测试的企业层面内部控制程序的选择评价企业层面内部控制的主要内容,自上而下的审计方法,从财务报表层次初步了解内部控制整体风险识别企业层面内部控制识别重要账户、列报及其相关认定了解错报可能来源及选择拟测试的财务报告相关控制执行控制测试,内部控制审计,对所测试的企业层面内部控制的选择内部控制审计中，注册会计师应当测试对评价内部控制有效性有重要影响的企业层面内部控制；对企业层面内部控制的评价，可能增加或减少本应对其他控制进行的测试。注册会计师应考虑在执行业务的早期阶段进行企业层面内部控制的评价工作,内部控制审计,了解和测试企业层面内部控制的方法了解和测试企业层面内部控制的方法包括但不限于：询问观察检查穿行测试仅仅通过询问不能为控制设计和运行的有效性提供充分证据。可能需要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论,企业层面内部控制的主要内容,（一）与控制环境相关的控制（二）企业的风险评估过程（三）对控制的监督（四）针对管理层凌驾于控制之上的风险而设计的控制（五）集中化的处理和控制，包括共享的服务环境（六）监控经营成果的控制（七）对期末财务报告流程的控制（八）针对重大经营控制及风险管理实务而采取的政策,整合审计“整合审计”要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来，从整体角度考虑。财务报告内部控制审计和财务报表审计的目标不同，会计师应当计划和执行测试工作，以同时实现二者的目标：支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见；注册会计师在实施报表审计时，是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一；报表审计的结果又会影响到财务报表内部控制审计的结果。因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来。,内部控制审计,内部控制审计中对控制有效性的测试注册会计师应获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论，这说明虽然注册会计师出具的审计报告是关于审计基准日的，但是审计证据应涵盖财务报表期间。在内部控制审计中所需测试的控制，是针对财务报表相关认定所涉及的控制。这一范围与仅对财务报表发表审计意见时，注册会计师需要测试的控制不同。,内部控制审计,内部控制审计中对控制有效性的测试注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的风险程度进行评估，并根据评估结果判断所需测试的控制范围及需得到控制有效运行证据的期间。在实施内部控制审计及财务报表审计过程中，注册会计师在对内部控制有效性形成结论及评估控制风险时，应当同时考虑另一审计工作中实施的、所有针对控制设计和运行有效性测试的结果。,内部控制审计,财务报表审计中对控制有效性的测试在财务报表审计中，如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试注册会计师可以采取实质性测试的方式在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。,内部控制审计,关于实质性程序的要求在内部控制审计中识别出的控制缺陷，说明其对应的重大交易及账户中存在错报漏报的可能，因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。注册会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质性程序。,内部控制审计,而指引第二十条列示了四种情况，即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部控制审计的影响。注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估；发现的违反法规行为和关联方交易方面的问题；表明管理层在选择会计政策和作出会计估计时存在偏见的情况；实施实质性程序发现的错报。内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。,内部控制审计,谢谢大家！,