内部控制系统设计原理.ppt

第六章 内部控制系统基本原理,第一节 内部控制概论 第二节 内部控制系统设计的意义和原则 第三节 内部控制系统设计的内容,第一节 内部控制概述,一、内部控制的概念二、内部控制的要素三、内部控制的局限性,一、内部控制的概念,内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。-COSO委员会,内部控制并不仅限于企业单位，同样也存在于其他各类经济组织和行政事业单位中。,二、内部控制的要素,（一）内部环境（二）风险评估（三）控制活动（四）信息与沟通（五）监督,（一）内部环境,企业文化组织机构设置董事会和审计委员会组织结构 责任的分配与授权人力资源政策及实务,影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础,“温州5.9假运钞案”案例：,基本资料：中国银行温州分行体育中心分理处共有三名出纳、两名会计、一名保安。内控规定：（1）保安不能提钱箱；（2）出纳在保安的警卫下将各自的钱箱送上运钞车，并亲自与车上的出纳签交接单；（3）会计不能签交接单；（4）所有的人都必须在钱箱交接后下班；（5）会计和出纳先走，保安清场，最后一个离开。实际情况：出纳轮流提前下班、保安帮出纳提钱箱、会计有时帮着签单。案犯潘海兵评价：管理漏洞很多，不是规章的漏洞，而是规章执行的漏洞、制度规定与实际操作相差很大。,什么是科学的内控态度？,内控面前人人平等有法必依，依法必严变不违规为确保合规“事后处理”为“事前防范”,“三鹿奶粉”案例之一：内部环境,资料显示，三鹿集团早在2008年3月就接到消费者反映，但直到2008年8月三鹿已经秘密召回部分问题奶粉之时，却仍然没有将事件真相及可能产生的后果公之于众，有媒体称这种做法直接导致此后的一个多月里又有一批婴儿食用了三鹿问题奶粉。显然此次事件在某种程度上检验了三鹿集团决策层的诚信与道德观。,“三鹿奶粉”案例之一：内部环境,事实上除了三鹿集团外，向牛奶中添加三聚氰胺的耿氏兄弟等不法分子、告知这些不法分子通过添加三聚氰胺可通过检测的技术人员、销售给不法分子三聚氰胺化工原料的人员，都存在着只顾利益不顾消费者健康的问题，而这种环境因素也许才是真正导致此次事件的罪魁祸首。,（二）风险评估,1、企业目标的建立 企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具体目标。,分析和辨认实现所定目标可能发生的风险,（二）风险评估,2、风险确认 辨识和分析风险的过程是一种持续反复的过程，也是有效内部控制的关键组成要素。风险确认包括：目标变化引起风险的增加 外部环境变化引起风险的产生 内部因素引起风险增加,分析和辨认实现所定目标可能发生的风险,（二）风险评估,3、风险分析 辨识和分析风险的过程是一种持续反复的过程，也是有效内部控制的关键组成要素。风险分析包括：风险的重要程度（风险发生所产生的损失）风险发生的可能性 需要采取什么行动,分析和辨认实现所定目标可能发生的风险,*银行客户流失风险的确认与分析,“三鹿奶粉”案例之二：风险评估,众所周知，食品中不能添加的物质远比能添加的多，现有的检测手段不可能对每种有害物质都进行检查。就奶粉这种需要从分散农户处采购原料的食品而言，每个农户的奶牛喂养过程、原料奶的加工、储存和运输过程等都可能存在不同的风险，这就给原料奶的质量检验带来了挑战。,“三鹿奶粉”案例之二：风险评估,我们知道，一般的企业内部控制都是针对常规事项进行设计的（如奶粉的营养成分是否达标等），而对例外事项（如添加三聚氰胺）则重视不足。这对内部控制的设计提出了挑战。显然，食品加工企业除了对原料采购、产品加工、存储储藏、物流配送等各个环节进行风险评价、分析之外，还应该就最可能产生风险的环节设立应对措施。,“三鹿奶粉”案例之二：风险评估,例如风险评估时针对生产的奶粉原料中可能会含有哪些有害物质，原料提供者添加这些物质的可能性以及消费者食用这些物质的后果严重性等进行评价、排序，并从原料采购、产成品的检测验收等方面设定有针对性的指标，以提高内部控制的效率和效果。,（三）控制活动,职责分工控制授权控制审核批准控制预算控制等,是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,“三鹿奶粉”案例之三：控制活动,此次三鹿集团奶粉事件曝光后，根据警方抓获的耿某介绍，在2007年底前向三鹿集团销售的牛奶就屡次因检验不合格而被拒收。而三鹿集团对这种“屡次不合格”牛奶的提供者居然没有“诚信记录”，在其向牛奶中添加三聚氰胺，使得“问题”奶进一步演化为“毒奶”而顺利通过检测后没有保持“合理怀疑”。,“三鹿奶粉”案例之三：控制活动,从事实看，三鹿集团能够在2007年前“屡次”查出耿某提供的牛奶不合格，说明企业拥有严格的采购验收制度并得到切实执行，但如果能对日常控制活动中发现的一些不良信息进行收集、整理，并对异常现象（屡次不合格的原料提供者后来提供的都是合格原料）寻找合理解释，以进一步提高控制活动的效率效果，则发现“耿某”类不法分子的伎俩并非全无可能。,（四）信息与沟通,内部沟通。（1）领导的沟通意愿（2）每个人都了解内部控制相关方面的内容，知道自己在这一制度中的角色和责任（3）确保信息传递的真实（4）建立信息有效沟通的渠道（5）信息沟通中的保护条款,（四）信息与沟通,外部沟通。（1）吸取客户和供应商对产品及服务质量的信息（2）反馈公司经营人员的不适当行为（3）金融、保险等部门通过与外部沟通对客户公司进行检测，发现并指出客户公司内控的弱点,“三鹿奶粉”案例之四：信息沟通,从现有的报道看，早在2008年3月三鹿集团就已经接到消费者的投诉，6月份反映的人越来越多，但直到2008年8月2日，三鹿集团才将相关信息上报给石家庄市政府。这中间已存在信息与沟通不及时、不全面的问题。,“三鹿奶粉”案例之四：信息沟通,而根据国家重大食品安全事故应急预案的有关规定，地方人民政府和食品安全综合监管部门接到重大食品安全事故报告后，应当立即向上级人民政府和上级食品安全综合监管部门报告，并在2小时内报告至省（区、市）人民政府，也可以直接向国务院和食品药品监管局及相关部门报告。,“三鹿奶粉”案例之四：信息沟通,上述规定事实上是对信息沟通的及时性做出了明确的要求，但实际情况是，石家庄市政府直到9月8日才将有关情况的书面报告提交给河北省政府。这种信息与沟通的延迟在一定程度上加大了毒奶粉的危害后果。,（五）监督,持续性监督检查专项监督检查,“三鹿奶粉”案例之五：监督,作为中国食品工业百强、农业产业化国家重点龙头企业，三鹿对内部监督不能说不重视，因为其产品是经过“1100道检测”的。而对于为何没有检测出三聚氰胺，专家给出的解释是在现有的检测指标中主要是通过检测氮元素来确定奶粉的蛋白质含量，没有针对三聚氰胺的专门检测。而三聚氰胺这种化工原料的含氮量高达66%，不法分子正是通过增加牛奶中的氮元素含量来达到通过检测的目的。,“三鹿奶粉”案例之五：监督,这表明企业的监控活动中，除了日常的监控活动外，还应该有一些专项的、非常规的监控活动，从而达到发现控制缺陷的目的。除了三鹿产品，还有其他被发现存在问题的古城、圣元、伊利奶粉等都被授予“免检产品”称号，这意味着上述产品在获取了免检证书后可以在有效期内不受各地质检部门的监督检查，这显然也不符合内部控制的持续监控原则。,“三鹿奶粉”案例之总结篇,从内部控制的设计看，我们对食品原料的采购验收环节存在缺陷，指标设计不全面；从内部控制的执行看，我们对风险事项的识别和评估还缺乏科学合理的方法论指导，对信息与沟通的及时性、有效性认识不足，在内部环境的建设尤其是培育积极向上的价值观和社会责任感方面还应付出更多努力。,三、内部控制的局限性,行使控制职能的管理人员滥用职权、蓄意营私舞弊 不相容职务的人员相互串通作弊 行使控制职能的人员素质不适应岗位要求 实施内部控制的成本效益问题 出现不经常发生或未预计到的经济业务,第二节 内部控制系统设计的意义和原则,一、内部控制制度设计的意义 二、内部控制制度设计的原则,内部控制制度设计就是为了保证企业各项业务活动的有效进行，确保资产的安全完整，防止欺诈和舞弊行为，实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序。,一、内部控制制度设计的意义,保证职工恪尽职守，保证业务活动按适当的授权进行，提高企业的经营效率保证会计记录和数据资料的正确性、真实性，从而保证会计信息的质量 保护企业财产的安全和完整，防止资产被盗用、浪费和无效率地使用 保证企业各项政策以及党和国家各项政策、法令、法律的贯彻和执行为开展审计工作创造条件,二、内部控制制度设计的原则,合法性原则,原郑州市合作银行城东路支行1997年总资产不过2亿，但小金库中人民币1亿多元。小金库通过非法高息吸存、设置账外账所致，其目的是为了非法高息放贷。账外账在内容上与银行正式账没有两样，凭证、分户账、总账、报表等一应俱全，所不同的是，该账不向上级主管部门汇报。,二、内部控制制度设计的原则,全面性原则 重要性原则有效性原则制衡性原则,钱、物、账分管制。现金支票及银行存款统一由出纳保管，并按每天收支情况逐笔登记现金（手工登帐）或银行存款日记账（电脑登帐）、每日结清；银行存款每月同银行对账，做到账款相符。,二、内部控制制度设计的原则,适应性原则,中国医学科学院肿瘤医院从1958年成立至2001年的43年中，财务管理制度从来没有改变过，最终被住院部主任石巧玲以意外方式慢慢获取了上千万元资金，4年间（1996年1月至1999年12月）无人发现。,成本效益性原则,分工与合作原则,第三节 内部控制系统设计的内容,一、内部控制的方法 二、内部控制制度的设计步骤 三、企业内部控制系统设计的主要内容,一、内部控制的方法,（一）职责分工控制（二）授权批准控制（三）文件记录控制（四）全面预算控制（五）实物保全控制（六）职工素质控制（七）风险防范控制（八）内部报告控制（九）电算化控制（十）内部审计控制,按关键控制点的不同,（一）职责分工控制,对企业组织机构设置的控制,对职务分工的合理性和有效性所进行的控制,重点是做好职能部门的设置,授权批准职务与执行职务相分离业务经办职务与审核监督职务相分离业务经办职务与会计记录相分离财产保管职务与会计记录职务相分离业务经办职务与财产保管职务相分离,（一）职责分工控制,对企业组织机构设置的控制,对职务分工的合理性和有效性所进行的控制,重点是做好职能部门的设置,授权批准职务与执行职务相分离业务经办职务与审核监督职务相分离业务经办职务与会计记录相分离财产保管职务与会计记录职务相分离业务经办职务与财产保管职务相分离,（二）授权批准控制,建立授权批准体系,授权批准的范围授权批准的层次 授权批准的责任 授权批准的程序,2007年时任中石化集团公司总经理、股份公司董事长的陈同海，利用职务便利，在企业经营、转让土地、承揽工程等方面为他人谋取利益，收受他人钱款共计折合人民币1.9573亿余元，在近年来国有企业的腐败案件中级别最高、企业规模最大、犯罪数额最多，号称“国企最大腐败案”。,安徽古井集团原董事长、总裁王效金利用职务便利，为他人在原材料采购、合股经营、企业收购、企业经营、资金拆借、广告承揽等方面谋取利益或承诺谋取利益，收受他人贿赂共计人民币507万元、美元67万余元和港币5万元。坊间流传着此种说法“王效金就是古井，古井就是王效金，效忠王效金的目的就是为了古井的发展，是为了每一个职工的发展。”更为让人触目惊心的是，王效金所在的古井贡企业主要负责人及绝大多数中层干部，在窝案中几乎“全军覆没”。,（三）全面预算控制,预算体系的建立，包括预算项目、标准和程序预算的编制和审定预算指标的下达及相关责任人或部门的落实预算执行的授权预算执行过程的监控预算差异的分析与调整预算业绩的考核,为达到企业既定目标编制的经营、资本、财务等年度收支总体计划,预算控制背景定额“定额”一词在唐代出现，如元稹钱货议状云：“自国家置两税以来，天下之财皆量入以为出，定额以给资。”但最初的定额实践，见于著名的“许元称钉”典故。宋仁宗庆历初年，东南漕粮的供应出现了问题。参知政事范仲淹推荐许元出任江浙荆淮制置发运判官，负责征收茶盐等税，向京师运送谷粟等事。,预算控制背景定额许元到任后，“悉发濒江州县藏粟，所在留三月食，远近以次相补，引千余艘转漕而西。”但航行中好些船散架沉入江中，造成巨大损失。许元怀疑是造船的工匠偷工减料，少用了铁钉，但却没有证据。而船坊主则自认为木已成舟，船已沉入江中，面对人们的指责极力狡辩。,预算控制背景定额据宋朝事实类苑卷22载：-有一天，许元突然来到造船的工场，下令拖出一艘新船，立即放火烧掉，又从灰堆中拣出铁钉，一过秤，发现只有应该用钉量的十分之一。-许元大怒，当即严惩船坊主，杀一儆百，并以真实的用钉量作为今后每艘船的用钉量定额，从此工匠们再也不敢偷工减料。-不久，运粮船源源不断地抵达京城（“未几，京师足食”）。,（四）文件记录控制,建立组织机构职能图和授权审批权限一览表 建立全员岗位说明书 业务程序手册 统一会计政策 凭证编号 统一会计科目,（五）财产保护控制,限制接近 定期盘点 记录保护 财产保险 财产记录监控,（六）职工素质控制,建立严格招聘程序制定员工工作规范定期对员工进行培训定期对职工业绩进行考核，加强奖惩力度对重要岗位员工（如采购、销售、出纳）应建立职业信用保险机制工作岗位轮换,（七）风险防范控制,筹资风险评估 投资风险评估 信用风险评估 合同风险评估,是企业一项基础性和经常性的工作，企业必要时可设置风险评估部门或岗位，专门负责有关风险的识别、规避和控制,（八）内部报告控制,建立内部管理报告体系常用的内部报告有：资金分析报告、经营分析报告、费用分析报告、资产分析报告、投资分析报告、财务分析报告等。,应体现部门的经营责任，符合“例外”管理要求,（九）信息系统控制,一般控制：主要是对电算化系统构成（人、硬件、软件）及环境实施的控制应用控制：对电算化处理活动进行的控制,（十）内部审计控制,内部审计是内部控制的一种特殊形式，它是一个企业内部经济活动和管理制度是否、合理和有效的独立评价机构 内部审计在企业应保持相对独立性，应独立于其他经营管理部门,（十）会计系统控制,严格执行国家统一的会计准则制度加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。,二、内部控制制度的设计步骤,（一）明确控制目标（二）设计控制流程（三）鉴别控制环节（四）设置控制措施,组织、项目设计的最实质内容就是流程的设计,（一）明确控制目标,维护财产物资的完整性保证会计信息的准确性保证财务活动的合法性保证经营决策的贯彻执行保证生产经营活动的经济性、效率性和效果性保证国家法律法规的遵守执行,（二）设计控制流程,控制流程，通常同业务流程相吻合，主要由控制点（控制环节）组成 当企业的业务流程存在控制缺陷时，则需要根据控制目标和控制原则加以设计,可能发生错弊因而需要控制的业务环节,（三）鉴别控制环节,控制点按其发挥作用的程度而论，可以分为关键控制点和一般控制点 关键控制点和一般控制点在一定条件下是可以相互转化的,（四）设置控制措施,控制措施：为预防和发现错弊而在某控制点所运用的各种控制技术和手段实际工作中，必须根据控制目标和对象设置相应的控制技术和手段,三、企业内部控制系统设计的主要内容,（一）货币资金业务内部控制（二）采购与付款业务内部控制（三）生产过程内部控制（四）销售与收款业务内部控制（五）实物资产的内部控制（六）筹资与投资业务内部控制,