企业内部控制建设及评价交流课件.ppt

《企业内部控制建设及评价交流课件.ppt》由会员分享，可在线阅读，更多相关《企业内部控制建设及评价交流课件.ppt（56页珍藏版）》请在三一办公上搜索。

1、企业内部控制建设及评价交流,0,内控哪个环节出了问题，如何用内控去防范？,为什么SOX重拳打击虚假财务信息， 又来了金融危机为什么麦当劳肯德基始终一尘不染，小胖墩总是爱去 为什么巴林银行交易员能够越权，越权交易暴露滞后 为什么在同一市场中，同类企业经营现金流反差很大 中国移动社会责任报告跟垃圾短信是否存在必然联系为什么中信泰富事前备受追捧，事后却成负面典型为什么国内企业虚收入安在，安然世通却倒闭了为什么富士康跳楼连连，大家还蜂拥而入为什么内控制度你写你的，他做他的为什么高科技企业发展中都变味了,1,交流提纲,内部控制建设流程,内部控制工作的机制要素,内部控制评价流程,内部控制的基本要素和基调

2、内部控制工作机制 国内外企业内控工作经验简介,内控问题案例及启示,2,内部控制的基本要素,3,302及906条,财务报告及信息披露,404条,财务报告及信息披露,302条及906条证明书,管理层对于404条的内控报告,外部审计报告,企业特性决定了内控的基调,监管环境：资本市场、五部委、国资委 风险偏好 管理风格,SOX体现上市公司内控的真谛,4,内部控制工作组织机构,四个层级的职责设定,内控领导小组,各职能部门,内控建设团队,审计/监察,联络人,虚拟团队,市场部牵头,建设部牵头,财务部牵头,市场组,资本组,财务组,IT组,信息部牵头,项目管理,董事会及审核委员会,内控评价团队,5,搭建内控支撑

3、系统,内控支撑系统,内控组织机构,细则管理,职责分解,内控自评,缺陷整改,领导小组内控团队相关领导内控管理员,内控手册,内控细则,控制点,内控资料库,细则修订,分解至牵头部门,分解至执行部门,分解至执行人,评价责任分解,进度监控,审核汇总,执行人自评,检查人评价,缺陷确认及导入,整改任务分配,整改过程跟踪,整改结果反馈,缺陷统计分析,控制库,一人一表,缺陷库,权限配置,作用：实现内控建设和 评价的流程化、规范化,功能：控制点执行和评价责任动态分解，评价重点筛选和方法固化,设计：与公司OA等各系统有效衔接,6,内控责任体系,内控责任管理办法,授权审批权限设定,内控责任分解,整体层面责任分解,业务

4、流程层面责任分解,内控工作领导小组,各业务和管理部门,内控工作团队,审计部门,内控评价工作团队,7,建立有效的制度体系,内控管理办法内控评价办法内控责任追究办法内控岗位职责说明书内控缺陷限期整改责任书违规积分管理办法内控自我评价工作考核细则内控制度执行情况考核办法,管理和促进内控落实的制度和措施,内控开展情况，内控问题纳入经营者绩效考核体系内控考核由股份公司内部控制领导小组统一组织实施内控建设团队、评价团队、内审部门分别提出考核意见上级单位负责对下级单位的内控工作进行监督检查各单位内部控制领导小组负责对本单位的内控工作监督检查,内控工作监督考核,8,内控建设理论框架,国际上具影响力的内部控制框

5、架,中国不断加强内部控制及风险管理的监管要求,1992，美国COSO报告：内部控制综合性框架，简称COSO ；1995，加拿大COCO委员会控制原则标准，简称COCO原则；1999，英国Turnbull指南内部控制综合守则的董事指南；2004，美国COSO委员会发布ERM，即企业风险管理-综合性框架；2004，香港联交所企业管治常规守则及企业管治报告。,1996，财政部独立审计具体准则第9号内部控制和审计风险；1997，中国人民银行加强金融机构内部控制的指导原则；1999，保监会保险公司内部控制制度建设指导原则；1999，全国人大常委会会计法；2001，证监会证券公司内部控制指引；2001，财

6、政部内部会计控制规范基本规范（试行）等；2002，中国人民银行商业银行内部控制指引；2006，国资委中央企业全面风险管理指引；2006，财政部牵头成立“中国内部控制标准委员会”；2006、2007，深交所、上交所内控指引；2008，财政部等五部委联合发布企业内控基本规范。 ,?国内外思路差异,9,COSO内控框架,监 督,信 息 与 沟 通,控 制 活 动,风 险 应 对,风 险 评 估,事 项 识 别,目 标 设 定,内 部 环 境,战 略,报 告,经 营,合 规,COSO内部控制整体框架 (1992),COSO企业风险管理框架 (2004),经 营,监 督,信 息 与 沟 通,控 制 活

7、动,风 险 评 估,控 制 环 境,财务报告,合 规,弥补缺口,运 营,子 公 司,营 业 单 位,部 门,公 司 层 面,其他内控体系,COCOTurnbull“中国COSO”，全面风险管理日本. ISO xxx,属于思路/原则/方向层面 内控表现为一系列的程序（process) 和政策（policy)相当于企业内控的“宪法”属于防御性制度体系 管理体系的建立要遵循COSO宪法管理体系一般应该满足一定的形式。,10,内控定义,内控基本规范,全面风险管理,COSO内控框架,本办法所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。 内部控制的目标是合理保证企业

8、经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,本指引所称内部控制系统，指围绕风险管理策略目标，针对企业战略、规划环境保护等各项业务管理及其重要业务流程，通过执行风险管理基本流程，制定并执行的规章制度、程序和措施。,公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序:运营的效益和效率，财务报告的可靠性和遵 守适用的法律法规。,COSO风险管理,企业的董事会、管理层和其他员工共同参与的一个过程，应用于企业的战略制定和企业的各个部门和各项经营活动，用于确定可能影响企业的潜在事项，并在其风险偏好范围内管理风险，从而对企业目标实现提

9、供合理保证。,?内控定义的共性约定,11,国内外企业内控建设工作总结,通常的实施方法实施牵头部门内控的成本实施难点关键成功要素,12,内部控制建设流程,内部控制的设计步骤 风险评估流程与技术 建立信息与沟通机制 公司层面控制举例,13,内控建设基本方法,相互牵制原则协调配合原则程式定位原则成本效益原则全面系统原则,标准、有效适用、务实全面、协调及时、预见灵活、弹性,内控制度设计基本要求,14,拟定控制目标,制定目标的假设前提 SOWT? 多少企业直奔流程主体？,不同企业特性不同目标 用工：工作环境，薪酬计量和发放，安全生产,企者不立，跨者不行,15,公司层面风险评估,风险：任何可能影响组织实现

10、其目标的事项,风险包括:恶性事件不确定事件机会事件,管理层的能力 管理层的道德观 近期系统变化 组织规模 资产流动性 变革 复杂程度 快速增长 规章制度是否健全,风险评估方法专家讨论法调查分析法风险地图法财务指标分析法,16,公司层面风险评估,确定关键风险的核心，是确定风险的可能性和影响程度两大指标,通过评估风险的重要性和紧迫性两个维度，确定每个风险在模型中的位置从风险因素在风险图谱的不同位置，确定关键风险关键风险由于其重要性高、紧迫性高，因此一般需要重点管控,风险图谱示例,需关注的关键风险,17,公司层面风险评估,18,公司层面风险评估,19,公司层面风险评估,将评估结果对应到风险图谱，落在

11、红色区域的为关键风险，加以重点控制,20,风险分析及判断,从整体业务层面分析从业务性质层面分析从财务报表层面分析从会计科目层面分析从会计科目认定分析业务和财务分析映射,风险的直接影响风险的潜在影响,21,内控建设基本方法,控制流程是依次贯穿于某项业务活动始终的基本控制步骤及相应环节通常与业务流程相吻合，主要由控制点组成当企业的业务流程存在缺陷时，需要根据控制目标和控制原则加以整合,资金支出控制流程举例（流程及控制点责任分解）,22,内控建设基本方法,鉴别目的实现控制目标，主要控制容易发生偏差的业务环节控制环节或控制点那些可能发生错弊因而需要控制的业务环节关键控制点作用大，影响广，甚至决定全局成

12、效的控制点一般控制点只发挥局部作用，影响特定范围的控制点,控制活动类型授权、审批、复核及核对、资产实物控制、差异分析报告、职责分离、信息处理控制、业绩评价、职责分工等控制措施为预防和发现错弊而在某控制点所运用的各种控制技术和手续等,预防控制，检查控制；主控制，冗余控制；基础控制，应用控制；手工控制，自动控制,23,企业内控建设实施流程,项目前期准备,现状描述及讨论,制订并实施修补计划,对内控缺陷提修改建议,编写内控手册（初稿）,管理层审定现状及修改建议,试行内控手册（初稿）,检查试行情况,总结汇报、完善内控手册,总公司内控手册 总部及分公司的实施细则 配套的权限列表其他公司制度、办法,24,国

13、外企业内控建设工作经验借鉴,业务流程描述的方式有利于打破企业内部不同部门之间的条块界线 流程图表的方式能够直观地表现业务事项发生发展的逻辑关系 编写控制点列表的方式有利于内控记录持续更新、添加或删减控制点,促进404条款遵循工作流程的标准化 便于管理层汇总、分析404条款遵循工作的情况及成果 提供404条款遵循工作的即时信息 降低404条款遵循工作管理成本、显著提高工作效率,?中国企业基本业务流程描述方式,25,业务流程描述模式,一、业务流程范围 1、所涉及的业务范围 2、所涉及的部门范围 3、所涉及的计算机系统和相关维护部门,二、（控制）目标三、风险四、相关会计科目五、流程概述,26,流程图

14、表模式（续）,27,控制点列表模式,28,建立信息与沟通机制,信息与沟通是COSO框架五要素之一 业务、财务等信息的收集、处理和传递 业务间信息、业务与财务信息的传递和比对 上下级、各部门间信息的传递,29,公司层面控制,属于控制环境的控制点管理层的风险评估流程IT一般控制集中于公司层面的流程和控制点对经营结果的监督控制措施对其他控制点进行监控的控制点公司财务报告流程公司最高管理机构通过的重大业务控制，和实施的重大风险管理政策,公司层面控制：集中于公司管理、重大决策层面以及对业务流程或应用层控制具有重大影响的控制。,30,例1：预算风险及控制方法,31,例2：人力资源风险及控制方法,32,例2

15、：人力资源风险及控制方法（续）,33,例2：人力资源风险及控制方法（续）,提出用人申请,用人申请审核与汇总,批复,发布招聘信息,流程,风险,紧急的、临时性的用人需求客观上难以满足,人力资源需求计划,不能正确评估、审核用人申请，造成超编、工资总额超标或不能满足用人部门需求,未经批复发布招聘信息,招聘渠道不合适，导致收到的简历不符合要求,对人才需求的数量、结构预测不准确,笔试、面试与外调,由于考官个人、面试过程组织等原因导致没有招聘到最合适的人才或给公司带来的负面影响,录用,未经批复擅自录用,34,例2：人力资源风险及控制方法（续）,流程,风险,签订劳动合同,员工入职更新员工数据库,招聘费用核算,

16、劳动合同不完善导致劳动纠纷不规范用工,新员工入职手续办理不完全或过高承诺,招聘费用超出预算,风险管理措施,风险接受：1、加强业务发展的预见性，规定用人部门至少要提前1-2个月时间提出需求。2、加强人力资源部门的审核权力，把人才结构、工资总额等优化、约束条件在用人申请的审核环节中充分考虑。3、加强招聘渠道的收集、比较和评估。4、制定周密的入职流程表，为每个新入职员工及时办理各项手续。5、严格控制招聘过程发生的支出，超出标准应申请上级审批。,35,内部控制评价流程,评价机制及实施程序 评价工作技术和方法 评价报告与缺陷整改 评价记录和缺陷判断,36,评价工作的组织模式,总部内审部门统一实施,公司专

17、门成立内控工作办公室实施,委托中介机构实施,业务部门自评+内审部门审计,37,公司内控评价体系,自我评估,独立评估,评估体系,自我评估：由公司相关机构和人员对所负责的内部控制有效性进行的自我审视和评价活动 。独立评估：内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动 。,年度自评,专项自评,38,内控评价的报告机制,39,审计部,法律部,财务部,建设部,市场部,董办,评价工作团队,办公室,市场部,财务部,人事部,IT部,自评实施部门,内控评价组织机构,独评实施部门,审计部,？ 四个层级的职责设定,40,评价工作的沟通协调机制,41,评价工作的实施流程,实施的四个程序,42,评价

18、项目准备和实施阶段,落实评价职责,评价实施部门制定具体实施方案,评价人,控制点检查人（重点评价点）,控制点执行人,评价方法,控制点描述,控制点编号,评价时间范围：,部门：,明确评价方法和工作要求,制定评价方法、抽样原则、评价报告/底稿格式等要求，统一标准，规范操作,评价内部控制四要素的总体情况,评价IT一般控制,评价选定的控制点,43,设计有效性测试：识别控制目标识别实现控制目标的控制措施判断当正确执行控制措施时，能否预防或发现可能造成财务报告重大错漏的错误或舞弊。 执行有效性测试：控制点是否按设计要求正常执行了/执行人是否获得了适当授权/执行人是否有足够能力有效履行控制职责。 缺陷分类：一般

19、性缺陷、重要缺陷和重大缺陷。存在重大缺陷认定内控无效。 缺陷整改：大缺陷必须立即整改，运行足够时间证明整改有效。小缺陷可基于成本效益原则，于有充裕资源时整改。 评价方法：访谈和讨论、文件检查、重新履行,控制点有效性评价流程,44,判断需测试控制点的程序,S1 了解被评价单位内控的基本情况 S2 识别公司层面内控 /ITGC S3 确定重要会计科目和披露事项 S4 确定与重要会计科目和披露事项相关的会计报表认定 S5 确定重要业务流程和主要交易类型 S6 进行穿行测试 S7 确定需测试的控制点,确定需要测试的控制点的程序,45,评价报告阶段,编制评价报告,分层编制、上报评价报告 牵头部门对各部门

20、评价工作复核： 评价范围是否完整 抽查评价工作底稿 评价结论是否恰当 改进计划具体可行否，责任落实否 牵头部门汇总各评价工作结果，起草评价报告，逐级上报,评价报告的主要内容,1、评价工作概况2、本单位内部控制有效性结论 3、评价中发现的内部控制缺陷及改进计划4、改进内部控制的建议5、附件：内部控制缺陷及改进计划汇总表,公司应在评价报告中发表内部控制设计及执行是否有效的结论。如果经过评价发现一个或一个以上重要缺陷或重大缺陷，则不能做出内部控制有效的结论，而应就评价发现的重要缺陷或重大缺陷进行披露。,46,评价报告阶段（续）,编制评价报告（续）,附表1： 内部控制缺陷及改进建议汇总表,附表2： 缺

21、陷对财务报表的影响汇总,47,评价工作改进阶段,内部控制缺陷改进计划实施情况表 稿索引号：部门/单位： 时间：,采用条块结合方式布置整改，各单位（部门）落实内控缺陷改进措施，并上报改进情况，上级单位审核整改效果,48,判断内控缺陷的定量标准,省级分公司财务报表错漏重要程度定量标准表,缺陷,项目,49,公司层面内控问题案例 内部控制的动态维护 内部控制工作启示,公司层面内控案例及启示,50,内控案例,内控工作整体上常见问题设计费用发生需求环节无本部门审批，无评标原则发起生米做成熟饭，先斩后奏授权集团集中采购科目，分公司自行安排采购审批只见签字，不见意见，经办人眼里只有领导，无原则处理自行组织评标

22、，不用专家库记录用错科目，凭证不一，资产清查无记录披露中信泰富管理层早在08年9月7日，就已知衍生品交易出现约150亿港元亏损，9月中旬对外公布坚称公司经营“未出现任何重大不利变动”,51,内控工作的瓶颈,控制为上侧重控制和遵循性，牺牲了效率和效益目标狭隘对公司整体战略和重大经营策略目标关注不够风险模糊对风险的描述不够清晰，带来控制设计针对性不强,不分主次未对风险有效评估，从而分轻重缓急制定控制措施浪费机会未对风险清晰描述和界定，不清楚哪些风险可以带来价值反应滞后不能动态分析风险、审视控制、更新控制,52,内部控制的动态化,风险评价矩阵动态维护,53,今日主题启示,坚定内控创造价值的信念建立良好的闭环工作机制内部控制不是新瓶装新酒核心在公司治理和整体层面避免完美主义强调内控的体系性精确责任，增强意识，培养习惯评价是推进日常化的最给力手段适时IT固化工作流程,54,谢谢 ！,55,