企业内部控制和内部审计实务.ppt
《企业内部控制和内部审计实务.ppt》由会员分享,可在线阅读,更多相关《企业内部控制和内部审计实务.ppt(163页珍藏版)》请在三一办公上搜索。
1、1,企业内部控制和内部审计实务,怎样建立及完善企业内部控制体系,2,Welcome Slide,欢迎各位的到来请先做自我介绍,相互认识姓名所在的公司所从事的工作从事目前工作多久了,3,企业内部控制和内部审计实务,什么是企业内部控制内控的体系的建立内部控制与内部审计企业内部控制实务 常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求,4,企业内部控制象什么?,企业内部控制可以形象地比喻成一件孩子的衣服,企业的经营需要内部控制,就象孩子每天要穿衣服一样 根据企业经营的实际需和发展的不同阶段,来设计不同的控制程序。这就象依据气候变化来给孩子增减衣服。当孩子长大了,就要给他穿合身的衣服,5,内部控制是一
2、套完整的系统,它包括一系列的公司政策和执行程序.从开始运行到仔细地监控,它对实现公司组织的下列四个目标提供合理的保障:,内部控制的定义,6,内部控制的定义,公司运作的有效性和效率(Effectiveness&Efficiency of Operations)公司资产的安全性(Safeguarding of Assets)财务报表的可靠性(Reliability of Financial Reporting)公司运作的合法性(Compliance with Applicable Laws&Regulations),7,内部控制到底要控制什么?,内部控制是要控制风险风险就是不确定性风险分为商业风险
3、和市场风险不同的企业面对着不同的风险制造业 贸易性行业银行及金融业,8,一般的商业风险因素,财务方面的因素-财务控制失败导致的风险:资金短缺 缺乏信用评估 舞弊 系统的问题 较差的会计科目调节表,战略方面的因素-计划失败的风险:较差的市场策略 较差的购并策略 改变消费者的习惯 政治方面的变化,经营方面的因素-人为错误导致的风险:设计的错误 不安全的行为 员工操作的风险 蓄意破坏,技术方面的因素-资产实物的失败或损坏导致的风险:机器设备的损坏 基础设施的损坏 火灾 爆炸 污染 旱灾/或其他自然灾害,商业方面的因素-业务中断的风险:损失一名主要的执行官 源于供应商的失败 存在遵守法律的问题,9,风
4、险评估的因素,评估潜在风险时,管理层需要考虑下列被普遍接受的风险范畴:错误的记录不可接受的会计政策业务中断错误的管理层的决定,关注重要的内容(Materiality),10,风险评估的因素,评估潜在风险时,管理层需要考虑下列被普遍接受的风险范畴:舞弊和盗用(Fraud and embezzlement)额外成本(Excessive costs)资产的损失或丢失竞争的劣势,关注重要的内容(Materiality),11,内部控制与风险,内部控制主要是加强内部管理来归避经营性风险,因为风险是始终存在的好的内部控制就是要为企业撑起一把保护伞来抵御风险,12,内部控制的类型,控制可分为以下几种:预防类
5、控制 prevent职责分工 威慑类控制 deter开除有不良品行的员工 察觉/发现类控制 detect审阅银行调节表,13,控制结构的基本要素(COSO 框架),内部控制环境如董事会的关切,高级管理层的支持,公司政策和程序,明晰的组织机构关系和委托授权 风险分析侧重于高风险领域,帮助管理层减少或消除风险 信息和沟通公司政策指导,程序手册,宽松的沟通环境(open-door policy),举报热线等,COSO:Internal Control-Integrated Framework developed in 1992 by the Committee of Sponsoring Organ
6、izations of the Tradeway Commission,14,控制结构的基本要素(COSO 框架),内部控制程序在不同层面的检查,例如工作质量检查,调节表,年底存货盘点,职责分工,工作岗位轮换等 跟踪和监控例如:内控自查问卷/内部自我审核,外部审计和日常的财务分析工作,COSO:Internal Control-Integrated Framework developed in 1992 by the Committee of Sponsoring Organizations of the Tradeway Commission,15,影响控制环境的因素,管理层的经营理念和经营
7、风格公司的组织结构管理权力和责任的分配内部审计的职能,16,内部控制的基本技巧是为了达到控制目的同时减少风险.主要有以下几方面:有能力和值得信赖的人员良好的职责分工良好的交易授权批准程序,内部控制的基本技巧,17,充分定义的政策规定和程序良好的资产和记录的实际控制对业绩的独立审核,内部控制的基本技巧,18,控制与成本的关系,任何控制都需要成本的投入过多的控制并不是好的控制以最小的成本达到控制的目的,19,控制与成本的关系,案例分析一:一家公司的任何一部电话都能直拨打IDD,管理层的解释是业务需要.如果申请呼叫限制,又需要交固定的费用.解决方案:要求公司IT部门,给员工每人一个密码用于拨打IDD
8、,部门经理定期审阅电话费用,20,什么是企业的内部控制,BACKUP SLIDEQUESTIONS AND ANSWER,21,企业内部控制和内部审计实务,什么是企业内部控制内控的控制体系的建立内部控制与内部审计企业内部控制实务 常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求,22,如何建立一套合适的内部控制系统,现代企业的运作可分解为:物品的流转,如原材料的投入到产成品的入库 数据的流转,如成本数据,费用数据,出库及销售数据.数据的流转很大程度上是通过ERP来完成的单据的流转,如仓库把入库单的一联交给财务,财务据此为确认存货和负债的凭证,23,如何建立一套合适的内部控制系统,好的内部控制体
9、系,就是要把这三者有机地联系起来.能做到:杜绝可能出现的漏洞可跟踪和追溯每一笔交易-KEEP AUIDT TRIAL发现错误和舞弊,24,如何建立一套合适的内部控制系统,案例分析二:付款中的三单相符采购合同收料单供应商发票发票上的单价与采购合同的单价一致发票上的数量与收料单的数量一致,25,如何建立一套合适的内部控制系统,一家公司在付款时,核对了发票上的数量和入库单的数量.但是没有把发票上的单价和合同单价进行比较核对,按发票金额付款.因为发票单价比合同单价高,导致超额付款 USD100,000,26,安然事件留给我们的思考,如何建立有效的内控制度人的因素最重要诚信是首要条件(INTEGRITY
10、)没有经验是可以培训和积累的 但是,如果员工缺乏诚信,是不可接受的内控人员的经验和专业素质熟悉企业的业务流程有会计或审计经验自信和良好的沟通技巧团队合作精神,27,如何建立一套合适的内部控制系统,案例分析三:一公司要求管理人员每年都需要填写利益冲突调查表,需要揭示与供应商,客户和公司内部其他人员存在的利益冲突,如存在亲属关系.销售经理把公司的产品销售给自己岳母投资设立的公司以有两年了,但是从未披露过.后来经过调查属实,公司立即将该经理开除.虽然公司的销售业绩在短期内受到影响,但公司更看中的是员工的诚信.,28,如何建立一套合适的内部控制系统,新形势下的新要求-萨宾.奥斯利法案(SOX)法案出台
11、的背景由于安然破产案和知名的大公司纷纷爆出财务丑闻,投资者开始公司财务报表产生了信任危机在这种前提下,必须有一种强制手段来规范公司的责任和行为(Accountability and Actions)2002年7月25日,美国国会通过萨宾.奥斯利(Sarbanes-Oxley Act of 2002),美国总统布什于2002年7月30日签署该法案并使之生效,29,如何建立一套合适的内部控制系统,谁负责实施SOX 法案美国证券交易委员会(SEC),要求从2004财务年度开始,所有在美国上市的公司必须提交经过CPA审计过的内部控制评估报告Public Company Accounting Overs
12、ight Board(PCAOB)是依据SOX法案新成立的机构,主要负责监管对上市公司进行审计的会计师事务所的行为,30,如何建立一套合适的内部控制系统,SOX法案中的最重要的部分Section 404 Section 404 要求CPA审核公司管理层对内部控制的自我评估,并对其有效性发表意见对公司而言,如何来满足Section 404的要求(我们将专题讨论),31,企业内部控制设计的总体思路,控制风险,杜绝漏洞(Risk Basis Control)让我们引入生产管理中的一个概念Just-in-Time来解释建立在风险基础上的内部控制.做到既不过分控制也不是控制不足.做到成本效益的最大化职责
13、分工,相互制约(Segregation of Duty)这个原则的基础是没有人可以公证地评价自己的工作制定程序,提供培训(Documentation and Training)独立核查,完善程序(Review and Improve),32,内部控制设计的步骤、方法,依据流程分析找出风险和相应的控制点 建立相应的职责分工制订和实施控制程序 审核和完善程序,33,内部控制设计的步骤、方法,案例分析四对零星物品出门的管理零星物品出门是指非产品的物品出门零星物品可分为需要返回的物品和无需返回的物品.前者如工具和办公用品需要送出修理和维护.后者如废品出门可能存在的风险和漏洞?,34,内部控制设计的步骤
14、、方法,零星物品出门管理中可能出现的漏洞和风险出门单没有连续编号或连续编号不完整,因而不能确保单据的完整性出门单没有得到有效的审批须返回的物品未及时返回,可能导致公司资产的流失应该作为销售的产品,被做为零星物品出门,导致少确认收入,35,内部控制设计的步骤、方法,针对于漏洞和风险,需要设立的控制点出门单需要有预先印好的连续编号.并由独立人员定期审核已使用过的单号的完整性出门单需要有部门经理的审批方能生效门卫必须保留一份及时更新的部门经理签字样本来核对审批的有效性对于须返还的物品必须在出门单上注明拟返回日期,独立人员定期跟踪返还情况.对于未能及时返还的物品要查明原因财务人员应审阅零星物品出门单,
15、确认没有应该作为销售,而没开发票的项目,36,内部控制设计的步骤、方法,建立相应的职责分工独立人员审阅已使用的出门单的完整性门卫检查出门单审批的真实性独立人员定期跟踪须返回的物品的返还情况财务人员审核是否有遗漏的应该记销售的物品(通常情况下,零星物品出门单是由生产或行政部门签发的,而不是财务部门),37,内部控制设计的步骤、方法,制订和实施控制程序将控制点制订为程序文件并进行实施审核和完善程序依据定期审核具体实施情况,完善控制程序,38,内部控制的局限性,内部控制主要是针对于常规事务,对于非常规事务不一定有效内部控制不能防止人为的错误内部控制不能防止勾结串通(Collusion)有时管理层的意
16、志可能会凌驾于控制系统之上(Override),39,企业内部控制体系的建立,BACKUP SLIDEQUESTIONS AND ANSWER,40,企业内部控制和内部审计实务,什么是企业内部控制内控的控制体系的建立内部控制与内部审计企业内部控制实务 常见的舞弊及防范措施萨宾.奥斯利法案对内控的要求,41,审计内部控制的手段与方法,流程分析法通过流程分析,找出控制程序上存在的弱点及相应的风险检查职责分工是否合理流程分析法可以找出问题的大致方向缺点:不能发现具体执行中发生的差错(violation),42,审计内部控制的手段与方法,审计抽样测试通过审计抽样,把在程序上的可能存在的问题变得明确审计
17、抽样查出的问题更加具有说服力.缺点:通过抽样测试,难以匡算出程序问题(Process Issue or System Issue)的总体影响.,43,审计内部控制的手段与方法,审计抽样测试例如:在抽样测试中发现一个样本存在销售确认提前的问题.这可能是系统问题的反映 也可能是在执行中的偏差.我们要通扩大样本量和流程分析来进行判断.如果是程序的问题,单纯靠抽样测试是不能匡算出全部的影响,必须把在会计期间相关的凭证都进行审核.,44,审计内部控制的手段与方法,实地考察法通过实地考察,可以看出内部控制程序的实际运行情况例如在工厂内实地巡视,来检查消防措施和是否存在安全隐患例如通过实地观察,了解收发货的
18、具体情况缺点:适用范围有限,并非所有控制程序都适用而且容易造假.例如一家企业的门卫从不检查客车的后备箱,但是自从内部审计师进驻审计,开始检查了.而且对内部审计师的车辆检查的特别仔细.,45,审计内部控制的手段与方法,三种方法相互结合可以先进行流程分析,判断可能存在的问题.再通过抽样测试来暴露问题,如果条件允许还可以结合实地观察来证明问题的严重性例如在流程分析发现,当发货时,门卫不检查出门单的内容和实物进行核对,在抽样中发现发货和出门单不能匹配.审计师拿了一个A产品而附带着B产品的单据出厂区,并未遭到门卫的阻拦.由这三个审计证据来支持,门卫未尽其职责来防范没有经过授权的发货,46,审计内部控制的
19、手段与方法,三种方法相互结合也可以先进行抽样测试发现问题,再进行流程分析来判断是程序性问题还是在执行中出现的偏差一般我们不主张这种结合,由于抽样风险,有的问题并不能通过测试来发现,47,内部审计在企业组织结构中的地位,两种模式:从上而下完全的独立模式公司董事会审计委员会内部审计总监内审经理审计人员完全独立的从属关系,独立的费用核算和独立的人事任命这种模式可以保证内部审计的独立性 双重的领导模式,既汇报给总经理又汇报给CFO.在这种模式下,审计的独立性会受到影响,48,内部审计在企业组织结构中的地位,有许多公司对与内部审计部门采用了第一种模式,以保持内审的独立性同时还设立了内部控制部门,采用了第
20、二种领导模式,在这种模式下内部控制部门的工作:推行良好的内控实践协调内部控制同其他各部门之间的关系进行内控的自我审查,完善内控流程协调与内部审计之间的关系跟踪内部审计提出的问题,49,内部审计与内部控制的关系,相辅相成的关系在重视内部控制的环境下,内部审计才有意义在有内部审计的压力下,内部控制才有效率.通过内部审计对内部控制体系进行评估和修正内部审计人员不会长时期驻扎在企业里,但是内审提出的改进意见却需要内控人员推行到日常工作中,50,内部审计与内部控制的关系,内审人员如何处理好与被审计单位的关系摆正自己的位子,首先是咨询师,其次才是法官实事求是,坚持原则.作为一面镜子,是黑的不能说成白的,是
21、白的也不应该说成黑的及时与被审计单位沟通交流,乐于听取对方的意见,做到以理服人,51,内部审计与内部控制的关系,内审人员如何处理好与被审计单位的关系讨论:如果遇到特别难缠的被审计单位怎么办?,52,内部审计与内部控制的关系,作为被审计单位如何处理好与内部审计的关系乐于听取意见(Be Open Mind)通力合作,完全配合审计师工作(Get the Job Done)与审计师及时交流,摆事实讲道理.如在内审期间,举行每周例会,充分理解审计师提出的问题.并提供相应的审计证据来解决问题,53,通过内部审计对内部控制进行评估,通过审计对被审计单位的内部控制情况进行打分评估优秀(Strong)良好(Ad
22、equate)通过但须提高(Pass but Need to Improve)不满意(Unsatisfactory),54,通过内部审计对内部控制进行评估,评估的依据审计发现问题的数量审计发现问题的性质管理层的态度前两个为客观的,是决定性的因素.第三个则是主观的因素,55,通过内部审计对内部控制进行评估,对于审计发现的判断标准重要性原则(Materiality)对财务报表是否有重要影响对公司业务是否有重要影响问题发生的频次(Pervasiveness)是执行中产生的偏差还是系统的问题是偶然性还是经常性的问题问题对公司造成的影响(Significances)例如:公司贿赂政府官员,仅此一次,金额
23、也不大,却被当地媒体爆光,56,通过内部审计对内部控制进行评估,审计发现问题的表达方式(Audit Comment)问题的具体情况(Observation)说明存在什么问题问题所产生的影响(Effect)由于问题的存在,对企业财务报表或形象产生的影响审计建议(Recommendation)审计师需要提出改进意见改进意见必须是结合企业实际,是可行的(Workable)管理层的答复(Management Response)管理层需要对内审提出的问题进行答复.包括执行改进意见的时间表,57,通过内部审计对内部控制进行评估,对内审提出的问题的态度可能对内部控制的评估产生影响尽量争取在内审结束前将问题解
24、决,把解决方案交给审计师实在无法解决的问题,应该提出解决的计划和时间表这种态度表明管理层不是只注重审计评分,更注重解决存在的问题,从而加强内部控制,58,通过内部审计对内部控制进行评估,独立的内部审计人员如何看待企业以前存在的内控问题.告但是已经解决了或者正在解决过程中?问题已经从根本上解决,以前的控制弱点并没有造成实质上的损害.可以不作为审计问题提出.例如未按照公司要求,强制系统用户定期更换电脑密码,但公司自己发觉,并在内审开始之前已经改正虽然问题从根本上解决了或正在解决中,但是以前控制弱点还存在潜在的风险.还是需要作为审计问题提出.公司以前存在超时加班现象,虽然在内审之前采取了改正措施.但
25、以前的违规依然存在 潜在的法律风险,59,通过内部审计对内部控制进行评估,案例分析五-澳大利亚公司的采购问题公司内部审计师于2000年的审计中就采购程序中的问题提出改进意见.但由于种种原因,问题一直没有得到解决.直到2003年6月更换了管理层,才把问题真正解决.内部审计于2003年9月又到澳大利亚,他们提出来从2000年到2003年5月,一直存在不合规现象(Non-compliance).而且对以前年度审计问题置之不理.他们提的合理吗?,60,内部控制与内部审计,BACKUP SLIDEQUESTIONS AND ANSWER,61,企业内部控制和内部审计实务,什么是企业内部控制内控的控制体系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业内部 控制 内部 审计 实务
链接地址:https://www.31ppt.com/p-5218601.html