企业内部控制评价二零零九年六月八日第一部分内部控制和萨宾斯法案介绍第二部分企业内部控制基本规范解读内部控制和萨宾斯法案介绍内部控制的产生1949年，美国会计师协会的审计程序委员会在内部控 制，一种协调制度要素及其对管理当局和独立注册会计师 的重要性的报告中，对内部控制首次作了权威性定义： “内部控制包括组织机构的设计和企业内部采取的所有相 互协调的方法和措施。这些方法和措施都用于保护企业的 财产，检查会计信息的准确性，提高经营效率，推动企业 坚持执行既定的管理政策。” 此定义及其相应的解释，当时被普遍认为是对认识内部控 制这一概念的重大贡献，因为在此之前内部控制概念从未 受到如此的重视。l只针对萨宾斯法案的要求-和财务报告有关的部分l覆盖的业务主体内部控制的专注点内部控制的广泛性l内部控制绝对不是：l静态的结构；l某一层次人员的任务（例如：高级管理层）；l某一部门的任务（例如：财务、内部审计）；l某一实体的任务（例如：总部、省级公司）。 l内部控制是：美国反欺骗性财务报告委员会（COSO）的定义： 内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程， 实现这一过程是为了合理的保证：l 经营的效果性和效率性；l 财务报告的可信性；l 对法律和规章制度的遵循性。因此，整个集团的共同参与 对于项目的成功至关重要。控制机制 人是核心 (道德和能力）规范要求的长远益处四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些 因素是遵循规范的结果，也是价值的创造提供的数据客观， 形象的表示了公司 业绩财务报表更改的情 况将很少发生业绩将更接近原 有的预期持续的计划给管 理层和投资者提 供了数据用于公 司应对商业环境 的变化随着时间的推 移，信息将快 速的产生需要快速的提 供给投资者相 关信息简单化和标准化 的信息使得更容 易被理解和接受管理层要直接看 到推动业务的相 关因素及时可预测透明精确Earnings一、基本概念阐述 二、内控系统整体架构 三、内部控制的实施走进内部控制 主要内容主要内容一、基本概念概述 二、内控系统整体框架、基本概 念阐述 二、内控系统整体架构 三、内部控制的实施一、基本概念阐述 二、内控系统整体架构 三、内部控制的实施一、基本概念阐述经营回报与风险经营回报公司管理层经营回报与风险经营回报与风险经营回报与风险什么是风险？q风险是某一事件或行为对企业经济利益 可能的威胁q商业风险和管理风险什么是风险？风险是某一事件或行为对企业经济 利益可能的威胁商业风险和管理风险管理风险管理风险习惯上分为以下五类： 财务和经营信息不足政策、计划、程序、法律和标准贯彻失败 资产流失资源浪费和无效使用不能达到企业的目的和目标管理风险管理风险习惯上分为以下五类：风险的后果？经营中断 法律诉讼商业欺诈竞争失败无益开支 资产损失 决策失误风险的后果？风险如何最小化？风险最小化 加强系统的内部控制 对可能的损失投保 当可能的风险较大时，寻 求较大的回报风险如何最小化？内部控制如何降低风险？暴露的金额发生的 可能性风险的大小内部控制降 低内部控制如何降低风险？成 功内部控制的重要性有效的 内部控制风险与经营回 报的良好平衡内部控制的重要性内部控制的重要性（续）COSO报告内部控制整体架构AICPA审计准则公告第78号会计法（第四章第27条）财政部内部会计控制规范证监会证券公司内部控制指引证监会商业银行内部控制指引征求意见稿 .内部控制的重要性（续）COSO报告内部控制整体架构 AICPA审计准则公告第78号 会计法（第四章第27条） 财政部内部会计控制规范 证监会证券公司内部控制指引 证监会商业银行内部控制指引征 求意见稿 财政部等五部委企业内部控制基本规范内部控制的重要性（续）什么是内部控制？20内部控制 - 被定义为一个过程，这个过程受企业的董事会、 管理层及其他人员影响。设计这个过程是为达成 下列目标提供合理的保证： 营运的效果和效率 财务报表的可靠性 相关法令的遵循内部控制的定义www.coso.org内部控制的定义二、内部控制整体架构内控系统的整体架构内控系统的整体架构“内部控制整体框架”的特点 明确对内部控制的“责任” 强调内部控制应该与企业的经营管理过程相结合 强调内部控制是一个“动态过程” 强调“人”的重要性 强调“软控制”的作用 强调风险意识 揉和了管理与控制的界限 强调内部控制的分类及目标 明确指出内部控制只能做到“合理”保证 成本与效益原则内控系统五要素架构监督控制 活动风险评估控制环境信息与沟通信息与沟通内控系统五要素架构目标有效率且有效果 的使用公司资源财务报告 的可靠性遵循适用 的法律、法规是任何企业的核心，是企业的人以及它所处的环境 是推动企业的引擎，也是其他要素的基础l控制环境的组成要素：n管理哲学和经营风格-传达公司的正直、诚实的道德规范n组织结构-董事会及其委员会职能n职责分配和授权-权利、职责分工n人事政策-保证员工正直并有能力胜任工作控制环境控制环境是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素： 管理哲学和经营风格 组织结构 董事会及其委员会职能 职责分配和授权 人事政策控制环境控制环境管理哲学和经营风格审计署对23家企业的调查结果项 目金额额（亿亿元 ）资产资产 不实实10.39% 负债负债 不实实7.89% 利润润不实实38.87其中：虚报报94.98%36.92隐瞒隐瞒52.89%20.53潜亏92.77%36.06控制环境管理哲学和经营风格独立董事专门委员会 设立审计委员会，及委员会成员资格要求 审计委员会职责 专门委员会与外部中介机构监事会 监事会职责 监事会与外部中介机构控制环境董事会及委员会职能企业必须了解它所面临的风险，并加以控制。即设立可辨识、 分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估风险评估风险分为：l公司整体层面的风险l具体业务活动层面的风险风险分析的步骤：l评估风险的重要性l评估风险发生的可能性（或发生的频率）l考虑如何管理风险，即评估应采取何种行动风险评估对应予以特别关注的环境变化保持警觉:l法规或经营环境的改变l新加入的员工、较高的人员流动性l新的或改善过的信息系统l公司经理迅速发展时期l新技术的出现l新业务、新产品、新的经营活动或并购l公司重组l跨国经营风险评估次序 银行/保险业/证券 制造业 其他1 内部控制的质量 内部控制的质量 内部控制的质量2 管理人员的能力 管理人员的能力 管理人员的能力3管理人员的正直程度 管理人员的正直程度 管理人员的正直程度4会计系统的近期变动 单位的规模 会计系统的近期变动5单位的规模 经济环境恶化 业务的复杂性6资产的流动性 业务的复杂性 资产的流动性7重要人员的变动 重要人员的变动 单位的规模8业务的复杂性 会计系统的近期变动 经济环境恶化9快速的增长 快速的增长 重要人员的变动10 政府法规 管理人员对完成目标的压力 快速的增长近期变动如何有效地进行风险管理各行业的前10种最主要的风险因素控制活动企业必须基于风险评估的结果订立控制风险的政策 及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动控制活动的类型事前事中事后检查性控制补偿性控制预防性控制纠正性控制事前 事中事后控制活动的类型l审批（高层审阅）l保护实物资产l异常报告制度l关键绩效指标分析l职责分工控制活动你的批准意味着什么？你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你有同意的基础，即: 你，或者你指派的适当人员， 而非文件的编制者，已经审核了有关信息你对自己的审批负全责控制因素活动-审批授权批准控制在开展任何业务之前都应进行授权授权以后，为了避免滥用权力，还要 经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制控制活动因素-保护实物资产u例如:l实物与会计记录的定期核对l把文件锁起来l! 财务报表 !l保护数据中心、本地局域网控制室以及工作站l设备标签l安全系统/警报系统l设围墙l配置保安l工作证件l隐藏的摄像镜头 返回例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣l 重点是发现异常情况并及时跟进控制因素活动-控制因素活动-异常活动报告一些重要的内控方法l职责分离控制l授权批准控制l内部报告控制l电子信息技术控制一些重要的内控方法 一些重要的内控方法不同人员或部门之间的职责分工可以通过一系列检查 措施，例如:降低发生错误的风险，并控制人为蓄意 的操纵. 避免独立个人同时负责一项完整的交易的发生、授权 和记录，或避免独立个人在保管资产的同时负责记录 其变动. 通过岗位轮换, 使更多的高级管理者参与日常运营的 主要活动, 以外部视角来观察各个部门的运营.控制因素活动-职责分工不相容职务相互分离控制示例工作职责职责存在的风险风险同时负责现时负责现 金的收取和 应应收账账款的会计记录计记录可能会通过过注销应销应 收账账款和截留应应收账账款 等调节账调节账 簿的方法来私自挪用现现金同时负责购货订单时负责购货订单 的审审 批和货货物的收取可能以组织组织 的名义为义为 个人购购入货货物，在收 取货货物时时利用职务职务 之便将货货物占为为己有， 同时时不向会计计部门递门递 交原始凭证证或者在原 始凭证证上反映虚假信息同时负责时负责 付款的审审批和 购货订单签发购货订单签发 与审审核可能会伪伪造购货业务购货业务 并支付货货款，从而 贪污现贪污现 金不相容职务相互分离控制示例内部报告控制q完善内部管理报告系统q内部报告上报时间及报告路线q内部报告的分析和跟进q内部报告的分发控制信息系统控制目标 提高资源使用效率 有效达到企 业目标 保持数据完整 维护资产安全 符合相关的法律、 法规和政策信息系统控制目标提高企业信息系统的整体可信赖程度的控制信息系统的组织和管理信息系统操作数据安全危机处理与业务持续计划外包厂商管理网络支持系统软件支持应用系统安装与维护硬件支持数据库安装与支持一般信息系统控制计算机安全标准1.0 信息管理标准2.0 一般系统完整及安全存取控制3.0 网络安全标准4.0 计算机系统安全标准5.0 特定网络技术安全系统6.0 实物及环境控制标准7.0信息备份标准8.0故障恢复计划计算机系统安全:计算机存取软件:用户口令每90（30）天变更一次:防病毒软件:关键数据备份:合法版权:关闭调制解调器的自动应答功能:避免未经授权的人使用计