搜索
培训内部控制及内部控制审计内部控制及内部控制审计介绍介绍网通国际内部审计部王文静二零零四年五月二十日1内部控制定义和COSO内控框架内控审计的意义和萨班斯法案内控审计程序简介2内部控制的定义COSO是指美国反对虚假财务报告委员会所属的内部控制专门研究委员会——发起机构委员会(CommitteeofSponsoringOrganizationsoftheTreadwayCommission,简称COSO)。它包括美国注册会计师协会,内部审计师协会,财务经理协会,美国会计学会,管理会计协会。根据COSO报告中的定义,内部控制是受公司董事会、管理层和其他员工的共同作用,旨在为实现经营效果和效率、财务报告的可靠性以及对适用法律法规的遵循适用法律法规的遵循,而提供合理保证的一种过程。▲▲3运营¾通过标准化运作过程提高效力与效率¾通过控制行为确保资产安全财务¾合理保证财务报告的可靠性¾合理确保用于制定经营决策的信息的完整性¾帮助避免及发现欺诈行为,提供可审计的线索合规¾定期监控以保证符合法律法规内部控制的目标4内部控制的目标与要素如何满足内部控制的3个目标?内部控制应包括哪些内容(要素)?内部控制目标和要素间的关系?COSO内部控制框架5监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO内部控制框架6监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1是一个组织的控制意识;它是人们执行经营活动并完成其控制责任的环境。管理哲学和经营作风员工的诚实和职业道德员工的胜任能力董事会及审计委员会的参与组织结构权利和责任的规定人力资源政策与执行是一个组织的控制意识;它是人们执行经营活动并完成其控制责任的环境。管理哲学和经营作风员工的诚实和职业道德员工的胜任能力董事会及审计委员会的参与组织结构权利和责任的规定人力资源政策与执行COSO内部控制框架-控制环境控制环境7风险评估是为了达到企业目标而确认、分析和管理相关的风险经营环境的变化聘用新员工采用新的或改良的信息系统迅猛地发展速度新技术的采用或新产品的开发企业改组风险评估是为了达到企业目标而确认、分析和管理相关的风险经营环境的变化聘用新员工采用新的或改良的信息系统迅猛地发展速度新技术的采用或新产品的开发企业改组COSO内控框架-风险评估监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1风险评估8竞争者敏感性股东关系资金充足性金融市场灾难性损失独立/政治法律行政管理行业环境风险信息技术风险使用权完整性相关性可得到性基础设施财务风险货币利率流动性结算再投资信用双边关系现金转移或流速改变诚信风险管理欺诈雇员欺诈非法行为无授权使用商誉授权风险领导力权力限制表现激励沟通营运风险客户满意人力资源产品开发效率能力表现差异循环时间资源商品定价过失或损失符合性业务中断健康和安全环境产品或服务失败商标或产品名侵蚀营运价格合同投入衡量结盟完整性和精确性管理报告决策信息风险财务预算和计划完整性和精确性会计信息财务报告评价税收养老基金投资评估管理报告战略环境检视业务组合价值衡量组织结构资源分配计划生命周期流程风险风险评估-企业业务风险模型9风险管理循环有什么潜在的问题会发生?确定风险我们怎样防止问题的发生并不断改善?监控并吸取经验这些问题发生的可能性和影响如何?评估风险我们需要采取什么行动和内控政策?控制风险我们需要首先解决什么问题?划分风险等级经营目标经营目标这个循环描述为““计划计划ÆÆ实施实施ÆÆ检查检查ÆÆ改进改进””10确保管理部门指令得以贯彻执行的各项政策和程序。制定计划、编制预算业绩评价信息处理控制实物控制职务分离授权与批准确保管理部门指令得以贯彻执行的各项政策和程序。制定计划、编制预算业绩评价信息处理控制实物控制职务分离授权与批准COSO内控框架-控制活动监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1控制活动11控制闭环一个业务循环中实现若干目标•部门1•部门5•部门4•部门3•部门2•目标A•目标C•目标D•目标B•根据控制标准判断是否接受和批准•控制标准•操作标准•部门•根据操作标准进行处理操作12控制闭环举例-采购业务循环采购业务循环中包含若干目标通过流程和标准得到保证申请部门法律部门采购部门预算部门技术部门合同盖章部门及时经济合法选型质量根据控制标准判断是否接受和批准控制标准操作标准部门根据操作标准进行处理操作13为了实现控制目标,保证内部控制各个要素的可靠性,有关信息必须及时沟通。信息沟通贯穿于整个机构。例如:各种沟通交流会制度建设中部门之间的沟通经营分析汇报为了实现控制目标,保证内部控制各个要素的可靠性,有关信息必须及时沟通。信息沟通贯穿于整个机构。例如:各种沟通交流会制度建设中部门之间的沟通经营分析汇报COSO内控框架-信息和沟通监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1信息和沟通141.1.信息信息信息的确认、收集、处理和报告应由公司确定的部门负责。相关信息包括从外部获取的行业、经济和监管信息以及内部产生的信息。信息与沟通2.2.沟通沟通在信息的处理中,沟通是必要的环节。在更广义的层次上,沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于公司内部的上行、下达和同级传递中。公司应同样重视与外部的沟通。15监督和评估内部控制系统设计的合理性和运行的有效性。例如:财务监控和经营分析内部/外部审计客户满意度调查(相关部门检查)内部日常工作检查(自检)员工业绩检查监督和评估内部控制系统设计的合理性和运行的有效性。例如:财务监控和经营分析内部/外部审计客户满意度调查(相关部门检查)内部日常工作检查(自检)员工业绩检查COSO内部控制框架-监控监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控16COSO内部控制框架-监控1.持续监控:定期进行账实核对;定期进行账实核对;管理部门的监控等管理部门的监控等2.个别评价:专项内部控制审计专项内部控制审计等等3.汇报内部控制缺陷:汇报与改善汇报与改善17COSO内控框架-对内控有效性的评估标准综合五个要素可以有综合五个要素可以有效地建立内部控制并且有效地建立内部控制并且有效率地执行效率地执行要注意内部控制的局限要注意内部控制的局限性:成本效益原则、合谋性:成本效益原则、合谋舞弊、管理层逾越控制舞弊、管理层逾越控制监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动118股股东东客客户户环环境境证证券券易易交交委委员员会会一一般般公公准准认认会会计计则则法法规规制制度度董事会审计委员会职业道德准则遵循委员会外部审计公司审计事业总部/集团内部控制经营管理自查财务职能和管理行为准则财务惯例、工作程序和法规遵循计划内部控制标准监督估评与政策和程序实施与检查良好的商良好的商业行为业行为内部控制盘19内部控制定义和COSO内控框架内控审计的意义和萨班斯法案内控审计程序简介20内部审计的定义此定义是内部审计师协会于一九九九年六月正式通过一个新的内部审计定义。根据国际内审师协会的定义,内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现其目标。★21变革中的内部审计功能传统国营审计模式内部审计是政府审计机关权力的伸延,存在于各政府机关、国有企业及非牟利机构内目的是协助政府进行监管,确保资产及资源运用恰当向国家及组织领导人提交遵循审计的工作结果及分析,协助政府惩罚违规的机关负责人传统西方内审模式内部审计是评价企业财务机制的活动目的是协助企业的管理层维持有效的财务机制向管理层提供财务机制审计的分析、评价及建议等资料,协助企业确保财务机制健全现代企业内部审计模式内部审计提供独立和客观的审计及顾问服务目的是协助企业增值及改善营运的效率及效益向审核委员会提供营运审计的分析、评价及建议等资料,协助企业有效地管理风险及维持企业管治机制22内部审计部目标:为企业整体战略服务;协助企业达到企业价值最大化。内部审计部目标:为企业整体战略服务;协助企业达到企业价值最大化。发展方向:企业管理者和业务骨干的培训中心。发展方向:企业管理者和业务骨干的培训中心。结合COSO内部控制模型,对公司整体、各部门、各流程的内部控制情况进行审计,提高内控控制水平。结合COSO内部控制模型,对公司整体、各部门、各流程的内部控制情况进行审计,提高内控控制水平。为管理层和各部门提供管理上的咨询服务,帮助其解决管理上的问题。组织内控宣讲和培训,增强内控意识,提高管理水平。为管理层和各部门提供管理上的咨询服务,帮助其解决管理上的问题。组织内控宣讲和培训,增强内控意识,提高管理水平。审计:内部控制审计咨询及培训:管理咨询及培训网通国际内部审计部定位23内部控制审计内部控制审计提高企业管理水平、改善内部控制,帮助企业达到企业价值最大化提高企业管理水平、改善内部控制,帮助企业达到企业价值最大化帮助公司满足“萨班斯法案”的要求帮助公司满足“萨班斯法案”的要求对外对内什么是“萨班斯法案”?“萨班斯法案”是怎么产生的?跟内控相关的“萨班斯法案”条款有哪些?内部控制审计的意义24美国修订《1933年证券法》、《1934年证券交易法》2001年秋天以来,美国爆发一系列财务虚假案,导致安然、世通等大公司破产,也史无前例地导致安达信这样一个有90多年历史的世界级会计师事务所基本退出审计舞台。美国国会于2002年出台了《萨班斯—奥克斯利法案》(英文Sarbanes-OxleyAct)证监会要求在美国上市的公众公司的年度报告中要包括内部控制报告萨班斯-奥克斯利法案25管理者声明对公司的内部控制负责管理者对公司内部控制的评估结果声明评估公司内部控制所采用的框架外部审计师针对管理者的上述评估出具的见证报告美国证监会要求在美国上市的公众公司的年度报告中附有内部控制报告,其中应包括以下内容:萨班斯-奥克斯利法案26内控与内控审计之间的关系内控要点责任部门控制的制定职能管理部门经营管理部门/业务单元控制的实现经营管理部门/业务单元控制的遵循性管理内部审计部门经营管理部门/业务单元控制评价内部审计部门职能管理部门经营管理部门/业务单元27物资采购和供应管理内控审计项目的物资采购和供应管理内控审计项目的目的目的开展物资采购和供应循环的内控审计建立内控审计方法首要目的通过审计,建立和完成一套内控标准,直到完成形成内控标准的机制通过审计,建立和完成一套内控标准,直到完成形成内控标准的机制下一阶段目标物资采购和供应管理内控审计目的28控制标准:----是执行和检查内部控制的依据。通过对照这种标准对各个环节的工作进行遵循性检查,发现违反的现象。并且做出评估,和整改的要求。注意:控制标准受企业战略的影响,不同企业、不同时期的控制标准并非统一、固定。控制标准随时变化的控制标准:销售管理,规划管理,产品管理相对稳定的控制标准:财务帐务控制标准,工程造价控制标准等控制标准29使企业的内部控制具有自愈性:将内控的思路和工具通过审计活动传播到机构的各个层面,使人们广泛认识内控的含义和设计方法,在管理实践中运用。在环境和战略发生变化,产生了新的风险时,能够自觉主动地及时采取相应的控制措施,保证控制体系的可靠性。通过内控审计,传递集团公司对内部控制设计的要求,使管理者重视内控,重视审计人员在管理控制中的作用和地位,要求内审人员参加企业决策和制度建立的过程,从而为企业发挥更大的作用。内控审计工作展望将内控植入到企业管理中将内控植入到企业管理中30内部控制定义和COSO内控框架内控审计的意义和萨班斯法案内控审计程序简介31