内控体系和检查方法介绍

内控体系及检查方法介绍汇报人：杜建华审计办公室2016年3月31日企业风险管理与内部控制企业风险管理与内部控制COSO风险管理框架有三个维度：第一维是企业的目标：企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控。第三个维度是企业的层级：包括整个企业、各职能部门、各条业务线及下属各子公司。三个维度的关系是，企业风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。香港联交所《企业管治常规守则》(2006)上海证交所《上市公司内部控制指引》（2006)深交所《上市公司内部控制指引》（2007）国资委《中央企业全面风险管理指引》(2006)五部委发布《企业内部控制基本规范》(2008)企业内部控制规范——基本规范和17项具体规范财务、管理信息真实可靠；保障资产安全完整；规范经营行为，提高营运效率、效果；建立风险管理体系；内控制度的健全、合理、有效。金吉列现阶段整体的管理要求法律法规要求企业自身需要5企业的一切管理工作，从建立和健全内部控制开始；企业的一切决策，应统驭在完善的内部控制之下；企业的一切活动，都不能游离于内部控制之外。6内部控制定义由企业董事会、经理层和其他员工实施的，为营运效率、效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。内部控制是？•工具、方法？•制度？•目标？•审计？内控是….工具、方法?有效地和有效率地去避免业务运作时发生严重的问题。用于减缓有可能防障组织目标达成的风险。Forexample：流程的控制点，评审程序，内控自我评估，考核……内控是….制度?Forexample:不同类形的组织结构、审计体系、管理规定、流程、指导书等……组织结构制度程序合理地确保管理层的目的和责任得以达到。等。。。组织结构程序合理地确保管理层的目的和责任得以达到。组织结构程序合理地确保管理层的目的和责任得以达到。内控是….目标?Forexample:•应收账龄分析,其目的并不只是要知道客户欠账多久,而是保障货款能尽快回收.由企业董事会、管理层和各阶层人员一起推动和执行内控是….审计?Forexample:审计项目，资询服务……为管理层提供监控提供业务部门适当的内控建议12内控缺少的后果1、责任人犯错误；2、公司资产受损失；3、责任人坐牢；4、公司倒闭；5、员工失业。道德使之不愿、法律使之不敢、制度使之不能二、对公司风险管控1.解决流程梳理、重组、优化的实施；2.解决风险管理的具体操作，使风险可视化；3.提供穿行测试的工具、方法；4.使用系统工具来查找、解决制度的健全性以及有制度不执行的情况。要系统化解决公司的问题一、对中高层管理者1.通过该系统工具掌握核心业务关键控制点的识别；2.筛选对关键控制点的管控方法、措施；3.培养中高层管理者设计制度、流程的能力。1.以梳理流程为起点，风险导向为基础，识别流程目标实现的风险；对风险进行评估、排序，确定控制点；运用内控方法、措施设计内控，对控制点进行控制；2.检查现有业务流程，查找制度设计的控制点和实际操作的控制点；对实际操作控制点的有效性进行检查；3.对照内控设计的控制点、流程制度的控制点、实际操作的控制点，对制度的健全性以及有制度不执行的情况进行判断，并找出问题的原因，从源头上提出改进的措施。总体目标现有流程制度控制点内控设计控制点实际操作控制点第二个对比：解决有制度不执行和超越制度的控制情况第一个对比：检查现有内控制度的健全性对现有控制点进行测试，评价实际操作控制点的有效性关键业务穿行1、以目标为起点，识别控制目标实现过程中所面临的风险；2、运用风险评估的办法，对识别的风险进行风险管理；3、识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；4、识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；5、对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。6、形成内控评价报告（评价工作底稿、改进措施、改进责任人、改进时间）。测试方法---风险评价法风险的识别有很多方法、技巧，一般说来，以下这些是最常用的：头脑风暴（集思广益）行业参照问卷调查情境分析（最好和最差情境）业务流程分析（风险推导法）研讨会事件树分析调查与审计筛选－监测－诊断方法德尔菲法（专家意见法）风险识别方法风险衡量任何风险最后都需要用数字或精确的文字描述来表述，否则是无法被大多数人正确认识的。对于风险的衡量，一般是通过分析两个维度：􀂾发生的可能性􀂾与一旦发生所造成后果的严重程度风险衡量通常可以通过风险图形来表示风险衡量---定性分析风险坐标图影响程度风险衡量---定量分析风险坐标图影响程度影响程度风险对策C低风险区域D中等风险区域影响程度发生可能性0A高风险区域B中等风险区域规避---A区域中的风险，或采取其他战略措施，且优先安排，严格防范损失；严格控制---B区域中的风险，且专门补充制定各项控制措施；承担---C区域中的风险且不再增加控制措施；监控或分担---D区域中的风险，制定应急预案。舞弊的三角理论舞弊的三角理论企业舞弊产生的原因是由压力、机会和借口三要素组成的，这三者也是美国最新的反舞弊准则（SASNo.99）提醒注册会计师应该关注的舞弊产生的主要条件。1.压力要素是企业舞弊者的行为动机。刺激个人为其自身利益而进行企业舞弊的压力大体上可分为四类：经济压力，习惯的压力，与工作相关的压力和其他压力。2.机会要素是指可进行企业舞弊而又能掩盖起来不被发现或能逃避惩罚的时机，主要有六种情况：缺乏发现企业舞弊行为的内部控制，无法判断工作的质量，缺乏惩罚措施，信息不对称，能力不足和审计制度不健全。3.在面临压力、获得机会后，真正形成企业舞弊还有最后一个要素——借口(自我合理化)，即企业舞弊者必须找到某个理由，使企业舞弊行为与其本人的道德观念、行为准则相吻合，无论这一解释本身是否真正合理。企业舞弊者常用的理由有：这是公司欠我的，我只是暂时借用这笔资金、肯定会归还的，我的目的是善意的，用途是正当的，等等。压力、机会和借口三要素，缺少任何一项要素都不可能真正形成企业舞弊行为。防患舞弊行为舞弊要发生，三要素缺一不可。只要有效控制其中的任意一环，就有可能防范舞弊于未然！！！内部控制的五原则（一）全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。测试方法（1）一般方法（2）抽样检查一般检查方法及应用：抽样法穿行测试法个别访谈法比较分析法实地查验法专项讨论会法重新执行法基本方法业务流程内控环境、异常情况价格、预算、报表分析盘点、验证遇到专业疑难问题怀疑结果有重大错误不限于此综合运用综合应用各种方法：•检查前：比较分析、个别访谈，预抽样•实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析•疑难问题：专家讨论会•佐证不足怀疑结果：重新执行、扩大抽样抽样检查：序号业务发生频率至少抽样数量1每年一次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次4笔4每月一次以上至每周一次8笔5每周一次以上至每天一次15笔6每天多次25笔识别关键业务业务评价了解关键业务分析关键业务目标运用风险评估的方法见下页识别实际业务关键控制点评价相关控制点控制的有效性评价控制的运行的有效性业务穿行结果续上页了解实际业务的内部控制识别和评估业务内部控制目标实现的风险检查充分应对目标风险的相关控制评价控制的设计健全性、有效性业务穿行报告运行结果对照现有制度、文件设计测试结果设计结果1.第一步，以梳理流程为起点，风险导向为基础，识别流程目标实现的风险；对风险进行评估、排序，确定控制点；运用内控方法、措施设计内控，对控制点进行控制；（表一）2.第二步，检查现有业务流程，查找制度设计的控制点和实际操作的控制点；对实际操作控制点的有效性进行检查；（表二）3.第三步，对照内控设计的控制点、流程制度的控制点、实际操作的控制点，对制度的健全性以及有制度不执行的情况进行判断，并找出问题的原因，从源头上提出改进的措施。（表三）关键业务穿行关键业务穿行系统建立执行内控评价落地方法薪酬绩效市场费用退费检查招投标开发工具建立内控组织确定思路方法制作表单问题归纳汇总内控环境关键业务解决存在问题。。。工具表单内控测试-表单.xls关键业务、控制点（采购与付款）.xls穿行工作步骤.xls采购穿行表单.xlsx谢谢！