搜索
信永中和会计师事务所有限公司富华大厦B座10层北京市东城区朝阳门北大街8号100027电话:010-65542288传真:010-65547190企业内部控制建设探讨1引言听到内部控制,您想到了……安然、世通、萨班斯法案……是财务管理的范畴是制度、流程、规范21.内部控制基本理论2.内控建设与评价实务3.内控建设管理咨询案例4.总结目录31.内部控制基本理论提要:经典案例内部控制的概念西方内控理论介绍中国内控监管规则财政部内部控制基本规范41)经典案例分析案例一:美国安然(Enron)事件回顾:2002年,安然是美国最大的石油和天然气企业之一。2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元。2001年末,安然申请破产保护令,但在之前10个月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利。2006年,安然公司主席及首席执行官被美国法院认定有罪,安然公司前创始人受6项欺诈及做假指控,最高判刑为45年监禁,而4项银行欺诈指控还将给他带来最高120年监禁的判决;针对前首席执行官的19项指控的可判刑期加起来也将高达85年。首席财务官也被判刑10年。51)经典案例分析案例一:美国安然(Enron)调查发现:安然的董事会及审计委员会均采取不干预(“hands-off”)监控政策。事件发生之后,部分董事表示不太了解安然的财务状况、期货及期权的业务。安然重视短期的业绩指标。安然高级管理层常常践踏公司制定的内控制度。61)经典案例分析案例二:东北高速(SZ600003)事件回顾:2005年1月15日,东北高速发布公告称,该公司在中国银行哈尔滨分行河松街支行设有两个存款账户,至2004年11月30日,公司收到银行询证函回执,确认在河松街支行两个账户中有存款余额2.93亿元。1月4日,该公司领导和财务人员到河松街支行对账,发现账面仅剩7.31万元,其余存款去向不明。同时,其子公司黑龙江东高投资开发有限公司存于河松街支行的530万元资金也去向不明。涉案人员李东哲(该案的幕后指使者)和河松街支行行长高山于2004年12月潜逃加拿大(涉案人民币10亿元)。东北高速原董事长张晓光犯有贪污、受贿、挪用公款、为亲友非法牟利、巨额财产来源不明等五项罪名,被判处死缓。其妻在其北京的寓所跳楼自杀。71)经典案例分析案例二:东北高速(SZ600003)调查发现:中行哈尔滨分行河松街支行:向企业出具虚假的存款凭证和对账单,维持资金仍在企业的中行账户上的假象;或者在客户不知情的情况下,在开立账户之初,其预留印鉴即被调包。银行内控制衡机制被行长一人凌驾,且长期不能发现。中行爆发票据案件小结:哈尔滨河松街支行、河南省沈丘县支行、黑龙江省双鸭山分行四马路支行。东北高速:资金管理严重失控,银行账户管理、资金流动和分析报告等控制措施失效。股权投资管理也存在失控环节。81.熟悉企业本身的业务与相关风险•切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险2.建立内控和相互制衡的机制•切记:权力过分集中就会出现腐败的情况3.紧盯着现金•所有犯案、挪用公款和偷窃行为均与现金有关•常言:“会计数字只是参考意见,现金才真正令你感到踏实。”1)经典案例分析我们可以从上述案例中吸取什么教训?94.合理制定绩效评估与激励机制•“如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”5.建立规范和健全的财务报告系统•财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层管理业务和赢取股东的信心。6.深化企业风险管理文化•要建立健康的企业文化及价值观•加强培训和沟通1)经典案例分析102)内部控制的概念内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。——COSO(1992)COSO——TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission113)西方内控理论介绍-实物牵制-薄记牵制COSO内部控制整体框架萨班斯法案内控评价内部审计进展30年代前30-70年代80-90年代1992年2002年2004年内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-持续监控-建立内控-数据准确一致-内控可靠性法律责任广义内控审计准则公告COSO内控证券交易法双人记账2002年公众公司会计改革和投资者保护法COSO风险管理框架COSO风险框架-实物牵制-薄记牵制COSO内部控制整体框架萨班斯法案内控评价内部审计进展30年代前30-70年代80-90年代1992年2002年2004年内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-持续监控-建立内控-数据准确一致-内控可靠性法律责任广义内控审计准则公告COSO内控证券交易法双人记账2002年公众公司会计改革和投资者保护法COSO风险管理框架-实物牵制-薄记牵制COSO内部控制整体框架萨班斯法案内控评价内部审计进展30年代前30-70年代80-90年代1992年2002年2004年内部牵制内部控制结构完善-控制环境-会计系统-控制程序-控制环境-风险评估-控制活动-信息沟通-持续监控-建立内控-数据准确一致-内控可靠性法律责任广义内控审计准则公告COSO内控证券交易法双人记账2002年公众公司会计改革和投资者保护法COSO风险管理框架COSO风险框架安然123)西方内控理论介绍COSO内控整体架构控制环境风险评估控制活动信息和沟通监控经营务财规合单位1单位2单位3单位4控制要素三项控制目标五项COSO风险管理架构银行四项管理目标管理要素八项目标设定事项识别内部环境风险评估风险反应控制活动信息沟通监督13内部控制框架控制环境风险评估控制活动信息与沟通监控职业道德员工胜任能力管理理念经营风格董事会/审计委员会组织结构权利和责任的分配人力资源政策目标设定事项识别风险评估风险反应制度与程序整体控制作业层级控制关键环节控制信息系统有效沟通持续监控独立评估信息披露信息系统控制缺陷报告八要素,将五要素中的风险评估拆分为四项:目标设定事项识别风险评估风险反应内部控制框架控制环境风险评估控制活动信息与沟通监控职业道德员工胜任能力管理理念经营风格董事会/审计委员会组织结构权利和责任的分配人力资源政策目标设定事项识别风险评估风险反应制度与程序整体控制作业层级控制关键环节控制信息系统有效沟通持续监控独立评估信息披露信息系统控制缺陷报告内部控制框架控制环境风险评估控制活动信息与沟通监控职业道德员工胜任能力管理理念经营风格董事会/审计委员会组织结构权利和责任的分配人力资源政策目标设定事项识别风险评估风险反应制度与程序整体控制作业层级控制关键环节控制信息系统有效沟通持续监控独立评估信息披露信息系统控制缺陷报告八要素,将五要素中的风险评估拆分为四项:目标设定事项识别风险评估风险反应3)西方内控理论介绍-COSO内控整体架构143)西方内控理论介绍-COSO内控整体架构控制环境风险评估控制活动控制环境:控制环境不仅包括非正式的经常是无形的软控制,例如道德价值观,诚信原则,管理哲学,胜任的能力等,同时还包括组织结构和职责划分等更为正式的控制。常见问题:1.治理结构不完善,不能对管理层进行独立有效的监督与控制,审计委员会失效。2.管理层风险控制意识薄弱,缺乏由高层管理推动的全公司范围的内部控制管理流程。3.公司组织架构与公司规模、业务不匹配。4.缺乏严格、统一的授权体系。5.财务及信息系统管理分散。6.缺乏反舞弊和举报机制。7.缺乏岗位说明书以及合理的员工绩效考核办法。控制环境:控制环境:控制环境不仅包括非正式的经常是无形的软控制,例如道德价值观,诚信原则,管理哲学,胜任的能力等,同时还包括组织结构和职责划分等更为正式的控制。常见问题:常见问题:1.治理结构不完善,不能对管理层进行独立有效的监督与控制,审计委员会失效。2.管理层风险控制意识薄弱,缺乏由高层管理推动的全公司范围的内部控制管理流程。3.公司组织架构与公司规模、业务不匹配。4.缺乏严格、统一的授权体系。5.财务及信息系统管理分散。6.缺乏反舞弊和举报机制。7.缺乏岗位说明书以及合理的员工绩效考核办法。信息与沟通监督153)西方内控理论介绍-COSO内控整体架构风险评估控制环境控制活动风险评估:风险评估是决定如何进行风险管理的基础。风险评估是识别及分析那些可能影响企业达到其企业目标的事件或条件。三类目标:业务目标财务目标遵循法律法规目标常见问题:1.缺乏企业整体目标,包括战略目标的确定与更新。2.下属机构与总部目标不一致,导致对风险识别的不一致3.缺乏风险识别与预警机制以及缺乏对新市场、新产品/服务的风险评估4.缺乏机制来进行定期系统的风险评估。风险评估:风险评估:风险评估是决定如何进行风险管理的基础。风险评估是识别及分析那些可能影响企业达到其企业目标的事件或条件。三类目标:业务目标财务目标遵循法律法规目标常见问题:常见问题:1.缺乏企业整体目标,包括战略目标的确定与更新。2.下属机构与总部目标不一致,导致对风险识别的不一致3.缺乏风险识别与预警机制以及缺乏对新市场、新产品/服务的风险评估4.缺乏机制来进行定期系统的风险评估。信息与沟通监督163)西方内控理论介绍-COSO内控整体架构控制活动风险评估控制环境控制活动:确保管理层的指令得以实现的机制,包括那些被识别能够缓和风险的活动。控制活动与风险评估必须形成一个整体。三种形式:预防性控制及检查性控制人工控制及IT控制管理控制及监督控制常见问题:1.缺乏有效运行和记录完整的公司层面控制。2.错误报告和信息披露编制流程无效。3.缺乏对控制的文档记录。4.缺乏全面预算管理。5.缺乏有效项目管理。6.缺乏有效的IT控制。控制活动:控制活动:确保管理层的指令得以实现的机制,包括那些被识别能够缓和风险的活动。控制活动与风险评估必须形成一个整体。三种形式:预防性控制及检查性控制人工控制及IT控制管理控制及监督控制常见问题:常见问题:1.缺乏有效运行和记录完整的公司层面控制。2.错误报告和信息披露编制流程无效。3.缺乏对控制的文档记录。4.缺乏全面预算管理。5.缺乏有效项目管理。6.缺乏有效的IT控制。信息与沟通监督173)西方内控理论介绍-COSO内控整体架构信息与沟通风险评估控制活动信息与沟通:信息是指员工能够获得其工作中所需要的信息,沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。信息控制的三个要点:适量的正确的信息在适当的时候给正确的人员常见问题:1.信息系统无法满足财务、业务需要,向管理层及时提供正确相关的信息2.信息系统的设计与公司战略不一致。3.公司上传下达不力。4.部门或地区之间沟通不力。5.缺乏对财务报告中使用的终端用户应用程序(如电子表格)和数据的控制。信息与沟通:信息与沟通:信息是指员工能够获得其工作中所需要的信息,沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。信息控制的三个要点:适量的正确的信息在适当的时候给正确的人员常见问题:常见问题:1.信息系统无法满足财务、业务需要,向管理层及时提供正确相关的信息2.信息系统的设计与公司战略不一致。3.公司上传下达不力。4.部门或地区之间沟通不力。5.缺乏对财务报告中使用的终端用户应用程序(如电子表格)和数据的控制。控制环境监督183)西方内控理论介绍-COSO内控整体架构监督风险评估控制活动监督:监督是一个在一定时间范围内评估公司内部控制的质量的流程,可以分为以下三种:1.持续的监督活动2.单独评估活动3.缺陷