1、内部控制,一、走进内部控制基本概念阐述二、COSO内部控制模型三、内部控制的设计和实施,主要内容,对于合规的承诺,管理层对合规的承诺 每人每事、时时刻刻完全遵循法规包括对所有适用法规的遵循,包括反腐败法规所有人员都对合规负责通过内部控制/风险管理系统来合理确保合规,最大程度降低法律风险,第一部分 走进内部控制 -基本概念阐述,什么是风险?,风险是某一事件或行为对企业经济利益可能的威胁商业风险和管理风险,管理风险,管理风险通常包括:,财务和经营信息不足政策、计划、程序、法律和标准贯彻不利资产流失资源浪费和无效使用不能达到企业的目的和目标,风险的类型,合规风险来自违反相关法律法规的风险战略风险来自
2、作了错误的决定的风险营运风险来自作了正确的决定但走错了路的风险财务风险来自违反公司程序,无力保障公司资产或不能偿还到期债务,不合理使用公司资源或舞弊的风险信息风险来自错误、无关信息、不可靠的系统、和错误或误导的报告的风险,风险管理,企业如何变挑战为机遇,降低风险?,什么是风险管理,风险管理是企业建立的一种系统程序,用以辨认和评估企业面临的风险,采取一定的控制行为来降低风险,并通过监控和评估确保控制行为的贯彻以协助企业达到其目标。,风险管理包括 目标的建立 风险的辨识 风险的评估 控制行为的制定 执行与变化的监控,5.监控及评估,1.建立目标,2.识别风险,3.评估风险,4.准备、执行计划,风险
3、管理循环,风险管理循环,风险如何最小化?,10,000% 合规员工的责任心,内部控制如何降低风险?,影响的金额,发生的可能性,风险的大小,内部控制的重要性,COSO报告内部控制整体架构AICPA审计准则公告第78号会计法(第四章第27条)证监会证券公司内部控制指引证监会商业银行内部控制指引征求意见稿 .,什么是内部控制?,内部控制的发展历程,内部控制 -被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证:相关法令的遵循财务报表的可靠性营运的效果和效率,内部控制的定义,COSO,www.coso.org,内部控制 概念回顾,风险风险管理内部
4、控制的重要性内部控制的定义,第二部分 COSO 内部控制模型,COSO内控系统的整体架构,保证信息能及时有效地沟通的流程,信息及沟通,控制活动,风险评估,控制环境,持续监控,判定内控制度设计的充分性,执行的有效性的流程,对内部、外部影响企业绩效的因素的评估,企业内部控制的道德意识,是“来自高层的声音”,确保风险管理活动被及时执行的政策和流程,营运,财务报告,合规,COSO内控系统的整体架构,控制环境,是来自高层的声音,影响企业的人的控制意识是推动企业的引擎,也是其他要素的基础,控制环境的组成要素:员工的正直品质,道德价值观和能力管理哲学和经营风格职责分配和授权董事会的关注及指导意见,风险评估,
5、企业必须对所面临的来自内部和外部的各种风险进行评估,并加以控制。风险评估就是辨识和评估实现企业目标的风险,作为制定风险管理措施的基础。,环境变化后的管理,评估和更新,如何有效地进行风险管理风险管理循环,5.监控及评估,1.建立目标,2.识别风险,3.评估风险,4.准备、执行计划,风险管理循环,确保信息的可靠性和全面性,目标,高效地配置资源,确保符合政策及程序以实现营运目标,保护资产的安全完整,符合相关的法律、法规和政策,建立有效的风险管理程序 步骤一:建立目标,如何有效地进行风险管理风险管理循环,风险因素道德价值观及管理人员对完成目标的压力员工的能力,人数多少及正直程度资产规模、流动性或业务量
6、金融和经济趋势竞争环境业务活动的复杂性和易变性顾客、供应商和政府法律或法规的影响信息系统的电脑化程度,经营地区的分散程度内部控制系统的充分性和有效性组织上、经营上、技术上或经济环境上的变动管理人员的判断和会计人员的估计对审计发现的接受程度及所采取的纠正措施上一次审计的日期及结果,如何有效地进行风险管理风险管理循环,建立有效的风险管理程序 步骤二:识别风险,各行业的前10种最主要的风险因素,如何有效地进行风险管理风险管理循环,建立有效的风险管理程序 步骤三:评估风险,如何有效地进行风险管理,这一方法的优点,预防不利事件的发生 主动和前视的风险管理方法 有效/高效地分配有限资源 战略性 (由商业目
7、标驱动) 加強责任分工 全面性 (综合所有的内部和外部因素),缺乏风险管理意识缺乏健全的风险管理组织体系缺乏有效的风险预警系统对风险的事中管理不力员工对风险管理的承诺,企业风险管理中常见的问题,控制活动,企业必须基于风险评估的结果订立控制风险的政策及流程,并予以执行。这些政策及流程帮助确保企业采取必要的行动控制达到企业目标所面临的风险控制活动在企业中各处存在,包括所有的职能和层面。,内部会计控制规范基本规范第八条:会计控制的内容主要包括:货币资金、实物资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保等经济业务的会计控制。,业务循环,组织中的很多活动会跨越职能的界限,因而业
8、务循环所涉及的往往不止一项职能组织可以看作是由六种业务循环高度结合的系统,控制目标、控制活动及业务流程的关系,控制活动的类型,1预防性控制2检查性控制3纠正性控制4补偿性控制,事前事中事后,资讯与沟通,相关的信息必须以一定的形式被及时识别、获取并加以沟通,以便员工行使他们的职责信息系统产生报告,包括经营、财务、合规相关的信息,使企业得以进行和控制其业务内部信息、外部信息贯穿整个企业,自上而下,自下而上所有员工必须从高级管理层得到清晰的信息:控制责任必须被认真执行,监督,整个内部控制系统必须得到监督不断评估内部控制系统运行质量的过程确保内部控制系统随情况的改变而作出动态的反应,监督是谁的职责?管
9、理层对内控执行情况进行持续监督;总经理对内部控制负责内部审计部门进行定期、不定期的个别评估借助独立的第三方进行定期、不定期的评估,内控系统的整体架构,第三部分 内部控制的设计和实施,内部控制的主体:管理层(承担的职责是计划、组织、领导其组织的活动, 如对组织的内部控制负责)建立正确的预期和适当的控制环境内部审计对建立的内部控制进行监督,以协助管理层有效地履行他们的职责。,管理层在内部控制中的地位和作用,内部控制整体架构,内部控制机制,内部控制机制是指公司的内部组织结构及其相互之间制约的一种关系。完善内部控制机制的原则:健全性独立性相互制约成本效益,经营目标的完成资源使用的经济性和成本效益性资产
10、的安全性信息的可靠性和完整性政策、计划、程序、法规的遵循性,内部控制制度包括一系列的规则、政策以及程序,以对下列事项提供合理的保证:,内部控制制度,内部控制制度应具有全面性、审慎性、有效性和适时性,内部控制的设计步骤,评估整体内部控制现状根据评估结果完善内部控制机制设计内部控制制度辨识各业务循环中的主要业务活动建立各业务活动的具体控制目标辨识业务活动流程中现行内部控制活动辨识业务活动中的内部控制缺陷结合现行控制活动和建议改进业务流程,评估企业整体内部控制现状,控制环境风险评估控制活动信息与沟通监督,COSO,评估企业整体内部控制现状控制环境,根据评估结果完善内部控制机制,组织架构重组部门职能分
11、工岗位职责定义,企业整体内部控制现状评估,满意,不满意,评估各业务循环的内部控制现状设计内部控制制度,设计内部控制制度业务循环,组织中的很多活动会跨越职能的界限,因而业务循环所涉及的往往不止一项职能组织可以看作是由六种业务循环高度结合的系统,信用额订立投标控制合同处理装运货品,业务循环由各种业务活动组成例:销售业务循环,设计内部控制制度业务活动,记录销售开票收取货款,经营目标的完成资源使用的经济性和有效性资产的安全性信息的可靠性和完整性政策、计划、程序、法规的遵循性,针对每项主要的具体业务,对内部控制总体目标进行具体化:,设计内部控制制度控制目标,设计内部控制制度关键控制活动,关键控制活动指经
12、营活动过程中那些容易发生错误及舞弊而需要加以控制的关键环节,是与内部控制目标相对应的一项或数项主要的内部控制措施。正确并持续实行这些内部控制措施是保证内部控制目标实现的前提。,设计内部控制制度改进业务流程,体现关键控制活动,Sample,控制目标、控制活动及业务流程的关系,部分内部控制相关规范,中华人民共和国会计法 人大常委 2000年7月1日内部会计控制规范基本规范 财政部 2001年6月22日内部会计控制规范货币资金 财政部 2001年6月22日证券公司内部控制指引 证监会 2001年1月31日加强期货经纪公司内部控制的指导原则 证监会 2000年4月6日证券公司管理办法 证监会 2002
13、年3月1日内部会计控制规范采购与付款 财政部 2002年内部会计控制规范销售与收款 财政部 2002年,重要内部控制技术,预算控制不相容职务相互分离授权批准控制财产保全控制内部报告控制信息系统控制,内部会计控制规范基本规范第四章第18条:内部会计控制的主要方法包括:,重要内部控制技术预算控制,内部会计控制规范基本规范第二十二条:预算控制要求单位加强预算编制、执行、分析、考核等环节的管理,明确预算项目、建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。预算内资金实行责任人限额审批,限额以上资金实行集体审批。严格控制无预算的资金支出。,重要内
14、部控制技术不相容职务相互分离控制,属预防性控制,由不同人员或职能部门在履行各自职责的过程中实施高级管理层应解释清楚什么是有效的职责分离让员工理解其各自的控制责任示例,重要内部控制技术授权批准控制,在开展任何活动之前都应进行授权授权以后,为了避免滥用权力,还要经常对各组织活动的程序进行审查授权按性质的不同可以分为综合授权和特别授权要对特别授权做好记录,并提供证明文件避免两个极端:“层层审批”和“一支笔”,重要内部控制技术财产保全控制,资产不仅仅指公司的固定资产和存货,也包括现金、银行存款、各种空白单据和企业的信息保护资产安全的最好办法是限制对资产的接触,保证只有获取相应权限的人员才有接触资产的资
15、格保护资产安全的其他措施包括资产盘点、财产记录、账实核对、财产保险等,重要内部控制技术内部报告控制,完善内部管理报告内部报告的编制要求及上报时间内部报告的上报对象内部报告的分发控制内部报告的跟进控制,实施内控时常出现的误区,高级管理层认为实施内控是一线管理人员的职责过分强调控制成本片面强调人员素质认为内控包治百病内部控制建立后没有跟进措施,其它影响内控实施效果的因素,内部因素管理层违规对资产的接触形式主义利益的冲突外部因素法律法规的意外变化竞争对手的行动经济环境变化等,内部控制手册设计项目介绍,内部控制手册项目范围,财务报告支出收入存货管理人事和薪资固定资产现金和银行,内部控制手册主要步骤,项目计划现场工作和内部控制手册初稿与管理层讨论内部控制手册初稿 审核内部控制手册初稿内部控制手册定稿对内部控制手册的培训及推行,内部控制手册项目成果,业务流程图 用一系列的符号和图形描述业务和相关单据在企业内的流转控制矩阵 将控制活动和其控制目标相联系,同时对主要文档和控制活动负责人进行描述,业务流程图,Sample,控制矩阵,Sample,问题与讨论,
