1、Strictly confidential内控基础知识培训内控基础知识培训20122012年年1111月月1内部控制是什么内部控制是什么2 2内部控制能做什么内部控制能做什么 6 6内部控制内部控制不不能做什么能做什么7 7内部控制怎么工作内部控制怎么工作1010目录法定责任法定责任19192内部控制是什么COSO:内部控制是由企业的董事会、管理层和其他人员(即全体人员)实施的、旨在为实现以下各类目标提供合理保证的过程:经营的有效性和效率; 财务报告的可靠性; 符合适用的法律和法规。资产安全;实现发展战略。(紫色描述是中国企业内部控制基本规范对COSO报告内容的追加)定义3内部控制是什么COS
2、O: COSO是(美国的)全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。1992年,COSO发表内部控制整合框架,被SEC(美国证券交易委员会)接纳为美国上市公司内部控制框架的参照性标准。香港联交所推荐标准。若干国家及证券市场内部控制标准吸纳或发源于COSO。中国五部委(财政部、证监会、审计署、银监会、保监会)企业内部控制基本规范 发源于COSO 1992年报告。COSO是什么4监督
3、监督控制控制活动活动风险评估风险评估控制环境控制环境信息与沟通信息与沟通信息与沟通信息与沟通控制环境控制环境:提供员工开展活动和履:提供员工开展活动和履行控制责任的氛围;充当其他构成行控制责任的氛围;充当其他构成要素的基础。在这个环境中,管理要素的基础。在这个环境中,管理层层评估评估实现特定目标的实现特定目标的风险风险。实施。实施控制活动控制活动是为了帮助确保管理层的是为了帮助确保管理层的指令得以贯彻执行。同时,相关的指令得以贯彻执行。同时,相关的信息信息被获取并在组织内部被获取并在组织内部沟通沟通。整。整个过程都受到个过程都受到监控监控,并在必要的情,并在必要的情形下进行修正。形下进行修正。
4、COSOCOSO简介简介. .pptppt内部控制是什么内部控制的构成要素5内部控制是什么目标与构成要素的关系6 可以帮助企业实现其业绩和盈利目标,防止资源的损失。可以帮助企业实现其业绩和盈利目标,防止资源的损失。 可以帮助保证财务报告的可靠性。可以帮助保证财务报告的可靠性。 有助于确保企业符合适用的法律和法规,避免对其声誉的损害有助于确保企业符合适用的法律和法规,避免对其声誉的损害以及其他后果。以及其他后果。总之,它可以帮助企业到达它想去的地方,并避开途中的隐患总之,它可以帮助企业到达它想去的地方,并避开途中的隐患和意外。和意外。内部控制能做什么7以下是对内部控制有着过高的、不切实际的预期。
5、以下是对内部控制有着过高的、不切实际的预期。第一、内部控制能够确保一个企业的成功第一、内部控制能够确保一个企业的成功也就是说,它将保证也就是说,它将保证基本经营目标的实现,或者至少能保证生存。基本经营目标的实现,或者至少能保证生存。 其实,内部控制不能把一个内在素质差的经理变成一个好的经理 此外,政府政策或计划、竞争者的行动或经济条件的变化,可能会超出管理层的控制范围。 内部控制不能确保成功,甚至连生存也不能保证。内部控制不能确保成功,甚至连生存也不能保证。 内部控制能做什么8第二、内部控制可以确保财务报告的可靠性以及遵循法律和法规。第二、内部控制可以确保财务报告的可靠性以及遵循法律和法规。内
6、部控制体系无论设计和运行得多么好,都只能就企业目标的实现向管理层和董事会提供合理合理而非绝对而非绝对的保证的保证。目标实现的可能性受到所有内部控制体系都存在的目标实现的可能性受到所有内部控制体系都存在的固有局限固有局限的影的影响。响。内部控制能做什么9这些固有局限包括以下事实:u决策中的判断判断可能是错误错误的,可能会由于简单的误差或错误而发生故障。u此外,控制可能会由于两个或更多人的串通串通以及管理层拥有凌驾凌驾于内部控制体系之上的能力而被规避。u同时,行使内部控制职能的人员能力不达要求,也会影响内部控制功能发挥。另一个限制因素是内部控制体系的设计必须反映以下事实:即存在资源上的约束,必须对
7、照控制的成本成本来考虑控制的收益收益。内部控制能做什么10内部控制怎么工作 根据风险评估和领导要求,测试特定流程。根据风险评估和领导要求,测试特定流程。 设计和规范属于内控部的业务流程。设计和规范属于内控部的业务流程。 复核各部门新设以及变更的规章制度。复核各部门新设以及变更的规章制度。 牵头内控知识体系信息共享:比如规章制度共享。牵头内控知识体系信息共享:比如规章制度共享。 信息系统变更的参与:需求审核,控制点嵌入,事后复核,监督使用等信息系统变更的参与:需求审核,控制点嵌入,事后复核,监督使用等。 协助绩效考核体系建立。协助绩效考核体系建立。 协助公司重大风险控制,比如成本等。协助公司重大
8、风险控制,比如成本等。 其他交办的工作。其他交办的工作。常规工作常规工作:11 风险评估(组织文化问卷,管理层风险评估问卷,内控自我评估问卷)风险评估(组织文化问卷,管理层风险评估问卷,内控自我评估问卷) 关键流程和子流程整理(关键流程和子流程整理(18个流程:按个流程:按企业内部控制规范企业内部控制规范) 流程文字描述(穿行测试)流程文字描述(穿行测试) 流程图流程图 确认流程文字描述和流程图确认流程文字描述和流程图 控制矩阵控制矩阵 内部控制和流程差异性分析内部控制和流程差异性分析 内控设计差异分析报告(问题,建议,改进方案)内控设计差异分析报告(问题,建议,改进方案) 符合性测试计划符合
9、性测试计划 内控实施差异分析报告(问题,建议,改进方案)内控实施差异分析报告(问题,建议,改进方案)内控体系建立期工作内控体系建立期工作: :内部控制怎么工作 12内部控制怎么工作 公司规章制度公司规章制度:包含编号的规章制度;质量体系文件等等。包含编号的规章制度;质量体系文件等等。内控手册(控制矩阵):控制流程描述和流程图。内控手册(控制矩阵):控制流程描述和流程图。法律法规,行业规范。法律法规,行业规范。企业内部控制规范企业内部控制规范COSO内部控制内部控制整合框架整合框架最佳实践(行业内标杆企业的运作规范)。最佳实践(行业内标杆企业的运作规范)。其中,最末三项根据成本、效益原则决定是否
10、采用。其中,最末三项根据成本、效益原则决定是否采用。标准和依据标准和依据: :13内部控制怎么工作 风险评估风险评估/上级指令上级指令 通知,确定对接联系人通知,确定对接联系人 现场工作现场工作 资料收集,底稿制作资料收集,底稿制作 底稿审核底稿审核 报告草稿报告草稿 征集意见(确认报告发现、风险、建议)征集意见(确认报告发现、风险、建议) 报告定稿,汇报。报告定稿,汇报。 改进计划改进计划 跟进改进并汇报跟进改进并汇报 改进完毕改进完毕常规工作流程(测试工作):常规工作流程(测试工作):14 制度审核:制度审核:公司内控制度在经过部门审核之后,总经理审批之前,内控部门予以复核。公司内控制度在
11、经过部门审核之后,总经理审批之前,内控部门予以复核。关注点:关注点:a关键控制嵌入;关键控制嵌入;b内控风险;内控风险;c与其他目前有效的制度之间的关系;与其他目前有效的制度之间的关系;d与与阶段性控制目标之间的协调。阶段性控制目标之间的协调。 事中监督:比如招标监督,根据招标制度制定检查清单,现场监督并形成记录事中监督:比如招标监督,根据招标制度制定检查清单,现场监督并形成记录。 风险管理:结合内控工作获得的信息,应领导要求公司的风险管理提出建议。风险管理:结合内控工作获得的信息,应领导要求公司的风险管理提出建议。 信息系统控制:参与信息系统变更流程,关注内部控制要求落实。信息系统控制:参与
12、信息系统变更流程,关注内部控制要求落实。 等等。等等。其他工作其他工作: :内部控制怎么工作15内部控制怎么工作 关键控制:关键控制: 关键控制是指,关键控制是指,能够合理保证及时预防、侦测和报告的重大错误、有效营运和合规目标失败的控制。 预防性控制和发现性控制:预防性控制和发现性控制:预防性控制:预防性控制:关注于预防错误和偏差。比如:标准、政策和程序。发现性控制:发现性控制:设计用于错误发生之后发现它。比如偏差报告、对账、定期审计。 穿行测试和有效性测试:穿行测试和有效性测试: 穿行测试:穿行测试:从公司的原始交易追踪开始,经过信息处理系统,直至以各种方式在 财务报表中进行报告的这样一个程
13、序。多用于检查控制设计。 有效性测试:有效性测试:控制运行有效性强调的是控制能够在各个不同的时点按照既定设计得以一贯执行。多用于检查控制执行。部分术语部分术语: :16 信息系统控制与手工控制:信息系统控制与手工控制:大量交易和数据经过信息系统处理, 样本:抽样样本与总样本。样本:抽样样本与总样本。 抽样方法抽样方法: :随机、定向、停随机、定向、停- -走等等走等等 测试方法:询问、观察、抽样、重执行,函证等等。测试方法:询问、观察、抽样、重执行,函证等等。 事前、中、后控制事前、中、后控制 控制频次:定期的规律的发生,还是不定期随时发生。控制频次:定期的规律的发生,还是不定期随时发生。 监
14、督(见监督(见COSOCOSO简介简介PPT)PPT)部分术语部分术语: :内部控制怎么工作17 不相容职责:不相容职责:指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务。 不相容职务分离的核心是“内部牵制内部牵制”,它要求每项经济业务都要经过两个或两个以上的部门或人员的处理,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。 管理层凌驾(逾越):管理层凌驾(逾越):管理者的行为不受既定的规章制度约束的情形。 控制缺陷及种类。控制缺陷及种类。设计设计/ /执行缺陷;高执行缺陷;高/ /中中/ /低风险缺陷;低风险缺陷; 流程负责人
15、和控制活动责任人流程负责人和控制活动责任人流程负责人:流程负责人:主要是指对某一条流程负有设计和监督运行效果和效率的责任的经理人;部分术语部分术语: :内部控制怎么工作18 控制活动责任人:控制活动责任人:指对某项控制活动负有执行责任的管理人员,可以是某个岗位的工作人员,比如总账会计,为了更好的明确管理责任,通常会定义为部门管理者。 数据所有者数据所有者 数据所有者数据所有者指创建或者产生数据的部门管理者。数据所有者。数据所有者并非技术角色,而是业并非技术角色,而是业务角色。务角色。部分术语部分术语: :内部控制怎么工作19法定责任 民事责任民事责任: 公司股东滥用公司法人独立地位和股东有限责
16、任,逃避债务,严重损害公司债权人利益的,应当对公司债务承担连带责任。 依法应诉、配合法庭执行和询问。 行政责任:行政责任: 民法通则第49条规定:企业法人有下列情形之一的(隐匿资金偷逃债务、提供虚假注册信息等),除法人承担责任外,对法定代表人可以给予行政处分、罚款,构成犯罪的,依法追究刑事责任: 刑事责任:刑事责任: 企业法定代表人如果行为不当,有可能触犯刑法,受到刑事制裁。 单位犯罪不是仅仅处罚单位,对单位判处罚金,很多情况下会追究主管人员和主要负责人的责任。(比如:偷税漏税、虚开增值税票、虚假财报、隐匿和销毁财务资料等等)法定代表人法定代表人: :20法定责任 行政责任:行政责任: 财政机
17、关吊销会计证:没有坚持会计人员职业道德的;刑事犯罪后不得取得会计证;严重 违反会计法(比如伪造、变造凭证和账册、提供虚假财务报告的,隐匿、销毁会计资料的;受人指使从事违反行为的;以上未构成刑事犯罪的)。 税务、工商、银监会、保监会、证监会等对会计人员具有本专业方面行政处罚权。 会计证是会计岗位上岗资格证(没有取得会计证而长期从事会计工作是违法的!);除了吊销之外,还有存档的考核,用人单位可以去财政局调查应聘者的历史记录是否清白。 刑事责任:刑事责任: 严重违反会计法,达到刑事处罚的限度的。 内幕交易和虚假注资等涉及上市的犯罪、偷税漏税等涉税犯罪、挪用和侵占等。财务负责人财务负责人: :21非常感谢!非常感谢!