1、内部控制内部控制 目录目录第一章第一章 总论总论第二章第二章 内部环境内部环境第三章第三章 风险评估风险评估第四章第四章 控制活动控制活动第五章第五章 信息与沟通信息与沟通第六章第六章 内部监督内部监督第七章第七章 内部控制评价内部控制评价第八章第八章 内部控制审计内部控制审计 第一章 总论第一节 内部控制的概念第二节 内部控制的目标第三节 内部控制的要素第一节 内部控制概念一、产生与发展(一)六阶段1.内部牵制阶段2.内部控制制度阶段3.内部控制结构阶段4.内部控制整体框架阶段5.风险管理框架阶段(二)加拿大内部控制概况借鉴美国模式,1992年加拿大特许会计师协会(CICA)成立了控制基准委
2、员会。该委员会正式发布了内控的框架性文件控制指南评估和报告的标准。随后,委员会又陆续发布了评估控制指南等一系列指导性文件,这些文件共同构成了包含内控系统设计、评估和报告等环节在内的、较为完整系统的加拿大内控框架体系。(三)巴塞尔委员会对内部控制的要求1975年跨国银行监管权威机构巴塞尔委员会建立。1986年3月颁布银外行表风险管理指出“适当的内部控制包括双人控制、职责分离、风险限制等原则,以及审计、风险控制和信息管理系统。”1988年巴塞尔协议将内部控制思想具体化到资本充足率的问题上,提出一级资本(核心资本)、二级资本(附属资本)、表内资产风险权数、表外资产风险换算系数、总资本占风险资产的比例
3、以及分级资本占风险资产的比例等概念及要求。(四)我国内部控制制度建设情况1.我国现行内部控制制度建设背景(1)国际资本市场大力强化内部控制(2)经济健康发展迫切呼唤加强内部控制(3)各级领导高度重视内部控制制度建设2.我国现行内部控制制度建设的简要历程(1)1996年财政部制定发布会计基础工作规范提出内部控制要求(2)1997年5月中国人民银行制定发布加强金融机构内部控制的指导原则(3)2001年6月财政部制定发布内部会计控制规范基本规范、内部会计控制规范货币资金(4)2002年9月中国人民银行制定发布商业银行内部控制指引(5)2003年10月财政部制定发布内部会计控制规范工程项目二、我国加快
4、内部控制规范建设的意义(1)有利于提高会计信息质量,提升财务报告的有效性,这对于保证投资者对高质量会计信息的需求,体现资本市场“公开、公平、公正”的原则、保护投资者合法权益。(2)健全有效的内部控制有利于上市公司遵守国家法律、法规、规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有效提高公司风险防范能力,减少乃至避免舞弊事件的发生。(3)健全有效的内部控制有助于提高经营效率和效益,提升企业经营管理水平、盈利能力和持续发展能力,增强公司竞争力,从而提高上市公司质量,最大限度地回报股东和社会。三、内部控制概念1.控制与制度(1)控制是指掌握、支配、牵制,使控制对象不超出一定的范围或任意活动。
5、按照这一含义,在现实管理活动中人们形成的决策及其实施行为思路是“决策方案及预定目标计划与预算实施偏差纠正实现预定目标”;进而形成查找问题的办法与思路是“标准-现状=问题”。(2)制度是指要求大家共同遵守的办事规程或行动准则。制度不仅仅是约束和控制,而且具有保证、保护功能,制度是安全的基本保证,是实现目标的基本保证。2.内部控制定义我国内部控制基本规范的定义是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这一概念定义突出强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程,有利于树立全面、全员、全过程控制的理念。四、企业建立与实施内部控制应遵
6、循的原则全面性原则重要性原则制衡性原则成本效益原则第二节 内部控制的目标一、内部控制目标的形成机理企业内部控制目标是指实施企业内部控制应达到目的、要求和标准的总称。它是在一定的政治、经济、社会和企业环境下,人们根据经济管理的客观要求,基于对内部控制的本质、对象内容及其职能的认识,对内部控制“为了什么”、“应该做什么”所作的规定性的规范。二、内部控制目标构成1.合理保证企业经营管理合法合规2.资产安全3.财务报告及相关信息真实完整4.提高经营效率和效果5.促进企业实现发展战略三、关于内部控制目标的不同表述1.美国COSO 1992年内部控制整体框架目标设定2.美国COSO 1992年企业风险管理
7、整体框架目标设定3.英国内部控制目标设定4.加拿大内部控制目标设定第三节 内部控制要素一、内部控制要素的概念内部控制要素是指内部控制整体的必要内容构成部分,是对内部控制系统的科学合理的简明的划分。合理确定内部控制要素有利于具体实施内部控制制度。二、内部要素的划分在内部控制结构阶段,内部控制在结构上由控制环境、会计制度和控制程序三个要素组成。在内部控制整体框架阶段,内部控制要素包括控制环境、风险评估、控制活动、信息与沟通、监督(有时也称为监控)等五个相互联系的要素。在风险管理整体框架阶段,内部控制要素由原来的五要素扩展为八要素,包括内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息
8、与沟通、监督。八要素及其控制目标关系我国2008年发布的企业内部控制基本规范将内部控制要素划分为五个方面,指出企业建立与实施有效的内部控制应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督等五要素。八要素与五要素关系图第二章 内部环境第一节 内部和环境概述第二节 内部环境的内容第一节 内部环境概述一、内部环境的概念(一)全美反虚假财务报告委员会下属的发起组织委员会对内部环境的定义(二)我国的审计准则对内部环境的定义二、内部环境对内部控制的意义(一)公司治理结构、审计委员会和经营方式对内部控制的意义(二)内部机构设置和内部审计对内部控制的意义(三)企业文化及价值观因素对内部控制的意义第二
9、节 内部环境的内容一、公司治理结构与议事规则(一)公司治理结构1.公司治理结构的定义2.公司治理结构的作用3.公司治理结构模式4.公司治理结构原则5.公司治理结构的组成要素(二)议事规则1.股东大会议事规则2.董事会议事规则3.经理层议事规则4.监事会议事规则二、审计委员会(一)审计委员会的定义 审计委员会 是指董事会里的一个主要由非执行董事组成的专业委员会,根据美国萨班斯法案的定义,审计委员会是指由发行证券公司的董事会发起并由董事会成员组成的委员会(或同等意义的团体),其目的是监督公司的会计、财务报告以及公司会计报表的审计。(二)审计委员会的背景审计委员会概念的产生和发展可以看作是对在美国和
10、加拿大发生的几起引起公众高度关注的欺诈和公司破产案作出的反映。(三)审计委员会的职责1.审核与评估年度财务报告2.选择评估和更换外部审计人员3.监督内部审计机构4.通过内财务报告监督内部控制并完善公司治理结构(四)审计委员会的作用1.审计委员会在职能上对内部审计进行监督 2.审计委员会负责全部的外部审计事务3.审计委员会负责对内外部审计部门的沟通(五)审计委员会成员的资格1.商业经验2.理解审计人员的角色3.对主要会计和报告准则的了解 三、内部机构设置(一)内部机构设置的目的内部机构的设计是组织架构设计的关键环节。只有切合企业经营业务特点和内部控制要求的内部机构,才能为实现企业发展目标发挥积极
11、促进作用。(二)内部机构设置的原则1.一个上级原则2.权责一致原则(三)内部机构设置的内容1.合理设置内部职能机构,明确各机构的职责权限2.确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系3.应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件四、内部审计(一)内部审计的定义内部审计是一种独立的、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过系统的、规范的方法。评价并改善风险管理、控制及治理过程的效果,帮助组织实现其目标。(二)内部审计的特点1审计机构和审计人员都设在各个单位内部2审计的内容更侧重于经营过程是否有效、各项制度是否得到遵
12、守与执行3服务的内向性和相对的独立性4审计结果的客观性和公正性较低,并且以建议性意见为主(三)内部审计与外部审计的联系和区别1.联系与外部审计相比,共同点为掌握基本的财务审计技术,审计结果可能存在相互借鉴。2.区别(1)独立性不同。(2)审计目标不同。(3)关注的重点领域不同。(4)业务范围不同。(5)审计标准不同。(6)专业胜任能力要求不同(四)内部审计的主要内容1.财务审计2.经管审计3.管理审计4.风险管理(五)内部审计的作用1.预防保护作用2.服务促进作用3.评价鉴证作用五、人力资源政策(一)人力资源政策的定义人力资源政策是公司为了实现目标而制定的有关人力资源的获取、开发、保持和利用的
13、政策规定。(二)人力资源管理的主要风险1.人力资源缺乏或过剩、结构不合理、开发机制不健全2.人力资源激励约束制度不合理、关键岗位人员管理不完善3.人力资源退出机制不当(三)人力资源政策制定模型 分层、分类、分等、分阶段和人性化(四)企业人力资源的引进与开发1.高级人员的引进与开发2.专业技术人员的引进与开发3.一般员工的引进与开发六、职业道德修养和专业胜任能力(一)职业道德修养的定义从事各种职业活动的人员,按照职业道德基本原则和规范,在职业活动中所进行的自我教育、自我改造、自我完善,使自己形成良好的职业道德品质和达到一定的职业道德境界(二)职业道德修养的主要内容1.爱岗敬业2.诚实守信3.办事
14、公道4.服务群众5.奉献社会七、企业文化及价值观(一)企业文化的定义企业在生产经营实践中,逐步形成的,为全体员工所认同并遵守的、带有本组织特点的使命、愿景、宗旨、精神、价值观和经营理念,以及这些理念在生产经营实践、管理制度、员工行为方式与企业对外形象的体现的总和。(二)企业文化的内容1.经营哲学2.价值观念3.企业精神4.企业道德5.团体意识6.企业形象7.企业制度(三)企业文化的功能1.导向功能2.约束功能3.凝聚功能4.激励功能5.调适功能6.辐射功能(四)积极建设优秀的企业文化1.要注重塑造企业核心价值观2.要重点打造以主业为核心的品牌3.要充分体现以人为本的理念4.要强化企业文化建设中
15、的领导责任 八、法制观念(一)法制观念的定义以人们的法律观、法制观和法感情为基础的一系列法律观念(二)法制观念的重要性1.增强法制观念是企业发展的必然要求2.增强法制观念是加强企业经营管理,确保企业经济效益的根本保证3增强法制观念是维护企业自身合法权益,提高企业经济效益的保障(三)增强法制观念的措施1.建立企业法律顾问制度2.继续发展和完善企业民主管理制度3.搞好法制教育4.依法建立健全各项规章制度5.建立健全监督和约束机制第三章 风险评估第一节 风险评估概述第二节 风险目标的设定第三节 风险识别第四节 风险评估的意义和方法第五节 风险应对第一节 风险评估概述一、风险的概念(一)风险的定义1.
16、事件发生的不确定性2.事件遭受损失的机会(二)风险的构成要素1.风险因素 2.风险事故 3.损失(三)风险的特征1.客观性 2.普遍性 3.损失性 4.不确定性 5.可变性(四)风险的分类1.按照性质可分为纯粹风险和投机风险2.按照来源可分为自然风险、社会风险、经济风险、技术风险、政治风险、法律风险3.按照涉及范围可分为特定风险和基本风险(五)企业风险1.行业风险2.经营风险二、风险评估的概念(一)风险评估的维度1.风险发生的可能性分析2.风险产生的影响程度分析(二)风险评估的一般程序目标设定 风险识别风险评估风险应对第二节 风险目标设定一、目标设定的必要性目标设定是企业在识别和分析实现目标的
17、风险并采取行动来管理风险之前,采取恰当的程序去设定目标,确保所选择的目标支持和切合企业的发展使命,并且与企业的风险承受能力相一致。二、目标设定方法(一)基于总体战略目标设定风险目标(二)基于具体目标设定风险目标(三)合理确定风险偏好与风险承受能力第三节 风险识别一、风险识别的必要性只有充分识别风险,才能有效的控制风险。如果不知道风险的所在,风险评估势必陷入困境。只有全面、正确地识别、分析出研究对象所面临的各种风险,衡量和对付风险才有实际意义。只有风险被识别,才可以制订甚至实施有效的风险应对措施。二、风险识别的内外部因素(一)内部风险因素1.董事、监事、经理及其他高级管理人员的职业操守、员工专业
18、胜任能力等人力资源因素。2.组织机构、经营方式、资产管理、业务流程等管理因素。3.研究开发、技术投入、信息技术运用等自主创新因素。4.财务状况、经营成果、现金流量等财务因素。5.营运安全、员工健康、环境保护等安全环保因素。6.其他有关内部风险因素。(二)外部风险因素1.经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。2.法律法规、监管要求等法律因素。3.安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。4.技术进步、工艺改进等科学技术因素。5.自然灾害、环境状况等自然环境因素。6.其他有关外部风险因素。三、风险识别技术方法(一)财务报表分析法(二)流程图分析法(三)事件
19、树分析法(四)问卷调查法(五)现场调查法(六)保单对照法(七)分解分析法(八)小组讨论和访谈(九)5c要素分析法(十)多变量信用风险判别模型第四节 风险评估一、风险评估的意义风险评估,是在风险识别的基础上对风险进行计量、分析、判断、排序的过程,是风险应对的主要依据。二、风险评估方法(一)定量分析法(二)定性分析法(三)综合分析方法(四)信用风险分析方法第五节 风险应对一、风险应对的意义风险应对是风险评估的最后一道程序,在事故发生前,降低事故发生的整体概率;事故发生后,将损失减少到最低限度,最终达到降低单位预期财产损失的目的。做好这关键的一步对企业的风险管理以及内部控制都至关重要。良好的风险应对
20、方案是企业减少损失乃至创造收益的重要举措。二、风险应对的策略(一)风险规避(二)风险转移(三)风险降低(四)风险承受 第四章控制活动第一节 控制活动概述第二节 不相容职务分离控制第三节 授权审批控制第四节 会计系统控制第五节 财产保护控制第六节 预算控制第七节 运营分析控制第八节 绩效考评控制第一节 控制活动概述一、控制活动的概念控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受范围之内的一系列活动。控制活动是落实风险评估结果的基本手段,是整个内部控制体系中最为关键的组成部分。控制活动体现在整个企业的不同层次和不同部门中,贯穿于企业所有的运营活动中。二、控制活动设计的基本原
21、则(一)合规性原则(二)有效性原则(三)全面性原则(四)相互牵制原则(五)协调配合原则(六)程序定位原则(七)成本效益原则三、控制活动方法控制方法主要有手工控制、自动控制、预防性控制、检查性(也称发现性)控制等。四、控制活动的内容(一)根据权限特征,分为股权控制和经营管理权控制(二)根据控制范围,分为战略控制和经营控制(三)根据专业特点和职能,分为人事控制、财务控制、会计控制、生产控制等(四)根据控制进程和时序,分为事前控制、事中控制和事后控制(五)根据集权程度,分为集权控制和分权控制(六)根据控制侧重点,分为结果控制和过程控制(七)根据控制者态度,分为积极控制和消极控制(八)根据控制力来源,
22、分为借力控制和自力控制(九)根据控制层次,分为制度控制和观念控制(十)按照经济活动的内容,分为公司层面控制和业务活动层面控制五、信息系统下的内部控制活动随着信息时代的来临,传统的企业内部控制的不足和缺陷逐步暴露。在信息系统环境下,为提高企业的经营决策效率,需要对传统的内部控制进行整合。必须加强对在电子信息系统环境下的对财产记录的控制。六、执行控制活动应注意的问题(一)把握好授权尺度(二)加强被控制对象的受控力度(三)提高控制人员的控制能力第二节 不相容职务分离控制一、不相容职务的概念不相容职务的设置源于内部牵制,所谓不相容职务是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误
23、和弊端行为的职务。二、执行不相容职务相分离的基本原则建立不相容职务岗位分离制度就是在合理设置业务流程、明确岗位职责权限的基础上,对不相容职务实行岗位分离,形成相互协作、相互制衡、相互监督的机制,从而避免在经营管理过程中可能出现的差错和舞弊行为。三、不相容职务的范围(一)会计岗位设置中的不相容职务(二)货币资金业务中的不相容职务(三)采购与付款业务中的不相容职务(四)存货与仓储业务中的不相容职务(五)销售与收款业务中的不相容职务(六)投资业务中的不相容职务(七)筹资业务中的不相容职务(八)固定资产、无形资产业务的不相容职务四、不相容职务失效和优化不相容职务对于解决舞弊的作用有时是有限的,可以说,
24、任何内部控制制度都是有漏洞的,不存在完美的内部控制制度,不相容职务也是如此。(一)不同的业务循环中的不相容职务交叉而导致不相容职务的失效(二)不相容职务设置本身存在漏洞(三)不相容职务的僵化导致不相容职务设置的失效(四)总体的内部控制制度的不足导致不相容职务设置失效第三节 授权审批控制一、母公司对子公司的授权审批控制母公司为了发挥企业集团的协同效益、从战略角度出发、对子公司的现金、经营、投资决策等进行授权、同时拥有对子公司重大财务事项的决策权。二、多层组织结构形成的授权审批控制从公司的法人治理结构来看、在股东、董事会、经理等不同层级之间的授权审批使不同的管理主体及相对应的职责权利形成了相互制衡
25、的内部控制机制。三、各项业务中的授权审批控制授权审批控制贯穿于企业的各项经营业务与事项中、只有在资产业务、工程项目业务、采购与付款业务、销售与收款业务、成本费用业务、筹资与投资业务、担保业务等的关键控制点上建立有效的授权审批控制、才能达到控制目标、实现对风险的有效防范。第四节 会计系统控制一、会计系统控制概念会计系统控制是重要的内部控制方法之一。在这个系统中、会计人员在一定会计组织下、运用一定的专门方法、借助一定的计算工具和设备、按照有关会计法规的规定和要求、对企事业单位的资金运动进行核算和监督、登记会计凭证、会计账簿、编制会计报表、生成会计信息资料。二、会计系统控制的具体措施(一)会计岗位设
26、置和会计人员资格的控制(二)会计凭证、会计账簿的处理程序控制(三)财务会计报告的编制、提供与披露控制(四)会计复核控制(五)会计档案管理的控制(六)会计工作交接控制第五节 财产保护控制一、财产保护控制概述财产保护控制是指为了确保财产物资的安全、完整所采取的方法和措施。财产保护控制主要包括限制接近控制和定期清查控制两种、这是对单位实物资产安全采取的控制措施。二、主要控制措施(一)限制对财产的接近(二)财产盘点(三)加强财产的记录工作(四)财产保险(五)发挥内部审计对财产安全的控制(六)财产记录监控(七)信誉考评制度及定期对账制度(八)应收账款催收制度第六节 预算控制一、预算控制的概念及意义预算控
27、制是指对单位各项经济业务编制详细的预算或计划、并通过授权、由相关部门对预算或计划执行情况进行控制。二、预算编制控制预算编制的基本程序应当符合两个方面的要求:一是符合企业现代治理结构的要求;二是符合高效、良性预算机制的内在要求。三、预算执行控制为了配合预算指标的执行控制,保证预算指标如期落实,企业必须建立一套完善的预算执行制度,并采取相应的措施确保预算执行得到控制。四、预算调整控制单位正式下达执行的预算一般不予调整。而在预算执行过程中,由于主、客观条件的发展变化,为保证预算的科学性、严肃性与可操作性,对预算进行适当的调整是必要的。为此必须建立严格、规范的调整控制制度。对于预算执行单位提出的预算调
28、整事项,企业进行决策时,应当遵循以下三项原则:(一)预算调整事项应当符合单位发展战略和年度生产经营目标;(二)预算调整方案应当客观、可行、即在经济上能够实现最优化;(三)预算调整重点应当放在预算执行中出现的重要的、非正常的、不符合常规的关键性差异方面。五、预算分析控制在预算期结束以后,预算委员会要对企业预算目标实现程度、各成员企业和部门预算目标的执行情况进行全面系统的总结与评价,将实现的有关指标与预算相对比,找出成绩与缺陷、经验与教训、优劣差距与生成原因,并作出预算完成情况报告供企业最高管理层决策。六、预算考核控制企业应当建立严格的预算执行考核制度,对各项预算执行单位和个人进行考核,切实做到有
29、奖有惩,奖惩分明。预算考核制度应当明确预算考核执行机构、考核原则和依据以及考核程序等。第七节 运营分析控制一、运营分析控制的步骤(一)明确运营分析控制的目标(二)确定运营分析控制的指标(三)选择运营分析控制的分析方法(四)采取有效的解决和处理措施二、运营分析控制的方法(一)因素分析法(二)对比分析法(三)趋势分析法三、运营分析控制的指标(一)生产环节的指标(二)采购环节的指标(三)销售环节的指标(四)投资环节的指标(五)筹资环节的指标(六)综合财务指标第八节 绩效考评控制一、绩效考评体系(一)绩效考评指标1.经济增加值(EVA)2.平衡记分卡(BSC)3.360度反馈(二)绩效指标的考评方法1
30、.层差法2.等级评价法(三)绩效考评结果的应用1.绩效改进计划2.培训计划3.年度绩效奖金二、绩效考评的管理(一)健全绩效目标控制机制(二)建立目标明确的绩效管理计划(三)建立科学的绩效考评指标体系(四)建立并完善量化考核制度(五)建立健全的绩效反馈机制第五章 信息与沟通 第一节 信息与沟通概述 第二节 信息搜集与处理 第三节 信息传递与沟通 第四节 信息技术内部控制基本模型 第五节 反舞弊机制第一节 信息与沟通概述一、信息与沟通的意义信息与沟通(information and communication)是企业及时、准确地收集、传递与内部控制相关的信息,并使这些信息以适当的方式在企业有关层级
31、之间进行及时传递、有效沟通和正确应用的过程。二、信息系统信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。信息通过信息系统进行识别、获取、处理和报告。三、沟通沟通是信息系统所固有的功能,如上所述,信息系统必须将其信息提供给相关人员,以使其能够合理地履行与经营、财务报告相关的职责。第二节 信息搜集一、信息搜集内容信息是指信息系统辨识、衡量、处理及报告的标的,来源于企业内部或外部,包括获取的行业、经济、监控,以及内部生产经营管理、财务等方面的信息。二、信息搜集方式 一般来说,企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等
32、渠道,获取内部信息。同时,企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。第三节 信息传递与沟通一、信息传递与沟通的内容内部信息的传递与沟通是企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。二、信息处理方法与技术信息的质量特征通常包括:时间上的及时性和新颖性;内容上的准确性、相关性和完整性;形式上的详尽性和呈现性。为保证信息的有用性,在信息搜集程序完成之后,应该对信息进行处理。信息的沟通有两层含义:一是信息资源的共享与交流,二是信息的输出。研究企业内部控制相关的信息沟通,主要关注于人与人,人与企业,企业与
33、企业之间的信息交流过程。信息沟通的方法包括电子沟通、书面沟通和口头沟通等。第四节 信息技术内部控制基本模型一、eSAC模型为了强调基于计算机的信息系统对内部控制系统的作用和冲击,IIA(the Institute of Internal Auditors)于2001年发布了一套电子系统保证和控制模型,即eSAC模型(economic systems Assurance and Control)。eSAC控制模型运行流程图二、COBIT模型COBIT(Control Objectives for Information and related Technology)是指信息系统和技术控制目标。美
34、国信息系统审计与控制协会(ISACA)成立于1969年,他于1996推出的用于“IT审计”的知识体系,即COBIT。(一)概念与地位“IT审计”已经成为众多国家的政府部门、企业对IT的计划与组织、采购与实施、服务提供与服务支持、监督与控制等进行全面考核与认可的业界标准。(二)组成与运行流程COBIT模型由执行概要、框架、执行工具集、管理指南、控制目标和审计指南六部分组成。COBIT模型组成图(三)特征1.以业务为中心2.定位于流程3.以控制为基础4.由测量驱动变革 第五节 反舞弊机制一、反舞弊机制的建立(一)舞弊的概念及分类舞弊是一种采取不正当和欺骗的手段,有意识地违反既定的公众认可的规则以损
35、害或牟取组织经济利益的行为。按照舞弊主体的不同,即作弊者身份的不同,可以将舞弊划分为两类:管理舞弊和非管理舞弊。(二)舞弊原因分析要建立反舞弊机制,达到反舞弊的目的,就要追本溯源,找到舞弊的原因,从根本入手,扼杀舞弊。1.舞弊三角形理论(冰山理论)舞弊三角理论2.GONE理论“GONE”理论是在美国流传最广,也是最有意思的一个企业会计舞弊与反会计舞弊的著名理论。GONE理论示意图(三)反舞弊机制的建立反舞弊机制是指企业防范、发现和处理舞弊行为、优化内部控制环境的制度安排,是企业内部控制体系的重要组成部分,对于有效防范和控制舞弊行为的发生,减少由此给企业带来的风险和损失,具有非常重要的作用。1.
36、高层的管理理念2.业务经营过程中的内部控制3.内部审计4.外部独立审计(四)反舞弊工作的重点企业内部控制基本规范指出,企业至少应当将下列情形作为反舞弊工作的重点:1.未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。2.在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。3.董事、监事、经理及其他高级管理人员滥用职权。4.关机构或人员串通舞弊。二、举报投诉制度(一)各级员工及与公司直接或间接发生经济关系的社会各方可通过举报电话热线、电子信箱、信函等途径举报公司及其人员实际或疑似舞弊案件的信息。(二)对涉及普通员工及中层管理人员的实名举报,审计部自接到举 报后 2
37、 个工作日内报总经理;对涉及普通员工及中层管理人员的匿名举报,审计部进行初步评估并决定是否上报总经理。(三)对举报牵涉到公司高层管理人员的,审计部自接到举报后 2 个工作日内报公司董事会,由董事会决定进一步调查事项。董事会在进行有关调查时,视需要可聘请外部审计师或其他机构协助调 查。(四)接受举报投诉或参与舞弊调查的工作人员不得擅自向任何部门及个人提供投诉举报人的 相关资料及举报内容;确因工作需要查阅投诉举报相关资料的,查阅人员必须对查阅的内容、时间、查 阅人员的有关情况在审计部进行登记。(五)投诉、举报人在协助调查工作中受到保护。公司禁止任何非法歧视或报复行为,或对于 参与调查的员工采取敌对
38、措施。对违规泄露检举人员信息或对举报人员采取打击报复的人员,将予以撤 职、解除劳动合同。触犯法律的,移送司法机关依法处理。(六)审计部应将舞弊案件的调查处理结果向举报人进行通报。第六章 内部监督第一节 内部监督概述第二节 日常监督和专项监督第三节 内部控制缺陷及认定第一节 内部监督概述内部监督是企业对内部控制建立和实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并及时加以改进。内部监督是企业内部控制系统有效运行的制度基础,是对其他内部控制要素的再控制。一、意义1.内部监督体系是企业内部控制的制度基础2.内部监督体系是企业内部控制有效运行的制度保证二、程序和方法(一)内部监督的程序
39、1.制定内部控制缺陷认定标准2.评估控制结果3.记录与报告(二)内部监督的方法1.总体方法(1)绩效计量(2)对企业运营进行测试2.具体方法与监督活动(1)对内部控制环境的监督(2)对内部控制流程的监督(3)对内部控制手段的监督三、内部监督组织我国企业内部监督组织结构是由监事会、审计委员会和内部审计机构共同组成的。内部监督组织结构内部监督组织监事会审计委员会内部审计结构第二节 日常监督和专项监督一、日常监督(持续性监督)日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查。二、专项监督(独立评估)专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整
40、或变化的情况下,对内部控制的某一方面或者某些方面进行有针对性的监督检查。企业应当定期拟定内部控制专项监督计划,确定当期专项监督的内容和对象。第三节 内部控制缺陷一、内部控制缺陷的定义(一)概念内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内部控制无法为控制目标的实现提供合理保证。(二)分类内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷,按其成因分为设计缺陷和运行缺陷。(三)识别1.测试识别采用控制过程技术分析、符合性测试等手段识别内部控制的设计缺陷和运行缺陷。2.迹象识别通过所发现的已背离内部控制目标的迹象,识别内部控制的设计缺陷和运行缺陷。二、设计缺陷(一)设计缺陷
41、的概念所谓设计缺陷,是指缺少为实现控制目标所必需的控制,或现存内部控制设计不适当或不合理、即使正常运行也难以实现控制目标而形成的内部控制缺陷,即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。(二)设计缺陷的测试识别设计缺陷应该从以下两个角度识别。(1)缺失,指缺少某一方面的内部控制政策或程序。(2)设计不当,指虽然针对某一交易或事项制定了内部控制政策和程序,但采用了不正确的控制手段或者由于控制政策或程序未能涵盖影响控制目标实现的所有风险。三、运行缺陷(一)概念所谓运行缺陷,是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控
42、制缺陷。(二)测试识别运行缺陷需要通过对内控执行过程的穿行测试来发现。例如,某笔资金使用需经总经理签字授权后方可使用,但企业因急需使用资金为由在先使用的情况下再追补总经理审批手续,则可判断资金授权审批控制存在运行缺陷。第七章 内部控制评价 第一节 内部控制评价概述 第二节 内部控制评价报告第一节 内部控制评价概述一、内部控制评价的概念内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进行全面评价,形成评价结论,出具评价报告的过程。对于此定义需要从以下三个方面来进行理解:(一)内部控制评价的主体是董事会或类似权力机构(二)内部控制评价的对象是内部控制的有效性(三)内部控制评价是一个过程
43、二、内部控制评价的原则根据企业内部控制配套指引规定,企业实施内部控制评价至少应当遵循下列三条原则:(一)全面性原则(二)重要性原则(三)客观性原则三、内部控制评价的内容内部控制的目标包括合规目标、资产目标、报告目标、经营目标和战略目标。因此,内部控制评价的内容应是对以上五个目标的内控有效性进行全面评价。(一)内部环境评价(二)风险评估评价(三)控制活动评价(四)信息与沟通评价(五)内部监督评价四、内部控制评价的程序内部控制评价程序直接决定着内部控制评价组织实施工作的效率与质量,只有按照规范合理的程序科学组织实施内部控制评价,其评价结果才具备可靠性、实用性,合理的内部控制评价应至少包括以下八个程
44、序:(一)制订评价工作方案(二)明确内部控制评价的范围(三)对现有制度及流程风险进行评价(四)对内部控制设计有效性进行评价(五)对内部控制执行的有效性进行评价(六)与管理层或相关当事人沟通评价结果(七)跟踪内部控制缺陷的整改结果(八)出具内部控制评价报告第二节 内部控制缺陷及其认定一、内部控制缺陷的定义及种类(一)定义内部控制缺陷,是指内部控制设计存在漏洞、不能有效防范错误与舞弊,或内部控制的运行存在弱点和偏差、不能及时发现并纠正错误与舞弊,从而使内部控制无法为控制目标的实现提供合理保证。(二)种类(1)按照内部控制缺陷的成因分类,内部控制缺陷包括设计缺陷和运行缺陷。(2)按严重程度分为重大缺
45、陷、重要缺陷和一般缺陷三个等级。二、内部控制缺陷的认定(一)内部控制缺陷认定的基础理想化的、没有任何瑕疵的内部控制是不存在的,判断内部控制是否存在缺陷的标准不是仅仅看控制系统是否存在缺点或不足,而是看这种缺点或不足是否阻碍其为控制目标的实现提供合理保证。(二)内部控制缺陷认定的程序1.建立内控缺陷认定标准2.识别内控缺陷3.评估缺陷严重程度4.内部控制缺陷的最终认定(三)内部控制缺陷认定的方法1.缺陷识别的方法(1)测试识别法(2)迹象识别法2.缺陷严重程度评估(1)以偏离目标的可能性和偏离目标的程度作为衡量缺陷严重性的标准(2)充分考虑缺陷组合和替代性控制第三节 内部控制评价报告一、内部控制
46、评价报告概述(一)内部控制评价报告的范围、主体和时间1.内部控制评价报告的范围新规范规定内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效果和效率,促进企业实现发展战略。2.内部控制评价报告的披露主体上交所颁布的上市公司内部控制指引明确指出:公司董事会应确保内部控制健全有效,董事会及其全体成员应保证内部控制相关信息披露内容的真实、准确、完整。3.内部控制评价报告的时间内部控制评价报告进行评价的时间,是指董事会是对一定期间还是对一个特定时点的内部控制情况进行评价。(二)内部控制评价报告的内容1.董事会内部控制责任的声明2.公司内部控制评价的时间和标准3
47、.内部控制各组成要素的评价结论4.公司内部控制情况的整体评价意见5.内部控制存在固有缺陷的声明6.董事会的签章(三)内部控制评价报告的质量要求一份高质量的内部控制评价报告,应该具备以下六种基本的质量特征:1.真实性 2.相关性 3.完整性 4.重要性 5.可比性 6.清晰性二、内部控制评价报告的意义内部控制评价报告的意义可以从以下四个方面更来理解:(一)公司的角度(二)财务报告质量角度(三)投资者的角度(四)审计报告的角度三、内部控制评价报告信息披露(一)概述内部控制能够为企业实现目标提供保障,建立健全内部控制制度,保证其得到有效执行是企业管理当局的责任。由于健全并得到有效执行的内部控制能够帮
48、助企业提高披露的会计信息的质量,信息外部使用者逐渐需求公司的内部控制信息,内部控制信息披露应运而生。(二)作用内部控制信息披露可以使企业的内部控制得到完善,基于内部控制在公司经济管理和内部监督中发挥的重要作用,公司内部控制信息披露可以提高企业的财务报告的可靠性。(三)内容1.内部控制环境2.风险识别评估与管理3.内部控制活动4.内部控制的监督5.信息与沟通(四)内部控制信息披露内容与方式的理论研究考察关于内部控制信息披露完整性,国内外理论及实务界的看法可以分为广义与狭义两种基本观点,狭义的概念仅指与财务报告质量或会计信息质量及财务报告可靠性有关的内部控制的信息披露;广义的是指将包括财务、经营、
49、遵循风险及其他风险管理的控制的信息披露。第八章 内部控制审计 第一节 内部控制审计概述 第二节 审计工作计划 第三节 审计工作实施 第四节 审计工作完成 第五节 审计报告及披露 第一节 内部控制审计概述内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。一、内部控制审计的概念内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。本书所指的内部控制审计的概念来源于企业内部控制审计指引。二、内部控制审计的意义(1)相对于内部审计的实施主体而言,注册会计师是相对独立的第三方,是具有较高专业水平的一个群体,可以站在相对独立的
50、视角,代表更广泛的股东的利益,对被审计单位的内部控制进行评价。(2)注册会计师对企业内部控制有效性进行客观、独立的鉴证,能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力。(3)投资者对投资行为的选择,已不仅仅基于财务数据和相关信息,还要基于对公司内部控制系统设计与运行质量的分析,以判断企业的抗风险能力。通过内部控制审计,能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。三、内部控制审计责任(一)被审计单位的责任 1.按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表