1、内部控制内部控制 目录目录 第一章第一章 总论总论 第二章第二章 内部环境内部环境 第三章第三章 风险评估风险评估 第四章第四章 控制活动控制活动 第五章第五章 信息与沟通信息与沟通 第六章第六章 内部监督内部监督 第七章第七章 内部控制评价内部控制评价 第八章第八章 内部控制审计内部控制审计 第一章第一章 总论总论 第一节第一节 内部控制的概念内部控制的概念 第二节第二节 内部控制的目标内部控制的目标 第三节第三节 内部控制的要素内部控制的要素 第一节第一节 内部控制概念内部控制概念 一、产生与发展 (一)六阶段 1.内部 牵制阶 段 2.内部 控制制 度阶段 3.内部 控制结 构阶段 4.
2、内部 控制整 体框架 阶段 5.风险 管理 框架 阶段 (二)加拿大内部控制概况 借鉴美国模式,1992年加拿大特许会计师协会(CICA)成立了控 制基准委员会。该委员会正式发布了内控的框架性文件控 制指南评估和报告的标准。随后,委员会又陆续发布了评估 控制指南等一系列指导性文件,这些文件共同构成了包含内控 系统设计、评估和报告等环节在内的、较为完整系统的加拿大内 控框架体系。 (三)巴塞尔委员会对内部控制的要求 1975年跨国银行监管权威机构巴塞尔委员会建立。1986年3月 颁布银外行表风险管理指出“适当的内部控制包括双人控 制、职责分离、风险限制等原则,以及审计、风险控制和信息 管理系统。
3、”1988年巴塞尔协议将内部控制思想具体化到 资本充足率的问题上,提出一级资本(核心资本)、二级资本 (附属资本)、表内资产风险权数、表外资产风险换算系数、 总资本占风险资产的比例以及分级资本占风险资产的比例等概 念及要求。 (四)我国内部控制制度建设情况 1.我国现行内部控制制度建设背景 (1)国际资本市场大力强化内部控制 (2)经济健康发展迫切呼唤加强内部控制 (3)各级领导高度重视内部控制制度建设 2.我国现行内部控制制度建设的简要历程 (1)1996年财政部制定发布会计基础工作规范提出内部控 制要求 (2)1997年5月中国人民银行制定发布加强金融机构内部控 制的指导原则 (3)200
4、1年6月财政部制定发布内部会计控制规范基本 规范、内部会计控制规范货币资金 (4)2002年9月中国人民银行制定发布商业银行内部控制指 引 (5)2003年10月财政部制定发布内部会计控制规范工程 项目 二、我国加快内部控制规范建设的意义 (1)有利于提高会计信息质量,提升财务报告的有效性,这对 于保证投资者对高质量会计信息的需求,体现资本市场“公开、 公平、公正”的原则、保护投资者合法权益。 (2)健全有效的内部控制有利于上市公司遵守国家法律、法规、 规章及其他相关规定,堵塞管理漏洞,保障公司资产的安全,有 效提高公司风险防范能力,减少乃至避免舞弊事件的发生。 (3)健全有效的内部控制有助于
5、提高经营效率和效益,提升企 业经营管理水平、盈利能力和持续发展能力,增强公司竞争力, 从而提高上市公司质量,最大限度地回报股东和社会。 三、内部控制概念 1.控制与制度 (1)控制是指掌握、支配、牵制,使控制对象不超出一定 的范围或任意活动。按照这一含义,在现实管理活动中人们 形成的决策及其实施行为思路是“决策方案及预定目标 计划与预算实施偏差纠正实现预定目标”; 进而形成查找问题的办法与思路是“标准-现状=问题”。 (2)制度是指要求大家共同遵守的办事规程或行动准则。制 度不仅仅是约束和控制,而且具有保证、保护功能,制度是 安全的基本保证,是实现目标的基本保证。 2.内部控制定义 我国内部控
6、制基本规范的定义是由企业董事会、监事会、经理层 和全体员工实施的、旨在实现控制目标的过程。这一概念定义突 出强调内部控制是由企业董事会、监事会、经理层和全体员工实 施的、旨在实现控制目标的过程,有利于树立全面、全员、全过 程控制的理念。 四、企业建立与实施内部控制应遵循的原则 全面性 原则 重要性 原则 制衡性 原则 成本效 益原则 第二节第二节 内部控制的目标内部控制的目标 一、内部控制目标的形成机理 企业内部控制目标是指实施企业内部控制应达到目的、要求和标 准的总称。它是在一定的政治、经济、社会和企业环境下,人们 根据经济管理的客观要求,基于对内部控制的本质、对象内容及 其职能的认识,对内
7、部控制“为了什么”、“应该做什么”所作 的规定性的规范。 二、内部控制目标构成 1.合理保证企业经营管理合法合规 2.资产安全 3.财务报告及相关信息真实完整 4.提高经营效率和效果 5.促进企业实现发展战略 三、关于内部控制目标的不同表述 1.美国COSO 1992年内部控制整体框架目标 设定 2.美国COSO 1992年企业风险管理整体框架 目标设定 3.英国内部控制目标设定 4.加拿大内部控制目标设定 第三节第三节 内部控制要素内部控制要素 一、内部控制要素的概念 内部控制要素是指内部控制整体的必要内容构成部分,是对内 部控制系统的科学合理的简明的划分。合理确定内部控制要素 有利于具体实
8、施内部控制制度。 二、内部要素的划分 在内部控制结构阶段,内部控制在结构上由控制环境、会计制度 和控制程序三个要素组成。 在内部控制整体框架阶段,内部控制要素包括控制环境、风险 评估、控制活动、信息与沟通、监督(有时也称为监控)等五个 相互联系的要素。 在风险管理整体框架阶段,内部控制要素由原来的五要素扩展为 八要素,包括内部环境、目标设定、事件识别、评估风险、应 对风险、控制活动、信息与沟通、监督。 八要素及其控制目标关系 我国2008年发布的企业内部控制基本规范将内部控制要素 划分为五个方面,指出企业建立与实施有效的内部控制应当包 括内部环境、风险评估、控制活动、信息与沟通、内部监督等 五
9、要素。 八要素与五要素关系图 第二章第二章 内部环境内部环境 第一节第一节 内部和环境概述内部和环境概述 第二节第二节 内部环境的内容内部环境的内容 第一节第一节 内部环境概述内部环境概述 一、内部环境的概念 (一)全美反虚假财务报告委员会下属的发起组织委员会对内 部环境的定义 (二)我国的审计准则对内部环境的定义 二、内部环境对内部控制的意义 (一)公司治理结构、审计委员会和经营方式对内部控制的意 义 (二)内部机构设置和内部审计对内部控制的意义 (三)企业文化及价值观因素对内部控制的意义 第二节第二节 内部环境的内容内部环境的内容 一、公司治理结构与议事规则 (一)公司治理结构 1.公司治
10、理结构的定义 2.公司治理结构的作用 3.公司治理结构模式 4.公司治理结构原则 5.公司治理结构的组成要素 (二)议事规则 1.股东大会议事规则 2.董事会议事规则 3.经理层议事规则 4.监事会议事规则 二、审计委员会 (一)审计委员会的定义 审计委员会 是指董事会里的一个主要由非执行董事组成的专业 委员会, 根据美国萨班斯法案的定义,审计委员会是指由发 行证券公司的董事会发起并由董事会成员组成的委员会(或同等 意义的团体),其目的是监督公司的会计、财务报告以及公司会 计报表的审计。 (二)审计委员会的背景 审计委员会概念的产生和发展可以看作是对在美国和加拿大发生 的几起引起公众高度关注的
11、欺诈和公司破产案作出的反映。 (三)审计委员会的职责 1.审核与评估年度财务报告 2.选择评估和更换外部审计人员 3.监督内部审计机构 4.通过内财务报告监督内部控制并完善公司治理结构 (四)审计委员会的作用 1.审计委员会在职能上对内部审计进行监督 2.审计委员会负责全部的外部审计事务 3.审计委员会负责对内外部审计部门的沟通 (五)审计委员会成员的资格 1.商业经验 2.理解审计人员的角色 3.对主要会计和报告准则的了解 三、内部机构设置 (一)内部机构设置的目的 内部机构的设计是组织架构设计的关键环节。只有切合企业经 营业务特点和内部控制要求的内部机构,才能为实现企业发展 目标发挥积极促
12、进作用。 (二)内部机构设置的原则 1.一个上级原则 2.权责一致原则 (三)内部机构设置的内容 1. 合理设置内部职能机构,明确各机构的职责权限 2. 确定具体岗位的名称、职责和工作要求等,明确各个岗位的 权限和相互关系 3.应当制定组织结构图、业务流程图、岗(职)位说明书和权限 指引等内部管理制度或相关文件 四、内部审计 (一)内部审计的定义 内部审计是一种独立的、客观的确认和咨询活动,旨在增加价值 和改善组织的运营。它通过系统的、规范的方法。评价并改善风 险管理、控制及治理过程的效果,帮助组织实现其目标。 (二)内部审计的特点 1审计机构和审计人员都设在各个单位内部 2审计的内容更侧重于
13、经营过程是否有效、各项制度是否得到遵 守与执行 3服务的内向性和相对的独立性 4审计结果的客观性和公正性较低,并且以建议性意见为主 (三)内部审计与外部审计的联系和区别 1.联系 与外部审计相比,共同点为掌握基本的财务审计技术,审计结 果可能存在相互借鉴。 2.区别 (1)独立性不同。(2)审计目标不同。(3)关注的重点领 域不同。(4)业务范围不同。(5)审计标准不同。(6)专 业胜任能力要求不同 (四)内部审计的主要内容 1.财务审计 2.经管审计 3.管理审计 4.风险管理 (五)内部审计的作用 1.预防保护作用 2.服务促进作用 3.评价鉴证作用 五、人力资源政策 (一)人力资源政策的
14、定义 人力资源政策是公司为了实现目标而制定的有关人力资源的获取、 开发、保持和利用的政策规定。 (二)人力资源管理的主要风险 1.人力资源缺乏或过剩、结构不合理、开发机制不健全 2.人力资源激励约束制度不合理、关键岗位人员管理不完善 3.人力资源退出机制不当 (三)人力资源政策制定模型 分层、分类、分等、分阶段和人性化 (四)企业人力资源的引进与开发 1.高级人员的引进与开发 2.专业技术人员的引进与开发 3.一般员工的引进与开发 六、职业道德修养和专业胜任能力 (一)职业道德修养的定义 从事各种职业活动的人员,按照职业道德基本原则和规范, 在职业活动中所进行的自我教育、自我改造、自我完善,使
15、 自己形成良好的职业道德品质和达到一定的职业道德境界 (二) 职业道德修养的主要内容 1.爱岗敬业 2.诚实守信 3.办事公道 4.服务群众 5.奉献社会 七、企业文化及价值观 (一)企业文化的定义 企业在生产经营实践中,逐步形成的,为全体员工所认同并遵 守的、带有本组织特点的使命、愿景、宗旨、精神、价值观和 经营理念,以及这些理念在生产经营实践、管理制度、员工行 为方式与企业对外形象的体现的总和。 (二)企业文化的内容 1.经营哲学 2.价值观念 3.企业精神 4.企业道德 5.团体意识 6.企业形象 7.企业制度 (三)企业文化的功能 1.导向功能 2.约束功能 3.凝聚功能 4.激励功能
16、 5.调适功能 6.辐射功能 (四)积极建设优秀的企业文化 1.要注重塑造企业核心价值观 2.要重点打造以主业为核心的品牌 3.要充分体现以人为本的理念 4.要强化企业文化建设中的领导责任 八、法制观念 (一)法制观念的定义 以人们的法律观、法制观和法感情为基础的一系列法律观念 (二)法制观念的重要性 1.增强法制观念是企业发展的必然要求 2.增强法制观念是加强企业经营管理,确保企业经济效益的根本保 证 3增强法制观念是维护企业自身合法权益,提高企业经济效益的 保障 (三)增强法制观念的措施 1.建立企业法律顾问制度 2.继续发展和完善企业民主管理制度 3.搞好法制教育 4.依法建立健全各项规
17、章制度 5.建立健全监督和约束机制 第三章第三章 风险评估风险评估 第一节第一节 风险评估概述风险评估概述 第二节第二节 风险目标的设定风险目标的设定 第三节第三节 风险识别风险识别 第四节第四节 风险评估的意义和方法风险评估的意义和方法 第五节第五节 风险应对风险应对 第一节第一节 风险评估概述风险评估概述 一、风险的概念 (一)风险的定义 1.事件发生的不确定性 2.事件遭受损失的机会 (二)风险的构成要素 1.风险因素 2.风险事故 3.损失 (三)风险的特征 1.客观性 2.普遍性 3.损失性 4.不确定性 5.可变性 (四)风险的分类 1.按照性质可分为纯粹风险和投机风险 2.按照来
18、源可分为自然风险、社会风险、经济风险、技 术风险、政治风险、法律风险 3.按照涉及范围可分为特定风险和基本风险 (五)企业风险 1.行业风险 2.经营风险 二、风险评估的概念 (一)风险评估的维度 1.风险发生的可能性分析 2.风险产生的影响程度分析 (二)风险评估的一般程序 目标设定 风险识别 风险评估 风险应对 第二节第二节 风险目标设定风险目标设定 一、目标设定的必要性 目标设定是企业在识别和分析实现目标的风险并采取行动来 管理风险之前,采取恰当的程序去设定目标,确保所选择的 目标支持和切合企业的发展使命,并且与企业的风险承受能 力相一致。 二、目标设定方法 (一)基于总体战略目标设定风
19、险目标 (二)基于具体目标设定风险目标 (三)合理确定风险偏好与风险承受能力 第三节第三节 风险识别风险识别 一、风险识别的必要性 只有充分识别风险,才能有效的控制风险。如果不知道风险的 所在,风险评估势必陷入困境。只有全面、正确地识别、分析 出研究对象所面临的各种风险,衡量和对付风险才有实际意义。 只有风险被识别,才可以制订甚至实施有效的风险应对措施。 二、风险识别的内外部因素 (一)内部风险因素 1.董事、监事、经理及其他高级管理人员的职业操守、员工专 业胜任能力等人力资源因素。 2.组织机构、经营方式、资产管理、业务流程等管理因素。 3.研究开发、技术投入、信息技术运用等自主创新因素。
20、4.财务状况、经营成果、现金流量等财务因素。 5.营运安全、员工健康、环境保护等安全环保因素。 6.其他有关内部风险因素。 (二)外部风险因素 1.经济形势、产业政策、融资环境、市场竞争、资源供给等经 济因素。 2.法律法规、监管要求等法律因素。 3.安全稳定、文化传统、社会信用、教育水平、消费者行为等 社会因素。 4.技术进步、工艺改进等科学技术因素。 5.自然灾害、环境状况等自然环境因素。 6.其他有关外部风险因素。 三、风险识别技术方法 (一)财务报表分析法 (二)流程图分析法 (三)事件树分析法 (四)问卷调查法 (五)现场调查法 (六)保单对照法 (七)分解分析法 (八)小组讨论和访
21、谈 (九)5c要素分析法 (十)多变量信用风险判别模型 第四节第四节 风险评估风险评估 一、风险评估的意义 风险评估,是在风险识别的基础上对风险进行计量、分析、 判断、排序的过程,是风险应对的主要依据。 二、风险评估方法 (一)定量分析法 (二)定性分析法 (三)综合分析方法 (四)信用风险分析方法 第五节第五节 风险应对风险应对 一、风险应对的意义一、风险应对的意义 风险应对是风险评估的最后一道程序,在事故发生前,降低事 故发生的整体概率;事故发生后,将损失减少到最低限度,最 终达到降低单位预期财产损失的目的。做好这关键的一步对企 业的风险管理以及内部控制都至关重要。良好的风险应对方案 是企
22、业减少损失乃至创造收益的重要举措。 二、风险应对的策略二、风险应对的策略 (一)风险规避 (二)风险转移 (三)风险降低 (四)风险承受 第四章控制活动第四章控制活动 第一节第一节 控制活动概述控制活动概述 第二节第二节 不相容职务分离控制不相容职务分离控制 第三节第三节 授权审批控制授权审批控制 第四节第四节 会计系统控制会计系统控制 第五节第五节 财产保护控制财产保护控制 第六节第六节 预算控制预算控制 第七节第七节 运营分析控制运营分析控制 第八节第八节 绩效考评控制绩效考评控制 第一节第一节 控制活动概述控制活动概述 一、控制活动的概念 控制活动是企业根据风险评估结果,采用相应的控制措
23、施,将 风险控制在可承受范围之内的一系列活动。控制活动是落实风 险评估结果的基本手段,是整个内部控制体系中最为关键的组 成部分。控制活动体现在整个企业的不同层次和不同部门中, 贯穿于企业所有的运营活动中。 二、控制活动设计的基本原则 (一)合规性原则 (二)有效性原则 (三)全面性原则 (四)相互牵制原则 (五)协调配合原则 (六)程序定位原则 (七)成本效益原则 三、控制活动方法 控制方法主要有手工控制、自动控制、预防性控制、检查性 (也称发现性)控制等。 四、控制活动的内容 (一)根据权限特征,分为股权控制和经营管理权控制 (二)根据控制范围,分为战略控制和经营控制 (三)根据专业特点和职
24、能,分为人事控制、财务控制、会计 控制、生产控制等 (四)根据控制进程和时序,分为事前控制、事中控制和事后 控制 (五)根据集权程度,分为集权控制和分权控制 (六)根据控制侧重点,分为结果控制和过程控制 (七)根据控制者态度,分为积极控制和消极控制 (八)根据控制力来源,分为借力控制和自力控制 (九)根据控制层次,分为制度控制和观念控制 (十)按照经济活动的内容,分为公司层面控制和业务活动层 面控制 五、信息系统下的内部控制活动 随着信息时代的来临,传统的企业内部控制的不足和缺陷逐 步暴露。在信息系统环境下,为提高企业的经营决策效率, 需要对传统的内部控制进行整合。必须加强对在电子信息系 统环
25、境下的对财产记录的控制。 六、执行控制活动应注意的问题 (一)把握好授权尺度 (二)加强被控制对象的受控力度 (三)提高控制人员的控制能力 第二节第二节 不相容职务分离控制不相容职务分离控制 一、不相容职务的概念 不相容职务的设置源于内部牵制,所谓不相容职务是指那些如果 由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误 和弊端行为的职务。 二、执行不相容职务相分离的基本原则 建立不相容职务岗位分离制度就是在合理设置业务流程、明确岗 位职责权限的基础上,对不相容职务实行岗位分离,形成相互协 作、相互制衡、相互监督的机制,从而避免在经营管理过程中可 能出现的差错和舞弊行为。 三、不相容职务
26、的范围 (一)会计岗位设置中的不相容职务 (二)货币资金业务中的不相容职务 (三)采购与付款业务中的不相容职务 (四)存货与仓储业务中的不相容职务 (五)销售与收款业务中的不相容职务 (六)投资业务中的不相容职务 (七)筹资业务中的不相容职务 (八)固定资产、无形资产业务的不相容职务 四、不相容职务失效和优化 不相容职务对于解决舞弊的作用有时是有限的,可以说,任何内 部控制制度都是有漏洞的,不存在完美的内部控制制度,不相容 职务也是如此。 (一)不同的业务循环中的不相容职务交叉而导致不 相容职务的失效 (二)不相容职务设置本身存在漏洞 (三)不相容职务的僵化导致不相容职务设置的失效 (四)总体
27、的内部控制制度的不足导致不相容职务设 置失效 第三节第三节 授权审批控制授权审批控制 一、母公司对子公司的授权审批控制一、母公司对子公司的授权审批控制 母公司为了发挥企业集团的协同效益、从战略角度出发、对子公 司的现金、经营、投资决策等进行授权、同时拥有对子公司重大 财务事项的决策权。 二、多层组织结构形成的授权审批控制二、多层组织结构形成的授权审批控制 从公司的法人治理结构来看、在股东、董事会、经理等不同层级 之间的授权审批使不同的管理主体及相对应的职责权利形成了相 互制衡的内部控制机制。 三、各项业务中的授权审批控制三、各项业务中的授权审批控制 授权审批控制贯穿于企业的各项经营业务与事项中
28、、只有在资产 业务、工程项目业务、采购与付款业务、销售与收款业务、成本 费用业务、筹资与投资业务、担保业务等的关键控制点上建立有 效的授权审批控制、才能达到控制目标、实现对风险的有效防范。 第四节第四节 会计系统控制会计系统控制 一、会计系统控制概念 会计系统控制是重要的内部控制方法之一。在这个系统中、会计人 员在一定会计组织下、运用一定的专门方法、借助一定的计算工具 和设备、按照有关会计法规的规定和要求、对企事业单位的资金运 动进行核算和监督、登记会计凭证、会计账簿、编制会计报表、生 成会计信息资料。 二、会计系统控制的具体措施 (一)会计岗位设置和会计人员资格的控制 (二)会计凭证、会计账
29、簿的处理程序控制 (三)财务会计报告的编制、提供与披露控制 (四)会计复核控制 (五)会计档案管理的控制 (六)会计工作交接控制 第五节第五节 财产保护控制财产保护控制 一、财产保护控制概述 财产保护控制是指为了确保财产物资的安全、完整所采取的方 法和措施。财产保护控制主要包括限制接近控制和定期清查控 制两种、这是对单位实物资产安全采取的控制措施。 二、主要控制措施 (一)限制对财产的接近 (二)财产盘点 (三)加强财产的记录工作 (四)财产保险 (五)发挥内部审计对财产安全的控制 (六)财产记录监控 (七)信誉考评制度及定期对账制度 (八)应收账款催收制度 第六节第六节 预算控制预算控制 一
30、、预算控制的概念及意义 预算控制是指对单位各项经济业务编制详细的预算或计划、并通过 授权、由相关部门对预算或计划执行情况进行控制。 二、预算编制控制 预算编制的基本程序应当符合两个方面的要求:一是符合企业现代 治理结构的要求;二是符合高效、良性预算机制的内在要求。 三、预算执行控制 为了配合预算指标的执行控制,保证预算指标如期落实,企业必须 建立一套完善的预算执行制度,并采取相应的措施确保预算执行得 到控制。 四、预算调整控制四、预算调整控制 单位正式下达执行的预算一般不予调整。而在预算执行过程中, 由于主、客观条件的发展变化,为保证预算的科学性、严肃性 与可操作性,对预算进行适当的调整是必要
31、的。为此必须建立 严格、规范的调整控制制度。对于预算执行单位提出的预算调 整事项,企业进行决策时,应当遵循以下三项原则: (一)预算调整事项应当符合单位发展战略和年度生产经营目 标; (二)预算调整方案应当客观、可行、即在经济上能够实现最 优化; (三)预算调整重点应当放在预算执行中出现的重要的、非正 常的、不符合常规的关键性差异方面。 五、预算分析控制五、预算分析控制 在预算期结束以后,预算委员会要对企业预算目标实现程度、 各成员企业和部门预算目标的执行情况进行全面系统的总结与 评价,将实现的有关指标与预算相对比,找出成绩与缺陷、经 验与教训、优劣差距与生成原因,并作出预算完成情况报告供 企
32、业最高管理层决策。 六、预算考核控制六、预算考核控制 企业应当建立严格的预算执行考核制度,对各项预算执行单位 和个人进行考核,切实做到有奖有惩,奖惩分明。预算考核制 度应当明确预算考核执行机构、考核原则和依据以及考核程序 等。 第七节第七节 运营分析控制运营分析控制 一、运营分析控制的步骤一、运营分析控制的步骤 (一)明确运营分析控制的目标 (二) 确定运营分析控制的指标 (三)选择运营分析控制的分析方法 (四)采取有效的解决和处理措施 二、运营分析控制的方法二、运营分析控制的方法 (一)因素分析法 (二)对比分析法 (三)趋势分析法 三、运营分析控制的指标三、运营分析控制的指标 (一)生产环
33、节的指标 (二)采购环节的指标 (三)销售环节的指标 (四)投资环节的指标 (五)筹资环节的指标 (六)综合财务指标 第八节第八节 绩效考评控制绩效考评控制 一、绩效考评体系一、绩效考评体系 (一)绩效考评指标 1.经济增加值(EVA) 2.平衡记分卡(BSC) 3.360度反馈 (二)绩效指标的考评方法 1.层差法 2.等级评价法 (三) 绩效考评结果的应用 1.绩效改进计划 2.培训计划 3.年度绩效奖金 二、绩效考评的管理 (一)健全绩效目标控制机制 (二)建立目标明确的绩效管理计划 (三)建立科学的绩效考评指标体系 (四)建立并完善量化考核制度 (五)建立健全的绩效反馈机制 第五章第五
34、章 信息与沟通信息与沟通 第一节第一节 信息与沟通概述信息与沟通概述 第二节第二节 信息搜集与处理信息搜集与处理 第三节第三节 信息传递与沟通信息传递与沟通 第四节第四节 信息技术内部控制基本模型信息技术内部控制基本模型 第五节第五节 反舞弊机制反舞弊机制 第一节第一节 信息与沟通概述信息与沟通概述 一、信息与沟通的意义一、信息与沟通的意义 信息与沟通(information and communication)是企业及时、 准确地收集、传递与内部控制相关的信息,并使这些信息以适当的 方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过 程。 二、信息系统二、信息系统 信息系统,是指企业
35、利用计算机和通信技术,对内部控制进行集成、 转化和提升所形成的信息化管理平台。信息通过信息系统进行识别、 获取、处理和报告。 三、沟通三、沟通 沟通是信息系统所固有的功能,如上所述,信息系统必须将其信息 提供给相关人员,以使其能够合理地履行与经营、财务报告相关的 职责。 第二节第二节 信息搜集信息搜集 一、信息搜集内容一、信息搜集内容 信息是指信息系统辨识、衡量、处理及报告的标的,来源于企 业内部或外部,包括获取的行业、经济、监控,以及内部生产 经营管理、财务等方面的信息。 二、信息搜集方式二、信息搜集方式 一般来说,企业可以通过财务会计资料、经营管理资料、调研 报告、专项信息、内部刊物、办公
36、网络等渠道,获取内部信息。 同时,企业可以通过行业协会组织、社会中介机构、业务往来 单位、市场调查、来信来访、网络媒体以及有关监管部门等渠 道,获取外部信息。 第三节第三节 信息传递与沟通信息传递与沟通 一、信息传递与沟通的内容 内部信息的传递与沟通是企业内部各管理层级之间通过内部报告形 式传递生产经营管理信息的过程。 二、信息处理方法与技术 信息的质量特征通常包括:时间上的及时性和新颖性;内容上的准 确性、相关性和完整性;形式上的详尽性和呈现性。为保证信息的 有用性,在信息搜集程序完成之后,应该对信息进行处理。 信息的沟通有两层含义:一是信息资源的共享与交流,二是信息的 输出。研究企业内部控
37、制相关的信息沟通,主要关注于人与人,人 与企业,企业与企业之间的信息交流过程。信息沟通的方法包括电 子沟通、书面沟通和口头沟通等。 第四节第四节 信息技术内部控制基本模型信息技术内部控制基本模型 一、一、eSAC模型模型 为了强调基于计算机的信息系统对内部控制系统的作用和冲击, IIA(the Institute of Internal Auditors)于2001年发布了一套电子 系统保证和控制模型,即eSAC模型(economic systems Assurance and Control)。 eSAC控制模型运行流程图 二、二、COBIT模型模型 COBIT(Control Object
38、ives for Information and related Technology)是指信息系统和技术控制目标。美国信息系统审 计与控制协会(ISACA)成立于1969年,他于1996推出的用于 “IT审计”的知识体系,即COBIT。 (一)概念与地位 “IT审计”已经成为众多国家的政府部门、企业对IT的计划与 组织、采购与实施、服务提供与服务支持、监督与控制等进行 全面考核与认可的业界标准。 (二)组成与运行流程 COBIT模型由执行概要、框架、执行工具集、管理指南、控制 目标和审计指南六部分组成。 COBIT模型组成图 (三) 特征 1.以业务为中心 2.定位于流程 3.以控制为基础
39、4.由测量驱动变革 第五节第五节 反舞弊机制反舞弊机制 一一、反舞弊机制的建立反舞弊机制的建立 (一)舞弊的概念及分类 舞弊是一种采取不正当和欺骗的手段,有意识地违反既定的 公众认可的规则以损害或牟取组织经济利益的行为。 按照舞弊主体的不同,即作弊者身份的不同,可以将舞弊划 分为两类:管理舞弊和非管理舞弊。 (二)舞弊原因分析 要建立反舞弊机制,达到反舞弊的目的,就要追本溯源,找 到舞弊的原因,从根本入手,扼杀舞弊。 1.舞弊三角形理论(冰山理论) 舞弊三角理论 2.GONE理论 “GONE”理论是在美国流传最广,也是最有意思的一个企业会计 舞弊与反会计舞弊的著名理论。 GONE理论示意图 (
40、三)反舞弊机制的建立 反舞弊机制是指企业防范、发现和处理舞弊行为、优化内部 控制环境的制度安排,是企业内部控制体系的重要组成部分, 对于有效防范和控制舞弊行为的发生,减少由此给企业带来 的风险和损失,具有非常重要的作用。 1.高层的管理理念 2.业务经营过程中的内部控制 3.内部审计 4.外部独立审计 (四)反舞弊工作的重点 企业内部控制基本规范指出,企业至少应当将下列情形 作为反舞弊工作的重点: 1.未经授权或者采取其他不法方式侵占、挪用企业资产,牟 取不当利益。 2.在财务会计报告和信息披露等方面存在的虚假记载、误导 性陈述或者重大遗漏等。 3.董事、监事、经理及其他高级管理人员滥用职权。
41、 4.关机构或人员串通舞弊。 二、举报投诉制度二、举报投诉制度 (一)各级员工及与公司直接或间接发生经济关系的社会各方可通过举 报电话热线、电子信箱、 信函等途径举报公司及其人员实际或疑似舞弊 案件的信息。 (二)对涉及普通员工及中层管理人员的实名举报,审计部自接到举 报 后 2 个工作日内报总经理;对涉及普通员工及中层管理人员的匿名举报, 审计部进行初步评估并决定是否上报总经理。 (三) 对举报牵涉到公司高层管理人员的,审计部自接到举报后 2 个工 作日内报公司董事会, 由董事会决定进一步调查事项。 董事会在进行有 关调查时, 视需要可聘请外部审计师或其他机构协助调 查。 (四)接受举报投诉
42、或参与舞弊调查的工作人员不得擅自向任何部门及 个人提供投诉举报人的 相关资料及举报内容;确因工作需要查阅投诉举 报相关资料的,查阅人员必须对查阅的内容、时间、查 阅人员的有关情 况在审计部进行登记。 (五)投诉、举报人在协助调查工作中受到保护。公司禁止任何非法歧 视或报复行为,或对于 参与调查的员工采取敌对措施。 对违规泄露检举 人员信息或对举报人员采取打击报复的人员, 将予以撤 职、解除劳动合 同。触犯法律的,移送司法机关依法处理。 (六) 审计部应将舞弊案件的调查处理结果向举报人进行通报。 第六章第六章 内部监督内部监督 第一节第一节 内部监督概述内部监督概述 第二节第二节 日常监督和专项
43、监督日常监督和专项监督 第三节第三节 内部控制缺陷及认定内部控制缺陷及认定 第一节第一节 内部监督概述内部监督概述 内部监督是企业对内部控制建立和实施情况进行监督检查, 评价内部控制的有效性,发现内部控制缺陷,并及时加以改 进。内部监督是企业内部控制系统有效运行的制度基础,是 对其他内部控制要素的再控制。 一、意义 1.内部监督体系是企业内部控制的制度基础 2.内部监督体系是企业内部控制有效运行的制度保证 二、程序和方法 (一)内部监督的程序 1.制定内部控制缺陷认定标准 2.评估控制结果 3.记录与报告 (二)内部监督的方法 1.总体方法 (1)绩效计量(2)对企业运营进行测试 2.具体方法
44、与监督活动 (1)对内部控制环境的监督(2)对内部控制流程的监督 (3)对内部控制手段的监督 三、内部监督组织 我国企业内部监督组织结构是由监事会、审计委员会和内部 审计机构共同组成的。 内部监督组织结构 内部监督 组织 监事会 审计委员 会 内部审计 结构 第二节第二节 日常监督和专项监督日常监督和专项监督 一、日常监督(持续性监督) 日常监督是指企业对建立与实施内部控制的情况进行常规、持 续的监督检查。 二、专项监督(独立评估) 专项监督是指在企业发展战略、组织结构、经营活动、业务流 程、关键岗位员工等发生较大调整或变化的情况下,对内部控 制的某一方面或者某些方面进行有针对性的监督检查。企
45、业应 当定期拟定内部控制专项监督计划,确定当期专项监督的内容 和对象。 第三节第三节 内部控制缺陷内部控制缺陷 一、内部控制缺陷的定义 (一)概念 内部控制缺陷是内部控制过程存在的缺点或不足,这种缺点或不足使得内 部控制无法为控制目标的实现提供合理保证。 (二)分类 内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷,按其成 因分为设计缺陷和运行缺陷。 (三)识别 1.测试识别 采用控制过程技术分析、符合性测试等手段识别内部控制的设计缺陷和运 行缺陷。 2.迹象识别 通过所发现的已背离内部控制目标的迹象,识别内部控制的设计缺陷和运行 缺陷。 二、设计缺陷 (一)设计缺陷的概念 所谓设计缺
46、陷,是指缺少为实现控制目标所必需的控制,或现存内部控制设 计不适当或不合理、即使正常运行也难以实现控制目标而形成的内部控制缺 陷,即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。 (二)设计缺陷的测试识别 设计缺陷应该从以下两个角度识别。 (1)缺失,指缺少某一方面的内部控制政策或程序。 (2)设计不当,指虽然针对某一交易或事项制定了内部控制政策和程序, 但采用了不正确的控制手段或者由于控制政策或程序未能涵盖影响控制目标 实现的所有风险。 三、运行缺陷 (一)概念 所谓运行缺陷,是指现存设计完好的控制没有按设计意图运行, 或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而 产
47、生的内部控制缺陷。 (二)测试识别 运行缺陷需要通过对内控执行过程的穿行测试来发现。例如, 某笔资金使用需经总经理签字授权后方可使用,但企业因急需使 用资金为由在先使用的情况下再追补总经理审批手续,则可判断 资金授权审批控制存在运行缺陷。 第七章第七章 内部控制评价内部控制评价 第一节第一节 内部控制评价概述内部控制评价概述 第二节第二节 内部控制评价报告内部控制评价报告 第一节第一节 内部控制评价概述内部控制评价概述 一、内部控制评价的概念 内部控制评价,是指企业董事会或类似权力机构对内部控制的有效性进 行全面评价,形成评价结论,出具评价报告的过程。对于此定义需要从 以下三个方面来进行理解:
48、 (一)内部控制评价的主体是董事会或类似权力机构 (二)内部控制评价的对象是内部控制的有效性 (三)内部控制评价是一个过程 二、内部控制评价的原则 根据企业内部控制配套指引规定,企业实施内部控制评价至少应当 遵循下列三条原则: (一)全面性原则 (二)重要性原则 (三)客观性原则 三、内部控制评价的内容 内部控制的目标包括合规目标、资产目标、报告目标、经营目 标和战略目标。因此,内部控制评价的内容应是对以上五个目 标的内控有效性进行全面评价。 (一)内部环境评价 (二)风险评估评价 (三)控制活动评价 (四)信息与沟通评价 (五)内部监督评价 四、内部控制评价的程序 内部控制评价程序直接决定着
49、内部控制评价组织实施工作的效率 与质量,只有按照规范合理的程序科学组织实施内部控制评价, 其评价结果才具备可靠性、实用性,合理的内部控制评价应至少 包括以下八个程序: (一)制订评价工作方案 (二)明确内部控制评价的范围 (三)对现有制度及流程风险进行评价 (四)对内部控制设计有效性进行评价 (五)对内部控制执行的有效性进行评价 (六)与管理层或相关当事人沟通评价结果 (七)跟踪内部控制缺陷的整改结果 (八)出具内部控制评价报告 第二节第二节 内部控制缺陷及其认定内部控制缺陷及其认定 一、内部控制缺陷的定义及种类 (一)定义 内部控制缺陷,是指内部控制设计存在漏洞、不能有效防范错误 与舞弊,或内部控制的运行存在弱点和偏差、不能及时发现并纠 正错误与舞弊,从而使内部控制无法为控制目标的实现提供合理 保证。 (二)种类 (1)按照内部控制缺陷的成因分类,内部控制缺陷包括设计缺 陷和运行缺陷。 (2)按严重程度分为重大缺陷、重要缺陷和一般缺陷三个等级。 二、内部控制缺陷的认定 (一)内部控制缺陷认定的基础 理想
