九略-汇仁集团战略咨询项目全套企业内控制度培训提纲0711

,*,单击此处编辑母版标题样式,ninesage,企业内部控制管理,议 题,内部控制综述,内部控制系统的建立,内部控制系统的评估,2,1.1 为什么要控制？,管理的核心,降低风险,迅速发现问题,保证目标实现,加强法人治理,避免管理层及雇员欺诈,3,没有内控系统的企业，,就象坐在飞驰的马车上却没有手握缰绳!,4,企业内控系统就象牵引风筝的线，没有线的风筝,是飞不起来的,5,巴菱银行的倒闭,三株的沉没,郑州亚细亚的垮台,案例：,6,内控系统不健全的一般表现,错误的记录,虚假的财务报告,业务中断,错误的经营决策,欺诈和挪用,法律制裁,过高的成本,资源浪费,竞争劣势,7,员工汇报,内部控制,内部审计,客户反馈,偶然发现,管理层调查,58%,51%,43%,41%,37%,35%,问题是如何被发现的？,2003 Prentice Hall Business Publishing,Auditing and Assurance Services 9/e,Arens/Elder/Beasley,匿名汇报,电话通知,员工调查,政府公告,外部审计,其它原因,35%,25%,21%,16%,4%,20%,8,什么企业内部控制,内部控制是为了合理保证企业经营活动的效益性、财务报告的可靠性和法律法规的遵循性。而自行检查、制约和调整内部业务活动的自律系统，内部控制贯穿于经营活动的全部过程,9,建立内控制度目的,实现企业目标,确保守法经营,提供正确信息,维护资产安全,10,企业内控组织,董事会,管理层,内部审计人员,其他相关人员,11,企业内控系统的组成要素,控制环境,监督,控制活动,风险评估,沟通,信息,12,控制环境,外部影响,董事会和审计委员会,管理理念和经营风格,组织架构,责任的分配与授权,人力资源政策及实务,诚信的原则和道德价值观,13,控制活动,是确保企业管理阶层辩识风险后，针对风 险发出的指令得以执行的政策及程序,控制活动,交易和活动的正确授权,设计和使用正确的文件和记录,资产和记录的安全措施,独立稽核,职责分离,14,风险评估,风险评估的步骤,1、识别风险 自然的或人为的,2、评估风险 发生的可能性, 潜在的损失, 考虑效力和时间, 评估成本和收益,3、确定成本/收益/效力,15,信息和沟通,最基本的财务情报系统是记录、加工、存储、传递组织的信息。,交易如何发起的,数据是如何获取的,计算机文件是如何存储和更新的,数据是如何加工成信息的,信息是如何报告给内部使用者和外部使用者的,16,执行监督,有效的监督 培训和帮助员工, 监控业绩, 纠正错误, 保障资产安全,责任报告 使用预算、定额、标准成本和差异调查。,内部审计：复核财务报告及公开信息，评估对内部控制的影响,17,企业的内控方法,目标控制法,组织控制法,授权控制法,程序控制法,检查控制法,18,内部控制的局限性,成本限制,串通舞弊,人为差错,管理越权,形势变化,19,20,内部控制系统的建立,信息和控制的观点,系统和动态的观点,行为和目标的观点,21,一般的内部控制模式,改进建议,评估,实际状态,描述,理想状态,实际,状态,观察,文件,建议,评估,计划/目标,22,企业内控系统的设计原则,信息化原则,系统性原则,个性化原则,23,企业内控系统的设计方法,确定设计范围,确定设计主体,坚持从上而下，从下而上的设计准则,24,企业内控系统的设计要点,坚持预防为主,注重体制牵制,注重程序制约,注重责任牵制,25,建立内控制度的几个步骤,确定控制目标,设立控制流程,研究控制环节,设置控制关键点,提出控制措施,形成控制文件,26,建立内控系统应该注意的几个方面,处理好内控与经营的矛盾,处理好内控与效率的矛盾,处理好内控与,27,第三部分：企业内控系统的评估,28,企业内控系统的评估,内控系统的评估是指对照内控制度理想、合适的理论模式，对单位现行的内控制度的适当性和有效性，进行分析以及价值的评定。,有效的内部控制必须符合三个原则：适当、具有一贯性和成本效益原则,企业内控系统必须具备完整性、合理性和有效性,29,内部控制评价的基本原则,有无明确的组织结构将职能和责任适当分工？,有无批准和记录手续的规定制度以便进行各项活动的控制？,实际工作是否完全使得每一个组织部门的责任与职能得以完成？,有无与责任相称的工作人员？,30,企业内控制度的评估步骤和方法,内部控制制度调查,内控制度符合性测试,内控制度综合测试,内控制度,调查方法,内控制度,描述和初评,符合性测试,综合评估,内控制度健全性测试,31,调查内控制度方法,确定调查内容,综合运用各种制度调查技术,审阅法,询问法,观察法,调查表法,32,内控制度调查,P-调查的主要方法 S-调查的次要方法,33,内控制度调查,34,内控制度描述方法,文字说明法,制表法,流程图绘制法,35,制度初评方法,明确受审制度的理想模式“应当是什么”,明确现行的控制制度“是什么”,将两者进行比较，决定现行制度的有效性和具备足够的控制,36,符合性测试方法,根据规定的控制制度对实际的生产、技术、经营或是会计、财务活动进行检查，确定这些控制环节是否确实存在，是否始终相符，有无失控之处，即为符合性测试,符合性测试一般采用抽查方法进行，即从大量经济业务或有关记录中选择一定数量的样本，进行详细检查，根据检查结果判定整体的有效性,37,符合性测试方法,测试前的主要考虑因素：时间、种类、范围,选择测试计划的内容：目的、时间、性质（特定步骤和适当证据）、获得证据的方法、证据数量,确定测试程度：能够评价控制执行情况所需要的测试数量,确定具体测试技术：检查证据法、重新处理法、实地观察法,38,测试方法与控制类型,控制类型,测试方法,检验证据法,重新处理法,实地观察法,实物控制,S,N/A,P,批准与授权,P,S,N/A,稽核,P,S,N/A,职务分离,S,N/A,P,P-获取证据的主要方法,S-获取证据的次要方法,N/A-不适用,39,符合性测试记录表,40,综合评价方法,重点内容,企业组织架构与职责分工是否健全,反映制度的各种文件是否规范,管理制度、会计制度及内审制度是否完整,业务处理与记录程序是否正确有效,授权、批准、执行、记录、核对、报告等手续是否完备,人员选用、培训、考核、职务、轮换是否科学合理,是否有明确的岗位职责制度和奖惩制度,关键控制点是否有必要的控制措施,内部控制是否讲究经济性,评价的两个方面,可信赖程度评价,薄弱环节评价,41,评估内控系统的两个方面,内控系统组成要素的评估,企业内部活动控制的评估,42,企业内控系统组成要素评估,控制环境评估,目标风险评估,活动控制评估,资讯与沟通评估,监督评估,43,控制环境评估,从企业文化的角度,企业价值观：企业成员的诚实、正直，管理层的管理哲学,44,风险评估的焦点,整体目标的制定,部门或业务活动目标的制定,影响目标达成的风险辩识,权变的管理,45,企业整体目标形成的风险,有无特定的，根据本企业现有资源状况确立的整体目标,整体目标是否清晰地传达给公司全体员工，并处于贯彻之中,公司战略与公司整体发展目标是否一致，资源的配置是否有效,企业计划和预算是否依据战略及整体目标制订，隐含的假设是否依据过去的经验及目前的实际，是否为管理层接受,46,风险评估,树立风险意识,加强风险防范,所有者遇到的风险,经营者遇到的风险,管理者遇到的风险,操作者遇到的风险,47,资讯与沟通评估,确定企业是否已经辨认、捕捉和处理了所有与企业相关的内外部信息,48,企业内部活动控制评估,企业活动可以用波特的价值链来描述,一个企业的所有活动可以分为为顾客创造价值的主要业务活动和业务支持活动,具有代表性的企业价值链如下：,49,企 业 基 础 设 施,人 力 资 源 管 理,技 术 开 发,采 购,内部后勤,生产经营,外部后勤,市场销售,服务,利,润,利,润,辅助活动,基 本 活 动,价值链,50,如何评估企业内部活动,确定该项活动的主要和次要目标,预测活动中可能产生的风险,提出评价活动的关键点,51,企业支持活动控制评估,产品研发活动,人力资源活动,行政后勤活动,52,内控系统的评估工具,内控组成要素个别评估表,风险评估及控制活动底稿,内控制度整体评估表,53,内部控制要素个别评估表,注意焦点,说明/评注,（填写与该组成要素有关的重要问题）,（对注意焦点问题的回答，通常是该单位如何处理该问题的信息，而非“是”或“否”的回答）,结论/所需的措施,（评估由各个要素组成的子问题后，记录相关控制是否有效以及可能需要采取或考虑的行动）,本要素的汇总结论/所需的措施,（记录对要素整体评估的结果，得出该要素所包含的相关控制从总体上是否有效及需要采取的补救措施）,即分别评估内部控制系统的五个组成要素，格式如下：,54,风险评估及控制活动底稿,55,内部控制制度整体评估表,用于汇总记录各组成要素的评估结果，以便利评估主管来复核初步的结果并加入更多的信息,56,结 束,57,过程控制的观点,总体目标,财务报告目标,内部控制原理,控制环境,风险评估,系统监控,控制活动,信息沟通,58,信息化原则,用制度确保获取信息的正确性,用制度确保信息畅通和充分利用,用制度确保信息得到及时反馈,59,信息化原则的三个方面,根据信息反馈过程及各阶段的特征，实行职能分立、职责分工、事务分管，以明确职责，保证信息提供与使用的正确与及时,建立业务处理与凭证传递的合理程序，保证信息反馈过程的流畅，防止阻塞与呆滞,在信息反馈过程的关键点或平衡点实行严格的控制手续，并建立经常性的核对制度，以避免和及时发现差错,60,系统化原则,运用系统观点与系统方法的整体性、全面性、结构层次性、相关性、动态平衡性和综合与分析的统一性等特征，设计出纵横交诺的控制网络与点面结合的控制线路。,系统化原则的三个方面：,根据系统思想，进行制度规划,依据系统观点，设计制度功能,运用系统分析，设计制度结构,61,个性化原则,根据企业实际，制定符合企业运营要求的内部控制制度,62,个性化原则的几个方面,符合国家政策法规,适合企业本身的营运特点,相互牵制，符合成本效益的要求,63,企业内控环境,控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础 。,控制环境包括以下七个方面,64,诚信的原则和道德价值观,严格一致地保持诚信行为和道德标准,不盲目追求不切实际的目标，以致形成不必要的压力,对敏感职位之间的财务分工要准确明细，以避免造成偷窃资产或隐藏不佳绩效的引诱,加强企业的内部审核制度,发挥董事会的职能，使其客观监督企业的高层管理阶层,提供道德方面的指导，使所有雇员在一般和特定环境下能够保持正确的判断,制作文字化的行为准则和政策声明，将其传达给全体雇员,将诱发人们不诚实、非法和不道德行为的动机降至最低。,65,正确评定员工能力,制定正式或非正式的职务说明书,逐项分析并规定各工作岗位所须具备的知识和技能。,66,建立有效的董事会和审计委员会,成员的经验,相对于管理层的独立性,外部董事的比例,其成员参与管理的程度,所采取措施的适宜性,对管理层提出问题的深度和广度,他们与内部、外部审计人员的关系实质。,67,管理哲学和经营风格,对待和承担经营风险的方式,依靠文件化的政策、业绩指标以及报告体系等与关键经理人员沟通,对财务报告的态度和所采取的措施,对信息处理以及会计功能、人员所持的态度,对现有可选择的会计准则和会计数值估计所持有的谨慎或冒进态度。,68,组织结构,组织结构的合适性，及其提供管理企业所需信息的沟通能力,各主管人员所负责任的适当性,按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验,当环境改变时，企业配合改变其组织结构的程度,员工，尤其是负责管理及监督职能的员工人数的充足程度。,69,责任的分配与授权,对于组织内的全部活动要合理有效地分配职责和权限,为执行任务和承担职责的组织成员特别是关键岗位的人员，提供和配备所需的资源并确保他们的经验和知识与职责权限相匹配,使所有员工知道:他们的工作行为、职责担负形式和认可方式与完成组织目标的联系。,70,人力资源政策及实务,保证组织所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践,建立完善的招聘与选拔方针及操作性程序,对新员工进行企业文化和道德价值观的导向培训,对违反行为准则的任何事项，制订纪律约束与处罚措施,对业绩良好的员工，制订具有奖励和激励作用的报酬计划，并避免诱发不道德行为,根据阶段性的业绩评估结果，对员工予以晋升、指导以及奖罚。,71,风险评估,每个企业都面临来自内部和外部的不同风险，这些风险都必须加以辨认和评估，并采取相应的措施来应对。,风险评估包括以下几个方面,72,制定目标,制定目标，是风险评估的先决条件,企业的整体目标，通常是由企业的理念及其所追求的价值所决定的，而与之相配合的是企业下一级各部门的具休目标,企业整体目标包括:,营运目标，包括绩效和获利目标及保障资产的安全，使其免受损失,财务报告目标，防止对外报送不真实的财务报告,遵循目标，企业遵循国家的相关法律法规。,73,辨识和分析风险,辨识和分析风险是一种持续及反复的过程，也是有效内部控制的关键组成要素，管理阶层须谨慎注意各部门阶层的风险，并采取必要的管理措施。,企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害;经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接近资产的程度;董事会或监事会不够坚定或无效等。,74,风险管理,经济、产业及管理的环境都是会改变的，企业的活动应随之改变。因此，风险评估中最基本的部分，就是如何辨认已发生的改变，并采取必要的行动。,改变因素包括:行业环境的改变;新员工;业务迅速成长;新科技;新业务、产品、作业;公司重组;国外业务等。,75,控制活动,控制活动，是确保企业管理阶层辩识风险后，针对风险发出的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。,控制活动在企业内的各个阶层和职能之间都会出现，,76,高层经理的企业绩效分析,管理阶层记录经营活动(如:市场的扩展、生产过程改良、成本的控制)的结果，然后再与预算、预测、前期及竞争者的绩效相比较，以衡量目标达成的程度和监督计划(如:新产品开发、合资经营、融资行为)的执订情况。,77,直接部门管理。,负责某一部门的经理人员复核自己所负责部门的业绩报告，检查本部门各业务活动的情况，以便辨认趋势。,78,信息处理的控制,信息系统的控制活动可分为两类，第一类是一般控制，它帮助管理阶层确保系统能持续、适当的运转;第二类是应用控制，它包括应用软件中的电算化步骤及相关的人工程序。(一般控制包括:对资料中心运作的控制;对系统软件的控制;存取安全的控制;对应用系统的发展及维护的控制。(应用控制包括:输入控制;输出控制)。,79,实体控制,保护设备、存货、证券、现金和其它资产的实体安全，定期盘点并与控制记录所显示的金额相比较。,80,绩效指标的比较,把不同的几套数据资料(如:经营数据与财务数据)相互比较，分析它们之间的关系，然后再进行调查与纠正。以存货为例，其绩效指标包括:购货价差、订单中“紧急订货”比例、总订单中退货的比例。管理阶层需要调查超出计划的结果或者不正常的趋势，辨认采购作业的目标无法达成的原因。,81,分工,即将责任划分，再将不相容职务分派给不同的员工，以降低错误或不当行为的风险。,82,信息与沟通,企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。,信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。,企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。,83,信息系统,信息系统处理企业内部信息和外部信息。内部信息资料包括采购资料、销售交易资料、内部营业活动资料和内部生产过程资料;外部信息资料包括显示本企业产品的需求发生改变时，某种特定市场或行业的经济资料，用于企业生产的商品的资料，显示顾客偏好的市场情报，竞争对手产品开发活动的信息，立法机关与行政机关所发布的信息。企业建立良好的信息系统，必须做到；建立良好的信息系统支持策略，信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质。,84,沟通,内部沟通需要做到:所有的员工，特别是那些负有重要营业责任或财务管理责任的员工，除了得到用以管理其负责活动的重要资料以外，还应当得到来自最高管理层需谨慎承担内部控制责任的清楚信息;必须让每个人清楚的知道个人所担负的特定任务，了解内部控制制度的各项规定、它们如何生效，以及他(她)在控制系统中所扮演的角色及所承担的责任;员工在其执行任务时，一旦有非预期的事项发生，除了要注意该事项本身之外，还应当注意导致该事项发生的原因，如此才有办法辨认潜在缺失，采取行动，并预防再度发生;员工必须知道他(她)所负责的活动是怎样与他人的工作发生关联的;员工必须拥有在组织中向上沟通重要信息的方法,外部沟通应做到:顾客和供应商能经过开放的沟通管道输入重要的信息,;,与相关的外部团体沟通，以便获悉关于本企业内部控制功能的重要信息;外部审计人员对企业营业、相关业务问题及控制系统审计后，可以提供给管理阶层及董事会重要的控制信息;政府主要机关(如:银行或保险机关)所报道的复核或检查的结果，可以有效的弥补控制的缺失。,85,对内控系统的监督,内控系统也需要被监督，用于评估其自身的运营状况。,监督是由适当的人员，在适当及时的基础下，评估内控系统的设计和实际运作。,监督活动由持续监督、个别评估所组成，以确保企业内控系统持续有效的运作。,86,持续的监督活动,负责营运的管埋阶层在履行其日常的管理活动时，取得内部控制系统持续发挥功能的资料，当营运报告、财务报告与他们所得到的资料有大偏离时，可对报告提出质疑,来自外界团体的沟通，可以验证内部信息的正确性，并能及时反映问题的所在,适当的组织机构及监督活动，可用来辨识缺失,各个职务的分离，使不同员工之间可以彼此相互检查，以防止舞弊,把信息系统所记录的资料同实际资产核对;内、外部稽核人员定期提出强化内部控制系统的建议,培训课程、规划会议和其他会议，可把控制是否有效的重要信息反馈给管理阶层,定期要求员工陈述他们是否了解企业的行为准则，并加以遵守，,87,个别评估,尽管持续监督程序可以有效的评估内部控制体系，但企业有时需要组织例外评估以直接监视控制系统的有效性，这种做法可评估持续性监督程序。评估的范围和频率，视风险的大小及控制的重要性而定。,88,缺陷报告,内部控制的缺失应由下往上报告，某些缺失应报告给高层管理阶层及董事会知道。,89,管理层的职责,管理层是内控系统的最终责任人,在大型企业，高层管理者通过为中层管理者提供发展方向和定期检查其对业务的控制，中层管理人员通过为下属确立控制制度和程序来实现各自的职责,在实现内控过程中，最重要责任人是财务人员,90,企业内控的一般模式,目标与目的,计划与程序,理想状态,实际状态,测定差异例外,例外情况向管理部门报告,必要的行动,继续,91,行政领导控制设计,职权控制设计,授权控制设计,激励机制设计,信息沟通设计,92,文字说明法,文字说明法是使用一种叙事性的描述对制度加以说明,文字说明法通常使用的问题如下,工作人员处理了哪些业务或凭证？,这些业务或凭证是如何发生的？,要求什么样的批准手续？,有无会计分录？,产生了什么样的记录？,93,制表法,内控制度弱点记录表,内控制度强点记录表,94,企业内控系统的基本组成要素,环境控制,风险控制（道德风险、财务风险）,流程控制,能力控制,资源控制,95,