内部控制评价.ppt

1、一，内部控制概述,1. 内部控制定义 COSO在2004年，颁布企业风险管理整合框架对内部控制的定义： 在企业的经营活动的过程中，为企业实现战略和经营目标提供合理保证的、由企业的全部员工一起完成，用于风险的识别、评估和应对的控制措施和活动。 我国内部控制基本规范的定义： 由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。,合理保证企业经营管理合规合法、 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略,内部控制的目标,2. 内部控制的原则,成本效益原则,适应性原则,制衡性原则,重要性原则,全面性原则,3. 内部控制要素概述,内部控制要素概念 内

2、部控制要素是指内部控制整体的必要内容构成部分，是对内部控制系统的科学合理的简明的划分。合理确定内部控制要素有利于具体实施内部控制制度。 内部控制要素划分 内部控制要素划分与设置在内部控制发展的不同历史时期是有着较大区别的，内部控制要素划分与设置经历了“三要素论”、“五要素论”和“八要素论”的发展变化。,（1） 内部环境,内部环境的定义 内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。,（2） 风险评估,风险评估定义 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（一）目标设定 （二）风险

3、识别 （三）风险分析 （四）风险应对,（3） 控制活动,定义 控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内的一系列活动。 控制措施一般包括： 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制等。,（4）信息与沟通,定义 信息与沟通是指企业收集、整理与企业相关的各类信息，并创造条件使之以适当的方式在不同的管理层级中进行充分传递，并得到充分的理解，以此来实现有效沟通的目的。 1. 信息收集 2信息传递 3信息共享 4反舞弊机制 、举报人投诉制度和举报人保护制度,（5）内部监督,定义 内部监督是指企业对其内部控制的健全

4、性、合理性和有效性进行监督检查与评估，形成书面检查报告并做出相应处理的过程。 内部监督分为日常监督和专项监督。 日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查； 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。,内部控制五要素之间的关系,4.内部控制的局限性,1、成本效益原则的限制 2、对例外业务失去作用 3、制度时效性限制 4、高层管理人员滥用职权造成的局限性 5、人为的判断不可避免的会出现失误 。,第二节 内部控制评价的程序和方法,常电公司开展内部控制自我评价工作,2

5、009年1月，江苏常熟发电有限公司（以下简称“常电公司”）正在开展内部控制自我评价工作，此次工作的目的是为了客观反映企业内部控制的总体情况，及时发现内部控制的缺陷和薄弱环节，以达到加强管理、堵塞漏洞目的，从而提高企业的抗风险能力，提高企业的管理水平和经济效益，合理保障职工及股东的利益。,该公司这次内部控制自我评价的依据为企业管治常规守则，中国电力制度体系、中国电力内部控制手册等。评价内容主要有十八项，分别为控制环境、风险管理、战略与计划管理、全面预算管理、授权管理控制、人力资源管理、货币资金管理控制、销售与收款管理控制、采购与付款管理控制、燃料管理控制、工程项目管理控制、对外投资管理控制、筹资

6、控制、固定资产管理控制、担保业务控制、外币业务管理控制、信息保护和审计监督。,该公司这次内部控制自我评价工作从10月10日开始，分准备阶段、实施阶段和总结阶段三个部分进行实施，预计到10月28日全部结束。 自2008年企业内部控制基本规范及其配套指引发布之后，全国各省、各行业都纷纷争先开展内部控制自我评价的培训工作，掀起了一阵内部控制自我评价的热潮。内部控制作为存在于企业内部的一种重要的制度安排，本质上属于企业内部管理制度的一部分。,内部控制自我评价本质上是对内部控制制度本身进行监督和控制的必要机制，是完善与优化内部控制系统的重要制度安排。那么什么是内部控制评价？谁是内部控制评价的主体？内部控

7、制评价的客体是什么？内部控制评价工作应该如何开展？内部控制评价工作的最终成果表现为什么？,一 内部控制评价概述,一、内部控制评价的定义企业内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 从以下三个角度进行理解：（1）内部控制评价的主体是董事会或类似权力机构。（2）内部控制评价的对象是内部控制的有效性。（3）内部控制评价是一个过程。,内部控制运行的有效性,内部控制设计的有效性,内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。包括内部控制设计的有效性和内部控制运行的有效性,内部控制 的有效性,控制过程,控制过

8、程,控制目标,合规目标内部控制的有效性,资产目标内部控制的有效性,报告目标内部控制的有效性,经营目标内部控制的有效性,战略目标内部控制的有效性,内部控制评价的原则 （1）全面性原则（2）重要性原则核心要求：坚持风险导向的思路坚持重点突出的思路（3）客观性原则,二 内部控制评价的原则,三 内部控制评价的组织和职责安排,一、内部控制评价的组织机构 （一）内部控制评价的责任主体及其职责董事会是内部控制评价的责任主体，对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺

9、陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。,（二）内部控制评价的具体组织实施主体及其职责内部控制评价工作的具体组织实施主体一般为内部审计机构或专门的内部控制评价机构。在实践中，也有组织非常设内部控制评价结构，比如组成内部控制评价小组。企业也可以委托会计师事务所等中介机构实施内部控制评价。,内部控制评价的组织和职责安排,（二）内部控制评价的具体组织实施主体及其职责内部控制评价机构必须具备一定的设置条件： 具备独立性。 具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素质。 与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致。 能够得到企

10、业董事会和经理层的支持。,内部控制评价的组织和职责安排,（三）其他相关部门及其职责,组织实施 支持配合积极整改,经理层,内控自查 测试评价 积极整改,各专业部门,逐级落实 日常监控 督促整改,所属单位,审议 监督,监事会,内部控制评价的组织和职责安排,四、内部控制评价的内容,内部控制评价应紧紧围绕内部控制五要素进行： （1）内部环境评价 （2）风险评估评价 （3）控制活动评价 （4）信息与沟通评价 （5）内部监督评价,1 从企业层面内控系统的评价内容,（1）内部控制环境评价,.,诚信与道德观,管理理念和经营风格,胜任能力,董事会,组织机构,Text,人力资源政策,内部审计,权责分配,诚信和道德

11、观,企业建立和实施内部控制必须加强文化建设，培育积极向上的价值观和社会责任感。倡导诚实守信、爱岗敬业、开拓创新和团队协作情神树立现代管理理念强化风险意识。 董事、监事、经理及高级管理人员应当在企业文化建设发挥主导作用。,公司治理结构,人力资源政策,（2）风险评估方面的评价,（3）控制活动方面的评价,企业针对每一项业务活动是否都有必要和恰当的控制政策和程序,已确定的控制政策是否得到持续、恰当的执行。,控制活动评价重点应关注：,（4）信息与沟通方面的评价,一个企业必须建立一个通畅的企业内部信息网络，才能真正做到快速、有效地管理企业，保证质量，控制成本以快速应对市场变化。,向上传播机制,横向传播机制

12、,向下传递机制,信息与沟通,充分的信息,沟通贯穿与信息处理的整个过程中,（5）监控方面的评价,企业内部监督指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，风险内部控制缺陷， 及时加以改进的一个过程。,企业内部监督指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，风险内部控制缺陷， 及时加以改进的一个过程。,2 业务层面内控系统的评价内容,业务层次的内控系统评价是对企业各项业务控制系统的健全性、恰当性和有效性进行评价，不同类型、不同性质企业的业务控制体系是不一样的对一个工业生产性企业来说，企业内控体系的构建与运行主要通过如下一些业务控制制度的制定与实施来完成：货

13、币资金、采购与付款、销售与收款、存货、固定资产、工程项目、对外投资、筹资、成本费用、预算、担保、合同、人力资源管理以及计算机信息系统等等。 对业务控制系统的评价，主要是看企业对每项业务关键环节控制制度的设计和执行情况。,五 内部控制评价程序,内部控制评价程序,制定评价工作方案,组成评价工作组,实施现场检查测试,汇总评价结果,编制企业内控评价报告,报告反馈与追踪,六、 内部控制评价的方法,个别访问法,专题讨论法,比较分析法,实地查验法,抽 样 法,穿行测试法,调查问卷法,内部控制评价的方法,调查表,符合性测试,检查,6.验收单上是否有主管人员签字?,符合性测试,检查,5.验收单是否一式多联？,符

14、合性测试,检查,4.验收单是否连续编号？,符合性测试,检查,3.验收单上是否有技术鉴定人员的签字？,询问、观察,2.验收的职责是否独立于请购、采购和记账职责？,符合性测试,检查,1.验收部门是否审核订货单，验收单是否与订购单相符？,不适用,否,是,评价,取得方式,回答,问题,*、*,被调查部门：验收部门、采购部门 被调查人,1,页次,2007.3.9,复核人,截止日：2007.1.1-2007.12.31,N2-2,索引号,2007.3.9,编制人,项目：采购与付款循环/验收、退货与折让和保管环节企业内部控制调查,日期,签名,*分公司,第三节 内部控制自我评价报告,内部控制缺陷的认定,一、内部

15、控制缺陷的定义和种类 内部控制缺陷是内部控制在设计和运行中存在的漏洞，这些漏洞将不同程度地影响内部控制的有效性，影响控制目标的实现。 内部控制缺陷的认定通常被视作判断内部控制有效性的一个负向维度。衡量内部控制有效性的关键步骤就是查找内部控制在设计或运行环节中是否存在重大缺陷。,内部控制缺陷的认定,内部控制缺陷的认定,二、内部控制缺陷的认定标准按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。,内部控制缺陷的认定,（一）财务报告内部控制缺陷的认定标准 与财务报告内部控制相关的内部控制缺陷所采用的认定标

16、准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。其中，所谓“重要程度”主要取决于两个方面的因素： （1）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。 （2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。,内部控制缺陷的认定,一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷 一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中错报的金额虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视，就应将该缺陷认定

17、为重要缺陷。 不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。,内部控制缺陷的认定,一旦企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。 财务报告内部控制重大缺陷的认定十分关键，而区分一项内部控制缺陷是否构成了重大缺陷的分水岭是“重要性水平”，重要性水平之上的为重大错报，重要性水平之下的为重要错报或者一般错报。,内部控制缺陷的认定,出现以下迹象之一则通常表明财务报告内部控制可能存在重大缺陷： （1）董事、监事和高级管理人员舞弊； （2）企业更正已公布的财务报告； （3）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该

18、错报； （4）企业审计委员会和内部审计机构对内部控制的监督无效。,需要说明的是，内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于该控制不能及时防止或发现并纠正潜在缺陷的可能性。即只要存在这种“合理可能性”，不论企业的财务报告是否真正发生了错报，都意味着财务报告内部控制存在缺陷。,内部控制缺陷的认定,案例 兰花岗矿务局内部控制系统评价案例,兰花岗矿务局是年产1000万吨煤炭的大型煤炭工业企业。根据审计署下达的2002年度审计项目计划安排，驻煤炭部审计局于2002年6月27日至7月6日，采用内部控制制度评价方法，对兰花岗矿务局2001年1月至2002年6月的营业收入及应收账款管理控制

19、系统进行了就地审计。 在实施审计过程中，审计组找出了企业内部控制制度上的薄弱环节和控制流程图上的关键失控点，发现了一些深层次管理上存在的问题。,案例 兰花岗矿务局内部控制系统评价案例,1煤炭销售合同管理控制点存在缺陷。 2应收账款管理存在失控点。 （1）煤炭产品发运通知单控制点失控。 （2）应收账款清理控制点存在不足。 （3）清欠收回以物顶账物资账务处理存在不足。 3煤炭装车发运管理控制点存在不足。 4基层采区销售煤炭控制存在不足。 5销售成本结转账务处理存在不足。,内部控制缺陷的认定,（二）非财务报告内部控制缺陷的认定标准 非财务报告内部控制缺陷是指除财务报告目标之外的与其他目标相关的内部控

20、制缺陷，包括战略内部控制缺陷、经营内部控制缺陷、合规内部控制缺陷、资产内部控制缺陷。 非财务报告目标内部控制缺陷的认定具有涉及面广、认定难度大的特点，尤其是战略内部控制缺陷和经营内部控制缺陷。,内部控制缺陷的认定,以下迹象通常表明非财务报告内部控制可能存在重大缺陷： 国有企业缺乏民主决策程序 企业决策程序不科学，如决策失误，导致并购不成功； 违犯国家法律、法规，如环境污染； 管理人员或技术人员纷纷流失； 媒体负面新闻频现； 内部控制评价的结果特别是重大或重要缺陷未得到整改； 重要业务缺乏制度控制或制度系统性失效。,案例 煤气化“掩耳盗铃”,煤气化公司（000968）本不属于要求强制披露内部控制

21、信息的上市公司范畴，但该公司却在2007年3月的年报中主动、自愿披露相关的内部控制报告，并由北京立信会计师事务所出具了标准无保留意见的内部控制审核报告。 该公司不仅自愿披露内部控制，而且还经过了独立会计师的审核，甚至我们也可以假设其具有良好的管理控制体系。但是，更加详尽的分析却表明煤气化的治理控制体系存在着较为严重的问题，致整个公司治理机制未能有效发挥控制作用。,案例 煤气化“掩耳盗铃”,例如，2004年，煤气化与集团公司（大股东）签署了气源厂资产租赁协议，由该公司向集团公司租赁气源厂的54.41%的资产，租赁费用为每年7860.21万元，期限从2004年10月1日起至2006年9月30日止。

22、 据煤气化公告称，之所以有上市公司租赁集团公司的气源厂资产，是因为2004年国内焦炭市场形式较好，公司为增加新的利润增长点，给投资者以较高的回报而做出了租赁经营气源厂的决定。然而，事实却是，2005年气源厂发生亏损，而且亏损一直延续。在此不难看出，通过租赁的安排，本应由大股东承担的气源厂亏损全部落在了上市公司的身上。,案例 煤气化“掩耳盗铃”,2006年10月25日，在该公司预测2007年焦炭的售价为每吨850元，低于2005年时的每吨865.28元的水平（气源厂2005年的亏损是在焦炭的售价为每吨865.28元的情况下发生的）的情况下，竟再次与大股东签署了气源厂资产租赁协议。此次协议的签署，

23、公司居然绕过了股东大会，因为其内部控制报告中的公司治理结构明确指出：“股东大会是公司最高权力机构，通过董事会对公司进行管理和监督。董事会是公司的常设决策机构，向股东大会负责，对公司经营活动中的重大决策问题进行审议并做出决定，或提交股东大会审议。”这也就意味着董事会对重大决议有直接决定权，未必需要股东大会审议通过。这种制度设计，实际上是为大股东侵犯小股东铺平了道路；但事实上，这种制度安排却是对公司法中有关股东会职权等规定的公然违背。,案例 煤气化“掩耳盗铃”,在这种情况下，尽管该公司自愿披露内部控制报告，并经过独立会计师审计后出具了无保留意见的内部控制审核报告，尽管该公司在内部控制报告中阐明了公

24、司的内部治理结构和详细的管理控制规定，但实际上，其公司对于公司治理结构的设计安排以及重大事项的决策程序本身就存在着重大的缺陷，以致其它任何控制手段都显得苍白无力。,内部控制缺陷的认定,三、内部控制缺陷的认定步骤 （一）财务报告缺陷的认定步骤 第一步，结合财务报告内部控制缺陷的迹象，判断是否可能存在财务报告内部控制缺陷。 第二步，确定重要性水平和一般水平，以此作为判断缺陷类型的临界值。可采用绝对金额法或者相对比例法进行确定。 第三步，抽样。按照业务发生频率的高低和账户的重要性确定抽样数量。,内部控制缺陷的认定,第四步，计算潜在错报金额。其计算公式为： 潜在错报金额=潜在错报率相应账户的同向累计发

25、生额 第五步，如果重要性水平和一般水平是绝对金额，那么可直接将潜在错报金额合计数与其比较，判断缺陷类型；如果重要性水平和一般水平是相对数，需进一步计算错报指标再进行比较判断。错报指标的计算公式如下: 错报指标=潜在错报金额合计数/当期主营业务收入（或期末资产）,内部控制缺陷的认定,（二）非财务报告缺陷的认定步骤 第一步，结合相关迹象，判断是否可能存在非财务报告内部控制缺陷。 第二步，采用定性或者定量的方法确定认定标准。 第三步，根据标准分别对每起事故进行认定。,内部控制缺陷的认定,表 A公司的非财务报告缺陷认定标准,内部控制自我评价报告,一、内部控制评价底稿 内部控制评价工作底稿是内部控制工作

26、的载体，也是内部控制评价报告形成的基础。 一般来说，评价底稿包括业务流程评价表、控制要素评价表、内部控制评价汇总表三个层次。,内部控制评价报告的形成示意图,内部控制自我评价报告,内部控制自我评价报告,二、内部控制评价报告 （一）内部控制评价报告的编制要求 内部控制评价报告可分为对内报告和对外报告。 对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求。 对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。,（二）内部控制评价报告的内容 1董事会声明。 2内部控制评价工作的总体情况。 3内部控制评价的依据。 4内部控制评价的范围。 5内部控制评价的程序和方法。 6内部控制缺陷及其认定。 7内部控制缺陷的整改情况。 8内部控制有效性的结论。,内部控制自我评价报告,（三）内部控制评价报告的披露与报送 企业内部控制评价指引规定，企业编制的内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应以每年的12月31日为年度内部控制评价报告的基准日，于基准日后4个月内报出内部控制评价报告。,内部控制自我评价报告,