培训讲义：内部控制与萨宾斯法案(ppt 49)

内部控制如何降低风险？
内部控制
暴露的金额
降 低
发生的 可能性
风险的大小
内部控制的重要性
成功
有效的 内部控制
风险与经营回 报的良好平衡
内部控制的重要性（续）
COSO报告《内部控制－整体架构》 AICPA《审计准则公告第78》号 《会计法》（第四章第27条） 财政部《内部会计控制规范》 证监会《证券公司内部控制指引》 证监会《商业银行内部控制指引》征求意见稿
内部控制和萨宾斯法案
走进内部控制 - 主要内容
一、基本概念阐述 二、内控系统整体架构 三、内部控制的实施
内部控制的定义
内部控制 -
被定义为一个过程，这个过程受企业的董事会、 管理层及其他人员影响。设计这个过程是为达成 下列目标提供合理的保证：
•营运的效果和效率 •财务报表的可靠性 •相关法令的遵循
… ….
内控系统的整体架构
控制环境
➢是任何企业的核心，是企业的人以及它所处的环境 ➢是推动企业的引擎，也是其他要素的基础
控制环境的组成要素：
• 管理哲学和经营风格 • 组织结构 • 董事会及其委员会职能 • 职责分配和授权 • 人事政策
控制环境－管理哲学和经营风格
审计署对23家企业的调查结果
％
制定公司长远规划
Hale Waihona Puke Baidu
55％－制定内控
信息技术规划
30％－制定公司长远规划
与各经营部门协调
➢监事会
•监事会职责 •监事会与外部中介机构
风险评估
➢企业必须了解它所面临的风险，并加以控制。即设立可辨 识、分析和管理相关风险的机制
➢风险评估就是分析和辨识为实现企业目标所可能发生的风 险。 目标 风险 控制行为 控制活动
评估和更新 环境变化后的管理
如何有效地进行风险管理
各行业的前10种最主要的风险因素
管理层在内部控制中的地位和作用
▪ 内部控制的主体:管理层（承担的职责是计划、 组织、领导其组织的活动，即对组织的内部控 制负责）
▪ 内部审计对管理层组织的内部控制进行监督， 以协助管理层有效地履行他们的职责。
实施内部控制制度
逐项复核内控是否存在于现有流程中，是否有效 必要时进一步制定具体政策和管理报告 考虑成本效益原则 强化对内控的监督与评估
最有效的办法
实施控制时的成本效益原则
实施内控时常出现的误区
管理层在实施内控中未承担应有职责 过分强调控制成本 片面强调人员素质 认为内控包治百病
调查结果－总会计师职责分布
中国：
80％－组织日常财务工作
美国：
财务管理及内部控制
70％－审核财务报表及管理报表 收购与兼并
60％－制定投融资决策
现金管理
人事和薪金 资本性采购
营销和销售
采购和付款
存货管理
控制活动的类型
事前
1 预防性控制 2 检查性控制 3 纠正性控制 4 补偿性控制
事中
事后
一些重要的内控方法
• 职责分离控制 • 授权批准控制 • 内部报告控制 • 电子信息技术控制
……
不相容职务相互分离控制－示例
工作职责
存在的风险
同时负责现金的收取和应收 可能会通过注销应收账款和截留应收账款等调节账簿
资产不实 负债不实 利润不实
10.39% 7.89%
其中： 虚报 隐瞒 潜亏
94.98% 52.89% 92.77%
金额（亿元）
38.87 36.92 20.53 36.06
控制环境－董事会及委员会职能
➢独立董事 ➢专门委员会
•设立审计委员会，及委员会成员资格要求 •审计委员会职责 •专门委员会与外部中介机构
10 政府法规
管理人员对完成目标的压力
其他 内部控制的质量 管理人员的能力 管理人员的正直程度 会计系统的近期变动 业务的复杂性 资产的流动性 单位的规模 经济环境恶化 重要人员的变动 快速的增长
控制活动
➢企业必须基于风险评估的结果订立控制风险的政策及程序， 并予以执行。
➢通常可以按业务分别进行制定。
管理风险
管理风险习惯上分为以下五类：
财务和经营信息不足 政策、计划、程序、法律和标准贯彻失败 资产流失 资源浪费和无效使用 不能达到企业的目的和目标
风险的后果？
•竞争失败 •经营中断 •法律诉讼 •商业欺诈 •无益开支 •资产损失 •决策失误
风险如何最小化？
加强系统的内部控制
对可能的损失投保
当可能的风险较大时， 寻求较大的回报
务流程进行审查 按性质的不同分为综合授权和特别授权 要对授权做好记录，并提供证明文件 避免两个极端：“层层审批”和“一支笔”
内部报告控制
完善内部管理报告系统 内部报告上报时间及报告路线 内部报告的分发控制 内部报告的分析和跟进
信息系统控制－目标
保持数据完整
维护资产安全 提高资源使用效率
企业营运时必须的资讯，并交换这些资讯 ➢信息系统：内部、外部 ➢沟通：使员工知悉其在业务经营、财务报告及法律遵循方
面的责任
监督
➢整个内部控制的执行过程必须被监督 ➢确保内部控制制度随情况的改变而作出动态的反应 ➢应建立检查和报告体制
监督是谁的职责?
• 管理层应对内控执行情况进行持续监督 • 内部审计部门应进行定期、不定期的个别评估
次序
银行/保险业/证券
制造业
1 内部控制的质量
内部控制的质量
2 管理人员的能力
管理人员的能力
3 管理人员的正直程度
管理人员的正直程度
4 会计系统的近期变动
单位的规模
5 单位的规模
经济环境恶化
6 资产的流动性
业务的复杂性
7 重要人员的变动
重要人员的变动
8 业务的复杂性
会计系统的近期变动
9 快速的增长
快速的增长
账款的会计记录
的方法来私自挪用现金
同时负责购货订单的审批和 货物的收取
可能以组织的名义为个人购入货物，在收取货物时利
用职务之便将货物占为己有，同时不向会计部门递交 原始凭证或者在原始凭证上反映虚假信息
同时负责付款的审批和购货 可能会伪造购货业务并支付货款，从而贪污现金 订单签发与审核
授权批准控制
在开展任何业务之前都应进行授权 授权以后，为了避免滥用权力，还要经常对业
有效达到 企业目标
符合相关的法律 、法规和政策
一般信息系统控制
提高企业信息系统的整体可信赖程度的控制
✓信息系统的组织和管理 信息系统操作 外包厂商管理 数据安全
✓危机处理与业务持续计划
应用系统安装与维护 ✓数据库安装与支持 ✓网络支持 ✓系统软件支持 ✓硬件支持
信息与沟通
➢贯穿在风险评估和控制活动过程中 ➢这些系统使企业内的人员能取得他们在执行、管理和控制