《CPA鉴证第五章内部控制审计(151页PPT).pptx》由会员分享,可在线阅读,更多相关《CPA鉴证第五章内部控制审计(151页PPT).pptx(151页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第五章内部控制审计1开篇案例我国第一份内部控制审计的否定意见报告2012年3月23日,信永中和会计师事务所为山东新华制药股份有限公司(以下简称新华制药)2011年 12月 31日财务报告内部控制的有效性出具了审计报告信永中和认为由于新华制药的内部控制存在重大缺陷及其对实现控制目标的影响,对其内控报告出具了否定意见从2006年证券交易所的鼓励使我国上市公司陆续开始发布内部控制评价报告及审计意见起,这是我国第一份上市公司非标准的内部控制审计意见2开篇案例新华制药下属子公司山东新华医药贸易有限(以下简称医贸公司)内部控制制度对多头授信无明确规定,在实际执行中,医贸公司的鲁中分公司、工业销售部门、商业
2、销售部门等三个部门分别向同一客户授信,使得授信额度过大重大缺陷一新华制药下属子公司医贸公司内部控制制度规定对客户授信额度不大于客户注册资本,但医贸公司在实际执行中,对部分客户超出客户注册资本授信,使得授信额度过大,同时医贸公司也存在未授信的发货情况重大缺陷二3开篇案例该重大缺陷使得新华制药对山东欣康祺医药有限公司及与其存在担保关系方形成大额应收款项 60,731千元,同时,因欣康祺医药经营出现异常,资金链断裂,可能使新华制药遭受较大经济损失。2011年度,新华制药对应收欣康祺医药及与其存在担保关系方货款计提了 48,585千元坏账准备。有效的内部控制能够为财务报告及相关信息的真实完整提供合理保
3、证,而上述重大缺陷使新华制药内部控制失去这一功能,因而信永中和对其内部控制审计报告出具了否定意见4开篇案例结合案例分析并思考:信永中和是否对新华制药内部控制失效承担责任?注册会计师在内部控制审计中的主要风险点及如何控制?5本章框架内部控制概述内部控制基本理论内部控制审计6内部控制概述内部控制的历史演进内部控制的现实意义我国内部控制法规的发展我国企业内部控制规范的框架体系7内部内部牵制牵制内部控内部控制系统制系统内部控制内部控制结构结构内部控制内部控制整合框架整合框架企业风险管理企业风险管理整合框架整合框架8 内部控制的历史演进内部控制是组织运营和管理活动发展到一定阶段的产物,是科学管理的必然要
4、求内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段,并已初步呈现向企业风险管理整合框架演变的趋势内部牵制阶段控制一词最早产生于17世纪,其原始含义是“由登记者之外的人对账册进行的核对和检查”20世纪以前,盛行的观念和实务都停留在内部牵制阶段。这一阶段社会生产力还相对落后,大规模商品生产尚不发达,内部牵制是适应这一阶段的时代背景而产生的9内部牵制阶段这一阶段的主要特点是“以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工,每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”内部牵制机能主要包括:分
5、权牵制、实物牵制、机械牵制和簿记牵制这一阶段的不足之处,在于人们还没有意识到内部控制的整体性,强调内部牵制机能的简单运用,不够系统和完善10内部控制体系阶段这一阶段从时间上看大致为20世纪40年代至80年代适应这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点,在注册会计师行业的推动下,内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统11内部控制体系阶段1972年11月,审计准则执行委员会将内部控制一分为二,由此内部控制进入“制度二分法”或“二要素”阶段。这一阶段的内部控制正式被纳入制度体系之中,同时管理控制成为内部控
6、制的一个重要组成部分美国会计准则委员会(ASB)审计准则公告的制定者,循着证券交易法的路线进行研究和讨论,在第 1号公告(SASNo.1)中,提出了管理控制和会计控制12内部控制体系阶段会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成会计控制旨在保证:经济业务的执行符合管理部门的一般授权或特殊授权的要求;经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表,以及落实资产责任;只有在得到管理部门批准的情况下,才能接触资产;按照适当的间隔期限,将资产的账面记录与实物资产进行对比,一经发现差异,应采取相应的补救措施会计控制管理控制包括但不限于组织计划以及与管
7、理部门授权办理经济业务的决策过程有关的程序及其记录这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计控制的起点管理控制13内部控制结构阶段进入20世纪80年代,人们对内部控制的研究重点逐步从一般含义向具体内容深化1988年美国AICPA发布的审计准则公告第55号首次以“内部控制结构”的概念代替“内部控制系统”,该公告认为,内部控制结构由下列三个要素组成:控制环境,会计系统和控制程序14内部控制结构阶段控制环境对建立、加强或削弱特定政策和程序效率发生影响的各种因素具体包括:管理者的思想和经营作风;企业组织结构;董事会及其所属委员会,特别是审计委员会发挥的
8、职能;确定职权和责任的方法;管理者监控和检查工作时所用的控制方法,包括经营计划、预算、预测、利润计划、责任会计和内部审计;人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等会计系统会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法,明确各项资产和负债的经营管理责任健全的会计系统应实现下列目标:鉴定和登记一切合法的经济业务;对各项经济业务按时进行适当分类,作为编制财务报表的依据;将各项经济业务按适当的货币价值计价,以使列入财务报表;确定经济业务发生的日期,以便按照会计期间进行记录;在财务报表中恰当地表述经济业务以及对有关内容进行揭示控制程序管理当局所制订的
9、用以保证达到一定目的的方针和程序包括下列内容:经济业务和经济活动的批准权;明确各个人员的职责分工,防止有关人员对正常业务图谋不轨的隐藏错弊;职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责;凭证和账单的设置和使用,应保证业务和活动得到正确的记载:对财产及其记录的接触和使用要有何保护措施;对已登记的业务及其计价要进行复核15内部控制结构阶段内部控制结构阶段对于内部控制的发展的贡献主要体现在两个方面:首次将控制环境纳入内部控制的范畴不再区分会计控制和管理控制,而统一以要素来表述16内部控制整合框架阶段1992年9月,COSO发布了著名的内部控制整合框架,并于1994年进行了修订
10、该报告系内部控制发展历程中的一座重要里程碑,它对内部控制下了一个迄今为止最为权威的定义:“内部控制是由主体的董事内部控制是由主体的董事会、管理层和其他员工实施的,旨在为经营的效率和有效性、财会、管理层和其他员工实施的,旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程证的过程。”17内部控制整合框架阶段内部控制是一个过程,它是实现目标的手段,而不是目标本身内部控制是由人员来实施的,它并不仅仅是政策手册和表格,还涉及组织中各个层级人员的活动内部控制只能为主体目标的实现提供合理保证,而不是绝对保证内部
11、控制被用来实现一个或多个彼此独立又相互交叉的类别的目标,内部控制目标包括经营目标、财务报告目标和合规目标1819内部控制整合框架阶段COSOCOSO报报告告还还明明确确了了内内部部控控制制的的内内容容,即即内内部部控控制制包包括括五五个个相相互互独独立立而而又相互联系的构成要素又相互联系的构成要素控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通和监控信息与沟通和监控内部控制整合框架阶段20COSO内部控制整合框架企业风险管理整合框架阶段2004年9月,COSO发布了企业风险管理整合框架(简称ERM框架)该框架指出,“全面风险管理是一个过程,它由一个主体的董事全面风险管理是一个过程,它
12、由一个主体的董事会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,会、管理层和其他人员实施,应用于战略制定并贯穿于企业之中,旨在识别可能会影响主体的潜在事项、管理风险,以使其在该主旨在识别可能会影响主体的潜在事项、管理风险,以使其在该主体的风险容量之内,并为主体目标的实现提供合理保证体的风险容量之内,并为主体目标的实现提供合理保证”。21这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识基于这一认识,COSO提出了战略目标、运营目标、报告目标和合规目标等四类目标,并指出风险管理包括八个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和
13、监控企业风险管理整合框架阶段22企业风险管理整合框架企业风险管理整合框架阶段目标ERM框架不仅涵盖了内部控制框架中的经营、财务报告和合规三个目标,而且还新提出了一个更具管理意义和管理层次的战略管理目标,同时还扩大了报告的范畴内容ERM框架除了包括内部控制整合框架中的五个要素外,还增加了目标制定、风险识别和风险应对三个管理要素概念ERM框架提出了两个新概念风险偏好和风险容忍度观念ERM框架提出了一个新的观念风险组合观23整合框架的创新点内部控制的现实意义衡量一项制度的价值,不在于其历史渊源多么长久,而在于其在当今社会是否具有普遍的现实意义随着生产力的发展、企业经营方式的改变、企业制度的变迁,内部
14、控制在企业经营管理活动中的重要性越发凸显,已经逐渐成为企业防范和抵御风险的有效屏障和保障企业实现健康、科学、可持续发展的保护伞2425 内部控制的现实意义内部控制作为组织内部的一种制度安排,意义有以下三点:1实施内部控制有助于提升企业管理水平2实施内部控制有助于提高企业的风险防御能力3实施内部控制有助于维护社会公众的利益我国内部控制法规的发展1985年会计法对会计稽核所作出的规定,是我国首次在法律文件上对内部牵制提出的明确要求1996年6月,财政部颁发了会计基础工作规范1997年5月,我国专门针对内控的第一个行政规定出台,中国人民银行颁布了加强金融机构内部控制的指导原则,其中要求金融机构建立健
15、全有效的内部控制运行机制。该指导原则对于金融机构内部控制的建设意义重大,为我国金融机构的内部控制制度建设和发展奠定了基础26我国内部控制法规的起步阶段我国内部控制法规的发展亚洲金融危机影响下我国内部控制法规的发展1999年10月新修订的会计法颁布,该法在第二十七条中明确提出:“各单位应当建立、健全本单位内部会计监督制度,单位内部会计监督制度应当符合下列要求:记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约;重大对外投资、资产处置、资金调度和财产清查的范围、期限和组织程序应当明确;对会计资料定期进行内部审计的办法和程序应当明确。”27我国
16、内部控制法规的发展SOX法案推动下的我国内部控制法规建设2004年底和2005年6月,国务院领导就强化我国企业内部控制问题作出重要批示,要求“由财政部牵头,联合有关部委,积极研究制定一套完整公认的企业内部控制指引”28金融危机和后危机时代我国内部控制法规的完善2008年5月,财政部等5部委联合发布了企业内部控制基本规范,要求2009年7月1日起在上市公司范围内施行,并且鼓励非上市的大中型企业也执行基本规范2010年4月15日,财政部等5部委出台企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引,要求2011年1月1日起在境内外同时上市的公司实行,在上
17、海证券交易所、深圳证券交易所主板上市公司2012年1月1日起施行,并择机在中小板和创业板上市公司施行,同时也鼓励非上市大中型企业提前执行我国企业内部控制规范的框架体系2008年5月22日,财政部会同证监会、审计署、银监会、保监会出台企业内部控制基本规范(以下简称“基本规范”)2010年4月15日,又发布了企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引。内部控制基本规范和配套指引的发布,标志着我国内部控制规范体系的形成,是我国内部控制制度发展的里程碑29我国企业内部控制规范的框架体系基本规范内部控制体系的最高层次,起统驭作用三大指引之间既相互独立,
18、又相互联系,形成一个有机整体应用指引对企业按照内部控制原则和内部控制五要素建立健全本企业内部控制所提供的指引,在配套指引乃至整个内部控制规范体系中占居主体地位评价指引为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引注册会计师和会计师事务所执行内部控制审计业务的执业准则30我国企业内部控制规范的框架体系31我国企业内部控制规范的框架体系基本规范是内部控制体系的最高层次,起统驭作用,是制定应用指引、评价指引、审计指引和企业内部控制制度的基本依据内部控制目标规定了五个方面,即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略3
19、2基本规范我国企业内部控制规范的框架体系基本规范第四条规定了企业建立与实施内部控制的五项原则:一是全面性原则;二是重要性原则;三是制衡性原则;四是适应性原则;五是成本效益原则基本规范第五条规定了内部控制的五要素,即内部环境、风险评估、控制活动、信息与沟通和内部监督33基本规范我国企业内部控制规范的框架体系内部控制应用指引内部环境类指引控制业务类指引控制手段类指引34我国企业内部控制规范的框架体系内部环境应用指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引控制业务类应用指引是对各项具体业务活动实施的控制,此类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保
20、业务、业务外包、财务报告等指引控制手段类应用指引包括全面预算、合同管理、内部信息传递和信息系统等指引35我国企业内部控制规范的框架体系内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程内部控制评价指引主要内容包括:实施内部控制评价应遵循的原则、内控评价的内容、内控评价的程序、内控缺陷的认定以及内控评价报告36内部控制评价指引我国企业内部控制规范的框架体系内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计审计指引主要内容包括:审计责任划分、审计范围、整合审计、计划审计工作、实施审计工作、评价控制缺陷、出具审计报
21、告以及记录审计工作37内部控制审计指引内部控制基本理论内部控制的定义 内部控制的目标内部控制的原则 内部控制的要素 内部控制的局限性38内部控制的定义 根据企业内部控制基本规范的解释,“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”39内部控制的定义内部控制是一种全员控制u内部控制是一种全员控制,即内部控制强调全员参与,人人有责u内部控制的“全员控制”与董事会、监事会和经理层在内部控制的建设和实施过程中的领导作用并不矛盾,领导者与普通员工仅仅是分工不同、承担的权责大小不同,但都是内部控制的参与主体40内部控制的定义内部控制是一种全面控制u内部控制是一种全面控制
22、,是指内部控制的覆盖范围要足够广泛,涵盖企业所有的业务和事项,包含每个层级和环节,而且还要体现多重控制目标的要求u应当注意的是,内部控制只能为控制目标的实现提供“合理保证”,而不是“绝对保证”,这是因为企业目标的实现除了受制于企业自身限制外,还会受到外部环境的影响,而内部控制无法作用于外部环境41内部控制的定义内部控制是一种全程控制u内部控制是一种全程控制,是指内部控制是一个完整的内部控制体系时间顺序上看,可分为内容上看,可分为42事前控制 事中控制 事后控制 制度设计制度执行监督评价 内部控制的定义以上是从不同角度对内部控制的理解。内部控制的定义在内部控制概念框架中处于基础地位,是内部控制目
23、标、原则、要素推演的理论依据和逻辑起点,也是企业设计和执行内部控制的最基本的要求只有真正做到了全员控制、全面控制和全程控制,内部控制的设计才不会出现盲点,内部控制的执行才会合理有效,内部控制的作用才能真正发挥43内部控制的目标战略目标合规目标资产目标经营目标报告目标44内部控制的目标经营管理合法合规目标u经营管理合法合规目标是指内部控制要合理保证企业在国家法律和法规允许的范围内开展经营活动,严禁违法经营u经营管理合法合规是企业生存和发展的客观前提,是内部控制的基础性目标,是实现其他内控目标的保证45内部控制的目标资产安全目标p资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经
24、营活动的物质前提p资产安全目标有两个层次:确保资产在使用价值上的完整性,主要是指防止货币资金和实物资产被挪用、转移、侵占、盗窃以及对无形资产控制权的旁落确保资产在价值量上的完整性,主要是防止资产被低价出售,损害企业利益46内部控制的目标资产安全目标u内部控制的基本思想在于制衡,因为有了制衡,两个人同时犯同一错误的概率大大减少,从而加大了不法分子实施犯罪计划、进行贪污舞弊行为的难度,从而保护企业的资产被非法侵蚀或占用,保障企业正常经营活动的顺利开展47财务报告及相关信息真实完整目标财务报告及相关信息的真实完整目标是指内部控制要合理保证企业提供了真实可靠的财务信息及其他信息内部控制的目标财务报告及
25、相关信息真实完整目标u为确保财务报告及相关信息真实完整应做到:应按照企业会计准则的有关会计制度如实地核算经济业务、编制财务报告,满足会计信息的一般质量要求应通过内部控制制度的设计,包括不相容职务分离控制制度、授权审批控制制度、日常信息核对制度、惩罚制度等,来防止提供虚假会计信息,抑制虚假交易的发生4849内部控制的目标提高经营的效率和效果目标u提高经营的效率和效果是内部控制要达到的最直接也是最根本的目标u良好的内部控制可以从以下四个方面来提高企业的经营效率和效果:u(1)组织精简、权责划分明确,各部门之间、工作环节之间要密切配合,协调一致,充分发挥资源潜力,充分有效的使用资源,提高经营绩效内部
26、控制的目标提高经营的效率和效果目标(2)优化与整合内部控制业务流程,避免出现控制点的交叉和冗余,也要防止出现内控盲点,要设计最优的内控流程并严格执行,最大限度地提高执行效率(3)建立良好的信息和沟通体系,提高管理层的经济决策和反应的效率(4)建立有效的内部考核机制,提高工作的效率和效果50内部控制的目标促进企业实现发展战略目标u促进企业实现发展战略是内部控制的最高目标,最高目标,也是终极目标终极目标。战略与企业目标相关联并且支持其实现的基础,是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择51内部控制的目标内部控制目标之间的关系u内部控制的五个目标不是彼此孤立的,而是相互联
27、系、共同构成了一个完整的内部控制目标体系u其中,战略目标是最高目标,是与企业使命相联系的终极目标;经营目标是战略目标的细化、分解与落实,是战略目标的短期化与具体化,是内部控制的核心目标;资产目标是实现经营目标的物质前提;报告目标是经营目标的成果体现与反映;合规目标是实现经营目标的有效保证52内部控制的目标53内部控制目标之间的关系内部控制的原则内部控制原则全面性重要性制衡性适应性成本效益54内部控制的原则全面性原则全面性原则即内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项内部控制的建立在层次上应该涵盖企业董事会、管理层全体和员工,在对象上应该覆盖各项业务和管理活动
28、,在流程上应该渗透到决策、监督、反馈等各个环节,避免内部控制出现空白和漏洞总之,内部控制应该是全程控制、全员控制和全面控制55内部控制的原则重要性原则u内部控制的重要性原则即内部控制应当在兼顾全面的基础上突出重点,针对重要业务和事项、高风险领域和环节采取更为严格的控制措施,确保不存在重大缺陷。u“三重一大”,是指“重大决策、重大事项、重要人事任免及大额资金使用”5657内部控制的原则 重要性原则三重一大重大决策事项:企业贯彻执行党和国家的路线方针政策、法律法规和上级重要决定的重大措施,企业发展战略、破产、改制、兼并重组、资产调整、产权转让、对外投资、利益调配、机构调整等方面的重大决策,企业党的
29、建设和安全稳定的重大决策,以及其他重大决策事项重要人事任免事项:企业直接管理的领导人员以及其他经营管理人员的职务调整事项重大项目安排事项:企业资产规模、资本结构、盈利能力以及生产装备、技术状况等产生重要影响的项目的设立和安排大额度资金运作事项:超过由企业或者履行国有资产出资人职责的机构所规定的企业领导人员有权调动、使用的资金限额的资金调动和使用内部控制的原则制衡性原则内部控制的制衡性原则要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率58内部控制的原则适应性原则u适应性原则的思想是基于“权变”理论,根据权变理论,建立内部控制制度不可能一劳永
30、逸,而应当与其经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。在当今日益激烈的市场竞争环境中,经营风险更具复杂性和多变性5960内部控制的原则 成本效益原则内部控制的成本内部控制的设计成本:内部控制的实施成本 内部控制的鉴证成本:聘请注册会计师实施内部控制审计的鉴证费用 自行设计成本外包设计成本 评价和监督人员的工资 实施内部控制因降低了效率带来的机会成本 内部控制制度嵌入到信息系统后的信息系统的运行和维护成本 61内部控制的原则 成本效益原则u成本效益原则要求实施内部控制应当权衡成本与预期效益,以适当的成本实现有效控制 成本效益原则要义 u值得说明的是,内部控制
31、的建立和实施要符合成本效益原则,也是内部控制对目标的保证程度不是绝对保证、而是合理保证的重要原因之一努力降低内部控制的成本 合理确定内部控制带来的经济利益 内部控制的要素62企业内部控制基本规范内部控制五要素框架图示内部控制的要素内部内部环境境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,这是企业实施内部控制的重要基础,表明企业实施内部控制,应先从治理结构等入手,现代企业如果没有良好的治理结构,内部控制就会形同虚设风险评估估指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险、合理确定风险应对策略的过程,这是企业实施内部控制的重要环节控制活控制活动指企业根
32、据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内,这是企业实施内部控制的重要手段信息与信息与沟通沟通指企业应及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通,这是企业实施内部控制的重要条件内部内部监督督指企业应对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进,这是企业实施内部控制的重要保证63内部环境内部环境是企业实施内部控制的基础,一般包括:治理结构机构设置及权责分配内部审计人力资源政策企业文化等64内部环境企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执
33、行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权董事会对股东(大)会负责,依法行使企业的经营决策权65内部环境监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责经理层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作从内部控制角度来讲,决策权和经营权相分离,体现了内部控制理念。董事会和经理层应当厘清定位,履行各自相应的职责。董事会应更多地从战略角度对企业发展的重大问题进行决策,经理层应落实董事会决议,更多地抓好决策执行66内部环境治理
34、结构治理结构是由股东大会、董事会、监事会和管理层组成的,决定公司内部决策过程和利益相关者参与公司治理的办法,主要作用在于协调公司内部不同产权主体之间的经济利益矛盾,克服或减少代理成本 67人力资源政策人力资源政策应当包括下列内容:员工的聘用、培训、辞退与辞职;员工的薪酬、考核、晋升与奖惩;关键岗位员工的强制休假制度和定期岗位轮换制度;掌握国家秘密或重要商业秘密的员工离岗的限制性规定;有关人力资源管理的其他政策内部环境企业文化企业文化是一切从事经济活动的组织之中形成的组织文化,是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则,是一种具有企业个性的信念和行为方式。企业文化包含四个要
35、素:制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用,共同构成企业文化的完整体系。企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识68风险评估69风险评估是企业及时识别、系统分风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策相关的风险,合理确定风险应对策略略风险评估风险评估由目标设定、风险识别、风险分析和风目标设定、风险识别、风险分析和风险应对险应对构成风险评估是内部控制的重要环节,在企业生产经营过程中,只有进行科学的风险
36、评估,自觉地将风险控制在可承受范围之内,才能实现企业的可持续发展70风险评估企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进行风险评估企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平71风险评估实现企业经营的合法合规,需要进行风险评估实现资产安全目标,需要进行风险评估实现财务报告及相关信息真实完整,需要进行风险评估实现提高经营效率和效果,需要进行风险评估实现企业发展战略,需要进行风险评估风险评估首先要设定目标。目标设定后,要根据既定目标有计划地
37、全面、系统、持续地收集内外部相关信息。企业可以利用信息化手段,加大信息收集量,提高信息的准确性和及时性,以使企业结合实际情况,及时进行风险评估72风险评估风险识别、分析与评估董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素组织机构、经营方式、资产管理、业务流程等管理因素研究开发、技术投入、信息技术运用等自主创新因素财务状况、经营成果、现金流量等财务因素营运安全、员工健康、环境保护等安全环保因素其他有关内部风险因素企企业识别内内部部风险,应当关注下列当关注下列因素因素经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素法律法规、监管要求等法律因素安全稳定、文化传
38、统、社会信用、教育水平、消费者行为等社会因素技术进步、工艺改进等科学技术因素自然灾害、环境状况等自然环境因素其他有关外部风险因素企企业识别外外部部风险,应当关注下列当关注下列因素因素73风险评估风险应对风险应对可以分为四类:避免风险:指采取措施退出会给企业带来高风险的活动减少风险:指减少风险发生的可能性或其影响转移风险:指通过转嫁风险或与他人共担风险,降低风险发生时对企业的影响度接受风险:指直接接受可能发生的风险及其影响 风险管理的目的不是去消灭风险,而是将企业风险发生的可能性和影响都控制在可接受的范围内74风险评估风险应对75规避风险(排除规避风险(排除规避风险(排除规避风险(排除Avoid
39、ance 不作为)不作为)不作为)不作为)减少风险减少风险减少风险减少风险(损失预防与抑制损失预防与抑制损失预防与抑制损失预防与抑制Loss prevention and Loss prevention and controlcontrol)共担风险共担风险共担风险共担风险(转移或保险转移或保险转移或保险转移或保险TransferTransfer)接受风险接受风险接受风险接受风险(保留或承担保留或承担保留或承担保留或承担retention or assumption retention or assumption)风险评估风险应对规避风险采取措施退出会产生风险的活动风险规避可能包括退出一个产品
40、线、减少向新地区市场的扩张或出售某分公司任何经济单位对风险的对策,首先考虑到的是避免风险,尤其是对静态风险尽可能予以避免 76风险评估风险应对规避风险避免风险的方法还可以分为完全避免和部分避免两种完全避免,就要不惜放弃伴随风险而来的盈利机会部分避免,主要取决于成本因素和非经济因素。如果避免收益大于避免成本,就可以考虑避免,否则可以不要避免77风险评估风险应对规避风险对一些风险过大的方案应加以回避,如:拒绝与不守信用的厂商业务往来放弃可能明显导致亏损的投资项目新产品在试制阶段发现诸多问题而果断停止试制 对突发性、高风险,其损失巨大而又难以回避的,有意识地采取避险措施 风险规避可以从三个层面展开:
41、战略风险规避、项目性风险规避、方案风险规避78风险评估风险应对减少风险 减少风险采取措施减少风险发生的可能性,减少风险的影响或者两者同时减少。这可能包括各种日常经营决策 事先从制度、文化、决策、组织和控制上,从培育核心能力上提高企业的防御风险的能力减少风险主要有两方面意思:一是控制风险因素,减少风险的发生;二是控制风险发生的频率和降低风险损害程度79风险评估风险应对准确的预测,如对汇率预测、利率预测、债务人信用评估等决策多方案优选和相机替代及时与政府部门沟通获取政策信息在发展新产品前,充分进行市场调研实行设备预防检修制度以减少设备事故选择有弹性的、抗风险能力强的技术方案,进行预先的技术模拟试验
42、,采用可靠的保护和安全措施采用多领域、多地域、多项目、多品种的投资以分散风险80减少风险风险评估风险应对共担风险 通过转嫁风险或与他人共担风险,采取措施降低风险发生的可能性或降低风险对企业的影响 普通的风险共担技术包括购买保险产品、共同分担风险、参与套期交易或者外购活动81风险评估风险应对共担风险企业以一定代价(如保险费、赢利机会、担保费和利息),采取某种方式(如参加保险、信用担保、租赁经营、套期交易、票据贴现等等),将风险损失转嫁给他人承担,以避免可能给企业带来灾难性损失 向专业性保险公司投保风险共担,如实行合资、联营、增发新股、发行债券、联合开发等风险主体转移。如通过技术转让、特许经营、战
43、略联盟、租赁经营和业务外包转让经营风险;通过委托开发、购买专利来转移技术风险82风险评估风险应对共担风险由于风险转移必然带来利益的流失,因此,企业应当在识别风险的类型和大小,权衡得失后,选择恰当的方式转移。一般地,自然风险宜用投保,较大的财务风险宜用风险共担,过大的技术风险和生产风险宜用风险主体转移83风险评估风险应对接受风险不采取任何行动而接受可能发生的风险及其影响 如果企业有足够的财力和能力承受风险损失时,可以采取风险自担和风险自保,自行消化风险损失风险自担,就是风险损失发生时,直接将损失摊入成本或费用,或冲减利润。风险自保,就是企业预留一笔风险金或随着生产经营的进行,有计划计提风险基金如
44、呆账损失、大修理基金等。这适用于损失较小的风险84控制活动控制活动是指结合具体业务和事项,运用相应的控制政策和程序,或称控制手段去实施控制控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等企业应通过采用手工控制与自动控制、防护性控制与发现性控制相结合的方法实施相应的控制措施85信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通信息与沟通的主要环节有:确认、计量、记录有效的经济业务;在财务报告中恰当揭示财务状况、经营成果和现金流量;保证管理层与单位内部、外部的顺畅
45、沟通信息与沟通的方式是灵活多样的,但无论哪种方式,都应当保证信息的真实性、及时性和有用性86内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进内部监督分为日常监督和专项监督日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定87内部控制的局限性内部控制制度在保证企业经营管理合法合规、资产安全、财务
46、报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略方面具有一定的作用但内部控制仅仅为以上目标的实现提供合理保证,而不是绝对保证,原因就在于内部控制本身具有一定的局限性88内部控制的局限性越权操作内部控制制度的重要实施手段之一是授权批准控制,授权批准控制使处于不同组织层级的人员和部门拥有大小不等的业务处理和决定权限,但是当内部人控制的威力超过内部控制制度本身的力量时,越权操作就成为了可能越权操作的危害极大,不仅打乱了正常的工作秩序和工作流程,而且还会徇私舞弊、违法违规创造了一定的条件89内部控制的局限性合谋串通内部控制制度源于内部牵制的理念:因为相互有了制衡,在经办一项交易或事项时
47、,两个或两个以上人员或部门无意识地犯同样的错误的概率要大大小于一个人或部门串通的结果则完全破坏了内部牵制的设想,消弱了制度的约束力,使内部控制制度无效90内部控制的局限性成本限制根据成本效益原则,内部控制的设计和运行是要花费代价的,企业应当充分权衡实施内部控制带来的潜在收益与成本,运用科学、合理的方法,有目的、有重点地选择控制点,实现有效控制。内部控制的实施受制于成本与效益的权衡。内部控制的根本目标在于服务于企业价值创造,如果设计和执行一项控制带来的收益不能弥补其所耗费的成本,就应该放弃该项控制91内部控制审计审计范围与审计目标计划审计工作实施审计工作评价控制缺陷出具审计报告92审计范围与审计
48、目标企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制财务报告内部控制企业为了合理保证经营合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略而设计和执行的内部控制企业所有内部控制93审计范围与审计目标内部控制审计的范围的确定需要考虑以下因素:注册会计师的胜任能力成本效益的约束投资者的需求对非财务报告内部控制审计的做法94审计范围与审计目标内部控制审计的业务范围界定我国内部控制审计的业务范围:我国企业内部控制审计指引中规定注册会计师应当对财务报告内财务报告内部控制部控制的有效性发表
49、审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露95审计范围与审计目标对特定基准日内部控制的有效性进行审计,针对特定时点相关内部控制的有效性发表意见对特定时期内部控制的有效性进行审计,针对特定时期相关内部控制的有效性发表意见对特定时期内部控制设计与运行的有效性进行审计,针对特定基准日的相关内部控制的有效性发表意见96内部控制审计时间的确定方式审计范围与审计目标我国内部控制审计的时间范围:我国企业内部控制审计指引从三种方式的互动中寻求平衡,从程序上要求注册会计师应在特定期间特定期
50、间对内部控制进行了解和有限测试,从结果上要求注册会计师针对特定时点特定时点的内部控制的有效性发表意见97审计范围与审计目标内部控制审计的目标2007年6月12日,PCAOB发布的AS5第3段规定,财务报告内部控制审计的目标是对公司财务报告内部控对公司财务报告内部控制的有效性发表意见制的有效性发表意见COSO认为,如果董事会和管理层能够合理保证下述事项,那么就可以认为内部控制是有效的:他们了解公司的经营目标在何种程度上得到了实现;公布的财务报表是可信赖的;适用的法律和规章得到了遵循98审计范围与审计目标内部控制审计的目标我国企业内部控制审计指引第四条规定,注册会计师应当对财务报告内部控制的有效性