《AIS的内部控制审计-财务管理iyl.pptx》由会员分享,可在线阅读,更多相关《AIS的内部控制审计-财务管理iyl.pptx(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、AIS的内部控制审计主要内容内部控制概念演进及框架信息系统环境下的内部控制SOX法案与IT环境下的内部控制我国内部控制规范(2009)内部控制审计方法与步骤一、内部控制概念及发展内部牵制阶段内部控制的产生内部控制两要素阶段内部控制三要素阶段-内部控制结构内部控制五要素阶段-内部控制整体框架内部控制八要素阶段-企业风险管理整体框架内部牵制内部牵制的理念产生于上世纪40年代以前主要特点:任何个人或部门不能单独控制任何一项或一部分业务权力,必须进行组织上的责任分工。内部牵制的形式实物牵制:例如把保险柜的钥匙交给二个以上的工作人员持有。机械牵制:例如保险柜的大门若非按正确程序操作就打不开。体制牵制:采
2、用双重控制预防错误和舞弊的发生。簿记牵制:定期将明细账与总账进行核对。内部牵制的基本理念二个或以上的人或部门无意识地犯同样错误的机会是很小的;二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部控制的产生1949年,美国会计师协会的审计程序委员会在内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”此定义及其相应的解释,当时被普遍认为是
3、对认识内部控制这一概念的重大贡献,因为在此之前内部控制概念从未受到如此的重视。内部控制两要素阶段1958年10月美国审计程序委员会发布了第29号审计程序公告对内部控制进行了重新定义,将内部控制划分为会计控制和管理控制两要素。内部会计控制:内部会计控制:包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序,包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。内部管理控制:内部管理控制:包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序,一般包括统计分析、业绩报告、员工培训和质量控制等。“COSO”与“美国反欺诈财务报告委员会”COSO(TheCommitteeOfS
4、ponsoringOrganizationsoftheTreadwayCommission):1985年,美国五大会计职业团体为发起设立Treadway委员会,并成立了一个“发起组织委员会”,这是一个自发的民间组织,其目的是发起设立美国反欺诈财务报告委员会,并提供财务支持。同时致力于研究如何通过改善商业道德、有效的内部控制和公司治理来提高财务报告质量。内部控制三要素的发展1988年美国AICPA发布了第55号审计准则公告,首次以“内部控制结构内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。内部控制结构包括三个要素:控制环境:反映董
5、事会、管理者、所有者对控制的态度和行为。会计系统:规定各项经济业务的确认、归集、分类、登记和编报方法。控制程序:指管理当局为保证实现目标而制定的政策和程序。内部控制三要素的发展内部控制结构的特点:正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素,但渐渐地认识到控制环境是内部控制的一个组成部分,是内部控制体系得以建立和运行的基础及保证。二是不再区分会计控制与管理控制,这是因为通过研究发现,这两者往往是不可分割的,是相互关系的。“COSO”与“内部控制整体框架”(五要素)自1987年的Treadway报告和1988年9个审计准则公告发布后,COSO对内部控制问题又进行了较深
6、入系统的研究,于1992年发布了内部控制整体框架报告,该报告是国际内部控制理论发展的又一重要里程碑。COSO认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。COSO中的内部控制结构COSO五要素控制环境:用以规范企业之纪律及内部控制之架构,为一重要基础。道德价值观,诚信原则,管理哲学,胜任的能力等,同时还包括组织结构和职责划分等更为正式的控制。风险评估:企业辨认不能达成组织目标或临时发生性的状况所做出分析,以作为应对管理的依据。控制活动
7、:确保管理层的指令得以实现的机制,授权、核准、验证、调节。信息及沟通:财务及非财务之信息用适时有效的方式,并给予以辨识、搜集、传递与相关人员。监督:由各管理阶层或特定组织检查与评估内部控制执行质量的过程。内部控制发展至五个要素阶段,为什么如此重要呢?几个案例农行邯郸支行现金被盗案邯郸市中级人民法院2007年8月9日一审对任晓峰、马向景做出死刑、剥夺政治权利终身的判决,对赵学楠、宋长海、张强三被告人判罚有期徒刑五年、三年和缓期徒刑的判决后,任晓峰、马向景、赵学楠不服,均提出上诉。9月19日上午,河北省高级人民法院经审理认为,一审判决认定的事实清楚,证据确实、充分,适用法律正确,量刑适当,审判程序
8、合法,并依照中华人民共和国刑事诉讼法的有关规定,做出终审裁定,驳回任晓峰、马向景、赵学楠的上诉,全案维持原判。对任晓峰、马向景维持死刑判决的裁定,河北省高级人民法院将依法报请最高人民法院核准。任晓峰、马向景、赵学楠、张强、宋长海(由左至右)农行邯郸支行现金被盗案邯郸市中级人民法院经审理查明:2006年10月13日至18日,任晓峰与赵学楠、张强利用看管金库的便利条件,先后两次从金库盗取人民币20万元购买彩票,后归还。2007年3月16日至4月13日,任晓峰与马向景又多次从金库盗取人民币共计近3,296万元,任晓峰用其中3,125万元购买彩票,在投入巨额资金未中奖的情况下,任晓峰用余款中的7.68
9、万元购买了捷达轿车一辆,准备出逃。2007年4月14日8时许,任晓峰和马向景再次密谋后,从金库盗出现金6箱共计1,800万元,用其中1,410万元购买彩票。任晓峰分得余款329.9万元,马向景分得余款60万元。任晓峰得知彩票未中奖后,遂通知马向景分头潜逃。农行邯郸支行现金被盗案与邯郸农行金库5,100万元盗案相关,4名银行职员也被指控犯有国有企业人员失职罪,其中包括原农行邯郸分行副行长张希仲和原现金管理中心副主任安长海。去年3至4月间,邯郸农行金库管库员任晓峰、马向景等轻而易举地从银行金库盗取现金5,000余万元,直至案发后邯郸农行才发现金库现金被盗,从而暴露了邯郸农行在管理方面存在的漏洞,这
10、4名银行职员因此受到刑事追究。农行邯郸支行现金被盗案另一事件:2006年11月6日下午,丛台区法院开庭审理邯郸农行直属营业部会计主管程红英涉嫌国有企业人员失职罪一案。据指控,去年4月12日17时30分许,邯郸农行管库员任晓峰打电话给程红英,谎称其一个朋友是直属营业部的大户,要存95万元,程红英以快下班无法清点为由予以拒绝。任晓峰提出由现金清点中心替其营业部收款后,程红英表示同意为其办理。程红英违反操作规程,在在未见储户、未审未见储户、未审核存款人的有效身份证件、未收取现金的情况下,授权柜核存款人的有效身份证件、未收取现金的情况下,授权柜员办理了员办理了9595万元的存款业务,并让任晓峰代替储户
11、在存款万元的存款业务,并让任晓峰代替储户在存款凭条上签名确认,致使邯郸农行损失凭条上签名确认,致使邯郸农行损失9595万元万元。公诉方认为,程红英在担任邯郸农行营业部会计主管期间,滥用职权,造成国有企业严重损失,也应当以国有企业人员失职罪追究其刑事责任。炒作期货失控案例1995年2月26日,新加坡巴林公司期货经理尼克里森投资日经225股指期货失利,造成巴林银行14亿美元损失,最终导致具有200多年历史的英国巴林银行的破产。2004年10月,中国航油(新加坡)股份有限公司由于操作风险较高的原油期货期权等金融衍生工具不当,导致公司亏损约5.5亿美元。完善内部控制制度的必要性近年来国内商业银行和企业
12、频繁发生重大案件,表明商业银行和企业自身的内部控制存在严重缺陷,主要表现在:没有形成系统的内部控制制度,缺乏主动的风险识别与评估机制,内部控制措施零散、不系统,监督检查环节不到位,内部控制结果不稳定,缺乏对内部控制持续改进的驱动力,风险管理的长效机制没有从根本上得到建立。从五个要素来看-缺陷控制环境无效的审计委员会缺乏由高层管理推动的全公司范围的内部控制管理流程缺乏反舞弊和举报机制会计政策和程序过时、不一致、没有完整记录或缺乏有效沟通对非常规、复杂或特殊交易的帐务处理的控制不充分内部控制的主要缺陷风险评估缺乏正式的企业风险管理流程或程序控制活动缺乏有效运行和记录完整的公司层面控制错误报告和信息
13、披露编制流程无效对分支机构的控制无效信息与沟通缺乏对信息系统的有效控制缺乏对财务报告中使用的终端用户应用程序(如电子表格)和数据的控制内部控制的主要缺陷监督董事会和审计委员会对风险和控制的理解不充分无效的内部审计缺乏正式的对财物结账流程的控制或监督不能对外包流程的控制进行评估和测试任晓峰的建议书任晓峰的建议书根据我这次的犯罪经过,我把我对银行金库管理的一些建议写出来,希望能对防止犯罪事件的再次发生,起到一些作用。一、监控方面1、应安排专人负责查看监控录像,并定期抽查以前的录像记录,查看是否有违规操作等情况;2、每日必须检查监控设备的正常使用及备份情况,监控数据备份保存时间最少在3个月以上;3、
14、在非工作时间必须设防110联网报警系统,对非工作时间,进入设防范围或金库内的人员,要马上向领导汇报详细情况;4、金库内必须安装监控设备。任晓峰的建议书任晓峰的建议书二、严格执行规章制度1、应安排现金中心,主管或副主任每旬查一次金库,安排现金中心主任每月查一次金库;2、在查库时,应先核对记帐情况是否属实,然后根据碰库清单,认真核对现金数额,对装好的整包现金,必须打开包进行核对;3、各级领导在查库时,都不应该在固定时间和日期;4、对重要岗位的人员(如记帐员、管库员),应实行强制休假制度,在不事先通知情况下,由领导监督交接工作;5、应对现金中心的每个岗位,都制定出各自的岗位职责和工作要求,对现金中心
15、工作人员要定期进行思想教育学习。任晓峰的建议书任晓峰的建议书三、现金中心岗位设置1、应设立记帐员岗位,现金中心金库的往来帐目由管库员记帐,对现金中心所有往来帐目都应该由专人记帐,这样可以防止管库员在记帐方面做假帐,从金库挪用资金;2、对银行内部资金调拨和安排到人民银行交取款的情况,应由专人负责。四、农行的信用卡通过电话银行往彩票中心转彩票款,应设置最高转款限额。COSO的八要素企业风险管理企业风险管理框架的建立背景二十世纪九十年代以来愈演愈烈的商业丑闻,使得投资者和其他利益相关者遭受了巨大的损失,人们在加强内部控制的同时,开始认识到全面风险管理的重要性,希望建立一个能有效地帮助管理策识别、评价
16、和管理风险的思维框架。2001年,COSO设立研究项目,委托PwC研发一个能被管理层用来评价和改进其企业风险管理的框架。2003年7月,公布研究报告讨论稿。2004年9月,研究报告“企业风险管理:整体框架(EnterpriseRiskManagementIntegratedFramework)”正式发布。COSO企业风险管理(2004)企业风险管理框架(EnterpriseRiskManagementFrameworkERM)认为“全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中,用于识别哪些可能影响企业的潜在事件并管理风险,使
17、之在企业的风险偏好之内,从而合理确保企业取得既定的目标。”从从“内部控制内部控制”到到“企业风险管企业风险管理理”控 制 环 境风 险 评 估控 制 活 动监督作业活动1作业活动2循遵营经告报信息与沟通内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次内部控制发展总结应掌握:内部控制发展阶段内部控制五要素含义风险框架八要素含义思考:信息系统体现在COSO五要素的哪些方面?二、信息系统环境下的内部控制信息系统与COSO五要素AIS内部控制的变化信息系统内部控制分类COBIT的控制框架(一)
18、信息系统与COSO五要素IT内部控制环境。内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等IT风险评估。风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。IT控制措施。控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,
19、如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。信息与沟通。信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。监督检查。监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。(二)AIS内部控制的变化1、会计业务执行主体的变化导致内部控制实施
20、主体的变化对人的控制人和软件的控制小案例:公司办公室副主任虚设工资账户提走百万公司办公室副主任虚设工资账户提走百万身为某公司办公室副主任的陈某利用电脑技术,从虚设的工资账户中提取钱上百万。不堪道德和法律的双重压力,他最终向公安机关自首。1997年,当时20岁出头的陈某大学毕业,进入武汉一家大型企业工作。风华正茂的他在岗位上表现出色,备受公司器重。几年后,陈某便当上办公室副主任,负责公司的电脑系统程序开发及维护工作。一般人看来,陈某每月能拿四五千元工资,已经很不错了。但陈某并不满足,他想赚更多的钱买房买车,过上更优越的生活。2006年初,陈某打起了公司工资发放电脑程序的主意。陈某利用其“高明”的
21、计算机技术,在公司工资系统里虚设22个账户。每月,公司固定向这22个账户里发放的工资,实际上落入了陈某的腰包。据陈某交代,其间他曾犹豫过,想过向公司交代,并一次性还款。但是,由于其妻在外开公司,正好遇上资金周转不灵,急需用钱。陈某一咬牙,继续从22个账户中提钱,支持妻子做生意。后来,陈某又投入一笔钱到股市中。他自我安慰,等在股市赚了更多钱就立即把钱退还给公司。两年来,陈某从这22个账户取出了132万元钱。不过,他却始终处于恐惧之中,生怕此事被察觉,又觉得有愧于公司。2008年2月份,陈某不堪巨大的精神压力,主动向公司和公安机关自首,交代所有的事实并退还全部赃款。法院审理认为,被告人陈某身为企业
22、工作人员,利用职务便利,将本单位资金非法占为己有,且数额巨大,当以职务侵占罪追究其刑事责任。但考虑到陈某系自首并归还所有赃款,且陈某所在公司出具对其适用缓刑的申请并愿意对其进行监管,遂判处有期徒刑三年,缓刑五年。2、数据输入操作不当是电算化条件下会计业务处理程序的关键内部控制问题garbagein,garbageout3、数据与责任的高度集中衍生出一系列重要问题原有的财簿控制失去作用如:前述邯郸农行95万元存款案例4、对不合理的业务缺乏识别能力是计算机的致命弱点5、会计资料存储介质变化使得会计数据的安全成为棘手问题6、程序被非法调用篡改的可能性加大虚开银行账户,非法转账,修改系统日志等等小案例
23、财务人员分财务人员分212笔侵占笔侵占188万报销款万报销款刘某是本市某行政管理技术咨询有限公司的财务人员,该公司的一项重要业务就是为客户提供财务服务,业务水平较高的刘某被委以重任,负责为一家国际知名公司提供财务服务。工作一段时间后,刘某发现这家国际公司人员众多,且因工作原因,出差人员多,出差又很频繁,差旅费报销一项的开支非常庞大。更让刘某心动的是,在报销过程中,财务人员对该公司人员并不熟悉。这一漏洞给了刘某“灵感”,她感到自己离发大财越来越近了。2006年7月,觉得时机成熟后,刘某利用弟弟和男友的身份证在一银行开设了一卡通账户。此后,刘某在为这家国际公司的员工报销差旅费的过程中,将弟弟及男友
24、的名字加到该国际公司的员工名单里,通过伪造会计记账记录文件的方式,虚增该公司员工申请的报销金额,并对财务记账系统付款报告信息进行篡改,将虚增部分的收款人改为自己的弟弟及男友。再将虚增部分通过网上银行转账的方式,分别转入弟弟和男友的一卡通账号内。最终,一场全面的财务审计让刘某的罪行败露。到案后,刘某如实交代了自己的罪行。经查,从2006年7月至2007年12月,在短短一年多的时间里,刘某通过上述模式,分212笔骗取该国际公司的差旅费报销款达188万余元。此案目前还在沙河口区人民法院的审理当中。(三)信息系统内部控制分类按照控制意图:预防性控制、检查性控制和纠正性控制按照所采取的工具:手工控制与程
25、序化控制按照控制的范围和环境:一般控制和应用控制信息系统内控信息系统内控一般控制一般控制一般控制一般控制普遍适用于各类组织普遍适用于各类组织从信息系统研制开发到实施维护的全过程的控制从信息系统研制开发到实施维护的全过程的控制对整个组织具有普遍性的影响对整个组织具有普遍性的影响如果控制失效风险较大如果控制失效风险较大有组织控制、系统控制、操作控制、软件控制和安有组织控制、系统控制、操作控制、软件控制和安全控制。全控制。1.组织控制组织控制不相容职务分离不相容职务分离程序员与操作员分离程序员与操作员分离信息部门与用户部门分离信息部门与用户部门分离数据备份与数据使用分离数据备份与数据使用分离审核与操
26、作分离审核与操作分离审计部门与实务部门分离审计部门与实务部门分离授权管理授权管理授权级别划分授权级别划分授权范围控制授权范围控制人员招聘、录用控制人员招聘、录用控制信息系统内控信息系统内控一般控制一般控制2.系统发展控制系统发展控制可行性分析可行性分析系统发展授权系统发展授权内审人员参与内审人员参与系统调试数据控制系统调试数据控制系统转换控制系统转换控制系统效益评估系统效益评估信息系统内控信息系统内控一般控制一般控制3.计算机操作控制计算机操作控制系统只用于经过允许的目的、接触计算机系统只用于经过允许的目的、接触计算机操作的只限于经过允许的人员、只用经过操作的只限于经过允许的人员、只用经过允许
27、的程序可以运行、程序运行的错误可允许的程序可以运行、程序运行的错误可以察觉和纠正。(国际会计准则以察觉和纠正。(国际会计准则15号)号)建立操作制度并实施之建立操作制度并实施之包括:机器操作规程、机器功效标准、作包括:机器操作规程、机器功效标准、作业运行规程、控制台记录规程(日志)、业运行规程、控制台记录规程(日志)、数据文件控制标准、应急措施、物理安全数据文件控制标准、应急措施、物理安全规则等规则等信息系统内控信息系统内控一般控制一般控制4.系统软件控制系统软件控制错误处理的控制功能错误处理的控制功能使用权限控制功能使用权限控制功能防止计算机病毒控制防止计算机病毒控制信息系统内控信息系统内控
28、一般控制一般控制5.数据和程序安全控制数据和程序安全控制实物安全保管制度实物安全保管制度数据安全制度(防黑客、异地同步备份)数据安全制度(防黑客、异地同步备份)系统修改、升级控制系统修改、升级控制使用报告、使用纪录。使用报告、使用纪录。信息系统内控信息系统内控一般控制一般控制适用于具体业务处理的特定控制措施适用于具体业务处理的特定控制措施目的是保证数据的完整性、准确性、有效性、目的是保证数据的完整性、准确性、有效性、可维护性、可审计性。可维护性、可审计性。是人机两方面的控制是人机两方面的控制包括输入控制、处理控制、输出控制包括输入控制、处理控制、输出控制信息系统内控信息系统内控应用控制应用控制
29、1.输入控制输入控制输入方式控制输入方式控制网络传输、软盘转录、人工输入、其他网络传输、软盘转录、人工输入、其他原则:快速、有效、安全原则:快速、有效、安全输入权限控制输入权限控制输入授权输入授权数字签名数字签名数据转换控制数据转换控制输入校验,(合理性校验、格式校验、关输入校验,(合理性校验、格式校验、关键字校验、依赖性校验、位校验、其他)键字校验、依赖性校验、位校验、其他)信息系统内控信息系统内控应用控制应用控制2.处理控制处理控制系统内部核对控制系统内部核对控制处理适当性、公允性控制处理适当性、公允性控制溢出控制溢出控制误操作控制误操作控制其它其它信息系统内控信息系统内控应用控制应用控制3.输出控制输出控制输出校验输出校验输出格式控制输出格式控制输出文件的修改性控制(一般不可修改)输出文件的修改性控制(一般不可修改)输出前的强制备份输出前的强制备份输出文件适用控制输出文件适用控制其它其它信息系统内控信息系统内控应用控制应用控制作业从网络、书籍上寻找由于内部控制失效的案例,结合COSO五要素,或者内部控制分类说明哪些因素导致了其失效。要求结合IT技术因素两部分内容:案例描述与分析,分析字数要在200字左右。演讲完毕,谢谢观看!