德勤內部控制項目培訓.ppt

Presentation Name (View / Header and Footer),內部控制項目培訓.,2005年1月,培訓內容,部分一： 項目總體情況介紹 內部控制和薩賓斯法案介紹 部分二： 內控手冊編寫與工作配合 手冊模板介紹 第一、二階段項目工作計劃,項目情況介紹,本項目的目標,期望通過本項目建立一套能實現以下目標的內部控制系統(tǒng)： 滿足美國薩賓斯法案（Sarbanes-Oxley Act)對內部控制要求； 作為統(tǒng)一公司的制度和流程的基礎；及 開始建立與現代企業(yè)制度相適應的公司治理結構和控制環(huán)境。,美國的薩賓斯法案 （Sarbanes-Oxley Act) 所有在美國上市的公司均需遵行 強調外部會計師的獨立性 關注公司內部治理及對外信息透明、完整與正確性 以強化內部控制為核心的要求,項目的外部壓力法案的強制性,美國的薩賓斯法案 （Sarbanes-Oxley Act) 需符合規(guī)定的時間： 提交截止2005年底的經審計師鑒證的內部控制報告 根據我們的經驗，美國類似規(guī)模的上市公司需要一年以上的時間進行準備。,項目的緊迫性,只針對薩賓斯法案的要求 和財務報告有關的部分 覆蓋的業(yè)務主體,本項目的專注點,本項目的廣泛性,內部控制絕對不是： 靜態(tài)的結構； 某一層次人員的任務（例如：高級管理層）； 某一部門的任務（例如：財務、內部審計）； 某一實體的任務（例如：總部、省級公司）。 內部控制是：,美國反欺騙性財務報告委員會（COSO）的定義： 內部控制 是一個靠組織的董事會、管理層和其他員工去實現的過程，實現這一過程是為了合理的保證： 經營的效果性和效率性； 財務報告的可信性； 對法律和規(guī)章制度的遵循性。,因此，整個集團的共同參與對于項目的成功至關重要。,薩賓斯法案的要求的長遠益處,四個關鍵信息質量的驅動因素是行業(yè)領先的公司進行變革的目標，這些因素是遵循薩賓斯法案的結果也是價值的創(chuàng)造,提供的數據客觀，形象的表示了公司業(yè)績 財務報表更改的情況將很少發(fā)生,業(yè)績將更接近原有的預期 持續(xù)的計劃給管理層和投資者提供了數據用于公司應對商業(yè)環(huán)境的變化,隨著時間的推移，信息將快速的產生 需要快速的提供給投資者相關信息,簡單化和標準化的信息使得更容易被理解和接受 管理層要直接看到推動業(yè)務的相關因素,及時,可預測,透明,精確,Earnings,內部控制和薩賓斯法案,一、基本概念闡述 二、內控系統(tǒng)整體架構 三、內部控制的實施,走進內部控制 - 主要內容,一、基本概念闡述,經營回報與風險,經營回報,公司管理層,什么是風險？,風險是某一事件或行為對企業(yè)經濟利益可能的威脅 商業(yè)風險和管理風險,管理風險,管理風險習慣上分為以下五類：,財務和經營信息不足 政策、計劃、程序、法律和標準貫徹失敗 資產流失 資源浪費和無效使用 不能達到企業(yè)的目的和目標,風險的后果？,競爭失敗 經營中斷 法律訴訟 商業(yè)欺詐 無益開支 資產損失 決策失誤,風險如何最小化？,內部控制如何降低風險？,暴露的金額,發(fā)生的 可能性,風險的大小,內部控制的重要性,有效的 內部控制,風險與經營回報的良好平衡,內部控制的重要性（續(xù)）,COSO報告內部控制整體架構 AICPA審計準則公告第78號 會計法（第四章第27條） 財政部內部會計控制規(guī)范 證監(jiān)會證券公司內部控制指引 證監(jiān)會商業(yè)銀行內部控制指引征求意見稿 .,什么是內部控制？,內部控制 - 被定義為一個過程，這個過程受企業(yè)的董事會、管理層及其他人員影響。設計這個過程是為達成下列目標提供合理的保證： 營運的效果和效率 財務報表的可靠性 相關法令的遵循,內部控制的定義,COSO,,二、內部控制整體架構,內控系統(tǒng)的整體架構,內控系統(tǒng)五要素架構,控制環(huán)境,是任何企業(yè)的核心，是企業(yè)的人以及它所處的環(huán)境 是推動企業(yè)的引擎，也是其他要素的基礎,控制環(huán)境的組成要素： 管理哲學和經營風格 組織結構 董事會及其委員會職能 職責分配和授權 人事政策,控制環(huán)境管理哲學和經營風格,審計署對23家企業(yè)的調查結果,獨立董事 專門委員會 設立審計委員會，及委員會成員資格要求 審計委員會職責 專門委員會與外部中介機構 監(jiān)事會 監(jiān)事會職責 監(jiān)事會與外部中介機構,控制環(huán)境董事會及委員會職能,風險評估,企業(yè)必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和管理相關風險的機制 風險評估就是分析和辨識為實現企業(yè)目標所可能發(fā)生的風險。,環(huán)境變化后的管理,評估和更新,如何有效地進行風險管理,各行業(yè)的前10種最主要的風險因素,控制活動,企業(yè)必須基于風險評估的結果訂立控制風險的政策及程序，并予以執(zhí)行。 通?？梢园礃I(yè)務分別進行制定。,控制活動的類型,1 預防性控制 2 檢查性控制 3 糾正性控制 4 補償性控制,事前 事中 事后,一些重要的內控方法,職責分離控制 授權批準控制 內部報告控制 電子信息技術控制 ,不相容職務相互分離控制示例,授權批準控制,在開展任何業(yè)務之前都應進行授權 授權以后，為了避免濫用權力，還要經常對業(yè)務流程進行審查 按性質的不同分為綜合授權和特別授權 要對授權做好記錄，并提供證明文件 避免兩個極端：“層層審批”和“一支筆”,內部報告控制,完善內部管理報告系統(tǒng) 內部報告上報時間及報告路線 內部報告的分發(fā)控制 內部報告的分析和跟進,信息系統(tǒng)控制目標,提高資源使用效率,信息系統(tǒng)控制目標,符合相關的法律、法規(guī)和政策,一般信息系統(tǒng)控制,信息系統(tǒng)的組織和管理 信息系統(tǒng)操作 外包廠商管理 數據安全 危機處理與業(yè)務持續(xù)計劃,應用系統(tǒng)安裝與維護 數據庫安裝與支持 網絡支持 系統(tǒng)軟件支持 硬件支持,提高企業(yè)信息系統(tǒng)的整體可信賴程度的控制,信息與溝通,貫穿在風險評估和控制活動過程中 這些系統(tǒng)使企業(yè)內的人員能取得他們在執(zhí)行、管理和控制企業(yè)營運時必須的資訊，并交換這些資訊 信息系統(tǒng)：內部、外部 溝通：使員工知悉其在業(yè)務經營、財務報告及法律遵循方面的責任,監(jiān)督,整個內部控制的執(zhí)行過程必須被監(jiān)督 確保內部控制制度隨情況的改變而作出動態(tài)的反應 應建立檢查和報告體制,監(jiān)督是誰的職責? 管理層應對內控執(zhí)行情況進行持續(xù)監(jiān)督 內部審計部門應進行定期、不定期的個別評估,內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的活動，即對組織的內部控制負責） 內部審計對管理層組織的內部控制進行監(jiān)督，以協(xié)助管理層有效地履行他們的職責。,管理層在內部控制中的地位和作用,三、內部控制的實施,實施內部控制制度,逐項復核內控是否存在于現有流程中，是否有效 必要時進一步制定具體政策和管理報告 考慮成本效益原則 強化對內控的監(jiān)督與評估,實施控制時的成本效益原則,實施內控時常出現的誤區(qū),管理層在實施內控中未承擔應有職責 過分強調控制成本 片面強調人員素質 認為內控包治百病,調查結果總會計師職責分布,中國： 80組織日常財務工作 70審核財務報表及管理報表 60制定投融資決策 55制定內控 30制定公司長遠規(guī)劃,美國： 財務管理及內部控制 收購與兼并 制定公司長遠規(guī)劃 信息技術規(guī)劃 與各經營部門協(xié)調,實施內控時常出現的誤區(qū),管理層在實施內控中未承擔應有職責 過分強調控制成本 片面強調人員素質 認為內控包治百病,實施內控時常出現的誤區(qū),管理層在實施內控中未承擔應有職責 過分強調控制成本 片面強調人員素質 認為內控包治百病,實施內控時常出現的誤區(qū),管理層在實施內控中未承擔應有職責 過分強調控制成本 片面強調人員素質 認為內控包治百病,包治百?。績瓤氐墓逃芯窒扌?人為因素使內控失效 對控制責任的誤解 執(zhí)行時的大意 疲勞 舞弊 時間推移使控制措施逐漸失效,其它影響內控實施效果的因素,管理層違規(guī) 形式主義 利益的沖突 法律法規(guī)的意外變化 競爭對手的行動 經濟環(huán)境變化等,Presentation Name (View / Header and Footer),薩班斯奧克斯利法案介紹,目錄,薩班斯奧克斯利法案概述 - 法案之背景與目的 - 法案之主要內容 - 法案對于在美國上市公司的規(guī)定與影響,法案產生之背景 安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。 會計系統(tǒng)的漏洞、管理層的失職、內部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。 重建公司信用，規(guī)范高級管理層與注冊會計師關系和職業(yè)道德的要求刻不容緩。 2002年6月，布什總統(tǒng)簽署的薩班斯奧克斯利法案正式生效，該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，故簡稱薩班斯奧克斯利法案。該法案對美國1933年證券法、1934年證券交易法作了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面作出了許多新的規(guī)定。 法案出臺之目的 - 重建公司信用，培育公眾信心，振興證券市場。 - 加強公司監(jiān)管，規(guī)范業(yè)務運作。 - 增加財務報告與信息披露的透明度。 - 確保公司管理層可以從有效監(jiān)控的系統(tǒng)中獲取重要信息。 - 公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。,薩班斯奧克斯利法案概述,法案之主要內容 - 成立獨立的公眾公司會計監(jiān)察委員會，監(jiān)管執(zhí)行上市公司審計職業(yè) - 要求加強注冊會計師的獨立性 - 要求加大公司的財務報告責任 - 要求強化財務披露義務 - 加重了違法行為的處罰措施 - 增加經費撥款，強化美國證券管理委員會的監(jiān)管職能 - 要求美國審計總署加強調查研究 其中與上市公司管理層直接相關的是： 第302節(jié) 公司對財務報告的責任 第404節(jié) 管理層對內部控制的評價,薩班斯奧克斯利法案概述(續(xù)),法案之主要內容 第302節(jié) 公司對財務報告的責任 - 要求公司首要官員及首要財務官在季度/年度報告中保證 - 對信息披露的控制和程序負責（含刑事責任） - 設計必要的內部控制手段并確保其執(zhí)行可使高層及時獲得重要信息 - 對披露控制的有效性進行評估，評估結果需存檔 - 不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為 - 存檔描述內部控制的重大變化 - 介紹信息披露的控制和程序 - 強調財務人員的正直和財務報告系統(tǒng)控制的完整性 - 需披露的非財務信息包括：重要合同的簽署，戰(zhàn)略合作關系的解除以及法律訴訟 - 美國證券管理委員會要求 - 擴大信息披露的控制和財務報告系統(tǒng)內部控制程序的認證 - 將內控評估日改為財務報告截止日,薩班斯奧克斯利法案概述(續(xù)),薩班斯奧克斯利法案概述(續(xù)),法案之主要內容 第404節(jié) 管理層對內部控制的評價 - 要求公司管理層在年度報告中： - 描述他們在建立和維護一個針對財務報告職能行之有效的內部控制程序中的責任 - 對財務報告系統(tǒng)內部控制有效性以一個公認架構進行評估（例如COSO內控架構） - 同時要求外部審計人員： - 對管理層評估結果進行簽證 - 美國證券管理委員會要求 - 擴大信息披露的控制和財務報告系統(tǒng)內部控制程序的認證 - 將內控評估日改為財務報告截止日,在美國上市的公司，不論規(guī)模，均需遵守薩班斯奧克斯利法案的有關規(guī)定。 即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現有的內控系統(tǒng)已經符合法案的規(guī)定。根據法案的規(guī)定，獨立審計人員還需另外證明客戶公司的內部控制系統(tǒng)是有效的。 美國國會清楚地規(guī)定，公司對其財務報告和信息披露的公允性、充分性和正確性負有責任。法案規(guī)定獨立審計人員的主要職責為：證明管理層對公司財務報告系統(tǒng)的內部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執(zhí)行和監(jiān)控內部控制程序（但是可以聘請獨立審計人員以外的咨詢人員協(xié)助就緒及評估工作）。獨立審計人員則可以在一個限定的范圍內對公司已有的內部控制程序提出優(yōu)化建議和協(xié)助。 法案對上市公司的規(guī)定和影響主要體現在公司治理、管理層責任方面的規(guī)定。,法案對于在美國上市公司的規(guī)定與影響,董事會成員的責任,風險管理和控制,職業(yè)操守和公司守法,透明度和信息披露,法案對于在美國上市公司的規(guī)定與影響 公司治理,董事會成員和審計委員會有進行自我評估和接受后續(xù)教育的責任 紐約證券交易所和納斯達克證券交易所的規(guī)定 公司治理的要求 公司內控的失敗提高了董事會接受相關培訓，改進內控程序的重要性,法案要求公司對員工的職業(yè)道德作出書面規(guī)定 要求審計委員會建立內部舉報激勵機制,職業(yè)操守和公司守法,董事會成員的責任,美國證券管理委員會公布了以下新的規(guī)定 管理層信息與分析 非通用會計準則下的財務處理 資產負債表表外事項 美國證券管理委員會建議成立信息披露委員會,透明度和信息披露,公司財務報告系統(tǒng)內部控制報告書的規(guī)定 必須陳述下列情況以評估公司內部控制程序： 管理層承認對公司內部控制有效性負有責任 公司必須使用適當的控制標準（例如COSO) 來評估內部控制的有效性 公司必須提供充分的證據來支持其評估結果 公司必須書面記錄與提交其對內部控制有效性的評估結論 需要提供下列證據和文件來支持評估結論： 評估需包括分支機構和業(yè)務單元的認定 重要內部控制的認定 重要內部控制程序的設計 控制實施的有效性 內控之重大失敗和/或重大缺陷的認定 評估結果,管理層責任評估財務報告系統(tǒng)內部控制的有效性,在判定控制的重要性時必須考慮下列因素： 控制失敗將導致財務報告失真的可能性 用其他控制手段達到相同控制目的的程度 重要的控制包括: 會計系統(tǒng)初始化、帳務處理、重要帳戶余額記錄、交易類別和披露方面的控制 反舞弊控制 跨部門的共同控制，缺少它，其他重要控制程序不能獨立發(fā)生作用 同時使用才能達到一定控制目標的重要控制程序 對重大的非常規(guī)和非系統(tǒng)的交易監(jiān)控的程序 對期末財務報告步驟實施監(jiān)控的程序,管理層責任評估財務報告系統(tǒng)內部控制的有效性,測試內部控制實施效果的方法： 內部審計人員對內部控制有效性進行測試 在管理層的領導下由其他人對內部控制的有效性進行測試 使用外部服務機構的評估 自我評估步驟 測試需考慮的因素 測試手段不能僅限于問詢的方式 需測試的控制程序和測試的時間可能會受到公司風險評估和監(jiān)控步驟的影響 所有重要的分支機構和重要的控制程序都要進行評估 公司不可以使用獨立審計人員對內部控制程序的測試結果來支持其作出的內部控制程序有效的結論,管理層責任評估財務報告系統(tǒng)內部控制的有效性,文檔記錄的重要性 文檔記錄可以為控制程序的確定和控制的監(jiān)管提供證據 內部控制設計若缺乏文檔記錄將可能導致內部控制的重大失效或重大缺陷 缺乏足夠的證據來支持公司的評估結果會在外部簽證報告中列為質量的重大缺陷，并簽發(fā)反對意見報告 管理層聲明 完成評估后，公司必須向它的審計師提供一份關于內部控制有效性的書面聲明 管理層聲明必須作為一個獨立的報告包括在管理當局說明書中(*) 對于拒絕出具書面的管理層聲明的公司，外部審計人員必須拒絕對其內部控制系統(tǒng)發(fā)表意見,* 公司CEO和CFO對該聲明書全權負責，并對不實的聲明承擔刑事責任,管理層責任評估財務報告系統(tǒng)內部控制的有效性,Presentation Name (View / Header and Footer),薩賓斯內控項目培訓,2004年12月,工作成果,項目進度表（初步計劃） 關鍵流程和子流程（財務報表相關內控流程） 訪談提綱、時間表、記錄、資料清單 流程文字描述（穿行測試） 流程圖 確認流程文字描述和流程圖 控制矩陣 內部控制和流程差異性分析 內控設計差異分析報告（問題，建議，改進方案） 符合性測試計劃 符合性測試工作底稿 內控實施差異分析報告（問題，建議，改進方案）,本階段項目主要成果,Presentation Name (View / Header and Footer),薩賓斯內控項目培訓,2004年12月,配合支持,培訓內容,訪談配合 測試配合,培訓內容,訪 談 配 合,培訓內容,訪談配合,個人形式訪談步驟與技巧 訪談準備 進入訪談 訪談記錄 信息校驗 后續(xù)跟進 團隊形式訪談步驟與技巧,1 訪談準備,明確訪談目的,制定訪談大綱,進行資料準備,安排訪談計劃,了解訪談目的； 確定需要準備哪些信息； 按流程而不是部門決定訪談參與者； 制定計劃及估計所需資源;,公司的戰(zhàn)略、愿景和使命； 公司的組織架構和部門崗位職責； 訪談相關的運營流程；,了解訪談的范圍、深度和時間； 根據所需了解信息，準備訪談概要以及相關例子；,排定訪談時間； 根據來訪者的需求調整訪談計劃； 進入訪談。,2 進入訪談,小貼示：努力營造與他人分享信息的環(huán)境及心理氛圍,環(huán)境因素： 安靜區(qū)域 個人可以放松的區(qū)域 考慮潛在干擾因素,心理因素： 音調友好；顯示出對他們的興趣 表達明確 坦誠放松 直接到達主題,2 進入訪談流程介紹,小貼示：來訪者對內部流程參與的程度沒有你深入，所以要假設他們對流程了解不多。,自上而下 逐層分步,2 進入訪談流程介紹,開始點 控制點 終結點,流程活動 控制方法 相關人員 產生憑證,自上而下,逐層分步,2 進入訪談回答采訪,聽懂問題，明確來訪者提出問題的目的，以及所希望了解的內容； 直接切入主題，消除可能產生歧義之處，在回答前深入思考； 列舉輔助案例，以便進一步解釋說明。,2 進入訪談訪談收尾,在大多數訪談中，您