《内部控制自我评估操作流程分享陈坚.ppt》由会员分享,可在线阅读,更多相关《内部控制自我评估操作流程分享陈坚.ppt(62页珍藏版)》请在三一文库上搜索。
1、德勤华永会计师事务所有限公司 2012年2月 内部控制自我评估 操作流程分享 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 本次培训由德勤华永会计师事务所(以下简称“德勤华永”)提供的所有资料或解 释(包括但不限于投影片)(以下统称为“材料”)为内部使用目的而编制的。它仅提 供给德勤华永所授权的人士使用。该材料仅供一般指引之用,并非旨在构成任何决 策的基础,且不能被解释为德勤华永的建议、意见或推荐。此外,由于德勤华永在 编制有关材料时受时间及适用的资料所限,可能并未知悉所有的事实或资料,因此 该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整 性或充分性进行
2、任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风 险。本材料为机密文件。除德勤华永所授权的人士外,任何其它人士未经德勤华永 事先书面同意,不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承 担任何义务和责任(包括但不限于疏忽引起的责任)。德勤华永保留本材料的著作 权及其它一切知识产权。 重要声明 2 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 议程 3 1企业内部控制评价指引解读 2企业内部控制自评实务操作 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 中国内部控制监管要求 规定内容摘要或内容简介出台日期生效日期 财政部、证监会、 审计署、银监会
3、 、保监会(“五 部委”): 企业内部控制基 本规范 企业应当根据有关法律法规、本规范及其配套 方法,制定本企业内部控制制度并组织实 施。 接受企业委托从事内部控制审计的会计师事务 所,应当根据本规范及其配套办法和相关 执业准则,对企业内部控制的有效性进行 审计,出具审计报告。 2008-6-282009-7-1 五部委: 企业内部控制应 用指引 包括财务报告,资金,采购,销售,研发,工 程项目,资产,担保,业务外包,全面预 算,合同管理,内部信息传递,信息系统 、组织架构,发展战略,人力资源,企业 文化,社会责任等18个具体指引。 2010-4-26 2011-1-1 2012-1-1 五部
4、委: 企业内部控制评 价指引 为规范企业内部控制评价工作,要求企业应对 其内部控制的设计和运行状况定期评价, 出具评价报告,发现企业内部控制缺陷, 提出和实施改进方案,确保内部控制有效 运行。 2010-4-26 2011-1-1 2012-1-1 4 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 企业内部控制 基本规范 企业内部控制 应用指引 企业内部控制 评价指引 企业内部控制 审计指引 五部委内部控制规范体系 5 关键用途 适用对象适用于企业、监管机构、咨询方、鉴证机构适用于审计师 主要用于公司建立 健全内部控制体系 主要用于公司对内 部控制体系进行独 立评价持续改进 用于
5、审计师对内部控制 体系进行外部评价并指 导企业持续改进内控缺 陷,完善内控等 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 6 五部委配套企业内部控制评价指引解读章节结构 章节章节内容内容 第一章总则:明确目的、界定范围、列示评价原则 第二章内部控制评价的内容 第三章内部控制评价的程序 第四章内部控制缺陷的认定 第五章内部控制评价报告 7 2011 德勤华永会计师 事务所有限公司 版权所有 五部委配套企业内部控制评价指引解读 第一章 总则 内部控制评价定义:是指企业董事会或 类似权力机构对内部控制的有效性进行 全面评价、形成评价结论、出具评价报 告的过程。 内部控制评价需要遵循的
6、原则: 全面性原则:评价工作应当包括内部 控制的设计与运行,涵盖企业及其所 属单位的各种业务和事项。 重要性原则:评价工作应当在全面评 价的基础上,关注重要业务单位、重 大业务事项和高风险领域。 客观性原则:评价工作应当准确地揭 示经营管理的风险状况,如实反映内 部控制设计与运行的有效性。 8 2011 德勤华永会计师 事务所有限公司 版权所有 五部委配套企业内部控制评价指引解读 第二章:内部控制评价的内容 企业应当根据企业内部控制基本规 范、应用指引以及本企业的内部控 制制度,围绕内部环境、风险评估、 控制活动、信息与沟通、内部监督等 要素,确定内部控制评价的具体内容 ,对内部控制设计与运行
7、情况进行全 面评价。 内部控制评价工作应当形成工作底稿: 评价要素 主要风险点 采取的控制措施 有关证据资料 认定结果 9 2011 德勤华永会计师 事务所有限公司 版权所有 五部委配套企业内部控制评价指引解读 第三章 内部控制评价的程序 2011德勤华永会计师事务所有限公司版权所有 保留一切权利 内审部/评价部门 评价工作组 评估工作组负责人 执行评估 评估控制执行/ 设计的有效性 明确具体工作任务 复核评估结 果 综合分析控制 缺陷 人员组织计划 进度安排计划 评价工作方案 经董事会或其 授权机构 是 否 签字确认流 程评估结果 和评价底稿 是 否 B End 满足要求 批准 明确评价范围
8、A B 与评价工作组 讨论并重新评估 与控制活动执 行人和业务领 域负责人共同 讨论改进建议 填写评价工作 底稿 编制内控缺陷 认定汇总表 控制缺陷类别 认定 形成认定意见 董事会 重大缺陷最终 认定 审阅批准内部 控制评价报告 内审部/评价部门 10 五部委配套企业内部控制评价指引解读 第三章 内部控制评价的程序 企业实施内部控制评价程序的具体流程 11 2011 德勤华永会计师 事务所有限公司 版权所有 负责对内部控制的有效性进行 全面评价、形成结论,出具报告 董事会 负责内部控制评价的具体组织 实施工作,控制缺陷的分析、复 核、报告及跟踪 内部控制评评价部门门 (内部审计审计机构/其他专
9、门专门机构) 领导和监督内控评价 工作 审计委员会 向董事会、监视会或者经理 层 报告发现的内控缺陷 具体实施内部控制评 价工作,并完成评价 工作底稿 评评价工作组组 吸纳企业内部相关机构熟悉情况的业务骨 干(注:对本部门评价工作实行回避制度 )/可委托中介机构实施内控评价工作 对内控评价报告 真实性负责 组组建 五部委配套企业内部控制评价指引解读 内部控制评价体系中各机构的角色及职责 12 2011 德勤华永会计师 事务所有限公司 版权所有 五部委配套企业内部控制评价指引解读 内部控制评价的测试方法 13 2011 德勤华永会计师 事务所有限公司 版权所有 内部控制缺陷类型:设计缺陷和运行缺
10、陷 内部控制缺陷的认定: 重大缺陷:是指一个或多个控制缺陷的组合,可能导致企业严重偏 离控制目标 重要缺陷:是指一个或多个控制缺陷的组合,其严重程度和经济后 果低于重大缺陷,但仍有可能导致企业偏离控制目标 一般缺陷:是指除重大缺陷、重要缺陷之外的其他缺陷 财务报告内部控制缺陷的认定:一般通过定量的方式予以确定 非财务报告内部控制缺陷的认定:定量和定性相结合的方式予以确定 定量:既可以根据缺陷造成直接财产损失的绝对金额制定,也可以根 据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定 定性:可以根据缺陷潜在负面影响的性质、范围等因素确定 五部委配套企业内部控制评价指引解读 第四章 内部控制
11、缺陷的认定 14 2011 德勤华永会计师 事务所有限公司 版权所有 企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专 项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现 形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董 事会、监事会或者经理层报告。 重大缺陷应当由董事会予以最终认定。企业对于认定的重大缺陷,应当及时采 取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责 任。 五部委配套企业内部控制评价指引解读 第四章 内部控制缺陷的认定 15 2011 德勤华永会计师 事务所有限公司 版权所有 内控评价 结果
12、内控评价 工作底稿 内控评 价 报告 内控缺陷 汇总 表 + + 编报编报涵盖内容 董事会对内部 控制报告真实 性的声明 内部控制评价 工作的总体情 况 内部控制评价 的依据 内部控制缺陷的 整改情况及重大 缺陷拟采取的整 改措施 内部控制有效 性的结论 内部控制评价 的范围 内部控制评价 的程序和方法 内部控制缺陷 及其认定情况 应当分别对内部 环境、风险评 估 、控制活动、信 息与沟通、内部 监督等要素进行 设计,对内部控 制评价过程、内 部控制缺陷认定 及整改情况、内 部控制有效性的 结论等相关内容 作出披露 注:内部控制评评价部门负责编门负责编 制,报经报经 董事会或类类似权权力机构批
13、准,董事会对对内部控制评评价报报告的真 实实性负责负责 。 五部委配套企业内部控制评价指引解读 第五章 内部控制评价报告 16 2011 德勤华永会计师 事务所有限公司 版权所有 内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关 部门。企业内部控制评价部门应当关注自内部控制评价报告基准日至内部控制 评价报告发出月之间是否发生影响内部控制有效性的因素,并根据其性质和影 响程度对评价结论进行相应调整。 企业应当以 12 月 31 日作为年度内部控制评价报告的基准日,内部控制评价报 告应于基准日后 4 个月内报出。 企业应当建立内部控制评价工作档案管理制度。内部控制评价的有关文件
14、资料 、工作底稿和证明材料等应当妥善保管 五部委配套企业内部控制评价指引解读 第五章 内部控制评价报告 17 2011 德勤华永会计师 事务所有限公司 版权所有 议程 1企业内部控制评价指引解读 2企业内部控制自评实务 操作 建设内部控制体系的路线图内控自评阶段 内控梳理对标内控整改固化内控评价 制定内控评价办法 开展内控评价 跟踪缺陷整改 编制内控评价报告 记录内控缺陷 设计整改方案 完善内控制度 更新内控文件 成立专属部门 确定梳理范围 实施风险评估 整理现有制度 辨识内控环节 对标管理规范 内控审计 进行模拟审计 提供所需证据 出具管理声明 披露审计报告 内部控制应用指引 内部控制评价指
15、引 内部控制审计指引 内部控制基本规范 管理层持续整改/内部监督持续开展 18 2010德勤华永会计师事务所有限公司版权所有 保留一切权利 信息化建设 各阶段工作解决方案分享内控自评整体工作流 开展内控评价 跟踪缺陷整改 编制内控评价 报告 内控自评 内控梳理对标内控整改固化内控自评内控审计 19 20 制定评价工作方案基本要素 确定自评范围(包括纳入单位、流程等) 确定自评内容(包括执行测试程序、认定内控缺陷、落实整改等) 自评人员和时间安排 自评工作费用预算 其他事项 制定评价工作方案自评范围的确定 v以风险评估为基础,结合财务报表从定性,定量两方面进行分析,选择进行内控 自我评估的下属板
16、块、公司、相关业务及流程,确定自评范围。 分支机构 重要性 分支机构的 管理水平* 实际风险水平自评频率 高G中2年自评一次 A中12年自评一次 W高1年自评一次 中G低3年自评一次 A中12年自评一次 W高1年自评一次 低G低23年自评一次 A低23年自评一次 W低23年自评一次 * 机构管理水平分析:根据以往各机构管理水平的了解,以及过往审计发现的多寡,将机 构的管理水平分为好(G)、可以接受(A)、弱(W) 制定评价工作方案自评范围的确定 确定 不同单位和流程的自评频率示例: 制定评价工作方案自评范围的确定 确定纳入自评范围工作单位/流程底稿模板 纳入单位纳入单位 纳入流程纳入流程 制定
17、评价工作方案自评内容的确定 确定自评工作内容示例: 计算纳入自评范围的分支机构与业务流程预计所需自评人员的人数和工作 量。 结合年度其他项目所需人员数量和工作量,检查集团是否有足够的资源开 展内控自我评估工作,以判断是否需要调整年度内控自评计划。 根据调整后与现有资源相适应的内控自评计划,安排自评人员和时间。 在安排内控自评人员时应考虑其专业胜任能力。 制定评价工作方案人员和时间安排 制定评价工作方案人员和时间安排 人员安排示例 时间安排示例 制定评价工作方案费用预算 企业可以根据自身情 况设计自评工作的费用 预算(示例如右图) 回避原则: 相关自评人员应该遵循企业内部控制评价指引第十四条的回
18、避原则(“ 企 业内部控制评价部门应当根据经批准的评价方案,组成内部控制评价工作组,具 体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业 务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。 ”) 与外部审计的协调 制定评价工作方案其他事项 企业可以根据自身情况列举所需说明事项,例如: 29 2010 德勤华永会计师事务所有限公司 版权所有 实施现场测试内控自评测试表 内控自评测试表是实施自评工作的重要底稿之一 30 2010 德勤华永会计师事务所有限公司 版权所有 控制活动 发生频率: q针对内控手册 中列示的控制 活动发生频率 ,结合下页的 样本量选
19、取表 格,抽取适当 数量的样本进 行独立测试。 q发生频率为按 需的情况下, 须首先计算控 制活动在测试 期间的发生的 总数,再根据 选取表格决定 样本数量。 实施现场测试内控自评测试样本量 31 2010 德勤华永会计师事务所有限公司 版权所有 Nature of Control Frequency of Performance Number of Selections 控制的性质执行的频率 选择的数目 Manual手工 Many times per day 每天多次 25 Manual手工Daily 每天15 Manual手工Weekly每周5 Manual手工Monthly每月2 Man
20、ual手工Quarterly 每季1 Manual手工Annually每年1 Programmed Test one instance of each programmed control 程序化 对每个程序化控制测试一次 General IT Controls 计算机环境整体控制 Follow the guidance above for manual and programmed aspects of general IT controls. 对计算机环境整体控制,分别按照以上的手工及程序化控制测试的指 引来执行 实实施现场测试现场测试 内控自评测试样评测试样 本量 测试程序: q对应每个
21、控制活 动的内控设计情 况而制定测试程 序。若事前了解 的企业控制活动 现状与内控手册 中的关键控制活 动有所变化,其 测试程序也需相 应更新。 q先执行穿行测试 (即用一个样本 模拟该流程), 只有当穿行测试 通过的前提下才 获取充足的样本 量,并检查其是 否符合标准,据 此评价该控制活 动的有效性。 实施现场测试内控自评测试程序 销售和收款(合同及订单的管理) 控制活动编号HTJD-RE-CA-202 样本量5(测试期间共2个月,共签订10份合同,可视为每周) 测试程序从综合管理部维护的销售合同台帐中随机抽取测试样本: 1.检查这一份合同是否都有对应的合同请示报告书; 2.检查该合同请示报
22、告书是否经过总经理、主管副总经理、市场营销部经理及法务 专员的审批; 3.检查该笔合同金额是否超过100万,若超过100万,该笔合同评审是否召开合同评审会 ,由市场营销部、技术部、生产制造部、采购物流部、财务经理、质保部、法务专员共 同审批通过; 4.检查该份合同是否都经过有效盖章。 样本描述文件名称日期 是否满足测 试程序#1 是否满足测 试程序#2 是否满足测 试程序#3 是否满足测 试程序#4 1 销售合同 (合同号:XX) 2010年9月22 日是 是 合同请示报告书 2010年9月20 日 是是 备注 结论控制活动执行有效 发现改进点描述无 实实施现场测试现场测试 内控自评测试评测试
23、 程序 在穿行测试通过的前提下,应当设置工作底稿以详细记录一定样本量的测试情况 ; 根据充足样本的测试结果对该控制活动的有效性进行评价。 1、对应每个控制活动的内控设计情况而制定测试程序。若通过穿行测试了解到 的实际控制活动与原内控手册的关键控制活动有所变化,其测试程序也需相应更 新。 2、测试程序应重点针对关键控制活动的4W+1H进行编写,检查内控活动的执行人 员、过程、结果、频率、文档的流转和保存等是否如内控活动所述展开。 3、测试方法可以有观察、获取并检查文件资料、访谈、重新测试等选择。 4、样本量的界定需按照频率执行,依照测试样本量选取表格的要求,获取并检 查符合标准的样本数量。 5、
24、对所有的测试程序,须建立单独的测试模板页面,注明相关的控制活动编号 、样本量、测试程序、测试样本的填写模板等,并做好与内控手册的链接。 实实施现场测试现场测试 内控自评测试评测试 程序编编写要点 内控测试程序举例一 控制目标: 企业应当结合采购申请机制建立外购固定资产请购与审批制度,确定归 口管理部门,授予相应的请购权,明确相关部门或人员的职责权限及相 应的请购和审批程序。 控制活动: 在固定资产请购时,由使用部门提出请购申请,填写设备仪器申购单, 经申请各部门审批、总经理审批后交采管部进行采购。 测试程序: 第一步:从公司固定资产财务账中,估算抽样样本数量,选取样本,取 得新增固定资产凭证;
25、 第二步:检查是否附有设备仪器申购单; 第三步:查验设备仪器申购单上申请原因是否合理; 第四步:检查申购单是否经过申请部门经理、总经理审批,并在审批后 进行采购。 控制目标: 企业应当综合考虑企业生产经营计划、市场供求等因素,充分利用信息 系统,确保存货处于最佳库存状态。 控制活动: 仓库主管每月对存储情况进行分析制定存储分析报告,包括存储面 积分析、存量与品类分析、存储质量分析、存储改善内容等,以此为依 据调整仓储情况。报告由仓库主管编制,采购部负责人审核确认。 测试程序: 第一步:从测试期间随机抽取两个月作为样本月,取得当月的存储分 析报告作为测试样本; 第二步:检查仓库主管是否每月对存储
26、情况进行分析; 第三步:查验仓库管理人员是否按照分析报告对仓储情况进行调整; 第四步:检查报告是否由采购部负责人审核确认。 内控测试程序举例二 控制目标: 企业在选择客户时,应当充分了解和考虑客户的信用、财务状况等有关 情况。 控制活动: 在签订合同前,提供服务的分子公司由生产业务部门和财务部门通过外 部专业机构、行业协会或者公开信息对客户的资信情况进行调研,形成 书面报告,作为是否应该承接业务,与该客户签订合同的依据之一。 测试程序: 第一步:按照全年签订合同的数量,估算抽样样本数量,在集团生产业 务部随机抽查对应的合同; 第二步:查看对应客户的营业执照等是否齐备,是否符合法律上的 资质要求
27、; 第三步:查验对应客户是否经过生产部和财务部的前期信用和财务状况 调查,是否有相关调查报告。 内控测试程序举例三 变化后的控制活动: 在签订合同前,提供服务的分子公司由市场部和财务部门通过外部专业机构、行 业协会或者公开信息对客户的资信情况进行调研,形成书面报告。该书面报告须 提交办公会议讨论,若办公会议讨论决定该客户的财务、信用状况符合公司要求 后方可签订合同。 更新后的测试程序: 第一步:按照全年签订合同的数量,估算抽样样本数量,在集团生产业务部随机 抽查对应的合同; 第二步:查看对应客户的营业执照等是否齐备,是否符合法律上的资质要求 ; 第三步:查验对应客户是否经过市场部和财务部的前期
28、信用和财务状况调查,是 否有相关调查报告; 第四步:检查办公会议的会议纪要,是否对该客户及其调研报告进行讨论。 内控测试程序举例三(续) 内控活动改变后,如何编写测试程序? 控制目标: 企业应建立选聘人员试用期和岗前培训考核制度,确保选聘员工全面了 解岗位职责,掌握岗位基本技能,适应工作要求。 控制活动: 当员工完成了试用期的工作后,需由员工本人填制员工试用期考核表 ,在表当中对于试用期的表现情况进行自评,随后该表单交直接上级 及人力资源部经理进行评审。从而确保员工全面掌握了岗位基本技能, 适应岗位要求。 测试程序: 第一步:按照全年员工试用期考核表的数量,估算抽样样本数量, 在人力资源部随机
29、抽查对应的员工试用期考核表 ; 第二步:查看员工在试用期结束后,是否均由本人填制该表单并作出自 评 ; 第三步: 检查直接上级及人力资源部经理是否在表单中对员工进行了评 估 ; 第四步: 查看评估结果是否表明员工能胜任相关岗位。 内控测试程序举例四 内控测试程序举例四 内控活动改变后,如何编写测试程序? 变化后的控制活动: 当员工完成了试用期的工作后,需由员工本人填制员工试用期考核表 ,在表当中对于试用期的表现情况进行自评,随后该表单交直接上级 、部门经理及人力资源部经理进行评审。从而确保员工全面掌握了岗位 基本技能,适应岗位要求。 更新后的测试程序: 第一步:按照全年员工试用期考核表的数量,
30、估算抽样样本数量, 在人力资源部随机抽查对应的员工试用期考核表 ; 第二步:查看员工在试用期结束后,是否均由本人填制该表单并作出自 评 ; 第三步: 检查直接上级、部门经理及人力资源部经理是否在表单中对员 工进行了评估 ; 第四步: 查看评估结果是否表明员工能胜任相关岗位。 认定内部控制缺陷缺陷的表述方法 - 问题描述:描述内部控制缺陷的客观事实,即企业现有的控制举措及其与五部 委应用指引要求或行业最佳实践间的差异所在; - 风险/影响:该内部缺陷可能为企业带来的风险/影响。可以结合定性或定量的 方法,从财务、声誉、安全等多个角度进行表述; - 整改建议:内部审计针对该内部控制缺陷提出的可行的
31、整改建议。 认定内部控制缺陷缺陷的认定标准 财务报告相关内控缺陷的认定标准示例: 认定内部控制缺陷缺陷的认定标准 非财务报告相关内控缺陷的认定标准示例: 认定内部控制缺陷缺陷的认定标准 非财务报告相关内控缺陷的认定标准示例(续): 45 2010 德勤华永会计师 事务所有限公司 版权所有 企业常见的内部控制缺陷 1 公司治理结构设置有 待完善 2 缺乏完善的风险评估 和内控自评流程 3 缺乏有效的反舞弊和 匿名举报机制 5 未能在岗位设置上保 证恰当的职责分离 8 财务报表编制与信息 披露程序有待完善 7 对关联方交易控制不 足 14 缺乏有效的系统变更 与版本管理 4 各类授权审核的充分 性
32、、有效性有待提高 6 业务/职能部门与财 务部缺乏充分沟通 10 缺乏对各类资产的减 值/跌价评估 9 对各类主文档的管理 有待加强 12 缺乏对投资项目的跟 踪管理及后评估机制 15 用户系统权限管理有 待加强 13 未能建立各类应急预 案、并进行恢复演练 11 缺乏对实物记录和会 计记录进行及时核对 常见内控缺陷1:公司治理结构设置有待完善 具体表现问题为: 1.企业未建立审计委员会; 2.审计委员会中缺乏具有专业胜任能力的人员; 3.审计委员会及其成员缺乏独立性; 4.审计委员会缺乏充分的职权履行职责; 5.审计委员会会议流于表面; 6.内部审计机构不具备相应的独立性或缺乏地位使得其无法
33、有效发挥作用; 7.内部审计机构对审计过程中发现的重大问题由于人为限制无法直接向审计 委员会或者董事会报告。 4 6 审计委员会会议应发挥其监管作用,不应流于表面形式。同时,应发挥独立董事的监督 优势,具有监督职能的审计委员会主席应由独立董事担任。 背景介绍 2003年3月南方保健的财务舞弊丑闻浮出水面,创下了上市公司财务舞弊涉案人员最 多的纪录(11名高管人员涉案),25亿美元的虚假利润更使其成为仅次于世界通信的 第二大“会计造假大王”。 失败原因:审计委员会未发生应有效用 早在2001年,美国联邦政府和美国司法部因南方保健的频繁关联交易和诈骗 Medicare 保险金就起诉过南方保健,但是
34、公司审计委员会对于上述重大事件不闻不 问。根据南方保健董事会会议记录,在2001年发生重大事件的当年,审计委员会仅开 过一次例会。更有甚者,南方保健审计委员会中的两名成员所拥有的私人公司与南方 保健之间竟存在着密切的关联交易。南方保健的审计委员会未尽勤勉责任也未信守诚 信义务,从而为会计造假滋生温床。 内控省思 常见内控缺陷1:公司治理结构设置有待完善 案例(一) 4 7 由具备独立性的外部董事担任审计委员会发挥有效的制衡的功能。 背景介绍 宝钢集团有限公司董事会设有9个董事,其中有5位外部董事,成为中央企业中第一 家外部董事全部到位且超过半数的董事会。作为中央企业建立和完善国有独资公司董 事
35、会第一批试点企业。 成功的内控措施 通过对外部董事资格的严格要求,避免董事与经理人员的高度重合,真正实现决策 权与执行权的分权制衡 。同时,董事会都被赋予足够的职权,包括重大投融资决策 权、挑选经理人员、考核经理人员、决定经理人员薪酬的权利。董事会设立董事会 办公室和董事会秘书,并在董事会下设战略委员会、薪酬与考核委员会、提名委员 会、内部审计委员会等专门委员会。 借鉴意义 常见内控缺陷1:公司治理结构设置有待完善 案例(二) 4 8 企业应设内部审计部门,直接由审计委员会负责。内部审计的主要人员应由审计委员会任 命,并向审计委员会汇报工作,首席执行官或高层财务官员不能直接介入审计委员会的工
36、作 。审计委员会应不时与内部审计部门沟通,并进行有效的督导。内部审计部门应制定全 面的年度内审计划,并采用系统的方法评估和确定需要内审的重点部门和重点领域,以确 保会计信息的真实性,防范财务舞弊产生。 背景介绍 世通公司是美国第二大通信公司,因负债400万美元并爆出财务造假丑闻,成为美国 历史上迄今为止最大的破产案。 失败原因 世通公司弊案的曝光,最初是由一个内部审计员在一次例行审计中发现公司财务中 有故意造假行为后向当时的首席财务官报告,而首席财务官其实就是参与欺诈的人 员之一,于是他让内部审计员立即停止审计调查。但该内部审计员越过高管层将内 幕报告给审计委员会主席,最终发现了超过三十亿美元
37、的假账。 内控省思 常见内控缺陷1:公司治理结构设置有待完善 案例(三) 4 9 内控的重心要从细节控制转向风险管理。要求董事会与管理层特别重视可能产生重大风险 的环节,且将风险管理作为内控的最主要内容。 背景介绍 失败原因:未有效建立风险评估体系 2002年下半年,在中航油进行石油期权交易时,其决策者风险意识淡薄,判断、控制和 驾驭风险的能力明显较弱,同时对所面临机会与风险缺乏一套有效的体系去识别和评估 。 内控省思 中航油新加坡公司于2001年底获批在新加坡上市,在取得中国航油集团公司授权后,自 2003年开始做油品套期保值业务。但在此期间,公司总裁擅自扩大业务范围,从事石油衍 生品期权交
38、易。2004年12月,中航油新加坡公司因从事投机性石油衍生品交易,亏损 5.54亿美元,不久就向新加坡证券交易所申请停牌,并向当地法院申请破产保护,成为继 巴林银行破产以来最大的投机丑闻。 常见内控缺陷2: 缺乏完善的风险评估和内控自评流程 案例(一) 5 0 - 企业应当建立风险识别、评估和应对体系,并将结果应用于实际工作中。 - 在进行日常业务审核过程中,切忌审核流于形式,应确保审核人具备充分的胜任能力、且 审核范围应当足够充分。 背景介绍 失败原因:对保险合同的审核缺乏有效性 - 未对风险进行系统评估,没有考虑对各类重大风险进行识别和评估,从而没有明确保险 范围 - 业务部门、法律部门等
39、未对保险合同进行严格审核,没有及时发现保险公司删减了其中 “雪灾、冰凌”的保险责任条款 内控省思 2008年1月,宜宾兴文县遭遇百年不遇的特大冰雪灾害,其中电力也受损。事后,兴文电 力公司多次向其投保的中华联合财产保险公司宜宾支公司提出理赔未果,遂向法院提起诉 讼,称中联保险用删减后的财险条款与之签订保险协议(事先未告知),回避“雪灾、冰 凌”的灾害责任范围,请求法院判令中联保险赔偿因保险事故造成的财产损失800余万元 及利息。2009年12月25日,此案经宜宾市中院一审判决,驳回兴文电力的诉讼请求。 常见内控缺陷4: 各类授权审核的充分性、有效性有待提高 案例(一) 5 1 常见内控缺陷5:
40、 未能在岗位设置上保证恰当的职责分离 财务岗位的设置与安排,讲究的是相互制衡,比如出纳与会计的相互牵制,会计各岗位的 相互监督等等。 失败原因:没有形成有效的职责分工和相互监督机制 挪用公司资金的问题,本来完全可以通过出纳依据每月或每季的银行对账单查明,或 者子公司财务人员可以通过编制月报或季报甚至是年报发现问题,从这点上可以看出公 司财务岗位的设置与安排失衡。 公司财务部门与其他部门间缺乏相互监督机制。作为一家房地产发展有限公司,财务 部、工程部、客户部以及材料采购部之间本应相互监督,材料的采购与款项的收回,不 单单是财务部的事情,相关部门均有责任。会计凭证也是根据原始凭证填列的,而原始 凭
41、证可能来自采购部、工程部,要想通过更改会计凭证来挪用公款是很容易被发现的, 但却在在四五年的时间内都无人发觉。 内控省思 背景介绍 浦东金桥的子公司上海全桥出口加工区房地产发展有限公司(“金桥房地产发展有限 公司”)约1500万左右的银行存款不翼而飞。 案例(一) 5 2 常见内控缺陷8: 财务报表编制与信息披露程序有待完善 5 3 案例(一) 背景介绍 某年11月20日,乐山电力3000吨/年的新光硅业二期项目的投资意向已经敲定,21日 该股既未公布这一消息也未向交易所提出停牌申请,并在开盘后大幅上涨被交易所紧 急停牌,但迟至28日,乐山电力才发布了这份投资意向书。对此,杭萧钢构虚假陈 述民
42、事赔偿案代理律师认为,乐山电力未及时披露重大投资意向,已经可能涉嫌信息 虚假了;加上出现股价异动,公司可能涉嫌泄密甚至内幕交易。 此事已经引起监管 当局关注,上交所也已开始着手调查。 失败原因 企业缺乏恰当的信息披露机制,在重大项目产生的时候,没有任何部门及人员提出披露 需求并启动披露程序,说明企业该方面的内部控制存在薄弱之处。 公司应当建立恰当的信息披露程序,严格按照有关法律法规的规定,及时识别需要进行信 息披露的情形,并启动恰当的披露程序,确保企业的行为合法合规,避免不必要的诉讼事 件。 内控省思 企业应当建立充分的应急预案,对于预计产生重大影响的突发事件做好充分的应对准备, 并且这些应急
43、预案应当得到适当演练,企业对应急预案需要定期复核和更新,确保预案能 够在突发事件发生时起到应有的作用,减少企业的损失。 背景介绍 失败原因 电力公司的相关部门没有建立较为完善的应急预案,对重要突发事件的应急演练不 够,导致无法及时处理相关事件。 内控省思 福建省是自然灾害多发的省份,台风、洪涝等频繁的自然灾害给电力安全带来了严峻的 挑战。1995年5月9日福建电网发生“5.9”事故,电网振荡,损失发电功率84.5万千瓦 ,约占全省发电功率296.6万千瓦负荷的28.5,造成电网事故。自1999年以来,又先 后经历了1999年10月8日厦门全岛停电、2002年“飞燕”台风福州市区大面积停电事故
44、(事故造成福州长乐机场停电)、2005年“龙王”台风和2006年“桑美”台风引发的 大面积停电等II级事故,电力公司因此遭受巨大损失。 案例(一) 常见内控缺陷13: 未能建立各类应急预案、并进行恢复演练 5 4 中国平安按照ITIL标准和原则建立了职责分工明确、定位清晰的基础架构体系,并在实际 运作过程中发挥着越来越大的作用,为公司的持续增长与扩展提供了有力的支持 。 ITIL项目提高了我们IT管理水平与质量,有效弥补和预防了管理机制中出现的漏洞,也为 各项业务的顺利实施提供了保障。 背景介绍 成功的内控措施 中国平安引入ITIL(信息技术基础设施库)来保障并提高IT系统的服务管理水平。惠
45、普按照ITIL管理体系为平安保险建立运行管理平台、管理制度和流程,设计相应人员 职责角色,优化管理组织结构,提出有助于管理的工具方案,通过人员、技术和流 程的有机结合,有效实现上述管理流程,并形成一个整体的IT运营管理系统,从而实 现IT运维管理标准化和规范化,有效提高IT运营的整体水平。 借鉴意义 早在2001年,中国平安就开始着手进行合并所有IT基础架构的项目,彻底实现系统的集 中化及标准化,并且选择了惠普帮助其进行风险评估及灾难恢复演习项目。 案例(一) 常见内控缺陷15:用户系统权限管理有待加强 5 5 内部控制自我评估报告报告要素 管理层声明段 管理层责任段 内控固有局限性 参考要素段 内部控制自我评估报告报告要素(续) 重大缺陷描述段 整改措施描述段 内部控制自我评估报告报告要素(续) 尚未整改缺陷描 述段 总体评价段 管理层授权段 内部控制的目标,公司可 根据自身情况进行调整 企业可根据自身建立内控 的实际情况,披露公司内 控的基本要素。 内部控制自我评估报告其他说明 企业应如实披露内 控自评中发现的重 大缺陷 内部控制自我评估报告其他说明 列示截止报告前 数日,尚未整改 完毕的重大缺陷 及预计完成时间 报告须经管理层 审议通过,并由 总经理或同等级 别授权人签字盖 章 内部控制自我评估报告其他说明 2011德勤华永会计师事务所有限公司版权所有 保留一切权利