企业内部控制评价.ppt

内部控制的产生 1949年，美国会计师协会的审计程序委员会在《内部控 制，一种协调制度要素及其对管理当局和独立注册会计师 的重要性》的报告中，对内部控制首次作了权威性定义： “内部控制包括组织机构的设计和企业内部采取的所有相 互协调的方法和措施。这些方法和措施都用于保护企业的 财产，检查会计信息的准确性，提高经营效率，推动企业 坚持执行既定的管理政策。” ? 此定义及其相应的解释，当时被普遍认为是对认识内部控 制这一概念的重大贡献，因为在此之前内部控制概念从未 受到如此的重视。 控制机制人是核心 (道德和能力） “内部控制整体框架”的特点 ? 明确对内部控制的“责任” ? 强调内部控制应该与企业的经营管理过程相结合 ? 强调内部控制是一个“动态过程” ? 强调“人”的重要性 ? 强调“软控制”的作用 ? 强调风险意识 ? 揉和了管理与控制的界限 ? 强调内部控制的分类及目标 ? 明确指出内部控制只能做到“合理”保证 ? 成本与效益原则 计算机安全标准 计算机系统安全 计算机系统安全 控制进入计算机系统软件要求：6－1，6－2，6－3 防止未授权读出，删除，更改程序或数据 为每一用户提供唯一的ID以保证职责分割 要求口令，口令必须加密，定期更改 生成审计线索文件 6－1： 未经授权的人可能进入系统 6－2：机密的数据可能被非法利用 6－3：关键数据的损坏会破坏正常的生产和运营 1987-1997欺诈性财务报告研究 ? 1987年Treadway报告发布后，美国公开发行股票公司财务报告舞弊情况究竟如何，需要进行全面的分析. COSO发起并赞助了对1987.1-1997.12美国欺诈性财务报告的研究,? 研究者从这11年期间受到SEC处罚的约300家公司中随机选取了约200家公司进行了全面的研究, 1999年3月发布了研究报告. ? 研究发现： – 存在财务报告欺诈舞弊问题的一般是小公司，大多不在纽约证券交易所或美洲证券交易所上市的公司 – 进行欺诈舞弊的大多是公司高层，72%的案例显示由公司CEO参与 – 有欺诈舞弊情况的公司，董事会和审计委员会都很弱，审计委员会很少碰头，董事会由内部人控制 – 大部分公司由发起人和公司董事拥有 – 当公司发生欺诈舞弊情况时，后果非常严重，大部分导致破产、股权重大变更或直接退市 萨班斯－奥克斯利法案概述(续) 404 条款要求， 每个公司都要将公司任何一个岗位的职务、职责描述得一目了然， 这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度（ 例如产品销售的条件、记录付款的时和人员等）。此外， 还要指出内部控制的缺陷所在。 要完成这些工作绝非易事， 特别是对于组织分散， 业务范围复杂的大型公司而言， 组织越分散， 业务越复杂就意味着要做的工作越繁杂， 这促使他们不得不投入更多来实施404 条款所要求的内部控制措施。 萨班斯－奥克斯利法案概述(续) 404 条款的遵循成本第一年最高， 包括关键内部控 制的初始存档和补救。以后年度的遵循成本会大 幅度减少。 .根据国际财务执行官(FEI) 对321 家企业的调查结 果， 每家需要遵守萨班斯法案的美国大型企业第 一年实施404 条款的总成本将超过460 万美元。 .全球著名的通用电气公司表示，404 条款致使公司 在执行内部控制规定上的花费高达3000 万美元。 内部控制制度举例－采购循环 内部控制制度举例－采购循环 选择和保留供应商 购货 验收 应付帐款 付款 内部控制制度举例－采购循环 采购环节： 超过一定金额的采购必须通过竞价的方式。如果最低报价没有被选用，必须提供适当的原因和得到采购部领导的书面批准。 参见： 5－1，5－2 违反制度可能带来的风险： 5－1： 可能发生含有利益冲突的交易 5－2：公司可能接受不适当的价格及条款 业务层面关控测试—记录样本信息和样本量差异原因 内控测试抽样是种固定样本抽样，按照某个内控循环的交易频次来确定样本量，有两种不同的方法，一是按照日交易频次，二是按照年交易频次，两者实质上是一样的，形式略有差别。某个循环日平均交易频次在一次以上的，或年交易频次在1000以上的，（四大的标准略有差异，这是我服务的那家的标准），至少抽40个样本，日平均交易频次在一次以下的，或年交易频次在1000以下的，至少抽25个样本，在抽样中，如果发现一个样本错误，则扩大三倍的样本量，再发现样本错误，则该内控循环不可信赖，需做详细测试。IPO业务中有些重要的循环即使达不到年交易频次1000，也会抽40个样本。至于为什么选40和25，简而言之像前面讲的审计确信度的取值是一样的，是长期的数理统计的结果，涉及很深的高等数学的知识。 内