张庆龙教授企业内部控制建设的路线图分析 (下)［PPT课件］.pptx

企业内部控制建设的路线图分析张庆龙教授、博士、博士后 国际注册管理咨询师、硕士生导师青联委员 北京市审计局特聘专家中国审计学会教育分会理事北京市财政学会理事、中国商业会计学会理事中国内部审计协会质量监督委员会委员E-mail：zhangql@mail.nai.edu.cn找准切入点国内上市企业实施内部控制的应对策略■ 理解企业内控基本规范及配套指引要求■ 评估企业现状及梳理企业流程■ 完善公司治理结构及规章制度■ 设定控制目标，开展自我评估■ 缺陷发现及整改■ 接受外部审计■ 持续改进、完善企业在建设内部控制体系过程中关注什么？ ? 如何高效有序地建立内控体系，以最少的投入达到最好的效果？ ? 如何使得内控体系融入公司日常管理，提升管理水平，实现其对公司管理的价值？ ? 如何明确内部责任体系，提高执行力并支撑公司董事和管理层对外披露内控有效性？ ? 如何在合规的基础上，发挥内控效能，最大程度防范风险？ ? 已开展过系统内控建设工作的上市企业现在还需要做什么工作？ ? 未上市企业需要开始建设内部控制体系么？建设内控体系的路线图本次培训重点分享内容内部控制基本规范内部控制应用指引内部控制评价指引内部控制审计指引内控评价制定内控评价办法 开展内控评价 跟踪缺陷整改编制内控评价报告内控梳理对标流程梳理识别评估控制对标偏差改进内控整改固化记录内控缺陷设计整改方案完善内控制度更新内控文件 内控审计进行模拟审计提供所需证据出具管理声明披露审计报告 信息化建设管理层持续整改/内部监督持续开展识别评估偏差改进梳理梳理控制对标一、流程梳理1、职责界定（续）明确的功能定位：为公司治理服务和为内部管理服务第一道 防线：业务单位 防线☆ 业务单位包含了企业大部分的资产和业务，它们在日常工作中面对各类的风险，是企业的前线。☆ 企业必须把风险管理的手段和内控程序融入到业务单位的工作与流程中，才能建立好防范风险的第一道防线第二道 防线：风险管理单位防线☆在业务单位之上建立一个更高层次的风险管理功能，它的组成部份可能包括风险管理部门、信贷审批委员会、投资审批委员会☆ 风险管理部的责任是领导和协调公司内各单位在管理风险方面的工作第三道 防线：内审单位 防线☆ 涉及一个独立于业务单位的部门，监控企业内控和其他企业关心的问题☆ 内审单位要发挥三大职能：财务监督、经营诊断与内部咨询顾问2、内控范围识别评估梳理梳理偏差改进公司层面的内部环境，风险评估，信息与沟通，内部监督等内部控制控制对标一、流程梳理合并财务报表合并财务报表及子公司的财务报表子公司的财务报表基于各公司主要业务经营活动和主要报表项目通常运用职业判断合理选择某一重要科目的百分比，据以确定重要性水与财务审计的重要性水平保持一致分别从定性以及定量两个方面来确定纳入内控范围的重要会计科目基于风险评估根据子公司资产负债表和利润表，科目的余额或者披露的信息等来确定将识别的纳入内控范围的经营实体以及每个实体对应的重要会计科目与业务流程进行匹配确定重要性水平确定重要会计科目纳入内控范围的经营实体确定每个纳入围的经营实体所涉及的业务流程基于风险的自上而下的方法3、明确流程识别评估梳理梳理偏差改进从内部控制五要素出发梳理企业内控，关注重要业务事项和高风险领域：控制对标一、流程梳理3、明确流程（续）IT一般控制? 信息安全? 信息系统日常运作? 数据库实施与维护? 应用系统实施与维护? 系统软件支持? 网络支持? …公司控制环境? 总体控制环境? 信息与沟通? 风险评估? 监控流程层面控制? 销售与收款流程? 采购与支出流程? 存货及成本管理流程? 资金管理流程? 固定资产管理流程? 工程项目管理流程? 税务管理流程? 人力资源管理流程? 财务关账及报告流程偏差改进梳理梳理识别评估控制对标IT 系统应用控制业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性，准确性，有效性和访问控制。应用系统控制的例子包括：? 授权审批? 职责分离? 系统编辑控制? 系统计算一、流程梳理公司层面控制流程层面控制IT 信息系统操作系统/数据库/ 网络/ 应用系统…对控制活动的记录将包括以下关注点（5W1H）-被控制的风险是什么(what)？-是如何控制的（how)？ -为什么要实施控制(why)？-谁来实施控制(who)？-什么时候实施控制(when)？-控制活动是通过什么系统完成的(whatsystem)？ 3、明确流程（续）识别评估梳理梳理偏差改进控制对标一、流程梳理偏差改进识别评估梳理梳理控制对标一、流程梳理1、风险识别梳理梳理识别评估偏差改进控制对标二、识别评估 风险识别与评估的依据：?应重点关注18个内部控制应用指引中所列示的风险?可运用适当的风险识别工具，逐步细化风险点和管理手段?充分运用风险管理工具，强化风险管