《2011安永-中央企业全面风险管理培训》.ppt

* * 内控活动就是一些比较容易看到的实质活动，例如：编写出来的详细企业政策及守则；相信在座每一位每天都会有一大堆的文件需要看和需要批核，其实批核也是一种控制；对企业内的所有资产，都应该好好保护，作出一些保安措施，也是一种控制。可能每天或每月你们都会收到一些报表，里面的差异和指标，都能更容易的让你们控制和管理企业。资讯系统也是一种很有效的控制，但系统本身的控制必需做得好，因为很多工作都有依靠资讯系统的协助，好像刚才提过的报表都会由系统准备和打印出来的。至于权责划分，这方面刚才已经说过，所以我不再详谈了。 * * COSO内控框架 Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及IT应用层面 COSO 内控框架 内控环境 风险评估 控制活动 信息和沟通 监控 业务部门 业务功能 整体 营运 财务报告 合规 * 方面 需考虑的因素 高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资源政策和程序 风险评估流程 对重要事件的预测、识别和反应机制 识别会计准则差异、业务操作和内部控制变化的程序 提供完整的业绩报告 与业务策略相联系 持续开发、测试和监控计算机系统和程序 计算机业务持续性系统和应急计划 便于职员履行职责而建立的沟通渠道 有必要的政策和程序 有明确的财务目标，并对其主动监控 合理的职责分离 预算与实际情况的定期比较 对文件、记录和财产的适当保管 对内部控制的定期评估 实施改进建议 建立内部审计职能以实施监控 控制环境 风险评估 信息和沟通 控制活动 监控 如何构建内部控制—公司层面的评估 管理层关于内部控制 的报告 评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系 在流程、交易和应用层面，理解和评估内部控制 在全公司层面评估内部控制 组织项目小组实施评估工作 理解内部控制的定义 * 公司层面的内控─控制环境 企业道德规范与价值观 员工的行为操守与企业文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责 * 公司层面的内控─风险评估 企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？ 先进的内审部门？ 风险管理部门？ 全面风险评估？ 企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？ * 公司层面的内控─信息和沟通 企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性 * 规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分 公司层面的内控─控制活动 * 公司层面的内控─控制活动 规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则 * 公司层面的内控─控制活动 审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担 * 公司层面的内控─控制活动 资产实物的安全 档案/库存上锁 减少利用现金交易 办工室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机 * 公司层面的内控─控制活动 特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告 * 公司层面的内控─控制活动 表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报告 * 公司层面的内控─控制活动 职责划分 一种员工之间相互制约的控制， 以减少出错或越权的情况 不能由同一人发起、批准和记录一宗交易 不能由同一人保管和记录资产 定期轮换职责，在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查 * 公司层面的内控─控制活动 风险控制 平衡的区域 高 低 过份控制 低 高 风险程度 控制效果 控制不够 * 流程、交易及IT应用层面的评估 评估和监控控制的有效性 评价控制是否合乎当初设计的有效 识别和记录影响每一财务报表科目的关键业务和固有风险 在主要流程层面记录对关键业务风险的理解和他们怎样影响财务报表科目 记录对每一财务报表科目固有风险的评价 识别重要科目 考虑下列因素： 潜在的重大差错 规模和组成 对于人为操纵和损失的敏感性 较多的交易数量 交易的复杂性 决定科目余额的主观性 科目的性质 识别和理解