安永2005中央企业全面风险管理培训.ppt

* * 在外国，内控绝对不是新的课题，早在1949年，美国注册会计师协会以经有所发表。 Refer to above. * 在1994年，美国“反对虚假财务报告委员会”再提出，内部控制不单是管理层的责任，其企业的董事会和每一个员工其实都担当着一个重要的角色。而且内部控制的好与坏，也直接影响着企业经营的效果和效率。 这报告也特别提出了内部控制的五大要素，内控环境、风险评估、控制活动、信息与沟通和监控。待会我会逐一为大家讲解。 * * * 内控活动就是一些比较容易看到的实质活动，例如：编写出来的详细企业政策及守则；相信在座每一位每天都会有一大堆的文件需要看和需要批核，其实批核也是一种控制；对企业内的所有资产，都应该好好保护，作出一些保安措施，也是一种控制。可能每天或每月你们都会收到一些报表，里面的差异和指标，都能更容易的让你们控制和管理企业。资讯系统也是一种很有效的控制，但系统本身的控制必需做得好，因为很多工作都有依靠资讯系统的协助，好像刚才提过的报表都会由系统准备和打印出来的。至于权责划分，这方面刚才已经说过，所以我不再详谈了。 * * * 内部控制的作用 内部控制的作用在于保证/保护： 信息（会计信息和经营信息）的可靠性和完整性 遵循政策、计划、程序、法律和法规 资产的安全 提高经营效益和效能 实现经营的目标和防止浪费资源 * 内部控制不能： 将一个原本拙劣的管理体系改变成一个优良的管理体系 影响环境因素，如政府的法规和政策、竞争对手的行动或经济状况 保证企业的成功或不会面临倒闭的命运 杜绝员工或管理层舞弊和欺诈的行为 * COSO内控框架 Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及IT应用层面 COSO 内控框架 内控环境 风险评估 控制活动 信息和沟通 监控 业务部门 业务功能 整体 营运 财务报告 合规 * 方面 需考虑的因素 高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资源政策和程序 风险评估流程 对重要事件的预测、识别和反应机制 识别会计准则差异、业务操作和内部控制变化的程序 提供完整的业绩报告 与业务策略相联系 持续开发、测试和监控计算机系统和程序 计算机业务持续性系统和应急计划 便于职员履行职责而建立的沟通渠道 有必要的政策和程序 有明确的财务目标，并对其主动监控 合理的职责分离 预算与实际情况的定期比较 对文件、记录和财产的适当保管 对内部控制的定期评估 实施改进建议 建立内部审计职能以实施监控 控制环境 风险评估 信息和沟通 控制活动 监控 如何构建内部控制—公司层面的评估 管理层关于内部控制 的报告 评估内控的整体的有效性，找出有待改进的地方，并建立一个监控体系 在流程、交易和应用层面，理解和评估内部控制 在全公司层面评估内部控制 组织项目小组实施评估工作 理解内部控制的定义 * 公司层面的内控─控制环境 企业道德规范与价值观 员工的行为操守与企业文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责 * 公司层面的内控─风险评估 企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险？ 先进的内审部门？ 风险管理部门？ 全面风险评估？ 企业有否详细记录评估风险的结果？有否进行详细的讨论和沟通？ * 公司层面的内控─信息和沟通 企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性 * 规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分 公司层面的内控─控制活动 * 公司层面的内控─控制活动 规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则 * 公司层面的内控─控制活动 审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担 * 公司层面的内控─控制活动 资产实物的安全 档案/库存上锁 减少利用现金交易 办工室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机 * 公司层面的内控─控制活动 特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告 * 公司层面的内控─控制活动 表现指标 预算与实际比较 项目管理报告