京国家会计学院 风险管理与内部控制专题 风险管理与内部控制专题 梅放 梅放 安永企业风险管理服务 安永企业风险管理服务 合伙人 合伙人 2006年8月7 日 北京 一、安永简介 二、企业风险管理 三、风险管理与内部控制 四、 内部审计 五、欺诈、腐败与造假 六、公司治理与绩效管理 1 三、风险管理与内部控制 内部控制介绍 内部控制评估的整体方案 与财务报告相关的内部控制 2 内部控制介绍 内部控制是指: 一个要靠企业的董事会成员、管理层和员工去实现 的过程,其设计在于为以下三个类別提供合理的保 证: 经营的效果性和效率性; 财务报告的可信性; 对有关的法律和规章制度的遵循性。 3 内部控制介绍 内部控制的关键概念: 内部控制是一项流程; 内部控制程序可通过手册、系统、表格等建立,但 其有效性的关键极受企业文化(对 控的重视程 度)、执行的认真程度和持续改善机制的影响; 内部控制只能对于公司的管理提供合理的保证,而 非绝对的保证; 内部控制应根据企业的战略目标和业务改变而进行 相应的修改。 4 内部控制介绍 COSO 内部控制及其五个组成部分 COSO 是自发的私营组织,旨在通过提高商业道德,有效的内部控 制与公司治理,加强财务报告的质量。 Committee Of Sponsoring Organizations of the Treadway Committee (COSO) 的 “内控程序-整体框架”报告以及SAS 55的指引是公司 控系统审核中最常被作为参考的文献资料,它们提供了最为具体、 广为接受及可行的基准。 5 内部控制介绍 内部控制的组成部分 告 循 营 报 遵 运 务 业 财 控制环境 功 务 单 能 风险评估 位 单 位 控制活动 信息与沟通 监督 6 内部控制介绍 内部控制的五个核心组成部分 控制环境 风险评估 控制活动 信息与沟通 监督 7 内部控制介绍 控制环境 “任何公司的核心在于其员 风险评估 工,他们每个人的诚信准则, 道德价值和能力,以及他们工 控制活动 作的环境。” 信息与沟通 监督 8 内部控制介绍 控制环境 影响控制环境的六个因素: 1. 诚信与道德价值 风险评估 • 控制环境的基本要素,影响重要流程的设计,管理及监督。 控制活动 • 管理层应采 行动,去除或减少可能导致员工进行不法或不道 德行为的机会。 信息与沟通 • 通过公司政策,行为准则及领导层的以身作则,明确公司的价 值取向, 监督 2. 致力于能力的承诺 • 考虑不同工作的对能力的不同要求。 • 考虑重要岗位人员是否能够胜任其工作。 9 内部控制介绍 控制环境 影响控制环境的六个因素: 风险评估 3. 董事会或审计委员会的参与 • 董事会及审计委员会负责公司会计及财务报表的政策与步 控制活动 骤,并向股东及公众负责。 • 考虑管理层的独立性与经验,成员的身份,参与的程度, 信息与沟通 对公司业务的巡视,等等。 4. 管理哲学与运营风格 监督 • 管理层负责指导及控制业务,建立、传达及监督公司政策 章程。 • 控制意识 10 内部控制介绍 控制环境 影响控制环境的六个因素: 5 公司结构与权威和责任的分配 风险评估 • 整体计划,指示控制活动的框架。 控制活动 • 考虑管理层如何分配权威,监督分散经营的业务,对信息系统 的管理监督,及监督公司政策章程的执行。 信息与沟通 6. 人事政策与惯例 监督 11 内部控制介绍 控制环境 控制环境通常发现的问题: 1. 治理结构不完善,不能对管理层进行独立有效的监督 风险评估 与控制 2. 管理层风险控制意识薄弱 控制活动 3. 公司组织架构与公司规模、业务不匹配 信息与沟通 4. 没有一整套严格、统一的授权体系 5. 财务及信息系统管理分散 监督 6. 没有明确统一的员工行为守则 7. 没有岗位说明书以及合理的员工绩效考核办法 12 内部控制介绍 控制环境 风险评估是决定如何进行风险管理 的基础。 风险评估 风险评估是识别及分析那些可能影 控制活动 响企业达到其企业目标的事件或条 件。 信息与沟通 监督 13 内部控制介绍 控制环境 企业面临各种各样的内部与外部风险。风险评估的前提是建立 企业目标,因为风险 在与企业与其所要达成的目标之间。 风险评估 三种企业目标: 控制活动 1.业务目标 • 内部制定的业务效率及有效性的标准 信息与沟通 2.财务目标 • 在公司外部建立的。 监督 • 财务结果属于业务目标;而财务报告准确性(衡量及披露标准) 的目标 是在公司外部建立的。 3.遵循法律法规的目标 • 在公司外部建立的。 • 达到这些目标是在公司控制范围 14 内部控制介绍 控制环境 风险评估通常发现的问题: 1. 缺乏企业整体目标,包括战略目标的确定与更新 风险评估 2. 下属机构与总部目标不一致,导致对风险识别的不一 致 控制活动 3. 缺乏风险识别与预警机制以及缺乏对新市场、新产品/ 服务的风险评估 信息与沟通 4. 缺乏机制来进行定期系统的风险评估 监督 15 内部控制介绍 控制环境 控制活动是公司建立执行的政策章程, 以确保管理层的指示可以得到顺利贯彻 风险评估 执行。 控制活动 控制活动必须与风险评估是一个整体。 信息与沟通 监督 16 内部控制介绍 控制环境 控制活动的三种形式: 风险评估 1. 预防性控制及检查性控制 控制活动 2. 人工控制及IT控制 3. 管理控制及监督控制 信息与沟通 监督 17 内部控制介绍 ÿ预防性控制– 是为了防止错误和舞弊的发生而采 的控制: 职责分离; 监督性检查; 正确性校验; 设置权限。 ÿ检查性控制– 把已经发生和 在的错误检查出来的控制: 异常情况报告; 编制调节表; 周期性的审计; 盘点。 18 内部控制介绍 ÿIT控制– IT控制包括系统控制和应用控制: 系统控制包括: – 系统性的软件控制; – 系统准入控制。 应用控制包括: – 确保通过系统进行的交易的准确性和完整性的控制。 19 内部控制介绍 控制环境 控制活动举例 风险评估 ÿ 高管人员注意运营结果,对运营结果进行总体审阅, 如预算与实际比较,财务计划等 控制活动 ÿ 对具体业务与具体部门的直接管理,如数据统计,生 产报告,帐龄分析等 信息与沟通 ÿ 信息与数据处理的检查,错误处理,报告等等 监督 ÿ 物理控制,如限制出入 ÿ 绩效表现指标,如数据比较,关系分析,变化分析 ÿ 职责分离 ÿ 章程与程序步骤 20 内部控制介绍 控制环境 控制活动通常发现的问题举例: 风险评估 1. 缺乏全面预算管理 2. 缺乏有效项目管理 控制活动 3. 缺乏有效的IT控制 信息与沟通 4. 着重预防型控制而忽略检查型控制 5. 缺乏对控制的文档记录 监督 21 内部控制介绍 控制环境 围绕着风险评估与控制活动的是信息与 沟通系统。 风险评估 控制活动 只有以一定形式并在一定时间 ,对相 应信息进行识别,获 及沟通,才可以 信息与沟通 保证公司员工履行他们的职责。 监督 22 内部控制介绍 控制环境 信息 信息控制对公司控制至关重要。 风险评估 信息控制的三个要点: 控制活动 1. 量的正确的信息 2. 在适当的时候 信息与沟通 3. 给正确的人员 监督 信息必须是公司战略与整体系统的一部分。 23 内部控制介绍 控制环境 沟通 风险评估 ÿ 沟通是信息流通的渠道,也是信息的来源。 控制活动 ÿ 内部沟通包括水平与垂直两种方式。 信息与沟通 ÿ 外部沟通有多种来源:顾客,供应商,政府,利益 相关者。 监督 24 内部控制介绍 控制环境 信息与沟通通常发现的问题 风险评估 1. 信息系统无法满足财务、业务需要,向管理层及时 提供正确相关的信息 控制活动 2. 信息系统的设计与公司战略不一致 3. 公司上传下达不力 信息与沟通 4. 部门或地区之间沟通不力 监督 25 内部控制介绍 控制环境 监督是一个在一定时间范围 评估公司 内部控制的质量的流程,可以分为以下 风险评估 三种: 控制活动 1. 持续的监督活动 2. 单独评估活动 信息与沟通 3. 缺陷报告。 监督 26 内部控制介绍 控制环境 持续的监督活动 风险评估 建立在正常的,重复的运作中,如: • 定期的管理活动 控制活动 • 外部反馈 • 信息系统记录的数据 信息与沟通 • 内部反馈 • 内部审计 监督 • 培训及计划 • 行为准则 27 内部控制介绍 控制环境 单独评估活动 风险评估 专注于内部控制系统本身,而不是系统所控制 的业务,因此不是通常的内部审计。在进行单 控制活动 独评估活动中,COSO注重以下方面: • 评估的范围与频率 信息与沟通 • 评估 行人员 • 评估流程 监督 • 评估方法 • 内控系统的记录 • 缺陷弥补执行计划 28 内部控制介绍 控制环境 缺陷报告 风险评估 缺陷报告涉及四个方面: • 信息的来源是什么 控制活动 • 需要报告的 容是什么 • 谁是报告的接受者 信息与沟通 • 报告的指示是什么 监督 29 内部控制介绍 控制环境 与内部控制系统有关联的各方的角 风险评估 色与责任 • 管理层 控制活动 • 董事会 • 审人员 信息与沟通 • 其他内部人员 监督 • 外部审计师 • 立法者、政府人员 • 与公司有关联各方,如顾客,供应商等 30 内部控制介绍 控制环境 监督通常发现的问题 风险评估 1. 缺乏对内部控制的定期评估 2. 审部门没有独立性,不能有效进行监督工作 控制活动 3. 审工作范围与计划不合理 信息与沟通 4. 内部控制缺陷不能及时得到纠正 监督 31 内部控制介绍 内部控制能有效保证/保护: 信息 (会计信息和经营信息)的可靠性和完整性; 遵循政策、计划、程序、法律和法规; 资产的安全; 提高经营效益和有效性; 实现企业的经营和赢利的目标,并且能防止资源的损 失。 32 内部控制介绍 内部控制不能: 将一个原本拙劣的管理体系改变成一个优良的管理体 系; 改变政府的法规和政策、竞争对手的行动或经济状 况; 保证企业的成功,甚至是持续 在; 杜绝员工或管理层舞弊、欺诈的行为。 33 内部控制介绍 谁对 部控制负责? ÿ经营管理层 最终对内部控制的有效性和充分性负责。 ÿ董事会 主要由常务董事和外部独立董事组成,负责内部控制的治理、 指导和监督。 ÿ 内部审计人员: 负责评估内部控制系统的有效性,是主要监督工作实施者。 34 三、风险管理与内部控制 内部控制介绍 内部控制评估的整体方案 与财务报告相关的内部控制 35 内部控制评估的整体方案 人事控制 ÿ招聘和选择适当的员工 ÿ培训和发展 ÿ监督员工的工作 设施设备控制 经营控制 主要指对于组织在经营 ÿ制定经营计划 活动中大量使用的设施 ÿ编制预算 (包括房屋建筑物等) ÿ建立会计和信息系统 和设备等实物资产的控 内部控制的方法 ÿ制定证明文件 制。 ÿ授权体制和程序 ÿ制定、记录和分享主要 政策和程序 组 控制 检查控制 ÿ明确的组织目标、授权和责任 ÿ员工业绩检查 ÿ组织机构的设计 ÿ经营和项目的内部检查 ÿ决策授权 ÿ外部检查 ÿ工作说明 ÿ监管检查 36 内部控制评估的整体方案 ÿ不仅包括分公司的内部控制,还包括股份公司对 整个公司的 部控制,两者的职能应当明确界 定,互相补充。 ÿ公司的 部控制目标: 实现公司的协同效应,实现效率目标; 提高公司的透明度,保证对内对外披露的信息是及 时、可靠和恰当的; 保证公司的经营活动符合监管要求和法律,符合公司 制定的政策和程序。 37 内部控制评估的整体方案 ii. 审计委员 iii. 管理层 iv. 普及内控意识 i. 董事会 会 v. 风险评估 xiv. 监管机构 vi. 基本内控 xiii. 缺陷处理 内部控制的指导原则 措施 xii. 内部审计 vii.职责分离 viii. 信息的真 xi. 风险监测 x. 有效的 ix. 信息系统 实性 沟通渠 的安全与 道 可靠 38 内部控制评估的整体方案 人事控制 ÿ招聘和选择适当的员工 ÿ培训和发展 ÿ监督员工的工作 设施设备控制 经营控制 主要指对于组织在经营 ÿ制定经营计划 活动中大量使用的设施 ÿ编制预算 (包括房屋建筑物等) ÿ建立会计和信息系统 和设备等实物资产的控 内部控制的方法 ÿ制定证明文件 制。 ÿ授权体制和程序 ÿ制定、记录和分享主要 政策和程序 组 控制 检查控制 ÿ明确的组织目标、授权和责任 ÿ员工业绩检查 ÿ组织机构的设计 ÿ经营和项目的内部检查 ÿ决策授权 ÿ外部检查 ÿ工作说明 ÿ监管检查 39 内部控制评估的整体方案 i. 董事会在内部控制上的职责 批准和定期审查公司整体经营战略和重大政策; 了 公司面临的主要风险,设立可以接受的风险上 限,保证管理高层采 切实的步骤,对这些风险进行 识别、度量、监测和控制; 批准公司的组织结构,授权明确、职能清晰的组织结 构是整个内部控制的基础; 保证管理高层有能力监控公司内控系统的有效性。 40 内部控制评估的整体方案 ii. 审计委员会在内部控制上的职责 定期审阅管理层、 审部门和外部审计提交的内控工作评 估报告,讨论公司内控系统的有效性; 定期审查管理层是否已经纠正审计单位和监管当局指出的 内控缺陷; 定期审议公司风险管理政策和风险控制上限是否适当; 对公司财务报告的线 内部控制评估的整体方案 iii. 经营管理层在内部控制上的职责 管理高层应当领导和监督在经营单位层次建立具体的内控 政策和程序; 公司内部各个单位的职能应当界定清晰、授权和责任明 确,不应 在功能上的缺位和重叠; 应任用具备足够经验和 合能力的管理人员,通过提供持 续培训,更新他们的知识和技能,并以适当的报酬制度和 晋升制度来激励他们。 iv. 在公司中普及内控意识 由于内控工作的落实有待于所有员工的实践,故在整个公 司中形成良好的内控文化十分重要。良好的内控文化并不 必然保证企业 得优良的业绩,但缺乏这样的文化却可能 对内控缺陷失察,导致发生一些本来可以避免的损失。 42 内部控制评估的整体方案 v. 风险评估 风险评估应当包括所有影响公司业绩和目标的内部因 素和外部因素; 风险评估应当在每一项业务、子公司和整个集团的层 次进行。 vi. 基本 部控制措施 管理高层– 应当关注内控工作,要求下属提交实现公 司业绩目标状况的报告; 功能部门和业务部门 (分公司)层次– 部门的负责人 应当定期 (每天、每周、或者每月)研究业务进展报 告,其频率和仔细程度应当高于公司高层管理人员; 43 内部控制评估的整体方案 vi. 基本 部控制措施 (续) 有形的控制活动– 指对有形资产,包括现金和证券的 控制。具体的控制方式包括:具体的限制措施,双重 控制,周期性库 ,资金调动双签制等; 授权与批准制度; 验证和核对制度。 vii. 职责分离 有效的内部控制要求,对利害相关的职责应当进行分 离,不应对同一人员授权负责利益相互冲突的岗位。 具有潜在利益冲突的岗位应当进行识别和减少,并对 其状况由独立的第三方进行监督。 44 内部控制评估的整体方案 viii. 信息的真实性 一个有效的内控系统要求,公司决策层应当能够得到 有关财务、经营状况的综合性信息,以及与决策有关 的外部市场信息。这种信息应当是有意义的、可靠 的、随时可得的,并且可以前后对比。 ix. 信息系统的安全和可靠 机构应当建立一个涉及全部业务活动的、可靠的 管理信息系统。这些系统必须是安全的,并被独立地 监测,具有应急备用系统。 45 内部控制评估的整体方案 x. 有效的沟通渠道 公司的组织结构应当保证信息能够顺畅的被传递。向上的 信息保证管理高层了 经营风险和当前的经营状况。向下 的信息可以保障公司的目标、战略和预期,以及已有的政 策和程序,能够传达到下层管理人员和员工。最后,公司 内部的信息沟通应当保证一个部门或经营单位的信息可以 由其他单位分享。 46 内部控制评估的整体方案 xi. 风险监测 企业内控工作的整体效果应当能够持续地被监测。管理 高层应当明确授权,由谁来监测内控系统的有效性。对 主要风险的监测应是机构日常工作的一个组成部 分,并应当由企业一线经营管理人员和内部审计人员定 期评估这种监测的有效性。 对内控系统的实时监测可以及时发现和纠正内控系统的 缺陷。尽管对内控系统的定期评估只能在事后发现问 题,但却可以对内控系统的有效性做出一个整体性的评 估。参与定期评估的人员可以来自业务部门、财务部 门、 审部门。评估结果应有书面报告上报管理高层。 47 内部控制评估的整体方案 xii. 内部审计 建立独立的、训练有素的内部审计部门,对内控系统进行 综合性审计。 审部门应当由有能力、有专业知识和经验 的人员组成,他们应当清楚自己的作用和职责,并直接对 董事会(或公司审计委员会)或管理高层负责。 内部审计负责对公司内控系统进行实时监测。 审部门的 工作应当独立于公司的日常业务,但有权接触公司所有经 营单位和下属公司的业务活动。 48 内部控制评估的整体方案 xiii. 对内部控制缺陷的处理 经营管理人员、内部审计人员、或其他管理人员发现的 控缺陷 (或未能加以有效控制的风险)应当及时向适当的 管理层报告。重大的内控缺陷应当及时向管理高层和董事 会报告。 xiv. 监管机构的责任 审计报告; 确定 容与范围,要求定期提交相关的外审报告; 直接对公司的内控工作进行现场检查,包括对业务流程的 检查也包括对交易过程的测试。 49 三、风险管理与内部控制 内部控制介绍 内部控制评估的整体方案 与财务报告相关的内部控制 50 与财务报告相关的内部控制 为什么关注与财务报告相关的内部控制 公司的运营环境面临着不断的重大变化。经济因素、科技发展 及日益尖锐的国际竞争仅仅是这些变化中的一小部分。管理层 所面临的是控制成本、提高资金流动、 得竞争优势等一系列 挑战。而这些挑战加强了对管理层和董事会有效评价业务绩效 的要求。近年发生的多起公司倒闭、IM电竞 IM电竞app商业舞弊、财务报表失误 等事件,使得公众和监管机构意识到财务报告内部控制的重要 性。在美国发布的索克斯法案、欧盟的第八号指令以及澳大利 和新加坡先后发布的类似法规,就是要加强公司治理,特别 是与公司财务报告及披露相关的内部控制,重建者在这方 面的信心。 51 与财务报告相关的内部控制 内部控制是准确记录交易和准备可靠的财务报告的基础。许多 公司的业务每天处理大量交易、涉及很多商业判断。如果无法 对交易的准确记录有严格的控制,那么所生成的财务数据可能 就不准确,使得管理层无法作出正确决定,并影响其在股东、 监管机构和公众中的信誉。 一个有效的内部控制的架构应当是全面的,涉及到公司的各个 方面和每个人,包括那些可能自认为没有内控或财务责任的 人。当然,内部控制与负责记录财务信息,准备和下发相关规 章制度,监督系统运行的人员有直接联系。内部控制建设也需 要董事会、审计委员会的参与,因为他们需要最终对财务报告 流程负责。 52 与财务报告相关的内部控制 告 循 作 报 遵 操 政 业 财 与财务报告相关的内 控制环境 功 务 单 部控制 风险評估 能 位 单 位 控制活动 其他的内部控制因 素 信息与沟通 监督 53 与财务报告相关的内部控制 在公司层面评估内部控制 以内部控制的五个要素为评估基础,在企业层面评价控制程序是否有效地设计、实施, 从而达到内部控制的三个目的。 在流程、交易和应用层面评估内部控制 根据企业性质,识别重大的会计科目及主要的业务流程,分析企业内部控制中 在的缺 陷,提出改进计划。 电子信息系统方面的配合 当考虑电子信息系统控制的可靠性和有效性时,企业应该评估电子信息系统的一般控制 和应用系统程序控制。一般控制是应用系统程序控制的基础。一般控制和应用系统程序 控制都是保证信息处理的完整性和准确性所必需的控制。 监督及汇报机制 通过对企业内部控制的评估,完善内部监督机构如审计委员会、内部审计部门的监督作 用,为企业管理层全面了 企业经营状况,从而做出合理、客观的判断提供了有效的保 障。 54 与财务报告相关的内部控制 方法: 对控制环节的 制定项目范围 准备文档记录,评估内控机制 报告 测试和监控 评估阶段 理解内部 组织项目 在全公司 在流程、交易和应 评估整体的有效 管理层关 控制的定 小组实施 层面评估 用层面,理解和评 性,找出有待改 于内部控 进的方面并建立 制的报告 评估工作 内部控制 估内部控制 一个监控体系 COSO 报告 中 选择适当人员 着眼于全公 记录和理 交易流程和 最后一步是基于评估 的定义是评估 组成工作组, 并 司层面的 相关内控是一个复杂、 的结果,作出一个整 工作的最佳起 建立一些基本 控来开展评 耗费时间的过程 体的评定 点 要求 估工作 时间: 建立一个监控程序 组 整个流程、项目小组 准备文档记录、实施详细的测试 审计师检验管理层的结论 和项目的时间 并改正控制缺陷 55 与财务报告相关的内部控制 - 在公司层面评估内部控制 方面 需考虑的因素 ÿ高管层的诚信、道德和行为 ÿ控制意识和经营风格 ÿ胜任能力的承诺 控制环境 控制环境 ÿ董事会或审计委员会的监管 ÿ组织结构、权限和责任 ÿ人力资源政策和程序 ÿ风险评估流程 ÿ对重要事件的预测、IM电竞 IM电竞appIM电竞 IM电竞app识别和反映机制 风险评估 风险评估 ÿ识别会计准则差异、业务操作和内部控制变化的程 序 ÿ提供足够的业绩报告 ÿ与业务策略相联系 信息和沟通 信息和沟通 ÿ持续开发、测试和监控计算机系统和程序 ÿ计算机业务持续性系统和应急计划 ÿ便于职员履行职责而建立的沟通渠道 ÿ有必要的政策和程序 ÿ有明确的财务目标,并对其主动监控 ÿ合理的职责分离 控制活动 控制活动 ÿ预算与实际情况的定期比较 ÿ对文件、记录和财产的适当保管 ÿ到位的准入控制 ÿ对内部控制的定期评估 监控 ÿ实施改进建议 监控 ÿ建立内部审计职能以实施监控 56 与财务报告相关的内部控制 - 在公司层面评估内部控制 企业层面内部控制与流程、交易和应用层面内部控制是相辅相成, 相互影响的。它们之间的关系可以通过以下图表具体阐述: •控制环境 •风险评估 •控制活动 •信息与沟通 •监督 •公司高级管理层管理风格/理念 •企业内部控制政策制 •内部控制的描述、执 定、传达 行、评估与汇报 •总部/总公司 •区域性分公司/分支机构 •上情下达 •下情上报 •流程、交易及应用层面的内部控制 57 与财务报告相关的内部控制 - 在公司层面评估内部控制 尽管仅针对企业层面内部控制的描述与评估本身还不足以 为该企业内部控制整体评价提供佐证,但是,企业层面 部控制的描述与评估是针对该企业 部控制整体进行评估 的重要起点,在企业层面 部控制的评估过程中识别的控 制缺陷,往往会对该企业 部控制的有效性和财务报告的 可靠性及合规性的整体评估产生重大影响。 58 与财务报告相关的内部控制 -在流程、交易和应用层面评估内部控制 22 00 00 33 FF ii nn aa nn cc iiaa ll SS tt aa tt ee mm ee nn tsts M a n a g e m e n t F i n a n c ia l S ig n if ic a n t R e p o r t o n 财务报告 重要科目 ? I n t e r n a l S t a t e m e n ts A c c o u n ts C o n t r o l S ig n ifi c a n t W h a t C a n C o n t r o ls E v a l u a t e / R e p o r t 重要流程 什么会出错 控制 评价和监控 报告 P r o c e s s e s G o W r o n g ? M o n ito r In h e r e n t a n d M a n a g e m e n t 关键业务风险 管理层认定 K e y B u s i n e s s A s s e r ti o n s 和固有风险 R is k s 识别和记录影响每一财 ÿ识别重要科目 识别和理解重要流程 提出 什么会出错”的 识别减低风险的控制 评估和监控控制的 务报表科目的关键业务 ÿ考虑下列因素: 包括对于能够影响重 问题 识别和考虑针对每一重 有效性 和固有风险 ÿ潜在的重大差错 要科目 (或科目组 对于每一重大科目需 要流程解决其 可能出 评价控制是否合乎当初 设计的有效性 ÿ规模和组成 合)的主要交易类 要提出在交易的过程 错”的问题的控制措施 在主要流程层面记录对 ÿ对于人为操纵和损失 别,识别和理解其流 中哪里可能产生重大 关键业务风险的理解和 的敏感性 程及相关会计核算活 错误的问题 这些控制能够为防 发 ÿ测试控制的有 他们怎样影响财务报表 ÿ较多的交易数量 动 生重要的错误或者能发 效性并作出结 科目 ÿ交易的复杂性 会计核算活动也包括 根据我们对每一接受 现并更正错误提供合理 论 ÿ决定科目余额的主观 制定和记录关键会计 评价的重要流程可能 保证 ÿ发现问题并提 记录对每一财务报表科 性 估计或者在期末完成 引起的财务报告风险 控制可能并不显而易 出解决方案及 目固有风险的评价 ÿ科目的性质 财务报表结算流程 及其在整个财务报表 见,可能是电子化或者 行动计划 中的相对重要性的认 是人工的,并且同时是 识,决定恰当的具体 高层及基层实施 化程度 59 与财务报告相关的内部控制 -在流程、交易和应用层面评估内部控制 在完成企业层面的 部控制评估后,对生成财务报告信息相关的流程和控制 有了初步的了 。接下来需要对交易、流程和应用层面的 部控制进行记录 和评估。主要包括: 识别重大会计科目,一般从财务报表及其附注出发,考虑会计科目本身 或其记录的交易是否易于出现重大错误来加以确定; 识别重大的交易和流程,包括影响重大会计科目的信息科技流程; 考虑在重大交易流程的发生、记录、处理和报告整个过程中可能出错的 风险; 识别 部控制( 包括信息科技控制) 能否有效地预防或发现可能出错的风 险。 可见,交易、流程和应用层面的 部控制评估,要求记录并评价那些可能导 致财务报表错报漏报的重大会计科目及相关的重大交易和流程。 60 与财务报告相关的内部控制 -识别与纠正内控缺陷 识别控制缺陷 当某项控制或若干项控制的设计或执行不能使管理层或员工在 日常履行其职责,及时防止或发现差错,则控制缺陷 在。 内部控制的缺陷与控制设计和控制执行均相关,因此内控缺陷 包括两个方面: 当 在设计缺陷时,表明必要的控制或控制的必要成分缺失 无法达到控制目标,或者现有的控制设计不当,即使按设计 行后仍无法满足控制目标; 当 在执行缺陷时,一个设计合理的控制未能按预期确实 行,或执行控制的人员没有执行所需的授权或能力,导致无法 有效执行该控制。 61 与财务报告相关的内部控制 -识别与纠正内控缺陷 识别控制缺陷 识别控制缺陷以后,还必须考虑缺陷的性质以及对财务报表的 影响程度。通常分为一般的控制缺陷、重大缺陷和实质性漏 洞。重大缺陷和实质性漏洞对可能发生财务报表错报漏报的影 响相对严重。在评估内控缺陷的严重性时,应考虑以下因素: 控制缺陷发生的原因和频率; 控制缺陷对错报漏报乃至舞弊风险的影响深度和广度; 控制缺陷影响的科目性质和会计报表认定; 与其他内部控制的关系和相互作用; 控制缺陷之间的相互作用和影响。 62 与财务报告相关的内部控制 -识别与纠正内控缺陷 纠正控制缺陷 管理层应仔细地评估每个控制缺陷后及时给出反馈意见,并根 据以下原则来制定纠正计划: 有针对性 可衡量 可达到整改目标 现实可行 及时 因此纠正行动可能包括对内部控制的重新设计、修正和重新 行,还包括对相关人员重新进行的培训等。管理层应考虑给予 相对合理的时间来实施纠正计划,在新的控制措施运行一段时 间以后,重新测试来证明其运行的有效性。 63 与财务报告相关的内部控制 -监督及汇报机制 监督 随着公司及其经营环境的不断变化,内部控制系统也发生着相应的 变化,原本 用并且有效的控制程序,可能不再 用或者不再有 效。人员流动、断断续续的培训与监督、有限的时间及人力物力都 可能引起控制的变化。同时,原先设计内部控制时所考虑的控制环 境也在发生着变化,使得这些控制程序不能再对新条件下的风险做 出预警。所以,为了保持内部控制的持续有效,管理层应该不间断 的监督内部控制系统的工作质量,确定内部控制是相关、 用、并 且能够及时识别新风险。 设计内部控制结构时,应考虑内控的自我监督和自我改正功能。 部控制的监督包括以下两种方式: 1)持续的监督活动; 2)个别内部控制评估。 64 与财务报告相关的内部控制 -监督及汇报机制 持续的监督活动 持续的监督活动要求监督步骤落实到企业日常的管理活动当 中。它比个别评估 控有效,原因在于:1)范围广,涉及整个 企业;2)实时监控,及时发现 在的问题;3)随时响应外界变 化。尽管深入有效的持续监督活动能减少个别内控评估的需 要,绝大多数企业仍然定期对其内部控制系统进行个别评估。 持续的监督活动包括日常的管理和监督活动,以及其他的日常 活动,例如比较分析和调节。这些活动大多数是非正规且不会 记录下来的,但是并不影响他们的监督作用。然而,当管理层 要对内部控制的整体有效性做出规范的评估时,这些活动就必 须详细而准确地记录下来佐证管理层的评估。 65 与财务报告相关的内部控制 -监督及汇报机制 个别内部控制评估 侧重于实施成效的定期个别内部控制评估的好处是:提供清晰 的内控全局观,让管理层了 持续监督活动是否在持续发挥作 用。 个别内部控制评估的方式包括如下3种: 控制的自我评估,报告实体的负责人评价内控的有效性; 内部审计部门和其他相关部门的专门审阅工作; 财务人员采 的其他措施。 66 与财务报告相关的内部控制 -监督及汇报机制 汇报 汇报的基本程序: 部控制的监督工作的结果,例如发现的控 制缺陷,应首先向缺陷改正措施的负责人汇报,同时,也应向 比缺陷改正负责人高一级的管理人员报告,这样的汇报流程, 有助于内控负责人与其他人员的沟通,以采 更为恰当的方法 来改正缺陷。某些重大缺陷还应报告给高层管理人员和董事 会。向对应的管理层汇报监督工作的结果,促使内控系统保持 持续有效。因而,应针对不同层次的管理层所要做出的决策, 草拟汇报监督工作结果所需的资料。 67 与财务报告相关的内部控制 -监督及汇报机制 汇报 三种内控缺陷的汇报过程 内部控制缺陷主要分为三种:一般控制缺陷、重大控制缺陷及 实质性漏洞: 实质性漏洞:其 在往往会导致财务报表的错报或者漏报, 且不可防范或检查出来,对于这样的控制缺陷,需要与审计委 员会及管理层沟通,并在内部控制报告中公开披露; 重大控制缺陷:意指那些单独或者与其它控制缺陷一起会导 致财务报表的不合理披露,程度低于实质性漏洞,监督者需要 与审计委员会沟通这些缺陷,并向管理层汇报,在内部控制报 告中披露; 一般控制缺陷:通常指那些对财务报告影响不大的内控缺 陷,由监督者汇报管理层即可。 68
GB T 32610-2016_日常防护型口罩技术规范_高清版_可检索.pdf
