企业内控知识及WBCR系统介绍(ppt 67页).ppt

1、慧 点 科 技,企业内控知识概述及WBCR系统介绍,慧 点 科 技,课程纲要,内控基本知识 WBCR系统对SOX404的合规性对应 经验分享,慧 点 科 技,基于流程的组织,了解市场和客户需求,树立理念、使命和目标规划,产品销售和售后服务,原材料采购,储运管理,拓展人力资源,市场营销,采购,仓库,送货,行政,目前,未来 ,企业组织机制的变化：组织架构必须体现灵活性和职责性,组织架构必须配合执行企业发展战略的需要 采纳流程防风险的观点来进行架构重组，鼓励跨部门的协作并减少架构重叠或职责混淆,客户,传统的层级制组织,慧 点 科 技,内部控制发展的三个阶段： （一）萌芽期内部牵制 查访错弊 职务分离

2、和帐目核对 钱、帐、物为主要会计控制对象 （二）发展期内部会计控制与内部管理控制 组织计划 业务授权 资产接触 信息保证 （三）成熟期内部控制结构和内部控制整体架构 控制环境 风险评估 控制活动 信息与沟通 监督,内部控制的发展历程,内控流程分类及对应控制体系： 管理流程COSO 业务流程COSO IT管理流程COBIT,慧 点 科 技,内控的基本概念,内部控制绝对不是： 静态的结构； 某一层次人员的任务（例如：高级管理层）； 某一部门的任务（例如：财务、内部审计）； 某一实体的任务（例如：总部、省级公司）； 某一个项目的任务。 内部控制是,美国反欺骗性财务报告委员会（COSO）的定义： 内部

3、控制 是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证： 经营的效果性和效率性； 财务报告的可信性； 对法律和规章制度的遵循性,因此，各层级人员的共同参与对于内控的成功至关重要,慧 点 科 技,控制活动 控制活动确保管理层的政策/流程付诸实施，使公司面临的风险得到有效控制 包括审批，授权，确认，建议，业绩考核，资产保全和权限分离等,监控 管理层利用内部审计等手段对公司内部控制体系进行实时而独立的监控,控制环境 控制环境是公司营造的内部管理控制的氛围及环境 控制环境具体体现在员工的道德价值观，完成工作的能力，明确的授权与责任等 控制环境是其他内部控制组成部分的基础

4、,信息和沟通 公司管理层为了确保内部控制有效运行，必须建立一套完整的信息与沟通渠道及体系，保证管理层实时了解内控进展,风险评估 风险评估是公司管理层为了达到企业目标而确认和分析相关的风险,所有的五个部分必须同时作用才能使内部控制得以产生影响,COSO框架中的五个控制组成部分,慧 点 科 技,风险评估,整合的控制(COSO 内部控制体系,控制活动,监控,慧 点 科 技,企业内部控制要素控制环境,控制环境,监 控,信息与沟通,控制活动,风险评估,控制环境：是指对建立、加强或消弱特定政策和程序效率发生影响的各种因素； 管理者的经营风格和经营理念； 董事会及审计委员会； 组织结构与权责分派体系； 人员

5、的品行和素质； 管理控制方法； 外部影响,慧 点 科 技,企业内部控制要素风险评估,控制环境,监 控,信息与沟通,控制活动,风险评估,风险评估：指企业根据发展战略制定经营目标后，对实现目标的经营过程中的风险进行判别和分析，并采取相应的行动； 目标的建立和达成； 风险识别及分析； 改变的管理,慧 点 科 技,企业内部控制要素控制活动,控制环境,监 控,信息与沟通,控制活动,风险评估,控制活动：是管理者为了确保管理指令能够得以有效实施而制定的各种政策和程序； 授权和目标； 职责划分； 业务流程和操作规程； 业务记录； 规章制度； 独立检查规章制度； 控制标准,慧 点 科 技,企业内部控制要素信息与

6、沟通,控制环境,监 控,信息与沟通,控制活动,风险评估,信息与沟通：企业必须建立健全信息传递和反馈系统，以保证企业政策和方针的贯彻实施；而信息传递有赖于良好的沟通方式和渠道； 信息系统； 沟通,慧 点 科 技,企业内部控制要素监控,控制环境,监 控,控制活动,风险评估,信息与沟通,监控：是评价期间企业内部控制业绩质量的进程，它是对企业内部控制整体框架及其运行情况的跟踪、检测和调节，以自始至终确保其有效性； 自我控制； 内部审计,慧 点 科 技,内部控制成熟模型 阶段一 不可依赖的内部控制 不存在控制活动或控制设置不合理，公司尚处于不可控制环境中。 2.阶段二 非正式的内部控制 已设计了控制活动

7、但缺乏充分的纪录；控制主要依赖于人；没有对控制活动的正式培训及交流。 3.阶段三 标准化的内部控制 已设置了标准的控制政策；控制活动由书面制度，并已下达给员工；但偏离制度要求的行为尚不能被 观察。 4.阶段四 受监控的内部控制 设置了标准化的控制制度对控制活动的设计及运行的有效性进行定期测试，并将结果报告管理层 5.阶段五 最优化的内部控制 建立了完整的内部控制框架，管理层可以进行实时监控并不断对控制框架进行改进,内部控制成熟度分析,慧 点 科 技,萨班斯奥克斯利法案的生命周期,不断改进,萨班斯奥克斯利法案的生命周期,改进原有控制程序,不间断的记录与修正,不断进行控制与测试,满足要求,实现价值

8、,自我检测是否已达到标准,初期努力使自身满足要求,第一年实现目标并不意味着以后的各年仍是符合要求,我们的工作重心要由现阶段的短期目标向长期持续生命周期转变， 它能帮助我们实现企业的价值,我们现阶段的工作重心是符合萨班斯奥克斯利法案第404条的要求,慧 点 科 技,PCAOB的全称是美国上市公司监控委员会，它是根据2002年7月出台的萨班斯奥克斯利法案（SarbanesOxley Act，简称SOX Act，萨班斯法案）建立的，2003年4月正式开始运作，负责检查和规范会计行业，同时制订新的会计标准。 PCAOB推出一系列标准，用来规范相关的审计工作，包括Audit Standard 2，其中细

9、化的具体的审计要求，作为萨班斯遵循工作的基础,PCAOB的介绍,慧 点 科 技,PCAOB 对 404 条款报告的审计标准,主要观点 审计师必须评估管理层的文档记录。 审计机构除了要测试管理层的评估之外还必须测试内部控制的有效性。 一个实质性漏洞就可以得出保留或否定意见,慧 点 科 技,404条款的重要性,美国审计准则，美国证券监管委员会上市公司章程中规定外部审计师要如实记录在审计过程中发现，对于发现的所有实质性漏洞以及合并考虑后能构成实质性漏洞的重大缺陷必须如实在年报中进行披露。 一旦发现实质性漏洞， 外部审计师就将对被审计单位出具保留意见或否定意见 如果外部审计师出具了保留意见或否定意见，

10、 将会对上市公司在资本市场上产生重大影响。尽管SEC不能对一家公司进行“停盘” 或者 “摘牌”处理，但从实务角度、财务角度和声誉方面的负面影响却是可以预见的。 SEC能够有效限制上市公司将来在美国市场融资的途径。 SEC有权力派遣审计队伍去审查上市公司的财务报告及相关的内部控制。 中国证监会和国资委已经强调了中国在美上市公司全面遵守萨班斯奥克斯利法案的重要性，并且强调了随着中国经济持续发展，进入美国资本市场的战略重要性,慧 点 科 技,美国第一轮接受综合审计公司的统计结果,基于所获得的最可靠信息，以下是截至2005年5月17日的统计结果,同时，截至2005年5月，有几十家尚未完成年度报告编制的

11、企业披露了可能导致否定或保留意见的重大缺陷/实质性漏洞，我们预计最后获得否定意见的企业可能占到总体报告数量的14%左右,慧 点 科 技,所有公司提及的实质性漏洞分类,慧 点 科 技,发现问题的分类,外部审计师在对被审计单位审计中发现的问题，按其重要程度根据质和量上的标准把这些问题分为三类： 控制缺陷：如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错报，那么就存在一般内部控制缺陷。 重大缺陷：是一种严重影响公司根据公认会计准则要求对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总，重要缺陷能够在可能性大于“微小”

12、的情况下，导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。例如， 会计政策的选择与公认会计准则不符； 反舞弊政策与程序无效； 针对非常规交易无效； 期末报告有关的控制无效等,慧 点 科 技,发现问题的分类（续,实质性漏洞：导致年度或中期财务报告中的重大错报未被防止或发现的可能性大于“微小”的一个重大缺陷或多个重大缺陷的组合。例如， 高级管理层任何形式，任何数量的舞弊行为； 以往财务报表的错误声明（无论由于错误或者舞弊而发生的）； 本期审计师发现的重大错报； 审计委员会监管无效； 内审、风险评估无效； 受高度监管的企业（如电力行业），法规遵循情况无效； 已告知管理层和审计委员

13、会的重大缺陷没有改正； 控制环境无效,慧 点 科 技,如何减少实质性漏洞及重大缺陷的发生,公司及各站段的管理层需要积极参与到内控工作中 对于管理层内控测评工作中发现的重大缺陷和实质性漏洞管理层要坚决进行整改,慧 点 科 技,企业内部控制制度设计的基本原则和重点,合规合法性原则 全面性与系统性原则 内部牵制原则 成本效益原则 权限明确、奖惩结合原则 信息反馈原则,1,2,3,4,预防为主、查处为辅,注重选择关键控制点,注重相互牵制,设立补救措施,内控制度 设计重点,慧 点 科 技,企业内部控制测试与评价,健全性测试与评价 符合性测试与评价 综合评价,健全性测试与评价是针对企业所实行的企业内部控制

14、本身是否完善、是否健全所进行的测试和评价； 符合性测试与评价是审计人员为了证实企业内部控制在实际工作中是否得到贯彻执行程度如何，而对在健全性评价中被认为健全或基本健全的企业内部控制所进行的测试与评价,慧 点 科 技,测试方法及综合性评价,健全性测试方法 记述法(书面说明法) 调查表法 流程图法 符合性测试方法 检查证据法 穿行试验法 实地考察法,综合性评价报告内容 总体评价 主要执行偏差 内部控制改进意见,慧 点 科 技,基本方法,以设计好的测评模型为基础 把测评的结果写在测评模型中 把每一步的测评结果写在测评模板中 对于发现的例外情况进行初步的判断,测评的基本方法,慧 点 科 技,通过口头或

15、书面形式确认控制存在 做薄弱的测试方法 应该与其他测试共同执行 应该询问多人以确定结果一致 文档记录要求：谁，什么时候，哪里，怎样,观察员工执行控制步骤 可能需要其他跟进测试 文档记录要求：谁，什么时候，观察的结果,审阅文档记录或报告 提供详细内容从而可以重复测试步骤并检验结果,采用独立的数据重新进行对账 按系统的计算公式重新计算 在系统中输入测试数据来查看结果 测试文档记录的详细程度可以保证重新测试,询问,观察,检查,重新执行,最不可靠,最可靠,控制测试,慧 点 科 技,内部控制与内控管理,慧 点 科 技,内部控制是内控建设、内控执行和内控评估三个层面的统一体,发现内部缺陷 提出改进措施 落

16、实改进措施 (各责任单位,监控评估 的报告,内 控 标 准,内审部门,独立评价与检测 支持控制优化 对欺诈的独立调查,内控建设管理,协助流程责任人进行业务流程内控梳理与设计 监控业务流程内控建设的变化,业务管理部门,制定业务流程（责任人） 执行自我评估（自我评价） 解决内控问题（自我完善,事后监控,事前事中 监控,公司管理层,内控迎审,内控自测,内控手册/矩阵管理,内控审计,慧 点 科 技,慧 点 科 技,体系的建立,体系的落实与执行,内控管理需要完善的管理体系,体系的监督与反馈,体系的持续改进,完善的管理体系,慧 点 科 技,内控管理业务总体视图,手册维护,业务内容,内控测试,执行情况报告,

17、整改,计划,执行主体,考核,慧 点 科 技,内控管理业务特点：管理集中、任务分级,管理集中（全国一盘棋） 管理理念的贯彻执行（思想统一） 提供全局的手册（规范统一） 总体计划（行动统一） 汇总的报告（结果统一,任务分级（协作分工,慧 点 科 技,未来内控管理体系的基本方向： 内控职能推进建设、各业务和职能部门实施、审计部保障,推进管理体系制度化建设 起创新、协调、推动、知识传授的作用,实施管理体系制度化建设 起日常执行、操作、改进、责任担当的作用,保障管理体系制度化建设 起监督、建议、跟踪、保障的作用,目的,作用,慧 点 科 技,内控管理部门的目标：成为有效的第三方监控者,定规则：企业内控管理

18、全景视图 流程梳理 指标定义 手册维护 定标准：提取相关指标、证据的有效通道、机制和接口 定方法：进行风险分析/评估的先进方法、机制和模型,先进的内控管理 IT系统 是内控管理部门的独立业务管理系统 完整支持上述功能目标实现 与企业其它各业务IT系统有效集成和融合,三定,三管,计划与任务分派 执行与监控：对目标、控制点体系、信息、证据、评估结果的整体分类管理功能 汇总、报告与呈现：将分析/评估结果以最有效的方式提供并呈现给决策者，有效持企业决策的能力和机制,慧 点 科 技,内控管理的优化过程,内控部门是 宣导者，教育者 - 家长式强制执行,第一阶段：拉着,内控部门是 辅导者，协助者 - 教师式

19、协助执行,第二阶段：陪着,内控部门是 管理者，监督者 - 日常式融入执行,第三阶段：看着,内控部门 失业了 - 自动自觉,无为而治,慧 点 科 技,广深铁路SOX内控现状,内审的范围外审的范围。外审的着眼点是流程，内审的着眼点是组织 内审需要企业内控手册以及全内控矩阵的支持 外审是以满足纽交所的SOX404报告为最终目的。外审机构是指导人，内审部是执行人 内审是以建立企业内部健全的最终目的。内审部是指导人，企业各部门相关责任人员是执行人,慧 点 科 技,项目进度表（初步计划） 关键流程和子流程（财务报表相关内控流程） 访谈提纲、时间表、记录、资料清单 流程文字描述（穿行测试） 流程图 控制矩阵

20、 内控设计差异分析报告（问题，建议，改进方案） 符合性测试计划 符合性测试工作底稿 内控实施差异分析报告（问题，建议，改进方案,内控项目主要成果,慧 点 科 技,课程纲要,内控基本知识 WBCR系统对SOX404的合规性对应 经验分享,慧 点 科 技,内控管理系统应用价值用三个一实现四化,信息集中化 数据规范化 管理系统化 报告自动化,一套框架,一个平台,BCR,一套管理体系,慧 点 科 技,WBCR对Sarbanes-Oxley法案的遵从响应,慧 点 科 技,内控管理系统的价值,公司 全面遵从支持 长效改善公司治理 降低总体内控成本 加强内控系统性与规范化 提升企业形象,CEO、CFO等高管

21、层 提升签字信心 全面掌控企业内控状况,内控管理部门及工作人员 解放生产，管理聚焦 增加内控透明度 提高内控质量 缩短内控测评时间,公司其他业务部门 工作简化 整改及时,外部审计人员 促进沟通 提高效率,慧 点 科 技,IT工具在SOX的遵从过程中能帮助企业记录、测试和评估内部控制程序,IT工具使企业能够以更一致、更系统的方式收集并监视控制信息，由此构成企业评估财务报告流程的基础, 并帮您简化、并自动化实现第404部分遵从情况的评估工作,帮助客户快速解决迎接法案挑战时需要克服的遵从技术问题，从而满足Sarbanes-Oxley 2002法案第404部分的要求。 IT工具能帮助企业实现以下价值：

22、 文档收集功能：为收集企业控制信息提供有序的方法，包括对财务报告的控制； 权限管理功能：通过有效的权限设置和角色定义明确业务流程、组织部门甚至是个人控制的责任； 文档管理功能：实现流程的文档化，便于流程数据的查询检索和修改； 内控流程管理：预先定制的内控流程管理模板，源于KPMG等多年的咨询审计经验； 内控状况实时查询：管理层对内部控制的监控由被动变为主动,便于更及时的了解内部控制执行情况； 控制元素快速定位：允许根据角色和权限,访问关键的财务指标，从而快速评估您的流程. 降低测试成本：多个流程控制的共享可以帮助减少测试； 历史版本数据保存：根据控制历史记录的发展趋势可以精确估计公司的发展动力

23、和进展情况,慧 点 科 技,与企业内部控制的业务流程一致,定义组织结构 和建立对应责任,定义组织的业务流程、 子流程、目标、风险、 控制点和过程,记录和执行测试过程， 评估测试效果,为范围定义、文档记录 结果和评估状态等提供 从不同角度的视图,慧 点 科 技,课程纲要,内控基本知识 WBCR系统对SOX404的合规性对应 经验分享,慧 点 科 技,有效内控体系组成,慧 点 科 技,关键成功要素,权责分离明晰 行为规范固化 协助考核工作,制度方面,执行方面,组织方面,理清楚,落得实,管到位,慧 点 科 技,完善,推广,试点,分步建设企业内控管理系统平台,建议分三个阶段来实施 试点：在集团和几个分

24、子公司进行建设：34个月 推广：将更多的分子公司纳入到建设范围中：56个月 完善：覆盖全部的分子公司，并完善应用：12个月,分公司,分公司,总部,固化，僵化，优化 - 华为任正非,慧 点 科 技,案例剖析某石油公司,客户特点 业务比较简单 管理集中,案例特点 利用内控系统实现了内控测评工作标准化、自动化 在内控管理的基础上向风险管理扩展,慧 点 科 技,某石油公司内控管理系统实践,慧 点 科 技,公司层面流程的处理,慧 点 科 技,系统展示内控范围界定,即组织机构的建立，从而确定要实施内控的范围，目前已在系统中建立了总部、各分公司及其下各作业公司,慧 点 科 技,系统展示内控制度记录,在业务单位下建立各自的内控制度，统一有效的管理,慧 点 科 技,系统展示测试过程和结果记录,测试人员在系统中针对各自负责的流程进行测试，记录测试的过程和结果,慧 点 科 技,系统展示内控效果查看,用户可登陆系统，以文字和图表的方式实时查看内控工作进展,慧 点 科 技,系统展示工作文档管理,把工作相关文档建立统一的系统进行管理，便于版本控制和查阅,慧 点 科 技,案例剖析某电力企业,客户特点 业务简单 高度集权,专职测评人员,内控测评质量监督人员,独立内审人员,案例特点 形成一套强有力的管理体系 利用内控系统实现了内控测评工作日常化,慧 点 科 技,WBCR中的内控管理模式,慧 点 科 技