内部控制审计课件讲义

第五章内部控制审计主讲：李曼第五章内部控制审计1内部控制审计课件讲义2合同如何签订？合同如何签订？3中航油新加坡公司：中航油内部控制流程设计完善，规定了相应的审批程序和各级管理人员的权限2002年3月，中航油新加坡公司时任总裁陈久霖擅自扩大业务范围，从事石油衍生品期权交易。造成巨额损失，最终导致破产。中航油新加坡公司：4第五章内部控制审计第一节内部控制概述第二节内部控制审计的内容第三节内部控制审计程序与方法第四节内部控制审计案例分析第五章内部控制审计第一节内部控制概述5第一节内部控制概述内部控制的定义内部控制的构成要素内部控制责任第一节内部控制概述内部控制的定义6COSO(反虚假财务报告委员会下属的发起人委员会）（一）内部控制的定义财政部等五部委发布的《企业内部控制基本规范》COSO(反虚假财务报告委员会下属的发起人委员会）（一）内部7COSO:COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。COSO:COSO内部控制框架认为，内部控制是受企业董事会、8五部委：2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。五部委：2008年6月28日，财政部、证监会、审计署、银监会9本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工10内控环境风险评估内控活动信息与沟通监督（二）内部控制构成要素（二）内部控制构成要素11内控环境内控环境——内控环境是企业的基调、氛围，直接影响企业员工的控制意识内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的人力资源政策公司治理结构等内控环境内控环境——内控环境是企业的基调、氛围，直接影响企业12案例分析银广夏事件：根据银广夏1999年年报，银广夏的股价从1999年12月30日的13.97元启动，一路狂升，至2000年4月19日涨至35.83元。2000年全年涨幅高居深沪两市第二；2000年年报披露的业绩再创“奇迹”，在股本扩大一倍基础上，每股收益攀升至0.827元。2001年，《财经》杂志揭露其1999、2000年的业绩绝大部分来自造假。（主要是进出口业务）内部控制彻底失效！原因？造假的企业氛围，管理层经营理念案例分析银广夏事件：根据银广夏1999年年报，银广夏的股价从13安然事件中航油事件。。。。安然事件14风险评估风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理风险评估风险评估——风险评估是识别、分析相关风险以实现既定目15案例分析：摩托罗拉摩托罗拉在中国的市场占有率由1995年60%以上跌至2007年的12%!10年前，摩托罗拉还一直是引领尖端技术和卓越典范的代表，享有着全球最受尊敬公司之一的尊崇地位。它一度前无古人地每隔10年便开创一个工业领域，有的10年还开创两个。成立80年来，发明过车载收音机、彩电显像管、全晶体管彩色电视机、半导体微处理器、对讲机、寻呼机、大哥大（蜂窝电话）以及"六西格玛"质量管理体系认证它先后开创了汽车电子、晶体管彩电、集群通信、半导体、移动通信、手机等多个产业，并长时间在各个领域中找不到对手。案例分析：摩托罗拉摩托罗拉在中国的市场占有率由1995年6016摩托罗拉的当季报也显示，2008年第一季度全球手机销量下降39%,手机部门亏损4.18亿美元，与上年同期相比亏损额增加了80%.摩托罗拉的当季报也显示，2008年第一季度全球手机销量下降317败于"铱星计划"为了夺得对世界移动通信市场的主动权，并实现在世界任何地方使用无线手机通信，以摩托罗拉为首的美国一些公司在政府的帮助下，于1987年提出新一代卫星移动通信星座系统--铱星。铱星系统技术上的先进性在目前的卫星通信系统中处于领先地位。铱星系统卫星之间可通过星际链路直接传送信息，这使得铱星系统用户可以不依赖地面网而直接通信，但这也恰恰造成了系统风险大、成本过高、维护成本相对于地面也高出许多。整个卫星系统的维护费一年就需几亿美元之巨。谁也不能否认铱星的高科技含量，但用66颗高技术卫星编织起来的世纪末科技童话在商用之初却将自己定位在了"贵族科技".铱星手机价格每部高达3000美元，加上高昂的通话费用，它开业的前两个季度，在全球只发展了1万用户，这使得铱星公司前两个季度的亏损即达10亿美元。尽管铱星手机后来降低了收费，但仍未能扭转颓势。败于"铱星计划"18三鹿集团：三鹿集团原料采购风险过大。乳业在原奶及原料的采购上主要有四种模式：牧场模式（集中饲养百头以上奶牛统一采奶运送）；奶牛养殖小区模式（由小区业主提供场地，奶农在小区内各自喂养自己的奶牛，由小区统一采奶配送）挤奶厅模式（由奶农各自散养奶牛，到挤奶厅统一采奶运送）交叉模式（是前面三种方式交叉）三鹿集团：三鹿集团原料采购风险过大。19内控活动内控活动——内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、检验、复核经营业绩、资产保护和职责分工等活动。内控活动内控活动——内控活动指那些有助于管理层决策顺利实施的20案例分析：三鹿奶粉三鹿的散户奶源比例占到一半，且形式多样，要实现对数百个奶站在原奶生产、收购、运输环节实时监控已是不可能的任务，只能依靠最后一关的严格检查，加强对蛋白质等指标的检测，但如此一来，反而滋生了层出不穷的作弊手段。而且三鹿集团的反舞弊监管不力。企业负责奶源收购的工作人员往往被奶站"搞"定了，这样就形成了行业"潜规则".不合格的奶制品就在商业腐败中流向市场。另外，三鹿集团对贴牌生产的合作企业监控不严，产品质量风险巨大。案例分析：三鹿奶粉21信息与沟通信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。这个要素从某种程度上可以看作是内部控制的神经系统，它要求企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通信息与沟通——是指企业经营管理所需信息必须被识别、22三鹿奶粉：早在2008年3月三鹿集团就已经­接到消费者的投诉，6月份反映的人越来越多，但直到2008年8月2日，三鹿集团才将相关信息上报给石家庄市政府。这中间已存在信息与沟通不及时、不全面的问题。这种信息与沟通的延迟在一定程度上加大了毒奶粉的危害后果。三鹿奶粉：早在2008年3月三鹿集团就已经­接到消费者的投诉23监督监督——是对内部控制系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督监督监督——是对内部控制系统有效性进行评估的过程，可以通过持24内部控制审计课件讲义25目标控制组织控制人员控制职务分离控制授权审批控制（三）内部控制基本方式目标控制（三）内部控制基本方式26内部控制主要类型预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对（四）内部控制类型盘点观察预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对内部控制职能分离、监督检查、双重检查复核（四）内部控制类型盘27判断是预防性控制还是检查性控制所有的大额支票必须有两名审核人员的签名。选择供应商时，要求从核准的供应商目录中选择。批准付款前将发票与验收报告相核对。在付款前，审计发票的数字计算是否正确。判断是预防性控制还是检查性控制所有的大额支票必须有两名审核人28编制银行存款调节表将供应商的对账单与应付账款记录核对。实物盘点，在盘点过程中密切注意存货的积压、变质等情况。实地观察工资发放。编制银行存款调节表29管理当局的责任董事会的责任内部审计的责任员工的责任（五）内部控制责任END管理当局的责任（五）内部控制责任END30第二节内部控制审计的内容内部控制审计准则中：组织层面：五要素业务层面：十一个业务第二节内部控制审计的内容内部控制审计准则中：31第二节内部控制审计的内容内部环境风险评估控制活动信息与沟通内部监督第二节内部控制审计的内容内部环境32内部环境审计组织架构发展战略人力资源组织文化社会责任第二节内部控制审计的内容内部环境审计组织架构第二节内部控制审计的内容33风险评估审计风险识别风险分析应对策略第二节内部控制审计的内容风险评估审计风险识别第二节内部控制审计的内容34控制活动审计：控制活动的设计控制活动的运行采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统第二节内部控制审计的内容控制活动审计：第二节内部控制审计的内容35资金管理：资金管理：36采购业务：采购计划安排不合理供应商选择不当采购验收不规范采购业务：采购计划安排不合理37销售业务：销售业务：38资产管理：资产管理：39研发业务：研发业务：40工程项目：工程项目：41担保业务：担保业务：42业务外包：业务外包：43财务报告：财务报告：44全面预算：全面预算：45合同管理：合同管理：46内部信息传递：内部信息传递：47信息与沟通审计:信息收集处理和传递的及时性反舞弊机制的健全性财务报告的真实性信息系统的安全性利用信息系统实施内部控制的有效性第二节内部控制审计的内容信息与沟通审计:第二节内部控制审计的内容48监控要素审计（以下机构的监督作用）监事会审计委员会内部审计机构第二节内部控制审计的内容监控要素审计（以下机构的监督作用）第二节内部控制审计的内容49第三节内部控制审计程序与方法（一）编制项目审计方案；（二）组成审计组；（三）实施现场审查；（四）认定控制缺陷；（五）汇总审计结果；（六）编制审计报告。第三节内部控制审计程序与方法（一）编制项目审计方案；50一、描述内部控制的方法文字描述法流程图法调查表法第三节内部控制审计程序与方法一、描述内部控制的方法第三节内部控制审计程序与方法51二、内部控制测试与评价TextText测试内容设计测试公司层面控制测试业务活动层面控制测试信息系统总体控制测试第三节内部控制审计程序与方法二、内部控制测试与评价TextText测试内容设计公司业务信52三、测试方法：书面文档检查穿行测试法限制测试小样本测试扩大性测试第三节内部控制审计程序与方法三、测试方法：第三节内部控制审计程序与方法53审计报告：审计目标、依据、范围、程序与方法内部控制缺陷认定及整改情况：重大缺陷、重要缺陷、一般缺陷内部控制设计和运行有效性的审计结论、意见、建议等相关内容。审计报告：54重大缺陷，是指一个或者多个控制缺陷的组合，可能导致组织严重偏离控制目标。重要缺陷，是指一个或者多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致组织偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。重大缺陷，是指一个或者多个控制缺陷的组合，可能导致组织严重偏55第四节内部控制审计要求选择适当的审计方式正确选择审计对象与审计时间注重成本效益原则，把握关键控制点选择合适的内部控制评价标准第四节内部控制审计要求选择适当的审计方式56内部控制审计案例分析内部控制审计案例分析57

本章结束！谢谢！本章结束！58第五章内部控制审计主讲：李曼第五章内部控制审计59内部控制审计课件讲义60合同如何签订？合同如何签订？61中航油新加坡公司：中航油内部控制流程设计完善，规定了相应的审批程序和各级管理人员的权限2002年3月，中航油新加坡公司时任总裁陈久霖擅自扩大业务范围，从事石油衍生品期权交易。造成巨额损失，最终导致破产。中航油新加坡公司：62第五章内部控制审计第一节内部控制概述第二节内部控制审计的内容第三节内部控制审计程序与方法第四节内部控制审计案例分析第五章内部控制审计第一节内部控制概述63第一节内部控制概述内部控制的定义内部控制的构成要素内部控制责任第一节内部控制概述内部控制的定义64COSO(反虚假财务报告委员会下属的发起人委员会）（一）内部控制的定义财政部等五部委发布的《企业内部控制基本规范》COSO(反虚假财务报告委员会下属的发起人委员会）（一）内部65COSO:COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。COSO:COSO内部控制框架认为，内部控制是受企业董事会、66五部委：2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。五部委：2008年6月28日，财政部、证监会、审计署、银监会67本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工68内控环境风险评估内控活动信息与沟通监督（二）内部控制构成要素（二）内部控制构成要素69内控环境内控环境——内控环境是企业的基调、氛围，直接影响企业员工的控制意识内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的人力资源政策公司治理结构等内控环境内控环境——内控环境是企业的基调、氛围，直接影响企业70案例分析银广夏事件：根据银广夏1999年年报，银广夏的股价从1999年12月30日的13.97元启动，一路狂升，至2000年4月19日涨至35.83元。2000年全年涨幅高居深沪两市第二；2000年年报披露的业绩再创“奇迹”，在股本扩大一倍基础上，每股收益攀升至0.827元。2001年，《财经》杂志揭露其1999、2000年的业绩绝大部分来自造假。（主要是进出口业务）内部控制彻底失效！原因？造假的企业氛围，管理层经营理念案例分析银广夏事件：根据银广夏1999年年报，银广夏的股价从71安然事件中航油事件。。。。安然事件72风险评估风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理风险评估风险评估——风险评估是识别、分析相关风险以实现既定目73案例分析：摩托罗拉摩托罗拉在中国的市场占有率由1995年60%以上跌至2007年的12%!10年前，摩托罗拉还一直是引领尖端技术和卓越典范的代表，享有着全球最受尊敬公司之一的尊崇地位。它一度前无古人地每隔10年便开创一个工业领域，有的10年还开创两个。成立80年来，发明过车载收音机、彩电显像管、全晶体管彩色电视机、半导体微处理器、对讲机、寻呼机、大哥大（蜂窝电话）以及"六西格玛"质量管理体系认证它先后开创了汽车电子、晶体管彩电、集群通信、半导体、移动通信、手机等多个产业，并长时间在各个领域中找不到对手。案例分析：摩托罗拉摩托罗拉在中国的市场占有率由1995年6074摩托罗拉的当季报也显示，2008年第一季度全球手机销量下降39%,手机部门亏损4.18亿美元，与上年同期相比亏损额增加了80%.摩托罗拉的当季报也显示，2008年第一季度全球手机销量下降375败于"铱星计划"为了夺得对世界移动通信市场的主动权，并实现在世界任何地方使用无线手机通信，以摩托罗拉为首的美国一些公司在政府的帮助下，于1987年提出新一代卫星移动通信星座系统--铱星。铱星系统技术上的先进性在目前的卫星通信系统中处于领先地位。铱星系统卫星之间可通过星际链路直接传送信息，这使得铱星系统用户可以不依赖地面网而直接通信，但这也恰恰造成了系统风险大、成本过高、维护成本相对于地面也高出许多。整个卫星系统的维护费一年就需几亿美元之巨。谁也不能否认铱星的高科技含量，但用66颗高技术卫星编织起来的世纪末科技童话在商用之初却将自己定位在了"贵族科技".铱星手机价格每部高达3000美元，加上高昂的通话费用，它开业的前两个季度，在全球只发展了1万用户，这使得铱星公司前两个季度的亏损即达10亿美元。尽管铱星手机后来降低了收费，但仍未能扭转颓势。败于"铱星计划"76三鹿集团：三鹿集团原料采购风险过大。乳业在原奶及原料的采购上主要有四种模式：牧场模式（集中饲养百头以上奶牛统一采奶运送）；奶牛养殖小区模式（由小区业主提供场地，奶农在小区内各自喂养自己的奶牛，由小区统一采奶配送）挤奶厅模式（由奶农各自散养奶牛，到挤奶厅统一采奶运送）交叉模式（是前面三种方式交叉）三鹿集团：三鹿集团原料采购风险过大。77内控活动内控活动——内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、检验、复核经营业绩、资产保护和职责分工等活动。内控活动内控活动——内控活动指那些有助于管理层决策顺利实施的78案例分析：三鹿奶粉三鹿的散户奶源比例占到一半，且形式多样，要实现对数百个奶站在原奶生产、收购、运输环节实时监控已是不可能的任务，只能依靠最后一关的严格检查，加强对蛋白质等指标的检测，但如此一来，反而滋生了层出不穷的作弊手段。而且三鹿集团的反舞弊监管不力。企业负责奶源收购的工作人员往往被奶站"搞"定了，这样就形成了行业"潜规则".不合格的奶制品就在商业腐败中流向市场。另外，三鹿集团对贴牌生产的合作企业监控不严，产品质量风险巨大。案例分析：三鹿奶粉79信息与沟通信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。这个要素从某种程度上可以看作是内部控制的神经系统，它要求企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通信息与沟通——是指企业经营管理所需信息必须被识别、80三鹿奶粉：早在2008年3月三鹿集团就已经­接到消费者的投诉，6月份反映的人越来越多，但直到2008年8月2日，三鹿集团才将相关信息上报给石家庄市政府。这中间已存在信息与沟通不及时、不全面的问题。这种信息与沟通的延迟在一定程度上加大了毒奶粉的危害后果。三鹿奶粉：早在2008年3月三鹿集团就已经­接到消费者的投诉81监督监督——是对内部控制系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督监督监督——是对内部控制系统有效性进行评估的过程，可以通过持82内部控制审计课件讲义83目标控制组织控制人员控制职务分离控制授权审批控制（三）内部控制基本方式目标控制（三）内部控制基本方式84内部控制主要类型预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对（四）内部控制类型盘点观察预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对预防性控制(事先控制)检查性控制(事后控制)纠正性控制——原始业务发生过程中实施指导性控制——为实现有利结果补偿性控制——针对某些环节不足或缺陷职能分离、监督检查、双重检查编辑校验、合理性校验完整性校验、正确性校验复核核对内部控制职能分离、监督检查、双重检查复核（四）内部控制类型盘85判断是预防性控制还是检查性控制所有的大额支票必须有两名审核人员的签名。选择供应商时，要求从核准的供应商目录中选择。批准付款前将发票与验收报告相核对。在付款前，审计发票的数字计算是否正确。判断是预防性控制还是检查性控制所有的大额支票必须有两名审核人86编制银行存款调节表将供应商的对账单与应付账款记录核对。实物盘点，在盘点过程中密切注意存货的积压、变质等情况。实地观察工资发放。编制银行存款调节表87管理当局的责任董事会的责任内部审计的责任员工的责任（五）内部控制责任END管理当局的责任（五）内部控制责任END88第二节内部控制审计的内容内部控制审计准则中：组织层面：五要素业务层面：十一个业务第二节内部控制审计的内容内部控制审计准则中：89第二节内部控制审计的内容内部环境风险评估控制活动信息与沟通内部监督第二节内部控制审计的内容内部环境90内部环境审计组织架构发展战略人力资源组织文化社会责任第二节内部控制审计的内容内部环境审计组织架构第二节内部控制审计的内容91风险评估审计风险识别风险分析应对策略第二节内部控制审计的内容风险评估审计风险识别第二节内部控制审计的内容92控制活动审计：控制活动的设计控制活动的运行采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统第二节内部控制审计的内容控制活动审计：第二节内部控制审计的内容93资金管理：资金管理：94采购业务：采购计划安排不合理供应商选择不当采购验收不规范采购业