企业内部控制案例分析讲义课件

主讲人：孟宪胜

企业内部控制案例分析第2讲内部控制实施与评价

一、内控系统的整体架构一、内控系统的整体架构构成要素（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。构成要素（一）内部环境。内部环境是企业实施内部控制的基础，一是任何企业的核心，是企业内部控制所处的环境

是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格：传达公司的正直、诚实的道德规范治理结构：董事会及其委员会职能等职责分配和授权：权利、职责分工人事政策：保证员工正直并有能力胜任工作企业文化控制环境

是任何企业的核心，是企业内部控制所处的环境

是推动企业的引擎控制环境——管理哲学和经营风格审计署对23家企业的调查结果项目％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87其中：虚报94.98%36.92隐瞒52.89%20.53潜亏92.77%36.06控制环境——管理哲学和经营风格审计署对23家企业的调查结果项企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和对应予以特别关注的环境变化保持警觉:法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司业务迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营风险评估

对应予以特别关注的环境变化保持警觉:风险评估授权批准控制保护实物资产内部报告控制（异常报告）职责分离控制电子信息技术控制……控制活动

授权批准控制控制活动你的批准意味着什么？1.你已经检查过文件的正确性、完整性以及适当性2.你对自己的审批负全责控制活动——审批

你的批准意味着什么？控制活动——审批授权批准控制在开展任何业务之前都应进行授权按性质的不同分为日常授权和特别授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查监督要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制在开展任何业务之前都应进行授权控制活动——保护实物资产例如:实物与会计记录的定期核对把文件锁起来设备标签安全系统/警报系统设围墙、配置保安工作证件隐藏的摄像镜头返回控制活动——保护实物资产例如:返回例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进控制活动——异常活动报告

例如:控制活动——异常活动报告避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营.控制活动——职责分工

避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发审核可能会伪造购货业务并支付货款，从而贪污现金不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的信息与沟通贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通目的：使员工知悉其在业务经营、财务报告及法律遵循方面的责任信息与沟通贯穿在风险评估和控制活动过程中监督整个内部控制的执行过程必须被监督，应建立检查和报告体制确保内部控制随情况的改变而作出动态的反应监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估利用外部审计师的工作主动纳谏，要求员工定期汇报内部控制缺陷监督整个内部控制的执行过程必须被监督，应建立检查和报告体制监

二、实施内部控制的误区

二、实施内部控制的误区实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 调查结果——总会计师职责分布

中国：80％－组织日常财务工作70％－审核财务报表及管理报表60％－制定投融资决策55％－制定内控30％－制定公司长远规划

美国：财务管理及内部控制收购与兼并制定公司长远规划信息技术规划与各经营部门协调

调查结果——总会计师职责分布 中国： 美国：实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 包治百病？－内控的固有局限性

人为因素使内控失效对控制责任的误解执行时的大意疲劳舞弊时间推移使控制措施逐渐失效

包治百病？－内控的固有局限性 其它影响内控实施效果的因素

管理层违规形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等

其它影响内控实施效果的因素 三、企业内部控制评价

内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。三、企业内部控制评价内部控制评价，是指企业董事会或类似权力四、内部控制评价遵循的原则企业实施内部控制评价至少应当遵循下列原则：（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。（二）重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。（三）客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。四、内部控制评价遵循的原则企业实施内部控制评价至少应当遵循下五、内部控制评价的内容企业应当根据《企业内部控制基本规范》、应用指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，确定内部控制评价的具体内容，对内部控制设计与运行情况进行全面评价。五、内部控制评价的内容企业应当根据《企业内部控制基本规范》、六、内部控制缺陷的认定内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。六、内部控制缺陷的认定内部控制缺陷包括设计缺陷和运行缺陷。内部控制缺陷的分类对内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。1.重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。2.重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。3.一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。内部控制缺陷的分类对内部控制缺陷按其影响程度分为重大缺陷、重七、内部控制缺陷应对策略企业对于认定的重大缺陷，应当及时采取应对策略，切实将风险控制在可承受度之内，并追究有关部门或相关人员的责任。七、内部控制缺陷应对策略企业对于认定的重大缺陷，应当及时采取谢谢！

谢谢！

主讲人：孟宪胜

企业内部控制案例分析第2讲内部控制实施与评价

一、内控系统的整体架构一、内控系统的整体架构构成要素（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。构成要素（一）内部环境。内部环境是企业实施内部控制的基础，一是任何企业的核心，是企业内部控制所处的环境

是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格：传达公司的正直、诚实的道德规范治理结构：董事会及其委员会职能等职责分配和授权：权利、职责分工人事政策：保证员工正直并有能力胜任工作企业文化控制环境

是任何企业的核心，是企业内部控制所处的环境

是推动企业的引擎控制环境——管理哲学和经营风格审计署对23家企业的调查结果项目％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87其中：虚报94.98%36.92隐瞒52.89%20.53潜亏92.77%36.06控制环境——管理哲学和经营风格审计署对23家企业的调查结果项企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和对应予以特别关注的环境变化保持警觉:法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司业务迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营风险评估

对应予以特别关注的环境变化保持警觉:风险评估授权批准控制保护实物资产内部报告控制（异常报告）职责分离控制电子信息技术控制……控制活动

授权批准控制控制活动你的批准意味着什么？1.你已经检查过文件的正确性、完整性以及适当性2.你对自己的审批负全责控制活动——审批

你的批准意味着什么？控制活动——审批授权批准控制在开展任何业务之前都应进行授权按性质的不同分为日常授权和特别授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查监督要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制在开展任何业务之前都应进行授权控制活动——保护实物资产例如:实物与会计记录的定期核对把文件锁起来设备标签安全系统/警报系统设围墙、配置保安工作证件隐藏的摄像镜头返回控制活动——保护实物资产例如:返回例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进控制活动——异常活动报告

例如:控制活动——异常活动报告避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营.控制活动——职责分工

避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发审核可能会伪造购货业务并支付货款，从而贪污现金不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的信息与沟通贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通目的：使员工知悉其在业务经营、财务报告及法律遵循方面的责任信息与沟通贯穿在风险评估和控制活动过程中监督整个内部控制的执行过程必须被监督，应建立检查和报告体制确保内部控制随情况的改变而作出动态的反应监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估利用外部审计师的工作主动纳谏，要求员工定期汇报内部控制缺陷监督整个内部控制的执行过程必须被监督，应建立检查和报告体制监

二、实施内部控制的误区

二、实施内部控制的误区实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 调查结果——总会计师职责分布

中国：80％－组织日常财务工作70％－审核财务报表及管理报表60％－制定投融资决策55％－制定内控30％－制定公司长远规划

美国：财务管理及内部控制收购与兼并制定公司长远规划信息技术规划与各经营部门协调

调查结果——总会计师职责分布 中国： 美国：实施内控时常出现的误区

管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病

实施内控时常出现的误区 包治百病？－内控的固有局限性

人为因素使内控失效对控制责任的误解执行时的大意疲劳舞弊时间推移使控制措施逐渐失效

包治百病？－内控的固有局限性 其它影响内控实施效果的因素

管理层违规形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等

其它影响内控实施效果的因素 三、企业内部控制评价

内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。三、企业内部控制评价内部控制评价，是指企业董事会或类似权力四、内部控制评价遵循的原则企业实施内部控制评价至少应当遵循下列原则：（一）全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。（二）重要性原