企业内部控制鉴证指引重要条款解读.pptx

《企业内部控制鉴证指引重要条款解读.pptx》由会员分享，可在线阅读，更多相关《企业内部控制鉴证指引重要条款解读.pptx（68页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部报告相关控制 企业应当制定内部报告制度。所谓内部报告，是指企业内部层级之间传递内部经营管理信息的过程。企业在制定内部报告控制制度时，应当至少关注内部报告的下列风险： （一）内部报告信息不准确，可能导致决策失误。企业内部层级之间传递内部经营管理信息，按照流向的不同，可以有单向传递、反馈传递和双向传递三种方式。 （二）内部报告信息传递不及时、不通畅，可能导致风险失控。信息传递的基本要求是速度快。如果一条有重要价值的信息未能及时地传递给决策者，那么决策者在做决策时就不能考虑这条信息，因而就有可能造成难以弥补的、不可估量的损失。关键内部控制 一、内部报告的形成 二、内部报告的使用一、内部报告的形成

2、 内部报告的形式有多种，如书面报告、口头介绍、电视电话会议、音像制品、计算机多媒体显示和集上述形式为一体的信息中心。 报告的格式设计，也就是信息将被用什么方式呈现在管理者面前，一般的格式包括：文本格式、图表格式、数字和综合格式等。 内部报告一般有定期报告和非定期报告两种。二、内部报告的使用 企业对于内部报告反映出的经营管理中存在的突出问题和重大风险，应当启动应急预案。 企业应当建立内部报告的评估制度，对内部报告的形成和使用进行全面评估，重点关注报告信息的准确性和沟通机制的有效性。一般的，企业在发生下面几种情况时，必须修正内部报告制度： 1.企业经营策略发生变化； 2.企业管理政策发生变化； 3

3、.企业内部机构发生变化； 4.反馈意见表明内部报告制度中存在有较大缺陷。同时，需要注意以下几个问题： 1.内部报告制度是企业进行内部控制的一种办法，可用于内部会计控制上，也可以用于内部管理控制上； 2.内部报告制度的设计，并非一定要以一个单行文本的方式出现，它可以并存在其他的管理文件中； 3.内部报告制度的设计者可以是财务人员，也可以是非财务人员； 4.内部报告往往面向企业内部的所有人员。 世通案例（节选） 世界通信利用会计造假虚构的利润创下世界记录，这一惊天动地的财务舞弊案到底是如何被发现的？ 具有讽刺意义的是，世界通信的财务舞弊既不是由人才经济、经费充裕的证券监管部门SEC发现的，也不是由

4、经验丰富、技术精湛的跻身于“五大”的安达信（AA）发现的，更不是由薪酬丰厚、权厚位重的董事会发现的，而是被世界通信一些牢骚满腹的高管人员称作“不自量力、多管闲事”的三个内部审计人员发现的。 揭开世界通信造假黑幕的英雄是辛西亚库珀（CynthiaCooper，世界通信内部审计部副总经理）、哲恩摩斯（GeneMorse，擅长电脑技术的内部审计师）和格林史密斯（GlynSmith，内审部高级经理，辛西亚的助理）。正是这三个不计个人安危，忠于职守的“火枪手”，排除困扰，顶住压力，才将世界通信的舞弊罪行昭示于天下。 辛西亚库珀（以下简称辛西亚）出生于世界通信总部所在地的一个中产阶级家庭，1985年毕业于

5、密西西比州立大学。大学毕业后，不甘小诚寂寞的辛西亚到了亚特兰大等城市闯荡了几年。 在经历了一次失败的婚姻后，辛西亚于1991年回到了克林顿小城，1994年受雇于世界通信的前身LDDS，从事内部审计。 辛西亚从基层做起，几年后升任世界通信内部审计部的副总经理，只有27个工作人员的内部审计部只负责经营绩效审计，从事业绩评估和预算控制，财务审计不在其工作职责范围之内，而是外包给安达信。 辛西亚对世界通信会计处理的疑心源于一次意外的会面。2002年3月初，世界通信无线通信业务的负责人约翰思图帕克（JohnStupka）拜会了辛西亚库珀，向她抱怨苏利文的一笔会计处理。 为了应对电信业不景气可能产生的坏账

6、，思图帕克所在部门按照行业惯例和会计准则的规定，于2001年第三季度计提了4亿美元的准备。 但苏利文勒令思图帕克将这4亿美元的坏账准备冲回，以抬升世界通信对外报告的盈利。 思图帕克担心这一做法将使其部门在下的一个季度发生大额亏损，但迫于苏利文的压力，只得屈从。喜欢刨根问底、倔犟执着的辛西亚就此事致电安达信，但安达信的合伙人肯艾卫瑞（KenAvery）粗暴地拒绝了辛西亚的质询，声称他只听命于苏利文。 被激怒的辛西亚遂下令其下属哲恩摩斯（以下简称摩斯）彻查到底，并将此事告知了世界通信审计委员会主席马克斯波比特（MaxBobbitt） 3月6日，审计委员会在华盛顿召开了例会，辛西亚与其顶头上司苏利文

7、分别就这4亿美元坏账准备的会计处理作了陈述 在审计委员会的压力下，苏利文不得不作出让步，同意予以更正。第二天，恼羞成怒的苏利文提醒辛西亚注意自己的职责范围，警告她以后不得再干预无线电部门的会计处理。 3月7日，SEC勒令世界通信提供更多的文件资料，以证明2001年度盈利的真实性。SEC提出这项异乎寻常的要求，是因为电信业的不景气使世界通信的直接竞争对手$T一蹶不振，遭客观存在巨额损失，而世界通信在2001年度仍然报告巨额利润。 这一反差引起了SEC的疑心，并最终导致其在3月12日对世界通信的会计问题展开正式调查。 SEC的这些举动令世界通信高层措手不及，也引起了辛西亚的警觉。 特别是，安然事件

8、的曝光和安达信被司法部起诉，使辛西亚对世界通信的会计处理更加担忧。因此，尽管与苏利文发生了不愉快的冲突，辛西亚仍毅然决定，将内部审计的范围由经营绩效审计秘密扩张至财务审计，具体工作由摩斯负责。 5月21日，辛西亚的副手史密斯收到马克阿柏特（MarkAbide）一封电子邮件。阿柏特是世界通信在德州一位分管固定资产账务处理的会计人员，在其电子邮件里，阿柏特附上了当地报纸刊登的一篇文章，披露了世界通信德州分公司的一位雇员因为对一些资本支出账务处理的恰当性提出质疑而惨遭解雇。 阿柏特认为，从内部审计的角度看，这一事件值得深究。史密斯立即将这份电子邮件转发给辛西亚。这份电子邮件引起了辛西亚的极大兴趣，因

9、为自辛西亚决定进行内部财务审计后，摩斯已经带入对世界通信疑点重重的资本支出项目作了两个多月的调查。收到这封电子邮件前，摩斯等人已经发现了众多无法解释的巨额资本性支出。 2001年前三个季度，世界通信对外披露的资本支出中，有20亿美元既没有纳入2001年度的资本性支出预算，也没获得任何授权。这一严重违反内部控制的做法，使辛西亚和摩斯怀疑世界通信可能将经营费用转作资本支出，以此增加利润。这封神秘的电子邮件促使辛西亚决定将调离的重点放在资本支出项目。 辛西亚和史密斯就是这20亿美元的资本支出质问财务计划部主任山基乎瑟提（SanjeevSethi）时，瑟提将其解释为“预付容量”（PrepaidCapa

10、city）。当被问及“预付容量”的确切涵义以及将“预付容量”作为资本支出的依据时，瑟提表示无可奉告，但不妨询问世界通信的副总裁兼主计长（Controller）大卫迈耶斯。 辛西亚和史密斯不敢贸然直接质问迈耶，而是首先询问阿柏特，因为阿柏特所在部门也有“预付容量”，也是作为资本支出。询问的结果是，阿柏特对“预付容量”一无所知，他完全是依照世界通信总账会计部主任巴福特耶特斯（BufordYates）的指令进行财务处理的。 就在辛西亚和史密斯对“预付容量”这些所谓的资本支出困惑不解的紧要关头，摩斯的一项重大发现开始使内部审计的调查柳暗花明。 5月28是下午摩斯从电脑记录上查出了一笔既没有原始凭证支持

11、，也缺乏授权签字的5亿美元整的电脑费用。与“预付容量”一样，这5亿美元也被记录为资本支出。 摩斯立即向辛西亚报告这一惊人发现。种种迹象表明，世界通信的高层通过将经营费用转作资本支出进行了大规模的利润造假。 为了获取世界通信会计造假的直接证据，必须进入世界通信电脑化的会计信息系统调阅相关的会计分录和凭证。 然而，只有经过苏利文的批准，内部审计部才有资格不受限制地使用世界通信的电脑会计系统。颇有“黑客”风范的摩斯没有让辛西亚失望，很快就利用信息部安装和测试新系统的机会，获得了自由进出电脑会计系统的方法。 鉴于世界通信很多有疑点的资本支出都是由总部化整为零转嫁至各地分支机构进行记录。摩斯进行电脑会计

12、系统后，将取证重点锁定在“内部往来”。“内部往来”发生频繁，每月大约有35万笔。 有一次，摩斯偷偷下载这些数据时，几乎瘫痪了服务器，导致信息部紧急关闭电脑会计系统。这一插曲差点使摩斯的“黑客行动”败露。 自此，摩斯只好选择在夜深人静时，进入负荷较轻的电脑会计系统。经过一周的加班加点，摩斯成功地收集了世界通信将20亿美元经营费用“包装”成资本支出的直接证据。 至此，世界通信的会计造假基本上真相大白。摩斯掌握的证据使辛西亚陷入痛苦的思想斗争中。与其他员工一样，辛西亚也曾为世界通信的骄人业绩深感自豪。 世界通信竟然是一个骗子公司，这是她最不愿意看到的结局。辛西亚深知，已掌握的证据足以让世界通信遭受灭

13、顶之灾，这意味着与她朝夕相处的成午上万的同事将失去生计。 值得一提的是，辛西亚再婚后，丈夫留在家里专职照看两个儿子，她成了家庭的唯一经济支柱。辛西亚将她的担忧和苦衷告诉了史密斯和摩斯，他们俩颇有同感。 在人生的旅途中，这三名“火枪手”面临着一项重大抉择：是继续追查下去，将世界通信整垮，还是点到为止，给世界通信留下一条生活？ 理性最终战胜了感情，私利让位于正义。激烈的思想斗争之后，辛西亚、史密斯和摩斯决定将调查进行到底。企业内部控制评价 企业内部控制的一个新趋势是实行“控制自我评估”，是指每个企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率、效果，以期能更好地达

14、成内部控制的目标。 其基本的特征是：关注业务的过程和控制的成效；由管理部门和职员共同进行；用结构化的方法开展评估活动。一、内部控制评价概述 内部控制评价是指企业董事会（或类似决策机构）或其授权机构，对内部控制设计与运行的有效性进行综合评估的过程。 （一）内部控制评价的目标 （二）内部控制评价的要求（一）内部控制评价的目标 企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价，促使企业切实加强内部控制体系的建设并认真执行，并保证内部控制体系得以持续、有效的改进。（二）内部控制评价的要求 每个企业的情况不同，设置的内部控制制度有所差异，对于内部控制评价也是一样，应当根据企业

15、内部控制基本规范和评价指引的规定，结合企业的实际情况，制定出内部控制评价办法，并明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容，确保内部控制评价工作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。 二、内部控制评价的原则和内容 （一）内部控制评价的原则 （二）内部控制评价的内容（一）内部控制评价的原则 企业实施内部控制评价，至少应当遵循全面性、重要性和独立性原则，确保评价工作标准统一、客观公正。 1.全面性，是指评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。 2.重要性，是指在全面评价的基础上关注重要高风险领域。 3.独立性，是指评价

16、工作应当与内部控制的设计与运行相互分离。同时需要考虑遵循下列原则： 1.风险导向原则。 2.一致性原则。内部控制评价应当采用统一、可比的评价方法和标准，保证评价结果的可比性。 3.公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。 4.成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。（二）内部控制评价的内容 1.内部控制五要素的评价 （1）内部环境的评价。健全性和有效性 （2）风险评估的评价。对抗风险的能力和风险管理的具体办法及效果 （3）控制活动的评价。适当执行 （4）信息与沟通的评价。及时性和适当性 （5）内部监督的评价。对内部监督的评价包括：日常监督评

17、价、专项监督评价和缺陷报告评价。 毕马威（KPMG）在其内控指南中提出，董事会和管理层在对企业内部控制进行年度评价时，至少应该考虑以下所列的这些问题： 1.内部控制评价中应考虑的问题 （1）风险评估 企业是否有明确的目标，并且已经与员工沟通，给员工在风险评估和控制问题中提供了有效的方向?例如：编制包括业绩指标的预算。 显著的经营风险、财务风险和其他风险是否已经被认定和评估?认定和评估风险的基准是否是持续适用的?（显著风险可能包括和市场、信用、流动性、技术、法律和声誉等相关的问题） 管理层和企业中其他员工是否清楚地了解董事会可接受的风险? （2）控制环境和控制措施 董事会对已认定的风险是否有应对

18、策略?是否制定了处理风险的政策? 企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统? 在企业内部，高级管理人员是否通过行动和政策来展示必要的胜任能力、正直和营造互相信任的氛围? 权责是否明确?决策和执行的人员是否合适?决策和执行是否很好地协调运作? 企业是否和员工沟通企业对他们的期望，以及自由行动的界限? 企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具? 内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的? （3）信息和沟通 董事会和管理层能否及时地接收来自企业内外的关于违反企业目标的信息及其可能带来的风险?例如：员

19、工的态度和顾客的满意度等信息。 信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺陷? 周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景? 是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道? （4）内部监督 企业是否制定了全面风险管理和内部控制的监督程序? 这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目标、业务和内部环境改变的能力? 是否存在有效的后续程序保证内控体系的改变以适应风险的变化? 与董事会（或董事会专门委员会）沟通风险和控制事件监控程序的有效性的方式是否合适?应该包括及时地报告任何显著的内控失效和控制弱点。 是否存

20、在内控监督和向董事会报告重大风险的具体安排?这些可能包括违法违规行为或者对公司的声誉和财务状况产生负面影响的行为。2.内部控制评价中应特别关注的内容 （1）企业内部控制评价应当以内部环境为基础 （2）企业内部控制评价应当以生产经营活动为重点 （3）企业内部控制评价应当兼顾控制手段 （1）企业内部控制评价应当以内部环境为基础 治理结构是否形同虚设；发展战略是否可行；机构设置是否重叠；权责分配是否明晰；不相容岗位是否分离；人力资源政策和激励约束机制是否科学合理；企业文化是否促进员工勤勉尽责；社会责任是否有效履行等。（2）企业内部控制评价应当以生产经营活动为重点 资金的筹集、投放和营运过程是否存在资

21、金链断裂；资产运行中是否存在效能低下或资产流失；采购与销售环节是否存在舞弊行为；研发项目是否经过科学论证；工程项目是否存在商业贿赂等。（3）企业内部控制评价应当兼顾控制手段 全面预算是否具有约束力；合同履行是否存在纠纷；信息系统是否与内部控制有机结合；内部报告是否及时传递和有效沟通等。三、内部控制评价的程序和方法 （一）内部控制评价的组织机构 （二）内部控制评价的程序 （三）内部控制评价的方法（一）内部控制评价的组织机构 企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作，根据内部控制评价办法制定评价方案，组成评价小组，明确分工和进度安排，采取现场检查等方式开展内部控制评价。 企业

22、可以借助中介机构或外部专家实施内部控制评价，参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。（二）内部控制评价的程序 1.制定评价方案。 2.实施评价活动。 3.编制评价报告。 （三）内部控制评价的方法 企业内部控制评价的方法有多种，主要介绍以下几种常用的方法： 1.个别访谈法。 2.调查问卷法。 3.专题讨论会法。 4.穿行测试和重新执行法。 5.抽样法。 6.比较分析法。 7.标杆法。 8.实地查验法。 （四）内部控制有效性的评价 1.有效性是企业内部控制评价的一个重要方面，但是准确的说是对于内部控制的两个方面有效性的评价，即设计有效性和运行有效性。 2.采用信息系统

23、加强内部控制的企业，对信息系统有效性的评价（五）内部控制缺陷认定 1.内部控制缺陷的分类 （1）设计缺陷 （2）运行缺陷 2.内部控制缺陷的认定标准:一般缺陷、重要缺陷还是重大缺陷 3.内部控制缺陷整改机制（六）内部控制评价的证据 1.内部控制设计和运行有效性的判断应考虑的因素 2.导致内部控制失效的风险1.内部控制设计和运行有效性的判断应考虑的因素 （1）是否针对风险设置了合理的细化控制目标。 （2）是否针对细化控制目标设置了对应的控制活动。 （3）相关控制活动是如何运行的。 （4）相关控制活动是否得到了持续一致的运行。 （5）实施相关控制活动的人员是否具备必需的权限和能力。2.导致内部控制

24、失效的风险 （1）控制活动的类型，一般包括人工控制和自动控制、预防性控制和检查性控制等。 （2）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。 （3）管理层逾越内部控制的风险。 （4）实施控制活动所需要的职业判断的程度。 （5）控制活动所针对风险事项的性质及其重要性。 （6）一项控制活动对其他控制活动有效性的依赖程度。四、内部控制评价报告(一）内部评价报告的内容 内部控制评价报告至少应当包括下列内容： （1）组织实施内部控制评价的总体情况； （2）内部控制责任主体的声明； （3）内部控制评价的范围和内容； （4）内部控制评价的标准和依据； （5）内部控制评价的程序和

25、方法； （6）内部控制重大缺陷及其认定情况； （7）内部控制重大缺陷的整改措施及责任追究情况； （8）内部控制有效性的结论；（二）内部控制评价报告的报出 1.内部控制评价的分类 2.内部控制评价报告批准机构 3.内部控制评价报告期限1.内部控制评价的分类 企业内部控制评价，一般包括年度评价和专项评价。 在实务中，还可以将内部控制评价分为全面内部控制评价和专项内部控制评价。 2.内部控制评价报告批准机构 企业内部控制评价报告应当报企业经理层审核、董事会审定后公布。3.内部控制评价报告期限 企业应当以12月31日作为年度内部控制评价报告的基准日，也可选择6月30日为基准日。内部控制评价报告应于基准

26、日后4个月内报出。企业内部控制鉴证指引 内部控制鉴证的含义的理解应当掌握以下几点: 1.内部控制鉴证是一项专门鉴证业务 2.内部控制鉴证的范围限于特定日期与财务报表相关的内部控制 3.被鉴证单位管理层应当就内部控制的有效性提供书面认定企业内部控制鉴证指引（征求意见稿）重要条款解读 一、内部控制鉴证计划 二、实施内部控制鉴证工作 三、实施鉴证工作的程序 四、评价控制缺陷 五、完成鉴证工作 六、鉴证报告 七、工作底稿一、内部控制鉴证计划 （一）在制定鉴证计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是 否具有重要影响，以及对注册会计师程序的影响 （二）注册会计师应当充分认识风险评估在内

27、部控制鉴证中的作用，根据风险评估结果，确定重要的账户、列报和相关认定，选择拟进行测试的控制，以及确定针对特定控制所需收集的证据。 （三）舞弊对内部控制鉴证计划的影响 （四）对其他人员工作的利用二、实施内部控制鉴证工作 （一）企业层面的控制测试 （二）流程层面控制的测试三、实施鉴证工作的程序 （一）了解内部控制的设计 （二）测试内部控制设计的有效性 （三）测试内部控制运行的有效性五、完成鉴证工作 （一）管理层说明书。在出具鉴证报告前，注册会计师应当向管理层获取书面声明。 （二）沟通相关事项。在注册会计师出具内部控制鉴证报告之前，注册会计师应当以书面形式与管理层和审计委员会沟通鉴证过程中识别的所有重大缺陷。 六、鉴证报告 （一）鉴证报告的基本内容 （二）鉴证报告的意见类型七、工作底稿 注册会计师应当就下列内容形成鉴证工作记录： 1.制定的内部控制鉴证计划及其重大修改； 2.识别企业层面和流程层面的风险及控制的主要过程及结果； 3.测试控制设计和执行有效性的程序及结果； 4.对识别的控制缺陷的评价； 5.对识别的重大事项的处理； 6.形成的鉴证结论和意见； 7.其他重要事项。