德勤:内部控制制度-信息系统
我国国有企业内部控制问题的研究
我国国有企业内部控制问题的研究摘要:强化企业内部控制体系建设,有利于保证会计信息质量,完善企业治理结构和信息披露制度;有利于预防和控制企业潜在风险,增强企业抵抗风险的能力。
当前我国国有企业内部控制体系有待进一步完善,部分国有企业内部控制制度流于形式,内部控制作用未能得到充分发挥。
本文主要通过对我国国有企业内部控制存在的问题及其原因进行深入分析,以便完善我国国有企业内部控制体系建设。
关键词:内部控制;国有企业;内部审计企业内部控制是指以风险管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直接表达生产经营业务过程而形成的管理规范。
实施企业内部控制的主要目的是防范企业风险。
一般来说,企业内部控制主要包括企业内部环境、风险评估、控制活动、信息与沟通、内部监督等五个部分。
自全球金融危机爆发以来,越来越多的国家更加注重企业内部控制体系建设,不断地完善企业内部控制制度。
一、我国国有企业内部控制的发展我国内部控制体系建设起步较晚,20世纪90年代中期,我国开始建立了以账户核对和职务分工为主要内容的内部牵制制度。
随后我国政府大力推进内部控制会计控制规范建设,财政部下发了《独立审计准则第九号—内部控制和审计风险》明确了内部控制的定义、内容和目标。
2000年实施的新《会计法》要求各单位要建立健全内部会计监督制度。
2002年财政部陆续出台了《内部会计控制规范》,使我国内部会计控制制度日趋完善。
2008年和2010年财政部、证监会等五部委先后联合发布了《企业内部控制基本规范》和《企业内部控制配套指引》等法律制度,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成,为我国企业顺利开展内部控制工作奠定了坚实的基础。
二、我国国有企业内部控制现状及其原因1.缺少相关知识培训,员工内部控制意识淡薄德勤从2007年开始每年都对国内上市公司内部控制实施情况进行调查,2011年5月德勤公布了主要针对中国上市公司对内部控制的认识、内部控制实施的现状、实施过程中存在的问题和实施内部控制给企业经营管理带来的转变等四个方面的调查结果,调查结果显示最高管理层对内部控制工作重视不够、缺乏内部控制专业人才、信息系统对内部控制的支持不足、仅有55%的受访者明确了解证监会监控管理工作中强调的“财务报告内部控制”与“全面内部控制”的区别,大部分受访者的企业内部控制无法与企业现在管理体系恰当融合,有相当一部分受访者对企业内部控制工作的安排、内部控制工作的成效表示“不确定”,在一定程度上反映了这些受访者对内部控制工作的漠然态度。
【内控制度】内部控制信息的强制性披露阶段
【内控制度】内部控制信息的强制性披露阶段【内控制度】内部控制信息的强制性披露阶段(一)《内控指引》的要求2002年美国国会通过的《萨班斯法案》关于内部控制信息强制性披露的要求对我国产生了较深的影响。
2006年上海证券交易所和深圳证券交易所分别于6月5日和9月28日发布了《上交所内控指引》和《深交所内控指引》(统称《内控指引》),并分别于2006年7月1日和2007年7月1日开始实施。
《上交所内控指引》第三十一条规定“董事会应根据内部控制检查监督工作报告及相关信息,评价公司内部控制的建立和实施情况,形成内部控制自我评估报告。
公司董事会应在审议年度财务报告等事项的同时,对公司内部控制自我评估报告形成决议。
公司董事会下设审计委员会的,可由审计委员会编制内部控制自我评估报告草案并报董事会审议。
”其第三十二条规定,“公司董事会应在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
”第三十三条要求“会计师事务所应参照主管部门有关规定对公司内部控制自我评估报告进行核实评价。
”总结上述规定,即《上交所内控指引》要求上市公司董事会披露内部控制自我评估报告,并由会计师事务所对内部控制自我评估报告进行核实评价,出具评价报告,在年度报告披露的同时,披露年度内部控制自我评估报告,并披露会计师事务所对内部控制自我评估报告的核实评价意见。
《深交所内控指引》第六十二条规定,“公司董事会应依据公司内部审计报告,对公司内部控制情况进行审议评估,形成内部控制自我评价报告。
公司监事会和独立董事应对此报告发表意见。
”第六十三条规定“注册会计师在对公司进行年度审计时,应参照有关主管部门的规定,就公司财务报告内部控制情况出具评价意见。
”第六十六条要求“公司应于每个会计年度结束后四个月内将内部控制自我评价报告和注册会计师评价意见报送本所,与公司年度报告同时对外披露。
”即《深交所内控指引》要求上市公司董事会披露内部控制自我评估报告,由监事会和独立董事发表意见,并由注册会计师对内部控制自我评估报告进行核实评价意见,在年度报告披露的同时,披露年度内部控制自我评估报告,并披露注册会计师对内部控制自我评估报告的核实评价意见。
内控手册简介
©2008 德勤 版权所有
9
内控手册简介
--常见的内控与其他文件的结合方式
• 情况二:层次清晰,化内控于“无形”
• 多见于跨国公司及其在华子公司的做法
• 除了在治理类或技术类等文件外,公司制定两个层次的文件:第1层,政策
(Policy);第2层,操作程序/手册(Operation Procedure/Manual);
RE-1B1/RE1B2 处理销售合同
销售人员填写客户 信用额度申请表
客户信用额度申请 表
RE-1C 客户信用控制
通知客户已审批的 信用额度
一份给财务部供应 收账款控制
总经理
2 复核并批准投标
4 根据公司审批权限 审批
行政部
RE-4 维护客户主文 档
存档《客户调查 表》和《信用额度 申请表》
控制活动: RE-1A-1根据公司政策要求,《客户调查表》须包括客户的背景资料。 RE-1A-2销售经理审核《客户调查表》,并在《客户调查表》上签署意见,决定是否参加客户招标。 RE-1A-3北京公司合规部做有关客户调查,查看是否该客户在公司禁止合作的公司范围内,并书面回复工厂是否批准参加投标。 RE-1A-4总经理按照公司审批权限书面批准《客户信用额度申请单》。
©2008 德勤 版权所有
8
内控手册简介
--常见的内控与其他文件的结合方式
• 情况一:各成体系,定期协调
• 多见于海外上市的国有央企
• 跨部门或公司层面的制度/规定/办法多数通过公文系统走;更多的文件存放在公
司内部网站供查阅,由档案室归档并形成汇编;
• 内控手册/控制矩阵由一个常效管理部门负责以适应监管机构要求; • 定期由该常效管理部门对内控手册/矩阵进行更新。
德勤上市公司内部控制实务
上市公司董事会应当对公司内部控制制度及其完整性、 合理性和有效性进行自我检查和评估,并在上市公司 年度报告中披露自我检查和评估结果。
2007-9-7
生效日期 发布之日
征求意见中
负责上市公司财务会计报告审计业务的会计师事务所 应当对公司内部控制制度及其执行情况、董事会的自 我评估进行评价。上市公司应当在年度报告中披露会 计师事务所的评价结果。
内部控制评价机制的建立
内部控制 评价机制 建立情况
20
在2007年的调查结果中,72%的公司认为 其公司没有持续监控内部控制的有效机制。
2008年的调查结果表明:
• 72%的公司认为其公司没有持续监控内部控制 的有效机制,与去年相比,在持续监控方面 未得到任何改善
• 96%的公司认为应高度重视内部控制监督机制 • 92%的公司认可配备专业人员的重要性 • 100%的外资控股公司认为其公司已基本建立
2
©2008 德勤华永会计师事务所有限公司 版权所有
议程
主题一 内部控制相关监管要求简介 主题二 上市公司内部控制现状调查 主题三 内部控制的建设、评价与披露
3
©2008 德勤华永会计师事务所有限公司 版权所有
中国内部控制相关的监管要求1 ——国务院/证监会层面
规定 证监会: 国务院批转证监会 <关于提高上市公司 质量意见>的通知
7
©2008 德勤华永会计师事务所有限公司 版权所有
在建立健全企业内部控制的道路上,我们听到许多来自企业的问题:
– 内部控制一定要做吗? – 监管机构对内部控制的硬性要求具体时间表如何? – 内部控制有什么好处? – 如何建立健全的企业内部控制? – 怎样的内部控制才是好的内部控制? – 怎样建立内部控制的常效管理机制?成本如何?等等……
【精品报告】德勤-德勤企业风险-内部审计-公司免疫系统,提升企业价值
表现卓越的首席内部审计官(CAE)已经开始向审计委员会、首席执行 官、首席财务官以及其他高管伸出援手,与他们分享不确定的大环境下 企业存在哪些新问题、新风险。通过这些沟通协作的机会,可以充分体 现首席审计官的前瞻性角色,并以此体现内部审计对公司的责任及价 值。这种价值可以是协调组织跨部门的讨论,深入分析公司面临的新情 况及由此产生的重大风险,并制定应对计划;也可以是协助管理层确定 他们的风险偏好并确保董事会了解并支持管理层的观点;还可以是帮助 管理层设计风险管理及监督流程(例如内部控制)。当然,首席审计官 们亦可以重新分配其审计资源,对高风险领域进行重新评估,对识别出 的缺陷提供专业的改进建议,从而降低风险发生的可能性或减少风险带 来的不利影响。
研究室
26 反贿赂和腐败 30 风险导向稽核体制的建立 32 自动化演变——如何停止担忧并憧憬制造业的未来 38 关于美国冲突矿产披露制度的供应链调查实务
内部控制项目培训德勤91页PPT
应用系统安装与维护 ✓数据库安装与支持 ✓网络支持 ✓系统软件支持 ✓硬件支持
©2004 德勤华永会计事务所有限公司
信息与沟通
➢贯穿在风险评估和控制活动过程中 ➢这些系统使企业内的人员能取得他们在执行、管理和控制
企业营运时必须的资讯,并交换这些资讯 ➢信息系统:内部、外部 ➢沟通:使员工知悉其在业务经营、财务报告及法律遵循方
©2004 德勤华永会计事务所有限公司
控制环境-管理哲学和经营风格
审计署对23家企业的调查结果
%
资产不实 负债不实 利润不实
10.39% 7.89%
其中: 虚报 隐瞒 潜亏
94.98% 52.89% 92.77%
金额(亿元)
38.87 36.92 20.53 36.06
©2004 德勤华永会计事务所有限公司
– 某一实体的任务(例如:总部、省级公司)。
• 内部控制是:
美国反欺骗性财务报告委员会(COSO)的定义:
内部控制 是一个靠组织的董事会、管理层和其他员工去实现的过程,
实现这一过程是为了合理的保证:
• 经营的效果性和效率性; • 财务报告的可信性; • 对法律和规章制度的遵循性。
因此,整个集团的共同参与 对于项目的成功至关重要。
什么是风险?
风险是某一事件或行为对企业经济利益可能的威胁 商业风险和管理风险
©2004 德勤华永会计事务所有限公司
管理风险
管理风险习惯上分为以下五类:
财务和经营信息不足 政策、计划、程序、法律和标准贯彻失败 资产流失 资源浪费和无效使用 不能达到企业的目的和目标
©2004 德勤华永会计事务所有限公司
– 根据我们的经验,美国类似规模的上市公司需要一年以上的时间进行准备。
《企业内部控制流程手册》-信息系统
第1章 企业内部控制流程——信息系统1.1 信息系统与审批控制1.1.1 信息系统战略规划流程1.信息系统战略规划流程与风险控制图信息系统战略规划流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息化领导小组信息部用户部门D1D2D3开始信息系统战略规划如果未与企业业务目标保持一致,可能导致开发的信息系统没有实际利用价值如果信息系统战略规划未经适当审核或超越授权审批,可能会产生重大差错或舞弊、欺诈行为,从而使企业遭受损失如果信息系统战略规划方法不适合企业的实际情况,可能导致信息系统无法顺利完成下达企业 业务目标参与审提出信息系统 战略规划项目进行可行性分析拟定项目框架要求选择信息系统 战略规划方法起草信息系统 战略规划方案 参与对方案进行 评价和仿真 进行仿真撰写信息系统 战略规划报告 组织开发信息系统结束进行开发1234562.信息系统战略规划流程控制表1.1.2 重要信息系统政策制定流程1.重要信息系统政策制定流程与风险控制图重要信息系统政策制定流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息部 使用部门D1D2开始 结束重要信息系统政策制定申请如果未经审批或越权审批,可能导致企业经济损失如果职责分工、权限范围和审批程序不规范、机构设置和人员配备不合理、重要信息系统制定未能按照审批程序进行编制,可能会产生重大差错或舞弊、欺诈行为,从使企业遭受损失提出重要信息系统政策制定申请 1通过未通过审批组织编制重要 信息系统政策 起草《重要 信息系统政策》 召开重要信息系统 政策编制研讨会参与整理、汇总各部门提出的建议和意见审批234下达正式《重要信息系统政策》资料归档2.重要信息系统政策制定流程控制表1.2 系统开发与维护控制1.2.1 信息系统自行开发流程1.信息系统自行开发流程与风险控制图信息系统自行开发流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 总经理运营总监信息部人员用户部门D1 D2D3开始如果信息系统开发与使用未经适当审核或超越授权审批,可能会产生重大差错或舞弊、欺诈行为,从而使企业遭受损失如果信息系统访问安全措施不当,可能导致商业秘密泄露如果信息系统开发与使用违反国家法律、法规,企业可能遭受外部处罚、经济损失和信誉损失提出信息系统开发申请审结束1审受理该项申请分析需求 编制《系统开发任务书》32审审设计程序方案 编写程序代码进行系统测试安装、调试系统使用授权开始使用7456892.信息系统自行开发流程控制表1.2.2 信息系统开发招标流程1.信息系统开发招标流程与风险控制图信息系统开发招标流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段总经理信息部/用户部门项目管理小组外包商D1D2D3开始结束如果信息系统开发招标违反国家法律、法规,企业可能遭受外部处罚、经济损失和信誉损失如果信息系统开发招标、评标不规范,可能导致徇私舞弊的行为或商业秘密泄露,从而造成企业经济损失如果信息系统开发招标过程违反法律、法规和企业的规章制度,企业可能会受到有关部门的处罚,从而造成资产损失审索取资格审查文件资料归档确定采用招标方式选择外包合作商参与评标发布招标广告2填报资格审查文件进行资格审查发售招标书34接收标书发送投标书组织评标选取中标者审发布中标通知接到中标通知书谈判并签订合同签订合同561782.信息系统开发招标流程控制表。
如何建立和实施有效的内部控制制度
应随之改变。因此,风险评估中最基本的部分,就是如何辨认已发生的改变, 并采取必要的行动。这些改受因素包括:行业环境的改变;新员工;业务迅 速成长;新科技;新业务、产品、作业;公司重组;国外业务等。
2005年6月
如何有效地进行风险管理
各行业的前10种最主要的风险因素(德勤统计数据)
二、内部控制的总体架构
2005年6月
内部系统的整体架构
2005年6月
内控系统五要素架构:
2005年6月
控制环境(control environment):
➢是任何企业的核心,是企业的人以及它所处的环境
➢ 提供了企业纪律与架构,塑造了企业文化,并影响企业员工的控制意识
➢是推动企业的引擎,也是其他要素的基础
风险:辨识和分析风险的过程是一种持续及反复的过程,也是有效内部控制的
关键组成要素,管理阶层须谨慎注意各部门阶层的风险,并采取必要的管理 措施。企业的风险一般是由外部因素和内部因素所产生的。外部因素包括: 科技发展;顾客的需求或预期改变;竞争;新的法律和行政命令;自然灾害; 经济环境改变等。内部因素包括:信息系统处理的中断;聘用员工的品质、 培训方法及激励制度;经理人员的责任改变;企业活动的性质以及员工可接 近资产的程度;董事会或监事会不够坚定或无效等。
控制环境的组成要素:
•管理哲学和经营风格说明 • 组织结构说明 • 董事会及其委员会职能说明 • 职责分配和授权说明 • 人力资源政策及实务 说明
2005年6月
控制环境-管理哲学和经营风格
审计署对23家企业的调查结果
资产不实 负债不实 利润不实
其中:虚报 隐瞒 潜亏
% 10.39% 7.89%