內部控制項目培訓.2005年1月PresentationName(View/HeaderandFooter)內部控制項目培訓.PresentationName(Vi1培訓內容部分一：項目總體情況介紹內部控制和薩賓斯法案介紹部分二：內控手冊編寫與工作配合手冊模板介紹第一、二階段項目工作計劃培訓內容部分一：項目情況介紹內部控制項目培訓-課件本項目的目標期望通過本項目建立一套能實現以下目標的內部控制系統：滿足美國薩賓斯法案（Sarbanes-OxleyAct)對內部控制要求；作為統一公司的制度和流程的基礎；及開始建立與現代企業制度相適應的公司治理結構和控制環境。本項目的目標期望通過本項目建立一套能實現以下目標的內部控制美國的薩賓斯法案（Sarbanes-OxleyAct)所有在美國上市的公司均需遵行強調外部會計師的獨立性關注公司內部治理及對外信息透明、完整與正確性以強化內部控制為核心的要求項目的外部壓力－法案的強制性美國的薩賓斯法案（Sarbanes-OxleyAct)項美國的薩賓斯法案（Sarbanes-OxleyAct)需符合規定的時間：

提交截止2005年底的經審計師鑒證的內部控制報告根據我們的經驗，美國類似規模的上市公司需要一年以上的時間進行準備。項目的緊迫性美國的薩賓斯法案（Sarbanes-OxleyAct)項只針對薩賓斯法案的要求和財務報告有關的部分覆蓋的業務主體本項目的專注點只針對薩賓斯法案的要求本項目的專注點本項目的廣泛性內部控制絕對不是：靜態的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。內部控制是：美國反欺騙性財務報告委員會（COSO）的定義：內部控制是一個靠組織的董事會、管理層和其他員工去實現的過程，實現這一過程是為了合理的保證：

經營的效果性和效率性；財務報告的可信性；對法律和規章制度的遵循性。因此，整個集團的共同參與對于項目的成功至關重要。本項目的廣泛性內部控制絕對不是：美國反欺騙性財務報告委員會（薩賓斯法案的要求的長遠益處四個關鍵信息質量的驅動因素是行業領先的公司進行變革的目標，這些因素是遵循薩賓斯法案的結果也是價值的創造提供的數據客觀，形象的表示了公司業績財務報表更改的情況將很少發生業績將更接近原有的預期持續的計劃給管理層和投資者提供了數據用于公司應對商業環境的變化隨著時間的推移，信息將快速的產生需要快速的提供給投資者相關信息簡單化和標準化的信息使得更容易被理解和接受管理層要直接看到推動業務的相關因素及時可預測透明精確Earnings薩賓斯法案的要求的長遠益處四個關鍵信息質量的驅動因素是行業領內部控制和薩賓斯法案內部控制項目培訓-課件一、基本概念闡述二、內控系統整體架構三、內部控制的實施走進內部控制

-主要內容一、基本概念闡述走進內部控制-主要內容一、基本概念闡述一、基本概念闡述經營回報與風險經營回報公司管理層經營回報與風險經營回報公司管理層什么是風險？風險是某一事件或行為對企業經濟利益可能的威脅商業風險和管理風險什么是風險？管理風險管理風險習慣上分為以下五類：財務和經營信息不足政策、計劃、程序、法律和標準貫徹失敗資產流失資源浪費和無效使用不能達到企業的目的和目標管理風險管理風險習慣上分為以下五類：財務和經營信息不足風險的后果？競爭失敗經營中斷法律訴訟商業欺詐無益開支資產損失決策失誤風險的后果？競爭失敗風險如何最小化？

風險最小化加強系統的內部控制對可能的損失投保當可能的風險較大時，尋求較大的回報風險如何最小化？風險最小化加強系統的內部控制對可能的損失投內部控制如何降低風險？

暴露的金額發生的可能性風險的大小內部控制降低內部控制如何降低風險？暴露的金額發生的風險的大成功內部控制的重要性有效的內部控制風險與經營回報的良好平衡成功內部控制的重要性有效的風險與經營回報的良好平衡內部控制的重要性（續）COSO報告《內部控制－整體架構》AICPA《審計準則公告第78》號《會計法》（第四章第27條）財政部《內部會計控制規范》 證監會《證券公司內部控制指引》證監會《商業銀行內部控制指引》征求意見稿…….內部控制的重要性（續）COSO報告《內部控制－整體架構》什么是內部控制？什么是內部控制？內部控制-被定義為一個過程，這個過程受企業的董事會、管理層及其他人員影響。設計這個過程是為達成下列目標提供合理的保證：營運的效果和效率財務報表的可靠性相關法令的遵循內部控制的定義COSO內部控制-內部控制的定義COSO二、內部控制整體架構

二、內部控制整體架構 內控系統的整體架構內控系統的整體架構內控系統五要素架構監督控制活動風險評估控制環境信息與溝通信息與溝通內控系統五要素架構監督控制活動風險評估控制環境信息與溝通信息控制環境是任何企業的核心，是企業的人以及它所處的環境是推動企業的引擎，也是其他要素的基礎控制環境的組成要素：管理哲學和經營風格組織結構董事會及其委員會職能職責分配和授權人事政策控制環境是任何企業的核心，是企業的人以及它所處的環境控制環境控制環境－管理哲學和經營風格審計署對23家企業的調查結果％金額（億元）資產不實10.39%負債不實7.89%利潤不實38.87

其中：虛報94.98%36.92

隱瞞52.89%20.53

潛虧92.77%36.06控制環境－管理哲學和經營風格審計署對23家企業的調查結果％金獨立董事專門委員會設立審計委員會，及委員會成員資格要求審計委員會職責專門委員會與外部中介機構監事會監事會職責監事會與外部中介機構控制環境－董事會及委員會職能獨立董事控制環境－董事會及委員會職能風險評估企業必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和管理相關風險的機制風險評估就是分析和辨識為實現企業目標所可能發生的風險。目標風險控制行為控制活動環境變化后的管理評估和更新風險評估企業必須了解它所面臨的風險，并加以控制。即設立可辨識如何有效地進行風險管理各行業的前10種最主要的風險因素次序銀行/保險業/證券制造業其他1內部控制的質量內部控制的質量內部控制的質量2管理人員的能力管理人員的能力管理人員的能力3管理人員的正直程度管理人員的正直程度管理人員的正直程度4會計系統的近期變動單位的規模會計系統的近期變動5單位的規模經濟環境惡化業務的復雜性6資產的流動性業務的復雜性資產的流動性7重要人員的變動重要人員的變動單位的規模8業務的復雜性會計系統的近期變動經濟環境惡化9快速的增長快速的增長重要人員的變動10政府法規管理人員對完成目標的壓力快速的增長如何有效地進行風險管理各行業的前10種最主要的風險因素次序銀控制活動企業必須基于風險評估的結果訂立控制風險的政策及程序，并予以執行。通常可以按業務分別進行制定。現金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理控制活動企業必須基于風險評估的結果訂立控制風險的政策及程序，控制活動的類型1 預防性控制2 檢查性控制3 糾正性控制4 補償性控制事前 事中 事后控制活動的類型1 預防性控制事前 事中 事后一些重要的內控方法職責分離控制授權批準控制內部報告控制電子信息技術控制……一些重要的內控方法職責分離控制不相容職務相互分離控制－示例工作職責存在的風險同時負責現金的收取和應收賬款的會計記錄可能會通過注銷應收賬款和截留應收賬款等調節賬簿的方法來私自挪用現金同時負責購貨訂單的審批和貨物的收取可能以組織的名義為個人購入貨物，在收取貨物時利用職務之便將貨物占為己有，同時不向會計部門遞交原始憑證或者在原始憑證上反映虛假信息同時負責付款的審批和購貨訂單簽發與審核可能會偽造購貨業務并支付貨款，從而貪污現金不相容職務相互分離控制－示例工作職責存在的風險同時負責現金的授權批準控制在開展任何業務之前都應進行授權授權以后，為了避免濫用權力，還要經常對業務流程進行審查按性質的不同分為綜合授權和特別授權要對授權做好記錄，并提供證明文件避免兩個極端：“層層審批”和“一支筆”授權批準控制在開展任何業務之前都應進行授權內部報告控制完善內部管理報告系統內部報告上報時間及報告路線內部報告的分發控制內部報告的分析和跟進內部報告控制完善內部管理報告系統信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完整維護資產安全信息系統控制目標符合相關的法律、法規和政策信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完一般信息系統控制

信息系統的組織和管理信息系統操作外包廠商管理數據安全危機處理與業務持續計劃應用系統安裝與維護數據庫安裝與支持網絡支持系統軟件支持硬件支持提高企業信息系統的整體可信賴程度的控制一般信息系統控制 信息系統的組織和管理應用系統安裝與維護提高信息與溝通貫穿在風險評估和控制活動過程中這些系統使企業內的人員能取得他們在執行、管理和控制企業營運時必須的資訊，并交換這些資訊信息系統：內部、外部溝通：使員工知悉其在業務經營、財務報告及法律遵循方面的責任信息與溝通貫穿在風險評估和控制活動過程中監督整個內部控制的執行過程必須被監督確保內部控制制度隨情況的改變而作出動態的反應應建立檢查和報告體制監督是誰的職責?管理層應對內控執行情況進行持續監督內部審計部門應進行定期、不定期的個別評估監督整個內部控制的執行過程必須被監督監督是誰的職責?內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的活動，即對組織的內部控制負責）內部審計對管理層組織的內部控制進行監督，以協助管理層有效地履行他們的職責。管理層在內部控制中的地位和作用內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的三、內部控制的實施三、內部控制的實施實施內部控制制度逐項復核內控是否存在于現有流程中，是否有效必要時進一步制定具體政策和管理報告考慮成本效益原則強化對內控的監督與評估

最有效的辦法業績考核實施內部控制制度逐項復核內控是否存在于現有流程中，是否有效最實施控制時的成本效益原則實施控制時的成本效益原則實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 調查結果－總會計師職責分布

中國：80％－組織日常財務工作70％－審核財務報表及管理報表60％－制定投融資決策55％－制定內控30％－制定公司長遠規劃

美國：財務管理及內部控制收購與兼并制定公司長遠規劃信息技術規劃與各經營部門協調

調查結果－總會計師職責分布 中國： 美國：實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 包治百病？－內控的固有局限性

人為因素使內控失效對控制責任的誤解執行時的大意疲勞舞弊時間推移使控制措施逐漸失效

包治百病？－內控的固有局限性 其它影響內控實施效果的因素

管理層違規形式主義利益的沖突法律法規的意外變化競爭對手的行動經濟環境變化等

其它影響內控實施效果的因素 薩班斯－奧克斯利法案介紹PresentationName(View/HeaderandFooter)薩班斯－奧克斯利法案介紹PresentationName52目錄薩班斯－奧克斯利法案概述-法案之背景與目的

-法案之主要內容

-法案對于在美國上市公司的規定與影響目錄法案產生之背景 安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。 會計系統的漏洞、管理層的失職、內部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。 重建公司信用，規范高級管理層與注冊會計師關系和職業道德的要求刻不容緩。 2002年6月，布什總統簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會計職業監管、公司治理、證券市場監管等方面作出了許多新的規定。法案出臺之目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強公司監管，規范業務運作。

-增加財務報告與信息披露的透明度。

-確保公司管理層可以從有效監控的系統中獲取重要信息。

-公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。薩班斯－奧克斯利法案概述

法案產生之背景薩班斯－奧克斯利法案概述法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執行上市公司審計職業 -要求加強注冊會計師的獨立性

-要求加大公司的財務報告責任

-要求強化財務披露義務

-加重了違法行為的處罰措施

-增加經費撥款，強化美國證券管理委員會的監管職能

-要求美國審計總署加強調查研究其中與上市公司管理層直接相關的是：第302節公司對財務報告的責任第404節管理層對內部控制的評價薩班斯－奧克斯利法案概述(續)法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執法案之主要內容第302節公司對財務報告的責任

-要求公司首要官員及首要財務官在季度/年度報告中保證

-對信息披露的控制和程序負責（含刑事責任）

-設計必要的內部控制手段并確保其執行可使高層及時獲得重要信息

-對披露控制的有效性進行評估，評估結果需存檔

-不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為

-存檔描述內部控制的重大變化

-介紹信息披露的控制和程序 -強調財務人員的正直和財務報告系統控制的完整性

-需披露的非財務信息包括：重要合同的簽署，戰略合作關系的解除以及法律訴訟 -美國證券管理委員會要求 -擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)法案之主要內容薩班斯－奧克斯利法案概述(續)薩班斯－奧克斯利法案概述(續)法案之主要內容第404節管理層對內部控制的評價

-要求公司管理層在年度報告中：

-描述他們在建立和維護一個針對財務報告職能行之有效的內部控制程序中的責任

-對財務報告系統內部控制有效性以一個公認架構進行評估（例如COSO內控架構）

-同時要求外部審計人員： -對管理層評估結果進行簽證 -美國證券管理委員會要求 -擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)法案之主要內容在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有關規定。即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現有的內控系統已經符合法案的規定。根據法案的規定，獨立審計人員還需另外證明客戶公司的內部控制系統是有效的。美國國會清楚地規定，公司對其財務報告和信息披露的公允性、充分性和正確性負有責任。法案規定獨立審計人員的主要職責為：證明管理層對公司財務報告系統的內部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執行和監控內部控制程序（但是可以聘請獨立審計人員以外的咨詢人員協助就緒及評估工作）。獨立審計人員則可以在一個限定的范圍內對公司已有的內部控制程序提出優化建議和協助。法案對上市公司的規定和影響主要體現在公司治理、管理層責任方面的規定。法案對于在美國上市公司的規定與影響在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有董事會成員的責任風險管理和控制職業操守和公司守法透明度和信息披露法案對于在美國上市公司的規定與影響

公司治理董事會成員的責任職業操守和公司守法法案對于在美國上市公司的規董事會成員和審計委員會有進行自我評估和接受后續教育的責任紐約證券交易所和納斯達克證券交易所的規定公司治理的要求公司內控的失敗提高了董事會接受相關培訓，改進內控程序的重要性法案要求公司對員工的職業道德作出書面規定要求審計委員會建立內部舉報激勵機制職業操守和公司守法董事會成員的責任董事會成員和審計委員會有進行自我評估和接受后續教育的責任美國證券管理委員會公布了以下新的規定管理層信息與分析非通用會計準則下的財務處理資產負債表表外事項美國證券管理委員會建議成立信息披露委員會透明度和信息披露美國證券管理委員會公布了以下新的規定透明度和信息披露公司財務報告系統內部控制報告書的規定必須陳述下列情況以評估公司內部控制程序：管理層承認對公司內部控制有效性負有責任公司必須使用適當的控制標準（例如COSO)來評估內部控制的有效性公司必須提供充分的證據來支持其評估結果公司必須書面記錄與提交其對內部控制有效性的評估結論需要提供下列證據和文件來支持評估結論：

評估需包括分支機構和業務單元的認定重要內部控制的認定重要內部控制程序的設計控制實施的有效性內控之重大失敗和/或重大缺陷的認定評估結果管理層責任——評估財務報告系統內部控制的有效性公司財務報告系統內部控制報告書的規定管理層責任——評估財務報在判定控制的重要性時必須考慮下列因素：控制失敗將導致財務報告失真的可能性用其他控制手段達到相同控制目的的程度重要的控制包括:會計系統初始化、帳務處理、重要帳戶余額記錄、交易類別和披露方面的控制反舞弊控制跨部門的共同控制，缺少它，其他重要控制程序不能獨立發生作用同時使用才能達到一定控制目標的重要控制程序對重大的非常規和非系統的交易監控的程序對期末財務報告步驟實施監控的程序管理層責任——評估財務報告系統內部控制的有效性在判定控制的重要性時必須考慮下列因素：管理層責任——評估財務測試內部控制實施效果的方法：內部審計人員對內部控制有效性進行測試在管理層的領導下由其他人對內部控制的有效性進行測試使用外部服務機構的評估自我評估步驟測試需考慮的因素測試手段不能僅限于問詢的方式需測試的控制程序和測試的時間可能會受到公司風險評估和監控步驟的影響所有重要的分支機構和重要的控制程序都要進行評估公司不可以使用獨立審計人員對內部控制程序的測試結果來支持其作出的內部控制程序有效的結論管理層責任——評估財務報告系統內部控制的有效性測試內部控制實施效果的方法：管理層責任——評估財務報告系統內文檔記錄的重要性文檔記錄可以為控制程序的確定和控制的監管提供證據內部控制設計若缺乏文檔記錄將可能導致內部控制的重大失效或重大缺陷缺乏足夠的證據來支持公司的評估結果會在外部簽證報告中列為質量的重大缺陷，并簽發反對意見報告管理層聲明完成評估后，公司必須向它的審計師提供一份關于內部控制有效性的書面聲明管理層聲明必須作為一個獨立的報告包括在管理當局說明書中(*)對于拒絕出具書面的管理層聲明的公司，外部審計人員必須拒絕對其內部控制系統發表意見*公司CEO和CFO對該聲明書全權負責，并對不實的聲明承擔刑事責任管理層責任——評估財務報告系統內部控制的有效性文檔記錄的重要性*公司CEO和CFO對該聲明書全權負責，薩賓斯內控項目培訓2004年12月－工作成果PresentationName(View/HeaderandFooter)薩賓斯內控項目培訓2004年12月－工作成果Presenta66項目進度表（初步計劃）關鍵流程和子流程（財務報表相關內控流程）訪談提綱、時間表、記錄、資料清單流程文字描述（穿行測試）流程圖確認流程文字描述和流程圖控制矩陣內部控制和流程差異性分析內控設計差異分析報告（問題，建議，改進方案）符合性測試計劃符合性測試工作底稿內控實施差異分析報告（問題，建議，改進方案）本階段項目主要成果項目進度表（初步計劃）本階段項目主要成果薩賓斯內控項目培訓2004年12月－配合支持PresentationName(View/HeaderandFooter)薩賓斯內控項目培訓2004年12月－配合支持Presenta68培訓內容訪談配合測試配合培訓內容訪談配合培訓內容訪談配合培訓內容培訓內容訪談配合個人形式訪談步驟與技巧訪談準備進入訪談訪談記錄信息校驗后續跟進團隊形式訪談步驟與技巧培訓內容訪談配合1 訪談準備明確訪談目的制定訪談大綱進行資料準備安排訪談計劃了解訪談目的；確定需要準備哪些信息；按流程而不是部門決定訪談參與者；制定計劃及估計所需資源;公司的戰略、愿景和使命；公司的組織架構和部門崗位職責；訪談相關的運營流程；了解訪談的范圍、深度和時間；根據所需了解信息，準備訪談概要以及相關例子；排定訪談時間；根據來訪者的需求調整訪談計劃；進入訪談。1 訪談準備明確訪談目的制定訪談大綱進行資料準備安排訪談計劃2 進入訪談小貼示：努力營造與他人分享信息的環境及心理氛圍環境因素：安靜區域個人可以放松的區域考慮潛在干擾因素心理因素：音調友好；顯示出對他們的興趣表達明確坦誠放松直接到達主題2 進入訪談小貼示：努力營造與他人分享信息的環境及心理氛圍環2 進入訪談－流程介紹小貼示：來訪者對內部流程參與的程度沒有你深入，所以要假設他們對流程了解不多。

自上而下逐層分步2 進入訪談－流程介紹小貼示：來訪者對內部流程參與的程度沒有2 進入訪談－流程介紹開始點控制點終結點流程活動控制方法相關人員產生憑證自上而下逐層分步2 進入訪談－流程介紹自上而下逐層分步2 進入訪談－回答采訪聽懂問題，明確來訪者提出問題的目的，以及所希望了解的內容；直接切入主題，消除可能產生歧義之處，在回答前深入思考；列舉輔助案例，以便進一步解釋說明。2 進入訪談－回答采訪聽懂問題，明確來訪者提出問題的目的，以2 進入訪談－訪談收尾

在大多數訪談中，您能闡述所需信息的時間是很有限的；結束面談時，若有任何疑問，可以向來訪者補充；向來訪者表達誠意，如果之后有補充，或者項目組有其他問題，會積極配合。2 進入訪談－訪談收尾

在大多數訪談中，您能闡述所需信息的時3 信息校驗安排其它相關人士（包括流程上游或下游的員工）進行交叉檢查；與來訪者一起審核數據。3 信息校驗安排其它相關人士（包括流程上游或下游的員工）進行4 后續跟進跟進訪談還未解決的問題；提供訪談中所需資料；留下聯系號碼。4 后續跟進跟進訪談還未解決的問題；培訓內容訪談配合個人形式訪談步驟與技巧團隊形式訪談步驟與技巧定義與使用場合步驟訪談準備進入訪談培訓內容個人形式訪談步驟與技巧1 定義與使用場合定義參與7-10個擁有某些共同特征的人進行團隊訪談，就某些焦點問題進行深入討論。小貼示：集體訪談需要明確的焦點及進行團隊訪談必備的技巧。使用場合深入了解參與者對程序、產品及機遇等的理解、感受及思維方式。如果適當提出焦點問題，集體訪談將是有用的工具。1 定義與使用場合定義2 步驟1.了解訪談目標2.確定參與者3.邀請參與者4.制定訪談計劃5.生成訪談大綱6.參與團隊7.分析及解釋具體流程8.撰寫訪談紀要9.跟進準備實施分析報告跟進2 步驟準備實施分析報告跟進3 訪談準備確定面談目標確定需要準備哪些信息辨別信息訪談者決定訪談參與者制定計劃及估計所需資源確定訪談提綱3 訪談準備確定面談目標4 進入訪談確保不會偏離主題。注意時間，確保團隊完成任務。每個參與者都應參與—沒有人主導，沒有人被排除在外。仔細聆聽討論。尊重及使用不同的角度及觀點。4 進入訪談培訓內容測試配合培訓內容目錄流程測試目的流程測試步驟目錄定義流程測試是內部控制的重要組成部分。實施測試的主要目的——測試運營環境與流程描述是否相符。定義測試步驟明確測試目的進行資料準備審核測試樣本測試步驟明確測試目的測試步驟-具體要求明確測試目的測試資料審核進行資料準備了解流程測試目的；確定需要準備哪些資料；按流程而不是部門進行資料分類；根據項目小組所選樣本，提供相關憑證和文件；審核測試樣本與流程描述是否相符；回答項目小組所提出的問題測試步驟-具體要求明確測試目的測試資料審核進行資料準備審核測MemberofDeloitteToucheTohmatsu德勤華永會計師事務所有限公司北京分所Memberof德勤華永會計師事務所有限公司北京分所內部控制項目培訓.2005年1月PresentationName(View/HeaderandFooter)內部控制項目培訓.PresentationName(Vi91培訓內容部分一：項目總體情況介紹內部控制和薩賓斯法案介紹部分二：內控手冊編寫與工作配合手冊模板介紹第一、二階段項目工作計劃培訓內容部分一：項目情況介紹內部控制項目培訓-課件本項目的目標期望通過本項目建立一套能實現以下目標的內部控制系統：滿足美國薩賓斯法案（Sarbanes-OxleyAct)對內部控制要求；作為統一公司的制度和流程的基礎；及開始建立與現代企業制度相適應的公司治理結構和控制環境。本項目的目標期望通過本項目建立一套能實現以下目標的內部控制美國的薩賓斯法案（Sarbanes-OxleyAct)所有在美國上市的公司均需遵行強調外部會計師的獨立性關注公司內部治理及對外信息透明、完整與正確性以強化內部控制為核心的要求項目的外部壓力－法案的強制性美國的薩賓斯法案（Sarbanes-OxleyAct)項美國的薩賓斯法案（Sarbanes-OxleyAct)需符合規定的時間：

提交截止2005年底的經審計師鑒證的內部控制報告根據我們的經驗，美國類似規模的上市公司需要一年以上的時間進行準備。項目的緊迫性美國的薩賓斯法案（Sarbanes-OxleyAct)項只針對薩賓斯法案的要求和財務報告有關的部分覆蓋的業務主體本項目的專注點只針對薩賓斯法案的要求本項目的專注點本項目的廣泛性內部控制絕對不是：靜態的結構；某一層次人員的任務（例如：高級管理層）；某一部門的任務（例如：財務、內部審計）；某一實體的任務（例如：總部、省級公司）。內部控制是：美國反欺騙性財務報告委員會（COSO）的定義：內部控制是一個靠組織的董事會、管理層和其他員工去實現的過程，實現這一過程是為了合理的保證：

經營的效果性和效率性；財務報告的可信性；對法律和規章制度的遵循性。因此，整個集團的共同參與對于項目的成功至關重要。本項目的廣泛性內部控制絕對不是：美國反欺騙性財務報告委員會（薩賓斯法案的要求的長遠益處四個關鍵信息質量的驅動因素是行業領先的公司進行變革的目標，這些因素是遵循薩賓斯法案的結果也是價值的創造提供的數據客觀，形象的表示了公司業績財務報表更改的情況將很少發生業績將更接近原有的預期持續的計劃給管理層和投資者提供了數據用于公司應對商業環境的變化隨著時間的推移，信息將快速的產生需要快速的提供給投資者相關信息簡單化和標準化的信息使得更容易被理解和接受管理層要直接看到推動業務的相關因素及時可預測透明精確Earnings薩賓斯法案的要求的長遠益處四個關鍵信息質量的驅動因素是行業領內部控制和薩賓斯法案內部控制項目培訓-課件一、基本概念闡述二、內控系統整體架構三、內部控制的實施走進內部控制

-主要內容一、基本概念闡述走進內部控制-主要內容一、基本概念闡述一、基本概念闡述經營回報與風險經營回報公司管理層經營回報與風險經營回報公司管理層什么是風險？風險是某一事件或行為對企業經濟利益可能的威脅商業風險和管理風險什么是風險？管理風險管理風險習慣上分為以下五類：財務和經營信息不足政策、計劃、程序、法律和標準貫徹失敗資產流失資源浪費和無效使用不能達到企業的目的和目標管理風險管理風險習慣上分為以下五類：財務和經營信息不足風險的后果？競爭失敗經營中斷法律訴訟商業欺詐無益開支資產損失決策失誤風險的后果？競爭失敗風險如何最小化？

風險最小化加強系統的內部控制對可能的損失投保當可能的風險較大時，尋求較大的回報風險如何最小化？風險最小化加強系統的內部控制對可能的損失投內部控制如何降低風險？

暴露的金額發生的可能性風險的大小內部控制降低內部控制如何降低風險？暴露的金額發生的風險的大成功內部控制的重要性有效的內部控制風險與經營回報的良好平衡成功內部控制的重要性有效的風險與經營回報的良好平衡內部控制的重要性（續）COSO報告《內部控制－整體架構》AICPA《審計準則公告第78》號《會計法》（第四章第27條）財政部《內部會計控制規范》 證監會《證券公司內部控制指引》證監會《商業銀行內部控制指引》征求意見稿…….內部控制的重要性（續）COSO報告《內部控制－整體架構》什么是內部控制？什么是內部控制？內部控制-被定義為一個過程，這個過程受企業的董事會、管理層及其他人員影響。設計這個過程是為達成下列目標提供合理的保證：營運的效果和效率財務報表的可靠性相關法令的遵循內部控制的定義COSO內部控制-內部控制的定義COSO二、內部控制整體架構

二、內部控制整體架構 內控系統的整體架構內控系統的整體架構內控系統五要素架構監督控制活動風險評估控制環境信息與溝通信息與溝通內控系統五要素架構監督控制活動風險評估控制環境信息與溝通信息控制環境是任何企業的核心，是企業的人以及它所處的環境是推動企業的引擎，也是其他要素的基礎控制環境的組成要素：管理哲學和經營風格組織結構董事會及其委員會職能職責分配和授權人事政策控制環境是任何企業的核心，是企業的人以及它所處的環境控制環境控制環境－管理哲學和經營風格審計署對23家企業的調查結果％金額（億元）資產不實10.39%負債不實7.89%利潤不實38.87

其中：虛報94.98%36.92

隱瞞52.89%20.53

潛虧92.77%36.06控制環境－管理哲學和經營風格審計署對23家企業的調查結果％金獨立董事專門委員會設立審計委員會，及委員會成員資格要求審計委員會職責專門委員會與外部中介機構監事會監事會職責監事會與外部中介機構控制環境－董事會及委員會職能獨立董事控制環境－董事會及委員會職能風險評估企業必須了解它所面臨的風險，并加以控制。即設立可辨識、分析和管理相關風險的機制風險評估就是分析和辨識為實現企業目標所可能發生的風險。目標風險控制行為控制活動環境變化后的管理評估和更新風險評估企業必須了解它所面臨的風險，并加以控制。即設立可辨識如何有效地進行風險管理各行業的前10種最主要的風險因素次序銀行/保險業/證券制造業其他1內部控制的質量內部控制的質量內部控制的質量2管理人員的能力管理人員的能力管理人員的能力3管理人員的正直程度管理人員的正直程度管理人員的正直程度4會計系統的近期變動單位的規模會計系統的近期變動5單位的規模經濟環境惡化業務的復雜性6資產的流動性業務的復雜性資產的流動性7重要人員的變動重要人員的變動單位的規模8業務的復雜性會計系統的近期變動經濟環境惡化9快速的增長快速的增長重要人員的變動10政府法規管理人員對完成目標的壓力快速的增長如何有效地進行風險管理各行業的前10種最主要的風險因素次序銀控制活動企業必須基于風險評估的結果訂立控制風險的政策及程序，并予以執行。通常可以按業務分別進行制定。現金管理資本性采購采購和付款人事和薪金營銷和銷售存貨管理控制活動企業必須基于風險評估的結果訂立控制風險的政策及程序，控制活動的類型1 預防性控制2 檢查性控制3 糾正性控制4 補償性控制事前 事中 事后控制活動的類型1 預防性控制事前 事中 事后一些重要的內控方法職責分離控制授權批準控制內部報告控制電子信息技術控制……一些重要的內控方法職責分離控制不相容職務相互分離控制－示例工作職責存在的風險同時負責現金的收取和應收賬款的會計記錄可能會通過注銷應收賬款和截留應收賬款等調節賬簿的方法來私自挪用現金同時負責購貨訂單的審批和貨物的收取可能以組織的名義為個人購入貨物，在收取貨物時利用職務之便將貨物占為己有，同時不向會計部門遞交原始憑證或者在原始憑證上反映虛假信息同時負責付款的審批和購貨訂單簽發與審核可能會偽造購貨業務并支付貨款，從而貪污現金不相容職務相互分離控制－示例工作職責存在的風險同時負責現金的授權批準控制在開展任何業務之前都應進行授權授權以后，為了避免濫用權力，還要經常對業務流程進行審查按性質的不同分為綜合授權和特別授權要對授權做好記錄，并提供證明文件避免兩個極端：“層層審批”和“一支筆”授權批準控制在開展任何業務之前都應進行授權內部報告控制完善內部管理報告系統內部報告上報時間及報告路線內部報告的分發控制內部報告的分析和跟進內部報告控制完善內部管理報告系統信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完整維護資產安全信息系統控制目標符合相關的法律、法規和政策信息系統控制－目標提高資源使用效率有效達到企業目標保持數據完一般信息系統控制

信息系統的組織和管理信息系統操作外包廠商管理數據安全危機處理與業務持續計劃應用系統安裝與維護數據庫安裝與支持網絡支持系統軟件支持硬件支持提高企業信息系統的整體可信賴程度的控制一般信息系統控制 信息系統的組織和管理應用系統安裝與維護提高信息與溝通貫穿在風險評估和控制活動過程中這些系統使企業內的人員能取得他們在執行、管理和控制企業營運時必須的資訊，并交換這些資訊信息系統：內部、外部溝通：使員工知悉其在業務經營、財務報告及法律遵循方面的責任信息與溝通貫穿在風險評估和控制活動過程中監督整個內部控制的執行過程必須被監督確保內部控制制度隨情況的改變而作出動態的反應應建立檢查和報告體制監督是誰的職責?管理層應對內控執行情況進行持續監督內部審計部門應進行定期、不定期的個別評估監督整個內部控制的執行過程必須被監督監督是誰的職責?內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的活動，即對組織的內部控制負責）內部審計對管理層組織的內部控制進行監督，以協助管理層有效地履行他們的職責。管理層在內部控制中的地位和作用內部控制的主體:管理層（承擔的職責是計劃、組織、領導其組織的三、內部控制的實施三、內部控制的實施實施內部控制制度逐項復核內控是否存在于現有流程中，是否有效必要時進一步制定具體政策和管理報告考慮成本效益原則強化對內控的監督與評估

最有效的辦法業績考核實施內部控制制度逐項復核內控是否存在于現有流程中，是否有效最實施控制時的成本效益原則實施控制時的成本效益原則實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 調查結果－總會計師職責分布

中國：80％－組織日常財務工作70％－審核財務報表及管理報表60％－制定投融資決策55％－制定內控30％－制定公司長遠規劃

美國：財務管理及內部控制收購與兼并制定公司長遠規劃信息技術規劃與各經營部門協調

調查結果－總會計師職責分布 中國： 美國：實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 實施內控時常出現的誤區

管理層在實施內控中未承擔應有職責過分強調控制成本片面強調人員素質認為內控包治百病

實施內控時常出現的誤區 包治百病？－內控的固有局限性

人為因素使內控失效對控制責任的誤解執行時的大意疲勞舞弊時間推移使控制措施逐漸失效

包治百病？－內控的固有局限性 其它影響內控實施效果的因素

管理層違規形式主義利益的沖突法律法規的意外變化競爭對手的行動經濟環境變化等

其它影響內控實施效果的因素 薩班斯－奧克斯利法案介紹PresentationName(View/HeaderandFooter)薩班斯－奧克斯利法案介紹PresentationName142目錄薩班斯－奧克斯利法案概述-法案之背景與目的

-法案之主要內容

-法案對于在美國上市公司的規定與影響目錄法案產生之背景 安然，世通等知名公司相繼暴露出嚴重的管理層欺詐丑聞，使美國上市公司深陷信用危機。 會計系統的漏洞、管理層的失職、內部控制的缺乏以及外部審計人員的道德風險是導致管理層欺詐丑聞的根本原因。 重建公司信用，規范高級管理層與注冊會計師關系和職業道德的要求刻不容緩。 2002年6月，布什總統簽署的薩班斯－奧克斯利法案正式生效，該法案由美國眾議院金融服務委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯合提出，故簡稱《薩班斯－奧克斯利法案》。該法案對美國《1933年證券法》、《1934年證券交易法》作了不少修訂，在會計職業監管、公司治理、證券市場監管等方面作出了許多新的規定。法案出臺之目的

-重建公司信用，培育公眾信心，振興證券市場。

-加強公司監管，規范業務運作。

-增加財務報告與信息披露的透明度。

-確保公司管理層可以從有效監控的系統中獲取重要信息。

-公司管理層必須對美國證券管理委員會要求存檔的材料和向投資者公布的信息承擔責任。薩班斯－奧克斯利法案概述

法案產生之背景薩班斯－奧克斯利法案概述法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執行上市公司審計職業 -要求加強注冊會計師的獨立性

-要求加大公司的財務報告責任

-要求強化財務披露義務

-加重了違法行為的處罰措施

-增加經費撥款，強化美國證券管理委員會的監管職能

-要求美國審計總署加強調查研究其中與上市公司管理層直接相關的是：第302節公司對財務報告的責任第404節管理層對內部控制的評價薩班斯－奧克斯利法案概述(續)法案之主要內容

-成立獨立的公眾公司會計監察委員會，監管執法案之主要內容第302節公司對財務報告的責任

-要求公司首要官員及首要財務官在季度/年度報告中保證

-對信息披露的控制和程序負責（含刑事責任）

-設計必要的內部控制手段并確保其執行可使高層及時獲得重要信息

-對披露控制的有效性進行評估，評估結果需存檔

-不可向審計委員會和外部審計人員隱瞞公司重大的內控失敗和人員舞弊行為

-存檔描述內部控制的重大變化

-介紹信息披露的控制和程序 -強調財務人員的正直和財務報告系統控制的完整性

-需披露的非財務信息包括：重要合同的簽署，戰略合作關系的解除以及法律訴訟 -美國證券管理委員會要求 -擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)法案之主要內容薩班斯－奧克斯利法案概述(續)薩班斯－奧克斯利法案概述(續)法案之主要內容第404節管理層對內部控制的評價

-要求公司管理層在年度報告中：

-描述他們在建立和維護一個針對財務報告職能行之有效的內部控制程序中的責任

-對財務報告系統內部控制有效性以一個公認架構進行評估（例如COSO內控架構）

-同時要求外部審計人員： -對管理層評估結果進行簽證 -美國證券管理委員會要求 -擴大信息披露的控制和財務報告系統內部控制程序的認證

-將內控評估日改為財務報告截止日薩班斯－奧克斯利法案概述(續)法案之主要內容在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有關規定。即使上一年注冊會計師出具的是無保留意見的審計報告，也不表示公司現有的內控系統已經符合法案的規定。根據法案的規定，獨立審計人員還需另外證明客戶公司的內部控制系統是有效的。美國國會清楚地規定，公司對其財務報告和信息披露的公允性、充分性和正確性負有責任。法案規定獨立審計人員的主要職責為：證明管理層對公司財務報告系統的內部控制程序是否有效的評估是合理的。換句話說，管理層必須獨立地評估，執行和監控內部控制程序（但是可以聘請獨立審計人員以外的咨詢人員協助就緒及評估工作）。獨立審計人員則可以在一個限定的范圍內對公司已有的內部控制程序提出優化建議和協助。法案對上市公司的規定和影響主要體現在公司治理、管理層責任方面的規定。法案對于在美國上市公司的規定與影響在美國上市的公司，不論規模，均需遵守薩班斯－奧克斯利法案的有董事會成員的責任風險管理和控制職業操守和公司守法透明度和信息披露法案對于在美國上市公司的規定與影響

公司治理董事會成員的責任職業操守和公司守法法案對于在美國上市公司的規董事會成員和審計委員會有進行自我評估和接受后續教育的責任紐約證券交易所和納斯達克證券交易所的規定公司治理的要求公司內控的失敗提高了董事會接受相關培訓，改進內控程序的重要性法案要求公司對員工的職業道德作出書面規定要求審計委員會建立內部舉報激勵機制職業操守和公司守法董事會成員的責任董事會成員和審計委員會有進行自我評估和接受后續教育的責任美國證券管理委員會公布了以下新的規定管理層信息與分析非通用會計準則下的財務處理資產負債表表外事項美國證券管理委員會建議成立信息披露委員會透明度和信息披露美國證券管理委員會公布了以下新的規定透明度和信息披露公司財務報告系統內部控制報告書的規定必須陳述下列情況以評估公司內部控制程序：管理層承認對公司內部控制有效性負有責任公司必須使用適當的控制標準（例如COSO)來評估內部控制的有效性公司必須提供充分的證據來支持其評估結果公司必須書面記錄與提交其對內部控制有效性的評估結論需要提供下列證據和文件來支持評估結論：

評估需包括分支機構和業務單元的認定重要內部控制的認定重要內部控制程序的設計控制實施的有效性內控之重大失敗和/或重大缺陷的認定評估結果管理層責任——評估財務報告系統內部控制的有效性公司財務報告系統內部控制報告書的規定管理層責任——評估財務報在判定控制的重要性時必須考慮下列因素：控制失敗將導致財務報告失真的可能性用其他控制手段達到相同控制目的的程度重要的控制包括:會計系統初始化、帳務處理、重要帳戶余額記錄、交易類別和披露方面的控制反舞弊控制跨部門的共同控制，缺少它，其他重要控制程序不能獨立發生作用同時使用才能達到一定控制目標的重要控制程序對重大的非常規和非系統的交易監控的程序對期末財務報告步驟實施監控的程序管理層責任——評估財務報告系統內部控制的有效性在判定控制的重要性時必須考慮下列因素：管理層責任——評估財務測試內部控制實施效果的方法：內部審計人員對內部控制有效性進行測試在管理層的領導下由其他人對內部控制的有效性進行測試使用外部服務機構的評估自我評估步驟測試需考慮的因素測試手段不能僅限于問詢的方式需測試的控制程序和測試的時間可能會受到公司風險評估和監控步驟的影響所有重要的分支機構和重要的控制程序都要進行評估公司不可以使用獨立審計人員對內部控制程序的測試結果來支持其作出的內部控制程序有效的結論管理層責任——評估財務報告系統內部控制的有效性測試內部控制實施效果的方法：管理層責任——評估財務報告系統內文檔記錄的重要性文檔記錄可以為控制程序的確定和控制的監管提供證據內部控制設計若缺乏文檔記錄將可能導致內部控制的重大失效或重大缺陷缺乏足夠的證據來支持公司的評估結果會在外部簽證報告中列為質量的重大缺陷，并簽發反對意見報告管理層聲明完成評估后，公司必須向它的審計師提供一份關于內部控制有效性的書面聲明管理層聲明必須作為一個獨立的報告包括在管理當局說明書中(*)對于拒絕出具書面的管理層聲明的公司，外部審計人員必須拒絕對其內部控制系統發表意見*公司CEO和CFO對該聲明書全權負責，并對不實的聲明承擔刑事責任管理層責任——評估財務報告系統內部控制的有效性文檔記錄的重要性*公司CEO和CFO對該聲明書全權負責，薩賓斯內控項目培訓2004年12月－工作成果PresentationName(View/HeaderandFooter)薩賓斯內控項目培訓2004年12月－工作成果Presen