【正文】 詳細業(yè)務流程 評估新項目投資的建議 采辦訂單管理 供應商資料庫的管理 應付款程序管理 92 If the guideline control is not applicable, then please state a reason. 0500100015002023Q1 Q2 Q3 Q493 識別“什么會出錯？”和相關的控制 ? 在每一個重要地點和業(yè)務部門，對影響每個重要科目的關鍵業(yè)務流程確定 “什么會出錯？” ? 就可能發(fā)生的差錯找出相對應的控制 ? 為確保控制的相關性和設計的有效，考慮可能發(fā)生的錯誤 ? 加強識別與財務報表相關的重要風險的能力 ? 將花費在較次要流程上的時間減到最少 94 二級流程 控制目標 財務報表認定 財務報表風險 應有控制手段 評估新項目投資的建議 保證資本投資的合理授權和審批符合集團的政策規(guī)定 價值和 計量 資本投資沒有得到正確的評估以及 IRR 出現(xiàn)負值從而導致公司的損失 具備標準的政策指標和價值模型來評估資本投資 存在和發(fā)生 出于舞弊和虛報的目的提出未經授權的投資建議 投資建議必須經過相關負責人的復合和審批 … … … 95 實質性控制 補救措施 描述 控制策劃人 控制頻率 相關政策規(guī)定 控制設計的有效性 應當對實質性控制提供盡可能詳盡的細節(jié)描述，以便具備相應知識水平的人員能夠正確合理的予以執(zhí)行。 有關評價的內部控制包括： SOA 404 要求 (續(xù) ) 66 如何建立內控以滿足索克斯法的要求 67 評估階段 : 管理層出具 內部控制 報告 制定程序，確立項目小組，項目進度 時間進度： 方法 ? COSO 中對內部控制的定義是一個很好的開端。內審通過系統(tǒng)的方法，評價和改進企業(yè)的風險管理、控制和治理流程的效益，幫助企業(yè)實現(xiàn)其目標。 2. 在出售投資權益予 該 馬來西亞公司時 ， 并未充分考慮對方的信譽和償付能力 ， 亦未有利用買賣協(xié)議為可能出現(xiàn)的違約事件提供保障 。 案例 七 ：投資非核心性業(yè)務 14 ? 某國有控股在香港上市的公司 (簡稱 “ 國企 C”) 沒有遵守上市規(guī)則的要求 ， 在沒有得到股東批準的情況下 ， 向一位董事的關聯(lián)公司提供港幣 用證擔保 ， 該貸款和信用證擔保的總額占上市公司資本金的30% ? 款項貸出后 ， 該關聯(lián)公司一直不予還款 ， 而國企 C為該關聯(lián)公司所提供的銀行信用擔保當中的港幣 9,500萬元已被有關銀行提出追討 案例八： 某香港上市公司 15 調查發(fā)現(xiàn)： ? 國企 C的公司治理結構不規(guī)范 ， 出現(xiàn)一小撮人獨攬大權 ? 國企 C并沒有建立合規(guī)方面的風險管理機制 ? 國企 C的財務報告系統(tǒng)既沒有為上述關聯(lián)交易作出適當?shù)呐?， 亦沒有為拖欠的貸款提取壞賬準備 16 教訓與啟示 ? 常言： 「智者從別人失敗經驗中吸取教訓， 聰明者從自己失敗經驗中吸取教訓， 愚者則永不懂從經驗中學習。 盡管準則中沒有明確說明，但是通常認為，財政年度中已發(fā)現(xiàn)并已糾正的“重大缺陷”不影響管理當局在財政年度末作出有關財務報表的內部控制有效的評價。 審計師對管理層聲明的審驗 項目計劃 準備資料并評估控制 測試并監(jiān)督控制 報告 理解內部控制的概念 組織項目小組進行評估 評估公司層面的控制 理解并分別評估程序、交易及應用層面的風險 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 建立符合 404法案要求的內控框架 68 COSO內控框架 ? Committee of Sponsoring Organisation of The Treadway Commission (COSO)為內控開發(fā)了一個全面的框架 ? 這個內控框架是唯一被美國證監(jiān)會確認為完整、全面和不偏依的內控框架 ? 構建內部控制須分兩個層 面 ： ? 公司層面 ? 流程、交易及資訊科技應用層 面 COSO 內控框架 內控環(huán)境 風險評估 控制活動 信息和溝通 監(jiān)控 業(yè)務部門 業(yè)務功能 整體 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 69 組織項目小組進行評估 ? 高層參與 ? 各業(yè)務部門之參與 ? 財務、內審、計算機管理部門之參與 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 70 方面 需考慮的因素 ? 高管層的誠信、道德和行為 ? 控制意識和經營風格 ? 勝任能力和承擔 ? 董事會或審計委員會的監(jiān)管 ? 組織結構、權限和責任 ? 人力資源政策和程序 ? 風險評估流程 ? 對重要事件的預測、識別和反應機制 ? 識別會計準則差異、業(yè)務操作和內部控制變化的程序 ? 提供完整的業(yè)績報告 ? 與業(yè)務策略相聯(lián)系 ? 持續(xù)開發(fā)、測試和監(jiān)控計算機系統(tǒng)和程序 ? 計算機業(yè)務持續(xù)性系統(tǒng)和應急計劃 ? 便于職員履行職責而建立的溝通渠道 ? 有必要的政策和程序 ? 有明確的財務目標，并對其主動監(jiān)控 ? 合理的職責分離 ? 預算與實際情況的定期比較 ? 對文件、記錄和財產的適當保管 ? 對內部控制的定期評估 ? 實施改進建議 ? 建立內部審計職能以實施監(jiān)控 控制環(huán)境 風險評估 信息和溝通 控制活動 監(jiān)控 如何構建內部控制 —公司層面的評估 管理層關于內部控制 的報告 評估內控的整體的有效性，找出有待改進的地方，并建立一個監(jiān)控體系 在流程、交易和應用層面，理解和評估內部控制 在全公司層面評估內部控制 組織項目小組實施評估工作 理解內部控制的定義 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 71 公司層面的 內控 ─控 制 環(huán)境 ? 企業(yè)道德規(guī)范與價值觀 ? 員工的行為操守與企業(yè)文化 ? 公 司治理結構和政策 ? 董事會及各委員會的構成 ? 企業(yè)規(guī)章制度 ? 董事會與管理層之間的關系、權力和職責 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 72 公司層面的 內控 ─風險評估 ? 企業(yè) 是 否 擁有 既定的程序 以 確定、評估和度量影響企業(yè)達標的風險？ ? 先進的內審部門？ ? 風險管 理 部門？ ? 全面 風 險評估？ ? 企業(yè)有否詳細記錄評估風險的結果？有否進行詳細的討論和溝通？ 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 73 公司層面的 內控 ─信息和溝通 ? 企業(yè)的架構是否能夠令各部門及業(yè)務單位明確各自的職責及 促進 溝通 ? 企業(yè) 是 否擁有 一 個 合適的電子平臺 ? 處理管理信息和數(shù)據(jù) ? 確保信息能夠及時發(fā) 放 ? 確 保各類信息和報告的準確性和可用性 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 74 ? 規(guī)章制度 ? 審批程 序 ? 資產實物的安全 ? 特殊報告 ? 表現(xiàn)指標 ? 信息系統(tǒng)控制 ? 職責劃分 公司層面的 內控 ─控制活動 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 75 公司層面的內控 ─ 控制活動 規(guī)章制度 ? 董事會及各委員會的章程 ? 企業(yè)風險政策 ? 員工招聘守則 ? 企業(yè)采購政策 ? 會計及財務管理守則 管理層出具 內部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內部控制的概念 76 公司層面的內控 ─ 控制活動 審批程序 ? 一種預防性的控制措施 ? 確保規(guī)章制度得以落實執(zhí)行 ?