内部控制专题内部控制专题 控制活动控制活动 本专题内容本专题内容coso1992coso1992内部控制整体框架内部控制整体框架coso2004coso2004企业风险管理总体框架企业风险管理总体框架coso2013coso2013内部控制内部控制整体框架整体框架中国中国 企业内部控制基本规范企业内部控制基本规范19921992内部控制整体框架内部控制整体框架总体情况总体情况背景：背景：水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。特点：特点：该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。19921992内部控制整体框架内部控制整体框架一、概念一、概念定义：定义：必须确立和执行控制政策和程序，以确保那些被管理层认为必要的减少风险的措施得以执行，从而实现经营目标。特点：特点：控制行为体现在整个企业的不同层次和不同部门中。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。19921992内部控制整体框架内部控制整体框架二、控制活动的类型二、控制活动的类型高层复核：高层复核：复核是指相对于预算，预测，前期和竞争对手的实际业绩情况。企业主要的行为应被追踪以衡量目标实现的程度。职能指导或业务管理：职能指导或业务管理：职能或业务部门的经理复核业绩报告。信息处理：信息处理：用于核对交易的准确性、完整性和遵循性。记录的数据应与支票和经批准的控制文件相符。实物控制：实物控制：设备、存货、证券、现金及其他资产实物应得到保护，并定期进行盘点和帐实核对。 业绩指标：业绩指标：将不同类的数据（经营或财务）联系起来，连同关联性分析、调查和改进行为，构成了这一控制活动。职责分离：职责分离：为了降低发生错误或不当行为的危险，职责在不同人们之间进行分工或分离。19921992内部控制整体框架内部控制整体框架三、政策和程序三、政策和程序两类要素：两类要素：应该做什么的政策；实现该政策的程序。注意：注意：1.1.大多数，政策以口头形式传达，但不管政策是否是书面的，必须被仔细地、尽责地、一贯地执行。 2.2.调查执行程序中发现情况并采取适当的纠正措施，是很关键的。19921992内部控制整体框架内部控制整体框架四、与风险评估结合四、与风险评估结合 在风险评估同时，管理层为了管理风险，应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位，以有助于确保正确、及时地执行这些行动。 19921992内部控制整体框架内部控制整体框架五、信息系统的控制五、信息系统的控制目标：目标：用于保证财务和其他信息系统的完整性、准确性和遵循性。分类：分类：一般性控制。对数据中心操作、系统软件的购买和维护、数据入口安全、以及应用系统开发和维护的控制（适用多数应用系统）。 应用性控制。用于控制应用过程，协助保证交易处理的完整性、准确性、交易授权和有效性。19921992内部控制整体框架内部控制整体框架两者关系：两者关系：一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。如果没有充分的一般性控制，也就不可能依赖应用性控制。一般性控制用于支持应用性控制的功能，两者都用于保证信一般性控制用于支持应用性控制的功能，两者都用于保证信息处理过程的完整性和准确性。息处理过程的完整性和准确性。 19921992内部控制整体框架内部控制整体框架六、正在发展的问题六、正在发展的问题 出于对许多新兴技术影响的考虑，提出了新的控制问题。 内容：内容：CASE（计算机辅助软件工程）开发工具、依据原型创建新系统、图像处理和电子数据交换、人工智能或专家系统。19921992内部控制整体框架内部控制整体框架七、企业特殊性七、企业特殊性 原因：原因：企业拥有自身的一套目标和实施策略、每个企业由不同的人管理、企业经营的环境和行业、组织的历史和文化的不同。 案例：案例：行为多样的复杂组织较之行为单一的简单组织，可能面临更困难的控制问题。 分权经营的企业将重点放在地区自治和改革上，较之高度集权的企业，具有不同的控制环境。19921992内部控制整体框架内部控制整体框架八、对中小企业的应用八、对中小企业的应用小组织中控制活动包含的概念不可能与大组织相差太远，但是控制活动实施的正式程度却有所差异。进而，由于中小企业管理层所实施的高度有效的控制，其可能发现有些类型的控制活动并非总与之相关的。九、评估九、评估 必须按照管理层针对企业每项重要业务的既定目标而做出的风险管理的指示，对控制活动进行评估。因此，评估者将考虑控制活动是否与风险评估过程相关，以及它们是否恰当地保证了管理层的指示得以实施。20042004企业风险管理总体框架企业风险管理总体框架总体情况总体情况背景：背景：企业内部不同部门或不同业务的风险，使企业意识到不能从单个业务、部门的角度考虑风险，必须根据风险组合的观点，从贯穿整个企业的角度看风险。特点：特点：ERM是在内部控制整体框架基础上发展而来的。ERM并没有否定内部控制框架，但它将内部控制框架整合在内，采用这一框架，企业既可以满足内部控制的需要，也可以建立一个完整的风险管理过程。 20042004企业风险管理总体框架企业风险管理总体框架一、概念一、概念定义：定义：为帮助确保管理层的指示得到实施的政策和程序。企业风险管理的构成要素之一。特点：特点：1.控制活动由组织各部门依据不同目标要求实施, 并贯穿组织过程始终。 2.一项特定的控制活动可能有助于满足主体的多个类别的目标。20042004企业风险管理总体框架企业风险管理总体框架二、与风险应对相结合二、与风险应对相结合特点：特点：目标、风险应对和控制活动三者相互关联。解释：解释：1.1.对于特定的目标而言，控制活动本身就是风险应对。 2.2.控制活动是企业致力实现其经营目标的过程的一个重要部分。措施：措施：1.1.选定了风险应对之后，要确定用来帮助确保这些风险应对得以恰当地和及时地实施所需的控制活动。 2.2.对控制活动的选择或评审应该包含对它们与风险应对和相关目标的相关性和恰当性的考虑。20042004企业风险管理总体框架企业风险管理总体框架三、控制活动的类型三、控制活动的类型高层复核：高层复核：对照预算、预测、以前期间和竞争者来复核实际的业绩。并对新产品开发、筹资计划的执行进行监控。直接的职能或活动管理：直接的职能或活动管理：负责职能机构或活动的管理人员审核业绩报告。信息处理：信息处理：实施一系列的控制来检查交易的准确性、完整性和授权。输入的数据要与经批准的控制文件相匹配。实物控制：实物控制：对设备、存货、现金和其他资产进行实物性的保护，定期盘点，并与控制记录所反映的数额相比较。业绩指标：业绩指标：把不同系列的各种经营的或者财务的各种数据彼此联系起来，与对相互关系的分析以及调查和矫正措施一起，构成了一项控制活动。职责分离：职责分离：把不同人员的职责予以分开或隔离，以便降低错误或舞弊的风险。20042004企业风险管理总体框架企业风险管理总体框架四、政策和程序四、政策和程序两个要素：两个要素：做什么的政策；实现政策的程序。注意：注意：1.政策一般是口头沟通的，不管是否成文，政策都必须仔细地、有意识地和一贯地执行。 2.根据所观察的程序和所采取的适当的矫正措施来辨别情况也是至关重要的。后续措施可能会因企业的规模和组织结构而异。20042004企业风险管理总体框架企业风险管理总体框架五、对信息系统的控制五、对信息系统的控制一般控制一般控制：适用于许多并非全部应用系统。应用控制：应用控制：定义：定义：直接关注数据获取和处理的完整性、准确性、授权和有效性。重要目标：重要目标：确保在需要时能获取或生成数据；防止错误进入系统，以及在错误发生时予以察觉和矫正。重要性：重要性：一般控制和应用控制，在必要的时候与人工实施的控制结合起来，共同起作用以确保信息的完整性、准确性和有效性。20042004企业风险管理总体框架企业风险管理总体框架一般控制内容：一般控制内容：信息技术管理信息技术管理：一个指导委员提供对信息技术活动和改进行动的监督、监控和报告。信息技术基础结构信息技术基础结构：将控制应用于系统的界定、获取、安装、配置、整合和维护。安全管理：安全管理：类似安全密码等逻辑进入控制限制进入网络、数据库和应用层。软件获取、开发和维护：软件获取、开发和维护：对软件获取和执行的控制要结合到一项既定的程序之中，以管理变更事项，包括文件要求、用户接受测试、压力测试和项目风险评估。20042004企业风险管理总体框架企业风险管理总体框架六、主体的特殊性六、主体的特殊性原因：原因：有自己的一套目标和执行方法、每个主体由不同的人员进行管理、主体经营所处的环境和行业，历史，文化的差异。案例：案例：多元化活动的大型复杂组织可能比活动种类较少的小型简单组织面临更艰难的控制问题。 一个分散化经营、强调地区自主性和创新的主体，面临与一个高度集中化的主体不同的控制环境。企业内部控制基本规范企业内部控制基本规范总体情况总体情况背景：背景：没有统一的企业内部控制规范，加上一些上市公司内部控制意识淡薄，出现了企业内部控制失效甚至舞弊的案件，损害了投资者利益，在市场上造成了恶劣影响。事件：事件：2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范。自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。企业内部控制基本规范企业内部控制基本规范一、概念一、概念含义含义: :企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。措施措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。企业内部控制基本规范企业内部控制基本规范( (一一) )不相容职务分离控制不相容职务分离控制不相容职务不相容职务: :同一人员承担具有产生错误或导致舞弊可能性的岗位。要求要求: :企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。目标目标: :从人员职务配置上预防舞弊或错误的产生，以实现内部控制的目标。企业内部控制基本规范企业内部控制基本规范（二）授权审批控制（二）授权审批控制( (职权配置职权配置) )要求要求: :根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。种类：种类：常规授权、特别授权。形式：形式：书面形式。 对于重大的业务和事项，应当实行集体决策审批或者联签对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。制度，任何个人不得单独进行决策或者擅自改变集体决策。企业内部控制基本规范企业内部控制基本规范（三）会计系统控制（三）会计系统控制要求要求: :严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。目标：目标：对会计信息系统实施，以确保财务报告可靠性。内容：内容：会计准则和相关的会计制度的选择、会计政策选择、会计估计确定、文件和凭证控制、会计档案保管控制、业务流程控制、组织和人员控制、建立会计岗位制度。企业内部控制基本规范企业内部控制基本规范（四）财产保护控制（四）财产保护控制要求：要求：建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。措施：措施：限制接近、财产清查、财产档案建立和保管、财产保险。（五）（五） 预算控制预算控制要求：要求：实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。作用：作用：确立目标、整合资源、控制业务、评价业绩。循环：循环：目标确定预算编制预算执行分析和考评。企业内部控制基本规范企业内部控制基本规范（六）运营分析控制（六）运营分析控制定义：定义：对企业经营活动等情况运用相关信息进行比较、分析，发现问题、查找原因，以改进和提高经营活动的效率与效果的活动。方法：方法：比较法、比率法、趋势分析法、因素分析法、综合分析法。（七）（七）绩效考评控制绩效考评控制要求：要求：建立和实施绩效考评制度，科学设置考核指标体系，对各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。模式：模式：会计基础业绩评价模式、经济基础业绩评价模式、战略管理业绩评价模式企业内部控制基本规范企业内部控制基本规范预警机制和应急机制预警机制和应急机制目标：目标：保证各项经营活动的顺利进行。措施：措施：1.1.建立和完善重大风险预警机制，明确风险预警标准，使企业能够对经营活动中存在的重大风险及时预警，防患于未然，及时采取措施化解风险。 2.2.建立和完善突发事件应急处理机制，对可能发生的突发事件制定应急预案，确保突发事件得到及时妥善处理。对风险的重视：对风险的重视：企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。20132013内部控制内部控制整体框架整体框架总体情况总体情况背景：背景：企业的经营环境和管理模式发生巨大变化，新的科技应用和复杂组织结构以及严格的治理要求，使企业更重视公司治理和风险管理，关注范围扩及非财务报告的内部控制。事件：事件：2010 年9 月COSO 委员会启动了对企业内部控制整体框架的审核与更新，并聘请普华永道会计师事务所(PWC)作为项目计划执行单位，着手新框架的制订工作。特点：特点：原则导向、公司治理、目标设定、财务报告。20132013内部控制内部控制整体框架整体框架新原则一新原则一内容：内容：组织选择并设置控制活动，以将威胁组织目标实现的风险降低到可接受的水平。分析：分析：针对已识别的各类风险，组织针对性的控制活动，以降低风险水平。活动：活动：财产保护、不相容职责分离、会计记录、授权审批等。操作：操作：在公司整体及具体业务流程层面，设置相应的控制措施；控制措施对应职责清晰分配至具体具有专业胜任能力的人员。20132013内部控制内部控制整体框架整体框架新原则二新原则二内容：内容：组织针对技术选择并且设置一般控制活动，以支持组织目标实现。分析：分析：相对于具体业务层面风险，技术风险具有自身特征。并对与技术相关的风险进行了强调。操作：操作：加强技术开发（如ERP开发）过程中的风险控制。 加强对处于运行状态的技术系统进行监控。 加强针对技术的专项评价/审计。20132013内部控制内部控制整体框架整体框架新原则三新原则三内容：内容：组织通过制定政策（以明确控制期望）和具体流程（以将控制期望转换为具体行为）来贯彻控制活动。分析：分析：控制活动的贯彻分一般控制政策、业务流程。后者作为前者的具体实现方式。（政策制定应当具备明确目标，具备实践指导性）。操作：操作：在公司层面及具体业务层面，明确各工作事项的控制政策，并且在具体流程设计中体现这些政策。 谢 谢！