内部控制_控制活动

内部控制专题 控制活动 本专题内容 coso1992内部控制整体框架 coso2004企业风险管理总体框架 coso2013内部控制整体框架 中国 企业内部控制基本规范 1992内部控制整体框架 总体情况 背景：水门事件后，内部控制理论引起了美国各界的广泛重 视。然而，对内部控制的理解分歧却由来已久，立法者、监 管者和商人的不同利益决定了各自不同的立场。 特点：该报告的核心内容是内部控制的定义、目标和要素。 报告中提出的观点，超越了内控思想的以往理论棗内部牵 制、内部控制制度和内部控制结构等理论。 1992内部控制整体框架 一、概念 v 定义：必须确立和执行控制政策和程序，以确保那些被管 理层认为必要的减少风险的措施得以执行，从而实现经营 目标。 v 特点：控制行为体现在整个企业的不同层次和不同部门 中。包括批准、授权、查证、核对、复核经营业绩、资产 保护和职责分工等活动。 1992内部控制整体框架 二、控制活动的类型 v 高层复核：复核是指相对于预算，预测，前期和竞争对手的 实际业绩情况。企业主要的行为应被追踪以衡量目标实现的 程度。 v 职能指导或业务管理：职能或业务部门的经理复核业绩报 告。 v 信息处理：用于核对交易的准确性、完整性和遵循性。记录 的数据应与支票和经批准的控制文件相符。 v 实物控制：设备、存货、证券、现金及其他资产实物应得到 保护，并定期进行盘点和帐实核对。 v 业绩指标：将不同类的数据（经营或财务）联系起来，连同 关联性分析、调查和改进行为，构成了这一控制活动。 v 职责分离：为了降低发生错误或不当行为的危险，职责在不 同人们之间进行分工或分离。 1992内部控制整体框架 三、政策和程序 v 两类要素：应该做什么的政策；实现该政策的程序。 v 注意：1.大多数，政策以口头形式传达，但不管政策是否 是书面的，必须被仔细地、尽责地、一贯地执行。 2.调查执行程序中发现情况并采取适当的纠正措 施，是很关键的。 1992内部控制整体框架 四、与风险评估结合 v 在风险评估同时，管理层为了管理风险，应确定相应的行 动并使之有效。被确定用于管理风险的行动也用于重点关 注控制活动是否已经到位，以有助于确保正确、及时地执 行这些行动。 1992内部控制整体框架 五、信息系统的控制 v 目标：用于保证财务和其他信息系统的完整性、准确性和遵 循性。 分类：一般性控制。对数据中心操作、系统软件的购买和维 护、数据入口安全、以及应用系统开发和维护的控制（适用 多数应用系统）。 应用性控制。用于控制应用过程，协助保证交易处理 的完整性、准确性、交易授权和有效性。 1992内部控制整体框架 两者关系： 一般性控制用于保证建立在计算机程序基础上的应用性控制 得以实施。 如果没有充分的一般性控制，也就不可能依赖应用性控制。 一般性控制用于支持应用性控制的功能，两者都用于保证信 息处理过程的完整性和准确性。 1992内部控制整体框架 六、正在发展的问题 v 出于对许多新兴技术影响的考虑，提出了新的控制问题。 v 内容：CASE（计算机辅助软件工程）开发工具、依据原型 创建新系统、图像处理和电子数据交换、人工智能或专家 系统。 1992内部控制整体框架 七、企业特殊性 v 原因：企业拥有自身的一套目标和实施策略、每个企业由 不同的人管理、企业经营的环境和行业、组织的历史和文 化的不同。 v 案例：行为多样的复杂组织较之行为单一的简单组织，可 能面临更困难的控制问题。 分权经营的企业将重点放在地区自治和改革上，较 之高度集权的企业，具有不同的控制环境。 1992内部控制整体框架 八、对中小企业的应用 v 小组织中控制活动包含的概念不可能与大组织相差太远， 但是控制活动实施的正式程度却有所差异。进而，由于中 小企业管理层所实施的高度有效的控制，其可能发现有些 类型的控制活动并非总与之相关的。 九、评估 v 必须按照管理层针对企业每项重要业务的既定目标而做出 的风险管理的指示，对控制活动进行评估。因此，评估者 将考虑控制活动是否与风险评估过程相关，以及它们是否 恰当地保证了管理层的指示得以实施。 2004企业风险管理总体框架 总体情况 背景：企业内部不同部门或不同业务的风险，使企业意识到 不能从单个业务、部门的角度考虑风险，必须根据风险组合 的观点，从贯穿整个企业的角度看风险。 特点：ERM是在内部控制整体框架基础上发展而来的。ERM 并没有否定内部控制框架，但它将内部控制框架整合在内， 采用这一框架，企业既可以满足内部控制的需要，也可以建 立一个完整的风险管理过程。 2004企业风险管理总体框架 一、概念 v 定义：为帮助确保管理层的指示得到实施的政策和程序。 企业风险管理的构成要素之一。 v 特点：1.控制活动由组织各部门依据不同目标要求实施, 并贯穿组织过程始终。 2.一项特定的控制活动可能有助于满足主体的多 个类别的目标。 2004企业风险管理总体框架 二、与风险应对相结合 v 特点：目标、风险应对和控制活动三者相互关联。 v 解释：1.对于特定的目标而言，控制活动本身就是风险应 对。 2.控制活动是企业致力实现其经营目标的过程的一个 重要部分。 v 措施：1.选定了风险应对之后，要确定用来帮助确保这些风 险应对得以恰当地和及时地实施所需的控制活动。 2.对控制活动的选择或评审应该包含对它们与风险应 对和相关目标的相关性和恰当性的考虑。 2004企业风险管理总体框架 三、控制活动的类型 v 高层复核：对照预算、预测、以前期间和竞争者来复核实 际的业绩。并对新产品开发、筹资计划的执行进行监控。 v 直接的职能或活动管理：负责职能机构或活动的管理人员 审核业绩报告。 v 信息处理：实施一系列的控制来检查交易的准确性、完整 性和授权。输入的数据要与经批准的控制文件相匹配。 v 实物控制：对设备、存货、现金和其他资产进行实物性的 保护，定期盘点，并与控制记录所反映的数额相比较。 v 业绩指标：把不同系列的各种经营的或者财务的各种数据 彼此联系起来，与对相互关系的分析以及调查和矫正措施 一起，构成了一项控制活动。 v 职责分离：把不同人员的职责予以分开或隔离，以便降低 错误或舞弊的风险。 2004企业风险管理总体框架 四、政策和程序 v 两个要素：做什么的政策；实现政策的程序。 v 注意：1.政策一般是口头沟通的，不管是否成文，政策都必 须仔细地、有意识地和一贯地执行。 2.根据所观察的程序和所采取的适当的矫正措施来辨 别情况也是至关重要的。后续措施可能会因企业的规模和组 织结构而异。 2004企业风险管理总体框架 五、对信息系统的控制 一般控制：适用于许多并非全部应用系统。 应用控制： v 定义：直接关注数据获取和处理的完整性、准确性、授权 和有效性。 v 重要目标：确保在需要时能获取或生成数据；防止错误进 入系统，以及在错误发生时予以察觉和矫正。 v 重要性：一般控制和应用控制，在必要的时候与人工实施 的控制结合起来，共同起作用以确保信息的完整性、准确 性和有效性。 2004企业风险管理总体框架 一般控制内容： 信息技术管理：一个指导委员提供对信息技术活动和改进 行动的监督、监控和报告。 信息技术基础结构：将控制应用于系统的界定、获取、安 装、配置、整合和维护。 安全管理：类似安全密码等逻辑进入控制限制进入网络、 数据库和应用层。 软件获取、开发和维护：对软件获取和执行的控制要结合 到一项既定的程序之中，以管理变更事项，包括文件要 求、用户接受测试、压力测试和项目风险评估。 2004企业风险管理总体框架 六、主体的特殊性 v 原因：有自己的一套目标和执行方法、每个主体由不同的 人员进行管理、主体经营所处的环境和行业，历史，文化 的差异。 v 案例：多元化活动的大型复杂组织可能比活动种类较少的 小型简单组织面临更艰难的控制问题。 一个分散化经营、强调地区自主性和创新的主体， 面临与一个高度集中化的主体不同的控制环境。 企业内部控制基本规范 总体情况 背景：没有统一的企业内部控制规范，加上一些上市公司 内部控制意识淡薄，出现了企业内部控制失效甚至舞弊的 案件，损害了投资者利益，在市场上造成了恶劣影响。 事件：2008年6月28日，财政部、证监会、审计署、银监 会、保监会联合发布了企业内部控制基本规范。自 2009年7月1日起先在上市公司范围内施行，鼓励非上市的 其他大中型企业执行。 企业内部控制基本规范 一、概念 v 含义:企业根据风险评估结果，采用相应的控制措施，将 风险控制在可承受度之内。 v 措施:不相容职务分离控制、授权审批控制、会计系统控 制、财产保护控制、预算控制、运营分析控制和绩效考评 控制。 企业内部控制基本规范 (一)不相容职务分离控制 v 不相容职务:同一人员承担具有产生错误或导致舞弊可能 性的岗位。 v 要求:企业全面系统地分析、梳理业务流程中所涉及的不 相容职务，实施相应的分离措施，形成各司其职、各负其 责、相互制约的工作机制。 v 目标:从人员职务配置上预防舞弊或错误的产生，以实现 内部控制的目标。 企业内部控制基本规范 （二）授权审批控制(职权配置) v 要求:根据常规授权和特别授权的规定，明确各岗位办理 业务和事项的权限范围、审批程序和相应责任。 v 种类：常规授权、特别授权。 v 形式：书面形式。 对于重大的业务和事项，应当实行集体决策审批或者联签 制度，任何个人不得单独进行决策或者擅自改变集体决 策。 企业内部控制基本规范 （三）会计系统控制 v 要求:严格执行国家统一的会计准则制度，加强会计基础 工作，明确会计凭证、会计账簿和财务会计报告的处理程 序，保证会计资料真实完整。 v 目标：对会计信息系统实施，以确保财务报告可靠性。 v 内容：会计准则和相关的会计制度的选择、会计政策选 择、会计估计确定、文件和凭证控制、会计档案保管控 制、业务流程控制、组织和人员控制、建立会计岗位制 度。 企业内部控制基本规范 （四）财产保护控制 v 要求：建立财产日常管理制度和定期清查制度，采取财产 记录、实物保管、定期盘点、账实核对等措施，确保财产 安全。 v 措施：限制接近、财产清查、财产档案建立和保管、财产 保险。 （五） 预算控制 v 要求：实施全面预算管理制度，明确各责任单位在预算管 理中的职责权限，规范预算的编制、审定、下达和执行程 序，强化预算约束。 v 作用：确立目标、整合资源、控制业务、评价业绩。 v 循环：目标确定预算编制预算执行分析和考评。 企业内部控制基本规范 （六）运营分析控制 v 定义：对企业经营活动等情况运用相关信息进行比较、分 析，发现问题、查找原因，以改进和提高经营活动的效率 与效果的活动。 v 方法：比较法、比率法、趋势分析法、因素分析法、综合 分析法。 （七）绩效考评控制 v 要求：建立和实施绩效考评制度，科学设置考核指标体系 ，对各责任单位和全体员工的业绩进行定期考核和客观评 价，将考评结果作为确定员工薪酬以及职务晋升、评优、 降级、调岗、辞退等的依据。 v 模式：会计基础业绩评价模式、经济基础业绩评价模式、 战略管理业绩评价模式 企业内部控制基本规范 预警机制和应急机制 目标：保证各项经营活动的顺利进行。 措施：1.建立和完善重大风险预警机制，明确风险预警标 准，使企业能够对经营活动中存在的重大风险及时预警， 防患于未然，及时采取措施化解风险。 2.建立和完善突发事件应急处理机制，对可能发生 的突发事件制定应急预案，确保突发事件得到及时妥善处 理。 对风险的重视：企业应当根据内部控制目标，结合风险应 对策略，综合运用控制措施，对各种业务和事项实施有效 控制。 2013内部控制整体框架 总体情况 背景：企业的经营环境和管理模式发生巨大变化，新的科技 应用和复杂组织结构以及严格的治理要求，使企业更重视公 司治理和风险管理，关注范围扩及非财务报告的内部控制。 事件：2010 年9 月COSO 委员会启动了对企业内部控制整 体框架的审核与更新，并聘请普华永道会计师事务所 (