DIB内部控制项目培训-内部控制基础知识(ppt 39页)

Tuesday, June 07, 2022 内部控制基础知识内部控制基础知识DIBDIB内部控制项目培训内部控制项目培训培训目标培训目标了解企业存在的风险及其影响；内部控制的要素；实行内部控制的主要方法；熟悉COSO框架为开展下一步工作奠定知识基础为开展下一步工作奠定知识基础主要内容主要内容风险内部控制COSO框架介绍控制环境风险评估控制活动信息与沟通监督经营回报与风险经营回报与风险经营回报经营回报公司管理层公司管理层什么是风险？什么是风险？风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成（有利或不利）影响。无风险等价无风险等价= =期望报酬期望报酬- -风险厌恶系数风险厌恶系数* *风险程度风险程度基本原理：库房偷盗彩票风险的涵义和对企业的影响风险的涵义和对企业的影响正正 面面企业管理者需要对那些导致正面影响的事项，包括企业的机遇，或者是可以降低对企业的负面影响的事项，进行评估并在企业战略目标制定的过程中，以及之后的执行过程中加以考虑。负负 面面企业管理者需要对那些可能导致负面影响的事项进行评估和反应。风险是一种不确定性，它可能导致正面或负面结果。这种不确定性的来源可以是技术的、人员的、经验的、外部竞争对手的、商业环境的、经济法律环境的。 风险的后果风险的后果资产流失竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误风险管理风险管理 风险管理风险管理( (理论理论) )内部控制资产组合寻求较大的回报降低风险风险管理 更多的控制 控制控制控制控制 ( ( ( (秩序秩序秩序秩序) ) ) )风险风险风险风险/ / / / 失控失控失控失控 ( ( ( (混乱混乱混乱混乱) ) ) )控制会控制会增加成本增加成本，风险管理应当在风险和控制之间风险管理应当在风险和控制之间取得取得平衡平衡平衡平衡，以实现业务目标。，以实现业务目标。无风险等价无风险等价= =期望报酬率期望报酬率- -风险厌恶系数风险厌恶系数* *风险程度风险程度风险管理的挑战风险管理的挑战风险风险管理的挑战在于把管理的挑战在于把被动反应转变为主动控被动反应转变为主动控制制。最佳最佳实践实践- - 主动控制主动控制最最差的情况差的情况- - 被动反应被动反应风险风险识别识别风险风险评估评估风险风险管理管理危机管理危机管理打扫打扫卫生式的管理卫生式的管理救火式的应对风险救火式的应对风险什么是内部控制？什么是内部控制？内部控制内部控制 - -被定义为一个过程，这个过程受企业的董事会、被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：下列目标提供合理的保证：经营的效率和效果经营的效率和效果财务报表的可靠性财务报表的可靠性相关法令的遵循相关法令的遵循内部控制的定义内部控制的定义内部控制绝对不是：内部控制绝对不是：l静态的结构l某一层次人员的任务（例如：高级管理层）l某一部门的任务（例如：财务、内部审计）l某一实体的任务（例如：总部、省级公司）风险与内部控制风险与内部控制企业以风险为导向评估并改善内部控制的基本思路：企业以风险为导向评估并改善内部控制的基本思路：风险评估 - -风险确认（识别） - 风险计量 -风险排序内部控制 - -评估现有内部控制的充分性 -分析内部控制的改善措施并加以实施 -建立持续有效的目标风险控制的评估过程内部控制如何降低风险内部控制如何降低风险 暴露的金暴露的金额额发生的发生的可能性可能性内部控制内部控制降降低低风险的大小风险的大小什么是什么是COSOCOSO？COSO COSO 内部控制框架内部控制框架lCOSO框架是企业评估内部控制的结构化分析工具。lSEC根据萨班斯法案第 404 条所制定的最终条例(Final Rule) 明确表明 COSO 内部控制框架可以作为评估企业内部控制的标准l虽然 COSO 内部控制框架在最终条例中并非唯一的指定标准，但是美国证监会及美国执业会计师公会对审计标准的有关征求意见稿中曾多次提及 COSO 为评估企业内部控制的标准l所以，作为在美国上市的公司，较适宜采用 COSO 内部控制框架作为记录、评估公司与财务报告相关的内部控制的标准和依据l因此网通公司也采纳了COSO报告中的内部控制标准框架。COSOCOSO简介简介COSO：美国反虚假财务报告委员会的发起组织委员会The Committee of Sponsoring Organizations (COSO) of The National Commission of Fraudulent Financial Reporting (the Treadway Commission)COSO报告：内部控制 综合性框架Internal Control - Integrated Framework COSOCOSOCOSOCOSO控制框架控制框架控制框架控制框架COSO控制框架的核心概念：内部控制定义：内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。三个目标：经营效率与效果；财务报告的可靠性；法律法规的遵行性五个要素：控制环境；风险评估；控制活动；信息与沟通；监控强调了财务报告的可靠性；强调了控制要素的完整性。COSOCOSO报告框架介绍报告框架介绍信息及沟通信息及沟通控制活动控制活动风险评估风险评估控制环境控制环境持续监控持续监控业务操作业务操作财务报告财务报告合规合规保证信息能及时有效地沟通的流程信息的决策支持信息系统开发维护灾难恢复计划 信息有效沟通 判定内部控制设计的充分性，执行的有效性，定期评估内控内控缺失弥补内外审计监控对内部、外部影响企业绩效的因素的评估目标设定 风险识别及评估 应变措施 会计政策变更程序企业内部控制的道德意识，是“来自高层的声音”诚信与道德观 组织结构管理理念和经营风格 职责与职权的分配员工胜任能力 人力资源政策和实践董事会和审计委员会确保风险管理活动被及时执行的政策和流程政策和程序 经营目标 合理职责分工 资产与记录保护数据访问的保护COSOCOSO内部控制框架内部控制框架下图所示为目前工作涉及的公司实体层面的各个方面信息与沟通信息与沟通持续监控持续监控控制活动控制活动风险评估风险评估控制环境控制环境COSOCOSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践控制环境控制环境是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策独立董事专门委员会设立审计委员会，及委员会成员资格要求审计委员会职责专门委员会与外部中介机构监事会监事会职责监事会与外部中介机构控制环境董事会及委员会职能控制环境董事会及委员会职能风险评估风险评估企业必须了解它所面临的风险，并加以控制。即设立辨识、分析和管理相关风险的机制风险评估就是辨识和分析企业可能发生的风险。目标目标风险风险控制行为控制行为控制活动控制活动环环境境变变化化后后的的管管理理评评估估和和更更新新如何有效地进行风险管理如何有效地进行风险管理各行业的前各行业的前1010种最主要的风险因素种最主要的风险因素次序次序银行银行/ /保险业保险业/ /证证券券制造业制造业其他其他1 1内部控制的质量内部控制的质量内部控制的质量内部控制的质量内部控制的质量内部控制的质量2 2管理人员的能力管理人员的能力管理人员的能力3 3管理人员的正直程度管理人员的正直程度管理人员的正直程度4 4会计系统的近期变动单位的规模会计系统的近期变动5 5单位的规模经济环境恶化业务的复杂性6 6资产的流动性业务的复杂性资产的流动性7 7重要人员的变动重要人员的变动单位的规模8 8业务的复杂性会计系统的近期变动经济环境恶化9 9快速的增长快速的增长重要人员的变动1010政府法规管理人员对完成目标的压力快速的增长控制活动控制活动企业应基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理现金管理资本性采购资本性采购采购和付款采购和付款人事和薪金人事和薪金营销和销售营销和销售存货管理存货管理1 1预防性控制2检查性控制3纠正性控制4补偿性控制控制活动的类型控制活动的类型一些重要的内控方法一些重要的内控方法l职责分离控制l授权批准控制l内部报告控制l电子信息技术控制不相容职务相互分离控制示例不相容职务相互分离控制示例工程项目业务不相容岗位一般包括：（一）项目建议、可行性研究与项目决策；（二）概预算编制与审核；（三）项目实施与价款支付；（四）竣工决算与竣工审计。 采购与付款业务不相容岗位至少包括：（一）请购与审批；（二）询价与确定供应商；（三）采购合同的订立与审计；（四）采购与验收；（五）采购、验收与相关会计记录；（六）付款审批与付款执行。营业系统中不相容岗位至少：（一）客户资料的录入和符合；（二）资费标准的录入和复核；（三）计费结算中心参数设定和复核；（四）收款和登记应收。授权批准控制授权批准控制授权批准控制授权批准控制q在开展任何业务之前都应进行授权q授权以后，为了避免滥用权力，还要经常对业务流程进行审查q按性质的不同分为综合授权和特别授权q要对授权做好记录，并提供证明文件q避免两个极端：“层层审批”和“一支笔”内部报告控制内部报告控制q完善内部管理报告系统q内部报告上报时间及报告路线q内部报告的分发控制q内部报告的分析和跟进信息系统控制目标信息系统控制目标提高资源使用效率提高资源使用效率有效达到企有效达到企业目标业目标保持数据完整保持数据完整维护资产安全维护资产安全符合相关的法律、符合相关的法律、法规和政策法规和政策一般信息系统控制一般信息系统控制 信息系统的组织和管理信息系统操作外包厂商管理数据安全危机处理与业务持续计划应用系统安装与维护数据库安装与支持网络支持系统软件支持硬件支持提高企业信息系统的整体可信赖程度的控制信息与沟通信息与沟通贯穿在风险评估和控制活动过程中贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯必须的资讯，并交换这些资讯信息系统：内部、外部信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任监监 督督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估内部控制的主体：管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）内部审计对管理层