COSO内部控制新框架.pptx

2019/6/1,#,COSO,内部控制报告回顾,历年,COSO,发布的内部控制报告文件：,1992,2006,2009,2013,2013,版内部控制整合框架组成,#1,内部控制整合框架（,2013,版,）,共,3,卷,:,整体概览,内部控制整合框架及附录,评价内部控制有效性的工具及模板,内容,包括了,:,内部控制的定义,内部控制目标,内部控制五大要素及,17,项原则,内部控制有效的要求,2013,版内部控制整合框架组成,#2,财务报告内部控制：方法和示例摘要,演示了内部控制原则应用与财务报告内部控制的相关方法和示例,考虑到了,过去,20,年企业内外部经营环境的变化,提供了不同经营主体的实施案例：包括上市公司、私营企业、非营利性组织和政府机构,与,2013,版本的框架,相一致,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,编制员工手册并进行宣贯,设立,专门部门或岗位负责道德价值观,对应流程：,企业,文化,管理、人力资源管理,控制环境,原则,1,：,恪守诚信并树立正确的道德价值观,关注要点,：,高级管理层树立了诚信的道德价值观并传递给整个公司,制定了明确,的员工守则,评价员工是否准守了守则，并对违规情况进行及时处理,企业需要：,确定董事会与管理层,权限,定期对内部控制有效性进行监督并报告给董事会,对应流程：,治理架构、授权管理、内控审计,原则,2,：,董事会独立于管理层，对内部控制有效性进行监督,关注要点,：,明确了,董事会与管理层各自的权责,董事会独立于管理层并具有胜任能力、并保持独立性,董事会对内部控制有效性进行监督,企业需要：,有健全的组织架构图及汇报路险,有合理的授权体系表及不相容职责表,对应流程：,组织,架构、授权管理,控制环境,原则,3,：管理层建立健全企业架构、汇报路径、合理的授权于责任等机制,关注要点,：,建全了组织架构，明确汇报路径,合理的授权,，并,承担对应,的责任,不过度授权，不相容职责有效分离,企业需要：,制定一整套人力资源政策与制度；加强员工培训、轮岗；制定岗位继任计划,对应流程：,人力资源,管理,原则,4,：企业制定完善的政策吸引、发展、保留人才,关注要点,：,制定了相关,的政策与制度,关注员工的胜任,能力，并持续改进,不断吸引、发展、,保留人才,制定,了岗位继任计划,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,管理层签署声明书、制定相应绩效考核指标,对应流程：,内部控制评价、绩效考核,控制环境,原则,5,：使员工各自担负起内部控制相关职责，共同实现目标,关注要点,：,通过组织、权限及责任分工明确每名员工的责任,制定,了绩效衡量以及激励惩处机制,在组织内部形成遵守内部控制的压力,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,有对应的目标体系,风险评估,原则,6,：有清晰的目标，并根据目标识别及评价风险,关注要点,：,设置了明确,的、相关的目标（包括经营目标、报告目标及合规目标）,企业需要：,制定一整完善的风险评估流程,建立,风险数据库,建立风险应对矩阵,对应流程：,风险,评估及应对,原则,7,：对风险进行全范围的识别与分析，并决定如何管理风险,关注要点,：,有适当的管理层参与整个过程,风险评估过程包括总部、各部门、业务单元、事业部、下属分子公司等全部实体,考虑内部及外部,的风险因素,评估,风险的,重要性,制定风险,应对策略,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,将舞弊风险（或廉政风险）作为专项风险来识别；设立举报及举报人保护机制,对应,流程：,风险,评估、内部信息沟通,风险评估,原则,8,：评估风险的过程中考虑舞弊的可能性,关注要点,：,考虑舞弊发生的各种可能性,评估,舞弊,的动机和,压力,评估舞弊的机会大小,评估,对待,舞弊的态度及自我,合理化,倾向,企业需要：,定期开展内控自我评价及内控审计,及时更新内控体系文档,对应流程：,内控自我,评价、内控审计,原则,9,：识别并评价可能对内控体系造成较大影响的变化,关注要点,：,评估外部环境,变化带来的影响,评估经营模式变化带来的影响,评估管理层变动带来的影响,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,确定风险应对策略，根据风险应对策略制定风险应对方案,编制风险控制矩阵及流程图,编制不相容职责分离表,对应流程：,ALl,控制活动,原则,10,：选择并开展控制活动，将风险降低至可接受水平,关注要点,：,控制活动要与风险评估结果相,适应,确定与控制活动相关的管理流程,在选择和实施控制活动时,考虑企业特有因素,采取不同类型的控制,活动降低风险,确保不相容职责分离,企业需要：,针对信息系统开发及运行设计对应控制活动,对信息系统日常,运行进行监控,开展信息系统,专项审计,对应流程：,信息系统开发,信息系统运行维护,原则,11,：针对信息技术并开展一般控制,关注要点,：,确定独立于信息系统运行,的信息系统一般控制,建立相关,的基础架构的控制活动,建立相关的信息安全管理控制活动,建立相关的,信息系统购买、开发、运行维护控制活动,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,编制政策、程序、流程及内控手册,明确每项控制活动的责任人,监督及考核控制活动的执行情况,注意部门间,的配合,对应流程：,ALl,控制活动,原则,12,：通过政策、程序来实施控制活动,关注要点,：,建立相关的政策和程序来落实控制活动,建立政策和程序执行的责任和义务机制,使用有胜任能力的员工来来执行控制活动,注意控制,活动执行的及时性,定期维护并,更新政策及程序,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,确定信息需求，归集信息渠道,制定有效的,信息沟通流程,持续评价信息沟通的有效性,对应,流程：,信息与沟通,信息与沟通,原则,13,：获取或生成并使用相关的、有质量的信息来支持内部控制正常运作,关注要点,：,识别各环节的信息需求,建立内部、外部数据获取渠道,将相关数据处理,成,有用的,信息,确保,信息处理过程的有效,衡量信息获取,的成本与收益,企业需要：,与员工沟通岗位职责、进行控制活动宣贯；核心的要求可以让员工签字确认；建立匿名投诉热线,对应流程：,信息与,沟通,原则,14,：将企业目标和内部控制职责在内的必要信息传达给每位员工,关注要点,：,将内部控制的相关信息与每名员工进行沟通,将内部控制相关信息与董事会进行,沟通,建立独立的应急性的沟通渠道,选择合适的,沟通方式,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,建立与股东、顾客、供应商、监管机构、财务分析师等外部相关方的沟通机制,对应,流程：,信息与沟通,信息与沟通,原则,15,：企业与外部相关方就影响内部控制发挥作用的事宜进行沟通,关注要点,：,与,外部利益相关方进行沟通,在内部信息传递,渠道上增加外部的接入端口,提供独立的应急性的沟通渠道,选择合适的沟通方式,内部控制整合框架,（,2013,版）要点,17,条原则,企业需要：,设计嵌入管理流程的持续评价工具,根据,风险来开展专项评价活动,聘请外部机构来进行评价,对应,流程：,内部控制自我评价,内部控制审计,监控活动,原则,16,：实施持续和专项的评价,关注要点,：,考虑,持续和专项评价的方案,在,选择持续和专项评价时考虑企业管理活动的变化程度,选用,具有相关知识,的人进行评价,持续性,评价与管理流程相融合,定期开展独立的,评价保证客观性,根据风险大小调整评价的频率,企业需要：,确定内部,控制缺陷，并与相关方进行沟通,对内部控制缺陷的整改情况,进行跟踪,对应流程：,内部控制自我,评价,内部,控制,审计,原则,17,：及时评价内部控制缺陷，并视情况与负责整改的责任方剂管理层、治理层沟通,关注要点,：,管理,层或董事会成员来评估持续和单独评价的结果,将内部控制缺陷,与负责整改的相关,管理层,沟通,将内部控制缺陷与高级,管理人员及董事会沟通,对整改活动,进行监控,内部控制整合框架,（,2013,版）要点,17,条原则,THANK YOU,SUCCESS,2024/10/30,14,可编辑,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,内部控制有效性的评价分为公司层面评价及业务层面评价：,公司层面评价,对公司的控制环境、风险评估、控制活动、信息与沟通、监控活动等内部控制五大要素分别进行评价，并汇总评价结果，对整体内部控制有效性进行评价,业务层面评价,对各业务流程的关键控制点进行评价，通过穿行测试、抽样测试等方法评价其设计及执行的有效性。

业务层面评价结果可以用来支撑公司层面评价的结论,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,COSO,框架提供的,是公司层面评价的方法和模板，总体评价过程如下：,先按照,17,项原则进行单独评价,汇总评估结果，形成对,五大要素,的评价结论,汇总五大要素评估结果，对内部控制整体有效性进行评价,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,内部控制整体有效的,条件：,五大要素及,17,项原则单独有效,五要素间共同运行，可以协同发挥作用（流程间借口没有冲突）,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,1,：整体风险有效性评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,2,：各要素评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,2,：各要素评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,2,：各要素评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,3,：各原则评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,3,：各原则评价模板,内部控制整合框架,（,2013,版）要点,内部控制有效性评价,模板,4,：缺陷汇总表,新框架,与全面风险管理框架的区别,整体变化情况：,增加“战略目标”，战略是可以优化的,将风险,评估分解,为“目标设定、事项识别、风险评估、风险应对”,目标设定在内部控制框架中是,先决条件,增加了风险的另一面：“机会”,新框架,与全面风险管理框架的区别,控制环境,增加了“确定风险管理基调、风险管理文化、风险管理偏好及承受度”,风险评估,强调了风险的“机会”属性；风险组合观,其他三要素,无变化,具体,内容主要变化：,THANK YOU,SUCCESS,2024/10/30,27,可编辑,。