內(nèi)部風(fēng)險(xiǎn)管理與控制

1、主要內(nèi)容1引言內(nèi)部控制思想中國(guó)文化特色風(fēng)險(xiǎn)管理與內(nèi)部控制風(fēng)險(xiǎn)導(dǎo)向單位層面控制風(fēng)險(xiǎn)導(dǎo)向業(yè)務(wù)層面控制風(fēng)險(xiǎn)導(dǎo)向內(nèi)部控制體系實(shí)施風(fēng)險(xiǎn)導(dǎo)向內(nèi)部控制評(píng)價(jià)內(nèi)部控制思想的演進(jìn)2內(nèi)部牽制內(nèi)部會(huì)計(jì)控制內(nèi)部控制：審計(jì)人員的困擾會(huì)計(jì)控制與管理控制：“將美玉擊成了碎片”內(nèi)部控制結(jié)構(gòu)：控制環(huán)境、會(huì)計(jì)系統(tǒng)、控制程序內(nèi)部控制整合架構(gòu)：COSO五要素風(fēng)險(xiǎn)管理整合框架：內(nèi)部控制與風(fēng)險(xiǎn)管理階段時(shí)間定義內(nèi)容內(nèi)部控 制結(jié)構(gòu)1988美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)第55號(hào)審計(jì)準(zhǔn)則公告提 出內(nèi)部控制結(jié)構(gòu)這個(gè)概念。企業(yè)內(nèi)部控制結(jié) 構(gòu)包括為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建 立的各種政策和程序?？刂骗h(huán)境；會(huì)計(jì)系統(tǒng)； 控制程序。內(nèi)部控1992內(nèi)部控制是一個(gè)由企業(yè)

2、董事會(huì)、管理層和其 他員工實(shí)施的、旨在為下列各類目標(biāo)的實(shí)現(xiàn) 提供合理保證的過(guò)程：經(jīng)營(yíng)的有效性和效率、 財(cái)務(wù)報(bào)告的可靠性、符合適用的法律和法規(guī)?？刂骗h(huán)境；制整合風(fēng)險(xiǎn)評(píng)估；框架控制活動(dòng)；信息與溝通；監(jiān)督。企業(yè)風(fēng)2004/企業(yè)風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它由一個(gè)主體的1.內(nèi)部環(huán)境險(xiǎn)管理 整合框 架2013董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識(shí)別可能 會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在 該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí) 現(xiàn)提供合理保證。目標(biāo)制定事項(xiàng)識(shí)別風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)反應(yīng)控制活動(dòng)7.信息與溝通8.監(jiān)督內(nèi)部控制思想的演進(jìn)3階段時(shí)間定義內(nèi)容企業(yè)風(fēng)2017企業(yè)風(fēng)險(xiǎn)管理是指組織在

3、創(chuàng)造、保持和實(shí)現(xiàn)1.治理與文化險(xiǎn)管理 框架COSO- ERM價(jià)值的過(guò)程中，結(jié)合戰(zhàn)略制定和執(zhí)行，賴以進(jìn)行管理風(fēng)險(xiǎn)的文化、能力和實(shí)踐。戰(zhàn)略和目標(biāo) 設(shè)定績(jī)效審閱和修訂信息、溝通 和報(bào)告4內(nèi)部控制思想的演進(jìn)內(nèi)部控制思想的演進(jìn)5我國(guó)內(nèi)部控制的發(fā)展內(nèi)部牽制階段1978年會(huì)計(jì)人員職權(quán)條例1984年會(huì)計(jì)人員工作規(guī)則1986年會(huì)計(jì)工作基礎(chǔ)規(guī)范會(huì)計(jì)控制階段1999年會(huì)計(jì)法將“內(nèi)部控制”當(dāng)作會(huì)計(jì)信息“真實(shí)與完整”的基本手段 之一2001年至2004年財(cái)政部發(fā)布內(nèi)部會(huì)計(jì)控制基本規(guī)范和7個(gè)具體規(guī)范企業(yè)內(nèi)部控制規(guī)范體系階段財(cái)政部等五部委2008年6月28日發(fā)布企業(yè)內(nèi)部控制基本規(guī)范企業(yè)全面風(fēng)險(xiǎn)管理階段2006年6月國(guó)務(wù)院國(guó)

4、資委發(fā)布中央企業(yè)全面風(fēng)險(xiǎn)管理指引內(nèi)部控制與內(nèi)部審計(jì)管理層控制層運(yùn)營(yíng)層股東 大會(huì)外部 審計(jì)董事 會(huì)監(jiān)事 會(huì)公 司 治 理內(nèi) 部 控 制財(cái)務(wù)會(huì)計(jì)審計(jì)階段經(jīng)營(yíng)審計(jì)階段管理職能審計(jì)階段風(fēng)險(xiǎn)控制審計(jì)階段內(nèi)部審計(jì)風(fēng) 險(xiǎn) 管 理確認(rèn)咨詢61212確保被識(shí)別出規(guī)避 風(fēng)險(xiǎn)的控制措施可以 及時(shí)有效得到實(shí)施的 政策和程序確認(rèn)內(nèi)部控制是否進(jìn)行 充分的設(shè)計(jì)和執(zhí)行，以及 是否具備有效性和適應(yīng)性。對(duì)于影響公司目標(biāo) 實(shí)現(xiàn)的內(nèi)部及外部因素的評(píng)估確保相關(guān)信息被及 時(shí)識(shí)別及傳遞的過(guò)程公司對(duì)于內(nèi)部控制 的基本態(tài)度-”來(lái)自 上層的基調(diào)”戰(zhàn)略目標(biāo)報(bào)告目標(biāo)合規(guī)目標(biāo)經(jīng)營(yíng)目標(biāo)資產(chǎn)安全內(nèi)部環(huán)境面層元業(yè)子公務(wù)公司單司風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通內(nèi)部

5、監(jiān)督內(nèi)控的核心理念13企業(yè)內(nèi)部控制基本規(guī)范框架股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國(guó)資委：中央企業(yè)全面風(fēng) 險(xiǎn)管理指引 治理結(jié)構(gòu) 財(cái)政部：企業(yè)內(nèi)部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內(nèi)部控制指引 深圳證券交易所上市 公司內(nèi)部控制指引 保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行） 商業(yè)銀行操作風(fēng)險(xiǎn)管理指引 2008年5月22日財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)以財(cái)會(huì) 20087號(hào)文件發(fā)布；共七章五十條；自2009年7月1日起在上市公司范圍內(nèi)施行，鼓勵(lì)非 上市的大中型企業(yè)執(zhí)行；執(zhí)行本規(guī)范的上市公司，應(yīng)當(dāng)對(duì)本公司內(nèi)部控制的有效性進(jìn)行自我 評(píng)價(jià)，披露年度自我評(píng)價(jià)報(bào)告，并可聘請(qǐng)具有證券、期貨業(yè)務(wù)資

6、格 的會(huì)計(jì)師事務(wù)所對(duì)內(nèi)部控制的有效性進(jìn)行審計(jì)。企業(yè)內(nèi)部控制基本規(guī)范的發(fā)布，是繼2006年2月我國(guó)企業(yè)會(huì)計(jì)準(zhǔn)則、審計(jì)準(zhǔn)則正式頒布和順利實(shí)施之后，財(cái)政、審計(jì)、證券監(jiān)管、 銀行監(jiān)管、保險(xiǎn)監(jiān)管和國(guó)有資產(chǎn)管理部門同心同德、群策群力，以 實(shí)際行動(dòng)落實(shí)科學(xué)發(fā)展觀、促進(jìn)企業(yè)和資本市場(chǎng)又好又快發(fā)展的又 一重大舉措。9企業(yè)內(nèi)部控制基本規(guī)范框架企業(yè)內(nèi)部控制應(yīng)用指引框架10第1號(hào)組織架構(gòu)第2號(hào)發(fā)展戰(zhàn)略第3號(hào)人力資源第4號(hào)社會(huì)責(zé)任第5號(hào)企業(yè)文化第6號(hào)資金活動(dòng)第7號(hào)采購(gòu)業(yè)務(wù)第8號(hào)資產(chǎn)管理第9號(hào)銷售業(yè)務(wù)企業(yè)內(nèi)部控制評(píng)價(jià)指引第10號(hào)研究與開發(fā)第11號(hào)工程項(xiàng)目第12號(hào)擔(dān)保業(yè)務(wù)第13號(hào)業(yè)務(wù)外包第14號(hào)財(cái)務(wù)報(bào)告第15號(hào)全面預(yù)算第1

7、6號(hào)合同管理第17號(hào)內(nèi)部信息傳遞第18號(hào)信息系統(tǒng)內(nèi)控圣經(jīng)：COSO 201711Honesty，Truth Pursuing，Diligence , Devotion to Public Duty四、風(fēng)險(xiǎn)管理與內(nèi)部控制風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系風(fēng)險(xiǎn)地圖有哪些風(fēng)險(xiǎn)識(shí)別的方法針對(duì)風(fēng)險(xiǎn)應(yīng)采用哪些風(fēng)險(xiǎn)對(duì)策風(fēng)險(xiǎn)導(dǎo)向內(nèi)部控制體系構(gòu)建美國(guó)COSO的內(nèi)控框架和風(fēng)險(xiǎn)管理框架監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境B動(dòng) 21監(jiān)督信息和溝通控制活動(dòng) 風(fēng)險(xiǎn)評(píng)估 控制環(huán)境營(yíng)營(yíng)運(yùn)運(yùn)財(cái)務(wù)財(cái)報(bào)務(wù)報(bào)告告合合規(guī)規(guī)性性位AA業(yè)業(yè) 務(wù)務(wù) 單單 位B活活動(dòng)21內(nèi)控控制框架13企業(yè)風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系財(cái)政部：企業(yè)內(nèi)部控制國(guó)資委：中央

8、企業(yè)全面風(fēng)險(xiǎn)管理體系戰(zhàn)略目標(biāo)報(bào)告目標(biāo)合規(guī)目標(biāo)經(jīng)營(yíng)目標(biāo)減災(zāi)目標(biāo)收集風(fēng)險(xiǎn)信息組 信 織息文 化評(píng)估風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)管理策略提出和實(shí)施風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)管理的監(jiān)督與改進(jìn)戰(zhàn)14略目標(biāo)報(bào)告目標(biāo)合規(guī)目標(biāo)經(jīng)營(yíng)目標(biāo)資產(chǎn)安全內(nèi)部環(huán)境公司層面業(yè) 務(wù) 單元子 公 司風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通內(nèi)部監(jiān)督中國(guó)企業(yè)內(nèi)部控制基本規(guī)范和中央企業(yè)全面風(fēng)險(xiǎn)管理指引風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系25股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國(guó)資委：中央企業(yè)全面風(fēng) 險(xiǎn)管理指引 治理結(jié)構(gòu) 財(cái)政部：企業(yè)內(nèi)部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內(nèi)部控制指引 深圳證券交易所上市 公司內(nèi)部控制指引 保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行） 商業(yè)銀行操作風(fēng)

9、險(xiǎn)管理指引 風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系內(nèi)控圣經(jīng)：COSO 201716Honesty，Truth Pursuing，Diligence , Devotion to Public Duty四、風(fēng)險(xiǎn)管理與內(nèi)部控制風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系風(fēng)險(xiǎn)地圖有哪些風(fēng)險(xiǎn)識(shí)別的方法針對(duì)風(fēng)險(xiǎn)應(yīng)采用哪些風(fēng)險(xiǎn)對(duì)策風(fēng)險(xiǎn)導(dǎo)向內(nèi)部控制體系構(gòu)建美國(guó)COSO的內(nèi)控框架和風(fēng)險(xiǎn)管理框架監(jiān)控信息和溝通控制活動(dòng)風(fēng)險(xiǎn)評(píng)估控制環(huán)境B動(dòng) 21監(jiān)督信息和溝通控制活動(dòng) 風(fēng)險(xiǎn)評(píng)估 控制環(huán)境營(yíng)營(yíng)運(yùn)運(yùn)財(cái)務(wù)財(cái)報(bào)務(wù)報(bào)告告合合規(guī)規(guī)性性位AA業(yè)業(yè) 務(wù)務(wù) 單單 位B活活動(dòng)21內(nèi)控控制框架18企業(yè)風(fēng)險(xiǎn)管理框架風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系財(cái)政部：企業(yè)內(nèi)部控制國(guó)資委：中央企業(yè)全面風(fēng)險(xiǎn)管理

10、體系戰(zhàn)略目標(biāo)報(bào)告目標(biāo)合規(guī)目標(biāo)經(jīng)營(yíng)目標(biāo)減災(zāi)目標(biāo)收集風(fēng)險(xiǎn)信息組 信 織息文 化評(píng)估風(fēng)險(xiǎn)制定風(fēng)險(xiǎn)管理策略提出和實(shí)施風(fēng)險(xiǎn)管理解決方案風(fēng)險(xiǎn)管理的監(jiān)督與改進(jìn)戰(zhàn)19略目標(biāo)報(bào)告目標(biāo)合規(guī)目標(biāo)經(jīng)營(yíng)目標(biāo)資產(chǎn)安全內(nèi)部環(huán)境公司層面業(yè) 務(wù) 單元子 公 司風(fēng)險(xiǎn)評(píng)估控制活動(dòng)信息與溝通內(nèi)部監(jiān)督中國(guó)企業(yè)內(nèi)部控制基本規(guī)范和中央企業(yè)全面風(fēng)險(xiǎn)管理指引風(fēng)險(xiǎn)管理與內(nèi)控的關(guān)系25股東證券交 易所政府部門行業(yè)監(jiān)管 部門 國(guó)資委：中央企業(yè)全面風(fēng) 險(xiǎn)管理指引 治理結(jié)構(gòu) 財(cái)政部：企業(yè)內(nèi)部 控制基本規(guī)范 薩班斯法案 上海證券交易所上市 公司內(nèi)部控制指引 深圳證券交易所上市 公司內(nèi)部控制指引 保險(xiǎn)公司風(fēng)險(xiǎn)管理指引（試行） 商業(yè)銀行操作風(fēng)險(xiǎn)管理指引 風(fēng)險(xiǎn)

11、管理與內(nèi)控的關(guān)系31重要會(huì)計(jì)科目和披露事項(xiàng)認(rèn)定?存在 與發(fā) 生完整 性 IDS Scheer AG21表達(dá) 與披 露權(quán)利 與義 務(wù)估價(jià) 與分 攤31相關(guān)業(yè)務(wù)流程確認(rèn)?存在 與發(fā) 生完整 性表達(dá) 與披 露權(quán)利 與義 務(wù)估價(jià) 與分 攤32 IDS Scheer AG2233財(cái)務(wù)報(bào)表認(rèn)定財(cái)務(wù)報(bào)表認(rèn)定：通過(guò)識(shí)別重要會(huì)計(jì)科目和披露事 項(xiàng)中影響財(cái)務(wù)報(bào)告錯(cuò)報(bào)的主要因素，從存在與發(fā) 生、完整性、估價(jià)與分?jǐn)?、?quán)利與義務(wù)、表達(dá)與 披露等五個(gè)方面，針對(duì)財(cái)務(wù)報(bào)告控制目標(biāo)，對(duì)在 內(nèi)部控制體系設(shè)計(jì)層面和執(zhí)行層面需要關(guān)注的重 要會(huì)計(jì)科目所做出的相關(guān)因素作出的確認(rèn)。?存在 與發(fā) 生完整 性表達(dá) 與披 露權(quán)利 與義 務(wù)估價(jià) 與

12、分 攤33 IDS Scheer AG3334流程分析，識(shí)別風(fēng)險(xiǎn)?存在 與發(fā) 生完整 性 IDS Scheer AG34表達(dá) 與披 露權(quán)利 與義 務(wù)估價(jià) 與分 攤以業(yè)務(wù)流程為主線，根據(jù)確認(rèn)的各流程的具 體目標(biāo)，結(jié)合重要會(huì)計(jì)科目和披露事項(xiàng)相關(guān) 的財(cái)務(wù)報(bào)表認(rèn)定，關(guān)注影響財(cái)務(wù)報(bào)告目標(biāo)的 主要因素34影響程度具體描述極高公司將很有可能無(wú)法生存。帶有潛在的災(zāi)難 能導(dǎo)致企業(yè)崩潰。高嚴(yán)重影響業(yè)務(wù)嚴(yán)重破壞公司服務(wù)客戶的能 力。對(duì)于關(guān)鍵性的事件要求付出加倍的努力 來(lái)解決。中對(duì)企業(yè)產(chǎn)生重要的影響和將影響客戶，嚴(yán)重 的事件要求附加的努力來(lái)解決。低僅影響企業(yè)內(nèi)部的業(yè)務(wù)。所造成的后果能被 吸收，但是要求某種管理努力使問(wèn)

13、題簡(jiǎn)化。極低對(duì)企業(yè)內(nèi)部的業(yè)務(wù)的無(wú)影響、后果能通過(guò)正 常的活動(dòng)被吸收?？赡苄跃唧w描述幾乎肯定（95%）前六個(gè)月發(fā)生了幾次很有可能（5095）去年發(fā)生很少幾次可能（2550）去年發(fā)生一次很少（525）前三年發(fā)生一次不可能（5）近5年不可能發(fā)生，上次發(fā)生還 是在5年前甚至更遠(yuǎn)風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)應(yīng)對(duì)目標(biāo)制定25風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)地圖風(fēng)險(xiǎn)偏好風(fēng)險(xiǎn)承受度風(fēng)險(xiǎn)預(yù)警線風(fēng)險(xiǎn)應(yīng)對(duì)策略風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)應(yīng)對(duì)目標(biāo)制定控制關(guān)閉停業(yè)性 能 可接受轉(zhuǎn)移分擔(dān)影響程度風(fēng)險(xiǎn)承受風(fēng)險(xiǎn)分擔(dān)風(fēng)險(xiǎn)降低可能性影響程度風(fēng)險(xiǎn)規(guī)避優(yōu)化流程 內(nèi)部控制財(cái)產(chǎn)保險(xiǎn)計(jì)提準(zhǔn)備26動(dòng)態(tài)預(yù)警關(guān)閉停產(chǎn) 資產(chǎn)出售業(yè)務(wù)外包套期保值風(fēng)險(xiǎn)應(yīng)對(duì)風(fēng)險(xiǎn)應(yīng)對(duì)信息系統(tǒng)總體控制系統(tǒng)控

14、制環(huán)境：總體環(huán)境、信息與溝通、風(fēng)險(xiǎn)評(píng)估、監(jiān)控等項(xiàng)目建設(shè)管理：開發(fā)方法論、項(xiàng)目立項(xiàng)審批、項(xiàng)目啟動(dòng)階段、 項(xiàng)目需求分析、項(xiàng)目設(shè)計(jì)、系統(tǒng)開發(fā)實(shí)施、系 統(tǒng)測(cè)試、數(shù)據(jù)移植、系統(tǒng)上線、項(xiàng)目驗(yàn)收、上 線后審閱、用戶培訓(xùn)、項(xiàng)目文檔管理等變更管理：應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急 變更管理等系統(tǒng)日常運(yùn)作：機(jī)房環(huán)境控制、系統(tǒng)日常運(yùn)作監(jiān)控、批處理作 業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問(wèn)題管理等信息安全：信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安 全、計(jì)算機(jī)病毒防護(hù)、外部第三方信息安全管 理、信息安全事件響應(yīng)等信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信項(xiàng)息最 信目變系終 息建更統(tǒng)用 安設(shè)管日戶 全管理常操 理 運(yùn) 作作27最

15、終用戶操作：最終用戶計(jì)算機(jī)操作安全制度、電子表格管理 等信息系統(tǒng)總體控制所指的是內(nèi)部控制中對(duì)信息系統(tǒng)相關(guān)部分的控制，保證由信息系統(tǒng)支持的 流程控制是可靠的、生成的數(shù)據(jù)和報(bào)告是可信的信息安全主要關(guān)注以下方面的內(nèi)容信息安全物 理 安 全網(wǎng) 絡(luò) 安 全邏 輯 安 全信 息 安 全 管 理 組 織計(jì)算 機(jī)病 毒防 護(hù)第三 方安 全管 理信息 安全 事件 響應(yīng)2843信息安全信息安全管理組織關(guān)注點(diǎn)控制措施實(shí)施證 據(jù)涉及崗位根據(jù)業(yè)務(wù)需求設(shè)置信息安 全管理機(jī)構(gòu)，具有清楚的 角色和職責(zé)定義，并確保 職責(zé)分離在股份公司和地區(qū)公司設(shè)立信息安全管理負(fù) 責(zé)人，可以由信息技術(shù)部門內(nèi)相關(guān)人員兼任明確信息安全管理負(fù)責(zé)人的職

16、責(zé)，并確保職 責(zé)分離，例如信息安全管理負(fù)責(zé)人不應(yīng)兼任 信息技術(shù)日常事務(wù)執(zhí)行工作崗位職責(zé) 說(shuō)明書或 相關(guān)會(huì)議 記錄各級(jí)信息技 術(shù)部門負(fù)責(zé) 人定期（每六個(gè)月）審核本單位信息系統(tǒng)總體 控制活動(dòng)的職責(zé)分離狀況，填寫職責(zé)分離 檢查表，將不符情況報(bào)相關(guān)負(fù)責(zé)人職責(zé)分 離檢查表信息安全管 理負(fù)責(zé)人企業(yè)對(duì)員工進(jìn)行信息安全 教育和培訓(xùn)，以確認(rèn)其具 有基本的信息安全意識(shí)各級(jí)信息技術(shù)部門對(duì)員工進(jìn)行信息安全教育 和培訓(xùn)，并對(duì)培訓(xùn)結(jié)果進(jìn)行書面記錄和歸檔培訓(xùn)計(jì)劃、培訓(xùn)紀(jì)錄信息安全管 理負(fù)責(zé)人員工入職時(shí)，要求其簽署 遵守企業(yè)的信息安全規(guī)定 的聲明員工簽署合同或保密協(xié)議時(shí)應(yīng)包含員工遵守 企業(yè)信息安全規(guī)定聲明人事部門負(fù)責(zé)“聲明”

17、的統(tǒng)一歸檔員工遵守 企業(yè)信息 安全規(guī)定 聲明人事部負(fù)責(zé) 人信息安全物 理 安 全網(wǎng) 絡(luò) 安 全邏 輯 安 全信 息 安 全 管 理 組 織計(jì) 算 機(jī) 病 毒 防 護(hù)外 部 第 三 方 安 全 管 理信 息 安 全 事 件 響 應(yīng)2944監(jiān)督目錄1 內(nèi)部控制體系建設(shè)內(nèi)容 1.1 概 述 1.2 持續(xù)監(jiān)督1.3 獨(dú)立評(píng)估1.4 缺陷報(bào)告2 內(nèi)部控制體系評(píng)價(jià)規(guī)范及執(zhí)行文件2.1 內(nèi)部控制體系評(píng)價(jià)概述2.2 評(píng)價(jià)范圍的確定.2.3 內(nèi)部控制測(cè)試.2.4 缺陷評(píng)估2.5 評(píng)價(jià)報(bào)告2. 6 內(nèi)部控制體系管理規(guī)范.2. 7 監(jiān)督涉及的制度索引.30控制活動(dòng)分類 “自動(dòng)”控制：由系統(tǒng)自動(dòng)設(shè)置控制，為避免風(fēng)險(xiǎn)采

18、取的措 施。例如：超出信用額度，系統(tǒng)自動(dòng)限制發(fā)出貨物及開出 發(fā)票。 “人工”控制：由被授權(quán)的人員執(zhí)行的控制。例如：財(cái)務(wù)經(jīng) 理審核銀行余額調(diào)節(jié)表。應(yīng)付賬會(huì)計(jì)核對(duì)發(fā)票，入庫(kù)單及 合同。 “預(yù)防性”控制：在風(fēng)險(xiǎn)發(fā)生之前，為避免風(fēng)險(xiǎn)采取的措施。 例如：制定政策、準(zhǔn)備備查清單、合同在執(zhí)行前需要審批， 等為預(yù)防性控制； “發(fā)現(xiàn)性”控制：事后做的、為及時(shí)發(fā)現(xiàn)問(wèn)題而采取的措施 是發(fā)現(xiàn)性控制。例如：核對(duì)財(cái)務(wù)系統(tǒng)和資產(chǎn)系統(tǒng)的余額是 否一致，審核記賬憑證是否準(zhǔn)確、編制銀行存款余額調(diào)節(jié) 表等?？刂剖侄?1控制作用控制設(shè)計(jì)程序補(bǔ)充完善相關(guān) 管理制度記錄控制措施確定控制措施確定控制目標(biāo)32 對(duì)業(yè)務(wù)流程進(jìn)行 風(fēng)險(xiǎn)評(píng)估后，根

19、 據(jù)業(yè)務(wù)流程相關(guān) 風(fēng)險(xiǎn)，按照流程 步驟進(jìn)一步確定 控制目標(biāo) 控制目標(biāo)指為防 范和規(guī)避風(fēng)險(xiǎn)， 控制活動(dòng)所要達(dá) 到的具體目標(biāo)。 一般包括完整性 目標(biāo)（C）、準(zhǔn) 確性目標(biāo)（A）、 有效性目標(biāo)（V）、接觸性 目標(biāo)（R）等四 個(gè)方面。 在確定了控制目 標(biāo)后，對(duì)照業(yè)務(wù) 流程步驟，分析 確定達(dá)到控制目 標(biāo)的方法和途徑 并選擇相應(yīng)的控 制方法，設(shè)計(jì)出 達(dá)到控制目標(biāo)的 各項(xiàng)控制措施， 包括制定與控制 措施相關(guān)的政策 和程序、控制頻 率、控制方法（人工或自動(dòng)）以及控制證據(jù)等。 設(shè)計(jì)和確認(rèn)的各 項(xiàng)控制措施和關(guān) 鍵控制，按統(tǒng)一 規(guī)定的控制描述 標(biāo)準(zhǔn)和工具，相 關(guān)控制，編制完 成風(fēng)險(xiǎn)控制管理 文件，包括業(yè)務(wù) 流程圖、風(fēng)

20、險(xiǎn)控 制文檔（RCD） 和程序文件等內(nèi) 容。 按照控制措施， 查找現(xiàn)有管理制 度差異，制定、 完善本單位、本 部門相關(guān)管理制 度。48控制目標(biāo)完整性控制（C）：指生產(chǎn)經(jīng)營(yíng)和財(cái)務(wù)信息數(shù)據(jù)的采集、記錄和處理完整，無(wú)遺漏和重復(fù)。如：租金未及時(shí)確認(rèn)，或重復(fù)確認(rèn)當(dāng)期費(fèi)用就會(huì)影響完整性。把當(dāng)期所有的合同信息都完整地、不重復(fù)地錄入合同管理系統(tǒng)。按照會(huì)計(jì)確認(rèn)收入的原則，將當(dāng)期所有的銷售收入記錄下來(lái)。保證合并報(bào)表的原始數(shù)據(jù)包括了所有需要合并的會(huì)計(jì)核算單位的數(shù)據(jù)。準(zhǔn)確性控制（A）：指所有信息和數(shù)據(jù)計(jì)算、歸集和記錄操作等準(zhǔn)確。如：保證賬務(wù)處理的金額是準(zhǔn)確的。在采購(gòu)業(yè)務(wù)中，合同上的價(jià)格、數(shù)量應(yīng)該準(zhǔn)確。銷售收入應(yīng)當(dāng)記入

21、正確的會(huì)計(jì)期間。發(fā)票內(nèi)容與銷售交易內(nèi)容或合同應(yīng)當(dāng)一致。有效性控制（V）：指所有的生產(chǎn)經(jīng)營(yíng)活動(dòng)都經(jīng)過(guò)適當(dāng)?shù)氖跈?quán)和批準(zhǔn)，都是真實(shí)發(fā)生的，并按 規(guī)定保存有效的原始文件。如：付款經(jīng)過(guò)適當(dāng)級(jí)別的審批。記錄的銷售收入是真實(shí)的。費(fèi)用支出與公司的業(yè)務(wù)相關(guān)，且符合公司的費(fèi)用開支標(biāo)準(zhǔn)。接觸性控制（R）：指信息處理和實(shí)物資產(chǎn)的保護(hù)和安全控制。如：防止存貨和實(shí)物資產(chǎn)的偷竊和遺失。會(huì)計(jì)人員只能在授權(quán)的情況下，編制與自己分管業(yè)務(wù)相關(guān)的會(huì)計(jì)憑證。對(duì)企業(yè)投資實(shí)施計(jì)劃的保密，防止被不相關(guān)的人員了解。33控制活動(dòng)分類（續(xù)）公司層面業(yè)務(wù)（流程）層面 信息系統(tǒng)總體控制公司層面控制控制環(huán)境范圍內(nèi)的內(nèi)部控制，包括 道德準(zhǔn)則的建立與推行、

22、高層管理者 基調(diào)、檢舉揭發(fā)機(jī)制、權(quán)限和職責(zé)分 工、審計(jì)委員會(huì)、IT環(huán)境與組織以及 人力資源政策等；反舞弊程序與控制；風(fēng)險(xiǎn)評(píng)估流程、監(jiān)督；經(jīng)營(yíng)活動(dòng)分析、審核；期末財(cái)務(wù)報(bào)告流程；突發(fā)事件應(yīng)急處理等業(yè)務(wù)活動(dòng)控制業(yè)務(wù)活動(dòng)控制相關(guān)應(yīng)用系統(tǒng)控制信息系統(tǒng)總體控制IT 基礎(chǔ)設(shè)施34數(shù)據(jù)庫(kù)操作系統(tǒng)53以企業(yè)內(nèi)部控制基本規(guī)范為基 礎(chǔ)，融合了COSO企業(yè)風(fēng)險(xiǎn)管理框 架企業(yè)內(nèi)部控制體系框架建立決策、運(yùn)營(yíng)、監(jiān)督和信息與溝通 于一體的內(nèi)部控制體系，覆蓋生產(chǎn)經(jīng) 營(yíng)的全過(guò)程和主要經(jīng)營(yíng)管理崗位 滿足國(guó)內(nèi)外相關(guān) 法律法規(guī)的要求 推動(dòng)企業(yè)規(guī)范化 管理 順利通過(guò)內(nèi)部控 制審計(jì) 符合風(fēng)險(xiǎn)管理的 發(fā)展趨勢(shì)設(shè)計(jì)目標(biāo)：內(nèi)容：系統(tǒng)闡述內(nèi)控體系

23、建設(shè)的方 法和標(biāo)準(zhǔn)，全面涵蓋了以下 五要素： 內(nèi)部環(huán)境 風(fēng)險(xiǎn)評(píng)估 控制活動(dòng) 信息與溝通 內(nèi)部監(jiān)督執(zhí)行：經(jīng)項(xiàng)目建設(shè)委員會(huì)審議通過(guò)后發(fā)布試行53風(fēng)險(xiǎn)評(píng)估與內(nèi)控設(shè)計(jì)導(dǎo)向內(nèi)控體系構(gòu)建基本流程2543現(xiàn)狀描述風(fēng)險(xiǎn)分析、 評(píng)估、確認(rèn)內(nèi)控體系試行、完善內(nèi)控體系內(nèi)部 測(cè)試及審計(jì)1項(xiàng)目啟動(dòng)6維護(hù)及改進(jìn)成立項(xiàng)目 建設(shè)委員 會(huì)、項(xiàng)目 工作組前期培訓(xùn)流程目錄流程圖、 RCD文檔、 程序文件風(fēng)險(xiǎn)數(shù)據(jù) 庫(kù)風(fēng)險(xiǎn)評(píng)估、 確認(rèn)關(guān)鍵控制 管理文件內(nèi)控體系 框架內(nèi)控管理 手冊(cè)內(nèi)控體系正 式運(yùn)行管理層測(cè)試外部審計(jì)長(zhǎng)期運(yùn)行，持續(xù)維護(hù) 改進(jìn)，提 升公司管 理水平有效的工作推進(jìn)方式統(tǒng)一設(shè)計(jì)、集中培訓(xùn)、試點(diǎn)先行、全面推廣分階段制定詳細(xì)工作計(jì)劃，并隨時(shí)根據(jù)實(shí)際進(jìn)行調(diào)整36風(fēng)險(xiǎn)導(dǎo)向內(nèi)控體系構(gòu)建基本流程組織問(wèn)題風(fēng)控 問(wèn)題流程 問(wèn)題企業(yè) 調(diào)研內(nèi)部控制設(shè)計(jì)主要工作步驟1對(duì)企業(yè)內(nèi)部控制進(jìn)行全面調(diào)研和審計(jì)37哪些業(yè)務(wù)單元比要 求落后？誰(shuí)對(duì)什么負(fù)責(zé)？不同人