內部控制-控制活動課件

內部控制專題

—控制活動

內部控制專題

—控制活動本專題內容coso1992《內部控制整體框架》coso2004《企業(yè)風險管理總體框架》coso2013《內部控制—整體框架》中國《企業(yè)內部控制基本規(guī)范》

本專題內容coso1992《內部控制整體框架》1992《內部控制整體框架》總體情況背景：水門事件后，內部控制理論引起了美國各界的廣泛重視。然而，對內部控制的理解分歧卻由來已久，立法者、監(jiān)管者和商人的不同利益決定了各自不同的立場。特點：該報告的核心內容是內部控制的定義、目標和要素。報告中提出的觀點，超越了內控思想的以往理論棗內部牽制、內部控制制度和內部控制結構等理論。1992《內部控制整體框架》總體情況1992《內部控制整體框架》一、概念定義：必須確立和執(zhí)行控制政策和程序，以確保那些被管理層認為必要的減少風險的措施得以執(zhí)行，從而實現(xiàn)經營目標。特點：控制行為體現(xiàn)在整個企業(yè)的不同層次和不同部門中。包括批準、授權、查證、核對、復核經營業(yè)績、資產保護和職責分工等活動。1992《內部控制整體框架》一、概念1992《內部控制整體框架》二、控制活動的類型高層復核：復核是指相對于預算，預測，前期和競爭對手的實際業(yè)績情況。企業(yè)主要的行為應被追蹤以衡量目標實現(xiàn)的程度。職能指導或業(yè)務管理：職能或業(yè)務部門的經理復核業(yè)績報告。信息處理：用于核對交易的準確性、完整性和遵循性。記錄的數(shù)據(jù)應與支票和經批準的控制文件相符。實物控制：設備、存貨、證券、現(xiàn)金及其他資產實物應得到保護，并定期進行盤點和帳實核對。業(yè)績指標：將不同類的數(shù)據(jù)（經營或財務）聯(lián)系起來，連同關聯(lián)性分析、調查和改進行為，構成了這一控制活動。職責分離：為了降低發(fā)生錯誤或不當行為的危險，職責在不同人們之間進行分工或分離。1992《內部控制整體框架》二、控制活動的類型1992《內部控制整體框架》三、政策和程序兩類要素：應該做什么的政策；實現(xiàn)該政策的程序。注意：1.大多數(shù)，政策以口頭形式傳達，但不管政策是否是書面的，必須被仔細地、盡責地、一貫地執(zhí)行。

2.調查執(zhí)行程序中發(fā)現(xiàn)情況并采取適當?shù)募m正措施，是很關鍵的。1992《內部控制整體框架》三、政策和程序1992《內部控制整體框架》四、與風險評估結合

在風險評估同時，管理層為了管理風險，應確定相應的行動并使之有效。被確定用于管理風險的行動也用于重點關注控制活動是否已經到位，以有助于確保正確、及時地執(zhí)行這些行動。1992《內部控制整體框架》四、與風險評估結合1992《內部控制整體框架》五、信息系統(tǒng)的控制目標：用于保證財務和其他信息系統(tǒng)的完整性、準確性和遵循性。分類：一般性控制。對數(shù)據(jù)中心操作、系統(tǒng)軟件的購買和維護、數(shù)據(jù)入口安全、以及應用系統(tǒng)開發(fā)和維護的控制（適用多數(shù)應用系統(tǒng)）。

應用性控制。用于控制應用過程，協(xié)助保證交易處理的完整性、準確性、交易授權和有效性。1992《內部控制整體框架》五、信息系統(tǒng)的控制1992《內部控制整體框架》兩者關系：一般性控制用于保證建立在計算機程序基礎上的應用性控制得以實施。如果沒有充分的一般性控制，也就不可能依賴應用性控制。一般性控制用于支持應用性控制的功能，兩者都用于保證信息處理過程的完整性和準確性。1992《內部控制整體框架》兩者關系：1992《內部控制整體框架》六、正在發(fā)展的問題出于對許多新興技術影響的考慮，提出了新的控制問題。內容：CASE（計算機輔助軟件工程）開發(fā)工具、依據(jù)原型創(chuàng)建新系統(tǒng)、圖像處理和電子數(shù)據(jù)交換、人工智能或專家系統(tǒng)。1992《內部控制整體框架》六、正在發(fā)展的問題1992《內部控制整體框架》七、企業(yè)特殊性

原因：企業(yè)擁有自身的一套目標和實施策略、每個企業(yè)由不同的人管理、企業(yè)經營的環(huán)境和行業(yè)、組織的歷史和文化的不同。案例：行為多樣的復雜組織較之行為單一的簡單組織，可能面臨更困難的控制問題。

分權經營的企業(yè)將重點放在地區(qū)自治和改革上，較之高度集權的企業(yè)，具有不同的控制環(huán)境。1992《內部控制整體框架》七、企業(yè)特殊性1992《內部控制整體框架》八、對中小企業(yè)的應用小組織中控制活動包含的概念不可能與大組織相差太遠，但是控制活動實施的正式程度卻有所差異。進而，由于中小企業(yè)管理層所實施的高度有效的控制，其可能發(fā)現(xiàn)有些類型的控制活動并非總與之相關的。九、評估必須按照管理層針對企業(yè)每項重要業(yè)務的既定目標而做出的風險管理的指示，對控制活動進行評估。因此，評估者將考慮控制活動是否與風險評估過程相關，以及它們是否恰當?shù)乇ＷC了管理層的指示得以實施。1992《內部控制整體框架》八、對中小企業(yè)的應用2004《企業(yè)風險管理總體框架》總體情況背景：企業(yè)內部不同部門或不同業(yè)務的風險，使企業(yè)意識到不能從單個業(yè)務、部門的角度考慮風險，必須根據(jù)風險組合的觀點，從貫穿整個企業(yè)的角度看風險。特點：ERM是在內部控制整體框架基礎上發(fā)展而來的。ERM并沒有否定內部控制框架，但它將內部控制框架整合在內，采用這一框架，企業(yè)既可以滿足內部控制的需要，也可以建立一個完整的風險管理過程。2004《企業(yè)風險管理總體框架》總體情況2004《企業(yè)風險管理總體框架》一、概念定義：為幫助確保管理層的指示得到實施的政策和程序。企業(yè)風險管理的構成要素之一。特點：1.控制活動由組織各部門依據(jù)不同目標要求實施,并貫穿組織過程始終。2.一項特定的控制活動可能有助于滿足主體的多個類別的目標。2004《企業(yè)風險管理總體框架》一、概念2004《企業(yè)風險管理總體框架》二、與風險應對相結合特點：目標、風險應對和控制活動三者相互關聯(lián)。解釋：1.對于特定的目標而言，控制活動本身就是風險應對。

2.控制活動是企業(yè)致力實現(xiàn)其經營目標的過程的一個重要部分。措施：1.選定了風險應對之后，要確定用來幫助確保這些風險應對得以恰當?shù)睾图皶r地實施所需的控制活動。

2.對控制活動的選擇或評審應該包含對它們與風險應對和相關目標的相關性和恰當性的考慮。2004《企業(yè)風險管理總體框架》二、與風險應對相結合2004《企業(yè)風險管理總體框架》三、控制活動的類型高層復核：對照預算、預測、以前期間和競爭者來復核實際的業(yè)績。并對新產品開發(fā)、籌資計劃的執(zhí)行進行監(jiān)控。直接的職能或活動管理：負責職能機構或活動的管理人員審核業(yè)績報告。信息處理：實施一系列的控制來檢查交易的準確性、完整性和授權。輸入的數(shù)據(jù)要與經批準的控制文件相匹配。實物控制：對設備、存貨、現(xiàn)金和其他資產進行實物性的保護，定期盤點，并與控制記錄所反映的數(shù)額相比較。業(yè)績指標：把不同系列的各種經營的或者財務的各種數(shù)據(jù)彼此聯(lián)系起來，與對相互關系的分析以及調查和矯正措施一起，構成了一項控制活動。職責分離：把不同人員的職責予以分開或隔離，以便降低錯誤或舞弊的風險。2004《企業(yè)風險管理總體框架》三、控制活動的類型2004《企業(yè)風險管理總體框架》四、政策和程序兩個要素：做什么的政策；實現(xiàn)政策的程序。注意：1.政策一般是口頭溝通的，不管是否成文，政策都必須仔細地、有意識地和一貫地執(zhí)行。

2.根據(jù)所觀察的程序和所采取的適當?shù)某C正措施來辨別情況也是至關重要的。后續(xù)措施可能會因企業(yè)的規(guī)模和組織結構而異。2004《企業(yè)風險管理總體框架》四、政策和程序2004《企業(yè)風險管理總體框架》五、對信息系統(tǒng)的控制一般控制：適用于許多并非全部應用系統(tǒng)。應用控制：定義：直接關注數(shù)據(jù)獲取和處理的完整性、準確性、授權和有效性。重要目標：確保在需要時能獲取或生成數(shù)據(jù)；防止錯誤進入系統(tǒng)，以及在錯誤發(fā)生時予以察覺和矯正。重要性：一般控制和應用控制，在必要的時候與人工實施的控制結合起來，共同起作用以確保信息的完整性、準確性和有效性。2004《企業(yè)風險管理總體框架》五、對信息系統(tǒng)的控制2004《企業(yè)風險管理總體框架》一般控制內容：信息技術管理：一個指導委員提供對信息技術活動和改進行動的監(jiān)督、監(jiān)控和報告。信息技術基礎結構：將控制應用于系統(tǒng)的界定、獲取、安裝、配置、整合和維護。安全管理：類似安全密碼等邏輯進入控制限制進入網(wǎng)絡、數(shù)據(jù)庫和應用層。軟件獲取、開發(fā)和維護：對軟件獲取和執(zhí)行的控制要結合到一項既定的程序之中，以管理變更事項，包括文件要求、用戶接受測試、壓力測試和項目風險評估。2004《企業(yè)風險管理總體框架》一般控制內容：2004《企業(yè)風險管理總體框架》六、主體的特殊性原因：有自己的一套目標和執(zhí)行方法、每個主體由不同的人員進行管理、主體經營所處的環(huán)境和行業(yè)，歷史，文化的差異。案例：多元化活動的大型復雜組織可能比活動種類較少的小型簡單組織面臨更艱難的控制問題。一個分散化經營、強調地區(qū)自主性和創(chuàng)新的主體，面臨與一個高度集中化的主體不同的控制環(huán)境。2004《企業(yè)風險管理總體框架》六、主體的特殊性《企業(yè)內部控制基本規(guī)范》

總體情況背景：沒有統(tǒng)一的企業(yè)內部控制規(guī)范，加上一些上市公司內部控制意識淡薄，出現(xiàn)了企業(yè)內部控制失效甚至舞弊的案件，損害了投資者利益，在市場上造成了惡劣影響。事件：2008年6月28日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》。自2009年7月1日起先在上市公司范圍內施行，鼓勵非上市的其他大中型企業(yè)執(zhí)行?！镀髽I(yè)內部控制基本規(guī)范》

總體情況《企業(yè)內部控制基本規(guī)范》

一、概念含義:企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。措施:不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制?！镀髽I(yè)內部控制基本規(guī)范》

一、概念《企業(yè)內部控制基本規(guī)范》(一)不相容職務分離控制不相容職務:同一人員承擔具有產生錯誤或導致舞弊可能性的崗位。要求:企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。目標:從人員職務配置上預防舞弊或錯誤的產生，以實現(xiàn)內部控制的目標?！镀髽I(yè)內部控制基本規(guī)范》(一)不相容職務分離控制《企業(yè)內部控制基本規(guī)范》（二）授權審批控制(職權配置)要求:根據(jù)常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。種類：常規(guī)授權、特別授權。形式：書面形式。

對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策?！镀髽I(yè)內部控制基本規(guī)范》（二）授權審批控制(職權配置)《企業(yè)內部控制基本規(guī)范》（三）會計系統(tǒng)控制要求:嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。目標：對會計信息系統(tǒng)實施，以確保財務報告可靠性。內容：會計準則和相關的會計制度的選擇、會計政策選擇、會計估計確定、文件和憑證控制、會計檔案保管控制、業(yè)務流程控制、組織和人員控制、建立會計崗位制度。《企業(yè)內部控制基本規(guī)范》（三）會計系統(tǒng)控制《企業(yè)內部控制基本規(guī)范》（四）財產保護控制要求：建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。措施：限制接近、財產清查、財產檔案建立和保管、財產保險。（五）預算控制要求：實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下達和執(zhí)行程序，強化預算約束。作用：確立目標、整合資源、控制業(yè)務、評價業(yè)績。循環(huán)：目標確定—預算編制—預算執(zhí)行—分析和考評?！镀髽I(yè)內部控制基本規(guī)范》（四）財產保護控制《企業(yè)內部控制基本規(guī)范》（六）運營分析控制定義：對企業(yè)經營活動等情況運用相關信息進行比較、分析，發(fā)現(xiàn)問題、查找原因，以改進和提高經營活動的效率與效果的活動。方法：比較法、比率法、趨勢分析法、因素分析法、綜合分析法。（七）績效考評控制要求：建立和實施績效考評制度，科學設置考核指標體系，對各責任單位和全體員工的業(yè)績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調崗、辭退等的依據(jù)。模式：會計基礎業(yè)績評價模式、經濟基礎業(yè)績評價模式、戰(zhàn)略管理業(yè)績評價模式《企業(yè)內部控制基本規(guī)范》（六）運營分析控制《企業(yè)內部控制基本規(guī)范》預警機制和應急機制目標：保證各項經營活動的順利進行。措施：1.建立和完善重大風險預警機制，明確風險預警標準，使企業(yè)能夠對經營活動中存在的重大風險及時預警，防患于未然，及時采取措施化解風險。

2.建立和完善突發(fā)事件應急處理機制，對可能發(fā)生的突發(fā)事件制定應急預案，確保突發(fā)事件得到及時妥善處理。對風險的重視：企業(yè)應當根據(jù)內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制?！镀髽I(yè)內部控制基本規(guī)范》預警機制和應急機制2013《內部控制—整體框架》總體情況背景：企業(yè)的經營環(huán)境和管理模式發(fā)生巨大變化，新的科技應用和復雜組織結構以及嚴格的治理要求，使企業(yè)更重視公司治理和風險管理，關注范圍擴及非財務報告的內部控制。事件：2010年9月COSO委員會啟動了對《企業(yè)內部控制整體框架》的審核與更新，并聘請普華永道會計師事務所(PWC)作為項目計劃執(zhí)行單位，著手新框架的制訂工作。特點：原則導向、公司治理、目標設定、財務報告。2013《內部控制—整體框架》總體情況2013《內部控制—整體框架》新原則一內容：組織選擇并設置控制活動，以將威脅組織目標實現(xiàn)的風險降低到可接受的水平。分析：針對已識別的各類風險，組織針對性的控制活動，以降低風險水平。活動：財產保護、不相容職責分離、會計記錄、授權審批等。操作：在公司整體及具體業(yè)務流程層面，設置相應的控制措施；控制措施對應職責清晰分配至具體具有專業(yè)勝任能力的人員。2013《內部控制—整體框架》新原則一2013《內部控制—整體框架》新原則二內容：組織針對技術選擇并且設置一般控制活動，以支持組織目標實現(xiàn)。分析：相對于具體業(yè)務層面風險，技術風險具有自身特征。并對與技術相關的風險進行了強調。操作：加強技術開發(fā)（如ERP開發(fā)）過程中的風險控制。加強對處于運行狀態(tài)的技術系統(tǒng)進行監(jiān)控。加強針對技術的專項評價/審計。2013《內部控制—整體框架》新原則二2013《內部控制—整體框架》新原則三內容：組織通過制定政策（以明確控制期望）和具體流程（以將控制期望轉換為具體行為）來貫徹控制活動。分析：控制活動的貫徹分一般控制政策、業(yè)務流程。后者作為前者的具體實現(xiàn)方式。（政策制定應當具備明確目標，具備實踐指導性）。操作：在公司層面及具體業(yè)務層面，明確各工作事項的控制政策，并且在具體流程設計中體現(xiàn)這些政策。2013《內部控制—整體框架》新原則三

謝謝！內部控制_控制活動課件生活中的辛苦阻撓不了我對生活的熱愛。10月-2210月-22Tuesday,October11,2022人生得意須盡歡，莫使金樽空對月。02:41:18