《內部控制-控制活動》由會員分享�����,可在線閱讀�����,更多相關《內部控制-控制活動(33頁珍藏版)》請在裝配圖網(wǎng)上搜索���。
1����、 內部控制專題 控制活動 本專題內容 coso1992內部控制整體框架 coso2004企業(yè)風險管理總體框架 coso2013內部控制 整體框架 中國 企業(yè)內部控制基本規(guī)范 1992內部控制整體框架 總體情況 背景: 水門事件后,內部控制理論引起了美國各界的廣泛重 視����。然而,對內部控制的理解分歧卻由來已久�,立法者、監(jiān) 管者和商人的不同利益決定了各自不同的立場����。 特點: 該報告的核心內容是內部控制的定義����、目標和要素。 報告中提出的觀點��,超越了內控思想的以往理論棗內部牽制����、 內部控制制度和內部控制結構等理論。 1992內部控制整體框架 一�����、概念 定義: 必須確立和執(zhí)行控制政策和程序,以確保那些被管
2��、 理層認為必要的減少風險的措施得以執(zhí)行�����,從而實現(xiàn)經(jīng)營 目標�����。 特點: 控制行為體現(xiàn)在整個企業(yè)的不同層次和不同部門中����。 包括批準、授權�、查證、核對��、復核經(jīng)營業(yè)績�、資產(chǎn)保護 和職責分工等活動。 1992內部控制整體框架 二����、控制活動的類型 高層復核: 復核是指相對于預算���,預測,前期和競爭對手的 實際業(yè)績情況��。企業(yè)主要的行為應被追蹤以衡量目標實現(xiàn)的 程度�����。 職能指導或業(yè)務管理: 職能或業(yè)務部門的經(jīng)理復核業(yè)績報告�。 信息處理: 用于核對交易的準確性、完整性和遵循性��。記錄 的數(shù)據(jù)應與支票和經(jīng)批準的控制文件相符�����。 實物控制: 設備��、存貨��、證券�����、現(xiàn)金及其他資產(chǎn)實物應得到 保護����,并定期進行盤點和帳實核對。 業(yè)
3��、績指標: 將不同類的數(shù)據(jù)(經(jīng)營或財務)聯(lián)系起來����,連同 關聯(lián)性分析、調查和改進行為��,構成了這一控制活動�。 職責分離: 為了降低發(fā)生錯誤或不當行為的危險,職責在不 同人們之間進行分工或分離�。 1992內部控制整體框架 三、政策和程序 兩類要素: 應該做什么的政策���;實現(xiàn)該政策的程序���。 注意: 1.大多數(shù),政策以口頭形式傳達���,但不管政策是否 是書面的��,必須被仔細地���、盡責地����、一貫地執(zhí)行����。 2.調查執(zhí)行程序中發(fā)現(xiàn)情況并采取適當?shù)募m正措 施,是很關鍵的����。 1992內部控制整體框架 四、與風險評估結合 在風險評估同時�����,管理層為了管理風險����,應確定相應的行 動并使之有效�。被確定用于管理風險的行動也用于重點關 注控
4、制活動是否已經(jīng)到位�����,以有助于確保正確、及時地執(zhí) 行這些行動�����。 1992內部控制整體框架 五�、信息系統(tǒng)的控制 目標: 用于保證財務和其他信息系統(tǒng)的完整性、準確性和遵 循性 ��。 分類: 一般性控制��。對數(shù)據(jù)中心操作���、系統(tǒng)軟件的購買和維 護�����、數(shù)據(jù)入口安全�����、以及應用系統(tǒng)開發(fā)和維護的控制(適用 多數(shù)應用系統(tǒng))��。 應用性控制����。用于控制應用過程,協(xié)助保證交易處理 的完整性����、準確性、交易授權和有效性����。 1992內部控制整體框架 兩者關系: 一般性控制用于保證建立在計算機程序基礎上的應用性控制 得以實施。 如果沒有充分的一般性控制����,也就不可能依賴應用性控制。 一般性控制用于支持應用性控制的功能�����,兩者都用于保證信
5���、息處理過程的完整性和準確性�����。 1992內部控制整體框架 六、正在發(fā)展的問題 出于對許多新興技術影響的考慮����,提出了新的控制問題�。 內容: CASE(計算機輔助軟件工程)開發(fā)工具��、依據(jù)原型 創(chuàng)建新系統(tǒng)�����、圖像處理和電子數(shù)據(jù)交換����、人工智能或專家 系統(tǒng)。 1992內部控制整體框架 七�、企業(yè)特殊性 原因: 企業(yè)擁有自身的一套目標和實施策略、每個企業(yè)由 不同的人管理�、企業(yè)經(jīng)營的環(huán)境和行業(yè)、組織的歷史和文 化的不同�。 案例: 行為多樣的復雜組織較之行為單一的簡單組織,可 能面臨更困難的控制問題����。 分權經(jīng)營的企業(yè)將重點放在地區(qū)自治和改革上,較 之高度集權的企業(yè)�����,具有不同的控制環(huán)境。 1992內部控制整體框架 八
6��、�����、對中小企業(yè)的應用 小組織中控制活動包含的概念不可能與大組織相差太遠�����, 但是控制活動實施的正式程度卻有所差異�。進而,由于中 小企業(yè)管理層所實施的高度有效的控制���,其可能發(fā)現(xiàn)有些 類型的控制活動并非總與之相關的�。 九�����、評估 必須按照管理層針對企業(yè)每項重要業(yè)務的既定目標而做出 的風險管理的指示�����,對控制活動進行評估。因此�����,評估者 將考慮控制活動是否與風險評估過程相關���,以及它們是否 恰當?shù)乇WC了管理層的指示得以實施。 2004企業(yè)風險管理總體框架 總體情況 背景: 企業(yè)內部不同部門或不同業(yè)務的風險�����,使企業(yè)意識到 不能從單個業(yè)務��、部門的角度考慮風險����,必須根據(jù)風險組合 的觀點,從貫穿整個企業(yè)的角度看風險��。
7��、特點: ERM是在內部控制整體框架基礎上發(fā)展而來的����。 ERM 并沒有否定內部控制框架,但它將內部控制框架整合在內, 采用這一框架�,企業(yè)既可以滿足內部控制的需要,也可以建 立一個完整的風險管理過程�����。 2004企業(yè)風險管理總體框架 一���、概念 定義: 為幫助確保管理層的指示得到實施的政策和程序���。 企業(yè)風險管理的構成要素之一。 特點: 1.控制活動由組織各部門依據(jù)不同目標要求實施 , 并貫穿組織過程始終��。 2.一項特定的控制活動可能有助于滿足主體的多 個類別的目標����。 2004企業(yè)風險管理總體框架 二、與風險應對相結合 特點: 目標����、風險應對和控制活動三者相互關聯(lián)。 解釋: 1.對于特定的目標而言�����,控制
8、活動本身就是風險應對��。 2.控制活動是企業(yè)致力實現(xiàn)其經(jīng)營目標的過程的一個 重要部分�。 措施: 1.選定了風險應對之后,要確定用來幫助確保這些風 險應對得以恰當?shù)睾图皶r地實施所需的控制活動���。 2.對控制活動的選擇或評審應該包含對它們與風險應 對和相關目標的相關性和恰當性的考慮。 2004企業(yè)風險管理總體框架 三���、控制活動的類型 高層復核: 對照預算����、預測�、以前期間和競爭者來復核實 際的業(yè)績。并對新產(chǎn)品開發(fā)����、籌資計劃的執(zhí)行進行監(jiān)控。 直接的職能或活動管理: 負責職能機構或活動的管理人員 審核業(yè)績報告��。 信息處理: 實施一系列的控制來檢查交易的準確性�����、完整 性和授權。輸入的數(shù)據(jù)要與經(jīng)批準的控制文件相
9�、匹配。 實物控制: 對設備�����、存貨��、現(xiàn)金和其他資產(chǎn)進行實物性的 保護���,定期盤點��,并與控制記錄所反映的數(shù)額相比較���。 業(yè)績指標: 把不同系列的各種經(jīng)營的或者財務的各種數(shù)據(jù) 彼此聯(lián)系起來,與對相互關系的分析以及調查和矯正措施 一起�����,構成了一項控制活動�。 職責分離: 把不同人員的職責予以分開或隔離,以便降低 錯誤或舞弊的風險����。 2004企業(yè)風險管理總體框架 四��、政策和程序 兩個要素: 做什么的政策����;實現(xiàn)政策的程序�����。 注意: 1.政策一般是口頭溝通的�,不管是否成文,政策都必 須仔細地��、有意識地和一貫地執(zhí)行�����。 2.根據(jù)所觀察的程序和所采取的適當?shù)某C正措施來辨 別情況也是至關重要的��。后續(xù)措施可能會因企業(yè)的規(guī)模
10�����、和組 織結構而異�。 2004企業(yè)風險管理總體框架 五���、對信息系統(tǒng)的控制 一般控制 :適用于許多并非全部應用系統(tǒng)����。 應用控制: 定義: 直接關注數(shù)據(jù)獲取和處理的完整性、準確性����、授權 和有效性。 重要目標: 確保在需要時能獲取或生成數(shù)據(jù)�;防止錯誤進 入系統(tǒng),以及在錯誤發(fā)生時予以察覺和矯正�����。 重要性: 一般控制和應用控制��,在必要的時候與人工實施 的控制結合起來�,共同起作用以確保信息的完整性、準確 性和有效性���。 2004企業(yè)風險管理總體框架 一般控制內容: 信息技術管理 : 一個指導委員提供對信息技術活動和改進 行動的監(jiān)督����、監(jiān)控和報告���。 信息技術基礎結構 : 將控制應用于系統(tǒng)的界定����、獲取、安 裝�、配置
11、�、整合和維護。 安全管理: 類似安全密碼等邏輯進入控制限制進入網(wǎng)絡��、 數(shù)據(jù)庫和應用層�����。 軟件獲取�����、開發(fā)和維護: 對軟件獲取和執(zhí)行的控制要結合 到一項既定的程序之中���,以管理變更事項,包括文件要求�����、 用戶接受測試、壓力測試和項目風險評估���。 2004企業(yè)風險管理總體框架 六��、主體的特殊性 原因: 有自己的一套目標和執(zhí)行方法�、每個主體由不同的 人員進行管理�����、主體經(jīng)營所處的環(huán)境和行業(yè)��,歷史��,文化 的差異�。 案例: 多元化活動的大型復雜組織可能比活動種類較少的 小型簡單組織面臨更艱難的控制問題。 一個分散化經(jīng)營�����、強調地區(qū)自主性和創(chuàng)新的主體�, 面臨與一個高度集中化的主體不同的控制環(huán)境。 企業(yè)內部控制基本規(guī)范
12���、 總體情況 背景: 沒有統(tǒng)一的企業(yè)內部控制規(guī)范��,加上一些上市公司 內部控制意識淡薄�,出現(xiàn)了企業(yè)內部控制失效甚至舞弊的 案件,損害了投資者利益�����,在市場上造成了惡劣影響�。 事件: 2008年 6月 28日,財政部����、證監(jiān)會、審計署�����、銀監(jiān) 會���、保監(jiān)會聯(lián)合發(fā)布了企業(yè)內部控制基本規(guī)范�����。自 2009年 7月 1日起先在上市公司范圍內施行,鼓勵非上市的 其他大中型企業(yè)執(zhí)行�。 企業(yè)內部控制基本規(guī)范 一��、概念 含義 :企業(yè)根據(jù)風險評估結果�,采用相應的控制措施����,將 風險控制在可承受度之內。 措施 :不相容職務分離控制���、授權審批控制���、會計系統(tǒng)控 制、財產(chǎn)保護控制�、預算控制、運營分析控制和績效考評 控制��。 企業(yè)內部控制
13���、基本規(guī)范 (一 )不相容職務分離控制 不相容職務 :同一人員承擔具有產(chǎn)生錯誤或導致舞弊可能 性的崗位�。 要求 :企業(yè)全面系統(tǒng)地分析����、梳理業(yè)務流程中所涉及的不 相容職務,實施相應的分離措施,形成各司其職�、各負其 責、相互制約的工作機制����。 目標 :從人員職務配置上預防舞弊或錯誤的產(chǎn)生,以實現(xiàn) 內部控制的目標�����。 企業(yè)內部控制基本規(guī)范 (二)授權審批控制 (職權配置 ) 要求 :根據(jù)常規(guī)授權和特別授權的規(guī)定��,明確各崗位辦理 業(yè)務和事項的權限范圍�、審批程序和相應責任。 種類: 常規(guī)授權�、特別授權。 形式: 書面形式�。 對于重大的業(yè)務和事項,應當實行集體決策審批或者聯(lián)簽 制度���,任何個人不得單獨進行決策或者
14�、擅自改變集體決策���。 企業(yè)內部控制基本規(guī)范 (三)會計系統(tǒng)控制 要求 :嚴格執(zhí)行國家統(tǒng)一的會計準則制度�,加強會計基礎 工作�,明確會計憑證、會計賬簿和財務會計報告的處理程 序�����,保證會計資料真實完整���。 目標: 對會計信息系統(tǒng)實施����,以確保財務報告可靠性���。 內容: 會計準則和相關的會計制度的選擇����、 會計政策選擇�、 會計估計確定、文件和憑證控制���、會計檔案保管控制����、業(yè) 務流程控制、組織和人員控制���、建立會計崗位制度����。 企業(yè)內部控制基本規(guī)范 (四)財產(chǎn)保護控制 要求: 建立財產(chǎn)日常管理制度和定期清查制度�,采取財產(chǎn) 記錄、實物保管�、定期盤點、賬實核對等措施�,確保財產(chǎn) 安全。 措施: 限制接近�、財產(chǎn)清查、 財產(chǎn)檔案
15�����、建立和保管��、財產(chǎn) 保險��。 (五) 預算控制 要求: 實施全面預算管理制度���,明確各責任單位在預算管 理中的職責權限�,規(guī)范預算的編制、審定����、下達和執(zhí)行程 序����,強化預算約束。 作用: 確立目標����、整合資源、控制業(yè)務�����、評價業(yè)績��。 循環(huán): 目標確定 預算編制 預算執(zhí)行 分析和考評���。 企業(yè)內部控制基本規(guī)范 (六)運營分析控制 定義: 對企業(yè)經(jīng)營活動等情況運用相關信息進行比較�、分 析�����,發(fā)現(xiàn)問題、查找原因����,以改進和提高經(jīng)營活動的效率 與效果的活動。 方法: 比較法�����、比率法�、趨勢分析法、因素分析法���、綜合 分析法�����。 (七) 績效考評控制 要求: 建立和實施績效考評制度��,科學設置考核指標體系��, 對各責任單位和全體員工
16�����、的業(yè)績進行定期考核和客觀評價�����, 將考評結果作為確定員工薪酬以及職務晉升����、評優(yōu)、降級����、 調崗����、辭退等的依據(jù)。 模式: 會計基礎業(yè)績評價模式�、經(jīng)濟基礎業(yè)績評價模式、 戰(zhàn)略管理業(yè)績評價模式 企業(yè)內部控制基本規(guī)范 預警機制和應急機制 目標: 保證各項經(jīng)營活動的順利進行�。 措施: 1.建立和完善重大風險預警機制,明確風險預警標 準�,使企業(yè)能夠對經(jīng)營活動中存在的重大風險及時預警, 防患于未然����,及時采取措施化解風險。 2.建立和完善突發(fā)事件應急處理機制����,對可能發(fā)生 的突發(fā)事件制定應急預案����,確保突發(fā)事件得到及時妥善處 理����。 對風險的重視: 企業(yè)應當根據(jù)內部控制目標,結合風險應 對策略�����,綜合運用控制措施��,對各種
17�����、業(yè)務和事項實施有效 控制�����。 2013內部控制 整體框架 總體情況 背景: 企業(yè)的經(jīng)營環(huán)境和管理模式發(fā)生巨大變化����,新的科技 應用和復雜組織結構以及嚴格的治理要求��,使企業(yè)更重視公 司治理和風險管理����,關注范圍擴及非財務報告的內部控制�����。 事件: 2010 年 9 月 COSO 委員會啟動了對企業(yè)內部控制整 體框架的審核與更新����,并聘請普華永道會計師事務所 (PWC) 作為項目計劃執(zhí)行單位���,著手新框架的制訂工作����。 特點: 原則導向���、公司治理���、目標設定、財務報告。 2013內部控制 整體框架 新原則一 內容: 組織選擇并設置控制活動����,以將威脅組織目標實現(xiàn)的 風險降低到可接受的水平。 分析: 針對已識別的各類
18�����、風險����,組織針對性的控制活動,以 降低風險水平��。 活動: 財產(chǎn)保護��、不相容職責分離�����、會計記錄��、授權審批等��。 操作: 在公司整體及具體業(yè)務流程層面��,設置相應的控制措 施;控制措施對應職責清晰分配至具體具有專業(yè)勝任能力的 人員�。 2013內部控制 整體框架 新原則二 內容: 組織針對技術選擇并且設置一般控制活動,以支持組 織目標實現(xiàn)��。 分析: 相對于具體業(yè)務層面風險��,技術風險具有自身特征�����。 并對與技術相關的風險進行了強調��。 操作: 加強技術開發(fā)(如 ERP開發(fā))過程中的風險控制��。 加強對處于運行狀態(tài)的技術系統(tǒng)進行監(jiān)控����。 加強針對技術的專項評價 /審計。 2013內部控制 整體框架 新原則三 內容: 組織通過制定政策(以明確控制期望)和具體流程 (以將控制期望轉換為具體行為)來貫徹控制活動���。 分析: 控制活動的貫徹分一般控制政策、業(yè)務流程�。后者作 為前者的具體實現(xiàn)方式。(政策制定應當具備明確目標��,具 備實踐指導性)。 操作: 在公司層面及具體業(yè)務層面�����,明確各工作事項的控制 政策��,并且在具體流程設計中體現(xiàn)這些政策���。 謝 謝���!
內部控制-控制活動
