《內(nèi)部控制-控制活動》由會員分享,可在線閱讀,更多相關(guān)《內(nèi)部控制-控制活動(33頁珍藏版)》請在裝配圖網(wǎng)上搜索。
1、 內(nèi)部控制專題 控制活動 本專題內(nèi)容 coso1992內(nèi)部控制整體框架 coso2004企業(yè)風險管理總體框架 coso2013內(nèi)部控制 整體框架 中國 企業(yè)內(nèi)部控制基本規(guī)范 1992內(nèi)部控制整體框架 總體情況 背景: 水門事件后,內(nèi)部控制理論引起了美國各界的廣泛重 視。然而,對內(nèi)部控制的理解分歧卻由來已久,立法者、監(jiān) 管者和商人的不同利益決定了各自不同的立場。 特點: 該報告的核心內(nèi)容是內(nèi)部控制的定義、目標和要素。 報告中提出的觀點,超越了內(nèi)控思想的以往理論棗內(nèi)部牽制、 內(nèi)部控制制度和內(nèi)部控制結(jié)構(gòu)等理論。 1992內(nèi)部控制整體框架 一、概念 定義: 必須確立和執(zhí)行控制政策和程序,以確保那些被管
2、 理層認為必要的減少風險的措施得以執(zhí)行,從而實現(xiàn)經(jīng)營 目標。 特點: 控制行為體現(xiàn)在整個企業(yè)的不同層次和不同部門中。 包括批準、授權(quán)、查證、核對、復核經(jīng)營業(yè)績、資產(chǎn)保護 和職責分工等活動。 1992內(nèi)部控制整體框架 二、控制活動的類型 高層復核: 復核是指相對于預算,預測,前期和競爭對手的 實際業(yè)績情況。企業(yè)主要的行為應被追蹤以衡量目標實現(xiàn)的 程度。 職能指導或業(yè)務管理: 職能或業(yè)務部門的經(jīng)理復核業(yè)績報告。 信息處理: 用于核對交易的準確性、完整性和遵循性。記錄 的數(shù)據(jù)應與支票和經(jīng)批準的控制文件相符。 實物控制: 設(shè)備、存貨、證券、現(xiàn)金及其他資產(chǎn)實物應得到 保護,并定期進行盤點和帳實核對。 業(yè)
3、績指標: 將不同類的數(shù)據(jù)(經(jīng)營或財務)聯(lián)系起來,連同 關(guān)聯(lián)性分析、調(diào)查和改進行為,構(gòu)成了這一控制活動。 職責分離: 為了降低發(fā)生錯誤或不當行為的危險,職責在不 同人們之間進行分工或分離。 1992內(nèi)部控制整體框架 三、政策和程序 兩類要素: 應該做什么的政策;實現(xiàn)該政策的程序。 注意: 1.大多數(shù),政策以口頭形式傳達,但不管政策是否 是書面的,必須被仔細地、盡責地、一貫地執(zhí)行。 2.調(diào)查執(zhí)行程序中發(fā)現(xiàn)情況并采取適當?shù)募m正措 施,是很關(guān)鍵的。 1992內(nèi)部控制整體框架 四、與風險評估結(jié)合 在風險評估同時,管理層為了管理風險,應確定相應的行 動并使之有效。被確定用于管理風險的行動也用于重點關(guān) 注控
4、制活動是否已經(jīng)到位,以有助于確保正確、及時地執(zhí) 行這些行動。 1992內(nèi)部控制整體框架 五、信息系統(tǒng)的控制 目標: 用于保證財務和其他信息系統(tǒng)的完整性、準確性和遵 循性 。 分類: 一般性控制。對數(shù)據(jù)中心操作、系統(tǒng)軟件的購買和維 護、數(shù)據(jù)入口安全、以及應用系統(tǒng)開發(fā)和維護的控制(適用 多數(shù)應用系統(tǒng))。 應用性控制。用于控制應用過程,協(xié)助保證交易處理 的完整性、準確性、交易授權(quán)和有效性。 1992內(nèi)部控制整體框架 兩者關(guān)系: 一般性控制用于保證建立在計算機程序基礎(chǔ)上的應用性控制 得以實施。 如果沒有充分的一般性控制,也就不可能依賴應用性控制。 一般性控制用于支持應用性控制的功能,兩者都用于保證信
5、息處理過程的完整性和準確性。 1992內(nèi)部控制整體框架 六、正在發(fā)展的問題 出于對許多新興技術(shù)影響的考慮,提出了新的控制問題。 內(nèi)容: CASE(計算機輔助軟件工程)開發(fā)工具、依據(jù)原型 創(chuàng)建新系統(tǒng)、圖像處理和電子數(shù)據(jù)交換、人工智能或?qū)<?系統(tǒng)。 1992內(nèi)部控制整體框架 七、企業(yè)特殊性 原因: 企業(yè)擁有自身的一套目標和實施策略、每個企業(yè)由 不同的人管理、企業(yè)經(jīng)營的環(huán)境和行業(yè)、組織的歷史和文 化的不同。 案例: 行為多樣的復雜組織較之行為單一的簡單組織,可 能面臨更困難的控制問題。 分權(quán)經(jīng)營的企業(yè)將重點放在地區(qū)自治和改革上,較 之高度集權(quán)的企業(yè),具有不同的控制環(huán)境。 1992內(nèi)部控制整體框架 八
6、、對中小企業(yè)的應用 小組織中控制活動包含的概念不可能與大組織相差太遠, 但是控制活動實施的正式程度卻有所差異。進而,由于中 小企業(yè)管理層所實施的高度有效的控制,其可能發(fā)現(xiàn)有些 類型的控制活動并非總與之相關(guān)的。 九、評估 必須按照管理層針對企業(yè)每項重要業(yè)務的既定目標而做出 的風險管理的指示,對控制活動進行評估。因此,評估者 將考慮控制活動是否與風險評估過程相關(guān),以及它們是否 恰當?shù)乇WC了管理層的指示得以實施。 2004企業(yè)風險管理總體框架 總體情況 背景: 企業(yè)內(nèi)部不同部門或不同業(yè)務的風險,使企業(yè)意識到 不能從單個業(yè)務、部門的角度考慮風險,必須根據(jù)風險組合 的觀點,從貫穿整個企業(yè)的角度看風險。
7、特點: ERM是在內(nèi)部控制整體框架基礎(chǔ)上發(fā)展而來的。 ERM 并沒有否定內(nèi)部控制框架,但它將內(nèi)部控制框架整合在內(nèi), 采用這一框架,企業(yè)既可以滿足內(nèi)部控制的需要,也可以建 立一個完整的風險管理過程。 2004企業(yè)風險管理總體框架 一、概念 定義: 為幫助確保管理層的指示得到實施的政策和程序。 企業(yè)風險管理的構(gòu)成要素之一。 特點: 1.控制活動由組織各部門依據(jù)不同目標要求實施 , 并貫穿組織過程始終。 2.一項特定的控制活動可能有助于滿足主體的多 個類別的目標。 2004企業(yè)風險管理總體框架 二、與風險應對相結(jié)合 特點: 目標、風險應對和控制活動三者相互關(guān)聯(lián)。 解釋: 1.對于特定的目標而言,控制
8、活動本身就是風險應對。 2.控制活動是企業(yè)致力實現(xiàn)其經(jīng)營目標的過程的一個 重要部分。 措施: 1.選定了風險應對之后,要確定用來幫助確保這些風 險應對得以恰當?shù)睾图皶r地實施所需的控制活動。 2.對控制活動的選擇或評審應該包含對它們與風險應 對和相關(guān)目標的相關(guān)性和恰當性的考慮。 2004企業(yè)風險管理總體框架 三、控制活動的類型 高層復核: 對照預算、預測、以前期間和競爭者來復核實 際的業(yè)績。并對新產(chǎn)品開發(fā)、籌資計劃的執(zhí)行進行監(jiān)控。 直接的職能或活動管理: 負責職能機構(gòu)或活動的管理人員 審核業(yè)績報告。 信息處理: 實施一系列的控制來檢查交易的準確性、完整 性和授權(quán)。輸入的數(shù)據(jù)要與經(jīng)批準的控制文件相
9、匹配。 實物控制: 對設(shè)備、存貨、現(xiàn)金和其他資產(chǎn)進行實物性的 保護,定期盤點,并與控制記錄所反映的數(shù)額相比較。 業(yè)績指標: 把不同系列的各種經(jīng)營的或者財務的各種數(shù)據(jù) 彼此聯(lián)系起來,與對相互關(guān)系的分析以及調(diào)查和矯正措施 一起,構(gòu)成了一項控制活動。 職責分離: 把不同人員的職責予以分開或隔離,以便降低 錯誤或舞弊的風險。 2004企業(yè)風險管理總體框架 四、政策和程序 兩個要素: 做什么的政策;實現(xiàn)政策的程序。 注意: 1.政策一般是口頭溝通的,不管是否成文,政策都必 須仔細地、有意識地和一貫地執(zhí)行。 2.根據(jù)所觀察的程序和所采取的適當?shù)某C正措施來辨 別情況也是至關(guān)重要的。后續(xù)措施可能會因企業(yè)的規(guī)模
10、和組 織結(jié)構(gòu)而異。 2004企業(yè)風險管理總體框架 五、對信息系統(tǒng)的控制 一般控制 :適用于許多并非全部應用系統(tǒng)。 應用控制: 定義: 直接關(guān)注數(shù)據(jù)獲取和處理的完整性、準確性、授權(quán) 和有效性。 重要目標: 確保在需要時能獲取或生成數(shù)據(jù);防止錯誤進 入系統(tǒng),以及在錯誤發(fā)生時予以察覺和矯正。 重要性: 一般控制和應用控制,在必要的時候與人工實施 的控制結(jié)合起來,共同起作用以確保信息的完整性、準確 性和有效性。 2004企業(yè)風險管理總體框架 一般控制內(nèi)容: 信息技術(shù)管理 : 一個指導委員提供對信息技術(shù)活動和改進 行動的監(jiān)督、監(jiān)控和報告。 信息技術(shù)基礎(chǔ)結(jié)構(gòu) : 將控制應用于系統(tǒng)的界定、獲取、安 裝、配置
11、、整合和維護。 安全管理: 類似安全密碼等邏輯進入控制限制進入網(wǎng)絡、 數(shù)據(jù)庫和應用層。 軟件獲取、開發(fā)和維護: 對軟件獲取和執(zhí)行的控制要結(jié)合 到一項既定的程序之中,以管理變更事項,包括文件要求、 用戶接受測試、壓力測試和項目風險評估。 2004企業(yè)風險管理總體框架 六、主體的特殊性 原因: 有自己的一套目標和執(zhí)行方法、每個主體由不同的 人員進行管理、主體經(jīng)營所處的環(huán)境和行業(yè),歷史,文化 的差異。 案例: 多元化活動的大型復雜組織可能比活動種類較少的 小型簡單組織面臨更艱難的控制問題。 一個分散化經(jīng)營、強調(diào)地區(qū)自主性和創(chuàng)新的主體, 面臨與一個高度集中化的主體不同的控制環(huán)境。 企業(yè)內(nèi)部控制基本規(guī)范
12、 總體情況 背景: 沒有統(tǒng)一的企業(yè)內(nèi)部控制規(guī)范,加上一些上市公司 內(nèi)部控制意識淡薄,出現(xiàn)了企業(yè)內(nèi)部控制失效甚至舞弊的 案件,損害了投資者利益,在市場上造成了惡劣影響。 事件: 2008年 6月 28日,財政部、證監(jiān)會、審計署、銀監(jiān) 會、保監(jiān)會聯(lián)合發(fā)布了企業(yè)內(nèi)部控制基本規(guī)范。自 2009年 7月 1日起先在上市公司范圍內(nèi)施行,鼓勵非上市的 其他大中型企業(yè)執(zhí)行。 企業(yè)內(nèi)部控制基本規(guī)范 一、概念 含義 :企業(yè)根據(jù)風險評估結(jié)果,采用相應的控制措施,將 風險控制在可承受度之內(nèi)。 措施 :不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控 制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評 控制。 企業(yè)內(nèi)部控制
13、基本規(guī)范 (一 )不相容職務分離控制 不相容職務 :同一人員承擔具有產(chǎn)生錯誤或?qū)е挛璞卓赡?性的崗位。 要求 :企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不 相容職務,實施相應的分離措施,形成各司其職、各負其 責、相互制約的工作機制。 目標 :從人員職務配置上預防舞弊或錯誤的產(chǎn)生,以實現(xiàn) 內(nèi)部控制的目標。 企業(yè)內(nèi)部控制基本規(guī)范 (二)授權(quán)審批控制 (職權(quán)配置 ) 要求 :根據(jù)常規(guī)授權(quán)和特別授權(quán)的規(guī)定,明確各崗位辦理 業(yè)務和事項的權(quán)限范圍、審批程序和相應責任。 種類: 常規(guī)授權(quán)、特別授權(quán)。 形式: 書面形式。 對于重大的業(yè)務和事項,應當實行集體決策審批或者聯(lián)簽 制度,任何個人不得單獨進行決策或者
14、擅自改變集體決策。 企業(yè)內(nèi)部控制基本規(guī)范 (三)會計系統(tǒng)控制 要求 :嚴格執(zhí)行國家統(tǒng)一的會計準則制度,加強會計基礎(chǔ) 工作,明確會計憑證、會計賬簿和財務會計報告的處理程 序,保證會計資料真實完整。 目標: 對會計信息系統(tǒng)實施,以確保財務報告可靠性。 內(nèi)容: 會計準則和相關(guān)的會計制度的選擇、 會計政策選擇、 會計估計確定、文件和憑證控制、會計檔案保管控制、業(yè) 務流程控制、組織和人員控制、建立會計崗位制度。 企業(yè)內(nèi)部控制基本規(guī)范 (四)財產(chǎn)保護控制 要求: 建立財產(chǎn)日常管理制度和定期清查制度,采取財產(chǎn) 記錄、實物保管、定期盤點、賬實核對等措施,確保財產(chǎn) 安全。 措施: 限制接近、財產(chǎn)清查、 財產(chǎn)檔案
15、建立和保管、財產(chǎn) 保險。 (五) 預算控制 要求: 實施全面預算管理制度,明確各責任單位在預算管 理中的職責權(quán)限,規(guī)范預算的編制、審定、下達和執(zhí)行程 序,強化預算約束。 作用: 確立目標、整合資源、控制業(yè)務、評價業(yè)績。 循環(huán): 目標確定 預算編制 預算執(zhí)行 分析和考評。 企業(yè)內(nèi)部控制基本規(guī)范 (六)運營分析控制 定義: 對企業(yè)經(jīng)營活動等情況運用相關(guān)信息進行比較、分 析,發(fā)現(xiàn)問題、查找原因,以改進和提高經(jīng)營活動的效率 與效果的活動。 方法: 比較法、比率法、趨勢分析法、因素分析法、綜合 分析法。 (七) 績效考評控制 要求: 建立和實施績效考評制度,科學設(shè)置考核指標體系, 對各責任單位和全體員工
16、的業(yè)績進行定期考核和客觀評價, 將考評結(jié)果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、 調(diào)崗、辭退等的依據(jù)。 模式: 會計基礎(chǔ)業(yè)績評價模式、經(jīng)濟基礎(chǔ)業(yè)績評價模式、 戰(zhàn)略管理業(yè)績評價模式 企業(yè)內(nèi)部控制基本規(guī)范 預警機制和應急機制 目標: 保證各項經(jīng)營活動的順利進行。 措施: 1.建立和完善重大風險預警機制,明確風險預警標 準,使企業(yè)能夠?qū)?jīng)營活動中存在的重大風險及時預警, 防患于未然,及時采取措施化解風險。 2.建立和完善突發(fā)事件應急處理機制,對可能發(fā)生 的突發(fā)事件制定應急預案,確保突發(fā)事件得到及時妥善處 理。 對風險的重視: 企業(yè)應當根據(jù)內(nèi)部控制目標,結(jié)合風險應 對策略,綜合運用控制措施,對各種
17、業(yè)務和事項實施有效 控制。 2013內(nèi)部控制 整體框架 總體情況 背景: 企業(yè)的經(jīng)營環(huán)境和管理模式發(fā)生巨大變化,新的科技 應用和復雜組織結(jié)構(gòu)以及嚴格的治理要求,使企業(yè)更重視公 司治理和風險管理,關(guān)注范圍擴及非財務報告的內(nèi)部控制。 事件: 2010 年 9 月 COSO 委員會啟動了對企業(yè)內(nèi)部控制整 體框架的審核與更新,并聘請普華永道會計師事務所 (PWC) 作為項目計劃執(zhí)行單位,著手新框架的制訂工作。 特點: 原則導向、公司治理、目標設(shè)定、財務報告。 2013內(nèi)部控制 整體框架 新原則一 內(nèi)容: 組織選擇并設(shè)置控制活動,以將威脅組織目標實現(xiàn)的 風險降低到可接受的水平。 分析: 針對已識別的各類
18、風險,組織針對性的控制活動,以 降低風險水平。 活動: 財產(chǎn)保護、不相容職責分離、會計記錄、授權(quán)審批等。 操作: 在公司整體及具體業(yè)務流程層面,設(shè)置相應的控制措 施;控制措施對應職責清晰分配至具體具有專業(yè)勝任能力的 人員。 2013內(nèi)部控制 整體框架 新原則二 內(nèi)容: 組織針對技術(shù)選擇并且設(shè)置一般控制活動,以支持組 織目標實現(xiàn)。 分析: 相對于具體業(yè)務層面風險,技術(shù)風險具有自身特征。 并對與技術(shù)相關(guān)的風險進行了強調(diào)。 操作: 加強技術(shù)開發(fā)(如 ERP開發(fā))過程中的風險控制。 加強對處于運行狀態(tài)的技術(shù)系統(tǒng)進行監(jiān)控。 加強針對技術(shù)的專項評價 /審計。 2013內(nèi)部控制 整體框架 新原則三 內(nèi)容: 組織通過制定政策(以明確控制期望)和具體流程 (以將控制期望轉(zhuǎn)換為具體行為)來貫徹控制活動。 分析: 控制活動的貫徹分一般控制政策、業(yè)務流程。后者作 為前者的具體實現(xiàn)方式。(政策制定應當具備明確目標,具 備實踐指導性)。 操作: 在公司層面及具體業(yè)務層面,明確各工作事項的控制 政策,并且在具體流程設(shè)計中體現(xiàn)這些政策。 謝 謝!