企业内部控制体系建设培训手册(ppt 117页)

1,企业内部控制体系建设培训手册,中和正信会计师事务所有限公司山东中和正信风险管理有限公司2009年6月,1,2,主要内容体系:,一、企业内部控制理论发展概述二、企业内部控制基本规范框架结构及主要内容三、企业内部控制体系设计四、企业内部控制评价,2,3,越来越多的外部要求,股东,证券交易所,内控与全面风险管理,政府部门,行业监管部门,国资委：中央企业全面风险管理指引治理结构,财政部：企业内部控制基本规范,萨班斯法案上海证券交易所上市公司内部控制指引深圳证券交易所上市公司内部控制指引,保险公司风险管理指引（试行）商业银行操作风险管理指引,4,一、企业内部控制理论发展概述美国,4,5,一、企业内部控制理论发展概述美国,6,企业全面风险管理、内部控制、财务报告内部控制并存,在美国，由于企业所处行业、规模大小、发展阶段、管理水平和监管机构的要求不同，导致企业全面风险管理、企业内部控制、财务报告内部控制三者同时存在。监管机构和法律代表投资者的利益，考虑到成本效益原则和注册会计师的专业胜任能力，只要求注册会计师对其财务报告内部控制系统进行评价并出具鉴证意见，是一种实事求是的选择，反而一刀切要求所有企业都要建立全面风险管理体系是不现实的。这样就形成了最新理论是企业全面风险管理，法律法规要求企业建立内部控制体系，对于注册会计师的评价则仅限于财务报告内部控制。,6,6,7,一、企业内部控制理论发展概述中国,内部牵制阶段1978年会计人员职权条例1984年会计人员工作规则1986年会计工作基础规范会计控制阶段1999年会计法将“内部控制”当作会计信息“真实与完整”的基本手段之一2001年至2004年财政部发布内部会计控制基本规范和7个具体规范企业内部控制规范体系阶段财政部等五部委2008年6月28日发布企业内部控制基本规范企业全面风险管理阶段2006年6月国务院国资委发布中央企业全面风险管理指引,7,8,美国COSO的内控框架和风险管理框架,内控控制框架,企业风险管理框架,9,中国企业内部控制基本规范和中央企业全面风险管理指引,财政部：企业内部控制,国资委：中央企业全面风险管理体系,10,一、企业内部控制理论发展概述中外对比,10,11,二、企业内部控制基本规范,2006年7月15日，财政部牵头成立跨部门的“企业内部控制标准委员会”，开始研究、制定一套具有统一性、公认性和科学性的企业内部规范研究制定内部控制规范，是经济社会发展的迫切要求，是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措国际资本市场大力强化内部控制经济健康发展迫切呼唤加强内部控制各级领导高度重视内部控制制度建设,11,12,二、企业内部控制基本规范,我国企业内部控制制度体系的基本目标：总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过三到五年的努力，基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的内部控制制度体系，以及监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的内部控制实施体系，推动公司、企业和其他非营利组织完善治理结构和内部约束机制，不断提高经营管理水平和可持续发展能力。,12,13,企业内部控制基本规范框架结构及其主要内容,2008年5月22日财政部、证监会、审计署、银监会、保监会以财会20087号文件发布；共七章五十条；自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行；执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。企业内部控制基本规范的发布，是继2006年2月我国企业会计准则、审计准则正式颁布和顺利实施之后，财政、审计、证券监管、银行监管、保险监管和国有资产管理部门同心同德、群策群力，以实际行动落实科学发展观、促进企业和资本市场又好又快发展的又一重大举措。,13,14,企业内部控制基本规范的创新与突破,构建了一个标准框架。基本规范的制定发布和若干指引的公布征求意见，科学构建了一套内部环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的内部控制框架，初步形成了由基本规范、评价指引、应用指引和鉴证指引四个部分组成的层次分明、内容完整、衔接有序地的内部控制标准体系，有效解决了政出多门、要求不一、企业无所适从的问题。强化了一种内部控制理念。内部控制不仅是一套技术和方法，更是一种精神和理念。基本规范以促进企业可持续发展、维护社会主义市场经济秩序和社会公众利益为宗旨，倡导“爱岗敬业、进取创新、团队协作和遵纪守法”的职业精神，强调建立健全教育、制度与监督并重，惩防并举、重在预防”的反舞弊长效机制，要求企业将有效实施内部控制纳入绩效考评体系，实现了由内部牵制、单一会计控制向全面、全员、全程的风险控制观念转变。,15,企业内部控制基本规范的创新与突破,建立了一套内控措施。控制措施是企业实施内部控制的具体方式，是企业管理的载体和手段。基本规范对授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等提出了严格规范的要求，进一步强化了对财务报告信息和其他管理信息的约束，提高了企业资源管理与利用的安全性和有效性，为维护投资者和社会公众利益提供了有力支持。夯实了一个制度基础。基本规范的制定实施，既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排，同时也是推动企业内部各项规章制度令行禁止的重要机制保障。这无论对于巩固企业防范风险舞弊的“防火墙”，还是铸牢促进资本市场健康稳定发展的“安全网”，都将发挥十分重要的基础作用。,16,企业内部控制基本规范的创新与突破,确立了一个实施模式。基本规范确立了以政府部门合力推进为主导、各单位组织实施为基础、会计师事务所等中介机构提供服务支持，自我评价、政府监管和社会评价有机结合的内部控制标准建设与实施模式。这种模式有效化解了标准制定与实施过程中不同利益主体之间可能存在的矛盾和冲突，提高了内控标准的严肃性、权威性和公认性，增强了标准的执行力。构筑了一个联动平台。在环环相扣、相互关联的大会计系统之中，完备的会计法规为会计改革与发展创造良好的法制环境；健全的会计审计准则为提高会计信息质量和做好资本市场信息披露工作提供制度基础；统一的内控规范体系为确保会计审计准则有效实施和维护社会公众利益构筑一道“防火墙”；协调的会计监管为促进会计审计、内部控制目标实现提供机制保障；创新的人才评价机制和会计考试制度为会计事业的发展壮大提供人才保证；科学的信息化标准和业务规范为会计工作现代化提供技术支撑。,17,内部控制框架快速解读,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。,对于影响公司目标实现的内部及外部因素的评估,确保相关信息被及时识别及传递的过程,公司对于内部控制的基本态度-”来自上层的基调”,18,第一章总则,宗旨和立法依据：加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。根据公司法、证券法、会计法制定。适用范围：中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。概念目标：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,18,19,第一章总则,企业建立与实施内部控制的原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。,19,20,第一章总则组织实施,企业应当根据有关法律法规、本规范及其配套办法，制定本企业的内部控制制度并组织实施。企业应当建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立和实施内部控制的情况进行监督检查。接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。,20,21,第一章总则,信息技术：企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。,21,22,第二章内部环境,公司治理结构和制衡机制：根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东（大）会、董事会、监事会、经理层。内部控制的责任主体：董事会负责内部控制的建立健全和有效实施。董事会下设的审计委员会负责审查企业的内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。,22,23,第二章内部环境,内部审计机构：对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权向董事会及其审计委员会、监事会报告。人力资源政策主要包括以下内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定。,24,第二章内部环境,道德修养、业务能力与教育培训：企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。文化建设、企业精神、管理理念和风险意识：董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。法制教育、法律顾问制度和重大法律纠纷案件备案制度,24,25,第三章风险评估,基于控制目标的风险评估要求。内部风险与外部风险、企业整体风险承受能力和业务层面的可接受风险水平。内部风险因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。外部风险因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。,25,26,第三章风险评估,风险分析与排序（分析方法：定性与定量相结合；分析重点：风险发生的可能性及其影响程度；风险分析团队和分析程序。）风险分析结果、风险承受度与高管人员、关键岗位员工的风险偏好。风险应对策略：风险规避、风险降低、风险分担和风险承受。持续性风险评估与风险应对策略的综合运用。,26,27,第四章控制活动,控制类型：手工控制与自动控制、预防性控制与发现性控制。控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。不相容职务分离控制：要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制授权审批控制：要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,27,28,第四章控制活动,会计系统控制：要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设计与其职权重叠的副职。财产保护控制：要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。,28,29,第四章控制活动,预算控制：要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。运营分析控制：要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。绩效考评控制：要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。,29,30,第四章控制活动,控制措施的综合运用三类别指引：基本业务类（购、产、销、投融资；货币资金、固定资产、存货、无形资产、衍生工具等）；贯穿业务类（预算、担保、合同协议、企业并购、关联交易、成本费用）；支持保障类（人力资源、信息技术、内部审计）。重大风险预警机制和突发事件应急处理机制。,30,31,第五章信息与沟通,信息收集处理制度与沟通制度。信息的有用性和内部信息、外部信息的获取渠道。信息的内部沟通和外部沟通。重要信息的传递要求。信息技术的利用和对信息系统本身的控制。反舞弊机制和工作重点：（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。举报投诉制度和举报人保护制度。,31,32,第六章内部监督,内部控制监督制度（主体、权限、程序、方法和要求）。日常监督和专项监督。内部控制缺陷认定、原因分析、报告制度、跟踪整改和责任追究。内部控制自我评价（方式、范围、程序、频率、报告）内部控制建立与实施过程的可验证性要求。,32,33,第七章附则,主要规定了解释权限、配套办法、实施日期。,33,34,国务院国资委国有企业内部控制框架,国务院国资委国有企业内部控制课题组提出了国有企业“12345内部控制基本框架”新模型。一个首要目标：运营效率与效果二层责任主体：董事会（股东）和管理层三条建设主线：治理结构、财务控制和业务控制四大基本原则：强支撑、短流程、高授权和大监督五大保障措施：改善支撑环境、加强风险管理、完善制度流程、促进信息沟通和提高监督能力,34,35,36,公司层级绩效指标架构图,钱从哪里来？明天会不会倒闭？会不会做生意？会不会赚钱？,37,三、企业内部控制体系的设计（一）企业建立内部控制体系的背景和要求（二）企业建立内部控制体系的标准与框架（三）企业内部控制体系总体框架（四）企业内部控制体系设计的基本流程（五）企业内部控制体系的预期效果,38,（一）对企业建立内部控制体系的法制要求,政府监管机构和法律法规为维护市场经济秩序和社会公众利益，要求企业加强和规范内部控制2002年7月，美国总统布什批准了2002年上市公司会计改革和投资者保护法（萨班斯法案），要求上市公司建立内部控制体系并定期作出自我评价，同时由注册会计师出具内部控制审计报告2006年6月，国务院国资委发布中央企业全面风险管理指引，要求中央企业建立全面风险管理体系。内部控制是企业全面风险管理的组成部分和基础工作2008年6月，财政部、审计署、证监会、保监会、银监会发布企业内部控制基本规范，适用于大中型企业，2009年7月1日起首先在上市公司范围内施行,39,（一）加强和规范内部控制是企业实现可持续发展的内在需求,内部控制是企业实现发展战略的基础工程内部控制是企业贯彻实施法律法规和内部规章制度的有力保证内部控制是企业提升营运效率效果的有效举措内部控制是企业提高财务与非财务信息质量的重要支撑内部控制是企业资产安全的重要保障,40,（二）企业内部控制控制标准与框架,41,项目依据、工具和理解,企业内部控制标准与框架企业内部控制建设的标准与框架，主要为：财政部和证监会等企业内部控制基本规范及指引上交所上市公司内部控制指引COSO内部控制框架（COSO1）COSO风险管理框架（COSO2）美国公众公司会计监督委员会第5号审计准则（与财务报表审计相结合的财务报告内部控制审计）,内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制同风险管理必须实现有机整合，风险是内部控制的对象，内部控制是管理风险的手段。所以，我们不对内部控制和风险管理进行特别区分。COSO内部控制框架（COSO1）和风险管理框架（COSO2），均为我们所参考。,42,企业全面风险管理,培育风险管理文化建立健全全面风险管理体系执行风险管理流程收集风险管理初始信息进行风险评估制定风险管理策略提出和实施风险管理解决方案风险管理监督与改进,全面风险管理体系,风险管理组织职能体系风险管理策略内部控制系统风险理财措施风险管理信息系统,对现有管理进行整合,全过程风险管理涵盖战略决策、运营操作、审计与监督、信息与沟通全过程全员从董事长开始到最基层员工，都要以风险管理理论为指导，对自己的工作进行反思全部职能管理工作风险管理涵盖战略、人力资源、投资、财务、采购、生产、销售、研发、合规等管理工作每一个层级涵盖公司治理结构和管理架构、集团母公司层面、各个分支机构、每个业务流程,实现内部控制和风险管理的统一设计,43,（三）企业内部控制体系总体框架,指导框架,公司环境,44,内部控制框架快速解读,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性。,对于影响公司目标实现的内部及外部因素的评估,确保相关信息被及时识别及传递的过程,公司对于内部控制的基本态度-”来自上层的基调”,45,内部环境,控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。主要包括：内部监督、缺陷认定、控制评价和自我记录等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险评估是形成内部控制活动的基础,信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,46,内部环境分册示例,目录1、内部控制体系建设内容概述诚信与道德价值观发展目标.管理理念与企业文化风险管理策略董事会及下属委员会组织结构权利和责任分配人力资源政策与措施员工胜任能力法律顾问制度及重大法律纠纷案件备案制度.2、内部控制体系执行的文件及规范组织结构图员工岗位职责描述权限指引审计委员会的工作程序与自评指引表说明重大法律纠纷案件备案指引控制环境涉及的制度索引,47,权限指引示例,48,内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,风险评估,控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。主要包括：内部监督、缺陷认定、控制评价和自我记录等,信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,49,风险评估分册示例,目录1内部控制体系建设内容1.1概述1.2建立风险评估机制1.3建立并完善风险管理体系2内部控制体系执行的文件及规范2.1流程描述规范2.2业务流程目录2.3风险评估规范2.4重要会计科目和披露事项确认2.5财务报表认定指南2.6重要业务单位确认2.7公司层面风险及对策分析程序2.8业务活动层面风险数据库2.9风险管理规范（试行）2.10风险评估涉及的制度索引,50,风险分类,公司层面,业务（流程）层面,信息系统层面,公司层面风险原材料价格风险商品价格风险行业风险大股东控制公司经营政策风险同行业竞争风险资金风险法律风险,业务层面风险业务流程应用系统,信息系统总体风险控制环境信息安全项目建设管理变更管理.,51,风险应对,风险评估的步骤,风险分析,风险识别,目标制定,战略目标,经营目标,财务报告目标,合规目标,52,目标设定,财务报告目标,为公司及时提供真实、准确、完整的经营管理信息；按照企业会计准则以及上市地法律监管的相关规定，为国家相关部门和资本市场及时提供真实、准确、完整的财务会计报告，满足国家相关部门和上市地证券监管机构对财务会计报告的报送要求；防止资产未经授权购置、使用或转让出售。,53,风险识别的方法,外部专家法,头脑风暴法,问卷调查法,案例分析法,行业分析法,财务报表分析法,流程分析法,54,54,风险识别的流程示例,?,确定相关业务流程目录,描述业务流程,财务报表认定,流程分析，识别风险,确定重要会计科目和披露事项,确定财务报告目标,55,55,重要会计科目和披露事项认定,?,56,56,相关业务流程确认,?,57,57,财务报表认定,财务报表认定：通过识别重要会计科目和披露事项中影响财务报告错报的主要因素，从存在与发生、完整性、估价与分摊、权利与义务、表达与披露等五个方面，针对财务报告控制目标，对在内部控制体系设计层面和执行层面需要关注的重要会计科目所做出的相关因素作出的确认。,?,58,58,流程分析，识别风险,?,以业务流程为主线，根据确认的各流程的具体目标，结合重要会计科目和披露事项相关的财务报表认定，关注影响财务报告目标的主要因素,59,风险分析,60,风险应对,风险偏好,风险承受度,风险预警线,风险应对策略,61,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,控制活动,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。主要包括：内部监督、缺陷认定、控制评价和自我记录等,信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,62,控制活动分册示例,目录1概述.1.1定义1.2控制活动目标1.3控制活动分类1.4控制活动的实施.2控制活动执行的文件及规范.2.1风险控制文档（RCD）编制规范.2.2财务分析管理规定.2.3关键控制管理文件.2.4统一实施证据表单.2.5控制活动涉及的制度索引.,63,何为控制？,控制是保证管理层的指令得以执行的政策或程序，涉及审批、授权、复核、检查验证、业绩考核、资产保全和职责分离等,64,控制活动分类,“自动”控制：由系统自动设置控制，为避免风险采取的措施。例如：超出信用额度，系统自动限制发出货物及开出发票。“人工”控制：由被授权的人员执行的控制。例如：财务经理审核银行余额调节表。应付账会计核对发票，入库单及合同。,“预防性”控制：在风险发生之前，为避免风险采取的措施。例如：制定政策、准备备查清单、合同在执行前需要审批，等为预防性控制；“发现性”控制：事后做的、为及时发现问题而采取的措施是发现性控制。例如：核对财务系统和资产系统的余额是否一致，审核记账凭证是否准确、编制银行存款余额调节表等。,控制手段,控制作用,65,控制设计程序,补充完善相关管理制度,记录控制措施,确定控制措施,确定控制目标,对业务流程进行风险评估后，根据业务流程相关风险，按照流程步骤进一步确定控制目标控制目标指为防范和规避风险，控制活动所要达到的具体目标。一般包括完整性目标（C）、准确性目标（A）、有效性目标（V）、接触性目标（R）等四个方面。,在确定了控制目标后，对照业务流程步骤，分析确定达到控制目标的方法和途径并选择相应的控制方法，设计出达到控制目标的各项控制措施，包括制定与控制措施相关的政策和程序、控制频率、控制方法（人工或自动）以及控制证据等。,设计和确认的各项控制措施和关键控制，按统一规定的控制描述标准和工具，相关控制，编制完成风险控制管理文件，包括业务流程图、风险控制文档（RCD）和程序文件等内容。,按照控制措施，查找现有管理制度差异，制定、完善本单位、本部门相关管理制度。,66,控制目标,完整性控制（C）：指生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：租金未及时确认，或重复确认当期费用就会影响完整性。把当期所有的合同信息都完整地、不重复地录入合同管理系统。按照会计确认收入的原则，将当期所有的销售收入记录下来。保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。准确性控制（A）：指所有信息和数据计算、归集和记录操作等准确。如：保证账务处理的金额是准确的。在采购业务中，合同上的价格、数量应该准确。销售收入应当记入正确的会计期间。发票内容与销售交易内容或合同应当一致。有效性控制（V）：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：付款经过适当级别的审批。记录的销售收入是真实的。费用支出与公司的业务相关，且符合公司的费用开支标准。接触性控制（R）：指信息处理和实物资产的保护和安全控制。如：防止存货和实物资产的偷窃和遗失。会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。对企业投资实施计划的保密，防止被不相关的人员了解。,67,控制活动分类（续）,公司层面,业务（流程）层面,信息系统总体控制,公司层面控制控制环境范围内的内部控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等；反舞弊程序与控制；风险评估流程、监督；经营活动分析、审核；期末财务报告流程；突发事件应急处理等,业务活动控制业务活动控制相关应用系统控制,信息系统总体控制IT基础设施数据库操作系统,68,控制设计成果示例,69,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。主要包括：内部监督、缺陷认定、控制评价和自我记录等,控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,信息与沟通,信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,70,信息与沟通分册示例,目录1概述.1.1概述1.2信息1.3沟通1.4信息系统总体控制1.5信息系统应用控制1.6信息披露2信息沟通文件2.1总部各部门信息流汇总表2.2应用系统划分规范及工作指引2.3应用系统用户权限管理工作规范2.4应用系统主数据、报表公式变更及取消类业务管理2.5ERP与人力资源系统总体控制实施办法2.6ERP与人力资源系统敏感事务访问权限设置规则2.7信息与沟通涉及的制度索引,71,信息流汇总表示例,72,信息系统总体控制,系统控制环境：,总体环境、信息与沟通、风险评估、监控等,项目建设管理：,开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等,变更管理：,应用系统日常变更、系统环境日常变更、紧急变更管理等,系统日常运作：,机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等,信息安全：,信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等,最终用户操作：,最终用户计算机操作安全制度、电子表格管理等,信息系统总体控制所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的,73,信息安全主要关注以下方面的内容,74,信息安全信息安全管理组织,75,控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等,风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险评估是形成内部控制活动的基础,内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等,内部监督,信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等,内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。主要包括：内部监督、缺陷认定、控制评价和自我记录等,76,内部监督分册示例,目录1内部控制体系建设内容1.1概述1.2持续监督1.3独立评估1.4缺陷报告2内部控制体系评价规范及执行文件2.1内部控制体系评价概述2.2评价范围的确定.2.3内部控制测试.2.4缺陷评估2.5评价报告2.6内部控制体系管理规范.2.7监督涉及的制度索引.,77,内部控制测试基本方法,检查,再执行,观察,询问,78,控制设计与测试评价成果（公司层面）,示例,79,控制设计与测试评价成果（流程层面）,示例,80,控制设计与测试评价成果（IT层面）,示例,81,控制设计与测试评价成果（IT层面）,示例,82,缺陷认定及整改实施跟踪,从整体控制目标实现的角度出发，对发现问题进行缺陷认定，按照缺陷的影响程度定义缺陷，从设计与执行两个方面出发，将缺陷进行分类，制定缺陷整改计划并加以实施针对整改实施结果进行再测试与再评价，持续跟进与监督,缺陷整改的实施步骤：责任人及管理层对于缺陷事实的认可对于缺陷产生原因的判定判断缺陷为公司共性问题还是个别单位、部门独有问题整改计划的目标是正对缺陷产生原因，而不是针对缺陷表象整改计划符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施结果的持续跟进与监督,是否可以增加其他测试程序证明已经发现的差异不能代表所有内控的情况？,扩大测试范围，重新评估，测试目的是否达到？,设计缺陷执行缺陷,了解控制差异的起因和结果，判断控制目标是否达到？,该差异不是控制缺陷，不必再考虑,是,否,否,否,是,是,83,XXXX公司管理层测试报告模板示例,示例,84,（四）企业内部控制设计工作流程,85,85,企业内部控制体系概述,企业内部控制体系框架,满足国内外相关法律法规的要求推动企业规范化管理顺利通过内部控制审计符合风险管理的发展趋势,设计目标：,内容：,系统阐述内控体系建设的方法和标准，全面涵盖了以下五要素：内部环境风险评估控制活动信息与沟通内部监督,执行：,经项目建设委员会审议通过后发布试行,85,86,企业内部控制设计流程,2,5,4,3,现状描述,风险分析、评估、确认,内控体系试行、完善,内控体系内部测试及审计,1,项目启动,6,维护及改进,成立项目建设委员会、项目工作组前期培训,流程目录流程图、RCD文档、程序文件,风险数据库风险评估、确认,关键控制管理文件内控体系框架内控管理手册,内控体系正式运行管理层测试外部审计,长期运行，持续维护改进，提升公司管理水平,有效的工作推进方式,统一设计、集中培训、试点先行、全面推广,分阶段制定详细工作计划，并随时根据实际进行调整,87,控制环境,风险评估,控制流程,Going,控制目标,控制要点,控制政策,控制模式,控制载体,各项典型业务的内部控制管理子系统，需要针对具体业务，按照控制环境、控制目标、潜在风险、控制流程、控制要点、控制政策和控制载体构造，最后反映为内部控制流程图和内部控制政策表，即控制模式。,内部控制流程图描述控制流程、控制要点和控制载体，示例如后面流程描述表；内部控制政策表归纳控制目标、潜在风险、控制政策及其对应的管理制度，示例如后面内部控制政策表。,内部控制设计思路与模式,88,企业内部控制设计主要工作步骤,对企业内部控制进行全面调研和审计，掌握一手资料；对企业现有规章制度按内部控制要素进行归集；按内部控制要素及子要素对企业管理进行改进和设计；对企业业务循环进行梳理和改进；编制业务循环流程描述表和业务控制政策表；绘制业务流程图；编制企业内部控制管理手册和文件制度汇编并实现信息化管理；内部控制体系的持续改进和提升。,89,组织问题,风控问题,流程问题,企业调研,内部控制设计主要工作步骤1,对企业内部控制进行全面调研和审计,哪些业务单元比要求落后？谁对什么负责？不同人的角色分配？不同组织之间的沟通协同,哪些流程缺陷最严重？哪里有明显缺陷？有多少批量缺陷？谁负责管理流程并改正缺陷？,财务风险在什么地方？风险严重程度如何？哪些控制缺陷正在纠正？纠正用什么方法？过程有没有被记录？,90,通过审计和评价确定企业内部控制体系的发展阶段,无意识,初步建立,标准化,持续监控,整合,发展阶段,控制的有效性,无意识没有设计和实施内部控制活动的意识,整合将内部控制体系融入到企业的日常管理运营活动中，并持续优化提升,初步建立初步设计并实施了一些控制活动，但是不够全面和充分,标准化公司范围内设计并实施了标准化的控制活动,持续监控建立了标准化的控制体系，并建立了周期性的控制测试和汇报制度,91,企业内部控制设计主要工作步骤2,对企业现有规章制度按内控要素进行归集整理,规章制度,92,92,框架要素,内部环境,风险评估,控制活动,信息与沟通,内部监督,企业内部控制设计主要工作步骤3,按内部控制要素及子要素对企业管理进行改进和设计,公司治理结构内部机构设置与权责分配内部审计人力资源政策企业文化法律环境,目标设定风险识别风险分析风险应对策略,不相容职务分离授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制重大风险预警机制突发事件应急处理机制,信息搜集信息传递搭建共享信息平台反舞弊机制举报投诉制度举报人保护制度,组织结构施行方式内控评价档案记录,93,93,企业内部控制设计主要工作步骤4,对企业各业务循环进行业务梳理和流程改进,94,企业内部控制设计主要工作步骤5-1,编制企业业务流程描述表以采购为例,95,内部控制设计主要工作步骤5-2,编制采购内部控制政策表,96,96,绘制业务流程图,企业内部控制主要工作步骤6,97,企业内部控制设计主要工作步骤7,组织修订原有制度N项，新制定制度M项公司章程董事会工作手册审计委员会组织和工作规则内审工作规定财务分析评价制度信息披露控制及披露程序原则权限指引岗位职责描述等,公司层面：,N类N个流程图N个风险控制文档及程序文件文件N个,业务活动层面：,建立和完善相关制度及流程管理文件,98,软件技术培训软件应用培训流程绘制培训流程工作室建立方法培训内控人员培训,搭建关键流程体系绘制关键单位的关键流程设计相关指标建立制度条例体系应用协同场景实操,软件技术培训软件应用培训标准普及培训普及理念培训关键事件培训,软件安装及培训,应用培训,树立标杆,全面推广,搭建全面流程体系设计和发现全面风险控制点搭建整体风险内控体系建立内控文化建立内控合规机制并持续改进优化业务,标杆建立,软件安装配置四个数据库制度条例的导入流程库建立文档归类设计关键预警,方法总结,培训宣讲,全面推广