DIB内部控制项目培训-内部控制基础知识课件

内部控制基础知识

梁晟耀

二ΟΟ六年十月DIB内部控制项目培训深圳市迪博企业风险管理咨询有限公司©版权所有1/1/2023内部控制基础知识

梁晟耀

二ΟΟ六年十月DIB内1培训目标了解企业存在的风险及其影响；内部控制的要素；实行内部控制的主要方法；熟悉COSO框架为开展下一步工作奠定知识基础培训目标了解企业存在的风险及其影响；为开展下一步工作奠定知识主要内容风险内部控制COSO框架介绍控制环境风险评估控制活动信息与沟通监督主要内容经营回报与风险经营回报公司管理层经营回报与风险经营回报公司管理层什么是风险？风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成（有利或不利）影响。无风险等价=期望报酬-风险厌恶系数*风险程度基本原理：库房偷盗彩票什么是风险？风险是一种可以识别的不确定性。无风险等价=期望报风险的涵义和对企业的影响正面企业管理者需要对那些导致正面影响的事项，包括企业的机遇，或者是可以降低对企业的负面影响的事项，进行评估并在企业战略目标制定的过程中，以及之后的执行过程中加以考虑。负

面企业管理者需要对那些可能导致负面影响的事项进行评估和反应。风险是一种不确定性，它可能导致正面或负面结果。这种不确定性的来源可以是技术的、人员的、经验的、外部竞争对手的、商业环境的、经济法律环境的。

风险的涵义和对企业的影响正面企业管理者需要对那些导致正面风险的后果资产流失竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误风险的后果资产流失商业欺诈风险管理风险管理风险管理(理论)内部控制资产组合寻求较大的回报降低风险风险管理(理论)内部控制资产组合寻求较大的回报风险管理更多的控制控制

(秩序)风险/失控

(混乱)

控制会增加成本，——风险管理应当在风险和控制之间取得平衡，以实现业务目标。无风险等价=期望报酬率-风险厌恶系数*风险程度风险管理更多的控制控制风险/失控 控制会风险管理的挑战风险管理的挑战在于把被动反应转变为主动控制。最佳实践-主动控制最差的情况-被动反应风险识别风险评估风险管理危机管理打扫卫生式的管理救火式的应对风险风险管理的挑战风险管理的挑战在于把被动反应转变为主动控制。最什么是内部控制？什么是内部控制？内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：经营的效率和效果财务报表的可靠性相关法令的遵循内部控制的定义COSO内部控制-内部控制的定义COSO内部控制绝对不是：静态的结构某一层次人员的任务（例如：高级管理层）某一部门的任务（例如：财务、内部审计）某一实体的任务（例如：总部、省级公司）内部控制绝对不是：静态的结构风险与内部控制企业以风险为导向评估并改善内部控制的基本思路：风险评估 -风险确认（识别） -

风险计量 -风险排序内部控制 -评估现有内部控制的充分性 -分析内部控制的改善措施并加以实施 -建立持续有效的目标——风险——控制的评估过程风险与内部控制企业以风险为导向评估并改善内部控制的基本思路：内部控制如何降低风险

暴露的金额发生的可能性内部控制降低风险的大小内部控制如何降低风险暴露的金额发生的内部控制降什么是COSO？什么是COSO？COSO内部控制框架COSO框架是企业评估内部控制的结构化分析工具。SEC根据《萨班斯法案》第404条所制定的「最终条例」(FinalRule)明确表明COSO内部控制框架可以作为评估企业内部控制的标准虽然COSO内部控制框架在「最终条例」中并非唯一的指定标准，但是美国证监会及美国执业会计师公会对审计标准的有关征求意见稿中曾多次提及COSO为评估企业内部控制的标准所以，作为在美国上市的公司，较适宜采用COSO内部控制框架作为记录、评估公司与财务报告相关的内部控制的标准和依据因此网通公司也采纳了COSO报告中的内部控制标准框架。COSO内部控制框架COSO框架是企业评估内部控制的结构化COSO简介COSO： 美国反虚假财务报告委员会的发起组织委员会

TheCommitteeofSponsoringOrganizations(COSO)ofTheNationalCommissionofFraudulentFinancialReporting(the

TreadwayCommission)COSO报告： 内部控制–综合性框架

InternalControl-IntegratedFrameworkCOSO简介COSO： 美国反虚假财务报告委员会的发起组织委COSO控制框架COSO控制框架的核心概念：内部控制定义：内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。

三个目标：经营效率与效果；财务报告的可靠性；法律法规的遵行性五个要素：控制环境；风险评估；控制活动；信息与沟通；监控强调了财务报告的可靠性；强调了控制要素的完整性。COSO控制框架COSO控制框架的核心概念：COSO报告框架介绍信息及沟通控制活动风险评估控制环境持续监控业务操作财务报告合规保证信息能及时有效地沟通的流程信息的决策支持信息系统开发维护灾难恢复计划信息有效沟通判定内部控制设计的充分性，执行的有效性，定期评估内控内控缺失弥补内外审计监控对内部、外部影响企业绩效的因素的评估目标设定风险识别及评估应变措施会计政策变更程序企业内部控制的道德意识，是“来自高层的声音”诚信与道德观组织结构管理理念和经营风格职责与职权的分配员工胜任能力人力资源政策和实践董事会和审计委员会确保风险管理活动被及时执行的政策和流程政策和程序经营目标合理职责分工资产与记录保护数据访问的保护COSO报告框架介绍信息及沟通控制活动风险评估控制环境持续监COSO内部控制框架下图所示为目前工作涉及的公司实体层面的各个方面信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践COSO内部控制框架下图所示为目前工作涉及的公司实体层面的各控制环境是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策控制环境是企业的人以及它所处的环境控制环境的组成要素：独立董事专门委员会设立审计委员会，及委员会成员资格要求审计委员会职责专门委员会与外部中介机构监事会监事会职责监事会与外部中介机构控制环境－董事会及委员会职能独立董事控制环境－董事会及委员会职能风险评估企业必须了解它所面临的风险，并加以控制。即设立辨识、分析和管理相关风险的机制风险评估就是辨识和分析企业可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估企业必须了解它所面临的风险，并加以控制。即设立辨识、如何有效地进行风险管理各行业的前10种最主要的风险因素次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长如何有效地进行风险管理各行业的前10种最主要的风险因素次序银控制活动企业应基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动企业应基于风险评估的结果订立控制风险的政策及程序，并1 预防性控制2 检查性控制3 纠正性控制4 补偿性控制控制活动的类型1 预防性控制控制活动的类型一些重要的内控方法职责分离控制授权批准控制内部报告控制电子信息技术控制…一些重要的内控方法职责分离控制不相容职务相互分离控制－示例工程项目业务不相容岗位一般包括：（一）项目建议、可行性研究与项目决策；（二）概预算编制与审核；

（三）项目实施与价款支付；（四）竣工决算与竣工审计。采购与付款业务不相容岗位至少包括：（一）请购与审批；（二）询价与确定供应商；（三）采购合同的订立与审计；（四）采购与验收；（五）采购、验收与相关会计记录；（六）付款审批与付款执行。

营业系统中不相容岗位至少：（一）客户资料的录入和符合；（二）资费标准的录入和复核；（三）计费结算中心参数设定和复核；（四）收款和登记应收。不相容职务相互分离控制－示例工程项目业务不相容岗位一般包括：授权批准控制在开展任何业务之前都应进行授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”授权批准控制在开展任何业务之前都应进行授权内部报告控制完善内部管理报告系统内部报告上报时间及报告路线内部报告的分发控制内部报告的分析和跟进内部报告控制完善内部管理报告系统信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全信息系统控制目标符合相关的法律、法规和政策信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完一般信息系统控制

信息系统的组织和管理信息系统操作外包厂商管理数据安全危机处理与业务持续计划应用系统安装与维护数据库安装与支持网络支持系统软件支持硬件支持提高企业信息系统的整体可信赖程度的控制一般信息系统控制 信息系统的组织和管理应用系统安装与维护提高信息与沟通贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任信息与沟通贯穿在风险评估和控制活动过程中监督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估监督整个内部控制的执行过程必须被监督监督是谁的职责?内部控制的主体：管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用内部控制的主体：管理层（承担的职责是计划、组织、领导其组织的实施内部控制制度定期逐项复核内控是否存在于现有流程中，是否有效必要时进一步制定具体政策和管理报告考虑成本效益原则强化对内控的监督与评估

有效的办法业绩考核实施内部控制制度定期逐项复核内控是否存在于现有流程中，是否有谢谢诸位！谢谢诸位！内部控制基础知识

梁晟耀

二ΟΟ六年十月DIB内部控制项目培训深圳市迪博企业风险管理咨询有限公司©版权所有1/1/2023内部控制基础知识

梁晟耀

二ΟΟ六年十月DIB内40培训目标了解企业存在的风险及其影响；内部控制的要素；实行内部控制的主要方法；熟悉COSO框架为开展下一步工作奠定知识基础培训目标了解企业存在的风险及其影响；为开展下一步工作奠定知识主要内容风险内部控制COSO框架介绍控制环境风险评估控制活动信息与沟通监督主要内容经营回报与风险经营回报公司管理层经营回报与风险经营回报公司管理层什么是风险？风险是一种可以识别的不确定性。这种不确定性能够对企业经济利益造成（有利或不利）影响。无风险等价=期望报酬-风险厌恶系数*风险程度基本原理：库房偷盗彩票什么是风险？风险是一种可以识别的不确定性。无风险等价=期望报风险的涵义和对企业的影响正面企业管理者需要对那些导致正面影响的事项，包括企业的机遇，或者是可以降低对企业的负面影响的事项，进行评估并在企业战略目标制定的过程中，以及之后的执行过程中加以考虑。负

面企业管理者需要对那些可能导致负面影响的事项进行评估和反应。风险是一种不确定性，它可能导致正面或负面结果。这种不确定性的来源可以是技术的、人员的、经验的、外部竞争对手的、商业环境的、经济法律环境的。

风险的涵义和对企业的影响正面企业管理者需要对那些导致正面风险的后果资产流失竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误风险的后果资产流失商业欺诈风险管理风险管理风险管理(理论)内部控制资产组合寻求较大的回报降低风险风险管理(理论)内部控制资产组合寻求较大的回报风险管理更多的控制控制

(秩序)风险/失控

(混乱)

控制会增加成本，——风险管理应当在风险和控制之间取得平衡，以实现业务目标。无风险等价=期望报酬率-风险厌恶系数*风险程度风险管理更多的控制控制风险/失控 控制会风险管理的挑战风险管理的挑战在于把被动反应转变为主动控制。最佳实践-主动控制最差的情况-被动反应风险识别风险评估风险管理危机管理打扫卫生式的管理救火式的应对风险风险管理的挑战风险管理的挑战在于把被动反应转变为主动控制。最什么是内部控制？什么是内部控制？内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：经营的效率和效果财务报表的可靠性相关法令的遵循内部控制的定义COSO内部控制-内部控制的定义COSO内部控制绝对不是：静态的结构某一层次人员的任务（例如：高级管理层）某一部门的任务（例如：财务、内部审计）某一实体的任务（例如：总部、省级公司）内部控制绝对不是：静态的结构风险与内部控制企业以风险为导向评估并改善内部控制的基本思路：风险评估 -风险确认（识别） -

风险计量 -风险排序内部控制 -评估现有内部控制的充分性 -分析内部控制的改善措施并加以实施 -建立持续有效的目标——风险——控制的评估过程风险与内部控制企业以风险为导向评估并改善内部控制的基本思路：内部控制如何降低风险

暴露的金额发生的可能性内部控制降低风险的大小内部控制如何降低风险暴露的金额发生的内部控制降什么是COSO？什么是COSO？COSO内部控制框架COSO框架是企业评估内部控制的结构化分析工具。SEC根据《萨班斯法案》第404条所制定的「最终条例」(FinalRule)明确表明COSO内部控制框架可以作为评估企业内部控制的标准虽然COSO内部控制框架在「最终条例」中并非唯一的指定标准，但是美国证监会及美国执业会计师公会对审计标准的有关征求意见稿中曾多次提及COSO为评估企业内部控制的标准所以，作为在美国上市的公司，较适宜采用COSO内部控制框架作为记录、评估公司与财务报告相关的内部控制的标准和依据因此网通公司也采纳了COSO报告中的内部控制标准框架。COSO内部控制框架COSO框架是企业评估内部控制的结构化COSO简介COSO： 美国反虚假财务报告委员会的发起组织委员会

TheCommitteeofSponsoringOrganizations(COSO)ofTheNationalCommissionofFraudulentFinancialReporting(the

TreadwayCommission)COSO报告： 内部控制–综合性框架

InternalControl-IntegratedFrameworkCOSO简介COSO： 美国反虚假财务报告委员会的发起组织委COSO控制框架COSO控制框架的核心概念：内部控制定义：内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。

三个目标：经营效率与效果；财务报告的可靠性；法律法规的遵行性五个要素：控制环境；风险评估；控制活动；信息与沟通；监控强调了财务报告的可靠性；强调了控制要素的完整性。COSO控制框架COSO控制框架的核心概念：COSO报告框架介绍信息及沟通控制活动风险评估控制环境持续监控业务操作财务报告合规保证信息能及时有效地沟通的流程信息的决策支持信息系统开发维护灾难恢复计划信息有效沟通判定内部控制设计的充分性，执行的有效性，定期评估内控内控缺失弥补内外审计监控对内部、外部影响企业绩效的因素的评估目标设定风险识别及评估应变措施会计政策变更程序企业内部控制的道德意识，是“来自高层的声音”诚信与道德观组织结构管理理念和经营风格职责与职权的分配员工胜任能力人力资源政策和实践董事会和审计委员会确保风险管理活动被及时执行的政策和流程政策和程序经营目标合理职责分工资产与记录保护数据访问的保护COSO报告框架介绍信息及沟通控制活动风险评估控制环境持续监COSO内部控制框架下图所示为目前工作涉及的公司实体层面的各个方面信息与沟通持续监控控制活动风险评估控制环境COSO建立公司层面的目标和风险评估过程制定识别，传达会计准则变化（GAAP)及内部控制或其运行环境变化的程序参股公司层面目标建立具体的活动目标制定必要的政策和程序使该政策和程序所包含的控制在实践中得以贯彻实施管理层制定清晰明确的财务及经营目标并进行差异分析和追踪合理分配工作职责以降低舞弊风险保护文档，记录及实物资产的安全确保信息系统安全，对信息系统安全政策及程序的合规性进行监控信息系统为管理层决策提供支持开放并改善信息系统以适应公司的战略目标管理层提供保证并监控在信息系统开发和测试中的人力和财务资源的参与度管理层对所有主要数据中心建立业务持续计划/灾难恢复计划管理层对员工的责任和职责进行有效沟通并建立针对潜在问题的沟通渠道来自外部的信息在公司内部及时有效的进行沟通，使管理层能够采取及时适合的行动定期评估内部控制及人员实施内部控制管理意见，及时改进缺陷，适当回应监管部门的报告及建议管理层利用内部审计协助进行监控内控中的个别（专项）评价流程汇报内控缺陷流程管理层的正直，道德价值观和行为管理层的控制意识和运作类型管理层对员工能力的承诺董事会和审计委员会的监督组织架构已经权责的分配授权的界面应该清晰人力资源政策和实践COSO内部控制框架下图所示为目前工作涉及的公司实体层面的各控制环境是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策控制环境是企业的人以及它所处的环境控制环境的组成要素：独立董事专门委员会设立审计委员会，及委员会成员资格要求审计委员会职责专门委员会与外部中介机构监事会监事会职责监事会与外部中介机构控制环境－董事会及委员会职能独立董事控制环境－董事会及委员会职能风险评估企业必须了解它所面临的风险，并加以控制。即设立辨识、分析和管理相关风险的机制风险评估就是辨识和分析企业可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新风险评估企业必须了解它所面临的风险，并加以控制。即设立辨识、如何有效地进行风险管理各行业的前10种最主要的风险因素次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长如何有效地进行风险管理各行业的前10种最主要的风险因素次序银控制活动企业应基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动企业应基于风险评估的结果订立控制风险的政策及程序，并1 预防性控制2 检查性控制3 纠正性控制4 补偿性控制控制活动的类型1 预防性控制控制活动的类型一些重要的内控方法职责分离控制授权批准控制内部报告控制电子信息技术控制…一些重要的内控方法职责分离控制不相容职务相互分离控制－示例工程项目业务不相容岗位一般包括：（一）项目建议、可行性研究与项目决策；（二）概预算编制与审核；

（三）项目实施与价款支付；（四）竣工决算与竣工审计。采购与付款业务不相容岗位至少包括：（一）请购与审批；（