内部控制制度与设计课件

第二章内部控制概念框架主讲人：第1页第一节内部控制目标第二节内部控制对象人财物信息业务活动一、人在内部控制对象中，人是最主要的因素，因为内部控制的目的是保证运营活动的正常、规范和高效，而内部控制的实施要靠人来执行。（1）人的素质和认知水平对内部控制质量产生影响。（2）内部控制需要根据人的行为特点来设计。（3）内部控制的实施需要人的积极参与。对人进行控制的方法主要有：组织规划控制、授权批准控制、绩效考评控制等。钱财，即资金。对任何企业来说，资金都不是不可或缺的一个要素，资金活动更是贯穿于企业生产经营管理活动的全过程。从资金的运动状态来看，对资金的控制包括存量控制和流量控制。对财进行控制的方法主要有：会计系统控制、财产保护控制。二、财三、物物，指的是企业的实物资产，主要包括固定资产和存货。固定资产是企业从事生产经营活动所必不可少的物质条件，是企业创造财富不可或缺的手段。存货是指企业在生产经营过程中为销售或生产耗用而储备的物资，是企业重要的流动资产。对物进行控制的方法主要有：财产保护控制。四、信息信息是指应用文字、数据或信号等形式，通过一定的传递和处理，来表现各种相互联系的客观事物在运动变化中所具有特征性内容的总称。信息学创始人香农（ClaudeElwoodShannon，1916~2001）将信息定义为减少不确定性的一种客观存在和能动过程。将外部接收的信息做为控制的对象，是基于以下考虑：（1）可能存在信息虚假风险。（2）可能存在信息过滤风险。（3）可能存在信息过滥风险。（4）可能存在信息过时风险。将内部生成的信息做为控制的对象，是基于以下考虑：（1）信息在内部生成过程中可能存在失真。（2）内部生成的信息在内部传递过程可能传递给不适当的接收者，从而导致信息泄密。（3）内部生成的信息在对外披露时需要遵守相关的法律法规。对信息进行控制的方法主要有：会计系统控制、内部报告控制。五、业务活动业务活动是指企业在日常经营过程中实现营业收入和盈利的各种活动。业务活动是企业日常运营的重要组成部分，是实现企业目标和使命的主要手段，直接关系到企业的经济效益、经营风险和内部运营效率。将业务活动作为企业控制的对象，是基于以下考虑：第一，业务活动是内部控制的直接对象，对业务活动进行管理与控制能够有效控制和防范各种实物和金融风险。第二，通过对业务活动的控制，企业可以规范和优化业务流程，提高运营效率，节约成本，提高经济效益。第三，业务活动的控制也能有效预防和避免内部合规风险，确保企业的合法合规经营，保护企业的形象和信誉。第四，通过对财务活动的控制，减少信息的错误与漏报，保证财务信息的准确性和真实性。第五，对业务活动的控制，能够帮助企业建立和完善风险管理机制，有效预测和处理经营活动中的潜在风险问题，保护企业和投资者的利益。对业务活动进行控制的方法主要有：授权批准控制、运营分析控制。第三节内部控制要素一、控制环境控制环境是影响、制约企业内部控制建立与执行各种内部因素的总称。一般包括：诚信与道德价值观、管理层理念和经营风格、治理结构、发展战略、机构设置及权责分配、内部审计、人力资源政策、企业文化、社会责任等。二、风险评估（一）风险的含义风险就是指在一个特定的时间内和一定的环境条件下，人们所期望的目标与实际结果之间的差异程度。风险无处不在，在企业战略、财务、运营、合规等方面处理都存在风险（二）风险的特征第一，风险它是客观存在的第二，风险具有损害性第三，风险具有不确定性第四，风险与特定的目标相关第五，风险具有可测定性（三）风险管理风险管理是一套由企业董事会与管理层共同设立、和与企业战略相结合的管理流程。它的功能是识别那些会影响企业运作的潜在事件和把相关的风险管理到一个企业可接受的水平，从而帮助企业达至它的目标。三、控制活动控制活动就是指根据风险应对策略所采取的具体政策和程序。控制活动贯穿于企业所有阶层和职能部门。1．按照控制活动的目标分类（1）战略目标控制活动，指确保企业战略目标得以实现的控制活动；（2）营运目标控制活动，指确保实现经营活动效率和效果目标的控制活动；（3）财务报告控制活动，指确保财务报告真实、有效的控制活动；（4）合规性控制活动，指确保企业满足各项法律、法规、规章、制度的控制活动。2．按照控制层次分类（1）企业层面的控制活动，是指管理层为确保整个企业存在恰当的内部控制而设置的控制活动，包括环境控制、风险评估流程、内部审计、财务报告流程等；（2）业务层面的控制活动，是指直接作用于企业生产业务活动的具体的控制，如业务活动的批准与授权、审核与复核等。3．按照控制活动的作用分类（1）指导性控制，指为了实现有利结果而进行的控制。（2）预防性控制，指为防止错误及非法事件的发生，或尽量减少其发生机会的控制活动，把风险水平限制在一定的范围内。例如：岗位轮换、不定期盘点、突击检查等；（3）侦查性控制，指为及时查明已发生的错误及非法事件，或提高发现错弊机会的能力所采取的控制活动。（4）补救性控制，指一旦错误或非法事件已经发生，尽量采取补救，以使企业避免更大损失的控制。4．按照控制方式分类（1）人工控制，指以人工的方式开展控制活动。（2）自动化控制，指由计算机执行的控制活动。四、信息与沟通沟通是管理者开展各项管理工作所必须掌握的技能之一。企业管理离不开信息。沟通即“信息沟通”，是指信息在两个或两个以上人群中通过一定渠道传递并理解的过程。信息沟通贯穿于企业的整个风险管理过程。企业对人、财、物等资源的管理都是通过对与之有关的信息的收集、传递和处理来实现的。及时、准确、完整地收集、加工、整理决策所需的信息是管理活动的重要组成部分。完整的信息沟通过程五、内部监督内部监督是内部控制体系中不可或缺的一部分，是内部控制得到有效实施的有力保障。内部监督可通过日常监督和专项监督以及两者相结合的方式来实现。日常监督、专项监督和缺陷报告，构成内部监督的三个要素。第四节内部控制层次关于内部控制的层次，站在不同的角度有不同的划分方法。基于注册会计师的视角，将内部控制分为二个层面：整体层面和业务流程层面；根据企业内部控制的目标不同，可以将内部控制划分为三个层面：治理层面、管理层面、业务层面。依据企业内部控制的主体不同，内部控制划分为四个层面：股东、经营者、管理者和普通员工。一、二个层面的内部控制注册会计师出于审计的目的，需要对内部控制进行了解与测试。在进行审计测试时，通常从整体层面和业务流程层面去测试评价内部控制。（一）整体层面的内部控制整体层面的内部控制是指对企业控制目标的实现具有重大影响，与控制环境、风险评估、信息与沟通、内部监督直接相关的控制。（二）业务流程层面的内部控制业务流程层面的内部控制是指企业通过规范和管理具体业务流程中的活动和操作，以保证企业目标实现的效率性、效果性和合规性的各种控制措施和要求的集成。业务流程层面的内部控制主要与业务流程和认定相关。主要内容包括：人力资源控制、资金控制、采购控制、资产控制、销售控制、研发控制、工程项目控制、担保控制、业务外包控制、合同控制、质量控制等。在设计业务流程层面的内部控制时，需要考虑企业具体业务的控制活动。二、三个层面的内部控制（一）治理层面的控制治理层面的内部控制是由公司关键资源提供者（即公司治理主体），通过治理结构的设计，实施权责配置、监督与制衡、激励与约束、统筹与协调等针对公司整体治理所采取的一系列控制措施。公司治理的问题，大多数还是公司内部的问题，只有将内部控制纳入公司治理，才能将控制失效的问题在源头在解决，通过内部控制的监督与制衡解决股东与股东之间、股东与经营者之间的控制问题。因此，治理层面的内部控制是公司最高层次的内部控制。（二）管理层面的控制管理层面的控制是指管理者实施战略、考核绩效、协调企业内部各类业务，促使企业相关部门和人员统一行动，共同追求企业管理目标的过程。管理层面的控制目标是确保管理层面的各项活动能够有效地实现企业战略和经营计划，同时规范和优化企业运营管理，提高资产利用效率、降低管理成本和风险。（三）业务层面的控制业务层面的内部控制是指公司为确保业务流程的规范化、经济效益的最大化，通过对各业务环节的控制，减少业务事故和纠纷，保护公司利益的控制手段。业务层面的控制目标是确保企业在各个业务方面的高效和合规性。企业必须通过制定、执行、监控和报告这些目标来实现其操作目标、保护资产，防止风险和损失，同时保持良好的公司声誉并遵守适用法律和法规。三、四个层面的内部控制企业由四种经济主体所组成，即股东、经营者、管理者和普通员工，这四种经济主体都有各自的目标，并且都有各自的可控因素，所以，企业内部控制也可以划分为以上四个层次。（一）以股东为主体的内部控制以股东为主体的内部控制是指公司股东在内部治理中扮演重要角色，通过监督、参与和管控多个业务流程和治理环节，保障公司的合规性和风险控制。（二）以经营者为主体的内部控制经营者在公司内部治理中扮演重要角色。以经营者为主体的内部控制是指组织内部由经营者或管理层牵头负责设计、实施和监督的一系列机制和过程，旨在确保组织目标能够达成、风险得到有效管控，组织利益和财产得到有效保护，促进公司健康持续发展。这种内部控制是由经营者或管理层作为主要责任者，通过确定控制目标、制定相关政策和程序以及监督其执行来推动和实施。（三）以管理者为主体的内部控制以管理者为主体的内部控制是指公司管理者在内部治理中扮演重要角色，他们在