数字智慧方案企业内部控制体系建设手册

1

企业控制体系建设

培训手册中和某著名企业山东某著名企业

2009年6月12主要内容体系:◆一、企业控制理论发展概述◆二、《企业控制基本规范》框架结构及主要内容◆三、企业控制体系设计◆四、企业控制评价2越来越多的外部要求股东证券交内控与全面风险管理政府部门行业监管部门国资委：《中某著名企业业全面风险管理指引》…治理结构财政部：《企业控制基本规范》…《萨班斯法案》《上海证券交市公司控制指引》《深圳证券交市公司控制指引》…《保险公司风险管理指引（试行）》《商业银行操作风险管理指引》…3一、企业控制理论发展概述——美国阶段时间定义内容牵制前3600至1936柯氏会计辞典：以任何个人或部门不能单独控制任何一项或一部分业务权利的方式，进行组织上的职责分工，使每项业务通过正常发挥其他个人或部门的职能进行交叉检查或交叉控制。

职责分工；交互检查。四项职能：实物牵制、物理牵制、分权牵制、簿记牵制

控制1936年美国注册会计师协会第一次从财务审计角度提出控制概念1953年美国注册会计师协会所属的审计程序委员会对控制定义作出修改，把控制分为会计控制和管理控制。会计控制由“组织计划和所有保护资产、保护会计记录可靠性或与此有关的所有方法和程序构成”。管理控制“由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的所有方法和程序构成”。

授权与批准制度；记帐、编制报表、保管、保护财务资产等职务分离；实物控制；审计。统计分析；时动研究；经营报告；雇员培训计划；质量控制等。

一、企业控制理论发展概述—美国阶段时间定义内容控制结构1988美国注册会计师协会第55号审计准则公告提出控制结构这个概念。企业控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。控制环境；会计系统；控制程序。控制整合框架1992控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率、财务报告的可靠性、符合适用的法律和法规。控制环境；风险评估；控制活动；信息与沟通；监督。企业风险管理整合框架2004企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。1.环境2.目标制定3.事项识别4.风险评估5.风险反应6.控制活动7.信息与沟通8.监督6企业全面风险管理、控制、财务报告控制并存◆在美国，由于企业所处行业、规模大小、发展阶段、管理水平和监管机构的要求不同，导致企业全面风险管理、企业控制、财务报告控制三者同时存在。◆监管机构和法律代表投资者的利益，考虑到成本效益原则和注册会计师的专业胜任能力，只要求注册会计师对其财务报告控制系统进行评价并出具鉴证意见，是一种实事求是的选择，反而一刀切要求所有企业都要建立全面风险管理体系是不现实的。◆这样就形成了最新理论是企业全面风险管理，法律法规要求企业建立控制体系，对于注册会计师的评价则仅限于财务报告控制。667一、企业控制理论发展概述—中国◆牵制阶段

1978年《会计人员职权条例》1984年《会计人员工作规则》1986年《会计工作基础规范》◆会计控制阶段

1999年《会计法》将“控制”当作会计信息“真实与完整”的基本手段之一2001年至2004年财政部发布《会计控制基本规范》和7个具体规范◆企业控制规范体系阶段

财政部等五部委2008年6月28日发布《企业控制基本规范》◆企业全面风险管理阶段2006年6月国务院国资委发布《中某著名企业业全面风险管理指引》

7美国COSO的内控框架和风险管理框架监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内控控制框架企业风险管理框架8

中国《企业控制基本规范》和《中某著名企业业全面风险管理指引》财政部：企业控制国资委：中某著名企业业全面风险管理体系风险管理的监督与改进

战略目标报告目标合规目标经营目标减灾目标收集风险信息信息组织文化评估风险制定风险管理策略提出和实施风险管理解决方案风险管理的监督与改进

战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督910一、企业控制理论发展概述——中外对比控制标准目标要素备注控制—整合框架（简称COSO报告1）三个目标：经营的有效性和效率；财务报告的可靠性；符合适用的法律和法规五个要素：控制环境；风险评估；控制活动；信息与沟通；监控企业风险管理—整合框架（简称COSO报告2）四个目标：在COSO报告1的基础上，增加了战略目标，将财务报告目标改为报告目标；经营和合规目标未变八个要素：在COSO报告1的基础上，将控制环境目标改为环境要素；新增目标设定要素；将风险评估要素进一步细分为事项识别、风险评估和风险应对三个要素；其他三个要素未变控制是企业风险管理不可分割的一部分，这份风险管理框架涵盖了控制框架中某著名企业业全面风险管理指引五个目标：在COSO报告2的基础上增加了资产保护目标未提出要素概念，第五条指出了风险管理的五大流程，基本上涵盖两个COSO报告的要素内容企业控制基本规范五个目标：与中某著名企业业全面风险管理指引的目标相符五个要素：采用了COSO报告1五要素标准1011二、企业控制基本规范◆2006年7月15日，财政部牵头成立跨部门的“企业控制标准委员会”，开始研究、制定一套具有统一性、公认性和科学性的企业规范◆研究制定控制规范，是经济社会发展的迫切要求，是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措◆国际资本市场大力强化控制◆经济健康发展迫切呼唤加强控制◆各级领导高度重视控制制度建设1112二、企业控制基本规范

◆我某著名企业业控制制度体系的基本目标：总结我国经验，借鉴国际惯例，有效利用国际国内资源，充分发挥各方面的积极作用，通过三到五年的努力，基本建立一套以防范风险和控制舞弊为中心、以控制标准和评价标准为主体的控制制度体系，以及监管部门为主导、各单位具体实施为基础、会计师事务所等中介机构咨询服务为支撑、政府监管和社会评价相结合的控制实施体系，推动公司、企业和其他非营利组织完善治理结构和约束机制，不断提高经营管理水平和可持续发展能力。1213《企业控制基本规范》框架结构及其主要内容◆2008年5月22日财政部、证监会、审计署、银监会、保监会以财会[2008]7号文件发布；◆共七章五十条；◆自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行；◆执行本规范的上市公司，应当对本公司控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对控制的有效性进行审计。◆《企业控制基本规范》的发布，是继2006年2月我某著名企业业会计准则、审计准则正式颁布和顺利实施之后，财政、审计、证券监管、银行监管、保险监管和国有资产管理部门同心同德、群策群力，以实际行动落实科学发展观、促进企业和资本市场又好又快发展的又一重大举措。13《企业控制基本规范》的创新与突破◆构建了一个标准框架。基本规范的制定发布和若干指引的公布征求意见，科学构建了一套环境优化、风险评估科学、控制措施得当、信息沟通迅捷、监督制约有力的控制框架，初步形成了由基本规范、评价指引、应用指引和鉴证指引四个部分组成的层次分明、内容完整、衔接有序地的控制标准体系，有效解决了政出多门、要求不一、企业无所适从的问题。◆强化了一种控制理念。控制不仅是一套技术和方法，更是一种精神和理念。基本规范以促进企业可持续发展、维护社会主义市场经济秩序和社会公众利益为宗旨，倡导“爱岗敬业、进取创新、团队协作和遵纪守法”的职业精神，强调‘建立健全教育、制度与监督并重，惩防并举、重在预防”的反舞弊长效机制，要求企业将有效实施控制纳入绩效考评体系，实现了由牵制、单一会计控制向全面、全员、全程的风险控制观念转变。14《企业控制基本规范》的创新与突破◆建立了一套内控措施。控制措施是企业实施控制的具体方式，是企业管理的载体和手段。基本规范对授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等提出了严格规范的要求，进一步强化了对财务报告信息和其他管理信息的约束，提高了企业资源管理与利用的安全性和有效性，为维护投资者和社会公众利益提供了有力支持。◆夯实了一个制度基础。基本规范的制定实施，既是促进企业会计准则体系和其他有关法规制度有效执行的配套制度安排，同时也是推动企业各项规章制度令行禁止的重要机制保障。这无论对于巩固企业防范风险舞弊的“防火墙”，还是铸牢促进资本市场健康稳定发展的“安全网”，都将发挥十分重要的基础作用。15《企业控制基本规范》的创新与突破◆确立了一个实施模式。基本规范确立了以政府部门合力推进为主导、各单位组织实施为基础、会计师事务所等中介机构提供服务支持，自我评价、政府监管和社会评价有机结合的控制标准建设与实施模式。这种模式有效化解了标准制定与实施过程中不同利益主体之间可能存在的矛盾和冲突，提高了内控标准的严肃性、权威性和公认性，增强了标准的执行力。◆构筑了一个联动平台。在环环相扣、相互关联的大会计系统之中，完备的会计法规为会计改革与发展创造良好的法制环境；健全的会计审计准则为提高会计信息质量和做好资本市场信息披露工作提供制度基础；统一的内控规范体系为确保会计审计准则有效实施和维护社会公众利益构筑一道“防火墙”；协调的会计监管为促进会计审计、控制目标实现提供机制保障；创新的人才评价机制和会计考试制度为会计事业的发展壮大提供人才保证；科学的信息化标准和业务规范为会计工作现代化提供技术支撑。1617控制框架快速解读确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序确认控制是否进行充分的设计和执行，以及是否具备有效性和适应性。对于影响公司目标实现的及外部因素的评估确保相关信息被及时识别及传递的过程公司对于控制的基本态度-”来自上层的基调”战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督18第一章总则

◆宗旨和立法依据：加强和规范企业控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益。根据《公司法》、《证券法》、《会计法》制定。◆适用范围：境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施控制。◆概念目标：控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。1819第一章总则◆企业建立与实施控制的原则：全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。◆基本要素：环境、风险评估、控制活动、信息与沟通、监督。1920第一章总则—组织实施◆企业应当根据有关法律法规、本规范及其配套办法，制定本企业的控制制度并组织实施。企业应当建立控制实施的激励约束机制，将各责任单位和全体员工实施控制的情况纳入绩效考评体系，促进控制的有效实施。◆国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立和实施控制的情况进行监督检查。◆接受企业委托从事控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的控制审计意见负责。为企业控制提供咨询的会计师事务所，不得同时为同一企业提供控制审计服务。2021第一章总则◆信息技术：企业应当运用信息技术加强控制，建立与经营管理相适应的信息系统，促进控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。2122第二章环境◆公司治理结构和制衡机制：根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东（大）会、董事会、监事会、经理层。◆控制的责任主体：董事会负责控制的建立健全和有效实施。董事会下设的审计委员会负责审查企业的控制，监督控制的有效实施和控制自我评价情况，协调控制审计及其他相关事宜。监事会对董事会建立与实施控制进行监督。经理层负责组织领导企业控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调控制的建立实施及日常工作。2223第二章环境◆审计机构：对控制的有效性进行监督检查。审计机构对监督检查中发现的控制缺陷，应当按照企业审计工作程序进行报告；对监督检查中发现的控制重大缺陷，有权向董事会及其审计委员会、监事会报告。◆人力资源政策主要包括以下内容：

——员工的聘用、培训、辞退与辞职；

——员工的薪酬、考核、晋升与奖惩；

——关键岗位员工的强制休假制度和定期岗位轮换制度；

——掌握国家秘密或重要的员工离岗的限制性规定。24第二章环境◆道德修养、业务能力与教育培训：企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。◆文化建设、企业精神、管理理念和风险意识：董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。◆法制教育、法律顾问制度和重大法律纠纷案件备案制度2425第三章风险评估◆基于控制目标的风险评估要求。◆风险与外部风险、企业整体风险承受能力和业务层面的可接受风险水平。◆风险因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关风险因素。◆外部风险因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。2526第三章风险评估◆风险分析与排序（分析方法：定性与定量相结合；分析重点：风险发生的可能性及其影响程度；风险分析团队和分析程序。）◆风险分析结果、风险承受度与高管人员、关键岗位员工的风险偏好。◆风险应对策略：风险规避、风险降低、风险分担和风险承受。◆持续性风险评估与风险应对策略的综合运用。2627第四章控制活动◆控制类型：手工控制与自动控制、预防性控制与发现性控制。◆控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。◆不相容职务分离控制：要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制◆

授权审批控制：要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。2728第四章控制活动◆会计系统控制：要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。大中型企业应当设置总会计师。设置总会计师的企业，不得设计与其职权重叠的副职。◆财产保护控制：要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制的人员接触和处置财产。2829第四章控制活动◆预算控制：要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。◆运营分析控制：要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。◆绩效考评控制：要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。2930第四章控制活动◆控制措施的综合运用◆三类别指引：基本业务类（购、产、销、投融资；货币资金、固定资产、存货、无形资产、衍生工具等）；贯穿业务类（预算、担保、合同协议、企业并购、关联交易、成本费用）；支持保障类（人力资源、信息技术、审计）。◆重大风险预警机制和突发事件应急处理机制。3031第五章信息与沟通◆信息收集处理制度与沟通制度。◆信息的有用性和信息、外部信息的获取渠道。◆信息的沟通和外部沟通。重要信息的传递要求。◆信息技术的利用和对信息系统本身的控制。◆反舞弊机制和工作重点：（一）或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。◆举报投诉制度和举报人保护制度。3132第六章监督

◆控制监督制度（主体、权限、程序、方法和要求）。◆日常监督和专项监督。◆控制缺陷认定、原因分析、报告制度、跟踪整改和责任追究。◆控制自我评价（方式、范围、程序、频率、报告）◆控制建立与实施过程的可验证性要求。3233第七章附则

◆主要规定了解释权限、配套办法、实施日期。33国务院国资委《国有企业控制框架》◆国务院国资委国有企业控制课题组提出了国有企业“12345控制基本框架”新模型。◆一个首要目标：运营效率与效果◆二层责任主体：董事会（股东）和管理层◆三条建设主线：治理结构、财务控制和业务控制◆四大基本原则：强支撑、短流程、高授权和大监督◆五大保障措施：改善支撑环境、加强风险管理、完善制度流程、促进信息沟通和提高监督能力343435公司层级绩效指标架构图总资产周转率股东权益报酬率财务杠杆作用总资产报酬率速动比率利息保障倍数净利率应收账款周转率存货周转率应付账款周转率资金积压期间固定资产周转率营业收入成长率产品成本率营业费用率管理费用率财务费用率营业外费用率所得税费用率里来？明天会不会倒闭？会不会做生意？会不会赚钱？3637

三、企业控制体系的设计

（一）企业建立控制体系的背景和要求

（二）企业建立控制体系的标准与框架

（三）企业控制体系总体框架

（四）企业控制体系设计的基本流程

（五）企业控制体系的预期效果

38（一）对企业建立控制体系的法制要求■政府监管机构和法律法规为维护市场经济秩序和社会公众利益，要求企业加强和规范控制■2002年7月，美国总统布什批准了《2002年上市公司会计改革和投资者保护法》（萨班斯法案），要求上市公司建立控制体系并定期作出自我评价，同时由注册会计师出具控制审计报告■2006年6月，国务院国资委发布《中某著名企业业全面风险管理指引》，要求中某著名企业业建立全面风险管理体系。控制是企业全面风险管理的组成部分和基础工作■2008年6月，财政部、审计署、证监会、保监会、银监会发布《企业控制基本规范》，适用于大中型企业，2009年7月1日起首先在上市公司范围内施行（一）加强和规范控制是企业实现可持续发展的内在需求■控制是企业实现发展战略的基础工程■控制是企业贯彻实施法律法规和规章制度的有力保证■控制是企业提升营运效率效果的有效举措■控制是企业提高财务与非财务信息质量的重要支撑■控制是企业资产安全的重要保障3940（二）企业控制控制标准与框架项目依据、工具和理解企业控制标准与框架■企业控制建设的标准与框架，主要为：财政部和证监会等《企业控制基本规范》及指引上交所《上市公司控制指引》COSO控制框架（COSO1）COSO风险管理框架（COSO2）美国公众公司会计监督委员会第5号审计准则

（《与财务报表审计相结合的财务报告控制审计》）■控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。■控制同风险管理必须实现有机整合，风险是控制的对象，控制是管理风险的手段。所以，我们不对控制和风险管理进行特别区分。■COSO控制框架（COSO1）和风险管理框架（COSO2），均为我们所参考。41企业全面风险管理■培育风险管理文化■建立健全全面风险管

理体系■执行风险管理流程—收集风险管理初始

信息—进行风险评估—制定风险管理策略—提出和实施风险管

理解决方案—风险管理监督与改

进全面风险管理体系■风险管理组织职能体系■风险管理策略■控制系统■风险理财措施■风险管理信息系统对现有管理进行整合■全过程风险管理涵盖战略决策、运营操作、审计与监督、信息

与沟通全过程■全员从董事长开始到最基层员工，都要以风险管理理论为指导，

对自己的工作进行反思■全部职能管理工作风险管理涵盖战略、人力资源、投资、财务、采购、生

产、销售、研发、合规等管理工作■每一个层级涵盖公司治理结构和管理架

构、集团母公司层面、各个

分支机构、每个业务流程实现控制和风险管理的统一设计42（三）企业控制体系总体框架战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督指导框架公司环境管理销售物料管理采购排产组织视图销售处理检查信用额度确定交付日期询价处理报价处理功能视图报价客户询价数据视图询价处理询价已受理询价处理完毕报价处理客户报价询价销售流程视图客户订单客户询价客户报价产品/服务视图4344控制框架快速解读确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序确认控制是否进行充分的设计和执行，以及是否具备有效性和适应性。对于影响公司目标实现的及外部因素的评估确保相关信息被及时识别及传递的过程公司对于控制的基本态度-”来自上层的基调”战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督45环境控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等监督监督是企业对控制建立与实施情况进行监督检查，评价控制的有效性，发现控制缺陷，应当及时加以改进。主要包括：监督、缺陷认定、控制评价和自我记录等风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略风险评估是形成控制活动的基础信息与沟通信息与沟通是企业及时、准确地收集、传递与控制相关的信息，确保信息在企业、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等环境环境是企业实施控制的基础，一般包括治理结构、机构设置及权责分配、审计、人力资源政策、企业文化等战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督环境分册示例目录1、控制体系建设内容…………………概述……………………诚信与道德价值观……………………发展目标……………….管理理念与企业文化…………………风险管理策略…………………………董事会及下属委员会…………………组织结构………………权利和责任分配………………………人力资源政策与措施…………………员工胜任能力…………………………法律顾问制度及重大法律纠纷案件备案制度……….………………2、控制体系执行的文件及规范………………………组织结构图……………员工岗位职责描述……………………权限指引………………审计委员会的工作程序与自评指引表说明………重大法律纠纷案件备案指引…………………………………控制环境涉及的制度索引……………46权限指引示例4748环境环境是企业实施控制的基础，一般包括治理结构、机构设置及权责分配、审计、人力资源政策、企业文化等风险评估控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等监督监督是企业对控制建立与实施情况进行监督检查，评价控制的有效性，发现控制缺陷，应当及时加以改进。主要包括：监督、缺陷认定、控制评价和自我记录等信息与沟通信息与沟通是企业及时、准确地收集、传递与控制相关的信息，确保信息在企业、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略。49风险评估分册示例目录1控制体系建设内容………………1.1概述…………………1.2建立风险评估机制…………………1.3建立并完善风险管理体系…………2

控制体系执行的文件及规范…………………2.1流程描述规范………………………2.2业务流程目录………………………2.3风险评估规范………………………2.4重要会计科目和披露事项确认……………………2.5财务报表认定指南…………………2.6重要业务单位确认…………………2.7公司层面风险及对策分析程序……………………2.8业务活动层面风险数据库…………2.9风险管理规范（试行）……………2.10风险评估涉及的制度索引…………风险分类公司层面业务（流程）层面信息系统层面公司层面风险原材料价格风险商品价格风险行业风险大股东控制公司经营政策风险同行业竞争风险资金风险法律风险业务层面风险业务流程应用系统信息系统总体风险控制环境信息安全项目建设管理变更管理….50风险应对风险评估的步骤风险分析风险识别目标制定战略目标经营目标财务报告目标合规目标公司层面业务（流程）层面信息系统层面接受转移分担控制可能性影响程度关闭停业风险承受风险分担风险降低可能性影响程度风险规避优化流程控制财产保险计提准备动态预警关闭停产资产出售业务外包套期保值51目标设定风险识别风险分析风险应对目标制定财务报告目标为公司及时提供真实、准确、完整的经营管理信息；按照《企业会计准则》以及上市地法律监管的相关规定，为国家相关部门和资本市场及时提供真实、准确、完整的财务会计报告，满足国家相关部门和上市地证券监管机构对财务会计报告的报送要求；防止资产购置、使用或转让出售。业务流程目标产品销售流程准确地获取销售数据并及时传递到相关部门、准确确认销售收入等目标对外投资流程投资成本的确认符合相关准则的规定、投资收益及时取得并准确确认等目标52风险识别的方法风险识别风险分析风险应对目标制定外部专家法头脑风暴法问卷调查法案例分析法行业分析法财务报表分析法流程分析法53风险识别的流程示例?确定相关业务流程目录

描述业务流程财务报表认定流程分析，识别风险确定重要会计科目和披露事项确定财务报告目标存在与发生表达与披露完整性权利与义务估价与分摊54重要会计科目和披露事项认定?存在与发生表达与披露完整性权利与义务估价与分摊55相关业务流程确认?存在与发生表达与披露完整性权利与义务估价与分摊5657财务报表认定财务报表认定：通过识别重要会计科目和披露事项中影响财务报告错报的主要因素，从存在与发生、完整性、估价与分摊、权利与义务、表达与披露等五个方面，针对财务报告控制目标，对在控制体系设计层面和执行层面需要关注的重要会计科目所做出的相关因素作出的确认。?存在与发生表达与披露完整性权利与义务估价与分摊流程分析，识别风险?存在与发生表达与披露完整性权利与义务估价与分摊以业务流程为主线，根据确认的各流程的具体目标，结合重要会计科目和披露事项相关的财务报表认定，关注影响财务报告目标的主要因素5859风险分析影响程度具体描述极高公司将很有可能无法生存。带有潜在的灾难能导致企业崩溃。高严重影响业务－严重破坏公司服务客户的能力。对于关键性的事件要求付出加倍的努力来解决。中对企业产生重要的影响和将影响客户，严重的事件要求附加的努力来解决。低仅影响企业的业务。所造成的后果能被吸收，但是要求某种管理努力使问题简化。极低对企业的业务的无影响、后果能通过正常的活动被吸收。可能性具体描述几乎肯定（≥95%）前六个月发生了几次很有可能（50％－95％）去年发生很少几次可能（25％－50％）去年发生一次很少（5％－25％）前三年发生一次不可能（<5）近5年不可能发生，上次发生还是在5年前甚至更远风险识别风险分析风险应对目标制定60风险应对风险偏好风险承受度风险预警线风险应对策略风险识别风险分析风险应对目标制定接受转移分担控制可能性影响程度关闭停业风险承受风险分担风险降低可能性影响程度风险规避优化流程控制财产保险计提准备动态预警关闭停产资产出售业务外包套期保值61风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略风险评估是形成控制活动的基础环境环境是企业实施控制的基础，一般包括治理结构、机构设置及权责分配、审计、人力资源政策、企业文化等控制活动监督监督是企业对控制建立与实施情况进行监督检查，评价控制的有效性，发现控制缺陷，应当及时加以改进。主要包括：监督、缺陷认定、控制评价和自我记录等信息与沟通信息与沟通是企业及时、准确地收集、传递与控制相关的信息，确保信息在企业、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等62控制活动分册示例目录1概述…..………………1.1定义…………………1.2控制活动目标………………………1.3控制活动分类………………………1.4控制活动的实施.......………………2

控制活动执行的文件及规范…….………………….2.1风险控制文档（RCD）编制规范………….………2.2财务分析管理规定……….………2.3关键控制管理文件……….………2.4统一实施证据表单……….………2.5控制活动涉及的制度索引……………….………业务程序控制活动从ERP系统中，打印所有付款金额、付款人相同的支票的报告，即疑似重复付款报告

将付款期为一年以上的帐款单独分类

审核系统安全设置，确保录入订单的权限被严格控制

审核所有超过五千元的发票，确保得到部门经理的适当批准

核对收到货物的收货数据与采购订单数据

确定采购折扣

何为控制？控制是保证管理层的指令得以执行的政策或程序，涉及审批、授权、复核、检查验证、业绩考核、资产保全和职责分离等63控制活动分类“自动”控制：由系统自动设置控制，为避免风险采取的措施。例如：超出信用额度，系统自动限制发出货物及开出发票。“人工”控制：由被授权的人员执行的控制。例如：财务经理审核银行余额调节表。应付账会计核对发票，入库单及合同。“预防性”控制：在风险发生之前，为避免风险采取的措施。例如：制定政策、准备备查清单、合同在执行前需要审批，等为预防性控制；“发现性”控制：事后做的、为及时发现问题而采取的措施是发现性控制。例如：核对财务系统和资产系统的余额是否一致，审核记账凭证是否准确、编制银行存款余额调节表等。控制手段控制作用64控制设计程序补充完善相关管理制度记录控制措施确定控制措施确定控制目标对业务流程进行风险评估后，根据业务流程相关风险，按照流程步骤进一步确定控制目标控制目标指为防范和规避风险，控制活动所要达到的具体目标。一般包括完整性目标（C）、准确性目标（A）、有效性目标（V）、接触性目标（R）等四个方面。在确定了控制目标后，对照业务流程步骤，分析确定达到控制目标的方法和途径并选择相应的控制方法，设计出达到控制目标的各项控制措施，包括制定与控制措施相关的政策和程序、控制频率、控制方法（人工或自动）以及控制证据等。设计和确认的各项控制措施和关键控制，按统一规定的控制描述标准和工具，相关控制，编制完成风险控制管理文件，包括业务流程图、风险控制文档（RCD）和程序文件等内容。按照控制措施，查找现有管理制度差异，制定、完善本单位、本部门相关管理制度。6566控制目标完整性控制（C）：指生产经营和财务信息数据的采集、记录和处理完整，无遗漏和重复。如：租金未及时确认，或重复确认当期费用就会影响完整性。把当期所有的合同信息都完整地、不重复地录入合同管理系统。按照会计确认收入的原则，将当期所有的销售收入记录下来。保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据。准确性控制（A）：指所有信息和数据计算、归集和记录操作等准确。如：保证账务处理的金额是准确的。在采购业务中，合同上的价格、数量应该准确。销售收入应当记入正确的会计期间。发票内容与销售交或合同应当一致。有效性控制（V）：指所有的生产经营活动都经过适当的授权和批准，都是真实发生的，并按规定保存有效的原始文件。如：付款经过适当级别的审批。记录的销售收入是真实的。费用支出与公司的业务相关，且符合公司的费用开支标准。接触性控制（R）：指信息处理和实物资产的保护和安全控制。如：防止存货和实物资产的偷窃和遗失。会计人员只能在授权的情况下，编制与自己分管业务相关的会计凭证。对企业投资实施计划的，防止被不相关的人员了解。控制活动分类（续）公司层面业务（流程）层面信息系统总体控制公司层面控制控制环境范围内的控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT环境与组织以及人力资源政策等；反舞弊程序与控制；风险评估流程、监督；经营活动分析、审核；期末财务报告流程；突发事件应急处理等业务活动控制业务活动控制相关应用系统控制信息系统总体控制IT基础设施数据库操作系统67控制设计成果示例6869监督监督是企业对控制建立与实施情况进行监督检查，评价控制的有效性，发现控制缺陷，应当及时加以改进。主要包括：监督、缺陷认定、控制评价和自我记录等控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略风险评估是形成控制活动的基础环境环境是企业实施控制的基础，一般包括治理结构、机构设置及权责分配、审计、人力资源政策、企业文化等信息与沟通战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督信息与沟通信息与沟通是企业及时、准确地收集、传递与控制相关的信息，确保信息在企业、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等70信息与沟通分册示例目录1概述………….………...1.1概述……………………1.2信息……………………1.3沟通……………………1.4信息系统总体控制……………………1.5信息系统应用控制……………………1.6信息披露………………2信息沟通文件……………2.1总部各部门信息流汇总表……………2.2应用系统划分规范及工作指引………2.3应用系统用户权限管理工作规范……………………2.4应用系统主数据、报表公式变更及取消类业务管理………………2.5ERP与人力资源系统总体控制实施办法……………2.6ERP与人力资源系统敏感事务访问权限设置规则…………………2.7信息与沟通涉及的制度索引…………信息流汇总表示例填写部门信息类别信息内容信息来源加工处理载体形式信息去向涉及制度备注总裁办公室信息机关部门、专业公司、地区公司公文机关各部门、专业公司、地区公司公文处理程序文件、会议纪要、局域网有阅读权限的机关管理人员《某著名企业公文处理暂行方法》（石油办字[2000]325号）、《某著名企业机关公文处理暂行规定》（石油办字[2001]88号）

外部信息外部监督方和上级的公文外部监督方和上级主管部门、国家部委公文处理程序文件、函、会议纪要公司管理层、相关部门和有阅读权限的机关部门领导《某著名企业公文处理暂行方法》（石油办字[2000]325号）

规划计划部外部信息国家宏观调控政策上级公文及媒体收集整理公文有关部门和领导

竞争对手动态信息所、互联网、新闻媒体分析、应用专题报告、会议、互联网领导、员工

国家经济、政策环境信息国家政府部门、新闻媒体分析、应用专题讲座、会议、互联网领导、员工

国家宏观信息国务院各部委分析、对比、应用会议、报告某著名企业管理层，上报有关部委，行业交流

71信息系统总体控制系统控制环境：总体环境、信息与沟通、风险评估、监控等项目建设管理：开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等变更管理：应用系统日常变更、系统环境日常变更、紧急变更管理等系统日常运作：机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等信息安全：信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等信息系统总体控制信息系统控制环境信息安全信息系统日常运作变更管理项目建设管理最终用户操作最终用户操作：最终用户计算机操作安全制度、电子表格管理等信息系统总体控制所指的是控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的72信息安全主要关注以下方面的内容信息安全物理安全网络安全逻辑安全信息安全管理组织计算机病毒防护第三方安全管理信息安全事件响应7374信息安全－信息安全管理组织关注点控制措施实施证据涉及岗位根据业务需求设置信息安全管理机构，具有清楚的角色和职责定义，并确保职责分离在股份公司和地区公司设立信息安全管理负责人，可以由信息技术部门内相关人员兼任明确信息安全管理负责人的职责，并确保职责分离，例如信息安全管理负责人不应兼任信息技术日常事务执行工作岗位职责说明书或相关会议记录各级信息技术部门负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写《职责分离检查表》，将不符情况报相关负责人《职责分离检查表》信息安全管理负责人企业对员工进行信息安全教育和培训，以确认其具有基本的信息安全意识各级信息技术部门对员工进行信息安全教育和培训，并对培训结果进行书面记录和归档培训计划、培训纪录信息安全管理负责人员工入职时，要求其签署遵守企业的信息安全规定的声明员工签署合同或协议时应包含员工遵守企业信息安全规定声明人事部门负责“声明”的统一归档员工遵守企业信息安全规定声明人事部负责人信息安全物理安全网络安全逻辑安全信息安全管理组织计算机病毒防护外部第三方安全管理信息安全事件响应75控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等风险评估风险评估是企业及时识别、系统分析经营活动中与实现控制目标相关的风险，合理确定风险应对策略风险评估是形成控制活动的基础环境环境是企业实施控制的基础，一般包括治理结构、机构设置及权责分配、审计、人力资源政策、企业文化等监督信息与沟通信息与沟通是企业及时、准确地收集、传递与控制相关的信息，确保信息在企业、企业与外部之间进行有效沟通。主要包括信息沟通、信息技术、反舞弊等战略目标报告目标合规目标经营目标资产安全环境公司层面业务单元子公司风险评估控制活动信息与沟通监督监督监督是企业对控制建立与实施情况进行监督检查，评价控制的有效性，发现控制缺陷，应当及时加以改进。主要包括：监督、缺陷认定、控制评价和自我记录等76监督分册示例目录1控制体系建设内容

…………………1.1概

述

…………………1.2持续监督

……………1.3独立评估

……………1.4缺陷报告

……………2控制体系评价规范及执行文件……………………2.1控制体系评价概述……………2.2评价范围的确定….……...…………2.3控制测试

……….……….……………………2.4缺陷评估…………2.5评价报告…………2.6控制体系管理规范.…..………..………………2.7监督涉及的制度索引

..……………控制测试基本方法检查再执行观察询问7778控制设计与测试评价成果（公司层面）示例79控制设计与测试评价成果（流程层面）示例80控制设计与测试评价成果（IT层面）示例控制设计与测试评价成果（IT层面）示例81缺陷认定及整改实施跟踪从整体控制目标实现的角度出发，对发现问题进行缺陷认定，按照缺陷的影响程度定义缺陷，从设计与执行两个方面出发，将缺陷进行分类，制定缺陷整改计划并加以实施针对整改实施结果进行再测试与再评价，持续跟进与监督缺陷整改的实施步骤：责任人及管理层对于缺陷事实的认可对于缺陷产生原因的判定判断缺陷为公司共性问题还是个别单位、部门独有问题整改计划的目标是正对缺陷产生原因，而不是针对缺陷表象整改计划符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施结果的持续跟进与监督是否可以增加其他测试程序证明已经发现的差异不能代表所有内控的情况？扩大测试范围，重新评估，测试目的是否达到？设计缺陷执行缺陷了解控制差异的起因和结果，判断控制目标是否达到？该差异不是控制缺陷，不必再考虑是否否否是是82XXXX公司管理层测试报告模板示例示例8384（四）企业控制设计工作流程85企业控制体系概述以《企业控制基本规范》为基础，融合了COSO企业风险管理框架企业控制体系框架建立决策、运营、监督和信息与沟通于一体的控制体系，覆盖生产经营的全过程和主要经营管理岗位满足国内外相关法律法规的要求推动企业规范化管理顺利通过控制审计符合风险管理的发展趋势设计目标：内容：系统阐述内控体系建设的方法和标准，全面涵盖了以下五要素：环境风险评估控制活动信息与沟通监督执行：经项目建设委员会审议通过后发布试行86企业控制设计流程2543现状描述风险分析、评估、确认内控体系试行、完善内控体系测试及审计1项目启动6维护及改进成立项目建设委员会、项目工作组前期培训流程目录流程图、RCD文档、程序文件风险数据库风险评估、确认《关键控制管理文件》《内控体系框架》《内控管理手册》内控体系正式运行管理层测试外部审计长期运行，持续维护改进，提升公司管理水平有效的工作推进方式统一设计、集中培训、试点先行、全面推广分阶段制定详细工作计划，并随时根据实际进行调整87控制环境风险评估控制流程Going…控制目标控制要点控制政策控制模式

控制载体■各项典型业务的控制管理子系统，需要针对具体业务，按照控制环境、控制目标、潜在风险、控制流程、控制要点、控制政策和控制载体构造，最后反映为控制流程图和控制政策表，即控制模式。■控制流程图描述控制流程、控制要点和控制载体，示例如后面流程描述表；■控制政策表归纳控制目标、潜在风险、控制政策及其对应的管理制度，示例如后面控制政策表。控制设计思路与模式88企业控制设计主要工作步骤■对企业控制进行全面调研和审计，掌握一手资料；■对企业现有规章制度按控制要素进行归集；■按控制要素及子要素对企业管理进行改进和设计；■对企业业务循环进行梳理和改进；■编制业务循环流程描述表和业务控制政策表；■绘制业务流程图；■编制《企业控制管理手册》和文件制度汇编并实现信息化管理；■控制体系的持续改进和提升。89组织问题风控问题流程问题企业调研控制设计主要工作步骤1对企业控制进行全面调研和审计哪些业务单元比要求落后？谁对什么负责？不同人的角色分配？不同组织之间的沟通协同哪些流程缺陷最严重？哪里有明显缺陷？有多少批量缺陷？谁负责管理流程并改正缺陷？财务风险在什么地方？风险严重程度如何？哪些控制缺陷正在纠正？纠正用什么方法？过程有没有被记录？通过审计和评价确定企业控制体系的发展阶段无意识初步建立标准化持续监控整合发展阶段控制的有效性无意识没有设计和实施控制活动的意识整合将控制体系融入到企业的日常管理运营活动中，并持续优化提升初步建立初步设计并实施了一些控制活动，但是不够全面和充分标准化公司范围内设计并实施了标准化的控制活动持续监控建立了标准化的控制体系，并建立了周期性的控制测试和汇报制度9091企业控制设计主要工作步骤2对企业现有规章制度按内控要素进行归集整理行政综合战略规划人力资源组织架构市场营销财务管理信息系统……环境风险评估控制活动信息与沟通监督梳理补充完善企业控制基本规范规章制度9292框架要素环境风险评估控制活动信息与沟通监督企业控制设计主要工作步骤3按控制要素及子要素对企业管理进行改进和设计公司治理结构机构设置与权责分配审计人力资源政策企业文化法律环境目标设定风险识别风险分析风险应对策略不相容职务分离授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制重大风险预警机制突发事件应急处理机制信息搜集信息传递搭建共享信息平台反舞弊机制举报投诉制度举报人保护制度组织结构施行方式内控评价档案记录9393企业控制设计主要工作步骤4

对企业各业务循环进行业务梳理和流程改进企业控制设计主要工作步骤5-1编制企业业务流程描述表——以采购为例编号一级流程二级流程三级流程适用范围1采购采购原材料、低值和办公用品101常规采购10101采购计划根据生产计划和市场预测，指定采购货品计划，并审批10102供应商管理开发、评价和管理供应商10103采购申请及执行采购申请、审批和执行采购业务10104退货与折价已销货品的退回或折扣、折让和理赔102战略采购为了战略储备或建立战略合作供应商103紧急采购仅限特殊情况下急需物料。如按常规采购耽误使用时间104简仅限在预算额度之内的低值。包括：1.办公用品2.劳保用品3.福利用品2付款采购物品的付款流程201预先付款签约之后、到货之前，预先支付全部货款或部分货款202货物验收合格后支付货款94控制设计主要工作步骤5-2编制采购控制政策表959696绘制业务流程图企业控制主要工作步骤697企业控制设计主要工作步骤7

组织修订原有制度N项，新制定制度M项《公司章程》《董事会工作手册》《审计委员会组织和工作规则》《内审工作规定》《财务分析评价制度》《信息披露控制及披露程序原则》《权限指引》《岗位职责描述》……等公司层面：N类N个流程图N个风险控制文档及程序文件文件N个业务活动层面：建立和完善相关制度及流程管理文件98软件技术培训软件应用培训流程绘制培训流程工作室建立方法培训内控人员培训搭建关键流程体系绘制关键单位的关键流程设计相关指标建立制度条例体系应用协同场景实操软件技术培训软件应用培训标准普及培训普及理念培训关键事件培训软件安装及培训应用培训树立标杆全面推广搭建全面流程体系设计和发现全面风险控制点搭建整体风险内控体系建立内控文化建立内控合规机制并持续改进优化业务标杆建立软件安装配置四个数据库制度条例的导入流程库建立文档归类设计关键预警方法总结培训宣讲全面推广总结流程管理方法论总结内控方法论建立内控人员队伍建立内控标准课件制定全面推广计划企业控制设计主要工作步骤8

软件的试用和推广99覆盖总部机关和所属分公司和子公司验收检查主要分两个方面业务活动层面：对关键控制及重要流程进行跟单测试和抽样测试公司层面：对以控制环境为主的九个主题和信息沟通等内容进行测试测试人员由项目组、审计部、中介机构组成主要内容：体系建设的规范性和实施的符合性对业务活动层面控制的验收检查工作成果：工作量跟单测试的重要流程抽样测试关键控制点实际抽取样本量对公司进行控制环境的测试对公司进行信息与沟通的测试对总部进行董事会等十七个主题的测试下发问卷调查等。对公司层面控制的验收检查工作成果：企业控制设计主要工作步骤9

——组织验收检查（五）项目效果预期100101项目效果预期编制完成《企业控制管理手册》公司整体层面业务活动层面一、总体框架：包括编制目的、原则、依据、总体思路二、企业控制体系建设的目标和指导思想三、控制框架的主要内容：按控制要素编制，包括环境、风险评估、信息与沟通、监督四、编制发展战略、组织架构、人力资源、企业文化和社会责任应用指引五、控制自我评价指引资金采购资产销售研发工程项目全面预算合同报告信息系统主要内容:一、确定重要会计科目、披露事项和组成结构；二、确定业务流程/循环和子流程/