企业内部控制体系建设[117p].ppt

* * * * * * * 询问：通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。具体形式有访谈、调查问卷等。询问是确信水平最弱的一种测试方法，仅仅通过访谈不能获得充分的证据，应该与其他测试方法同时运用。 观察：现场见证正在执行的控制，从而判断控制是否存在并有效运行。观察对测试接触性控制非常有用，比询问的确信水平高，应该与其他测试方法同时运用。 检查：通过查看与控制相关的文档性记录，对控制有效性做出判断。检查通常采用抽样测试的方法，抽样测试是以样本代表总体，通过检查样本，判断控制总体执行情况的一种方法。检查应与询问结合运用，并进行适当的再执行程序，确认控制确实有效执行。 再执行：通过重新执行控制活动以确定控制是否有效。 * * * 公司层面的IT相关问题 * IT流程及相关控制 * * * * 尽管，内部控制体系在近年才引起社会公众的注意，但是内部控制体系早已有之 在公司组织模式出现之日，控制就是公司经营发展的重要手段之一 但是控制的成熟度不尽相同，控制体系也是逐渐发展、成熟的。 在SOX法案之前，大部分公司都处于标准化或之前的阶段，缺乏对内部控制体系的周期性监督，影响了控制的有效性 * * * * * * 另一方面，监管企业行为的政府、股东及公众机构，为了保护企业利益相关人的利益不受损失，也要求企业建设风险管理和内控体系，并制定相应的法律法规。目前有关企业全面风险管理和内控方面的主要法律法规可以分为如下四个方面： 1）企业股东以保护自身利益为主的，如 国务院国有资产监督管理委员会，从国有企业大股东利益角度出发，制定的《中央企业全面风险管理指引》 2）证券交易所以保护企业公众投资股东利益为主的 《萨班斯法案》 《上海证券交易所上市公司内部控制指引》 《深圳证券交易所上市公司内部控制指引》 3）行业监管部门以保护行业和行业客户利益为主的 《保险公司风险管理指引（试行）》 《商业银行操作风险管理指引》 《证券公司风险控制指标管理办法》 4）政府部门以维护市场经济秩序和公众利益为主的， 财政部《企业内部控制基本规范》 国内企业会计准则第30号 香港7号会计准则 * “COSO，是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)。 COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成 1992年9月，COSO委员会提出了报告《内部控制———整体框架》（1994年进行了增补），即COSO内部控制框架。COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。 最近数年，企业风险管理成为焦点而受到突出关注，需要一个强有力的框架以有效地识别、评估和管理风险。2004年9月，COSO委员会发布《企业风险管理整体框架》，在内部控制的基础上，扩展、提供了一个更强有力的框架，更广泛地专注企业的全面风险管理。该框架不会取代内控框架，而是将内控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业内控的需要，通过采用更全面的风险管理方法使企业持续发展。 * 财政部颁发的《企业内部控制基本规范》基本参照了COSO的内部控制框架，内部控制的五个要素一致。 国资委的《中央企业全面风险管理指引》参照coso的全面风险管理框架基础上，特别强调了风险管理的流程，将其它要素单列出来。 我们认为，两个框架是不矛盾的，体系建设要素可以参照财政部内部控制规范，在此基础上对风险管理的目标、范围、流程进行扩充和细化，即可全面满足两个部委的要求。 * * * * * * 权限指引细化到具体的业务流程才能指导业务运营并得到落实执行，由此也可以看出控制环境的重要性，与风险识别、控制活动设计等有紧密的联系。 * * 风险定义：风险是指任何可能影响公司实现其目标的负面因素 风险评估划分两个维度：公司层面、流程层面 自上而下：从企业控制目标出发确认企业面临的主要风险 自下而上：在业务流程直观清晰描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素，完善企业风险库。 * 风险定义：风险是指任何可能影响公司实现其目标的负面因素 风险评估划分两个维度：公司层面、流程层面 自上而下：从企业控制目标出发确认企业面临的主要风险