.内部控制—控制活动.ppt

2013《内部控制—整体框架》 新原则二 内容：组织针对技术选择并且设置一般控制活动，以支持组织目标实现。 分析：相对于具体业务层面风险，技术风险具有自身特征。并对与技术相关的风险进行了强调。 操作：加强技术开发（如ERP开发）过程中的风险控制。 加强对处于运行状态的技术系统进行监控。 加强针对技术的专项评价/审计。 2013《内部控制—整体框架》 新原则三 内容：组织通过制定政策（以明确控制期望）和具体流程（以将控制期望转换为具体行为）来贯彻控制活动。 分析：控制活动的贯彻分一般控制政策、业务流程。后者作为前者的具体实现方式。（政策制定应当具备明确目标，具备实践指导性）。 操作：在公司层面及具体业务层面，明确各工作事项的控制政策，并且在具体流程设计中体现这些政策。 谢 谢！ 内部控制专题 —控制活动 本专题内容 coso1992《内部控制整体框架》 coso2004《企业风险管理总体框架》 coso2013《内部控制—整体框架》 中国 《企业内部控制基本规范》 1992《内部控制整体框架》 总体情况 背景：水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。 特点：该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 1992《内部控制整体框架》 一、概念 定义：必须确立和执行控制政策和程序，以确保那些被管理层认为必要的减少风险的措施得以执行，从而实现经营目标。 特点：控制行为体现在整个企业的不同层次和不同部门中。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 1992《内部控制整体框架》 二、控制活动的类型 高层复核：复核是指相对于预算，预测，前期和竞争对手的实际业绩情况。企业主要的行为应被追踪以衡量目标实现的程度。 职能指导或业务管理：职能或业务部门的经理复核业绩报告。 信息处理：用于核对交易的准确性、完整性和遵循性。记录的数据应与支票和经批准的控制文件相符。 实物控制：设备、存货、证券、现金及其他资产实物应得到保护，并定期进行盘点和帐实核对。 业绩指标：将不同类的数据（经营或财务）联系起来，连同关联性分析、调查和改进行为，构成了这一控制活动。 职责分离：为了降低发生错误或不当行为的危险，职责在不同人们之间进行分工或分离。 1992《内部控制整体框架》 三、政策和程序 两类要素：应该做什么的政策；实现该政策的程序。 注意：1.大多数，政策以口头形式传达，但不管政策是否是书面的，必须被仔细地、尽责地、一贯地执行。 2.调查执行程序中发现情况并采取适当的纠正措施，是很关键的。 1992《内部控制整体框架》 四、与风险评估结合 在风险评估同时，管理层为了管理风险，应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位，以有助于确保正确、及时地执行这些行动。 1992《内部控制整体框架》 五、信息系统的控制 目标：用于保证财务和其他信息系统的完整性、准确性和遵循性。 分类：一般性控制。对数据中心操作、系统软件的购买和维护、数据入口安全、以及应用系统开发和维护的控制（适用多数应用系统）。 应用性控制。用于控制应用过程，协助保证交易处理的完整性、准确性、交易授权和有效性。 1992《内部控制整体框架》 两者关系： 一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。 如果没有充分的一般性控制，也就不可能依赖应用性控制。 一般性控制用于支持应用性控制的功能，两者都用于保证信息处理过程的完整性和准确性。 1992《内部控制整体框架》 六、正在发展的问题 出于对许多新兴技术影响的考虑，提出了新的控制问题。 内容：CASE（计算机辅助软件工程）开发工具、依据原型创建新系统、图像处理和电子数据交换、人工智能或专家系统。 1992《内部控制整体框架》 七、企业特殊性 原因：企业拥有自身的一套目标和实施策略、每个企业由不同的人管理、企业经营的环境和行业、组织的历史和文化的不同。 案例：行为多样的复杂组织较之行为单一的简单组织，可能面临更困难的控制问题。 分权经营的企业将重点放在地区自治和改革上，较之高度集权的企业，具有不同的控制环境。 1992《内部控制整体框架》 八、对中小企业的应用