企业风险管理与内部控制管理知识分析专题.ppt

内部控制专题 —控制活动 第一页，共三十四页。 本专题内容 coso1992《内部控制整体框架》 coso2004《企业风险管理总体框架》 coso2013《内部控制—整体框架》 中国 《企业内部控制基本规范》 第二页，共三十四页。 1992《内部控制整体框架》 总体情况 背景：水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。 特点：该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 第三页，共三十四页。 1992《内部控制整体框架》 一、概念 定义：必须确立和执行控制政策和程序，以确保那些被管理层认为必要的减少风险的措施得以执行，从而实现经营目标。 特点：控制行为体现在整个企业的不同层次和不同部门中。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 第四页，共三十四页。 1992《内部控制整体框架》 二、控制活动的类型 高层复核：复核是指相对于预算，预测，前期和竞争对手的实际业绩情况。企业主要的行为应被追踪以衡量目标实现的程度。 职能指导或业务管理：职能或业务部门的经理复核业绩报告。 信息处理：用于核对交易的准确性、完整性和遵循性。记录的数据应与支票和经批准的控制文件相符。 实物控制：设备、存货、证券、现金及其他资产实物应得到保护，并定期进行盘点和帐实核对。 业绩指标：将不同类的数据（经营或财务）联系起来，连同关联性分析、调查和改进行为，构成了这一控制活动。 职责分离：为了降低发生错误或不当行为的危险，职责在不同人们之间进行分工或分离。 第五页，共三十四页。 1992《内部控制整体框架》 三、政策和程序 两类要素：应该做什么的政策；实现该政策的程序。 注意：1.大多数，政策以口头形式传达，但不管政策是否是书面的，必须被仔细地、尽责地、一贯地执行。 2.调查执行程序中发现情况并采取适当的纠正措施，是很关键的。 第六页，共三十四页。 1992《内部控制整体框架》 四、与风险评估结合 在风险评估同时，管理层为了管理风险，应确定相应的行动并使之有效。被确定用于管理风险的行动也用于重点关注控制活动是否已经到位，以有助于确保正确、及时地执行这些行动。 第七页，共三十四页。 1992《内部控制整体框架》 五、信息系统的控制 目标：用于保证财务和其他信息系统的完整性、准确性和遵循性。 分类：一般性控制。对数据中心操作、系统软件的购买和维护、数据入口安全、以及应用系统开发和维护的控制（适用多数应用系统）。 应用性控制。用于控制应用过程，协助保证交易处理的完整性、准确性、交易授权和有效性。 第八页，共三十四页。 1992《内部控制整体框架》 两者关系： 一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。 如果没有充分的一般性控制，也就不可能依赖应用性控制。 一般性控制用于支持应用性控制的功能，两者都用于保证信息处理过程的完整性和准确性。 第九页，共三十四页。 1992《内部控制整体框架》 六、正在发展的问题 出于对许多新兴技术影响的考虑，提出了新的控制问题。 内容：CASE（计算机辅助软件工程）开发工具、依据原型创建新系统、图像处理和电子数据交换、人工智能或专家系统。 第十页，共三十四页。 1992《内部控制整体框架》 七、企业特殊性 原因：企业拥有自身的一套目标和实施策略、每个企业由不同的人管理、企业经营的环境和行业、组织的历史和文化的不同。 案例：行为多样的复杂组织较之行为单一的简单组织，可能面临更困难的控制问题。 分权经营的企业将重点放在地区自治和改革上，较之高度集权的企业，具有不同的控制环境。 第十一页，共三十四页。 1992《内部控制整体框架》 八、对中小企业的应用 小组织中控制活动包含的概念不可能与大组织相差太远，但是控制活动实施的正式程度却有所差异。进而，由于中小企业管理层所实施的高度有效的控制，其可能发现有些类型的控制活动并非总与之相关的。 九、评估 必须按照管理层针对企业每项重要业务的既定目标而做出的风险管理的指示，对控制活动进行评估。因此，评估者将考虑控制活动是否与风险评估过程相关，以及它们是否恰当地保证了管理层的指示得以实施。 第十二页，共三十四页。 2004《企业风险管理总体框架》 总体情况 背景：企业内部不同部门或不同业务的风险，使企业意识到