1

企業(yè)內部控制體系建設

培訓手冊中和正信會計師事務所有限公司山東中和正信風險管理有限公司

2009年6月11

企業(yè)內部控制體系建設

培訓手冊2主要內容體系:◆一、企業(yè)內部控制理論發(fā)展概述◆二、《企業(yè)內部控制基本規(guī)范》框架結構及主要內容◆三、企業(yè)內部控制體系設計◆四、企業(yè)內部控制評價22主要內容體系:◆一、企業(yè)內部控制理論發(fā)展概述2越來越多的外部要求股東證券交易所內控與全面風險管理政府部門行業(yè)監(jiān)管部門國資委：《中央企業(yè)全面風險管理指引》…治理結構財政部：《企業(yè)內部控制基本規(guī)范》…《薩班斯法案》《上海證券交易所上市公司內部控制指引》《深圳證券交易所上市公司內部控制指引》…《保險公司風險管理指引（試行）》《商業(yè)銀行操作風險管理指引》…3越來越多的外部要求股東證券交易所內控與全面風險管理政府部門行4一、企業(yè)內部控制理論發(fā)展概述——美國階段時間定義內容內部牽制前3600至1936柯氏會計辭典：以任何個人或部門不能單獨控制任何一項或一部分業(yè)務權利的方式，進行組織上的職責分工，使每項業(yè)務通過正常發(fā)揮其他個人或部門的職能進行交叉檢查或交叉控制。

職責分工；交互檢查。四項職能：實物牽制、物理牽制、分權牽制、簿記牽制

內部控制1936年美國注冊會計師協(xié)會第一次從財務審計角度提出內部控制概念1953年美國注冊會計師協(xié)會所屬的審計程序委員會對內部控制定義作出修改，把內部控制分為內部會計控制和管理控制。會計控制由“組織計劃和所有保護資產、保護會計記錄可靠性或與此有關的所有方法和程序構成”。管理控制“由組織計劃和所有為提高經(jīng)營效率、保證管理部門所制定的各項政策得到貫徹執(zhí)行或與此直接有關的所有方法和程序構成”。

授權與批準制度；記帳、編制報表、保管、保護財務資產等職務分離；實物控制；內部審計。統(tǒng)計分析；時動研究；經(jīng)營報告；雇員培訓計劃；質量控制等。

44一、企業(yè)內部控制理論發(fā)展概述——美國階段時間定義內容內部牽5一、企業(yè)內部控制理論發(fā)展概述—美國階段時間定義內容內部控制結構1988美國注冊會計師協(xié)會第55號審計準則公告提出內部控制結構這個概念。企業(yè)內部控制結構包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序?？刂骗h(huán)境；會計系統(tǒng)；控制程序。內部控制整合框架1992內部控制是一個由企業(yè)董事會、管理層和其他員工實施的、旨在為下列各類目標的實現(xiàn)提供合理保證的過程：經(jīng)營的有效性和效率、財務報告的可靠性、符合適用的法律和法規(guī)?？刂骗h(huán)境；風險評估；控制活動；信息與溝通；監(jiān)督。企業(yè)風險管理整合框架2004企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現(xiàn)提供合理保證。1.內部環(huán)境2.目標制定3.事項識別4.風險評估5.風險反應6.控制活動7.信息與溝通8.監(jiān)督5一、企業(yè)內部控制理論發(fā)展概述—美國階段時間定義內容內部控制6企業(yè)全面風險管理、內部控制、財務報告內部控制并存◆在美國，由于企業(yè)所處行業(yè)、規(guī)模大小、發(fā)展階段、管理水平和監(jiān)管機構的要求不同，導致企業(yè)全面風險管理、企業(yè)內部控制、財務報告內部控制三者同時存在?！舯O(jiān)管機構和法律代表投資者的利益，考慮到成本效益原則和注冊會計師的專業(yè)勝任能力，只要求注冊會計師對其財務報告內部控制系統(tǒng)進行評價并出具鑒證意見，是一種實事求是的選擇，反而一刀切要求所有企業(yè)都要建立全面風險管理體系是不現(xiàn)實的?！暨@樣就形成了最新理論是企業(yè)全面風險管理，法律法規(guī)要求企業(yè)建立內部控制體系，對于注冊會計師的評價則僅限于財務報告內部控制。666企業(yè)全面風險管理、內部控制、財務報告內部控制并存◆在美國，7一、企業(yè)內部控制理論發(fā)展概述—中國◆內部牽制階段

1978年《會計人員職權條例》1984年《會計人員工作規(guī)則》1986年《會計工作基礎規(guī)范》◆會計控制階段

1999年《會計法》將“內部控制”當作會計信息“真實與完整”的基本手段之一2001年至2004年財政部發(fā)布《內部會計控制基本規(guī)范》和7個具體規(guī)范◆企業(yè)內部控制規(guī)范體系階段

財政部等五部委2008年6月28日發(fā)布《企業(yè)內部控制基本規(guī)范》◆企業(yè)全面風險管理階段2006年6月國務院國資委發(fā)布《中央企業(yè)全面風險管理指引》

77一、企業(yè)內部控制理論發(fā)展概述—中國◆內部牽制階段7美國COSO的內控框架和風險管理框架監(jiān)控信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1監(jiān)督信息和溝通控制活動風險評估控制環(huán)境營運財務報告合規(guī)性業(yè)務單位A業(yè)務單位B活動2活動1內控控制框架企業(yè)風險管理框架8美國COSO的內控框架和風險管理框架監(jiān)控信息和溝通控制活動風

中國《企業(yè)內部控制基本規(guī)范》和《中央企業(yè)全面風險管理指引》財政部：企業(yè)內部控制國資委：中央企業(yè)全面風險管理體系風險管理的監(jiān)督與改進

戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標減災目標收集風險信息信息組織文化評估風險制定風險管理策略提出和實施風險管理解決方案風險管理的監(jiān)督與改進

戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督9

中國《企業(yè)內部控制基本規(guī)范》和《中央企業(yè)全面10一、企業(yè)內部控制理論發(fā)展概述——中外對比內部控制標準目標要素備注內部控制—整合框架（簡稱COSO報告1）三個目標：經(jīng)營的有效性和效率；財務報告的可靠性；符合適用的法律和法規(guī)五個要素：控制環(huán)境；風險評估；控制活動；信息與溝通；監(jiān)控企業(yè)風險管理—整合框架（簡稱COSO報告2）四個目標：在COSO報告1的基礎上，增加了戰(zhàn)略目標，將財務報告目標改為報告目標；經(jīng)營和合規(guī)目標未變八個要素：在COSO報告1的基礎上，將控制環(huán)境目標改為內部環(huán)境要素；新增目標設定要素；將風險評估要素進一步細分為事項識別、風險評估和風險應對三個要素；其他三個要素未變內部控制是企業(yè)風險管理不可分割的一部分，這份風險管理框架涵蓋了內部控制框架中央企業(yè)全面風險管理指引五個目標：在COSO報告2的基礎上增加了資產保護目標未提出要素概念，第五條指出了風險管理的五大流程，基本上涵蓋兩個COSO報告的要素內容企業(yè)內部控制基本規(guī)范五個目標：與中央企業(yè)全面風險管理指引的目標相符五個要素：采用了COSO報告1五要素標準1010一、企業(yè)內部控制理論發(fā)展概述——中外對比內部控制標準目標11二、企業(yè)內部控制基本規(guī)范◆2006年7月15日，財政部牽頭成立跨部門的“企業(yè)內部控制標準委員會”，開始研究、制定一套具有統(tǒng)一性、公認性和科學性的企業(yè)內部規(guī)范◆研究制定內部控制規(guī)范，是經(jīng)濟社會發(fā)展的迫切要求，是新形勢下監(jiān)管部門落實科學發(fā)展觀、服務企業(yè)改革與發(fā)展的重要舉措◆國際資本市場大力強化內部控制◆經(jīng)濟健康發(fā)展迫切呼喚加強內部控制◆各級領導高度重視內部控制制度建設1111二、企業(yè)內部控制基本規(guī)范◆2006年7月15日，財政部牽12二、企業(yè)內部控制基本規(guī)范

◆我國企業(yè)內部控制制度體系的基本目標：總結我國經(jīng)驗，借鑒國際慣例，有效利用國際國內資源，充分發(fā)揮各方面的積極作用，通過三到五年的努力，基本建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體的內部控制制度體系，以及監(jiān)管部門為主導、各單位具體實施為基礎、會計師事務所等中介機構咨詢服務為支撐、政府監(jiān)管和社會評價相結合的內部控制實施體系，推動公司、企業(yè)和其他非營利組織完善治理結構和內部約束機制，不斷提高經(jīng)營管理水平和可持續(xù)發(fā)展能力。1212二、企業(yè)內部控制基本規(guī)范

◆我國企業(yè)內部控制制度體系的基13《企業(yè)內部控制基本規(guī)范》框架結構及其主要內容◆2008年5月22日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會以財會[2008]7號文件發(fā)布；◆共七章五十條；◆自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業(yè)執(zhí)行；◆執(zhí)行本規(guī)范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業(yè)務資格的會計師事務所對內部控制的有效性進行審計?！簟镀髽I(yè)內部控制基本規(guī)范》的發(fā)布，是繼2006年2月我國企業(yè)會計準則、審計準則正式頒布和順利實施之后，財政、審計、證券監(jiān)管、銀行監(jiān)管、保險監(jiān)管和國有資產管理部門同心同德、群策群力，以實際行動落實科學發(fā)展觀、促進企業(yè)和資本市場又好又快發(fā)展的又一重大舉措。1313《企業(yè)內部控制基本規(guī)范》框架結構及其主要內容◆2008年《企業(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆構建了一個標準框架。基本規(guī)范的制定發(fā)布和若干指引的公布征求意見，科學構建了一套內部環(huán)境優(yōu)化、風險評估科學、控制措施得當、信息溝通迅捷、監(jiān)督制約有力的內部控制框架，初步形成了由基本規(guī)范、評價指引、應用指引和鑒證指引四個部分組成的層次分明、內容完整、銜接有序地的內部控制標準體系，有效解決了政出多門、要求不一、企業(yè)無所適從的問題?！魪娀艘环N內部控制理念。內部控制不僅是一套技術和方法，更是一種精神和理念?；疽?guī)范以促進企業(yè)可持續(xù)發(fā)展、維護社會主義市場經(jīng)濟秩序和社會公眾利益為宗旨，倡導“愛崗敬業(yè)、進取創(chuàng)新、團隊協(xié)作和遵紀守法”的職業(yè)精神，強調‘建立健全教育、制度與監(jiān)督并重，懲防并舉、重在預防”的反舞弊長效機制，要求企業(yè)將有效實施內部控制納入績效考評體系，實現(xiàn)了由內部牽制、單一會計控制向全面、全員、全程的風險控制觀念轉變。14《企業(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆構建了一個標準框架?；镀髽I(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆建立了一套內控措施?？刂拼胧┦瞧髽I(yè)實施內部控制的具體方式，是企業(yè)管理的載體和手段?；疽?guī)范對授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等提出了嚴格規(guī)范的要求，進一步強化了對財務報告信息和其他管理信息的約束，提高了企業(yè)資源管理與利用的安全性和有效性，為維護投資者和社會公眾利益提供了有力支持?！艉粚嵙艘粋€制度基礎。基本規(guī)范的制定實施，既是促進企業(yè)會計準則體系和其他有關法規(guī)制度有效執(zhí)行的配套制度安排，同時也是推動企業(yè)內部各項規(guī)章制度令行禁止的重要機制保障。這無論對于鞏固企業(yè)防范風險舞弊的“防火墻”，還是鑄牢促進資本市場健康穩(wěn)定發(fā)展的“安全網(wǎng)”，都將發(fā)揮十分重要的基礎作用。15《企業(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆建立了一套內控措施?？亍镀髽I(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆確立了一個實施模式?；疽?guī)范確立了以政府部門合力推進為主導、各單位組織實施為基礎、會計師事務所等中介機構提供服務支持，自我評價、政府監(jiān)管和社會評價有機結合的內部控制標準建設與實施模式。這種模式有效化解了標準制定與實施過程中不同利益主體之間可能存在的矛盾和沖突，提高了內控標準的嚴肅性、權威性和公認性，增強了標準的執(zhí)行力?！魳嬛艘粋€聯(lián)動平臺。在環(huán)環(huán)相扣、相互關聯(lián)的大會計系統(tǒng)之中，完備的會計法規(guī)為會計改革與發(fā)展創(chuàng)造良好的法制環(huán)境；健全的會計審計準則為提高會計信息質量和做好資本市場信息披露工作提供制度基礎；統(tǒng)一的內控規(guī)范體系為確保會計審計準則有效實施和維護社會公眾利益構筑一道“防火墻”；協(xié)調的會計監(jiān)管為促進會計審計、內部控制目標實現(xiàn)提供機制保障；創(chuàng)新的人才評價機制和會計考試制度為會計事業(yè)的發(fā)展壯大提供人才保證；科學的信息化標準和業(yè)務規(guī)范為會計工作現(xiàn)代化提供技術支撐。16《企業(yè)內部控制基本規(guī)范》的創(chuàng)新與突破◆確立了一個實施模式?；?7內部控制框架快速解讀確保被識別出規(guī)避風險的控制措施可以及時有效得到實施的政策和程序確認內部控制是否進行充分的設計和執(zhí)行，以及是否具備有效性和適應性。對于影響公司目標實現(xiàn)的內部及外部因素的評估確保相關信息被及時識別及傳遞的過程公司對于內部控制的基本態(tài)度-”來自上層的基調”戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督17內部控制框架快速解讀確保被識別出規(guī)避風險的控制措施可以及18第一章總則

◆宗旨和立法依據(jù)：加強和規(guī)范企業(yè)內部控制，提高企業(yè)經(jīng)營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經(jīng)濟秩序和社會公眾利益。根據(jù)《公司法》、《證券法》、《會計法》制定?！暨m用范圍：中華人民共和國境內設立的大中型企業(yè)。小企業(yè)和其他單位可以參照本規(guī)范建立與實施內部控制?！舾拍钅繕耍簝炔靠刂剖怯善髽I(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產安全、財務報告及相關信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。1818第一章總則

◆宗旨和立法依據(jù)：加強和規(guī)范企業(yè)內部控制19第一章總則◆企業(yè)建立與實施內部控制的原則：全面性原則、重要性原則、制衡性原則、適應性原則、成本效益原則?！艋疽兀簝炔凯h(huán)境、風險評估、控制活動、信息與溝通、內部監(jiān)督。1919第一章總則◆企業(yè)建立與實施內部控制的原則：全面性原則、20第一章總則—組織實施◆企業(yè)應當根據(jù)有關法律法規(guī)、本規(guī)范及其配套辦法，制定本企業(yè)的內部控制制度并組織實施。企業(yè)應當建立內部控制實施的激勵約束機制，將各責任單位和全體員工實施內部控制的情況納入績效考評體系，促進內部控制的有效實施。◆國務院有關部門可以根據(jù)法律法規(guī)、本規(guī)范及其配套辦法，明確貫徹實施本規(guī)范的具體要求，對企業(yè)建立和實施內部控制的情況進行監(jiān)督檢查?！艚邮芷髽I(yè)委托從事內部控制審計的會計師事務所，應當根據(jù)本規(guī)范及其配套辦法和相關執(zhí)業(yè)準則，對企業(yè)內部控制的有效性進行審計，出具審計報告。會計師事務所及其簽字的從業(yè)人員應當對發(fā)表的內部控制審計意見負責。為企業(yè)內部控制提供咨詢的會計師事務所，不得同時為同一企業(yè)提供內部控制審計服務。2020第一章總則—組織實施◆企業(yè)應當根據(jù)有關法律法規(guī)、本規(guī)21第一章總則◆信息技術：企業(yè)應當運用信息技術加強內部控制，建立與經(jīng)營管理相適應的信息系統(tǒng)，促進內部控制流程與信息系統(tǒng)的有機結合，實現(xiàn)對業(yè)務和事項的自動控制，減少或消除人為操縱因素。2121第一章總則◆信息技術：企業(yè)應當運用信息技術加強內部控22第二章內部環(huán)境◆公司治理結構和制衡機制：根據(jù)國家有關法律法規(guī)和企業(yè)章程，建立規(guī)范的公司治理結構和議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。股東（大）會、董事會、監(jiān)事會、經(jīng)理層?！魞炔靠刂频呢熑沃黧w：董事會負責內部控制的建立健全和有效實施。董事會下設的審計委員會負責審查企業(yè)的內部控制，監(jiān)督內部控制的有效實施和內部控制自我評價情況，協(xié)調內部控制審計及其他相關事宜。監(jiān)事會對董事會建立與實施內部控制進行監(jiān)督。經(jīng)理層負責組織領導企業(yè)內部控制的日常運行。企業(yè)應當成立專門機構或者指定適當?shù)臋C構具體負責組織協(xié)調內部控制的建立實施及日常工作。2222第二章內部環(huán)境◆公司治理結構和制衡機制：根據(jù)國家有關23第二章內部環(huán)境◆內部審計機構：對內部控制的有效性進行監(jiān)督檢查。內部審計機構對監(jiān)督檢查中發(fā)現(xiàn)的內部控制缺陷，應當按照企業(yè)內部審計工作程序進行報告；對監(jiān)督檢查中發(fā)現(xiàn)的內部控制重大缺陷，有權向董事會及其審計委員會、監(jiān)事會報告?！羧肆Y源政策主要包括以下內容：

——員工的聘用、培訓、辭退與辭職；

——員工的薪酬、考核、晉升與獎懲；

——關鍵崗位員工的強制休假制度和定期崗位輪換制度；

——掌握國家秘密或重要商業(yè)秘密的員工離崗的限制性規(guī)定。23第二章內部環(huán)境◆內部審計機構：對內部控制的有效性進行24第二章內部環(huán)境◆道德修養(yǎng)、業(yè)務能力與教育培訓：企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質?！粑幕ㄔO、企業(yè)精神、管理理念和風險意識：董事、監(jiān)事、經(jīng)理及其他高級管理人員應當在企業(yè)文化建設中發(fā)揮主導作用。企業(yè)員工應當遵守員工行為守則，認真履行崗位職責?！舴ㄖ平逃?、法律顧問制度和重大法律糾紛案件備案制度2424第二章內部環(huán)境◆道德修養(yǎng)、業(yè)務能力與教育培訓：企業(yè)應當25第三章風險評估◆基于控制目標的風險評估要求?！魞炔匡L險與外部風險、企業(yè)整體風險承受能力和業(yè)務層面的可接受風險水平?！魞炔匡L險因素：（一）董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守、員工專業(yè)勝任能力等人力資源因素。（二）組織機構、經(jīng)營方式、資產管理、業(yè)務流程等管理因素。（三）研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素。（四）財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素。（五）營運安全、員工健康、環(huán)境保護等安全環(huán)保因素。（六）其他有關內部風險因素?！敉獠匡L險因素：（一）經(jīng)濟形勢、產業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素。（二）法律法規(guī)、監(jiān)管要求等法律因素。（三）安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等社會因素。（四）技術進步、工藝改進等科學技術因素。（五）自然災害、環(huán)境狀況等自然環(huán)境因素。（六）其他有關外部風險因素。2525第三章風險評估◆基于控制目標的風險評估要求。2526第三章風險評估◆風險分析與排序（分析方法：定性與定量相結合；分析重點：風險發(fā)生的可能性及其影響程度；風險分析團隊和分析程序。）◆風險分析結果、風險承受度與高管人員、關鍵崗位員工的風險偏好?！麸L險應對策略：風險規(guī)避、風險降低、風險分擔和風險承受?！舫掷m(xù)性風險評估與風險應對策略的綜合運用。2626第三章風險評估◆風險分析與排序（分析方法：定性與定量27第四章控制活動◆控制類型：手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制?！艨刂拼胧翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等?！舨幌嗳萋殑辗蛛x控制：要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制◆

授權審批控制：要求企業(yè)根據(jù)常規(guī)授權和特別授權的規(guī)定，明確各崗位辦理業(yè)務和事項的權限范圍、審批程序和相應責任。企業(yè)應當編制常規(guī)授權的權限指引，規(guī)范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。企業(yè)對于重大的業(yè)務和事項，應當實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。2727第四章控制活動◆控制類型：手工控制與自動控制、預防性28第四章控制活動◆會計系統(tǒng)控制：要求企業(yè)嚴格執(zhí)行國家統(tǒng)一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。企業(yè)應當依法設置會計機構，配備會計從業(yè)人員。從事會計工作的人員，必須取得會計從業(yè)資格證書。會計機構負責人應當具備會計師以上專業(yè)技術職務資格。大中型企業(yè)應當設置總會計師。設置總會計師的企業(yè)，不得設計與其職權重疊的副職。◆財產保護控制：要求企業(yè)建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。企業(yè)應當嚴格限制未經(jīng)授權的人員接觸和處置財產。2828第四章控制活動◆會計系統(tǒng)控制：要求企業(yè)嚴格執(zhí)行國家統(tǒng)29第四章控制活動◆預算控制：要求企業(yè)實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規(guī)范預算的編制、審定、下達和執(zhí)行程序，強化預算約束?！暨\營分析控制：要求企業(yè)建立運營情況分析制度，經(jīng)理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現(xiàn)存在的問題，及時查明原因并加以改進?！艨冃Э荚u控制：要求企業(yè)建立和實施績效考評制度，科學設置考核指標體系，對企業(yè)內部各責任單位和全體員工的業(yè)績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優(yōu)、降級、調崗、辭退等的依據(jù)。2929第四章控制活動◆預算控制：要求企業(yè)實施全面預算管理制度30第四章控制活動◆控制措施的綜合運用◆三類別指引：基本業(yè)務類（購、產、銷、投融資；貨幣資金、固定資產、存貨、無形資產、衍生工具等）；貫穿業(yè)務類（預算、擔保、合同協(xié)議、企業(yè)并購、關聯(lián)交易、成本費用）；支持保障類（人力資源、信息技術、內部審計）。◆重大風險預警機制和突發(fā)事件應急處理機制。3030第四章控制活動◆控制措施的綜合運用3031第五章信息與溝通◆信息收集處理制度與溝通制度?！粜畔⒌挠杏眯院蛢炔啃畔?、外部信息的獲取渠道?！粜畔⒌膬炔繙贤ê屯獠繙贤āＶ匾畔⒌膫鬟f要求?！粜畔⒓夹g的利用和對信息系統(tǒng)本身的控制?！舴次璞讬C制和工作重點：（一）未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產，牟取不當利益。（二）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。（三）董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權。（四）相關機構或人員串通舞弊。◆舉報投訴制度和舉報人保護制度。3131第五章信息與溝通◆信息收集處理制度與溝通制度。3132第六章內部監(jiān)督

◆內部控制監(jiān)督制度（主體、權限、程序、方法和要求）?！羧粘１O(jiān)督和專項監(jiān)督?！魞炔靠刂迫毕菡J定、原因分析、報告制度、跟蹤整改和責任追究?！魞炔靠刂谱晕以u價（方式、范圍、程序、頻率、報告）◆內部控制建立與實施過程的可驗證性要求。3232第六章內部監(jiān)督

◆內部控制監(jiān)督制度（主體、權限、程33第七章附則

◆主要規(guī)定了解釋權限、配套辦法、實施日期。3333第七章附則

◆主要規(guī)定了解釋權限、配套辦法、實施國務院國資委《國有企業(yè)內部控制框架》◆國務院國資委國有企業(yè)內部控制課題組提出了國有企業(yè)“12345內部控制基本框架”新模型?！粢粋€首要目標：運營效率與效果◆二層責任主體：董事會（股東）和管理層◆三條建設主線：治理結構、財務控制和業(yè)務控制◆四大基本原則：強支撐、短流程、高授權和大監(jiān)督◆五大保障措施：改善支撐環(huán)境、加強風險管理、完善制度流程、促進信息溝通和提高監(jiān)督能力3434國務院國資委《國有企業(yè)內部控制框架》◆國務院國資委國有企業(yè)內3535公司層級績效指標架構圖總資產周轉率股東權益報酬率財務杠桿作用總資產報酬率速動比率利息保障倍數(shù)凈利率應收賬款周轉率存貨周轉率應付賬款周轉率資金積壓期間固定資產周轉率營業(yè)收入成長率產品成本率營業(yè)費用率管理費用率財務費用率營業(yè)外費用率所得稅費用率錢從哪里來？明天會不會倒閉？會不會做生意？會不會賺錢？36公司層級績效指標架構圖總資產股東權益報酬率財務杠桿作用總資產37

三、企業(yè)內部控制體系的設計

（一）企業(yè)建立內部控制體系的背景和要求

（二）企業(yè)建立內部控制體系的標準與框架

（三）企業(yè)內部控制體系總體框架

（四）企業(yè)內部控制體系設計的基本流程

（五）企業(yè)內部控制體系的預期效果

37

三、企業(yè)內部控制體系的設計

（一）企業(yè)建立內部控制體38（一）對企業(yè)建立內部控制體系的法制要求■政府監(jiān)管機構和法律法規(guī)為維護市場經(jīng)濟秩序和社會公眾利益，要求企業(yè)加強和規(guī)范內部控制■2002年7月，美國總統(tǒng)布什批準了《2002年上市公司會計改革和投資者保護法》（薩班斯法案），要求上市公司建立內部控制體系并定期作出自我評價，同時由注冊會計師出具內部控制審計報告■2006年6月，國務院國資委發(fā)布《中央企業(yè)全面風險管理指引》，要求中央企業(yè)建立全面風險管理體系。內部控制是企業(yè)全面風險管理的組成部分和基礎工作■2008年6月，財政部、審計署、證監(jiān)會、保監(jiān)會、銀監(jiān)會發(fā)布《企業(yè)內部控制基本規(guī)范》，適用于大中型企業(yè)，2009年7月1日起首先在上市公司范圍內施行38（一）對企業(yè)建立內部控制體系的法制要求■政府監(jiān)管機構（一）加強和規(guī)范內部控制是企業(yè)實現(xiàn)可持續(xù)發(fā)展的內在需求■內部控制是企業(yè)實現(xiàn)發(fā)展戰(zhàn)略的基礎工程■內部控制是企業(yè)貫徹實施法律法規(guī)和內部規(guī)章制度的有力保證■內部控制是企業(yè)提升營運效率效果的有效舉措■內部控制是企業(yè)提高財務與非財務信息質量的重要支撐■內部控制是企業(yè)資產安全的重要保障39（一）加強和規(guī)范內部控制是企業(yè)實現(xiàn)可持續(xù)發(fā)展的內在需求■內部40（二）企業(yè)內部控制控制標準與框架40（二）企業(yè)內部控制控制標準與框架項目依據(jù)、工具和理解企業(yè)內部控制標準與框架■企業(yè)內部控制建設的標準與框架，主要為：財政部和證監(jiān)會等《企業(yè)內部控制基本規(guī)范》及指引上交所《上市公司內部控制指引》COSO內部控制框架（COSO1）COSO風險管理框架（COSO2）美國公眾公司會計監(jiān)督委員會第5號審計準則

（《與財務報表審計相結合的財務報告內部控制審計》）■內部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程?！鰞炔靠刂仆L險管理必須實現(xiàn)有機整合，風險是內部控制的對象，內部控制是管理風險的手段。所以，我們不對內部控制和風險管理進行特別區(qū)分?！鯟OSO內部控制框架（COSO1）和風險管理框架（COSO2），均為我們所參考。41項目依據(jù)、工具和理解企業(yè)內部控制標準與框架■內部控制是由企業(yè)企業(yè)全面風險管理■培育風險管理文化■建立健全全面風險管

理體系■執(zhí)行風險管理流程—收集風險管理初始

信息—進行風險評估—制定風險管理策略—提出和實施風險管

理解決方案—風險管理監(jiān)督與改

進全面風險管理體系■風險管理組織職能體系■風險管理策略■內部控制系統(tǒng)■風險理財措施■風險管理信息系統(tǒng)對現(xiàn)有管理進行整合■全過程風險管理涵蓋戰(zhàn)略決策、運營操作、審計與監(jiān)督、信息

與溝通全過程■全員從董事長開始到最基層員工，都要以風險管理理論為指導，

對自己的工作進行反思■全部職能管理工作風險管理涵蓋戰(zhàn)略、人力資源、投資、財務、采購、生

產、銷售、研發(fā)、合規(guī)等管理工作■每一個層級涵蓋公司治理結構和管理架

構、集團母公司層面、各個

分支機構、每個業(yè)務流程實現(xiàn)內部控制和風險管理的統(tǒng)一設計42全面風險管理體系對現(xiàn)有管理進行整合實現(xiàn)內部控制和風險管理的統(tǒng)（三）企業(yè)內部控制體系總體框架戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督指導框架公司環(huán)境管理銷售物料管理采購排產組織視圖銷售處理檢查信用額度確定交付日期詢價處理報價處理功能視圖報價客戶詢價數(shù)據(jù)視圖詢價處理詢價已受理詢價處理完畢報價處理客戶報價詢價銷售流程視圖客戶訂單客戶詢價客戶報價產品/服務視圖43（三）企業(yè)內部控制體系總體框架戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目44內部控制框架快速解讀確保被識別出規(guī)避風險的控制措施可以及時有效得到實施的政策和程序確認內部控制是否進行充分的設計和執(zhí)行，以及是否具備有效性和適應性。對于影響公司目標實現(xiàn)的內部及外部因素的評估確保相關信息被及時識別及傳遞的過程公司對于內部控制的基本態(tài)度-”來自上層的基調”戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督44內部控制框架快速解讀確保被識別出規(guī)避風險的控制措施可以及45內部環(huán)境控制活動控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略風險評估是形成內部控制活動的基礎信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等內部環(huán)境內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督45內部環(huán)境控制活動內部監(jiān)督風險評估信息與溝通內部環(huán)境內部環(huán)境分冊示例目錄1、內部控制體系建設內容…………………概述……………………誠信與道德價值觀……………………發(fā)展目標……………….管理理念與企業(yè)文化…………………風險管理策略…………………………董事會及下屬委員會…………………組織結構………………權利和責任分配………………………人力資源政策與措施…………………員工勝任能力…………………………法律顧問制度及重大法律糾紛案件備案制度……….………………2、內部控制體系執(zhí)行的文件及規(guī)范………………………組織結構圖……………員工崗位職責描述……………………權限指引………………審計委員會的工作程序與自評指引表說明………重大法律糾紛案件備案指引…………………………………控制環(huán)境涉及的制度索引……………46內部環(huán)境分冊示例目錄46權限指引示例47權限指引示例4748內部環(huán)境內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等風險評估控制活動控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略。48內部環(huán)境風險評估控制活動內部監(jiān)督信息與溝通戰(zhàn)略目標49風險評估分冊示例目錄1內部控制體系建設內容………………1.1概述…………………1.2建立風險評估機制…………………1.3建立并完善風險管理體系…………2

內部控制體系執(zhí)行的文件及規(guī)范…………………2.1流程描述規(guī)范………………………2.2業(yè)務流程目錄………………………2.3風險評估規(guī)范………………………2.4重要會計科目和披露事項確認……………………2.5財務報表認定指南…………………2.6重要業(yè)務單位確認…………………2.7公司層面風險及對策分析程序……………………2.8業(yè)務活動層面風險數(shù)據(jù)庫…………2.9風險管理規(guī)范（試行）……………2.10風險評估涉及的制度索引…………49風險評估分冊示例目錄風險分類公司層面業(yè)務（流程）層面信息系統(tǒng)層面公司層面風險原材料價格風險商品價格風險行業(yè)風險大股東控制公司經(jīng)營政策風險同行業(yè)競爭風險資金風險法律風險業(yè)務層面風險業(yè)務流程應用系統(tǒng)信息系統(tǒng)總體風險控制環(huán)境信息安全項目建設管理變更管理….50風險分類公司層面業(yè)務（流程）層面信息系統(tǒng)層面公司層面風險業(yè)務風險應對風險評估的步驟風險分析風險識別目標制定戰(zhàn)略目標經(jīng)營目標財務報告目標合規(guī)目標公司層面業(yè)務（流程）層面信息系統(tǒng)層面接受轉移分擔控制可能性影響程度關閉停業(yè)風險承受風險分擔風險降低可能性影響程度風險規(guī)避優(yōu)化流程內部控制財產保險計提準備動態(tài)預警關閉停產資產出售業(yè)務外包套期保值51風險應對風險評估的步驟風險分析風險識別目標制定戰(zhàn)略目標經(jīng)營目目標設定風險識別風險分析風險應對目標制定財務報告目標為公司及時提供真實、準確、完整的經(jīng)營管理信息；按照《企業(yè)會計準則》以及上市地法律監(jiān)管的相關規(guī)定，為國家相關部門和資本市場及時提供真實、準確、完整的財務會計報告，滿足國家相關部門和上市地證券監(jiān)管機構對財務會計報告的報送要求；防止資產未經(jīng)授權購置、使用或轉讓出售。業(yè)務流程目標產品銷售流程準確地獲取銷售數(shù)據(jù)并及時傳遞到相關部門、準確確認銷售收入等目標對外投資流程投資成本的確認符合相關準則的規(guī)定、投資收益及時取得并準確確認等目標52目標設定風險識別風險分析風險應對目標制定財務報告目標為公司及風險識別的方法風險識別風險分析風險應對目標制定外部專家法頭腦風暴法問卷調查法案例分析法行業(yè)分析法財務報表分析法流程分析法53風險識別的方法風險識別風險分析風險應對目標制定外部專家法頭腦54風險識別的流程示例?確定相關業(yè)務流程目錄

描述業(yè)務流程財務報表認定流程分析，識別風險確定重要會計科目和披露事項確定財務報告目標存在與發(fā)生表達與披露完整性權利與義務估價與分攤5454風險識別的流程示例?確定相關業(yè)務流程目錄描述業(yè)務流程財55重要會計科目和披露事項認定?存在與發(fā)生表達與披露完整性權利與義務估價與分攤5555重要會計科目和披露事項認定?存在與發(fā)生表達與披露完整性權56相關業(yè)務流程確認?存在與發(fā)生表達與披露完整性權利與義務估價與分攤5656相關業(yè)務流程確認?存在與發(fā)生表達與披露完整性權利與義務估5757財務報表認定財務報表認定：通過識別重要會計科目和披露事項中影響財務報告錯報的主要因素，從存在與發(fā)生、完整性、估價與分攤、權利與義務、表達與披露等五個方面，針對財務報告控制目標，對在內部控制體系設計層面和執(zhí)行層面需要關注的重要會計科目所做出的相關因素作出的確認。?存在與發(fā)生表達與披露完整性權利與義務估價與分攤5757財務報表認定財務報表認定：通過識別重要會計科目和披露58流程分析，識別風險?存在與發(fā)生表達與披露完整性權利與義務估價與分攤以業(yè)務流程為主線，根據(jù)確認的各流程的具體目標，結合重要會計科目和披露事項相關的財務報表認定，關注影響財務報告目標的主要因素5858流程分析，識別風險?存在與發(fā)生表達與披露完整性權利與義務59風險分析影響程度具體描述極高公司將很有可能無法生存。帶有潛在的災難能導致企業(yè)崩潰。高嚴重影響業(yè)務－嚴重破壞公司服務客戶的能力。對于關鍵性的事件要求付出加倍的努力來解決。中對企業(yè)產生重要的影響和將影響客戶，嚴重的事件要求附加的努力來解決。低僅影響企業(yè)內部的業(yè)務。所造成的后果能被吸收，但是要求某種管理努力使問題簡化。極低對企業(yè)內部的業(yè)務的無影響、后果能通過正常的活動被吸收?？赡苄跃唧w描述幾乎肯定（≥95%）前六個月發(fā)生了幾次很有可能（50％－95％）去年發(fā)生很少幾次可能（25％－50％）去年發(fā)生一次很少（5％－25％）前三年發(fā)生一次不可能（<5）近5年不可能發(fā)生，上次發(fā)生還是在5年前甚至更遠風險識別風險分析風險應對目標制定59風險分析影響程度具體描述極高公司將很有可能無法生存。帶60風險應對風險偏好風險承受度風險預警線風險應對策略風險識別風險分析風險應對目標制定接受轉移分擔控制可能性影響程度關閉停業(yè)風險承受風險分擔風險降低可能性影響程度風險規(guī)避優(yōu)化流程內部控制財產保險計提準備動態(tài)預警關閉停產資產出售業(yè)務外包套期保值60風險應對風險偏好風險承受度風險預警線風險應對策略風險識別61風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略風險評估是形成內部控制活動的基礎內部環(huán)境內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等控制活動內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督控制活動控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等61風險評估內部環(huán)境控制活動內部監(jiān)督信息與溝通戰(zhàn)略目標報62控制活動分冊示例目錄1概述…..………………1.1定義…………………1.2控制活動目標………………………1.3控制活動分類………………………1.4控制活動的實施.......………………2

控制活動執(zhí)行的文件及規(guī)范…….………………….2.1風險控制文檔（RCD）編制規(guī)范………….………2.2財務分析管理規(guī)定……….………2.3關鍵控制管理文件……….………2.4統(tǒng)一實施證據(jù)表單……….………2.5控制活動涉及的制度索引……………….………62控制活動分冊示例目錄業(yè)務程序控制活動從ERP系統(tǒng)中，打印所有付款金額、付款人相同的支票的報告，即疑似重復付款報告將付款期為一年以上的帳款單獨分類審核系統(tǒng)安全設置，確保錄入訂單的權限被嚴格控制審核所有超過五千元的發(fā)票，確保得到部門經(jīng)理的適當批準核對收到貨物的收貨數(shù)據(jù)與采購訂單數(shù)據(jù)確定采購折扣何為控制？控制是保證管理層的指令得以執(zhí)行的政策或程序，涉及審批、授權、復核、檢查驗證、業(yè)績考核、資產保全和職責分離等63業(yè)務程序控制活動從ERP系統(tǒng)中，打印所有付款金額、付款人相同控制活動分類“自動”控制：由系統(tǒng)自動設置控制，為避免風險采取的措施。例如：超出信用額度，系統(tǒng)自動限制發(fā)出貨物及開出發(fā)票?！叭斯ぁ笨刂疲河杀皇跈嗟娜藛T執(zhí)行的控制。例如：財務經(jīng)理審核銀行余額調節(jié)表。應付賬會計核對發(fā)票，入庫單及合同?！邦A防性”控制：在風險發(fā)生之前，為避免風險采取的措施。例如：制定政策、準備備查清單、合同在執(zhí)行前需要審批，等為預防性控制；“發(fā)現(xiàn)性”控制：事后做的、為及時發(fā)現(xiàn)問題而采取的措施是發(fā)現(xiàn)性控制。例如：核對財務系統(tǒng)和資產系統(tǒng)的余額是否一致，審核記賬憑證是否準確、編制銀行存款余額調節(jié)表等?？刂剖侄慰刂谱饔?4控制活動分類“自動”控制：由系統(tǒng)自動設置控制，為避免風險采控制設計程序補充完善相關管理制度記錄控制措施確定控制措施確定控制目標對業(yè)務流程進行風險評估后，根據(jù)業(yè)務流程相關風險，按照流程步驟進一步確定控制目標控制目標指為防范和規(guī)避風險，控制活動所要達到的具體目標。一般包括完整性目標（C）、準確性目標（A）、有效性目標（V）、接觸性目標（R）等四個方面。在確定了控制目標后，對照業(yè)務流程步驟，分析確定達到控制目標的方法和途徑并選擇相應的控制方法，設計出達到控制目標的各項控制措施，包括制定與控制措施相關的政策和程序、控制頻率、控制方法（人工或自動）以及控制證據(jù)等。設計和確認的各項控制措施和關鍵控制，按統(tǒng)一規(guī)定的控制描述標準和工具，相關控制，編制完成風險控制管理文件，包括業(yè)務流程圖、風險控制文檔（RCD）和程序文件等內容。按照控制措施，查找現(xiàn)有管理制度差異，制定、完善本單位、本部門相關管理制度。65控制設計程序補充完善相關記錄控制措施確定控制措施確定控制目標66控制目標完整性控制（C）：指生產經(jīng)營和財務信息數(shù)據(jù)的采集、記錄和處理完整，無遺漏和重復。如：租金未及時確認，或重復確認當期費用就會影響完整性。把當期所有的合同信息都完整地、不重復地錄入合同管理系統(tǒng)。按照會計確認收入的原則，將當期所有的銷售收入記錄下來。保證合并報表的原始數(shù)據(jù)包括了所有需要合并的會計核算單位的數(shù)據(jù)。準確性控制（A）：指所有信息和數(shù)據(jù)計算、歸集和記錄操作等準確。如：保證賬務處理的金額是準確的。在采購業(yè)務中，合同上的價格、數(shù)量應該準確。銷售收入應當記入正確的會計期間。發(fā)票內容與銷售交易內容或合同應當一致。有效性控制（V）：指所有的生產經(jīng)營活動都經(jīng)過適當?shù)氖跈嗪团鷾?，都是真實發(fā)生的，并按規(guī)定保存有效的原始文件。如：付款經(jīng)過適當級別的審批。記錄的銷售收入是真實的。費用支出與公司的業(yè)務相關，且符合公司的費用開支標準。接觸性控制（R）：指信息處理和實物資產的保護和安全控制。如：防止存貨和實物資產的偷竊和遺失。會計人員只能在授權的情況下，編制與自己分管業(yè)務相關的會計憑證。對企業(yè)投資實施計劃的保密，防止被不相關的人員了解。66控制目標完整性控制（C）：指生產經(jīng)營和財務信息數(shù)據(jù)的采集控制活動分類（續(xù)）公司層面業(yè)務（流程）層面信息系統(tǒng)總體控制公司層面控制控制環(huán)境范圍內的內部控制，包括道德準則的建立與推行、高層管理者基調、檢舉揭發(fā)機制、權限和職責分工、審計委員會、IT環(huán)境與組織以及人力資源政策等；反舞弊程序與控制；風險評估流程、監(jiān)督；經(jīng)營活動分析、審核；期末財務報告流程；突發(fā)事件應急處理等業(yè)務活動控制業(yè)務活動控制相關應用系統(tǒng)控制信息系統(tǒng)總體控制IT基礎設施數(shù)據(jù)庫操作系統(tǒng)67控制活動分類（續(xù)）公司層面業(yè)務（流程）層面信息系統(tǒng)總體控制公控制設計成果示例68控制設計成果示例6869內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等控制活動控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略風險評估是形成內部控制活動的基礎內部環(huán)境內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等信息與溝通戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等69內部監(jiān)督控制活動風險評估內部環(huán)境信息與溝通戰(zhàn)略目標報70信息與溝通分冊示例目錄1概述………….………...1.1概述……………………1.2信息……………………1.3溝通……………………1.4信息系統(tǒng)總體控制……………………1.5信息系統(tǒng)應用控制……………………1.6信息披露………………2信息溝通文件……………2.1總部各部門信息流匯總表……………2.2應用系統(tǒng)劃分規(guī)范及工作指引………2.3應用系統(tǒng)用戶權限管理工作規(guī)范……………………2.4應用系統(tǒng)主數(shù)據(jù)、報表公式變更及取消類業(yè)務管理………………2.5ERP與人力資源系統(tǒng)總體控制實施辦法……………2.6ERP與人力資源系統(tǒng)敏感事務訪問權限設置規(guī)則…………………2.7信息與溝通涉及的制度索引…………70信息與溝通分冊示例目錄信息流匯總表示例填寫部門信息類別信息內容信息來源加工處理載體形式信息去向涉及制度備注總裁辦公室內部信息機關部門、專業(yè)公司、地區(qū)公司公文機關各部門、專業(yè)公司、地區(qū)公司公文處理程序文件、會議紀要、內部局域網(wǎng)有閱讀權限的機關管理人員《ABC天然氣股份有限公司公文處理暫行方法》（石油辦字[2000]325號）、《ABC天然氣股份有限公司機關公文處理暫行規(guī)定》（石油辦字[2001]88號）

外部信息外部監(jiān)督方和上級的公文外部監(jiān)督方和上級主管部門、國家部委公文處理程序文件、函、會議紀要公司管理層、相關部門和有閱讀權限的機關部門領導《ABC天然氣股份有限公司公文處理暫行方法》（石油辦字[2000]325號）

規(guī)劃計劃部外部信息國家宏觀調控政策上級公文及媒體收集整理公文有關部門和領導

競爭對手動態(tài)信息所、互聯(lián)網(wǎng)、新聞媒體分析、應用專題報告、會議、互聯(lián)網(wǎng)領導、員工

國家經(jīng)濟、政策環(huán)境信息國家政府部門、新聞媒體分析、應用專題講座、會議、互聯(lián)網(wǎng)領導、員工

國家宏觀信息國務院各部委分析、對比、應用會議、報告集團公司、股份公司管理層，上報有關部委，行業(yè)交流

71信息流匯總表示例填寫部門信息類別信息內容信息來源加工處理載體信息系統(tǒng)總體控制系統(tǒng)控制環(huán)境：總體環(huán)境、信息與溝通、風險評估、監(jiān)控等項目建設管理：開發(fā)方法論、項目立項審批、項目啟動階段、項目需求分析、項目設計、系統(tǒng)開發(fā)實施、系統(tǒng)測試、數(shù)據(jù)移植、系統(tǒng)上線、項目驗收、上線后審閱、用戶培訓、項目文檔管理等變更管理：應用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等系統(tǒng)日常運作：機房環(huán)境控制、系統(tǒng)日常運作監(jiān)控、批處理作業(yè)調度管理、數(shù)據(jù)備份與恢復、問題管理等信息安全：信息安全組織、邏輯安全、物理安全、網(wǎng)絡安全、計算機病毒防護、外部第三方信息安全管理、信息安全事件響應等信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信息安全信息系統(tǒng)日常運作變更管理項目建設管理最終用戶操作最終用戶操作：最終用戶計算機操作安全制度、電子表格管理等信息系統(tǒng)總體控制所指的是內部控制中對信息系統(tǒng)相關部分的控制，保證由信息系統(tǒng)支持的流程控制是可靠的、生成的數(shù)據(jù)和報告是可信的72信息系統(tǒng)總體控制系統(tǒng)控制環(huán)境：總體環(huán)境、信息與溝通、風險評估信息安全主要關注以下方面的內容信息安全物理安全網(wǎng)絡安全邏輯安全信息安全管理組織計算機病毒防護第三方安全管理信息安全事件響應73信息安全主要關注以下方面的內容信息安全物網(wǎng)邏信計算機病毒防護74信息安全－信息安全管理組織關注點控制措施實施證據(jù)涉及崗位根據(jù)業(yè)務需求設置信息安全管理機構，具有清楚的角色和職責定義，并確保職責分離在股份公司和地區(qū)公司設立信息安全管理負責人，可以由信息技術部門內相關人員兼任明確信息安全管理負責人的職責，并確保職責分離，例如信息安全管理負責人不應兼任信息技術日常事務執(zhí)行工作崗位職責說明書或相關會議記錄各級信息技術部門負責人定期（每六個月）審核本單位信息系統(tǒng)總體控制活動的職責分離狀況，填寫《職責分離檢查表》，將不符情況報相關負責人《職責分離檢查表》信息安全管理負責人企業(yè)對員工進行信息安全教育和培訓，以確認其具有基本的信息安全意識各級信息技術部門對員工進行信息安全教育和培訓，并對培訓結果進行書面記錄和歸檔培訓計劃、培訓紀錄信息安全管理負責人員工入職時，要求其簽署遵守企業(yè)的信息安全規(guī)定的聲明員工簽署合同或保密協(xié)議時應包含員工遵守企業(yè)信息安全規(guī)定聲明人事部門負責“聲明”的統(tǒng)一歸檔員工遵守企業(yè)信息安全規(guī)定聲明人事部負責人信息安全物理安全網(wǎng)絡安全邏輯安全信息安全管理組織計算機病毒防護外部第三方安全管理信息安全事件響應74信息安全－信息安全管理組織關注點控制措施實施證據(jù)涉及崗位75控制活動控制活動是企業(yè)根據(jù)風險評估結果，采用相應的控制措施，將風險控制在可承受度之內?？刂拼胧┮话惆ǎ翰幌嗳萋殑辗蛛x控制、授權審批控制、會計系統(tǒng)控制、財產保護控制、預算控制、運營分析控制和績效考評控制等風險評估風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內部控制目標相關的風險，合理確定風險應對策略風險評估是形成內部控制活動的基礎內部環(huán)境內部環(huán)境是企業(yè)實施內部控制的基礎，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業(yè)文化等內部監(jiān)督信息與溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業(yè)內部、企業(yè)與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰(zhàn)略目標報告目標合規(guī)目標經(jīng)營目標資產安全內部環(huán)境公司層面業(yè)務單元子公司風險評估控制活動信息與溝通內部監(jiān)督內部監(jiān)督內部監(jiān)督是企業(yè)對內部控制建立與實施情況進行監(jiān)督檢查，評價內部控制的有效性，發(fā)現(xiàn)內部控制缺陷，應當及時加以改進。主要包括：內部監(jiān)督、缺陷認定、控制評價和自我記錄等75控制活動風險評估內部環(huán)境內部監(jiān)督信息與溝通戰(zhàn)略目標76內部監(jiān)督分冊示例目錄1內部控制體系建設內容

…………………1.1概

述

…………………1.2持續(xù)監(jiān)督

……………1.3獨立評估

……………1.4缺陷報告

……………2內部控制體系評價規(guī)范及執(zhí)行文件……………………2.1內部控制體系評價概述……………2.2評價范圍的確定….……...…………2.3內部控制測試

……….……….……………………2.4缺陷評估…………2.5評價報告…………2.6內部控制體系管理規(guī)范.…..………..………………2.7監(jiān)督涉及的制度索引

..……………76內部監(jiān)督分冊示例目錄內部控制測試基本方法檢查再執(zhí)行觀察詢問77內部控制測試基本方法檢查再執(zhí)行觀察詢問7778控制設計與測試評價成果（公司層面）示例78控制設計與測試評價成果（公司層面）示例79控制設計與測試評價成果（流程層面）示例79控制設計與測試評價成果（流程層面）示例80控制設計與測試評價成果（IT層面）示例80控制設計與測試評價成果（IT層面）示例控制設計與測試評價成果（IT層面）示例81控制設計與測試評價成果（IT層面）示例81缺陷認定及整改實施跟蹤從整體控制目標實現(xiàn)的角度出發(fā)，對發(fā)現(xiàn)問題進行缺陷認定，按照缺陷的影響程度定義缺陷，從設計與執(zhí)行兩個方面出發(fā)，將缺陷進行分類，制定缺陷整改計劃并加以實施針對整改實施結果進行再測試與再評價，持續(xù)跟進與監(jiān)督缺陷整改的實施步驟：責任人及管理層對于缺陷事實的認可對于缺陷產生原因的判定判斷缺陷為公司共性問題還是個別單位、部門獨有問題整改計劃的目標是正對缺陷產生原因，而不是針對缺陷表象整改計劃符合有針對性、可衡量、可完成、符合現(xiàn)實情況、及時等五項原則整改計劃實施結果的持續(xù)跟進與監(jiān)督是否可以增加其他測試程序證明已經(jīng)發(fā)現(xiàn)的差異不能代表所有內控的情況？擴大測試范圍，重新評估，測試目的是否達到？設計缺陷執(zhí)行缺陷了解控制差異的起因和結果，判斷控制目標是否達到？該差異不是控制缺陷，不必再考慮是否否否是是82缺陷認定及整改實施跟蹤從整體控制目標實現(xiàn)的角度出發(fā)，對發(fā)現(xiàn)問XXXX公司管理層測試報告模板示例示例83XXXX公司管理層測試報告模板示例示例8384（四）企業(yè)內部控制設計工作流程84（四）企業(yè)內部控制設計工作流程8585企業(yè)內部控制體系概述以《企業(yè)內部控制基本規(guī)范》為基礎，融合了COSO企業(yè)風險管理框架企業(yè)內部控制體系框架建立決策、運營、監(jiān)督和信息與溝通于一體的內部控制體系，覆蓋生產經(jīng)營的全過程和主要經(jīng)營管理崗位滿足國內外相關法律法規(guī)的要求推動企業(yè)規(guī)范化管理順利通過內部控制審計符合風險管理的發(fā)展趨勢設計目標：內容：系統(tǒng)闡述內控體系建設的方法和標準，全面涵蓋了以下五要素：內部環(huán)境風險評估控制活動信息與溝通內部監(jiān)督執(zhí)行：經(jīng)項目建設委員會審議通過后發(fā)布試行858585企業(yè)內部控制體系概述以《企業(yè)內部控制基本規(guī)范》為基礎86企業(yè)內部控制設計流程2543現(xiàn)狀描述風險分析、評估、確認內控體系試行、完善內控體系內部測試及審計1項目啟動6維護及改進成立項目建設委員會、項目工作組前期培訓流程目錄流程圖、RCD文檔、程序文件風險數(shù)據(jù)庫風險評估、確認《關鍵控制管理文件》《內控體系框架》《內控管理手冊》內控體系正式運行管理層測試外部審計長期運行，持續(xù)維護改進，提升公司管理水平有效的工作推進方式統(tǒng)一設計、集中培訓、試點先行、全面推廣分階段制定詳細工作計劃，并隨時根據(jù)實際進行調整86企業(yè)內部控制設計流程2543現(xiàn)狀描述風險分析、評估、確認87控制環(huán)境風險評估控制流程Going…控制目標控制要點控制政策控制模式

控制載體■各項典型業(yè)務的內部控制管理子系統(tǒng)，需要針對具體業(yè)務，按照控制環(huán)境、控制目標、潛在風險、控制流程、控制要點、控制政策和控制載體構造，最后反映為內部控制流程圖和內部控制政策表，即控制模式?！鰞炔靠刂屏鞒虉D描述控制流程、控制要點和控制載體，示例如后面流程描述表；■內部控制政策表歸納控制目標、潛在風險、控制政策及其對應的管理制度，示例如后面內部控制政策表。內部控制設計思路與模式87控制環(huán)境風險評估控制流程Going…控制目標控制要88企業(yè)內部控制設計主要工作步驟■對企業(yè)內部控制進行全面調研和審計，掌握一手資料；■對企業(yè)現(xiàn)有規(guī)章制度按內部控制要素進行歸集；■按內部控制要素及子要素對企業(yè)管理進行改進和設計；■對企業(yè)業(yè)務循環(huán)進行梳理和改進；■編制業(yè)務循環(huán)流程描述表和業(yè)務控制政策表；■繪制業(yè)務流程圖；■編制《企業(yè)內部控制管理手冊》和文件制度匯編并實現(xiàn)信息化管理；■內部控制體系的持續(xù)改進和提升。88企業(yè)內部控制設計主要工作步驟■對企業(yè)內部控制進行全面調研89組織問題風控問題流程問題企業(yè)調研內部控制設計主要工作步驟1對企業(yè)內部控制進行全面調研和審計哪些業(yè)務單元比要求落后？誰對什么負責？不同人的角色分配？不同組織之間的溝通協(xié)同哪些流程缺陷最嚴重？哪里有明顯缺陷？有多少批量缺陷？誰負責管理流程并改正缺陷？財務風險在什么地方？風險嚴重程度如何？哪些控制缺陷正在糾正？糾正用什么方法？過程有沒有被記錄？89組織問題風控問題流程問題企業(yè)調研內部控制設計主要工作步驟通過審計和評價確定企業(yè)內部控制體系的發(fā)展階段無意識初步建立標準化持續(xù)監(jiān)控整合發(fā)展階段控制的有效性無意識沒有設計和實施內部控制活動的意識整合將內部控制體系融入到企業(yè)的日常管理運營活動中，并持續(xù)優(yōu)化提升初步建立初步設計并實施了一些控制活動，但是不夠全面和充分標準化公司范圍內設計并實施了標準化的控制活動持續(xù)監(jiān)控建立了標準化的控制體系，并建立了周期性的控制測試和匯報制度90通過審計和評價確定企業(yè)內部控制體系的發(fā)展階段無意識初步建立標91企業(yè)內部控制設計主要工作步驟2對企業(yè)現(xiàn)有規(guī)章制度按內控要素進行歸集整理行政綜合戰(zhàn)略規(guī)劃人力資源組織架構市場營銷財務管理信息系統(tǒng)……內部環(huán)境風險評估控制活動信息與溝通內部監(jiān)督梳理補充完善企業(yè)內部控制基本規(guī)范規(guī)章制度91企業(yè)內部控制設計主要工作步驟2對企業(yè)現(xiàn)有規(guī)章制度按內控要9292框架要素內部環(huán)境風險評估控制活動信息與溝通內部監(jiān)督企業(yè)內部控制設計主要工作步驟3按內部控制要素及子要素對企業(yè)管理進行改進和設計公司治理結構內部機構設置與權責分配內部審計人力資源政策企業(yè)文化法律環(huán)境目標設定風險識別風險分析風險應對策略不相容職務分離授權審批控制會計系統(tǒng)控制財產保護控制預算控制運營分析控制績效考評控制重大風險預警機制突發(fā)事件應急處理機制信息搜集信息傳遞搭建共享信息平臺反舞弊機制舉報投訴制度舉報人保護制度組織結構施行方式內控評價檔案記錄9292框架要素內部環(huán)境風險評估控制活動信息與溝通內部9393企業(yè)內部控制設計主要工作步驟4

對企業(yè)各業(yè)務循環(huán)進行業(yè)務梳理和流程改進9393企業(yè)內部控制設計主要工作步驟4對企業(yè)各業(yè)務循環(huán)進行業(yè)企業(yè)內部控制設計主要工作步驟5-1編制企業(yè)業(yè)務流程描述表——以采購為例編號一級流程二級流程三級流程適用范圍1采購采購原材料、低值易耗品和辦公用品101常規(guī)采購10101采購計劃根據(jù)生產計劃和市場預測，指定采購貨品計劃，并審批10102供應商管理開發(fā)、評價和管理供應商10103采購申請及執(zhí)行采購申請、審批和執(zhí)行采購業(yè)務10104退貨與折價已銷貨品的退回或折扣、折讓和理賠102戰(zhàn)略采購為了戰(zhàn)略儲備或建立戰(zhàn)略合作供應商103緊急采購僅限特殊情況下急需物料。如按常規(guī)采購耽誤使用時間104簡易采購僅限在預算額度之內的低值易耗品。包括：1.辦公用品2.勞保用品3.福利用品2付款采購物品的付款流程201預先付款簽約之后、到貨之前，預先支付全部貨款或部分貨款202貨到付款貨物驗收合格后支付貨款94企業(yè)內部控制設計主要工作步驟5-1編制企業(yè)業(yè)務流程描述表——內部控制設計主要工作步驟5-2編制采購內部控制政策表95內部控制設計主要工作步驟5-2編制采購內部