内部控制整合框架(ppt 26页)

原则11：针对信息技术并开展一般控制
关注要点：
1. 确定独立于信息系统运行的信息系统一般控制 2. 建立相关的基础架构的控制活动 3. 建立相关的信息安全管理控制活动 4. 建立相关的信息系统购买、开发、运行维护控制活动
企业需要： 针对信息系统开发及运行设计对应控 制活动 对信息系统日常运行进行监控 开展信息系统专项审计 对应流程： 信息系统开发 信息系统运行维护
内部控制整合框架(ppt 26页)
COSO内部控制报告回顾 历年COSO发布的内部控制报告文件：
1992
2006
2009
2013
2013版内部控制整合框架组成
#2 – 财务报告内部控制：方法和示例摘要
• 演示了内部控制原则应用与财务 报告内部控制的相关方法和示例
• 考虑到了过去20年企业内外部 经营环境的变化
内部控制整合框架（2013版）要点
——17条原则
信息与沟通
原则13：获取或生成并使用相关的、有质量的信息 来支持内部控制正常运作
关注要点：
1. 识别各环节的信息需求 2. 建立内部、外部数据获取渠道 3. 将相关数据处理成有用的信息 4. 确保信息处理过程的有效 5. 衡量信息获取的成本与收益
企业需要： 确定信息需求，归集信息渠道 制定有效的信息沟通流程 持续评价信息沟通的有效性 对应流程： 信息与沟通
——内部控制有效性评价 模板1：整体风险有效性评价模板
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板2：各要素评价模板
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板2：各要素评价模板
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板2：各要素评价模板
内部控制整合框架（2013版）要点
——17条原则
监控活动
原则16：实施持续和专项的评价
关注要点：
1. 考虑持续和专项评价的方案 2. 在选择持续和专项评价时考虑企业管理活动的变化程度 3. 选用具有相关知识的人进行评价 4. 持续性评价与管理流程相融合 5. 定期开展独立的评价保证客观性 6. 根据风险大小调整评价的频率
控制活动
原则10：选择并开展控制活动，将风险降低至可接 受水平
关注要点：
1. 控制活动要与风险评估结果相适应 2. 确定与控制活动相关的管理流程 3. 在选择和实施控制活动时考虑企业特有因素 4. 采取不同类型的控制活动降低风险 5. 确保不相容职责分离
企业需要： 确定风险应对策略，根据风险应对策 略制定风险应对方案 编制风险控制矩阵及流程图 编制不相容职责分离表 对应流程： ALl
1. 有适当的管理层参与整个过程 2. 风险评估过程包括总部、各部门、业务单元、事业部、下属
分子公司等全部实体 3. 考虑内部及外部的风险因素 4. 评估风险的重要性 5. 制定风险应对策略
企业需要： 制定一整完善的风险评估流程 建立风险数据库 建立风险应对矩阵 对应流程：
风险评估及应对
内部控制整合框架（2013版）要点
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板3：各原则评价模板
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板3：各原则评价模板
内部控制整合框架（2013版）要点
——内部控制有效性评价 模板4：缺陷汇总表
新框架与全面风险管理框架的区别
整体变化情况：
• 增加“战略目标”，战略是可以优化的
原则9：识别并评价可能对内控体系造成较大影响的 变化
关注要点：
1. 评估外部环境变化带来的影响 2. 评估经营模式变化带来的影响 3. 评估管理层变动带来的影响
企业需要： 定期开展内控自我评价及内控审计 及时更新内控体系文档 对应流程： 内控自我评价、内控审计
内部控制整合框架（2013版）要点
——17条原则
汇总五大要素评估结果，对内部控 制整体有效性进行评价
汇总评估结果，形成对五大要素的 评价结论
先按照17项原则进行单独评价
内部控制整合框架（2013版）要点
——内部控制有效性评价
内部控制整体有效的条件：
五大要素及17项原则 单独有效
五要素间共同运行，可以 协同发挥作用（流程间借 口没有冲突）
内部控制整合框架（2013版）要点
企业需要： 编制员工手册并进行宣贯 设立专门部门或岗位负责道德价值观 对应流程： 企业文化管理、人力资源管理
原则2：董事会独立于管理层，对内部控制有效性进 行监督
关注要点：
1. 明确了董事会与管理层各自的权责 2. 董事会独立于管理层并具有胜任能力、并保持独立性 3. 董事会对内部控制有效性进行监督
内部控制整合框架（2013版）要点
——17条原则
控制活动
原则12：通过政策、程序来实施控制活动
关注要点：
1. 建立相关的政策和程序来落实控制活动 2. 建立政策和程序执行的责任和义务机制 3. 使用有胜任能力的员工来来执行控制活动 4. 注意控制活动执行的及时性 5. 定期维护并更新政策及程序
企业需要： 编制政策、程序、流程及内控手册 明确每项控制活动的责任人 监督及考核控制活动的执行情况 注意部门间的配合 对应流程： ALl
原则14：将企业目标和内部控制职责在内的必要信 息传达给每位员工
关注要点：
1. 将内部控制的相关信息与每名员工进行沟通 2. 将内部控制相关信息与董事会进行沟通 3. 建立独立的应急性的沟通渠道 4. 选择合适的沟通方式
企业需要： 与员工沟通岗位职责、进行控制活动 宣贯；核心的要求可以让员工签字确 认；建立匿名投诉热线 对应流程： 信息与沟通
企业需要： 有健全的组织架构图及汇报路险 有合理的授权体系表及不相容职责表 对应流程： 组织架构、授权管理
原则4：企业制定完善的政策吸引、发展、保留人才
关注要点：
1. 制定了相关的政策与制度 2. 关注员工的胜任能力，并持续改进 3. 不断吸引、发展、保留人才 4. 制定了岗位继任计划
企业需要： 制定一整套人力资源政策与制度；加 强员工培训、轮岗；制定岗位继任计 划 对应流程：
企业需要： 确定董事会与管理层权限 定期对内部控制有效性进行监督并报 告给董事会 对应流程：
治理架构、授权管理、内控审计
内部控制整合框架（2013版）要点
——17条原则
控制环境
原则3：管理层建立健全企业架构、汇报路径、合理 的授权于责任等机制
关注要点：
1. 建全了组织架构，明确汇报路径 2. 合理的授权，并承担对应的责任 3. 不过度授权，不相容职责有效分离
原则17：及时评价内部控制缺陷，并视情况与负责 整改的责任方剂管理层、治理层沟通
关注要点：
1. 管理层或董事会成员来评估持续和单独评价的结果 2. 将内部控制缺陷与负责整改的相关管理层沟通 3. 将内部控制缺陷与高级管理人员及董事会沟通 4. 对整改活动进行监控
企业需要： 设计嵌入管理流程的持续评价工具 根据风险来开展专项评价活动 聘请外部机构来进行评价 对应流程： 内部控制自我评价 内部控制审计
——17条原则
风险评估
原则8：评估风险的过程中考虑舞弊的可能性
关注要点：
1. 考虑舞弊发生的各种可能性 2. 评估舞弊的动机和压力 3. 评估舞弊的机会大小 4. 评估对待舞弊的态度及自我合理化倾向
企业需要： 将舞弊风险（或廉政风险）作为专项 风险来识别；设立举报及举报人保护 机制 对应流程： 风险评估、内部信息沟通
人力资源管理
内部控制整合框架（2013版）要点
——17条原则
控制环境
原则5：使员工各自担负起内部控制相关职责，共同 实现目标
关注要点：
1. 通过组织、权限及责任分工明确每名员工的责任 2. 制定了绩效衡量以及激励惩处机制 3. 在组织内部形成遵守内部控制的压力
Βιβλιοθήκη Baidu
企业需要： 管理层签署声明书、制定相应绩效考 核指标 对应流程：
• 提供了不同经营主体的实施案例 ：包括上市公司、私营企业、非 营利性组织和政府机构
• 与2013版本的框架相一致
内部控制整合框架（2013版）要点
——17条原则 控制环境
原则1：恪守诚信并树立正确的道德价值观
关注要点：
1. 高级管理层树立了诚信的道德价值观并传递给整个公司 2. 制定了明确的员工守则 3. 评价员工是否准守了守则，并对违规情况进行及时处理
企业需要： 确定内部控制缺陷，并与相关方进行 沟通 对内部控制缺陷的整改情况进行跟踪 对应流程： 内部控制自我评价 内部控制审计
内部控制整合框架（2013版）要点
——内部控制有效性评价
内部控制有效性的评价分为公司层面评价及业务层面评价：
内部控制整合框架（2013版）要点
——内部控制有效性评价 COSO框架提供的是公司层面评价的方法和模板，总体评价过程如下：
内部控制整合框架（2013版）要点
——17条原则
信息与沟通
原则15：企业与外部相关方就影响内部控制发挥作 用的事宜进行沟通
关注要点：
1. 与外部利益相关方进行沟通 2. 在内部信息传递渠道上增加外部的接入端口 3. 提供独立的应急性的沟通渠道 4. 选择合适的沟通方式
企业需要： 建立与股东、顾客、供应商、监管机 构、财务分析师等外部相关方的沟通 机制 对应流程： 信息与沟通
内部控制评价、绩效考核
内部控制整合框架（2013版）要点
——17条原则 风险评估
原则6：有清晰的目标，并根据目标识别及评价风险
关注要点：
1. 设置了明确的、相关的目标（包括经营目标、报告目标及合 规目标）
企业需要： 有对应的目标体系
原则7：对风险进行全范围的识别与分析，并决定如 何管理风险
关注要点：
• 将风险评估分解为“目标设定、事项识别、 风险评估、风险应对”
• 目标设定在内部控制框架中是先决条件 • 增加了风险的另一面：“机会”
新框架与全面风险管理框架的区别
具体内容主要变化：