内控最新发展与高校内控建设(控制范围和建设思考)

（四）扩大了报告的范畴。旧框架在内控目标设定中仅仅 关注财务报告目标，新框架在报告对象和报告内容两个维 度上进行了扩展。 在报告对象上，既要面向外部投资者、债权人和监管 部门，确保报告符合有关监管要求；又要面向董事会和经 理层，满足企业经营管理决策的需要。 在报告内容上，除了包括传统的财务报告，还涵盖了 市场调查报告、资产使用报告、人力资源分析报告、内控 评价报告等非财务报告。 新框架对报告范畴的扩展与我国企业内控规范体系中 对报告的有关规定基本相同。


为此，新框架专门分析了不同商业模式和组织结 构下内部控制的有效性问题。

内部控制并不是一个按部就班的过程，而是一个 动态整合的过程。
新版框架可以适用于各类型组织：

——大型、中型或小型组织；
——营利组织、非营利组织或政府机构。

各类组织都有其各自的特点和具体情况，每个组 织都有权选择、实施适合自己组织特点和具体情 况的内部控制。
（三）归口管理。根据本单位实际情况，按照权责对等的 原则， 采取成立联合工作小组并确定牵头部门或牵头人 员等方式，对有关经济活动实行统一管理。



（四）预算控制。强化对经济活动的预算约束，使预算管 理贯穿于单位经济活动的全过程。 （五）财产保护控制。建立资产日常管理制度和定期清查 机制， 采取资产记录、实物保管、定期盘点、账实核对 等措施，确保资产安全完整。
COSO 2013版：承诺与落实

（一）注重原则导向的方法。新框架最显著的变 化是在旧框架的基础上，提炼出内部控制五要素 的17项原则和81个要点（Points of Focus）。
17项原则和五项基本要素作为内部控制的基本概 念，适用于所有的组织。 81个要点代表相关原则的主要特征和关注点。17 项总体原则和81个要点构成了企业开展内部控制 建设与评价的主要标准。
1
2
3
企业内部控制审计指引（外部审计）
企业内部控制应用指引项目
企业内部控制应用指引（已发）
内部环境类5项 （1）组织架构 （2）发展战略 （3）人力资源 （4）社会责任 （5）企业文化
控制活动类8项 （6）资金活动 （7）采购业务 （8）资产管理 （9）销售业务 （10）研究与开发 （11）工程项目 （12）担保业务 （13）业务外包


监控活动中的原则
第16项原则，组织应选择、建立并实施持续且独 立的评估机制以确认内部控制是存在且正常运转 的； 第17项原则，组织应在适当的时间范围内对内部 控制缺陷做出评价，并根据具体情况与那些能够 采取正确行动的相关方（如管理层、治理层）进 行沟通。


（二）明确目标设定在内部控制中的角色。



（二）风险评估和控制方法

单位应当建立经济活动风险定期评估机制，对经 济活动 存在的风险进行全面、系统和客观评估。
经济活动风险评估至少每年进行一次；外部环境、 经济活动或管理要求等发生重大变化的，应及时 对经济活动风险进行重估。 单位开展经济活动风险评估应当成立风险评估工 作小组，单位领导担任组长。 经济活动风险评估结果应当形成书面报告并及时 提交单位领导班子，作为完善内部控制的依据。


（六）会计控制。建立健全本单位财会管理制度，加强会 计机构建设，提高会计人员业务水平，强化会计人员岗位 责任制，规范会计基础工作，加强会计档案管理，明确会 计凭证、会计账簿和财务会计报告处理程序。 （七）单据控制。要求单位根据国家有关规定和单位的经 济活动 业务流程，在内部管理制度中明确界定各项经济 活动所涉及的表单和 票据，要求相关工作人员按照规定 填制、审核、归档、保管单据。



单位层面的风险评估（5项）
单位层面的风险评估时，应当重点关注以下方面：
（一）内部控制工作的组织情况。 （二）内部控制机制的建设情况。
（三）内部管理制度的完善情况。
（四）内部控制关键岗位工作人员的管理情况。 （五）财务信息的编报情况。 （六）其他情况。
业务层面的风险评估（6项）

内控最新发展 与高校内控建设
控制范围和建设思考
主要内容
一、内部控制理念和最新发展



二、事业单位内部控制规范
三、高校内部控制建设思考
一、内部控制理念和最新发展

理念： —— 一个过程、一个系统、一种文化 —— 董事会、管理层、其他员工 —— 合理保证

三个目标（COSO内控框架） ——运营目标（效率和效果）

（五）增加了反欺诈与反腐败的内容。
与旧框架相比，新框架包含了更多的关于反欺诈 与反腐败的内容，并且把管理层评估欺诈风险作 为内部控制的17项原则之一，重点加以阐述。 这与我国企业内部控制规范体系在反腐败工作中 的重要作用不谋而合。


（六）考虑了不同商业模式和组织结构的内部控 制。
随着经济全球化的发展、技术的不断进步和人才 竞争的加剧，近年来企业的商业模式和组织结构 发生了巨大变化，企业在运营过程中更多地使用 第三方提供的产品或服务，管理层更加关注包括 供应商和客户在内的价值链管理。
（2）证券业务
控制手段类5项 （14）财务报告 （15）全面预算 （16）合同管理 （17）内部信息传递 （18）信息系统
企业内部控制应用指引（待发） （1）银行业务 （3）保险业务
二、事业单位内部控制规范

2012年11月29日，财政部印发《行政事业单位内部 控制规范（试行）》。自2014年1月1日起施行。

（一）不相容岗位相互分离。合理设置内部控制关键岗位， 明确划分职责权限，实施相应的分离措施，形成相互制约、 相互监督的工作机制。 （二）内部授权审批控制。明确各岗位办理业务和事项的 权限范 围、审批程序和相关责任，建立重大事项集体决 策和会签制度。相关工作人员应当在授权范围内行使职权、 办理业务。

风险评估中的原则 第6项原则，风险评估以组织目标为依据，因此需要 对组织目标做出清晰的设定，据此识别和评估相关的 风险；

第7项原则，组织应对影响其目标实现的风险进行全 范围的识别和分析，并以此为基础来决定应如何进行 风险管理； 第8项原则，组织在风险评估过程中，应考虑潜在的 舞弊行为；
第9项原则，组织应识别和评估对内部控制体系可能 造成较大影响的改变。

企业内部控制规范简况

企业内部控制规范
基本规范 2008/05 配套指引 2010/04

行业操作指南2013/12发布石油石化行业指南；
（电力、煤炭行业计划中）
企业内部控制配套指引
企业内部控制应用指引 （18项已发，3项待发） ——内部环境类5项 ——控制活动类8项 ——控制手段类5项 ——特殊业务类3项（待发） 企业内部控制评价指引（自我评价）


包括6章65条：
总则
风险评估和控制方法
单位层面内部控制
业务层面内部控制
评价与监督 附则
（一）总则

单位负责人对本单位内部控制的建立健全和有效 实施负责。

建立适合本单位实际情况的内部控制体系，并组 织实施。具体工作包括：
——梳理单位各类经济活动的业务流程，明确业 务环节， ——系统分析经济活动风险，确定风险点，选择 风险应对策略， ——在此基础上根据国家有关规定建立健全单位 各项内部管理制度并督促相关工作人员认真执行。



控制活动中的原则
第10项原则，任何组织必须通过开展控制活动将 风险对其目标实现的影响降到可接受水平；

第11项原则，任何组织对以信息技术ቤተ መጻሕፍቲ ባይዱ基础的信 息系统都应实施一般控制以支持其目标的实现； 第十二项原则，任何组织实施控制活动都应通过 合理的政策和制度作保证，这些政策和制度都应 通过切实可行的流程和程序来作保证。
单位层面内部控制（15-18）
风险关注点
内控要求
岗位
人员 信息编报
建立健全内控关键岗位责任制，明确岗 建立工作人员的培训、 位职责分工，确保不相容岗位相分离； 评价、轮岗机制； 关键岗位轮岗，明确轮岗周期，不具备 人员具备相应的资格 轮岗条件的采取其他措施 和能力 人员应当具备相应的资格和能力，加强 培训，提升业务水平 按国家统一的会计制 度对经济业务事项进 行账务处理、编制财 务报告 应当建立会计机构，配备相应资格和能 力的人员及时进行账务处理，编制财务 会计报告 用现代科学技术手段加强内控，对信息 系统建设归口管理，将经济活动及内控 流程嵌入单位信息系统中


（八）信息内部公开。建立健全经济活动相关信息内部公 开制度， 根据国家有关规定和单位的实际情况，确定信 息内部公开的内容、范 围、方式和程序。
（三）单位层面内部控制（6项）
单位层面内部控制（13-14）
风险关注点
内控要求
组织情况 确定职能部门或牵头部门； 应当单独设置内控职能部门（或明 建立各单位的沟通协调和 确牵头部门），负责组织协调内控 联动机制 工作；发挥财会、内审、纪检监察、 政采、基建、资产管理等部门或岗 位的作用 机制建设 不相容岗位分离；权责对 等； 建立健全议事决策机制、 岗位责任制、内部监督机 制 管理制度 管理制度健全、执行有效 决策、执行、监督应当相互分离； 建立健全集体研究、专家论证、技 术咨询相结合的议事决策机制 重大经济决策集体研究决定（标准 不得随意变更）






控制环境中的原则 第1项原则，任何组织都应对诚信和道德等价值观做出承诺； 第2项原则，最高治理层和管理层应适当分权，如董事会应独 立于管理层，以此对内部控制的建立与实施形成监督和制约； 第3项原则，管理层应围绕组织目标建立权责匹配机制，即在 治理层监督下，应建立健全组织架构和报告体系，进行合理 的授权与责任划分； 第4项原则，任何组织对认同其目标的人才在吸引、培养和保 留等方面应做出承诺； 第5项原则，组织应根据其目标，使员工各自担负起内部控制 的相关责任。
单位进行经济活动业务层面的风险评估时，应当重 点关注以下方面：
（一）预算管理情况。

（二）收支管理情况。
（三）政府采购管理情况。 （四）资产管理情况。 （五）建设项目管理情况。 （六）合同管理情况。 （七）其他情况。
内部控制的控制方法（8项）

单位内部控制的控制方法一般包括：
——报告目标（可靠性）
——合规目标（遵守法律法规）

目标扩展（COSO风险管理框架，2004年）
从内控演变看内控实质

一要素：内部牵制 两要素：会计控制、管理控制 三要素：控制环境、会计制度、控制程序

五要素：内部环境、风险评估、控制活动、
信息与沟通、监控活动

八要素：内部环境、 目标设定、事件识别、风险评估、风险反应、 控制活动、信息与沟通、监控
信息技术
（四）业务层面内部控制
1、预算业务（19-24）
内容
总要求
要求
应当建立健全预算编制、审批、执行、决算与评价等预 算内部管理制度 应当合理设置岗位，明确岗位职责，确保不相容岗位分 离
预算编制 程序规范、方法科学、编制及时、内容完整、项目细化、 数据准确 1）正确把握政策 2）协调机制：应当建立内部预算编制与相关部门的沟 通协调，按照规定进行评审，及时取得信息，细化预算， 提高编制科学性 编制程序 应根据职责分工，对批复的预算指标分解 规范预算追加程序，发挥管控作用
内部控制局限性

1、目标：内部控制无法保证不切实际的目标的实现； 2、人员：在判断和决策的过程中，人们出错以及产 生偏差是客观存在的，内部控制无法完全防止错误的
判断和决策；管理层有可能凌驾于内部控制之上，管
理层、其他员工或有关方面有可能串通以绕过控制；

3、业务：非常规业务 4、环境：外部环境变化 任何组织都无法阻止外部不受控事件的发生。 5、成本：成本效益考虑


信息与沟通中的原则
第13项原则，任何组织都应获取或生产并使用相 关的、有质量的信息来支持内部控制发挥作用；

第14项原则，任何组织都应在其内部通过信息系 统传递包括内部控制的目标和责任在内的必要信 息，以支持内部控制发挥作用；
第15项原则，组织应与外部相关方就影响内部控 制发挥作用的事宜进行沟通。
旧框架将目标设定作为一个管理过程，认为目标 设定是风险评估要素的前提条件，并且COSO委员 会2004年发布的《企业风险管理框架》将目标设 定作为内部控制的八要素之一。 新框架同样强调目标设定是内部控制的前提，但 明确指出目标设定不是内部控制的组成部分。


（三）强化公司治理的理念。
新框架包括了更多的公司治理中有关董事会及其 专门委员会（包括审计委员会、薪酬委员会、提 名与治理委员会等）的内容。 这与我国《企业内部控制基本规范》及《组织架 构》应用指引中有关公司治理的规定相一致。