《企业内部控制》模块考试大纲 CERM 注册企业风险管理师培训专用课件 1.

Presentation on theme: "《企业内部控制》模块考试大纲 CERM 注册企业风险管理师培训专用课件 1."— Presentation transcript:

1 《企业内部控制》模块考试大纲 CERM 注册企业风险管理师培训专用课件 1

2 一、考试目的 本模块测试考生对企业内部控制基本理论和专业知识的掌握情况，考核考生运用内部控制这一企业风险管理措施与手段支持和落实企业风险治理对策的能力，考核考生在综合分析诊断企业全面和系统性风险问题时运用企业内部控制管理基本知识的能力，以及在一定程度上考核考生设计、实施和评价企业内部控制体系的专业水平。 2

3 二、考试基本要求 2.1 掌握以下内容 2.1.1 内部控制概述 1. 内部控制相关概念 2. 内部控制目标 3．内部控制的原则
2.1 掌握以下内容 2.1.1 内部控制概述 1. 内部控制相关概念 2. 内部控制目标 3．内部控制的原则 4. 内部控制类型、要点、措施和方法 5. 内部控制的范围 6. 良好的内部控制特征 7. 内部控制的地位与作用 8. 企业内部控制框架 3

4 二、考试基本要求 2.1.2 内部控制的五大要素 1. 控制环境 2. 风险评估 3. 控制活动 4. 信息与沟通 5. 监控
2.1.3 内部控制体系设计、实施与评价 1. 内部控制体系设计考虑要点 2. 内部控制体系设计基本方法 3．关键业务控制设计实务要点 4. 内部控制体系建立与实施 5. 内部控制体系评价要点

5 二、考试基本要求 2.1.4 内部控制与相关管理实践的关系 1. 内部控制与公司治理 2. 内部控制目标与平衡计分卡
3. 内部控制与流程管理 4. 内部控制与操作风险管理及合规风险管理的关系 5. 内部控制在企业全面风险管理中的作用 6. 内部控制体系与其他管理体系的关系

6 二、考试基本要求 2.2 了解以下内容 2.2.1 了解内部控制发展历史与未来发展趋势 2.2.2 了解本地区与国际范围内部控制理论与实践
2.2 了解以下内容 2.2.1 了解内部控制发展历史与未来发展趋势 2.2.2 了解本地区与国际范围内部控制理论与实践 2.2.3 了解内部控制的局限性 2.2.4 了解有关内部控制重要的国际准则（例如COSO标准、萨班斯法案、ISO31000等） 2.2.5 了解管理控制与财务控制的不同 2.2.6 内部控制人员素质要求

7 三、要点内容 3.1 内部控制概述 3.2 内部控制的五大要素的描述与实施要点 3.3 内部控制体系设计、实施与评价
3.4 内部控制与相关管理实践的关系 3.5 了解内部控制发展历史与未来发展趋势

8 3.1.1. 内部控制相关概念。 1. 管理：管理是指导和控制企业的协调活动。
管理活动通常包括：制定企业的战略（包括企业发展的方针、政策、目标等），以及相关的策划、控制、保证和改进活动（亦有表述为“计划、组织、协调、控制、指挥”等活动）。 2. 控制：控制是管理活动/职能的一部分，控制的目的是为了致力于实现相关目标、满足相关要求。 3. 内部控制：依照ISO/IEC 导则73《风险管理—术语》，内部控制是一类控制风险的措施，是一种风险治理的解决方案，旨在最小化风险。内部控制包括所有相关的政策、手段措施、实践和其他策划好的行动等。 依照目前COSO的定义，内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。从COSO—内部控制框架延伸而来，目前一般用内部控制要素和内部控制目标来描述内部控制的主体框架。内部控制包括控制环境、风险评估、控制活动、信息及交流、内部监督等五个相互关联的过程要素。内部控制的目标包括：战略目标、经营目标、报告目标和合规目标。

9 内部控制相关概念。 4. 内部控制政策：被企业决策高层批准的所有风险控制目标和风险控制方向。有关于内部控制政策的进一步解释请看后文。 5. 内部控制活动：是指确保管理层的要求得以实施的政策及程序。 6. 内部控制体系：内部控制体系是企业为实现经营管理目标，通过制定并实施系统化的政策、程序和方案，对风险进行有效识别、分析、评价、控制、监测和改进的动态过程和机制。 7. 内部控制自我评估：内部控制自我评估（Control Self—Assessment, CSA）系由企业操作人员/管理 人员/审计人员开展的、用以评估内部控制有效性的过程。其目的是对达成所有经营管理目标提供合 理的保证（assurance）。 内部控制自我评估亦称“风险控制自我评估”或“CRSA”。 实施内部控制自我评估的方法一般包括：问卷调查、流程图、检查表等方法。 8. 内部控制评价：内部控制评价是指对企业内部控制体系建设、实施和运行结果独立开展的调查、测试、分析和评估等系统性活动。 内部控制评价包括过程评价和结果评价。 过程评价是对内部控制的控制环境、风险评估、控制活动、信息与交流、监督管理等体系要素的评价。

10 3.1.2 内部控制目标 内部控制目标一般包括战略目标、经营目标、报告目标和合规目标，是合理保证企业经营管理合法合规、资产安全、财务报告报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 企业内部控制的基本目标是通过风险管理和内部控制来实现价值持续增加的经营目标。 1．战略目标 2．经营目标 3．报告目标 4．合规目标

11 3.1.2 内部控制目标 此外，由于企业管理控制源自于企业财务控制的率先实践，因此从财务审计标准的角度来看，企业内部控制（例如其中的财务控制内容）的具体目标设定可参照以下八个方面： 1．保护资产（safeguarding of assets） 2．保护会计记录的可靠性（reliability of accounting—record） 3．及时提供可靠的财务信息（timely preparation of reliable financial information） 4．盈利和尽量减少不必要的花费（profitability and minimization of unnecessary costs） 5．避免无意识地面临风险敞口（avoidance of unintentional exposure to risk） 6．预防和查明错误和不正常现象（prevention or detection of errors and irregularities） 7．保证授予的职责得到正确履行（assurance that delegated responsibility have been properly discharged） 8．履行法律责任（discharge of statutory responsibilities）

12 3.1.3 内部控制的原则 1. 全面性原则 2. 重要性原则 3. 制衡性 4. 适应性原则 5. 成本效益原则 6. 预防性原则
7. 持续改进原则 8. 合规性原则

13 3.1.3 内部控制的原则 9．有效性原则 10．独立性原则 11．权威性和优先性原则 12．可控性原则 13．与管理过程相结合原则
14．风险评估先导性原则

14 3.1.4 内部控制类型、要点、措施和方法 1．控制类型
按照控制过程顺序分类：环境和结构控制、政策控制、预防性控制、操作控制（例如流程和程序）、发现性控制、纠错性控制。 按照控制目的分类，有以下四类： ⑴ 预防型：以防止发生不良事态为目的的控制。较探测型控制而言，这种控制因为避免了错误、省去了纠错费用而具有更大的成本效益。 ⑵ 引导型：引发或促使某一良性事态发生的控制。这种类型的控制同样具备成本效益，并有助于防止错误的产生。 ⑶ 探测型：发现已经发生的不良事态。尽管总体上比前两种类型开支更大，但探测型控制能够衡量预防型和引导型控制的有效性，并能够发现通过预防制度不能有效控制的错误。 ⑷ 纠错型：确保已经发生过的不良事态不会再度发现的控制。

15 3.1.4 内部控制类型、要点、措施和方法 2．控制要点
⑴ 对于可能导致偏离内部控制政策、目标的运行情况，应建立并保持书面程序和要求，并在程序中规定人员适任条件要求、授权要求、操作要求和控制标准。 ⑵ 对于重要活动应考虑采用诸如“四眼原则”的制衡机制；实施连续记录和监督检查。 ⑶ 在可能的情况下，应考虑运用计算机系统进行控制。 ⑷ 对于采购或外包的设施、设备、系统和服务中已识别的风险，应建立并保持控制程序，并将有关程序和要求通报供方，确保其遵守企业相关的控制要求。 ⑸ 对于产品、组织结构、流程、计算机系统的设计过程，应建立有效的控制程序。

16 3.1.4 内部控制类型、要点、措施和方法 3．内部控制措施
控制措施所涉及的范围一般可包括（但不限于此）：目标控制、指标和标准控制、决策控制、预防控制、政策及制度控制、组织与结构控制、员工素质控制、信息控制、流程控制、程序控制、关键风险点强化控制、计划和预算控制、预测和预警控制、监测检查及监督控制、审计控制、记录控制、报告控制、追踪控制、纠错控制、试点控制、绩效考核控制等。

17 3.1.4 内部控制类型、要点、措施和方法 以下为一些通常采用的控制措施具体举例： ⑴ 检查控制。 ⑵ 行为控制。 ⑶ 实物控制。
⑷ 风险暴露限制的审查。 ⑸ 审批与授权。 ⑹ 验证与核实。 ⑺ 不兼容岗位的适当分离。

18 3.1.4 内部控制类型、要点、措施和方法 4．控制方法
⑴ 前馈控制（Forward Control）：活动开始之前所作出的控制。这种方法属于预防性控制，是事前之控制用以阻止错误的发生。 ⑵ 实时性控制（Concurrent Control）：在活动进行中加以控制，让发生问题和矫正行动之时间间隔降至最低。 ⑶ 回馈控制（Feedback Control）：在活动发生后所采取的控制行动。

19 3.1.5 内部控制的范围 本考试大纲本模块依照战略、操作、财务和声誉四大板块思路绘制出企业应设置内部控制的领域分布图（如下图），供参考。

20 3.1.6 良好的内部控制特征 1．及时――内部控制体系应及早发现潜在或实际偏差以期减少损失。管理人员应对潜在问题作出预测，确保一旦出现问题就能够采取有效控制措施加以阻止并（或）予以确认和纠正。 2．节约――内部控制体系应作出“合理保证”，即以合理的较低费用实现预期的控制目标。可以实施绝对控制，但有可能得不偿失。内部控制体系应通过减少追加资金以外的开支及潜在损失来支付自身费用。因此，管理部门应将需要防止、查实或纠正的开支与相关控制制度的费用进行比较；效率与节约必须与控制的有效性一并考虑。然而，如果出于对安全、环境、敏感问题或提高信誉的考虑，某些控制应予以批准。 3．责任感――内部控制体系应促使员工对所肩负的任务表现出责任感。管理人员需要内部控制体系以使其尽职尽责，因此，他们应谙悉内部控制的目的及操作。 4．配置――内部控制措施应配置于最能发挥效力之处，如适当地置于关键过程之前、当中或结束时。 5．灵活性――内部控制体系应能够适应因时间关系所引起的程序变化，必须经过修订才能继续有效的内部控制体系则不足取。 6．确认起因――如果控制不但能发现问题，而且还能追本溯源，则有助于迅速实施纠正措施。 7．恰当――控制应符合管理之需要及目标。

21 3.1.7 内部控制的地位与作用

22 3.1.8 企业内部控制的框架 1． 目前企业内部控制框架的实施状况 本考试大纲目前建议的企业内部控制框架（三维）：
目标层面：战略目标、运营目标、报告目标（修正之出强调风险报 告）和合规目标 要素层面：控制环境、风险评估、控制活动、信息与沟通、监控 结构层面：企业整体层面、分支机构、业务单位、子公司 2．未来企业内部控制框架的发展

23 3.2 内部控制的五大要素的描述与实施要点 内部控制具体包括：控制环境、风险评估、控制活动、信息与沟通、监控等五大要素。

24 3.2.1 控制环境 1. 内部环境要素描述 内部控制环境是企业实施内部控制的基础，影响着组织中员工的控制意识。控制环境是其他内部控制因素的基础，为内部控制界定了规则和结构。一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

25 3.2.1 控制环境 2. 内部环境要素实施要点 ⑴ 公司治理 ⑵ 机构与管理职能 ⑶ 内部控制政策 内部控制政策应：
与企业的经营宗旨和发展战略相一致； 体现持续改进内部控制的要求； 符合现行法律法规要求； 规范内部控制实施的结构框架和过程框架； 描述企业的风险偏好与风险容忍度，体现出侧重控制的风险类型； 体现出对不同地区、行业、产品的风险控制要求； 传达给适用岗位的员工，指导员工实施风险控制措施； 可为风险相关方所获取，并寻求互利合作； 定期进行评审，确保其持续的适宜性和有效性。

26 3.2.1 控制环境 ⑷ 企业文化 ⑸ 人力资源 人力资源政策（主要包括但不限于）： 员工的聘用、培训、辞退与辞职。
员工的薪酬、考核、晋升与奖惩。 关键岗位员工的强制休假制度和定期岗位轮换制度。 掌握重要商业秘密的员工离岗的限制性规定。 有关人力资源管理的其他政策。 ⑹ 风险管理 ⑺ 内部审计 ⑻ 管理手册

27 3.2.2风险评估 1. 风险评估要素描述 企业科学系统识别、分析和评价影响企业各级目标实现的所有风险因素、局部风险因素或特定领域风险因素的这一过程被称为风险评估。风险评估是企业了解风险和确定风险控制目标的依据，是企业识别控制环节和控制关键点的依据，是企业实施内部控制过程管理不可逾越的关键步骤，是企业实施全面风险管理的方法论支撑基础。 每个组织（企业）都要面对需要评估的各种内部和外部的风险。风险评估的一个前提条件是要确立与不同级别相联系并内在统一的目标。风险评估就是要识别并分析影响组织（企业）目标实现的相关风险，并为决定如何管理和控制这些风险提供决策依据。由于经济、行业、法规和经营条件等的不断变化，相应的机制和风险也会产生改变，从而也要求风险评估的实施必须是及时的和周期持续的。

28 3.2.2风险评估 2．风险评估要素实施要点 ⑴ 风险评估相关概念和原则 ① 风险控制目标 ② 固有风险、剩余风险和当前风险水平
③ 风险忍受度 风险忍受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。 ④ 关键风险 ⑤ 风险评估技术和方法

29 3.2.2风险评估 ⑵风险识别 ① 内部风险识别关注因素 —董事、监事、经理及其他高级管理人员的职业操守和决策水平/风格。
—员工专业胜任能力等人力资源因素。 —组织机构、经营方式、资产管理、业务流程等管理因素。 —研究开发、技术投入、信息技术运用等自主创新因素。 —财务状况、经营成果、现金流量等财务因素。 —营运质量和安全、员工健康、环境保护等安全环保因素。 —信息的有效性、内部控制的有效性和公司治理有效性等识别。 —合规风险的识别。 —其他有关内部风险因素。

30 3.2.2风险评估 ② 外部风险识别关注因素 —经济形势、产业政策、投融资环境、市场竞争、资源供给等经济因素。
—法律法规、监管要求等法律因素。 —安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 —技术进步、工艺改进等科学技术因素。 —自然灾害、环境状况等自然环境因素。 —外部突发事件影响。 —其他有关外部风险因素。

31 3.2.2风险评估 ⑶ 风险分析 风险分析是为了更多或更精确地了解风险的特征，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析。另外，在风险分析时还往往对风险的敏感性和不确定性等特征实施分析。 ⑷ 风险评价 ⑸ 风险治理对策 ① 风险规避 ② 移走滋生风险的根源 ③ 改善风险的特征 ④ 风险分担/风险转移 ⑤ 风险承受 ⑥ 风险应对 ⑹ 选择内部控制这一风险改善对策的落实措施

32 3.2.3 控制活动 1．控制活动要素描述 2．控制活动要素实施要点
⑴ 企业应根据风险管理策略，针对各类风险或每一项重大风险制定风险管理解决方案。方案一般应包括风险解决的具体目标，所需的组织领导，所涉及的管理及业务流程，所需的条件、手段等资源，风险事件发生前、中、后所采取的具体应对措施以及风险管理工具。 ⑵ 企业制定风险管理解决的外包方案，应注重成本与收益的平衡、外包工作的质量、自身商业秘密的保护以及防止自身对风险解决外包产生依赖性风险等，并制定相应的预防和控制措施。 ⑶ 企业制定风险解决的内控方案，应满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。 ⑷ 控制活动是体现控制政策的程序或行动，往往是控制措施的组合。前文有关于企业控制措施的相关内容已给出了基本的概念。 以下是一些可称之为常见的体现在企业各项控制活动中的内控措施，包括：　① 授权; ② 报告 ; ③ 批准 ; ④ 问责 ; ⑤ 审计检查 ; ⑥ 考核评价 ; ⑦ 重大风险预警 ; ⑧ 法律顾问 ; ⑨ 制衡，明确规定不相容职责的分离 。

33 3.2.4 信息与沟通 1．信息与沟通要素描述 2．信息与沟通要素实施要点 ⑴ 信息与沟通制度 ⑵ 信息收集 ⑶ 信息传递和沟通
⑷ 以信息为基础的控制措施 ⑸ 文件信息控制 ⑹ 信息技术

34 3.2.5 监控 1．监控要素描述 监控是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并提议改进。
2．监控要素实施要点 ⑴ 内部控制监控制度 企业应当根据相关规范制定内部控制监控制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监控中的职责权限，规范内部监控的措施类别、程序、方法和要求。 内部监控分为日常监督和专项监控。

35 3.2.5 监控 ⑵ 内部控制缺陷认定 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。 ⑶ 内部控制自我评价 企业应当结合内部监控情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。 内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。 国家有关法律法规另有规定的，从其规定。

36 3.2.5 监控 ⑷ 监控报告 监控报告（除非就某一监控方面监管机构提出特别要求）因企业不同和因监控的目标任务不同而不同。一般监控报告应报告监控发现的事实和监控发现的潜在问题，有时也报告目标实现的可能性评估，如有必要也可给出就发现问题的应对建议。 ⑸ 记录控制 应建立相关文档的保存和记录制度，以规定内部控制相关活动中所涉及记录的标识、生成、贮存、保护、检索、保存期限和处置。 记录应保持清晰、易于识别和检索，以提供符合要求和内部控制体系有效运行的证据，并可追溯到相关的活动。

37 3.3 内部控制体系设计、实施与评价

38 内部控制体系设计考虑要点 企业在实施内部控制的设计时要考虑内部控制的目标和政策，要体现企业内部控制管理的总体原则（本考试大纲本模块的前文中已陈述了这一原则），要考虑内部控制的成本许可与实施的可行性，应征求企业利益相关者的建议并与他们实施充分的沟通和协商。

39 3.3.1 内部控制体系设计考虑要点 具体来讲，企业的内部控制体系的设计，一般可主要考虑以下要点：
内部控制体系设计考虑要点 具体来讲，企业的内部控制体系的设计，一般可主要考虑以下要点： 1. 企业战略的澄清及确认，以及企业目标管理体系的建立； 2. 企业内部控制政策的制订。内部控制政策一般包括企业的组织结构，运营模式，部门及岗位职责、授权、报告路线，与目标相关的风险偏好及风险容忍度，风险管理基本对策； 3. 企业管理及业务流程（程序）的梳理、整合与优化； 4.了解和确认企业的风险管理目标和内部控制目标，遵循内部控制政策； 5. 在遵循内部控制的原则基础上，识别、评估、监测、报告、控制和改进相关风险。

40 3.3.1 内部控制体系设计考虑要点 在设计企业内部控制时，在基于上述要点的基础上，还应进一步考虑以下内容： —有关控制指标界定或标准确定
内部控制体系设计考虑要点 在设计企业内部控制时，在基于上述要点的基础上，还应进一步考虑以下内容： —有关控制指标界定或标准确定 — 内部控制要识别和考虑企业关键业务、关键业绩、关键流程与关键控制点 — 预警考虑 — 考虑合规要求 — 考虑风险评估结果建议 —评价现有风险控制水平和风险控制能力 —识别和确定企业所接受的风险控制水平 — 考虑控制成本 — 评价控制措施与非控制措施的风险应对效果和成本，进而做出控制措施选择 — 基于企业关键风险控制点的内部控制的流程和程序设计 — 确定控制措施、程序和控制活动 —从制度着手的内部控制 —从标准化和规范化角度着手的内部控制 — 确定应急措施 — 确定控制资源 —考虑常规控制和非常规控制，考虑风险控制的压力极限 —提出企业风险控制能力的建设和提升目标，设计合理的企业风险控制能力

41 3.3.2 内部控制体系设计的基本方法 企业应建立以企业经营管理目标为指针，以流程管理和风险管理为基础的，以“业务条线及管理职能、风险管理、审计”三道防线为机制，以内部控制五要素为框架的文件化的内部控制体系。 企业内部控制体系的设计应至少体现以下主要方法： 1. 原则为本的方法(Principle—Based Approach) 2. 绩效为本的方法(Performance—Based Approach) 3. 流程为本的方法(Process—Based Approach) 4. 职责为本的方法(Responsibility—Based Approach) 5. 风险为本的方法(Risk—Based Approach) 6. 体系为本的方法(System—Based Approach)

42 3.3.3 关键业务控制设计实务要点 企业内部控制的设计应包括战略、操作、报告、合规等几个层面。然而，在企业中最为关注的内控焦点仍然是基于关键业务、关键业绩、关键流程和关键风险点的内部控制的设计和有效运行的问题。由于内部控制的发展历经了几个重要时期的沿革，似乎每一个企业都感到自身在内部控制管理方面都或多或少的按照传统内控的某些理念做过一些工作（例如制订了各种制度），然而当如今企业需要在ERM的框架下重新梳理内部控制体系时却感到不知从何下手！原因是因为尚不能准确定位ERM时代内部控制设计的发展改进方向，不全面了解当代“管理控制”发展的最新设计思路和设计视角，也不十分清晰在ERM框架下实施“管理控制”的具科学性的程序和步骤。针对这一问题，为增加对内部控制学科实用性的指导力度，本考试大纲本模块特选择以“关键业务内部控制设计”为解说点，以陈述本模块所推介的有关该设计的程序或步骤，供读者或考生们参考。

43 3.3.3 关键业务控制设计实务要点 风险指标确认（考虑风险偏好、风险容忍度以及考虑合规）
风险评估 （包括风险识别、风险分析和风险评价三个阶段） 在风险评估的评价阶段，评价内控水平： （1）确认关键风险点 （2）评估目前的内控水平状况（可适度测试） （3）确定适合于企业状况的内控应有水平 （4）内控资源评价

44 3.3.3 关键业务控制设计实务要点 4. 基于风险评估的结果，为所选定的关键业务制订内部控制的框架方案
4. 基于风险评估的结果，为所选定的关键业务制订内部控制的框架方案 其中这一方案中应列出对已识别出来的每一个关键风险的控制措施，例如包括： 在这一关键业务中，围绕着某一被识别出来的关键风险点，可采用的控制行动包括： （1）在遵从企业整体风险的管理政策的基础之上，为该关键风险制定风险管理政策（例如其中声明风险容忍度，合规要求，声明该关键风险的控制责任等） （2）制定风险管理计划（例如，该计划陈述落实风险管理政策的安排，并且还应包括应急计划预案等） （3）考虑和设置预警（如有必要，或者有可能） （4）恰当的制定或修订管理制度 （5）以该关键风险治理和控制为思维出发点，考虑相关风险的关联性或可能的叠加效果 （6）围绕着关键风险点，设计合理与充足的各类控制活动 （7）将该关键风险的控制并入到所关注业务的流程控制中去，实施控制平衡 （8）围绕关键风险点，结合各类控制活动，设定总体控制程序 （9）为关键风险设置监控机制和报告机制 （10）为关键风险设计周期性评价机制

45 3.3.3 关键业务控制设计实务要点 5、实施关键风险的控制框架 6、监督上述框架的实施 7、不断改进这一框架

46 3.3.4 内部控制体系的建立与实施 建立和实施内部控制体系的方法包括以下步骤： 1. 确定企业各相关方的需求和期望；
2. 澄清及确认组织的战略和经营管理目标； 3. 确定实现企业经营管理目标必需的组织机构、职责、权限，以及报告路线； 4. 制订相关的内部控制政策、管理程序、业务流程； 5. 识别相关风险，并制订相关控制措施； 6. 确定和提供实现经营管理目标必需的资源； 7. 规定测量（检查或考核）每个业务及管理过程和风险的方法； 8. 识别与评估所产生的风险，并采取相应的控制措施改进管理并使剩余风险处于可接受水平； 9. 建立和应用持续改进内部控制体系的过程，尤其包括自我评价、风险评估与报告、审计等； 10. 不断优化控制环境，并与企业全面风险管理的大环境相吻合与协调。

47 3.3.5 内部控制体系评价要点 1. 内部环境 ⑴ 内部环境评价原则
企业董事会应负责审批企业的策略和政策；了解企业运作的风险（特别是关键性风险），确定企业对这些风险的承受力，并确保高级管理层采取必要措施识别、监管和控制这些风险；审批企业机构的框架，确保高级管理层对内部控制体系的有效性实行监管。 高级管理层有责任执行企业董事会审批的策略；制定合适的内部控制政策；监管内部控制体系的有效性。 企业董事会和高级管理层有责任提高自身的职业道德与廉洁自律的标准，在机构内部形成一种文化氛围，向各级人员说明并强调内部控制体系的重要性。企业的各级人员都应了解其自身的岗责，都应具备完成其岗责的能力，都应了解他们在内部控制程序中所分配的角色和应起的作用，并应在这一程序中全力以赴履行各自的职责。 企业应建立健全全面风险管理体系，为企业内部控制的有效实施提供基础性、体系性和全面性的支持环境。

48 3.3.5 内部控制体系评价要点 ⑵ 内部环境评价要点 ① 诚信与伦理价值观
管理层必须让雇员了解，诚信与伦理价值观是不能妥协的，雇员必须接受和理解这一点。管理层必须通过言行表现出对高尚道德标准的承诺。 ● 行为规范及有关经营行为、利益冲突，伦理道德标准的政策是否存在并得到实施。 ● “高层基调”（包括明确什么是对、什么是错的道德规范）是否已经建立。它在整个机构的交流程度如何。 ● 处理与雇员、供应商、客户、投资商、贷款方、保险公司、竞争对手、稽核人员等的关系。 ● 对不遵守公司政策、程序和违反行为规范的行为是否采取了恰当的补救措施。补救措施在多大程度上得以实施，并使企业内每位员工都能了解。 ● 管理层对干预和超越内部控制的态度。 ● 实现不现实的经营目标（特别是达到短期效果）的压力。达到这些经营自标后，存在的报酬奖励范围。

49 3.3.5 内部控制体系评价要点 ② 对员工能力的承诺 管理层必须明确规定每项具体工作对职员能力的要求，并将这些能力要求以所需的知识与技能的方式表达。 ● 对每项工作是否制定了正式或非正式的工作要求，或用其他方式对工作加以描述。 ● 正确分析从事某项工作所需的知识与技能

50 3.3.5 内部控制体系评价要点 ③ 董事会与审计委员会
一个活跃、有效的董事会将发挥重要的监督功能，因为管理层很可能凌驾于内部控制之上。董事会在保证内部控制的有效性方面将发挥重要作用。 ● 监督工作独立于管理层之外是非常必要的，即便很难做到，显得过于追根究底，还是应该提出问题。 ● 如果有必要对具体事务给予更深刻、更直接的关注，董事会是否能发挥应有作用，董事会的知识及经验 ● 与财务会计主管、内部稽核员和外部审计师召开会议的频率和及时性 ● 向董事会和稽核委员会成员提供的信息是否充分和及时，以使管理层的且标、战略、公司的财务状况、经营业绩、重要协议的条款得到监督。 ● 董事会和稽核委员会处理敏感信息、调查不当行为的有效性与及时性。 ● 是否监督高级官员和内部稽核主管制定了奖惩政策和对他们的任免制度 ● 建立恰当“高层基调”作用 ● 董事会或稽核委员会是否根据其发现的问题采取行动，包括必要时进行的特别调查。

51 3.3.5 内部控制体系评价要点 ④ 管理层经营理念与运作风格
管理层的运作风格对企业经常会产生广泛的影响。当然有些影响是无形的，但是人们还是能看到积极或消极的迹象。 ● 能承受的经营风险的性质，如管理层是否经常涉足高风险领域，还是在承受风险方面过于保守。 ● 主要职位上的人员变迁，如经营、会计、数据处理、内部稽核等职位。 ● 管理层对数据处理和会计部门的态度，以及对财务报表和财产保全的可靠性的关注。 ● 高级管理层与经营管理层联系的频率，尤其是当经营部门是按照地理范围分布时的联系频率。 ● 对财务报告采取的态度和行动、包括应用会计原则所引致的纠纷。

52 3.3.5 内部控制体系评价要点 ⑤ 组织结构 组织结构不应过于简单，以避免不能很好地监督企业的沽动；同时也不应过于复杂，以避免阻碍必要的信息交流，管理人员应充分理解其内部控制责任并具备与其职位相称的经验及知识水平。 ● 企业机构结构的合理性；是否能够提供必要的信息交流以便对经营活动进行管理。 ● 主要管理人员的职责定义，经理对其职责的理解是否充分。 ● 主要管理人员是否具备与其职责相称的知识与经验。 ● 是否具有恰当的报告关系。 ● 如果情况改变，机构结构在多大程度上能得到调整。 ● 企业是否具备足够的职员，特别是管理和监督岗上是否具备足够的职员。

53 3.3.5 内部控制体系评价要点 ⑥ 职权及分配 职责的委任、授权和相关政策的建立为责任制和控制提供了基础，并决定了个人的不同作用。
● 职责的委托、授权用以实现机构目标和目的，处理经营活动和遵循管理制度，包括对信息系统和授权的改变做出反映。 ● 与控制有关的标准及程序，包括对雇员的工作要求是否恰当。 ● 企业是否具有足够的员工，特别是数据处理和会计人员，是否具备与公司规模、活动及制度复杂性相应的能力。 ● 授权范围与委任职责是否相互符合 ⑦ 人力资源政策与实践 人力资源政策是选拔和吸引人才、实施企业计划及目标的关键。 ● 聘用、培训、提升、酬赏雇员的政策措施在多大程度上到位。 ● 雇员在多大程度上了解其职责和管理层对其工作的要求 ● 对违反公司规定及办事程序的行为，是否采取恰当的补救措施。 ● 人事管理应就道德及伦理标准规定的明确程序对人员进行考核。 ● 对应聘者的背景调查是否充分，特别是审查其以往是否有过本企业无法接受的行为或举动。 ● 是否制定充分的保留、晋升雇员的标准和信息收集技术（如工作业绩评价），以及与行为准则或其他行为规范有关的制度是否有恰当标准。

54 3.3.5 内部控制体系评价要点 2． 风险评估 ⑴ 风险评估评价原则
高级管理层应确保能够识别和评价可能对企业目标的实现产生不利影响的内部及外部风险因素。这种评价应包括企业所面临的各种风险，如战略风险、财务风险、信用风险、市场风险、运作风险、法律风险、信誉风险和合规风险等。 高级管理层应确保对影响企业实现其策略和目标的风险进行及时评估、连续评估或周期性实施评估，这可能需要对内部控制体系加以改进，以便有效地控制任何新的或以前未加以控制的风险，以便有效监控剩余风险的变化。 高级管理层应确保企业实施风险评估的方法正确、科学和得当，评估结果可信。尽可能提高风险评估标准化的程度。

55 3.3.5 内部控制体系评价要点 ⑵ 风险评估评价要点 ① 企业组织的总体目标
● 企业的总体目标是否就企业的目的和指导原则作了有效规定，同时这些规定又能与企业的经营直接联系起来。 ● 雇员和董事会是否了解企业的总体目标。 ● 企业策略与企业总体目标的关系及一致性 ● 企业经营计划和预算与企业总体目标、策略计划和目前状况是否一致。 ② 经营目标 ● 经营目标及总体目标、策略计划之间是否存在联系。 ● 经营目标之间是否相互联系 ● 经营目标同所有的重大业务是否具有相关性 ● 经营目标的具体化 ● 是否具有实现目标所需要的资源 ● 确定与实现总体目标相关的关键目标（重要成功因素） ● 各级管理层在目标制定过程中的参与程度，及他们对待这些目标的严肃性。

56 3.3.5 内部控制体系评价要点 ③ 风险评估过程和方法评价
风险评估方法的科学性和风险评估过程的组织方式等均影响到风险评估控制要素所产生结果的可信度，进而影响到整个企业内部控制体系的建设基础和相应的资源配置。因此，应对企业风险评估结果的可信性实施评价和校正。 ● 风险评估过程中对风险关联性的考虑程度与合适度 ● 是否具有恰当的发现内部风险的机制 ● 企业是否具备适当机制来发现外部风险 ● 企业参与风险评估的人员素质评价 ● 风险识别的透彻性评价，特别指识别与实现企业重大经营目标有关的重要风险，是否识别的透彻和无明显遗漏 ● 风险分析过程的完整性、科学性和相关性，包括对风险大小的估计，对其发生的可能性分析并决定需要采取何种行动。 ● 风险评估方法的科学性评价，风险评估结果的可信性评价

57 3.3.5 内部控制体系评价要点 ④ 管理变化状况评价 经济、行业管理环境在不断变化，企业也在发展，因此需要有某种机制发现这些变化并对变化的情况作出反应。 ● 是否存在某种机制对日常事务或影响经营和总体目标实现的其他活动进行预测、识别和采取适当措施（如果某项活动很容易受环境变化的影响，那么这种机制就应由负责这项活动的经理来管理）。 ● 是否存在某种机制，识别可能对整个企业产生重大全面影响的变化并对之作出反应，从而引最高管理层的重视。 ● 新雇员 ● 新的或重新设计的信息系统 ● 迅速发展 ● 新技术 ● 新方法、新产品、新经营活动、收购新公司 ● 公司重组 ● 跨国经营

58 3.3.5 内部控制体系评价要点 3．控制活动 ⑴ 控制活动评价原则 ⑵ 控制活动评价要点
① 是否为企业的每一次经营活动都制定相应政策及实施程序 ② 现有控制活动是否得到充分实施 ③ 围绕着企业每一个关键风险点的控制活动分派是否完善和充足。 4．信息与沟通 ⑴ 信息与沟通评价原则 高级管理层应确保掌握充分的、综合的有关企业战略、经营、合规和财务等信息，以及掌握有关影响决策的事件和条件的外部市场信息。这些信息应及时、可靠、有深度、充分并具有连续性。

59 3.3.5 内部控制体系评价要点 ⑵ 信息与沟通评价要点 ① 信息
— 信息由信息系统发现、捕捉、加工和报告。适用信息包括从外部渠道获得的行业信息、经济信息及行政管理信息，同时也包括从内部获得的信息。 — 获取内部及外部信息，向管理层提供有关企业目标实现情况的必要报告。 — 及时、具体地提供信息，使其能够有效地履行自己的职责。 — 信息系统的开发或调整应以信息系统的战略计划为基础，与企业的整体策略相联系，并为实现企业总体目标和具体经营目标而服务。 — 管理层对必要的信息系统开发的支持是否表现为提供必要的人力物力资源。

60 3.3.5 内部控制体系评价要点 ② 交流 — 雇员的责任及控制职责是否得到了有效交流。 — 建立交流渠道，使人脉能就可以问题进行报告。
— 管理层是否接受雇员提出的提高生产效率、产品质量等其他类似的改进意见。 — 企业内部横向交流是否恰当（如采购部门与生产部门之间的交流）。信息是否全面、及时，使人脉能够有效完成自己的工作。 — 与顾客、供应商及其他外部各方就顾客需求变化的交流是否坦诚、有效。 — 外部各方在多大程度上获悉了企业的道德标准。 — 在收到客户、供应商、行政管理人员及其他外部各方意见后，管理层是否采取及时、恰当的后续措施。

61 3.3.5 内部控制体系评价要点 5．监控 ⑴ 监控评价原则
高级管理层应对企业内部控制体系的总体有效性进行连续监管，以帮助企业实现其自标。对重大风险的监管应成为企业日常运作的一部分，并在必要时应对其分别予以评估。 ⑵ 监督要素评价 ① 连续的监督 — 连续的监督是日程运作过程的一部分，包括日程管理及监督活动，以及职员为履行职责而采取的能够衡量内部控制系统运行有效性的其他活动。 — 在日程活动中，人们能在多大程度上获得证据，从而证实内部控制系统是否保持运行状况良好。 — 从外部渠道得来的信息在多大程度上能证实从内部得到的信息的正确性，或表明内部信息有问题。 — 是否对会计帐目和实际资产进行定期核对。 — 对内部稽核人员、外部审计师提出的加强内部控制措施的建议作何反应。 — 培训研讨会、计划制定会及其他会议在多大程度上向管理层提供了有关控制措施情况的反馈信息。 — 是否要求公司职员定期陈述他们是否了解及遵守公司的行为准则并按时执行重要控制活动。 — 内部稽核活动的有效性。

62 3.3.5 内部控制体系评价要点 ② 专门评估 — 经常以新的角度审视内部控制系统，特别是对系统有效性进行直接关注是非常有用的。专项评估活动的范围及频率主要取决于对风险的评估及连续的监督程序。 — 对内部控制系统进行专项评估的范围及频率。 — 评估过程的恰当性。 — 系统评估的方法是否符合逻辑，是否恰当。 — 文件是否得当。 ③ 报告问题 — 内部控制问题应向上报告，一些重要问题必须报告给最高管理层和董事会。 — 报告内部控制问题的机制是否存在 — 报告规程的恰当性 — 后续措施的恰当性

63 3.4 内部控制与相关管理实践的关系

64 3.4.1 内部控制与公司治理 1. 公司治理的定义 公司治理是以股东为核心的各利益相关者之间相互制衡关系的总称，它既包括公司治理结构，也包括公司治理机制，其实质是各利益相关者之间的权利安排和利益分配问题。

65 3.4.1 内部控制与公司治理 2. 有效公司治理的要素 有效公司治理的要素包括：
⑴ 逐步形成公司价值准则、行为准则和其他适当行为规范，以及确保其得到遵循的机制； ⑵ 制定阐述明确的公司战略，据此衡量公司整体业绩和个人贡献； ⑶ 建立董事会、高级管理层和审计人员之间相互交流与合作的机制； ⑷ 建立完善系统的风险管理机制和建立强有力的内部控制体系； ⑸ 特别监督和监测可能存在的严重利益冲突带来的风险敞口； ⑹ 通过薪酬、升职或其他肯定方式，提供经济激励和管理激励，以鼓励员工以适当的方式行事； ⑺ 确保适当的内部信息交流和对公众的信息披露。

66 3.4.1 内部控制与公司治理 3. 公司治理与内部控制的关系
公司治理结构的缺陷将导致内部控制从根本上失效，而有效的内部控制则是良好公司治理的重要表现。在公司治理结构中，董事会、高层经理、审计部门等对内部控制的相关责任的明确至关重要。企业无论采用何种公司形式，只要确保以下四个方面的监督机制发挥作用就可以形成良好的公司治理：董事会或监事会的监督；不参与日常业务经营的个人监督；独立的风险管理和各业务领域管理线路监督；合规和审计部门的监督。

67 3.4.2 内部控制目标与平衡计分卡 内部控制是为了达成管理目标，提供合理保证的管理工具（《INTOSAI（世界最高审计机关组织）内部控制准则》）。因此，可以认为内部控制即是一个组织实施目标管理的管理工具。 企业目标管理的目标及指标的分类原则和方法各有不同，且每个企业的目标管理所涉及的范围和内容、目标管理的指标量化水平和管理水平也存在相当的差异。 内部控制作为企业管理整体的一个有机的组成，作为企业风险管理核心的一个组成部分，其控制的目标的分类、分解的原则既要覆盖和实现企业的战略目标、经营业绩目标、报告目标和合规目标方面内容和要求，同时在企业经营管理实践中更要与企业的经营管理实际相结合，不能将内部控制目标与企业经营管理的整体目标管理实际相分离。

68 3.4.2 内部控制目标与平衡计分卡 企业的目标管理活动一般包括：目标/指标体系分类原则的确定、目标/指标体系的分解、目标/指标测评标准数值的确定、目标/指标测评程序和方法的设定、测评数据的收集与分析、测评数据结果的应用（尤其包括在绩效考评及奖惩等方面的应用）、目标/指标体系及相关指标标准数值的调整与改进，等等。企业目标管理活动的开展一般通过绩效管理活动体现和落实。 内部控制是企业管理的一个有机组成，在企业管理实践中，大多企业是将内部控制的目标管理要求融入企业目标管理与绩效管理中，而并不是简单机械地依照“战略目标、经营目标、报告目标和合规目标”四大目标的分类原则进行分解和展开。事实上，一般企业只要能够将内部控制的四大目标的实质内容及要求映射到企业目标管理及绩效管理指标体系中，就较好能够实现对内部控制四大目标的管理。

69 3.4.2 内部控制目标与平衡计分卡 平衡计分卡(The Balanced Score Card，简称BSC），是20世纪90年代初由哈佛商学院的罗伯特·卡普兰(Robert Kaplan)和诺朗诺顿研究所所长、美国复兴全球战略集团创始人兼总裁戴维·诺顿(David Norton)发展出的一种全新的组织绩效管理方法。被《哈佛商业评论》评为二十世纪最具影响力的管理学方法。 平衡积分卡不仅是一种管理手段，也体现了一种管理思想，具体体现为： 1. 只有量化的指标才是可以考核的，必须将要考核的指标进行量化。 2. 组织愿景的达成要考核多方面的指标，不仅是财务要素，还应包括客户、业务流程、学习与成长。

70 3.4.2 内部控制目标与平衡计分卡 实施平衡计分卡的管理方法主要有以下优点： ⑴ 克服财务评估方法的短期行为
⑵ 使整个组织行动一致，服务于战略目标 ⑶ 能有效地将组织的战略转化为组织各层的绩效指标和行动 ⑷ 有助于各级员工对组织目标和战略的沟通和理解 ⑸ 利于组织和员工的学习成长和核心能力的培养 ⑹ 实现组织长远发展 从理论上说，实施BSC的企业的绩效管理指标体系完全应满足风险管理与内部控制的相关目标管理方面的要求，并且较直接机械地按内部控制四大目标分类分解实施目标管理的做法更具有科学性、系统性和可操作性。

71 3.4.2 内部控制目标与平衡计分卡 总之，内部控制正是一个组织为实现其经营管理目标（包括具体设立的指标体系），通过制订控制政策、控制程序和控制方案，对风险进行识别与管理的动态过程和机制。

72 3.4.3 内部控制与流程管理 顾客和其他各项、各方需求和要求均是通过流程（过程）实现的，有需求就有流程。因此，企业为实现经营管理目标，在通过制定并实施系统化的政策、程序和方案，以建立对风险进行有效识别、分析、评价、控制、监测、改进的动态过程和机制的内部控制体系时，必须将这些政策、程序和方案与企业的战略流程、核心流程和操作流程相结合，将对风险的识别、管理与流程相关联，将风险揭示在每个流程中，并对风险进行有效的监测、评估，并采取措施进行控制，同时明确岗责要求和绩效考评要求，实现有效内控。

73 3.4.4 内部控制与操作风险管理及合规风险管理的关系
1. 有关定义 “操作风险”是由“有缺陷的组织结构、不足够的或失败的内部流程、人员、系统或外部事件所导致损失的风险”。 “合规风险”是指企业因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。

74 3.4.4 内部控制与操作风险管理及合规风险管理的关系
2. 内部控制与操作风险管理的关系 内部控制和操作风险管理在内容、对象和范围上基本相同，不同之处主要在于管理手段和方法。 内部控制是组织为实现经营管理目标，通过制订系统化的政策、程序和方案，对风险进行识别、评估、控制、监测和改进的动态过程和机制。 因此，从内容上看，内部控制侧重管理的改进（或者说更关注对所识别风险的管理改进措施或行动方案），而操作风险管理则侧重对于对风险（尤其是采取控制措施后的剩余风险）的计量与管理；从对象和范围上看，内部控制除控制操作风险以外，还应包括其他风险（如信用风险、市场风险、声誉风险等）。

75 3.4.4 内部控制与操作风险管理及合规风险管理的关系
操作风险管理除了重视内部控制手段外，还采用风险计量、定价、经济资本配置和对冲等与市场和信用风险管理相似的方法。以全面风险管理的角度审视，内部控制是企业实施全面风险管理的重要措施之一，其范畴覆盖企业战略和经营管理整体层面；操作风险管理是企业落实全面风险管理而实施的一个局部操作板块范畴的风险管理过程。 操作风险管理可通过对操作风险的评估，在进行风险准确计量的基础上，对操作风 险进行合理的风险定价，以使企业所承担的操作风险在产品和服务价格中获得补偿；同时，对各业务部门实施针对操作风险的经济资本配置可以为业务部门加强内部控制降低操作风险提供合理的激励；也可以通过资本限额使得企业回避或退出操作风险较大的业务领域。另外，还可以运用风险对冲的方法（例如通过购买保险）或相关业务外包将操作风险转嫁给其他机构。 从管理的角度可以将企业的操作风险分为三类：一是可以通过简单的业务管理就可以消除和避免的风险；二是在整个企业内积极管理的风险，目的是减小/减缓风险，或者说目的是减小不利和同时增加有利风险因素；三是可以转嫁/对冲给其他参与者的风险；内部控制主要用于管理第一类和第二类风险；而对于第三类风险，则一般可以通过转移或对冲机制（如买保险）或经济资本配置等方法进行管理。

76 3.4.4 内部控制与操作风险管理及合规风险管理的关系
3. 内部控制与合规风险管理的关系 “合规”是指使企业的经营活动与法律、规则和准则相一致。 合规是企业的一项核心的风险管理活动，而合规性目标则是企业内部控制的最为基础的管理目标。 法律法规、企业内部制度的立法过程是立法机构（包括企业外部的立法机构、也可包括企业自身）通过立法或制订规章制度的方式对“各类已识别的风险”进行防范的过程。而“各类已识别的风险”包括市场风险、信用风险、操作风险等各类风险。 合规风险是各类风险特别是操作风险存在和表现的重要诱因；各类风险的存在使得合规风险更趋复杂多变而难于管控。因此，合规是防范其他风险的底线，更是企业内部控制的基础。

77 3.4.5 内部控制体系与其他管理体系的关系 内部控制体系不是一个孤立的管理体系它贯穿在企业的战略管理、经营管理和风险管理三大管理篇章交融的过程之中，涉及到企业战略、操作、财务和声誉四大板块风险管理领域。内部控制体系是企业为有效防范和控制风险而建立的，它是企业整个管理体系的重要组成部分。内部控制体系的设计需考虑与其它管理体系的接口，并且能够对其它管理体系产生积极的影响。但由于各个管理体系的基本使命或关注点不同，因此，内部控制体系将与其它管理体系并存于企业之中，它并不取代其它任何管理体系，并积极支持其他管理体系的目标实现。

78 3.5 了解内部控制发展历史与未来发展趋势 企业内部控制理论经历了内部控制牵制理论、内部制度控制理论、内部控制结构理论、内部控制系统（整体框架）控制理论和全面风险管理总体框架等五个发展演变的阶段。此外，更加值得关注的是，目前，国际标准化组织正在拟推出有关风险管理的国际标准，该系列风险管理标准的出台必将使风险管理与内部控制的理论发展与实践推向一个新的历史新阶段。 1. 内部牵制阶段 2. 内部控制制度阶段 3. 内部控制结构阶段

79 3.5 了解内部控制发展历史与未来发展趋势 1. 内部牵制阶段 2. 内部控制制度阶段 3. 内部控制结构阶段
此阶段“内部控制”的三个要素具体包括： ⑴ 控制环境 控制环境是指对建立、加强或削弱特定政策与程序的效率有重大影响的各种因素。环境控制反映了董事会、管理者、业主和其他人员对控制的态度、认识和行动。其主要内容具体包括： ① 管理者的经营思想和经营作风； ② 企业组织架构； ③ 董事会及其所属委员会，特别是审计委员会发挥的职能； ④ 确定授权与责任的方法； ⑤ 管理者监控与检查工作时所使用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计； ⑥ 人力资源管理； ⑦ 外部关系对企业业务的影响。

80 3.5 了解内部控制发展历史与未来发展趋势 ⑵ 会计系统（accounting system） 健全的会计系统包括以下内容：
① 认定和登记一切合法的经济业务； ② 对各项经济业务按时和适当的分类； ③ 将各项经济业务按照适当的货币价值计价，以便列入财务报表； ④ 确定经济业务发生的日期，以便分清会计期间记录； ⑤ 在财务报表中恰当地表述经济业务以及有关的揭示内容。 ⑶ 控制程序（control procedures）

81 3.5 了解内部控制发展历史与未来发展趋势 4. 内部控制整体框架阶段 COSO报告的核心观点有三个方面：

82 3.5 了解内部控制发展历史与未来发展趋势 5. 全面风险管理为导向的内部控制体系框架阶段
《企业风险管理：整合框架》（Enterprise Risk Management, ERM）是对《内部控制－整体框架》的扩展，新框架确认了全面风险管理的总体框架，能够成为衡量企业风险管理是否有效的一个标准，成为董事会和管理层的有用工具，也是一个帮助企业管理者有效处理不确定性和减少风险，进而提高企业创造价值能力的框架。在内部控制理论方面，新框架引入了广义的内部控制与风险管理的定义，提出了风险偏好和风险容忍度等概念，在以下三个方面取得了突破性的发展： 一是强调了内部控制与风险管理是一个过程控制 二是强调了企业风险管理框架包括四个目标和八个要素 三是突出了企业董事会、高级管理层、风险管理人员、内部审计人员及其他员工在风险管理中承担的职责与地位

83 3.5 了解内部控制发展历史与未来发展趋势 6. 未来风险管理与内部控制的发展趋势 — 国际管理标准化推广阶段
⑴ ISO/IEC 导则73《风险管理—术语》定义了67个与风险管理相关的名词术语。 ⑵ ISO31000《风险管理—原则与实施指引》涉及包括风险管理原则、风险管理框架和风险管理过程等主要内容。 ① 该《指引》明确指出：为了组织更加的有效，风险管理应该遵循包括：“风险管理创造价值”、“风险管理是组织流程的有机组成部分”、“风险管理是决策的组成部分”等11项原则； ② 风险管理框架主要内容包括：总则、任务和承诺、风险管理框架设计（包括：了解组织及组织间的相互关系、风险管理政策、组织过程整合、责任、资源、建立内部沟通和报告机制、建立外部沟通和报告机制，等）、风险管理实施（包括：风险管理框架的实施、风险管理过程的实施）、框架的监测和检查、框架的持续改进。 ③ 风险管理过程主要包括：沟通与协商、环境的建立、风险评估（包括：风险识别、风险分析、风险评价）、风险治理、监测与评审等内容。 ⑶ ISO/IEC 《风险管理－风险评估技术》涉及：风险评估技术体系概念、风险评估过程、风险评估方法的选择等主要内容。该标准还在附录中列举了31种风险评估的技术与方法，并逐项就每种技术与方法的概要描述、使用、输入、过程、输出、优点与缺陷等方面进行了详尽表述。

84 3.6 了解内部控制发展的里程碑标志 1.美国《证券法》与内部会计控制 2. CPA及其内部控制、会计控制、管理控制的定义
3. 科恩报告对内控体系评价 4. COSO委员会与内部控制 5. 英国Cadbury报告关注公司治理对内部控制的影响 6. 加拿大的COCO报告及其内部控制标准 COCO报告的重点是从目的、承诺、能力、监督与学习等方面提出了相关控制基准： ⑴ 目的：系指有关组织管理的准则、实现的目标，在目的方面包括五个控制基准。 ⑵ 承诺：系指责任、有关身份和道德标准的准则，在承诺方面包括四个控制基准。 ⑶ 能力：系指有关能力的要求与准则，在能力方面包括五个控制基准。 ⑷ 监督与学习：系指有关组织发展的准则，在监督与学习方面包括五个控制基准。

85 3.6 了解内部控制发展的里程碑标志 7. COBIT报告与信息技术的控制目标 8. 《萨班斯－奥克斯利法案》
9. COSO的《企业风险管理整合框架》