內(nèi)部控制整合框架課件

2013版內(nèi)部控制整合框架最新變化2013版內(nèi)部控制整合框架最新變化1COSO內(nèi)部控制報告回顧歷年COSO發(fā)布的內(nèi)部控制報告文件：1992200620092013COSO內(nèi)部控制報告回顧歷年COSO發(fā)布的內(nèi)部控制報告文件：22013版內(nèi)部控制整合框架組成#1–內(nèi)部控制整合框架（2013版）共3卷:整體概覽內(nèi)部控制整合框架及附錄評價內(nèi)部控制有效性的工具及模板內(nèi)容包括了:內(nèi)部控制的定義內(nèi)部控制目標(biāo)內(nèi)部控制五大要素及17項原則內(nèi)部控制有效的要求2013版內(nèi)部控制整合框架組成#1–內(nèi)部控制整合框架（32013版內(nèi)部控制整合框架組成#2–財務(wù)報告內(nèi)部控制：方法和示例摘要演示了內(nèi)部控制原則應(yīng)用與財務(wù)報告內(nèi)部控制的相關(guān)方法和示例考慮到了過去20年企業(yè)內(nèi)外部經(jīng)營環(huán)境的變化提供了不同經(jīng)營主體的實(shí)施案例：包括上市公司、私營企業(yè)、非營利性組織和政府機(jī)構(gòu)與2013版本的框架相一致2013版內(nèi)部控制整合框架組成#2–財務(wù)報告內(nèi)部控制：4內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：編制員工手冊并進(jìn)行宣貫設(shè)立專門部門或崗位負(fù)責(zé)道德價值觀對應(yīng)流程：企業(yè)文化管理、人力資源管理控制環(huán)境原則1：恪守誠信并樹立正確的道德價值觀關(guān)注要點(diǎn)：高級管理層樹立了誠信的道德價值觀并傳遞給整個公司制定了明確的員工守則評價員工是否準(zhǔn)守了守則，并對違規(guī)情況進(jìn)行及時處理企業(yè)需要：確定董事會與管理層權(quán)限定期對內(nèi)部控制有效性進(jìn)行監(jiān)督并報告給董事會對應(yīng)流程：治理架構(gòu)、授權(quán)管理、內(nèi)控審計原則2：董事會獨(dú)立于管理層，對內(nèi)部控制有效性進(jìn)行監(jiān)督關(guān)注要點(diǎn)：明確了董事會與管理層各自的權(quán)責(zé)董事會獨(dú)立于管理層并具有勝任能力、并保持獨(dú)立性董事會對內(nèi)部控制有效性進(jìn)行監(jiān)督內(nèi)部控制整合框架（2013版）要點(diǎn)企業(yè)需要：控制環(huán)境原則1：5企業(yè)需要：有健全的組織架構(gòu)圖及匯報路險有合理的授權(quán)體系表及不相容職責(zé)表對應(yīng)流程：組織架構(gòu)、授權(quán)管理控制環(huán)境原則3：管理層建立健全企業(yè)架構(gòu)、匯報路徑、合理的授權(quán)于責(zé)任等機(jī)制關(guān)注要點(diǎn)：建全了組織架構(gòu)，明確匯報路徑合理的授權(quán)，并承擔(dān)對應(yīng)的責(zé)任不過度授權(quán)，不相容職責(zé)有效分離企業(yè)需要：制定一整套人力資源政策與制度；加強(qiáng)員工培訓(xùn)、輪崗；制定崗位繼任計劃對應(yīng)流程：人力資源管理原則4：企業(yè)制定完善的政策吸引、發(fā)展、保留人才關(guān)注要點(diǎn)：制定了相關(guān)的政策與制度關(guān)注員工的勝任能力，并持續(xù)改進(jìn)不斷吸引、發(fā)展、保留人才制定了崗位繼任計劃內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制環(huán)境原則3：管理層建立健全企業(yè)架構(gòu)、匯報路徑、6企業(yè)需要：管理層簽署聲明書、制定相應(yīng)績效考核指標(biāo)對應(yīng)流程：內(nèi)部控制評價、績效考核控制環(huán)境原則5：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，共同實(shí)現(xiàn)目標(biāo)關(guān)注要點(diǎn)：通過組織、權(quán)限及責(zé)任分工明確每名員工的責(zé)任制定了績效衡量以及激勵懲處機(jī)制在組織內(nèi)部形成遵守內(nèi)部控制的壓力內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制環(huán)境原則5：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，7企業(yè)需要：有對應(yīng)的目標(biāo)體系風(fēng)險評估原則6：有清晰的目標(biāo)，并根據(jù)目標(biāo)識別及評價風(fēng)險關(guān)注要點(diǎn)：設(shè)置了明確的、相關(guān)的目標(biāo)（包括經(jīng)營目標(biāo)、報告目標(biāo)及合規(guī)目標(biāo)）企業(yè)需要：制定一整完善的風(fēng)險評估流程建立風(fēng)險數(shù)據(jù)庫建立風(fēng)險應(yīng)對矩陣對應(yīng)流程：風(fēng)險評估及應(yīng)對原則7：對風(fēng)險進(jìn)行全范圍的識別與分析，并決定如何管理風(fēng)險關(guān)注要點(diǎn)：有適當(dāng)?shù)墓芾韺訁⑴c整個過程風(fēng)險評估過程包括總部、各部門、業(yè)務(wù)單元、事業(yè)部、下屬分子公司等全部實(shí)體考慮內(nèi)部及外部的風(fēng)險因素評估風(fēng)險的重要性制定風(fēng)險應(yīng)對策略內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：風(fēng)險評估原則6：有清晰的目標(biāo)，并根據(jù)目標(biāo)識別及評價8企業(yè)需要：將舞弊風(fēng)險（或廉政風(fēng)險）作為專項風(fēng)險來識別；設(shè)立舉報及舉報人保護(hù)機(jī)制對應(yīng)流程：風(fēng)險評估、內(nèi)部信息溝通風(fēng)險評估原則8：評估風(fēng)險的過程中考慮舞弊的可能性關(guān)注要點(diǎn)：考慮舞弊發(fā)生的各種可能性評估舞弊的動機(jī)和壓力評估舞弊的機(jī)會大小評估對待舞弊的態(tài)度及自我合理化傾向企業(yè)需要：定期開展內(nèi)控自我評價及內(nèi)控審計及時更新內(nèi)控體系文檔對應(yīng)流程：內(nèi)控自我評價、內(nèi)控審計原則9：識別并評價可能對內(nèi)控體系造成較大影響的變化關(guān)注要點(diǎn)：評估外部環(huán)境變化帶來的影響評估經(jīng)營模式變化帶來的影響評估管理層變動帶來的影響內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：風(fēng)險評估原則8：評估風(fēng)險的過程中考慮舞弊的可能性關(guān)9企業(yè)需要：確定風(fēng)險應(yīng)對策略，根據(jù)風(fēng)險應(yīng)對策略制定風(fēng)險應(yīng)對方案編制風(fēng)險控制矩陣及流程圖編制不相容職責(zé)分離表對應(yīng)流程：ALl控制活動原則10：選擇并開展控制活動，將風(fēng)險降低至可接受水平關(guān)注要點(diǎn)：控制活動要與風(fēng)險評估結(jié)果相適應(yīng)確定與控制活動相關(guān)的管理流程在選擇和實(shí)施控制活動時考慮企業(yè)特有因素采取不同類型的控制活動降低風(fēng)險確保不相容職責(zé)分離企業(yè)需要：針對信息系統(tǒng)開發(fā)及運(yùn)行設(shè)計對應(yīng)控制活動對信息系統(tǒng)日常運(yùn)行進(jìn)行監(jiān)控開展信息系統(tǒng)專項審計對應(yīng)流程：信息系統(tǒng)開發(fā)信息系統(tǒng)運(yùn)行維護(hù)原則11：針對信息技術(shù)并開展一般控制關(guān)注要點(diǎn)：確定獨(dú)立于信息系統(tǒng)運(yùn)行的信息系統(tǒng)一般控制建立相關(guān)的基礎(chǔ)架構(gòu)的控制活動建立相關(guān)的信息安全管理控制活動建立相關(guān)的信息系統(tǒng)購買、開發(fā)、運(yùn)行維護(hù)控制活動內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制活動原則10：選擇并開展控制活動，將風(fēng)險降低至10企業(yè)需要：編制政策、程序、流程及內(nèi)控手冊明確每項控制活動的責(zé)任人監(jiān)督及考核控制活動的執(zhí)行情況注意部門間的配合對應(yīng)流程：ALl控制活動原則12：通過政策、程序來實(shí)施控制活動關(guān)注要點(diǎn)：建立相關(guān)的政策和程序來落實(shí)控制活動建立政策和程序執(zhí)行的責(zé)任和義務(wù)機(jī)制使用有勝任能力的員工來來執(zhí)行控制活動注意控制活動執(zhí)行的及時性定期維護(hù)并更新政策及程序內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制活動原則12：通過政策、程序來實(shí)施控制活動關(guān)注11企業(yè)需要：確定信息需求，歸集信息渠道制定有效的信息溝通流程持續(xù)評價信息溝通的有效性對應(yīng)流程：信息與溝通信息與溝通原則13：獲取或生成并使用相關(guān)的、有質(zhì)量的信息來支持內(nèi)部控制正常運(yùn)作關(guān)注要點(diǎn)：識別各環(huán)節(jié)的信息需求建立內(nèi)部、外部數(shù)據(jù)獲取渠道將相關(guān)數(shù)據(jù)處理成有用的信息確保信息處理過程的有效衡量信息獲取的成本與收益企業(yè)需要：與員工溝通崗位職責(zé)、進(jìn)行控制活動宣貫；核心的要求可以讓員工簽字確認(rèn)；建立匿名投訴熱線對應(yīng)流程：信息與溝通原則14：將企業(yè)目標(biāo)和內(nèi)部控制職責(zé)在內(nèi)的必要信息傳達(dá)給每位員工關(guān)注要點(diǎn)：將內(nèi)部控制的相關(guān)信息與每名員工進(jìn)行溝通將內(nèi)部控制相關(guān)信息與董事會進(jìn)行溝通建立獨(dú)立的應(yīng)急性的溝通渠道選擇合適的溝通方式內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：信息與溝通原則13：獲取或生成并使用相關(guān)的、有質(zhì)量12企業(yè)需要：建立與股東、顧客、供應(yīng)商、監(jiān)管機(jī)構(gòu)、財務(wù)分析師等外部相關(guān)方的溝通機(jī)制對應(yīng)流程：信息與溝通信息與溝通原則15：企業(yè)與外部相關(guān)方就影響內(nèi)部控制發(fā)揮作用的事宜進(jìn)行溝通關(guān)注要點(diǎn)：與外部利益相關(guān)方進(jìn)行溝通在內(nèi)部信息傳遞渠道上增加外部的接入端口提供獨(dú)立的應(yīng)急性的溝通渠道選擇合適的溝通方式內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：信息與溝通原則15：企業(yè)與外部相關(guān)方就影響內(nèi)部控制13企業(yè)需要：設(shè)計嵌入管理流程的持續(xù)評價工具根據(jù)風(fēng)險來開展專項評價活動聘請外部機(jī)構(gòu)來進(jìn)行評價對應(yīng)流程：內(nèi)部控制自我評價內(nèi)部控制審計監(jiān)控活動原則16：實(shí)施持續(xù)和專項的評價關(guān)注要點(diǎn)：考慮持續(xù)和專項評價的方案在選擇持續(xù)和專項評價時考慮企業(yè)管理活動的變化程度選用具有相關(guān)知識的人進(jìn)行評價持續(xù)性評價與管理流程相融合定期開展獨(dú)立的評價保證客觀性根據(jù)風(fēng)險大小調(diào)整評價的頻率

企業(yè)需要：確定內(nèi)部控制缺陷，并與相關(guān)方進(jìn)行溝通對內(nèi)部控制缺陷的整改情況進(jìn)行跟蹤對應(yīng)流程：內(nèi)部控制自我評價內(nèi)部控制審計原則17：及時評價內(nèi)部控制缺陷，并視情況與負(fù)責(zé)整改的責(zé)任方劑管理層、治理層溝通關(guān)注要點(diǎn)：管理層或董事會成員來評估持續(xù)和單獨(dú)評價的結(jié)果將內(nèi)部控制缺陷與負(fù)責(zé)整改的相關(guān)管理層溝通將內(nèi)部控制缺陷與高級管理人員及董事會溝通對整改活動進(jìn)行監(jiān)控內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：監(jiān)控活動原則16：實(shí)施持續(xù)和專項的評價關(guān)注要點(diǎn)：企14內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價內(nèi)部控制有效性的評價分為公司層面評價及業(yè)務(wù)層面評價：公司層面評價對公司的控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控活動等內(nèi)部控制五大要素分別進(jìn)行評價，并匯總評價結(jié)果，對整體內(nèi)部控制有效性進(jìn)行評價業(yè)務(wù)層面評價

對各業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)進(jìn)行評價，通過穿行測試、抽樣測試等方法評價其設(shè)計及執(zhí)行的有效性。業(yè)務(wù)層面評價結(jié)果可以用來支撐公司層面評價的結(jié)論內(nèi)部控制整合框架（2013版）要點(diǎn)內(nèi)部控制有效性的評價分為公15內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價COSO框架提供的是公司層面評價的方法和模板，總體評價過程如下：先按照17項原則進(jìn)行單獨(dú)評價匯總評估結(jié)果，形成對五大要素的評價結(jié)論匯總五大要素評估結(jié)果，對內(nèi)部控制整體有效性進(jìn)行評價內(nèi)部控制整合框架（2013版）要點(diǎn)COSO框架提供的是公司層16內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價內(nèi)部控制整體有效的條件：五大要素及17項原則單獨(dú)有效五要素間共同運(yùn)行，可以協(xié)同發(fā)揮作用（流程間借口沒有沖突）內(nèi)部控制整合框架（2013版）要點(diǎn)內(nèi)部控制整體有效的條件：五17內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板1：整體風(fēng)險有效性評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板1：整體風(fēng)險有效性評價18內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板2：各要素評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板2：各要素評價模板19內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板2：各要素評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板2：各要素評價模板20內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板2：各要素評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板2：各要素評價模板21內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板3：各原則評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板3：各原則評價模板22內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板3：各原則評價模板內(nèi)部控制整合框架（2013版）要點(diǎn)模板3：各原則評價模板23內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價模板4：缺陷匯總表內(nèi)部控制整合框架（2013版）要點(diǎn)模板4：缺陷匯總表24新框架與全面風(fēng)險管理框架的區(qū)別整體變化情況：增加“戰(zhàn)略目標(biāo)”，戰(zhàn)略是可以優(yōu)化的將風(fēng)險評估分解為“目標(biāo)設(shè)定、事項識別、風(fēng)險評估、風(fēng)險應(yīng)對”目標(biāo)設(shè)定在內(nèi)部控制框架中是先決條件增加了風(fēng)險的另一面：“機(jī)會”新框架與全面風(fēng)險管理框架的區(qū)別整體變化情況：增加“戰(zhàn)略目標(biāo)”25新框架與全面風(fēng)險管理框架的區(qū)別控制環(huán)境增加了“確定風(fēng)險管理基調(diào)、風(fēng)險管理文化、風(fēng)險管理偏好及承受度”風(fēng)險評估強(qiáng)調(diào)了風(fēng)險的“機(jī)會”屬性；風(fēng)險組合觀其他三要素?zé)o變化具體內(nèi)容主要變化：新框架與全面風(fēng)險管理框架的區(qū)別控制環(huán)境增加了“確定風(fēng)險管理基262013版內(nèi)部控制整合框架最新變化2013版內(nèi)部控制整合框架最新變化27COSO內(nèi)部控制報告回顧歷年COSO發(fā)布的內(nèi)部控制報告文件：1992200620092013COSO內(nèi)部控制報告回顧歷年COSO發(fā)布的內(nèi)部控制報告文件：282013版內(nèi)部控制整合框架組成#1–內(nèi)部控制整合框架（2013版）共3卷:整體概覽內(nèi)部控制整合框架及附錄評價內(nèi)部控制有效性的工具及模板內(nèi)容包括了:內(nèi)部控制的定義內(nèi)部控制目標(biāo)內(nèi)部控制五大要素及17項原則內(nèi)部控制有效的要求2013版內(nèi)部控制整合框架組成#1–內(nèi)部控制整合框架（292013版內(nèi)部控制整合框架組成#2–財務(wù)報告內(nèi)部控制：方法和示例摘要演示了內(nèi)部控制原則應(yīng)用與財務(wù)報告內(nèi)部控制的相關(guān)方法和示例考慮到了過去20年企業(yè)內(nèi)外部經(jīng)營環(huán)境的變化提供了不同經(jīng)營主體的實(shí)施案例：包括上市公司、私營企業(yè)、非營利性組織和政府機(jī)構(gòu)與2013版本的框架相一致2013版內(nèi)部控制整合框架組成#2–財務(wù)報告內(nèi)部控制：30內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：編制員工手冊并進(jìn)行宣貫設(shè)立專門部門或崗位負(fù)責(zé)道德價值觀對應(yīng)流程：企業(yè)文化管理、人力資源管理控制環(huán)境原則1：恪守誠信并樹立正確的道德價值觀關(guān)注要點(diǎn)：高級管理層樹立了誠信的道德價值觀并傳遞給整個公司制定了明確的員工守則評價員工是否準(zhǔn)守了守則，并對違規(guī)情況進(jìn)行及時處理企業(yè)需要：確定董事會與管理層權(quán)限定期對內(nèi)部控制有效性進(jìn)行監(jiān)督并報告給董事會對應(yīng)流程：治理架構(gòu)、授權(quán)管理、內(nèi)控審計原則2：董事會獨(dú)立于管理層，對內(nèi)部控制有效性進(jìn)行監(jiān)督關(guān)注要點(diǎn)：明確了董事會與管理層各自的權(quán)責(zé)董事會獨(dú)立于管理層并具有勝任能力、并保持獨(dú)立性董事會對內(nèi)部控制有效性進(jìn)行監(jiān)督內(nèi)部控制整合框架（2013版）要點(diǎn)企業(yè)需要：控制環(huán)境原則1：31企業(yè)需要：有健全的組織架構(gòu)圖及匯報路險有合理的授權(quán)體系表及不相容職責(zé)表對應(yīng)流程：組織架構(gòu)、授權(quán)管理控制環(huán)境原則3：管理層建立健全企業(yè)架構(gòu)、匯報路徑、合理的授權(quán)于責(zé)任等機(jī)制關(guān)注要點(diǎn)：建全了組織架構(gòu)，明確匯報路徑合理的授權(quán)，并承擔(dān)對應(yīng)的責(zé)任不過度授權(quán)，不相容職責(zé)有效分離企業(yè)需要：制定一整套人力資源政策與制度；加強(qiáng)員工培訓(xùn)、輪崗；制定崗位繼任計劃對應(yīng)流程：人力資源管理原則4：企業(yè)制定完善的政策吸引、發(fā)展、保留人才關(guān)注要點(diǎn)：制定了相關(guān)的政策與制度關(guān)注員工的勝任能力，并持續(xù)改進(jìn)不斷吸引、發(fā)展、保留人才制定了崗位繼任計劃內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制環(huán)境原則3：管理層建立健全企業(yè)架構(gòu)、匯報路徑、32企業(yè)需要：管理層簽署聲明書、制定相應(yīng)績效考核指標(biāo)對應(yīng)流程：內(nèi)部控制評價、績效考核控制環(huán)境原則5：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，共同實(shí)現(xiàn)目標(biāo)關(guān)注要點(diǎn)：通過組織、權(quán)限及責(zé)任分工明確每名員工的責(zé)任制定了績效衡量以及激勵懲處機(jī)制在組織內(nèi)部形成遵守內(nèi)部控制的壓力內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制環(huán)境原則5：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，33企業(yè)需要：有對應(yīng)的目標(biāo)體系風(fēng)險評估原則6：有清晰的目標(biāo)，并根據(jù)目標(biāo)識別及評價風(fēng)險關(guān)注要點(diǎn)：設(shè)置了明確的、相關(guān)的目標(biāo)（包括經(jīng)營目標(biāo)、報告目標(biāo)及合規(guī)目標(biāo)）企業(yè)需要：制定一整完善的風(fēng)險評估流程建立風(fēng)險數(shù)據(jù)庫建立風(fēng)險應(yīng)對矩陣對應(yīng)流程：風(fēng)險評估及應(yīng)對原則7：對風(fēng)險進(jìn)行全范圍的識別與分析，并決定如何管理風(fēng)險關(guān)注要點(diǎn)：有適當(dāng)?shù)墓芾韺訁⑴c整個過程風(fēng)險評估過程包括總部、各部門、業(yè)務(wù)單元、事業(yè)部、下屬分子公司等全部實(shí)體考慮內(nèi)部及外部的風(fēng)險因素評估風(fēng)險的重要性制定風(fēng)險應(yīng)對策略內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：風(fēng)險評估原則6：有清晰的目標(biāo)，并根據(jù)目標(biāo)識別及評價34企業(yè)需要：將舞弊風(fēng)險（或廉政風(fēng)險）作為專項風(fēng)險來識別；設(shè)立舉報及舉報人保護(hù)機(jī)制對應(yīng)流程：風(fēng)險評估、內(nèi)部信息溝通風(fēng)險評估原則8：評估風(fēng)險的過程中考慮舞弊的可能性關(guān)注要點(diǎn)：考慮舞弊發(fā)生的各種可能性評估舞弊的動機(jī)和壓力評估舞弊的機(jī)會大小評估對待舞弊的態(tài)度及自我合理化傾向企業(yè)需要：定期開展內(nèi)控自我評價及內(nèi)控審計及時更新內(nèi)控體系文檔對應(yīng)流程：內(nèi)控自我評價、內(nèi)控審計原則9：識別并評價可能對內(nèi)控體系造成較大影響的變化關(guān)注要點(diǎn)：評估外部環(huán)境變化帶來的影響評估經(jīng)營模式變化帶來的影響評估管理層變動帶來的影響內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：風(fēng)險評估原則8：評估風(fēng)險的過程中考慮舞弊的可能性關(guān)35企業(yè)需要：確定風(fēng)險應(yīng)對策略，根據(jù)風(fēng)險應(yīng)對策略制定風(fēng)險應(yīng)對方案編制風(fēng)險控制矩陣及流程圖編制不相容職責(zé)分離表對應(yīng)流程：ALl控制活動原則10：選擇并開展控制活動，將風(fēng)險降低至可接受水平關(guān)注要點(diǎn)：控制活動要與風(fēng)險評估結(jié)果相適應(yīng)確定與控制活動相關(guān)的管理流程在選擇和實(shí)施控制活動時考慮企業(yè)特有因素采取不同類型的控制活動降低風(fēng)險確保不相容職責(zé)分離企業(yè)需要：針對信息系統(tǒng)開發(fā)及運(yùn)行設(shè)計對應(yīng)控制活動對信息系統(tǒng)日常運(yùn)行進(jìn)行監(jiān)控開展信息系統(tǒng)專項審計對應(yīng)流程：信息系統(tǒng)開發(fā)信息系統(tǒng)運(yùn)行維護(hù)原則11：針對信息技術(shù)并開展一般控制關(guān)注要點(diǎn)：確定獨(dú)立于信息系統(tǒng)運(yùn)行的信息系統(tǒng)一般控制建立相關(guān)的基礎(chǔ)架構(gòu)的控制活動建立相關(guān)的信息安全管理控制活動建立相關(guān)的信息系統(tǒng)購買、開發(fā)、運(yùn)行維護(hù)控制活動內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制活動原則10：選擇并開展控制活動，將風(fēng)險降低至36企業(yè)需要：編制政策、程序、流程及內(nèi)控手冊明確每項控制活動的責(zé)任人監(jiān)督及考核控制活動的執(zhí)行情況注意部門間的配合對應(yīng)流程：ALl控制活動原則12：通過政策、程序來實(shí)施控制活動關(guān)注要點(diǎn)：建立相關(guān)的政策和程序來落實(shí)控制活動建立政策和程序執(zhí)行的責(zé)任和義務(wù)機(jī)制使用有勝任能力的員工來來執(zhí)行控制活動注意控制活動執(zhí)行的及時性定期維護(hù)并更新政策及程序內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：控制活動原則12：通過政策、程序來實(shí)施控制活動關(guān)注37企業(yè)需要：確定信息需求，歸集信息渠道制定有效的信息溝通流程持續(xù)評價信息溝通的有效性對應(yīng)流程：信息與溝通信息與溝通原則13：獲取或生成并使用相關(guān)的、有質(zhì)量的信息來支持內(nèi)部控制正常運(yùn)作關(guān)注要點(diǎn)：識別各環(huán)節(jié)的信息需求建立內(nèi)部、外部數(shù)據(jù)獲取渠道將相關(guān)數(shù)據(jù)處理成有用的信息確保信息處理過程的有效衡量信息獲取的成本與收益企業(yè)需要：與員工溝通崗位職責(zé)、進(jìn)行控制活動宣貫；核心的要求可以讓員工簽字確認(rèn)；建立匿名投訴熱線對應(yīng)流程：信息與溝通原則14：將企業(yè)目標(biāo)和內(nèi)部控制職責(zé)在內(nèi)的必要信息傳達(dá)給每位員工關(guān)注要點(diǎn)：將內(nèi)部控制的相關(guān)信息與每名員工進(jìn)行溝通將內(nèi)部控制相關(guān)信息與董事會進(jìn)行溝通建立獨(dú)立的應(yīng)急性的溝通渠道選擇合適的溝通方式內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：信息與溝通原則13：獲取或生成并使用相關(guān)的、有質(zhì)量38企業(yè)需要：建立與股東、顧客、供應(yīng)商、監(jiān)管機(jī)構(gòu)、財務(wù)分析師等外部相關(guān)方的溝通機(jī)制對應(yīng)流程：信息與溝通信息與溝通原則15：企業(yè)與外部相關(guān)方就影響內(nèi)部控制發(fā)揮作用的事宜進(jìn)行溝通關(guān)注要點(diǎn)：與外部利益相關(guān)方進(jìn)行溝通在內(nèi)部信息傳遞渠道上增加外部的接入端口提供獨(dú)立的應(yīng)急性的溝通渠道選擇合適的溝通方式內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：信息與溝通原則15：企業(yè)與外部相關(guān)方就影響內(nèi)部控制39企業(yè)需要：設(shè)計嵌入管理流程的持續(xù)評價工具根據(jù)風(fēng)險來開展專項評價活動聘請外部機(jī)構(gòu)來進(jìn)行評價對應(yīng)流程：內(nèi)部控制自我評價內(nèi)部控制審計監(jiān)控活動原則16：實(shí)施持續(xù)和專項的評價關(guān)注要點(diǎn)：考慮持續(xù)和專項評價的方案在選擇持續(xù)和專項評價時考慮企業(yè)管理活動的變化程度選用具有相關(guān)知識的人進(jìn)行評價持續(xù)性評價與管理流程相融合定期開展獨(dú)立的評價保證客觀性根據(jù)風(fēng)險大小調(diào)整評價的頻率

企業(yè)需要：確定內(nèi)部控制缺陷，并與相關(guān)方進(jìn)行溝通對內(nèi)部控制缺陷的整改情況進(jìn)行跟蹤對應(yīng)流程：內(nèi)部控制自我評價內(nèi)部控制審計原則17：及時評價內(nèi)部控制缺陷，并視情況與負(fù)責(zé)整改的責(zé)任方劑管理層、治理層溝通關(guān)注要點(diǎn)：管理層或董事會成員來評估持續(xù)和單獨(dú)評價的結(jié)果將內(nèi)部控制缺陷與負(fù)責(zé)整改的相關(guān)管理層溝通將內(nèi)部控制缺陷與高級管理人員及董事會溝通對整改活動進(jìn)行監(jiān)控內(nèi)部控制整合框架（2013版）要點(diǎn)——17條原則企業(yè)需要：監(jiān)控活動原則16：實(shí)施持續(xù)和專項的評價關(guān)注要點(diǎn)：企40內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價內(nèi)部控制有效性的評價分為公司層面評價及業(yè)務(wù)層面評價：公司層面評價對公司的控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控活動等內(nèi)部控制五大要素分別進(jìn)行評價，并匯總評價結(jié)果，對整體內(nèi)部控制有效性進(jìn)行評價業(yè)務(wù)層面評價

對各業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)進(jìn)行評價，通過穿行測試、抽樣測試等方法評價其設(shè)計及執(zhí)行的有效性。業(yè)務(wù)層面評價結(jié)果可以用來支撐公司層面評價的結(jié)論內(nèi)部控制整合框架（2013版）要點(diǎn)內(nèi)部控制有效性的評價分為公41內(nèi)部控制整合框架（2013版）要點(diǎn)——內(nèi)部控制有效性評價COSO框架提供的是公司層面評價的方法和模板，總體評價過程如下：先按照17項原則進(jìn)行