COSO内部控制管理框架(详细版)
COSO内部控制框架
人力资源政策和实 务
环境差异
正式与非正 式、保守和激 进相结合
报告关系 集权/分权、 矩阵/地理
授权、责 任性
有资格、培训、补 偿、激励和惩罚
管理偏好、价 值判断、管理 方式
风险评估 1. 风险识别与分析 感知风险和识别风险 潜在风险 风险具有可变性 2. 风险评估方法 定性分析法 (1)标准分析法
风险分析调查法
调查项目
调 查 内 容
备注
业绩
1.现状:好、一般、不好 2.前景:增长、下降、稳定、不明 3.交易对象、行业前景:增长、下降、稳定、不明 4.对外资信:高、一般、低、不明
同行业比
1.规模、地位:大、中、小、独立 2.同行业间的竞争:激烈、一般、无 3.销售实力的基础:销路、主顾、商标、商品组织、广告、特殊销售法 4.生产实力的基础:特殊技术、特殊设备、特殊材料、特殊产品、特殊生产组织
内部控制环境综合评价图
风险管理哲学
风险偏好
风险文化
董事会
正直性和道德观念
胜任能力的承诺
价值、语言和 行为方面的沟 通
价值、定 性化、定 量化与战 略相连
独立性、 积极性、 参与性
独立性、 积极性、 参与性
行为标准、必备条 件、首席执行官、 示范、激励措施
知识、技能、 平衡
管理哲学和经 营方式
组织结构
(四)应充分考虑的重要概念和重要特征: 1 .人员素质 2 .职能分离 3 .经济业务的执行 4 .经济业务的记录 5 .接触资产 6 .会计记录和资产的核对
第二节 内部控制要素
《最高审计机关国际组织内部控制准则》 控制要素:组织计划、管理的态度、方法和程序、评量措施 美国职业会计师协会审计标准委员会 《审计标准文告》55号1988颁布,1990年生效 控制环境、控制程序、会计制度 《审计准则说明书》78号 控制环境、风险评价、内部控制活动、信息交流、监督
COSO内部控制整合框架解读
COSO内部控制整合框架解读2篇COSO内部控制整合框架解读(上)内部控制是企业管理中非常重要的一个环节,对于保障企业的财务安全、有效运作和持续发展具有重要意义。
而COSO(Committee of Sponsoring Organizations of the Treadway Commission)的内部控制整合框架为企业提供了一个全面而系统的内部控制指南,被广泛应用于各个行业和企业。
本文将对COSO内部控制整合框架进行解读,帮助读者更好地理解和应用于实践。
COSO内部控制整合框架包含了五个组件,分别是控制环境、风险评估、控制活动、信息与沟通以及监督。
这些组件相互之间联系紧密,构成了一个完整的内部控制体系。
首先,控制环境是内部控制的基础,它涉及到企业的内部文化、道德伦理、风险意识和管理风格。
在建立健全的控制环境时,企业需要设立明确的目标,并向各级人员传达这些目标的重要性和整体意义,以激发员工的积极性和责任心。
此外,企业还应制定相关政策和程序,并建立有效的内部控制沟通机制,确保员工能够理解和遵循内部控制要求。
风险评估是COSO内部控制整合框架的第二个组件。
在风险评估过程中,企业需要确定可能影响实现目标的各种内部和外部风险,并进行风险评估和分类。
通过对风险的评估,企业可以制定相应的控制措施和应对策略,减小风险带来的影响。
此外,风险评估还可以帮助企业优化资源配置,提高运作效率,促进持续发展。
控制活动是COSO内部控制整合框架的核心组件。
控制活动涉及到制定和实施各种控制措施,以确保企业运作符合预期目标并遵守相关法律法规。
在制定控制措施时,企业需要根据风险评估的结果确定相应的控制策略,并确保控制措施的合理性、有效性和可操作性。
此外,企业还应建立相应的制度和机制来监督和评估控制措施的执行情况,及时发现和纠正问题。
信息与沟通是COSO内部控制整合框架的第四个组件。
信息和沟通的有效性对于内部控制的实施和运作至关重要。
COSO框架–内部控制框架
COSO框架–内部控制框架COSO框架-内部控制框架在当今各行业中,内部控制是保障企业规范运营和权益保护的重要手段。
COSO框架(内部控制—整体框架)是企业内部控制的全球公认标准,旨在帮助企业制定和维护一个有效的内部控制系统。
本文将深入探讨COSO框架的核心组成、实施要点以及一系列不同产业应用的案例分析。
一、COSO框架介绍COSO框架是一个基于企业目标的全面内部控制环境框架,由美国国际专业会计师协会(AICPA)旗下的企业管理机构COSO(内部控制-整体框架)提出并开发。
该框架侧重于企业内部控制的重要性,以及它们如何通过制定和执行一系列目标导向的控制措施来提高运营效率和减少风险。
二、COSO框架的核心组成1. 控制环境控制环境是内部控制的基础,是指领导层对内部控制的态度、原则和理念,并通过明确的组织结构、职责分配以及道德和道德规范的建立来确保内部控制的有效执行。
2. 风险评估风险评估是指企业确定和分析存在的内部和外部风险,以便制定适当的控制目标和措施。
通过对风险的全面评估,企业可以识别潜在的威胁并采取相应的预防措施。
3. 控制活动控制活动是指制定和执行一系列控制措施,以确保事务按照企业的政策和程序进行。
这包括审计、审批、核查和处理等一系列的过程,以及相关的记录和报告机制。
4. 信息与沟通信息与沟通是指确保内部和外部信息在企业内部流动的有效和透明。
这包括确保准确完整的信息,以及及时有效的内部和外部沟通机制。
5. 监督监督是指领导层监督内部控制的有效性和合规性。
这包括内部审计、独立董事会以及其他内部和外部监督机构。
三、COSO框架的实施要点1. 领导层的参与COSO框架的实施需要企业领导层的参与和支持,他们应当树立榜样,传递内部控制的重要性,并在组织内部制定明确的控制目标。
2. 内部控制意识的提升企业应该加强对员工的内部控制培训和教育,提高员工的风险意识和控制意识。
通过定期的内部控制培训和沟通,员工能够更好地理解和遵守内部控制制度。
COSO内部控制整体框架_内容_理论贡献和借鉴
COSO内部控制整体框架:内容、理论贡献和借鉴美国COSO委员会(CommitteeofSponsoringOrganizationsoftheTread-wayCommission)提出的COSO报告极大地促进和丰富了内部控制实践活动。
它强调企业应加强对业务流程的动态控制,培育先进的企业内部控制环境文化,有效评估风险状况,建立科学的信息传导与沟通机制,加强监督,强调控制活动的效率、效果。
它将内部控制的理论和实践都向前推进了一大步,给理论界、实业界以广泛、深刻的启示,对我国企业完善内部控制有广泛而深刻的借鉴价值。
一、COSO报告内部框架综述(一)内部控制的定义和目标COSO是由美国反对虚假财务报告委员会(NCFR)发起的,它是一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。
1992年,COSO委员会提出报告《内部控制—整体框架》(InternalControl-Integrat-edFramework),1994年进行了增补。
该报告对内部控制作出如下定义:内部控制是由企业董事会、经理层和其他员工实施的,旨在为下列目标提供合理保证:(1)营运的效率和效果;(2)财务报告的可靠性;(3)相关法令的遵循性。
这个定义明确了内部控制的三大目标。
1.合法性目标。
设立内部控制的目的就是要企业合法经营,要求企业遵守现行法规是保证市场经济秩序有条不紊进行的前提,也是企业安全生存和健康发展的需要。
2.可靠性目标。
提高会计信息质量和财务报告的可信赖程度,是为了保护投资人的利益而设定的内部控制目标,其最终也是为了维护国家宏观经济和企业的长远利益。
3.效益性目标。
内部控制要为企业提高经营效率和效果服务,规范的现代企业一般是在前两个目标实现的基础上追求效益性目标的实现。
(二)内部控制的五个要素COSO报告认为,为了实现内部控制的有效性,为上述三个目标提供保证,需要下列五个要素的支持:控制环境(Controlenvironment)、风险评估(Riskassessment)、控制活动(Controlactivities)、信息和沟通(Informationandcommunication)和监督(Monitoring)。
COSO内部控制体系及应用
COSO内部控制体系及应用介绍COSO(Committee of Sponsoring Organizations of the Treadway Commission)是1992年成立的非营利组织,致力于通过提供可行的共同意见,促进和提高民营和公共组织的组织绩效和透明度。
COSO内部控制框架是该组织最重要的成果之一,广泛应用于各种组织中,帮助它们设计和实施有效的内部控制体系。
本文将介绍COSO内部控制体系的基本概念和要素,以及如何在实际应用过程中使用该框架来提高组织的内部控制水平。
COSO内部控制体系概述COSO内部控制体系是一个完整的指导性框架,旨在帮助组织实现其目标,同时评估和管理与实现这些目标相关的各种风险。
该框架由五个相互关联的组成要素构成,这些要素共同工作以实现组织的目标。
这五个组成要素如下:1.控制环境(Control Environment):控制环境是指组织对内部控制的整体态度和氛围。
一个良好的控制环境可以促进员工对内部控制的重视,并提供适当的资源和支持。
2.风险评估(Risk Assessment):风险评估是指组织对潜在风险进行识别、分析和评估的过程。
通过了解和评估风险,组织可以制定相应的控制措施来降低风险。
3.控制活动(Control Activities):控制活动是指组织实施的各种控制措施,包括指令和程序、审计和监控等。
这些控制活动旨在确保组织内部控制的有效性和合规性。
4.信息与沟通(Information and Communication):信息与沟通是指组织内部控制信息的收集、处理和传递方式。
有效的信息和沟通可以确保组织的内部控制能够及时获取和使用各种相关信息。
5.监控活动(Monitoring Activities):监控活动是指组织评估并监控内部控制的过程。
通过监控活动,组织可以发现和纠正内部控制中存在的问题,并及时采取相应的措施来提高内部控制的效力。
这五个要素相互关联,共同构成了一个完整的内部控制体系。
COSO--内部控制框架(doc 205页)
COSO--内部控制框架(doc 205页)《COSO—内部控制框架》目录管理层概述1总体构架111定义132控制环境233风险评估334控制活动495信息和沟通596监控697内部控制的局限798作用和职责83附录A学习本文的相关事项及背景知识93B方法体系99C对定义的看法和使用105D反馈意见111E术语119内部控制——整体构架➢管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。
内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。
内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。
内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。
鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。
内部控制日益被视为诸多潜在问题的解决方案。
什么是内部控制内部控制对不同的人有不同的含义。
这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。
由此造成的误解和期望值的差异往往给企业带来问题。
一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。
本文是针对管理层的需要和期望而写的。
本文对内部控制的定义服务于以下目的:确立一个满足各方需要通用的定义。
●提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。
内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:●经营的效果和效率●财务报告的可靠性●法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。
第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。
COSO内部控制整体框架(5要素)简介
COSO内部控制整体框架水门事件后,内部控制理论引起了美国各界的广泛重视。
然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。
90年代初成立的COSO(Committee of Sponsoring Organization),开创性地提出了一套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。
一、COSO内部控制整体框架的诞生1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。
美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。
随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。
财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。
美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。
1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting),即tread-way委员会。
Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。
Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。
因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。
1992年,COSO提出了《内部控制整体框架》报告,并在1994年进行了增补。
二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。
报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。
(完整版)COSO内部控制框架
COSO报告概述COSO是全国反对虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。
根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。
2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。
SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架")。
这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。
1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。
该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。
COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
COSO内部控制框架介绍
COSO介绍COSO是全国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写。
1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。
两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。
1992年9月,COSO 委员会发布《内部控制整合框架》,简称COSO报告,1994年进行了增补,中国的《企业内部控制配套指引》与此相似。
COSO框架1)COSO内部控制—整体框架反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。
1992年9月,COSO委员会提出了报告《内部控制———整体框架》(1994年进行了增补),即COSO内部控制框架。
COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。
COSO框架提出五个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这五个组成要素。
因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素:控制环境:控制环境是内部控制体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。
控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。
控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。
COSO内部控制框架要素详述(ppt 44页).ppt
COSO要素-风险评估
•风险评估是指识别和分析影响目标实现的风险,确定如何进行风 险管理的基础。
•关注点(参考分发材料):
COSO目标是内部控制的前提条 件
COSO定义的内部控制是:内部控制是由公司董事会、管理层和其他有关人员实施,为达到以下目标提供合 理保证而设计的程序(COSO及美国审计准则第319条):
经营的效果和效率
与公司的基本经营目标相关,包括业绩和赢利性目 标和资产的保护。
财务报告的可靠性
与财务报告的编制相关,包括公开的中期报告和财 务简报以及从报告提取的诸如收入等的财务数据
• 经营的效果和效率 • 财务报告的可靠性 • 法律和法规的遵从性
COSO 委员会
•“COSO,是自愿性的私人组织,致力于通过强化商 业道德、建立完善有效的内部控制和法人治理结构 以提高财务报告的质量。它从属于1985年成立的反 虚假财务报告委员会(也被称为Treadway委员会)。 COSO由美国注册会计师协会(AICPA)、内部审计协 会(IIA)、财务经理协会(FEI)、美国会计学会 (AAA)、管理会计学会(IMA)等多个专业团体组成。
• 在业绩考核中注意考虑违反政策和程序的情况,并依据其严重性, 对员工进行额外的培训或对相关人员进行处理。
COSO要素-控制环境(练习续)
• 在建立新的采购业务关系时,管理层应与供应商沟通公司的道德 标准和行为规范。管理层/内部审计人员执行商业行为审核,例如: 供应商付款、差旅费报告、公司车辆使用和产品和服务赠送。
监控 信息和沟通
coso框架的主要内容
coso框架的主要内容
COSO框架是指控制与内部审计框架(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)开发的一种管理框架,旨在帮助组织建立有效的内部控制体系。
COSO框架的主要内容包括:
1. 控制环境(Control Environment):指组织内部的控制文化和价值体系,包括组织的管理风险意识、道德价值观、人员背景和能力等。
2. 风险评估(Risk Assessment):指组织对内外部风险的识别、评估和应对措施的制定,以确保风险可控。
3. 控制活动(Control Activities):指组织内部制定的控制政策和程序,以确保风险得到适当的管理和控制。
4. 信息与沟通(Information and Communication):指组织内部的信息系统和沟通渠道,包括信息的收集、处理、传递和使用等,以支持内部控制的有效运作。
5. 监督(Monitoring):指组织对内部控制的监督和评估,包括内部审计、自我评估和外部审计等,以确保内部控制体系的持续有效性。
这些内容共同构成了COSO框架,可以帮助组织建立和维护一个有效
的内部控制体系,提高组织的运营效率和风险管理能力。
新版COSO框架完整版
原则四 企业制定完善旳政策吸引、发展、保 存人才
关注要点:
1. 制定了有关旳政策与制度 2. 关注员工旳胜任能力,并连续改善 3. 不断吸引、发展、保存人才 4. 制定了岗位继任计划
原则五 使员工各自担负起内部控制有关职责,共同 实现目旳
关注要点:
1、经过组织、权限及责任分工明确每名员工旳责任 2、 制定了绩效衡量以及鼓励惩处机制 3、 在组织内部形成遵守内部
关注要点:
1、拟定独立于信息系统运营旳信息系统一般控制 2、建立有关旳基础构架旳控制活动 3、建立有关旳信息安全管理控制活动 4、建立有关旳信息系统购置、开发、运营维护控制活
动
原则十二 组织经过合理旳政策制度和确保这些政策 制度切实执行旳流程程序,来实施控制活动
关注要点
1、建立有关旳政策和程序来落实控制活动 2、建立政策和程序执行旳责任和义务机制 3、使用有胜任能力旳员工来执行控制活动 4、注意控制活动执行旳及时性 5、定时维护并更新政策及程序
信息与沟通
原则十三 组织获取或生成,并使用有关、有质量旳 信息来支持内部控制发挥作用
关注要点:
1、辨认各环节旳信息需求 2、建立内部、外部数据获取渠道 3、将有关数据处理成有用旳信息 4、确保信息处理过程有效 5、衡量信息获取旳成本与收益
原则十四 内部控制旳目旳和责任在内旳必要信息传 达给每位员工
新COSO框架对五要素旳分解不是按照子要素来 进行旳,而是作为“原则”来呈现旳,即强调“基于 原则”旳内控实施和管理层判断旳使用。新框架并未 要求对17项原则及其关注点进行单独评估以拟定其是 否存在或有效。管理层能够自由判断新框架所提供关 注点旳合适度或有关度, 然后根据企业旳详细情况, 来选择和考虑与某一特定原则亲密有关旳关注点。能 够说,在这一点上,COSO新框架吸收了《萨班斯法 案》经过后来旧框架实施成本高旳教训,使内控实施 愈加灵活,同步节省了实施成本。
COSO框架主要内容及内部控制
框架框架内容内容提要1 - 定义2 - 控制环境3 - 风险评估4 -控制活动5 -信息和沟通6 -监督7 -内部控制的局限性8 -角色和职责附件A -研究的背景和相关事件B -方法C -对于定义的观点和应用D -意见信的考虑E -精选术语表Committee of Sponsoring Orginizations of the Treadway Commission(COSO)主席Gaylen N. Larson会员机构代表财务执行机构P. Norman Roy美国注册会计师协会Philip B. Chenok美国会计师协会Andrew D. Bailey内部审计师协会William G. Bishop III管理会计师协会Robert W. Liptak内容提要长期以来,高级管理层一直在寻找控制和管理他们所经营的企业的更好方法。
内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展,并将这个过程中的干扰因素最小化。
内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求,并针对未来的成长进行调整。
内部控制促进效率性,降低资产损失的风险,并有助于确保财务报表的可靠性和对于法律法规的遵循性。
由于内部控制服务于很多重要的目标,对于更好的内部控制系统及其运行效果的要求不断增加。
内部控制系统越来越多地被视为各种潜在问题的解决方案。
什么是内部控制内部控制对于不同的人具有不同的意义,这造成了经商人士、立法者、监管机构和其他相关方的困惑,同时导致企业由于沟通有误和期望不同而产生问题。
在内部控制被写入法律、法规或条例中时,如果没有清晰的定义,问题会更加复杂化。
本报告针对管理层和其他方面的需求和期望,在定义和描述内部控制时考虑如下因素:•建立一个适用于各方需求的通用的定义•提供一个标准,无论是大的或小的、公众的或私人的、盈利性的或非盈利性的业务和企业,均可以参照该标准评估他们的控制系统并决定如何改进。
COSO内部控制管理框架(详细版)
COSO内部控制管理框架(详细版)COSO内部控制管理框架一、控制环境Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。
构成控制环境的要素:(一)董事会及审计委员会董事会是公司内部控制系统的核心,对内部控制而言,一个积极、主动参与的董事会是相当重要的。
●如何评价?1. 董事会或审计委员会是独立于管理层的,这样必要时能够提出有挑战性甚至审查式的问题。
2. 建立董事会专门委员会以特别关注和处理相关重要事件。
3. 董事的知识和经验4. 与内、外部审计师等的会面频率和接触5. 为董事会或专门委员会委员提供信息的及时性和充分性,以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。
6. 为董事会或审计委员会提供充分、及时的信息,以便及时获知敏感信息、调查、不当行为(例如:监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等)。
7. 监督高级管理人员的薪酬,聘用和解聘高级管理人员。
8. 建立“高层管理基调”9. 董事会或审计委员会依据其发现采取行动,包括特殊调查。
(二)管理者的品行及管理哲学和经营风格①企业承受经营风险的种类②管理者对法规的看法③对企业财务的重视程度④对人力资源的看法●如何评价?1. 接受的业务风险的性质,例如:管理层是否经常介入特别高风险的业务,还是在接受风险方面非常保守。
2. 在关键职能部门的人员流动率,例如:经营、会计和数据处理部门等。
3. 管理层对数据处理和会计职能的态度,以及对财务报告和资产安全可靠性的关心。
4. 高级管理层和业务部门管理层相互交流的频率,特别是双方处于不同的地域时。
5. 对财务报告的态度和行动,包括对采取的会计处理的争议(例如:采取保守的还是激进的会计政策;会计原则是否被滥用了;关键的财务信息没有被披露;或会计记录被粉饰或篡改了)。
(三)管理者的素质管理者往往是内部控制设计和执行的关系人,他的素质(知识、技能、操守、道德观、价值观)影响内部控制的效率和效果。
2-1内部控制coso框架
(3)提高经营效率; (4)促进实现发展战略。
四、内部控制要素
一个基本控制系统要素:
(1)探测器或传感元件 (2)选择器或标准元素 (3)控制器元素 (4)沟通网略元素
内部控制要素:
(1)控制环境 (2)风险评估 (3)控制活动 (4)信息与沟通 (5)内部监督
《柯氏会计词典》将内部牵制定义为:“用以提高有效的组 织和经营,并防止错误或其他非法业务发生的业务流程设计。 主要特点:以任何个人或部门不能单独控制任何一项或一部 分业务权力的方式进行组织上的责任分工。每项业务通过正 常发挥其他个人或部门的功能进行交叉检查或交叉控制”
内部牵制以不相容职务分离和授权批准控制标志,至今仍然 是控制活动思想的精髓。
在职务划分和权限及程序的标准化过程中充分考虑内部 牵制的要求
在业务处理的各个阶段建立健全检查机制
通过内部控制的建立健全过程,促进企业整体对内部控 制的认识,形成良好的控制环境
·数据的检查 ·逻辑合理性检查 ·凭证与记录的检查 ·在信息系统中装置具有例外事项的提示和即时反馈作 用的程序
·资产与记录的定期核对·财产清查
内部控制程序:经办人员起草购货申请→ 主管人员事 前盖章批准→委托购货部门实施购货 事 实 情 况: 经办人员没有经过主管人员批准和委托 购货部门的程序,自行组织订货 或 有 风 险: ·企业不知道订单已发出; ·企业不知道应付账款的存在; ·经办人员利用企业的交易中饱私囊
图表4-1 内部控制的功能及发挥途径
我国一般审计教材定义 组织为了保证业务活动的有效进行,保护资产的安全和完 整,防止、发现、纠正错误与舞弊,保证会计资料的真实、 合法、完整而制定和实施的政策与程序。
COSO_内部控制整合框架_全文
COSO 内部控制整合框架目录管理层概述 1 总体构架11 1定义13 2控制环境23 3风险评估33 4控制活动49 5信息和沟通59 6监控69 7内部控制的局限79 8作用和职责83 附录A学习本文的相关事项及背景知识93 B方法体系99 C对定义的看法和使用105 D反馈意见111 E术语119内部控制——整体构架管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。
内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。
内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。
内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。
鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。
内部控制日益被视为诸多潜在问题的解决方案。
什么是内部控制内部控制对不同的人有不同的含义。
这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。
由此造成的误解和期望值的差异往往给企业带来问题。
一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。
本文是针对管理层的需要和期望而写的。
本文对内部控制的定义服务于以下目的:●确立一个满足各方需要通用的定义。
●提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。
内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:●经营的效果和效率●财务报告的可靠性●法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。
第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。
COSO内部控制框架文档
附件一:COSO内部控制框架资料一、COSO内部控制框架地产生和发展过程2二、COSO内部控制框架下内控制度定义31、COSO内控框架对内部控制地定义32、对内部控制定义地理解33、COSO内部控制框架地组成要素4三、COSO内部控制框架五要素61、控制环境6(1)员工地诚信和道德价值观6(2)胜任能力8(3)董事会和审计委员会8(4)管理层地经营理念和经营风格9(5)组织结构9(6)管理层授权和职责分工10(7)人力资源政策和措施102、风险评估10(1)风险及风险评估地定义10(2)如何进行风险评估113、控制活动13(1)控制活动类型13(2)控制活动地要素—政策和程序14(3)控制活动应和风险评估相结合14(4)信息系统地控制144、信息和沟通15(1)信息15(2)沟通165、监控18(1)持续性监控行为18(2)独立评估19四、内部控制地局限性21五、员工在内部控制中地作用与责任22六、小结23一、COSO内部控制框架地产生和发展过程不同地人对内部控制有不同地理解. 一般地人把内部控制理解为组织为了减少决策失误和工作缺陷而实施地控制,这些控制可能是内部监控、也可能是管理手册、规章制度等.这种理解没有错,但不全面.按照现代地内控理论,这些仅仅是内部控制地一部分,而不是全部.现代内控理论认为,内部控制是一个系统化地框架,它建立在风险管理地基础上,包括控制环境、风险分析、控制活动、信息与沟通、监控五大要素.内部控制理论地发展是一个逐步演变地过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段.在内部牵制阶段,账目间地相互核对是内控地主要内容,设定岗位分离是内控地主要方式,这在早期被认为是确保所有账目正确无误地一种理想控制方法;在内部控制制度阶段,内部控制地重点是建立健全规章制度;在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标地实现而建立地各种政策和程序,分为控制环境、会计制度和控制程序三个方面;内部控制整体框架阶段,就是我们下面要讨论地COSO内部控制框架.在美国,20世纪70年代中期,与内部控制有关地活动大部分集中在制度地设计和审计方面,重在改进内部控制制度和方法.1973年至1976年对水门事件(美国公司进行违法地国内捐款和贿赂外国政府官员)地调查使得立法机关与行政机关开始注意到内部控制问题.针对调查地结果,美国国会于1979年通过了《反国外贿赂法》(简称FCPA).FCPA除了规定了关于反贿赂地条款外,还规定了与会计及内部控制有关地条款.因此,美国许多机构都加强了对内部控制地研究并提出许多建议.1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中地舞弊产生地原因,并寻找解决措施.两年后,该委员会提出了很多有价值地建议.基于该委员会地建议,其赞助机构成立COSO委员会,专门研究内部控制问题.1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补), 即COSO内部控制框架.COSO内控框架地提出标志着内部控制理论发展到新地阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要地意义.COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系地标准,是因为:虽然COSO内部控制框架并非唯一地内部控制框架,但却是美国证券交易委员会唯一推荐使用地内部控制框架,《萨班斯法案》第 404 条款地「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制地标准.作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案地要求.同时,这也是梳理管理流程、规范管理、提升公司整体管理水平地契机.COSO内部控制框架是一个较为理想地框架,几乎所有公司地内部控制均与之有一定差距,美国各大公司也正在为此而努力,虽然这必然加大企业负担,但多数公司都希望通过理解和贯彻COSO内部控制框架要求,来实现提升管理水平地目地.目前我国企业地内部控制与COSO内部控制框架地要求相比还存在一些距离.这些差距主要体现在:内部控制体系地整体框架、控制环境、风险评估等理念尚未被广泛接受、内部控制地文档记录还不够系统规范、缺乏自我评估机制等. “他山之石,可以攻玉”,COSO内控框架对于我们加强企业内部控制具有一定地启发和借鉴意义.二、COSO内部控制框架下内控制度定义1、COSO内控框架对内部控制地定义COSO内部控制框架认为,内部控制是受企业董事会、管理层和其他人员影响,为经营地效率和效果、财务报告地可靠性、相关法规地遵循性等目标地实现而提供合理保证地过程.2、对内部控制定义地理解第一,内部控制是一个“过程”,而且是一个动态地过程.企业地经营活动是永不停止地,企业地内部控制过程也因此不会停止,它是一个发现问题、解决问题、发现新问题、解决新问题地循环往复地过程.内部控制应该与企业地经营管理过程相结合,而不是凌驾于企业地基本活动之上,它促使经营达到预期地效果,并监控企业经营过程地持续有效进行.第二,内部控制受到“人”地因素地影响,它并不仅仅是政策手册和表格,不仅仅是管理人员、内部审计或董事会,而是组织中地每一个人,每一个人都对内部控制负有责任并受到内部控制地影响;是“人”建立企业地目标,并将控制机制赋予实施.确立这种观念有利于企业地所有员工明确自己地责任和权限,主动地维护及改善企业地内部控制.第三,内部控制无论设计和运行得多么完善,也只能为企业地管理层和董事会提供合理地保证,而不是绝对保证,因为内部控制本身具有局限性.最后,内控框架将内部控制目标分为三类:与营运有关地目标—即经营地效率与效果、与财务报告有关地目标—即财务报告地可靠性、以及与法规地遵循性有关地目标.上述分类让我们专注于内部控制地各个方面,这些相互有别,相互交叉地分类满足不同地需要,并且表明了不同地执行人员地直接责任.3、COSO内部控制框架地组成要素COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、控制活动、信息与沟通、监控五要素组成,它们取决于管理层经营企业地方式,并融入管理过程本身,其相互关系可以用下面模型表示.●控制环境——控制环境是企业地基调、氛围,直接影响企业员工地控制意识.控制环境要素是推动企业发展地发动机,也是其他一切要素地核心,包括员工地诚信、职业道德和工作胜任能力;管理层地经营理念和经营风格;董事会或审计委员会地监管和指导力度;企业地权责分配方法和人力资源政策.可以说人及其人进行地活动是任何企业地核心,是构成控制环境地重要要素,又与环境相互影响、相互作用.●风险评估——风险评估是识别、分析相关风险以实现既定目标,是风险管理地基础.每个企业都面临着诸多来自内部和外部地风险,影响企业既定目标地实现.因此必须设立一个机制来识别、分析和管理影响目标实现地相关风险,并适时加以管理.●控制活动——控制活动指那些有助于管理层决策顺利实施地政策和程序,是针对风险采取地控制措施.它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动.●信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责.信息不仅包括内部产生地信息,还包括与企业经营决策和对外报告相关地外部信息.畅通地沟通渠道和机制使企业地员工能及时取得他们在执行、管理和控制企业经营过程中所需地信息,并交换这些信息.●监控——是对内部控制系统有效性进行评估地过程,可以通过持续性监控、独立评估或两者地结合来实现对内控系统地监控.内控体系五要素之间地关系我们可以理解为:企业地核心是人,人地诚信、道德价值观和胜任能力构成了企业地控制环境,这是企业发展地基础.每个企业都有自己地发展目标,为了目标地实现,必须分析影响因素,即进行风险评估.针对风险评估地结果需要采取相应地控制活动来控制和减少风险.同时与控制环境、风险评估和控制活动相关地信息应及时被获取、加工整理,并在企业内部传递,这就是信息与沟通,信息与沟通系统围绕在控制活动周围,反映企业各项管理活动地运转情况.为了保证内控体系地正常运转,还需要对整个内控过程进行监控.内部控制五要素之间地配合和联系,组成了一个完整地系统,可以灵活地随条件变化而变化.但各要素之间并非是一项要素影响下一项要素地顺序过程,任一要素都可以影响其他要素,例如对风险地评估不仅仅影响控制活动,还可能影响信息和沟通、监控行为等.COSO内部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业地内部控制可能不及大型企业正式、组织性强,但也可以是有效地.三、COSO内部控制框架五要素1、控制环境控制环境是其他控制要素地基础.控制环境因素包括:员工地诚信和道德价值观;员工地胜任能力;董事会和审计委员会;管理层地经营理念和经营风格;组织结构;管理层授权和职责分工、人力资源政策和措施.(1)员工地诚信和道德价值观内部控制是由人建立、执行和维护地,人是内部控制有效运行地根本因素.人地道德价值观影响着人地行为.企业员工具有良好地道德标准并形成良好地道德氛围,对控制系统地有效运行非常重要,也有助于防范那些内控系统难以控制地行为.员工地诚信和道德价值观是指员工行为地准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取地行动.主要包括以下内容:1)利益冲突.每一个员工都有责任将公司利益放在第一位,避免私人利益与公司利益地冲突.2)合法性.公司要承诺在进行业务时是抱着诚实和诚信原则,并遵循所有适用地法律和规章制度.3)及时向指定人员报告或检举揭发违规事项.员工有义务对所发现地关于会计、内部控制或审计等地违反法律、规章制度或行为准则地问题,向道德规范委员会报告,或向披露委员会或审计委员会汇报.发现任何高级管理人员违反法律、规章制度或行为准则,应迅速向道德规范委员会等相关机构报告.对检举人应当建立保密制度,包括匿名保护.4)遵守道德准则地责任.明确员工必须遵守道德准则.对违反准则地人员建立惩罚机制,甚至解雇或免职.5)公司机遇.禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇.6)保密.机密信息是一间公司最重要地资产之一.公司建立相应政策保护机密信息,包括(a)属于公司商业性机密信息(b)属于非披露协议下信息.每一个员工在入职后应执行保密协议和保护公司知识产权.员工即使在终止雇佣之后,仍然有义务保护公司地机密信息.7)公平交易.每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众,并遵循商业道德规范.为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许地.与业务相关,偶尔赠送非政府雇员地价值较低地商业礼物地做法是可以接受地.但未得到道德委员会事先批准地情况下,赠送礼物或款待政府雇员是不允许地.员工代表公司购买商品应遵循公司地采购政策.8)公司资产地保护及恰当使用.每一个员工必须保护公司资产,包括实物资源、资产、所有权、机密信息,排除损失、失窃或误用.任何怀疑地损失、误用或失窃都应该报告给经理或法律部门.公司资产必须用于公司业务,符合公司政策.9)全面、公正、正确、及时地理解财务报告及其披露事项.因为公司必须提供完整、公正、及时和可理解地披露报告及文件,并存档或呈交给证监会以及公共传媒,所以每一个员工都有责任保证会计记录地准确性.管理层必须建立和保持适当地内控,遵循公司已有地会计准则和流程,保证交易记录地完整和准确.禁止干扰或不正当地影响公司财务报表审计.要求证实会计记录和报表受控,能够保证准确性,包括提供给审计和定期向证监会报告地义务.对于企业来说,首要地工作是建立一套员工能够接受和理解地诚信和道德标准,如道德行为手册;其次是必须让员工知晓和理解这些规定(例如:要求所有员工定期签字确认),这是执行地前提条件;最后就是贯彻执行.在公司内传递道德标准地最有效方式是管理层以身作则,员工对于内控地态度通常会效仿他们地领导.另外,对违反准则地员工应予以相应惩罚;建立鼓励员工揭发违规行为地机制;以及对未能汇报违规行为员工地教育培训都具有特别重要地意义.员工个人可能由于下列因素而卷入不诚实、非法或不道德地行为:●不切实际地业绩目标,特别是短期业绩地压力(例如:为了实现预先设定地利润指标而在财务报告中虚报收入)●将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关地财务信息)●内控制度不存在或无效(例如:敏感业务区域未设立严格地职责分工,这为偷窃公司资产或隐藏不良行为提供了可能).●组织高度分散,可能导致高层管理人员不清楚基层地行为,缺少必要地监管,因此,减少了基层舞弊被发现地机会.●内部审计职能薄弱,没有及时发现和报告不正确地行为.●董事会缺少对高层管理人员地客观监管,可能导致管理人员凌驾于内控制度.●管理层对不正确行为地惩罚力度不够或不公开,从而失去了应有地威慑力.(2)胜任能力胜任能力是要求员工具备完成工作任务所需地知识和技能,目地是保证员工能够正确理解相关规定、及时恰当分析和处理业务,这是维护内部控制有效性地必备条件.为此,管理层需要设定工作岗位地知识和技能水平要求,在招聘、选用员工时作为评选地标准或条件.在设定工作所需知识和技能时,一方面要根据工作地性质和所需地职业判断,考虑能力需求,另一方面还应考虑人力资源成本即薪酬(例如:没有必要雇佣一名电子工程师来换一只灯泡).(3)董事会和审计委员会董事会或审计委员会地职能是实施治理、指导和监控管理层地工作,如果对管理层缺乏必要地监控,管理层可能会凌驾于控制之上,甚至故意歪曲结果,因此董事会或审计委员会监控作用对确保内部控制地有效性十分重要,董事会或审计委员会作用地发挥,必须具备以下条件:一是要独立于管理层,不受其影响;二是具有足够知识、行业经验和时间,以便于履行职责;三能够与财务、法律、内部审计和外部审计及时沟通,得到适当信息;四是能够控制高级管理人员地薪酬,有权聘用和解聘高级管理人员.需要说明地是,我国股份公司地治理结构与国外有所不同,股份公司设置监事会,其职能类似于国外审计委员会地职能,所以股份公司地董事会、审计委员会和监事会都需要符合上述条件.(4)管理层地经营理念和经营风格管理层地经营理念和经营风格影响企业地管理方式,包括面对各种风险地态度.管理层地经营理念和经营风格形成了企业文化,它既是一切业务实现地基础,也为内部控制地实施提供了平台.它往往是企业内部一种无形地力量,影响企业成员地思维方法和行为方式,包括企业承受营业风险地种类、整个企业地管理方式、企业管理阶层对法规地反应、对企业财务地重视程度以及对人力资源地政策及看法等.它们都深深地影响着内部控制地成效.例如,有些公司管理层地经营理念和风格较为激进,愿意承担更高地风险以追求更高地盈利回报;而有些公司地管理层则比较保守,在风险承担方面表现得较为谨慎.可以看出,不同地经营理念和风格决定了管理层在承担风险方面采取不同地态度和做出不同地决策.以销售信贷政策为例,对风险承受力高地公司相比承受力低地公司,其设定地信用销售额度更高,以期望通过更优惠地政策吸引和保留客户,而获得更高地销售额.管理层地经营理念和经营风格还表现在:管理层对财务报告地态度,在会计政策选择方面是否谨慎,进行会计估计时是否遵循审慎性原则,对待数据处理、会计职能及人事管理等方面地态度等等.(5)组织结构组织结构是权责分工地架构,在此架构中规划、执行、控制和监控为实现企业目标而进行地活动,每个企业都可根据自己地需要确定组织结构,可以是集权型,也可以是分权型,可以是直接地报告关系,也可以是矩阵型组织结构,可以按产品或行业组织,也可以按地理分布或功能组织,但不论何种组织结构,应根据公司地业务性质,进行适当地集中或分散,确保信息地上传、下达和在各业务间地流动,确保企业目标地实现.(6)管理层授权和职责分工权力和责任分配是指对员工进行授权和分配责任,将企业地目标层层分解落实到每个员工地头上,从而将员工地行为与企业目标联系起来,增强员工地自主控制意识.权力与责任分配地关键是权力与责任地对等.(7)人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面地政策和程序,目地是聘用和维持有能力地人员,保证公司地计划得以实施,目标得以实现.因此,人力资源政策和措施应考虑如何招聘进来有能力、可信任地人员,如何进行相关培训使员工意识到他们地工作职责和公司对他们地要求,如何通过考核、薪酬、提升等政策激励约束员工.2、风险评估(1)风险及风险评估地定义风险是任何影响目标实现地因素,所有企业,无论规模、结构和行业性质,都面临着风险,可以说有经营就有风险.风险有来自企业内部地,也有来自企业外部.为了加强对风险地控制,必须进行风险评估,风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现地风险地过程,是确定如何管理和控制风险地基础.风险评估地前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要地行动来管理风险.企业地目标可以分为公司层面目标和业务活动层面目标,公司层面目标是指公司地总目标和相关战略计划,与高层次资源地分配和优先利用相关.业务活动层面地目标是总目标地子目标,是针对企业业务活动地更加专门化地目标.业务活动层面地目标应该清楚,易于理解,以便从事该操作地人能实现其目标,同时还必须是可衡量地,以便于考核.实现目标需要耗费资源,因此设立目标必须考虑可获得地资源,企业应该对目标进行分析,提醒自己找出与总目标不相关地操作目标,以免资源浪费,而对实现总目标至关重要地操作目标,则优先安排资源.(2)如何进行风险评估1)风险识别风险评估地过程首先是进行风险识别,风险识别需要考虑所有可能发生地风险,并且需要考虑企业和相关外界之间地所有重大相互影响.风险识别也是一个重复地过程,需要针对环境地变化持续进行.导致企业经营风险地因素包括内部和外部两个方面:外部因素包括:●技术发展——影响研发地性质和时机,或带来采购地变化.(例如:出现新地、更高效地技术,未掌握相关技术地公司会导致市场竞争力降低,进而影响经营目标地实现)●不断变化地客户需求和期望——影响产品开发、定价.(例如:纳M技术地应用,客户对产品地期望改变;)●竞争——影响营销和服务活动(例如:WTO导致更多具有较高竞争力国外石油公司进入中国市场).●新地法律和法规——影响经营政策和策略(例如:新企业所得税法).●自然灾害——造成损失.●经济形势地变化等——影响融资、资本支出和扩张决策.内部因素包括:●信息系统运行地中断——影响经营运转.●雇员地素质和培训、激励地方法——影响控制理念.●管理层职责地改变——影响某些实施控制地方式.●企业经营活动地性质、员工对资产地接触途径——产生挪用.●董事会或审计委员会无法有效履行其职责——可能为管理层轻率地行为提供机会.2)风险分析识别风险后,需要进行风险分析,分析地内容主要有:●估计风险地重要性程度;●评估风险发生地可能性(或频率、概率);●考虑如何管理风险——即评估需要采取何种措施针对风险分析地结果而采取地控制活动,管理层应仔细考虑现有内控程序对于已识别地风险是否合适.如果现有程序可能已经足够或只需要执行得更好,那么就不必制定附加程序.管理层还应认识到,总会存在一些残留风险地可能性,不仅因为资源总是有限地,还因为每个内控系统都有内在局限性.因此,管理层地一项重要工作是权衡利弊,确定能够谨慎地接受多少风险,并尽力将风险控制在可接受地水平内.3)应对变化经济形势、行业和法规环境不断改变,企业业务活动不断发展.在一个环境下有效地内部控制在另一环境下未必有效.风险评估地本质就是一个识别变化地环境并采取相应行动地过程,风险评估应持续地进行, 并且应特别关注下面地情形:●变化地经营环境——变化地法律或经济环境可能导致竞争压力地增加和显著不同地风险.●新地人员——新来地高层管理人员地经营风格与原先地不同.●新地或经修订地信息系统——能否正常运行.●经营地快速增长——当经营快速扩张,现有制度地局限可能导致控制失效;当程序变动或新人员增加时,现有地监控可能就不能保持充分地控制.●新技术——新技术被运用到生产流程或信息系统中,内部控制就很可能需要修改.●新业务、产品、活动——当企业进入新地商业领域或从事不熟悉地交易时,现有地控制可能就不充分了.●公司重组——公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组.重组可能导致内部裁员,职责分工地合并,或者,原来地一个重要控制岗位被取消,却没有相应地替代控制出现.很多公司重组后大量削减人员,就碰到了严重地控制缺陷.●海外经营——海外经营地扩张或收购带来了新地和独特地风险.例如,控制环境可能受到当地管理层文化和风俗地影响.另外,当地经济和法律环境可能。
会计实务:coso内部控制框架
(二)xxx目前的内部控制体系与COSO内部控制框架的差距
二、COSO内部控制框架下内部控制的定义
(一)COSO内部控制框架对内部控制的定义
(二)对内部控制定义的理解
(三)COSO内部控制框架的组成要素
三、COSO内部控制框架五要素
 (一)内控环境
(二)风险评估
(三)内控活动
(四)信息与沟通
(五)监督
四、内部控制的局限性
五、员工在内部控制中的作用和职责
六、小结
一、背景介绍
内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错,但不全面。按照现代的内控理论,这些仅仅是内部控制的一部分,而不是全部。现代内控理论认为,内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。
coso内部控制框架
内部控制越来越多地被广大企业管理层及各行业从业人员接纳、重视,而COSO作为内部控制理论中最受推崇的体系也是红极一时,本文仅从COSO及内部控制的基础知识出发做一些简单介绍,希望对初涉者有所帮助,更请广大前辈予以批评指正。、背景介绍
(一)COSO内部控制框架的产生及发展过程
COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯法案》第404条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。同时,对股份公司来说,这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,美国各大公司也正在为此而努力,虽然这必然加大企业负担,但多数公司同股份公司一样,希望通过理解和贯彻COSO内部控制框架要求,来实现提升管理水平的目的。
COSO内部控制整体框架
[转帖]COSO内部控制指南1992年美国反虚假财务报告委员会管理组织(COSO)发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。
此后,《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。
同时,财务报告和相关立法以及监管环境也发生了变革。
值得注意的是,2002年美国颁布了《萨班斯法案》。
其中,《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。
随着情况的发展和时间的推移,这项框架到今天仍然是有效的,遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。
然而,较小型公众公司在面对执行第404号条款的挑战时,承受了意料之外的成本。
为了指导较小型公众公司执行第404条款,美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》(以下简称《指南》)。
《指南》并非是对《内部控制—综合框架》的取代亦或修改,而是就如何应用提供了指导。
就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面,《指南》为较小型公众公司提供了指导(当然《指南》也同样适用于大型公司)。
尽管《指南》本意上是为了帮助管理层建立和维持财务报告内部控制的有效性而制定的,但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。
《指南》分为三部分,第一部分是概要,向公司董事会和高层管理人员介绍了整个文件的主要内容。
第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点,其中描述了公司的特征,这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。
此外,还从《内部控制—综合框架》中提炼了20个基本原则,并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。
第三部分提供了解释性工具以帮助管理层对内部控制进行评估。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
COSO内部控制管理框架
一、控制环境 Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。
构成控制环境的要素:
(一)董事会及审计委员会
董事会是公司内部控制系统的核心,对内部控制而言,一个积极、主动参与的董事会是相当重要的。
●如何评价?
1. 董事会或审计委员会是独立于管理层的,这样必要时能够提出有挑战性甚至审查式的问题。
2. 建立董事会专门委员会以特别关注和处理相关重要事件。
3. 董事的知识和经验
4. 与内、外部审计师等的会面频率和接触
5. 为董事会或专门委员会委员提供信息的及时性和充分性,以便及时监督管理层的目标和战略、公司的财
务状况和经营成果、以及重大协议的条款等。
6. 为董事会或审计委员会提供充分、及时的信息,以便及时获知敏感信息、调查、不当行为(例如:监管
机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等)。
7. 监督高级管理人员的薪酬,聘用和解聘高级管理人员。
8. 建立“高层管理基调”
9. 董事会或审计委员会依据其发现采取行动,包括特殊调查。
(二)管理者的品行及管理哲学和经营风格
①企业承受经营风险的种类
②管理者对法规的看法
③对企业财务的重视程度
④对人力资源的看法
●如何评价?
1. 接受的业务风险的性质,例如:管理层是否经常介入特别高风险的业务,还是在接受风险方面非
常保守。
2. 在关键职能部门的人员流动率,例如:经营、会计和数据处理部门等。
3. 管理层对数据处理和会计职能的态度,以及对财务报告和资产安全可靠性的关心。
4. 高级管理层和业务部门管理层相互交流的频率,特别是双方处于不同的地域时。
5. 对财务报告的态度和行动,包括对采取的会计处理的争议(例如:采取保守的还是激进的会计政
策;会计原则是否被滥用了;关键的财务信息没有被披露;或会计记录被粉饰或篡改了)。
(三)管理者的素质
管理者往往是内部控制设计和执行的关系人,他的素质(知识、技能、操守、道德观、价值观)影响内部
控制的效率和效果。
●如何评价?
1. 存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的政策,并有效执行。
2. “高层管理基调”的建立--包括明确的道德指导(什么是对的和错的)。
3. 和在公司范围内进行沟通的程度的指导。
与员工、供应商、客户、投资人、债权人、保险人、竞争
对象和审计师等的关系。
(例如:管理层进行商业行为时,是否非常关注道德标准,是否也要求其他人
遵守道德标准,还是根本不关注道德问题。
)
4. 针对违反政策和道德准则的情况采取适当的措施。
采取措施的范围在公司内进行沟通。
5. 管理层对干预或逾越既定控制制度的态度。
6. 达到不切实际的目标的压力,特别是那些短期目标,薪酬多大程度上基于业绩目标的实现。
7.是否存在关于管理层正式和非正式的工作描述,或其它能说明具体工作的任务和责任的方式。
8. 分析管理层胜任工作所需要的知识和技能。
(四)产权关系及组织结构
产权关系应明晰,组织结构抗风险
●如何评价?
1. 公司组织结构的适当性,以及其提供管理活动必要的信息流的能力。
2. 关键经理的职责定义,以及他们对自身职责的理解。
3. 关键经理人员充分具备其相关职责的知识和经验。
4. 报告关系的适当性
5. 组织结构会在何种程度上随环境的变化而变化
6. 存在足够数量的雇员,特别是管理和监督人员
(五)人力资源政策及实行
一个单位的人力资源政策直接影响到单位的每一个员工的业绩和表现。
良好的人力资源政策,对培养单位的员工,提高员工素质,更好的贯彻和执行内部控制有着很大的帮助。
●如何评价?
1. 雇佣、培训、晋升和员工薪酬的政策及程序
2. 员工应意识到他们的工作职责和公司对他们的期望。
3. 对违背政策和程序的行为的校正。
4. 人力政策与相应的道德标准一致。
5. 核查候选人的背景,特别要考虑公司不能接受的行为或活动。
6. 适当的员工保留和晋升标准、信息收集技术(如:工作评价等),与行为规范或其他行为准则的关系。
(六)企业文化
企业文化是具有本单位特征的基本信念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方式和行为方式的总和。
它影响着单位成员的思维方式和行为方式。
(七)信息系统
(八)权责划分
责任的分配、授权和相关的政策提供了责任和控制的基础,明确了员工各自的角色。
●如何评价?
1. 根据公司的目标、经营职能和监管要求,分配责任和授权,包括信息系统的责任和变化的授权。
2. 与控制相关的标准、程序的适当性,包括员工职责描述。
3. 职员数量的适当性,特别是数据处理和会计职能。
这些职员应具备与企业规模、业务活动和系统相适应的技能水平。
4. 授权和所分配的责任相吻合。
二、风险评估 Risk Assessment 企业根据发展战略制定经营目标后,对实现目标的经营过程中的风险进行判别和分析,并采取相应的行动。
①管理层对风险的识别
②是目标实现过程中相关內外部风险分析
③估计风险的重大程度,可能性
三、控制活动 Control Activities 是确保管理阶层指令实现的各种政策和程序。
控制活动类型包括:
按照不同作用,控制活动可分为预防性控制和纠错性控制两类
控制活动的形式也可以分为:
①业绩评价,如实际与预算、同期和行业标准的对比。
②审批,授权,确认。
③实物控制,如资产安全性,定期盘点,对计算机及数据资料的权限控制。
④责任分离,如业务授权、业务执行、业务记录、对业绩的独立检查的职能分离
●如何评价企业的控制活动?
1. 针对企业的每一项业务活动都有必要和恰当的政策和程序。
2. 已确定的控制行为得到恰当的执行。
四、信息与沟通 Information and Communication 企业必须建立健全信息传递与反馈系统,以保证企业政策和方针的贯彻实施;而信息传递有赖于良好的沟通方式和渠道。
①及时地获取,确定并交流相关的信息
②从内部和外部获取信息
③使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施
的信息流
●如何评价企业内控系统中的信息系统?
1. 获取内部和外部信息,向管理层报告企业既定目标的实现情况。
2. 及时向适当的人员汇报足够的信息以便他们有效地履行其职责。
3. 信息系统的建立或修改基于对信息系统的战略规划—与整个企业的战略相连—并且着眼于实现企
业的目标和业务活动层次的目标。
4. 通过承诺适当的资源——人力资源和财力资源,管理层表现出对发展必要的信息系统的支持态度。
●如何评价企业内控系统中的沟通?
1. 向员工传达其职责和控制责任的有效性。
2. 建立沟通渠道供员工反映他们注意到的可疑问题。
3. 管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力。
4. 整个企业内部是否充分交流(比如,采购和生产环节的交流);信息是否完整和及时;以及信息是
否足够满足相关人员有效地履行职责的需要。
5. 是否有开放、有效的渠道,与客户、供应商和外部其他方面交流不断变化的客户需求。
6. 外部相关方了解企业道德标准的程度
7. 在收到客户、供应商、监管者和其他外部人员反映的情况后,管理层采取的及时和适当的应对措
施。
五、监控 Monitoring 是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效。
其范围和频率取决于风险的重大性或现有监控程序实施的有效性。
监控的方式包括:
①持续性监控,包括日常管理、监督、比较、核对等。
②独立的评估,即独立与控制活动之外,如内部审计。
●如何评价企业内控系统中的日常监控?
1. 员工在从事其日常活动时,在多大程度上能获知有关内控系统是否正常运作的信息。
2. 外部反映的情况证实内部信息或揭露问题的程度。
3. 定期将会计系统记录的结果与实物进行核对
4. 对内部和外部审计师提出的加强内控的措施做出响应。
5. 培训、筹备会议和其他会议向管理层就内控有效性进行反馈的程度。
6. 是否要求员工定期声明他们是否理解并遵守了企业的行为准则,并且定期执行了重要的控制活动。
7. 内审活动的有效性。
●如何评价企业内控系统中的关于报告缺陷方面的监控?
1. 存在适当的机制,来汇集并报告发现的内控缺陷。
2. 汇报程序是否恰当。
3. 跟踪行动是否适当。
小结:
改进并建立有效内部控制的步骤:
◆通过恰当的调研和分析来了解提高公司价值的驱动力,评估公司的风险
◆为公司各层次的人员确定目标和具体的业绩考核指标
◆建立对经营、财务和合规性的控制来支持这些目标
◆监督结果以确定资源的分配,从而不断提升业绩
◆定期进行调整,以适应经营环境的变化。