1、a1COSO 内 部 控 制体系及应用2005 年 9 月 23 日天津Pwc普 华 永 道a2目录1.COSO内部控制框架内部控制框架2.如何评价内部控制体系3.小结4.问题解答a3COSO内部控制体系内部控制体系Pwc普 华 永 道a44内部控制定义每当提起内部控制,一般认为它包括以下几方面:成本控制 反欺诈 加强控制=官僚作风=降低运作的灵活性=更差的业绩 但这不是现代内部控制!Pwc普 华 永 道a55内部控制定义内部控制 是由公司董事会批准,管理层和其他有关人实施,为达到以下目标而提供合理保证的程序:经营的效率和效果强调公司的基本经营目标,包括绩效和利润目标及资源的安全可靠性 财务报
2、告的可靠性包括可靠的财务报表及其他财务信息的准备 法律及法规的合规性包括公司必须遵守的法律、法规,以维护良好的信誉,避免负面影响COSO及美国审计准则第及美国审计准则第319条条Pwc普 华 永 道a66内部控制体系 COSO1992年完成的报告内部控制的整体框架从根本上统一了对内部控制的认识,其所设计的内部控制模型也被全世界公认为内部控制的标准模型。The Committee Of Sponsoring Organization of Treadway Commission)COSO致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚
3、假财务报告委员会(也被称为Treadway委员会),是由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。Pwc普 华 永 道a7告营务报运财合规性监督不断评估内部控制系统的表现。整合实时和独立的评估。控制活动确保管理活动付诸实施的政策/流程。管理层和监督活动。内部审计工作。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风
4、险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础7COSO内部控制框架监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。监控信息和沟通控制活动风险评估活活 动业 动 2业 务 1务 单单 位位 BA控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。控制环境信息和沟通控制环境营造单位气氛让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础所有的五个部分必须同时作用才能使内部控制得以产生影响风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形
5、成内部控制活动的基础Pwc普 华 永 道a88内部控制体系 COSO模型模型要素一:控制环境 内部控制的基础营经财监控务告报合规性活控制环境:是企业的整体气氛信息和沟通控制活动风险评估控制环境活 动单 动 2单 元 1元 BA 影响员工的控制意 是其他要素的基础 提供纪律约束和架Pwc普 华 永 道a99控制环境控制环境主要包括:1.员工的诚信和道德观 员工的胜任能力 董事会和审计委员会 管理层的经营理念和经营风格 组织结构 管理层授权和职责分工 人力资源政策和措施Pwc普 华 永 道a10经10内部控制体系 COSO模型模型要素二:风险评估营告报务财监控信息和沟通控制活动合性规活活 动单 动
6、 2单 元 1元 B评估风险是为了有效控制风险 管理层对风险的识别 是目标实现过程中相关內外部风险分析 估计风险的重大程度,可能性风险评估A控制环境随着经济,产业,制度和操作环境的不断变化,需要建立相应机制以发现和处理这些变化所带来的特殊风险Pwc普 华 永 道a1111风险评估目标风险识别风险分析主要风险措施经营效率和效果财务报告法律及法规的可靠性的合规性过滤Pwc普 华 永 道a1212内部控制体系 COSO模型模型要素3:控制活动营经财务告报合规性监控信息和沟通控制活动风险评估控制环境活活 动单 动 2单 元 1元 BA控制活动 对确认的风险采取必要措施,以保证公司目标得以实现 遍布公司
7、各处,涉及公司各个层面以及各项职能Pwc普 华 永 道a1313控制活动控制活动类型包括:按照不同作用,控制活动可分为预防性控制和纠错性控制两类控制活动的形式也可以分为:业绩评价,如实际与预算、同期和行业标准的对比 审批,授权,确认 实物控制,如资产安全性,定期盘点,对计算机及数据资料的权限控制 责任分离,如业务授权、业务执行、业务记录、对业绩的独立检查的职能分离Pwc普 华 永 道a1414控制活动业务流程和控制程序可以是人工的,也可以是自动的人工的采购定单申请目的/申请人签字审批和签字自动的收货发票输入采购订单信息采购订单系统核对数据更新数据三方匹配Pwc普 华 永 道a15A15内部控制
8、体系 COSO模型模型要素4:信息和沟通营经财监控务告报合规性活企业定期获取及交流内外部的信息,帮助员工履行职责信息和沟通控制活动风险评估控制环境活 动单 动 2单 元 1元 B 信息的识别和获取 信息加工和报告 内部沟通和外部沟通Pwc普 华 永 道a1616信息和沟通相关信息必须采用恰当的形式并在恰当的时间内沟通,以便相关人员能有效履行职责,采取适当行动。例如:建立一个有效机制,使相关信息在管理层及时共享,使相关各层面拥有所需信息 管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通 建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序 建立目标以便衡量进度、发现问题并及时采取改
9、进措施 IT 部门拥有大多数的财务信息(储存于IT系统中)。管理层应关注这些IT系统及信息的安全、可靠、完好性系统及信息的安全、可靠、完好性 管理层建立有效地IT系统来协助信息的有效沟通(包括业务支持系统、决策支持系统、财务报告系统、监控系统、e-mail系统等)Pwc普 华 永 道a17经17内部控制体系 COSO模型模型要素5:监控营告报务财监控信息和沟通控制活动风险评估合性规活活 动单 动 2单 元 1元 BA 监控是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效 其范围和频率取决于风险的重大性或现有监控程序实施的有效性 监控的方式包括:持续性监控,包括日常管理、监督
10、、比较、核对等控制环境 独立的评估,即独立与控制活动之外,如内部审计Pwc普 华 永 道a1818内部控制体系信息与沟通风险评估流程XXXX交易发生控制活动管理报告/财务信息财务报表XXXX监控控制环境Pwc普 华 永 道a1919内部控制常见问题举例控制环境 高度竞争的环境(对内控的压力)分散管理/控制 非正式的管理程序 缺乏细化的业绩考核指标/不完善的激励机制 低效率的组织结构 不健全的审计委员会架构Pwc普 华 永 道a2020内部控制常见问题举例风险评估 对潜在的风险缺乏整体性认识和系统性归类 缺乏对完善的业务控制体系的全面了解 缺乏对风险评估方式、方法、程序的了解Pwc普 华 永 道
11、a2121内部控制常见问题举例内控活动 缺乏完整细化的“标准运作流程标准运作流程”不健全的职责分离 过度的集权/分权体系 缺乏独立的复核程序Pwc普 华 永 道a2222内部控制常见问题举例信息与沟通 大部分采用手工控制 缺乏有效的成本管理及预算方法 过时的管理信息系统 缺乏以关键业绩考核指标为基础的管理报告及分析 缺乏先进实践、行业实例与经验的培训Pwc普 华 永 道a2323内部控制常见问题举例监控 以人事关系或非正式手段进行监督 过于集中在财务领域的内部审计职能 审计委员会的监督作用较为薄弱 监控上缺乏独立性Pwc普 华 永 道a2424我们客户中常见内部控制问题 各层次的人员缺乏现代管
12、理实践知识 缺乏应有的资源 存在变革的内部阻力 缺少现代管理体系和工具 监控的范围和力度不够充分、统一Pwc普 华 永 道a25不可依赖的内部控制非正式的内部控制标准化的内部控制有监控的内部控制最优化的内部控制控制环境不可预期,未设计相应的控制程序或控制程序失效报告和控制程序已设计并正常运行,但未作适当记录报告和控制程序已设计并正常运行,且适当记录定期测试标准化控制程序的有效性,并报告管理层管理层即时监控并不断完善的内部控制构架25内部控制的发展进程Internal Controls Maturity Framework内部控制发展构架不可依赖的内部控制控制环境不可预期,未设计相应的控制程序或
13、控制程序失效非正式的内部控制报告和控制程序已设计并正常运行,但未作适当记录标准化的内部控制报告和控制程序已设计并正常运行,且适当记录有监控的内部控制定期测试标准化控制程序的有效性,并报告管理层最优化的内部控制管理层即时监控并不断完善的内部控制构架中国学习正式化标准化已发展国家提升改进Pwc普 华 永 道a26如何评价内部控制体系Pwc普 华 永 道a271.2.3.4.5.6.7.8.9.27控制环境 监管部门的参与管理层应该向员工传达诚信与道德标准,必须不折不扣的执行。员工应该知晓和理解这些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。董事会或审计委员会是独立于管理层的,这样必
14、要时能够提出有挑战性甚至审查式的问题。建立董事会专门委员会以特别关注和处理相关重要事件。董事的知识和经验与内、外部审计师等的会面频率和接触为董事会或专门委员会委员提供信息的及时性和充分性,以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。为董事会或审计委员会提供充分、及时的信息,以便及时获知敏感信息、调查、不当行为(例如:监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等)。监督高级管理人员的薪酬,聘用和解聘高级管理人员。建立“高层管理基调”董事会或审计委员会依据其发现采取行动,包括特殊调查。Pwc普 华 永 道a28财务报告合规性1.2
15、.3.28控制环境 管理理念和经营风格管理层的管理理念和经营风格通常对公司有重大影响。这些虽然是无形的,但是正面或负面影响的迹象是可以观察到的。接受的业务风险的性质,例如:管理层是否经常介入特别高风险的业务,还是在接受风险方面非常保守。在关键职能部门的人员流动率,例如:经营、会计和数据处理部门等。管理层对数据处理和会计职能的态度,以及对财务报告4.和资产安全可靠性的关心。高级管理层和业务部门管理层相互交流的频率,特别是营运5.双方处于不同的地域时。对财务报告的态度和行动,包括对采取的会计处理的争议(例如:采取保守的还是激进的会计政策;会计原则是否被滥用了;关键的财务信息没有被披露;或会计记录被
16、粉饰或篡改了)。监控信息和沟通控制活动风险评估业务单位A活活 动业 动 2务 1单位B控制环境Pwc普 华 永 道a29财务报告合规性1.2.3.29控制环境 诚信与道德观管理层应该向员工传达诚信与道德标准,必须不折不扣的执行。员工应该知晓和理解这些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的政策,并有效执行。“高层管理基调”的建立包括明确的道德指导(什么是对的和错的),和在公司范围内进行沟通的程度的指导。与员工、供应商、客户、投资人、债权人、保险人、竞争对象和审计师等的关系。(例如:管理层进行商业行为时,是否
17、非常关注道德标准,是否也要求其他人遵守道德标准,还营运4.5.6.是根本不关注道德问题。)针对违反政策和道德准则的情况采取适当的措施。采取措施的范围在公司内进行沟通。管理层对干预或逾越既定控制制度的态度。达到不切实际的目标的压力,特别是那些短期目标,薪监控信息和沟通控制活动风险评估业务单位A活活 动业 动 2务 1单位B酬多大程度上基于业绩目标的实现。控制环境Pwc普 华 永 道a30财务报告合规性1.2.30控制环境 胜任能力管理层应该明确规定不同工作所需要的能力级别,并将能力级别细化为必备的知识和技术。是否存在正式和非正式的工作描述,或其它能说明具体工作的任务和责任的方式。分析胜任工作所需
18、要的知识和技能。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位B控制环境Pwc普 华 永 道a31财务报告合规性1.2.3.31控制环境 组织结构组织机构不应该太简单以至于不能足够地监控公司的业务活动,也不应该太复杂以至于阻止了信息的顺畅流动。行政人员应该完全理解他们的控制责任,并且拥有与他们的职位相称的经验和知识。公司组织结构的适当性,以及其提供管理活动必要的信息流的能力。关键经理的职责定义,以及他们对自身职责的理解。关键经理人员充分具备其相关职责的知识和经验。4.5.报告关系的适当性组织结构会在何种程度上随环境的变化而变化营运6.存在足够数量的雇员,特别是管理和监
19、督人员监控信息和沟通控制活动风险评估业务单位A活活 动业 动 2务 1单位B控制环境Pwc普 华 永 道a32财务报告合规性1.2.3.32控制环境 权利和责任的分配责任的分配、授权和相关的政策提供了责任和控制的基础,明确了员工各自的角色。根据公司的目标、经营职能和监管要求,分配责任和授权,包括信息系统的责任和变化的授权。与控制相关的标准、程序的适当性,包括员工职责描述。职员数量的适当性,特别是数据处理和会计职能。这些职员应具备与企业规模、业务活动和系统相适应的技能水平。营运4.授权和所分配的责任相吻合。监控信息和沟通控制活动风险评估业务单位A活活 动业 动 2务 1单位B控制环境Pwc普 华
20、 永 道a33财务报告合规性1.2.3.4.5.33控制环境 人力资源政策及实施人力资源政策是招聘和保持有能力的人员,以使公司计划得以执行,目标得以实现。雇佣、培训、晋升和员工薪酬的政策及程序员工应意识到他们的工作职责和公司对他们的期望。对违背政策和程序的行为的校正。人力政策与相应的道德标准一致。核查候选人的背景,特别要考虑公司不能接受的行为或活动。营运6.适当的员工保留和晋升标准、信息收集技术(如:工作评价等),与行为规范或其他行为准则的关系。监控信息和沟通控制活动风险评估业务单位A活活 动业 动 2务 1单位B控制环境Pwc普 华 永 道a34财务报告合规性34风险评估企业的风险评估程序应
21、该从企业层次和业务活动层次两个角度识别风险,并分析其相关影响。风险评估程序还应该考察会影响目标实现的内部因素和外部因素,对这些风险因素进行分析,从而为风险管理提供依据。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位B控制环境Pwc普 华 永 道a35财务报告合规性1.2.35控制活动控制活动包括很多政策和相关的实施程序,以保证管理层的决策得到有效执行。它们可以协助保证那些与影响企业目标实现的风险相关的措施得到实施。针对企业的每一项业务活动都有必要和恰当的政策和程序。已确定的控制行为得到恰当的执行。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位
22、B控制环境Pwc普 华 永 道a36财务报告合规性1.2.3.控制环境36信息与沟通 信息信息系统能够识别、获得、处理和报告各种信息。相关的信息包括从外部获取的行业、经济、监管信息,以及内部产生的信息。获取内部和外部信息,向管理层报告企业既定目标的实现情况。及时向适当的人员汇报足够的信息以便他们有效地履行其职责。信息系统的建立或修改基于对信息系统的战略规划与整个企业的战略相连并且着眼于实现企业的目标和业务活动层次的目标。4.通过承诺适当的资源人力资源和财力资源,管理层表现出对发展必要的信息系统的支持态度。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位BPwc普 华 永
23、 道a371.2.3.4.5.6.7.37信息与沟通 沟通沟通贯穿于信息处理的整个过程中。沟通还存在一种更广泛的意义,如:处理个人和团体的期望、职责。有效的沟通必须在整个企业内进行;也包括在与外部进行沟通中。向员工传达其职责和控制责任的有效性。建立沟通渠道供员工反映他们注意到的可疑问题。管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力。整个企业内部是否充分交流(比如,采购和生产环节的交流);信息是否完整和及时;以及信息是否足够满足相关人员有效地履行职责的需要。是否有开放、有效的渠道,与客户、供应商和外部其他方面交流不断变化的客户需求。外部相关方了解企业道德标准的程度在收到客户
24、、供应商、监管者和其他外部人员反映的情况后,管理层采取的及时和适当的应对措施。Pwc普 华 永 道a381.2.3.4.5.6.7.38监控 日常监控日常监控发生在日常运作过程中,包括常规的管理、监管行为,和其他一些人员在履行他们评估内控系统表现的职责时所采取的活动。员工在从事其日常活动时,在多大程度上能获知有关内控系统是否正常运作的信息。外部反映的情况证实内部信息或揭露问题的程度。定期将会计系统记录的结果与实物进行核对对内部和外部审计师提出的加强内控的措施做出响应。培训、筹备会议和其他会议向管理层就内控有效性进行反馈的程度。是否要求员工定期声明他们是否理解并遵守了企业的行为准则,并且定期执行
25、了重要的控制活动。内审活动的有效性。Pwc普 华 永 道a39财务报告合规性1.2.3.4.39监控 独立评估不时审视内控系统,直接关注系统有效性是非常有用的。独立评估的范围和频率主要取决于对风险的评估和日常监督的程序。内控系统独立评估的范围和频率。评估程序的适当性。用于评估系统的方法是否合理、恰当。文档记录的水平是否恰当。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位B控制环境Pwc普 华 永 道a40财务报告合规性1.2.3.40监控 报告缺陷内控缺陷应该向上汇报,某些问题应向高级管理层和董事会汇报存在适当的机制,来汇集并报告发现的内控缺陷。汇报程序是否恰当。跟踪
26、行动是否适当。营运监控活活 动信息和沟通控制活动风险评估业务单位A业 动 2务 1单位B控制环境Pwc普 华 永 道a41小结Pwc普 华 永 道a4242改进并建立有效内部控制的步骤通过恰当的调研和分析来了解提高公司价值的驱动力,评估公司的风险为公司各层次的人员确定目标和具体的业绩考核指标建立对经营、财务和合规性的控制来支持这些目标监督结果以确定资源的分配,从而不断提升业绩定期进行调整,以适应经营环境的变化Pwc普 华 永 道a4343内部审计、内部控制与公司治理的关系有效的公司治理需要有效的内部控制、风险管理和监控。内部审计,以及健全的内控和风险管理在加强公司治理的过程中扮演着举足轻重的角色。股东董事会对股东/利益相关方的责任公司治理最高层指引授权和责任监控沟通和信息分析风险风险管理系统建立控制企业资源职能资产Pwc普 华 永 道a44把内部控制作为现代管理工具来实现银行的目标a4545问题解答问题?Pwc普 华 永 道a46Pwc