COSO內(nèi)部控制體系及應用

COSO內(nèi)部控制體系及運用2005年9月23日天津Pwc普華永道目錄1.COSO內(nèi)部控制框架2.如何評價內(nèi)部控制體系3.小結4.問題解答COSO內(nèi)部控制體系Pwc普華永道4內(nèi)部控制定義每當提起內(nèi)部控制，普通以為它包括以下幾方面：?本錢控制?反欺詐?加強控制=官僚作風=降低運作的靈敏性=更差的業(yè)績?但這不是現(xiàn)代內(nèi)部控制!Pwc普華永道5內(nèi)部控制定義內(nèi)部控制是由公司董事會同意，管理層和其他有關人實施，為到達以下目的而提供合理保證的程序：?運營的效率和效果強調(diào)公司的根本運營目的，包括績效和利潤目的及資源的平安可靠性?財務報告的可靠性包括可靠的財務報表及其他財務信息的預備?法律及法規(guī)的合規(guī)性包括公司必需遵守的法律、法規(guī)，以維護良好的信譽，防止負面影響——COSO及美國審計準那么第319條Pwc普華永道6內(nèi)部控制體系–COSO1992年完成的報告<內(nèi)部控制的整體框架>從根本上統(tǒng)一了對內(nèi)部控制的認識，其所設計的內(nèi)部控制模型也被全世界公以為內(nèi)部控制的規(guī)范模型。TheCommitteeOfSponsoringOrganizationofTreadwayCommission)COSO努力于經(jīng)過強化商業(yè)品德、建立完善有效的內(nèi)部控制和法人治理構造以提高財務報告的質(zhì)量。它從屬于1985年成立的反虛偽財務報告委員會(也被稱為Treadway委員會)，是由美國注冊會計師協(xié)會(AICPA)、內(nèi)部審計協(xié)會(IIA)、財務經(jīng)理協(xié)會(FEI)、美國會計學會(AAA)、管理睬計學會(IMA)等多個專業(yè)團體組成。Pwc普華永道告營務報運財合規(guī)性監(jiān)視不斷評價內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實時和獨立的評價。控制活動確保管理活動付諸實施的政策/流程。管理層和監(jiān)視活動。內(nèi)部審計任務。措施包括審批、授權、確認、建議、業(yè)績考核、資產(chǎn)平安和職責分別。信息和溝通及時地獲取，確定并交流相關的信息從內(nèi)部和外部獲取信息使得構成從職責方面的指示到管理層有關管理行動的發(fā)現(xiàn)總結等各方面各類內(nèi)部控制勝利的措施的信息流風險評價風險評價是為了到達企業(yè)目的而確認和分析相關的風險-構成內(nèi)部控制活動的根底7COSO內(nèi)部控制框架 監(jiān)視不斷評價內(nèi)部控制系統(tǒng)的表現(xiàn)。整合實時和獨立的評價。管理層和監(jiān)視活動。 內(nèi)部審計任務。 監(jiān)控信息和溝通 控制活動 風險評價 活 活動 業(yè)動2業(yè)務1務單單位位BA控制活動確保管理活動付諸實施的政策/流程。措施包括審批、授權、確認、建議、業(yè)績考核、資產(chǎn)平安和職責分別。 控制環(huán)境信息和溝通及時地獲取，確定并交流相關的信息從內(nèi)部和外部獲取信息使得構成從職責方面的指示到管理層有關管理行動的發(fā)現(xiàn)總結等各方面各類內(nèi)部控制勝利的措施的信息流 控制環(huán)境 營造單位氣氛－讓公司員工建立內(nèi)部 控制 要素包括耿直，品德價值，才干，權 威和責任 是其他內(nèi)部控制組成部分的根底一切的五個部分必需同時作用才干使 內(nèi)部控制得以產(chǎn)生影響風險評價風險評價是為了到達企業(yè)目的而確認和分析相關的風險-構成內(nèi)部控制活動的根底 Pwc 普華永道8 內(nèi)部控制體系–COSO模型要素一：控制環(huán)境－內(nèi)部控制的根底營經(jīng) 財 監(jiān)控務 告報合規(guī)性活控制環(huán)境：?是企業(yè)的整體氣氛信息和溝通 控制活動 風險評價 控制環(huán)境 活動 單動2單元1元BA?影響員工的控制意?是其他要素的根底?提供紀律約束和架Pwc普華永道9控制環(huán)境控制環(huán)境主要包括：1.員工的誠信和品德觀?員工的勝任才干?董事會和審計委員會?管理層的運營理念和運營風格?組織構造?管理層授權和職責分工?人力資源政策和措施Pwc普華永道經(jīng)10 內(nèi)部控制體系–COSO模型要素二：風險評價營 告 報 務 財 監(jiān)控信息和溝通 控制活動合 性規(guī) 活 活動 單動2 單元1 元B評價風險是為了有效控制風險 ?管理層對風險的識別 ?是目的實現(xiàn)過程中相關內(nèi)外部風險分析 ?估計風險的艱苦程度，能夠性風險評價A控制環(huán)境 隨著經(jīng)濟，產(chǎn)業(yè)，制度和操作環(huán)境的不斷變化，需 要建立相應機制以發(fā)現(xiàn)和處置這些變化所帶來的特 殊風險 Pwc 普華永道11風險評價目的風險識別風險分析主要風險措施經(jīng)營效率和效果財務報告法律及法規(guī)的可靠性的合規(guī)性過濾Pwc普華永道12 內(nèi)部控制體系–COSO模型要素3：控制活動營經(jīng)財務 告報合規(guī)性 監(jiān)控信息和溝通 控制活動 風險評價 控制環(huán)境 活 活動 單動2單元1元BA控制活動?對確認的風險采取必要措施，以保證公 司目的得以實現(xiàn)?遍及公司各處，涉及公司各個層面以及 各項職能 Pwc 普華永道13控制活動控制活動類型包括：按照不同作用，控制活動可分為預防性控制和糾錯性控制兩類控制活動的方式也可以分為：?業(yè)績評價，照實踐與預算、同期和行業(yè)規(guī)范的對比?審批，授權，確認?實物控制，如資產(chǎn)平安性，定期清點，對計算機及數(shù)據(jù)資料的權限控制?責任分別，如業(yè)務授權、業(yè)務執(zhí)行、業(yè)務記錄、對業(yè)績的獨立檢查的職能分別Pwc普華永道14 控制活動 業(yè)務流程和控制程序可以是人工的，也可以是自動的人工的采購定單 懇求目的/懇求人簽字審批和簽字自動的收貨發(fā)票輸入采購訂單信息采購訂單 系統(tǒng)核對數(shù)據(jù)更新數(shù)據(jù)三方匹配Pwc普華永道A15 內(nèi)部控制體系–COSO模型要素4：信息和溝通營經(jīng) 財 監(jiān)控務 告報合規(guī)性活企業(yè)定期獲取及交流內(nèi)外部的信息，幫助員工履行職責信息和溝通 控制活動 風險評價 控制環(huán)境 活動 單動2單元1元B?信息的識別和獲取?信息加工和報告?內(nèi)部溝通和外部溝通Pwc普華永道16信息和溝通相關信息必需采用恰當?shù)姆绞讲⒃谇‘數(shù)臅r間內(nèi)溝通，以便相關人員能有效履行職責，采取適當行動。例如：?建立一個有效機制，使相關信息在管理層及時共享，使相關各層面擁有所需信息?管理層明晰定義每個員工的職責及公司政策和程序并進展充分溝通?建立適當?shù)墓芾韺觾?nèi)部溝通以及公司與外部機構定期溝通的程序?建立目的以便衡量進度、發(fā)現(xiàn)問題并及時采取改良措施?IT部門擁有大多數(shù)的財務信息〔儲存于IT系統(tǒng)中〕。管理層應關注這些IT系統(tǒng)及信息的平安、可靠、完好性?管理層建立有效地IT系統(tǒng)來協(xié)助信息的有效溝通〔包括業(yè)務支持系統(tǒng)、決策支持系統(tǒng)、財務報告系統(tǒng)、監(jiān)控系統(tǒng)、系統(tǒng)等〕Pwc普華永道經(jīng)17 內(nèi)部控制體系–COSO模型要素5：監(jiān)控營 告 報 務 財 監(jiān)控信息和溝通 控制活動 風險評價合 性規(guī) 活 活動 單動2 單元1 元B A?監(jiān)控是評價內(nèi)控系統(tǒng)在一定時期內(nèi)運轉質(zhì)量的 過程，目的是保證內(nèi)部控制繼續(xù)有效?其范圍和頻率取決于風險的艱苦性或現(xiàn)有監(jiān)控 程序實施的有效性?監(jiān)控的方式包括： ?繼續(xù)性監(jiān)控，包括日常管理、監(jiān)視、比較 、核對等控制環(huán)境?獨立的評價，即獨立與控制活動之外，如 內(nèi)部審計 Pwc 普華永道18 內(nèi)部控制體系 信息與溝通風險評價 流程XXXX買賣發(fā)生控制活動管理報告/ 財務信息財務報表 XX XX 監(jiān)控控制環(huán)境 Pwc 普華永道19內(nèi)部控制常見問題舉例控制環(huán)境?高度競爭的環(huán)境(對內(nèi)控的壓力)?分散管理/控制?非正式的管理程序?缺乏細化的業(yè)績考核目的/不完善的鼓勵機制?低效率的組織構造?不健全的審計委員會架構Pwc普華永道20內(nèi)部控制常見問題舉例風險評價?對潛在的風險缺乏整體性認識和系統(tǒng)性歸類?缺乏對完善的業(yè)務控制體系的全面了解?缺乏對風險評價方式、方法、程序的了解Pwc普華永道21內(nèi)部控制常見問題舉例內(nèi)控活動?缺乏完好細化的“規(guī)范運作流程〞?不健全的職責分別?過度的集權/分權體系?缺乏獨立的復核程序Pwc普華永道22內(nèi)部控制常見問題舉例信息與溝通?大部分采用手工控制?缺乏有效的本錢管理及預算方法?過時的管理信息系統(tǒng)?缺乏以關鍵業(yè)績考核目的為根底的管理報告及分析?缺乏先進實際、行業(yè)實例與閱歷的培訓Pwc普華永道23內(nèi)部控制常見問題舉例監(jiān)控?以人事關系或非正式手段進展監(jiān)視?過于集中在財務領域的內(nèi)部審計職能?審計委員會的監(jiān)視作用較為薄弱?監(jiān)控上缺乏獨立性Pwc普華永道24我們客戶中常見內(nèi)部控制問題?各層次的人員缺乏現(xiàn)代管理實際知識?缺乏應有的資源?存在變革的內(nèi)部阻力?短少現(xiàn)代管理體系和工具?監(jiān)控的范圍和力度不夠充分、一致Pwc普華永道不可依賴的內(nèi)部控制非正式的內(nèi)部控制規(guī)范化的內(nèi)部控制有監(jiān)控的內(nèi)部控制最優(yōu)化的內(nèi)部控制－控制環(huán)境不可預期，未設計相應的控制程序或控制程序失效－報告和控制程序已設計并正常運轉，但未作適當記錄－報告和控制程序已設計并正常運轉，且適當記錄－定期測試規(guī)范化控制程序的有效性，并報告管理層－管理層即時監(jiān)控并不斷完善的內(nèi)部控制構架25內(nèi)部控制的開展進程 InternalControlsMaturityFramework 內(nèi)部控制開展構架不可依賴的內(nèi)部控制－控制環(huán)境不可預 期，未設計相應 的控制程序或控 制程序失效 非正式的 內(nèi)部控制－報告和控制程 序已設計并正 常運轉，但未 作適當記錄規(guī)范化的內(nèi)部控制－報告和控制 程序已設計并 正常運轉，且 適當記錄有監(jiān)控的內(nèi)部控制－定期測試規(guī)范化 控制程序的有效 性，并報告管理 層最優(yōu)化的內(nèi)部控制－管理層即時監(jiān) 控并不斷完善 的內(nèi)部控制構 架 中國 學習正式化規(guī)范化已開展國家 提升 改良Pwc普華永道如何評價內(nèi)部控制體系Pwc普華永道1.2.3.4.5.6.7.8.9.27控制環(huán)境–監(jiān)管部門的參與管理層應該向員工傳達誠信與品德規(guī)范，必需不折不扣的執(zhí)行。員工應該知曉和了解這些規(guī)定。管理層應該經(jīng)過言談和行動的方式表現(xiàn)出對品德規(guī)范的注重。董事會或審計委員會是獨立于管理層的，這樣必要時可以提出有挑戰(zhàn)性甚至審查式的問題。建立董事會專門委員會以特別關注和處置相關重要事件。董事的知識和閱歷與內(nèi)、外部審計師等的會面頻率和接觸為董事會或專門委員會委員提供信息的及時性和充分性，以便及時監(jiān)視管理層的目標和戰(zhàn)略、公司的財務情況和運營成果、以及艱苦協(xié)議的條款等。為董事會或審計委員會提供充分、及時的信息，以便及時獲知敏感信息、調(diào)查、不當行為〔例如：監(jiān)管機構調(diào)查、貪污、挪用公款、濫用公司財富、違反內(nèi)部人員交易法規(guī)、非法支付等〕。監(jiān)視高級管理人員的薪酬，聘用和解聘高級管理人員。建立“高層管理基調(diào)〞董事會或審計委員會根據(jù)其發(fā)現(xiàn)采取行動，包括特殊調(diào)查。Pwc普華永道財務報告合規(guī)性1.2.3.28 控制環(huán)境–管理理念和運營風格管理層的管理理念和運營風格通常對公司有艱苦影響。這些雖然是無形的，但是正面或負面影響的跡象是可以察看到的。 接受的業(yè)務風險的性質(zhì)，例如：管理層能否經(jīng)常介入特 別高風險的業(yè)務，還是在接受風險方面非常保守。 在關鍵職能部門的人員流動率，例如：運營、會計和數(shù) 據(jù)處置部門等。 管理層對數(shù)據(jù)處置和會計職能的態(tài)度，以及對財務報告4.和資產(chǎn)平安可靠性的關懷。高級管理層和業(yè)務部門管理層相互交流的頻率，特別是營運5.雙方處于不同的地域時。對財務報告的態(tài)度和行動，包括對采取的會計處置的爭議〔例如：采取保守的還是激進的會計政策；會計原那么能否被濫用了；關鍵的財務信息沒有被披露；或會計記錄被粉飾或篡改了〕。 監(jiān)控信息和溝通 控制活動 風險評價業(yè)務單位A 活 活動業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.3.29 控制環(huán)境–誠信與品德觀管理層應該向員工傳達誠信與品德規(guī)范，必需不折不扣的執(zhí)行。員工應該知曉和了解這些規(guī)定。管理層應該經(jīng)過言談和行動的方式表現(xiàn)出對品德規(guī)范的注重。 存在行為準那么及其他相關可接受的商業(yè)行為、利益沖 突、倫理的品德規(guī)范等的政策，并有效執(zhí)行。 “高層管理基調(diào)〞的建立－－包括明確的品德指點〔什么 是對的和錯的〕， 和在公司范圍內(nèi)進展溝通的程度的指點。與員工、供應 商、客戶、投資人、債務人、保險人、競爭對象和審計師等的關系。〔例如：管理層進展商業(yè)行為時，能否非常關注品德規(guī)范，能否也要求其他人遵守品德規(guī)范，還營運4.5.6.是根本不關注品德問題。〕針對違反政策和品德準那么的情況采取適當?shù)拇胧?。采取措施的范圍在公司?nèi)進展溝通。管理層對干涉或跨越既定控制制度的態(tài)度。到達不真實踐的目的的壓力，特別是那些短期目的，薪 監(jiān)控信息和溝通 控制活動 風險評價業(yè)務單位A 活 活動業(yè)動2務1單位 B酬多大程度上基于業(yè)績目的的實現(xiàn)?？刂骗h(huán)境Pwc普華永道財務報告合規(guī)性1.2.30 控制環(huán)境–勝任才干管理層應該明確規(guī)定不同任務所需求的才干級別，并將才干級別細化為必備的知識和技術。 能否存在正式和非正式的任務描畫，或其它能闡明詳細 任務的義務和責任的方式。 分析勝任任務所需求的知識和技藝。營運監(jiān)控 活活動信息和溝通 控制活動 風險評價業(yè)務單位A業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.3.31 控制環(huán)境–組織構造組織機構不應該太簡單以致于不能足夠地監(jiān)控公司的業(yè)務活動，也不應該太復雜以致于阻止了信息的順暢流動。行政人員應該完全了解他們的控制責任，并且擁有與他們的職位相稱的閱歷和知識。 公司組織構造的適當性，以及其提供管理活動必要的信 息流的才干。 關鍵經(jīng)理的職責定義，以及他們對本身職責的了解。 關鍵經(jīng)理人員充分具備其相關職責的知識和閱歷。4.5.報告關系的適當性組織構造會在何種程度上隨環(huán)境的變化而變化營運6.存在足夠數(shù)量的雇員，特別是管理和監(jiān)視人員 監(jiān)控信息和溝通 控制活動 風險評價業(yè)務單位A 活 活動業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.3.32 控制環(huán)境–權益和責任的分配責任的分配、授權和相關的政策提供了責任和控制的根底，明確了員工各自的角色。 根據(jù)公司的目的、運營職能和監(jiān)管要求，分配責任和授 權，包括信息系統(tǒng)的責任和變化的授權。 與控制相關的規(guī)范、程序的適當性，包括員工職責描 述。 職員數(shù)量的適當性，特別是數(shù)據(jù)處置和會計職能。這些 職員應具備與企業(yè)規(guī)模、業(yè)務活動和系統(tǒng)相順應的技藝程度。營運4.授權和所分配的責任相吻合。 監(jiān)控信息和溝通 控制活動 風險評價業(yè)務單位A 活 活動業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.3.4.5.33 控制環(huán)境–人力資源政策及實施人力資源政策是招聘和堅持有才干的人員，以使公司方案得以執(zhí)行，目的得以實現(xiàn)。 雇傭、培訓、提升和員工薪酬的政策及程序 員工應認識到他們的任務職責和公司對他們的期望。 對違背政策和程序的行為的校正。 人力政策與相應的品德規(guī)范一致。 核對候選人的背景，特別要思索公司不能接受的行為或活動。營運6.適當?shù)膯T工保管和提升規(guī)范、信息搜集技術〔如：任務評價等〕，與行為規(guī)范或其他行為準那么的關系。 監(jiān)控信息和溝通 控制活動 風險評價業(yè)務單位A 活 活動業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性34 風險評價企業(yè)的風險評價程序應該從企業(yè)層次和業(yè)務活動層次兩個角度識別風險，并分析其相關影響。風險評價程序還應該調(diào)查會影響目的實現(xiàn)的內(nèi)部要素和外部要素，對這些風險要素進展分析，從而為風險管理提供根據(jù)。營運監(jiān)控 活活動信息和溝通 控制活動 風險評價業(yè)務單位A業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.35 控制活動控制活動包括很多政策和相關的實施程序，以保證管理層的決策得到有效執(zhí)行。它們可以協(xié)助保證那些與影響企業(yè)目的實現(xiàn)的風險相關的措施得到實施。 針對企業(yè)的每一項業(yè)務活動都有必要和恰當?shù)恼吆统? 序。 已確定的控制行為得到恰當?shù)膱?zhí)行。營運監(jiān)控 活活動信息和溝通 控制活動 風險評價業(yè)務單位A業(yè)動2務1單位 B控制環(huán)境 Pwc 普華永道財務報告合規(guī)性1.2.3.控制環(huán)境36 信息與溝通–信息信息系統(tǒng)可以識別、獲得、處置和報告各種信息。相關的信息包括從外部獲取的行業(yè)、經(jīng)濟、監(jiān)管信息，以及內(nèi)部產(chǎn)生的信息。 獲取內(nèi)部和外部信息，向管理層報告企業(yè)既定目的的實 現(xiàn)情況。 及時向適當?shù)娜藛T匯報足夠的信息以便他們有效地履行 其職責。 信息系統(tǒng)的建立或修正基于對信息系統(tǒng)的戰(zhàn)略規(guī)劃—與 整個企業(yè)的戰(zhàn)略相連—并且著眼于實現(xiàn)企業(yè)的目的和業(yè) 務活動層次的目的。4.經(jīng)過承諾適當?shù)馁Y源——人力資源和財力資源，管理層表現(xiàn)出對開展必要的信息系統(tǒng)的支持態(tài)度。營運監(jiān)控 活活動信息和溝通 控制活動 風險評價業(yè)務單位 A業(yè)動2務1單位 BPwc普華永道1.2.3.4.5.6.7.37信息與溝通–溝通溝通貫穿于信息處置的整個過程中。溝通還存在一種更廣泛的意義，如：處置個人和團體的期望、職責。有效的溝通必需在整個企業(yè)內(nèi)進展；也包括在與外部進展溝通中。向員工傳達其職責和控制責任的有效性。建立溝通渠道供員工反映他們留意到的可疑問題。管理層對于員工提出的提高消費力、質(zhì)量的建議或其他改良建議的接受才干。整個企業(yè)內(nèi)部能否充分交流(比如，采購和消費環(huán)節(jié)的交流)；信息能否完好和及時；以及信息能否足夠滿足相關人員有效地履行職責的需求。能否有開放、有效的渠道，與客戶、供應商和外部其他方面交流不斷變化的客戶需求。外部相關方了解企業(yè)品德規(guī)范的程度在收到客戶、供應商、監(jiān)管者和其他外部人員反映的情況后，管理層采取的及時和適當?shù)膽獙Υ胧?。Pwc普華永道1.2.3.4.5.6.7.38監(jiān)控–日常監(jiān)控日常監(jiān)控發(fā)生在日常運作過程中，包括常規(guī)的管理、監(jiān)管行為，和其他一些人員在履行他們評價內(nèi)控系統(tǒng)表現(xiàn)的職責時所采取的活動。員工在從事其日?；顒訒r，在多大程度上能獲知有關內(nèi)控系統(tǒng)能否正常運作的信息。外部反映的情況證明內(nèi)部信息或揭露問題的程度。定期將會計系統(tǒng)記錄的結果與實物進展核對對內(nèi)部和外部審計師提出的加強內(nèi)控的措施做出呼應。培訓、籌備會議和其他會議向管理層