COSO控制框架和内部控制培训.ppt

COSO 控制框架和内部控制培训控制框架和内部控制培训内部控制项目内部控制项目2003年年12月月29日日此处列述的信息和观点不代表任何法律或其他形式的专业意见有关2002年萨本斯－奥克斯利法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询1议程议程1.介绍2.COSO控制框架3.COSO内部控制框架要素详述2PricewaterhouseCoopers介绍•欢迎•介绍3PricewaterhouseCoopers课程目标•介绍内部控制和COSO内部控制框架的概念•介绍COSO内部控制框架的组成要素4议程议程1.介绍2.COSO控制框架3.COSO内部控制框架要素详述5PricewaterhouseCoopers什么是内部控制？1.内部控制被定义为一个过程过程……..2.由组织的董事会、管理层和其它人员共同实施共同实施………3.被设计以提供合理保证合理保证……..4.有关以下目标的实现：·         经营经营的效果和效率·         财务报告财务报告的可靠性·         法律和法规法律和法规的遵从性6PricewaterhouseCoopersCOSO 委员会“COSO，是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。

它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会) COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成7PricewaterhouseCoopersCOSO内部控制框架的历史内部控制－整合的控制框架Treadway委员会发起委员会è反虚假财务报告委员会（反虚假财务报告委员会（Treadway委委员会）成立于员会）成立于1985年年è反虚假财务报告委员会在反虚假财务报告委员会在1987年签署了年签署了报告－号召研究并制定一个统一的内部报告－号召研究并制定一个统一的内部控制框架控制框架è1992年年9月签署了名为月签署了名为内部控制整合内部控制整合框框架架的报告的报告è2003年签署年签署“COSO－－企业风险管理企业风险管理 ”草草案案最为广泛认可的针对内部控制整合框架的国际标准最为广泛认可的针对内部控制整合框架的国际标准8PricewaterhouseCoopers内部控制框架 – COSOCOSO的关键概念的关键概念:•当内部控制被“植入”经营活动中时是最有效的•组织中不同级别的员工都对内部控制负有责任•内部控制不能够提供绝对的保证•内部控制是有效的法人治理结构的主要因素•如果没有实现公司整体范围内的风险管理，就无法建立整合的内部控制系统9PricewaterhouseCoopersCOSO目标是内部控制的前提条件COSO定义的内部控制是：内部控制是由公司董事会、管理层和其他有关人员实施，为达到以下目标提供合理保证而设计的程序(COSO及美国审计准则第319条):与公司的基本经营目标相关，包括业绩和赢利性目与公司的基本经营目标相关，包括业绩和赢利性目标和资产的保护。

标和资产的保护与财务报告的编制相关，包括公开的中期报告和财与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据务简报以及从报告提取的诸如收入等的财务数据与公司适用的法律和法规的遵守有关与公司适用的法律和法规的遵守有关目标种类是明确的，但是也是相互联系的目标种类是明确的，但是也是相互联系的经营的效果和效率经营的效果和效率财务报告的可靠性财务报告的可靠性对法律法规的遵循性对法律法规的遵循性10PricewaterhouseCoopersCOSO内部控制框架§控制活动 §确保管理活动付诸实施的政策/流程§措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监督监督§不断评估内部控制系统的表现§整合实时和独立的评估§管理层和监督活动§ 内部审计工作控制环境控制环境 §营造单位气氛－让公司员工建立内部控制§因素包括正直，道德价值，能力，权威和责任§是其他内部控制组成部分的基础§信息和沟通§及时地获取，确定并交流相关的信息§从内部和外部获取信息§使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流§风险评估 §风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使所有的五个部分必须同时作用才能使内部控制得以产生影响内部控制得以产生影响 监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动111PricewaterhouseCoopersCOSO控制框架：控制环境控制环境确定影响员工控制意识的组织的控制环境确定影响员工控制意识的组织的“基调基调”。

监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：–目标的实现是行政人员人事管理计划行政人员人事管理计划的关键部分–明确和定期的沟通以及高级行政人员高级行政人员个人承诺个人承诺将努力建立“高级管理层的基调”–有高层管理人员有高层管理人员对各种情形负责，以表示这个项目的重要性–业务管理层和高级管理层之间的会议加强了信息共享和问题解决的紧迫性紧迫性–内部审计的参与内部审计的参与反应了高级管理层的关注和控制能力–管理层决策反应了其对适当的控制环境的承诺适当的控制环境的承诺12PricewaterhouseCoopersCOSO控制框架：风险评估风险评估是指识别和分析影响目标实现的风险，帮助确定如何风险评估是指识别和分析影响目标实现的风险，帮助确定如何进行风险管理进行风险管理监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：–评估未实现目标的风险未实现目标的风险并确定高风险领域高风险领域。

制定改进计划以控制高风险领域并且风险评估应该被及时更风险评估应该被及时更新新–如果适当的话，未实现目标的风险未实现目标的风险应该与成本（包括潜在惩罚、公众形象等）平衡–所有级别的管理层所有级别的管理层都应该参与风险识别和目标确定13PricewaterhouseCoopersCOSO 控制框架：控制活动控制活动是指为保证采取适当行动以控制与组织目标实现相关控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序的风险而制定的政策和程序监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1控制目标包括：–完整性：完整性：所有的信息被输入并处理，且仅被处理一次–准确性：准确性：信息（包括静态数据）被正确的输入和处理.–有效性：有效性：交易和更新经过适当的人员的授权和批准存在有效的源文件以支持交易–接触的限制：接触的限制：只有适当的人员可以对信息进行修改公司资产被适当的保护，以防止被窃或滥用14PricewaterhouseCoopers相关的信息应该被确定和适当地沟通以保证员工承担其责任并相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。

采取适当的行动COSO控制框架：信息与沟通监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：–信息共享，信息共享，例如通过组织内各个级别的管理人员的沟通，建立一种共同责任的意识共同责任的意识–管理层明确定义每名员工的责任并向他们沟通明确定义每名员工的责任并向他们沟通–建立管理层内部和与外部各方的适当的定期沟定期沟通的流程通的流程–建立目标和标准建立目标和标准以衡量和督促及时采取改进行动15PricewaterhouseCoopersCOSO 控制框架：监控监控是不断评估内部控制系统质量的流程，包括日常监控是不断评估内部控制系统质量的流程，包括日常管理和监管活动管理和监管活动监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：–负责人明确的定义并定期的审核与其职明确的定义并定期的审核与其职责相联系的重要事件及其时间进程责相联系的重要事件及其时间进程以保证计划被适当的执行，以及是否采取了适当的改进行动（如果需要）。

–高级管理层要求相关负责人员进行进度高级管理层要求相关负责人员进行进度评估评估以确定负责人员是否考虑了风险和改进机会–定期对内部控制环境进行独立评估独立评估16PricewaterhouseCoopers内部控制成熟性模型信息处理和信息生成的可靠性和完整性错误或错报错误或错报的风险的风险最优化的内最优化的内部控制部控制阶段阶段5不可依赖的不可依赖的内部控制内部控制阶段阶段1非正式的内非正式的内部控制部控制阶段阶段2标准化的内标准化的内部控制部控制阶段阶段3受监控的内受监控的内部控制部控制阶段阶段417议程议程1.介绍2.COSO控制框架3.COSO内部控制框架要素详述18PricewaterhouseCoopersCOSO 内部控制框架详细介绍COSO评估工具：•要素工具－针对每一个内部控制要素•风险管理和控制活动工作表•总体内部控制体系评估19PricewaterhouseCoopersCOSO要素－控制环境关注点（参考分发材料）：•诚信与道德观•胜任能力•董事会或审计委员会•管理理念和经营风格•组织结构•权利和责任的分配•人力资源政策及实施20PricewaterhouseCoopers根据前面的讨论，找出以下例子中最合适的关注点；同时，如果可能，根据前面的讨论，找出以下例子中最合适的关注点；同时，如果可能，找出相关的因素：找出相关的因素： •管理层已经记录以下的审批权限：资本性支出、资金转移、付款、采购和信用审批。

•管理人员应该保证招聘说明中规定了应聘人员必要的技能，管理人员也应该参加审核和面试以保证录用的人员具备充分的能力工作说明应详细描述岗位必需的知识和技能，并且要在录用、培训、提升和辞退程序中使用这些描述•在业绩考核中注意考虑违反政策和程序的情况，并依据其严重性，对员工进行额外的培训或对相关人员进行处理COSO要素－控制环境（练习）21PricewaterhouseCoopers•在建立新的采购业务关系时，管理层应与供应商沟通公司的道德标准和行为规范管理层/内部审计人员执行商业行为审核，例如：供应商付款、差旅费报告、公司车辆使用和产品和服务赠送•明确定义公司和业务单位之间的报告责任关键公司管理人员每季度与主要业务人员进行当面沟通业务人员每周、每月或每季向管理人员提交经营报告，并在每周、每月、或每季的经营业绩审核中与管理人员进行讨论 •董事会建立一个需要管理层跟踪处理行动一览表董事会成员在每次会议上，审核该一览表以保证管理层开展了必要的跟踪活动•公司建立组织结构图，描述整个组织中不同职能、不同部门的报告责任（包括财务、税务、资金、财务报告和信息部门）COSO要素－控制环境（练习续）22PricewaterhouseCoopers•管理层已经记录以下的审批权限：资本性支出、资金转移、付款、采购和信用审批。

[ [权利和责任的分配－与责任分配相联系的授权的适当性权利和责任的分配－与责任分配相联系的授权的适当性] ]•管理人员应该保证招聘说明中规定了应聘人员必要的技能，管理人员也应该参加审核和面试以保证录用的人员具备充分的能力工作说明应详细描述岗位必需的知识和技能，并且要在录用、培训、提升和辞退程序中使用这些描述[ [胜任能力－胜任能力－ 对工作必须的知识和能力的分析对工作必须的知识和能力的分析] ]•在业绩考核中注意考虑违反政策和程序的情况，并依据其严重性，对员工进行额外的培训或对相关人员进行处理[ [人力资源政策和实施－员工了解其人力资源政策和实施－员工了解其责任和目标的程度责任和目标的程度] ]COSO要素－控制环境（建议方案）23PricewaterhouseCoopers•在建立新的采购业务关系时，管理层应与供应商沟通公司的道德标准和行为规范管理层/内部审计人员执行商业行为审核，例如：供应商付款、差旅费报告、公司车辆使用和产品和服务赠送[诚信和道德观－涉及员工、供应商、诚信和道德观－涉及员工、供应商、客户、债权方、竞争者和审计师等客户、债权方、竞争者和审计师等]•明确定义公司和业务单位之间的报告责任。

关键公司管理人员每季度与主要业务人员进行当面沟通业务人员每周、每月或每季向管理人员提交经营报告，并在每周、每月、或每季的经营业绩审核中与管理人员进行讨论 [管管理理念和经营风格－高级管理层与业务管理层沟通的频率，特别是针对异地理理念和经营风格－高级管理层与业务管理层沟通的频率，特别是针对异地经营地点的情况经营地点的情况]•董事会建立一个需要管理层跟踪处理行动一览表董事会成员在每次会议上，审核该一览表以保证管理层开展了必要的跟踪活动[董事会或审计委员会－董事会或审计委员会－董事会或审计委员会采取的行动，包括必要情况下的特殊调查董事会或审计委员会采取的行动，包括必要情况下的特殊调查]•公司建立组织结构图，描述整个组织中不同职能、不同部门的报告责任（包括财务、税务、资金、财务报告和信息部门）[组织结构－公司组织结构的适组织结构－公司组织结构的适当性，以及其提供必要的管理信息的能力当性，以及其提供必要的管理信息的能力]COSO要素－控制环境（建议方案）24PricewaterhouseCoopers风险评估是指识别和分析影响目标实现的风险，确定如何进行风险管理的基础关注点（参考分发材料）：•公司层面的目标•业务活动层面的目标•风险•应对变化COSO要素－风险评估25PricewaterhouseCoopers风险风险 :任何可能影响你实现目标任何可能影响你实现目标的因素的因素 什么是风险？26PricewaterhouseCoopers确定目标确定目标评估风险评估风险行动计划行动计划/ /责任分配责任分配分析控制分析控制目标目标目标目标, , 风险和内部控制风险和内部控制风险和内部控制风险和内部控制整合企业目标, 风险和内部控制的关系是什么?27PricewaterhouseCoopers例示：例示：经营层面：经营层面： “使用经过批准的销售价格以保证销售价格的一致性和股东价值的持续增长”“应该建立并维护工资处理程序并与管理层的标准一致”“在适当的期间，对所有发运的货物开具发票”目标28PricewaterhouseCoopers参考分发的材料－COSO参考手册针对以下目标，可能存在哪些风险？•准确地记录固定资产增加的信息，以确保资产价值的真实。

•资产的增加经过了有效的授权•固定资产的记录有接触方面的控制•购买符合生产需要的设备和材料•保证完整、准确且不重复付款COSO要素－风险评估（练习）29PricewaterhouseCoopers针对以下目标，可能存在哪些风险？－建议方案•准确地记录固定资产增加的信息，以确保资产价值的真实Ø由于缺乏固定资产方面的制度，错误地将资产费用化，造成财务报告的错误；Ø错误的记录导致决策的失误•固定资产的记录有接触方面的控制Ø由于缺乏对固定资产记录方面的接触控制，造成财务报告的错误；Ø资产的实物安全受到影响；Ø有舞弊的风险COSO要素－风险评估（练习）30PricewaterhouseCoopers针对以下目标，可能存在哪些风险？－建议方案•购买符合生产需要的设备和材料Ø购买劣质设备、部件，导致减产、停产或产品质量问题；Ø公司资金浪费Ø影响公司信誉•保证完整、准确且不重复付款Ø错误或重复付款导致公司资金损失Ø有舞弊的风险COSO要素－风险评估（练习）31PricewaterhouseCoopers控制活动是指能够保证管理层的决策得到有效执行的政策和相关的实施程序它们可以协助保证那些与影响企业目标实现的风险相关的措施得到实施。

控制活动存在与组织所有职能的各个层面，他们包括一系列的活动，例如：审批、授权、证明、核对、经营效果的审核、资产保护以及职责分工 关注点（参考分发的材料）：•针对企业的每一项业务活动都有必要和恰当的政策和程序•确定控制活动被适当的实施COSO要素－控制活动32PricewaterhouseCoopers控制种类/活动控制可以被分为预防性或发现性：控制可以被分为预防性或发现性：预防性：预防性：用于防止防止问题发生的控制机制（防止产生未经授权的分录的系统）发现性：发现性：用于发现发现问题的控制机制（通过系统登录日志定期检查系统访问）由计算机系统支持的自动化由计算机系统支持的自动化的控制为保证控制持续正常运行，为保证控制持续正常运行，应该存在总体信息系统控制应该存在总体信息系统控制控制可以是自动实现的也可以是手工实现的：控制可以是自动实现的也可以是手工实现的：手工：手工：例如－手工的核对、授权签字、信用审核和批准自动：自动：例如－付款的三单匹配，批处理控制，字段的修改/确认预防性的控制比检测性的控预防性的控制比检测性的控制更有效制更有效33PricewaterhouseCoopers控制目标： CAVR控制，可以是预防性或者是发现性的，手工执行或自动执行的，直接支持以下的控制目标：完整性准确性真实性接触限制34PricewaterhouseCoopers控制的种类组织中不同级别的人员执行的一般控制活动：Ø上级审核Ø直接的职能或业务活动管理Ø信息处理Ø实物控制Ø业绩指标Ø职责分工35PricewaterhouseCoopers参考分发的材料－COSO参考手册对于在风险评估中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目标（CAVR）：•公司能够保证有关资产化和费用化方面的政策得到贯彻执行。

公司规定原值超过XXX元和预计可使用年限超过X年的资产应被资本化〔A〕•公司能够保证遵循资产分类和可使用年限估计的政策，并向指定人员提供这些信息 〔A〕Ø指定人员负责保证资产类型和可使用年限被正确的输入固定资产管理系统Ø公司政策规定了每种类型的固定资产的最大可使用年限，并通过了管理层的批准Ø固定资产的使用年限已经编入程序，所以一旦输入固定资产的类型，系统就会自动匹配使用年限，并与公司政策保持一致Ø指定人员可以在公司的要求下修改固定资产的默认使用年限COSO要素－控制活动（练习）36PricewaterhouseCoopers参考分发的材料－COSO参考手册对于在风险评估中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目标（CAVR）：•购买符合生产需要的设备和材料Ø向授权供应商采购[A]；Ø在合同/订单中详细规定采购设备和材料的规格和设计、质量要求 [A] ；Ø检验收到的设备和材料符合合同/订单规定[A，V，C]•保证完整、准确且不重复付款Ø编制到期发票报告，根据报告进行付款 [C，A，V]Ø付款申请的审批[V]Ø由出纳付款，会计编制凭证并入帐[V]Ø对已付发票，加盖“付讫”章[A]COSO要素－控制活动（练习）37PricewaterhouseCoopers参考分发的材料－COSO参考手册针对每一个控制活动，确定必要的信息和沟通方法，并且考虑：•横向和纵向信息流（在公司层面和在部门层面）•谁负责信息和沟通•其它形式的沟通•频率（例如：每周、每月等）•跟踪要求COSO要素－信息与沟通（练习）38PricewaterhouseCoopers关注点（参考分发的材料）:•信息信息－信息系统能够识别、获得、处理和报告各种信息。

相关的信息包括从外部获取的行业、经济、监管信息，以及内部产生的信息•沟通沟通－沟通贯穿于信息处理的整个过程中沟通还存在一种更广泛的意义，如：处理个人和团体的期望、职责有效的沟通必须在整个企业内进行；也包括与外部的沟通 COSO要素－信息与沟通39PricewaterhouseCoopers•在审核公司的年度战略计划的过程中，使用从外部渠道获得的信息（例如从行业组织或贸易公会等）•公司的管理层建立信息系统指导委员会，该委员会将评价现有信息系统的充分性并提出改进建议•作为培训的一部分，对所有员工进行如下培训：员工的职责以及员工的自身职责对本部门和其它部门的员工的影响•向所有员工提供员工手册，该手册应该说明：向指定的一位高级管理人员报告所有可能违反公司政策和行为标准的行为，该报告可以采用匿名形式•销售和经营管理层与关键的客户和供应商进行沟通以获得第一手的反馈信息•外部各方的信息如果暗示了内部控制系统可能存在问题，就应该进行及时的跟踪处理（例如：对员工行为的投诉）COSO要素－信息与沟通（例示）40PricewaterhouseCoopers监控能够保证内部控制持续有效的运行监控程序包括由适当人员及时对控制的设计和执行进行评估，并采取适当的行动。

关注点（参考分发的材料）•持续监控 – 在日常运作过程中•独立评估 – 对内部控制的重新审视•报告缺陷 – 内控缺陷应该向上汇报，某些问题应向高级管理层和董事会汇报 COSO要素－监控41PricewaterhouseCoopers•高级管理层主动的参与经营活动，与供应商和客户保持直接的联系并且经常性的检查财务和管理报告•存货盘点每年进行两次，并且将实际存货数量与存货永续记录比较任何的差异被及时的调查和跟踪处理•对固定资产进行盘点，并与固定资产登记簿进行比较•高级管理层和审计委员会审核内部和外部审计师的建议，并针对建议采取适当的行动•委托第三方评价内部控制系统以确定是否存在经营活动的重大变化•存在获取和报告缺陷的政策例如：市场部门将客户投诉与适当的部门（入生产或运输部门）进行沟通•对确定的缺陷的跟踪处理活动进行监控，并报告给适当的高级管理层COSO要素－监控（例示）42PricewaterhouseCoopers参考分发的材料－COSO参考手册对于每一个控制活动，确定需要进行的监控控制：•购买符合生产需要的设备和材料Ø向授权供应商采购 – 定期复核/更新授权供应商名单Ø在合同/订单中详细规定采购设备和材料的规格和设计、质量要求 - 这些要求必须由技术人员参与制订；Ø检验收到的设备和材料符合合同/订单规定[A，V，C] –技术人员参加必须检验。

•保证完整、准确且不重复付款Ø编制到期发票报告，根据报告进行付款Ø付款申请的审批[V] –出纳对付款报告、发票等单据进行独立复核Ø由出纳付款，会计编制凭证并入帐Ø对已付发票，加盖“付讫”章到底- 会计对付款单据进行COSO要素－监控（练习）43问题问题?44。