COSO内部控制框架(25页DOC).docx
《COSO内部控制框架(25页DOC).docx》由会员分享,可在线阅读,更多相关《COSO内部控制框架(25页DOC).docx(27页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、最新资料推荐COSO内部控制框架2007-11-16 15:30一、背景介绍内部控制是什么?不同的人有不同的理解。 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错,但不全面。按照现代的内控理论,这些仅仅是内部控制的一部分,而不是全部。现代内控理论认为,内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。(一)COSO内部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整
2、体框架四个阶段。在内部牵制阶段,账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法;在内部控制制度阶段,内部控制的重点是建立健全规章制度;在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面;内部控制整体框架阶段,就是我们下面将要讨论的COSO内部控制框架。在美国,20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度和方法。1973年至1976年对水门事件(美国公司进行违法的国内捐款和贿赂外国政府官员)的调查
3、使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果,美国国会于1979年通过了反国外贿赂法(简称FCPA)。FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会提出了报告内部控制整体框架(1
4、994年进行了增补), 即COSO内部控制框架。COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,萨班斯法案第 404 条款的最终细则也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。同时,对股份公司来说,这也是梳理管理流程、规
5、范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,美国各大公司也正在为此而努力,虽然这必然加大企业负担,但多数公司同股份公司一样,希望通过理解和贯彻COSO内部控制框架要求,来实现提升管理水平的目的。(二)XXX目前的内部控制体系与COSO内部控制框架的差距目前,股份公司通过多年的管理实践和积累,已经建立了一套针对XX行业的行之有效的内控体系,但与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在:内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。
6、“他山之石,可以攻玉”,COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。为此,我们需要认真学习COSO内部控制框架理论,充分认识和理解COSO内部控制框架,并在实际经营管理中积极实践,大力贯彻和实施,从而优化内部控制,完善内控体系,全面提升公司管理水平。二、COSO内部控制框架下内控制度定义(一)COSO内控框架对内部控制的定义COSO内部控制框架认为,内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。(二)对内部控制定义的理解应该从以下几个方面理解内部控制的定义:第一,内部控制是一个“过程”,
7、而且是一个动态的过程。企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止,它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,它促使经营达到预期的效果,并监督企业经营过程的持续有效进行。第二,内部控制受到“人”的因素的影响,它并不仅仅是政策手册和表格,不仅仅是管理人员、内部审计或董事会,而是组织中的每一个人,每一个人都对内部控制负有责任并受到内部控制的影响;是“人”建立企业的目标,并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限,主动地维护及改善企业的内部控制。第三,内部
8、控制无论设计和运行得多么完善,也只能为企业的管理层和董事会提供合理的保证,而不是绝对保证,因为内部控制本身具有局限性。最后,内控框架将内部控制目标分为三类:与营运有关的目标即经营的效率与效果、与财务报告有关的目标即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面,这些相互有别,相互交叉的分类满足不同的需要,并且表明了不同的执行人员的直接责任。(三) COSO内部控制框架的组成要素COSO内部控制框架认为,内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用下面模型表示
9、。l 内控环境内控环境是企业的基调、氛围,直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机,也是其他一切要素的核心,包括员工的诚信、职业道德和工作胜任能力;管理层的经营理念和经营风格;董事会或审计委员会的监管和指导力度;企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心,是构成内控环境的重要要素,又与环境相互影响、相互作用。l 风险评估风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。l 内控活动内控活
10、动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。l 信息与沟通是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。l 监督是对内部控制系统有效性进行评估的过程,可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。内控体系五要素之间的关系我们可以理解为:企业的核心是人,人的诚信、
11、道德价值观和胜任能力构成了企业的内控环境,这是企业发展的基础。每个企业都有自己的发展目标,为了目标的实现,必须分析影响因素,即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理,并在企业内部传递,这就是信息与沟通,信息与沟通系统围绕在内控活动周围,反映企业各项管理活动的运转情况。为了保证内控体系的正常运转,还需要对整个内控过程进行监督。内部控制五要素之间的配合和联系,组成了一个完整的系统,可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程,任一要素都可以影响其他要素,例如对风险的
12、评估不仅仅影响内控活动,还可能影响信息和沟通、监督行为等。COSO内部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业的内部控制可能不及大型企业正式、组织性强,但也可以是有效的。对此,本次培训以大型公司为例,未考虑中小公司的差异。三、COSO内部控制框架五要素(一)内控环境内控环境是其他控制要素的基础。内控环境因素包括:员工的诚信和道德价值观;员工的胜任能力;董事会和审计委员会;管理层的经营理念和经营风格;组织结构;管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。1、员工的诚信和道德价值观内部控制是由人建立、执行和维护的,人是内部控制有效运行的根本
13、因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容:1) 利益冲突 每一个员工都有责任将公司利益放在第一位,避免私人利益与公司利益的冲突。2) 合法性 公司要承诺在进行业务时是抱着诚实和诚信原则,并遵循所有适用的法律和规章制度。3) 及时向指定人员报告或检举揭发违规事项 员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题,向道
14、德规范委员会报告,或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则,应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度,包括匿名保护。4) 遵守道德准则的责任 明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制,甚至解雇或免职。5) 公司机遇 禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。6) 保密 机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息,包括(a)属于公司商业性机密信息(b)属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后,仍然有义务保护公司的机密信息。
15、7) 公平交易 每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众,并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关,偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下,赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。8) 公司资产的保护及恰当使用 每一个员工必须保护公司资产,包括实物资源、资产、所有权、机密信息,排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。 公司资产必须用于公司业务,符合公司政策。9) 全面、公正、正确、及时地理解财务报告及其披
16、露事项 因为公司必须提供完整、公正、及时和可理解的披露报告及文件,并存档或呈交给证监会以及公共传媒,所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控,遵循公司已有的会计准则和流程,保证交易记录的完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控,能够保证准确性,包括提供给审计和定期向证监会报告的义务。对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如道德行为手册;其次是必须让员工知晓和理解这些规定(例如:要求所有员工定期签字确认),这是执行的前提条件;最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则,
17、员工对于内控的态度通常会效仿他们的领导。另外,对违反准则的员工应予以相应惩罚;建立鼓励员工揭发违规行为的机制;以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为:l 不切实际的业绩目标,特别是短期业绩的压力(例如:为了实现预先设定的利润指标而在财务报告中虚报收入)l 将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关的财务信息)l 内控制度不存在或无效(例如:敏感业务区域未设立严格的职责分工,这为偷窃公司资产或隐藏不良行为提供了可能)。l 组织高度分散,可能导致高层管理人员不清楚基层的行为,缺少必要的监管,因此,减少了基层舞弊被发
18、现的机会。l 内部审计职能薄弱,没有及时发现和报告不正确的行为。 董事会缺少对高层管理人员的客观监管,可能导致管理人员凌驾于内控制度。ll 管理层对不正确行为的惩罚力度不够或不公开,从而失去了应有的威慑力。2、胜任能力胜任能力是要求员工具备完成工作任务所需的知识和技能,目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务,这是维护内部控制有效性的必备条件。为此,管理层需要设定工作岗位的知识和技能水平要求,在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时,一方面要根据工作的性质和所需的职业判断,考虑能力需求,另一方面还应考虑人力资源成本即薪酬(例如:没有必要雇佣一名电子工
19、程师来换一只灯泡)。3、董事会和审计委员会董事会或审计委员会的职能是实施治理、指导和监督管理层的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾于控制之上,甚至故意歪曲结果,因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要,董事会或审计委员会作用的发挥,必须具备以下条件:一是要独立于管理层,不受其影响;二是具有足够知识、行业经验和时间,以便于履行职责;三能够与财务、法律、内部审计和外部审计及时沟通,得到适当信息;四是能够控制高级管理人员的薪酬,有权聘用和解聘高级管理人员。补充说明一点,股份公司的治理结构与国外有所不同,股份公司设置监事会,其职能类似于国外审计委员会的职能,所以股份
20、公司的董事会、审计委员会和监事会都需要符合上述条件。4、管理层的经营理念和经营风格管理层的经营理念和经营风格影响企业的管理方式,包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化,它既是一切业务实现的基础,也为内部控制的实施提供了平台。它往往是企业内部一种无形的力量,影响企业成员的思维方法和行为方式,包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如,有些公司管理层的经营理念和风格较为激进,愿意承担更高的风险以追求更高的盈利回报;而有些公司的管理层则比较保守,在风险承担
21、方面表现得较为谨慎。可以看出,不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例,对风险承受力高的公司相比承受力低的公司,其设定的信用销售额度更高,以期望通过更优惠的政策吸引和保留客户,而获得更高的销售额。管理层的经营理念和经营风格还表现在:管理层对财务报告的态度,在会计政策选择方面是否谨慎,进行会计估计时是否遵循审慎性原则,对待数据处理、会计职能及人事管理等方面的态度等等。5、组织结构组织结构是权责分工的架构,在此架构中规划、执行、控制和监督为实现企业目标而进行的活动,每个企业都可根据自己的需要确定组织结构,可以是集权型,也可以是分权型,可以是直
22、接的报告关系,也可以是矩阵型组织结构,可以按产品或行业组织,也可以按地理分布或功能组织,但不论何种组织结构,应根据公司的业务性质,进行适当的集中或分散,确保信息的上传、下达和在各业务间的流动,确保企业目标的实现。6、管理层授权和职责分工权力和责任分配是指对员工进行授权和分配责任,将企业的目标层层分解落实到每个员工的头上,从而将员工的行为与企业目标联系起来,增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。7、人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序,目的是聘用和维持有能力的人员,保证公司的计划得以实施,目标得以实现。因此,人力资
23、源政策和措施应考虑如何招聘进来有能力、可信任的人员,如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求,如何通过考核、薪酬、提升等政策激励约束员工。(二)风险评估1、风险及风险评估的定义风险是任何影响目标实现的因素,所有企业,无论规模、结构和行业性质,都面临着风险,可以说有经营就有风险。风险有来自企业内部的,也有来自企业外部。为了加强对风险的控制,必须进行风险评估,风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。企业的目
24、标可以分为公司层面目标和业务活动层面目标,公司层面目标是指公司的总目标和相关战略计划,与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标,是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚,易于理解,以便从事该操作的人能实现其目标,同时还必须是可衡量的,以便于考核。实现目标需要耗费资源,因此设立目标必须考虑可获得的资源,企业应该对目标进行分析,提醒自己找出与总目标不相关的操作目标,以免资源浪费,而对实现总目标至关重要的操作目标,则优先安排资源。2、如何进行风险评估1)风险识别风险评估的过程首先是进行风险识别,风险识别需要考虑所有可能发生的风险,并且需要考虑企业和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- COSO 内部 控制 框架 25 DOC
限制150内