2023年-COSO内部控制框架.docx
《2023年-COSO内部控制框架.docx》由会员分享,可在线阅读,更多相关《2023年-COSO内部控制框架.docx(34页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、COSO内部控制框架 2007-11-16 15:30一、背景介绍内部控制是什么?不同的人有不同的理解。一般的人把内部 控制理解为组织为了减少决策失误和工作缺陷而实施的控 制,这些控制可能是内部监督、也可能是管理手册、规章制 度等。这种理解没有错,但不全面。按照现代的内控理论, 这些仅仅是内部控制的一部分,而不是全部。现代内控理论 认为,内部控制是一个相关系统化的框架,它建立在风险管 理的基础上,包括内控环境、风险分析、内控活动、信息与 沟通、监督五大要素。(一)COSO内部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程,大致可以区分 为内部牵制、内部控制制度、内部控制结构与内
2、部控制整体 框架四个阶段。在内部牵制阶段,账目间的相互核对是内控 的主要合适的内容,设定岗位分离是内控的主要方式,这在 早期被认为是确保所有账目正确无误的一种理想控制方式 方法;在内部控制制度阶段,内部控制的重点是建立健全规 章制度;在内部控制结构阶段,内部控制被认为是为合理保 证企业特定目标的实现而建立的各种政策和程序,分为内控 环境、会计制度和控制程序三个方面;内部控制整体框架阶 段,就是我们下面将要讨论的COSO内部控制框架。护公司资产,包括实物资源、资产、所有权、机密信息,排 除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该 报告给经理或法律部门。公司资产必须用于公司业务,符 合公
3、司政策。9)全面、公正、正确、及时地理解财务报告及其披露事项 因为公司必须提供完整、公正、及时和可理解的披露报告及 文件,并存档或呈交给证监会以及公共传媒,所以每一个员 工都有责任保证会计记录的准确性。管理层必须建立和保持 适当的内控,遵循公司已有的会计准则和流程,保证交易记 录的完整和准确。禁止干扰或不正当的影响公司财务报表审 计。要求证实会计记录和报表受控,能够保证准确性,包括 提供给审计和定期向证监会报告的义务。对于企业来说,首要的工作是建立一套员工能够接受和理解 的诚信和道德标准,如道德行为手册;其次是必须让员工知 晓和理解这些规定(例如:要求所有员工定期签字确认), 这是执行的前提条
4、件;最后就是贯彻执行。在公司内传递道 德标准的最有效方式是管理层以身作则,员工对于内控的态 度通常会效仿他们的领导。另外,对违反准则的员工应予以 相应惩罚;建立鼓励员工揭发违规行为的机制;以及对未能 汇报违规行为员工的教育培训都具有特别重要的意义。员工个人可能由于下列因素而卷入不诚实、非法或不道德的 行为:X不切实际的业绩目标,特别是短期业绩的压力(例如:为 了实现预先设定的利润指标而在财务报告中虚报收入)九将奖金分配与业绩挂钩(例如:错报与业绩考核指标相关 的财务信息)九内控制度不存在或无效(例如:敏感业务区域未设立严格 的职责分工,这为偷窃公司资产或隐藏不良行为提供了可 能)。九组织高度分
5、散,可能导致高层管理人员不清楚基层的行 为,缺少必要的监管,因此,减少了基层舞弊被发现的机会。X内部审计职能薄弱,没有及时发现和报告不正确的行为。 董事会缺少对高层管理人员的客观监管,可能导致管理人员凌驾于内控制度。入九管理层对不正确行为的惩罚力度不够或不公开,从而失去 了应有的威慑力。2、胜任相关能力胜任相关能力是要求员工具备完成工作任务所需的知识和 技能,目的是保证员工能够正确理解相关规定、及时恰当分 析和处理业务,这是维护内部控制有效性的必备条件。为此,管理层需要设定工作岗位的知识和技能水平要求,在 招聘、选用员工时作为评选的标准或条件。在设定工作所需 知识和技能时,一方面要根据工作的性
6、质和所需的职业判 断,考虑相关能力相关需求,另一方面还应考虑人力资源成 本即薪酬(例如:没有必要雇佣一名电子工程师来换一只灯 泡)。3、董事会和审计委员会董事会或审计委员会的职能是实施治理、指导和监督管理层 的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾 于控制之上,甚至故意歪曲结果,因此董事会或审计委员会 监督作用对确保内部控制的有效性十分重要,董事会或审计 委员会作用的发挥,必须具备以下条件:一是要独立于管理 层,不受其影响;二是具有足够知识、行业经验和时间,以 便于履行职责;三能够与财务、法律、内部审计和外部审计 及时沟通,得到适当信息;四是能够控制高级管理人员的薪 酬,有权聘用和
7、解聘高级管理人员。补充说明一点,股份公司的治理结构与国外有所不同,股份 公司设置监事会,其职能类似于国外审计委员会的职能,所 以股份公司的董事会、审计委员会和监事会都需要符合上述 条件。4、管理层的经营理念和经营风格管理层的经营理念和经营风格影响企业的管理方式,包括面 对各种风险的态度。管理层的经营理念和经营风格形成了企 业文化,它既是一切业务实现的基础,也为内部控制的实施 提供了整体平台。它往往是企业内部一种无形的力量,影响 企业成员的思维方式方法和行为方式,包括企业承受营业风 险的种类、整个企业的管理方式、企业管理阶层对法规的反 应、对企业财务的重视程度以及对人力资源的政策及看法 等。它们
8、都深深地影响着内部控制的成效。例如,有些公司 管理层的经营理念和风格较为激进,愿意承担更高的风险以 追求更高的盈利回报;而有些公司的管理层则比较保守,在 风险承担方面表现得较为谨慎。可以看出,不同的经营理念 和风格决定了管理层在承担风险方面采取不同的态度和做 出不同的决策。以销售信贷政策为例,对风险承受力高的公 司相比承受力低的公司,其设定的信用销售额度更高,以期 望通过更优惠的政策吸引和保留客户,而获得更高的销售 额。管理层的经营理念和经营风格还表现在:管理层对财务 报告的态度,在会计政策选择方面是否谨慎,进行会计估计 时是否遵循审慎性原则,对待数据处理、会计职能及人事管 理等方面的态度等等
9、。5、组织结构组织结构是权责分工的架构,在此架构中规划、执行、控制 和监督为实现企业目标而进行的活动,每个企业都可根据自 己的需要确定组织结构,可以是集权型,也可以是分权型, 可以是直接的报告关系,也可以是矩阵型组织结构,可以按 产品或行业组织,也可以按地理分布或功能组织,但不论何 种组织结构,应根据公司的业务性质,进行适当的集中或分 散,确保信息的上传、下达和在各业务间的流动,确保企业 目标的实现。6、管理层授权和职责分工权力和责任分配是指对员工进行授权和分配责任,将企业的 目标层层分解落实到每个员工的头上,从而将员工的行为与 企业目标联系起来,增强员工的自主控制意识。权力与责任 分配的关键
10、是权力与责任的对等。7、人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、 薪酬等方面的政策和程序,目的是聘用和维持有相关能力的 人员,保证公司的计划得以实施,目标得以实现。因此,人 力资源政策和措施应考虑如何招聘进来有相关能力、可信任 的人员,如何进行相关培训使员工意识到他们的工作职责和 公司对他们的要求,如何通过考核、薪酬、提高等政策激励 约束员工。(二)风险评估1、风险及风险评估的定义风险是任何影响目标实现的因素,所有企业,无论规模、结 构和行业性质,都面临着风险,可以说有经营就有风险。风 险有来自企业内部的,也有来自企业外部。为了加强对风险的控制,必须进行风险评估,
11、风险评估是指 对相关风险进行识别和分析,是发现和分析那些影响目标实 现的风险的过程,是确定如何管理和控制风险的基础。风险 评估的前提条件是设立目标,只有先确立了目标,管理层才 能针对目标确定风险并采取必要的行动来管理风险。企业的目标可以分为公司层面目标和业务活动层面目标,公 司层面目标是指公司的总目标和相关战略计划,与高层次资 源的分配和优先利用相关。业务活动层面的目标是总目标的 子目标,是针对企业业务活动的更加专门化的目标。业务活 动层面的目标应该清楚,易于理解,以便从事该操作的人能 实现其目标,同时还必须是可衡量的,以便于考核。实现目标需要耗费资源,因此设立目标必须考虑可获得的资 源,企业
12、应该对目标进行分析,提醒自己找出与总目标不相 关的操作目标,以免资源浪费,而对实现总目标至关重要的 操作目标,则优先安排资源。2、如何进行风险评估1)风险识别风险评估的过程首先是进行风险识别,风险识别需要考虑所 有可能发生的风险,并且需要考虑企业和相关外界之间的所 有重大相互影响。风险识别也是一个重复的过程,需要针对 环境的变化持续进行。导致企业经营风险的因素包括内部和 外部两个方面:外部因素包括:X相关技术发展一一影响研发的性质和时机,或带来采购的变化。(例如:出现新的、更高效的油气开采相关技术,未掌握相关相关技术的公司会导致市场竞争力降低,进而影响经营目标的实现)X不断变化的客户相关需求和
13、期望一一影响产品开发、定 价。(例如:纳米相关技术的应用,客户对产品的期望改变;) 九竞争一一影响营销和服务活动(例如:WTO导致更多具有 较高竞争力国外公司进入中国市场)。九新的法律和法规一一影响经营政策和策略(例如:萨班斯 法案)。自然灾害造成损失。入X经济形势的变化等一一影响融资、资本支出和扩张决策。 内部因素包括:信息相关系统运行的中断一一影响经营运转。大九雇员的素质和培训、激励的方式方法一一影响控制理念。 管理层职责的改变一一影响某些实施控制的方式。入九企业经营活动的性质、员工对资产的接触途径一一产生挪 用。九董事会或审计委员会无法有效履行其职责一一可能为管 理层轻率的行为提供机会。
14、2)风险分析识别风险后,需要进行风险分析,分析的合适的内容主要有: 九估计风险的重要性程度;评估风险发生的可能性(或频率、概率);XX考虑如何管理风险一一即评估需要采取何种措施 针对风险分析的结果而采取的控制活动,管理层应仔细考虑 现有内控程序对于已识别的风险是否合适。如果现有程序可 能已经足够或只需要执行得更好,那么就不必制定附加程 序。管理层还应认识到,总会存在一些残留风险的可能性,不仅 因为资源总是有限的,还因为每个内控相关系统都有内在局 限性。因此,管理层的一项重要工作是权衡利弊,确定能够 谨慎地接受多少风险,并尽力将风险控制在可接受的水平 内。3)应对变化经济形势、行业和法规环境不断
15、改变,企业业务活动不断发 展。在一个环境下有效的内部控制在另一环境下未必有效。 风险评估的本质就是一个识别变化的环境并采取相应行动 的过程,风险评估应持续地进行,并且应特别关注下面的情 形:变化的经营环境一一变化的法律或经济环境可能导致竞争 压力的增加和显著不同的风险。入X新的人员一一新来的高层管理人员的经营风格与原先的 不同。新的或经修订的信息相关系统一一能否正常运行。入X经营的快速增长一一当经营快速扩张,现有制度的局限可 能导致控制失效;当程序变动或新人员增加时,现有的监督 可能就不能保持充分的控制。X新相关技术一一新相关技术被运用到生产流程或信息相 关系统中,内部控制就很可能需要修改。九
16、新业务、产品、活动一一当企业进入新的商业领域或从事 不熟悉的交易时,现有的控制可能就不充分了。九公司重组一一公司因为收购、合并或者业务下滑、成本控 制等原因进行结构重组。重组可能导致内部裁员,职责分工 的合并,或者,原来的一个重要控制岗位被取消,却没有相 应的替代控制出现。很多公司重组后大量削减人员,就碰到 了严重的控制缺陷。X海外经营一一海外经营的扩张或收购带来了新的和独特 的风险。例如,内控环境可能受到当地管理层文化和风俗的 影响。另外,当地经济和法律环境可能带来独特的风险因素。(三)内控活动内控活动是指为确保管理层指示得以执行的政策和程序。它 有助于进行风险管理和保证企业目标的实现,内控
17、活动贯穿 于企业的所有层次和部门。它们包括一系列不同的活动,如 审批、授权、确认、核对、审核经营业绩、资产保护以及职 责分工等。1、内控活动类型:控制活动可以有不同的描述方式:针对企业的不同目标,控制活动可以分为以下三个类型:即 为提高经营效果效果、增强财务报告的可靠性、遵守法规等 目标的三类控制活动;根据控制活动的不同作用,控制活动又可以分为:预防性控 制、检查性控制、指导性控制、纠错性控制、补偿性控制等 五种类型;根据组织中实施人员的不同,控制活动也可以分为:高层复 核、指导并管理业务活动、信息处理、实物控制、业绩指标 分析、职责分离等。九高层复核一一管理层将实际业绩情况和预算相比较,将当
18、 期业绩和前期相比较,将本企业的业绩情况与竞争对手相比 较,对企业主要行为进行追踪,以衡量目标实现的程度。九指导并管理业务活动一一负责整个板块生产的领导,分地 区公司、分产品类别等合适的内容审阅生产业绩报告,对照 经营目标,分析其中反映出的生产管理方面的相关问题,并 指出需要改进的方向。X信息处理一一这类控制被用于核对交易的准确性、完整性 和遵循性。如:相关系统对数据录入设定编辑复核功能,并 对数据修改实行相关系统性控制;客户订单,只有与经批准 的客户文件和信用额度相符,才能被接受;交易应按连的编 号记账;相关系统管理员对例外事项报告进行跟踪调查,必 要时向主管领导报告。在美国,20世纪70年
19、代中期,与内部控制有关的活动大部 分集中在制度的设计和审计方面,重在改进内部控制制度和 方式方法。1973年至1976年对水门事件(美国公司进行违 法的国内捐款和贿赂外国政府官员)的调查使得立法机关与 行政机关开始注意到内部控制相关问题。针对调查的结果, 美国国会于1979年通过了反国外贿赂法(简称FCPA)。 FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内 部控制有关的条款。因此美国许多机构都加强了对内部控制 的研究并提出许多建议。1985年,由美国注册会计师协会、 会计协会、财务主管协会、内部审计师协会、管理会计师协 会联合创建了反虚假财务报告委员会,该委员会旨在探讨财 务报告中
20、的舞弊产生的原因,并寻找解决措施。两年后,该 委员会提出了很多有价值的建议。基于该委员会的建议,其 赞助机构成立COSO委员会,专门研究内部控制相关问题。 1992年9月,COSO委员会提出了报告内部控制整体 框架(1994年进行了增补),即COSO内部控制框架。 COSO内控框架的提出标志着内部控制理论发展到新的阶段, 对企业完善和优化内部控制、增强风险防范相关能力具有十 分重要的意义。COSO内部控制框架之所以被广泛地选择作为 构建和完善内部控制体系的标准,是因为:虽然COSO内部 控制框架并非唯一的内部控制框架,但却是美国证券交易委 员会唯一推荐使用的内部控制框架,萨班斯法案第404X资
21、产保护即实物控制一一对设备、存货、证券、现金及其 他资产实物采取保管措施,并定期进行盘点和帐实核对。九业绩指标分析一一采购部门的员工分析采购价格变动、紧 急采购订单占全部订单的比率、退货订单占全部订单的比 率,通过调查异常的结果和异常的变动趋势,关注那些可能 影响目标实现的相关问题,并提出改进解决方案。九职责分离一一职责在不同人员之间的分工或分离,可以降 低发生错误或不当行为的可能性。例如,交易的授权、记录 和处理相关资产的职责应予以分离;授权赊销的经理应不负 责应收账款的记录或现金收入的处理。2、控制活动的要素一政策和程序控制活动一般包含两个要素,即:第一个要素,政策一它描 述应该做什么,第
22、二个要素,程序一它描述应该怎样做;政 策是程序的基础,同时,程序又影响政策的执行。例如,政 策要求,应该由专人定期进行存货盘点,程序即盘点本身, 其实施的频率、关注的要点、存货的性质、数量等等。3、控制活动应和风险评估相结合管理层在进行风险评估的同时,应该针对该特定风险找出并 实施有效的措施,这些针对某项特定风险的具体措施也就是 建立控制活动的要素,它有助于保证控制活动得以及时、有 效地实施。4、信息相关系统的控制随着信息相关技术的发展,大多数企业,包括小公司或大公 司的部门,都引进、建立和运用了现代化信息处理相关系统, 现代化的信息相关系统不仅提高了企业的工作效果,而且也 改变企业的经营方式
23、和方式方法,甚至影响企业的战略规 划,因此信息相关系统的控制十分重要。信息相关系统内控活动可分为两大类。第一类是一般性控制 适用多数应用相关系统并协助确保其持续、正确地运 行,包括对数据中心操作、相关系统软件的购买和维护、数 据的安全、以及应用相关系统开发和维护的控制。第二类是 应用性控制,包括应用软件中的电算化步骤,以及用以控制 不同种类交易处理过程的相关手工操作程序,它是保证交易 处理的完整性、准确性、交易授权和有效性的内部控制。例 如,公司的销售政策规定给予金额在20万以上订单以8折 优惠;相关系统根据事先的设定,对于20万以上的订单自 动给予20%的折扣优惠,而对于20万以下订单仅允许
24、全价销 售。这两类对计算机相关系统的控制是相互关联的。一般性控制 用于保证建立在计算机程序基础上的应用性控制得以实施。(四)信息和沟通信息和沟通是指相关信息以某种形式并在某个时段被识别、 获得和沟通,以促使员工履行自己的职责。这里所说的信息 是指来源于企业内部及外部,与企业经营相关的财务及非财 务的信息。信息必须在一定的时限内传递给需要的人,以协 助人们行使各自的控制和其它职能。沟通则是指信息在企业 内部各层次、各部门,在企业与顾客、供应商、监管者和股 东等外部环境之间的流动。有效的沟通必须广泛的进行,自上而下、自下而上地贯穿整 个组织。所有人员都要从高级管理层获得明确的信息:必须 认真对待控
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 COSO 内部 控制 框架
限制150内