COSO控制框架和内部控制培训.ppt

COSO控制框架和内部控制培训.ppt

《COSO控制框架和内部控制培训.ppt》由会员分享，可在线阅读，更多相关《COSO控制框架和内部控制培训.ppt（44页珍藏版）》请在冰豆网上搜索。

COSO控制框架和内部控制培训控制框架和内部控制培训内部控制项目内部控制项目2003年年12月月29日日此处列述的信息和观点不代表任何法律或其他形式的专业意见。

有关2002年萨本斯奥克斯利法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询。

1议程议程介绍COSO控制框架COSO内部控制框架要素详述2PricewaterhouseCoopers介绍欢迎介绍3PricewaterhouseCoopers课程目标介绍内部控制和COSO内部控制框架的概念介绍COSO内部控制框架的组成要素4议程议程介绍COSO控制框架COSO内部控制框架要素详述5PricewaterhouseCoopers什么是内部控制？

1.内部控制被定义为一个过程过程.2.由组织的董事会、管理层和其它人员共同实施共同实施3.被设计以提供合理保证合理保证.4.有关以下目标的实现：

经营经营的效果和效率财务报告财务报告的可靠性法律和法规法律和法规的遵从性6PricewaterhouseCoopersCOSO委员会“COSO，是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。

它从属于1985年成立的反虚假财务报告委员会（也被称为Treadway委员会）。

COSO由美国注册会计师协会（AICPA）、内部审计协会（IIA）、财务经理协会（FEI）、美国会计学会（AAA）、管理会计学会（IMA）等多个专业团体组成。

7PricewaterhouseCoopersCOSO内部控制框架的历史内部控制整合的控制框架Treadway委员会发起委员会反虚假财务报告委员会（反虚假财务报告委员会（Treadway委委员会）成立于员会）成立于1985年年反虚假财务报告委员会在反虚假财务报告委员会在1987年签署了年签署了报告号召研究并制定一个统一的内部报告号召研究并制定一个统一的内部控制框架控制框架1992年年9月签署了名为月签署了名为内部控制整合内部控制整合框框架架的报告的报告2003年签署年签署“COSO企业风险管理企业风险管理”草草案案最为广泛认可的针对内部控制整合框架的国际标准最为广泛认可的针对内部控制整合框架的国际标准8PricewaterhouseCoopers内部控制框架COSOCOSO的关键概念的关键概念:

当内部控制被“植入”经营活动中时是最有效的组织中不同级别的员工都对内部控制负有责任内部控制不能够提供绝对的保证内部控制是有效的法人治理结构的主要因素如果没有实现公司整体范围内的风险管理，就无法建立整合的内部控制系统9PricewaterhouseCoopersCOSO目标是内部控制的前提条件COSO定义的内部控制是：

内部控制是由公司董事会、管理层和其他有关人员实施，为达到以下目标提供合理保证而设计的程序（COSO及美国审计准则第319条）:

与公司的基本经营目标相关，包括业绩和赢利性目与公司的基本经营目标相关，包括业绩和赢利性目标和资产的保护。

标和资产的保护。

与财务报告的编制相关，包括公开的中期报告和财与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据务简报以及从报告提取的诸如收入等的财务数据与公司适用的法律和法规的遵守有关与公司适用的法律和法规的遵守有关目标种类是明确的，但是也是相互联系的目标种类是明确的，但是也是相互联系的经营的效果和效率经营的效果和效率财务报告的可靠性财务报告的可靠性对法律法规的遵循性对法律法规的遵循性10PricewaterhouseCoopersCOSO内部控制框架控制活动确保管理活动付诸实施的政策/流程。

措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。

监督监督不断评估内部控制系统的表现。

整合实时和独立的评估。

管理层和监督活动。

内部审计工作。

控制环境控制环境营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使所有的五个部分必须同时作用才能使内部控制得以产生影响内部控制得以产生影响监控监控信息信息和沟通和沟通控制控制活动活动风险评估风险评估控制控制环境环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1监控监控信息信息和沟通和沟通控制控制活动活动风险评估风险评估控制控制环境环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动111PricewaterhouseCoopersCOSO控制框架：

控制环境控制环境确定影响员工控制意识的组织的控制环境确定影响员工控制意识的组织的“基调基调”。

监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：

目标的实现是行政人员人事管理计划行政人员人事管理计划的关键部分。

明确和定期的沟通以及高级行政人员高级行政人员个人承诺个人承诺将努力建立“高级管理层的基调”。

有高层管理人员有高层管理人员对各种情形负责，以表示这个项目的重要性业务管理层和高级管理层之间的会议加强了信息共享和问题解决的紧迫性紧迫性。

内部审计的参与内部审计的参与反应了高级管理层的关注和控制能力。

管理层决策反应了其对适当的控制环境的承诺适当的控制环境的承诺。

12PricewaterhouseCoopersCOSO控制框架：

风险评估风险评估是指识别和分析影响目标实现的风险，帮助确定如何风险评估是指识别和分析影响目标实现的风险，帮助确定如何进行风险管理。

进行风险管理。

监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：

评估未实现目标的风险未实现目标的风险并确定高风险领域高风险领域。

制定改进计划以控制高风险领域。

并且风险评估应该被及时更风险评估应该被及时更新新。

如果适当的话，未实现目标的风险未实现目标的风险应该与成本（包括潜在惩罚、公众形象等）平衡。

所有级别的管理层所有级别的管理层都应该参与风险识别和目标确定。

13PricewaterhouseCoopersCOSO控制框架：

控制活动控制活动是指为保证采取适当行动以控制与组织目标实现相关控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序。

的风险而制定的政策和程序。

监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1控制目标包括：

完整性：

完整性：

所有的信息被输入并处理，且仅被处理一次。

准确性：

准确性：

信息（包括静态数据）被正确的输入和处理.有效性：

有效性：

交易和更新经过适当的人员的授权和批准。

存在有效的源文件以支持交易。

接触的限制：

接触的限制：

只有适当的人员可以对信息进行修改。

公司资产被适当的保护，以防止被窃或滥用。

14PricewaterhouseCoopers相关的信息应该被确定和适当地沟通以保证员工承担其责任并相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。

采取适当的行动。

COSO控制框架：

信息与沟通监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：

信息共享，信息共享，例如通过组织内各个级别的管理人员的沟通，建立一种共同责任的意识共同责任的意识。

管理层明确定义每名员工的责任并向他们沟通明确定义每名员工的责任并向他们沟通。

建立管理层内部和与外部各方的适当的定期沟定期沟通的流程通的流程。

建立目标和标准建立目标和标准以衡量和督促及时采取改进行动。

15PricewaterhouseCoopersCOSO控制框架：

监控监控是不断评估内部控制系统质量的流程，包括日常监控是不断评估内部控制系统质量的流程，包括日常管理和监管活动。

管理和监管活动。

监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：

负责人明确的定义并定期的审核与其职明确的定义并定期的审核与其职责相联系的重要事件及其时间进程责相联系的重要事件及其时间进程以保证计划被适当的执行，以及是否采取了适当的改进行动（如果需要）。

高级管理层要求相关负责人员进行进度高级管理层要求相关负责人员进行进度评估评估以确定负责人员是否考虑了风险和改进机会。

定期对内部控制环境进行独立评估。

独立评估。

16PricewaterhouseCoopers内部控制成熟性模型信息处理和信息生成的可靠性和完整性错误或错报错误或错报的风险的风险最优化的内最优化的内部控制部控制阶段阶段5不可依赖的不可依赖的内部控制内部控制阶段阶段1非正式的内非正式的内部控制部控制阶段阶段2标准化的内标准化的内部控制部控制阶段阶段3受监控的内受监控的内部控制部控制阶段阶段417议程议程1.介绍2.COSO控制框架3.COSO内部控制框架要素详述18PricewaterhouseCoopersCOSO内部控制框架详细介绍COSO评估工具：

要素工具针对每一个内部控制要素风险管理和控制活动工作表总体内部控制体系评估19PricewaterhouseCoopersCOSO要素控制环境关注点（参考分发材料）：

诚信与道德观胜任能力董事会或审计委员会管理理念和经营风格组织结构权利和责任的分配人力资源政策及实施20PricewaterhouseCoopers根据前面的讨论，找出以下例子中最合适的关注点；同时，如果可能，根据前面的讨论，找出以下例子中最合适的关注点；同时，如果可能，找出相关的因素：

找出相关的因素：

管理层已经记录以下的审批权限：

资本性支出、资金转移、付款、采购和信用审批。

管理人员应该保证招聘说明中规定了应聘人员必要的技能，管理人员也应该参加审核和面试以保证录用的人员具备充分的能力。

工作说明应详细描述岗位必需的知识和技能，并且要在录用、培训、提升和辞退程序中使用这些描述。

在业绩考核中注意考虑违反政策和程序的情况，并依据其严重性，对员工进行额外的培训或对相关人员进行处理。

COSO要素控制环境（练习）21PricewaterhouseCoopers在建立新的采购业务关系时，管理层应与供应商沟通公司的道德标准和行为规范。

管理层/内部审计人员执行商业行为审核，例如：

供应商付款、差旅费报告、公司车辆使用和产品和服务赠送。

明确定义公司和业务单位之间的报告责任。

关键公司管理人员每季度与主要业务人员进行当面沟通。

业务人员每周、每月或每季向管理人员提交经营报告，并在每周、每月、或每季的经营业绩审核中与管理人员进行讨论。

董事会建立一个需要管理层跟踪处理行动一览表。

董事会成员在每次会议上，审核该一览表以保证管理层开展了必要的跟踪活动。

公司建立组织结构图，描述整个组织中不同职能、不同部门的报告责任（包括财务、税务、资金、财务报告和信息部门）COSO要素控制环境（练习续）22PricewaterhouseCoopers管理层已经记录以下的审批权限：

资本性支出、资金转移、付款、采购和信用审批。

权利和责任的分配与责任分配相联系的授权的适当性权利和责任的分配与责任分配相联系的授权的适当性管理人员应该保证招聘说明中规定了应聘人员必要的技能，管理人员也应该参加审核和面试以保证录用的人员具备充分的能力。

工作说明应详细描述岗位必需的知识和技能，并且要在录用、培训、提升和辞退程序