coso内部控制框架培训资料.docx

1、coso内部控制框架培训资料COSO内部控制框架培训资料内容提要：一、背景介绍（一）COSO内部控制框架的产生及发展过程（二）xxx目前的内部控制体系与COSO内部控制框架的差距二、COSO内部控制框架下内部控制的定义（一）COSO内部控制框架对内部控制的定义（二）对内部控制定义的理解（三）COSO内部控制框架的组成要素三、COSO内部控制框架五要素（一） 内控环境（二）风险评估（三）内控活动（四）信息与沟通（五）监督四、内部控制的局限性五、员工在内部控制中的作用和职责六、小结一、背景介绍内部控制是什么?不同的人有不同的理解。 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制

2、,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。（一）COSO内部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的

3、重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO内部控制框架。在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了反国外贿赂法（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有

4、关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告内部控制整体框架（1994年进行了增补）， 即COSO内部控制框架。COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制

5、框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，萨班斯法案第 404 条款的最终细则也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。同时，对股份公司来说，这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股

6、份公司一样，希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的。（二）XXX目前的内部控制体系与COSO内部控制框架的差距目前，股份公司通过多年的管理实践和积累，已经建立了一套针对XX行业的行之有效的内控体系，但与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在：内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。 “他山之石，可以攻玉”，COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。为此，我们需要认真学习COSO内部控制框架理论，充分认识和理解COSO内部控制框架，并在实际

7、经营管理中积极实践，大力贯彻和实施，从而优化内部控制，完善内控体系，全面提升公司管理水平。二、COSO内部控制框架下内控制度定义（一）COSO内控框架对内部控制的定义COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。（二）对内部控制定义的理解应该从以下几个方面理解内部控制的定义：第一，内部控制是一个“过程”，而且是一个动态的过程。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过

8、程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。第二，内部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是“人”建立企业的目标，并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。最后，内控框架将内部控制目标分为三类：与营运有关的目标即经营的效

9、率与效果、与财务报告有关的目标即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。（三） COSO内部控制框架的组成要素COSO内部控制框架认为，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示。内控环境内控环境是企业的基调、氛围，直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念

10、和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。风险评估风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。内控活动内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。信息与沟通是指企业经营管理所需信息必须被识别、

11、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。监督是对内部控制系统有效性进行评估的过程，可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境，这是企业发展的基础。每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时

12、与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行监督。内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响内控活动，还可能影响信息和沟通、监督行为等。COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。

13、对此，本次培训以大型公司为例，未考虑中小公司的差异。三、COSO内部控制框架五要素（一）内控环境内控环境是其他控制要素的基础。内控环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。1、员工的诚信和道德价值观内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则，是告诉

14、员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容：1）利益冲突 每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。2）合法性 公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。3）及时向指定人员报告或检举揭发违规事项 员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度，包括匿名保护。4）遵守道德准则的责任 明确员

15、工必须遵守道德准则。对违反准则的人员建立惩罚机制，甚至解雇或免职。5）公司机遇 禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。6）保密 机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息，包括（a）属于公司商业性机密信息（b）属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后，仍然有义务保护公司的机密信息。7）公平交易 每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以

16、接受的。但未得到道德委员会事先批准的情况下，赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。8）公司资产的保护及恰当使用 每一个员工必须保护公司资产，包括实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。 公司资产必须用于公司业务，符合公司政策。9）全面、公正、正确、及时地理解财务报告及其披露事项 因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控，遵循公司已有的会计准则和流程，保证交易记录的

17、完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控，能够保证准确性，包括提供给审计和定期向证监会报告的义务。对于企业来说，首要的工作是建立一套员工能够接受和理解的诚信和道德标准，如道德行为手册；其次是必须让员工知晓和理解这些规定（例如：要求所有员工定期签字确认），这是执行的前提条件；最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则，员工对于内控的态度通常会效仿他们的领导。另外，对违反准则的员工应予以相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。员工个人可能由于下列因素而卷入不诚实、非法或不道德的

18、行为：不切实际的业绩目标，特别是短期业绩的压力（例如：为了实现预先设定的利润指标而在财务报告中虚报收入）将奖金分配与业绩挂钩（例如：错报与业绩考核指标相关的财务信息）内控制度不存在或无效（例如：敏感业务区域未设立严格的职责分工，这为偷窃公司资产或隐藏不良行为提供了可能）。组织高度分散，可能导致高层管理人员不清楚基层的行为，缺少必要的监管，因此，减少了基层舞弊被发现的机会。内部审计职能薄弱，没有及时发现和报告不正确的行为。董事会缺少对高层管理人员的客观监管，可能导致管理人员凌驾于内控制度。管理层对不正确行为的惩罚力度不够或不公开，从而失去了应有的威慑力。2、胜任能力胜任能力是要求员工具备完成工作

19、任务所需的知识和技能，目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务，这是维护内部控制有效性的必备条件。为此，管理层需要设定工作岗位的知识和技能水平要求，在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时，一方面要根据工作的性质和所需的职业判断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。3、董事会和审计委员会董事会或审计委员会的职能是实施治理、指导和监督管理层的工作，如果对管理层缺乏必要的监督，管理层可能会凌驾于控制之上，甚至故意歪曲结果，因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要，董事会或审

20、计委员会作用的发挥，必须具备以下条件：一是要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够控制高级管理人员的薪酬，有权聘用和解聘高级管理人员。补充说明一点，股份公司的治理结构与国外有所不同，股份公司设置监事会，其职能类似于国外审计委员会的职能，所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。4、管理层的经营理念和经营风格管理层的经营理念和经营风格影响企业的管理方式，包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化，它既是一切业务实现的基础，也为内部控制的实施提供了平台

21、。它往往是企业内部一种无形的力量，影响企业成员的思维方法和行为方式，包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如，有些公司管理层的经营理念和风格较为激进，愿意承担更高的风险以追求更高的盈利回报；而有些公司的管理层则比较保守，在风险承担方面表现得较为谨慎。可以看出，不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例，对风险承受力高的公司相比承受力低的公司，其设定的信用销售额度更高，以期望通过更优惠的政策吸引和保留客户，而获得更高的销售

22、额。管理层的经营理念和经营风格还表现在：管理层对财务报告的态度，在会计政策选择方面是否谨慎，进行会计估计时是否遵循审慎性原则，对待数据处理、会计职能及人事管理等方面的态度等等。5、组织结构组织结构是权责分工的架构，在此架构中规划、执行、控制和监督为实现企业目标而进行的活动，每个企业都可根据自己的需要确定组织结构，可以是集权型，也可以是分权型，可以是直接的报告关系，也可以是矩阵型组织结构，可以按产品或行业组织，也可以按地理分布或功能组织，但不论何种组织结构，应根据公司的业务性质，进行适当的集中或分散，确保信息的上传、下达和在各业务间的流动，确保企业目标的实现。6、管理层授权和职责分工权力和责任分

23、配是指对员工进行授权和分配责任，将企业的目标层层分解落实到每个员工的头上，从而将员工的行为与企业目标联系起来，增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。7、人力资源政策和措施人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的计划得以实施，目标得以实现。因此，人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员，如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求，如何通过考核、薪酬、提升等政策激励约束员工。（二）风险评估1、风险及风险评估的定义风险是任何影响目标实现的因素,所有企业，无论规模、结

24、构和行业性质，都面临着风险，可以说有经营就有风险。风险有来自企业内部的，也有来自企业外部。为了加强对风险的控制，必须进行风险评估，风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。企业的目标可以分为公司层面目标和业务活动层面目标，公司层面目标是指公司的总目标和相关战略计划，与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标，是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚，易于理解，以便从事该操作的

25、人能实现其目标，同时还必须是可衡量的，以便于考核。实现目标需要耗费资源，因此设立目标必须考虑可获得的资源，企业应该对目标进行分析，提醒自己找出与总目标不相关的操作目标，以免资源浪费，而对实现总目标至关重要的操作目标，则优先安排资源。2、如何进行风险评估1）风险识别风险评估的过程首先是进行风险识别，风险识别需要考虑所有可能发生的风险，并且需要考虑企业和相关外界之间的所有重大相互影响。风险识别也是一个重复的过程，需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面：外部因素包括：技术发展影响研发的性质和时机，或带来采购的变化。（例如：出现新的、更高效的油气开采技术，未掌握相关技

26、术的公司会导致市场竞争力降低，进而影响经营目标的实现）不断变化的客户需求和期望影响产品开发、定价。（例如：纳米技术的应用，客户对产品的期望改变；）竞争影响营销和服务活动（例如：WTO导致更多具有较高竞争力国外公司进入中国市场）。新的法律和法规影响经营政策和策略（例如：萨班斯法案）。自然灾害造成损失。经济形势的变化等影响融资、资本支出和扩张决策。内部因素包括： 信息系统运行的中断影响经营运转。 雇员的素质和培训、激励的方法影响控制理念。 管理层职责的改变影响某些实施控制的方式。 企业经营活动的性质、员工对资产的接触途径产生挪用。 董事会或审计委员会无法有效履行其职责可能为管理层轻率的行为提供机会

27、。2）风险分析识别风险后，需要进行风险分析，分析的内容主要有：估计风险的重要性程度；评估风险发生的可能性（或频率、概率）；考虑如何管理风险即评估需要采取何种措施针对风险分析的结果而采取的控制活动，管理层应仔细考虑现有内控程序对于已识别的风险是否合适。如果现有程序可能已经足够或只需要执行得更好，那么就不必制定附加程序。管理层还应认识到，总会存在一些残留风险的可能性，不仅因为资源总是有限的，还因为每个内控系统都有内在局限性。因此，管理层的一项重要工作是权衡利弊，确定能够谨慎地接受多少风险，并尽力将风险控制在可接受的水平内。3）应对变化经济形势、行业和法规环境不断改变，企业业务活动不断发展。在一个环

28、境下有效的内部控制在另一环境下未必有效。风险评估的本质就是一个识别变化的环境并采取相应行动的过程，风险评估应持续地进行, 并且应特别关注下面的情形：变化的经营环境变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。新的人员新来的高层管理人员的经营风格与原先的不同。新的或经修订的信息系统能否正常运行。经营的快速增长当经营快速扩张，现有制度的局限可能导致控制失效；当程序变动或新人员增加时，现有的监督可能就不能保持充分的控制。新技术新技术被运用到生产流程或信息系统中，内部控制就很可能需要修改。新业务、产品、活动当企业进入新的商业领域或从事不熟悉的交易时，现有的控制可能就不充分了。公司重组公司

29、因为收购、合并或者业务下滑、成本控制等原因进行结构重组。重组可能导致内部裁员，职责分工的合并，或者，原来的一个重要控制岗位被取消，却没有相应的替代控制出现。很多公司重组后大量削减人员，就碰到了严重的控制缺陷。海外经营海外经营的扩张或收购带来了新的和独特的风险。例如，内控环境可能受到当地管理层文化和风俗的影响。另外，当地经济和法律环境可能带来独特的风险因素。（三）内控活动内控活动是指为确保管理层指示得以执行的政策和程序。它有助于进行风险管理和保证企业目标的实现，内控活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。1、内控活

30、动类型：控制活动可以有不同的描述方式：针对企业的不同目标，控制活动可以分为以下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动；根据控制活动的不同作用，控制活动又可以分为：预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型；根据组织中实施人员的不同，控制活动也可以分为：高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。高层复核管理层将实际业绩情况和预算相比较，将当期业绩和前期相比较，将本企业的业绩情况与竞争对手相比较，对企业主要行为进行追踪，以衡量目标实现的程度。指导并管理业务活动负责整个板块生产的领导，分地区公司、

31、分产品类别等内容审阅生产业绩报告，对照经营目标，分析其中反映出的生产管理方面的问题，并指出需要改进的方向。信息处理这类控制被用于核对交易的准确性、完整性和遵循性。如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性控制；客户订单，只有与经批准的客户文件和信用额度相符，才能被接受；交易应按连的编号记账；系统管理员对例外事项报告进行跟踪调查，必要时向主管领导报告。资产保护即实物控制对设备、存货、证券、现金及其他资产实物采取保管措施，并定期进行盘点和帐实核对。业绩指标分析采购部门的员工分析采购价格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率，通过调查异常的结果和异常的变动趋势，关注那些可能影响目标实现的问题，并提出改进方案。职责分离职责在不同人员之间的分工或分离，可以降低发生错误或不当行为的可能性。例如，交易的授权、记录和处理相关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或现金收入的处理。2、控制活动的要素 政策和程序控制活动一般包含两个要素，即：第一个要素，政策它描述应该做什么，第二个要素，程序它描述应该怎样做；政策是程序的基础，同时，程序又影响政策的执行。例如，政策要求，应该由专人定期进行存货盘点，程序即盘点本身，其实施的频率、关注的要点、存货的性质、数量等等。3、控制活动应和风险评估相