COSO内部控制框架培训资料内容提要:一、背景介绍(一)COSO内部控制框架的产生及发展过程(二)中石油目前的内部控制体系与COSO内部控制框架的差距二、COSO内部控制框架下内部控制的定义(一)COSO内部控制框架对内部控制的定义(二)对内部控制定义的理解(三)COSO内部控制框架的组成要素三、COSO内部控制框架五要素(一)内控环境(二)风险评估(三)内控活动(四)信息与沟通(五)监督四、内部控制的局限性五、员工在内部控制中的作用和职责六、小结一、背景介绍内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错,但不全面。按照现代的内控理论,这些仅仅是内部控制的一部分,而不是全部。现代内控理论认为,内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。(一)COSO内部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段,账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法;在内部控制制度阶段,内部控制的重点是建立健全规章制度;在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面;内部控制整体框架阶段,就是我们下面将要讨论的COSO内部控制框架。在美国,20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度和方法。1973年至1976年对水门事件(美国公司进行违法的国内捐款和贿赂外国政府官员)的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果,美国国会于1979年通过了《反国外贿赂法》(简称FCPA)。FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。两年后,该委员会提出了很多有价值的建议。基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。1992年9月,COSO委员会提出了报告《内部控制——整体框架》(1994年进行了增补),即COSO内部控制框架。COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯法案》第404条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。同时,对股份公司来说,这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,美国各大公司也正在为此而努力,虽然这必然加大企业负担,但多数公司同股份公司一样,希望通过理解和贯彻COSO内部控制框架要求,来实现提升管理水平的目的。(二)中石油目前的内部控制体系与COSO内部控制框架的差距目前,股份公司通过多年的管理实践和积累,已经建立了一套针对石油行业的行之有效的内控体系,但与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在:内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。“他山之石,可以攻玉”,COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。为此,我们需要认真学习COSO内部控制框架理论,充分认识和理解COSO内部控制框架,并在实际经营管理中积极实践,大力贯彻和实施,从而优化内部控制,完善内控体系,全面提升公司管理水平。二、COSO内部控制框架下内控制度定义(一)COSO内控框架对内部控制的定义COSO内部控制框架认为,内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。(二)对内部控制定义的理解应该从以下几个方面理解内部控制的定义:第一,内部控制是一个“过程”,而且是一个动态的过程。企业的经营活动是永不停止的,企业的内部控制过程也因此不会停止,它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,它促使经营达到预期的效果,并监督企业经营过程的持续有效进行。第二,内部控制受到“人”的因素的影响,它并不仅仅是政策手册和表格,不仅仅是管理人员、内部审计或董事会,而是组织中的每一个人,每一个人都对内部控制负有责任并受到内部控制的影响;是“人”建立企业的目标,并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限,主动地维护及改善企业的内部控制。第三,内部控制无论设计和运行得多么完善,也只能为企业的管理层和董事会提供合理的保证,而不是绝对保证,因为内部控制本身具有局限性。最后,内控框架将内部控制目标分为三类:与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面,这些相互有别,相互交叉的分类满足不同的需要,并且表明了不同的执行人员的直接责任。(三)COSO内部控制框架的组成要素COSO内部控制框架认为,内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用下面模型表示。内控活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。内控环境营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1内控环境——内控环境是企业的基调、氛围,直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机,也是其他一切要素的核心,包括员工的诚信、职业道德和工作胜任能力;管理层的经营理念和经营风格;董事会或审计委员会的监管和指导力度;企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心,是构成内控环境的重要要素,又与环境相互影响、相互作用。风险评估——风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险,影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。内控活动——内控活动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。信息不仅包括内部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。监督——是对内部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。内控体系五要素之间的关系我们可以理解为:企业的核心是人,人的诚信、道德价值观和胜任能力构成了企业的内控环境,这是企业发展的基础。每个企业都有自己的发展目标,为了目标的实现,必须分析影响因素,即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理,并在企业内部传递,这就是信息与沟通,信息与沟通系统围绕在内控活动周围,反映企业各项管理活动的运转情况。为了保证内控体系的正常运转,还需要对整个内控过程进行监督。内部控制五要素之间的配合和联系,组成了一个完整的系统,可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程,任一要素都可以影响其他要素,例如对风险的评估不仅仅影响内控活动,还可能影响信息和沟通、监督行为等。COSO内部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业的内部控制可能不及大型企业正式、组织性强,但也可以是有效的。对此,本次培训以大型公司为例,未考虑中小公司的差异。三、COSO内部控制框架五要素(一)内控环境内控环境是其他控制要素的基础。内控环境因素包括:员工的诚信和道德价值观;员工的胜任能力;董事会和审计委员会;管理层的经营理念和经营风格;组织结构;管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。1、员工的诚信和道德价值观内部控制是由人建立、执行和维护的,人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容:1)利益冲突每一个员工都有责任将公司利益放在第一位,避免私人利益与公司利益的冲突。2)合法性公司要承诺在进行业务时是抱着诚实和诚信原则,并遵循所有适用的法律和规章制度。3)及时向指定人员报告或检举揭发违规事项员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题,向道德规范委员会报告,或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则,应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度,包括匿名保护。4)遵守道德准则的责任明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制,甚至解雇或免职。5)公司机遇禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。6)保密机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息,包括(a)属于公司商业性机密信息(b)属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后,仍然有义务保护公司的机密信息。7)公平交易每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众,并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关,偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下,赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。8)公司资产的保护及恰当使用每一个员工必须保护公司资产,包括实物资源、资产、所有权、机密信息,排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该