COSO内部控制体系及应用

COSO内部控制体系及应用2005年9月23日天津Pwc普华永道目录1.COSO内部控制框架2.如何评价内部控制体系3.小结4.问题解答COSO内部控制体系Pwc普华永道4内部控制定义每当提起内部控制，一般认为它包括以下几方面：•成本控制•反欺诈•加强控制=官僚作风=降低运作的灵活性=更差的业绩•但这不是现代内部控制!Pwc普华永道5内部控制定义内部控制是由公司董事会批准，管理层和其他有关人实施，为达到以下目标而提供合理保证的程序：•经营的效率和效果强调公司的基本经营目标，包括绩效和利润目标及资源的安全可靠性•财务报告的可靠性包括可靠的财务报表及其他财务信息的准备•法律及法规的合规性包括公司必须遵守的法律、法规，以维护良好的信誉，避免负面影响——COSO及美国审计准则第319条Pwc普华永道6内部控制体系–COSO1992年完成的报告《内部控制的整体框架》从根本上统一了对内部控制的认识，其所设计的内部控制模型也被全世界公认为内部控制的标准模型。TheCommitteeOfSponsoringOrganizationofTreadwayCommission)COSO致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)，是由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。Pwc普华永道告营务报运财合规性监督不断评估内部控制系统的表现。整合实时和独立的评估。控制活动确保管理活动付诸实施的政策/流程。管理层和监督活动。内部审计工作。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础7COSO内部控制框架监控信息和沟通控制活动风险评估活活动业动2业务1务单单位位BA控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。控制环境信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础所有的五个部分必须同时作用才能使内部控制得以产生影响风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础Pwc普华永道8内部控制体系–COSO模型要素一：控制环境－内部控制的基础营经财监控务告报合规性活控制环境：•是企业的整体气氛信息和沟通控制活动风险评估控制环境活动单动2单元1元BA•影响员工的控制意•是其他要素的基础•提供纪律约束和架Pwc普华永道9控制环境控制环境主要包括：1.员工的诚信和道德观•员工的胜任能力•董事会和审计委员会•管理层的经营理念和经营风格•组织结构•管理层授权和职责分工•人力资源政策和措施Pwc普华永道经10内部控制体系–COSO模型要素二：风险评估营告报务财监控信息和沟通控制活动合性规活活动单动2单元1元B评估风险是为了有效控制风险•管理层对风险的识别•是目标实现过程中相关內外部风险分析•估计风险的重大程度，可能性风险评估A控制环境随着经济，产业，制度和操作环境的不断变化，需要建立相应机制以发现和处理这些变化所带来的特殊风险Pwc普华永道11风险评估目标风险识别风险分析主要风险措施经营效率和效果财务报告法律及法规的可靠性的合规性过滤Pwc普华永道12内部控制体系–COSO模型要素3：控制活动营经财务告报合规性监控信息和沟通控制活动风险评估控制环境活活动单动2单元1元BA控制活动•对确认的风险采取必要措施，以保证公司目标得以实现•遍布公司各处，涉及公司各个层面以及各项职能Pwc普华永道13控制活动控制活动类型包括：按照不同作用，控制活动可分为预防性控制和纠错性控制两类控制活动的形式也可以分为：•业绩评价，如实际与预算、同期和行业标准的对比•审批，授权，确认•实物控制，如资产安全性，定期盘点，对计算机及数据资料的权限控制•责任分离，如业务授权、业务执行、业务记录、对业绩的独立检查的职能分离Pwc普华永道14控制活动业务流程和控制程序可以是人工的，也可以是自动的人工的采购定单申请目的/申请人签字审批和签字自动的收货发票输入采购订单信息采购订单系统核对数据更新数据三方匹配Pwc普华永道A15内部控制体系–COSO模型要素4：信息和沟通营经财监控务告报合规性活企业定期获取及交流内外部的信息，帮助员工履行职责信息和沟通控制活动风险评估控制环境活动单动2单元1元B•信息的识别和获取•信息加工和报告•内部沟通和外部沟通Pwc普华永道16信息和沟通相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相关人员能有效履行职责，采取适当行动。例如：•建立一个有效机制，使相关信息在管理层及时共享，使相关各层面拥有所需信息•管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通•建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序•建立目标以便衡量进度、发现问题并及时采取改进措施•IT部门拥有大多数的财务信息（储存于IT系统中）。管理层应关注这些IT系统及信息的安全、可靠、完好性•管理层建立有效地IT系统来协助信息的有效沟通（包括业务支持系统、决策支持系统、财务报告系统、监控系统、e-mail系统等）Pwc普华永道经17内部控制体系–COSO模型要素5：监控营告报务财监控信息和沟通控制活动风险评估合性规活活动单动2单元1元BA•监控是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效•其范围和频率取决于风险的重大性或现有监控程序实施的有效性•监控的方式包括：•持续性监控，包括日常管理、监督、比较、核对等控制环境•独立的评估，即独立与控制活动之外，如内部审计Pwc普华永道18内部控制体系信息与沟通风险评估流程XXXX交易发生控制活动管理报告/财务信息财务报表XXXX监控控制环境Pwc普华永道19内部控制常见问题举例控制环境•高度竞争的环境(对内控的压力)•分散管理/控制•非正式的管理程序•缺乏细化的业绩考核指标/不完善的激励机制•低效率的组织结构•不健全的审计委员会架构Pwc普华永道20内部控制常见问题举例风险评估•对潜在的风险缺乏整体性认识和系统性归类•缺乏对完善的业务控制体系的全面了解•缺乏对风险评估方式、方法、程序的了解Pwc普华永道21内部控制常见问题举例内控活动•缺乏完整细化的“标准运作流程”•不健全的职责分离•过度的集权/分权体系•缺乏独立的复核程序Pwc普华永道22内部控制常见问题举例信息与沟通•大部分采用手工控制•缺乏有效的成本管理及预算方法•过时的管理信息系统•缺乏以关键业绩考核指标为基础的管理报告及分析•缺乏先进实践、行业实例与经验的培训Pwc普华永道23内部控制常见问题举例监控•以人事关系或非正式手段进行监督•过于集中在财务领域的内部审计职能•审计委员会的监督作用较为薄弱•监控上缺乏独立性Pwc普华永道24我们客户中常见内部控制问题•各层次的人员缺乏现代管理实践知识•缺乏应有的资源•存在变革的内部阻力•缺少现代管理体系和工具•监控的范围和力度不够充分、统一Pwc普华永道不可依赖的内部控制非正式的内部控制标准化的内部控制有监控的内部控制最优化的内部控制－控制环境不可预期，未设计相应的控制程序或控制程序失效－报告和控制程序已设计并正常运行，但未作适当记录－报告和控制程序已设计并正常运行，且适当记录－定期测试标准化控制程序的有效性，并报告管理层－管理层即时监控并不断完善的内部控制构架25内部控制的发展进程InternalControlsMaturityFramework内部控制发展构架不可依赖的内部控制－控制环境不可预期，未设计相应的控制程序或控制程序失效非正式的内部控制－报告和控制程序已设计并正常运行，但未作适当记录标准化的内部控制－报告和控制程序已设计并正常运行，且适当记录有监控的内部控制－定期测试标准化控制程序的有效性，并报告管理层最优化的内部控制－管理层即时监控并不断完善的内部控制构架中国学习正式化标准化已发展国家提升改进Pwc普华永道如何评价内部控制体系Pwc普华永道1.2.3.4.5.6.7.8.9.27控制环境–监管部门的参与管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。董事会或审计委员会是独立于管理层的，这样必要时能够提出有挑战性甚至审查式的问题。建立董事会专门委员会以特别关注和处理相关重要事件。董事的知识和经验与内、外部审计师等的会面频率和接触为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不当行为（例如：监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等）。监督高级管理人员的薪酬，聘用和解聘高级管理人员。建立“高层管理基调”董事会或审计委员会依据其发现采取行动，包括特殊调查。Pwc普华永道财务报告合规性1.2.3.28控制环境–管理理念和经营风格管理层的管理理念和经营风格通常对公司有重大影响。这些虽然是无形的，但是正面或负面影响的迹象是可以观察到的。接受的业务风险的性质，例如：管理层是否经常介入特别高风险的业务，还是在接受风险方面非常保守。在关键职能部门的人员流动率，例如：经营、会计和数据处理部门等。管理层对数据处理和会计职能的态度，以及对财务报告4.和资产安全可靠性的关心。高级管理层和业务部门管理层相互交流的频率，特别是营运5.双方处于不同的地域时。对财务报告的态度和行动，包括对采取的会计处理的争议（例如：采取保守的还是激进的会计政策；会计原则是否被滥用了；关键的财务信息没有被披露；或会计记录被粉饰或篡改了）。监控信息和沟通控制活动风险评估业务单位A活活动业动2务1单位B控制环境Pwc普华永道财务报告合规性1.2.3.29控制环境–诚信与道德观管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的政策，并有效执行。“高层管理基调”的建立－－包括明确的道德指导（什么是对的和错的），和在公司范围内进行沟通的程度的指导。与员工、供应商、客户、投资人、债权人、保险人、竞争对象和审计师等的关系。（例如：管理层进行商业行为时，是否非常关注道德标准，是否也要求其他人遵守道德标准，还营运4.5.6.是根本不关注道德问题。）针对违反政策和道德准则的情况采取适当的措施。采取措施的范围在公司内进行沟通。管理层对干预或逾越既定控制制度的态度。达到不切实际的目标的压力，特别是那些短期目标，薪监控信息和沟通控制活动风险评估业务单位A活活动业动2务1单位B酬多大程度上基于业绩目标的实现。控制环境Pwc普华永道财务报告合规性1.2.30控制环境–胜任能力管理层应该明确规定不同工作所需要的能力级别，并将能力级别细化为必备的知识和技术。是否存在正式和非正式的工作描述，或其它能说明具体工作的任务和责任的方式。分析胜任工作所需要的知识和技能。营运监控活活动信息和沟通控制活动风险评估业务单位A业动2务1单位B控制环境Pwc普华永道财务报告合规性1.2.3.31控制环境–组织结构组织机构不应该太简单以至于不能足够地监控公司的业务活动，也不应该太复杂以至于阻止了信息的顺畅流动。行政人员应