COSO内部控制框架
清华大学会计研究所 陈武朝副教授
电话:10-6277 2083
Email:chenwzh2@
2008年9月
企业内部控制专题
Sarbanes-Oxley法案404条款及其实施简介
内部控制存在实质缺陷的后果——影响公司评级
有关国家和地区关于内部控制的规定
COSO内部控制框架
Sarbanes-Oxley法案404条款及其实施简介
2001年,安然、世通、施乐和其他一系列财务丑闻相继爆发。诚信危机震撼着美国及国际社会,美国企业的假账丑闻一时间成为全球舆论的焦点。
在各方压力之下,为了提高民众对美国金融市场、政府经济政策的信心,美国出台了这一法案。
该法案的名称为
Public Company Accounting Reform and Investor Protection Act of 2002(《2002年公众公司会计改革和投资者保护法案》),
因其由美国众议院金融服务委员会主席Oxley(奥克斯利)和参议院银行委员会主席Sarbanes(萨班斯)联合提出,故又称Sarbanes- Oxley Act of 2002 (《2002年萨班斯—奥克斯利法案》)。
由于该法案英文缩写为SOX,故也称为《索克斯法案》。
Sarbanes-Oxley法案404条款及其实施简介(续)
该法案于2002年7月26日由国会提交给总统,2002年7月30日,美国总统George W. Bush 正式签署。
此前,该法案在众院以423票-3票通过,在参院以99票-0票通过。
美国总统布什在签署该法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。
Sarbanes-Oxley法案404条款及其实施简介(续)
SOX法案对各方的影响
公司
必须建立审计委员会——必须完全独立
必须提供审计委员充足的资金
不可以借款给总裁和公司高级官员
要提供由审计师证明的年度内部控制审计报告
要披露公司采用的针对高级管理层的职业道德规范
Sarbanes-Oxley法案404条款及其实施简介(续)
SOX法案对各方的影响
高级管理层
首席执行官和首席财务官保证财务报表的内容
禁止在养老基金暂停时期进行交易
审计委员会
事先批准所有由外部审计师提供的审计和非审计服务
全部的成员具有独立性
建立一致的会计和会计事项的处理程序
Sarbanes-Oxley法案404条款及其实施简介(续)
SOX法案对各方的影响
外部审计事务所
停止向公共上市审计客户提供某些非审计服务
记账服务
财务信息系统设计和实施
评估服务
保险精算服务
内部审计外包服务
管理和人力资源服务
经纪人和投资顾问
法律服务
其它由董事会规定的服务
Sarbanes-Oxley法案404条款及其实施简介(续)——主要条款
第302条款
第404条款
适用对象
年度报告-所有SEC登记公司
季度报告-美国国内的SEC登记公司
年度报告-所有SEC登记公司
生效时限
于2002年8月29日生效
美国公司-资产负债表日为2004年6月15日或以后的会计年度
海外上市公司-自2006年7月15开始的会计年度
美国小型公司(年收入7500万美元以下)-推迟到2007年7月15日或以后的会计年度
涉及哪些控制?
与披露有关的控制和程序
与财务报告有关的控制和程序及财产保护
是否需要外部审计?
否
是
Sarbanes-Oxley法案404条款及其实施简介(续)
302条款及其影响
公司的首要执行官(们)及首要财务官(们)(或担任同等职务的人员)在每一年度报告或季度报告中保证如下内容:
(1) 签字的官员已审阅过该报告;
(2) 该官员认为报告中不存在重大的错报、漏报;
(3) 该官员认为报告中的会计报表及其他财务信息在所有重大方面,公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。
(4) 签字官员:
(A) 对建立及保持内部控制负责;
(B) 设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
(C) 评价公司的内部控制在签署报告前90天内的有效性;
(D) 在该定期报告中发布他们上述评价的结论;
Sarbanes-Oxley法案404条款及其实施简介(续)
(5) 签字官员已向公司的审计师及董事会下属的审计委员会(或担任同等职务的人员)披露了如下内容:
(A) 内部控制的设计或执行中,对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷,以及向公司的审计师指出内部控制的重大缺点;
(B)在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为,而不论该行为的影响是否重大;
(6) 签字官员应在报告中指明在他们对内部控制评价之后,内部控制是否发生了重大变化,或是其他可能对内部控制产生重要影响的因素,包括对内部控制的重大缺陷或重要缺点的更正措施。
Sarbanes-Oxley法案404条款及其实施简介(续)
404条款及其影响
第404节 管理层对内部控制的评价
(a) 内部控制方面的要求——SEC应当相应的规定,要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:
(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;
(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;
(b) 内部控制评价报告——
对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。
Sarbanes-Oxley法案404条款及其实施简介(续)
简言之,SOX法案302、404条款规定,管理层必须:
识别其对财务报告的内部控制
将内控的设计和运行文档化
评估内部控制设计的有效性
纠正任何设计缺陷
确定控制发挥了恰当的作用
评估缺陷的性质
Sarbanes-Oxley法案404条款及其实施简介(续)
实施《索克斯法案》404条款的内控控制框架
SEC在落实《索克斯法案》404条款的规定中指出,公司管理层应按照一个由专业团体按照充分的程序(due-process),并广泛征求公众意见之后制订的内部控制框架来评价财务报告内部控制的有效性。
通常情况下,公司管理层评价财务报告内部控制时应依据COSO给出的内部控制框架。原因是,COSO报告给出的内部控制框架被实务界、学术界广泛接受。
Sarbanes-Oxley法案404条款及其实施简介(续)
管理层内部控制报告的主要内容
上市公司在其年度报告中应披露一份内部控制报告。该内部控制报告应当包括下列内容:
建立和维护足够的财务报告内部控制制度是管理层的责任;
管理层评价公司财务报告内部控制制度有效性时使用的评价框架;
对公司最近财务年度公司财务报告内部控制制度有效性的评价,包括对财务报告内部控制是否发挥有效作用的明确陈述。如果最近财务年度公司财务报告内部控制存在任何重大缺陷,必须在该评价报告中披露。如果公司的财务报告内部控制存在一个或多个重大缺陷,则管理层不能认为公司的财务报告内部控制是有效的。
公司管理层的财务报告内部控制评价意见,已由审计公司该年度财务报告的审计师出具证明报告。
Sarbanes-Oxley法案404条款及其实施简介(续)
内部控制的缺陷
如果公司内控的设计或运行不能使管理层或职员在履行其日常职责时及时避免或发现财务错报,则被认为存在内控缺陷。内控缺陷可能由内控设计缺陷引起,也可能源于内控运行缺陷。
内控设计缺陷指一项必要的内控制度不存在,或者现有的内控设计不合理,造成即使内控按设计思路运行,也不能实现控制目标。
内控运行缺陷指一项合理设计的内控制度没有按设计思路运行,或者实施控制的人员没有足够的权威或专业胜任能力来有效执行内部控制。
内部控制的缺陷可以分为三个层次:
一般缺陷(Internal Control Deficiency)
重要缺陷(Significant Deficiency)
实质缺陷或重大缺陷(Material Weakness)
Sarbanes-Oxley法案404条款及其实施简介(续)
内部控制的缺陷
按PCAOB_AS2规定,如果在以下领域存在内控缺陷,至少可认定内控存在重要缺陷(significant deficiencies):
(1)对遵循GAAP的会计政策的选择和应用相关的内控;
(2)反舞弊程序和控制;
(3)非常规和非系统性(计划外)交易的控制;
(4)分期财务报告编制的控制。
Sarbanes-Oxley法案404条款及其实施简介(续)
内部控制的缺陷
按PCAOB_AS2规定,如果出现以下情形,则认为内控极有可能存在实质缺陷(material weakness):
(1)重新表述以前公布的财务报告来改正错报,不论错报的原因是错误还是舞弊;
(2)由审计师而非公司最早发现当期财务报告存在重大错报(即使管理层随后同意改正错报);
(3)公司审计师委员会对公司的对外报告编制和ICFOR未实施有效监督;
(4)对大型、复杂的经营分部,缺乏有效的内部审计和风险评估;
(5)对处高度管制待业的复杂经营分部,未有效遵循相关管制法规;
(6)高层管理层的(任意数额)的舞弊或欺诈;
(7)已与公司管理层和审计委员会进行沟通过的重大内控缺陷,在较长时期后仍为改正;
(8)一个非有效的控制环境。
当公司财务报告内部控制存在实质性漏洞时,应出具否定意见。
内部控制存在实质缺陷的影响
——可能影响公司评级
B类、A类实质缺陷
B类缺陷(公司层面)包括:
无效的控制环境;
包括最高层的风格(the tone at the top),授权和责任的分派( the assignment of authority and responsibility )、政策和程序的一致性、公司的大政方针( company-wide programs )如行为守则、防止舞弊等
无效的审计委员会;
无效的内部审计及风险评价职能;
无效的财务报告流程;
A类缺陷(账户层面或交易层面)包括:
其他实质缺陷
评级时的考虑
是
否
否
“B”
“A”
内部控制报告中提到的实质缺陷
A类还是B类?
公司评级是否已经反映了内控的实质缺陷 [1]?
管理当局拟采取积极措施吗[2]?
可能采取评级行动
不大可能采取评级行动
召开评级会议
是
[1]
考虑如下因素:
缺乏透明度
以前是否有会计报表重新表述(restatements)
审计师辞聘
会计估计发生经常性、影响较大的变动(Frequent and large changes)
与会计相关的诉讼
遭到监管部门调查
[2]
考虑如下因素:
实质缺陷的性质:
实质缺陷是否与公司最高层的风格有关(the tone at the top)?如果是,期望现任管理层解决该问题现实吗?
管理的态度
管理层是否表示采用新规则的成本超过收益?管理层很快会讨论内部控制问题,或者他们倾向于不考虑这些问题?
管理层对完善的内部控制的承诺程度
公司是否有正式的识别、评价、消除内部控制的计划?
管理层的记录(track record):
管理层是否已经在过去成功地Has management successfully 实现了一些变革?
有关国家和地区关于内部控制的规定
香港法规的要求
香港联交所《上市条例》第条(2004年3月31日生效,有6个月的宽限期)要求:
上市公司一名全职高管人员负责监督公司及其子公司有关财务报告程序、内部控制、及遵循香港联交所有关财务报告和其他会计问题的要求。
该高管人员必须是香港会计师公会的会员或其认可的类似团体的会员。
中国关于内部控制的规定
国内法规的要求
《会计法》(2000年7月1日修订实施)第二十七条规定:
各单位应当建立、健全本单位内部会计监督制度。
中国关于内部控制的规定(续)
为落实《会计法》第二十七条的规定,2001年6月以来,财政部陆续颁布了7项内部会计控制规范:
内部会计控制规范-基本规范(试行)
内部会计控制规范-货币资金(试行)
内部会计控制规范-采购与付款(试行)
内部会计控制规范-销售与收款(试行)
内部会计控制规范-对外投资(试行)
内部会计控制规范-担保(试行)
内部会计控制规范-工程项目(试行)
中国关于内部控制的规定(续)
温家宝总理在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”;2004年底和2005年6月,国务院领导同志连续两次就强化企业内部控制问题作出重要批示,其中,2005年6月,在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉 完善我国上市公司内部控制制度的报告》上作出批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”;2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障;与此同时,按照科学民主决策精神,公开选聘了86名咨询专家,组织开展了一系列内部控制科研课题,为构建我国内控标准体系提供技术支撑和理论支持。
中国关于内部控制的规定(续)
企业内部控制标准委员会已于2007年3月2日发布企业内部控制规范基本规范和17项具体规范:
企业内部控制规范——基本规范(征求意见稿)
企业内部控制具体规范第xx号--货币资金(征求意见稿)
企业内部控制具体规范第xx号--采购与付款(征求意见稿)
企业内部控制具体规范第xx号--存货(征求意见稿)
企业内部控制具体规范第xx号--对外投资(征求意见稿)
企业内部控制具体规范第xx号--工程项目(征求意见稿)
企业内部控制具体规范第xx号--固定资产(征求意见稿)
企业内部控制具体规范第xx号--销售与收款(征求意见稿)
企业内部控制具体规范第xx号--筹资(征求意见稿)
企业内部控制具体规范第xx号--成本费用(征求意见稿)
企业内部控制具体规范第xx号--担保(征求意见稿)
企业内部控制具体规范第xx号--合同(征求意见稿)
企业内部控制具体规范第xx号--对子公司的控制(征求意见稿)
企业内部控制具体规范第xx号--财务报告编制(征求意见稿)
企业内部控制具体规范第xx号--信息披露(征求意见稿)
企业内部控制具体规范第xx号--预算(征求意见稿)
企业内部控制具体规范第xx号--人力资源政策(征求意见稿)
企业内部控制具体规范第xx号--计算机信息系统(征求意见稿)
中国关于内部控制的规定(续)
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。
基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。
执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。
此前,于2008年6月12日, 财政部发布“关于征求《企业内部控制评价指引》《企业内部控制应用指引》和《企业内部控制鉴证指引》意见的通知”(财办会[2008]7号)。
《企业内部控制应用指引》(征求意见稿)的内容
《企业内部控制应用指引》(征求意见稿)包括22个具体的内部控制应用指引
企业内部控制应用指引第xx号——资金
企业内部控制应用指引第xx号——采购
企业内部控制应用指引第xx号——存货
企业内部控制应用指引第xx号——销售
企业内部控制应用指引第xx号——工程项目
企业内部控制应用指引第xx号——固定资产
企业内部控制应用指引第xx号——无形资产
企业内部控制应用指引第xx号——长期股权投资
企业内部控制应用指引第xx号——筹资
企业内部控制应用指引第xx号——预算
企业内部控制应用指引第xx号——成本费用
企业内部控制应用指引第xx号——担保
企业内部控制应用指引第xx号——合同协议
《企业内部控制应用指引》(征求意见稿)的内容
企业内部控制应用指引第xx号——业务外包
企业内部控制应用指引第xx号——对子公司的控制
企业内部控制应用指引第xx号——财务报告编制与披露
企业内部控制应用指引第xx号——人力资源政策
企业内部控制应用指引第xx号——信息系统一般控制
企业内部控制应用指引第xx号——衍生工具
企业内部控制应用指引第xx号——企业并购
企业内部控制应用指引第xx号——关联交易
企业内部控制应用指引第xx号——内部审计
中国关于内部控制的规定(续)
《企业国有资产监督管理暂行条例》(2003年5月27日国务院发布378号令)第三十六条规定:
国有及国有控股企业应当加强内部监督和风险控制,依照国家有关规定建立健全财务、审计、企业法律顾问和职工民主监督等制度。
中国关于内部控制的规定(续)
《中央企业内部审计管理暂行办法 》(2004年8月30日国资委发布8号令)第四条规定:
企业应当按照国家有关规定,依照内部审计准则的要求,认真组织做好内部审计工作,及时发现问题,明确经济责任,纠正违规行为,检查内部控制程序的有效性,防范和化解经营风险,维护企业正常生产经营秩序,促进企业提高经营管理水平,实现国有资产的保值增值。
中国关于内部控制的规定(续)
第八条第(五)项规定:
企业审计委员会应当履行审查企业内部控制程序的有效性,并接受有关方面的投诉的职责。
第十三条第(九)项规定:
企业内部审计机构应当履行对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈的职责。
COSO内控框架主要内容
(一) 内部控制定义的演变
(二)COSO内部控制框架下内部控制的定义
(三)COSO内部控制框架五要素
(四)五要素之间的关系
(四)对内部控制的进一步理解:演变及局限性
(五)对内部控制认识的误区
COSO内部控制框架(续)
关于COSO
COSO, the Committee of Sponsoring Organizations of the Treadway Commission(反欺骗性财务报告发起组织委员会),是1985年由5家财务专业协会发起成立的一个民间团体,其成员包括:
内部审计师协会(The Institute of Internal Auditors,IIA )
美国注册会计师协会(American Institute of Certified Public Accountants, AICPA )
美国会计学会(American Accounting Association,AAA)
管理会计师协会(Institute of Management Accountants,IMA)
财务经理协会(Financial Executives Institute,FEI)
COSO内部控制框架的历史
内部控制-
整合的控制框架
Treadway委员会
发起委员会
反虚假财务报告委员会(Treadway委员会)成立于1985年
反虚假财务报告委员会在1987年签署了报告-号召研究并制定一个统一的内部控制框架
1992年9月签署了名为内部控制整合框架的报告
2003年签署“COSO-企业风险管理 ”草案
最为广泛认可的针对内部控制整合框架的国际标准
COSO内部控制框架(续)
对COSO报告的评价:
AICPA:该报告的提出,具有划时代的意义,“其作用如同早期的公认会计原则,其未来在管理界的地位也如今日的公认会计原则一样”。
COSO报告很快受到了广泛的认可,世界各国及各专业团体纷纷效仿COSO报告对内部控制进行重新研究,并采用COSO报告的最新理念,发布了自己的文告。
COSO内部控制框架(续)
是美国证券交易委员会(SEC)唯一推荐使用的内控框架;
上市公司会计监管委员会(PCAOB)在审计准则中提及了COSO内控框架可以作为评估企业内部控制的标准;
COSO内部控制框架
COSO的关键概念:
当内部控制被“植入”经营活动中时是最有效的
组织中不同级别的员工都对内部控制负有责任
内部控制不能够提供绝对的保证
内部控制是有效的法人治理结构的主要因素
如果没有实现公司整体范围内的风险管理,就无法建立整合的内部控制系统
COSO内部控制框架(续)
内部控制的定义
内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程,实现这一过程是为了合理地保证:
(1)经营的效果性和效率性;
(2)财务报告的可信性;
(3)对有关的法律和规章制度的遵循性。
对定义的理解:
内部控制被定义为一个过程………
由组织的董事会、管理层和其它人员共同实施………
被设计以提供合理保证………
有关以下目标的实现:
-经营的效果和效率;
-财务报告的可靠性;
-法律和法规的遵从性。
与三个目标相对应,内部控制也分为三类(categories):
经营内部控制(internal control over operations);
财务报告内部控制(internal control over financial reporting);
遵循内部控制(internal control over compliance)。
COSO内部控制框架(续)
与公司的基本经营目标相关,包括业绩和赢利性目标和资产的保护。
与财务报告的编制相关,包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据
与公司适用的法律和法规的遵守有关
目标种类是明确的,但是也是相互联系的
经营的效果和效率
财务报告的可靠性
对法律法规的遵循性
目标是内部控制的前提条件
COSO内部控制框架(续)
为了实现上述的内部控制目标,内部控制应具备以下5个要素(components):
(1)控制环境
(2)风险评价
(3)控制活动
(4)信息和沟通
(5)监督
COSO内部控制框架(续)
一种过程
为实现三种目标而设计
在整个组织内适用
五个组成要素为实现目标而交互作用
控制活动
确保管理活动付诸实施的政策/流程。
措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。
监督
不断评估内部控制系统的表现。
整合实时和独立的评估。
管理层和监督活动。
内部审计工作。
控制环境
营造单位气氛-让公司员工建立内部控制
因素包括正直,道德价值,能力,权威和责任
是其他内部控制组成部分的基础
信息和沟通
及时地获取,确定并交流相关的信息
从内部和外部获取信息
使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流
风险评估
风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础
所有的五个部分必须同时作用才能使内部控制得以产生影响
监控
信息和沟通
控制活动
风险评估
控制环境
营运
财务报告
合规性
业
务
单
位
A
业
务
单
位
B
活
动
2
活
动
1
监督
信息和沟通
控制活动
风险评估
控制环境
营运
财务报告
合规性
业
务
单
位
A
业
务
单
位
B
活
动
2
活
动
1
(二)COSO框架下内控定义-组成要素
COSO内部控制框架(续)
COSO内部控制框架(续)
SEC把内部控制界定为“财务报告内部控制”(internal control over financial reporting,简写为ICOFR)。“财务报告内部控制”是指:
一个由公司主要执行官员或主要财务官员、或执行类似功能的人员制订或者在其监督之下制订的过程,该过程受公司董事会、管理层以及其他人员影响,旨在为财务报告的可靠性以及按照公认会计准则编制对外披露的财务报告提供合理的保证。该过程包括与下列事项相关的政策与程序:
以合理的详细程度准确、公允地反映公司的交易以及资产处置的会计记录得以保存——与会计记录的保存相关的内部控制 ;
为交易得以必要的记录以使公司会计报表按照公认会计准则编制,以及收入和支出按照公司董事会和管理层的授权进行提供合理的保证——与确保会计报表按照公认会计准则编制及收入、支出得到授权相关的内部控制 ;
为防止或及时发现对会计报表可能发生重大影响的、未经授权的资产购置、使用或处理行为提供合理的保证——与资产的安全完整相关的内部控制 。
COSO内部控制框架(续)
监督
控制
活动
风险
评估
控制环境
信息与沟通
信息与沟通
内控系统五要素架构:
信息与沟通
控制环境
风险评估
控制活动
监 控
构成一个企业的氛围,是其他内部控制要素的基础
内 部 控 制 五 要 素 :
COSO 内 控 模 型
信息与沟通
控制环境
风险评估
控制活动
监 控
• 操守及道德观
• 胜任能力
• 董事会和审计委员会
• 经营理念和经营风格
• 组织结构
• 管理层授权和职责分工
• 人力资源政策和措施
内 部 控 制 五 要 素 :
COSO 内 控 模 型
COSO内控框架五要素-控制环境
是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。
企业要建立良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的问题。
员工的操守及道德观
是要求员工具备完成工作任务所需的知识和技能。
目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务。
员工胜任能力
COSO内控框架五要素-控制环境
董事会和审计委员会
独立于管理层之上;
指导和监督管理层的工作。
管理层的经营理念和经营风格影响企业的管理方式。
体现在:
-对各种风险的态度;
-对财务报告的态度;
-对待数据处理、会计职能及人事管理等方面的态度。
经营理念和经营风格
COSO内控框架五要素-控制环境
是权责分工的架构,每个企业都应根据自己的需要确定最有效的组织结构
组织结构
授权和职责分工是按照权责对等的原则,进行授权和责任分配。将企业的目标分解至每个员工,使员工的行为与企业目标相联系。
管理层授权和职责分工
人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序。
目的是聘用和保持合格的员工。
人力资源政策和措施
信息与沟通
控制环境
风险评估
控制活动
监 控
风险:
是任何可能影响实现目标的因素。
风险评估:
是识别和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。
内 部 控 制 五 要 素 :
COSO 内 控 模 型
COSO内控框架五要素-风险评估
风险识别:
发现和分析那些影响目标实现的风险,需考虑外部因素和内部因素。
风险分析:
-估计风险的重要程度;
-评估风险发生的可能性(或频率、概率)。
风险评估的过程
如何有效地进行风险管理
各行业的前10种最主要的风险因素
次序
银行/保险业/证券
制造业
其他
1
内部控制的质量
内部控制的质量
内部控制的质量
2
管理人员的能力
管理人员的能力
管理人员的能力
3
管理人员的正直程度
管理人员的正直程度
管理人员的正直程度
4
会计系统的近期变动
单位的规模
会计系统的近期变动
5
单位的规模
经济环境恶化
业务的复杂性
6
资产的流动性
业务的复杂性
资产的流动性
7
重要人员的变动
重要人员的变动
单位的规模
8
业务的复杂性
会计系统的近期变动
经济环境恶化
9
快速的增长
快速的增长
重要人员的变动
10
政府法规
管理人员对完成目标的压力
快速的增长
信息与沟通
控制环境
风险评估
控制活动
监 控
为防范风险所采取的措施和行动。
控制活动包括:
组织机构、政策、标准、流程的建立,
授权、批准,复核经营业绩,
资产保护措施,
职责分离
控制活动能够抵偿风险
内 部 控 制 五 要 素 :
COSO 内 控 模 型
COSO内控框架五要素-控制活动
控制活动类型包括:
针对企业的不同目标,控制活动可以分为以下三个类型:即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动;
根据控制活动的不同作用,控制活动又可以分为:预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型;
根据组织中实施人员的不同,控制活动也可以分为:高层审批、指导并管理业务活动,信息处理,实物控制,业绩指标分解,责权分配等。
COSO内控框架五要素-控制活动
一些重要的内控方法
1、职责分离控制
2、授权批准控制
3、内部报告控制
4、电子信息技术控制
……
1、不相容职务相互分离控制-示例
工作职责
存在的风险
同时负责现金的收取和应收账款的会计记录
可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金
同时负责购货订单的审批和货物的收取
可能以组织的名义为个人购入货物,在收取货物时利用职务之便将货物占为己有,同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息
同时负责付款的审批和购货订单签发与审核
可能会伪造购货业务并支付货款,从而贪污现金
2、授权批准控制
在开展任何业务之前都应进行授权
授权以后,为了避免滥用权力,还要经常对业务流程进行审查
按性质的不同分为综合授权和特别授权
要对授权做好记录,并提供证明文件
避免两个极端:“层层审批”和“一支笔”
3、内部报告控制
完善内部管理报告系统
内部报告上报时间及报告路线
内部报告的分发控制
内部报告的分析和跟进
信息与沟通
控制环境
风险评估
控制活动
监 控
监督和评估内部控制系统设计合理性和运行有效性。
内 部 控 制 五 要 素 :
COSO 内 控 模 型
信息与沟通
控制环境
风险评估
控制活动
监 控
监控的类型:
持续性监督
独立评估
监控的实例
外部审计审查财务报告
内部审计/董事会审查
经营分析与预算比较
客户满意度调查
项目审查
内 部 控 制 五 要 素 :
COSO 内 控 模 型
COSO内控框架五要素-监控
持续性监督:
持续性的监督行为发生在经营的过程中,它包括日常的管理、监督、比较、核对和其他常规性活动。
独立评估:
独立评估是独立于控制活动之外而采取的定期评估行为。
信息与沟通
控制环境
风险评估
控制活动
监 控
为了实现控制目标,保证内部控制各个要素的可靠性,以促使员工履行自己的职责。有关信息必须及时沟通。
信息沟通贯穿于整个控制
主要包括如下方面:
信息的识别和获取
信息加工和报告
内部沟通和外部沟通
内部控制的
神经系统
内 部 控 制 五 要 素 :
COSO 内 控 模 型
五要素之间的关系
一种过程
为实现三种目标而设计
在整个组织内适用
五个组成要素为实现目标而交互作用
COSO 内部控制模型
五要素之间的关系
COSO内部控制框架是一个由控制环境、风险评估、控制活动、信息与沟通、监督五个要素构成的有机整体。
按照COSO框架建立内控体系需要营造控制环境,识别并评估风险,通过内控活动对主要风险进行控制,整个业务活动中要保证内外部信息传递畅通。内部控制体系的运行要有持续有效的监督。
五要素之间的关系
有效的内控—— 财务报表可靠性
设定目标
识别威胁目标实现的风险
执行有效的控制环境作为防范风险的第一防线
设计并实施有效的控制活动来防范风险
开展有效的信息与沟通以帮助组织实现其目标。
建立有效的控制之后,开展监控活动以确保持续的控制活动能够有效执行
财务报告内部控制
确定影响财务报表的风险
8. 识别财务报表的目标
9. 识别那些威胁目标实现的风险
10. 识别和评估对公司有影响的舞弊风险
涉及会计准则和充分披露的结果
考虑流程、员工、激励机制和技术因素的影响
考虑约束舞弊行为的激励机制和机会
风险评估: 组织中的管理层和其他人应了解影响财务报表目标实现的主要风险。风险的识别是一个起点,自此开始制定控制活动和流程,以尽可能减少实现财务报表目标的风险。 规模较小的公司所面临的主要风险包括但不限于:
管理层的独断专行
员工所犯的错误或舞弊行为(通过职责分离通常可减少这些行为)
不一致的流程
由于缺乏有资质的员工而导致会计判断的失误
由于挪用公款或财务报表错报所引起的舞弊行为
解决这些具体风险的控制活动从控制环境开始。
风险评估——每个公司会面对各种各样来自内部和外部的风险,必须对其进行评估。风险评估是识别和分析影响目标实现的相关风险,为明确如何管理风险能打下基础。
控制环境: 控制环境确定了管理层的基调,并影响人们的控制意识。这是所有其它内控要素的基础,提供了规则和结构。
1. 健全的道德观和诚信的文化
2. 有效而独立的董事会
3. 管理层的运行方式促进良好的控制
4. 机构文化有助于财务报表目标的实现
5. 对财务报表资格能力(competences)的承诺
6. 权限和责任的分配与财务报表的目标是一致的
7. 人力资源政策和规程支持有效控制
组织具有明确的价值观,监控各项活动,并采取措施
独立而有效的监督机制
管理层设定目标,并为各项活动设定一个基调
组织结构支持控制流程以实现目标
管理层确定所需要的竞争力并获取这些竞争力
权限和责任的分配 —— 从董事会和财务总监开始
考虑激励因素、招聘、培训和其它活动
稳健的控制环境能够使风险最小化
控制环境评估.控制环境通常作为以上所识别的风险因素的第一防线,特别是,这些风险涉及管理层的独断专行,会计错误,或不一致流程的时候。具有充足资源和时间进行监督的强大而独立的董事会,能够有效地减少许多风险。许多规模更小的公司有独立而有效的董事会;很多公司还有有效的审计委员会,能够积极地解决以上识别的各项风险。管理层通过城信的承诺和道德价值观确定各项活动的基调,并通过人力资源实践来强化这种承诺。
降低流程风险的控制活动
控制活动: 控制活动是那些用来帮助保证管理指令被执行的政策和流程。它们包含一系列不同的活动,例如审批,授权,验证,调整,运行性能、资产安全和职责分离的审核。
11. 选择能够降低已识别的风险的控制活动
12. 基于有效性和成本的评估来选择控制活动
13. 制定并沟通政策和流程来帮助实现目标
14. 利用信息技术来实现目标
在组织内始终如一地及时执行
考虑帐面记录的一切信息源;信息技术和员工
应用预防性和保护性控制的组合
控制活动: 控制活动在如下情况下被认为是有效的:当它们被设计和实施后,能够确保所有交易被及时正确地记录下来,符合GAAP标准,并且所有的调整和估计都能被及时正确地记录下来,同时也符合GAAP标准。控制活动应该能够防止和检测重大舞弊的出现。
当控制活动被“启动”,并被始终如一地运用时,信息技术可以作为一项控制优势
信息 与沟通. 相关信息必须识别、捕捉并以表格形式在一定时限内 进行沟通,以使员工能够履行他们的职责。机构员工必须从高级管理层接收明确的信息,控制职责必需认真履行。他们必须理解自己在内控系统中的职责,以及他们的个人行为如何与其他人相关联。他们必须具备向上级沟通重要信息的有效方式。
15. 为帮助实现财务报告的目标,相关信息在机构内的各个层面被广泛收集。
16.信息被收集整理,以帮助员工和系统落实其控制职责。
17. 内部沟通促进员工相互理解,以便更好地完成控制目标。
18. 如果可能,影响控制目标实现的事项会向外界沟通。
数据在源头被捕捉;技术被有效利用来保证一致性和精确性,以及保证高质量。
相关数据被收集来保证符合政策和法规要求,帮助快速识别和理解控制失败的根本原因,以及保证高质量。
包含与董事会的有效沟通、员工沟通以及一个“举报”流程。
包含与供应商和客户,以及重要股东的开放式沟通。
信息与沟通的有效性评估:信息与沟通在以下情况被认为是有效的:机构内通过员工的沟通帮助他们完成内部控制目标;信息及时有效地识别控制细目分类;与外界有开放的沟通渠道;公司有有效的举报流程。
一个有效的信息与沟通系统能够使公司有效管理内部控制流程
监控: 内控系统应该被监控 —— 一个评估长时间系统性能的流程。这将通过持续监控活动,单独评估或两者相结合来实现。内控的缺陷应该向上级汇报,严重事件应该向管理层和董事会汇报。
19. 持续或单独的评估被设计用来判断基于财务报表的内控是否依然有效。该监控设计可促进控制失败的及时识别,并采取纠正措施。
20. 在组织内部向合适的人员(和层面)报告缺陷,以便及时采取针对控制缺陷的纠正措施。
持续评估被设计用来提供持续的控制监控。单独评估需要由从业经验和范围充足、知识丰富的员工来 实施,以管理与控制失败相关的风险。
将发现和缺陷报告给那些能够及时纠正这些控制失败的根本原因的员工。将重要缺陷报告给管理层和董事会,以帮助他们完成其职责。
监控的有效性评估:监控在以下情况下被认为是有效的:控制失败或控制缺陷被及时有效地识别出,被报告给那些对控制负责的员工,并且这些控制缺陷的纠正措施能被及时地实施。单独评估能够(并且应该)确定内控框架中的五大要素。
监控通过注重持续改进和识别控制瑕疵来创造效率
对内部控制的进一步理解:演变及局限性
传统上对内控的认识
——组织为了减少决策失误和工作缺陷而实施的控制(如内部监督、管理手册、规章制度)
现代内控理论
——内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、控制活动、信息与沟通、监督五大要素
内
部
控
制
对内部控制的进一步理解:演变及局限性
内部牵制:账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法。
内部控制制度:内部控制的重点是建立健全规章制度。
内部控制结构:内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面。
内部控制整体框架(COSO内控框架)
内部控制理论发展的四个阶段
对内部控制的进一步理解:演变及局限性
无论内部控制设计和执行的再好,它也只能提供合理的保证,个别内部控制可能会失效。
内部控制的局限性表现在:
内部人员素质不适应岗位要求,影响内部控制功能的正常发挥。
合伙同谋,如内部人员相互串通作弊导致相关内部控制失去作用。
内部管理人员滥用职权、蓄意营私舞弊等,导致内部控制失去应有的控制效能。
对于不经常发生或未预计到的经济业务,原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。
成本效益问题。
其它如:管理层越权、判断失误、执行偏差等。
内控认识的误区
1.高级管理没能认识到内部控制是贯穿所有经营活动的过程,而是认为加强内部控制是基层一线人员的事情,与上层管理部门无关或关联不大;
任何内部控制体系的建立与存亡都取决于高级管理层。COSO报告称之为“处在高层的声音”(tone at the tope)。如果高级管理层采取强硬立场对违反控制政策的任何偏差决不容忍,那么整个公司将在此气氛中生存与发展。如果高级管理层在内部控制上采取松懈的态度,那么将会出现内控失效及其它问题。
COSO定义:受企业董事会、管理当局和其他员工影响。
组织中每人都负有控制责任,高层负首要责任。
内控认识的误区(续)
2.认为内部控制就是内部会计控制,或者就是成本控制、资产安全控制,或者把内部控制完全当作是财务部门、会计部门、审计部门的事情,而不是整体管理控制。
●美国20世纪50年代AICPA的观点,出于审计需要。
●管理人员代言人凯罗鲁斯先生斥之为“将美玉击成了碎片。”
●1992年,Coso报告因范围局限于会计控制,GAO没有通过。
内部控制历程表
阶段
时间
标志
概念
内容
内
部
牵
制
前3600至
1936
《柯氏会计辞典》
以任何个人或部门不能单独控制任何一项或一部分业务权利的方式,进行组织上的职责分工,使每项业务通过正常发挥其他个人或部门的职能进行交叉检查或交叉控制。
职责分工;
交互检查。
内
部
控
制
雏形
1936
至
1958
专题
报告
内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织结构和相互配套的各种方法及措施。
直接同会计和财务部门相关的控制;预算控制;标准成本;期间经营报告;统计分析及其报告;培训计划;内部审计等。
会
计
控
制
与
管理
控制
1958
至
1990
SAP
SAS
会计控制由为保护资产完整、保证会计记录可靠或与此有关的所有组织结构、方法和程序构成。
授权与批准制度;记帐、编制报表;保管、记账职务分离;实物控制;内部审计等。
管理控制由为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的所有组织结构、方法和程序构成。
统计分析;时动研究;经营报告;雇员培训计划;质量控制等。
内
部
控
制
结
构
1990
至
1996
1988,SAS
企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。
控制环境;
会计系统;
控制程序。
内部控制整
体
架
构
1996至今
1994,COSO;1995, SAS 。
内部控制是为经营活动的效率性和效果性,财务报告的可靠性及相关法规的遵循性目标,提供合理保证的过程,并受企业董事会、管理层和其他员工影响。
控制环境;
风险评估;
控制活动;
信息与沟通;
监督。
内控认识的误区(续)
3、过分强调内部控制防止会计信息失真的目标,忽视内部控制的经营性目标。
● COSO报告的首要目标,是经营活动的效率性和效果性。
●经营性目标为最高,防护性目标为基础。
内控认识的误区(续)
4、片面强调内控成本,声言内部控制要在不影响效率、不束缚职员积极性的前提下进行,而无视由于内控不力导致的巨额损失;
5、盲目相信:“用人不疑,疑人不用”。
●潜在风险 ●职业怀疑 ●例行检查
内控认识的误区(续)
6、以为内部控制就是一堆堆的手册、文件和制度,或者以习惯代替。
●不同年代,不同部门,不同规定;
● 重复、冲突、盲区,无系统性。
内控认识的误区(续)
7、片面强调人员素质,认为违规行为防不胜防、道德感强的人即使没有内控也不会犯错、道德感差的人内控再完善也要作案,所以对内部控制系统建设持消极观望的态度。
法律法规,使之不敢
内部控制,使之不能
职业道德,使之不愿
内控认识的误区(续)
设计
实施
评价
纠正
动态过程
8、内部控制一经制订,一劳永逸
内控认识的误区(续)
内控认识的误区(续)
9.内部控制无所不能,包医百病。
内部控制的固有局限性
(1)单位领导滥用职权、蓄意营私舞弊。
(2)不相容职务的人员相互串通作弊。
(3)行使控制职能的人员素质不适应。
(4)控制成本超过效益。
(5)不经常发生或未预计到的经济业务。
(6)企业规模小或处于发展初期。
内控认识的误区(续)
内部控制实务的缺陷
1.管理制度缺控制
2.控制制度不协调
3.整体架构不系统
4.控制环境不健全
5.不容职务未分离
6.潜在风险不辨析
7.业务流程无控点
8.信息沟通不通畅
9.审计评价不到位
10.内部控制不执行
*
2005年3月2日,美国证券交易委员会发布最终细则,将在美上市境外公司的404条款生效时间推迟一年,即2006年7月15日之后结束的会计年度。
2005年9月21日,SEC宣布对美国本土小公司404条款生效时间推迟一个,即为2005年6月15日或以后的会计年度。
Sarbanes-Oxley Delay Granted by the SEC for Small Businesses
On September 21, 2005 the . Securities and Exchange Commission (SEC) gave small businesses an additional year before being required to comply with the Sarbanes-Oxley Act.
The small business working group that was formed by the SEC to investigate the effects of Sarbanes-Oxley on small businesses pushed for the delay. This postpones compliance of the act until July 2007 for public companies with less than $75 million of market capital.
The decision took place during the first public meeting chaired by the new SEC chairman of the Securities and Exchange Commission, Christopher Cox. This is the second delay granted by the SEC for small businesses.
美小公司,7500万美元以下,
推迟到2007年7月15日
*
企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。其是将内部控制的目标、内部控制的要求和企业的业务活动有机的结合在一起。通过对内部控制要素的管理,使得企业的经营活动朝着目标方向前进,达到企业高效运作,财务信息的可靠完整,以及实现合法经营等目标。
*
COSO报告指出:内部控制的要素由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成 。下面我们将逐一来看内部控制的要素的内涵。
*
控制环境包括、、、、
这里商业经营理念是指, 企业经营价值观,联想是一个讲诚信的企业,当初筹建广州惠阳我们南方厂初建时,惟有联想的人在惠阳市里吃饭、住宿,是可以赊帐的。
国家政府机关在国家银行贷款,指明要联想贷款担保,否则不贷。国家银行争着贷款给联想,这就是联想的经营商业理念和价值观。
在中关村生活5年以上的人都知道,百姓们对中关村的电子一条街,有一个形象比喻,称为骗子一条街。为什么?海淀区税务局有这样一个统计,当时中关村的企业每年70%的流失率。很多企业为了躲税,一年不到就改头换面。我曾经在一家电脑公司,老板利用手段,骗取国家海外贸易公司的600万美元。全部汇到香港个人公司。那是80年代末90年代初,国家的外汇损失论多少亿来计算。
可我们联想的经营价值观是以诚信著称, 控制环境是企业的健康发展的重要基础,国外知名企业对控制环境非常看重。如:IBM、杜邦公司、 MOTOROLA的员工行为准则非常明确要求员工信守诚实、公平和道德,是联想事业的根基。
*
这里商业经营理念是指, 企业经营价值观,我们联想的经营价值观是以诚信著称,当初筹建广州惠阳我们南方厂初建时,惟有联想的人在惠阳市里吃饭、住宿,是可以赊帐的。
国家政府机关在国家银行贷款,指明要联想贷款担保,否则不贷。国家银行争着贷款给联想,这就是联想的经营商业理念和价值观。
在中关村生活5年以上的人都知道,百姓们对中关村的电子一条街,有一个形象比喻,称为骗子一条街。为什么?海淀区税务局有这样一个统计,当时中关村的企业每年70%的流失率。很多企业为了躲税,一年不到就改头换面。我曾经在一家电脑公司,老板利用手段,骗取国家海外贸易公司的600万美元。全部汇到香港个人公司。那是80年代末90年代初,国家的外汇损失论多少亿来计算。
控制环境是企业的健康发展的重要基础,国外知名企业对控制环境非常看重。如:IBM、杜邦公司、 MOTOROLA的员工行为准则非常明确要求员工信守诚实、公平和道德,员工的道德、诚信、是联想事业的根基。
我公司联想员工操守,也已成文,很快就要全力推出。对员工的职业道德会有一个基本的要求。
可以这样认为,控制环境多数是软控制。
*
风险评估就是在一定的控制环境之上,确定什么地方可能出错,会有什么的影响。
*
*
根据风险评估的结果,我们要进行相应的控制活动。那么控制活动就是:、、、
*
*
属预防性控制,由不同人员或职能部门在履行各自职责的过程中实施
高级管理层应让员工理解其各自的控制责任
*
*
*
检查、监督内控制度、流程执行情况,是保证有效实施的手段之一。
美国人不是天生讲信誉,中国人不是天生不讲信誉。关键在相对约束的环境下的人的行为就会发生变化。美国人在中国照样不走人行横道。但在新加坡,19岁美国男孩在墙上乱画,就要受到鞭刑。
新加坡的电视经常会看到,身穿黄马甲的垃圾虫在检烟头,纸削。
在新加坡过马路
*
工程预决算审计,建筑施工市场不规范,在前几年出名的。我们公司经常装修办公用房,刚开始发现工程单位糊弄我们,做门---。一年为公司节约150万。
*
所有人员都要从高级管理层获得清楚的信息:控制职能必须被认真对待。他们必须明白各自在内部控制制度中的角色,明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。在与象顾客、供应商、监管者和股东这样的外界之间,也必须有有效的沟通。
*
*
*
*
*
*
*
*
