PricewaterhouseCoopers
COSO 控制框架和内部控制培训
内部控制项目
2003年12月29日
此处列述的信息和观点不代表任何法律或其他形式的专业意见。有关2002年萨本斯-奥克斯利法案和相关证券交易(SEC)法规及条例所规定的公司职责和合规性要求,建议公司向法律顾问进行咨询。
PricewaterhouseCoopers
议程
介绍
COSO控制框架
COSO内部控制框架要素详述
PricewaterhouseCoopers
介绍
欢迎
介绍
PricewaterhouseCoopers
课程目标
介绍内部控制和COSO内部控制框架的概念
介绍COSO内部控制框架的组成要素
PricewaterhouseCoopers
议程
介绍
COSO控制框架
COSO内部控制框架要素详述
PricewaterhouseCoopers
什么是内部控制?
内部控制被定义为一个过程……..
由组织的董事会、管理层和其它人员共同实施………
被设计以提供合理保证……..
有关以下目标的实现:
· 经营的效果和效率
· 财务报告的可靠性
· 法律和法规的遵从性
PricewaterhouseCoopers
COSO 委员会
“COSO,是自愿性的私人组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)。 COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。
PricewaterhouseCoopers
COSO内部控制框架的历史
内部控制-
整合的控制框架
Treadway委员会
发起委员会
反虚假财务报告委员会(Treadway委员会)成立于1985年
反虚假财务报告委员会在1987年签署了报告-号召研究并制定一个统一的内部控制框架
1992年9月签署了名为内部控制整合框架的报告
2003年签署“COSO-企业风险管理 ”草案
最为广泛认可的针对内部控制整合框架的国际标准
PricewaterhouseCoopers
内部控制框架 – COSO
COSO的关键概念:
当内部控制被“植入”经营活动中时是最有效的
组织中不同级别的员工都对内部控制负有责任
内部控制不能够提供绝对的保证
内部控制是有效的法人治理结构的主要因素
如果没有实现公司整体范围内的风险管理,就无法建立整合的内部控制系统
PricewaterhouseCoopers
COSO目标是内部控制的前提条件
COSO定义的内部控制是:内部控制是由公司董事会、管理层和其他有关人员实施,为达到以下目标提供合理保证而设计的程序(COSO及美国审计准则第319条):
与公司的基本经营目标相关,包括业绩和赢利性目标和资产的保护。
与财务报告的编制相关,包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据
与公司适用的法律和法规的遵守有关
目标种类是明确的,但是也是相互联系的
经营的效果和效率
财务报告的可靠性
对法律法规的遵循性
PricewaterhouseCoopers
COSO内部控制框架
控制活动
确保管理活动付诸实施的政策/流程。
措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。
监督
不断评估内部控制系统的表现。
整合实时和独立的评估。
管理层和监督活动。
内部审计工作。
控制环境
营造单位气氛-让公司员工建立内部控制
因素包括正直,道德价值,能力,权威和责任
是其他内部控制组成部分的基础
信息和沟通
及时地获取,确定并交流相关的信息
从内部和外部获取信息
使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流
风险评估
风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础
所有的五个部分必须同时作用才能使
内部控制得以产生影响
PricewaterhouseCoopers
COSO控制框架:控制环境
控制环境确定影响员工控制意识的组织的“基调”。
例如:
目标的实现是行政人员人事管理计划的关键部分。
明确和定期的沟通以及高级行政人员个人承诺将努力建立“高级管理层的基调”。
有高层管理人员对各种情形负责,以表示这个项目的重要性
业务管理层和高级管理层之间的会议加强了信息共享和问题解决的紧迫性。
内部审计的参与反应了高级管理层的关注和控制能力。
管理层决策反应了其对适当的控制环境的承诺。
PricewaterhouseCoopers
COSO控制框架:风险评估
风险评估是指识别和分析影响目标实现的风险,帮助确定如何进行风险管理。
例如:
评估未实现目标的风险并确定高风险领域。制定改进计划以控制高风险领域。并且风险评估应该被及时更新。
如果适当的话,未实现目标的风险应该与成本(包括潜在惩罚、公众形象等)平衡。
所有级别的管理层都应该参与风险识别和目标确定。
PricewaterhouseCoopers
COSO 控制框架:控制活动
控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序。
控制目标包括:
完整性:所有的信息被输入并处理,且仅被处理一次。
准确性:信息(包括静态数据)被正确的输入和处理.
有效性:交易和更新经过适当的人员的授权和批准。存在有效的源文件以支持交易。
接触的限制:只有适当的人员可以对信息进行修改。公司资产被适当的保护,以防止被窃或滥用。
PricewaterhouseCoopers
相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。
COSO控制框架:信息与沟通
例如:
信息共享,例如通过组织内各个级别的管理人员的沟通,建立一种共同责任的意识。
管理层明确定义每名员工的责任并向他们沟通。
建立管理层内部和与外部各方的适当的定期沟通的流程。
建立目标和标准以衡量和督促及时采取改进行动。
PricewaterhouseCoopers
COSO 控制框架:监控
监控是不断评估内部控制系统质量的流程,包括日常管理和监管活动。
例如:
负责人明确的定义并定期的审核与其职责相联系的重要事件及其时间进程以保证计划被适当的执行,以及是否采取了适当的改进行动(如果需要)。
高级管理层要求相关负责人员进行进度评估以确定负责人员是否考虑了风险和改进机会。
定期对内部控制环境进行独立评估。
PricewaterhouseCoopers
内部控制成熟性模型
信息处理和信息生成的可靠性和完整性
错误或错报的风险
最优化的内部控制
阶段5
不可依赖的
内部控制
阶段1
非正式的内部控制
阶段2
标准化的内部控制
阶段3
受监控的内部控制
阶段4
PricewaterhouseCoopers
议程
介绍
COSO控制框架
COSO内部控制框架要素详述
PricewaterhouseCoopers
COSO 内部控制框架详细介绍
COSO评估工具:
要素工具-针对每一个内部控制要素
风险管理和控制活动工作表
总体内部控制体系评估
PricewaterhouseCoopers
COSO要素-控制环境
关注点(参考分发材料):
诚信与道德观
胜任能力
董事会或审计委员会
管理理念和经营风格
组织结构
权利和责任的分配
人力资源政策及实施
PricewaterhouseCoopers
COSO要素-控制环境(练习)
根据前面的讨论,找出以下例子中最合适的关注点;同时,如果可能,找出相关的因素:
管理层已经记录以下的审批权限:资本性支出、资金转移、付款、采购和信用审批。
管理人员应该保证招聘说明中规定了应聘人员必要的技能,管理人员也应该参加审核和面试以保证录用的人员具备充分的能力。工作说明应详细描述岗位必需的知识和技能,并且要在录用、培训、提升和辞退程序中使用这些描述。
在业绩考核中注意考虑违反政策和程序的情况,并依据其严重性,对员工进行额外的培训或对相关人员进行处理。
PricewaterhouseCoopers
COSO要素-控制环境(练习续)
在建立新的采购业务关系时,管理层应与供应商沟通公司的道德标准和行为规范。管理层/内部审计人员执行商业行为审核,例如:供应商付款、差旅费报告、公司车辆使用和产品和服务赠送。
明确定义公司和业务单位之间的报告责任。关键公司管理人员每季度与主要业务人员进行当面沟通。业务人员每周、每月或每季向管理人员提交经营报告,并在每周、每月、或每季的经营业绩审核中与管理人员进行讨论 。
董事会建立一个需要管理层跟踪处理行动一览表。董事会成员在每次会议上,审核该一览表以保证管理层开展了必要的跟踪活动。
公司建立组织结构图,描述整个组织中不同职能、不同部门的报告责任(包括财务、税务、资金、财务报告和信息部门)
PricewaterhouseCoopers
COSO要素-控制环境(建议方案)
管理层已经记录以下的审批权限:资本性支出、资金转移、付款、采购和信用审批。[权利和责任的分配-与责任分配相联系的授权的适当性]
管理人员应该保证招聘说明中规定了应聘人员必要的技能,管理人员也应该参加审核和面试以保证录用的人员具备充分的能力。工作说明应详细描述岗位必需的知识和技能,并且要在录用、培训、提升和辞退程序中使用这些描述。[胜任能力- 对工作必须的知识和能力的分析]
在业绩考核中注意考虑违反政策和程序的情况,并依据其严重性,对员工进行额外的培训或对相关人员进行处理。[人力资源政策和实施-员工了解其责任和目标的程度]
PricewaterhouseCoopers
COSO要素-控制环境(建议方案)
在建立新的采购业务关系时,管理层应与供应商沟通公司的道德标准和行为规范。管理层/内部审计人员执行商业行为审核,例如:供应商付款、差旅费报告、公司车辆使用和产品和服务赠送。[诚信和道德观-涉及员工、供应商、客户、债权方、竞争者和审计师等]
明确定义公司和业务单位之间的报告责任。关键公司管理人员每季度与主要业务人员进行当面沟通。业务人员每周、每月或每季向管理人员提交经营报告,并在每周、每月、或每季的经营业绩审核中与管理人员进行讨论 。[管理理念和经营风格-高级管理层与业务管理层沟通的频率,特别是针对异地经营地点的情况]
董事会建立一个需要管理层跟踪处理行动一览表。董事会成员在每次会议上,审核该一览表以保证管理层开展了必要的跟踪活动。[董事会或审计委员会-董事会或审计委员会采取的行动,包括必要情况下的特殊调查]
公司建立组织结构图,描述整个组织中不同职能、不同部门的报告责任(包括财务、税务、资金、财务报告和信息部门)[组织结构-公司组织结构的适当性,以及其提供必要的管理信息的能力]
PricewaterhouseCoopers
COSO要素-风险评估
风险评估是指识别和分析影响目标实现的风险,确定如何进行风险管理的基础。
关注点(参考分发材料):
公司层面的目标
业务活动层面的目标
风险
应对变化
PricewaterhouseCoopers
什么是风险?
风险 :
任何可能影响你实现目标的因素
PricewaterhouseCoopers
企业目标, 风险和内部控制的关系是什么?
确定目标
评估风险
行动计划/
责任分配
分析控制
目标, 风险和内部控制
整合
PricewaterhouseCoopers
目标
例示:
经营层面:
“使用经过批准的销售价格以保证销售价格的一致性和股东价值的持续增长”
“应该建立并维护工资处理程序并与管理层的标准一致”
“在适当的期间,对所有发运的货物开具发票”
PricewaterhouseCoopers
COSO要素-风险评估(练习)
参考分发的材料-COSO参考手册
针对以下目标,可能存在哪些风险?
准确地记录固定资产增加的信息,以确保资产价值的真实。
资产的增加经过了有效的授权。
固定资产的记录有接触方面的控制。
购买符合生产需要的设备和材料。
保证完整、准确且不重复付款。
PricewaterhouseCoopers
COSO要素-风险评估(练习)
针对以下目标,可能存在哪些风险?-建议方案
准确地记录固定资产增加的信息,以确保资产价值的真实。
由于缺乏固定资产方面的制度,错误地将资产费用化,造成财务报告的错误;
错误的记录导致决策的失误。
固定资产的记录有接触方面的控制。
由于缺乏对固定资产记录方面的接触控制,造成财务报告的错误;
资产的实物安全受到影响;
有舞弊的风险。
PricewaterhouseCoopers
COSO要素-风险评估(练习)
针对以下目标,可能存在哪些风险?-建议方案
购买符合生产需要的设备和材料。
购买劣质设备、部件,导致减产、停产或产品质量问题;
公司资金浪费
影响公司信誉
保证完整、准确且不重复付款。
错误或重复付款导致公司资金损失
有舞弊的风险。
PricewaterhouseCoopers
COSO要素-控制活动
控制活动是指能够保证管理层的决策得到有效执行的政策和相关的实施程序。它们可以协助保证那些与影响企业目标实现的风险相关的措施得到实施。控制活动存在与组织所有职能的各个层面,他们包括一系列的活动,例如:审批、授权、证明、核对、经营效果的审核、资产保护以及职责分工。
关注点(参考分发的材料):
针对企业的每一项业务活动都有必要和恰当的政策和程序
确定控制活动被适当的实施
PricewaterhouseCoopers
控制种类/活动
控制可以被分为预防性或发现性:
预防性:用于防止问题发生的控制机制(防止产生未经授权的分录的系统)
发现性:用于发现问题的控制机制(通过系统登录日志定期检查系统访问)
由计算机系统支持的自动化的控制。
为保证控制持续正常运行,应该存在总体信息系统控制
控制可以是自动实现的也可以是手工实现的:
手工:例如-手工的核对、授权签字、信用审核和批准
自动:例如-付款的三单匹配,批处理控制,字段的修改/确认
预防性的控制比检测性的控制更有效。
PricewaterhouseCoopers
控制目标: CAVR
控制,可以是预防性或者是发现性的,手工执行或自动执行的,直接支持以下的控制目标:
完整性
准确性
真实性
接触限制
PricewaterhouseCoopers
控制的种类
组织中不同级别的人员执行的一般控制活动:
上级审核
直接的职能或业务活动管理
信息处理
实物控制
业绩指标
职责分工
PricewaterhouseCoopers
COSO要素-控制活动(练习)
参考分发的材料-COSO参考手册
对于在风险评估中确定的风险,可以实施哪些控制活动?针对每个控制活动,确定其控制目标(CAVR):
公司能够保证有关资产化和费用化方面的政策得到贯彻执行。公司规定原值超过XXX元和预计可使用年限超过X年的资产应被资本化。〔A〕
公司能够保证遵循资产分类和可使用年限估计的政策,并向指定人员提供这些信息。 〔A〕
指定人员负责保证资产类型和可使用年限被正确的输入固定资产管理系统。
公司政策规定了每种类型的固定资产的最大可使用年限,并通过了管理层的批准。
固定资产的使用年限已经编入程序,所以一旦输入固定资产的类型,系统就会自动匹配使用年限,并与公司政策保持一致。
指定人员可以在公司的要求下修改固定资产的默认使用年限。
PricewaterhouseCoopers
COSO要素-控制活动(练习)
参考分发的材料-COSO参考手册
对于在风险评估中确定的风险,可以实施哪些控制活动?针对每个控制活动,确定其控制目标(CAVR):
购买符合生产需要的设备和材料
向授权供应商采购[A];
在合同/订单中详细规定采购设备和材料的规格和设计、质量要求 [A] ;
检验收到的设备和材料符合合同/订单规定[A,V,C]。
保证完整、准确且不重复付款。
编制到期发票报告,根据报告进行付款 [C,A,V]
付款申请的审批[V]
由出纳付款,会计编制凭证并入帐[V]
对已付发票,加盖“付讫”章[A]
PricewaterhouseCoopers
COSO要素-信息与沟通(练习)
参考分发的材料-COSO参考手册
针对每一个控制活动,确定必要的信息和沟通方法,并且考虑:
横向和纵向信息流(在公司层面和在部门层面)
谁负责信息和沟通
其它形式的沟通
频率(例如:每周、每月等)
跟踪要求
PricewaterhouseCoopers
COSO要素-信息与沟通
关注点(参考分发的材料):
信息-信息系统能够识别、获得、处理和报告各种信息。相关的信息包括从外部获取的行业、经济、监管信息,以及内部产生的信息。
沟通-沟通贯穿于信息处理的整个过程中。沟通还存在一种更广泛的意义,如:处理个人和团体的期望、职责。有效的沟通必须在整个企业内进行;也包括与外部的沟通。
PricewaterhouseCoopers
COSO要素-信息与沟通(例示)
在审核公司的年度战略计划的过程中,使用从外部渠道获得的信息(例如从行业组织或贸易公会等)
公司的管理层建立信息系统指导委员会,该委员会将评价现有信息系统的充分性并提出改进建议。
作为培训的一部分,对所有员工进行如下培训:员工的职责以及员工的自身职责对本部门和其它部门的员工的影响。
向所有员工提供员工手册,该手册应该说明:向指定的一位高级管理人员报告所有可能违反公司政策和行为标准的行为,该报告可以采用匿名形式。
销售和经营管理层与关键的客户和供应商进行沟通以获得第一手的反馈信息
外部各方的信息如果暗示了内部控制系统可能存在问题,就应该进行及时的跟踪处理(例如:对员工行为的投诉)
PricewaterhouseCoopers
COSO要素-监控
监控能够保证内部控制持续有效的运行。监控程序包括由适当人员及时对控制的设计和执行进行评估,并采取适当的行动。
关注点(参考分发的材料)
持续监控 – 在日常运作过程中
独立评估 – 对内部控制的重新审视
报告缺陷 – 内控缺陷应该向上汇报,某些问题应向高级管理层和董事会汇报
PricewaterhouseCoopers
COSO要素-监控(例示)
高级管理层主动的参与经营活动,与供应商和客户保持直接的联系并且经常性的检查财务和管理报告。
存货盘点每年进行两次,并且将实际存货数量与存货永续记录比较。任何的差异被及时的调查和跟踪处理。
对固定资产进行盘点,并与固定资产登记簿进行比较。
高级管理层和审计委员会审核内部和外部审计师的建议,并针对建议采取适当的行动。
委托第三方评价内部控制系统以确定是否存在经营活动的重大变化。
存在获取和报告缺陷的政策。例如:市场部门将客户投诉与适当的部门(入生产或运输部门)进行沟通。
对确定的缺陷的跟踪处理活动进行监控,并报告给适当的高级管理层。
PricewaterhouseCoopers
COSO要素-监控(练习)
参考分发的材料-COSO参考手册
对于每一个控制活动,确定需要进行的监控控制:
购买符合生产需要的设备和材料
向授权供应商采购 – 定期复核/更新授权供应商名单
在合同/订单中详细规定采购设备和材料的规格和设计、质量要求 - 这些要求必须由技术人员参与制订;
检验收到的设备和材料符合合同/订单规定[A,V,C] –技术人员参加必须检验。
保证完整、准确且不重复付款。
编制到期发票报告,根据报告进行付款
付款申请的审批[V] –出纳对付款报告、发票等单据进行独立复核
由出纳付款,会计编制凭证并入帐
对已付发票,加盖“付讫”章到底- 会计对付款单据进行
PricewaterhouseCoopers
问题?
