COSO内部控制框架培训资料

《COSO内部控制框架培训资料》由会员分享，可在线阅读，更多相关《COSO内部控制框架培训资料（37页珍藏版）》请在装配图网上搜索。

1、COSO内部控制框架培训资料内容提纲：一、背景简介（一）COSO内部控制框架的产生及发展过程（二）中石油目前的内部控制体系与COSO内部控制框架的差距二、COSO内部控制框架下内部控制的定义（一）COSO内部控制框架对内部控制的定义（二）对内部控制定义的理解（三）COSO内部控制框架的构成要素三、COSO内部控制框架五要素 （一） 内控环境（二）风险评估（三）内控活动（四）信息与沟通 （五）监督四、内部控制的局限性五、员工在内部控制中的作用和职责六、小结一、背景简介内部控制是什么?不同的人有不同的理解。 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实行的控制,这些控制也许是内部监督

2、、也也许是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是所有。现代内控理论觉得，内部控制是一种系统化的框架，它建立在风险管理的基本上，涉及内控环境、风险分析、内控活动、信息与沟通、监督五大要素。（一）COSO内部控制框架的产生和发展过程内部控制理论的发展是一种逐渐演变的过程，大体可以辨别为内部牵制、内部控制制度、内部控制构造与内部控制整体框架四个阶段。在内部牵制阶段，账目间的互相核对是内控的重要内容，设定岗位分离是内控的重要方式，这在初期被觉得是保证所有账目对的无误的一种抱负控制措施；在内部控制制度阶段，内部控制的重点是建立健全规章制度；

3、在内部控制构造阶段，内部控制被觉得是为合理保证公司特定目的的实现而建立的多种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO内部控制框架。在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改善内部控制制度和措施。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的成果，美国国会于1979年通过了反国外贿赂法（简称FCPA）。FCPA除了规定了有关反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此美国许多机

4、构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理睬计师协会联合创立了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的因素，并寻找解决措施。两年后，该委员会提出了诸多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告内部控制整体框架（1994年进行了增补）， 即COSO内部控制框架。 COSO内控框架的提出标志着内部控制理论发展到新的阶段，对公司完善和优化内部控制、增强风险防备能力具有十分重要的意义。COSO内部控制框架之因此被广泛地选择

5、作为构建和完善内部控制体系的原则，是由于：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，萨班斯法案第 404 条款的最后细则也明确表白 COSO内部控制框架可以作为评估公司内部控制的原则。股份公司作为纽约证交所上市公司，需要按照法案规定，引进COSO内部控制框架，整合既有内部控制，满足法案的规定。同步，对股份公司来说，这也是梳理管理流程、规范管理、提高整体管理水平的契机。COSO内部控制框架是一种较为抱负的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大公司承当，但多数公司同股份公司同样，但愿通过理

6、解和贯彻COSO内部控制框架规定，来实现提高管理水平的目的。（二）中石油目前的内部控制体系与COSO内部控制框架的差距目前，股份公司通过近年的管理实践和积累，已经建立了一套针对石油行业的行之有效的内控体系，但与COSO内部控制框架的规定相比还存在某些距离。这些差距重要体目前：内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺少自我评估机制等。“她山之石，可以攻玉”，COSO内控框架对于我们加强公司内部控制具有一定的启发和借鉴意义。为此，我们需要认真学习COSO内部控制框架理论，充足结识和理解COSO内部控制框架，并在实际经营管理中积极实践，大力

7、贯彻和实行，从而优化内部控制，完善内控体系，全面提高公司管理水平。二、COSO内部控制框架下内控制度定义（一）COSO内控框架对内部控制的定义COSO内部控制框架觉得，内部控制是受公司董事会、管理层和其她人员影响，为经营的效率效果、财务报告的可靠性、有关法规的遵循性等目的的实现而提供合理保证的过程。（二）对内部控制定义的理解应当从如下几种方面理解内部控制的定义：第一，内部控制是一种“过程”，并且是一种动态的过程。公司的经营活动是永不断止的，公司的内部控制过程也因此不会停止，它是一种发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应当与公司的经营管理过程相结合，而不是凌驾于公

8、司的基本活动之上，它促使经营达到预期的效果，并监督公司经营过程的持续有效进行。第二，内部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一种人，每一种人都对内部控制负有责任并受到内部控制的影响；是“人”建立公司的目的，并将控制机制赋予实行。确立这种观念有助于公司的所有员工明确自己的责任和权限，积极地维护及改善公司的内部控制。第三，内部控制无论设计和运营得多么完善，也只能为公司的管理层和董事会提供合理的保证，而不是绝对保证，由于内部控制自身具有局限性。最后，内控框架将内部控制目的分为三类：与营运有关的目的即经营的效率与效果、与财务报告有关

9、的目的即财务报告的可靠性、以及与法规的遵循性有关的目的。上述分类让我们专注于内部控制的各个方面，这些互相有别，互相交叉的分类满足不同的需要，并且表白了不同的执行人员的直接责任。（三） COSO内部控制框架的构成要素COSO内部控制框架觉得，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素构成，它们取决于管理层经营公司的方式，并融入管理过程自身，其互相关系可以用下面模型表达。内控活动 保证管理活动付诸实行的政策/流程。 措施涉及审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督 不断评估内部控制系统的体现。 整合实时和独立的评估。 管理层和监督活动。 内部审计工作。内

10、控环境 营造单位氛围让公司员工建立内部控制 因素涉及正直，道德价值，能力，权威和责任 是其她内部控制构成部分的基本信息和沟通 及时地获取，拟定并交流有关的信息 从内部和外部获取信息 使得形成从职责方面的批示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到公司目的而确认和分析有关的风险形成内部控制活动的基本监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1l 内控环境内控环境是公司的基调、氛围，直接影响公司员工的控制意识。内

11、控环境要素是推动公司发展的发动机，也是其她一切要素的核心，涉及员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指引力度；公司的权责分派措施和人力资源政策。可以说人及其人进行的活动是任何公司的核心，是构成内控环境的重要要素，又与环境互相影响、互相作用。l 风险评估风险评估是辨认、分析有关风险以实现既定目的，是风险管理的基本。每个公司都面临着诸多来自内部和外部的风险，影响公司既定目的的实现。因此必须设立一种机制来辨认、分析和管理影响目的实现的有关风险，并适时加以管理。l 内控活动内控活动指那些有助于管理层决策顺利实行的政策和程序，是针对风险采用的控制措施。

12、它们涉及诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。l 信息与沟通是指公司经营管理所需信息必须被辨认、获得并以一定形式及时传递，以便员工履行职责。信息不仅涉及内部产生的信息，还涉及与公司经营决策和对外报告有关的外部信息。畅通的沟通渠道和机制使公司的员工能及时获得她们在执行、管理和控制公司经营过程中所需的信息，并互换这些信息。l 监督是对内部控制系统有效性进行评估的过程，可以通过持续 性监督、独立评估或两者的结合来实现对内控系统的监督。内控体系五要素之间的关系我们可以理解为：公司的核心是人，人的诚信、道德价值观和胜任能力构成了公司的内控环境，这是公司发展的基本。每个公司均

13、有自己的发展目的，为了目的的实现，必须分析影响因素，即进行风险评估。针对风险评估的成果需要采用相应的内控活动来控制和减少风险。同步与内控环境、风险评估和内控活动有关的信息应及时被获取、加工整顿，并在公司内部传递，这就是信息与沟通，信息与沟通系统环绕在内控活动周边，反映公司各项管理活动的运转状况。为了保证内控体系的正常运转，还需要对整个内控过程进行监督。内部控制五要素之间的配合和联系，构成了一种完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其她要素，例如对风险的评估不仅仅影响内控活动，还也许影响信息和沟通、监督行为等。COSO内部控

14、制框架合用于各类公司，但是中小公司对其应用也许不同于大型公司，中小公司的内部控制也许不及大型公司正式、组织性强，但也可以是有效的。对此，本次培训以大型公司为例，未考虑中小公司的差别。三、COSO内部控制框架五要素（一）内控环境内控环境是其她控制要素的基本。内控环境因素涉及：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织构造；管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。1、员工的诚信和道德价值观内部控制是由人建立、执行和维护的，人是内部控制有效运营的主线因素。人的道德价值观影响着人的行为。公司员工具有良好的道德原则并形成良好

15、的道德氛围，对控制系统的有效运营非常重要，也有助于防备那些内控系统难以控制的行为。员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不合法行为应当采用的行动。重要涉及如下内容：1） 利益冲突 每一种员工均有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。2） 合法性 公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有合用的法律和规章制度。3） 及时向指定人员报告或检举揭发违规事项 员工有义务对所发现的有关会计、内部控制或审计等的违背法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会报告。发现任何高档管理人员违

16、背法律、规章制度或行为准则，应迅速向道德规范委员会等有关机构报告。对检举人应当建立保密制度，涉及匿名保护。4） 遵守道德准则的责任 明确员工必须遵守道德准则。对违背准则的人员建立惩罚机制，甚至解雇或罢职。5） 公司机遇 严禁员工通过运用公司财产、信息或职位为自己或其她人牟取商业机遇。6） 保密 机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息，涉及（a）属于公司商业性机密信息（b）属于非披露合同下信息。每一种员工在入职后应执行保密合同和保护公司知识产权。员工虽然在终结雇佣之后，仍然有义务保护公司的机密信息。7） 公平交易 每一种员工都应当努力去公平看待顾客、供应商、竞争者、公众

17、，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其她诱惑等都是不容许的。与业务有关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的状况下，赠送礼物或款待政府雇员是不容许的。员工代表公司购买商品应遵循公司的采购政策。8） 公司资产的保护及恰当使用 每一种员工必须保护公司资产，涉及实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应当报告给经理或法律部门。 公司资产必须用于公司业务，符合公司政策。9） 全面、公正、对的、及时地理解财务报告及其披露事项 由于公司必须提供完整、公正、及时和可理解的披露报告及文献，并存档

18、或呈交给证监会以及公共传媒，因此每一种员工均有责任保证会计记录的精确性。管理层必须建立和保持合适的内控，遵循公司已有的会计准则和流程，保证交易记录的完整和精确。严禁干扰或不合法的影响公司财务报表审计。规定证明会计记录和报表受控，可以保证精确性，涉及提供应审计和定期向证监会报告的义务。对于公司来说，首要的工作是建立一套员工可以接受和理解的诚信和道德原则，如道德行为手册；另一方面是必须让员工知晓和理解这些规定（例如：规定所有员工定期签字确认），这是执行的前提条件；最后就是贯彻执行。在公司内传递道德原则的最有效方式是管理层以身作则，员工对于内控的态度一般会效仿她们的领导。此外，对违背准则的员工应予以

19、相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能报告违规行为员工的教育培训都具有特别重要的意义。员工个人也许由于下列因素而卷入不诚实、非法或不道德的行为：l 不切实际的业绩目的，特别是短期业绩的压力（例如：为了实现预先设定的利润指标而在财务报告中虚报收入）l 将奖金分派与业绩挂钩（例如：错报与业绩考核指标有关的财务信息）l 内控制度不存在或无效（例如：敏感业务区域未设立严格的职责分工，这为盗窃公司资产或隐藏不良行为提供了也许）。l 组织高度分散，也许导致高层管理人员不清晰基层的行为，缺少必要的监管，因此，减少了基层舞弊被发现的机会。l 内部审计职能单薄，没有及时发现和报告不对的的行为。l

20、董事会缺少对高层管理人员的客观监管，也许导致管理人员凌驾于内控制度。l 管理层对不对的行为的惩罚力度不够或不公开，从而失去了应有的威慑力。2、胜任能力胜任能力是规定员工具有完毕工作任务所需的知识和技能，目的是保证员工可以对的理解有关规定、及时恰当分析和解决业务，这是维护内部控制有效性的必备条件。为此，管理层需要设定工作岗位的知识和技能水平规定，在招聘、选用员工时作为评比的原则或条件。在设定工作所需知识和技能时，一方面要根据工作的性质和所需的职业判断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。3、董事会和审计委员会董事会或审计委员会的职能是

21、实行治理、指引和监督管理层的工作，如果对管理层缺少必要的监督，管理层也许会凌驾于控制之上，甚至故意歪曲成果，因此董事会或审计委员会监督作用对保证内部控制的有效性十分重要，董事会或审计委员会作用的发挥，必须具有如下条件：一是要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三可以与财务、法律、内部审计和外部审计及时沟通，得到合适信息；四是可以控制高档管理人员的薪酬，有权聘任和解雇高档管理人员。补充阐明一点，股份公司的治理构造与国外有所不同，股份公司设立监事会，其职能类似于国外审计委员会的职能，因此股份公司的董事会、审计委员会和监事会都需要符合上述条件。4、管理层的经营

22、理念和经营风格管理层的经营理念和经营风格影响公司的管理方式，涉及面对多种风险的态度。管理层的经营理念和经营风格形成了公司文化，它既是一切业务实现的基本，也为内部控制的实行提供了平台。它往往是公司内部一种无形的力量，影响公司成员的思维措施和行为方式，涉及公司承受营业风险的种类、整个公司的管理方式、公司管理阶层对法规的反映、对公司财务的注重限度以及对人力资源的政策及见解等。它们都深深地影响着内部控制的成效。例如，有些公司管理层的经营理念和风格较为激进，乐意承当更高的风险以追求更高的赚钱回报；而有些公司的管理层则比较保守，在风险承当方面体现得较为谨慎。可以看出，不同的经营理念和风格决定了管理层在承当

23、风险方面采用不同的态度和做出不同的决策。以销售信贷政策为例，对风险承受力高的公司相比承受力低的公司，其设定的信用销售额度更高，以盼望通过更优惠的政策吸引和保存客户，而获得更高的销售额。管理层的经营理念和经营风格还表目前：管理层对财务报告的态度，在会计政策选择方面与否谨慎，进行会计估计时与否遵循审慎性原则，看待数据解决、会计职能及人事管理等方面的态度等等。5、组织构造组织构造是权责分工的架构，在此架构中规划、执行、控制和监督为实现公司目的而进行的活动，每个公司都可根据自己的需要拟定组织构造，可以是集权型，也可以是分权型，可以是直接的报告关系，也可以是矩阵型组织构造，可以按产品或行业组织，也可以按

24、地理分布或功能组织，但不管何种组织构造，应根据公司的业务性质，进行合适的集中或分散，保证信息的上传、下达和在各业务间的流动，保证公司目的的实现。6、管理层授权和职责分工权力和责任分派是指对员工进行授权和分派责任，将公司的目的层层分解贯彻到每个员工的头上，从而将员工的行为与公司目的联系起来，增强员工的自主控制意识。权力与责任分派的核心是权力与责任的对等。7、人力资源政策和措施人力资源政策和措施是有关员工聘任、培训、考核、进升、薪酬等方面的政策和程序，目的是聘任和维持有能力的人员，保证公司的筹划得以实行，目的得以实现。因此，人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员，如何进行有关培训

25、使员工意识到她们的工作职责和公司对她们的规定，如何通过考核、薪酬、提高等政策鼓励约束员工。（二）风险评估1、风险及风险评估的定义风险是任何影响目的实现的因素,所有公司，无论规模、构造和行业性质，都面临着风险，可以说有经营就有风险。风险有来自公司内部的，也有来自公司外部。为了加强对风险的控制，必须进行风险评估，风险评估是指对有关风险进行辨认和分析，是发现和分析那些影响目的实现的风险的过程，是拟定如何管理和控制风险的基本。风险评估的前提条件是设立目的，只有先确立了目的，管理层才干针对目的拟定风险并采用必要的行动来管理风险。公司的目的可以分为公司层面目的和业务活动层面目的，公司层面目的是指公司的总目

26、的和有关战略筹划，与高层次资源的分派和优先运用有关。业务活动层面的目的是总目的的子目的，是针对公司业务活动的更加专门化的目的。业务活动层面的目的应当清晰，易于理解，以便从事该操作的人能实现其目的，同步还必须是可衡量的，以便于考核。实现目的需要耗费资源，因此设立目的必须考虑可获得的资源，公司应当对目的进行分析，提示自己找出与总目的不有关的操作目的，以免资源挥霍，而对实现总目的至关重要的操作目的，则优先安排资源。2、如何进行风险评估1）风险辨认风险评估的过程一方面是进行风险辨认，风险辨认需要考虑所有也许发生的风险，并且需要考虑公司和有关外界之间的所有重大互相影响。风险辨认也是一种反复的过程，需要针

27、对环境的变化持续进行。导致公司经营风险的因素涉及内部和外部两个方面：外部因素涉及：l 技术发展影响研发的性质和时机，或带来采购的变化。（例如：浮现新的、更高效的油气开采技术，未掌握有关技术的公司会导致市场竞争力减少，进而影响经营目的的实现）l 不断变化的客户需求和盼望影响产品开发、定价。（例如：纳米技术的应用，客户对产品的盼望变化；）l 竞争影响营销和服务活动（例如：WTO导致更多具有较高竞争力国外石油公司进入中国市场）。l 新的法律和法规影响经营政策和方略（例如：萨班斯法案）。l 自然灾害导致损失。l 经济形势的变化等影响融资、资本支出和扩张决策。内部因素涉及：l 信息系统运营的中断影响经营

28、运转。l 雇员的素质和培训、鼓励的措施影响控制理念。l 管理层职责的变化影响某些实行控制的方式。l 公司经营活动的性质、员工对资产的接触途径产生挪用。l 董事会或审计委员会无法有效履行其职责也许为管理层轻率的行为提供机会。2）风险分析辨认风险后，需要进行风险分析，分析的内容重要有：l 估计风险的重要性限度；l 评估风险发生的也许性（或频率、概率）；l 考虑如何管理风险即评估需要采用何种措施针对风险分析的成果而采用的控制活动，管理层应仔细考虑既有内控程序对于已辨认的风险与否合适。如果既有程序也许已经足够或只需要执行得更好，那么就不必制定附加程序。管理层还应结识到，总会存在某些残留风险的也许性，不

29、仅由于资源总是有限的，还由于每个内控系统均有内在局限性。因此，管理层的一项重要工作是权衡利弊，拟定可以谨慎地接受多少风险，并竭力将风险控制在可接受的水平内。3）应对变化经济形势、行业和法规环境不断变化，公司业务活动不断发展。在一种环境下有效的内部控制在另一环境下未必有效。风险评估的本质就是一种辨认变化的环境并采用相应行动的过程，风险评估应持续地进行, 并且应特别关注下面的情形：l 变化的经营环境变化的法律或经济环境也许导致竞争压力的增长和明显不同的风险。l 新的人员新来的高层管理人员的经营风格与原先的不同。l 新的或经修订的信息系统能否正常运营。l 经营的迅速增长当经营迅速扩张，既有制度的局限

30、也许导致控制失效；当程序变动或新人员增长时，既有的监督也许就不能保持充足的控制。l 新技术新技术被运用到生产流程或信息系统中，内部控制就很也许需要修改。l 新业务、产品、活动当公司进入新的商业领域或从事不熟悉的交易时，既有的控制也许就不充足了。l 公司重组公司由于收购、合并或者业务下滑、成本控制等因素进行构造重组。重组也许导致内部裁人，职责分工的合并，或者，本来的一种重要控制岗位被取消，却没有相应的替代控制浮现。诸多公司重组后大量削减人员，就遇到了严重的控制缺陷。l 海外经营海外经营的扩张或收购带来了新的和独特的风险。例如，内控环境也许受到本地管理层文化和风俗的影响。此外，本地经济和法律环境也

31、许带来独特的风险因素。（三） 内控活动内控活动是指为保证管理层批示得以执行的政策和程序。它有助于进行风险管理和保证公司目的的实现，内控活动贯穿于公司的所有层次和部门。它们涉及一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。1、内控活动类型：控制活动可以有不同的描述方式：针对公司的不同目的，控制活动可以分为如下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目的的三类控制活动；根据控制活动的不同作用，控制活动又可以分为：避免性控制、检查性控制、指引性控制、纠错性控制、补偿性控制等五种类型；根据组织中实行人员的不同，控制活动也可以分为：高层复核、指

32、引并管理业务活动、信息解决、实物控制、业绩指标分析、职责分离等。l 高层复核管理层将实际业绩状况和预算相比较，将当期业绩和前期相比较，将本公司的业绩状况与竞争对手相比较，对公司重要行为进行追踪，以衡量目的实现的限度。l 指引并管理业务活动负责整个板块生产的领导，分地区公司、分产品类别等内容审视生产业绩报告，对照经营目的，分析其中反映出的生产管理方面的问题，并指出需要改善的方向。l 信息解决此类控制被用于核对交易的精确性、完整性和遵循性。如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性控制；客户订单，只有与经批准的客户文献和信用额度相符，才干被接受；交易应按连的编号记账；系统管理员对例

33、外事项报告进行跟踪调查，必要时向主管领导报告。l 资产保护即实物控制对设备、存货、证券、钞票及其她资产实物采用保管措施，并定期进行盘点和帐实核对。l 业绩指标分析采购部门的员工分析采购价格变动、紧急采购订单占所有订单的比率、退货订单占所有订单的比率，通过调查异常的成果和异常的变动趋势，关注那些也许影响目的实现的问题，并提出改善方案。l 职责分离职责在不同人员之间的分工或分离，可以减少发生错误或不当行为的也许性。例如，交易的授权、记录和解决有关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或钞票收入的解决。2、控制活动的要素 政策和程序控制活动一般涉及两个要素，即：第一种要素，政策它

34、描述应当做什么，第二个要素，程序它描述应当如何做；政策是程序的基本，同步，程序又影响政策的执行。例如，政策规定，应当由专人定期进行存货盘点，程序即盘点自身，其实行的频率、关注的要点、存货的性质、数量等等。3、控制活动应和风险评估相结合管理层在进行风险评估的同步，应当针对该特定风险找出并实行有效的措施，这些针对某项特定风险的具体措施也就是建立控制活动的要素，它有助于保证控制活动得以及时、有效地实行。4、信息系统的控制随着信息技术的发展，大多数公司，涉及小公司或大公司的部门，都引进、建立和运用了现代化信息解决系统，现代化的信息系统不仅提高了公司的工作效率，并且也变化公司的经营方式和措施，甚至影响公

35、司的战略规划，因此信息系统的控制十分重要。信息系统内控活动可分为两大类。第一类是一般性控制合用多数应用系统并协助保证其持续、对的地运营, 涉及对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的控制。第二类是应用性控制，涉及应用软件中的电算化环节，以及用以控制不同种类交易解决过程的有关手工操作程序，它是保证交易解决的完整性、精确性、交易授权和有效性的内部控制。例如，公司的销售政策规定予以金额在20万以上订单以8折优惠；系统根据事先的设定，对于20万以上的订单自动予以20%的折扣优惠，而对于20万如下订单仅容许全价销售。这两类对计算机系统的控制是互相关联的。一般性控制用于保

36、证建立在计算机程序基本上的应用性控制得以实行。（四）信息和沟通信息和沟通是指有关信息以某种形式并在某个时段被辨认、获得和沟通，以促使员工履行自己的职责。这里所说的信息是指来源于公司内部及外部，与公司经营有关的财务及非财务的信息。信息必须在一定的时限内传递给需要的人，以协助人们行使各自的控制和其他职能。沟通则是指信息在公司内部各层次、各部门，在公司与顾客、供应商、监管者和股东等外部环境之间的流动。有效的沟通必须广泛的进行，自上而下、自下而上地贯穿整个组织。所有人员都要从高档管理层获得明确的信息：必须认真看待控制责任。她们必须理解各自在内部控制体系中担任的角色，以及个人行为与她人工作的互相关系。她

37、们必须有自下而上传递重要信息的渠道和措施。同步，也要顾客、供应商、监管者和股东等外部人员建立有效的沟通。1、信息公司的管理活动依赖于多种信息，既涉及内部生成的信息，也涉及从外部获取的行业、经济、监管等方面的信息。因此，公司必需要建立良好的信息系统来辨认、获得、加工和报告这些信息。有效的信息系统不仅可以辨认和获得所需要的财务和非财务的信息，还可以在一定期限内根据需要加工和报告这些信息。此外，当公司面临基本的行业变化，面临有高度创新能力反映迅捷的竞争对手或面对重大的顾客需求变化时，信息系统必须随公司目的、经营环境的变化而变化，及时适应新的需求。1）信息的辨认和获取信息的辨认和获取的方式是多种多样的

38、：信息系统可以采用监控方式，定期获取特定的数据；或者，可以采用某些特定的方式获取所需信息，如通过问卷、采访、广泛的市场需求调研或针对特定群体的调查获得顾客对产品和服务的需求信息；通过与顾客、供应商、监管者以及员工的谈话获得辨认风险和机遇所必需的重要信息；参与专业或行业的研讨会也可以获得有价值的信息。2）信息加工和报告信息是决策的基本，但并非所有的信息都是有用的信息，因此，需要对信息进行加工整顿，归纳汇总，根据需要向不同的部门和人员报告不同的信息。为了提高信息的质量，需要考虑：内容与否合适它是所需要的信息吗？信息与否及时当我们需要时就能获得吗？信息是目前的吗？是我们能获得的最新的信息吗？信息与否

39、精确数据都精确吗？信息与否畅通相应的部门能容易地获得信息吗？在设计系统时必须考虑以上问题。如果不考虑，系统很也许无法提供管理层和其别人员需要的有用信息。3）信息系统的整合 信息系统是经营行为的一种构成部分，它通过获取决策所需的信息来影响控制，随着信息技术的发展，信息系统可以更迅速、更广泛提供更有价值的信息，对公司的管理影响更加深远，甚至影响到公司的战略规划，一项最新发布的研究表白，信息系统的规划、设计和应用已经开始同组织的整体战略整合在一起。多数新的生产系统与公司其他的系统，也许还涉及公司的财务系统，高度地整合为一体。当系统执行其他的运营时，财务数据和会计记录会自动更新。2、沟通沟通是信息系统

40、固有的，是将信息提供应有关人员，以便与其履行职责，沟通必须贯穿于信息解决的整个过程，有效的沟通不仅在整个公司内进行，也涉及与外部进行的沟通。1）内部沟通内部沟通是指公司内部上下级之间、横向部门之间的沟通，下面以例举的方式简介内部沟通的重要内容：l 所有的人员，特别是那些有着重要的经营和财务管理职责的人员，获得管理所需信息，并清晰地懂得必须严肃履行内部控制的责任。l 每个人需要理解所负责内部控制部分如何运营及个人在系统中的职责。l 在执行自己的职责时，每个人都应当懂得，当意外发生时，不仅要注意事件自身，还要注意事件的因素。这样，就可以理解到系统潜在的缺陷，并采用避免的措施。例如，发现滞销的存货不

41、仅要在财务报告上留下精确的记录，更重要的是对存货滞销的因素作出判断。l 人们需要懂得自己的行为如何与她人的工作相联系。l 需要懂得什么样的行为是被盼望的，什么是可以接受的，什么是不可接受的。l 员工也需要懂得在公司中自下而上传递重要信息的措施和渠道。员工必须相信她们的上级的确想理解问题并乐意有效地解决问题，在任何状况下不会因报告有关信息而受到报复。l 在多数状况下，正常的报告渠道就是合适的沟通渠道。然而，在特定条件下，需要独立的沟通渠道作为一种避免失败的机制，在正常渠道不起作用时加以运用。例如为员工提供直接接触财务总监或公司法律顾问这样的高层领导的渠道；总裁可以定期抽出时间接待员工来访，并且让

42、员工懂得为任何事情的来访都是受欢迎的；总裁也可以定期去车间拜访她的员工，形成一种人们可以交流难题和关怀的问题的氛围。l 管理层与董事会及其委员之间的沟通至关重要。管理层必须使董事会理解最新的业绩、发展、风险、重要的革新以及其他任何有关的事件或事故。与董事会的沟通越好，董事会越能有效地行使监督职能，并可以对于核心的事务作出合理的行为，提供建议和忠告。同样，董事会也应当向管理层传达其所需要的信息，并提供指引和反馈。2）外部沟通公司不仅在内部需要有合适的沟通，并且与外部也是,与外部沟通的内容涉及：l 通过开放的沟通渠道，理解顾客、供应商对于产品或服务的设计或质量方面的规定使公司注意顾客的需求和偏好。

43、l 在与外部的交往中强调公司的道德原则，使外部人员懂得结识到不合适的行为。例如公司可以同供应商直接沟通，解释公司盼望供应商雇员在与其打交道时应怎么做，明确回扣以及其他不合适的收入，都是不能容忍的。l 与外部审计师的沟通，管理层和董事会可以理解重要的控制信息。l 与股东、监管者、财务分析师以及其他外界的交流，可以理解公司所面临的状况和风险。l 管理层同外界（无论是公开的、即将进行的、严格跟踪的还是其他的）的交流也可以向整个公司内部传递信息。3）沟通的方式沟通可以采用诸如政策手册，备忘录，布告告知，录像录音带的形式,又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行

44、。（五）监督内部控制随着时间、环境而变化，曾经有效的程序也许会变得不太有效，因此需要对内部控制进行监督。监督是评估内控系统在一定期期内运营质量的过程，目的是保证内部控制持续有效，监督可通过两种方式进行：持续性的监督活动和独立的评估。持续性的监督活动是植根于公司平常、反复发生的活动中的。与独立评估相比，由于持续性监督程序在实时基本上实行、动态地应对环境的变化，并在公司中根深蒂固而显得更加有效。但是，独立评估发生在事实之后，比起持续性监督程序，可更快地发现问题。一种感到有必要进行常常性的独立评估的公司，应重点关注改善持续性监督的途径，并强调“嵌入”而非“外加”的控制。1、持续性监督行为持续性的监督

45、行为发生在经营的过程中，它涉及平常管理和监督行为、比较、核对和其她常规性活动。持续性监督行为有下面某些例子：l 在执行常规管理行为时，经营管理层获得内部控制持续运转的证据。l 与外界各方的沟通可以印证内部产生的信息或揭示问题。例如：顾客支付账单，表白其确认了帐单数据；相反地，顾客对帐单的投诉也许表白销售交易过程存在系统缺陷。公司审核有关作业安全的政策和操作环节，从经营安全性和合规性的角度为内控与否有效运营提供信息，因而被视为一项监督；监管者就合法性或其她事项与公司进行交流，也会从某种角度反映内控系统与否有效运营。l 合适的组织构造和监督行为不仅监督内控职能的执行并且可以发现内控的缺陷。例如，财

46、务负责人对财务人员针对交易对的性和完整性实行的内控活动实行平常的监管。此外，管理层对员工的职责分派定期进行审核，以保证合理分工以便互相制衡，有助于避免员工舞弊，并可以限制个人掩盖其可疑行为的能力。l 将信息系统所记录的数据与实物资产相核对。例如，产成品存货应定期进行盘点，将盘点的数据与相应的会计数据核对并记录存在的差别。l 内部及外部审计师定期为进一步加强内部控制提供建议。审计师通过评价内控的设计并测试其有效性，发现某些潜在的问题并向管理层提供解决问题的建议。l 培训研讨会、筹划会议及其她会议能向管理层提供有关控制与否有效的重要反馈。这种方式不仅能指出控制中存在的个别问题，还能增强参与者的控制

47、意识。l 定期询问职工理解及执行公司有关规定的状况。如向经营及财务人员询问有关的控制程序与否正常运营。2、独立评估独立评估是独立于控制活动之外而采用的定期评估行为。尽管持续性监督程序可以提供有关其她控制要素有效性的重要反馈信息，但常常地对系统的有效性直接进行评估也是十分必要的。这样同步也提供了一种机会来评价持续性监督程序与否有效。1）范畴和频率独立评估的范畴和频率重要依赖于风险评估和持续性监督程序的有效性。由于所控制风险的大小及内部控制在减小风险中的重要性不同，对于内部控制进行评价的范畴和频率也不同样。例如，那些致力于重大风险或对减小风险具有重要作用的控制就应常常地进行评价。2）评价主体评价主

48、体，即由谁来实行独立评估。一般来说，评价主体涉及：一是自我评价，即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。例如，一位部门主管应指引本部门内部控制的评价活动。她或她也许亲自评价内控环境因素，然后请部门内负责多种经营活动的人员评价其她要素的有效性。二是内部审计人员评估，有时，在董事会、高档管理层、子公司及部门主管的特殊规定下，内审人员也会对内控进行评价。同样，在评价内控时，管理层也可运用外部审计人员的工作。3）评价程序及措施体系一方面是同公司职工进行探讨并审视已有的文献，理解系统的运营过程或内控系统的设计；另一方面是根据已拟定的目的分析内部控制的设计和测试成果，分析与否对既定目的

49、提供了合理保证。评估措施有许多可供选择，涉及检查清单、调查问卷和流程图等措施。也可与那些被觉得在内控系统方面具有良好名誉的公司进行比较。4）行动筹划第一次指引评估内控系统的管理人员可以考虑下列建议，决定对何处着手和如何去做：l 决定评估的范畴，涉及目的的分类、内部控制要素和需采用的行动。l 拟定对内部控制的有效性提供常规保证的持续的监督行为。l 分析内部审计的控制评估工作，考虑外部审计师与控制有关的发现。l 按照单位、要素或高风险区域划分重要性限度和先后顺序，保证及时的关注l 在以上基本上，建立有关的评估程序。l 汇集所有进行评估的各方，共同考虑下列问题：不仅要考虑评估范畴和时间表，并且要考虑

50、所使用的措施体系，应用的工具，来自内外部审计师和监管者的建议，报告所发现问题的方式以及设定最后的文本化限度。l 监督进展和复核发现。l 保证采用必要的追踪措施，必要时修改后续的评估部分。5）报告缺陷这里的“缺陷”被广泛定义为内控系统中值得注意的问题。缺陷也许代表一种假想的、潜在的或实际的缺陷，或一种强化内控系统的机会。向恰当的当事人提供有关内部控制缺陷的必要信息，对内部控制制度的持续有效运营十分核心。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。对于发现的内部控制缺陷，不仅应向负责的个人报告，由她采用对的的措施，还至少应向该负责人的上一级报告。这一过程使得负责人能及时采

51、用措施，也便于其上级提供所需的支持或进行监督，并与公司中受影响的她人进行沟通。重要事项应报知高层管理人员和董事会。6）文本化公司内部控制的文本化有助于评估，有助于增进员工对内控系统如何运营及各自职责的理解，更易于必要时对其修改。文本化的限度根据各公司的规模、复杂性和类似因素的不同而存在差别。大某些的公司一般有书面的政策手册、正式的组织图、书面的工作描述、经营指引、信息系统流程等。小某些的公司内部控制文本化的限度一般低得多。控制没有文本化并不意味着内控系统是无效的或无法评估，但是当需要向更多人提供有关内部控制的论述或评估时，内部控制文本化的性质和限度将会提高。当管理层但愿向外界提供有关内控系统效

52、果的声明时，她们应当考虑形成文献来支持该声明。如果该声明此后被质询，这些文献将很有用。四、内部控制的局限性也许有人会觉得内部控制可以保证公司万无一失，这也是我们所但愿的，但事实并非如此，无论内部控制设计和执行的多好，它也只能提供合理的保证，这是内部控制系统固有的局限性。具体表目前：n 判断失误判断是人在事情发生时根据既有信息的所做出的，个人的判断不能保证绝对对的，并且难以避免主观性，从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。n 执行偏差任何“完美的”内部控制系统，都会因设计人经验和知识水平的限制而带有缺陷。同步，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也

53、也许使内部控制系统陷于瘫痪。例如：替代缺席或生病雇员的临时职工，也许不能对的地执行控制的职责。n 管理层的越权内控制度是公司最重要的管理工具，但任何内控最后都是靠人来执行的。单位或部门的经理，或者高档管理层成员会出于多种目的而愈越内控制度，例如：虚增报告中的收入来掩盖市场份额始料不及的下跌；虚增报告中的获利以符合无法实现的预算。n 合伙同谋两人或更多人的合伙同谋行为，会使不同职务互相制约的作用丧失，从而导致内控的失效。n 成本收益原则控制环节越多，控制措施越复杂，相应的控制效果也许会越好，但控制成本也会越高。由于公司的资源有限，公司在设立和实行内部控制时，必须在控制失败也许导致的损失与建立控制

54、所需有关的支出之间进行权衡。固然，合理的保证并不意味着内部控制系统会常常失效。多项内部控制互相作用可以减少公司无法实现目的的危险，而平常的经营行为和不同层次人员的职责分工也有助于实现公司的目的。五、员工在内部控制中的作用与责任组织中的每一种人都对内部控制负有责任。 管理层 总裁或总经理对内部控制负有全面的责任，可以看作是内部控制系统的“负责人”。总裁或总经理的态度对内控环境的影响很大。总经理的任务是领导和指引高档管理人员，并与这些高档管理人员一起制定价值观、原则以及重要的经营方略，例如公司的总目的、组织机构、重大制度等，并检查她们与否履行职责。依次的，高档管理人员负责建立更为具体的内部控制政策

55、和程序，并向公司员工分派。基层的管理人员则直接参与控制政策和程序的实行。其中财务总监和她的员工的内控活动贯穿于公司各部门，是内部控制的核心。 董事会管理层向董事会负责，董事会指引和监督管理层的工作。一种强大的、活跃的董事会一般可以结合有效的报告渠道和有力的财务、法律和内部审计职能来发现和纠正管理层存在的问题。有效的董事会必须是客观的、有能力的和蔼于调查的，她们具有业务活动方面的知识，并有充足的时间履行董事的责任。 内部审计师内部审计师在评价和维护内部控制有效性方面起着重要的作用。内部审计职能部门由于其在公司中的地位和权利，还起着重要的监督作用。 其她人员内部控制从某种限度上是组织中每个人的责任

56、，每个员工都产生内部控制系统中所使用的信息，或者用行动来影响着内部控制，因此所有的人均有责任向上报告沟通组织中的问题，报告违背行为准则的状况，以及违背政策或法律的行为。此外，大量的外部单位也对公司内部控制也有所奉献。外部审计师，通过对财务报表的审计，提供有关财务报表及其有关内控的独立客观的意见，并间接向管理层和董事会提供履行职责的信息。立法机构和监管机构、客户和其她公司、财务分析员、债券评级人和新闻媒体也能为公司提供有用信息。但是外部单位不会对公司内部控制负有责任，也不是公司内部控制体系中的一部分。六、小结长期以来，高档管理层始终在寻找控制和管理公司的更好措施。内部控制的实行增进公司朝着赚钱目

57、的和成就其使命的方向持续发展，并将这个过程中的干扰因素最小化。内部控制措施协助管理层应对迅速变化的经济和竞争环境以及不断变化的客户需求，并针对将来的成长进行调节。内部控制增进效率性，减少资产损失的风险，并有助于保证财务报表的可靠性和对于法律法规的遵循性。由于内部控制服务于诸多重要的目的，对于更好的内部控制系统及其运营效果的规定不断增长。内部控制系统越来越多地被视为多种潜在问题的解决方案。 COSO内控框架提出的由三个目的和五个要素构成的内部控制的整体框架，已经得到各行业的公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍承认，因而成为迄今最权威的内部控制的概念，由于它是一种较为完整和系统化的有关内部控制的理论，并且它提出的许多新的、有价值的观点不断地在实践中找到了现实意义。按照COSO框架原则建立股份公司内部控制体系是我们本阶段的重要内容。