COSO控制框架和内部控制培训ppt课件

1、COSO 控制框架和内部控制培训控制框架和内部控制培训内部控制工程内部控制工程2003年年12月月29日日此处列述的信息和观念不代表任何法律或其他方式的专业意见。有关2002年萨本斯奥克斯利法案和相关证券买卖SEC法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进展咨询。议程议程引见引见COSO控制框架控制框架COSO内部控制框架要素内部控制框架要素详述详述PricewaterhouseCoopers引见 欢迎 引见PricewaterhouseCoopers课程目的 引见内部控制和COSO内部控制框架的概念 引见COSO内部控制框架的组成要素议程议程引见引见COSO控制框架控制框架

2、COSO内部控制框架要素内部控制框架要素详述详述PricewaterhouseCoopers什么是内部控制？内部控制被定义为一个过程.由组织的董事会、管理层和其它人员共同实施被设计以提供合理保证.有关以下目的的实现：运营的效果和效率财务报告的可靠性法律和法规的服从性PricewaterhouseCoopersCOSO 委员会“COSO，是自愿性的私人组织，努力于经过强化商业品德、建立完善有效的内部控制和法人治理构造以提高财务报告的质量。它从属于1985年成立的反虚伪财务报告委员会(也被称为Treadway委员会)。 COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协

3、会(FEI)、美国会计学会(AAA)、管理睬计学会(IMA)等多个专业团体组成。PricewaterhouseCoopersCOSO内部控制框架的历史内部控制整合的控制框架Treadway委员会发起委员会反虚伪财务报告委员会反虚伪财务报告委员会Treadway委员委员会成立于会成立于1985年年反虚伪财务报告委员会在反虚伪财务报告委员会在1987年签署了年签署了报告号召研讨并制定一个一致的内部报告号召研讨并制定一个一致的内部控制框架控制框架1992年年9月签署了名为内部控制整合框月签署了名为内部控制整合框架的报告架的报告2003年签署年签署“COSO企业风险管理企业风险管理 草案草案最为广泛认

4、可的针对内部控制整合框架的国际规范最为广泛认可的针对内部控制整合框架的国际规范PricewaterhouseCoopers内部控制框架 COSOCOSO的关键概念的关键概念:当内部控制被当内部控制被“植入运营活动中时是最有效的植入运营活动中时是最有效的组织中不同级别的员工都对内部控制负有责任组织中不同级别的员工都对内部控制负有责任内部控制不可以提供绝对的保证内部控制不可以提供绝对的保证内部控制是有效的法人治理构造的主要要素内部控制是有效的法人治理构造的主要要素假设没有实现公司整体范围内的风险管理，就无法建立整合的内部假设没有实现公司整体范围内的风险管理，就无法建立整合的内部控制系统控制系统Pr

5、icewaterhouseCoopersCOSO目的是内部控制的前提条件COSO定义的内部控制是：内部控制是由公司董事会、管理层和其他有关人员实施，为到达以下目的提供合理保证而设计的程序(COSO及美国审计准那么第319条):与公司的根本运营目的相关，包括业绩和赢利性目与公司的根本运营目的相关，包括业绩和赢利性目的和资产的维护。的和资产的维护。与财务报告的编制相关，包括公开的中期报告和财与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据务简报以及从报告提取的诸如收入等的财务数据与公司适用的法律和法规的遵守有关与公司适用的法律和法规的遵守有关目的种类是明确的，

6、但是也是相互联络的目的种类是明确的，但是也是相互联络的运营的效果和效率运营的效果和效率财务报告的可靠性财务报告的可靠性对法律法规的遵照性对法律法规的遵照性PricewaterhouseCoopersCOSO内部控制框架控制活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产平安和职责分别。监视监视不断评价内部控制系统的表现。不断评价内部控制系统的表现。整合实时和独立的评价。整合实时和独立的评价。管理层和监视活动。管理层和监视活动。 内部审计任务。内部审计任务。控制环境控制环境 营造单位气氛让公司员工建立内营造单位气氛让公司员工建立内部控制部控制要素包括耿直，品

7、德价值，才干，要素包括耿直，品德价值，才干，权威和责任权威和责任是其他内部控制组成部分的根底是其他内部控制组成部分的根底信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得构成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制胜利的措施的信息流风险评价 风险评价是为了到达企业目的而确认和分析相关的风险-构成内部控制活动的根底一切的五个部分必需同时作用才干使一切的五个部分必需同时作用才干使内部控制得以产生影响内部控制得以产生影响 监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务

8、单单位位B活活动动2活活动动1监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1PricewaterhouseCoopersCOSO控制框架：控制环境控制环境确定影响员工控制认识的组织的控制环境确定影响员工控制认识的组织的“基调。基调。监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：目的的实现是行政人员人事管理方案的关键部分。明确和定期的沟通以及高级行政

9、人员个人承诺将努力建立“高级管理层的基调。有高层管理人员对各种情形担任，以表示这个工程的重要性业务管理层和高级管理层之间的会议加强了信息共享和问题处理的紧迫性。内部审计的参与反响了高级管理层的关注和控制才干。管理层决策反响了其对适当的控制环境的承诺。PricewaterhouseCoopersCOSO控制框架：风险评价风险评价是指识别和分析影响目的实现的风险，协助确定如何风险评价是指识别和分析影响目的实现的风险，协助确定如何进展风险管理。进展风险管理。监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位

10、位B活活动动2活活动动1例如：评价未实现目的的风险并确定高风险领域。制定改良方案以控制高风险领域。并且风险评价应该被及时更新。假设适当的话，未实现目的的风险应该与本钱包括潜在惩罚、公众笼统等平衡。一切级别的管理层都应该参与风险识别和目确实定。PricewaterhouseCoopersCOSO 控制框架：控制活动控制活动是指为保证采取适当行动以控制与组织目的实现相关控制活动是指为保证采取适当行动以控制与组织目的实现相关的风险而制定的政策和程序。的风险而制定的政策和程序。监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位

11、位A业业务务单单位位B活活动动2活活动动1控制目的包括：完好性：一切的信息被输入并处置，且仅被处置一次。准确性：信息包括静态数据被正确的输入和处置.有效性：买卖和更新经过适当的人员的授权和同意。存在有效的源文件以支持买卖。接触的限制：只需适当的人员可以对信息进展修正。公司资产被适当的维护，以防止被窃或滥用。PricewaterhouseCoopers相关的信息应该被确定和适当地沟通以保证员工承当其责任并相关的信息应该被确定和适当地沟通以保证员工承当其责任并采取适当的行动。采取适当的行动。COSO控制框架：信息与沟通监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运

12、营运财务报告财务报告合规性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：信息共享，例如经过组织内各个级别的管理人员的沟通，建立一种共同责任的认识。管理层明确定义每名员工的责任并向他们沟通。建立管理层内部和与外部各方的适当的定期沟通的流程。建立目的和规范以衡量和督促及时采取改良展动。PricewaterhouseCoopersCOSO 控制框架：监控监控是不断评价内部控制系统质量的流程，包括日常监控是不断评价内部控制系统质量的流程，包括日常管理和监管活动。管理和监管活动。监控监控信息和沟通信息和沟通控制活动控制活动风险评价风险评价控制环境控制环境营运营运财务报告财务报告合规

13、性合规性业业务务单单位位A业业务务单单位位B活活动动2活活动动1例如：担任人明确的定义并定期的审核与其职责相联络的重要事件及其时间进程以保证方案被适当的执行，以及能否采取了适当的改良展动假设需求。高级管理层要求相关担任人员进展进度评价以确定担任人员能否思索了风险和改良时机。定期对内部控制环境进展独立评价。PricewaterhouseCoopers内部控制成熟性模型信息处置和信息生成的可靠性和完好性错误或错报错误或错报的风险的风险最优化的内最优化的内部控制部控制阶段阶段5不可依赖的不可依赖的内部控制内部控制阶段阶段1非正式的内非正式的内部控制部控制阶段阶段2规范化的内规范化的内部控制部控制阶段

14、阶段3受监控的内受监控的内部控制部控制阶段阶段4议程议程引见引见COSO控制框架控制框架COSO内部控制框架要素内部控制框架要素详述详述PricewaterhouseCoopersCOSO 内部控制框架详细引见COSO评价工具：要素工具针对每一个内部控制要素风险管理和控制活开任务表总体内部控制体系评价PricewaterhouseCoopersCOSO要素控制环境关注点参考分发资料：诚信与品德观胜任才干董事会或审计委员会管理理念和运营风格组织构造权益和责任的分配人力资源政策及实施PricewaterhouseCoopers根据前面的讨论，找出以下例子中最适宜的关注点；同时，假设能够根据前面的讨

15、论，找出以下例子中最适宜的关注点；同时，假设能够，找出相关的要素：，找出相关的要素： 管理层曾经记录以下的审批权限：资本性支出、资金转移、付款、采管理层曾经记录以下的审批权限：资本性支出、资金转移、付款、采购和信誉审批。购和信誉审批。管理人员应该保证招聘阐明中规定了应聘人员必要的技艺，管理人员管理人员应该保证招聘阐明中规定了应聘人员必要的技艺，管理人员也应该参与审核和面试以保证录用的人员具备充分的才干。任务阐明也应该参与审核和面试以保证录用的人员具备充分的才干。任务阐明应详细描画岗位必需的知识和技艺，并且要在录用、培训、提升和解应详细描画岗位必需的知识和技艺，并且要在录用、培训、提升和解雇程序

16、中运用这些描画。雇程序中运用这些描画。在业绩考核中留意思索违反政策和程序的情况，并根据其严重性，对在业绩考核中留意思索违反政策和程序的情况，并根据其严重性，对员工进展额外的培训或对相关人员进展处置。员工进展额外的培训或对相关人员进展处置。COSO要素控制环境练习PricewaterhouseCoopers 在建立新的采购业务关系时，管理层应与供应商沟通公司的品德规范和行为规范。管理层/内部审计人员执行商业行为审核，例如：供应商付款、差旅费报告、公司车辆运用和产品和效力赠送。 明确定义公司和业务单位之间的报告责任。关键公司管理人员每季度与主要业务人员进展当面沟通。业务人员每周、每月或每季向管理人

17、员提交运营报告，并在每周、每月、或每季的运营业绩审核中与管理人员进展讨论 。 董事会建立一个需求管理层跟踪处置行动一览表。董事会成员在每次会议上，审核该一览表以保证管理层开展了必要的跟踪活动。 公司建立组织构造图，描画整个组织中不同职能、不同部门的报告责任包括财务、税务、资金、财务报告和信息部门COSO要素控制环境练习续PricewaterhouseCoopers 管理层曾经记录以下的审批权限：资本性支出、资金转移、付款、采购和信誉审批。权益和责任的分配与责任分配相联络的授权的适当性 管理人员应该保证招聘阐明中规定了应聘人员必要的技艺，管理人员也应该参与审核和面试以保证录用的人员具备充分的才干

18、。任务阐明应详细描画岗位必需的知识和技艺，并且要在录用、培训、提升和解雇程序中运用这些描画。胜任才干对任务必需的知识和才干的分析 在业绩考核中留意思索违反政策和程序的情况，并根据其严重性，对员工进展额外的培训或对相关人员进展处置。人力资源政策和实施员工了解其责任和目的的程度COSO要素控制环境建议方案PricewaterhouseCoopers 在建立新的采购业务关系时，管理层应与供应商沟通公司的品德规范和行为规范。管理层/内部审计人员执行商业行为审核，例如：供应商付款、差旅费报告、公司车辆运用和产品和效力赠送。诚信和品德观涉及员工、供应商、客户、债务方、竞争者和审计师等 明确定义公司和业务单

19、位之间的报告责任。关键公司管理人员每季度与主要业务人员进展当面沟通。业务人员每周、每月或每季向管理人员提交运营报告，并在每周、每月、或每季的运营业绩审核中与管理人员进展讨论 。管理理念和运营风格高级管理层与业务管理层沟通的频率，特别是针对异地运营地点的情况 董事会建立一个需求管理层跟踪处置行动一览表。董事会成员在每次会议上，审核该一览表以保证管理层开展了必要的跟踪活动。董事会或审计委员会董事会或审计委员会采取的行动，包括必要情况下的特殊调查 公司建立组织构造图，描画整个组织中不同职能、不同部门的报告责任包括财务、税务、资金、财务报告和信息部门组织构造公司组织构造的适当性，以及其提供必要的管理信

20、息的才干COSO要素控制环境建议方案PricewaterhouseCoopers风险评价是指识别和分析影响目的实现的风险，确定如何进展风险管理的根底。关注点参考分发资料：公司层面的目的业务活动层面的目的风险应对变化COSO要素风险评价PricewaterhouseCoopers风险风险 :任何能够影响他实现目的任何能够影响他实现目的的要素的要素 什么是风险？PricewaterhouseCoopers整合企业目的, 风险和内部控制的关系是什么?PricewaterhouseCoopers例示：例示：运营层面：运营层面： “运用经过同意的销售价钱以保证销售价钱的一致性和股东运用经过同意的销售价钱

21、以保证销售价钱的一致性和股东价值的继续增长价值的继续增长“应该建立并维护工资处置程序并与管理层的规范一致应该建立并维护工资处置程序并与管理层的规范一致“在适当的期间，对一切发运的货物开具发票在适当的期间，对一切发运的货物开具发票目的PricewaterhouseCoopers参考分发的资料COSO参考手册针对以下目的，能够存在哪些风险？准确地记录固定资产添加的信息，以确保资产价值的真实。资产的添加经过了有效的授权。固定资产的记录有接触方面的控制。购买符合消费需求的设备和资料。保证完好、准确且不反复付款。COSO要素风险评价练习PricewaterhouseCoopers针对以下目的，能够存在哪

22、些风险？建议方案准确地记录固定资产添加的信息，以确保资产价值的真实。由于缺乏固定资产方面的制度，错误地将资产费用化，呵斥财务报告的错误；错误的记录导致决策的失误。固定资产的记录有接触方面的控制。由于缺乏对固定资产记录方面的接触控制，呵斥财务报告的错误；资产的实物平安遭到影响；有舞弊的风险。COSO要素风险评价练习PricewaterhouseCoopers针对以下目的，能够存在哪些风险？建议方案购买符合消费需求的设备和资料。购买劣质设备、部件，导致减产、停产或产质量量问题；公司资金浪费影响公司信誉保证完好、准确且不反复付款。错误或反复付款导致公司资金损失有舞弊的风险。COSO要素风险评价练习P

23、ricewaterhouseCoopers控制活动是指可以保证管理层的决策得到有效执行的政策和相关的实施程序。它们可以协助保证那些与影响企业目的实现的风险相关的措施得到实施。控制活动存在与组织一切职能的各个层面，他们包括一系列的活动，例如：审批、授权、证明、核对、运营效果的审核、资产维护以及职责分工。关注点参考分发的资料：针对企业的每一项业务活动都有必要和恰当的政策和程序确定控制活动被适当的实施COSO要素控制活动PricewaterhouseCoopers控制种类/活动控制可以被分为预防性或发现性：控制可以被分为预防性或发现性：预防性：用于防止问题发生的控制机制防止产预防性：用于防止问题发生

24、的控制机制防止产生未经授权的分录的系统生未经授权的分录的系统发现性：用于发现问题的控制机制经过系统登发现性：用于发现问题的控制机制经过系统登录日志定期检查系统访问录日志定期检查系统访问由计算机系统支持的自动化由计算机系统支持的自动化的控制。的控制。为保证控制继续正常运转，为保证控制继续正常运转，应该存在总体信息系统控制应该存在总体信息系统控制控制可以是自动实现的也可以是手工实现的：控制可以是自动实现的也可以是手工实现的：手工：例如手工的核对、授权签字、信誉审核手工：例如手工的核对、授权签字、信誉审核和同意和同意自动：例如付款的三单匹配，批处置控制，字自动：例如付款的三单匹配，批处置控制，字段的

25、修正段的修正/ /确认确认预防性的控制比检测性的控预防性的控制比检测性的控制更有效。制更有效。PricewaterhouseCoopers控制目的： CAVR控制，可以是预防性或者是发现性的，手工执行或自动执行的，直接支持以下的控制目的：完好性准确性真实性接触限制PricewaterhouseCoopers控制的种类组织中不同级别的人员执行的普通控制活动：上级审核直接的职能或业务活动管理信息处置实物控制业绩目的职责分工PricewaterhouseCoopers参考分发的资料COSO参考手册对于在风险评价中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目的CAVR：公司可以保证

26、有关资产化和费用化方面的政策得到贯彻执行。公司规定原值超越XXX元和估计可运用年限超越X年的资产应被资本化。A公司可以保证遵照资产分类和可运用年限估计的政策，并向指定人员提供这些信息。 A指定人员担任保证资产类型和可运用年限被正确的输入固定资产管理系统。公司政策规定了每种类型的固定资产的最大可运用年限，并经过了管理层的同意。固定资产的运用年限曾经编入程序，所以一旦输入固定资产的类型，系统就会自动匹配运用年限，并与公司政策坚持一致。指定人员可以在公司的要求下修正固定资产的默许运用年限。COSO要素控制活动练习PricewaterhouseCoopers参考分发的资料COSO参考手册对于在风险评价

27、中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目的CAVR：购买符合消费需求的设备和资料向授权供应商采购A；在合同/订单中详细规定采购设备和资料的规格和设计、质量要求 A ；检验收到的设备和资料符合合同/订单规定A，V，C。保证完好、准确且不反复付款。编制到期发票报告，根据报告进展付款 C，A，V付款恳求的审批V由出纳付款，会计编制凭证并入帐V对已付发票，加盖“付讫章ACOSO要素控制活动练习PricewaterhouseCoopers参考分发的资料COSO参考手册针对每一个控制活动，确定必要的信息和沟通方法，并且思索：横向和纵向信息流在公司层面和在部门层面谁担任信息和沟通其

28、它方式的沟通频率例如：每周、每月等跟踪要求COSO要素信息与沟通练习PricewaterhouseCoopers关注点参考分发的资料:信息信息系统可以识别、获得、处置和报告各种信息。相关的信息包括从外部获取的行业、经济、监管信息，以及内部产生的信息。沟通沟通贯穿于信息处置的整个过程中。沟通还存在一种更广泛的意义，如：处置个人和团体的期望、职责。有效的沟通必需在整个企业内进展；也包括与外部的沟通。 COSO要素信息与沟通PricewaterhouseCoopers在审核公司的年度战略方案的过程中，运用从外部渠道获得的信息例如从行业组织或贸易公会等公司的管理层建立信息系统指点委员会，该委员会将评价现有信息系统的充分性并提出改良建议。作为培训的一部分，对一切员工进