COSO内部控制框架培训教程

COSO内部操纵框架培训资料内容提要：一、背景介绍（一）COSO内部操纵框架的产生及进展过程（二）xxx目前的内部操纵体系与COSO内部操纵框架的差距二、COSO内部操纵框架下内部操纵的定义（一）COSO内部操纵框架对内部操纵的定义（二）对内部操纵定义的理解（三）COSO内部操纵框架的组成要素三、COSO内部操纵框架五要素（一）内控环境（二）风险评估（三）内控活动（四）信息与沟通（五）监督四、内部操纵的局限性五、职员在内部操纵中的作用和职责六、小结一、背景介绍内部操纵是什么?不同的人有不同的理解。一般的人把内部操纵理解为组织为了减少决策失误和工作缺陷而实施的操纵,这些操纵可能是内部监督、也可能是治理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部操纵的一部分，而不是全部。现代内控理论认为，内部操纵是一个系统化的框架，它建立在风险治理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。（一）COSO内部操纵框架的产生和进展过程内部操纵理论的进展是一个逐步演变的过程，大致能够区分为内部牵制、内部操纵制度、内部操纵结构与内部操纵整体框架四个时期。在内部牵制时期，账目间的相互核对是内控的要紧内容，设定岗位分离是内控的要紧方式，这在早期被认为是确保所有账目正确无误的一种理想操纵方法；在内部操纵制度时期，内部操纵的重点是建立健全规章制度；在内部操纵结构时期，内部操纵被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和操纵程序三个方面；内部操纵整体框架时期，确实是我们下面将要讨论的COSO内部操纵框架。在美国，20世纪70年代中期，与内部操纵有关的活动大部分集中在制度的设计和审计方面，重在改进内部操纵制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部操纵问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部操纵有关的条款。因此美国许多机构都加强了对内部操纵的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、治理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的缘故，并查找解决措施。两年后，该委员会提出了专门多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部操纵问题。1992年9月，COSO委员会提出了报告《内部操纵——整体框架》（1994年进行了增补），即COSO内部操纵框架。COSO内控框架的提出标志着内部操纵理论进展到新的时期，对企业完善和优化内部操纵、增强风险防范能力具有十分重要的意义。COSO内部操纵框架之因此被广泛地选择作为构建和完善内部操纵体系的标准，是因为：尽管COSO内部操纵框架并非唯一的内部操纵框架，但却是美国证券交易委员会唯一推举使用的内部操纵框架，《萨班斯法案》第404条款的「最终细则」也明确表明COSO内部操纵框架能够作为评估企业内部操纵的标准。股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO内部操纵框架，整合现有内部操纵，满足法案的要求。同时，对股份公司来讲，这也是梳理治理流程、规范治理、提升整体治理水平的契机。COSO内部操纵框架是一个较为理想的框架，几乎所有公司的内部操纵均与之有一定差距，美国各大公司也正在为此而努力，尽管这必定加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻COSO内部操纵框架要求，来实现提升治理水平的目的。（二）XXX目前的内部操纵体系与COSO内部操纵框架的差距目前，股份公司通过多年的治理实践和积存，差不多建立了一套针对XX行业的行之有效的内控体系，但与COSO内部操纵框架的要求相比还存在一些距离。这些差距要紧体现在：内部操纵体系的整体框架、内控环境、风险评估等理念尚未被广泛同意、内部操纵的文档记录还不够系统规范、缺乏自我评估机制等。

“他山之石，能够攻玉”，COSO内控框架关于我们加强企业内部操纵具有一定的启发和借鉴意义。为此，我们需要认真学习COSO内部操纵框架理论，充分认识和理解COSO内部操纵框架，并在实际经营治理中积极实践，大力贯彻和实施，从而优化内部操纵，完善内控体系，全面提升公司治理水平。二、COSO内部操纵框架下内操纵度定义（一）COSO内控框架对内部操纵的定义COSO内部操纵框架认为，内部操纵是受企业董事会、治理层和其他人员阻碍，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。（二）对内部操纵定义的理解应该从以下几个方面理解内部操纵的定义：第一，内部操纵是一个“过程”，而且是一个动态的过程。企业的经营活动是永不停止的，企业的内部操纵过程也因此可不能停止，它是一个发觉问题、解决问题、发觉新问题、解决新问题的循环往复的过程。内部操纵应该与企业的经营治理过程相结合，而不是凌驾于企业的差不多活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。第二，内部操纵受到“人”的因素的阻碍，它并不仅仅是政策手册和表格，不仅仅是治理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部操纵负有责任并受到内部操纵的阻碍；是“人”建立企业的目标，并将操纵机制给予实施。确立这种观念有利于企业的所有职员明确自己的责任和权限，主动地维护及改善企业的内部操纵。第三，内部操纵不管设计和运行得多么完善，也只能为企业的治理层和董事会提供合理的保证，而不是绝对保证，因为内部操纵本身具有局限性。最后，内控框架将内部操纵目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部操纵的各个方面，这些相互有不，相互交叉的分类满足不同的需要，同时表明了不同的执行人员的直接责任。（三）COSO内部操纵框架的组成要素COSO内部操纵框架认为，内部操纵系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于治理层经营企业的方式，并融入治理过程本身，其相互关系能够用下面模型表示。内控活动内控活动确保治理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部操纵系统的表现。整合实时和独立的评估。治理层和监督活动。内部审计工作。内控环境营造单位气氛－让公司职员建立内部操纵因素包括正直，道德价值，能力，权威和责任是其他内部操纵组成部分的基础信息和沟通及时地猎取，确定并交流相关的信息从内部和外部猎取信息使得形成从职责方面的指示到治理层有关治理行动的发觉总结等各方面各类内部操纵成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险－形成内部操纵活动的基础监控信息和沟通操纵活动风险评估操纵环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1内控环境——内控环境是企业的基调、氛围，直接阻碍企业职员的操纵意识。内控环境要素是推动企业进展的发动机，也是其他一切要素的核心，包括职员的诚信、职业道德和工作胜任能力；治理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。能够讲人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互阻碍、相互作用。风险评估——风险评估是识不、分析相关风险以实现既定目标，是风险治理的基础。每个企业都面临着诸多来自内部和外部的风险，阻碍企业既定目标的实现。因此必须设立一个机制来识不、分析和治理阻碍目标实现的相关风险，并适时加以治理。内控活动——内控活动指那些有助于治理层决策顺利实施的政策和程序，是针对风险采取的操纵措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产爱护和职责分工等活动。信息与沟通——是指企业经营治理所需信息必须被识不、获得并以一定形式及时传递，以便职员履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的职员能及时取得他们在执行、治理和操纵企业经营过程中所需的信息，并交换这些信息。监督——是对内部操纵系统有效性进行评估的过程，能够通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。内控体系五要素之间的关系我们能够理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境，这是企业进展的基础。每个企业都有自己的进展目标，为了目标的实现，必须分析阻碍因素，即进行风险评估。针对风险评估的结果需要采取相应的内控活动来操纵和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被猎取、加工整理，并在企业内部传递，这确实是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项治理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行监督。内部操纵五要素之间的配合和联系，组成了一个完整的系统，能够灵活地随条件变化而变化。但各要素之间并非是一项要素阻碍下一项要素的顺序过程，任一要素都能够阻碍其他要素，例如对风险的评估不仅仅阻碍内控活动，还可能阻碍信息和沟通、监督行为等。COSO内部操纵框架适用于各类企业，然而中小企业对其应用可能不同于大型企业，中小企业的内部操纵可能不及大型企业正式、组织性强，但也能够是有效的。对此，本次培训以大型公司为例，未考虑中小公司的差异。三、COSO内部操纵框架五要素（一）内控环境内控环境是其他操纵要素的基础。内控环境因素包括：职员的诚信和道德价值观；职员的胜任能力；董事会和审计委员会；治理层的经营理念和经营风格；组织结构；治理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。1、职员的诚信和道德价值观内部操纵是由人建立、执行和维护的，人是内部操纵有效运行的全然因素。人的道德价值观阻碍着人的行为。企业职员具有良好的道德标准并形成良好的道德氛围，对操纵系统的有效运行特不重要，也有助于防范那些内控系统难以操纵的行为。职员的诚信和道德价值观是指职员行为的准则，是告诉职员什么行为可同意、什么行为不可同意、以及遇到不正当行为应该采取的行动。要紧包括以下内容：利益冲突每一个职员都有责任将公司利益放在第一位，幸免私人利益与公司利益的冲突。合法性公司要承诺在进行业务时是抱着老实和诚信原则，并遵循所有适用的法律和规章制度。及时向指定人员报告或检举揭发违规事项职员有义务对所发觉的关于会计、内部操纵或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。发觉任何高级治理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度，包括匿名爱护。遵守道德准则的责任明确职员必须遵守道德准则。对违反准则的人员建立惩处机制，甚至解雇或免职。公司机遇禁止职员通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。保密机密信息是一间公司最重要的资产之一。公司建立相应政策爱护机密信息，包括（a）属于公司商业性机密信息（b）属于非披露协议下信息。每一个职员在入职后应执行保密协议和爱护公司知识产权。职员即使在终止雇佣之后，仍然有义务爱护公司的机密信息。公平交易每一个职员都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等差不多上不同意的。与业务相关，间或赠送非政府雇员的价值较低的商业礼物的做法是能够同意的。但未得到道德委员会事先批准的情况下，赠送礼物或招待政府雇员是不同意的。职员代表公司购买商品应遵循公司的采购政策。公司资产的爱护及恰当使用每一个职员必须爱护公司资产，包括实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。公司资产必须用于公司业务，符合公司政策。全面、公正、正确、及时地理解财务报告及其披露事项因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，因此每一个职员都有责任保证会计记录的准确性。治理层必须建立和保持适当的内控，遵循公司已有的会计准则和流程，保证交易记录的完整和准确。禁止干扰或不正当的阻碍公司财务报表审计。要求证实会计记录和报表受控，能够保证准确性，包括提供给审计和定期向证监会报告的义务。关于企业来讲，首要的工作是建立一套职员能够同意和理解的诚信和道德标准，如道德行为手册；其次是必须让职员知晓和理解这些规定（例如：要求所有职员定期签字确认），这是执行的前提条件；最后确实是贯彻执行。在公司内传递道德标准的最有效方式是治理层以身作则，职员关于内控的态度通常会效仿他们的领导。另外，对违反准则的职员应予以相应惩处；建立鼓舞职员揭发违规行为的机制；以及对未能汇报违规行为职员的教育培训都具有特不重要的意义。职员个人可能由于下列因素而卷入不老实、非法或不道德的行为：不切实际的业绩目标，特不是短期业绩的压力（例如：为了实现预先设定的利润指标而在财务报告中虚报收入）将奖金分配与业绩挂钩（例如：错报与业绩考核指标相关的财务信息）内操纵度不存在或无效（例如：敏感业务区域未设立严格的职责分工，这为偷窃公司资产或隐藏不良行为提供了可能）。组织高度分散，可能导致高层治理人员不清晰基层的行为，缺少必要的监管，因此，减少了基层舞弊被发觉的机会。内部审计职能薄弱，没有及时发觉和报告不正确的行为。董事会缺少对高层治理人员的客观监管，可能导致治理人员凌驾于内操纵度。治理层对不正确行为的惩处力度不够或不公开，从而失去了应有的威慑力。2、胜任能力胜任能力是要求职员具备完成工作任务所需的知识和技能，目的是保证职员能够正确理解相关规定、及时恰当分析和处理业务，这是维护内部操纵有效性的必备条件。为此，治理层需要设定工作岗位的知识和技能水平要求，在招聘、选用职员时作为评选的标准或条件。在设定工作所需知识和技能时，一方面要依照工作的性质和所需的职业推断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。3、董事会和审计委员会董事会或审计委员会的职能是实施治理、指导和监督治理层的工作，假如对治理层缺乏必要的监督，治理层可能会凌驾于操纵之上，甚至有意歪曲结果，因此董事会或审计委员会监督作用对确保内部操纵的有效性十分重要，董事会或审计委员会作用的发挥，必须具备以下条件：一是要独立于治理层，不受其阻碍；二是具有足够知识、行业经验和时刻，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够操纵高级治理人员的薪酬，有权聘用和解聘高级治理人员。补充讲明一点，股份公司的治理结构与国外有所不同，股份公司设置监事会，其职能类似于国外审计委员会的职能，因此股份公司的董事会、审计委员会和监事会都需要符合上述条件。4、治理层的经营理念和经营风格治理层的经营理念和经营风格阻碍企业的治理方式，包括面对各种风险的态度。治理层的经营理念和经营风格形成了企业文化，它既是一切业务实现的基础，也为内部操纵的实施提供了平台。它往往是企业内部一种无形的力量，阻碍企业成员的思维方法和行为方式，包括企业承受营业风险的种类、整个企业的治理方式、企业治理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地阻碍着内部操纵的成效。例如，有些公司治理层的经营理念和风格较为激进，情愿承担更高的风险以追求更高的盈利回报；而有些公司的治理层则比较保守，在风险承担方面表现得较为慎重。能够看出，不同的经营理念和风格决定了治理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例，对风险承受力高的公司相比承受力低的公司，其设定的信用销售额度更高，以期望通过更优惠的政策吸引和保留客户，而获得更高的销售额。治理层的经营理念和经营风格还表现在：治理层对财务报告的态度，在会计政策选择方面是否慎重，进行会计可能时是否遵循审慎性原则，对待数据处理、会计职能及人事治理等方面的态度等等。5、组织结构组织结构是权责分工的架构，在此架构中规划、执行、操纵和监督为实现企业目标而进行的活动，每个企业都可依照自己的需要确定组织结构，能够是集权型，也能够是分权型，能够是直接的报告关系，也能够是矩阵型组织结构，能够按产品或行业组织，也能够按地理分布或功能组织，但不论何种组织结构，应依照公司的业务性质，进行适当的集中或分散，确保信息的上传、下达和在各业务间的流淌，确保企业目标的实现。6、治理层授权和职责分工权力和责任分配是指对职员进行授权和分配责任，将企业的目标层层分降落实到每个职员的头上，从而将职员的行为与企业目标联系起来，增强职员的自主操纵意识。权力与责任分配的关键是权力与责任的对等。7、人力资源政策和措施人力资源政策和措施是关于职员聘用、培训、考核、进升、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的打算得以实施，目标得以实现。因此，人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员，如何进行相关培训使职员意识到他们的工作职责和公司对他们的要求，如何通过考核、薪酬、提升等政策激励约束职员。（二）风险评估1、风险及风险评估的定义风险是任何阻碍目标实现的因素,所有企业，不管规模、结构和行业性质，都面临着风险，能够讲有经营就有风险。风险有来自企业内部的，也有来自企业外部。为了加强对风险的操纵，必须进行风险评估，风险评估是指对相关风险进行识不和分析，是发觉和分析那些阻碍目标实现的风险的过程，是确定如何治理和操纵风险的基础。风险评估的前提条件是设立目标，只有先确立了目标，治理层才能针对目标确定风险并采取必要的行动来治理风险。企业的目标能够分为公司层面目标和业务活动层面目标，公司层面目标是指公司的总目标和相关战略打算，与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标，是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清晰，易于理解，以便从事该操作的人能实现其目标，同时还必须是可衡量的，以便于考核。实现目标需要耗费资源，因此设立目标必须考虑可获得的资源，企业应该对目标进行分析，提醒自己找出与总目标不相关的操作目标，以免资源白费，而对实现总目标至关重要的操作目标，则优先安排资源。2、如何进行风险评估1）风险识不风险评估的过程首先是进行风险识不，风险识不需要考虑所有可能发生的风险，同时需要考虑企业和相关外界之间的所有重大相互阻碍。风险识不也是一个重复的过程，需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面：外部因素包括：技术进展——阻碍研发的性质和时机，或带来采购的变化。（例如：出现新的、更高效的油气开采技术，未掌握相关技术的公司会导致市场竞争力降低，进而阻碍经营目标的实现）不断变化的客户需求和期望——阻碍产品开发、定价。（例如：纳米技术的应用，客户对产品的期望改变；）竞争——阻碍营销和服务活动（例如：WTO导致更多具有较高竞争力国外公司进入中国市场）。新的法律和法规——阻碍经营政策和策略（例如：萨班斯法案）。自然灾难——造成损失。经济形势的变化等——阻碍融资、资本支出和扩张决策。内部因素包括：信息系统运行的中断——阻碍经营运转。雇员的素养和培训、激励的方法——阻碍操纵理念。治理层职责的改变——阻碍某些实施操纵的方式。企业经营活动的性质、职员对资产的接触途径——产生挪用。董事会或审计委员会无法有效履行其职责——可能为治理层轻率的行为提供机会。2）风险分析识不风险后，需要进行风险分析，分析的内容要紧有：可能风险的重要性程度；评估风险发生的可能性（或频率、概率）；考虑如何治理风险——即评估需要采取何种措施针对风险分析的结果而采取的操纵活动，治理层应认真考虑现有内控程序关于已识不的风险是否合适。假如现有程序可能差不多足够或只需要执行得更好，那么就不必制定附加程序。治理层还应认识到，总会存在一些残留风险的可能性，不仅因为资源总是有限的，还因为每个内控系统都有内在局限性。因此，治理层的一项重要工作是权衡利弊，确定能够慎重地同意多少风险，并尽力将风险操纵在可同意的水平内。3）应对变化经济形势、行业和法规环境不断改变，企业业务活动不断进展。在一个环境下有效的内部操纵在另一环境下未必有效。风险评估的本质确实是一个识不变化的环境并采取相应行动的过程，风险评估应持续地进行,同时应特不关注下面的情形：变化的经营环境——变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。新的人员——新来的高层治理人员的经营风格与原先的不同。新的或经修订的信息系统——能否正常运行。经营的快速增长——当经营快速扩张，现有制度的局限可能导致操纵失效；当程序变动或新人员增加时，现有的监督可能就不能保持充分的操纵。新技术——新技术被运用到生产流程或信息系统中，内部操纵就专门可能需要修改。新业务、产品、活动——当企业进入新的商业领域或从事不熟悉的交易时，现有的操纵可能就不充分了。公司重组——公司因为收购、合并或者业务下滑、成本操纵等缘故进行结构重组。重组可能导致内部裁员，职责分工的合并，或者，原来的一个重要操纵岗位被取消，却没有相应的替代操纵出现。专门多公司重组后大量削减人员，就碰到了严峻的操纵缺陷。海外经营——海外经营的扩张或收购带来了新的和独特的风险。例如，内控环境可能受到当地治理层文化和风俗的阻碍。另外，当地经济和法律环境可能带来独特的风险因素。内控活动内控活动是指为确保治理层指示得以执行的政策和程序。它有助于进行风险治理和保证企业目标的实现，内控活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产爱护以及职责分工等。1、内控活动类型：操纵活动能够有不同的描述方式：针对企业的不同目标，操纵活动能够分为以下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类操纵活动；依照操纵活动的不同作用，操纵活动又能够分为：预防性操纵、检查性操纵、指导性操纵、纠错性操纵、补偿性操纵等五种类型；依照组织中实施人员的不同，操纵活动也能够分为：高层复核、指导并治理业务活动、信息处理、实物操纵、业绩指标分析、职责分离等。高层复核——治理层将实际业绩情况和预算相比较，将当期业绩和前期相比较，将本企业的业绩情况与竞争对手相比较，对企业要紧行为进行追踪，以衡量目标实现的程度。指导并治理业务活动——负责整个板块生产的领导，分地区公司、分产品类不等内容批阅生产业绩报告，对比经营目标，分析其中反映出的生产治理方面的问题，并指出需要改进的方向。信息处理——这类操纵被用于核对交易的准确性、完整性和遵循性。如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性操纵；客户订单，只有与经批准的客户文件和信用额度相符，才能被同意；交易应按连的编号记账；系统治理员对例外事项报告进行跟踪调查，必要时向主管领导报告。资产爱护即实物操纵——对设备、存货、证券、现金及其他资产实物采取保管措施，并定期进行盘点和帐实核对。业绩指标分析——采购部门的职员分析采购价格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率，通过调查异常的结果和异常的变动趋势，关注那些可能阻碍目标实现的问题，并提出改进方案。职责分离——职责在不同人员之间的分工或分离，能够降低发生错误或不当行为的可能性。例如，交易的授权、记录和处理相关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或现金收入的处理。2、操纵活动的要素—政策和程序操纵活动一般包含两个要素，即：第一个要素，政策—它描述应该做什么，第二个要素，程序—它描述应该如何样做；政策是程序的基础，同时，程序又阻碍政策的执行。例如，政策要求，应该由专人定期进行存货盘点，程序即盘点本身，事实上施的频率、关注的要点、存货的性质、数量等等。3、操纵活动应和风险评估相结合治理层在进行风险评估的同时，应该针对该特定风险找出并实施有效的措施，这些针对某项特定风险的具体措施也确实是建立操纵活动的要素，它有助于保证操纵活动得以及时、有效地实施。4、信息系统的操纵随着信息技术的进展，大多数企业，包括小公司或大公司的部门，都引进、建立和运用了现代化信息处理系统，现代化的信息系统不仅提高了企业的工作效率，而且也改变企业的经营方式和方法，甚至阻碍企业的战略规划，因此信息系统的操纵十分重要。信息系统内控活动可分为两大类。第一类是一般性操纵——适用多数应用系统并协助确保其持续、正确地运行,包括对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的操纵。第二类是应用性操纵，包括应用软件中的电算化步骤，以及用以操纵不同种类交易处理过程的相关手工操作程序，它是保证交易处理的完整性、准确性、交易授权和有效性的内部操纵。例如，公司的销售政策规定给予金额在20万以上订单以8折优惠；系统依照事先的设定，关于20万以上的订单自动给予20%的折扣优惠，而关于20万以下订单仅同意全价销售。这两类对计算机系统的操纵是相互关联的。一般性操纵用于保证建立在计算机程序基础上的应用性操纵得以实施。（四）信息和沟通信息和沟通是指相关信息以某种形式并在某个时段被识不、获得和沟通，以促使职员履行自己的职责。那个地点所讲的信息是指来源于企业内部及外部，与企业经营相关的财务及非财务的信息。信息必须在一定的时限内传递给需要的人，以关心人们行使各自的操纵和其它职能。沟通则是指信息在企业内部各层次、各部门，在企业与顾客、供应商、监管者和股东等外部环境之间的流淌。有效的沟通必须广泛的进行，自上而下、自下而上地贯穿整个组织。所有人员都要从高级治理层获得明确的信息：必须认真对待操纵责任。他们必须了解各自在内部操纵体系中担任的角色，以及个人行为与他人工作的相互关系。他们必须有自下而上传递重要信息的渠道和方法。同时，也要顾客、供应商、监管者和股东等外部人员建立有效的沟通。1、信息企业的治理活动依靠于各种信息，既包括内部生成的信息，也包括从外部猎取的行业、经济、监管等方面的信息。因此，企业必需要建立良好的信息系统来识不、获得、加工和报告这些信息。有效的信息系统不仅能够识不和获得所需要的财务和非财务的信息，还能够在一定时限内依照需要加工和报告这些信息。另外，当企业面临差不多的行业变化，面临有高度创新能力反应迅捷的竞争对手或面对重大的顾客需求变化时，信息系统必须随企业目标、经营环境的变化而变化，及时适应新的需求。1）信息的识不和猎取信息的识不和猎取的方式是多种多样的：信息系统能够采取监控方式，定期猎取特定的数据；或者，能够采取某些特定的方式猎取所需信息，如通过问卷、采访、广泛的市场需求调研或针对特定群体的调查获得顾客对产品和服务的需求信息；通过与顾客、供应商、监管者以及职员的谈话获得识不风险和机遇所必需的重要信息；参加专业或行业的研讨会也能够获得有价值的信息。2）信息加工和报告信息是决策的基础，但并非所有的信息差不多上有用的信息，因此，需要对信息进行加工整理，归纳汇总，依照需要向不同的部门和人员报告不同的信息。为了提高信息的质量，需要考虑：·内容是否适当——它是所需要的信息吗？·信息是否及时——当我们需要时就能获得吗？·信息是当前的吗？——是我们能获得的最新的信息吗？·信息是否准确——数据都准确吗？·信息是否畅通——相应的部门能容易地获得信息吗？在设计系统时必须考虑以上问题。假如不考虑，系统专门可能无法提供治理层和其它人员需要的有用信息。3）信息系统的整合信息系统是经营行为的一个组成部分，它通过猎取决策所需的信息来阻碍操纵，随着信息技术的进展，信息系统能够更迅速、更广泛提供更有价值的信息，对企业的治理阻碍更加深远，甚至阻碍到企业的战略规划，一项最新公布的研究表明，信息系统的规划、设计和应用差不多开始同组织的整体战略整合在一起。多数新的生产系统与企业其它的系统，可能还包括企业的财务系统，高度地整合为一体。当系统执行其它的运行时，财务数据和会计记录会自动更新。2、沟通沟通是信息系统固有的，是将信息提供给相关人员，以便与其履行职责，沟通必须贯穿于信息处理的整个过程，有效的沟通不仅在整个企业内进行，也包括与外部进行的沟通。1）内部沟通内部沟通是指企业内部上下级之间、横向部门之间的沟通，下面以例举的方式介绍内部沟通的要紧内容：所有的人员，特不是那些有着重要的经营和财务治理职责的人员，取得治理所需信息，并清晰地明白必须严肃履行内部操纵的责任。每个人需要理解所负责内部操纵部分如何运行及个人在系统中的职责。在执行自己的职责时，每个人都应该明白，当意外发生时，不仅要注意事件本身，还要注意事件的缘故。如此，就能够了解到系统潜在的缺陷，并采取预防的措施。比如，发觉滞销的存货不仅要在财务报告上留下准确的记录，更重要的是对存货滞销的缘故作出推断。人们需要明白自己的行为如何样与他人的工作相联系。需要明白什么样的行为是被期望的，什么是能够同意的，什么是不可同意的。职员也需要明白在企业中自下而上传递重要信息的方法和渠道。职员必须相信他们的上级确实想了解问题并情愿有效地解决问题，在任何情况下可不能因报告相关信息而受到报复。在多数情况下，正常的报告渠道确实是适当的沟通渠道。然而，在特定条件下，需要独立的沟通渠道作为一个预防失败的机制，在正常渠道不起作用时加以运用。例如为职员提供直接接触财务总监或企业法律顾问如此的高层领导的渠道；总裁能够定期抽出时刻接待职员来访，同时让职员明白为任何情况的来访差不多上受欢迎的；总裁也能够定期去车间访问他的职员，形成一种人们能够交流难题和关怀的问题的氛围。治理层与董事会及其委员之间的沟通至关重要。治理层必须使董事会了解最新的业绩、进展、风险、要紧的革新以及其它任何相关的事件或事故。与董事会的沟通越好，董事会越能有效地行使监督职能，并能够关于关键的事务作出合理的行为，提供建议和忠告。同样，董事会也应该向治理层传达其所需要的信息，并提供指导和反馈。2）外部沟通企业不仅在内部需要有适当的沟通，而且与外部也是,与外部沟通的内容包括：通过开放的沟通渠道，了解顾客、供应商关于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好。在与外部的交往中强调企业的道德标准，使外部人员明白认识到不适当的行为。比如公司能够同供应商直接沟通，解释公司期望供应商雇员在与其打交道时应如何做，明确回扣以及其它不适当的收入，差不多上不能容忍的。与外部审计师的沟通，治理层和董事会能够了解重要的操纵信息。与股东、监管者、财务分析师以及其它外界的交流，能够了解企业所面临的情况和风险。治理层同外界（不管是公开的、立即进行的、严格跟踪的依旧其它的）的交流也能够向整个公司内部传递信息。3）沟通的方式沟通能够采纳诸如政策手册，备忘录，布告通知，录像录音带的形式,又可采纳口头传递消息的方式。另一种有阻碍力的沟通手段是治理层在领导下属工作时的言行。（五）监督内部操纵随着时刻、环境而变化，曾经有效的程序可能会变得不太有效，因此需要对内部操纵进行监督。监督是评估内控系统在一定时期内运行质量的过程，目的是保证内部操纵持续有效，监督可通过两种方式进行：持续性的监督活动和独立的评估。持续性的监督活动是植根于企业日常、重复发生的活动中的。与独立评估相比，由于持续性监督程序在实时基础上实施、动态地应对环境的变化，并在企业中根深蒂固而显得更加有效。只是，独立评估发生在事实之后，比起持续性监督程序，可更快地发觉问题。一个感到有必要进行经常性的独立评估的企业，应重点关注改进持续性监督的途径，并强调“嵌入”而非“外加”的操纵。1、持续性监督行为持续性的监督行为发生在经营的过程中，它包括日常治理和监督行为、比较、核对和其他常规性活动。持续性监督行为有下面一些例子：在执行常规治理行为时，经营治理层取得内部操纵持续运转的证据。与外界各方的沟通能够印证内部产生的信息或揭示问题。例如：顾客支付账单，表明其确认了帐单数据；相反地，顾客对帐单的投诉可能表明销售交易过程存在系统缺陷。公司审核有关作业安全的政策和操作步骤，从经营安全性和合规性的角度为内控是否有效运行提供信息，因而被视为一项监督；监管者就合法性或其他事项与企业进行交流，也会从某种角度反映内控系统是否有效运行。适当的组织结构和监督行为不但监督内控职能的执行同时能够发觉内控的缺陷。例如，财务负责人对财务人员针对交易正确性和完整性实施的内控活动实施日常的监管。另外，治理层对职员的职责分配定期进行审核，以确保合理分工以便相互制衡，有利于防止职员舞弊，并能够限制个人掩盖其可疑行为的能力。将信息系统所记录的数据与实物资产相核对。例如，产成品存货应定期进行盘点，将盘点的数据与相应的会计数据核对并记录存在的差异。内部及外部审计师定期为进一步加强内部操纵提供建议。审计师通过评价内控的设计并测试其有效性，发觉一些潜在的问题并向治理层提供解决问题的建议。培训研讨会、打算会议及其他会议能向治理层提供有关操纵是否有效的重要反馈。这种方式不但能指出操纵中存在的个不问题，还能增强参与者的操纵意识。定期询问职员理解及执行企业相关规定的情况。如向经营及财务人员询问相关的操纵程序是否正常运行。2、独立评估独立评估是独立于操纵活动之外而采取的定期评估行为。尽管持续性监督程序能够提供关于其他操纵要素有效性的重要反馈信息，但经常地对系统的有效性直接进行评估也是十分必要的。如此同时也提供了一个机会来评价持续性监督程序是否有效。1）范围和频率独立评估的范围和频率要紧依靠于风险评估和持续性监督程序的有效性。由于所操纵风险的大小及内部操纵在减小风险中的重要性不同，关于内部操纵进行评价的范围和频率也不一样。例如，那些致力于重大风险或对减小风险具有重要作用的操纵就应经常地进行评价。2）评价主体评价主体，即由谁来实施独立评估。一般来讲，评价主体包括：一是自我评价，即负责某一单位或职责的人员对其操纵自身活动的有效性进行评价。例如，一位部门主管应指导本部门内部操纵的评价活动。他或她可能亲自评价内控环境因素，然后请部门内负责各种经营活动的人员评价其他要素的有效性。二是内部审计人员评估，有时，在董事会、高级治理层、子公司及部门主管的专门要求下，内审人员也会对内控进行评价。同样，在评价内控时，治理层也可利用外部审计人员的工作。3）评价程序及方法体系首先是同企业职员进行探讨并批阅已有的文件，了解系统的运行过程或内控系统的设计；其次是依照已确定的目标分析内部操纵的设计和测试结果，分析是否对既定目标提供了合理保证。评估方法有许多可供选择，包括检查清单、调查问卷和流程图等方法。也可与那些被认为在内控系统方面具有良好声誉的公司进行比较。4）行动打算第一次指导评估内控系统的治理人员能够考虑下列建议，决定对何处着手和如何去做：决定评估的范围，包括目标的分类、内部操纵要素和需采取的行动。确定对内部操纵的有效性提供常规保证的持续的监督行为。分析内部审计的操纵评估工作，考虑外部审计师与操纵相关的发觉。按照单位、要素或高风险区域划分重要性程度和先后次序，保证及时的关注在以上基础上，建立相关的评估程序。汇合所有进行评估的各方，共同考虑下列问题：不仅要考虑评估范围和时刻表，而且要考虑所使用的方法体系，应用的工具，来自内外部审计师和监管者的建议，报告所发觉问题的方式以及设定最终的文本化程度。监督进展和复核发觉。保证采取必要的追踪措施，必要时修改后续的评估部分。5）报告缺陷那个地点的“缺陷”被广泛定义为内控系统中值得注意的问题。缺陷可能代表一个假想的、潜在的或实际的缺点，或一个强化内控系统的机会。向恰当的当事人提供有关内部操纵缺陷的必要信息，对内部操纵制度的持续有效运行十分关键。内部操纵的缺陷应自下而上进行报告，重要事项应报知高层治理人员和董事会。关于发觉的内部操纵缺陷，不仅应向负责的个人汇报，由他采取正确的措施，还至少应向该责任人的上一级汇报。这一过程使得责任人能及时采取措施，也便于其上级提供所需的支持或进行监督，并与企业中受阻碍的他人进行沟通。重要事项应报知高层治理人员和董事会。6）文本化企业内部操纵的文本化有利于评估，有利于增进职员对内控系统如何运行及各自职责的理解，更易于必要时对其修改。文本化的程度依照各企业的规模、复杂性和类似因素的不同而存在差异。大一些的公司通常有书面的政策手册、正式的组织图、书面的工作描述、经营指导、信息系统流程等。小一些的公司内部操纵文本化的程度一般低得多。操纵没有文本化并不意味着内控系统是无效的或无法评估，只是当需要向更多人提供有关内部操纵的阐述或评估时，内部操纵文本化的性质和程度将会提高。当治理层希望向外界提供关于内控系统效果的声明时，他们应当考虑形成文件来支持该声明。假如该声明今后被质询，这些文件将专门有用。四、内部操纵的局限性也许有人会认为内部操纵能够确保企业万无一失，这也是我们所希望的，但事实并非如此，不管内部操纵设计和执行的多好，它也只能提供合理的保证，这是内部操纵系统固有的局限性。具体表现在：推断失误——推断是人在情况发生时依据现有信息的所做出的，个人的推断不能