COSO内部控制框架_第1页
COSO内部控制框架_第2页
COSO内部控制框架_第3页
COSO内部控制框架_第4页
COSO内部控制框架_第5页
已阅读5页,还剩82页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

COSO内部控制框架企业内部控制专题Sarbanes-Oxley法案404条款及其实施简介内部控制存在实质缺陷的后果——影响公司评级有关国家和地区关于内部控制的规定COSO内部控制框架Sarbanes-Oxley法案404条款及其实施简介2001年,安然、世通、施乐和其他一系列财务丑闻相继爆发。诚信危机震撼着美国及国际社会,美国企业的假账丑闻一时间成为全球舆论的焦点。在各方压力之下,为了提高民众对美国金融市场、政府经济政策的信心,美国出台了这一法案。该法案的名称为PublicCompanyAccountingReformandInvestorProtectionActof2002(《2002年公众公司会计改革和投资者保护法案》),因其由美国众议院金融服务委员会主席Oxley(奥克斯利)和参议院银行委员会主席Sarbanes(萨班斯)联合提出,故又称Sarbanes-OxleyActof2002(《2002年萨班斯—奥克斯利法案》)。由于该法案英文缩写为SOX,故也称为《索克斯法案》。Sarbanes-Oxley法案404条款及其实施简介(续)该法案于2002年7月26日由国会提交给总统,2002年7月30日,美国总统GeorgeW.Bush正式签署。此前,该法案在众院以423票-3票通过,在参院以99票-0票通过。美国总统布什在签署该法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案”。Sarbanes-Oxley法案404条款及其实施简介(续)SOX法案对各方的影响 公司必须建立审计委员会——必须完全独立必须提供审计委员充足的资金不可以借款给总裁和公司高级官员要提供由审计师证明的年度内部控制审计报告要披露公司采用的针对高级管理层的职业道德规范Sarbanes-Oxley法案404条款及其实施简介(续)SOX法案对各方的影响 高级管理层

首席执行官和首席财务官保证财务报表的内容禁止在养老基金暂停时期进行交易审计委员会

事先批准所有由外部审计师提供的审计和非审计服务全部的成员具有独立性建立一致的会计和会计事项的处理程序Sarbanes-Oxley法案404条款及其实施简介(续)SOX法案对各方的影响 外部审计事务所

停止向公共上市审计客户提供某些非审计服务记账服务财务信息系统设计和实施评估服务保险精算服务内部审计外包服务管理和人力资源服务经纪人和投资顾问法律服务其它由董事会规定的服务Sarbanes-Oxley法案404条款及其实施简介(续)——主要条款第302条款第404条款适用对象年度报告-所有SEC登记公司季度报告-美国国内的SEC登记公司年度报告-所有SEC登记公司生效时限于2002年8月29日生效美国公司-资产负债表日为2004年6月15日或以后的会计年度海外上市公司-自2006年7月15开始的会计年度美国小型公司(年收入7500万美元以下)-推迟到2007年7月15日或以后的会计年度涉及哪些控制?与披露有关的控制和程序与财务报告有关的控制和程序及财产保护是否需要外部审计?否是Sarbanes-Oxley法案404条款及其实施简介(续)302条款及其影响公司的首要执行官(们)及首要财务官(们)(或担任同等职务的人员)在每一年度报告或季度报告中保证如下内容:(1)签字的官员已审阅过该报告;(2)该官员认为报告中不存在重大的错报、漏报;(3)该官员认为报告中的会计报表及其他财务信息在所有重大方面,公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。(4)签字官员:(A)对建立及保持内部控制负责;(B)设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;(C)评价公司的内部控制在签署报告前90天内的有效性;(D)在该定期报告中发布他们上述评价的结论;Sarbanes-Oxley法案404条款及其实施简介(续)(5)签字官员已向公司的审计师及董事会下属的审计委员会(或担任同等职务的人员)披露了如下内容:(A)内部控制的设计或执行中,对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷,以及向公司的审计师指出内部控制的重大缺点;(B)在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为,而不论该行为的影响是否重大;(6)签字官员应在报告中指明在他们对内部控制评价之后,内部控制是否发生了重大变化,或是其他可能对内部控制产生重要影响的因素,包括对内部控制的重大缺陷或重要缺点的更正措施。Sarbanes-Oxley法案404条款及其实施简介(续)404条款及其影响 第404节管理层对内部控制的评价

(a)内部控制方面的要求——SEC应当相应的规定,要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;

(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;(b)内部控制评价报告——对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。Sarbanes-Oxley法案404条款及其实施简介(续)简言之,SOX法案302、404条款规定,管理层必须:识别其对财务报告的内部控制将内控的设计和运行文档化评估内部控制设计的有效性纠正任何设计缺陷确定控制发挥了恰当的作用评估缺陷的性质Sarbanes-Oxley法案404条款及其实施简介(续)实施《索克斯法案》404条款的内控控制框架SEC在落实《索克斯法案》404条款的规定中指出,公司管理层应按照一个由专业团体按照充分的程序(due-process),并广泛征求公众意见之后制订的内部控制框架来评价财务报告内部控制的有效性。通常情况下,公司管理层评价财务报告内部控制时应依据COSO给出的内部控制框架。原因是,COSO报告给出的内部控制框架被实务界、学术界广泛接受。Sarbanes-Oxley法案404条款及其实施简介(续)管理层内部控制报告的主要内容 上市公司在其年度报告中应披露一份内部控制报告。该内部控制报告应当包括下列内容:建立和维护足够的财务报告内部控制制度是管理层的责任;管理层评价公司财务报告内部控制制度有效性时使用的评价框架;对公司最近财务年度公司财务报告内部控制制度有效性的评价,包括对财务报告内部控制是否发挥有效作用的明确陈述。如果最近财务年度公司财务报告内部控制存在任何重大缺陷,必须在该评价报告中披露。如果公司的财务报告内部控制存在一个或多个重大缺陷,则管理层不能认为公司的财务报告内部控制是有效的。公司管理层的财务报告内部控制评价意见,已由审计公司该年度财务报告的审计师出具证明报告。Sarbanes-Oxley法案404条款及其实施简介(续)内部控制的缺陷如果公司内控的设计或运行不能使管理层或职员在履行其日常职责时及时避免或发现财务错报,则被认为存在内控缺陷。内控缺陷可能由内控设计缺陷引起,也可能源于内控运行缺陷。内控设计缺陷指一项必要的内控制度不存在,或者现有的内控设计不合理,造成即使内控按设计思路运行,也不能实现控制目标。内控运行缺陷指一项合理设计的内控制度没有按设计思路运行,或者实施控制的人员没有足够的权威或专业胜任能力来有效执行内部控制。内部控制的缺陷可以分为三个层次:一般缺陷(InternalControlDeficiency)重要缺陷(SignificantDeficiency)实质缺陷或重大缺陷(MaterialWeakness)Sarbanes-Oxley法案404条款及其实施简介(续)内部控制的缺陷按PCAOB_AS2规定,如果在以下领域存在内控缺陷,至少可认定内控存在重要缺陷(significantdeficiencies):(1)对遵循GAAP的会计政策的选择和应用相关的内控;(2)反舞弊程序和控制;(3)非常规和非系统性(计划外)交易的控制;(4)分期财务报告编制的控制。Sarbanes-Oxley法案404条款及其实施简介(续)内部控制的缺陷按PCAOB_AS2规定,如果出现以下情形,则认为内控极有可能存在实质缺陷(materialweakness):(1)重新表述以前公布的财务报告来改正错报,不论错报的原因是错误还是舞弊;(2)由审计师而非公司最早发现当期财务报告存在重大错报(即使管理层随后同意改正错报);(3)公司审计师委员会对公司的对外报告编制和ICFOR未实施有效监督;(4)对大型、复杂的经营分部,缺乏有效的内部审计和风险评估;(5)对处高度管制待业的复杂经营分部,未有效遵循相关管制法规;(6)高层管理层的(任意数额)的舞弊或欺诈;(7)已与公司管理层和审计委员会进行沟通过的重大内控缺陷,在较长时期后仍为改正;(8)一个非有效的控制环境。当公司财务报告内部控制存在实质性漏洞时,应出具否定意见。内部控制存在实质缺陷的影响

——可能影响公司评级B类、A类实质缺陷B类缺陷(公司层面)包括:无效的控制环境;包括最高层的风格(thetoneatthetop),授权和责任的分派(theassignmentofauthorityandresponsibility)、政策和程序的一致性、公司的大政方针(company-wideprograms)如行为守则、防止舞弊等无效的审计委员会;无效的内部审计及风险评价职能;无效的财务报告流程;A类缺陷(账户层面或交易层面)包括:其他实质缺陷评级时的考虑是否否“B”“A”内部控制报告中提到的实质缺陷A类还是B类?公司评级是否已经反映了内控的实质缺陷[1]?管理当局拟采取积极措施吗[2]?可能采取评级行动不大可能采取评级行动召开评级会议是[1]考虑如下因素:缺乏透明度以前是否有会计报表重新表述(restatements)审计师辞聘会计估计发生经常性、影响较大的变动(Frequentandlargechanges)与会计相关的诉讼遭到监管部门调查[2]考虑如下因素:实质缺陷的性质:实质缺陷是否与公司最高层的风格有关(thetoneatthetop)?如果是,期望现任管理层解决该问题现实吗?管理的态度管理层是否表示采用新规则的成本超过收益?管理层很快会讨论内部控制问题,或者他们倾向于不考虑这些问题?管理层对完善的内部控制的承诺程度公司是否有正式的识别、评价、消除内部控制的计划?管理层的记录(trackrecord):管理层是否已经在过去成功地Hasmanagementsuccessfully实现了一些变革?有关国家和地区关于内部控制的规定香港法规的要求香港联交所《上市条例》第3.24条(2004年3月31日生效,有6个月的宽限期)要求:上市公司一名全职高管人员负责监督公司及其子公司有关财务报告程序、内部控制、及遵循香港联交所有关财务报告和其他会计问题的要求。该高管人员必须是香港会计师公会的会员或其认可的类似团体的会员。中国关于内部控制的规定国内法规的要求《会计法》(2000年7月1日修订实施)第二十七条规定:各单位应当建立、健全本单位内部会计监督制度。中国关于内部控制的规定(续)为落实《会计法》第二十七条的规定,2001年6月以来,财政部陆续颁布了7项内部会计控制规范:内部会计控制规范-基本规范(试行)内部会计控制规范-货币资金(试行)内部会计控制规范-采购与付款(试行)内部会计控制规范-销售与收款(试行)内部会计控制规范-对外投资(试行)内部会计控制规范-担保(试行)内部会计控制规范-工程项目(试行)中国关于内部控制的规定(续)温家宝总理在十届全国人大四次会议上作《政府工作报告》时强调,要“完善公司治理,健全内控机制”;2004年底和2005年6月,国务院领导同志连续两次就强化企业内部控制问题作出重要批示,其中,2005年6月,在财政部、国资委和证监会联合上报的《关于借鉴〈萨班斯法案〉完善我国上市公司内部控制制度的报告》上作出批示,同意“由财政部牵头,联合证监会及国资委,积极研究制定一套完整公认的企业内部控制指引”;2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,许多监管部门、大型企业、行业组织、中介机构、科研院所的领导和专家学者积极参与,为构建我国企业内部控制标准体系提供了组织和机制保障;与此同时,按照科学民主决策精神,公开选聘了86名咨询专家,组织开展了一系列内部控制科研课题,为构建我国内控标准体系提供技术支撑和理论支持。中国关于内部控制的规定(续)企业内部控制标准委员会已于2007年3月2日发布企业内部控制规范基本规范和17项具体规范:企业内部控制规范——基本规范(征求意见稿)企业内部控制具体规范第xx号--货币资金(征求意见稿)企业内部控制具体规范第xx号--采购与付款(征求意见稿)企业内部控制具体规范第xx号--存货(征求意见稿)企业内部控制具体规范第xx号--对外投资(征求意见稿)企业内部控制具体规范第xx号--工程项目(征求意见稿)企业内部控制具体规范第xx号--固定资产(征求意见稿)企业内部控制具体规范第xx号--销售与收款(征求意见稿)企业内部控制具体规范第xx号--筹资(征求意见稿)企业内部控制具体规范第xx号--成本费用(征求意见稿)企业内部控制具体规范第xx号--担保(征求意见稿)企业内部控制具体规范第xx号--合同(征求意见稿)企业内部控制具体规范第xx号--对子公司的控制(征求意见稿)企业内部控制具体规范第xx号--财务报告编制(征求意见稿)企业内部控制具体规范第xx号--信息披露(征求意见稿)企业内部控制具体规范第xx号--预算(征求意见稿)企业内部控制具体规范第xx号--人力资源政策(征求意见稿)企业内部控制具体规范第xx号--计算机信息系统(征求意见稿)中国关于内部控制的规定(续)2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》。基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。执行基本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。此前,于2008年6月12日,财政部发布“关于征求《企业内部控制评价指引》《企业内部控制应用指引》和《企业内部控制鉴证指引》意见的通知”(财办会[2008]7号)。《企业内部控制应用指引》(征求意见稿)的内容《企业内部控制应用指引》(征求意见稿)包括22个具体的内部控制应用指引企业内部控制应用指引第xx号——资金企业内部控制应用指引第xx号——采购企业内部控制应用指引第xx号——存货企业内部控制应用指引第xx号——销售企业内部控制应用指引第xx号——工程项目企业内部控制应用指引第xx号——固定资产企业内部控制应用指引第xx号——无形资产企业内部控制应用指引第xx号——长期股权投资企业内部控制应用指引第xx号——筹资企业内部控制应用指引第xx号——预算企业内部控制应用指引第xx号——成本费用企业内部控制应用指引第xx号——担保企业内部控制应用指引第xx号——合同协议《企业内部控制应用指引》(征求意见稿)的内容企业内部控制应用指引第xx号——业务外包企业内部控制应用指引第xx号——对子公司的控制企业内部控制应用指引第xx号——财务报告编制与披露企业内部控制应用指引第xx号——人力资源政策企业内部控制应用指引第xx号——信息系统一般控制企业内部控制应用指引第xx号——衍生工具企业内部控制应用指引第xx号——企业并购企业内部控制应用指引第xx号——关联交易企业内部控制应用指引第xx号——内部审计中国关于内部控制的规定(续)《企业国有资产监督管理暂行条例》(2003年5月27日国务院发布378号令)第三十六条规定:国有及国有控股企业应当加强内部监督和风险控制,依照国家有关规定建立健全财务、审计、企业法律顾问和职工民主监督等制度。中国关于内部控制的规定(续)《中央企业内部审计管理暂行办法》(2004年8月30日国资委发布8号令)第四条规定:企业应当按照国家有关规定,依照内部审计准则的要求,认真组织做好内部审计工作,及时发现问题,明确经济责任,纠正违规行为,检查内部控制程序的有效性,防范和化解经营风险,维护企业正常生产经营秩序,促进企业提高经营管理水平,实现国有资产的保值增值。中国关于内部控制的规定(续)第八条第(五)项规定:企业审计委员会应当履行审查企业内部控制程序的有效性,并接受有关方面的投诉的职责。第十三条第(九)项规定:企业内部审计机构应当履行对本企业及其子企业内部控制系统的健全性、合理性和有效性进行检查、评价和意见反馈,对企业有关业务的经营风险进行评估和意见反馈的职责。COSO内控框架主要内容(一)内部控制定义的演变(二)COSO内部控制框架下内部控制的定义(三)COSO内部控制框架五要素(四)五要素之间的关系(四)对内部控制的进一步理解:演变及局限性(五)对内部控制认识的误区COSO内部控制框架(续)关于COSOCOSO,theCommitteeofSponsoringOrganizationsoftheTreadwayCommission(反欺骗性财务报告发起组织委员会),是1985年由5家财务专业协会发起成立的一个民间团体,其成员包括:内部审计师协会(TheInstituteofInternalAuditors,IIA)美国注册会计师协会(AmericanInstituteofCertifiedPublicAccountants,AICPA)美国会计学会(AmericanAccountingAssociation,AAA)管理会计师协会(InstituteofManagementAccountants,IMA)财务经理协会(FinancialExecutivesInstitute,FEI)COSO内部控制框架的历史内部控制-整合的控制框架Treadway委员会发起委员会反虚假财务报告委员会(Treadway委员会)成立于1985年反虚假财务报告委员会在1987年签署了报告-号召研究并制定一个统一的内部控制框架1992年9月签署了名为内部控制整合框架的报告2003年签署“COSO-企业风险管理”草案最为广泛认可的针对内部控制整合框架的国际标准COSO内部控制框架(续)对COSO报告的评价:AICPA:该报告的提出,具有划时代的意义,“其作用如同早期的公认会计原则,其未来在管理界的地位也如今日的公认会计原则一样”。COSO报告很快受到了广泛的认可,世界各国及各专业团体纷纷效仿COSO报告对内部控制进行重新研究,并采用COSO报告的最新理念,发布了自己的文告。COSO内部控制框架(续)是美国证券交易委员会(SEC)唯一推荐使用的内控框架;上市公司会计监管委员会(PCAOB)在审计准则中提及了COSO内控框架可以作为评估企业内部控制的标准;COSO内部控制框架COSO的关键概念:当内部控制被“植入”经营活动中时是最有效的组织中不同级别的员工都对内部控制负有责任内部控制不能够提供绝对的保证内部控制是有效的法人治理结构的主要因素如果没有实现公司整体范围内的风险管理,就无法建立整合的内部控制系统COSO内部控制框架(续)内部控制的定义内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程,实现这一过程是为了合理地保证:(1)经营的效果性和效率性;(2)财务报告的可信性;(3)对有关的法律和规章制度的遵循性。对定义的理解:内部控制被定义为一个过程………由组织的董事会、管理层和其它人员共同实施………被设计以提供合理保证………有关以下目标的实现:-经营的效果和效率;-财务报告的可靠性;-法律和法规的遵从性。与三个目标相对应,内部控制也分为三类(categories):经营内部控制(internalcontroloveroperations);财务报告内部控制(internalcontroloverfinancialreporting);遵循内部控制(internalcontrolovercompliance)。COSO内部控制框架(续)与公司的基本经营目标相关,包括业绩和赢利性目标和资产的保护。与财务报告的编制相关,包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据与公司适用的法律和法规的遵守有关目标种类是明确的,但是也是相互联系的经营的效果和效率财务报告的可靠性对法律法规的遵循性目标是内部控制的前提条件COSO内部控制框架(续)为了实现上述的内部控制目标,内部控制应具备以下5个要素(components):(1)控制环境(2)风险评价(3)控制活动(4)信息和沟通(5)监督COSO内部控制框架(续)一种过程为实现三种目标而设计在整个组织内适用五个组成要素为实现目标而交互作用

控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1(二)COSO框架下内控定义-组成要素COSO内部控制框架(续)COSO内部控制框架(续)SEC把内部控制界定为“财务报告内部控制”(internalcontroloverfinancialreporting,简写为ICOFR)。“财务报告内部控制”是指:一个由公司主要执行官员或主要财务官员、或执行类似功能的人员制订或者在其监督之下制订的过程,该过程受公司董事会、管理层以及其他人员影响,旨在为财务报告的可靠性以及按照公认会计准则编制对外披露的财务报告提供合理的保证。该过程包括与下列事项相关的政策与程序:以合理的详细程度准确、公允地反映公司的交易以及资产处置的会计记录得以保存——与会计记录的保存相关的内部控制;为交易得以必要的记录以使公司会计报表按照公认会计准则编制,以及收入和支出按照公司董事会和管理层的授权进行提供合理的保证——与确保会计报表按照公认会计准则编制及收入、支出得到授权相关的内部控制;为防止或及时发现对会计报表可能发生重大影响的、未经授权的资产购置、使用或处理行为提供合理的保证——与资产的安全完整相关的内部控制。COSO内部控制框架(续)监督控制活动风险评估控制环境信息与沟通信息与沟通内控系统五要素架构:信息与沟通控制环境风险评估控制活动监控

构成一个企业的氛围,是其他内部控制要素的基础

内部控制五要素:COSO内控模型信息与沟通控制环境风险评估控制活动监控•操守及道德观

•胜任能力

•董事会和审计委员会

•经营理念和经营风格

•组织结构

•管理层授权和职责分工

•人力资源政策和措施

内部控制五要素:COSO内控模型COSO内控框架五要素-控制环境是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。企业要建立良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的问题。员工的操守及道德观是要求员工具备完成工作任务所需的知识和技能。目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务。员工胜任能力COSO内控框架五要素-控制环境董事会和审计委员会独立于管理层之上;指导和监督管理层的工作。管理层的经营理念和经营风格影响企业的管理方式。体现在:-对各种风险的态度;-对财务报告的态度;-对待数据处理、会计职能及人事管理等方面的态度。经营理念和经营风格COSO内控框架五要素-控制环境是权责分工的架构,每个企业都应根据自己的需要确定最有效的组织结构组织结构授权和职责分工是按照权责对等的原则,进行授权和责任分配。将企业的目标分解至每个员工,使员工的行为与企业目标相联系。管理层授权和职责分工人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序。目的是聘用和保持合格的员工。人力资源政策和措施信息与沟通控制环境风险评估控制活动监控风险:是任何可能影响实现目标的因素。风险评估:是识别和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。

内部控制五要素:COSO内控模型COSO内控框架五要素-风险评估风险识别:

发现和分析那些影响目标实现的风险,需考虑外部因素和内部因素。风险分析:-估计风险的重要程度;-评估风险发生的可能性(或频率、概率)。风险评估的过程如何有效地进行风险管理各行业的前10种最主要的风险因素次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长信息与沟通控制环境风险评估控制活动监控

为防范风险所采取的措施和行动。控制活动包括:组织机构、政策、标准、流程的建立,授权、批准,复核经营业绩,资产保护措施,职责分离控制活动能够抵偿风险

内部控制五要素:COSO内控模型COSO内控框架五要素-控制活动

控制活动类型包括:针对企业的不同目标,控制活动可以分为以下三个类型:即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动;根据控制活动的不同作用,控制活动又可以分为:预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型;根据组织中实施人员的不同,控制活动也可以分为:高层审批、指导并管理业务活动,信息处理,实物控制,业绩指标分解,责权分配等。COSO内控框架五要素-控制活动

一些重要的内控方法1、职责分离控制2、授权批准控制3、内部报告控制4、电子信息技术控制……1、不相容职务相互分离控制-示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物,在收取货物时利用职务之便将货物占为己有,同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款,从而贪污现金2、授权批准控制在开展任何业务之前都应进行授权授权以后,为了避免滥用权力,还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录,并提供证明文件避免两个极端:“层层审批”和“一支笔”3、内部报告控制完善内部管理报告系统内部报告上报时间及报告路线内部报告的分发控制内部报告的分析和跟进信息与沟通控制环境风险评估控制活动监控

监督和评估内部控制系统设计合理性和运行有效性。

内部控制五要素:COSO内控模型信息与沟通控制环境风险评估控制活动监控监控的类型:持续性监督独立评估监控的实例外部审计审查财务报告内部审计/董事会审查经营分析与预算比较客户满意度调查项目审查

内部控制五要素:COSO内控模型COSO内控框架五要素-监控持续性监督:持续性的监督行为发生在经营的过程中,它包括日常的管理、监督、比较、核对和其他常规性活动。独立评估:独立评估是独立于控制活动之外而采取的定期评估行为。

信息与沟通控制环境风险评估控制活动监控

为了实现控制目标,保证内部控制各个要素的可靠性,以促使员工履行自己的职责。有关信息必须及时沟通。信息沟通贯穿于整个控制主要包括如下方面:信息的识别和获取信息加工和报告内部沟通和外部沟通

内部控制的神经系统

内部控制五要素:COSO内控模型五要素之间的关系一种过程为实现三种目标而设计在整个组织内适用五个组成要素为实现目标而交互作用

COSO内部控制模型五要素之间的关系

COSO内部控制框架是一个由控制环境、风险评估、控制活动、信息与沟通、监督五个要素构成的有机整体。按照COSO框架建立内控体系需要营造控制环境,识别并评估风险,通过内控活动对主要风险进行控制,整个业务活动中要保证内外部信息传递畅通。内部控制体系的运行要有持续有效的监督。五要素之间的关系有效的内控——财务报表可靠性设定目标

识别威胁目标实现的风险执行有效的控制环境作为防范风险的第一防线设计并实施有效的控制活动来防范风险开展有效的信息与沟通以帮助组织实现其目标。建立有效的控制之后,开展监控活动以确保持续的控制活动能够有效执行财务报告内部控制确定影响财务报表的风险8.识别财务报表的目标9.识别那些威胁目标实现的风险10.识别和评估对公司有影响的舞弊风险涉及会计准则和充分披露的结果考虑流程、员工、激励机制和技术因素的影响考虑约束舞弊行为的激励机制和机会风险评估:组织中的管理层和其他人应了解影响财务报表目标实现的主要风险。风险的识别是一个起点,自此开始制定控制活动和流程,以尽可能减少实现财务报表目标的风险。

规模较小的公司所面临的主要风险包括但不限于:管理层的独断专行员工所犯的错误或舞弊行为(通过职责分离通常可减少这些行为)不一致的流程由于缺乏有资质的员工而导致会计判断的失误由于挪用公款或财务报表错报所引起的舞弊行为解决这些具体风险的控制活动从控制环境开始。

风险评估——每个公司会面对各种各样来自内部和外部的风险,必须对其进行评估。风险评估是识别和分析影响目标实现的相关风险,为明确如何管理风险能打下基础。控制环境:控制环境确定了管理层的基调,并影响人们的控制意识。这是所有其它内控要素的基础,提供了规则和结构。1.健全的道德观和诚信的文化2.有效而独立的董事会3.管理层的运行方式促进良好的控制4.机构文化有助于财务报表目标的实现5.对财务报表资格能力(competences)的承诺6.权限和责任的分配与财务报表的目标是一致的7.人力资源政策和规程支持有效控制组织具有明确的价值观,监控各项活动,并采取措施独立而有效的监督机制管理层设定目标,并为各项活动设定一个基调组织结构支持控制流程以实现目标管理层确定所需要的竞争力并获取这些竞争力权限和责任的分配——从董事会和财务总监开始考虑激励因素、招聘、培训和其它活动稳健的控制环境能够使风险最小化控制环境评估.控制环境通常作为以上所识别的风险因素的第一防线,特别是,这些风险涉及管理层的独断专行,会计错误,或不一致流程的时候。具有充足资源和时间进行监督的强大而独立的董事会,能够有效地减少许多风险。许多规模更小的公司有独立而有效的董事会;很多公司还有有效的审计委员会,能够积极地解决以上识别的各项风险。管理层通过城信的承诺和道德价值观确定各项活动的基调,并通过人力资源实践来强化这种承诺。降低流程风险的控制活动控制活动:控制活动是那些用来帮助保证管理指令被执行的政策和流程。它们包含一系列不同的活动,例如审批,授权,验证,调整,运行性能、资产安全和职责分离的审核。11.选择能够降低已识别的风险的控制活动12.基于有效性和成本的评估来选择控制活动13.制定并沟通政策和流程来帮助实现目标14.利用信息技术来实现目标在组织内始终如一地及时执行考虑帐面记录的一切信息源;信息技术和员工应用预防性和保护性控制的组合控制活动:控制活动在如下情况下被认为是有效的:当它们被设计和实施后,能够确保所有交易被及时正确地记录下来,符合GAAP标准,并且所有的调整和估计都能被及时正确地记录下来,同时也符合GAAP标准。控制活动应该能够防止和检测重大舞弊的出现。当控制活动被“启动”,并被始终如一地运用时,信息技术可以作为一项控制优势信息与沟通.相关信息必须识别、捕捉并以表格形式在一定时限内进行沟通,以使员工能够履行他们的职责。机构员工必须从高级管理层接收明确的信息,控制职责必需认真履行。他们必须理解自己在内控系统中的职责,以及他们的个人行为如何与其他人相关联。他们必须具备向上级沟通重要信息的有效方式。15.为帮助实现财务报告的目标,相关信息在机构内的各个层面被广泛收集。16.信息被收集整理,以帮助员工和系统落实其控制职责。17.内部沟通促进员工相互理解,以便更好地完成控制目标。18.如果可能,影响控制目标实现的事项会向外界沟通。数据在源头被捕捉;技术被有效利用来保证一致性和精确性,以及保证高质量。相关数据被收集来保证符合政策和法规要求,帮助快速识别和理解控制失败的根本原因,以及保证高质量。包含与董事会的有效沟通、员工沟通以及一个“举报”流程。包含与供应商和客户,以及重要股东的开放式沟通。信息与沟通的有效性评估:信息与沟通在以下情况被认为是有效的:机构内通过员工的沟通帮助他们完成内部控制目标;信息及时有效地识别控制细目分类;与外界有开放的沟通渠道;公司有有效的举报流程。一个有效的信息与沟通系统能够使公司有效管理内部控制流程监控:

内控系统应该被监控——一个评估长时间系统性能的流程。这将通过持续监控活动,单独评估或两者相结合来实现。内控的缺陷应该向上级汇报,严重事件应该向管理层和董事会汇报。19.持续或单独的评估被设计用来判断基于财务报表的内控是否依然有效。该监控设计可促进控制失败的及时识别,并采取纠正措施。20.在组织内部向合适的人员(和层面)报告缺陷,以便及时采取针对控制缺陷的纠正措施。持续评估被设计用来提供持续的控制监控。单独评估需要由从业经验和范围充足、知识丰富的员工来实施,以管理与控制失败相关的风险。将发现和缺陷报告给那些能够及时纠正这些控制失败的根本原因的员工。将重要缺陷报告给管理层和董事会,以帮助他们完成其职责。监控的有效性评估:监控在以下情况下被认为是有效的:控制失败或控制缺陷被及时有效地识别出,被报告给那些对控制负责的员工,并且这些控制缺陷的纠正措施能被及时地实施。单独评估能够(并且应该)确定内控框架中的五大要素。监控通过注重持续改进和识别控制瑕疵来创造效率对内部控制的进一步理解:演变及局限性传统上对内控的认识

——组织为了减少决策失误和工作缺陷而实施的控制(如内部监督、管理手册、规章制度)现代内控理论

——内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、控制活动、信息与沟通、监督五大要素内部控制对内部控制的进一步理解:演变及局限性内部牵制:账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法。内部控制制度:内部控制的重点是建立健全规章制度。

内部控制结构:内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面。

内部控制整体框架(COSO内控框架)内部控制理论发展的四个阶段对内部控制的进一步理解:演变及局限性

无论内部控制设计和执行的再好,它也只能提供合理的保证,个别内部控制可能会失效。内部控制的局限性表现在:内部人员素质不适应岗位要求,影响内部控制功能的正常发挥。合伙同谋,如内部人员相互串通作弊导致相关内部控制失去作用。内部管理人员滥用职权、蓄意营私舞弊等,导致内部控制失去应有的控制效能。对于不经常发生或未预计到的经济业务,原有的控制可能不适用。临时控制若不及时会影响内部控制的作用。成本效益问题。其它如:管理层越权、判断失误、执行偏差等。内控认识的误区1.高级管理没能认识到内部控制是贯穿所有经营活动的过程,而是认为加强内部控制是基层一线人员的事情,与上层管理部门无关或关联不大;任何内部控制体系的建立与存亡都取决于高级管理层。COSO报告称之为“处在高层的声音”

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论