COSO内部控制框架课件

1、第二讲 COSO内部控制框架,COSO内部控制框架,第一节 内部控制的目标,一、内部控制目标 所谓内部控制的目标，是指内部控制所要达到的预期效果和所要完成的控制任务。从理论上讲，内部控制的目标主要取决于内部控制本身所具有的功能和人们在设计与执行内部控制时所要达到的主观需求,COSO内部控制框架,二、内部控制的一般性目标 （一）国际审计准则第6条中规定内部控制是单位的管理人员为帮助达到管理人员的目标而采用组织计划和全部方法与程序，在尽可能实行的范围内保证其业务经营的顺序和有效性，包括严格遵守管理政策，保护资产，预防和揭发舞弊和错误，保持准确和完整的会计记录，以及适时编制可靠的财务资料。其具体目标

2、包括： 1 .根据管理人员一般的或特殊的标准来完成经济业务。 2 .在完成经济业务的会计期间，将全部经济业务以正确的数额及时记入适当的帐户，从而完成允许的公认会计政策范围内编制的财务资料并保持对资产应负的责任。 3 .只有根据管理人员的批准方可动用资产。 4 .对资产作出负责的记录，在合理的间隔时间与现存的资产相比较，并对发生的任何差异采取适当的行动,COSO内部控制框架,二）世界最高审计机关组织内部控制准则中规定，内部控制目标主要有以下几个方面： 1 .配合组织任务，使各项作业均能有条不紊且更经济有效地运作，并提高产品与服务的质量。 2 .保证资源，以避免因浪费、舞弊、管理不当、错误、欺诈及

3、其他违法事件而遭受损失。 3 .遵循法律、规章及各项管理作业规定。 4 .提供值得信赖的财务管理资料，并能适时适当地揭露有关资料,COSO内部控制框架,三）COSO报告认为：每一个企业均要确定其管理理念，选定其欲达成的目标，以及达成目标的策略。如以下三个方面目标，即为大多数企业所公认的目标： 1 .营运目标与企业效率及有效果的使用资源有关的目标。 2 .财务报道目标与编制可资信赖的对外财务报表有关的目标。 3 .遵循法定目标与企业个体遵循相关法令有关的目标,COSO内部控制框架,四）主流观点一般认为： 1 .维护资产的安全、完整及有效使用。 2 .保证各种管理信息的存在、可靠与及时提供。 3

4、.尽量减少不必要的成本、费用、以求盈利。 4 .保证下放的各种职责得到圆满履行，提高各项工作作业的效益或效率。 5 .预防或查明错误和弊端，为管理政策的制定寻找依据。 6 .履行各种法律行为,COSO内部控制框架,三、内部控制局限性 （一）国际审计准则第6号第9条规定：内部控制只能为管理人员达到其目标提供合理的确信，因为内部控制有其固有的限制： 1 .管理人员通常要求一项控制是有成本效果的，即一次控制程序的费用不应与因舞弊或错误所造成可能损失不相称。 2 .事实上大多数的控制是借以指导会发生的那种经济业务，而不是针对非常的经济业务。 3 .由于粗心、精力分散、判断失误或误解指示而造成人为错误的

5、可能性。 4 .可能会通过与单位的外部关系或本单位支援共谋而设法规避控制。 5 .某一控制点上的负责人可能会滥用职权，例如管理人员中某一成员对控制置之不理。 6 .可能会由于情况变化而使控制程序变得不适当，并使控制程序的遵守可能发生改变,COSO内部控制框架,二）最高审计机关国际组织内部控制准则指出： 无论内部控制制度多么严谨，仍无法保证组织均能有效率的运作、记录均能完全正确的制作，舞弊也无法完全杜绝，尤其是在某些设计特别授权或信赖的情况。相同地，核准控制可能遭到滥用，管理阶层交易逾越本身所建立的控制。因此，一味地追求降低内部控制的风险并不切实际，因此耗费的成本往往超过所获得的利益,COSO内

6、部控制框架,三）综合说认为，内部控制的固有限制，主要有以下几个方面： 1 .成本限制：一个内部控制系统所寻求的保证水平有必要根据其成本而定。 2 .串通舞弊：不相容职责的恰当分离可以为避免单独一人从事和隐瞒不合规行为提供合理的保证。但是，两个或更多的人合伙即可避开这类控制。 3 .人为错误：工组人员的粗心大意、精力分散、身体不适、理解错误、判断失误、曲解指令等都会造成控制失效。 4 .管理越权：一般表现为错误陈述，或者是挪用。 5 .修订跟不上变化：企业在经常变化的环境中，因原有控制程序对新增业务内容失去控制作用而发生的差错或不合规行为,COSO内部控制框架,四）应充分考虑的重要概念和重要特征

7、： 1 .人员素质 2 .职能分离 3 .经济业务的执行 4 .经济业务的记录 5 .接触资产 6 .会计记录和资产的核对,COSO内部控制框架,第二节 内部控制要素,最高审计机关国际组织内部控制准则 控制要素：组织计划、管理的态度、方法和程序、评量措施 美国职业会计师协会审计标准委员会 审计标准文告55号1988颁布，1990年生效 控制环境、控制程序、会计制度 审计准则说明书78号 控制环境、风险评价、内部控制活动、信息交流、监督,COSO内部控制框架,美国COSO委员会92年公布 控制环境、风险评估、控制活动、信息与沟通、监督 04年企业风险管理综合框架（ERM） 内部环境、目标设定、事

8、项识别、风险评估、风险应对、控制活动、信息与沟通、监控 加拿大COCO研究小组 目的、承诺、能力、改善措施、监督与学习,COSO内部控制框架,中国 控制环境 风险评估 控制活动 信息与沟通 监督,COSO内部控制框架,第三节 内部控制的环境,一、董事会与下属审计委员会 二、价值观与操守 三、员工胜任能力 四、管理理念与经营风格 五、组织结构框架 六、责、权、利划分 七、人力资源政策与措施,COSO内部控制框架,一、董事会与下属审计委员会 1. 底线型董事会 2. 战略型董事会 3. 咨询型董事会 4. 治理型董事会 5. 看守型董事会 审计委员会是由外部非执行董事即独立董事组成，参与公司治理，

9、包括财务过程监督、财务信息监督、内部审计监督、外部审计监督，管理层内部监督控制与管理层道德监督等。 我国02年12月31日316家上市公司，设立比例25.82,COSO内部控制框架,二、价值观与操守 1. 组织整体上的价值观和操守是其控制环境的必要因素； 2. 经常根据高层管理者传播的高层基调信息来定义； 3.经常会因员工的无知而遭到破坏； 4.需要向各个层面沟通,COSO内部控制框架,三、员工胜任能力 1.起源于50年代美国哈佛大学麦克里兰的有效预测实际工作业绩的人员选拔方法； 2.现今：平衡计分法； 3.遵循原则： （1）能否显著地区分工作业绩，是判断一项胜任能力的唯一标准； （2）判断一

10、项胜任能力能否区分工作业绩必须以客观数据为依据,COSO内部控制框架,四、管理理念与经营风格 1.企业的管理理念与经营风格受高层管理者的影响极大； 2.管理理念与经营风格考虑事项是组织控制环境的组成部分,COSO内部控制框架,五、组织结构框架 1. 组织结构为计划、执行、控制和监控用于实现总体目标的活动提供了框架； 2. 与各种职能按古典的组织结构图进行管理和组织的方式有关； 3. 每个组织或机构都需要有效的组织计划,COSO内部控制框架,六、责、权、利划分 现行的COSO报告框架对这个非常重要的控制环境领域有如下描述：控制环境在很大程度上受个人对其所负责的认识程度的影响。这始终适用于CEO，

11、他们对机构内的各项活动，包括内部控制系统，负有最终的责任,COSO内部控制框架,七、人力资源政策与措施 1.招聘与雇佣：组织要设法雇用最好的、最合格的候选人员； 2.新员工培训：新员工要取得有关组织的价值体系以及不遵守这些价值观而承担后果的明确指示； 3.评价、提升和报酬：一个公平的业绩评价方案在起作用时，不能受大量的管理判断的支配； 4.处罚措施：前后一致且良好的处罚措施政策要能发挥作用,COSO内部控制框架,内部控制环境综合评价图,COSO内部控制框架,风险评估 1. 风险识别与分析 感知风险和识别风险 潜在风险 风险具有可变性 2. 风险评估方法 定性分析法 （1）标准分析法,COSO内

12、部控制框架,风险分析调查法,COSO内部控制框架,红星公司风险分析调查,COSO内部控制框架,四阶段症状”分析法,COSO内部控制框架,三个月资金周转表”分析表 判断标准： 如果制订不出三个月的资金周转表，这本身就已经是个问题了； 倘若已经制好了表，就要查明转入下一个月的结转额是否占总收入的20以上，付款票据的支付额是否在销售额的60以下（批发商）或40以下（制造业,COSO内部控制框架,流程图分析法,COSO内部控制框架,管理评分法,COSO内部控制框架,定量分析法 （1）单变量模式 （2）企业股市跟踪法 （3）多变量模型 企业安全率是由两个因素交集而成：一是经营安全率；二是资金安全率。 安

13、全边际率安全边际额/现有或预计销售额,COSO内部控制框架,资金安全率计算方法是： 资金安全率=资金变现率资金负债率 资金变现率资金变现金额/资金帐面金额 资金负债率负债额/资产帐面金额 资金安全率（资金变现值负债额）/资金帐面金额,COSO内部控制框架,安全边际率 资金安全率,安全边际率与资金安全率坐标图,COSO内部控制框架,一、控制活动 会计机构组织 完整性控制 1.内容分类法 会计组织控制 会计基础控制 准确性控制 防弊控制 合法性控制 （1）内部会计控制 实物资产控制 防盗控制 及时性控制 纪律控制 防损控制 组织控制 （2）内部管理控制 人事控制 业务操作与质量控制 风险与安全控制

14、 管理技术控制 职务分离控制 （3）业务控制 制度约束控制 程序控制 安全控制 监督,COSO内部控制框架,二、按照内部控制的方式分类 1.预防性控制 2.检查性控制 3.纠正性控制 预防性控制和检查性控制示例,COSO内部控制框架,三、按照内部控制的作用分类 （一）指导性控制：是为了实现预期目标而采取的控制。 （二）补偿性控制：针对某些环节的不足或缺陷而采取的控制措施,COSO内部控制框架,第六节 信息与沟通,一、信息与沟通的目标 （一）信息与沟通的重要性 （二）信息与沟通的目标 1.股东之间利益冲突 2.股东与债权人利益冲突 3.股东与经营者的利益冲突 4.企业经营者领导下各部门间的利益冲

15、突,COSO内部控制框架,二、信息与沟通的组织结构框架,董事会,股东,债权人,其余的利益,息沟委会 信与通员,各部门之间的沟通CEO,其余部门的沟通,财务部门的沟通,审计委员会,COSO内部控制框架,三、信息与沟通委员会的职责与作用 1 .为各利益相关人提供一个沟通的场所、协调规则； 2 .切实保护中小股东的利益，完善企业的公司治理结构； 3 .负责企业的信息披露的内容、形式和实践等，并为不同的利益相关人提供其所需要的信息，克服信息不对称状态； 4 .负责企业的价值管理； 5 .负责企业的盈余管理； 6 .统管企业的信息系统； 7 .为董事会中的其余专业委员会提供决策需要的信息； 8 .与政府

16、有关部门就与各利益相关人有关的法规、规章进行交涉，保证企业业务的合法性、合规性,COSO内部控制框架,第七节 监 督,一、监督的作用 监督可以确保内部控制制度能持续有效运作。监督的过程，是由适当的人在适当的时间情况下，评估控制的设计和运作，并采取必要的行动,COSO内部控制框架,二、监督的方法 （一）持续的监督活动 1 .负责营运的管理阶层，在履行其日常管理职责时，取得内部控制制度持续发挥功能的证据； 2 .利用外部信息，来验证内部产生的信息的正确性，或比较出问题的所在； 3 .利用健全的组织机构和职责分工来监督控制的有效性，并辨识其缺失； 4 .以信息系统所记录的资料和实体资产核对，以提示其

17、间的差异； 5 .利用内审人员和外部内审人员及其他方面的检查人员所提出的建议，强化内部控制； 6 .通过各种会议及研讨形式取得内部控制是否有效的重要信息，并反馈给管理阶层，以便于采取适当措施； 7 .定期要求员工汇报他们是否了解单位的行为守则，是否贯彻执行守则,COSO内部控制框架,二）个别评估 1 .评估范围和频率：视被控制对象的风险大小及控制的重要性而定； 2 .评估主体：特定单位或职能的负责人决定评估； 3 .评估过程：评估内部控制制度，本身就是一个过程，必须遵循一些基本的原则和要求； 4 .评估方法：方法和工具有多种，如检查清单、阅卷及绘制流程图技术、量化技术等等； 5 .书面记录：一

18、个单位把内部控制制度做成书面文件的程度，因单位规模的大小、复杂程度的高低及其他因素影响而异； 6 .行动计划,COSO内部控制框架,6 .行动计划： （1）根据目标的类别、内部控制的组成要素，以及欲讨论的活动来界定评估的范围； （2）根据持续监督活动中发现的应予评估的事项； （3）分析内审人员所执行的评估和考察外部检查人员的发现，决定有关评估的内容； （4）对必须注意的高风险区域，应按单位、组成要素或其他类别，排列先后顺序； （5）根据上述分析结果，制订评估计划，并作评估时间长短安排； （6）集中将参与评估的人员，一起研究评估的范围、时程、使用的方法和工具、内外审人员及主管机关所提供的信息、预期报