COSO内部控制框架培训教程

1、爸COSO内部控芭制框架培训资料内容提要：一、背景介绍捌（一）COSO坝内部控制框架的般产生及发展过程俺（二）拜xxx目前的内爸部控制体系与C邦OSO内部控制蔼框架的差距凹二、COSO内耙部控制框架下内疤部控制的定义霸（一）COSO伴内部控制框架对哀内部控制的定义氨（二）对内部控半制定义的理解案（三）COSO傲内部控制框架的把组成要素皑三、COSO内把部控制框架五要暗素邦 班 （一） 内控袄环境（二）风险评估（三）内控活动安（四）信息与沟邦通 （五）监督吧四、内部控制的扒局限性伴五、员工在内部肮控制中的作用和俺职责六、小结一、背景介绍啊内部控制是什么艾?不同的人有不爸同的理解。 一俺般的人把内

2、部控败制理解为组织为哎了减少决策失误鞍和工作缺陷而实傲施的控制,这些拌控制可能是内部绊监督、也可能是拜管理手册、规章扒制度等。这种理熬解没有错，但不罢全面。按照现代奥的内控理论，这巴些仅仅是内部控靶制的一部分，而版不是全部。现代班内控理论认为，疤内部控制是一个肮系统化的框架，百它建立在风险管搬理的基础上，包埃括内控环境、风埃险分析、内控活凹动、信息与沟通氨、监督五大要素拌。摆（一）COSO胺内部控制框架的芭产生和发展过程岸内部控制理论的巴发展是一个逐步哀演变的过程，大暗致可以区分为内般部牵制、内部控百制制度、内部控爸制结构与内部控凹制整体框架四个斑阶段。在内部牵靶制阶段，账目间艾的相互核对是内

3、柏控的主要内容，吧设定岗位分离是傲内控的主要方式岸，这在早期被认佰为是确保所有账背目正确无误的一般种理想控制方法肮；在内部控制制巴度阶段，内部控按制的重点是建立班健全规章制度；氨在内部控制结构班阶段，内部控制百被认为是为合理背保证企业特定目柏标的实现而建立斑的各种政策和程隘序，分为内控环伴境、会计制度和肮控制程序三个方柏面；内部控制整隘体框架阶段，就懊是我们下面将要昂讨论的COSO肮内部控制框架。鞍在美国，20世哎纪70年代中期佰，与内部控制有澳关的活动大部分敖集中在制度的设傲计和审计方面，拜重在改进内部控鞍制制度和方法。敖1973年至1笆976年对水门癌事件（美国公司邦进行违法的国内安捐款和

4、贿赂外国阿政府官员）的调皑查使得立法机关伴与行政机关开始熬注意到内部控制哎问题。针对调查扮的结果，美国国俺会于1979年皑通过了反国外氨贿赂法（简称皑FCPA）。F爱CPA除了规定奥了关于反贿赂的稗条款外，还规定凹了与会计及内部昂控制有关的条款蔼。因此美国许多笆机构都加强了对霸内部控制的研究摆并提出许多建议澳。1985年，艾由美国注册会计背师协会、会计协蔼会、财务主管协般会、内部审计师蔼协会、管理会计柏师协会联合创建疤了反虚假财务报捌告委员会，该委瓣员会旨在探讨财伴务报告中的舞弊挨产生的原因，并邦寻找解决措施。胺两年后，该委员把会提出了很多有白价值的建议。基跋于该委员会的建奥议，其赞助机构奥成

5、立COSO委八员会，专门研究暗内部控制问题。捌1992年9月傲，COSO委员鞍会提出了报告爱内部控制拔巴整体框架（1唉994年进行了绊增补）， 即C按OSO内部控制矮框架。百 COSO内控翱框架的提出标志摆着内部控制理论拜发展到新的阶段拌，对企业疤完善和优化内部盎控制、安增强风险防范能埃力扳具有十分重要的白意义。COSO百内部控制框架之佰所以被广泛地选笆择作为构建和完熬善内部控制体系罢的标准，是因为拔：虽然COSO胺内部控制框架并蔼非唯一的内部控翱制框架，但却是爸美国证券交易委扳员会唯一推荐使把用的内部控制框芭架，爱萨班斯法案敖第 404 条鞍款的最终细则扳也明确表明 阿COSO内部控埃制框架

6、可以作为奥评估企业内部控邦制的标准。奥股份公司作为纽半约证交所上市公疤司，需要按照法伴案要求，引进C爱OSO内部控制蔼框架，整合现有耙内部控制，满足捌法案的要求。同瓣时，对股份公司邦来说，这也是梳阿理管理流程、规伴范管理、提升整败体管理水平的契霸机。COSO内罢部控制框架是一按个较为理想的框扳架，几乎所有公柏司的内部控制均办与之有一定差距搬，美国各大公司颁也正在为此而努般力，虽然这必然凹加大企业负担，暗但多数公司同股肮份公司一样，希拌望通过理解和贯扮彻COSO内部八控制框架要求，埃来实现提升管理暗水平的目的。伴（二）XXX目翱前的内部控制体版系与COSO内奥部控制框架的差袄距瓣目前，股份公司般

7、通过多年的管理笆实践和积累，已傲经建立了一套针俺对XX行业的行懊之有效的内控体扒系，但与COS敖O内部控制框架邦的要求相比还存霸在一些距离。这拌些差距主要体现俺在：内部控制体绊系的整体框架、岸内控环境、风险癌评估等理念尚未安被广泛接受、内摆部控制的文档记袄录还不够系统规澳范、缺乏自我评坝估机制等。扒斑“背他山之石，可以靶攻玉胺”柏，COSO内控鞍框架对于我们加阿强企业内部控制疤具有一定的启发叭和借鉴意义。疤为此，我们需要盎认真学习COS敖O内部控制框架八理论，充分认识案和理解COSO鞍内部控制框架，案并在实际经营管胺理中积极实践，捌大力贯彻和实施肮，从而优化内部挨控制，完善内控啊体系，全面提升

8、爸公司管理水平。拔二、COSO内鞍部控制框架下内斑控制度定义般（一）COSO俺内控框架对内部氨控制的定义疤COSO内部控哀制框架认为，内板部控制是受企业袄董事会、管理层吧和其他人员影响扮，为经营的效率伴效果、财务报告斑的可靠性、相关跋法规的遵循性等百目标的实现而提氨供合理保证的过柏程。哀（二）对内部控哀制定义的理解蔼应该从以下几个拔方面理解内部控阿制的定义：哀第一，内部控制颁是一个皑“佰过程癌”霸，而且是一个动按态的过程。企业唉的经营活动是永傲不停止的，企业熬的内部控制过程叭也因此不会停止隘，它是一个发现板问题、解决问题澳、发现新问题、柏解决新问题的循板环往复的过程。碍内部控制应该与唉企业的经

9、营管理版过程相结合，而捌不是凌驾于企业拜的基本活动之上八，它促使经营达隘到预期的效果，吧并监督企业经营扮过程的持续有效奥进行。昂第二，内部控制半受到罢“柏人哎”扮的因素的影响，背它并不仅仅是政办策手册和表格，搬不仅仅是管理人阿员、内部审计或拜董事会，而是组摆织中的每一个人百，每一个人都对按内部控制负有责懊任并受到内部控爱制的影响；是罢“百人昂”艾建立企业的目标哀，并将控制机制安赋予实施。确立拌这种观念有利于拜企业的所有员工澳明确自己的责任颁和权限，主动地碍维护及改善企业拔的内部控制。耙第三，内部控制埃无论设计和运行昂得多么完善，也鞍只能为企业的管澳理层和董事会提昂供合理的保证，奥而不是绝对保证

10、碍，因为内部控制昂本身具有局限性捌。癌最后，内控框架佰将内部控制目标班分为三类：与营暗运有关的目标拔蔼即经营的效率与挨效果、与财务报唉告有关的目标邦翱即财务报告的可半靠性、以及与法啊规的遵循性有关耙的目标。上述分按类让我们专注于柏内部控制的各个稗方面，这些相互板有别，相互交叉摆的分类满足不同熬的需要，并且表捌明了不同的执行办人员的直接责任翱。靶（三） COS扮O内部控制框架办的组成要素岸COSO内部控跋制框架认为，盎内部控制系统是哎由内控环境、风翱险评估、内控活皑动、信息与沟通白、监督五要素组伴成，它们取决于按管理层经营企业百的方式，并融入盎管理过程本身，案其相互关系可以碍用下面模型表示扳。内

11、控活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。 内部审计工作。内控环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单

12、位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1皑内控环境翱八内控环境是企业熬的基调、氛围，扒直接影响企业员柏工的控制意识。扮内控环境要素是拜推动企业发展的跋发动机，也是其啊他一切要素的核岸心，包括员工的扮诚信、职业道德安和工作胜任能力哎；管理层的经营把理念和经营风格昂；董事会或审计胺委员会的监管和凹指导力度；企业隘的权责分配方法瓣和人力资源政策八。可以说人及其昂人进行的活动是昂任何企业的核心傲，是构成内控环啊境的重要要素，岸又与环境相互影埃响、相互作用。办风险评估邦扮风险评估是识别唉、分析相关风险拔以实现既定目标坝，是风险管理

13、的白基础。每个企业佰都面临着诸多来笆自内部和外部的俺风险，影响企业肮既定目标的实现八。因此必须设立柏一个机制来识别阿、分析和管理影靶响目标实现的相胺关风险，并适时暗加以管理。斑内控活动昂熬内控活动指那些扳有助于管理层决败策顺利实施的政哎策和程序，是针癌对风险采取的控氨制措施。它们包芭括诸如批准、授颁权、查证、核对耙、复核经营业绩翱、资产保护和职哎责分工等活动。笆信息与沟通百背是指企业经营管柏理所需信息必须啊被识别、获得并敖以一定形式及时跋传递，以便员工碍履行职责。信息白不仅包括内部产扳生的信息，还包肮括与企业经营决斑策和对外报告相拔关的外部信息。昂畅通的沟通渠道拔和机制使企业的霸员工能及时取得

14、胺他们在执行、管俺理和控制企业经瓣营过程中所需的版信息，并交换这耙些信息。百监督办办是对内部控制系扒统有效性进行评唉估的过程，可以斑通过持续 性监俺督、独立评估或败两者的结合来实艾现对内控系统的肮监督。伴内控体系五要素翱之间的关系我们哀可以理解为：企耙业的核心是人，熬人的诚信、道德皑价值观和胜任能拔力构成了企业的扒内控环境，这是背企业发展的基础爱。每个企业都有摆自己的发展目标昂，为了目标的实暗现，必须分析影靶响因素，即进行熬风险评估。针对蔼风险评估的结果佰需要采取相应的白内控活动来控制吧和减少风险。同哎时与内控环境、拜风险评估和内控埃活动相关的信息肮应及时被获取、跋加工整理，并在捌企业内部传递

15、，耙这就是信息与沟袄通，信息与沟通按系统围绕在内控稗活动周围，反映凹企业各项管理活百动的运转情况。班为了保证内控体癌系的正常运转，佰还需要对整个内拌控过程进行监督瓣。岸内部控制五要素邦之间的配合和联啊系，组成了一个埃完整的系统，可氨以灵活地随条件澳变化而变化。但巴各要素之间并非扳是一项要素影响拌下一项要素的顺肮序过程，任一要败素都可以影响其伴他要素，例如对罢风险的评估不仅霸仅影响内控活动稗，还可能影响信挨息和沟通、监督办行为等。颁COSO内部控暗制框架适用于各肮类企业，但是中罢小企业对其应用胺可能不同于大型凹企业，中小企业八的内部控制可能哀不及大型企业正稗式、组织性强，捌但也可以是有效肮的。对

16、此，本次疤培训以大型公司跋为例，未考虑中氨小公司的差异。癌三、COSO内瓣部控制框架五要吧素（一）内控环境癌内控环境是其他巴控制要素的基础芭。内控环境因素斑包括：员工的诚摆信和道德价值观爱；员工的胜任能扒力；董事会和审敖计委员会；管理胺层的经营理念和耙经营风格；组织氨结构；管理层授哀权和职责分工、埃人力资源政策和佰措施。下面讨论啊各项因素的具体搬内容。奥1、员工的诚信皑和道德价值观皑内部控制是由人吧建立、执行和维挨护的，人是内部邦控制有效运行的霸根本因素。人的啊道德价值观影响哀着人的行为。企耙业员工具有良好肮的道德标准并形蔼成良好的道德氛柏围，对控制系统岸的有效运行非常捌重要，也有助于把防范那

17、些内控系扳统难以控制的行扒为。胺员工的诚信和道蔼德价值观是指员阿工行为的准则，瓣是告诉员工什么翱行为可接受、什矮么行为不可接受俺、以及遇到不正俺当行为应该采取啊的行动。主要包安括以下内容：鞍利益冲突 癌每一个员工都有扳责任将公司利益巴放在第一位，避班免私人利益与公伴司利益的冲突。佰合法性 公盎司要承诺在进行叭业务时是抱着诚癌实和诚信原则，阿并遵循所有适用奥的法律和规章制碍度。肮及时向指定人员稗报告或检举揭发邦违规事项 凹 员工有义务对靶所发现的关于会拌计、内部控制或癌审计等的违反法案律、规章制度或板行为准则的问题板，向道德规范委巴员会报告，或向按披露委员会或审柏计委员会汇报。安发现任何高级管蔼

18、理人员违反法律吧、规章制度或行柏为准则，应迅速胺向道德规范委员八会等相关机构报拔告。对检举人应拜当建立保密制度伴，包括匿名保护挨。阿遵守道德准则的疤责任 明确扒员工必须遵守道班德准则。对违反邦准则的人员建立班惩罚机制，甚至败解雇或免职。肮公司机遇 鞍 禁止员工通过暗利用公司财产、版信息或职位为自靶己或其他人牟取袄商业机遇。邦保密 机扮密信息是一间公鞍司最重要的资产伴之一。公司建立矮相应政策保护机案密信息，包括（盎a）属于公司商疤业性机密信息（跋b）属于非披露颁协议下信息。每跋一个员工在入职斑后应执行保密协稗议和保护公司知傲识产权。员工即摆使在终止雇佣之翱后，仍然有义务班保护公司的机密敖信息。摆

19、公平交易 背 每一个员工都鞍应该努力去公平半对待顾客、供应板商、竞争者、公吧众，并遵循商业肮道德规范。为了瓣获得或维持业务疤而进行贿赂、回爸扣或其他诱惑等案都是不允许的。敖与业务相关，偶皑尔赠送非政府雇搬员的价值较低的皑商业礼物的做法办是可以接受的。安但未得到道德委扒员会事先批准的巴情况下，赠送礼稗物或款待政府雇阿员是不允许的。把员工代表公司购暗买商品应遵循公拜司的采购政策。搬公司资产的保护阿及恰当使用 盎 每一个员工柏必须保护公司资半产，包括实物资叭源、资产、所有拌权、机密信息，柏排除损失、失窃鞍或误用。任何怀癌疑的损失、误用傲或失窃都应该报鞍告给经理或法律捌部门。 公司懊资产必须用于公氨司

20、业务，符合公扮司政策。班全面、公正、正芭确、及时地理解袄财务报告及其披把露事项 因为背公司必须提供完八整、公正、及时阿和可理解的披露阿报告及文件，并矮存档或呈交给证巴监会以及公共传蔼媒，所以每一个扮员工都有责任保暗证会计记录的准巴确性。管理层必挨须建立和保持适埃当的内控，遵循白公司已有的会计靶准则和流程，保氨证交易记录的完佰整和准确。禁止霸干扰或不正当的按影响公司财务报安表审计。要求证败实会计记录和报拜表受控，能够保白证准确性，包括扳提供给审计和定鞍期向证监会报告俺的义务。柏对于企业来说，胺首要的工作是建爱立一套员工能够安接受和理解的诚白信和道德标准，芭如道德行为手册氨；其次是必须让搬员工知晓

21、和理解爸这些规定（例如瓣：要求所有员工颁定期签字确认）爸，这是执行的前吧提条件；最后就叭是贯彻执行。在氨公司内传递道德澳标准的最有效方搬式是管理层以身隘作则，员工对于背内控的态度通常矮会效仿他们的领办导。另外，对违肮反准则的员工应熬予以相应惩罚；佰建立鼓励员工揭耙发违规行为的机白制；以及对未能胺汇报违规行为员靶工的教育培训都般具有特别重要的摆意义。瓣员工个人可能由澳于下列因素而卷败入不诚实、非法敖或不道德的行为碍：鞍不切实际的业绩案目标，特别是短袄期业绩的压力（背例如：为了实现昂预先设定的利润把指标而在财务报扮告中虚报收入）半将奖金分配与业拔绩挂钩（例如：背错报与业绩考核半指标相关的财务办信息

22、）板内控制度不存在靶或无效（例如：摆敏感业务区域未癌设立严格的职责扒分工，这为偷窃昂公司资产或隐藏拔不良行为提供了氨可能）。哀组织高度分散，拔可能导致高层管傲理人员不清楚基啊层的行为，缺少扳必要的监管，因翱此，减少了基层埃舞弊被发现的机挨会。俺内部审计职能薄稗弱，没有及时发斑现和报告不正确靶的行为。爱董事会缺少对高靶层管理人员的客巴观监管，可能导版致管理人员凌驾佰于内控制度。摆管理层对不正确佰行为的惩罚力度巴不够或不公开，岸从而失去了应有笆的威慑力。2、胜任能力碍胜任能力是要求耙员工具备完成工哎作任务所需的知氨识和技能，目的办是保证员工能够靶正确理解相关规阿定、及时恰当分佰析和处理业务，扮这是

23、维护内部控安制有效性的必备版条件。拔为此，管理层需肮要设定工作岗位摆的知识和技能水啊平要求，在招聘昂、选用员工时作氨为评选的标准或盎条件。在设定工氨作所需知识和技艾能时，一方面要凹根据工作的性质癌和所需的职业判摆断，考虑能力需背求，另一方面还背应考虑人力资源叭成本即薪酬（例俺如：没有必要雇板佣一名电子工程版师来换一只灯泡拔）。蔼3、董事会挨和澳审计委员会巴董事会芭或审计委员会癌的职能是隘实施治理、指导捌和监督管理层的扮工作，如果对管俺理层缺乏必要的跋监督，管理层可白能会凌驾于控制八之上，甚至疤故意歪曲结果，阿因此董事会或审佰计委员会监督作熬用对确保内部控耙制的有效性十分扳重要，胺董事会笆或审计

24、委员会作爸用的发挥，必须熬具备以下条件：柏一是要独立于管背理层，不受其影爱响；二是具有足哀够知识、行业经艾验和时间，以便佰于履行职责；三袄能够与财务、法蔼律、内部审计和绊外部审计及时沟翱通，得到适当信暗息；四是能够控半制高级管理人员碍的薪酬，有权聘艾用和解聘高级管昂理人员。挨补充说明一点，暗股份公司的治理唉结构与国外有所袄不同，股份公司办设置监事会，其背职能类似于国外败审计委员会的职靶能，所以股份公摆司的董事会、审巴计委员会和监事唉会都需要符合上百述条件。凹4、管理层的经肮营理念和经营风昂格按管理层的经营理背念和经营风格影癌响企业的管理方昂式，包括面对各安种风险的态度。皑管理层的经营理隘念和经

25、营风格形唉成了企业文化，笆它既是一切业务颁实现的基础，也矮为内部控制的实捌施提供了平台。按它往往是企业内笆部一种无形的力哎量，影响企业成昂员的思维方法和版行为方式，包括盎企业承受营业风胺险的种类、整个皑企业的管理方式矮、企业管理阶层澳对法规的反应、癌对企业财务的重熬视程度以及对人拌力资源的政策及啊看法等。它们都隘深深地影响着内半部控制的成效。案例如，把有些公司绊管理层的经营理扮念和风格较为激阿进，愿意承担更奥高的风险以追求暗更高的盈利回报版；而有些公司的胺管理层则比较保熬守，在风险承担叭方面表现得较为案谨慎。可以看出办，不同的经营理盎念和风格决定了奥管理层在承担风坝险方面采取不同哀的态度和做出

26、不白同的决策。以销班售信贷政策为例癌，对风险承受力案高的公司相比承邦受力低的公司，懊其设定的信用销柏售额度更高，以绊期望通过更优惠绊的政策吸引和保岸留客户，而获得叭更高的销售额。版管理层的经营理翱念和经营风格还白表现在：管理层摆对财务报告的态翱度，在会计政策矮选择方面是否谨傲慎，进行会计估半计时是否遵循审扒慎性原则，对待安数据处理、会计碍职能及人事管理哎等方面的态度等坝等。5、组织结构安组织结构是权责哀分工的架构，在蔼此架构中规划、败执行、控制和监疤督为实现企业目爱标而进行的活动摆，每个企业都可扳根据自己的需要办确定组织结构，扒可以是集权型，爱也可以是分权型啊，可以是直接的颁报告关系，也可氨以

27、是矩阵型组织绊结构，可以按产笆品或行业组织，百也可以按地理分稗布或功能组织，班但不论何种组织瓣结构，应根据公敖司的业务性质，白进行适当的集中扳或分散，确保信佰息的上传、下达哀和在各业务间的半流动，确保企业颁目标的实现。哀6、管理层授权败和职责分工澳权力和责任分配跋是指对员工进行白授权和分配责任坝，将企业的目标哎层层分解落实到跋每个员工的头上鞍，从而将员工的碍行为与企业目标胺联系起来，增强氨员工的自主控制蔼意识。权力与责岸任分配的关键是拔权力与责任的对稗等。奥7、人力资源政白策和措施拜人力资源政策和傲措施是关于员工澳聘用、培训、考氨核、进升、薪酬阿等方面的政策和般程序，目的是聘靶用和维持有能力芭

28、的人员，保证公佰司的计划得以实把施，目标得以实盎现。因此，人力袄资源政策和措施爸应考虑如何招聘吧进来有能力、可碍信任的人员，如艾何进行相关培训般使员工意识到他哎们的工作职责和哀公司对他们的要昂求，如何通过考板核、薪酬、提升疤等政策激励约束昂员工。（二）风险评估白1、风险及风险瓣评估的定义八风险是任何影响班目标实现的因素昂,所有企业，无颁论规模、结构和摆行业性质，都面艾临着风险，可以艾说有经营就有风昂险。风险有来自奥企业内部的，也拔有来自企业外部搬。拌为了加强对风险邦的控制，必须进扒行风险评估，风懊险评估是指对相败关风险进行识别皑和分析，爱是发现和分析那昂些影响目标实现邦的风险的过程，板是确定如

29、何管理拜和控制风险的基靶础。柏风险评估的前提办条件是设立目标蔼，只有先确立了佰目标，管理层才百能针对目标确定啊风险并采取必要奥的行动来管理风敖险。瓣企业的目标可以昂分为公司层面目唉标和业务活动层芭面目标，公司层昂面目标是指公司芭的总目标和相关案战略计划，与高般层次资源的分配爱和优先利用相关皑。业务活动层面鞍的目标是总目标搬的子目标，是针啊对企业业务活动疤的更加专门化的办目标。业务活动熬层阿面的搬目标应该清楚，傲易于理解，以便扒从事该操作的人岸能实现其目标，坝同时还必须是可瓣衡量的，以便于稗考核。斑实现目标需要耗奥费资源，因此设败立目标必须考虑扮可获得的资源，凹企业应该对目标敖进行分析，提醒胺自

30、己找出与总目翱标不相关的操作挨目标，以免资源艾浪费，而对实现皑总目标至关重要靶的操作目标，则半优先安排资源。俺2、如何进行风佰险评估1）风险识别澳风险评估的过程霸首先是进行风险埃识别，风险识别矮需要考虑所有可拌能发生的风险，伴并且需要考虑企唉业和相关外界之矮间的所有重大相碍互影响。风险识板别也是一个重复氨的过程，需要针霸对环境的变化持昂续进行。导致企瓣业经营风险的因案素包括内部和外盎部两个方面：外部因素包括：瓣技术发展霸隘影响研发的性质罢和时机，或带来邦采购的变化。（绊例如：出现新的罢、更高效的油气肮开采技术，未掌版握相关技术的公昂司会导致市场竞柏争力降低，进而把影响经营目标的百实现）笆不断变

31、化的客户阿需求和期望矮哎影响产品开发、癌定价。（例如：熬纳米技术的应用爸，客户对产品的澳期望改变；）矮竞争哀绊影响营销和服务懊活动（例如：W哀TO导致更多具百有较高竞争力国爸外公司进入中国佰市场）。澳新的法律和法规白盎影响经营政策和碍策略（例如：萨扒班斯法案）。皑自然灾害搬挨造成损失。凹经济形势的变化办等坝阿影响融资、资本凹支出和扩张决策傲。内部因素包括：俺 信息系统运行氨的中断埃邦影响经营运转。唉 雇员的素质和班培训、激励的方疤法袄白影响控制理念。半 管理层职责的绊改变伴坝影响某些实施控扮制的方式。跋 企业经营活动凹的性质、员工对懊资产的接触途径俺邦产生挪用。袄 董事会或审计捌委员会无法有效

32、办履行其职责般吧可能为管理层轻扒率的行为提供机般会。2）风险分析柏识别风险后，需白要进行风险分析胺，分析的内容主颁要有：翱估计风险的重要蔼性程度；白评估风险发生的袄可能性（或频率拔、概率）；爸考虑如何管理风胺险氨版即评估需要采取白何种措施爸针对风险分析的拌结果而采取的控隘制活动，管理层蔼应仔细考虑现有版内控程序对于已哀识别的风险是否八合适。如果现有哎程序可能已经足懊够或只需要执行哀得更好，那么就爸不必制定附加程跋序。凹管理层还应认识暗到，总会存在一稗些残留风险的可敖能性，不仅因为蔼资源总是有限的岸，还因为每个内八控系统都有内在胺局限性。因此，败管理层的一项重按要工作是权衡利隘弊，确定能够谨捌慎

33、地接受多少风颁险，并尽力将风蔼险控制在可接受挨的水平内。3）应对变化碍经济形势、行业邦和法规环境不断昂改变，企业业务瓣活动不断发展。拌在一个环境下有袄效的内部控制在奥另一环境下未必搬有效。风险评估暗的本质就是一个拌识别变化的环境哎并采取相应行动俺的过程，风险评敖估应持续地进行案, 并且应特别按关注下面的情形拔：氨变化的经营环境八澳变化的法律或经盎济环境可能导致澳竞争压力的增加班和显著不同的风吧险。艾新的人员啊澳新来的高层管理耙人员的经营风格叭与原先的不同。罢新的或经修订的百信息系统巴昂能否正常运行。颁经营的快速增长艾把当经营快速扩张爸，现有制度的局搬限可能导致控制扳失效；当程序变耙动或新人员增

34、加叭时，现有的监督鞍可能就不能保持班充分的控制。疤新技术绊搬新技术被运用到凹生产流程或信息稗系统中，内部控挨制就很可能需要挨修改。挨新业务、产品、埃活动扮伴当企业进入新的盎商业领域或从事巴不熟悉的交易时把，现有的控制可癌能就不充分了。鞍公司重组扳蔼公司因为收购、白合并或者业务下盎滑、成本控制等敖原因进行结构重搬组。重组可能导佰致内部裁员，职癌责分工的合并，佰或者，原来的一百个重要控制岗位按被取消，却没有半相应的替代控制拜出现。很多公司哎重组后大量削减稗人员，就碰到了佰严重的控制缺陷斑。版海外经营盎艾海外经营的扩张办或收购带来了新氨的和独特的风险跋。例如，内控环挨境可能受到当地坝管理层文化和风胺

35、俗的影响。另外摆，当地经济和法碍律环境可能带来叭独特的风险因素跋。内控活动隘内控活动是指为艾确保管理层指示哀得以执行的政策俺和程序。它有助挨于进行风险管理盎和保证企业目标斑的实现，内控活伴动贯穿于企业的熬所有层次和部门巴。它们包括一系拌列不同的活动，哀如审批、授权、埃确认、核对、审拔核经营业绩、资捌产保护以及职责肮分工等。伴1、内控活动类拜型：摆控制活动可以有吧不同的描述方式澳：摆针对企业的不同爱目标，控制活动啊可以分为以下三艾个类型：即为提芭高经营效率效果唉、增强财务报告版的可靠性、遵守八法规等目标的三案类控制活动；把根据控制活动的肮不同作用，控制斑活动又可以分为盎：预防性控制、懊检查性控制

36、、指安导性控制、傲纠错性控制、巴补偿性控制等五案种类型；疤根据组织中实施挨人员的不同，控白制活动也可以分扳为：高层复核、柏指导并管理业务爸活动、信息处理搬、实物控制、业暗绩指标分析、职安责分离等。把高层复核绊柏管理层将实际业半绩情况和预算相啊比较，将当期业碍绩和前期相比较搬，将本企业的业柏绩情况与竞争对埃手相比较，对企澳业主要行为进行袄追踪，以衡量目扮标实现的程度。俺指导并管理业务肮活动澳袄负责整个板块生班产的领导，分地霸区公司、分产品阿类别等内容审阅耙生产业绩报告，拜对照经营目标，叭分析其中反映出隘的生产管理方面氨的问题，并指出疤需要改进的方向拜。澳信息处理背盎这类控制被用于皑核对交易的准确

37、袄性、完整性和遵懊循性。如：系统唉对数据录入设定跋编辑复核功能，板并对数据修改实暗行系统性控制；岸客户订单，只有拜与经批准的客户蔼文件和信用额度跋相符，才能被接傲受；交易应按连翱的编号记账；系哎统管理员对例外扳事项报告进行跟耙踪调查，必要时拌向主管领导报告按。哀资产保护即实物拌控制埃哎对设备、存货、哎证券、现金及其鞍他资产实物采取扒保管措施，并定把期进行盘点和帐柏实核对。伴业绩指标分析懊懊采购部门的员工爱分析采购价格变鞍动、紧急采购订跋单占全部订单的坝比率、退货订单癌占全部订单的比熬率，通过调查异按常的结果和异常巴的变动趋势，关捌注那些可能影响摆目标实现的问题背，并提出改进方背案。啊职责分离耙

38、艾职责在不同人员案之间的分工或分疤离，可以降低发稗生错误或不当行肮为的可能性。例蔼如，交易的授权肮、记录和处理相傲关资产的职责应氨予以分离；授权半赊销的经理应不埃负责应收账款的拌记录或现金收入俺的处理。埃2、控制活动的爸要素翱昂 政策和程序爸控制活动一般包爸含两个要素，即白：第一个要素，哀政策阿艾它描述应该做什绊么，第二个要素拔，程序爱暗它描述应该怎样岸做；政策是程序斑的基础，同时，败程序又影响政策澳的执行。例如，案政策要求，应该哎由专人定期进行搬存货盘点，程序阿即盘点本身，其袄实施的频率、关八注的要点、存货胺的性质、数量等稗等。白3、控制活动应奥和风险评估相结版合柏管理层在进行风耙险评估的同

39、时，罢应该针对该特定袄风险找出并实施扒有效的措施，这搬些针对某项特定暗风险的具体措施坝也就是建立控制捌活动的要素，它俺有助于保证控制半活动得以及时、阿有效地实施。阿4、信息系统的吧控制袄随着信息技术的皑发展，大多数企敖业，包括小公司背或大公司的部门肮，都引进、建立肮和运用了现代化颁信息处理系统，罢现代化的信息系拔统不仅提高了企矮业的工作效率，胺而且也改变企业叭的经营方式和方吧法，甚至影响企敖业的战略规划，板因此信息系统的蔼控制碍十分重要矮。案信息系统内控活昂动可分为两大类暗。第一类是一般啊性控制搬跋适用多数应用系俺统并协助确保其拔持续、正确地运挨行叭, 叭包括对数据中心办操作、系统软件稗的购买

40、和维护、班数据的安全、以霸及应用系统开发搬和维护的控制。摆第二类是应用性鞍控制，包括应用拌软件中的电算化笆步骤，以及用以搬控制不同种类交巴易处理过程的相八关手工操作程序办，它是保证交易啊处理的完整性、耙准确性、交易授暗权和有效性的内半部控制。例如，吧公司的销售政策颁规定给予金额在稗20万以上订单邦以8折优惠；系叭统根据事先的设搬定，对于20万搬以上的订单自动扳给予20%的折版扣优惠，而对于啊20万以下订单柏仅允许全价销售癌。傲这两类对计算机坝系统的控制是相耙互关联的。一般懊性控制用于保证百建立在计算机程笆序基础上的应用颁性控制得以实施哎。案（四）信息和沟安通暗信息和沟通是指氨相关信息以某种白形

41、式并在某个时背段被识别、获得搬和沟通，以促使罢员工履行自己的柏职责。这里所说半的信息是指来源搬于企业内部及外胺部，与企业经营扒相关的财务及非疤财务的信息。信埃息必须在一定的啊时限内传递给需爱要的人，以帮助哎人们行使各自的胺控制和其它职能吧。沟通则是指信鞍息在企业内部各版层次、各部门，岸在企业与顾客、班供应商、监管者澳和股东等外部环敖境之间的流动。阿有效的沟通必须案广泛的进行，自碍上而下、自下而鞍上地贯穿整个组摆织。所有人员都肮要从高级管理层翱获得明确的信息敖：必须认真对待案控制责任。他们按必须了解各自在哎内部控制体系中艾担任的角色，以霸及个人行为与他巴人工作的相互关袄系。他们必须有阿自下而上传

42、递重鞍要信息的渠道和案方法。同时，也捌要顾客、供应商翱、监管者和股东罢等外部人员建立拜有效的沟通。1、信息叭企业的管理活动岸依赖于各种信息吧，既包括内部生岸成的信息，也包凹括从外部获取的霸行业、经济、监拔管等方面的信息安。因此，企业必凹需要建立良好的拌信息系统来识别捌、获得、加工和靶报告这些信息。碍有效的信息系统板不仅能够识别和背获得所需要的财埃务和非财务的信搬息，还能够在一氨定时限内根据需吧要加工和报告这八些信息。另外，俺当企业面临基本罢的行业变化，面肮临有高度创新能袄力反应迅捷的竞佰争对手或面对重瓣大的顾客需求变爸化时，信息系统把必须随企业目标懊、经营环境的变挨化而变化，及时肮适应新的需求

43、。绊1）信息的识别哎和获取白信息的识别和获傲取的方式是多种疤多样的：信息系白统可以采取监控啊方式，定期获取盎特定的数据；或摆者，可以采取某岸些特定的方式获拔取所需信息，如艾通过问卷、采访稗、广泛的市场需柏求调研或针对特搬定群体的调查获捌得顾客对产品和盎服务的需求信息碍；通过与顾客、霸供应商、监管者皑以及员工的谈话吧获得识别风险和爸机遇所必需的重埃要信息；参加专凹业或行业的研讨凹会也可以获得有佰价值的信息。埃2）信息加工和氨报告背信息是决策的基捌础，但并非所有板的信息都是有用稗的信息，因此，拔需要对信息进行隘加工整理，归纳爱汇总，根据需要埃向不同的部门和扮人员报告不同的捌信息。为了提高拔信息的质

44、量，需埃要考虑：昂半内容是否适当哎敖它是所需要的信肮息吗？板板信息是否及时傲板当我们需要时就巴能获得吗？哎爱信息是当前的吗八？俺柏是我们能获得的氨最新的信息吗？霸半信息是否准确鞍岸数据都准确吗？暗隘信息是否畅通吧捌相应的部门能容坝易地获得信息吗搬？皑在设计系统时必胺须考虑以上问题啊。如果不考虑，矮系统很可能无法坝提供管理层和其肮它人员需要的有肮用信息。奥3）信息系统的岸整合板 信息系统是经佰营行为的一个组稗成部分，它通过巴获取决策所需的按信息来影响控制哎，随着信息技术败的发展，信息系疤统可以更迅速、版更广泛提供更有罢价值的信息，对爱企业的管理影响扳更加深远，甚至伴影响到企业的战拔略规划，一项最

45、案新发布的研究表蔼明，信息系统的啊规划、设计和应扒用已经开始同组霸织的整体战略整拜合在一起。多数熬新的生产系统与爱企业其它的系统爱，可能还包括企班业的财务系统，扳高度地整合为一颁体。当系统执行俺其它的运行时，佰财务数据和会计半记录会自动更新绊。2、沟通阿沟通是信息系统扳固有的，是将信皑息提供给相关人绊员，以便与其履笆行职责，沟通必蔼须贯穿于信息处鞍理的整个过程，蔼有效的沟通不仅绊在整个企业内进靶行，也包括与外伴部进行的沟通。1）内部沟通案内部沟通是指企搬业内部上下级之把间、横向部门之奥间的沟通，下面矮以例举的方式介肮绍内部沟通的主捌要内容：翱所有的人员，特皑别是那些有着重败要的经营和财务皑管理

46、职责的人员岸，取得管理所需敖信息，并清楚地奥知道必须严肃履扳行内部控制的责吧任。阿每个人需要理解暗所负责内部控制靶部分如何运行及爱个人在系统中的邦职责。盎在执行自己的职傲责时，每个人都拔应该知道，当意隘外发生时，不仅碍要注意事件本身啊，还要注意事件扳的原因。这样，把就可以了解到系拜统潜在的缺陷，啊并采取预防的措搬施。比如，发现熬滞销的存货不仅白要在财务报告上爱留下准确的记录澳，更重要的是对肮存货滞销的原因奥作出判断。暗人们需要知道自暗己的行为怎样与懊他人的工作相联澳系。板需要知道什么样昂的行为是被期望巴的，什么是可以懊接受的，什么是拌不可接受的。按员工也需要知道爸在企业中自下而啊上传递重要信息

47、挨的方法和渠道。背员工必须相信他巴们的上级确实想扒了解问题并愿意斑有效地解决问题八，在任何情况下摆不会因报告相关皑信息而受到报复敖。俺在多数情况下，岸正常的报告渠道百就是适当的沟通啊渠道。然而，在搬特定条件下，需般要独立的沟通渠扮道作为一个预防板失败的机制，在笆正常渠道不起作败用时加以运用。背例如为员工提供爱直接接触财务总摆监或企业法律顾霸问这样的高层领绊导的渠道；总裁吧可以定期抽出时拔间接待员工来访半，并且让员工知岸道为任何事情的笆来访都是受欢迎搬的；总裁也可以哎定期去车间拜访吧他的员工，形成扒一种人们能够交澳流难题和关心的瓣问题的氛围。扮管理层与董事会败及其委员之间的跋沟通至关重要。斑管理

48、层必须使董瓣事会了解最新的挨业绩、发展、风挨险、主要的革新把以及其它任何相般关的事件或事故败。与董事会的沟拜通越好，董事会邦越能有效地行使笆监督职能，并能皑够对于关键的事佰务作出合理的行拔为，提供建议和矮忠告。同样，董碍事会也应该向管懊理层传达其所需凹要的信息，并提搬供指导和反馈。2）外部沟通笆企业不仅在内部俺需要有适当的沟巴通，而且与外部昂也是,与外部沟唉通的内容包括：扳通过开放的沟通俺渠道，了解顾客稗、供应商对于产懊品或服务的设计癌或质量方面的要袄求使公司注意顾斑客的需求和偏好矮。按在与外部的交往爸中强调企业的道啊德标准，使外部安人员知道认识到隘不适当的行为。鞍比如公司可以同疤供应商直接沟

49、通俺，解释公司期望瓣供应商雇员在与懊其打交道时应怎稗么做，明确回扣般以及其它不适当隘的收入，都是不背能容忍的。蔼与外部审计师的安沟通，管理层和扮董事会可以了解班重要的控制信息般。伴与股东、监管者板、财务分析师以阿及其它外界的交败流，可以了解企盎业所面临的情况吧和风险。背管理层同外界（疤无论是公开的、傲即将进行的、严白格跟踪的还是其半它的）的交流也澳可以向整个公司把内部传递信息。3）沟通的方式板沟通可以采用诸凹如政策手册，备吧忘录，布告通知霸，录像录音带的敖形式,又可采用艾口头传递消息的氨方式。另一种有板影响力的沟通手耙段是管理层在领啊导下属工作时的笆言行。（五）监督吧内部控制随着时班间、环境而

50、变化盎，曾经有效的程昂序可能会变得不鞍太有效，因此需皑要对内部控制进背行监督。监督是巴评估内控系统在拜一定时期内运行爸质量的过程，目笆的是保证内部控版制持续有效，监版督可通过两种方背式进行：持续性啊的监督活动和独捌立的评估。持续颁性的监督活动是佰植根于企业日常跋、重复发生的活邦动中的。与独立耙评估相比，由于爸持续性监督程序扒在实时基础上实俺施、动态地应对坝环境的变化，并斑在企业中根深蒂板固而显得更加有案效。不过，独立扒评估发生在事实搬之后，比起持续板性监督程序，可绊更快地发现问题碍。一个感到有必按要进行经常性的叭独立评估的企业百，应重点关注改罢进持续性监督的安途径，并强调安“靶嵌入半”版而非般

51、“俺外加凹”艾的控制。柏1、持续性监督熬行为癌持续性的监督行吧为发生在经营的哀过程中，它包括捌日常管理和监督安行为、比较、核爱对和其他常规性八活动。持续性监岸督行为有下面一按些例子：阿在执行常规管理绊行为时，经营管暗理层取得内部控爱制持续运转的证败据。稗与外界各方的沟肮通能够印证内部肮产生的信息或揭芭示问题。例如：凹顾客支付账单，岸表明其确认了帐暗单数据；相反地碍，顾客对帐单的爸投诉可能表明销拌售交易过程存在肮系统缺陷。公司靶审核有关作业安稗全的政策和操作案步骤，从经营安伴全性和合规性的挨角度为内控是否隘有效运行提供信懊息，因而被视为胺一项监督；监管熬者就合法性或其吧他事项与企业进百行交流，也

52、会从隘某种角度反映内敖控系统是否有效捌运行。按适当的组织结构叭和监督行为不但皑监督内控职能的班执行并且能够发奥现内控的缺陷。背例如，财务负责背人对财务人员针哀对交易正确性和艾完整性实施的内绊控活动实施日常百的监管。另外，哀管理层对员工的埃职责分配定期进肮行审核，以确保靶合理分工以便相瓣互制衡，有利于奥防止员工舞弊，熬并可以限制个人班掩盖其可疑行为吧的能力。白将信息系统所记背录的数据与实物啊资产相核对。例唉如，产成品存货鞍应定期进行盘点鞍，将盘点的数据扒与相应的会计数柏据核对并记录存瓣在的差异。暗内部及外部审计阿师定期为进一步拌加强内部控制提拔供建议。审计师啊通过评价内控的半设计并测试其有版效性

53、，发现一些挨潜在的问题并向啊管理层提供解决罢问题的建议。暗培训研讨会、计爱划会议及其他会跋议能向管理层提拜供有关控制是否盎有效的重要反馈版。这种方式不但柏能指出控制中存岸在的个别问题，把还能增强参与者澳的控制意识。班定期询问职员理颁解及执行企业相哎关规定的情况。搬如向经营及财务熬人员询问相关的疤控制程序是否正般常运行。2、独立评估稗独立评估是独立吧于控制活动之外奥而采取的定期评背估行为。尽管持艾续性监督程序可暗以提供关于其他伴控制要素有效性百的重要反馈信息傲，但经常地对系盎统的有效性直接肮进行评估也是十跋分必要的。这样颁同时也提供了一安个机会来评价持爱续性监督程序是昂否有效。1）范围和频率皑独

54、立评估的范围扳和频率主要依赖俺于风险评估和持坝续性监督程序的蔼有效性。由于所般控制风险的大小佰及内部控制在减般小风险中的重要扒性不同，对于内懊部控制进行评价颁的范围和频率也靶不一样。例如，啊那些致力于重大罢风险或对减小风坝险具有重要作用挨的控制就应经常般地进行评价。2）评价主体班评价主体，即由佰谁来实施独立评暗估。一般来说，氨评价主体包括：奥一是自我评价，拜即负责某一单位八或职责的人员对拜其控制自身活动盎的有效性进行评扳价。例如，一位隘部门主管应指导懊本部门内部控制吧的评价活动。他奥或她可能亲自评爱价内控环境因素胺，然后请部门内瓣负责各种经营活案动的人员评价其板他要素的有效性袄。爸二是内部审计

55、人唉员评估，有时，胺在董事会、高级扒管理层、子公司拔及部门主管的特佰殊要求下，内审熬人员也会对内控稗进行评价。同样肮，在评价内控时百，管理层也可利斑用外部审计人员鞍的工作。哎3）评价程序及懊方法体系瓣首先是同企业职懊员进行探讨并审懊阅已有的文件，摆了解系统的运行摆过程或内控系统盎的设计；其次是隘根据已确定的目懊标分析内部控制邦的设计和测试结稗果，分析是否对爱既定目标提供了斑合理保证。扮评估方法有许多袄可供选择，包括芭检查清单、调查癌问卷和流程图等凹方法。也可与那吧些被认为在内控拌系统方面具有良罢好声誉的公司进挨行比较。4）行动计划蔼第一次指导评估埃内控系统的管理阿人员可以考虑下懊列建议，决定对

56、八何处着手和如何傲去做：佰决定评估的范围皑，包括目标的分背类、内部控制要澳素和需采取的行百动。罢确定对内部控制翱的有效性提供常翱规保证的持续的哀监督行为。哀分析内部审计的跋控制评估工作，皑考虑外部审计师斑与控制相关的发巴现。颁按照单位、要素版或高风险区域划胺分重要性程度和哎先后次序，保证芭及时的关注罢在以上基础上，哀建立相关的评估昂程序。岸汇集所有进行评耙估的各方，共同哎考虑下列问题：袄不仅要考虑评估办范围和时间表，盎而且要考虑所使耙用的方法体系，熬应用的工具，来碍自内外部审计师埃和监管者的建议安，报告所发现问绊题的方式以及设半定最终的文本化绊程度。盎监督进展和复核摆发现。岸保证采取必要的罢追

57、踪措施，必要颁时修改后续的评白估部分。5）报告缺陷百这里的凹“绊缺陷熬”阿被广泛定义为内奥控系统中值得注搬意的问题。缺陷罢可能代表一个假啊想的、潜在的或隘实际的缺点，或半一个强化内控系盎统的机会。向恰鞍当的当事人提供芭有关内部控制缺笆陷的必要信息，白对内部控制制度扳的持续有效运行安十分关键。内部埃控制的缺陷应自阿下而上进行报告安，重要事项应报挨知高层管理人员笆和董事会。对于蔼发现的内部控制哎缺陷，不仅应向捌负责的个人汇报哎，由他采取正确埃的措施，还至少百应向该责任人的爱上一级汇报。这巴一过程使得责任暗人能及时采取措敖施，也便于其上懊级提供所需的支肮持或进行监督，版并与企业中受影啊响的他人进行沟

58、巴通。重要事项应办报知高层管理人按员和董事会。6）文本化叭企业内部控制的背文本化有利于评埃估，有利于增进懊员工对内控系统罢如何运行及各自啊职责的理解，更扒易于必要时对其昂修改。文本化的爱程度根据各企业碍的规模、复杂性白和类似因素的不澳同而存在差异。耙大一些的公司通安常有书面的政策挨手册、正式的组碍织图、书面的工熬作描述、经营指昂导、信息系统流阿程等。小一些的按公司内部控制文般本化的程度一般凹低得多。控制没肮有文本化并不意佰味着内控系统是摆无效的或无法评氨估，不过当需要按向更多人提供有澳关内部控制的阐班述或评估时，内爱部控制文本化的氨性质和程度将会罢提高。当管理层班希望向外界提供巴关于内控系统效埃果的声明时，他白们应当考虑形成斑文件来支持该声稗明。如果该声明敖今后被质询，这阿些文件将很有用摆。翱四、内部控制的扮局限性扒也许有人会认为版内部控制可以确背保企业万无一失霸，这也是我们所耙希望的，但事实胺并非如此，无论氨内部控制设计和巴执行的多好，它安也只能提供合理氨的保证，这是内阿部控制系统固有摆的局限性。具体罢表现在：俺判断失误办捌判断是人在事情背发生时依据现有哎信息的所做出的邦，个人的判断不凹能保证绝对