COSO内控框架培训资料

1、唉COSO内部控拔制框架培训资料内容提要：一、背景介绍爸（一）熬COSO啊内部控制框架的柏产生及发展过程扳（二）笆中石油目前的内八部控制体系与C拌OSO内部控制斑框架的差距埃二、盎COSO内部控颁制框架下内部控斑制的定义敖（一）叭COSO内部控败制框架对内部控凹制的定义拔（二）案对内部控制定义隘的理解爸（三）皑COSO内部控案制框架的组成要坝素百三、靶COSO疤内部控制框架埃五要素稗 叭 隘（一）熬 内控环境（二）风险评估（三）内控活动班（四）耙信息与沟通 （五）监督跋四、按内部控制的局限跋性肮五、碍员工在内部控制按中的作用和职责六、小结一、背景介绍癌内部控制是什么伴?不同的人有不叭同的理解拜

2、。 一般的人把安内部控制理解为柏组织为了减少决哀策失误和工作缺胺陷而实施的控制霸,这些控制可能碍是内部监督、也搬可能是管理手册肮、规章制度等。俺这种理解坝没有错，柏但不全面。拌按照现袄代奥的内控理论，这啊些仅仅是内部控版制的一部分，而霸不是懊全部坝。现代内控理论肮认为，内部控制跋是一个系统化的拔框架，它建立在鞍风险管理的基础拌上，包括内控环稗境、风险分析、靶内控活动、信息安与沟通、监督五爱大要素。奥（一）袄COSO内部控邦制框架的产生和埃发展过程跋内部控制理论的柏发展是一个逐步啊演变的过程，大把致可以区分为内扮部牵制、内部控耙制制度、内部控盎制结构与内部控摆制整体框架四个班阶段。在内部牵扳制阶

3、段，账目间凹的相互核对是内扒控的主要内容，搬设定岗位分离是叭内控的主要方式办，这在早期被认唉为是确保所有账凹目正确无误的一啊种理想控制方法瓣；在内部控制制把度阶段，内部控扮制的重点是建立盎健全规章制度；鞍在内部控制结构熬阶段，内部控制耙被认为是为合理拌保证企业特定目般标的实现而建立佰的各种政策和程摆序，分为内控环傲境、会计制度和啊控制程序三个方邦面；内部控制整般体框架阶段，就拜是我们下面将要昂讨论的COSO白内部控制框架。捌在美国，哎20世纪70年爱代中期，与内部安控制有关的活动吧大部分集中在制懊度的设计和审计斑方面，重在改进矮内部控制制度和把方法。1973澳年至1976年邦对水门事件（美拜国

4、公司进行违法办的国内捐款和贿霸赂外国政府官员巴）的调查使得立伴法机关与行政机笆关开始注意到内般部控制问题。针柏对调查的结果，坝美国国会于19岸79年通过了叭反国外贿赂法傲（简称FCPA坝）。FCPA除哎了规定了关于反挨贿赂的条款外，坝还规定了与会计半及内部控制有关柏的条款。因此爸美国班许多机构都加强办了对内部控制的败研究并提出许多叭建议。1985熬年，由美国注册啊会计师协会、会啊计协会、财务主安管协会、内部审袄计师协会、管理背会计师协会联合把创建了隘反耙虚假凹财务报告委员会半，该委员会旨在搬探讨财务报告中佰的舞弊产生的原敖因，并寻找解决挨措施。两年后，邦该委员会提出了皑很多有价值的建叭议。基于

5、该委员阿会的建议，其赞碍助机构成立CO巴SO委员会，专般门研究内部控制唉问题。1992隘年9月，COS懊O委员会提出了伴报告内部控制懊傲整体框架（1肮994年进行了按增补）， 即C班OSO内部控制瓣框架。扳 瓣COSO内控框碍架的提出标志着笆内部控制理论发办展到新的阶段，百对企业敖完善和优化内部盎控制、癌增强风险防范能傲力吧具有十分重要的败意义。COSO把内部控制框架之哀所以被广泛地选八择作为构建和完半善内部控制体系碍的标准，是因为扳：虽然COSO安内部控制框架并扒非唯一的内部控笆制框架，但却是爸美国证券交易啊委员暗会唯一推荐使用瓣的内部控制框架芭，坝萨班斯法案癌第 404 条艾款的最终细则坝

6、俺也氨明确表明 CO埃SO内部控制框凹架可以作为评估捌企业内部控制的扳标准。八股份公司作为纽鞍约证交所上市公艾司，需要按照法拔案要求，引进C哎OSO内部控制凹框架，整合现有绊内部控制，满足背法案的要求。同疤时，对股份公司摆来说，这也是梳澳理管理流程、规皑范管理、提升整白体管理水平的契巴机。COSO内胺部控制框架是一绊个较为理想的框拌架，几乎所有公矮司的内部控制均瓣与之有一定差距肮，美国各大公司拜也正在为此而努柏力，虽然这必然百加大企业负担，癌但多数公司同股胺份公司一样，希奥望通过理解和贯白彻COSO内部唉控制框架要求，傲来实现提升管理哎水平的目的。坝（二）佰中石油目前的内白部控制体系与C癌OS

7、O内部控制拔框架的差距吧目前，股份公司搬通过多年的管理懊实践和积累，已安经建立了一套针绊对石油行业的行耙之有效的内控体耙系，但与COS绊O内部控制框架吧的要求相比还存吧在一些距离。这哀些差距主要体现笆在：内部控制体熬系的整体框架、半内控环境、风险颁评估等理念尚未哀被广泛接受、内皑部控制的文档记傲录还不够系统规叭范、缺乏自我评瓣估机制等。败班“八他山之石，可以搬攻玉柏”岸，COSO内控佰框架对于我们加袄强企业内部控制案具有一定的启发跋和借鉴意义。挨为此，我们需要昂认真学习COS凹O内部控制框架拔理论，充分认识扳和理解COSO胺内部控制框架，邦并在实际经营管胺理中积极实践，斑大力贯彻和实施背，从而

8、优化内部澳控制，完善内控拔体系，全面提升奥公司管理水平。扒二、坝COSO内部控敖制框架下内控制稗度定义般（一）懊COSO内控框耙架对内部控制的拔定义懊COSO内部控拌制框架认为，内鞍部控制是受企业翱董事会、管理层扒和其他人员影响笆，为经营的效率搬效果、财务报告把的可靠性、相关癌法规的遵循性等伴目标的实现而提背供合理保证的过扳程。扳（二）鞍对内部控制定义版的理解唉应该从以下几个笆方面理解内部控俺制的定义：埃第一，内部控制拔是一个矮“皑过程艾”拌，而且是一个动袄态的过程爱。企业的经营活笆动是永不停止的疤，企业的内部控癌制过程也因此不傲会停止，它是一澳个发现问题、解笆决问题、发现新伴问题、解决新问板

9、题的循环往复的拔过程。内部控制邦应该与企业的经案营管理过程相结百合，而不是凌驾翱于企业的基本活捌动之上，它促使肮经营达到预期的癌效果，并监督企拜业经营过程的持盎续有效进行。蔼第二，内部控制唉受到案“霸人拜”阿的因素的影响，芭它并不仅仅是政罢策手册和表格，芭不仅仅是管理人耙员、内部审计或办董事会，而是组般织中的每一个人肮，每一个人都对翱内部控制负有责八任并受到内部控吧制的影响；是笆“摆人爸”案建立企业的目标叭，并将控制机制办赋予实施。确立傲这种观念有利于笆企业的所有员工拔明确自己的责任耙和权限，主动地翱维护及改善企业笆的内部控制。挨第三，内部控制袄无论设计和运行爸得多么完善，也盎只能为企业的管板

10、理层和董事会提澳供合理的保证，摆而不是绝对保证绊，因为内部控制罢本身隘具有爱局限性。啊最后，内控框架癌将内部控制目标昂分为三类：与营扳运有关的目标凹俺即经营的效率与瓣效果、与财务报颁告有关的目标敖哎即财务报告的可敖靠性癌、吧以及与法规的遵艾循性有关的目标肮。上述分类让我跋们专注于内部控啊制的各个方面，耙这些阿相埃互有别翱，相互佰交叉的分类满足艾不同的需要，并埃且表明了不同的办执行人员的直接澳责任。爸（三）唉 COSO内部斑控制框架的组成败要素蔼COSO内部控懊制框架认为，胺内部控制系统是耙由内控环境、风翱险评估、内控活胺动、信息与沟通肮、监督五要素组坝成，它们取决于叭管理层经营企业爱的方式，并

11、融入伴管理过程本身，懊其相互关系可以坝用下面模型表示哎。内控活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。 内部审计工作。内控环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控

12、信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1百内控环境把盎内控环境是企业安的基调、氛围，板直接影响企业员办工的控制意识。办内控环境要素是办推动企业发展的半发动机，也是其俺他一切要素的核坝心，包括员工的佰诚信、职业道德挨和工作胜任能力柏；管理层的经营蔼理念和经营风格癌；董事会或审计班委员会的监管和捌指导力度；企业扳的权责分配方法邦和人力资源政策班。可以说人及其哀人进行的活动是把任何企业的核心芭，是构成内控环笆境的重要要素，版又与环境相互影跋响、相互作用。绊风险评估搬哀风

13、险评估是识别板、分析相关风险邦以实现既定目标爱，是风险管理的胺基础。每个企业捌都面临着诸多来俺自内部和外部的佰风险，影响企业百既定目标的实现拌。因此必须设立办一个机制来识别案、分析和管理影芭响目标实现的相哀关风险，并适时佰加以管理。啊内控活动坝碍内控活动指那些捌有助于管理层决盎策顺利实施的政翱策和程序，是针败对风险采取的控疤制措施。它们包岸括诸如批准、授半权、查证、核对熬、复核经营业绩哎、资产保护和职癌责分工等活动。拌信息与沟通矮版是指企业经营管皑理所需信息必须绊被识别、获得并唉以一定形式及时凹传递，以便员工暗履行职责。信息搬不仅包括内部产办生的信息，还包傲括与企业经营决氨策和对外报告相颁关的

14、外部信息。爱畅通的沟通渠道敖和机制使企业的扮员工能及时取得唉他们在执行、管敖理和控制企业经啊营过程中所需的蔼信息，并交换这案些信息。奥监督把拌是对内部控制系百统有效性进行评八估的过程，可以捌通过持续 性监稗督、独立评估或俺两者的结合来实胺现对内控系统的蔼监督。唉内控体系五要素跋之间的关系我们颁可以理解为：企般业的核心是人，稗人的诚信、道德俺价值观和胜任能暗力构成了企业的坝内控环境，这是敖企业发展的基础跋。跋每个稗企业般都有自己的隘发展目标，为了癌目标的实现，必叭须分析影响因素胺，即进行风险评翱估。针对风险评熬估的结果需要采昂取相应的内控活袄动来控制和减少案风险。同时与内芭控环境、风险评邦估和内

15、控活动相绊关的信息应及时颁被获取、加工整暗理，并在企业内斑部传递，这就是芭信息与沟通，信隘息与沟通系统围班绕在内控活动周把围，反映企业各碍项管理活动的运爱转情况。为了保隘证内控体系的正安常运转，还需要癌对整个内控过程巴进行监督。挨内部控制五要素按之间的配合和联跋系，组成了一个肮完整的系统，可俺以灵活地随条件啊变化而变化。但班各要素之间并非暗是一项要素影响奥下一项要素的顺板序过程，任一要癌素都可以影响其爸他要素，例如对白风险的评估不仅案仅影响内控活动凹，还可能影响信拌息和沟通、监督隘行为等。矮COSO内部控哀制框架适用于各阿类企业，但是中笆小企业对其应用搬可能不同于大型搬企业，中小企业氨的内部控

16、制可能埃不及大型企业正熬式、组织性强，盎但也可以是有效啊的。对此，本次癌培训以大型公司把为例，未考虑中胺小公司的差异。安三、板COSO内部控蔼制框架五要素（一）内控环境摆内控环境是其他背控制要素的基础爸。内控环境因素昂包括：员工的诚蔼信和道德拔价值稗观；员工的胜任笆能力；董事会和傲审计委员会；管昂理层的经营理念啊和经营风格；组搬织结构；管理层跋授权和职责分工皑、人力资源政策阿和措施。下面讨傲论各项因素的具安体内容。扒1、按员工的诚信和道巴德价值观爱内部控制是由人哀建立、执行和维阿护的，人是内部艾控制有效运行的爸根本因素。人的矮道德价值观影响凹着人的行为。企般业员工具有良好拔的道德标准并形板成良

17、好的道德氛板围，对控制系统哀的有效运行非常昂重要，也有助于八防范那些内控系般统难以控制的行唉为。耙员工的诚信和道按德价值观是指员般工行为的准则，伴是告诉员工什么爸行为可接受、什皑么行为不可接受斑、以及遇到不正白当行为应该采取办的行动。主要包俺括以下内容：巴利益冲突 凹每一个员工都有埃责任将公司利益颁放在第一位，避扒免私人利益与公白司利益的冲突。啊合法性 公白司要承诺在进行版业务时是抱着诚翱实和诚信原则，艾并遵循所有适用熬的法律和规章制版度。熬及时向指定人员隘报告或检举揭发芭违规事项 哀 员工有义务对白所发现的关于会伴计、内部控制或翱审计等的违反法翱律、规章制度或澳行为准则的问题版，向道德规范委

18、稗员会报告，或向拜披露委员会或审叭计委员会汇报。按发现任何高级管癌理人员违反法律懊、规章制度或行癌为准则，应迅速袄向道德规范委员哎会等相关机构报捌告。对检举人应奥当建立保密制度办，包括匿名保护百。版遵守道德准则的拜责任 明确班员工必须遵守道巴德准则。对违反啊准则的人员建立搬惩罚机制，甚至摆解雇或免职。般公司机遇 绊 禁止员工通过办利用公司财产、八信息或职位为自案己或其他人牟取柏商业机遇。把保密 机隘密信息是一间公芭司最重要的资产败之一。公司建立背相应政策保护机奥密信息，包括（爸a）属于公司商巴业性机密信息（暗b）属于非披露凹协议下信息。每按一个员工在入职跋后应执行保密协隘议和保护公司知矮识产权

19、。员工即澳使在终止雇佣之板后，仍然有义务氨保护公司的机密爸信息。蔼公平交易 跋 每一个员工都岸应该努力去公平半对待顾客、供应按商、竞争者、公哎众，并遵循商业隘道德规范。为了百获得或维持业务把而进行贿赂、回拌扣或其他诱惑等扳都是不允许的。安与业务相关，偶鞍尔赠送非政府雇八员的价值较低的安商业礼物的做法罢是可以接受的。肮但未得到道德委扳员会事先批准的挨情况下，赠送礼霸物或款待政府雇白员是不允许的。跋员工代表公司购八买商品应遵循公八司的采购政策。搬公司资产的保护疤及恰当使用 邦 每一个员工暗必须保护公司资懊产，包括实物资傲源、资产、所有伴权、机密信息，蔼排除损失、失窃按或误用。任何怀蔼疑的损失、误用

20、稗或失窃都应该报熬告给经理或法律版部门。 公司懊资产必须用于公疤司业务，符合公翱司政策。奥全面、公正、正肮确、及时地理解哀财务报告及其披胺露事项 因为癌公司必须提供完扮整、公正、及时半和可理解的披露半报告及文件，并把存档或呈交给证皑监会以及公共传肮媒，所以每一个芭员工都有责任保办证会计记录的准岸确性。管理层必爸须建立和保持适瓣当的内控，遵循袄公司已有的会计拔准则和流程，保岸证交易记录的完搬整和准确。禁止稗干扰或不正当的佰影响公司财务报挨表审计。要求证艾实会计记录和报百表受控，能够保熬证准确性，包括笆提供给审计和定扳期向证监会报告把的义务。岸对于企业来说，耙首要的工作是建扮立一套员工能够罢接受和

21、理解的诚氨信和道德标准，芭如道德行为手册罢；其次是必须让斑员工知晓和理解扒这些规定（例如艾：要求所有员工按定期签字确认）隘，这是执行的前般提条件；最后就疤是贯彻执行。在叭公司内传递道德疤标准的最有效方癌式是管理层以身白作则，员工对于吧内控的态度通常俺会效仿他们的领傲导。另外，对违安反准则的员工应败予以相应惩罚；癌建立鼓励员工揭坝发违规行为的机俺制；以及对未能耙汇报违规行为员摆工的教育培训都敖具有特别重要的捌意义。肮员工个人可能由昂于下列因素而卷佰入不诚实、非法哎或不道德的行为奥：吧不切实际的业绩拔目标，特别是短案期业绩的压力（爱例如：为了实现半预先设定的利润八指标而在财务报芭告中虚报收入）伴将

22、奖金分配与业跋绩挂钩（例如：唉错报与业绩考核挨指标相关的财务佰信息）岸内控制度不存在唉或无效（例如：扮敏感业务区域未澳设立严格的职责疤分工，这为偷窃翱公司资产或隐藏翱不良行为提供了般可能）。蔼组织高度分散，氨可能导致高层管绊理人员不清楚基埃层的行为，缺少爱必要的监管，因唉此，减少了基层巴舞弊被发现的机背会。稗内部审计职能薄爱弱，没有及时发邦现和报告不正确半的行为。把董事会缺少对高办层管理人员的客皑观监管，可能导斑致管理人员凌驾熬于内控制度。佰管理层对不正确耙行为的惩罚力度罢不够或不公开，版从而失去了应有爸的威慑力。2、胜任能力爸胜任能力是要求爱员工具备完成工邦作任务所需的知百识和技能，目的按是

23、保证员工能够叭正确理解相关规扳定、及时恰当分案析和处理业务，板这是维护内部控靶制有效性的必备败条件。拜为此，管理层需半要设定工作岗位奥的知识和技能水案平要求，在招聘挨、选用员工时作八为评选的标准或班条件。在设定工扮作所需知识和技哎能时，一方面要斑根据工作的性质翱和所需的职业判敖断，考虑能力需盎求，另一方面还艾应考虑人力资源拜成本即薪酬（例捌如：没有必要雇扮佣一名电子工程昂师来换一只灯泡挨）。按3、霸董事会袄和阿审计委员会哀董事会哀或审计委员会袄的职能是岸实施治理、指导艾和监督管理层的氨工作，如果对管稗理层缺乏必要的扳监督，管理层可氨能会凌驾于控制稗之上，甚至败故意歪曲结果，唉因此董事会或审柏计

24、委员会监督作白用对确保内部控办制的有效性十分按重要，肮董事会疤或审计委员会作笆用的发挥，必须般具备以下条件：捌一是要独立于管鞍理层，不受其影捌响；二是具有足昂够知识、行业经癌验和时间，以便啊于履行职责；三啊能够与财务、法俺律、内部审计和版外部审计及时沟百通，得到适当信艾息；四是能够控佰制高级管理人员案的薪酬，有权聘芭用和解聘高级管搬理人员。拔补充说明一点，安股份公司的治理柏结构与国外有所扮不同，股份公司哎设置监事会，其疤职能类似于国外吧审计委员会的职坝能，所以股份公鞍司的董事会、审傲计委员会和监事捌会都需要符合上啊述条件。癌4、半管理层的经营理癌念和经营风格搬管理层的经营理稗念和经营风格影爱响

25、企业的管理方袄式，包括面对各艾种风险的态度。澳管理层的经营理版念和经营风格形办成了企业文化，叭它既是一切业务扮实现的基础，也爸为内部控制的实傲施提供了平台。蔼它往往是企业内蔼部一种无形的力摆量，影响企业成捌员的思维方法和背行为方式，包括爱企业承受营业风胺险的种类、整个版企业的管理方式埃、企业管理阶层岸对法规的反应、皑对企业财务的重芭视程度以及对人矮力资源的政策及般看法等。它们都奥深深地影响着内俺部控制的成效。按例如，办有些公司斑管理层的经营理背念和风格较为激鞍进，愿意承担更白高的风险以追求绊更高的盈利回报爸；而有些公司的版管理层则比较保癌守，在风险承担氨方面表现得较为八谨慎。可以看出敖，不同的

26、经营理搬念和风格决定了耙管理层在承担风袄险方面采取不同摆的态度和做出不罢同的决策。以销凹售信贷政策为例蔼，对风险承受力熬高的公司相比承芭受力低的公司，癌其设定的信用销袄售额度更高，以瓣期望通过更优惠扳的政策吸引和保颁留客户，而获得斑更高的销售额。芭管理层的经营理哎念和经营风格还吧表现在：管理层敖对财务报告的态邦度，在会计政策俺选择方面是否谨拜慎，进行会计估蔼计时是否遵循审胺慎性原则，对待袄数据处理、会计哀职能及人事管理芭等方面的态度等按等。5、组织结构胺组织结构是权责芭分工的架构，在拌此架构中规划、昂执行、控制和监稗督为实现企业目拔标而进行的活动般，每个企业都可半根据自己的需要袄确定组织结构，

27、癌可以是集权型，挨也可以是分权型按，可以是直接的扒报告关系，也可稗以是矩阵型组织敖结构，可以按产案品或行业组织，岸也可以按地理分八布或功能组织，吧但不论何种组织柏结构，应根据公矮司的业务性质，安进行适当的集中艾或分散，确保信靶息的上传、下达瓣和在各业务间的坝流动，确保企业爱目标的实现。白6、绊管理层授权和职敖责分工版权力和责任分配靶是指对员工进行奥授权和分配责任靶，将企业的目标按层层分解落实到般每个员工的头上巴，从而将员工的敖行为与企业目标俺联系起来，增强颁员工的自主控制澳意识。权力与责肮任分配的关键是胺权力与责任的对摆等。矮7、跋人力资源政策和傲措施按人力资源政策和瓣措施是关于员工拌聘用、培

28、训、考背核、进升、薪酬邦等方面的政策和班程序，目的是聘搬用和维持有能力摆的人员，保证公稗司的计划得以实半施，目标得以实爸现。因此，人力柏资源政策和措施把应考虑如何招聘颁进来有能力、可靶信任的人员，如邦何进行相关培训般使员工意识到他拜们的工作职责和案公司对他们的要癌求，如何通过考氨核、薪酬、提升翱等政策激励约束爱员工。（二）风险评估岸1、捌风险及风险评估版的定义败风险是任何影响绊目标实现的因素癌,所有企业，无昂论规模、结构和昂行业性质，都面拌临着风险，可以拌说有经营就有风绊险。风险有来自奥企业内部的，也盎有来自企业外部艾。昂为了加强对风险艾的控制，必须进按行风险评估，安风险评估靶是懊指对相关风险

29、进哀行识别和分析，稗是发现和分析那白些影响目标实现搬的风险的过程，肮是确定如何管理碍和控制风险的基板础。败风险评估的前提翱条件是设立目标暗，只有先确立了芭目标，管理层才捌能针对目标确定笆风险并采取必要懊的行动来管理风跋险。般企业的目标可以癌分为公司层面目靶标和业务活动层矮面目标，公司层颁面目标是指公司爸的总目标和相关懊战略计划，与高笆层次资源的分配澳和优先利用相关敖。业务活动层面俺的目标是总目标邦的子目标，是针搬对企业业务活动扳的更加专门化的凹目标。业务活动熬层柏面的半目标应该清楚，坝易于理解，以便巴从事该操作的人叭能实现其目标，把同时还必须是可埃衡量的，以便于坝考核。拌实现目标需要耗绊费资源

30、，因此设拌立目标必须考虑傲可获得的资源，办企业应该奥对目标进行分析扳，板提醒自己找出与癌总目标不相关的摆操作目标，以免捌资源浪费，而对扳实现总目标至关隘重要的操作目标摆，则优先安排资笆源。挨2、懊如何进行风险评把估1）风险识别稗风险评估的过程伴首先是进行风险埃识别，风险识别隘需要考虑所有可胺能发生的风险，拔并且需要考虑企稗业和相关外界之哀间的所有重大相邦互影响。风险识百别也是一个重复疤的过程，需要针百对环境的变化持啊续进行。导致企扒业经营风险的因班素包括内部和外扒部两个方面：外部因素包括：疤技术发展半胺影响研发的性质疤和时机，或带来邦采购的变化。（绊例如：出现新的按、更高效的油气霸开采技术，未

31、掌俺握相关技术的公蔼司会导致市场竞澳争力降低，进而般影响经营目标的邦实现）凹不断变化的客户案需求和期望癌皑影响产品开发、傲定价。（例如：哎纳米技术的应用八，客户对产品的疤期望改变；）胺竞争昂霸影响营销和服务叭活动（例如：W癌TO导致更多具耙有较高竞争力国啊外石油公司进入吧中国市场）。蔼新的法律和法规叭伴影响经营政策和俺策略（例如：萨疤班斯法案）。碍自然灾害唉邦造成损失。阿经济形势的变化笆等巴般影响融资、资本搬支出和扩张决策昂。内部因素包括：笆 奥信息系统运行的拜中断岸爱影响经营运转。瓣 皑雇员的素质和培板训、激励的方法笆按影响控制理念。啊 搬管理层职责的改扳变芭懊影响某些实施控耙制的方式。肮

32、懊企业经营活动的爸性质、员工对资瓣产的接触途径啊佰产生挪用。岸 皑董事会或审计委扮员会无法有效履芭行其职责拔懊可能为管理层轻澳率的行为提供机熬会。2）风险分析叭识别风险后，需扳要进行风险分析佰，分析的内容主岸要有：敖估计风险的重要扳性程度；矮评估风险发生的唉可能性（或频率盎、概率）；邦考虑如何管理风艾险爸拜即评估需要采取唉何种措施板针对风险分析的拔结果而采取的控般制活动，管理层耙应仔细考虑现有扳内控程序对于已哀识别的风险是否肮合适。如果现有凹程序可能已经足俺够或只需要执行吧得更好，那么就白不必制定附加程板序。罢管理层还应认识罢到，总会存在一芭些残留风险的可啊能性，不仅因为绊资源总是有限的靶，还

33、因为每个内版控系统都有内在霸局限性。因此，搬管理层拜的一项重要工作耙是权衡利弊，稗确定能够谨慎地半接受多少风险，背并尽力将风险控昂制在可接受的水拌平内。3）应对变化背经济形势、行业蔼和法规环境不断懊改变，企业业务鞍活动不断发展。稗在一个环境下有疤效的内部控制在俺另一环境下未必哎有效。风险评估败的本质就是一个拔识别变化的环境翱并采取相应行动碍的过程，风险评败估应持续地进行伴, 并且应特别板关注下面的情形版：胺变化的经营环境隘唉变化的法律或经阿济环境可能导致芭竞争压力的增加绊和显著不同的风伴险。背新的人员盎昂新来的高层管理伴人员的经营风格矮与原先的不同。版新的或经修订的俺信息系统疤哀能否正常运行。

34、按经营的快速增长佰吧当经营快速扩张柏，现有制度的局扳限可能导致控制瓣失效；当程序变败动或新人员增加办时，现有的监督傲可能就不能保持坝充分的控制。拜新技术氨耙新技术被运用到背生产流程或信息哀系统中，内部控疤制就很可能需要扮修改。拔新业务、产品、白活动跋霸当企业进入新的背商业领域或从事埃不熟悉的交易时哎，现有的控制可把能就不充分了。胺公司重组半暗公司因为收购、皑合并或者业务下哎滑、成本控制等敖原因进行结构重扒组。重组可能导稗致内部裁员，职矮责分工的合并，罢或者，原来的一背个重要控制岗位吧被取消，却没有爸相应的替代控制跋出现。很多公司挨重组后大量削减般人员，就碰到了般严重的控制缺陷稗。背海外经营版鞍

35、海外经营的扩张扒或收购带来了新芭的和独特的风险安。例如，内控环蔼境可能受到当地柏管理层文化和风伴俗的影响。另外哎，当地经济和法摆律环境可能带来案独特的风险因素扳。内控活动傲内控活动是指为摆确保管理层指示般得以执行的政策颁和程序。它有助傲于进行风险管理巴和保证企业目标熬的实现，内控活拔动贯穿于企业的艾所有层次和部门捌。它们包括一系板列不同的活动，邦如审批、授权、艾确认、核对、审隘核经营业绩、资暗产保护以及职责搬分工等。绊1、疤内控活动类型：熬控制活动可以有哎不同的描述方式稗：阿针对企业的不同氨目标，控制活动熬可以分为以下三伴个类型：即为矮提高经营效率效伴果、摆增强财务报告的颁可靠性、遵守法袄规等

36、目标的三类拜控制活动；袄根据控制活动的癌不同作用，控制伴活动又可以分为隘：预防性控制、安检查性控制、指绊导性控制、艾纠错性控制、稗补偿性控制等五斑种类型；袄根据组织中实施板人员的不同，控唉制活动也可以分坝为：高层复核、爱指导并管理业务伴活动、信息处理暗、实物控制、业矮绩指标分析、职捌责分离等。摆高层复核哎奥管理层将实际业昂绩情况和预算相板比较，将当期业哎绩和前期相比较耙，将本企业的业扳绩情况与竞争对奥手相比较，对企笆业主要行为进行拌追踪，以衡量目搬标实现的程度。跋指导并管理业务熬活动颁坝负责整个板块生俺产的领导，分地叭区公司、分产品版类别等内容审阅百生产业绩报告，耙对照经营目标，拜分析其中反映

37、出敖的生产管理方面敖的问题，并指出稗需要改进的方向疤。瓣信息处理爸哎这类控制被用于叭核对交易的准确颁性、完整性和遵敖循性。如：系统伴对数据录入设定吧编辑复核功能，办并对数据修改实熬行系统性控制；叭客户订单，只有肮与经批准的客户疤文件和信用额度笆相符，才能被接岸受；交易应按连颁的编号记账；系哀统管理员对例外白事项报告进行跟扒踪调查，必要时叭向主管领导报告俺。跋资产保护即实物拌控制背凹对设备、存货、啊证券、现金及其袄他资产实物采取巴保管措施，并定拌期进行盘点和帐凹实核对。颁业绩指标分析挨安采购部门的员工埃分析采购价格变澳动、紧急采购订鞍单占全部订单的盎比率、退货订单坝占全部订单的比熬率，通过调查异

38、疤常的结果和异常翱的变动趋势，关俺注那些可能影响哎目标实现的问题罢，并提出改进方暗案。哀职责分离案瓣职责在不同人员靶之间的分工或分扮离，可以降低发罢生错误或不当行白为的可能性。例班如，交易的授权矮、记录和处理相熬关资产的职责应矮予以分离；授权绊赊销的经理应不鞍负责应收账款的爸记录或现金收入袄的处理。绊2、把控制活动的要素胺吧 政策和程序矮控制活动一般包氨含两个要素，即稗：第一个要素，埃政策艾盎它描述应该做什啊么，第二个要素柏，程序板蔼它描述应该怎样扮做；政策是程序安的基础，同时，颁程序又影响政策爱的执行。例如，安政策要求，应该背由专人定期进行敖存货盘点，程序矮即盘点本身，其百实施的频率、关肮注

39、的要点、存货扳的性质、数量等挨等。拔3、敖控制活动应和风板险评估相结合哀管理层在进行风埃险评估的同时，背应该针对该特定暗风险找出并实施傲有效的措施，这爱些针对某项特定白风险的具体措施暗也就是建立控制凹活动的要素，它澳有助于保证控制半活动得以及时、叭有效地实施。唉4、办信息系统的控制绊随着信息技术的伴发展，大多数企败业，包括小公司扳或大公司的部门暗，都引进、建立敖和运用了现代化佰信息处理系统，案现代化的信息系安统不仅提高了企佰业的工作效率，拜而且也改变企业拜的经营方式和方捌法，甚至影响企半业的战略规划，绊因此信息系统的艾控制艾十分重要靶。哎信息系统内控活岸动可分为两大类靶。第一类是一般隘性控制澳

40、搬适用多数应用系矮统并协助确保其哎持续、正确地运哀行叭, 跋包括对数据中心伴操作、系统软件昂的购买和维护、吧数据的安全、以哎及应用系统开发俺和维护的控制。氨第二类是应用性佰控制，包括应用搬软件中的电算化扮步骤，以及用以伴控制不同种类交碍易处理过程的相哎关手工操作程序坝，它是保证交易奥处理的完整性、唉准确性、交易授翱权和有效性的内伴部控制。例如，爸公司的销售政策板规定给予金额在板20万以上订单扒以8折优惠；系哎统根据事先的设爱定，对于20万伴以上的订单自动版给予八20%傲的折扣优惠，而耙对于20万以下矮订单仅允许全价办销售。敖这两类对计算机熬系统的控制是相疤互关联的。一般板性控制用于保证扮建立在

41、计算机程胺序基础上的应用傲性控制得以实施拜。扳（四）案信息和沟通皑信息和沟通是指斑相关信息以某种埃形式并在某个时按段被识别、获得耙和沟通，以促使巴员工履行自己的稗职责。这里所说耙的信息是指来源斑于企业内部及外敖部，与企业经营拌相关的财务及非艾财务的信息。信颁息必须在一定的袄时限内传递给需扳要的人，以帮助肮人们行使各自的氨控制和其它职能扮。沟通则是指信昂息在企业内部各哎层次、各部门，哎在企业与顾客、拜供应商、监管者白和股东等外部环鞍境之间的流动。伴有效的沟通必须霸广泛的进行，自澳上而下、自下而案上地贯穿整个组邦织。所有人员都疤要从高级管理层扒获得明确的信息唉：必须认真对待啊控制责任。他们昂必须了

42、解各自在班内部控制体系中翱担任的角色，以哀及个人行为与他阿人工作的相互关艾系。他们必须有爸自下而上传递重爸要信息的渠道和盎方法。同时，也般要顾客、供应商八、监管者和股东捌等外部人员建立艾有效的沟通。1、信息佰企业的管理活动岸依赖于各种信息唉，既包括内部生唉成的信息，也包百括从外部获取的把行业、经济、监芭管等方面的信息巴。因此，企业必吧需要建立良好的哎信息系统来识别般、获得、加工和按报告这些信息。碍有效的信息系统耙不仅能够识别和板获得所需要的财哎务和非财务的信斑息，还能够在一拔定时限内根据需拌要加工和报告这罢些信息。另外，拌当企业面临基本碍的行业变化，面跋临有高度创新能爸力反应迅捷的竞斑争对手或

43、面对重跋大的顾客需求变瓣化时，信息系统哀必须随企业目标八、经营环境的变翱化而变化，及时岸适应新的需求。俺1）澳信息的识别和获凹取邦信息的识别和获板取的方式是多种安多样的：信息系哀统可以采取监控傲方式，定期获取案特定的数据；或罢者，可以采取某癌些特定的方式获叭取所需信息，如柏通过问卷、采访叭、广泛的市场需皑求调研或针对特罢定群体的调查获拌得顾客对产品和俺服务的需求信息叭；通过与顾客、凹供应商、监管者敖以及员工的谈话哀获得识别风险和败机遇所必需的重按要信息；参加专肮业或行业的研讨艾会也可以获得有氨价值的信息。肮2）把信息加工和报告耙信息是决策的基败础，但并非所有坝的信息都是有用熬的信息，因此，爸需

44、要对信息进行氨加工整理，归纳巴汇总，根据需要奥向不同的部门和昂人员报告不同的靶信息。为了提高百信息的质量，需版要考虑：胺疤内容是否适当扒扮唉它是所需要的信版息吗？熬安信息是否及时笆班当我们需要时就霸能获得吗？碍埃信息是当前的吗哎？唉碍是我们能获得的拔最新的信息吗？耙昂信息是否准确岸邦数据都准确吗？搬隘信息是否畅通败坝相应的部门能容鞍易地获得信息吗懊？扒在设计系统时必败须考虑以上问题哎。如果不考虑，蔼系统很可能无法奥提供管理层和其澳它人员需要的有盎用信息。安3）斑信息系统的整合肮 信息系统是经皑营行为的一个组癌成部分，它通过敖获取决策所需的昂信息来影响控制芭，随着信息技术熬的发展，信息系佰统可以

45、更迅速、暗更广泛提供更有板价值的信息，对懊企业的管理影响背更加深远，甚至奥影响到企业的战敖略规划，一项最翱新发布的研究表吧明，信息系统的隘规划、设计和应吧用已经开始同组凹织的整体战略整碍合在一起。多数埃新的生产系统与凹企业其它的系统罢，可能还包括企稗业的财务系统，搬高度地整合为一昂体。当系统执行跋其它的运行时，罢财务数据和会计跋记录会自动更新吧。2、沟通罢沟通是信息系统搬固有的，是将信啊息提供给相关人爸员，以便与其履昂行职责，沟通必巴须贯穿于信息处笆理的整个过程，扳有效的沟通不仅胺在整个企业内进爸行，也包括与外搬部进行的沟通。1）内部沟通岸内部沟通是指企扳业内部上下级之芭间、横向部门之埃间的沟

46、通，下面百以例举的方式介案绍内部沟通的主八要内容：颁所有的人员，特暗别是那些有着重敖要的经营和财务敖管理职责的人员叭，取得管理所需盎信息，并清楚地白知道必须严肃履摆行内部控制的责拌任。爸每个人需要理解澳所负责内部控制背部分如何运行及矮个人在系统中的案职责。盎在执行自己的职阿责时，每个人都绊应该知道，当意昂外发生时，不仅稗要注意事件本身爱，还要注意事件傲的原因。这样，白就可以了解到系唉统潜在的缺陷，半并采取预防的措罢施。比如，发现爸滞销的存货不仅唉要在财务报告上捌留下准确的记录氨，更重要的是对埃存货滞销的原因巴作出判断。氨人们需要知道自皑己的行为怎样与扒他人的工作相联背系。瓣需要知道什么样隘的行

47、为是被期望扒的，什么是可以耙接受的，什么是熬不可接受的。疤员工也需要知道吧在企业中自下而暗上传递重要信息绊的方法和渠道。邦员工必须相信他熬们的上级确实想啊了解问题并愿意疤有效地解决问题埃，在任何情况下百不会因报告相关暗信息而受到报复捌。埃在多数情况下，安正常的报告渠道袄就是适当的沟通氨渠道。然而，在艾特定条件下，需案要独立的沟通渠百道作为一个预防傲失败的机制，在鞍正常渠道不起作捌用时加以运用。凹例如为员工提供吧直接接触财务总矮监或企业法律顾办问这样的高层领扳导的渠道；总裁案可以定期抽出时埃间接待员工来访拔，并且让员工知盎道为任何事情的伴来访都是受欢迎啊的；总裁也可以罢定期去车间拜访办他的员工，

48、形成把一种人们能够交艾流难题和关心的袄问题的氛围。哀管理层与董事会扮及其委员之间的办沟通至关重要。懊管理层必须使董凹事会了解最新的颁业绩、发展、风巴险、主要的革新把以及其它任何相百关的事件或事故按。与董事会的沟扒通越好，董事会凹越能有效地行使靶监督职能，并能斑够对于关键的事吧务作出合理的行柏为，提供建议和敖忠告。同样，董斑事会也应该向管斑理层传达其所需袄要的信息，并提矮供指导和反馈。2）外部沟通稗企业不仅在内部吧需要有适当的沟阿通，而且与外部叭也是,与外部沟奥通的内容包括：耙通过开放的沟通摆渠道，了解顾客氨、供应商对于产半品或服务的设计暗或质量方面的要按求使公司注意顾斑客的需求和偏好颁。斑在与

49、外部的交往扒中强调企业的道安德标准，使外部板人员知道认识到碍不适当的行为。笆比如公司可以同碍供应商直接沟通肮，解释公司期望靶供应商雇员在与罢其打交道时应怎斑么做，明确回扣八以及其它不适当笆的收入，都是不版能容忍的。懊与外部审计师的拜沟通，管理层和斑董事会可以了解澳重要的控制信息碍。胺与股东、监管者稗、财务分析师以扮及其它外界的交柏流，可以了解企办业所面临的情况盎和风险。岸管理层同外界（袄无论是公开的、盎即将进行的、严八格跟踪的还是其摆它的）的交流也般可以向整个公司跋内部传递信息。3）沟通的方式扮沟通可以采用诸伴如政策手册，备拔忘录，布告通知敖，录像录音带的拜形式,又可采用巴口头传递消息的肮方式

50、。另一种有挨影响力的沟通手佰段是管理层在领哀导下属工作时的吧言行。（五）监督奥内部控制随着时蔼间、环境而变化吧，曾经有效的程俺序可能会变得不版太有效，因此需摆要对内部控制进皑行监督。监督是稗评估内控系统在案一定时期内运行背质量的过程，目耙的是保证内部控疤制持续有效，监搬督可通过两种方挨式进行：持续性败的监督活动和独哀立的评估。持续背性的监督活动是俺植根于企业日常矮、重复发生的活癌动中的。与独立哎评估相比，由于袄持续性监督程序柏在实时基础上实跋施、动态地应对拜环境的变化，并隘在企业中根深蒂耙固而显得更加有跋效。不过，独立败评估发生在事实哀之后，比起持续叭性监督程序，可拜更快地发现问题耙。一个感到

51、有必爱要进行经常性的罢独立评估的企业袄，应重点关注改拜进持续性监督的爱途径，并强调芭“班嵌入坝”哎而非胺“胺外加艾”凹的控制。奥1、巴持续性监督行为巴持续性的监督行拔为发生在经营的柏过程中，它包括胺日常管理和监督背行为、比较、核靶对和其他常规性白活动。持续性监哎督行为有下面一疤些例子：爸在执行常规管理笆行为时，经营管啊理层取得内部控版制持续运转的证拔据。拜与外界各方的沟捌通能够印证内部肮产生的信息或揭爱示问题。例如：拔顾客支付账单，白表明其确认了帐叭单数据；相反地邦，顾客对帐单的跋投诉可能表明销哀售交易过程存在笆系统缺陷。公司肮审核有关作业安扮全的政策和操作叭步骤，从经营安绊全性和合规性的稗角

52、度为内控是否吧有效运行提供信矮息，因而被视为哀一项监督；监管敖者就合法性或其耙他事项与企业进坝行交流，也会从爸某种角度反映内爱控系统是否有效俺运行。坝适当的组织结构拌和监督行为不但疤监督内控职能的傲执行并且能够发盎现内控的缺陷。氨例如，财务负责班人对财务人员针扒对交易正确性和扳完整性实施的内哎控活动实施日常坝的监管。另外，哎管理层对员工的巴职责分配定期进稗行审核，以确保傲合理分工以便相奥互制衡，有利于哎防止员工舞弊，绊并可以限制个人癌掩盖其可疑行为败的能力。般将信息系统所记叭录的数据与实物拌资产相核对。例背如，产成品存货扒应定期进行盘点哎，将盘点的数据翱与相应的会计数袄据核对并记录存叭在的差异

53、。皑内部及外部审计哀师定期为进一步癌加强内部控制提按供建议。审计师板通过评价内控的版设计并测试其有氨效性，发现一些板潜在的问题并向哎管理层提供解决皑问题的建议。胺培训研讨会、计隘划会议及其他会皑议能向管理层提按供有关控制是否芭有效的重要反馈爸。这种方式不但扳能指出控制中存瓣在的个别问题，隘还能增强参与者敖的控制意识。凹定期询问职员理暗解及执行企业相般关规定的情况。袄如向经营及财务耙人员询问相关的爱控制程序是否正凹常运行。2、独立评估盎独立评估是独立俺于控制活动之外绊而采取的定期评瓣估行为。尽管持靶续性监督程序可耙以提供关于其他鞍控制要素有效性拔的重要反馈信息绊，但经常地对系摆统的有效性直接岸进

54、行评估也是十吧分必要的。这样奥同时也提供了一拔个机会来评价持伴续性监督程序是摆否有效。1）范围和频率把独立评估的范围敖和频率主要依赖芭于风险评估和持奥续性监督程序的瓣有效性。由于所扒控制风险的大小安及内部控制在减摆小风险中的重要扮性不同，对于内俺部控制进行评价跋的范围和频率也百不一样。例如，拔那些致力于重大巴风险或对减小风澳险具有重要作用八的控制就应经常芭地进行评价。2）评价主体叭评价主体，即由鞍谁来实施独立评笆估。一般来说，吧评价主体包括：袄一是自我评价，颁即负责某一单位爱或职责的人员对扳其控制自身活动蔼的有效性进行评昂价。例如，一位按部门主管应指导叭本部门内部控制耙的评价活动。他岸或她可能

55、亲自评皑价内控环境因素颁，然后请部门内氨负责各种经营活拌动的人员评价其颁他要素的有效性罢。佰二是内部审计人碍员评估，有时，挨在董事会、高级俺管理层、子公司哎及部门主管的特斑殊要求下，内审八人员也会对内控盎进行评价。同样昂，在评价内控时啊，管理层也可利稗用外部审计人员柏的工作。傲3）背评价程序及方法暗体系袄首先是同企业职把员进行探讨并审昂阅已有的文件，把了解系统的运行百过程或内控系统敖的设计；其次是八根据已确定的目白标分析内部控制斑的设计和测试结般果，分析是否对埃既定目标提供了懊合理保证。摆评估方法有许多伴可供选择，包括绊检查清单、调查靶问卷和流程图等暗方法。也可与那皑些被认为在内控熬系统方面具

56、有良扮好声誉的公司进捌行比较。4）行动计划颁第一次指导评估哎内控系统的管理矮人员可以考虑下碍列建议，决定对板何处着手和如何吧去做：敖决定评估的范围笆，包括目标的分半类、内部控制要搬素和需采取的行邦动。哀确定对内部控制版的有效性提供常扳规保证的持续的叭监督行为。凹分析内部审计的颁控制评估工作，爱考虑外部审计师翱与控制相关的发邦现。矮按照单位、要素摆或高风险区域划啊分重要性程度和袄先后次序，保证唉及时的关注颁在以上基础上，碍建立相关的评估昂程序。拌汇集所有进行评翱估的各方，共同白考虑下列问题：耙不仅要考虑评估罢范围和时间表，爸而且要考虑所使爱用的方法体系，瓣应用的工具，来白自内外部审计师哀和监管者

57、的建议案，报告所发现问矮题的方式以及设拌定最终的文本化半程度。斑监督进展和复核爸发现。阿保证采取必要的坝追踪措施，必要扮时修改后续的评暗估部分。5）报告缺陷吧这里的隘“柏缺陷埃”扳被广泛定义为内巴控系统中值得注艾意的问题。缺陷爸可能代表一个假按想的、潜在的或捌实际的缺点，或氨一个强化内控系摆统的机会。向恰爱当的当事人提供绊有关内部控制缺爱陷的必要信息，八对内部控制制度摆的持续有效运行案十分关键。内部拌控制的缺陷应自办下而上进行报告艾，重要事项应报奥知高层管理人员唉和董事会。对于翱发现的内部控制挨缺陷，不仅应向板负责的个人汇报蔼，由他采取正确白的措施，还至少佰应向该责任人的背上一级汇报。这懊一过

58、程使得责任板人能及时采取措蔼施，也便于其上罢级提供所需的支巴持或进行监督，癌并与企业中受影懊响的他人进行沟板通。重要事项应蔼报知高层管理人案员和董事会。6）文本化爱企业内部控制的霸文本化有利于评唉估，有利于增进哎员工对内控系统把如何运行及各自矮职责的理解，更蔼易于必要时对其伴修改。文本化的版程度根据各企业爸的规模、复杂性阿和类似因素的不挨同而存在差异。巴大一些的公司通八常有书面的政策哎手册、正式的组败织图、书面的工绊作描述、经营指罢导、信息系统流翱程等。小一些的叭公司内部控制文靶本化的程度一般半低得多。控制没扮有文本化并不意艾味着内控系统是搬无效的或无法评翱估，不过当需要哎向更多人提供有扒关内部控制的阐芭述或评估时，内隘部控制文本化的袄性质和程度将会耙提高。当管理层埃希望向外界提供暗关于内控系统效背果的声明时，他版们应当考虑形成罢文件来支持该声按明。如果该声明案今后被质询，这搬些文件将很有用阿。皑四、矮内部控制的局限柏性奥也许有人会认为笆内部控制可以确拌保企业万无一失按，这也是我们所搬希望的，但事实版并非如此，无论阿内部控制设计和爱执行的多好，它哀也只能提供合理隘的保证，这是内稗部控制系统固有胺的局限性。具体班表现在：稗判断失误瓣熬判断是人在事情八发生时依据现有肮信息的所做出的百，个人的判断不把