中石油COSO内部控制框架培训资料

1、坝COSO内部控昂制框架培训资料内容提要：一、背景介绍哀（一）笆COSO唉内部控制框架的按产生及发展过程拌（二）般中石油目前的内板部控制体系与C皑OSO内部控制把框架的差距败二、肮COSO内部控吧制框架下内部控挨制的定义爱（一）斑COSO内部控笆制框架对内部控般制的定义斑（二）熬对内部控制定义耙的理解柏（三）袄COSO内部控盎制框架的组成要背素摆三、皑COSO安内部控制框架爸五要素爱 吧 氨（一）搬 内控环境（二）风险评估（三）内控活动瓣（四）敖信息与沟通 （五）监督坝四、暗内部控制的局限笆性捌五、扮员工在内部控制隘中的作用和职责六、小结一、背景介绍背内部控制是什么艾?不同的人有不岸同的理解昂

2、。 一般的人把扳内部控制理解为半组织为了减少决盎策失误和工作缺八陷而实施的控制柏,这些控制可能埃是内部监督、也艾可能是管理手册啊、规章制度等。袄这种理解袄没有错，扳但不全面。爸按照现拌代坝的内控理论，这八些仅仅是内部控埃制的一部分，而佰不是拜全部翱。现代内控理论罢认为，内部控制摆是一个系统化的敖框架，它建立在爱风险管理的基础白上，包括内控环办境、风险分析、捌内控活动、信息氨与沟通、监督五暗大要素。稗（一）笆COSO内部控扮制框架的产生和摆发展过程按内部控制理论的挨发展是一个逐步板演变的过程，大啊致可以区分为内矮部牵制、内部控啊制制度、内部控拜制结构与内部控按制整体框架四个袄阶段。在内部牵袄制阶

3、段，账目间笆的相互核对是内俺控的主要内容，凹设定岗位分离是奥内控的主要方式稗，这在早期被认隘为是确保所有账蔼目正确无误的一捌种理想控制方法叭；在内部控制制斑度阶段，内部控搬制的重点是建立拔健全规章制度；把在内部控制结构胺阶段，内部控制扳被认为是为合理艾保证企业特定目拜标的实现而建立澳的各种政策和程奥序，分为内控环哎境、会计制度和敖控制程序三个方板面；内部控制整叭体框架阶段，就啊是我们下面将要懊讨论的COSO板内部控制框架。蔼在美国，胺20世纪70年隘代中期，与内部啊控制有关的活动巴大部分集中在制奥度的设计和审计奥方面，重在改进爸内部控制制度和隘方法。1973耙年至1976年碍对水门事件（美安国

4、公司进行违法绊的国内捐款和贿暗赂外国政府官员靶）的调查使得立百法机关与行政机拜关开始注意到内巴部控制问题。针伴对调查的结果，百美国国会于19柏79年通过了邦反国外贿赂法癌（简称FCPA艾）。FCPA除霸了规定了关于反八贿赂的条款外，拔还规定了与会计埃及内部控制有关般的条款。因此绊美国扮许多机构都加强背了对内部控制的盎研究并提出许多巴建议。1985奥年，由美国注册扳会计师协会、会啊计协会、财务主拜管协会、内部审爸计师协会、管理隘会计师协会联合罢创建了办反盎虚假岸财务报告委员会罢，该委员会旨在阿探讨财务报告中哀的舞弊产生的原靶因，并寻找解决傲措施。两年后，奥该委员会提出了俺很多有价值的建氨议。基于

5、该委员盎会的建议，其赞白助机构成立CO柏SO委员会，专疤门研究内部控制蔼问题。1992鞍年9月，COS拜O委员会提出了按报告内部控制靶哀整体框架（1坝994年进行了笆增补）， 即C扮OSO内部控制搬框架。疤 摆COSO内控框巴架的提出标志着板内部控制理论发拜展到新的阶段，傲对企业扒完善和优化内部挨控制、叭增强风险防范能俺力八具有十分重要的办意义。COSO唉内部控制框架之版所以被广泛地选阿择作为构建和完澳善内部控制体系艾的标准，是因为捌：虽然COSO傲内部控制框架并扳非唯一的内部控芭制框架，但却是坝美国证券交易颁委员懊会唯一推荐使用俺的内部控制框架安，矮萨班斯法案叭第 404 条按款的最终细则拔

6、敖也巴明确表明 CO颁SO内部控制框扳架可以作为评估绊企业内部控制的坝标准。邦股份公司作为纽碍约证交所上市公靶司，需要按照法碍案要求，引进C稗OSO内部控制岸框架，整合现有般内部控制，满足蔼法案的要求。同靶时，对股份公司碍来说，这也是梳安理管理流程、规案范管理、提升整背体管理水平的契蔼机。COSO内岸部控制框架是一办个较为理想的框暗架，几乎所有公敖司的内部控制均碍与之有一定差距吧，美国各大公司敖也正在为此而努八力，虽然这必然埃加大企业负担，熬但多数公司同股拔份公司一样，希岸望通过理解和贯肮彻COSO内部盎控制框架要求，凹来实现提升管理矮水平的目的。柏（二）跋中石油目前的内柏部控制体系与C叭OS

7、O内部控制盎框架的差距俺目前，股份公司肮通过多年的管理绊实践和积累，已敖经建立了一套针埃对石油行业的行哎之有效的内控体百系，但与COS笆O内部控制框架跋的要求相比还存澳在一些距离。这扮些差距主要体现百在：内部控制体昂系的整体框架、蔼内控环境、风险皑评估等理念尚未矮被广泛接受、内板部控制的文档记敖录还不够系统规澳范、缺乏自我评百估机制等。阿氨“唉他山之石，可以矮攻玉阿”扮，COSO内控拜框架对于我们加哀强企业内部控制耙具有一定的启发笆和借鉴意义。啊为此，我们需要矮认真学习COS败O内部控制框架办理论，充分认识搬和理解COSO鞍内部控制框架，暗并在实际经营管爱理中积极实践，瓣大力贯彻和实施啊，从而

8、优化内部爱控制，完善内控扒体系，全面提升板公司管理水平。板二、坝COSO内部控罢制框架下内控制八度定义拔（一）芭COSO内控框皑架对内部控制的埃定义癌COSO内部控蔼制框架认为，内案部控制是受企业巴董事会、管理层疤和其他人员影响澳，为经营的效率捌效果、财务报告霸的可靠性、相关耙法规的遵循性等澳目标的实现而提爸供合理保证的过靶程。埃（二）耙对内部控制定义白的理解半应该从以下几个疤方面理解内部控按制的定义：唉第一，内部控制芭是一个叭“岸过程哎”瓣，而且是一个动扳态的过程懊。企业的经营活挨动是永不停止的百，企业的内部控疤制过程也因此不耙会停止，它是一挨个发现问题、解扳决问题、发现新扒问题、解决新问班

9、题的循环往复的哎过程。内部控制捌应该与企业的经邦营管理过程相结拜合，而不是凌驾碍于企业的基本活霸动之上，它促使板经营达到预期的柏效果，并监督企敖业经营过程的持皑续有效进行。摆第二，内部控制班受到背“伴人艾”捌的因素的影响，哀它并不仅仅是政捌策手册和表格，哀不仅仅是管理人佰员、内部审计或袄董事会，而是组背织中的每一个人爸，每一个人都对颁内部控制负有责胺任并受到内部控阿制的影响；是佰“版人皑”背建立企业的目标皑，并将控制机制昂赋予实施。确立袄这种观念有利于坝企业的所有员工拌明确自己的责任八和权限，主动地鞍维护及改善企业颁的内部控制。奥第三，内部控制拔无论设计和运行懊得多么完善，也巴只能为企业的管肮

10、理层和董事会提跋供合理的保证，傲而不是绝对保证鞍，因为内部控制皑本身挨具有啊局限性。啊最后，内控框架半将内部控制目标哀分为三类：与营跋运有关的目标靶坝即经营的效率与背效果、与财务报袄告有关的目标摆拜即财务报告的可靶靠性翱、败以及与法规的遵版循性有关的目标哎。上述分类让我暗们专注于内部控绊制的各个方面，碍这些阿相邦互有别爸，相互笆交叉的分类满足挨不同的需要，并佰且表明了不同的爱执行人员的直接傲责任。绊（三）奥 COSO内部昂控制框架的组成爸要素败COSO内部控坝制框架认为，绊内部控制系统是瓣由内控环境、风捌险评估、内控活半动、信息与沟通埃、监督五要素组摆成，它们取决于拌管理层经营企业盎的方式，并

11、融入邦管理过程本身，奥其相互关系可以俺用下面模型表示案。内控活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。 内部审计工作。内控环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控

12、信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1板内控环境捌奥内控环境是企业拌的基调、氛围，耙直接影响企业员阿工的控制意识。爸内控环境要素是隘推动企业发展的靶发动机，也是其霸他一切要素的核背心，包括员工的笆诚信、职业道德癌和工作胜任能力霸；管理层的经营拔理念和经营风格搬；董事会或审计稗委员会的监管和拔指导力度；企业埃的权责分配方法般和人力资源政策八。可以说人及其背人进行的活动是埃任何企业的核心澳，是构成内控环安境的重要要素，背又与环境相互影败响、相互作用。般风险评估氨澳风

13、险评估是识别奥、分析相关风险懊以实现既定目标案，是风险管理的俺基础。每个企业稗都面临着诸多来办自内部和外部的盎风险，影响企业扳既定目标的实现办。因此必须设立爸一个机制来识别哎、分析和管理影瓣响目标实现的相稗关风险，并适时佰加以管理。敖内控活动摆哀内控活动指那些澳有助于管理层决熬策顺利实施的政岸策和程序，是针捌对风险采取的控奥制措施。它们包瓣括诸如批准、授哀权、查证、核对昂、复核经营业绩笆、资产保护和职鞍责分工等活动。斑信息与沟通搬安是指企业经营管败理所需信息必须爱被识别、获得并敖以一定形式及时拜传递，以便员工佰履行职责。信息碍不仅包括内部产昂生的信息，还包败括与企业经营决颁策和对外报告相皑关的

14、外部信息。吧畅通的沟通渠道皑和机制使企业的哎员工能及时取得班他们在执行、管矮理和控制企业经疤营过程中所需的阿信息，并交换这昂些信息。叭监督肮斑是对内部控制系芭统有效性进行评敖估的过程，可以班通过持续 性监斑督、独立评估或艾两者的结合来实扮现对内控系统的柏监督。岸内控体系五要素巴之间的关系我们百可以理解为：企背业的核心是人，凹人的诚信、道德斑价值观和胜任能摆力构成了企业的坝内控环境，这是白企业发展的基础背。凹每个袄企业矮都有自己的耙发展目标，为了拔目标的实现，必伴须分析影响因素颁，即进行风险评柏估。针对风险评氨估的结果需要采伴取相应的内控活柏动来控制和减少爸风险。同时与内稗控环境、风险评拜估和内

15、控活动相拔关的信息应及时爸被获取、加工整癌理，并在企业内昂部传递，这就是癌信息与沟通，信袄息与沟通系统围耙绕在内控活动周案围，反映企业各败项管理活动的运氨转情况。为了保芭证内控体系的正跋常运转，还需要靶对整个内控过程败进行监督。班内部控制五要素皑之间的配合和联板系，组成了一个拜完整的系统，可白以灵活地随条件埃变化而变化。但阿各要素之间并非拔是一项要素影响安下一项要素的顺跋序过程，任一要芭素都可以影响其柏他要素，例如对扳风险的评估不仅矮仅影响内控活动板，还可能影响信靶息和沟通、监督巴行为等。拔COSO内部控盎制框架适用于各昂类企业，但是中跋小企业对其应用捌可能不同于大型百企业，中小企业耙的内部控

16、制可能办不及大型企业正凹式、组织性强，哀但也可以是有效般的。对此，本次啊培训以大型公司爸为例，未考虑中扮小公司的差异。袄三、氨COSO内部控挨制框架五要素（一）内控环境八内控环境是其他白控制要素的基础板。内控环境因素板包括：员工的诚啊信和道德办价值昂观；员工的胜任扳能力；董事会和拌审计委员会；管埃理层的经营理念蔼和经营风格；组安织结构；管理层埃授权和职责分工巴、人力资源政策盎和措施。下面讨昂论各项因素的具矮体内容。巴1、埃员工的诚信和道癌德价值观疤内部控制是由人坝建立、执行和维胺护的，人是内部扳控制有效运行的邦根本因素。人的背道德价值观影响扮着人的行为。企岸业员工具有良好板的道德标准并形俺成良

17、好的道德氛癌围，对控制系统叭的有效运行非常伴重要，也有助于按防范那些内控系扒统难以控制的行懊为。罢员工的诚信和道耙德价值观是指员笆工行为的准则，爱是告诉员工什么班行为可接受、什扮么行为不可接受芭、以及遇到不正颁当行为应该采取俺的行动。主要包拜括以下内容：捌利益冲突 斑每一个员工都有耙责任将公司利益摆放在第一位，避靶免私人利益与公百司利益的冲突。唉合法性 公奥司要承诺在进行唉业务时是抱着诚霸实和诚信原则，绊并遵循所有适用坝的法律和规章制啊度。坝及时向指定人员袄报告或检举揭发扳违规事项 胺 员工有义务对百所发现的关于会肮计、内部控制或耙审计等的违反法爸律、规章制度或巴行为准则的问题暗，向道德规范委

18、案员会报告，或向瓣披露委员会或审肮计委员会汇报。俺发现任何高级管百理人员违反法律矮、规章制度或行凹为准则，应迅速扳向道德规范委员阿会等相关机构报败告。对检举人应按当建立保密制度邦，包括匿名保护瓣。昂遵守道德准则的隘责任 明确绊员工必须遵守道笆德准则。对违反皑准则的人员建立霸惩罚机制，甚至矮解雇或免职。扒公司机遇 瓣 禁止员工通过爱利用公司财产、盎信息或职位为自扒己或其他人牟取背商业机遇。艾保密 机凹密信息是一间公盎司最重要的资产盎之一。公司建立绊相应政策保护机澳密信息，包括（安a）属于公司商叭业性机密信息（柏b）属于非披露奥协议下信息。每敖一个员工在入职背后应执行保密协八议和保护公司知胺识产权

19、。员工即柏使在终止雇佣之碍后，仍然有义务哎保护公司的机密坝信息。岸公平交易 傲 每一个员工都案应该努力去公平背对待顾客、供应阿商、竞争者、公碍众，并遵循商业拔道德规范。为了挨获得或维持业务哀而进行贿赂、回盎扣或其他诱惑等蔼都是不允许的。靶与业务相关，偶扳尔赠送非政府雇按员的价值较低的袄商业礼物的做法办是可以接受的。熬但未得到道德委肮员会事先批准的伴情况下，赠送礼癌物或款待政府雇蔼员是不允许的。凹员工代表公司购笆买商品应遵循公俺司的采购政策。俺公司资产的保护半及恰当使用 笆 每一个员工矮必须保护公司资袄产，包括实物资瓣源、资产、所有隘权、机密信息，矮排除损失、失窃霸或误用。任何怀背疑的损失、误用

20、氨或失窃都应该报笆告给经理或法律案部门。 公司靶资产必须用于公办司业务，符合公百司政策。鞍全面、公正、正傲确、及时地理解白财务报告及其披跋露事项 因为袄公司必须提供完佰整、公正、及时颁和可理解的披露啊报告及文件，并昂存档或呈交给证碍监会以及公共传袄媒，所以每一个哀员工都有责任保癌证会计记录的准半确性。管理层必艾须建立和保持适昂当的内控，遵循爱公司已有的会计败准则和流程，保瓣证交易记录的完敖整和准确。禁止扮干扰或不正当的熬影响公司财务报皑表审计。要求证跋实会计记录和报蔼表受控，能够保靶证准确性，包括跋提供给审计和定拌期向证监会报告翱的义务。鞍对于企业来说，般首要的工作是建哎立一套员工能够熬接受和

21、理解的诚拌信和道德标准，斑如道德行为手册蔼；其次是必须让哎员工知晓和理解案这些规定（例如邦：要求所有员工埃定期签字确认）搬，这是执行的前扒提条件；最后就俺是贯彻执行。在胺公司内传递道德碍标准的最有效方傲式是管理层以身安作则，员工对于颁内控的态度通常矮会效仿他们的领碍导。另外，对违搬反准则的员工应柏予以相应惩罚；哀建立鼓励员工揭坝发违规行为的机瓣制；以及对未能坝汇报违规行为员吧工的教育培训都半具有特别重要的瓣意义。绊员工个人可能由隘于下列因素而卷白入不诚实、非法拌或不道德的行为笆：按不切实际的业绩唉目标，特别是短爸期业绩的压力（按例如：为了实现蔼预先设定的利润傲指标而在财务报傲告中虚报收入）癌将

22、奖金分配与业案绩挂钩（例如：岸错报与业绩考核瓣指标相关的财务案信息）氨内控制度不存在熬或无效（例如：版敏感业务区域未癌设立严格的职责爱分工，这为偷窃芭公司资产或隐藏白不良行为提供了靶可能）。颁组织高度分散，埃可能导致高层管暗理人员不清楚基阿层的行为，缺少颁必要的监管，因翱此，减少了基层扮舞弊被发现的机耙会。爱内部审计职能薄俺弱，没有及时发耙现和报告不正确把的行为。蔼董事会缺少对高板层管理人员的客败观监管，可能导澳致管理人员凌驾埃于内控制度。背管理层对不正确佰行为的惩罚力度绊不够或不公开，矮从而失去了应有俺的威慑力。2、胜任能力肮胜任能力是要求埃员工具备完成工傲作任务所需的知埃识和技能，目的翱是

23、保证员工能够敖正确理解相关规稗定、及时恰当分班析和处理业务，扒这是维护内部控颁制有效性的必备矮条件。板为此，管理层需挨要设定工作岗位靶的知识和技能水半平要求，在招聘艾、选用员工时作唉为评选的标准或矮条件。在设定工埃作所需知识和技案能时，一方面要白根据工作的性质翱和所需的职业判埃断，考虑能力需傲求，另一方面还俺应考虑人力资源岸成本即薪酬（例阿如：没有必要雇笆佣一名电子工程盎师来换一只灯泡邦）。坝3、芭董事会傲和佰审计委员会败董事会白或审计委员会吧的职能是扮实施治理、指导胺和监督管理层的疤工作，如果对管邦理层缺乏必要的斑监督，管理层可奥能会凌驾于控制坝之上，甚至佰故意歪曲结果，凹因此董事会或审搬计

24、委员会监督作扳用对确保内部控肮制的有效性十分敖重要，瓣董事会百或审计委员会作啊用的发挥，必须般具备以下条件：般一是要独立于管俺理层，不受其影蔼响；二是具有足哎够知识、行业经板验和时间，以便氨于履行职责；三氨能够与财务、法跋律、内部审计和捌外部审计及时沟罢通，得到适当信扒息；四是能够控氨制高级管理人员敖的薪酬，有权聘笆用和解聘高级管拜理人员。阿补充说明一点，啊股份公司的治理岸结构与国外有所扳不同，股份公司哀设置监事会，其皑职能类似于国外拌审计委员会的职熬能，所以股份公瓣司的董事会、审阿计委员会和监事拌会都需要符合上叭述条件。氨4、拜管理层的经营理百念和经营风格背管理层的经营理般念和经营风格影罢响

25、企业的管理方八式，包括面对各俺种风险的态度。败管理层的经营理瓣念和经营风格形摆成了企业文化，隘它既是一切业务蔼实现的基础，也霸为内部控制的实伴施提供了平台。俺它往往是企业内板部一种无形的力暗量，影响企业成傲员的思维方法和俺行为方式，包括跋企业承受营业风芭险的种类、整个肮企业的管理方式伴、企业管理阶层傲对法规的反应、扒对企业财务的重安视程度以及对人蔼力资源的政策及哀看法等。它们都八深深地影响着内扮部控制的成效。稗例如，扳有些公司敖管理层的经营理傲念和风格较为激傲进，愿意承担更岸高的风险以追求爸更高的盈利回报稗；而有些公司的埃管理层则比较保百守，在风险承担把方面表现得较为摆谨慎。可以看出哀，不同的

26、经营理背念和风格决定了败管理层在承担风氨险方面采取不同澳的态度和做出不巴同的决策。以销斑售信贷政策为例背，对风险承受力半高的公司相比承凹受力低的公司，捌其设定的信用销懊售额度更高，以疤期望通过更优惠绊的政策吸引和保伴留客户，而获得罢更高的销售额。把管理层的经营理白念和经营风格还按表现在：管理层颁对财务报告的态捌度，在会计政策阿选择方面是否谨百慎，进行会计估瓣计时是否遵循审盎慎性原则，对待癌数据处理、会计捌职能及人事管理阿等方面的态度等板等。5、组织结构哎组织结构是权责霸分工的架构，在俺此架构中规划、拜执行、控制和监叭督为实现企业目埃标而进行的活动搬，每个企业都可吧根据自己的需要把确定组织结构，

27、捌可以是集权型，阿也可以是分权型岸，可以是直接的拜报告关系，也可唉以是矩阵型组织盎结构，可以按产摆品或行业组织，俺也可以按地理分懊布或功能组织，百但不论何种组织澳结构，应根据公挨司的业务性质，巴进行适当的集中霸或分散，确保信唉息的上传、下达矮和在各业务间的疤流动，确保企业霸目标的实现。般6、斑管理层授权和职办责分工扒权力和责任分配吧是指对员工进行奥授权和分配责任安，将企业的目标颁层层分解落实到跋每个员工的头上吧，从而将员工的昂行为与企业目标败联系起来，增强岸员工的自主控制奥意识。权力与责霸任分配的关键是疤权力与责任的对跋等。般7、翱人力资源政策和傲措施啊人力资源政策和班措施是关于员工伴聘用、培

28、训、考哀核、进升、薪酬白等方面的政策和般程序，目的是聘版用和维持有能力罢的人员，保证公哀司的计划得以实叭施，目标得以实啊现。因此，人力扳资源政策和措施熬应考虑如何招聘哎进来有能力、可把信任的人员，如隘何进行相关培训昂使员工意识到他哎们的工作职责和哎公司对他们的要氨求，如何通过考捌核、薪酬、提升爱等政策激励约束霸员工。（二）风险评估扮1、吧风险及风险评估半的定义肮风险是任何影响斑目标实现的因素傲,所有企业，无班论规模、结构和颁行业性质，都面凹临着风险，可以啊说有经营就有风笆险。风险有来自翱企业内部的，也案有来自企业外部败。笆为了加强对风险碍的控制，必须进般行风险评估，伴风险评估肮是摆指对相关风险

29、进霸行识别和分析，坝是发现和分析那拜些影响目标实现矮的风险的过程，敖是确定如何管理跋和控制风险的基爸础。半风险评估的前提柏条件是设立目标霸，只有先确立了按目标，管理层才昂能针对目标确定叭风险并采取必要八的行动来管理风耙险。袄企业的目标可以肮分为公司层面目扳标和业务活动层背面目标，公司层肮面目标是指公司碍的总目标和相关爸战略计划，与高败层次资源的分配隘和优先利用相关案。业务活动层面按的目标是总目标凹的子目标，是针案对企业业务活动哀的更加专门化的鞍目标。业务活动邦层埃面的挨目标应该清楚，皑易于理解，以便斑从事该操作的人埃能实现其目标，案同时还必须是可碍衡量的，以便于柏考核。芭实现目标需要耗案费资源

30、，因此设鞍立目标必须考虑熬可获得的资源，伴企业应该稗对目标进行分析坝，巴提醒自己找出与扮总目标不相关的八操作目标，以免把资源浪费，而对敖实现总目标至关版重要的操作目标耙，则优先安排资爱源。伴2、霸如何进行风险评巴估1）风险识别拌风险评估的过程颁首先是进行风险版识别，风险识别八需要考虑所有可般能发生的风险，白并且需要考虑企按业和相关外界之疤间的所有重大相八互影响。风险识凹别也是一个重复翱的过程，需要针傲对环境的变化持扳续进行。导致企岸业经营风险的因袄素包括内部和外白部两个方面：外部因素包括：背技术发展伴盎影响研发的性质巴和时机，或带来霸采购的变化。（笆例如：出现新的案、更高效的油气懊开采技术，未

31、掌傲握相关技术的公白司会导致市场竞氨争力降低，进而碍影响经营目标的板实现）蔼不断变化的客户拌需求和期望矮唉影响产品开发、霸定价。（例如：跋纳米技术的应用安，客户对产品的芭期望改变；）板竞争坝背影响营销和服务哀活动（例如：W啊TO导致更多具扒有较高竞争力国氨外石油公司进入盎中国市场）。胺新的法律和法规笆挨影响经营政策和按策略（例如：萨斑班斯法案）。凹自然灾害案懊造成损失。隘经济形势的变化败等皑暗影响融资、资本吧支出和扩张决策绊。内部因素包括：哀 疤信息系统运行的懊中断哎颁影响经营运转。佰 芭雇员的素质和培隘训、激励的方法癌埃影响控制理念。爸 百管理层职责的改半变笆稗影响某些实施控半制的方式。肮

32、颁企业经营活动的霸性质、员工对资霸产的接触途径澳昂产生挪用。巴 白董事会或审计委按员会无法有效履伴行其职责埃柏可能为管理层轻袄率的行为提供机胺会。2）风险分析碍识别风险后，需熬要进行风险分析搬，分析的内容主版要有：懊估计风险的重要敖性程度；伴评估风险发生的笆可能性（或频率拔、概率）；肮考虑如何管理风斑险把拜即评估需要采取把何种措施疤针对风险分析的昂结果而采取的控皑制活动，管理层懊应仔细考虑现有班内控程序对于已隘识别的风险是否胺合适。如果现有耙程序可能已经足敖够或只需要执行拌得更好，那么就吧不必制定附加程拔序。班管理层还应认识癌到，总会存在一胺些残留风险的可跋能性，不仅因为熬资源总是有限的袄，还

33、因为每个内矮控系统都有内在颁局限性。因此，扮管理层叭的一项重要工作颁是权衡利弊，蔼确定能够谨慎地挨接受多少风险，般并尽力将风险控埃制在可接受的水拜平内。3）应对变化胺经济形势、行业熬和法规环境不断唉改变，企业业务熬活动不断发展。傲在一个环境下有把效的内部控制在巴另一环境下未必蔼有效。风险评估鞍的本质就是一个搬识别变化的环境邦并采取相应行动吧的过程，风险评按估应持续地进行版, 并且应特别挨关注下面的情形八：叭变化的经营环境板爸变化的法律或经八济环境可能导致爸竞争压力的增加搬和显著不同的风扳险。澳新的人员澳扮新来的高层管理癌人员的经营风格拌与原先的不同。凹新的或经修订的稗信息系统八癌能否正常运行。

34、霸经营的快速增长氨稗当经营快速扩张埃，现有制度的局哀限可能导致控制氨失效；当程序变翱动或新人员增加岸时，现有的监督翱可能就不能保持爱充分的控制。败新技术斑笆新技术被运用到皑生产流程或信息按系统中，内部控疤制就很可能需要伴修改。疤新业务、产品、爸活动蔼巴当企业进入新的把商业领域或从事拜不熟悉的交易时疤，现有的控制可蔼能就不充分了。盎公司重组扮斑公司因为收购、败合并或者业务下唉滑、成本控制等邦原因进行结构重斑组。重组可能导邦致内部裁员，职俺责分工的合并，暗或者，原来的一斑个重要控制岗位跋被取消，却没有哀相应的替代控制熬出现。很多公司八重组后大量削减把人员，就碰到了矮严重的控制缺陷绊。把海外经营佰啊

35、海外经营的扩张邦或收购带来了新背的和独特的风险白。例如，内控环霸境可能受到当地熬管理层文化和风阿俗的影响。另外罢，当地经济和法半律环境可能带来半独特的风险因素埃。内控活动拜内控活动是指为背确保管理层指示疤得以执行的政策颁和程序。它有助背于进行风险管理拜和保证企业目标盎的实现，内控活巴动贯穿于企业的扳所有层次和部门按。它们包括一系傲列不同的活动，半如审批、授权、按确认、核对、审般核经营业绩、资靶产保护以及职责岸分工等。斑1、挨内控活动类型：俺控制活动可以有百不同的描述方式邦：把针对企业的不同皑目标，控制活动白可以分为以下三版个类型：即为按提高经营效率效蔼果、肮增强财务报告的靶可靠性、遵守法摆规等

36、目标的三类哀控制活动；熬根据控制活动的班不同作用，控制扳活动又可以分为艾：预防性控制、鞍检查性控制、指柏导性控制、把纠错性控制、吧补偿性控制等五稗种类型；罢根据组织中实施搬人员的不同，控碍制活动也可以分罢为：高层复核、隘指导并管理业务把活动、信息处理芭、实物控制、业叭绩指标分析、职霸责分离等。碍高层复核搬瓣管理层将实际业俺绩情况和预算相板比较，将当期业鞍绩和前期相比较翱，将本企业的业埃绩情况与竞争对阿手相比较，对企隘业主要行为进行半追踪，以衡量目伴标实现的程度。唉指导并管理业务把活动背安负责整个板块生耙产的领导，分地班区公司、分产品般类别等内容审阅俺生产业绩报告，捌对照经营目标，邦分析其中反映

37、出百的生产管理方面捌的问题，并指出艾需要改进的方向敖。案信息处理氨邦这类控制被用于拌核对交易的准确拌性、完整性和遵昂循性。如：系统吧对数据录入设定俺编辑复核功能，扒并对数据修改实拜行系统性控制；奥客户订单，只有碍与经批准的客户拜文件和信用额度安相符，才能被接懊受；交易应按连办的编号记账；系霸统管理员对例外奥事项报告进行跟蔼踪调查，必要时耙向主管领导报告摆。案资产保护即实物颁控制绊瓣对设备、存货、鞍证券、现金及其鞍他资产实物采取扮保管措施，并定背期进行盘点和帐敖实核对。案业绩指标分析肮熬采购部门的员工矮分析采购价格变摆动、紧急采购订板单占全部订单的胺比率、退货订单搬占全部订单的比败率，通过调查异

38、拔常的结果和异常霸的变动趋势，关办注那些可能影响傲目标实现的问题鞍，并提出改进方百案。澳职责分离安俺职责在不同人员耙之间的分工或分熬离，可以降低发稗生错误或不当行袄为的可能性。例啊如，交易的授权昂、记录和处理相百关资产的职责应扒予以分离；授权盎赊销的经理应不背负责应收账款的背记录或现金收入安的处理。捌2、敖控制活动的要素芭埃 政策和程序袄控制活动一般包拔含两个要素，即熬：第一个要素，坝政策瓣氨它描述应该做什邦么，第二个要素跋，程序爸邦它描述应该怎样碍做；政策是程序扒的基础，同时，蔼程序又影响政策把的执行。例如，皑政策要求，应该巴由专人定期进行半存货盘点，程序跋即盘点本身，其笆实施的频率、关凹注

39、的要点、存货安的性质、数量等懊等。隘3、阿控制活动应和风鞍险评估相结合版管理层在进行风哀险评估的同时，板应该针对该特定拌风险找出并实施稗有效的措施，这暗些针对某项特定般风险的具体措施扳也就是建立控制跋活动的要素，它吧有助于保证控制半活动得以及时、岸有效地实施。傲4、芭信息系统的控制阿随着信息技术的挨发展，大多数企扮业，包括小公司背或大公司的部门扳，都引进、建立癌和运用了现代化按信息处理系统，按现代化的信息系霸统不仅提高了企半业的工作效率，袄而且也改变企业把的经营方式和方拌法，甚至影响企版业的战略规划，柏因此信息系统的耙控制伴十分重要袄。拌信息系统内控活癌动可分为两大类板。第一类是一般袄性控制皑

40、癌适用多数应用系疤统并协助确保其唉持续、正确地运扳行阿, 稗包括对数据中心懊操作、系统软件摆的购买和维护、拔数据的安全、以盎及应用系统开发板和维护的控制。啊第二类是应用性版控制，包括应用巴软件中的电算化癌步骤，以及用以昂控制不同种类交白易处理过程的相办关手工操作程序澳，它是保证交易按处理的完整性、吧准确性、交易授佰权和有效性的内癌部控制。例如，叭公司的销售政策班规定给予金额在唉20万以上订单翱以8折优惠；系安统根据事先的设胺定，对于20万斑以上的订单自动吧给予哎20%背的折扣优惠，而肮对于20万以下凹订单仅允许全价昂销售。叭这两类对计算机艾系统的控制是相艾互关联的。一般矮性控制用于保证昂建立在

41、计算机程俺序基础上的应用白性控制得以实施靶。拔（四）跋信息和沟通斑信息和沟通是指般相关信息以某种跋形式并在某个时颁段被识别、获得奥和沟通，以促使坝员工履行自己的疤职责。这里所说懊的信息是指来源邦于企业内部及外哎部，与企业经营靶相关的财务及非稗财务的信息。信疤息必须在一定的氨时限内传递给需爱要的人，以帮助鞍人们行使各自的背控制和其它职能懊。沟通则是指信稗息在企业内部各氨层次、各部门，白在企业与顾客、凹供应商、监管者半和股东等外部环八境之间的流动。挨有效的沟通必须白广泛的进行，自半上而下、自下而爸上地贯穿整个组袄织。所有人员都霸要从高级管理层盎获得明确的信息盎：必须认真对待熬控制责任。他们扒必须了

42、解各自在唉内部控制体系中按担任的角色，以板及个人行为与他艾人工作的相互关唉系。他们必须有鞍自下而上传递重摆要信息的渠道和板方法。同时，也疤要顾客、供应商昂、监管者和股东奥等外部人员建立摆有效的沟通。1、信息伴企业的管理活动澳依赖于各种信息拜，既包括内部生案成的信息，也包安括从外部获取的唉行业、经济、监叭管等方面的信息邦。因此，企业必凹需要建立良好的伴信息系统来识别袄、获得、加工和艾报告这些信息。邦有效的信息系统芭不仅能够识别和蔼获得所需要的财扮务和非财务的信芭息，还能够在一稗定时限内根据需绊要加工和报告这巴些信息。另外，皑当企业面临基本半的行业变化，面摆临有高度创新能碍力反应迅捷的竞板争对手或

43、面对重跋大的顾客需求变柏化时，信息系统碍必须随企业目标岸、经营环境的变坝化而变化，及时拌适应新的需求。爸1）皑信息的识别和获拌取胺信息的识别和获胺取的方式是多种背多样的：信息系坝统可以采取监控疤方式，定期获取办特定的数据；或氨者，可以采取某胺些特定的方式获拜取所需信息，如板通过问卷、采访疤、广泛的市场需袄求调研或针对特瓣定群体的调查获绊得顾客对产品和肮服务的需求信息矮；通过与顾客、邦供应商、监管者氨以及员工的谈话靶获得识别风险和阿机遇所必需的重百要信息；参加专胺业或行业的研讨白会也可以获得有笆价值的信息。坝2）霸信息加工和报告袄信息是决策的基把础，但并非所有拜的信息都是有用暗的信息，因此，案需

44、要对信息进行芭加工整理，归纳鞍汇总，根据需要阿向不同的部门和胺人员报告不同的翱信息。为了提高巴信息的质量，需熬要考虑：挨稗内容是否适当傲瓣翱它是所需要的信澳息吗？懊罢信息是否及时罢拔当我们需要时就阿能获得吗？埃八信息是当前的吗办？百碍是我们能获得的啊最新的信息吗？哎啊信息是否准确袄笆数据都准确吗？胺颁信息是否畅通靶坝相应的部门能容俺易地获得信息吗翱？版在设计系统时必艾须考虑以上问题癌。如果不考虑，案系统很可能无法癌提供管理层和其芭它人员需要的有稗用信息。巴3）败信息系统的整合昂 信息系统是经熬营行为的一个组巴成部分，它通过癌获取决策所需的俺信息来影响控制败，随着信息技术伴的发展，信息系搬统可以

45、更迅速、案更广泛提供更有碍价值的信息，对哎企业的管理影响凹更加深远，甚至靶影响到企业的战敖略规划，一项最佰新发布的研究表暗明，信息系统的伴规划、设计和应按用已经开始同组案织的整体战略整蔼合在一起。多数熬新的生产系统与矮企业其它的系统柏，可能还包括企绊业的财务系统，哀高度地整合为一岸体。当系统执行俺其它的运行时，安财务数据和会计安记录会自动更新把。2、沟通奥沟通是信息系统绊固有的，是将信佰息提供给相关人碍员，以便与其履肮行职责，沟通必班须贯穿于信息处伴理的整个过程，翱有效的沟通不仅办在整个企业内进胺行，也包括与外颁部进行的沟通。1）内部沟通八内部沟通是指企笆业内部上下级之邦间、横向部门之摆间的沟

46、通，下面安以例举的方式介叭绍内部沟通的主笆要内容：袄所有的人员，特昂别是那些有着重傲要的经营和财务白管理职责的人员八，取得管理所需疤信息，并清楚地佰知道必须严肃履疤行内部控制的责颁任。袄每个人需要理解邦所负责内部控制埃部分如何运行及扒个人在系统中的案职责。隘在执行自己的职靶责时，每个人都斑应该知道，当意耙外发生时，不仅坝要注意事件本身熬，还要注意事件板的原因。这样，鞍就可以了解到系奥统潜在的缺陷，澳并采取预防的措啊施。比如，发现颁滞销的存货不仅盎要在财务报告上扳留下准确的记录吧，更重要的是对班存货滞销的原因盎作出判断。百人们需要知道自巴己的行为怎样与柏他人的工作相联拜系。岸需要知道什么样败的行

47、为是被期望肮的，什么是可以跋接受的，什么是搬不可接受的。拌员工也需要知道柏在企业中自下而白上传递重要信息鞍的方法和渠道。阿员工必须相信他背们的上级确实想柏了解问题并愿意爸有效地解决问题啊，在任何情况下袄不会因报告相关靶信息而受到报复绊。傲在多数情况下，挨正常的报告渠道袄就是适当的沟通扮渠道。然而，在唉特定条件下，需哀要独立的沟通渠氨道作为一个预防安失败的机制，在吧正常渠道不起作白用时加以运用。傲例如为员工提供昂直接接触财务总百监或企业法律顾癌问这样的高层领班导的渠道；总裁八可以定期抽出时稗间接待员工来访哎，并且让员工知碍道为任何事情的爸来访都是受欢迎八的；总裁也可以矮定期去车间拜访袄他的员工，

48、形成八一种人们能够交罢流难题和关心的霸问题的氛围。拌管理层与董事会靶及其委员之间的哎沟通至关重要。鞍管理层必须使董氨事会了解最新的跋业绩、发展、风坝险、主要的革新哎以及其它任何相白关的事件或事故肮。与董事会的沟阿通越好，董事会埃越能有效地行使蔼监督职能，并能胺够对于关键的事拌务作出合理的行皑为，提供建议和懊忠告。同样，董把事会也应该向管熬理层传达其所需碍要的信息，并提吧供指导和反馈。2）外部沟通爸企业不仅在内部盎需要有适当的沟跋通，而且与外部翱也是,与外部沟绊通的内容包括：百通过开放的沟通敖渠道，了解顾客矮、供应商对于产稗品或服务的设计拔或质量方面的要搬求使公司注意顾叭客的需求和偏好捌。爱在与

49、外部的交往扳中强调企业的道熬德标准，使外部翱人员知道认识到胺不适当的行为。跋比如公司可以同搬供应商直接沟通拌，解释公司期望懊供应商雇员在与凹其打交道时应怎懊么做，明确回扣斑以及其它不适当笆的收入，都是不阿能容忍的。凹与外部审计师的白沟通，管理层和板董事会可以了解扒重要的控制信息巴。岸与股东、监管者斑、财务分析师以拜及其它外界的交疤流，可以了解企吧业所面临的情况懊和风险。扮管理层同外界（暗无论是公开的、疤即将进行的、严芭格跟踪的还是其袄它的）的交流也耙可以向整个公司拜内部传递信息。3）沟通的方式翱沟通可以采用诸哀如政策手册，备柏忘录，布告通知耙，录像录音带的颁形式,又可采用拜口头传递消息的班方式

50、。另一种有蔼影响力的沟通手埃段是管理层在领邦导下属工作时的办言行。（五）监督稗内部控制随着时埃间、环境而变化皑，曾经有效的程爱序可能会变得不扳太有效，因此需矮要对内部控制进捌行监督。监督是肮评估内控系统在拌一定时期内运行肮质量的过程，目靶的是保证内部控罢制持续有效，监碍督可通过两种方懊式进行：持续性佰的监督活动和独百立的评估。持续般性的监督活动是皑植根于企业日常白、重复发生的活澳动中的。与独立矮评估相比，由于颁持续性监督程序奥在实时基础上实叭施、动态地应对埃环境的变化，并挨在企业中根深蒂敖固而显得更加有叭效。不过，独立搬评估发生在事实跋之后，比起持续爱性监督程序，可啊更快地发现问题败。一个感到

51、有必捌要进行经常性的鞍独立评估的企业伴，应重点关注改斑进持续性监督的皑途径，并强调百“盎嵌入瓣”肮而非颁“绊外加鞍”癌的控制。敖1、巴持续性监督行为白持续性的监督行唉为发生在经营的盎过程中，它包括摆日常管理和监督鞍行为、比较、核班对和其他常规性暗活动。持续性监靶督行为有下面一斑些例子：坝在执行常规管理捌行为时，经营管隘理层取得内部控背制持续运转的证八据。八与外界各方的沟伴通能够印证内部拔产生的信息或揭扒示问题。例如：扮顾客支付账单，哀表明其确认了帐巴单数据；相反地唉，顾客对帐单的袄投诉可能表明销傲售交易过程存在板系统缺陷。公司氨审核有关作业安安全的政策和操作埃步骤，从经营安吧全性和合规性的爸角

52、度为内控是否颁有效运行提供信袄息，因而被视为哀一项监督；监管肮者就合法性或其拜他事项与企业进隘行交流，也会从唉某种角度反映内按控系统是否有效耙运行。案适当的组织结构跋和监督行为不但败监督内控职能的翱执行并且能够发胺现内控的缺陷。暗例如，财务负责啊人对财务人员针般对交易正确性和阿完整性实施的内伴控活动实施日常氨的监管。另外，叭管理层对员工的背职责分配定期进矮行审核，以确保拌合理分工以便相拜互制衡，有利于拌防止员工舞弊，靶并可以限制个人搬掩盖其可疑行为百的能力。翱将信息系统所记把录的数据与实物瓣资产相核对。例艾如，产成品存货胺应定期进行盘点氨，将盘点的数据矮与相应的会计数吧据核对并记录存爱在的差异

53、。哀内部及外部审计叭师定期为进一步捌加强内部控制提扒供建议。审计师哎通过评价内控的坝设计并测试其有碍效性，发现一些罢潜在的问题并向矮管理层提供解决佰问题的建议。肮培训研讨会、计哎划会议及其他会疤议能向管理层提翱供有关控制是否半有效的重要反馈啊。这种方式不但百能指出控制中存埃在的个别问题，熬还能增强参与者拜的控制意识。氨定期询问职员理敖解及执行企业相把关规定的情况。背如向经营及财务佰人员询问相关的叭控制程序是否正班常运行。2、独立评估扮独立评估是独立班于控制活动之外拜而采取的定期评办估行为。尽管持氨续性监督程序可颁以提供关于其他暗控制要素有效性哀的重要反馈信息拜，但经常地对系靶统的有效性直接吧进

54、行评估也是十邦分必要的。这样耙同时也提供了一把个机会来评价持袄续性监督程序是白否有效。1）范围和频率胺独立评估的范围疤和频率主要依赖罢于风险评估和持翱续性监督程序的俺有效性。由于所跋控制风险的大小肮及内部控制在减板小风险中的重要跋性不同，对于内扮部控制进行评价暗的范围和频率也蔼不一样。例如，斑那些致力于重大艾风险或对减小风瓣险具有重要作用扳的控制就应经常罢地进行评价。2）评价主体扮评价主体，即由哀谁来实施独立评斑估。一般来说，颁评价主体包括：白一是自我评价，爱即负责某一单位唉或职责的人员对把其控制自身活动背的有效性进行评八价。例如，一位癌部门主管应指导凹本部门内部控制八的评价活动。他爸或她可能

55、亲自评瓣价内控环境因素办，然后请部门内奥负责各种经营活颁动的人员评价其稗他要素的有效性澳。跋二是内部审计人白员评估，有时，笆在董事会、高级阿管理层、子公司氨及部门主管的特蔼殊要求下，内审埃人员也会对内控百进行评价。同样矮，在评价内控时拔，管理层也可利傲用外部审计人员安的工作。癌3）伴评价程序及方法肮体系按首先是同企业职敖员进行探讨并审拔阅已有的文件，鞍了解系统的运行扳过程或内控系统百的设计；其次是唉根据已确定的目挨标分析内部控制氨的设计和测试结啊果，分析是否对摆既定目标提供了邦合理保证。懊评估方法有许多哎可供选择，包括颁检查清单、调查叭问卷和流程图等肮方法。也可与那把些被认为在内控靶系统方面具

56、有良拜好声誉的公司进败行比较。4）行动计划坝第一次指导评估霸内控系统的管理奥人员可以考虑下爱列建议，决定对半何处着手和如何安去做：安决定评估的范围皑，包括目标的分俺类、内部控制要奥素和需采取的行傲动。暗确定对内部控制巴的有效性提供常背规保证的持续的奥监督行为。叭分析内部审计的耙控制评估工作，蔼考虑外部审计师板与控制相关的发把现。稗按照单位、要素凹或高风险区域划巴分重要性程度和熬先后次序，保证拔及时的关注傲在以上基础上，澳建立相关的评估熬程序。傲汇集所有进行评案估的各方，共同奥考虑下列问题：袄不仅要考虑评估斑范围和时间表，扳而且要考虑所使稗用的方法体系，败应用的工具，来罢自内外部审计师板和监管者

57、的建议澳，报告所发现问皑题的方式以及设熬定最终的文本化拌程度。扒监督进展和复核绊发现。鞍保证采取必要的败追踪措施，必要扳时修改后续的评矮估部分。5）报告缺陷肮这里的氨“柏缺陷伴”拌被广泛定义为内哀控系统中值得注按意的问题。缺陷把可能代表一个假办想的、潜在的或氨实际的缺点，或唉一个强化内控系傲统的机会。向恰爱当的当事人提供鞍有关内部控制缺鞍陷的必要信息，百对内部控制制度唉的持续有效运行斑十分关键。内部扒控制的缺陷应自班下而上进行报告盎，重要事项应报巴知高层管理人员稗和董事会。对于啊发现的内部控制板缺陷，不仅应向笆负责的个人汇报背，由他采取正确鞍的措施，还至少胺应向该责任人的坝上一级汇报。这搬一过

58、程使得责任翱人能及时采取措颁施，也便于其上颁级提供所需的支疤持或进行监督，俺并与企业中受影翱响的他人进行沟澳通。重要事项应啊报知高层管理人盎员和董事会。6）文本化绊企业内部控制的靶文本化有利于评伴估，有利于增进稗员工对内控系统哀如何运行及各自拌职责的理解，更笆易于必要时对其按修改。文本化的巴程度根据各企业案的规模、复杂性半和类似因素的不把同而存在差异。伴大一些的公司通半常有书面的政策爸手册、正式的组爸织图、书面的工靶作描述、经营指肮导、信息系统流澳程等。小一些的白公司内部控制文凹本化的程度一般挨低得多。控制没爸有文本化并不意翱味着内控系统是安无效的或无法评颁估，不过当需要翱向更多人提供有奥关内部控制的阐暗述或评估时，内敖部控制文本化的扒性质和程度将会癌提高。当管理层扮希望向外界提供肮关于内控系统效俺果的声明时，他蔼们应当考虑形成碍文件来支持该声啊明。如果该声明袄今后被质询，这拌些文件将很有用班。肮四、胺内部控制的局限扮性芭也许有人会认为蔼内部控制可以确办保企业万无一失爱，这也是我们所埃希望的，但事实八并非如此，无论白内部控制设计和安执行的多好，它颁也只能提供合理隘的保证，这是内白部控制系统固有颁的局限性。具体跋表现在：拜判断失误扒拌判断是人在事情阿发生时依据现有斑信息的所做出的隘，个人的判断不碍