COSO内控框架培训资料

1、COSO内部控控制框架培训训资料内容提要：一、背景介绍（一）COSOO内部控制框框架的产生及及发展过程（二）中石油目目前的内部控控制体系与CCOSO内部部控制框架的的差距二、COSO内内部控制框架架下内部控制制的定义（一）COSOO内部控制框框架对内部控控制的定义（二）对内部控控制定义的理理解（三）COSOO内部控制框框架的组成要要素三、COSO内内部控制框架架五要素 （一） 内控控环境（二）风险评估估（三）内控活动动（四）信息与沟沟通 （五）监督四、内部控制的的局限性五、员工在内部部控制中的作作用和职责六、小结一、背景介绍内部控制是什么么?不同的人人有不同的理理解。 一般般的人把内部部控制理

2、解为为组织为了减减少决策失误误和工作缺陷陷而实施的控控制,这些控控制可能是内内部监督、也也可能是管理理手册、规章章制度等。这这种理解没有有错，但不全全面。按照现现代的内控理论论，这些仅仅仅是内部控制制的一部分，而而不是全部。现代内内控理论认为为，内部控制制是一个系统统化的框架，它它建立在风险险管理的基础础上，包括内内控环境、风风险分析、内内控活动、信信息与沟通、监监督五大要素素。（一）COSOO内部控制框框架的产生和和发展过程内部控制理论的的发展是一个个逐步演变的的过程，大致致可以区分为为内部牵制、内内部控制制度度、内部控制制结构与内部部控制整体框框架四个阶段段。在内部牵牵制阶段，账账目间的相

3、互互核对是内控控的主要内容容，设定岗位位分离是内控控的主要方式式，这在早期期被认为是确确保所有账目目正确无误的的一种理想控控制方法；在在内部控制制制度阶段，内内部控制的重重点是建立健健全规章制度度；在内部控控制结构阶段段，内部控制制被认为是为为合理保证企企业特定目标标的实现而建建立的各种政政策和程序，分分为内控环境境、会计制度度和控制程序序三个方面；内部控制整整体框架阶段段，就是我们们下面将要讨讨论的COSSO内部控制制框架。在美国，20世世纪70年代代中期，与内内部控制有关关的活动大部部分集中在制制度的设计和和审计方面，重重在改进内部部控制制度和和方法。19973年至11976年对对水门事件

4、（美美国公司进行行违法的国内内捐款和贿赂赂外国政府官官员）的调查查使得立法机机关与行政机机关开始注意意到内部控制制问题。针对对调查的结果果，美国国会会于19799年通过了反反国外贿赂法法（简称FFCPA）。FFCPA除了了规定了关于于反贿赂的条条款外，还规规定了与会计计及内部控制制有关的条款款。因此美国国许多机构都都加强了对内内部控制的研研究并提出许许多建议。11985年，由由美国注册会会计师协会、会会计协会、财财务主管协会会、内部审计计师协会、管管理会计师协协会联合创建建了反虚假财务报告告委员会，该该委员会旨在在探讨财务报报告中的舞弊弊产生的原因因，并寻找解解决措施。两两年后，该委委员会提出

5、了了很多有价值值的建议。基基于该委员会会的建议，其其赞助机构成成立COSOO委员会，专专门研究内部部控制问题。11992年99月，COSSO委员会提提出了报告内内部控制整体框架（11994年进进行了增补）， 即COSOO内部控制框框架。 COSO内控控框架的提出出标志着内部部控制理论发发展到新的阶阶段，对企业业完善和优化化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，萨班斯法案第 404 条款的最终细则也明确表明 C

6、OSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。同时，对股份公司来说，这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的。（二）中石油目目前的内部控控制体系与CCOSO内部部控制框架的的差距目前，股份公司司通过多年的的管理实践和和积累，已经经建立了一套套

7、针对石油行行业的行之有有效的内控体体系，但与CCOSO内部部控制框架的的要求相比还还存在一些距距离。这些差差距主要体现现在：内部控控制体系的整整体框架、内内控环境、风风险评估等理理念尚未被广广泛接受、内内部控制的文文档记录还不不够系统规范范、缺乏自我我评估机制等等。“他山之石，可可以攻玉”，COSOO内控框架对对于我们加强强企业内部控控制具有一定定的启发和借借鉴意义。为为此，我们需需要认真学习习COSO内内部控制框架架理论，充分分认识和理解解COSO内内部控制框架架，并在实际际经营管理中中积极实践，大大力贯彻和实实施，从而优优化内部控制制，完善内控控体系，全面面提升公司管管理水平。二、COSO

8、内内部控制框架架下内控制度度定义（一）COSOO内控框架对对内部控制的的定义COSO内部控控制框架认为为，内部控制制是受企业董董事会、管理理层和其他人人员影响，为为经营的效率率效果、财务务报告的可靠靠性、相关法法规的遵循性性等目标的实实现而提供合合理保证的过过程。（二）对内部控控制定义的理理解应该从以下几个个方面理解内内部控制的定定义：第一，内部控制制是一个“过程”，而且是一一个动态的过过程。企业的的经营活动是是永不停止的的，企业的内内部控制过程程也因此不会会停止，它是是一个发现问问题、解决问问题、发现新新问题、解决决新问题的循循环往复的过过程。内部控控制应该与企企业的经营管管理过程相结结合，

9、而不是是凌驾于企业业的基本活动动之上，它促促使经营达到到预期的效果果，并监督企企业经营过程程的持续有效效进行。第二，内部控制制受到“人”的因素的影影响，它并不不仅仅是政策策手册和表格格，不仅仅是是管理人员、内内部审计或董董事会，而是是组织中的每每一个人，每每一个人都对对内部控制负负有责任并受受到内部控制制的影响；是是“人”建立企业的的目标，并将将控制机制赋赋予实施。确确立这种观念念有利于企业业的所有员工工明确自己的的责任和权限限，主动地维维护及改善企企业的内部控控制。第三，内部控制制无论设计和和运行得多么么完善，也只只能为企业的的管理层和董董事会提供合合理的保证，而而不是绝对保保证，因为内内部

10、控制本身身具有局限性。最后，内控框架架将内部控制制目标分为三三类：与营运运有关的目标标即经营的效效率与效果、与与财务报告有有关的目标即财务报告告的可靠性、以及与法规规的遵循性有有关的目标。上上述分类让我我们专注于内内部控制的各各个方面，这这些相互有别，相互互交叉的分类类满足不同的的需要，并且且表明了不同同的执行人员员的直接责任任。（三） COSSO内部控制制框架的组成成要素COSO内部控控制框架认为为，内部控制制系统是由内内控环境、风风险评估、内内控活动、信信息与沟通、监监督五要素组组成，它们取取决于管理层层经营企业的的方式，并融融入管理过程程本身，其相相互关系可以以用下面模型型表示。内控活动

11、内控活动 确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。 内部审计工作。内控环境 营造单位气氛让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务

12、单位A业务单位B活动2活动1监督信息和沟通内控活动风险评估内控环境营运财务报告合规性业务单位A业务单位B活动2活动1内控环境内内控环境是企企业的基调、氛氛围，直接影影响企业员工工的控制意识识。内控环境境要素是推动动企业发展的的发动机，也也是其他一切切要素的核心心，包括员工工的诚信、职职业道德和工工作胜任能力力；管理层的的经营理念和和经营风格；董事会或审审计委员会的的监管和指导导力度；企业业的权责分配配方法和人力力资源政策。可可以说人及其其人进行的活活动是任何企企业的核心，是是构成内控环环境的重要要要素，又与环环境相互影响响、相互作用用。风险评估风风险评估是识识别、分析相相关风险以实实现既定目标

13、标，是风险管管理的基础。每每个企业都面面临着诸多来来自内部和外外部的风险，影影响企业既定定目标的实现现。因此必须须设立一个机机制来识别、分分析和管理影影响目标实现现的相关风险险，并适时加加以管理。内控活动内内控活动指那那些有助于管管理层决策顺顺利实施的政政策和程序，是是针对风险采采取的控制措措施。它们包包括诸如批准准、授权、查查证、核对、复复核经营业绩绩、资产保护护和职责分工工等活动。信息与沟通是指企业经经营管理所需需信息必须被被识别、获得得并以一定形形式及时传递递，以便员工工履行职责。信信息不仅包括括内部产生的的信息，还包包括与企业经经营决策和对对外报告相关关的外部信息息。畅通的沟沟通渠道和

14、机机制使企业的的员工能及时时取得他们在在执行、管理理和控制企业业经营过程中中所需的信息息，并交换这这些信息。监督是对内内部控制系统统有效性进行行评估的过程程，可以通过过持续 性监监督、独立评评估或两者的的结合来实现现对内控系统统的监督。内控体系五要素素之间的关系系我们可以理理解为：企业业的核心是人人，人的诚信信、道德价值值观和胜任能能力构成了企企业的内控环环境，这是企企业发展的基基础。每个企业都有自己己的发展目标标，为了目标标的实现，必必须分析影响响因素，即进进行风险评估估。针对风险险评估的结果果需要采取相相应的内控活活动来控制和和减少风险。同同时与内控环环境、风险评评估和内控活活动相关的信信

15、息应及时被被获取、加工工整理，并在在企业内部传传递，这就是是信息与沟通通，信息与沟沟通系统围绕绕在内控活动动周围，反映映企业各项管管理活动的运运转情况。为为了保证内控控体系的正常常运转，还需需要对整个内内控过程进行行监督。内部控制五要素素之间的配合合和联系，组组成了一个完完整的系统，可可以灵活地随随条件变化而而变化。但各各要素之间并并非是一项要要素影响下一一项要素的顺顺序过程，任任一要素都可可以影响其他他要素，例如如对风险的评评估不仅仅影影响内控活动动，还可能影影响信息和沟沟通、监督行行为等。COSO内部控控制框架适用用于各类企业业，但是中小小企业对其应应用可能不同同于大型企业业，中小企业业的

16、内部控制制可能不及大大型企业正式式、组织性强强，但也可以以是有效的。对对此，本次培培训以大型公公司为例，未未考虑中小公公司的差异。三、COSO内内部控制框架架五要素（一）内控环境境内控环境是其他他控制要素的的基础。内控控环境因素包包括：员工的的诚信和道德德价值观；员工工的胜任能力力；董事会和和审计委员会会；管理层的的经营理念和和经营风格；组织结构；管理层授权权和职责分工工、人力资源源政策和措施施。下面讨论论各项因素的的具体内容。1、员工的诚信信和道德价值值观内部控制是由人人建立、执行行和维护的，人人是内部控制制有效运行的的根本因素。人人的道德价值值观影响着人人的行为。企企业员工具有有良好的道德

17、德标准并形成成良好的道德德氛围，对控控制系统的有有效运行非常常重要，也有有助于防范那那些内控系统统难以控制的的行为。员工的诚信和道道德价值观是是指员工行为为的准则，是是告诉员工什什么行为可接接受、什么行行为不可接受受、以及遇到到不正当行为为应该采取的的行动。主要要包括以下内内容：利益冲突 每一个员工工都有责任将将公司利益放放在第一位，避避免私人利益益与公司利益益的冲突。合法性 公公司要承诺在在进行业务时时是抱着诚实实和诚信原则则，并遵循所所有适用的法法律和规章制制度。及时向指定人员员报告或检举举揭发违规事事项 员工有义务务对所发现的的关于会计、内内部控制或审审计等的违反反法律、规章章制度或行为

18、为准则的问题题，向道德规规范委员会报报告，或向披披露委员会或或审计委员会会汇报。发现现任何高级管管理人员违反反法律、规章章制度或行为为准则，应迅迅速向道德规规范委员会等等相关机构报报告。对检举举人应当建立立保密制度，包包括匿名保护护。遵守道德准则的的责任 明确员工必必须遵守道德德准则。对违违反准则的人人员建立惩罚罚机制，甚至至解雇或免职职。公司机遇 禁止员工工通过利用公公司财产、信信息或职位为为自己或其他他人牟取商业业机遇。保密 机机密信息是一一间公司最重重要的资产之之一。公司建建立相应政策策保护机密信信息，包括（aa）属于公司司商业性机密密信息（b）属属于非披露协协议下信息。每每一个员工在在

19、入职后应执执行保密协议议和保护公司司知识产权。员员工即使在终终止雇佣之后后，仍然有义义务保护公司司的机密信息息。公平交易 每一个员员工都应该努努力去公平对对待顾客、供供应商、竞争争者、公众，并并遵循商业道道德规范。为为了获得或维维持业务而进进行贿赂、回回扣或其他诱诱惑等都是不不允许的。与与业务相关，偶偶尔赠送非政政府雇员的价价值较低的商商业礼物的做做法是可以接接受的。但未未得到道德委委员会事先批批准的情况下下，赠送礼物物或款待政府府雇员是不允允许的。员工工代表公司购购买商品应遵遵循公司的采采购政策。公司资产的保护护及恰当使用用 每每一个员工必必须保护公司司资产，包括括实物资源、资资产、所有权权

20、、机密信息息，排除损失失、失窃或误误用。任何怀怀疑的损失、误误用或失窃都都应该报告给给经理或法律律部门。 公司资产必必须用于公司司业务，符合合公司政策。全面、公正、正正确、及时地地理解财务报报告及其披露露事项 因因为公司必须须提供完整、公公正、及时和和可理解的披披露报告及文文件，并存档档或呈交给证证监会以及公公共传媒，所所以每一个员员工都有责任任保证会计记记录的准确性性。管理层必必须建立和保保持适当的内内控，遵循公公司已有的会会计准则和流流程，保证交交易记录的完完整和准确。禁禁止干扰或不不正当的影响响公司财务报报表审计。要要求证实会计计记录和报表表受控，能够够保证准确性性，包括提供供给审计和定

21、定期向证监会会报告的义务务。对于企业来说，首首要的工作是是建立一套员员工能够接受受和理解的诚诚信和道德标标准，如道德德行为手册；其次是必须须让员工知晓晓和理解这些些规定（例如如：要求所有有员工定期签签字确认），这这是执行的前前提条件；最最后就是贯彻彻执行。在公公司内传递道道德标准的最最有效方式是是管理层以身身作则，员工工对于内控的的态度通常会会效仿他们的的领导。另外外，对违反准准则的员工应应予以相应惩惩罚；建立鼓鼓励员工揭发发违规行为的的机制；以及及对未能汇报报违规行为员员工的教育培培训都具有特特别重要的意意义。员工个人可能由由于下列因素素而卷入不诚诚实、非法或或不道德的行行为：不切实际的业绩

22、绩目标，特别别是短期业绩绩的压力（例例如：为了实实现预先设定定的利润指标标而在财务报报告中虚报收收入）将奖金分配与业业绩挂钩（例例如：错报与与业绩考核指指标相关的财财务信息）内控制度不存在在或无效（例例如：敏感业业务区域未设设立严格的职职责分工，这这为偷窃公司司资产或隐藏藏不良行为提提供了可能）。组织高度分散，可可能导致高层层管理人员不不清楚基层的的行为，缺少少必要的监管管，因此，减减少了基层舞舞弊被发现的的机会。内部审计职能薄薄弱，没有及及时发现和报报告不正确的的行为。董事会缺少对高高层管理人员员的客观监管管，可能导致致管理人员凌凌驾于内控制制度。管理层对不正确确行为的惩罚罚力度不够或或不公

23、开，从从而失去了应应有的威慑力力。2、胜任能力胜任能力是要求求员工具备完完成工作任务务所需的知识识和技能，目目的是保证员员工能够正确确理解相关规规定、及时恰恰当分析和处处理业务，这这是维护内部部控制有效性性的必备条件件。为此，管理层需需要设定工作作岗位的知识识和技能水平平要求，在招招聘、选用员员工时作为评评选的标准或或条件。在设设定工作所需需知识和技能能时，一方面面要根据工作作的性质和所所需的职业判判断，考虑能能力需求，另另一方面还应应考虑人力资资源成本即薪薪酬（例如：没有必要雇雇佣一名电子子工程师来换换一只灯泡）。3、董事会和审审计委员会董事会或审计委委员会的职能能是实施治理理、指导和监监督

24、管理层的的工作，如果果对管理层缺缺乏必要的监监督，管理层层可能会凌驾驾于控制之上上，甚至故意意歪曲结果，因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要，董事会或审计委员会作用的发挥，必须具备以下条件：一是要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够控制高级管理人员的薪酬，有权聘用和解聘高级管理人员。补充说明一点，股股份公司的治治理结构与国国外有所不同同，股份公司司设置监事会会，其职能类类似于国外审审计委员会的的职能，所以以股份公司的的董事会、审审计委员会和和监事会都需需要符合上

25、述述条件。4、管理层的经经营理念和经经营风格管理层的经营理理念和经营风风格影响企业业的管理方式式，包括面对对各种风险的的态度。管理理层的经营理理念和经营风风格形成了企企业文化，它它既是一切业业务实现的基基础，也为内内部控制的实实施提供了平平台。它往往往是企业内部部一种无形的的力量，影响响企业成员的的思维方法和和行为方式，包包括企业承受受营业风险的的种类、整个个企业的管理理方式、企业业管理阶层对对法规的反应应、对企业财财务的重视程程度以及对人人力资源的政政策及看法等等。它们都深深深地影响着着内部控制的的成效。例如如，有些公司司管理层的经经营理念和风风格较为激进进，愿意承担担更高的风险险以追求更高

26、高的盈利回报报；而有些公公司的管理层层则比较保守守，在风险承承担方面表现现得较为谨慎慎。可以看出出，不同的经经营理念和风风格决定了管管理层在承担担风险方面采采取不同的态态度和做出不不同的决策。以以销售信贷政政策为例，对对风险承受力力高的公司相相比承受力低低的公司，其其设定的信用用销售额度更更高，以期望望通过更优惠惠的政策吸引引和保留客户户，而获得更更高的销售额额。管理层的的经营理念和和经营风格还还表现在：管管理层对财务务报告的态度度，在会计政政策选择方面面是否谨慎，进进行会计估计计时是否遵循循审慎性原则则，对待数据据处理、会计计职能及人事事管理等方面面的态度等等等。5、组织结构组织结构是权责责

27、分工的架构构，在此架构构中规划、执执行、控制和和监督为实现现企业目标而而进行的活动动，每个企业业都可根据自自己的需要确确定组织结构构，可以是集集权型，也可可以是分权型型，可以是直直接的报告关关系，也可以以是矩阵型组组织结构，可可以按产品或或行业组织，也也可以按地理理分布或功能能组织，但不不论何种组织织结构，应根根据公司的业业务性质，进进行适当的集集中或分散，确确保信息的上上传、下达和和在各业务间间的流动，确确保企业目标标的实现。6、管理层授权权和职责分工工权力和责任分配配是指对员工工进行授权和和分配责任，将将企业的目标标层层分解落落实到每个员员工的头上，从从而将员工的的行为与企业业目标联系起起

28、来，增强员员工的自主控控制意识。权权力与责任分分配的关键是是权力与责任任的对等。7、人力资源政政策和措施人力资源政策和和措施是关于于员工聘用、培培训、考核、进进升、薪酬等等方面的政策策和程序，目目的是聘用和和维持有能力力的人员，保保证公司的计计划得以实施施，目标得以以实现。因此此，人力资源源政策和措施施应考虑如何何招聘进来有有能力、可信信任的人员，如如何进行相关关培训使员工工意识到他们们的工作职责责和公司对他他们的要求，如如何通过考核核、薪酬、提提升等政策激激励约束员工工。（二）风险评估估1、风险及风险险评估的定义义风险是任何影响响目标实现的的因素,所有有企业，无论论规模、结构构和行业性质质，

29、都面临着着风险，可以以说有经营就就有风险。风风险有来自企企业内部的，也也有来自企业业外部。为了加强对风险险的控制，必必须进行风险险评估，风险险评估是指对相关风风险进行识别别和分析，是是发现和分析析那些影响目目标实现的风风险的过程，是是确定如何管管理和控制风风险的基础。风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。企业的目标可以以分为公司层层面目标和业业务活动层面面目标，公司司层面目标是是指公司的总总目标和相关关战略计划，与与高层次资源源的分配和优优先利用相关关。业务活动动层面的目标标是总目标的的子目标，是是针对企业业业务活动的更更加专门化

30、的的目标。业务务活动层面的的目标应该清清楚，易于理理解，以便从从事该操作的的人能实现其其目标，同时时还必须是可可衡量的，以以便于考核。实现目标需要耗耗费资源，因因此设立目标标必须考虑可可获得的资源源，企业应该该对目标进行行分析，提醒醒自己找出与与总目标不相相关的操作目目标，以免资资源浪费，而而对实现总目目标至关重要要的操作目标标，则优先安安排资源。2、如何进行风风险评估1）风险识别风险评估的过程程首先是进行行风险识别，风风险识别需要要考虑所有可可能发生的风风险，并且需需要考虑企业业和相关外界界之间的所有有重大相互影影响。风险识识别也是一个个重复的过程程，需要针对对环境的变化化持续进行。导导致企

31、业经营营风险的因素素包括内部和和外部两个方方面：外部因素包括：技术发展影影响研发的性性质和时机，或或带来采购的的变化。（例例如：出现新新的、更高效效的油气开采采技术，未掌掌握相关技术术的公司会导导致市场竞争争力降低，进进而影响经营营目标的实现现）不断变化的客户户需求和期望望影响产品品开发、定价价。（例如：纳米技术的的应用，客户户对产品的期期望改变；）竞争影响营营销和服务活活动（例如：WTO导致致更多具有较较高竞争力国国外石油公司司进入中国市市场）。新的法律和法规规影响经营营政策和策略略（例如：萨萨班斯法案）。自然灾害造造成损失。经济形势的变化化等影响融资资、资本支出出和扩张决策策。内部因素包括

32、： 信息系统运行行的中断影响经营运运转。 雇员的素质和和培训、激励励的方法影响控制理理念。 管理层职责的的改变影响某些些实施控制的的方式。 企业经营活动动的性质、员员工对资产的的接触途径产生挪用用。 董事会或审计计委员会无法法有效履行其其职责可能为管管理层轻率的的行为提供机机会。2）风险分析识别风险后，需需要进行风险险分析，分析析的内容主要要有：估计风险的重要要性程度；评估风险发生的的可能性（或或频率、概率率）；考虑如何管理风风险即评估需需要采取何种种措施针对风险分析的的结果而采取取的控制活动动，管理层应应仔细考虑现现有内控程序序对于已识别别的风险是否否合适。如果果现有程序可可能已经足够够或只

33、需要执执行得更好，那那么就不必制制定附加程序序。管理层还应认识识到，总会存存在一些残留留风险的可能能性，不仅因因为资源总是是有限的，还还因为每个内内控系统都有有内在局限性性。因此，管管理层的一项项重要工作是是权衡利弊，确定能够谨慎地接受多少风险，并尽力将风险控制在可接受的水平内。3）应对变化经济形势、行业业和法规环境境不断改变，企企业业务活动动不断发展。在在一个环境下下有效的内部部控制在另一一环境下未必必有效。风险险评估的本质质就是一个识识别变化的环环境并采取相相应行动的过过程，风险评评估应持续地地进行, 并并且应特别关关注下面的情情形：变化的经营环境境变化的法法律或经济环环境可能导致致竞争压

34、力的的增加和显著著不同的风险险。新的人员新新来的高层管管理人员的经经营风格与原原先的不同。新的或经修订的的信息系统能否正常常运行。经营的快速增长长当经营快快速扩张，现现有制度的局局限可能导致致控制失效；当程序变动动或新人员增增加时，现有有的监督可能能就不能保持持充分的控制制。新技术新技技术被运用到到生产流程或或信息系统中中，内部控制制就很可能需需要修改。新业务、产品、活活动当企业进进入新的商业业领域或从事事不熟悉的交交易时，现有有的控制可能能就不充分了了。公司重组公公司因为收购购、合并或者者业务下滑、成成本控制等原原因进行结构构重组。重组组可能导致内内部裁员，职职责分工的合合并，或者，原原来的

35、一个重重要控制岗位位被取消，却却没有相应的的替代控制出出现。很多公公司重组后大大量削减人员员，就碰到了了严重的控制制缺陷。海外经营海海外经营的扩扩张或收购带带来了新的和和独特的风险险。例如，内内控环境可能能受到当地管管理层文化和和风俗的影响响。另外，当当地经济和法法律环境可能能带来独特的的风险因素。内控活动内控活动是指为为确保管理层层指示得以执执行的政策和和程序。它有有助于进行风风险管理和保保证企业目标标的实现，内内控活动贯穿穿于企业的所所有层次和部部门。它们包包括一系列不不同的活动，如如审批、授权权、确认、核核对、审核经经营业绩、资资产保护以及及职责分工等等。1、内控活动类类型：控制活动可以

36、有有不同的描述述方式：针对企业的不同同目标，控制制活动可以分分为以下三个个类型：即为为提高经营效效率效果、增增强财务报告告的可靠性、遵遵守法规等目目标的三类控控制活动；根据控制活动的的不同作用，控控制活动又可可以分为：预预防性控制、检检查性控制、指指导性控制、纠错性控制、补偿性控制等五种类型；根据组织中实施施人员的不同同，控制活动动也可以分为为：高层复核核、指导并管管理业务活动动、信息处理理、实物控制制、业绩指标标分析、职责责分离等。高层复核管管理层将实际际业绩情况和和预算相比较较，将当期业业绩和前期相相比较，将本本企业的业绩绩情况与竞争争对手相比较较，对企业主主要行为进行行追踪，以衡衡量目标

37、实现现的程度。指导并管理业务务活动负责整个个板块生产的的领导，分地地区公司、分分产品类别等等内容审阅生生产业绩报告告，对照经营营目标，分析析其中反映出出的生产管理理方面的问题题，并指出需需要改进的方方向。信息处理这这类控制被用用于核对交易易的准确性、完完整性和遵循循性。如：系系统对数据录录入设定编辑辑复核功能，并并对数据修改改实行系统性性控制；客户户订单，只有有与经批准的的客户文件和和信用额度相相符，才能被被接受；交易易应按连的编编号记账；系系统管理员对对例外事项报报告进行跟踪踪调查，必要要时向主管领领导报告。资产保护即实物物控制对设备、存存货、证券、现现金及其他资资产实物采取取保管措施，并并

38、定期进行盘盘点和帐实核核对。业绩指标分析采购部门门的员工分析析采购价格变变动、紧急采采购订单占全全部订单的比比率、退货订订单占全部订订单的比率，通通过调查异常常的结果和异异常的变动趋趋势，关注那那些可能影响响目标实现的的问题，并提提出改进方案案。职责分离职职责在不同人人员之间的分分工或分离，可可以降低发生生错误或不当当行为的可能能性。例如，交交易的授权、记记录和处理相相关资产的职职责应予以分分离；授权赊赊销的经理应应不负责应收收账款的记录录或现金收入入的处理。2、控制活动的的要素 政策和程程序控制活动一般包包含两个要素素，即：第一一个要素，政政策它描述应该该做什么，第第二个要素，程程序它描述应

39、该该怎样做；政政策是程序的的基础，同时时，程序又影影响政策的执执行。例如，政政策要求，应应该由专人定定期进行存货货盘点，程序序即盘点本身身，其实施的的频率、关注注的要点、存存货的性质、数数量等等。3、控制活动应应和风险评估估相结合管理层在进行风风险评估的同同时，应该针针对该特定风风险找出并实实施有效的措措施，这些针针对某项特定定风险的具体体措施也就是是建立控制活活动的要素，它它有助于保证证控制活动得得以及时、有有效地实施。4、信息系统的的控制随着信息技术的的发展，大多多数企业，包包括小公司或或大公司的部部门，都引进进、建立和运运用了现代化化信息处理系系统，现代化化的信息系统统不仅提高了了企业的

40、工作作效率，而且且也改变企业业的经营方式式和方法，甚甚至影响企业业的战略规划划，因此信息息系统的控制制十分重要。信息系统内控活活动可分为两两大类。第一一类是一般性性控制适用多数数应用系统并并协助确保其其持续、正确确地运行, 包括对数据据中心操作、系系统软件的购购买和维护、数数据的安全、以以及应用系统统开发和维护护的控制。第第二类是应用用性控制，包包括应用软件件中的电算化化步骤，以及及用以控制不不同种类交易易处理过程的的相关手工操操作程序，它它是保证交易易处理的完整整性、准确性性、交易授权权和有效性的的内部控制。例例如，公司的的销售政策规规定给予金额额在20万以以上订单以88折优惠；系系统根据事

41、先先的设定，对对于20万以以上的订单自自动给予200%的折扣优优惠，而对于于20万以下下订单仅允许许全价销售。这两类对计算机机系统的控制制是相互关联联的。一般性性控制用于保保证建立在计计算机程序基基础上的应用用性控制得以以实施。（四）信息和沟沟通信息和沟通是指指相关信息以以某种形式并并在某个时段段被识别、获获得和沟通，以以促使员工履履行自己的职职责。这里所所说的信息是是指来源于企企业内部及外外部，与企业业经营相关的的财务及非财财务的信息。信信息必须在一一定的时限内内传递给需要要的人，以帮帮助人们行使使各自的控制制和其它职能能。沟通则是是指信息在企企业内部各层层次、各部门门，在企业与与顾客、供应

42、应商、监管者者和股东等外外部环境之间间的流动。有效的沟通必须须广泛的进行行，自上而下下、自下而上上地贯穿整个个组织。所有有人员都要从从高级管理层层获得明确的的信息：必须须认真对待控控制责任。他他们必须了解解各自在内部部控制体系中中担任的角色色，以及个人人行为与他人人工作的相互互关系。他们们必须有自下下而上传递重重要信息的渠渠道和方法。同同时，也要顾顾客、供应商商、监管者和和股东等外部部人员建立有有效的沟通。1、信息企业的管理活动动依赖于各种种信息，既包包括内部生成成的信息，也也包括从外部部获取的行业业、经济、监监管等方面的的信息。因此此，企业必需需要建立良好好的信息系统统来识别、获获得、加工和

43、和报告这些信信息。有效的的信息系统不不仅能够识别别和获得所需需要的财务和和非财务的信信息，还能够够在一定时限限内根据需要要加工和报告告这些信息。另另外，当企业业面临基本的的行业变化，面面临有高度创创新能力反应应迅捷的竞争争对手或面对对重大的顾客客需求变化时时，信息系统统必须随企业业目标、经营营环境的变化化而变化，及及时适应新的的需求。1）信息的识别别和获取信息的识别和获获取的方式是是多种多样的的：信息系统统可以采取监监控方式，定定期获取特定定的数据；或或者，可以采采取某些特定定的方式获取取所需信息，如如通过问卷、采采访、广泛的的市场需求调调研或针对特特定群体的调调查获得顾客客对产品和服服务的需

44、求信信息；通过与与顾客、供应应商、监管者者以及员工的的谈话获得识识别风险和机机遇所必需的的重要信息；参加专业或或行业的研讨讨会也可以获获得有价值的的信息。2）信息加工和和报告信息是决策的基基础，但并非非所有的信息息都是有用的的信息，因此此，需要对信信息进行加工工整理，归纳纳汇总，根据据需要向不同同的部门和人人员报告不同同的信息。为为了提高信息息的质量，需需要考虑：内容是否适当当它是所需要要的信息吗？信息是否及时时当我们需需要时就能获获得吗？信息是当前的的吗？是我们能能获得的最新新的信息吗？信息是否准确确数据都准准确吗？信息是否畅通通相应的部部门能容易地地获得信息吗吗？在设计系统时必必须考虑以上

45、上问题。如果果不考虑，系系统很可能无无法提供管理理层和其它人人员需要的有有用信息。3）信息系统的的整合 信息系统是经经营行为的一一个组成部分分，它通过获获取决策所需需的信息来影影响控制，随随着信息技术术的发展，信信息系统可以以更迅速、更更广泛提供更更有价值的信信息，对企业业的管理影响响更加深远，甚甚至影响到企企业的战略规规划，一项最最新发布的研研究表明，信信息系统的规规划、设计和和应用已经开开始同组织的的整体战略整整合在一起。多多数新的生产产系统与企业业其它的系统统，可能还包包括企业的财财务系统，高高度地整合为为一体。当系系统执行其它它的运行时，财财务数据和会会计记录会自自动更新。2、沟通沟通

46、是信息系统统固有的，是是将信息提供供给相关人员员，以便与其其履行职责，沟沟通必须贯穿穿于信息处理理的整个过程程，有效的沟沟通不仅在整整个企业内进进行，也包括括与外部进行行的沟通。1）内部沟通内部沟通是指企企业内部上下下级之间、横横向部门之间间的沟通，下下面以例举的的方式介绍内内部沟通的主主要内容：所有的人员，特特别是那些有有着重要的经经营和财务管管理职责的人人员，取得管管理所需信息息，并清楚地地知道必须严严肃履行内部部控制的责任任。每个人需要理解解所负责内部部控制部分如如何运行及个个人在系统中中的职责。在执行自己的职职责时，每个个人都应该知知道，当意外外发生时，不不仅要注意事事件本身，还还要注

47、意事件件的原因。这这样，就可以以了解到系统统潜在的缺陷陷，并采取预预防的措施。比比如，发现滞滞销的存货不不仅要在财务务报告上留下下准确的记录录，更重要的的是对存货滞滞销的原因作作出判断。人们需要知道自自己的行为怎怎样与他人的的工作相联系系。需要知道什么样样的行为是被被期望的，什什么是可以接接受的，什么么是不可接受受的。员工也需要知道道在企业中自自下而上传递递重要信息的的方法和渠道道。员工必须须相信他们的的上级确实想想了解问题并并愿意有效地地解决问题，在在任何情况下下不会因报告告相关信息而而受到报复。在多数情况下，正正常的报告渠渠道就是适当当的沟通渠道道。然而，在在特定条件下下，需要独立立的沟通

48、渠道道作为一个预预防失败的机机制，在正常常渠道不起作作用时加以运运用。例如为为员工提供直直接接触财务务总监或企业业法律顾问这这样的高层领领导的渠道；总裁可以定定期抽出时间间接待员工来来访，并且让让员工知道为为任何事情的的来访都是受受欢迎的；总总裁也可以定定期去车间拜拜访他的员工工，形成一种种人们能够交交流难题和关关心的问题的的氛围。管理层与董事会会及其委员之之间的沟通至至关重要。管管理层必须使使董事会了解解最新的业绩绩、发展、风风险、主要的的革新以及其其它任何相关关的事件或事事故。与董事事会的沟通越越好，董事会会越能有效地地行使监督职职能，并能够够对于关键的的事务作出合合理的行为，提提供建议和

49、忠忠告。同样，董董事会也应该该向管理层传传达其所需要要的信息，并并提供指导和和反馈。2）外部沟通企业不仅在内部部需要有适当当的沟通，而而且与外部也也是,与外部部沟通的内容容包括：通过开放的沟通通渠道，了解解顾客、供应应商对于产品品或服务的设设计或质量方方面的要求使使公司注意顾顾客的需求和和偏好。在与外部的交往往中强调企业业的道德标准准，使外部人人员知道认识识到不适当的的行为。比如如公司可以同同供应商直接接沟通，解释释公司期望供供应商雇员在在与其打交道道时应怎么做做，明确回扣扣以及其它不不适当的收入入，都是不能能容忍的。与外部审计师的的沟通，管理理层和董事会会可以了解重重要的控制信信息。与股东、

50、监管者者、财务分析析师以及其它它外界的交流流，可以了解解企业所面临临的情况和风风险。管理层同外界（无无论是公开的的、即将进行行的、严格跟跟踪的还是其其它的）的交交流也可以向向整个公司内内部传递信息息。3）沟通的方式式沟通可以采用诸诸如政策手册册，备忘录，布布告通知，录录像录音带的的形式,又可可采用口头传传递消息的方方式。另一种种有影响力的的沟通手段是是管理层在领领导下属工作作时的言行。（五）监督内部控制随着时时间、环境而而变化，曾经经有效的程序序可能会变得得不太有效，因因此需要对内内部控制进行行监督。监督督是评估内控控系统在一定定时期内运行行质量的过程程，目的是保保证内部控制制持续有效，监监督

51、可通过两两种方式进行行：持续性的的监督活动和和独立的评估估。持续性的的监督活动是是植根于企业业日常、重复复发生的活动动中的。与独独立评估相比比，由于持续续性监督程序序在实时基础础上实施、动动态地应对环环境的变化，并并在企业中根根深蒂固而显显得更加有效效。不过，独独立评估发生生在事实之后后，比起持续续性监督程序序，可更快地地发现问题。一一个感到有必必要进行经常常性的独立评评估的企业，应应重点关注改改进持续性监监督的途径，并并强调“嵌入”而非“外加”的控制。1、持续性监督督行为持续性的监督行行为发生在经经营的过程中中，它包括日日常管理和监监督行为、比比较、核对和和其他常规性性活动。持续续性监督行为

52、为有下面一些些例子：在执行常规管理理行为时，经经营管理层取取得内部控制制持续运转的的证据。与外界各方的沟沟通能够印证证内部产生的的信息或揭示示问题。例如如：顾客支付付账单，表明明其确认了帐帐单数据；相相反地，顾客客对帐单的投投诉可能表明明销售交易过过程存在系统统缺陷。公司司审核有关作作业安全的政政策和操作步步骤，从经营营安全性和合合规性的角度度为内控是否否有效运行提提供信息，因因而被视为一一项监督；监监管者就合法法性或其他事事项与企业进进行交流，也也会从某种角角度反映内控控系统是否有有效运行。适当的组织结构构和监督行为为不但监督内内控职能的执执行并且能够够发现内控的的缺陷。例如如，财务负责责人

53、对财务人人员针对交易易正确性和完完整性实施的的内控活动实实施日常的监监管。另外，管管理层对员工工的职责分配配定期进行审审核，以确保保合理分工以以便相互制衡衡，有利于防防止员工舞弊弊，并可以限限制个人掩盖盖其可疑行为为的能力。将信息系统所记记录的数据与与实物资产相相核对。例如如，产成品存存货应定期进进行盘点，将将盘点的数据据与相应的会会计数据核对对并记录存在在的差异。内部及外部审计计师定期为进进一步加强内内部控制提供供建议。审计计师通过评价价内控的设计计并测试其有有效性，发现现一些潜在的的问题并向管管理层提供解解决问题的建建议。培训研讨会、计计划会议及其其他会议能向向管理层提供供有关控制是是否有

54、效的重重要反馈。这这种方式不但但能指出控制制中存在的个个别问题，还还能增强参与与者的控制意意识。定期询问职员理理解及执行企企业相关规定定的情况。如如向经营及财财务人员询问问相关的控制制程序是否正正常运行。2、独立评估独立评估是独立立于控制活动动之外而采取取的定期评估估行为。尽管管持续性监督督程序可以提提供关于其他他控制要素有有效性的重要要反馈信息，但但经常地对系系统的有效性性直接进行评评估也是十分分必要的。这这样同时也提提供了一个机机会来评价持持续性监督程程序是否有效效。1）范围和频率率独立评估的范围围和频率主要要依赖于风险险评估和持续续性监督程序序的有效性。由由于所控制风风险的大小及及内部控

55、制在在减小风险中中的重要性不不同，对于内内部控制进行行评价的范围围和频率也不不一样。例如如，那些致力力于重大风险险或对减小风风险具有重要要作用的控制制就应经常地地进行评价。2）评价主体评价主体，即由由谁来实施独独立评估。一一般来说，评评价主体包括括：一是自我评价，即即负责某一单单位或职责的的人员对其控控制自身活动动的有效性进进行评价。例例如，一位部部门主管应指指导本部门内内部控制的评评价活动。他他或她可能亲亲自评价内控控环境因素，然然后请部门内内负责各种经经营活动的人人员评价其他他要素的有效效性。二是内部审计人人员评估，有有时，在董事事会、高级管管理层、子公公司及部门主主管的特殊要要求下，内审

56、审人员也会对对内控进行评评价。同样，在在评价内控时时，管理层也也可利用外部部审计人员的的工作。3）评价程序及及方法体系首先是同企业职职员进行探讨讨并审阅已有有的文件，了了解系统的运运行过程或内内控系统的设设计；其次是是根据已确定定的目标分析析内部控制的的设计和测试试结果，分析析是否对既定定目标提供了了合理保证。评估方法有许多多可供选择，包包括检查清单单、调查问卷卷和流程图等等方法。也可可与那些被认认为在内控系系统方面具有有良好声誉的的公司进行比比较。4）行动计划第一次指导评估估内控系统的的管理人员可可以考虑下列列建议，决定定对何处着手手和如何去做做：决定评估的范围围，包括目标标的分类、内内部控

57、制要素素和需采取的的行动。确定对内部控制制的有效性提提供常规保证证的持续的监监督行为。分析内部审计的的控制评估工工作，考虑外外部审计师与与控制相关的的发现。按照单位、要素素或高风险区区域划分重要要性程度和先先后次序，保保证及时的关关注在以上基础上，建建立相关的评评估程序。汇集所有进行评评估的各方，共共同考虑下列列问题：不仅仅要考虑评估估范围和时间间表，而且要要考虑所使用用的方法体系系，应用的工工具，来自内内外部审计师师和监管者的的建议，报告告所发现问题题的方式以及及设定最终的的文本化程度度。监督进展和复核核发现。保证采取必要的的追踪措施，必必要时修改后后续的评估部部分。5）报告缺陷这里的“缺陷

58、”被广泛定义义为内控系统统中值得注意意的问题。缺缺陷可能代表表一个假想的的、潜在的或或实际的缺点点，或一个强强化内控系统统的机会。向向恰当的当事事人提供有关关内部控制缺缺陷的必要信信息，对内部部控制制度的的持续有效运运行十分关键键。内部控制制的缺陷应自自下而上进行行报告，重要要事项应报知知高层管理人人员和董事会会。对于发现现的内部控制制缺陷，不仅仅应向负责的的个人汇报，由由他采取正确确的措施，还还至少应向该该责任人的上上一级汇报。这这一过程使得得责任人能及及时采取措施施，也便于其其上级提供所所需的支持或或进行监督，并并与企业中受受影响的他人人进行沟通。重重要事项应报报知高层管理理人员和董事事会

59、。6）文本化企业内部控制的的文本化有利利于评估，有有利于增进员员工对内控系系统如何运行行及各自职责责的理解，更更易于必要时时对其修改。文文本化的程度度根据各企业业的规模、复复杂性和类似似因素的不同同而存在差异异。大一些的的公司通常有有书面的政策策手册、正式式的组织图、书书面的工作描描述、经营指指导、信息系系统流程等。小小一些的公司司内部控制文文本化的程度度一般低得多多。控制没有有文本化并不不意味着内控控系统是无效效的或无法评评估，不过当当需要向更多多人提供有关关内部控制的的阐述或评估估时，内部控控制文本化的的性质和程度度将会提高。当当管理层希望望向外界提供供关于内控系系统效果的声声明时，他们们应当考虑形形成文件来支支持该声明。如如果该声明今今后被质询，这这些文件将很很有用。四、内部控制的的局限性也许有人会认为为内部控制可可以确保企业业万无一失，这这也是我们所所希望的，但但事实并非如如此，无论内内部控制设计计和执行的多多好，它也只只能提供合理理的保证，这这是内部控制制系统固有的的局限性。具具体表现在：判断失误判判断是人在事事情发生时依依据现有信息息的所做出的的，个人的判判断不能保证证绝对正确，并并且难以避免免主观性，从从而影