2-1内部控制coso框架

第四章内部控制基础——COSO框架第五章理解和评估风险——企业风险管理第六章评价内部控制——第404条款评估第七章全球范围内部控制框架第二部分内部控制第四章内部控制基础——COSO框架内部控制基础内部控制标准COSO内部控制框架中国内部控制框架西方内部控制观念的演变内部控制的定义内部控制目标内部控制元素内部控制技术第1节内部控制基础主要内容一、西方内部控制观念的演变（一）萌芽期——内部牵制《柯氏会计词典》将内部牵制定义为：“用以提高有效的组织和经营，并防止错误或其他非法业务发生的业务流程设计。主要特点：以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工。每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制”内部牵制以不相容职务分离和授权批准控制标志，至今仍然是控制活动思想的精髓。（二）发展期——内部控制制度美国审计程序委员会下属的内部控制委员会1949年对内部控制给出权威定义：第1节内部控制基础“内部控制是企业所制定的旨在保护资产、保证会计资料真实可靠性和准确性、提高经营效率、推动管理部门所制定的各项政策得以贯彻执行的组织上的计划和相互配套的各种方法和措施”1958年，美国审计程序委员会将内部控制划分为：会计控制和管理控制。1977年的《反国外贿赂法案》（FCPA）是最早关于内部控制制度的法律，要求所有上市公司必须建立内部控制制度，以防范公司资金被用于不法目的。（三）成熟期——内部控制结构和内部控制整体框架1.内部控制结构1988年，美国注册会计师协会指出：企业的内部控制结构包括合理保证企业特定目标的实现而建立的各种政策和程序。第1节内部控制基础内部控制由控制环境、会计系统和控制程序三部分组成。2.内部控制整体架构1992年9月，美国反财务欺诈委员会下属的内部控制专门已经委员会（COSO）发布《内部控制整合框架》（又称COSO报告）（四）最新发展——企业风险管理2004年9月，COSO委员会顺应风险管理与内部控制相融合的趋势，吸取风险管理出国，结合《萨班斯——奥克斯利法案》，正式颁布《企业风险管理框架》。第1节内部控制基础二、内部控制的定义20世纪90年代，由美国“发起组织委员会(COSO)”对内部控制作了如下描述：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程，应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。我国2008年制定的《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。第1节内部控制基础第1节内部控制基础本教材上的定义：内部控制包含组织的计划以及业务过程中所采纳的各种协调方法用以保全其资产，核查会计数据的准确性和可靠性，提升营运效率，并鼓励遵守既定的管理政策。P61我国一般审计教材定义组织为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。三、内部控制的目标合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。具体表现：（1）保证企业经营管理合法合规、资产安全；（2）保证财务报表的编制符合会计准则的相关要求；（3）提高经营效率；（4）促进实现发展战略。第1节内部控制基础四、内部控制要素第1节内部控制基础一个基本控制系统要素：（1）探测器或传感元件（2）选择器或标准元素（3）控制器元素（4）沟通网略元素内部控制要素：（1）控制环境（2）风险评估（3）控制活动（4）信息与沟通（5）内部监督防范性控制检查性控制纠正性控制第1节内部控制基础指导性控制“是——否”控制行动之后控制五、基本控制技术六、内部控制的作用有效的内部控制能防止或发现对企业资产的盗用、未经授权使用或处置资产的情形，减少业务活动中的风险。内部控制不存在或者有缺陷可能给企业带来防不胜防的风险。第1节内部控制基础例1订货程序的内部控制风险内部控制程序：经办人员起草购货申请→主管人员事前盖章批准→委托购货部门实施购货事实情况：经办人员没有经过主管人员批准和委托购货部门的程序，自行组织订货或有风险：·企业不知道订单已发出；·企业不知道应付账款的存在；·经办人员利用企业的交易中饱私囊图表4-1内部控制的功能及发挥途径功能途径具体方法预防牵制功能职务分工合理的划分职能部门和业务部门以及使各部门保持必要的独立性权限和程序的明确化和标准化·明确各部门及其人员的岗位责任和授权·建立健全业务规程手册并在企业内贯彻落实建立健全内部牵制制度在职务划分和权限及程序的标准化过程中充分考虑内部牵制的要求建立检查机制在业务处理的各个阶段建立健全检查机制教育通过内部控制的建立健全过程，促进企业整体对内部控制的认识，形成良好的控制环境发现揭露功能及时发现错误·数据的检查·逻辑合理性检查·凭证与记录的检查·在信息系统中装置具有例外事项的提示和即时反馈作用的程序实物和记录的核对·资产与记录的定期核对·财产清查修正恢复功能建立健全事故处理程序·发现错误后确定原因、采取相应的措施·预先明确采取措施的程序并组织化、制定事故处理程序手册七、内部控制的局限性COSO报告在警告人们不应过度期待或者误解内部控制的作用时指出：第一，“内部控制有效运行”不等于“企业业绩优良”；第二，“内部控制有效运行”并不意味着各控制目的的实现得到了绝对的保证。内部控制定义中的“合理的保证”，就是指内部控制存在固有界限。第1节内部控制基础内部控制并非万能药内部控制的固有界限内部控制不具有防止和发现经营者错误的功能内部控制可能因有关人员相互勾结、内外串通而失效内部控制是针对常规业务而设计的，对突发性的、异常的或者例外的业务可能无效内部控制可能因执行人员的粗心大意、疲劳、判断失误和对指令的误解以及对压力的妥协而暂时失效内部控制可能会僵硬化，不能适应外部环境的变化内部控制的设计和运行受制于成本效益原则内部控制制度设立的理论基础一一控制论：控制论作为一门新兴科学是由美国数学家、生物学家请伯特·维纳在1948年出版了《控制论》一书后创立的。内部控制制度体现在SEC《证券交易法》中AICPA审计准则申明第1号（SAS1），后来进行了修订1977年的《反国外贿赂法案》（FCPA）1980-1995AICPA发布了一系列内部审计准则（SASS），SAS551955年生效特雷德威委员会（全美反欺诈财务报告委员会，由5个专业组织委员会，IIA、AICPA、FEI、AAA、IMA组成）1987年，发布《全美反欺诈财务报告委员会的报告》。第2节内部控制标准1985年，由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（CommitteeofSponsoringOrganization，COSO）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架.第3节COSO内部控制框架COSO内部控制定义：内部控制是一个过程，受机构的董事会、管理层以及其他人员的影响，设计内部控制是为以下类别的目标的实现提供合理的保重：运营效果和效率财务报告的可靠性遵守适应的法律和法规第3节COSO内部控制框架COSO框架模型第3节COSO内部控制框架（1）诚信和道德价值观（2）胜任能力承诺（3）董事会和审计委员会（4）管理理念和经营风格（5）组织结构（6）权责划分（7）人力资源管理与实践1.COSO内部控制要素：控制环境控制环境决定组织的风气，影响组织成员的控制意识。控制环境提供纪律和结构，是内部控制的所有其他要素的基础。第3节COSO内部控制框架2.COSO内部控制要素：风险评估步骤：1.估计风险的重要性；2.评估风险发生的可比性或频率；3.考虑如何管理风险以及评估应采取的措施风险的种类来自组织外部因素的风险来自内部因素的组织风险特殊活动层面的风险风险评估是识别和分析与目标实现有关的风险，形成对如何管理风险作出决定所需要的基础。第3节COSO内部控制框架3.COSO内部控制要素：控制活动控制活动的类型：高层检查直接的职能管理或活动管理信息处理实物控制绩效指标职务分离用风险评估来整合控制活动对信息系统进行控制第3节COSO内部控制框架4.COSO内部控制要素：沟通与信息信息与内部控制的关系内部控制沟通情况战略集成系统（见下页）信息质量内部沟通外部沟通沟通方式和方法第3节COSO内部控制框架5.COSO内部控制要素：监控持续的监控活动单独的内部控制评价报告内部控制缺陷监控是一个不断评价内部控制系统机能的过程。日常监视存在于业务过程中，包括常规的管理、监督活动以及管理人员在履行职责时所采取的其他行动。监控的形式有日常的监视活动，独立评价或者两者的结合。独立评价的范围和频度主要取决于对风险的评价和日常监视程序的有效性。内部控制的缺陷必须向上层管理人员报告，重要的事项必须向最高经营者以及董事会报告。5.COSO内部控制要素：监控第3节COSO内部控制框架企业的远景与战略目标来源于企业定位。我们可以用以下图来确定战略框架：第3节COSO内部控制框架控制系统：战略控制系统、业务控制系统和作业控制系统。——战略控制是以企业高层领导为主体，它关注的是与外部环境有关的因素和企业内部的绩效。——业务控制系统是指企业的主要下属单位，包括战略经营单位和职能部门两个层次，他们关注的是企业下属单位在实现构成企业战略的各部分策略及中期计划目标的工作绩效，检查是否达到了企业战略为他们规定的目标，业务控制由企业总经理和下属单位的负责人进行。——作业控制是对具体负责作业的工作人员的日常活动的控制，他们关注的是员工履行规定的职责和完成作业性目标的绩效，作业控制由各级层主管人员进行。第3节COSO内部控制框架*l996年12月中国注册会计师协会发布《独立审计具体准则第9号——内部控制和审计风险》，要求注册会计师审查企业的内部控制，并对内部控制的定义、内部控制的内容(包括控制环境、会计系统和控制程序)等作出了规定。*l997年5月，中国人民银行颁布《加强金融机构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定。*1999年8月中国保险监督管理委员会制定了《保险公司内部控制制度建设指导原则》。*2000年4月中国证监会发布《关于加强期货经纪公司内部控制的指导原则》；2001年1月中国证监会发布《证券公司内部控制指引》第4节中国内部控制框架我国内部控制的发展*2001年6月财政部发布《内部会计控制——基本规范(试行)》和《内部会计控制基本规范——货币资金(试行)》。*2002年9月中国人民银行出台了《商业银行内部控制指引》。*2002年12月19日中国证监会发布《证券投资基金管理公司企业内部控制指导意见》。*2003年4月中国内部审计协会发布的《内部审计具体准则第5号——内部控制审计》*2002年12月19日中国证监会发布《证券投资基金管理公司企业内部控制指导意见》。*2003年4月中国内部审计协会发布的《内部审计具体准则第5号——内部控制审计》。第4节中国内部控制框架我国内部控制的发展•2005年2月中国保监会制定了《保险中介机构内部控制指引(试行)》。•2