内控框架评估关注要点

内控管理层测试赴抚顺石化测试COSO内控框架评估关注要点——摘自《COSO内控框架》财务报告合规性营运监控信息和沟通控制活动风险评估控制环境业务单位A业务单位B活动2活动1合规性营运财务报告活监督活动业动信息和沟通2业务1务单控制活动位单位B风险评估A控制环境内控管理层测试赴抚顺石化测试组目录一、控制环境评估关注要点........................................................31.诚信与道德价值观.............................................................32.胜任能力..............................................................................53.董事会或审计委员会.........................................................54.管理层的理念和经营风格.................................................75.组织结构..............................................................................97.人力资源政策和实践.......................................................10二、风险评估关注要点..............................................................121.公司总体目标：...............................................................122.业务活动具体的目标.......................................................133.风险...................................................................................14三、控制活动关注要点..............................................................18四、信息和沟通评估关注要点..................................................191.信息.....................................................................................192.沟通.....................................................................................20五、监督评估关注要点..............................................................221.持续性监督.........................................................................222.独立评估.............................................................................243.报告缺陷.............................................................................242内控管理层测试赴抚顺石化测试组COSO内控框架评估关注要点一、控制环境评估关注要点1.诚信与道德价值观管理层必须要传达这样一种信息：诚信原则和道德价值观不得破坏，必须不折不扣的执行。同时员工必须接受和理解种信息。管理层应该通过言谈和行动，不断做出道德高标准的承诺，表现出对道德标准的一丝不苟。•行为规范以及其它有关可接受的业务惯例、利益冲突或伦理道德行为预期标准的政策的存在和实施。例如，考虑以下内容：¾规范是否为综合性的，是否处理了利益冲突问题、非法或其他不正当付款问题、反竞争方针和内部交易问题。¾规范是否定期地被所有员工接受。¾员工是否知晓哪些行为是可接受的，哪些行为是不可以接受的，以及当遇到不正当的行为应如何回应。¾如果不存在书面的行为规范，则公司文化是否强调诚信和道德行为的重要性。这些内容是否可以通过全体员工代表大会，或者是在面谈中进行口头交流，或者体现在处理日常工作活动中。•“高层管理基调”的建立－－包括明确的是非对错道德方针，（什么是对的和错的），以及此“基调”在整个组织机构中的传达，即在公司范围内进行沟通的程度的指导。例如，考虑以下内容：¾诚信和道德承诺是否在整个企业中、在文字和行为上都得到了有效传达。3内控管理层测试赴抚顺石化测试组¾职员感觉到被同仁敦促做正确的事情的压力。即员工是否迫于同行的压力才去做正确事情，或者为了“急功近利”，走捷径。¾管理层是否适当地处理存在问题，例如：潜在的缺陷产品或危险废品，特别是发现、解决这些问题的费用可能很大的情况•与员工、供应商、客户、投资人、债权人、承保人、竞争对象和审计师等人员的往来关系。（例如：管理层进行商业行为时，是否非常关注道德标准，是否也要求其他人遵守道德标准，还是根本不关注道德问题。）例如，考虑以下内容：¾与客户、供应商、员工和其他相关方的日常交往是否以诚实和公平为基础（例如，客户多付款和供应商的帐单少记的情况没有被忽视，没有企图寻求能够拒绝员工的合理福利要求的方法，对贷款方出具的报告是完整、准确并且没有误导的）•对背离获准的政策和程序的行为或违反行为规范的行为所采取的补救措施的恰当性。补救措施在整个企业内部传达或以其它方式让企业员工知悉。例如，考虑以下内容：¾管理层是否对违反行为标准的行为做出反应。即管理层对违规行为进行适当处理。¾对违反规范的行为所采取的惩戒措施是否在整个企业中广泛通报。员工是否认识到，如果违反了行为标准，将会承担后果。•管理层对干预或逾越既定控制制度的态度。例如，考虑以下内容：¾管理层就调整（干预）控制制度的情况和频率提供指导。即对于何种情况下需要干预以及干预的次数，管理层是否提出了指导方针。¾管理层对控制制度的干预被适当地记录和解释。管理层的干涉是否形成文字并做了适当说明。¾明确地禁止经理人员逾越既定控制。是否严格禁止管理者滥用职权。¾任何与既定政策不一致的事件都被调查并记录。违反已确立政策的行为，是否被调查并记录在案。4内控管理层测试赴抚顺石化测试组•达到不切实际的业绩目标的压力，特别是那些为实现短期成果，以及在实现这些业绩目标基础之上的薪酬。例如，考虑：¾是否存在极端动机或引诱等情况，导致对人们坚持道德价值观进行不必要且不公平的测试。¾提升和薪酬是否仅仅基于短期业绩目标的实现。¾是否存在控制以减少可能存在的诱惑。2.胜任能力管理层必须对具体工作所需的能力做出明确规定，并将所期望的能力转化为所需要的知识和技能。•正式和非正式的工作岗位描述，或其它能说明具体工作内容和责任的界定方法。例如，考虑了以下内容：¾管理层是否正式或非正式地对构成具体工作的任务进行了分析，并将此因素纳入个人必须加以判断的范围以及相关监督的范围。•对适当完成工作所需的知识和技能的分析。例如，是否考虑了以下内容：¾管理层是否已经确定完成某项特定工作所需的知识和技能标准。¾是否有判断该员工是否掌握所需知识和技能的根据。是否存在证据表明员工具备工作所需的知识和技能。3.董事会或审计委员会考虑到管理层可能逾越系统控制，一个积极有效的董事会或董事会相关委员会，能够起到重要的监督作用，由于管理层具有无视系统控制的能力，在确保有效的内部控制方面，董事会起到了至关重要的作用。•董事会或审计委员会是独立于管理层的，这样在必要情况下，即使很困难、试探性的，也要提出问题。例如，是否考虑了：¾董事会是否建设性地质询管理层的计划决策，例如战略主动性和主要业务，寻求对过去的业绩的解释。例如，针对战略性决策、重大交易的提问，对运营结果的质询（如预算执行差异）。5内控管理层测试赴抚顺石化测试组¾仅由企业主管和员工组成的董事会（例如小公司董事会）质疑和详查公司的经营活动，阐明不同观点，并在必要时采取适当的措施。•为保证能更深入或直接的注意某些特殊问题而利用董事会。即对于特定事务，必要时建立董事会专门委员会以特别关注和处理相关重要事件。例如，是否考虑了：¾董事会是否存在。¾他们在专业和资历方面是否能够有效地处理相关的重要问题。•董事的知识和经验。例如，考虑是否：¾董事们是否拥有足够的知识、行业经验和时间以有效地工作。•与财务总监和/或会计负责人、内部审计师和外部审计师召开会议的频次和时间。例如，是否考虑了以下内容：¾审计委员会是否私下会见总会计师和内部、外部审计师以讨论财务报告流程、内部控制系统、重大意见和建议和管理层业绩的合理性。¾审计委员会是否每年审核内部和外部审计师的活动范围。•提供给董事会或专门委员会的信息的充分性和及时性，从而对管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等进行监督。例如，是否考虑了以下内容：¾董事会是否定期收到重要的信息，例如财务报表、主要营销发起活动、主要的市场动向、重大合同和协议。¾董事相信其得到了正确的信息。•就敏感信息、调查和不正当行为对董事会或审计委员会评价的充分性和及时性。（例如：高级管理人员的差旅费用、重大的法律诉讼、监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、政治献金、非法支付等）。例如，是否考虑了以下内容：¾是否有向董事会汇报重大问题的程序。¾信息是否能够及时沟通。6内控管理层测试赴抚顺石化测试组•确定执行官员和内部审计主管的薪酬以及这些人员的委任和终止聘用过程中的疏忽。例如，是否考虑了以下内容：¾薪酬委员会是否批准与业绩相关的所有管理层激励计划。¾薪酬委员会是否与审计委员会联合商议处理与内部主任审计师相关的薪酬和保留问题。•在确立相应“高管基调”方面所起的作用。例如，是否考虑了如下内容：¾董事会和审计委员会是否都充分参与对“高层基调”的有效性的评估。¾董事会是否采取措施以确保相应的“基调”。¾董事会是否特别强调了管理层对行为规范的忠诚度。•董事会或审计委员会依据其发现采取的行动，包括特殊调查。例如，考虑是否：¾董事会向管理层就要采取的具体行动下达指令。¾按需要，董事会进行监督和跟踪处理。4.管理层的理念和经营风格管理层的管理理念和经营风格通常对公司具有深远影响。这种影响是无形的，但是正面或负面影响的迹象是可以观察到的。•接受的业务风险的性质，例如：管理层是否经常陷入高风险的业务中，或面临风险时表现的非常保守。例如，是否考虑了以下内容：¾管理层是否只在认真分析了风险和潜在收益之后，才谨慎的做出处理。•在关键职能部门的人员流动率，例如：运营人员、会计人员、数据处理人员和内部审计人员等。例如，考虑是否：¾是否有大量的管理和监督人员的变更。¾关键员工不提前通知而突然辞职。¾是否进行人员变更的模式（例如：没有能力挽留重要财务人员或内部审计人员），这可能是管理层在行使控制力方面的重点指标。即人员流动的特点可能是管理层需要加强控制的暗示。7内控管理层测试赴抚顺石化测试组•管理层对数据处理和会计职能的态度，以及对财务报告和资产安全可靠性的关心。例如，考虑是否：¾财务职能部门是被视为一群必要的“统计专家”团队，还是被视为对企业各种活动实施控制的工具。即被认为仅仅是公司必要的“计数中心”，还是被认为是公司各种各样的活动的控制中心。¾在财务报表中所使用的会计原则是否会导致报告昀高的收入。¾如果财务职能被分散，业务部门的管理层是否会“停止”报告结果。即对报告结果签字