中国 学习 正式化 标准化
25
已发展国家 提升 改进
Pwc
普 华 永 道
如何评价内部控制体系
Pwc
普 华 永 道
控制环境 – 监管部门的参与
管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这 些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。 1. 2. 3. 4. 5. 6.
7
所有的五个部分必须同时作用才能使 内部控制得以产生影响
Pwc
普 华 永 道
内部控制体系 – COSO模型
要素一 ：控制环境 － 内部控制的基础
告 报
经
营
财 监控
务
规
性
控制环境： • 是企业的整体气氛 • 影响员工的控制意 • 是其他要素的基础 • 提供纪律约束和架
合
活 活动 单动2 单元1 元B A
17
Pwc
普 华 永 道
内部控制体系
信息与沟通 风险评估
流程
XX 交易发生 XX XX XX
控制活动
管理报告/ 财务信息
财务 报表
监控
控制环境
18
Pwc
普 华 永 道
内部控制常见问题举例
控制环境
• 高度竞争的环境(对内控的压力) • 分散管理/控制 • 非正式的管理程序
• 缺乏细化的业绩考核指标/不完善的激励机制
COSO 内 部 控 制 体系及应用
2005 年 9 月 23 日
天津
Pwc
普
华
永
道
目录
1. COSO内部控制框架 2. 如何评价内部控制体系
3. 小结 4. 问题解答
COSO内部控制体系
Pwc
普 华 永 道
内部控制定义
每当提起内部控制，一般认为 它包括以下几方面：
• 成本控制
• 反欺诈 • 加强控制 = 官僚作风 = 降低运作 的灵活性 = 更差的业绩
财 监控
务
企业定期获取及交流内外部的信息，帮 助员工履行职责
信息和沟通
控制活动 风险评估 控制环境
• 信息的识别和获取 • 信息加工和报告 • 内部沟通和外部沟通
15
Pwc
普 华 永 道
信息和沟通
相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相 关人员能有效履行职责，采取适当行动。
例如：
• 建立一个有效机制，使相关信息在管理层及时共享，使相关各层面拥有 所需信息 • 管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通 • 建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序
包括公司必须遵守的法律、法规，以维护良好的信誉，避免负面影响
——COSO及美国审计准则第319条
Pwc
普 华 永 道
5
内部控制体系 – COSO
1992年完成的报告《内部控制的整体框架》从根本上统 一了对内部控制的认识，其所设计的内部控制模型也被 全世界公认为内部控制的标准模型。
The Committee Of Sponsoring Organization of Treadway Commission) COSO致力于通过强化商业道德、建立完善有效的内部控制和法人 治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财 务报告委员会(也被称为Treadway委员会)， 是由美国注册会计师协 会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学 会(AAA)、管理会计学会(IMA) 等多个专业团体组成。
Pwc
普 华 永 道
控制环境 – 管理理念和经营风格
管理层的管理理念和经营风格通常对公司有重大影响。这些虽然是无形的，但是正面或 负面影响的迹象是可以观察到的。 1. 2. 3. 4. 5. 接受的业务风险的性质，例如：管理层是否经常介入特 别高风险的业务，还是在接受风险方面非常保守。 在关键职能部门的人员流动率，例如：经营、会计和数 据处理部门等。 管理层对数据处理和会计职能的态度，以及对财务报告 和资产安全可靠性的关心。 高级管理层和业务部门管理层相互交流的频率，特别是 双方处于不同的地域时。 对财务报告的态度和行动，包括对采取的会计处理的争 议（例如：采取保守的还是激进的会计政策；会计原则 是否被滥用了；关键的财务信息没有被披露；或会计记 录被粉饰或篡改了）。
运 营 监控
告 报 务 财
性 规 合 活 活动 业动2 务1 单 位 B
信息和沟通
控制活动 风险评估 控制环境
业 务 单 位 A
28
Pwc
普 华 永 道
控制环境 – 诚信与道德观
管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这 些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。 1. 2. 3. 存在行为准则及其他相关可接受的商业行为、利益冲 突、伦理的道德标准等的政策，并有效执行。 “高层管理基调”的建立－－包括明确的道德指导（什么 是对的和错的）， 和在公司范围内进行沟通的程度的指导。与员工、供应 商、客户、投资人、债权人、保险人、竞争对象和审计 师等的关系。（例如：管理层进行商业行为时，是否非 常关注道德标准，是否也要求其他人遵守道德标准，还 是根本不关注道德问题。） 针对违反政策和道德准则的情况采取适当的措施。采取 措施的范围在公司内进行沟通。 管理层对干预或逾越既定控制制度的态度。 达到不切实际的目标的压力，特别是那些短期目标，薪 酬多大程度上基于业绩目标的实现。
监控
• 以人事关系或非正式手段进行监督 • 过于集中在财务领域的内部审计职能
• 审计委员会的监督作用较为薄弱
• 监控上缺乏独立性
23
Pwc
普 华 永 道
我们客户中常见内部控制问题
• 各层次的人员缺乏现代管理实践知识 • 缺乏应有的资源
• 存在变革的内部阻力 • 缺少现代管理体系和工具 • 监控的范围和力度不够充分、统一
控制环境 营造单位气氛－让公司员工建立内部 控制 因素包括正直，道德价值，能力，权 威和责任 是其他内部控制组成部分的基础
风险评估 风险评估 风险评估是为了达到企业 风险评估是为了达到企业 目标而确认和分析相关的 目标而确认和分析相关的 风险-形成内部控制活动的 风险-形成内部控制活动的 基础 基础
• 建立目标以便衡量进度、发现问题并及时采取改进措施
• IT 部门拥有大多数的财务信息（储存于IT系统中）。管理层应关注这些 IT系统及信息的安全、可靠、完好性 • 管理层建立有效地IT系统来协助信息的有效沟通（包括业务支持系统、 决策支持系统、财务报告系统、监控系统、e-mail系统等）
16
Pwc
信息和沟通 信息和沟通 及时地获取，确定并交流相关的信息 及时地获取，确定并交流相关的信息 从内部和外部获取信息 从内部和外部获取信息 使得形成从职责方面的指示到管理层 使得形成从职责方面的指示到管理层 有关管理行动的发现总结等各方面各 有关管理行动的发现总结等各方面各 类内部控制成功的措施的信息流 类内部控制成功的措施的信息流
13
Pwc
普 华 永 道
控制活动
业务流程和控制程序可以是人工的，也可以是自动的
人工的
采购定单 申请目的/ 申请人签字 审批和签字
自动的
收货
发票
输入采购 订单信息
采购订单 系统
核对数据
更新数据
三方匹配
14
Pwc
普 华 永 道
内部控制体系 – COSO模型
要素4：信息和沟通
经 营 报 告 规 合 活 活动 单动2 单元1 元B A 性
24
Pwc
普 华 永 道
内部控制的发展进程
Internal Controls Maturity Framework 内部控制发展构架
不可依赖的 不可依赖的 内部控制 内部控制 －控制环境不可预 －控制环境不可预 期，未设计相应 期，未设计相应 的控制程序或控 的控制程序或控 制程序失效 制程序失效 非正式的 非正式的 内部控制 内部控制 －报告和控制程 －报告和控制程 序已设计并正 序已设计并正 常运行，但未 常运行，但未 作适当记录 作适当记录 标准化的 标准化的 内部控制 内部控制 －报告和控制 －报告和控制 程序已设计并 程序已设计并 正常运行，且 正常运行，且 适当记录 适当记录 有监控的 有监控的 内部控制 内部控制 －定期测试标准化 －定期测试标准化 控制程序的有效 控制程序的有效 性，并报告管理 性，并报告管理 层 层 最优化的 最优化的 内部控制 内部控制 －管理层即时监 －管理层即时监 控并不断完善 控并不断完善 的内部控制构 的内部控制构 架 架
要素二：风险评估
经 营 财 监控 信息和沟通 控制活动 风险评估 控制环境 务
告 报
合
性 规
活 活动 单动2 单元1 元B A
评估风险是为了有效控制风险 • 管理层对风险的识别 • 是目标实现过程中相关內外部风险分析 • 估计风险的重大程度，可能性
随着经济，产业，制度和操作环境的不断变化，需 要建立相应机制以发现和处理这些变化所带来的特 殊风险
普 华 永 道
内部控制体系 – COSO模型
要素5：监控
经 营 财 监控 信息和沟通 控制活动 风险评估 控制环境 务 报 告 规 合 活 活动 单动2 单元1 元B A 性
• 监控是评估内控系统在一定时期内运行质量的 过程，目的是保证内部控制持续有效 • 其范围和频率取决于风险的重大性或现有监控 程序实施的有效性 • 监控的方式包括： • 持续性监控，包括日常管理、监督、比较 、核对等 • 独立的评估，即独立与控制活动之外，如 内部审计
• 过度的集权/分权体系
• 缺乏独立的复核程序
21
Pwc
普 华 永 道
内部控制常见问题举例