普华
永 14道
内部控制体系 – COSO模型
要素4：信息和沟通
营
经
告 报 务
性 规
财
合
监控 信息和沟通
控制活动
活 活动
单动2 单元1 元B
风险评估
A
控制环境
企业定期获取及交流内外部的信息，帮 助员工履行职责
• 信息的识别和获取 • 信息加工和报告 • 内部沟通和外部沟通
15
a
Pwc
普华
永 15道
信息和沟通
相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相 关人员能有效履行职责，采取适当行动。
例如：
• 建立一个有效机制，使相关信息在管理层及时共享，使相关各层面拥有 所需信息
• 管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通 • 建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序 • 建立目标以便衡量进度、发现问题并及时采取改进措施
9
a
Pwc
普华
永 9道
内部控制体系 – COSO模型
要素二：风险评估
营
经
告 报 务
性 规
财
合
监控
活
信息和沟通 控制活动
活动
单动2 单元1 元B
风险评估
A
控制环境
评估风险是为了有效控制风险 • 管理层对风险的识别 • 是目标实现过程中相关內外部风险分析 • 估计风险的重大程度，可能性
随着经济，产业，制度和操作环境的不断变化，需 要建立相应机制以发现和处理这些变化所带来的特 殊风险
10
Pwc
a
10
普华永道
风险评估
目标
风险识别 风险分析 主要风险 措施
经 营 效 率
和 效 果
财的 务可 报靠
告性
法 律 及 法 规
的 合 规
性
11
过 滤
a
Pwc
普华
永 11道
内部控制体系 – COSO模型
要素3：控制活动
营
经
告 报 务
性 规
财
合
监控 信息和沟通
控制活动 风险评估
活 活动
单动2 单元1 元B
风风险险评评估估 风风险险评评估估是是为为了了达达到到企企业业 目目标标而而确确认认和和分分析析相相关关的的 风基风基险础险础-形-形成成内内部部控控制制活活动动的的
Pwc
普 华 永 7道
内部控制体系 – COSO模型
要素一 ：控制环境 － 内部控制的基础
营
经
告 报 务
性 规
财
合
监控 信息和沟通
控制活动
资料的权限控制 • 责任分离，如业务授权、业务执行、业务记录、对业绩
的独立检查的职能分离
13
a
Pwc
普华
永 13道
控制活动
业务流程和控制程序可以是人工的，也可以是自动的
人工的 自动的
采购定单
申请目的/ 申请人签字
审批和签字 收货 发票
输入采购 订单信息
采购订单 系统
核对数据
更新数据
三方匹配
14
a
Pwc
1. 接受的业务风险的性质，例如：管理层是否经常介入特 别高风险的业务，还是在接受风险方面非常保守。
2. 在关键职能部门的人员流动率，例如：经营、会计和数 据处理部门等。
3. 管理层对数据处理和会计职能的态度，以及对财务报告 和资产安全可靠性的关心。
4. 高级管理层和业务部门管理层相互交流的频率，特别是 双方处于不同的地域时。
的灵活性 = 更差的业绩
• 但这不是现代内部控制 !
a
Pwc
普华
永 4道
内部控制定义
内部控制 是由公司董事会批准，管理层和其他有关人
实施，为达到以下目标而提供合理保证的程序：
• 经营的效率和效果
强调公司的基本经营目标，包括绩效和利润目标及资源的安全可靠性
• 财务报告的可靠性
包括可靠的财务报表及其他财务信息的准备
19
a
Pwc
普华
永 19道
内部控制常见问题举例
风险评估
• 对潜在的风险缺乏整体性认识和系统性归类 • 缺乏对完善的业务控制体系的全面了解 • 缺乏对风险评估方式、方法、程序的了解
20
a
Pwc
普华
永 20道
内部控制常见问题举例
内控活动
• 缺乏完整细化的 “标准运作流程” • 不健全的职责分离 • 过度的集权/分权体系 • 缺乏独立的复核程序
21
a
Pwc
普华
永 21道
内部控制常见问题举例
信息与沟通
• 大部分采用手工控制 • 缺乏有效的成本管理及预算方法 • 过时的管理信息系统 • 缺乏以关键业绩考核指标为基础的管理报告及分析 • 缺乏先进实践、行业实例与经验的培训
22
a
Pwc
普华
永 22道
内部控制常见问题举例
监控
• 以人事关系或非正式手段进行监督 • 过于集中在财务领域的内部审计职能 • 审计委员会的监督作用较为薄弱 • 监控上缺乏独立性
普华
永 28道
控制环境 – 诚信与道德观
管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这 些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。
1. 存在行为准则及其他相关可接受的商业行为、利益冲 突、伦理的道德标准等的政策，并有效执行。
不不可可依依赖赖的的 内内部部控控制制 －－控控制制环环境境不不可可预预
期期，，未未设设计计相相应应 的的控控制制程程序序或或控控 制制程程序序失失效效
非非正正式式的的 内内部部控控制制 －－报报告告和和控控制制程程 序序已已设设计计并并正正 常常运运行行，，但但未未 作作适适当当记记录录
标标准准化化的的 内内部部控控制制 －－报报告告和和控控制制
易法规、非法支付等）。 7. 监督高级管理人员的薪酬，聘用和解聘高级管理人员。 8. 建立“高层管理基调” 9. 董事会或审计委员会依据其发现采取行动，包括特殊调查。
27
a
Pwc
普华
永 27道
控制环境 – 管理理念和经营风格
管理层的管理理念和经营风格通常对公司有重大影响。这些虽然是无形的，但是正面或 负面影响的迹象是可以观察到的。
活 活动
单动2 单元1 元B
风险评估
A
控制环境
控制环境： • 是企业的整体气氛 • 影响员工的控制意 • 是其他要素的基础 • 提供纪律约束和架
8
a
Pwc
普华
永 8道
控制环境
控制环境主要包括：
1. 员工的诚信和道德观 • 员工的胜任能力 • 董事会和审计委员会 • 管理层的经营理念和经营风格 • 组织结构 • 管理层授权和职责分工 • 人力资源政策和措施
• 法律及法规的合规性
包括公司必须遵守的法律、法规，以维护良好的信誉，避免负面影响
——COSO及美国审计准则第319条
5
a
Pwc
普华
永 5道
内部控制体系 – COSO
1992年完成的报告《内部控制的整体框架》从根本上统 一了对内部控制的认识，其所设计的内部控制模型也被 全世界公认为内部控制的标准模型。
程程序序已已设设计计并并 正正常常运运行行，，且且 适适当当记记录录
有有监监控控的的 内内部部控控制制 －－定定期期测测试试标标准准化化
控控制制程程序序的的有有效效 性性，，并并报报告告管管理理 层层
最最优优化化的的 内内部部控控制制 －－管管理理层层即即时时监监
控控并并不不断断完完善善 的的内内部部控控制制构构 架架
6
a
Pwc
普华
永 6道
COSO内部控制框架
监监督督 不不断断评评估估内内部部控控制制系系统统的的表表现现。。 整整合合实实时时和和独独立立的的评评估估。。 管管理理层层和和监监督督活活动动。。 内内部部审审计计工工作作。。
信信息息和和沟沟通通 及及时时地地获获取取，，确确定定并并交交流流相相关关的的信信息息 从从内内部部和和外外部部获获取取信信息息 使使得得形形成成从从职职责责方方面面的的指指示示到到管管理理层层 有有关关管管理理行行动动的的发发现现总总结结等等各各方方面面各各 类类内内部部控控制制成成功功的的措措施施的的信信息息流流
5. 对财务报告的态度和行动，包括对采取的会计处理的争 议（例如：采取保守的还是激进的会计政策；会计原则 是否被滥用了；关键的财务信息没有被披露；或会计记 录被粉饰或篡改了）。
28
a
营运
报告 财务
监控 信息和沟通
控制活动 风险评估
性 合规
活 活动 业动2 业 务1 务单 单位 位B A
控制环境
Pwc
营
经
告 报 务 财
规 合
性
监控
活
信息和沟通
活动 单动2
控制活动
单元1 元B
风险评估
A
控制环境
• 监控是评估内控系统在一定时期内运行质量的 过程，目的是保证内部控制持续有效
• 其范围和频率取决于风险的重大性或现有监控 程序实施的有效性
• 监控的方式包括： • 持续性监控，包括日常管理、监督、比较 、核对等
23
a
Pwc
普华
永 23道
我们客户中常见内部控制问题
• 各层次的人员缺乏现代管理实践知识 • 缺乏应有的资源 • 存在变革的内部阻力 • 缺少现代管理体系和工具 • 监控的范围和力度不够充分、统一
24
a
Pwc
普华
永 24道
内部控制的发展进程