coso内部控制框架培训资料(doc37)-管理培训(编辑修改稿)

coso内部控制框架培训资料(doc37)-管理培训(编辑修改稿)内容摘要：

织结构 组织结构是权责分工的架构，在此架构中规划、执行、控制和监督为实现企业目标而进行的活动，每个企业都可根据自己的需要确定组织结构，可以是集权型，也可以是分权型，可以是直接的报告关系，也可以是矩阵型组织结构，可 15 以按产品或行业组织，也可以按地理分布或功能组织，但不论何种组织结构，应根据公司的业务性质， 进行适当的集中或分散，确保信息的上传、下达和在各业务间的流动，确保企业目标的实现。 管理层授权和职责分工 权力和责任分配是指对员工进行授权和分配责任，将企业的目标层层分解落实到每个员工的头上，从而将员工的行为与企业目标联系起来，增强员工的自主控制意识。 权力与责任分配的关键是权力与责任的对等。 人力资源政策和措施 人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的计划得以实施，目标得以实现。 因此，人力资源政策和措施应考虑如何招聘进来有能 力、可信任的人员，如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求，如何通过考核、薪酬、提升等政策激励约束员工。 （二） 风险评估 风险及风险评估的定义 风险是任何影响目标实现的因素 ,所有企业，无论规模、结构和行业性质，都面临着风险，可以说有经营就有风险。 风险有来自企业内部的，也有来自企业外部。 16 为了加强对风险的控制，必须进行风险评估， 风险评估是 指对相关风险进行识别和分析， 是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。 风险评估的前提条件是设立目标，只有先确立了目标， 管理层才能针对目标确定风险并采取必要的行动来管理风险。 企业的目标可以分为公司层面目标和业务活动层面目标，公司层面目标是指公司的总目标和相关战略计划，与高层次资源的分配和优先利用相关。 业务活动层面的目标是总目标的子目标，是针对企业业务活动的更加专门化的目标。 业务活动层 面的 目标应该清楚，易于理解，以便从事该操作的人能实现其目标，同时还必须是可衡量的，以便于考核。 实现目标需要耗费资源，因此设立目标必须考虑可获得的资源，企业应该 对目标进行分析， 提醒自己找出与总目标不相关的操作目标，以免资源浪费，而对实现总目标至 关重要的操作目标，则优先安排资源。 如何进行风险评估 1） 风险识别 风险评估的过程首先是进行风险识别，风险识别需要考虑所有可能发生的风险，并且需要考虑企业和相关外界之间的所有重大相互影响。 风险识别也是一个重复的过程，需要针对环境的变化持续进行。 导致企业经营风险的因素包括内部和外部两个方面： 17 外部因素包括：  技术发展 —— 影响研发的性质和时机，或带来采购的变化。 （例如：出现新的、更高效的油气开采技术，未掌握相关技术的公司会导致市场竞争力降低，进而影响经营目标的实现）  不断变化的客户需求和期望 —— 影响产品开发 、定价。 （例如：纳米技术的应用，客户对产品的期望改变；）  竞争 —— 影响营销和服务活动（例如： WTO 导致更多具有较高竞争力国外石油公司进入中国市场）。  新的法律和法规 —— 影响经营政策和策略（例如：萨班斯法案）。  自然灾害 —— 造成损失。  经济形势的变化等 —— 影响融资、资本支出和扩张决策。 内部因素包括：  信息系统运行的中断 —— 影响经营运转。  雇员的素质和培训、激励的方法 —— 影响控制理念。  管理层职责的改变 —— 影响某些实施控制的方式。  企业经营活动的性质、员工对资产的接触途径 ——产生挪用。  董事会或审计 委员会无法有效履行其职责 —— 可 18 能为管理层轻率的行为提供机会。 2） 风险分析 识别风险后，需要进行风险分析，分析的内容主要有：  估计风险的重要性程度；  评估风险发生的可能性（或频率、概率）；  考虑如何管理风险 —— 即评估需要采取何种措施 针对风险分析的结果而采取的控制活动，管理层应仔细考虑现有内控程序对于已识别的风险是否合适。 如果现有程序可能已经足够或只需要执行得更好，那么就不必制定附加程序。 管理层还应认识到，总会存在一些残留风险的可能性，不仅因为资源总是有限的，还因为每个内控系统都有内在局限性。 因此，管理层 的一项重要工作是权衡利弊， 确定能够谨慎地接受多少风险，并尽力将风险控制在可接受的水平内。 3） 应对变化 经济形势、行业和法规环境不断改变，企业业务活动不断发展。 在一个环境下有效的内部控制在另一环境下未必有效。 风险评估的本质就是一个识别变化的环境并采取相应行动的过程，风险评估应持续地进行 , 并且应特别关注下面的情形：  变化的经营环境 —— 变化的法律或经济环境可能导致 19 竞争压力的增加和显著不同的风险。  新的人员 —— 新来的高层管理人员的经营风格与原先的不同。  新的或经修订的信息系统 —— 能否正常运行。  经营的快速增长 — — 当经营快速扩张，现有制度的局限可能导致控制失效；当程序变动或新人员增加时，现有的监督可能就不能保持充分的控制。  新技术 —— 新技术被运用到生产流程或信息系统中，内部控制就很可能需要修改。  新业务、产品、活动 —— 当企业进入新的商业领域或从事不熟悉的交易时，现有的控制可能就不充分了。  公司重组 —— 公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组。 重组可能导致内部裁员，职责分工的合并，或者，原来的一个重要控制岗位被取消，却没有相应的替代控制出现。 很多公司重组后大量削减人员，就碰到了严重的控制缺陷。  海外 经营 —— 海外经营的扩张或收购带来了新的和独特的风险。 例如，内控环境可能受到当地管理层文化和风俗的影响。 另外，当地经济和法律环境可能带来独特的风险因素。 （三） 内控活动 内控活动是指为确保管理层指示得以执行的政策和程 20 序。 它有助于进行风险管理和保证企业目标的实现，内控活动贯穿于企业的所有层次和部门。 它们包括一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。 内控活动类型： 控制活动可以有不同的描述方式： 针对企业的不同目标，控制活动可以分为以下三个类型：即为 提高经营效率效果、 增强财务报告的可靠性、遵守法规等目标的三类控制活动； 根据控制活动的不同作用，控制活动又可以分为：预防性控制、检查性控制、指导性控制、 纠错性控制、 补偿性控制等五种类型； 根据组织中实施人员的不同，控制活动也可以分为：高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。  高层复核 —— 管理层将实际业绩情况和预算相比较，将当期业绩和前期相比较，将本企业的业绩情况与竞争对手相比较，对企业主要行为进行追踪，以衡量目标实现的程度。  指导并管理业务活动 —— 负责整个板块生产的领导，分地区公司、分产品 类别等内容审阅生产业绩报告，对照经营目标，分析其中反映出的生产管理方面的问题，并指出需要改进的方向。 21  信息处理 —— 这类控制被用于核对交易的准确性、完整性和遵循性。 如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性控制；客户订单，只有与经批准的客户文件和信用额度相符，才能被接受；交易应按连的编号记账；系统管理员对例外事项报告进行跟踪调查，必要时向主管领导报告。  资产保护即实物控制 —— 对设备、存货、证券、现金及其他资产实物采取保管措施，并定期进行盘点和帐实核对。  业绩指标分析 —— 采购部门的员工分析采购价 格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率，通过调查异常的结果和异常的变动趋势，关注那些可能影响目标实现的问题，并提出改进方案。  职责分离 —— 职责在不同人员之间的分工或分离，可以降低发生错误或不当行为的可能性。 例如，交易的授权、记录和处理相关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或现金收入的处理。 控制活动的要素 — 政策和程序 控制活动一般包含两个要素，即：第一个要素，政策 —它描述应该做什么，第二个要素，程序 — 它描述应该怎样做；政策是程序的基础，同时，程序又影响政 策的执行。 例如，政策要求，应该由专人定期进行存货盘点，程序即盘点本身， 22 其实施的频率、关注的要点、存货的性质、数量等等。 控制活动应和风险评估相结合 管理层在进行风险评估的同时，应该针对该特定风险找出并实施有效的措施，这些针对某项特定风险的具体措施也就是建立控制活动的要素，它有助于保证控制活动得以及时、有效地实施。 信息系统的控制 随着信息技术的发展，大多数企业，包括小公司或大公司的部门，都引进、建立和运用了现代化信息处理系统，现代化的信息系统不仅提高。