COSO内控框架－普华永道－中石油总部内控咨询－标准工作模板

COSO内控框架－普华永道－中石油总部内控咨询－标准工作模板内容摘要：

1、1部控制框架培训资料内容提要：一、背景介绍（一）部控制框架的产生及发展过程（二）中石油目前的内部控制体系与 部控制框架的差距二、部控制框架下内部控制的定义（一）部控制框架对内部控制的定义（二）对内部控制定义的理解（三）部控制框架的组成要素三、部控制框架五要素（一） 内控环境（二）风险评估（三）内控活动（四）信息与沟通（五）监督四、内部控制的局限性五、员工在内部控制中的作用和职责六、小结2一、背景介绍内部控制是什么?不同的人有不同的理解。 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。 这种理解没有错，但不全面。 按照现代的 2、内控理论，这些仅仅是内部控制的一部分，而不是全部。 现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。 （一）部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。 在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政 3、策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的 部控制框架。 在美国，20 世纪 70 年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制3度和方法。 1973 年至 1976 年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。 针对调查的结果，美国国会于 1979 年通过了反国外贿赂法（简称 了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。 因此美国许多机构都加强了对内部控制的研究并提出许多建议。 1985 年，由美国注册会计师协会、会计协会、 4、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。 两年后，该委员会提出了很多有价值的建议。 基于该委员会的建议，其赞助机构成立 员会，专门研究内部控制问题。 1992 年 9 月，员会提出了报告内部控制整体框架（1994 年进行了增补）， 即 部控制框架。 控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。 部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制 5、框架，萨班斯法案第 404 条款的 最终细则也明确表明 部控制框架可以作为评估企业内部控制的标准。 股份公司作为纽约4证交所上市公司，需要按照法案要求，引进 部控制框架，整合现有内部控制，满足法案的要求。 同时，对股份公司来说，这也是梳理管理流程、规范管理、提升整体管理水平的契机。 部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻 部控制框架要求，来实现提升管理水平的目的。 （二）中石油目前的内部控制体系与 部控制框架的差距目前，股份公司通过多年的管理实践和积累，已经建立了一套针对 6、石油行业的行之有效的内控体系，但与 部控制框架的要求相比还存在一些距离。 这些差距主要体现在：内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。 “ 他山之石，可以攻玉 ”，控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。 为此，我们需要认真学习 部控制框架理论，充分认识和理解 部控制框架，并在实际经营管理中积极实践，大力贯彻和实施，从而优化内部控制，完善内控体系，全面提升公司管理水平。 二、部控制框架下内控制度定义5（一）控框架对内部控制的定义部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、 7、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。 （二）对内部控制定义的理解应该从以下几个方面理解内部控制的定义：第一，内部控制是一个“过程” ，而且是一个 动态的过程。 企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。 内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。 第二，内部控制受到“人” 的因素的影响，它并不 仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负 8、有责任并受到内部控制的影响；是“人” 建立企业 的目标，并将控制机制赋予实施。 确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。 第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。 6最后，内控框架将内部控制目标分为三类：与营运有关的目标即经营的效率与效果、与财务报告有关的目标即财务报告的可靠性、以及与法规的遵循性有关的目标。 上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。 （三） 部控制框架的组成要素部控制框架认为 9、，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示。 内控环境内控环境是企业的基调、氛围，直接影响内控活动 确保管理活动付诸实施的政策/流程。 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。 监督 不断评估内部控制系统的表现。 整合实时和独立的评估。 管理层和监督活动。 内部审计工作。 内控环境 营造单位气氛让公司员工建立内部控制 因素包括正直，道德价值，能力，权威和责任 是其他内部控制组成部分的基础信息和沟通 及时地获取，确定并交流相关的信息 从内部和外部获取信息 使得形成从 10、职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 风险评估是为了达到企业目标而确认和分析相关的风险形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运 财务报告 合规性业务单位务报告 合规性业务单位业务单位活动活动7企业员工的控制意识。 内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。 可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。 风险评估风险评 11、估是识别、分析相关风险以实现既定目标，是风险管理的基础。 每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。 因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。 内控活动内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。 它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 信息与沟通是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。 信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。 畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经 12、营过程中所需的信息，并交换这些信息。 8 监督是对内部控制系统有效性进行评估的过程，可以通过持续 性监 督、独立评估或两者的 结合来实现对内控系统的监督。 内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境，这是企业发展的基础。 每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。 针对风险评估的结果需要采取相应的内控活动来控制和减少风险。 同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。 为了保证内控体 13、系的正常运转，还需要对整个内控过程进行监督。 内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。 但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响内控活动，还可能影响信息和沟通、监督行为等。 部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。 对此，本次培训以大型公司为例，未考虑中小公司的差异。 9三、部控制框架五要素（一）内控环境内控环境是其他控制要素的基础。 内控环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委 14、员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。 下面讨论各项因素的具体内容。 1、员工的诚信和道德价值观内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素。 人的道德价值观影响着人的行为。 企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。 员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。 主要包括以下内容：1三 利益冲突 每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。 2三 合法性 公司要承 15、诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。 3三 及时向指定人员报告或检举揭发违规事项 员工有义务对所发现的关于会计、内部控制或审计等的违反法律、10规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。 发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。 对检举人应当建立保密制度，包括匿名保护。 4三 遵守道德准则的责任 明确员工必须遵守道德准则。 对违反准则的人员建立惩罚机制，甚至解雇或免职。 5三 公司机遇 禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。 6三 保密 机密信息是一间公司最重要的资产之一。 公司建立相应政策保护机密信息，包括（a ）属于公司商业性机密信息（b）属于非披露协议下信息。 每一个员工在入职后应执行保密协议和保护公司知识产权。 员工即使在终止雇佣之后，仍然有义务保护公司的机密信息。 7三 公平交易 每一个 员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。 为了获得或维。