加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 COSO内部控制整合框架(中文版)

COSO内部控制整合框架(中文版).pdf

COSO内部控制整合框架(中文版)

大冬瓜
2010-04-02 0人阅读 举报 0 0 暂无简介

简介:本文档为《COSO内部控制整合框架(中文版)pdf》,可适用于财会领域

目录管理层概述总体构架定义控制环境风险评估控制活动信息和沟通监控内部控制的局限作用和职责附录A学习本文的相关事项及背景知识B方法体系C对定义的看法和使用D反馈意见E术语内部控制整体构架管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。内部控制致力于促使企业向着赢利和完成自身使命的目标运行并使这一过程中的意外最小化。内部控制使管理层能够应对瞬息万变的经济和竞争环境客户不断变换的需求和偏好并进行重组以利于公司的未来发展。内部控制有利于提高企业经营效率降低资产损失风险有助于保证财务报表的可靠性、企业经营活动的合法合规性。鉴于内部控制具有上述的重要性因此对提高内控系统及其报告质量的需求日益增加。内部控制日益被视为诸多潜在问题的解决方案。什么是内部控制内部控制对不同的人有不同的含义。这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。由此造成的误解和期望值的差异往往给企业带来问题。一旦内部控制这一名词未经清楚定义就写入法律、规章或规则问题便复杂化了。本文是针对管理层的需要和期望而写的。本文对内部控制的定义服务于以下目的:确立一个满足各方需要通用的定义。提供一个标准无论规模大小、公用和私人性质、赢利和非赢利使各类企业都能以此对其内部控制制度进行评估和改进。内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的为达到下列目标提供合理的保证的程序:经营的效果和效率财务报告的可靠性法律法规的遵循性第一类目标指企业的基本经营目标包括业绩、赢利指标和资源保护。第二类目标指编制可靠的公开财务报表的包括中期和简略财务报表以及从这些财务报表中摘出的数据(如利润分配数据)。第三类目标指企业经营必须符合相关的法律法规。以上三类目标既相互独立又相互联系分别代表不同的需求需要对它们作专门研究。内部控制制度依据其运行的有效性程度而有所不同。因此这三类目标又可据此进行划分如果董事会和经理层能够合理的保证:他们清楚地知道企业经营目标实现的程度公开财务报表的编制是可靠的企业适用的法律得到遵守虽然内部控制是一个过程它的效果却表现为在某一时点上这一过程的状态。内部控制包括五个相互联系的要素。它们源自管理层的经营方式并与管理过程紧密相连。尽管此五项要素适用于各类企业但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强但其内部控制也可能是有效的。内部控制的五项要素为:控制环境控制环境决定了企业的基调直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能管理哲学和经营风格权责分配方法、人事政策董事会的经营重点和目标等。风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接保持一致。风险评估指识别、分析相关风险以实现既定目标从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化需要确立一套机制来识别和应对由这些变化带来的风险。控制活动控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。信息和沟通公允的信息必须被确认、捕获并以一定形式及时传递以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告以助于经营和控制企业。信息系统不仅处理内部产生的信息还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息认真履行控制职责。员工必须理解自身在整个内控系统中的位置理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。监控内部控制系统需要被监控即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报性质严重的应上报最高管理层和董事会。这五项要素既相互独立又相互联系形成一个有机统一体对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营质量和主动的授权避免不必要的花费并对环境的变化迅速作出反应。内部控制的三类目标之间具有直接联系他们代表了企业努力的目标而五项要素代表了实现这些目标所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标如经营的效率和效果需要五项要素共同发挥作用以说明经营的内部控制是有效的。内部控制的定义受人为因素影响、提供合理保证的过程这一内在基本的概念及其不同种类的的目标、内部控制要素、内控有效性评价准则、与之相关的讨论构成这本内部控制基本构架的内容。内部控制能做什么内部控制有助于企业实现其业绩和利润目标防止资源损失提高财务报告的可靠性督促企业遵守相关法律法规避免企业名誉受到损害以及受到其他不良影响。总之内部控制有利于企业在即定轨道中前进避免走弯路和遭遇突然袭击。内部控制不能做什么不幸的是一些人对内部控制有不合实际的预期他们存在以下幻想:内部控制可以确保企业的成功它能确保企业实现基本经营目标至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提供给管理层关于企业成长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功甚至不能保证生存。内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度无论设计、运行多么理想都只能就企业目标的实现向管理层和董事会提供合理的而非绝对的保证。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况:决策判断可能失误简单的错误可能导致大纰漏。另外控制可能因为两个以上人的相互勾结而趋于无效而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实即出于资源有限性的考虑内部控制必须考虑成本收益的匹配。因此尽管内部控制有助于企业实现其目标但它并非万能药。角色和职责企业的每位员工都应担负内部控制的职责。经理层总裁应最终负责并具有内控系统的“所有权”。与其他人相比较总裁制定了最高基调这将影响诚信度、道德品行以及构成一个积极的控制环境的其他因素。在大公司总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员则向各部门负责人分配具体的控制措施和程序。在规模小些的公司总裁常常身兼所有者和经理人双重角色其影响也就更加直接。在任何情况下对于金字塔式的职责分布结构每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属他们的控制行为切入企业经营的各部分。董事会经理层对董事会负责董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境留出足够的时间来完成董事会职责。不诚实的经理层有可能越过内部控制忽视或压制下属的信息反馈并故意误报结果以掩盖其行径。一个强有力、活跃的董事会特别是具备了有效的信息自下而上传递的渠道以及完善的财务、法律和内审职能后往往能识别和纠正这样的问题。内部审计人员内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性内部审计在监控方面扮演重要角色。其他人员从某种程度上说内部控制是企业中每个人的职责因此应成为每个人工作职责中明示或暗示的部分。实际上所有职员都在产出内控系统需用的信息或在进行与内控有效运行相关的活动。而且所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。一些企业外部人员常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控通过直接的财务报表审计和间接的管理建议来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员包括律师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员不属于企业内控系统的一部分也不对企业内控系统负责。本报告的组织结构本报告分四部分。第一部分“管理层总结”是对内部控制总体构架的高度总结是针对总裁和高级管理人员、董事会成员、律师和监管当局而写的。第二部分“总体构架”对内部控制进行了定义阐述其构成要素为管理层、董事会及他人提供了评估内部控制有效性的准则。第三部分“外部团体报告”是附件对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供了指导第四部分“评估工具”提供了对内控系统进行评估的有用资料。本报告目的根据本报告所能采取的行动与当事人所处的位置和承担的职责有关:高级管理人员多数来此学习的管理人员相信其对企业能够基本控制。然而许多人认为一些部门或控制环节的内控还处于发展阶段或需要进一步加强。没有人喜欢出漏子。本研究报告建议总裁创建一套内控系统的自我评价系统。运用此系统总裁以及主要经营、财务管理人员就能够将注意力集中在关键问题上。一种方法是:总裁将部门负责人和业务骨干召集在一起讨论内部控制的初始评估方案然后指导其他职员和上司讨论本报告中的概念各职员在其职责范围内检查初始评估方案并提出反馈意见。另一种方法则包括对公司情况的初步复核、部门控制政策和内部审计程序。不管何种形式初始评估方案应该能够决定是否有必要或如何进行更深层次的评估。另外它也应能保证持续的监管到位。评价内控系统所花费的时间是一种具有高回报的投资。董事会成员董事会成员应该和高层管理人员讨论企业内部控制制度的状况并在需要时提供督导。他们应借鉴内部审计师和外部审计师的意见。其他人员经理和其他人员应该考虑自身控制职能在整体内控构架下如何执行并和高级管理人员讨论加强内部控制的方法。内部审计师应该考虑其对内控系统的关注范围并将比较其评估资料与评估工具。立法者和监管当局立法当局认识到对任何事件都会存在误解和不同的期望。对内部控制的理解在两方面存在不同。首先在内部控制的作用方面存在不同。如前所述一些人认为内控系统应该能够防止企业遭受损失或至少能够防止企业破产。其次即使已在内控系统所能和所不能以及“合理保证”的概念上取得一致对于内部控制的概念和应用仍存在分歧。公司总裁非常关注监管当局在所谓内控失败事件发生后如何分析有关“合理性保证”的公开报告。在遵守有关管理层报告其内控情况的法律法规之前需要对包括内控局限性的内部控制基本构架取得一致。本报告所阐述概念框架有助于达成以上共识。专业组织专业组织就企业的财务管理、审计和其他相关主题提供指引因此必须考虑其对内控构架提出的标准和指导。一旦在概念和术语上的分歧消失各方都会收益。学术界本内控构架可作学术研究和分析之用以对其进一步改进。假设本报告被普遍接收作为基础理论其概念和专业术语有可能进入大学的课程。我们相信本报告能带来一些益处。以此为基础达成共识各方就有了统一的语言能更有效地交流。商业管理人士将有一套评估内控系统的标准以进一步加强内控使企业向着既定目标前进。未来关于内部控制的研究也有了明确的基础。立法者和监管当局对内控的理解更加深刻包括其优点和不足。只有各方运用同一个通用的内控构架这些益处才会实现。内部控制整体构架管理层概述构架对外界的报告“对外界的报告”附录第一章定义本章概要:内部控制被定义为一个受企业员工行为影响用以完成特定目标的过程。这是一个广义的概念包含了对企业进行控制的各个方面但却强调将重点放在特定的目标上。内部控制包括五个相互联系的要素它们都包含在管理层经营企业的方式中。五项要素相互联系作为评判内控系统是否有效的准则。本次研究的主要目的在于协助管理层更好地控制企业行为。但内部控制对不同的人有不同的含义。大量的术语和释义妨碍人们了对内部控制的达成共识。因此一个重要的目标就是将形式各异的内控概念总结成一个总体构架以确定一个通用的定义和明确各控制要素。本构架是为适应多数观点而设计的并为企业的内控评价、立法机构的未来举措以及教学研究提供了起点。内部控制内部控制的定义如下:内部控制是一个受到董事会、经理层和其他人员影响的过程该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率财务报告的可靠性法律法规的遵循性该定义反映了以下基本概念:内部控制是一个过程。它是实现目的手段而非目的本身。内部控制受人为影响。它不仅仅是政策手册和图表而且涉及企业各层次的人员。内部控制只能向企业董事会和经理层提供合理的保证而非绝对的保证。内部控制是为了实现三类即相互独立又相互联系的目标。有两个理由使我们相信以上内部控制的定义是广泛适用的。第一我们采访的多数经理是这样来看企业内部控制的。实际上他们常常提及“控制”一词而且正在“控制”。第二它适用于内部控制的多个子集。不同人可以有不同的侧重点例如可以分别侧重于财务报告和法律法规的遵循性。类似的这一定义对企业某一部门或某一行为的内部控制也适用。该定义同时也提供了决定内控有效性的基础这在后面章节将会讨论到。以上基本定义将在以下小节详细讨论。内部控制是一个过程内部控制并非单一的事件或环境而是针对企业行为的一系列活动。这些活动是潜移默化的蕴含于管理层的日常经营行为中。企业横向和纵向的经营行为都是通过计划、执行和监控这一基本过程进行的。内部控制是与这一过程密不可分的一部分使之能够良好运行并监督运行以保持持续的相关性。它是管理层的工具而非管理的替代品。这一定义与很多人不同他们认为内部控制在企业的运营过程之外是立法者和监管当局给企业增加的负担。内控系统与企业的运营紧密相连因基本的商业动机而存在。只有内部控制成为企业内部构架中关键的一部分时才最为有效。内部控制应该“嵌入”企业之中而非“外置”在企业之外。“嵌入式”控制直接影响企业实现其目标的能力并支持企业的质量举措。对质量的要求直接与企业的运营和控制相联系。质量举措已成为企业运营构架的一部分:高层管理人员确信质量价值蕴涵于企业的经营方式中。确立质量目标与企业的信息收集、分析及其他过程相联系。运用对有关竞争活动和客户期望的认知来不断推进质量的提高以上质量要素与有效的内控系统要素相重合。实际上内部控制不仅与质量规划紧密结合而且对其成功起关键作用。“嵌入式”控制对成本节约和减少反应时滞有重要作用。多数企业面临高度的市场竞争和节约成本的需要。在现有的过程上增加新程序必然会增加费用。如果将重点放在当前的运营及其对有效内部控制的影响上并将内部控制嵌入企业的日常经营中常能使企业避免不必要的程序和成本。将内部控制嵌入企业的运营构架中有助于针对新的经营行为采取新的控制措施。这种自动反应增加了企业的敏捷度和竞争力。人的因素内部控制受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。人们确立企业的目标并将内控系统付诸实施。同样内部控制也影响人们的行为。人们理解、交流和行动的方式并非一成不变每个人都有独特的背景和才干具有不同的需求和重点。这些现实既对内部控制产生影响也受到其影响。人们必须知道各自的职责和权限。相应的在不同职责和执行方式之间应有明确的分工和联系企业的各层目标也是一样。企业员工包括董事会、经理层和其他职员。尽管董事被视为实施监管的主要人员他们也进行工作指导批准某些交易和政策。因此董事会也是内部控制的一个重要元素。合理性保证内部控制无论设计和执行多么理想也只能就企业目标的实现向经理层和董事会提供合理的保证。企业目标实现的可能性受到内部控制内在局限的影响:包括人员决策上的失误建立内部控制需考虑成本效益原则人为错误和失误带来的内部控制失效。另外内部控制会因两个或更多人的联合欺诈而失效。最后经理层具有越过内控系统的权力。目标每个企业都有自己的使命确立需实现的目标及相应战略。目标的设立应针对整个企业或企业内特定行为。虽然很多目标只针对特定企业有一些还是普遍适用的例如几乎对所有企业普遍适用的目标是:在企业界和客户层保持良好的声誉向股东提供可靠的财务报表以及合法合规经营。本报告将目标分为三类:经营关于企业资源利用的效率、效果财务报告关于编制公开财务报表的可靠性遵循性关于法律和法规的遵循性这一分类有利于将内部控制的重点放在不同方面。这些既相互独立又相互联系的分类体现了不同的需求也可能是不同管理人员的职责。这一分类还利于区分每类控制的可能结果。内控系统可以为实现财务报告的可靠性和法律法规的遵循性目标提供合理的保证。这些目标(很大程度上是外界施加的)的实现有赖于企业内控系统的实施。然而经营目标的实现如投资回报、市场份额、引进新产品并非完全在企业控制能力之内。内部控制并不能阻止决策失误和意外事件的发生。只有当管理层及时了解企业向既定目标迈进的程度内控系统才能为企业目标的实现提供合理的保证。要素内部控制包括五项相互联系的要素。它们来自管理层经营企业的方式并融入管理过程本身。这些要素包括:控制环境企业的核心是人员工的特性包括诚信、道德和能力和他们所处的环境。环境是企业发展的基础也是推动企业发展的引擎。风险评估企业必须了解并应对其面临的风险设定目标包括销售、产品、营销、财务和其他行为使之进入即定轨道运行。还必须确立识别、分析和管理风险的机制。图示内部控制要素监控控制行为信息和沟风险通评估控制环境控制环境提供了员工实施(控制)活动和履行控制责任的氛围是其他控制要素的基础。在此环境内经理层评估实现特定目标的风险。控制活动是为了确保经理层有关减少风险的措施的顺利实施。同时与之相关的信息被获取和在组织内部传递。整个过程都得到监控并随着环境的改变而更新。控制活动必须确立和执行控制政策和程序以确保那些被管理层认为必要的减少风险的措施得以执行。信息和沟通围绕在控制活动周围的是信息和沟通系统。这些系统有利于企业员工获得及交换与运作、管理和控制企业有关的信息。监控整个控制过程必须得到必要的监控和修订。这样内控系统才能对环境的变化自动反应。内部控制各项要素及其间联系如图示。该模型描述了内控系统的运行体制。例如对风险的评估不仅影响控制行为还可能强调需要重新考虑信息和沟通或重新考虑企业监控行为。因此内部控制并非一项要素影响下一项要素的顺序过程。它是一个几乎任一要素都可以影响其他要素的多方向、相互作用的过程。没有两个企业会或应该具有相同的内控系统。公司的内控系统因行业和规模、文化和管理层哲学而不同。因此尽管企业都需要这几项要素来实施对企业的控制某一公司的内控系统常常看起来与另一公司的内控系统大相径庭。目标和控制要素之间的关系在企业尽力要实现的目标,和代表实现这些目标需要什么的控制要素之间存在直接联系。它们之间的联系可用图示中的三维矩阵表示:三类目标经营财务报告和遵循性用垂直柱条表示五项要素用行来表示内控系统相关的企业行为用第三维表示。每行要素都贯穿、针对所有三类目标。图例左下角部分可以作为例子:从企业内、外部而来的财务和非财务数据作为信息和沟通要素的组成部分需要被用来有效管理企业运作编制可靠财务报表和保证企业合法经营。另一例子(未单独列示)用以保证管理层规划、战略和其他指示得以贯彻的内部控制政策和程序的确立和执行代表了控制活动这一要素也与所有三类目标有关。图示控制目标和控制要素的关系经营财务报告合法性监控信息和沟通控制行为风险评估控制环境左上:控制目标和要素之间具有直接联系目标是企业尽力去实现的而要素代表实现这些目标需要什么。右上:内部控制与整个企业或企业的任一部门或任一行为相关。左下:所有三类目标都需要信息以有效管理企业、编制可靠财务报表及保证合理性。右下:所有五项要素对经营目标的实现都适用和重要。类似的所有五项要素与每类目标都有关联。例如对经营的效果和效率目标所有五项要素都适用和重要。这在图例的右下角已说明。内部控制与整个企业或其中某一部分有关。这一关系用第三维表示第三维代表附属公司、部门、业务单位、职能单位或诸如购买、生产、营销在内的企业行为。相应的每个人都可以关注三维矩阵的一个单元。例如可以考虑矩阵左下方前侧的一个单元其代表与公司特定部门经营目标相关的控制环境。有效性不同企业的内控系统在不同的有效性水平上运行。类似的特定的系统在不同的时期运行可能具有不同的效果。当内控系统满足以下标准时我们可以认为它是有效的:如果董事会和经理层能够分别合理地保证在每类中任一类内部控制都可视为有效:他们了解企业经营目标可以在多大程度上实现对外财务报表的编制是可靠的适用的法律和法规得以遵循尽管内部控制是一个过程其有效性却是过程中某一时点的状态或情况。评价某一内控系统是否有效是一种主观判断判断来自对五项要素是否存在及有效运行的评估。内控系统的有效运行为上述某一或多项目标的实现提供了合理保证。因此这些要素也是有效内控系统的评价标准。尽管所有五项标准都必须满足但并不意味着在不同企业各项要素的功能必须完全一致或在同一水平上。在要素间存在某种平衡。由于控制服务于多重目的服务于目的的在某一要素中的控制也可能体现在其他要素的控制上。另外控制防范某一特定风险的程度也有所差异因此加入附加的控制措施(尽管各自具有有限的影响力)可以带来令人满意的效果。所有的要素和准则适用于整个内控系统或适用于某一或多个分类目标。例如当考虑到其中一类目标对财务报告的控制时所有五项准则都必须被满足以得出对财务报告的控制是有效的这一结论。当评判一个内部控制制度是否有效时应该考虑以下的章节。应该认识到:由于内部控制是管理过程的一部分因此对控制要素的讨论是在管理层如何经营企业这一背景下进行的。但并非管理层的一切行为都是内部控制的元素。例如确立目标这一管理层重要的职责就是内部控制的先决条件。类似的很多管理层的决策和行为不代表内部控制。图例列出了管理层的日常行为并标出哪些被视作内部控制的要素。(该列示并非对管理层行为方式全面或唯一的归纳)讨论的原则适用于所有规模的企业。一些中小型企业对要素的应用可能不同于大企业但其仍能拥有有效的内部控制。每一章有一部分解释这样的情形。每一章包含了“评估”部分列出了评价控制要素时应考虑的因素。这些因素并非涵盖一切也不是与每种环境都相关。它们仅提供例证用以开发一个更易理解或更具有针对性的评估模型。图例内部控制和管理过程管理行为内部控制公司总体目标制定使命公司价值描述战略规划建立控制环境要素√操作层目标制定风险识别和分析√风险管理实施控制活动√信息甄别、获取和传递√监控√纠正行为第二章控制环境本章概要:控制环境决定了企业的基调影响企业员工的控制意识。它是其他要素的基础提供了基本规则和构架。控制环境因素包括:员工的诚信度、道德观和能力管理哲学和经营风格管理层授权和职责分工、人员组织和发展方式以及董事会的重视程度和提供的指导。控制环境对企业行为架构、目标设立和风险评估的方式有潜移默化的影响。它也影响控制活动、信息和沟通系统、以及监控行为。实际上控制环境不仅影响它们的设计而且影响它们的日常运转。控制环境受企业文化和历史的影响。它影响员工的控制意识。具有有效控制的企业尽力聘用有能力的员工灌输诚信的企业文化和控制意识设定一个积极的“最高基调”(完美行为规范)。它们确立适当的政策和程序常常包括一本书面操作手册培养共同的价值和团队精神以期实现企业目标。控制环境要素控制环境包括以下讨论的要素。尽管每个要素都很重要但根据企业的不同侧重的程度还是有所差异。例如一个集中经营的小作坊的总裁也许不会建立正式的职责分工和详细的经营策略但其仍可能有一个适当的控制环境。诚信和道德观企业目标及其实现方式建立在偏好、价值判断和管理风格的基础上。偏好和价值判断转化为行为标准后会反映出管理层的诚信度和遵行的道德观。鉴于企业好名声的巨大价值行为标准必然高于遵法守纪。为了把好名声奖赏给最好的公司社会对他们的期盼比遵纪守法更多。内部控制的有效性不可能超越创造、管理和监控这些制度的人们的诚信度和道德观。诚信度和道德观是控制环境的关键因素它们影响其他内部控制要素的设计、管理和监控。诚信是企业各方面活动道德行为的先决条件。正如Treadway委员会所报告的:在各层次上的良好公司道德氛围对公司、全体员工、顾客和公众的健康都至关重要。这一氛围对公司策略和控制系统的有效执行非常重要也有助于影响那些即使最精细的内控系统也难以管制的行为。因需考虑到多方面的情况确立道德价值通常很困难。高级管理层的价值必须与企业、雇员、供应商、顾客、竞争对手和公众的要求相协调。由于各方利益的分歧协调可能是复杂和不令人满意的。例如供应某种关键产品(如石油、木材或食品)可能会引起环境问题。经营良好企业的经理日益同意“道德是有价值的”道德行为就是好商机这一观点。有很多正面和负面的例证。医药公司对涉及某一主要产品的危机作出很好的公开处理这一行为既合乎道德又能带来商机。公司负面消息如利润下滑或违法行为的缓慢释放其对客户关系和股价的影响比起及时的披露要糟糕得多。仅仅关注短期效应甚至会造成短期的损害。对底线销售或利润的集中关注常会引发始料不及的行为和反应。例如高压的销售策略冷酷无情的谈判或暗中的回扣可能会引发具有即时(亦或持续)效果的反应。道德行为和管理层诚信度是公司文化的产物。公司文化包括道德和行为标准及其如何传递如何在实践中被加强。书面正式的公司政策定义了管理层希望发生什么而公司文化决定了实际发生什么哪些规则得到遵守、违反或忽略。从总裁开始的高层管理人员在公司文化的定位上起关键作用。总裁通常是企业的决定性人物有责任设立企业的道德基准。刺激和诱惑。几年前的一个研究建议某些特定的组织因素会影响欺诈和可疑财务报告行为的可能性。同样的因素还可能影响道德行为。个人可能仅仅因为其组织给予他们的强烈刺激和诱惑而从事不诚实、非法或不道德的行为。强调“结果”特别短期结果培养了失败代价很高的环境。导致从事欺诈、可疑财务报告行为以及其他不道德行为的诱因有:达到不切实际的业绩目标特别是短期业绩的压力与业绩挂钩的高回报高于或低于奖金计划的奖励研究还列出导致雇员作出不正当行为的一些“诱惑”:控制不存在或失效如敏感区域未作很好的职责分离提供了偷窃或隐藏不良操作的诱惑。组织高度分散导致高层管理人员不清楚基层的行为因此减少了基层舞弊被发现的机会。内部审计职能薄弱无法发现和报告不正确的行为。低效的董事会不能提供对高层管理人员的客观监管。对不正确行为的惩罚力度不够或不公开从而失去了应有的威慑力。去掉或减少这些刺激和诱惑对减少预期外行为大有裨益。正如所建议的只要实施合理、有利可图的商业实践就可以取得这一效果。例如只要业绩目标切实可行业绩激励加之适当的控制可以成为有用的管理工具。制定现实的业绩目标是很好的激励措施它减少了达不到预期目标的压力同时也减少了不切实际的目标所造成的虚假财务报告的诱因。类似的一个控制良好的报告系统可用于防范编制虚假业绩。提供并传递道德指引。除了刚才讨论过的刺激和诱惑外前面提及的研究发现引起欺诈和可疑财务报告的又一因素:无知。研究发现“在许多出现虚假财务报告的公司相关人员或不知道自己做错或错误相信他们所做的符合公司利益”。此类无知常常由缺乏的道德背景或指导造成而并非故意欺骗。因此不仅要传递道德价值而且要对是非对错提供明确的指引。在组织内传递道德行为的最有效方式是以例证方式。人们愿意模仿上司。雇员有可能形成与高级管理层类似的对错观念(包括对内部控制的态度)。得知总裁在面临艰难决策时作出合乎道德的正确选择会给企业各层传递强烈的信息。仅树立一个好榜样是不够的。高层管理人员应向雇员口头传递企业价值和行为标准。几年前的一个研究指出一套正式的行为准则是“向雇员传递公司关于责任和诚信预期的广泛应用的方法。”准则涵盖一系列行为包括诚信和道德、利益冲突、非法或不正确的支付以及反竞争安排。部分受国防行业丑闻揭露的推动许多公司最近都采纳了这样的行为准则连同必要的信息传递途径和监控。尽管操作手册是有帮助的它却不是向雇员、供应商和客户传递道德价值的唯一途径。存在雇员能接收和理解的行为准则甚至是文件仍然不能保证其执行。高层管理人员的行为和榜样是遵行道德标准(不管道德标准是否写进行为准则)的最佳保证。对违反准则的雇员的相应惩罚鼓励员工揭发违规行为的机制以及对未能汇报违规行为员工的培训都具有特别重要的意义。管理层在这些情况下采取的行动所传递的信息很快便植入公司文化中。才能才能应反映出完成个人工作任务所需的知识和技能。这些任务需要完成到何种程度总体上是来自于管理层决策需要考虑到企业目标、管理层策略和实现目标的计划。在才能和成本之间经常需要权衡例如没有必要雇佣一名电子工程师来换一只灯泡。管理层需要为特定的工作确定所需的才能水平并将之具体到所需的知识和技能。而必要的知识和技能又有赖于个人的学识、培训和经验。确立知识和技能水平所需考虑的因素包括特定工作的性质和所需的职业判断。常需在监管的程度和个人所需才能水平之间取得平衡。董事会或审计委员会控制环境和“最高基调”受到企业董事会和审计委员会的显著影响。因素包括董事会或审计委员会相对于管理层的独立性成员的经验和地位活动的涉及面和深入程度以及行为的适当性。另一因素是经理层关于计划和业绩的棘手问题被提出和从事的程度。董事会或审计委员会与内部和外部审计师的协同合作也是影响控制环境的因素。鉴于其重要性一个积极参与的董事会监事会或其他类似机构具有适当程度的管理、技术和其他专业技能加之必要的地位和头脑使其能充分行使必要的监管、指导和监控职责对有效的内部控制至关重要。由于董事会必须对问题有所准备仔细监察企业活动提出可供选择的观点具有勇气在明显的错误面前采取行动因此必须设立外部独立董事。当然本企业的管理人员和雇员也常是高效、重要的董事会成员将公司情况摆上桌面。但必须取得一个制衡。尽管中小型企业有困难吸引或承担半数以上外部董事的花费这在大企业通常不成问题董事会至少应包括一定量的外部独立董事这一点非常重要。外部董事的具体数量应符合企业具体环境的需要但通常需要超过一个的外部董事来使董事会达到必要的制衡。董事会和审计委员会的存在必要性和其职责将在“在中小型企业的应用”和第章中进一步讨论。管理哲学和经营风格管理哲学和经营风格影响企业管理的方式包括企业承受的风险类型。一个已经成功承担巨大风险的企业和一个由于冒险而面临艰难经济条件和监管结果的企业在内部控制上可能会有所不同。一个非正规管理的企业可能大部分依赖与关键管理人员面对面的交流来实施经营控制。而正规些的公司可能更多依赖书面的政策、业绩指标和例外报告来实施控制。其他管理哲学和经营风格要素包括对财务报告的态度、对可选会计原则保守或激进的选择对所作会计估计的保守和尽责以及对数据处理、会计和人事职能的态度。管理层如何实施其职责将在第章中进一步讨论。组织结构企业的组织结构提供了一个构架在此构架中规划、执行、控制和监督为实现企业目标而进行的活动。企业活动可能与有时所指的价值链相联系:采购(收货)的行为运作或生产外运(运输)市场、销售和服务。还可以有支持功能与管理、人力资源或技术发展相关。确立相关组织结构的主要方面包括定义关键领域的权责分工确定合适的报告途径。例如内审部门对高级职员应有不受限制的接触权不直接负责编制财务报表并有充分的授权以保证内部审计的范围以及跟进所发现和建议的事项。每个企业都根据自己的需要确定组织结构。一些是集权型一些是分权型。一些具有直接的报告关系一些则更多的是矩阵型的组织结构。一些企业按照行业或产品线按照地理分布按照特定的分销渠道或营销网点来组织架构。另外一些经济实体包括国家和地方政府和非赢利机构则按照功能来组织。企业组织结构的适当性部分取决于规模和所从事经营活动的性质。一个结构严密的组织包括正式的报告路线和权责分工可能适合一个拥有很多部门分支包括海外机构的大型企业。然而它却可能阻挡小企业内的信息流动。不管何种组织结构应有利于组织实施为实现特定目标而制定的策略。权力和职责分配这包括经营行为的权责分配报告关系和授权协议的确立。它涉及个人和团队被鼓励主动提出和解决问题的程度以及权力限制的程度。它还涉及定义恰当的企业行为关键人员的知识和经验以及用以履行职责的资源的政策。将权力下放使决策与一线人员更靠近这样的趋势日益明显。企业可能实行这样的方针以成为更加市场推动型或质量关注型企业可能为了消除缺陷缩短产品周期或提高客户满意度。为达到上述目的企业需要认识不断变化的市场偏好、商业关系和公众期望并作出反应。所设计的授权和职责的结合通常为了鼓励在一定限制内的个人能动性。分权或授权指将某商业决策的集中权力下放到低层梯队那些与日常交易最接近的人。这可能涉及对销售折扣的授权长期供应合同、许可和专利的谈判或结盟或合资。关键的挑战是授权只到实现企业目标所需的程度。这要求确保风险承受度是建立在鉴别和最小化风险的良好实践上包括度量风险将潜在的风险与赢利相权衡以进行好的决策。另一个挑战是确保所有员工理解企业的目标。每个人都知道各自行为与目标的内在联系以及对目标的贡献这是非常关键的。有时日益增长的分权会伴随着或成为企业组织结构简化或扁平化的结果而且是有目的的。有意为之的结构改变以鼓励创新、能动性、和迅速反应的能力能增强企业的竞争力和客户满意度。这种日益增长的分权可能带来对员工更高级别的管理者能力以及更大责任的内在需要。它也需要管理层实施有效的程序对结果监控。伴随着更好的市场推动型决策授权可能增加不合需要或预期外决策的数量。如果某一地区销售经理认为为了赢得市场分额的销售折扣授权有权决定临时性的的折扣这一行为是正当的管理层可能需要过问决定这一决策是越权还是继续得以实施下去。控制环境受到个人对各自职责认识程度的重大影响。这即便对主要管理者也是正确的他们是企业一切活动包括内部控制的最终负责人。人力资源政策和措施人力资源措施向员工传递关于预期的诚信度、道德行为和才能的信息。这些与雇佣、指导、培训、评估、咨询、提升、补偿、矫正等行为相关。例如那些聘用最合格员工的标准将重点放在教育背景、工作经验、过去的成就、诚信的品格和道德的行为显示了企业对有才能和值得信赖的员工的偏好。包括正式、深入的面试对企业历史、文化和经营风格广泛和见解深刻的演示在内的招聘活动传递了企业以人为本的理念。传达未来的职责的培训政策包括培训学校、研讨会的实践、个案研究、角色扮演练习这些都反映了企业预期的员工业绩和行为水平。由定期业绩评估推动的人员轮换和提升显示了企业将合格人员及时提升到更高级别的承诺。竞争补偿计划包括奖金激励用于促进和增强优秀的业绩。惩罚性措施表明对预定行为的违反是不能容忍的。部分受日新月异的科技和日趋激烈的竞争的推动企业面临的问题也迅速变化并日趋复杂因此人事必须准备迎接新的挑战。教育和培训无论是课堂中的指导自学或在职培训必须使企业员工有准备跟上时代有效应对环境的变化。还须加强企业影响质量能动性的能力。仅聘用能干的员工进行一时的培训是不够的。必须进行持续教育。差异和影响由于管理层偏好、价值判断和管理风格的差异企业的独立运营分部、国内外分公司的控制环境也大有差异。控制环境的差异有许多方面的原因。既然没有两个运营分部、国内外分公司以相同的方式经营那么控制环境也不可能一样。因此认识到不同控制环境会对控制制度的其他要素产生影响是很重要的。无效控制环境的影响是深远的可能造成财务损失公众形象受到影响或导致企业破产。以一家被公认具备有效内部控制的军工承包企业为例。该公司具有设计良好的信息系统和控制活动众多描述内控职能的政策手册以及广泛的协调和监控程序。它接受政府审计。然而它的内控环境存在很大的缺陷。高层管理人员不想知道有没有发生不正当行为。即使欺诈现象非常严重高层管理人员仍予以否认。该公司被发现在五角大楼从事欺诈活动被判一大笔罚金并遭到媒体的广泛披露公众形象尴尬。高层管理人员对有效内部控制的态度和关注必须渗透入企业内部。仅说正确的话是不够的。“我行我素”的态度必然会带来不健康的控制环境。中小型企业的应用虽然每个企业都应包括本章所讨论的概念但是中小型企业对控制环境的应用会不同于大型企业。例如小公司可以没有书面的行为准则但这并不表示其没有强调诚信和道德行为重要性的公司文化。通过总裁或老板经理和高级管理人员的直接参与可以在员工会议、个人会面、和与供应商和客户打交道的过程中将对诚信和道德行为的要求以口头方式进行传达。由于雇员与他们有直接的接触因此他们自身的信誉和行为就很重要并应与口头宣传相符。通常的管理的层次越少可以接受何种行为的信息就传递得越快。类似的人力资源政策可能不象大公司那样正式。政策和措施仍然能够存在并被传递。总裁可以口头指示他需要招聘何种类型的人来从事某一特定工作甚至可能积极参与招聘过程。并不一定需要正式的文件来使政策得以实行和实现有效的经营。由于董事会或类似机构的重要性即使小公司也需要这样的机构来获得有效的内部控制。如前所述:小企业设立大量的独立董事是有困难和不经济的而且它可能不必要这样做。可以通过少量的独立董事来达到所需的独立性。一个重要的因素是需要存在“关键性的多数”即足够的外部董事来保证董事会提出强硬的措施和在必要时采取一些艰难的措施。对这种需要只有一个例外。对于不需要公开筹资的私人企业尽管独立董事也是有益的但通常对有效内部控制不起关键作用。评估评判有效内部控制是否存在评估者需要考虑到每个控制环境因素。需要重点关注的事项列示如下。这一列示并未涵盖全部也非对每个企业都适用它仅仅是一个起点。尽管有些具有很强的主观性需要相当的职业判断但总体上与控制环境的有效性相关。诚信度和道德价值行为和其他政策的指导手册的存在和应用。包括:可接受的商业行为利益的冲突或期望的道德标准和行为。与雇员、供应商、顾客、投资者、债权人、保险商、竞争对手和审计师等打交道。(例如管理层是否在高道德标准上从事商业活动并坚持他人也这样做还是对道德问题很少关注)实现不切实际的业绩目标的压力尤其是短期目标以及为了实现这些目标而所需补偿的程度对才能的要求对工作和构成工作的任务的正式或非正式的描述和定义。对足够完成工作所需的知识和技能的分析。董事会或审计委员会与经理层独立以提出必要甚至是困难和需要查明的问题。与财务总监或财务经理、内部审计师、外部审计师会晤的频率和时机。信息向董事会或审计委员会传达的充分性和及时性使管理层的目标和策略、企业财务状况和经营成果、以及重大合同的条款得到监控。董事会或审计委员会得知敏感信息、调查和不正确行为的充分性和及时性。(例如高级管理人员的差旅费、重大诉讼、监管机构的调查、贪污、挪用资产、违法内部交易规则、政治贿赂和非法支付等。)管理哲学和经营风格可承受商业风险的类型。例如管理层是否经常从介入高风险活动或在风险承受方面特别谨慎。高级管理层和日常经营管理层之间相互交流的频率特别是当相互之间在地理位置非常遥远时。对财务报告的态度和行动包括对会计处理应用的分歧(例如保守或激进会计政策的选择是否存在会计原则的错误应用、重要财务信息没有披露、或财务报告被粉饰或伪造。)组织结构企业组织结构的恰当性及提供必要的信息流以管理其行为的能力。主要经理人员职责的充分定义及其对自身权责的理解。与职责相对应的主要经理人员的知识和经验的充分性。权力和职责的分配权力和职责的分解以应对组织目标经营职能和法规要求包括关于信息系统的责任和应对变化的授权。与控制相关的标准和程序的适当性包括雇员工作描述。员工的合适数量尤其对于数据处理和会计部门需要与企业规模和工作、系统性质和复杂性相符的技能水平。人

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/21

COSO内部控制整合框架(中文版)

仅供在线阅读

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利