【正文】 1 COSO 內部控制框架培訓資料 內容提要： 一、 背景介紹 （一） COSO 內部控制框架的產生及發(fā)展過程 （二） 中石油目前的內部控制體系與 COSO 內部控制框架的差距 二、 COSO 內部控制框架下內部控制的定義 （一） COSO 內部控制框架對內部控制的定義 （二） 對內部控制定義的理解 （三） COSO 內部控制框架的組成要素 三、 COSO 內部控制框架 五要素 （一） 內控環(huán)境 （二） 風險評估 （三） 內控活動 （四） 信息與溝通 （五） 監(jiān)督 四、 內部控制的局限性 五、 員工在內部控制中的作用和職責 六、 小結 2 一、 背景介紹 內部控制是什么 ?不同的人有不同的理解 。 一般的人把內部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制 ,這些控制可能是內部監(jiān)督、也可能是管理手冊、規(guī)章制度等。 這種理解 沒有錯， 但不全面。 按照現 代 的內控理論，這些僅僅是內部控制的一部分，而不是 全部 ?，F代內控理論認為，內部控制是一個系統(tǒng)化的框架，它建立在風險管理的基礎上，包括內控環(huán)境、風險分析、內控活動、信息與溝通、監(jiān)督五大要素。 （一） COSO 內部控制框架的產生和發(fā)展過程 內部控制理論的發(fā)展是一個逐步演變的過程，大致可以區(qū)分為內部牽制、內部控 制制度、內部控制結構與內部控制整體框架四個階段。在內部牽制階段，賬目間的相互核對是內控的主要內容，設定崗位分離是內控的主要方式，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法；在內部控制制度階段，內部控制的重點是建立健全規(guī)章制度；在內部控制結構階段，內部控制被認為是為合理保證企業(yè)特定目標的實現而建立的各種政策和程序，分為內控環(huán)境、會計制度和控制程序三個方面；內部控制整體框架階段，就是我們下面將要討論的 COSO 內部控制框架。 在美國， 20 世紀 70 年代中期，與內部控制有關的活動大部分集中在制度的設計和審 計方面，重在改進內部控制制 3 度和方法。 1973 年至 1976 年對水門事件（美國公司進行違法的國內捐款和賄賂外國政府官員）的調查使得立法機關與行政機關開始注意到內部控制問題。針對調查的結果，美國國會于 1979 年通過了《反國外賄賂法》（簡稱 FCPA）。 FCPA除了規(guī)定了關于反賄賂的條款外，還規(guī)定了與會計及內部控制有關的條款。因此 美國 許多機構都加強了對內部控制的研究并提出許多建議。 1985 年，由美國注冊會計師協(xié)會、會計協(xié)會、財務主管協(xié)會、內部審計師協(xié)會、管理會計師協(xié)會聯合創(chuàng)建了 反 虛假 財務報告委員會，該委員會旨在探討財 務報告中的舞弊產生的原因，并尋找解決措施。兩年后，該委員會提出了很多有價值的建議?；谠撐瘑T會的建議，其贊助機構成立 COSO 委員會，專門研究內部控制問題。 1992 年 9月， COSO 委員會提出了報告《內部控制 —— 整體框架》（ 1994年進行了增補）， 即 COSO 內部控制框架。 COSO 內控框架的提出標志著內部控制理論發(fā)展到新的階段，對企業(yè) 完善和優(yōu)化內部控制、 增強風險防范能力 具有十分重要的意義。 COSO 內部控制框架之所以被廣泛地選擇作為構建和完善內部控制體系的標準，是因為：雖然 COSO 內部控制框架并非唯一的內部控 制框架，但卻是美國證券交易委員 會唯一推薦使用的內部控制框架， 《薩班斯法案》第 404 條款的「最終細則」 也 明確表明 COSO 內部控制框架可以作為評估企業(yè)內部控制的標準。 股份公司作為紐約證交所上市 4 公司，需要按照法案要求，引進 COSO 內部控制框架，整合現有內部控制，滿足法案的要求。同時，對股份公司來說，這也是梳理管理流程、規(guī)范管理、提升整體管理水平的契機。COSO 內部控制框架是一個較為理想的框架，幾乎所有公司的內部控制均與之有一定差距，美國各大公司也正在為此而努力，雖然這必然加大企業(yè)負擔，但多數公司同股份公司一 樣，希望通過理解和貫徹 COSO 內部控制框架要求，來實現提升管理水平的目的。 （二） 中石油目前的內部控制體系與 COSO 內部控制框架的差距 目前，股份公司通過多年的管理實踐和積累，已經建立了一套針對石油行業(yè)的行之有效的內控體系，但與 COSO 內部控制框架的要求相比還存在一些距離。這些差距主要體現在：內部控制體系的整體框架、內控環(huán)境、風險評估等理念尚未被廣泛接受、內部控制的文檔記錄還不夠系統(tǒng)規(guī)范、缺乏自我評估機制等。 “他山之石，可以攻玉”， COSO 內控框架對于我們加強企業(yè)內部控制具有一定的啟發(fā)和借鑒意義。 為此，我 們需要認真學習 COSO 內部控制框架理論，充分認識和理解 COSO 內部控制框架，并在實際經營管理中積極實踐，大力貫徹和實施，從而優(yōu)化內部控制，完善內控體系，全面提升公司管理水平。 二、 COSO 內部控制框架下內控制度定義 5 （一） COSO 內控框架對內部控制的定義 COSO 內部控制框架認為，內部控制是受企業(yè)董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規(guī)的遵循性等目標的實現而提供合理保證的過程。 （二） 對內部控制定義的理解 應該從以下幾個方面理解內部控制的定義： 第一，內部控制是一個“過程” ，而且是一個動態(tài)的過程 。企業(yè)的經營活動是永不停止的，企業(yè)的內部控制過程也因此不會停止，它是一個發(fā)現問題、解決問題、發(fā)現新問題、解決新問題的循環(huán)往復的過程。內部控制應該與企業(yè)的經營管理過程相結合，而不是凌駕于企業(yè)的基本活動之上，它促使經營達到預期的效果，并監(jiān)督企業(yè)經營過程的持續(xù)有效進行。 第二，內部控制受到“人”的因素的影響，它并不僅僅是政策手冊和表格，不僅僅是管理人員、內部審計或董事會，而是組織中的每一個人，每一個人都對內部控制負有責任并受到內部控制的影響；是“人”建立企業(yè)的目標，并將控制機制賦予實施。確立 這種觀念有利于企業(yè)的所有員工明確自己的責任和權限，主動地維護及改善企業(yè)的內部控制。 第三，內部控制無論設計和運行得多么完善，也只能為企業(yè)的管理層和董事會提供合理的保證，而不是絕對保證， 6 因為內部控制本身 具有 局限性。 最后，內控框架將內部控制目標分為三類：與營運有關的目標 — 即經營的效率與效果、與財務報告有關的目標 — 即財務報告的可靠性 、 以及與法規(guī)的遵循性有關的目標。上述分類讓我們專注于內部控制的各個方面，這些 相 互有別 ，相互 交叉的分類滿足不同的需要，并且表明了不同的執(zhí)行人員的直接責任。 （三） COSO 內部控制框架 的組成要素 COSO 內部控制框架認為， 內部控制系統(tǒng)是由內控環(huán)境、風險評估、內控活動、信息與溝通、監(jiān)督五要素組成，它們取決于管理層經營企業(yè)的方式，并融入管理過程本身，其相互關系可以用下面模型表示。 內控活動 ? 確保管理活動付諸實施的政策 /流程。 ? 措施包括審批、授權、確認、建議、業(yè)績考核、資產安全和職責分離。 監(jiān)督 ? 不斷評估內部控制系統(tǒng)的表現。 ? 整合實時和獨立的評估。 ? 管理層和監(jiān)督活動。 ? 內部審計工作。 內控環(huán)境 ? 營造單位氣氛－讓公司員工建立內部控制 ? 因素 包括正直，道德價值，能力，權威和責任 ? 是其他內部控制組成部分的基礎 信息和溝通 ? 及時地獲取，確定并交流相關的信息 ? 從內部和外部獲取信息 ? 使得形成從職責方面的指示到管理層有關管理行動的發(fā)現總結等各方面各類內部控制成功的措施的信息流 風險評估 ? 風險評估是為了達到企業(yè)目標而確認和分析相關的風險 － 形成內部控制活動的基礎 監(jiān)控 信息和溝通 控制活動 風險評估 控制環(huán)境 營運 財務報告 合規(guī)性 業(yè) 務 單 位 A 業(yè) 務 單 位 B 活 動 2 活 動 1 監(jiān)督內控活動內控環(huán)境業(yè)務單位業(yè)務單位活動活動 7 ? 內控環(huán)境 —— 內控環(huán)境是企業(yè)的基調、氛圍，直接影響企業(yè)員工的控制意識。內控環(huán)境要素是推動企業(yè)發(fā)展的發(fā)動機，也是其他一切要素的核心，包括員工的誠信、職業(yè)道德和工作勝任能力；管理層的經營理念和經營風格；董事會或審計委員會的監(jiān)管和指導力度；企業(yè)的權責分配方法和人力資源政策?？梢哉f人及其人進行的活動是任 何企業(yè)的核心，是構成內控環(huán)境的重要要素，又與環(huán)境相互影響、相互作用。 ? 風險評估 —— 風險評估是識別、分析相關風險以實現既定目標，是風險管理的基礎。每個企業(yè)都面臨著諸多來自內部和外部的風險，影響企業(yè)既定目標的實現。因此必須設立一個機制來識別、分析和管理影響目標實現的相關風險，并適時加以管理。