第二章COSO内部控制与企业风险管理整合框架精要.ppt

* [权利和责任的分配－与责任分配相联系的授权的适当性] [胜任能力－ 对工作必须的知识和能力的分析] [人力资源政策和实施－员工了解其责任和目标的程度] [诚信和道德观－涉及员工、供应商、客户、债权方、竞争者和审计师等] [管理理念和经营风格－高级管理层与业务管理层沟通的频率，特别是针对异地经营地点的情况] [董事会或审计委员会－董事会或审计委员会采取的行动，包括必要情况下的特殊调查] [组织结构－公司组织结构的适当性，以及其提供必要的管理信息的能力] 1、COSO要素－控制环境（案例分析） * 风险评估是指识别和分析影响目标实现的风险，确定如何进行风险管理的基础。 关注点： 公司层面的目标 业务活动层面的目标 风险 应对变化 2、COSO要素－风险评估 * 风险 : 任何可能影响你实现目标的因素 什么是风险？ * 确定目标 评估风险 行动计划/ 责任分配 分析控制 目标, 风险和内部控制 整合 企业目标, 风险和内部控制的关系是什么? * 经营层面： “使用经过批准的销售价格以保证销售价格的一致性和股东价值的持续增长” “应该建立并维护工资处理程序并与管理层的标准一致” “在适当的期间，对所有发运的货物开具发票” 目标 * 针对以下目标，可能存在哪些风险？ 准确地记录固定资产增加的信息，以确保资产价值的真实。 资产的增加经过了有效的授权。 购买符合生产需要的设备和材料。 保证完整、准确且不重复付款。 COSO要素－风险评估（案例分析） * 建议方案 准确地记录固定资产增加的信息，以确保资产价值的真实。 由于缺乏固定资产方面的制度，错误地将资产费用化，造成财务报告的错误； 错误的记录导致决策的失误。 COSO要素－风险评估（案例分析） * 建议方案 购买符合生产需要的设备和材料。 购买劣质设备、部件，导致减产、停产或产品质量问题； 公司资金浪费 影响公司信誉 保证完整、准确且不重复付款。 错误或重复付款导致公司资金损失 有舞弊的风险。 COSO要素－风险评估（案例分析） * 控制活动是指能够保证管理层的决策得到有效执行的政策和相关的实施程序。它们可以协助保证那些与影响企业目标实现的风险相关的措施得到实施。控制活动存在与组织所有职能的各个层面，他们包括一系列的活动，例如：审批、授权、证明、核对、经营效果的审核、资产保护以及职责分工。 关注点： 针对企业的每一项业务活动都有必要和恰当的政策和程序 确定控制活动被适当的实施 3、COSO要素－控制活动 * 控制种类/活动 控制可以被分为预防性或发现性： 预防性：用于防止问题发生的控制机制（防止产生未经授权的分录的系统） 发现性：用于发现问题的控制机制（通过系统登录日志定期检查系统访问） 由计算机系统支持的自动化的控制。 为保证控制持续正常运行，应该存在总体信息系统控制 手工：例如－手工的核对、授权签字、信用审核和批准 自动：例如－付款的三单匹配，批处理控制，字段的修改/确认 预防性的控制比检测性的控制更有效。 * 控制目标： CAVR 控制，可以是预防性或者是发现性的，手工执行或自动执行的，直接支持以下的控制目标： 完整性 准确性 真实性 接触限制 * 控制的种类 组织中不同级别的人员执行的一般控制活动： 上级审核 直接的职能或业务活动管理 信息处理 实物控制 业绩指标 职责分工 * 参考分发的材料－COSO参考手册 对于在风险评估中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目标（CAVR）： 公司能够保证有关资产化和费用化方面的政策得到贯彻执行。公司规定原值超过XXX元和预计可使用年限超过X年的资产应被资本化。〔A〕 公司能够保证遵循资产分类和可使用年限估计的政策，并向指定人员提供这些信息。 〔A〕 指定人员负责保证资产类型和可使用年限被正确的输入固定资产管理系统。 公司政策规定了每种类型的固定资产的最大可使用年限，并通过了管理层的批准。 固定资产的使用年限已经编入程序，所以一旦输入固定资产的类型，系统就会自动匹配使用年限，并与公司政策保持一致。 指定人员可以在公司的要求下修改固定资产的默认使用年限。 COSO要素－控制活动（练习） * 参考分发的材料－COSO参考手册 对于在风险评估中确定的风险，可以实施哪些控制活动？针对每个控制活动，确定其控制目标（CAVR）： 购买符合生产需要的设备和材料 向授权供应商采购[A]； 在合同/订单中详细规定采购设备和材料的规格和设计、质量要求 [A] ； 检验收到的设备和材料符合合同/订单规定[A，V，C]。 保证完整、准确且不重复付款。 编制到期发票报告，根据报告进行付款 [C，A，V] 付款申请的审批[V] 由出纳付款，会计编制凭证并入帐[V] 对已付发票，加盖“付讫”章[A] COSO要素－