内部控制制度-公司层面控制概要

《内部控制制度-公司层面控制概要》由会员分享，可在线阅读，更多相关《内部控制制度-公司层面控制概要（17页珍藏版）》请在金锄头文库上搜索。

1、1 公司层面控制公司层面控制 1控制环境控制环境.2 1.1正直守德的价值取向2 1.2胜任能力2 1.3董事会及审计委员会2 1.4管理哲学和经营风格3 1.5组织结构4 1.6职权和职责的分配5 1.7人力资源政策和实务5 1.8信息技术战略规划6 1.9信息技术组织架构及关系7 2风险评估风险评估.8 2.1企业层面目标8 2.2经营活动目标8 2.3风险9 2.4对环境变化的管理10 2.5信息风险评估10 3控制活动控制活动.11 4信息及沟通信息及沟通.12 4.1信息12 4.2沟通12 5监控监控.14 5.1持续监控14 5.2个别评价15 5.3汇报内部控制缺陷16 2 1

2、控制环境控制环境 1.1正直守德的价值取向正直守德的价值取向 管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必 须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。 A1.1是否制定了行为准则和其它原则，以明确可以接受的商业行为、利益冲突的处理 方式或员工行为的道德标准并确保这些准则和原则得以有效执行。 请复制 COSO 内部控制框架“详情/例证”的内容 主要涉及部门：主要涉及部门：请复制 COSO 内部控制框架“相关部

3、门及人员”的内容 文件索引：文件索引：请复制 COSO 内部控制框架“支持性文档”的内容 A1.2是否建立了“管理基调”，包括明确的道德规范以区分是非并确保公司全体员工了 解和掌握。 A1.3如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等 相关各方。（例如，管理者本身是否笃信诚信经营，并以此要求他人，抑或对此 漠不关心。） A1.4对于背离既有公司政策和程序或违反行为准则的行为，所能够采取的补救措施是 否适当。以及这些措施被全公司员工所知悉的程度。 A1.5管理者对于干涉正常程序或凌驾制度行为的不发生态度 A1.6是否面临达到不现实的目标的压力特别是短期业绩以及薪酬在多

4、大程度 上取决于是否达到业绩目标。（例如，考虑是否存在过度的刺激和诱惑，挑战人 们对道德准则的遵守；薪水和晋升仅仅建立在短期目标是否实现的基础上） 1.2胜任能力胜任能力 管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知 识和技能。识和技能。 A2.1用正式或非正式的职责描述或其它方式定义某一职位的具体工作。 A2.2充分分析开展具体工作所需的知识和技能。考虑： 管理层对特定的工作所需的知识和技能的程度进行了规定； 是否存在迹象表明员工具有必要的知识和技能 3 1.3董事会及审计委员会董事会及审计委员会

5、 一个积极有效的董事会及审计委员会，能够提供重要的监督功能。而且由于管理一个积极有效的董事会及审计委员会，能够提供重要的监督功能。而且由于管理 者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至关重要者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至关重要 的意义。的意义。 A3.1独立于管理层，使得必要的（即使是困难的并需要追根究底的）疑问能够被提出。 A3.2当对某些特殊事项需要深入、直接的关注时，董事会及下属委员会是否参与。 A3.3董事的学识和经验 A3.4与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。 例如是否： 审计委员会非公开地

6、会见首席财务官、内、外部审计师，讨论财务报告流程的 合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。 审计委员会每年审阅内部和外部审计师的工作范围。 A3.5董事会及审计委员会成员是否能够得到充分而适时的信息，以监控管理层的目标 和战略、公司的财务状况和经营成果，以及重要协议的条款。例如是否： 董事会和审计委员会定期获得主要的信息，例如财务报告、主要市场行为、重 要合同、谈判等； 董事和委员们认为他们获得了充分适当的信息。 A3.6董事会及审计委员会是否能够充分而适时的获知敏感信息、调查报告和违规行为 （例如：高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污 和滥用

7、公司资产的行为、违反内部交易规定、政治献金、非法支付等）。是否存 在相应的向董事会和审计委员会报告重大信息的程序；有关信息的传递是否及时。 A3.7对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。 A3.8在确立“管理基调”过程中所扮演的角色。 A3.9董事会及董事会专门委员会在发现问题后能够采取的措施，包括进行特殊调查。 1.4管理哲学和经营风格管理哲学和经营风格 管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的，但可以管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的，但可以 找到一些积极和消极的标志。找到一些积极和消极的标志。 A4.1对待经营

8、风险的接受态度，比如管理层是否经常进行高风险投资，或者是否在接 受风险方面表现得极端保守。管理层是否在进行投资前谨慎分析风险和收益。 4 A4.2关键岗位的人员流动情况，比如，经营、会计、数据处理以及内部审计。例如是 否： 管理层和管理人员的流动过于频繁； 关键人员在突然或短暂通知的情况下离开； 在关键岗位上，例如财务、营运、数据维护、内部审计，人员流动保持在稳定 和满意的水平上。 A4.3管理层对待数据处理和财务职能的态度，以及其对可靠的财务报告和资产保护的 关注程度。例如是否： 财务职能除被赋予核算中心的功能外，亦被视为对公司各种经营活动实施控制 的主体； 在财务报告中采用的会计政策总是导

9、致高估收入； 如果财务职能在企业中分散管理，营运管理层对报告的结果进行签字确认； 对于重要资产，包括无形资产和信息不会被未经授权地获得或使用。 A4.4高层管理人员和经营管理人员的交流和互动的频率，尤其是对于地理距离较远的 经营地点。如高级管理层是否经常现场视察分支机构的经营情况，公司或分支机 构的管理层会议是否经常召开。 A4.5对财务报告的态度和采取的行动，包括会计处理的争议（例如选择保守的或冒进 的会计政策；会计原则是否被误用；是否存在未披露的重要财务信息；是否存在 操纵、篡改会计记录的现象）。 1.5组织结构组织结构 公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时

10、也公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时也 不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与 其职位相称的必要的经验和知识水平。其职位相称的必要的经验和知识水平。 A5.1公司组织结构的适当性，以及该结构为管理公司运作提供必要信息的能力。例如 是否： 考虑到公司的实际经营情况，组织结构即不过分集中也不过分分散； 组织结构有利于信息的上行下达并且贯穿所有经营行为。 A5.2对关键管理人员职责定义的充分性，以及其对自身职责的理解程度。例如是否： 经营职责和管理层对企业经营活动的

11、期望被明确传达给管理这些活动的管理人 员。 A5.3关键管理人员是否具备足够的知识和经验以履行其职责。 A5.4汇报关系的适当性。例如是否： 5 建立了正式或非正式的, 直接或矩阵式的报告关系，并且能够向管理人员提供 与其职责和权限相当的适当信息； 经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通； A5.5为适应经营环境变化而对组织结构进行相应改变的程度。例如是否： 管理层根据业务或行业的变更定期评价公司的组织结构 A5.6确保有足够的员工，尤其是管理和监督人员。例如是否： 经理和主管人员有充足的时间来有效地履行职责； 经理和主管人员需要过多地加班且工作负担超出个人负荷。 1.6 职

12、权和职责的分配职权和职责的分配 职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确 个人的角色分工奠定了基础。个人的角色分工奠定了基础。 A6.1适当分配职责并下放职权，以实现公司目标、完成经营职能和遵循法律法规的要 求，包括信息系统中的职责分配和对职责变更的授权，考虑是否： 不同的职责和权限适当地分配给公司的全体员工； 决策权与员工的职责和权限相关联； 职责和权限的分配以充分的信息为依据。 A6.2与控制相关的标准和程序的适当性，包括员工的职责描述。例如是否： 存在对员工的职责描述，至少针对管理层和业务

13、主管人员； 员工职责描述中特别涉及其与控制相关的职责。 A6.3有适当数量的员工，尤其是对于数据处理和财务岗位。员工具备与企业规模、经 营行为和系统的特点和复杂程度相适应的技能水平。 A6.4是否赋予员工与其职责相适应的职权，例如是否： 适当平衡完成工作所需的职权和高级管理人员的参与之间的关系； 员工有权纠正发现的问题或实施改进措施，相关权限根据员工能力和职权界限 进行履行。 1.7人力资源政策和实务人力资源政策和实务 适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执 行并达到既定目标，具有决定性的作用

14、。行并达到既定目标，具有决定性的作用。 A7.1是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否： 6 存在政策和程序来招聘或培养胜任并且可信赖的员工，这些员工对支持一个有 效的内部控制系统是必须的； 对招聘和培训合适的员工给予适当关注； 如果不存在书面的政策和程序，管理层就招聘员工的期望进行沟通或亲自参与 招聘过程； A7.2员工了解其职责和公司对其期望的程度。例如是否： 新员工知悉其工作职责和管理层对其的期望； 主管人员定期审阅雇员的工作履行情况并提出改进建议 A7.3是否有适当的措施对违背既定政策和流程的行为予以补救。例如： 管理层履职不当时的反应是否适当； 在未能遵守既定政策的

15、情况下，是否采取适当的纠正行为； 员工是否知晓其不当表现将导致不良后果。 A7.4人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在 员工业绩评估时是否是一个重要的标准。 A7.5是否对应聘者的背景进行了充分的背景调查，特别是针对以前的某些可能与公司 行为准则相抵触的行为和活动。 A7.6雇员留用和提拔的标准以及信息收集方式（比如业绩评估）的充分性，以及这些 标准与员工行为准则的关系。例如是否： 升职和加薪的标准得以详细描述，从而使员工知晓达到何种管理层的期望才能 得到升职和加薪； 这些标准遵守了行为准则 A7.7信息技术部门是否对信息技术部门员工进行培训，以保证员工具有胜

16、任信息技术 工作的能力并保证信息技术工作的顺利进行。例如是否制定对信息技术部门员工 进行培训的培训计划，以及培训的主要方式。 A7.8是否对信息技术的最终用户建立必要的用户教育和培训，以保证企业最终用户可 以有效的利用信息技术资源，并对信息风险以及个人相应职责保持应有的警觉。 1.8信息技术战略规划信息技术战略规划 信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化 信息技术发展的机会与企业业务需求间的关系，以保证其可以得到进一步的实施信息技术发展的机会与企业业务需求间的关系，以保证其可以得到进一步的实施 完成。完成。 7 A8.1公司是否建立了相关的制定和审批流程，制定长期的信息技术战略规划，并使其 支持业务发展的需要。业务发展的需要是如何通过信息技术战略规划的制定流程 体现到规划当中，例如，业务部门是否参与信息技术规划的制定。 A8.2公司是否以及如何对信息技术规划的情况进行追踪及更新？ A8.3公