内部控制制度公司层面控制概要（材料）_单位层面内部控制制度

内部控制制度公司层面控制概要（材料）由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“单位层面内部控制制度”。

公司层面控制控制环境...............................................................................................................................................................2 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 2 正直守德的价值取向......................................................................................................................................2 胜任能力..........................................................................................................................................................2 董事会及审计委员会......................................................................................................................................3 管理哲学和经营风格......................................................................................................................................3 组织结构..........................................................................................................................................................4 职权和职责的分配..........................................................................................................................................5 人力资源政策和实务......................................................................................................................................5 信息技术战略规划..........................................................................................................................................6 信息技术组织架构及关系..............................................................................................................................7

风险评估...............................................................................................................................................................8 2.1 2.2 2.3 2.4 2.5 企业层面目标..................................................................................................................................................8 经营活动目标..................................................................................................................................................8 风险..................................................................................................................................................................9 对环境变化的管理........................................................................................................................................10 信息风险评估................................................................................................................................................104 控制活动.............................................................................................................................................................11 信息及沟通.........................................................................................................................................................12 4.1 4.2 信息................................................................................................................................................................12 沟通................................................................................................................................................................12监控.....................................................................................................................................................................14 5.1 5.2 5.3 持续监控........................................................................................................................................................14 个别评价........................................................................................................................................................15 汇报内部控制缺陷........................................................................................................................................16

1.1 控制环境

正直守德的价值取向

管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。

A1.1 是否制定了行为准则和其它原则，以明确可以接受的商业行为、利益冲突的处理方式或员工行为的道德标准并确保这些准则和原则得以有效执行。[请复制COSO内部控制框架“详情/例证”的内容] 主要涉及部门：[请复制COSO内部控制框架“相关部门及人员”的内容] 文件索引：[请复制COSO内部控制框架“支持性文档”的内容] A1.2 A1.3 是否建立了“管理基调”，包括明确的道德规范以区分是非并确保公司全体员工了解和掌握。

如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等相关各方。（例如，管理者本身是否笃信诚信经营，并以此要求他人，抑或对此漠不关心。）

对于背离既有公司政策和程序或违反行为准则的行为，所能够采取的补救措施是否适当。以及这些措施被全公司员工所知悉的程度。管理者对于干涉正常程序或凌驾制度行为的不发生态度

是否面临达到不现实的目标的压力——特别是短期业绩——以及薪酬在多大程度上取决于是否达到业绩目标。（例如，考虑是否存在过度的刺激和诱惑，挑战人们对道德准则的遵守；薪水和晋升仅仅建立在短期目标是否实现的基础上）A1.4 A1.5 A1.6 1.2 胜任能力

管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知识和技能。

A2.1 A2.2 用正式或非正式的职责描述或其它方式定义某一职位的具体工作。充分分析开展具体工作所需的知识和技能。考虑：

 管理层对特定的工作所需的知识和技能的程度进行了规定；  是否存在迹象表明员工具有必要的知识和技能

1.3 董事会及审计委员会

一个积极有效的董事会及审计委员会，能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至关重要的意义。

A3.1 A3.2 A3.3 A3.4 独立于管理层，使得必要的（即使是困难的并需要追根究底的）疑问能够被提出。当对某些特殊事项需要深入、直接的关注时，董事会及下属委员会是否参与。董事的学识和经验

与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。例如是否：

 审计委员会非公开地会见首席财务官、内、外部审计师，讨论财务报告流程的合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。

 审计委员会每年审阅内部和外部审计师的工作范围。

A3.5 董事会及审计委员会成员是否能够得到充分而适时的信息，以监控管理层的目标和战略、公司的财务状况和经营成果，以及重要协议的条款。例如是否：

 董事会和审计委员会定期获得主要的信息，例如财务报告、主要市场行为、重要合同、谈判等；

 董事和委员们认为他们获得了充分适当的信息。

A3.6 董事会及审计委员会是否能够充分而适时的获知敏感信息、调查报告和违规行为（例如：高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污和滥用公司资产的行为、违反内部交易规定、政治献金、非法支付等）。是否存在相应的向董事会和审计委员会报告重大信息的程序；有关信息的传递是否及时。对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。在确立“管理基调”过程中所扮演的角色。

董事会及董事会专门委员会在发现问题后能够采取的措施，包括进行特殊调查。A3.7 A3.8 A3.9 1.4 管理哲学和经营风格

管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志。

A4.1 A4.2 对待经营风险的接受态度，比如管理层是否经常进行高风险投资，或者是否在接受风险方面表现得极端保守。管理层是否在进行投资前谨慎分析风险和收益。关键岗位的人员流动情况，比如，经营、会计、数据处理以及内部审计。例如是否：

 管理层和管理人员的流动过于频繁；  关键人员在突然或短暂通知的情况下离开；

 在关键岗位上，例如财务、营运、数据维护、内部审计，人员流动保持在稳定和满意的水平上。

A4.3 管理层对待数据处理和财务职能的态度，以及其对可靠的财务报告和资产保护的关注程度。例如是否：

 财务职能除被赋予核算中心的功能外，亦被视为对公司各种经营活动实施控制的主体；

 在财务报告中采用的会计政策总是导致高估收入；

 如果财务职能在企业中分散管理，营运管理层对报告的结果进行签字确认；  对于重要资产，包括无形资产和信息不会被未经授权地获得或使用。

A4.4 高层管理人员和经营管理人员的交流和互动的频率，尤其是对于地理距离较远的经营地点。如高级管理层是否经常现场视察分支机构的经营情况，公司或分支机构的管理层会议是否经常召开。

对财务报告的态度和采取的行动，包括会计处理的争议（例如选择保守的或冒进的会计政策；会计原则是否被误用；是否存在未披露的重要财务信息；是否存在操纵、篡改会计记录的现象）。A4.5 1.5 组织结构

公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。

A5.1 公司组织结构的适当性，以及该结构为管理公司运作提供必要信息的能力。例如是否：

 考虑到公司的实际经营情况，组织结构即不过分集中也不过分分散；  组织结构有利于信息的上行下达并且贯穿所有经营行为。

A5.2 对关键管理人员职责定义的充分性，以及其对自身职责的理解程度。例如是否：

 经营职责和管理层对企业经营活动的期望被明确传达给管理这些活动的管理人员。

A5.3 A5.4 关键管理人员是否具备足够的知识和经验以履行其职责。汇报关系的适当性。例如是否：

 建立了正式或非正式的, 直接或矩阵式的报告关系，并且能够向管理人员提供与其职责和权限相当的适当信息；

 经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通；

A5.5 为适应经营环境变化而对组织结构进行相应改变的程度。例如是否：

 管理层根据业务或行业的变更定期评价公司的组织结构

A5.6 确保有足够的员工，尤其是管理和监督人员。例如是否：

 经理和主管人员有充足的时间来有效地履行职责；  经理和主管人员需要过多地加班且工作负担超出个人负荷。

1.6

职权和职责的分配

职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确个人的角色分工奠定了基础。

A6.1 适当分配职责并下放职权，以实现公司目标、完成经营职能和遵循法律法规的要求，包括信息系统中的职责分配和对职责变更的授权，考虑是否：

 不同的职责和权限适当地分配给公司的全体员工；  决策权与员工的职责和权限相关联；  职责和权限的分配以充分的信息为依据。

A6.2 与控制相关的标准和程序的适当性，包括员工的职责描述。例如是否：

 存在对员工的职责描述，至少针对管理层和业务主管人员；  员工职责描述中特别涉及其与控制相关的职责。

A6.3 A6.4 有适当数量的员工，尤其是对于数据处理和财务岗位。员工具备与企业规模、经营行为和系统的特点和复杂程度相适应的技能水平。是否赋予员工与其职责相适应的职权，例如是否：

 适当平衡完成工作所需的职权和高级管理人员的参与之间的关系；

 员工有权纠正发现的问题或实施改进措施，相关权限根据员工能力和职权界限进行履行。

1.7 人力资源政策和实务

适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执行并达到既定目标，具有决定性的作用。

A7.1 是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否：

 存在政策和程序来招聘或培养胜任并且可信赖的员工，这些员工对支持一个有效的内部控制系统是必须的；

 对招聘和培训合适的员工给予适当关注；

 如果不存在书面的政策和程序，管理层就招聘员工的期望进行沟通或亲自参与招聘过程；

A7.2 员工了解其职责和公司对其期望的程度。例如是否：

 新员工知悉其工作职责和管理层对其的期望；  主管人员定期审阅雇员的工作履行情况并提出改进建议

A7.3 是否有适当的措施对违背既定政策和流程的行为予以补救。例如：

 管理层履职不当时的反应是否适当；

 在未能遵守既定政策的情况下，是否采取适当的纠正行为；  员工是否知晓其不当表现将导致不良后果。

A7.4 A7.5 A7.6 人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在员工业绩评估时是否是一个重要的标准。

是否对应聘者的背景进行了充分的背景调查，特别是针对以前的某些可能与公司行为准则相抵触的行为和活动。

雇员留用和提拔的标准以及信息收集方式（比如业绩评估）的充分性，以及这些标准与员工行为准则的关系。例如是否：

 升职和加薪的标准得以详细描述，从而使员工知晓达到何种管理层的期望才能得到升职和加薪；

 这些标准遵守了行为准则

A7.7 信息技术部门是否对信息技术部门员工进行培训，以保证员工具有胜任信息技术工作的能力并保证信息技术工作的顺利进行。例如是否制定对信息技术部门员工进行培训的培训计划，以及培训的主要方式。

是否对信息技术的最终用户建立必要的用户教育和培训，以保证企业最终用户可以有效的利用信息技术资源，并对信息风险以及个人相应职责保持应有的警觉。A7.8 1.8 信息技术战略规划

信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化信息技术发展的机会与企业业务需求间的关系，以保证其可以得到进一步的实施完成。

A8.1 公司是否建立了相关的制定和审批流程，制定长期的信息技术战略规划，并使其支持业务发展的需要。业务发展的需要是如何通过信息技术战略规划的制定流程体现到规划当中，例如，业务部门是否参与信息技术规划的制定。公司是否以及如何对信息技术规划的情况进行追踪及更新？

A8.2

A8.3 公司是否建立了信息技术的最高管理机构，并由其参与信息技术战略规划制定、审批、跟踪等各方面流程。信息技术最高管理机构是否采用适当的决策方式（如：定期会议，项目会议，各信息部门的定期汇报机制等）。

1.9 信息技术组织架构及关系

企业应当建立一个具有足够数量和技能人员的组织并明确的定义其角色和职责、以有效地根据业务需求执行企业的信息技术战略规划，并执行充分的信息技术控制。

A9.1 A9.2 A9.3 公司现有信息技术部门的员工数量，学历背景及工作经验情况。人员的能力是否能够满足信息技术工作的需要。

公司是否对信息部门员工制定了正式的岗位职责，并考虑指责分工以及内部控制方面的要求。

信息技术部门的管理关系，以及通过何种形式管理运行情况，安全情况，项目开发等，例如：政策，监督，定期审查，汇报机制，会议机制等。

2.1 风险评估

企业层面目标

当企业存在有效的控制时，应已先行建立了目标。企业层面的目标中包括了与企业希望取得的成就有关的充分陈述，并以相关战略计划作为支持。描述企业已经建立的企业层面的目标和主要战略计划。

B1.1 在多大程度上，企业层面的目标充分提供了企业期望获得的成就的陈述和指导，并且此目标足够具体，与本企业直接相关。例如是否：

  管理层建立了企业层面的目标；

这个企业层面目标不同于那种适用于所有企业的一般性的目标（例如，有充足的现金流量；或者对投资产生合理的回报等）。

B1.2 B1.3 B1.4 企业层面目标是否有效地传达给了员工和董事会。企业战略是否跟企业层面目标保持关联和一致。

企业的业务发展计划和预算以及企业层面的目标、企业战略计划和企业现状之间是否保持一致。例如是否：

 计划和预算中的假设和前提反映了企业的历史经验和现状；  计划和预算具有适当的详略程度以满足不同级别管理层的需要

2.2 经营活动目标

经营活动目标产生于公司层面目标和企业战略，并与其相联系。经营活动目标经常被表述为具有特定目的和最终期限的目标。对每个重要的经营活动都应该建立目标，这些经营活动目标应该保持互相一致。

B2.1 是否将经营活动目标与公司层面目标和战略计划相关联。例如是否：

 所有重要的经营活动目标是否相关联；  经营活动目标得以定期审阅以确保其相关性。

B2.2 B2.3 经营活动目标相互之间是否具有一致性。

经营活动目标针对主要业务流程的适当性。例如是否：

 就与商品和服务及其支持性业务流程相关的关键经营活动建立了目标；  经营活动目标跟以往的实践和经验或行业特点和惯例相一致，并可对存在的差异进行解释；

 针对各重要的经营活动均建立了目标。

B2.4 经营活动目标的特征性，例如目标是否包括衡量标准。

B2.5 有充足的资源支持目标，例如是否：

 管理层能够确定实现目标所需的资源；

 为获得必要的资源制定了计划（例如，资金、人力资源、设施、技术）。

B2.6 B2.7 B2.8 管理层是否确定了哪些经营活动目标对实现公司层面目标而言是重要的（即关键成功要素）。

所有级别的管理层人员是否均参与目标的制定及其服务于目标的程度。

信息技术流程的表现可以确保企业目标的实现。通过建立相关的表现评定指标，动态并及时地报告信息技术活动的表现，并且根据和目标的差异制定应对的策略。例如是否：

 对信息技术部门的运行及服务情况采取业绩考核；  用关键指标作为考核的依据；

 考核结果对信息技术部门管理层及员工存在影响。

2.3 风险

企业的风险评估程序应该考虑相关风险的迹象，包括企业层面和经营活动层面。风险评估程序应该考虑可能影响目标实现的外部和内部因素，并且这些程序应该分析风险，并且提供一个管理风险的基础

B3.1 是否有充分的机制来发现外生风险。例如，考虑管理层是否考虑过以下因素带来的风险：

        资源供应； 技术变化；

债权人的要求； 竞争对手的行动； 经济环境； 政治环境； 监管； 自然事件。

B3.2 是否有充分的机制来发现内生风险。例如，考虑管理层是否考虑过以下因素带来的风险：

 人力资源；  财务状况；  信息系统。

B3.3 B3.4 对每个重要的经营活动目标确定了相应的风险

风险评估程序的完整性和相关性，包括估计风险的重要性，发生的可能性和制定相应采取的措施。例如考虑是否：

 通过正式的程序或非正式的日常管理行为来分析风险；  确认的风险与相应的经营活动目标相关；  适当的管理层参与了风险分析

2.4 对环境变化的管理

经济、行业和监管环境不断变化，同时企业也在不断发展。企业因而需要一种机制以确认环境的变化并做出反应化并做出反应。B4.1 B4.2 是否存在适当机制，可以凭借其预测及确认影响企业层面或经营活动层面目标实现的日常事件和活动，并做出适当的反应。

是否存在适当机制，可以凭借其确认那些对企业有重大及深远影响，因而需要高层管理人员加以重视的各种情况变化，并作出适当的反应，其中包括下述方面发生的潜在变化：

        经营环境的变化 雇佣新员工

使用新的或重新设计的信息系统 公司经历迅速发展时期 新技术的出现

新的产品线、新产品、新的经营行为或并购 公司重组 跨国经营

2.5 信息风险评估

风险评估用于对信息技术所承受威胁进行客观分析，对企业的重要决策因素进行认定，以支持管理层为达到信息技术目标所作的决策。企业应当通过对信息系统风险的认定，风险影响的大小以及按成本效益原则为减少风险所采取的措施等活动以实现风险评估的控制。

B 5.1 信息技术部门对信息风险的评估及控制

 是否有一个企业层面和业务活动层面的风险评估框架，以用来定期对影响企业目标实现的信息风险进行评估？它是否考虑到威胁的概率和可能性；

 对信息风险评估执行的具体方式途径描述。控制活动

控制活动包括一套全面的政策和相关的执行程序，从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施，管理风险，从而确保其目标的实现。

C1.1 对于企业的每一种活动，是否都存在适当的政策和程序进行规范 C1.2 确定已存在的控制活动是否得以有效实施，例如:  公司政策程序所描述的内部控制措施是否得以遵照执行；

 是否有及时而适当的措施去跟进特殊事项或其它需要进一步关注的信息； 是否有员工负责监督内部控制的执行。

4.1 信息及沟通

信息

信息(如行业、经济和监管信息)可以从外部和内部获取，而信息系统是指收集、处理和报告信息的系统。

D1.1 收集各方面（内部及外部）的信息，并向管理层报告有关企业经营成果是否达到其既定目标。例如是否：

 存在一定的机制，用于获得相关的外部信息——关于市场状况、竞争者的行动、法律法规环境的变化和经济环境的变化等；

 定期识别和报告内部关键信息；

 各级管理层可获得足够信息，用于履行其职责。

D1.2 将详细的信息及时地给予适当的员工，使其能够高效率地履行其职责。例如是否：

 管理者能够获得分析性的信息来判断该采取何种行动；  信息具有不同的详略程度以满足不同级别的管理层的需要；  信息被适当的汇总，而不仅仅是提供一个“信息的海洋”；

 信息能够及时提供以便有效地监控内外部的事项和活动并及时对经济和经营因素的变化和控制问题做出反应。

D1.3 D1.4 是否根据企业的整体战略开发或修改信息系统，从而促进企业和活动层面的目标的实现。

管理层是否对开发必须的信息系统给予支持，例如投入足够的人力和财力。

4.2 沟通

在信息的处理中，沟通是必要的环节。在更广义的层次上，沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同级传递中。企业与外部的沟通同样非常重要。

D2.1 员工的职责和控制责任是否得到有效沟通。例如是否：

 采用各种手段，例如正式或非正式的培训课程、会议、在岗培训等进行有效的沟通；

 雇员知晓他们所进行的活动的目标，以及怎样履行他们的职责来达到这些目标。

D2.2 是否保证有畅通的渠道以便员工反映其发现的可疑情况。例如是否：

 是否存在某种渠道跟非直接上级的上层机构进行沟通；  是否允许匿名；

 员工切实使用了这种沟通渠道；

 报告可疑情况的员工及时得到了反馈，并且受到保护而免于报复。

D2.3 管理层对员工在生产、质量管理或其它方面合理化建议的态度。例如是否：

 是否存在合理机制使员工可以提出改进建议；

 对员工提出的优秀的建议，管理层提供现金或其他方式的奖励措施。

D2.4 D2.5 企业内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工能够有效的履行其职责。

与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通的公开性和有效性。例如是否：

 与相关各方建立了反馈机制；

 建议、投诉和其他相关信息被获取并传递到内部相关部门；  信息被上报至必要的上级部门并采取了跟进行动。

D2.6 D2.7 外部利益关系者对企业的道德标准的认识。

在与顾客、供应商、监管者和其他外部利益关系者进行沟通后，管理层是否能够及时采取有效的跟进措施。例如是否：

 员工就报告的与产品、服务或其他方面相关的问题做出积极反映，进行调查并采取跟进行动；

 在计费和出具账单过程中产生的错误得以及时更正，错误原因得以调查和改进；  由独立于原始交易的适当人员对投诉进行处理；  采取合适的行动后，与原始信息提供方进行跟进沟通；  高级管理层知晓投诉的数量和性质。

5.1 监控

持续监控

持续监控发生在平常的经营过程中，包括日常管理和督导行为，和其它员工履行其评价内部控制系统运行质量的职责的行为

E1.1 员工在进行日常工作时，是否能够获取内部控制正常运行的证据。例如是否：

 运营负责人需要就其业务单元上报的财务数据签字确认，以建立问责制；

 存在运营数据与财务核算数据之间的定期对账；

E1.2 是否能够与外部利益关系者进行沟通而获取信息，对内部信息加以验证，或发现内部信息的问题。例如是否：

 顾客对账单数据进行投诉，这时可能暗示系统在处理销售交易时存在缺陷，应该对其根本原因进行跟进调查；

 与供应商和电信运营商的定期对账程序被当作一项内部控制措施；  监管机构与企业就反映在内部控制系统中的合规情况和其他事项进行沟通；

 重新评估本应发挥防止和发现问题的作用的内部控制措施；

E.1.3 E1.4 定期进行账实核对。

是否就内部和外部审计师的建议及时做出响应以改善和加强内部控制。

E1.5 是否定期举行培训课堂、计划会议和其它的会议，就内部控制运行的有效性向管理层提供反馈意见。

E1.6 员工需要定期声明是否知晓并遵守了公司的行为准则；以及是否执行了重要的内部控制程序。

E1.7 内部审计职能的有效性。例如是否有适当的可以胜任的人员；在组织结构中的地位是否适当；向董事会或审计委员会报告；工作范围、职责和审计计划符合公司的需要等。

5.2 个别评价

定期或不定期地以全新角度审视内部控制系统是非常必要的，其着眼点在于直接审视系统运行的有效性。个别评价的范围和频率主要取决于对风险的评估以及对内部控制的持续监控程序的情况。

E2.1 内部控制系统个别评价的范围和频率。例如是否：

 内部控制系统的适当组成部分得以评价；  评价由具有必要专业技能的人员进行；  评价范围、深度和频率是适当的。

E2.2 进行个别评价的流程以及方法的适当性。例如是否：

 评价人员对公司的经营活动有充分的了解；

 评价人员了解内部控制系统应该如何运行和实际如何运行；  评价过程采用适当的方法，如问卷、核对清单等；  评价过程由具有一定权限的管理层进行监督；

 评价人员通过将评价结果与既定标准进行对比，对评价结果进行必要的分析。

E2.3 个别评价是否存在适当的书面记录。

5.3 汇报内部控制缺陷

内部控制的缺陷必须向上汇报，某些重要的事项必须上报高层管理人员和董事会。

E3.1 是否存在一定机制将确认的内部控制缺陷加以记录并向上汇报，以及汇报程序和书面文件的适当性。例如是否：

 向直接负责此经营活动的人员以及其上一级管理人员报告缺陷；  对于一些特殊类型的缺陷，需要报告给更高层级管理层以至于董事会；

E3.2 采取的改善措施的适当性。