《内控系统中出现的英文字母缩写.docx》由会员分享,可在线阅读,更多相关《内控系统中出现的英文字母缩写.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、内控系统中出现的英文字母缩写序号英文简称英文全称中文名称1BUBusiness unit业务单位2ELEntity Level公司层面3ITGCInformation Technology General Controls信息技术一般控制4PLProcess Level流程层面5RCMRisk & Control Matrix风险控制矩阵风险控制矩阵树形结构所使用的图标说明图说明一级流程或二级子流程风险关键控制活动控制活动普通活动RCM树形结构展开和收拢至末级系统中专业术语解释1. COSO内部控制框架COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Spo
2、nsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的内部控制综合框架(也称“COSO内部控制框架”)。这也表明COSO框架
3、已正式成为美国上市公司内部控制框架的参照性标准。2. 什么是内部控制规范体系为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会等五部委于2008年6月28日颁布了企业内部控制基本规范。基本规范要求:执行该基本规范的上市公司,应当对公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。于2010年4月26日,五部委又联合发布了企业内部控制配套指引。该配套指引包括18项企业内部控制应用指引、
4、企业内部控制评价指引和企业内部控制审计指引。至此,中国企业内部控制规范体系基本建成。3. 内部控制内部控制是由公司董事会、管理层和其他有关人员实施,为实现以下目标提供合理保证而设计的程序,其目标包括业务运营的有效性和高效率、财务报告的可靠性及遵守适用的法律及法规。4. 业务单位(BU)业务单位的定义取决于该公司的性质和组织构架。业务单位可以是法人机构(子公司),一个部门或一个营运场所(如: 工厂或营业部)。管理层确定用于界定和测试的业务单位时,必须进行大量的判断。选择业务单位目的是确保内控程序在其执行的层面上得到评估和测试。下面列出的是在确定业务单位时可以考虑的事项:l 财务信息的来源(如,法
5、人机构、业务单位、工厂或营业部) 公司各层面的中央集中处理程序/共享会计服务的程度l 地区性机构ll 法律结构 管理层结构/行政划分l 适用于权益法核算的投资l 按照FIN 46合并的机构l5. 风险控制矩阵(RCM)风险控制矩阵是国际上普遍使用的风险管理工具之一,它为确保所有有关的内部控制都得到了充分的记录提供了一个严谨的架构,并为识别内控缺陷提供了一个结构性的机制,有利于内控标准化记录的使用。6. 业务流程或业务循环业务流程或业务循环是确保公司完成任务及实现业务目标的一系列活动。这些活动可能按复杂性进行排列,从执行简单活动(如处理发票)到管理业务运行的关键要素(如批发商的存货管理和配送系统
6、),到执行职能性任务(如保留机构的财务记录),再到跨职能要素(如机构的人力资源部门)。7. 子流程或子循环子流程或子循环是机构管理层专门制定会计流程和内控的一组交易。例如,收入和应收账款业务流程可能包括子流程,如开出发票、定价或处理现金收款。8. 业务流程/循环风险评估作为界定计划工作的一部分,管理层必须识别主要的业务流程/循环。为了评估记录和测试各业务流程/循环的范围,管理层应对各业务流程/循环进行风险评估。该风险评估涉及对相关风险的识别,而此风险识别旨在实现与受业务流程/循环影响的各科目相关的财务报告目标。应对高风险流程/循环进行更大范围的记录和测试。9. 公司层面控制公司层面的控制是管理
7、层为确保在整个机构范围包括各经营场所或业务单位内存在恰当的内控而设置的控制。具体公司层面的控制包括:l 控制环境范围内的内部控制,包括高层管理者的态度、权限和职责分工、统一的政策和程序以及公司范围内的程序,如行为准则和舞弊行为防范l 管理层的风险评估流程 集中化的处理和内控l 监控其他内控的控制,包括内部审计职能、审计委员会及自我评估程序l l 期末财务报告流程 经董事会批准的针对业务的重要内控和风险管理实务的政策l10. 流程层面控制一般企业会涉及到的关键流程包括:存货与生产、采购、收入、薪金与员工福利、资本性支出与维护、结账与财务报告、资金管理、税等等。11. 信息技术一般控制信息技术一般
8、控制是信息处理控制中的一种,是控制活动的内部控制组成要素的一部分,主要是用于管理和控制公司内与信息技术有关的活动。其中流程和程序是用于对公司的信息技术活动和计算机环境进行管理和控制。通过信息技术一般控制来处理信息是内部控制的信息和沟通环节的一个关键领域。它们通常分为以下几个领域:信息技术控制环境、系统开发、程序变更、针对程序和数据访问的安全控制、计算机操作控制。12. 控制环境控制环境是COSO框架内部控制五要素之一,控制环境确定了整个机构高层管理者的态度,影响员工的内控意识,是内部控制所有其他组成要素的基础,提供了纪律要求和结构。控制环境包括以下因素:l 声誉及道德价值观(包括行为准则和反舞
9、弊程序) 致力提高人员工作能力及促进员工职业发展的承诺l 管理层的理念及经营风格l l 组织结构 权限及职责分配l 人力资源政策及程序l l 监管部门的参与(根据上市公司会计监管委员会规定,参与内容包括董事会对审计委员会的有效性评估)13. 风险评估风险评估是是COSO框架内部控制五要素之一,是识别及分析相关风险及其对公司目标实现的影响的工作。管理层必须设定一个标准来决定如何对风险进行管理。由于经济、行业、监管环境和运营状况不断变化,管理层必须采用必要的机制使之能对导致发生上述变化的特殊风险进行识别和处理。14. 控制活动控制活动是COSO框架内部控制五要素之一。控制活动有助于确保管理层的指令
10、得到贯彻执行,以及针对风险的必要措施得到实施,从而使机构实现其目标。这些活动在机构范围内的各个层面和各个职能中进行,涉及各种流程,如批准、授权、核实、调节、经营绩效审阅、资产安全性以及职责分工。15. 信息与沟通信息与沟通是COSO框架内部控制五要素之一。该要素要求相关信息的选择和沟通必须在一定时间框架内进行,并使得员工能够各行其责。信息系统产生包含有关运营、财务和合规性的信息的报告,帮助管理层经营和控制公司。该要素不仅报告内部产生的数据,还包括在了解各方信息的情况下进行决策和外部报告时所需的关于外部事件、活动和状况的信息。应在广泛的范围内进行有效的沟通,包括自上而下、机构内部及自上而下的沟通
11、。管理高层必须清楚的告知所有员工他们必须严格执行各自的内控职责。员工必须理解他们在内控系统中的职责以及他们自身的活动与其他人的工作之间的互动关系。员工还必须拥有向机构高层报告重要信息的途径,并且还必须与外部各方进行有效沟通,如客户、供应商、监管机构及股东。16. 监督监督是COSO框架内部控制五要素之一。该要素要求企业必须经常或定期对内部系统的质量进行监督。目前的监督发生在运营过程中,包括管理层和监事会的日常监督以及其他员工在履行职责时采取的其他行动。管理层单独评估的范围和频率取决于(1)具体的风险及(2)当前监督程序的有效性。17. 控制证据是用以说明公司内部控制情况,形成内部控制评估结论基
12、础的证明材料。18. 样本指根据特定要求挑选出来以供测试的项目。19. 问卷调查它是通过书面形式,以严格设计的问题或表格向研究对象收集资料和数据的一种方法。20. 穿行测试穿行测试是在公司的信息系统中从交易产生到反映在公司的财务报告中的整个过程中对交易进行跟踪的一个活动。穿行测试应当包括初始化处理、授权、记录、处理和报告各项交易以及对各重要流程的内控,包括针对舞弊风险的内控。21. 符合性测试对指定控制运行的有效性进行测试的工作程序。22. 内部控制缺陷当控制的设计或执行,不足以使得管理层或雇员在正常执行既定任务时,及时的预防或检查出与财务报告相关的错报事项,则此时即存在“与财务报告相关的内部
13、控制”的控制缺陷。23. 内部控制设计缺陷(a) 一项本应用来满足控制目标和风险的控制,不存在;或 (b) 一项已然存在的内部控制,没有被正确的设计,以至于即使该内部控制如预期般操作,仍不能保证控制目标和风险总是能达到。24. 内部控制执行缺陷如果一个设计得当的控制未按照设计运行,或者执行人员没有适当的授权或能力有效运行控制,则为执行缺陷。25. 重大缺陷一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。26. 重要缺陷一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。27. 一般缺陷是指除重大缺陷、重要缺陷之外的其他控制缺陷。28. 运行的有效
14、性当设计恰当的内控按设计运行,并且执行内控的相关人员具备有效执行控制所需的权限和资格时,对于财务报告的内部控制的运行是有效的。29. 询问通过口头/书面提问的方式了解某一项控制活动是否被适当地执行的一种测试方法,该种测试方法的说服力最弱。30. 观察通过观察员工执行控制活动的过程以进行判断的一种测试方法 。31. 检查通过查验原始单据、文件、报告等等书面资料的方式以判断控制活动是否被有效执行的方法。最易操作的一种测试方法,特别是针对资产的存在性测试。32. 重新执行由测试者本人根据控制活动的步骤重新执行一次,以进行验证的一种方法。该测试方法比询问、观察和检查更加可靠。33. 舞弊公司内、外人员
15、采用欺骗等违法违规手段,谋取个人不正当利益,损害正当的公司经济利益的行为;或谋取不当的公司经济利益,同时可能为个人带来不正当利益的行为。34. 风险发生可能性指某一风险发生的概率或频率。通常,我们将风险发生的可能性分为5个评分等级,在考虑风险发生的可能性时,可从相对发生概率或者绝对发生次数两个指标考虑,进行评分。此外,亦可以结合相对发生概率和绝对发生次数两个指标,进行综合评分。举例如下:1)该风险相对发生概率 指标评分12345等级极低低中等高极高发生概率定量(举例)发生风险概率90%定性在极少情况下才会发生在较少情况下会发生发生频率中等发生频率较普通偏高发生很频繁注:风险发生的概率是指经营运
16、作中重复做某项活动时风险发生的次数占活动发生总量的比率,例如:市场上假冒伪劣产品是肯定存在的,但是消费者如果在市场上购买10次同样的产品,只发现其中一个是假冒伪劣产品,则假冒伪劣产品风险发生的概率为10%而不是100%。 2)该风险绝对发生次数 指标评分12345等级极低低中等高极高发生频率定量(举例)今后10年内发生的可能少于1次今后510年内可能发生1次今后25年内可能发生1-5次今后1年内可能发生5-10次今后1年内至少发生10次以上定性在极少情况下才会发生在较少情况下会发生发生频率中等发生频率较普通偏高发生很频繁35. 风险影响程度指风险失去控制后可能对公司产生的影响程度,影响包括对公
17、司人、财、物及持续发展的影响、政治、社会、环境影响,等等。风险发生的影响程度应综合考虑多方面因素,举例如下(以下数据仅为评分的参考标准,企业可以根据自身的经验进行评判)评分等级对公司实现目标的影响(定性)对业务的影响 (定性)每次出现对财务的影响 (定量举例)5非常严重公司几乎肯定不能实现其目标大大损害控制,需要与公众/规管者进行沟通、巨大财务损失大于400万4严重对公司实现其目标的影响严重需要大量额外资源来减少对业务的影响 (内部或外部)、财务损失程度较大150万-400万3一般对公司实现其目标有一定的影响可能需要额外资源(主要是内部)来减少对业务的影响、财务损失程度为中等/较高50万-15
18、0万2轻微对公司实现其目标的影响轻微较容易减少对业务的影响、需涉及董事或以上职级的人员、财务损失程度为中等/较低5万-15万1不显著对公司实现其目标的影响微不足道对业务影响微少、财务损失程度较小、不涉及高级管理人员低于5万36. 风险管理策略指企业根据自身条件和外部环境,围绕企业发展战略,确定风险偏好、风险承受度、风险管理有效性标准,选择风险回避、风险承担、风险降低、风险分担等适合的风险管理工具的总体策略,并确定风险管理所需人力和财力资源的配置原则。管理策略举例回避 通过推出一个市场或地域、或者抛售、放弃一个产品类别或业务 筛选资本项目,以避免低回报,脱离战略及高风险的投资损失 禁止不可接受的
19、高风险活动、交易、财务损失及资产损失(通过适当限制的方式或公司标准来执行) 通过设计及实施内部防护措施消除风险承担 接受目前水平风险(风险不能再加大) 通过以下手段实现风险自保:利用保险公司、参与一个集团或者行业协会、借贷资金(如果风险事件发生时,从外部来源借款) 抵销,即弥补集团内其他成员的风险降低 分散金融、实物或信息资产(在地理上)以减少风险或不可接受的重大损失 通过公司的经营模式将财务、客户、雇员/供应商及资产进行多样化投资 控制风险,通过内部过程,将不可预见意外事件的可能性减少到可以接受的水平分担 通过独立的、财务上可行的、遵循适当的风险战略的保险合同来进行保险 通过外部采购或者外包,转移风险