内部控制

内部控制被定义为为实现某些目标提供合理保证的过程:

• 业务的有效性和效率
• 财务报告的可靠性
• 遵守法律法规

这个定义反映了一些基本概念:

• 内部控制是一个过程. 它是达到目的的一种手段，而不是目的本身.
• 内部控制不仅仅是通过政策手册和表格记录下来的. 相反，它是由组织中各个层次的人提出的.
• 内部控制只能提供合理的保证, 不是绝对的保证, 致一个实体的管理层和董事会.
• 内部控制旨在实现一个或多个独立但相互重叠的类别的目标.

内部控制可能很复杂, 但内部控制最简单的形式是我们为实现目标所做的任何事情. 在日常生活中，我们都在某种程度上使用内部控制，所以考虑以下例子:

• 我们在出门上班前把门锁上，目的是防止不速之客进入我们的家, 从而保护我们的家庭内容.
• 你会把你的信用卡或社会安全号码放在每个人都能看到的地方吗? 你很可能不会——目的是防止身份盗窃和金钱损失.
• 你把你的网上银行密码保存在你的记忆里，而不是写在你的键盘后面，以防止不必要的访问你的资金-目的是保护你的资产.
• 有些人在家里和公司里安装了安全/监控系统——目的是威慑, 防止不必要的进入, 从而保护资产.

回到顶端

特雷德韦委员会(COSO)内部控制框架由五个相互关联的组成部分组成:控制环境, 风险评估, 控制活动, 沟通与信息, 和监控. 如果这些主要组件中的任何一个不能正常工作或很弱, 整个内部控制系统可能会受到损害. (see COSO内部控制海报)以下是每个组成部分与pg电子游戏试玩的关系:

控制环境: 任何一所大学的核心都是人——他们的个人属性, 包括完整性, 道德价值观和能力——以及它们所处的环境. 他们是一切赖以生存的基础. 控制环境决定了组织的基调，被认为是内部控制所有其他组成部分的基础, 提供纪律和结构.

风险评估: pg电子游戏试玩建立学术, 研究和管理目标, 与收入和成本控制目标相结合. 风险评估有助于识别, analyzing, 以及管理可能阻碍实现这些目标的风险. 评估可能包括查看部门的日常工作, 活动, 和人员来发现任何潜在的问题. 这构成了确定如何管理风险的基础.

控制活动: 政策和程序是帮助管理控制风险和确保实现指定目标所必需的. 控制活动发生在组织的所有层次，并包括诸如绩效审查之类的事情, 功能或活动评审, 事务的评论, 对账, 处理控制, 物理控制和职责隔离.

信息与通信: 围绕这些活动的是信息和通信系统. 这些系统能够捕获和交换进行所需的信息, manage, 并控制大学的运作. 信息系统应及时向适当的人员提供准确和相关的信息，以便他们能够履行其职责.

监控: 对整个过程进行监控，必要时进行修改. 通过这样做，内部控制可以根据情况动态调整和改变.

大多数内部控制可以分为预防、侦查和纠正.

预防措施的目的是避免错误或违规行为在一开始就可能对大学产生负面影响. 一些预防性控制的例子包括:

• 运用职责分离来处理现金, 哪些可以通过分配不同的个人来实现，比如收集现金, 维护文档, 准备存款, 核对记录.
• 阅读和理解大学的政策和程序, 比如对小时工的计时要求有助于防止违反《pg电子下载》.
• 经理在批准之前审查每月信用卡对账单的有效性和适当性，以防止不适当的支出.

检测控件的设计目的是在错误或不正常情况发生后识别错误或不正常情况. 这些控制是在日常基础上进行的，以及时识别任何对大学构成潜在风险的问题. 一些检测控件的例子包括:

• 异常报告检测并列出不正确或无效的条目或事务.
• 将有效的现金收据凭证与每月的账户明细进行比较，就能发现存入错误账户的存款.
• 每年对存放在某一特定地点的计算机设备进行盘点，以确定是否有任何物品被放错地方或被盗.
• 使用监视系统有助于识别肇事者.

纠正控制的目的是纠正已发现的错误或不规范. 它们还包括在未经授权或不受欢迎的活动之后为修复损坏或将资源和能力恢复到先前状态而采取的任何措施. 它们通常是在首先了解错误或不正常发生的原因之后实施的. 纠正控制的几个例子包括:

• 因员工行为不端而由主管采取的纪律处分.
• 实施的新策略或对现有策略的修改，禁止低效或不安全的做法(如密码共享).
• 培训员工正确的程序，作为纠正措施的一部分.

不幸的是, 过程和控制活动并不完美, 错误和问题就会被发现. 任何涉及人类的内部控制系统总是存在固有的局限性，例如人为错误或判断, 管理层凌驾于职权之上，以及两名或两名以上员工串通. 人们会犯错误，并且经常会发现控制程序中的弱点, 不管是意外还是故意的. 虽然许多情况可能会损害内部控制结构的有效性, 以下列出了其中最常见和最严重的几个，值得特别提及:

职责划分不充分 -(最常见的审计发现)-将资产的实际保管责任与相关的记录保存分开是一项关键的控制.

• 可以授权采购订单(采购)的人员不应该有能力处理付款(应付账款).
• 准备存款的人不应该把收据寄到客户账户上.
• 编制工资凭证的人员不应分发或保管工资支票.

不当获取资产 -内部控制应为实物提供保障, 限制信息, 重要的形式, 更新应用程序.

• 可以授权采购订单(采购)的人员不应该有能力处理付款(应付账款).
• 只有经过授权的个人才能进入禁区.

对大学政策认识不足 -大学不是一个静态的环境-新政策和政策修订是我们不断发展的一部分. 所有大学的政策和程序(见 ASU政策). 管理者必须跟上这些变化，了解他们的责任.

形式重于实质 -控制可能看起来设计得很好，但仍然缺乏实质内容, 这通常是需要批准的情况.

• 客户经理的签名证明了工资凭证信息的准确性, 但如果客户经理不能保证支持时间记录的准确性, 审批程序缺乏实质内容.

控制覆盖 -为完成特定任务，有时需要对既定策略进行例外处理, 但如果不加以有效监测和限制，可能会造成重大风险.

• 对所有异常情况进行详尽的记录和批准，将有助于管理层确保对异常交易或事件有一个清晰的解释. 定期审查这些例外情况也有助于确定是否需要改变政策或程序.

内部控制的局限性 -不存在完美的控制系统. 工作人员规模的限制可能会妨碍适当划分职责的努力, 这需要实施补偿控制以确保目标的实现. 任何系统固有的限制都是人为错误(误解)的因素, fatigue, 和压力).

• 鼓励员工休假的管理者可以通过交叉培训来改善工作，同时使员工能够克服或避免压力和疲劳.

大学里的每个人都有内部控制的责任. 一些员工可能会提供内部控制系统中使用的信息或采取实施控制所需的其他行动. 大学管理层的最终责任是设计和维持一个适当的内部控制系统. COSO建议运营管理层进行自我评价控制评审. 评估内部控制提供了内部控制系统有效性的保证，可以采取自我评估的形式, 特定单位或职能部门的负责人在哪里确定其活动控制的有效性

内部审计办公室制定了一项自我评估，以帮助你评估内部控制. 有关其他信息，请参见 自我评估.

Reference

赞助组织委员会(COSO)内部控制-综合框架