COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架(5要素)简介
COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架

水门事件后,内部控制理论引起了美国各界的广泛重视。然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization),开创性地提出了一套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。

一、COSO内部控制整体框架的诞生

1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。

1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting),即tread-way委员会。Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年,COSO提出了《内部控制整体框架》报告,并在1994年进行了增补。

二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。

报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。

为了实现内部控制的有效性,需要下列五个方面的要素支持:控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。

控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统作出承诺。

风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。

相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策

和程序:批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则。

信息与交流是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。

监测,意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。内部审计是先依据审计章程,确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位,分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划,密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。最后,就操作系统的运作与管理层执行简明扼要和持续的沟通。应该让内部审计的结论为人所知。审计委员会监督内部审计的过程,采用外部审计评估控制系统,就财务报表的真实性和公正性提出意见。

内部控制五要素

按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素: 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素: 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 详解: 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审

计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要

内部控制的目标与要素

第八章内部控制及其测试与评价 第一节内部控制的目标与要素 一、内部控制的定义与内部控制目标 (一)定义 内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的一系列政策、方案与程序等的总称。 (二)目标 1. 保证业务活动按照适当的授权进行。 2. 保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求。 3. 保证对资产和记录的接触、处理均经过适当的授权。 4. 保证账面资产与实存资产定期核对相符。 (三)有关内部控制的一般考虑 1. 建立和运行内部控制是管理当局的责任 2. 内部控制只能为会计报表提供合理的保证: 3. 由于内部控制存在固有的局限性,其控制的目标和作用不能完全发挥 (四)内部控制与审计的关系 当内部控制设计合理和执行有效时,会计数据出现错弊的可能性就小,反之,错弊的可能性就大。正是基于这一点,在审计中引入了内部控制的概念。在会计报表审计中,评价内部控制的强弱不是注册会计师的真正目的,而是把内部控制作为一种审计的工具,来确定查

账(实质性测试)的重点和数量。 1.注册会计师在执行会计报表审计业务时,不论被审计单位规模大小,都应当对相关的内部控制进行充分的了解。 2.注册会计师应根据其对被审计单位内部控制的了解,确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。 3.不管内部控制多么良好,实质性测试绝不能取消。被审计单位内部控制设计合理和运行有效,注册会计师可能相应减少对相关账户或交易类别的实质性测试。注册会计师不能根据内部控制的强弱对会计报表的合法性和公允性发表审计意见,只有实质性测试才能为审计意见提供证据,所以实质性测试是每一次审计所必须的程序。换而言之,审计风险模型中的控制风险始终应大于零。 二、内部控制要素 内部控制的三要素 (一)控制环境 控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。对企业控制的建立和

COSO内部控制整体框架简介

COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织(COSO)发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后,《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时,财务报告和相关立法以及监管环境也发生了变革。值得注意的是,2002年美国颁布了《萨班斯法案》。其中,《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移,这项框架到今天仍然是有效的,遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而,较小型公众公司在面对执行第404号条款的挑战时,承受了意料之外的成本。为了指导较小型公众公司执行第404条款,美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》(以下简称《指南》)。 《指南》并非是对《内部控制—综合框架》的取代亦或修改,而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面,《指南》为较小型公众公司提供了指导(当然《指南》也同样适用于大型公司)。尽管《指南》本意上是为了帮助管理层建立和维持财务

报告内部控制的有效性而制定的,但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分,第一部分是概要,向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点,其中描述了公司的特征,这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外,还从《内部控制—综合框架》中提炼了20个基本原则,并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣,并在必要的情形下参考第二部分的其它章节,而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”,但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”,这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作

COSO企业风险管理整合框架附录部分中文版

P109 企业风险管理—整合框架和内部控制—整合框架之间的关系 1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。 内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标: ?经营的效率和效果 ?财务报告的可靠性 ?法律法规的遵循性 本附录概述了内部控制框架和企业风险管理框架之间的关系。 对内部控制的拓展 内部控制是企业风险管理的主要组成部分。相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。 目标分类 内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 P110 企业风险管理—整合框架增加了一个高层次的目标,即战略目标。战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。 企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中,管理层需考虑相关目标的重要性,并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内,进而确保该主体将会实现其目标 风险组合观点 风险组合未包含在内部控制框架之内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。 组成部分 在加强关注风险的同时,企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定(内部控制的先决条件)、事项识别、风险评估和风险应对。 内部环境 在论述环境组成方面,企业风险管理框架讨论了一种主体风险管理理念,即一整套共同的信念和态度。描述了主体如何考虑风险,反映了它的价值观,并影响其文化和经营风格。如上所述,此框架包含了风险偏好的概念,风险承受能力更加明确的印证了这一点。 考虑到董事会的决定性作用及其构成,为了使企业风险管理更加有效,企业风险管理框架将

COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架 水门事件后,内部控制理论引起了美国各界的广泛重视。然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization),开创性地提出了一套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting),即tread-way委员会。Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年,COSO提出了《内部控制整体框架》报告,并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性,需要下列五个方面的要素支持:控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。 相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策

COSO企业风险管理框架

一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 二、COSO委员会新报告《企业风险管理——总体框架》解读 内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计

师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世 界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的 风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信

coso企业风险管理整合框架

c o s o企业风险管理整合 框架 集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]

公司治理·内部控制前沿译丛 企业风险管理——整合框架 (美)COSO 制定发布 方红星王宏译 大连 制定发布机构简介 COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了着名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。本书就是按照2004年9月正式发布的文本进行翻译的。 译者简介

方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。 王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。 中文版前言 在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。 2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,引起了广泛的关注,我国也有一些学者撰文介绍了相关的情况。诚然,企业风险管理整合框架并没有立即取代内部控制整合框架,但是它涵盖和拓展了后者。因此,对新的框架进行深入研究和探讨,具有十分重要的价值。2004年9月,正式的最终文本发布之后,由于着作权保护和其他方面的原因,在国内很难取得该框架最终定稿的版本。而许多学者继续按照征求意见稿来进行转述、介绍和研究,已经显得不合适了。为此,我们通过积极联络和多方努力,最终获得了正式授权,得以将这份重要的文献翻译成中文并在国内公开出版。 长期以来,尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后,关于内部控制的研究和立法行动深受社会各界的重视和关注,我国也概莫能外。我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。目前,关于研究和制定企业内部控制指

内部控制整合框架—— COSO的内控魔方

内部控制整合框架 ——COSO的内控魔方 清华大学 宋逢明教授

中国中国企业内部控制规范性文件企业内部控制规范性文件 1.财政部、证监会、审计署、银监会、 2008522保监会等五部委于年月日发布《企业内部控制基本规范》(财会20087【】号文) 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》,包括18项《企业内部控制应用指引》,以及《企业内部控制评价指引》和《企业内部控制审计指引》(财会【2010】11号文)

关于COSO COSO(The Committee of Sponsoring Organizations of the Treadway Commission ) the Treadway Commission 是由左列五个民间机构联合 发起的组织,旨在提供企业 风险管理和内部控制的思想 指导和管理架构。

COSO内部控制整合框架 Framework) Integrated Framework (ICIF:Internal Control--Integrated Internal Control ●首次发表于1992年 ●金融危机后被广泛接受 ●在美国使用非常普遍 ● 现在在世界范围内已被 普遍使用 原始的COSO内控魔方

2012年的修订版 商业环境的变化内控整合框架的相应变化 修订时间表(正式发布时间已推迟)201020112012 9月-1月2月-10月12月-3月4月-12月 有关方面的 审阅和评估设计和构建 公开 征求意见完成定稿

内部控制的定义 ● 定义:内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程,这一过程的设计是为实 现以下三类企业运行的目标提供合理的保障: 1企业运行(操作)的有效和效率1. 2.报告的可靠性 3. 合规性(符合法律和监管要求) ● 内部控制的涵义: 1.内部控制是一个管理控制过程 内部控制是个管理控制过程 2.内控是受人们活动影响的,不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障 4.内控与三类运行目标(运行操作、报告和合规性)配套 5. 内控要与企业的组织结构相适应

(管理)新内部控制-整合框架(2013版)-中文版

内部控制整合框架 执行纲要 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型,对技术的深入应用和依赖,日益繁多的监管要求和检查,全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 一套有效的内部控制体系除了对制度和流程严格遵守外,还要求判断力。管理层和董事会通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断,在组织内选取,推进和实施各类控制。管理层和内部审计师,以及其他的员工,通过其判断来监控和测试内部控制体系的有效性。 本框架在内部控制方面,对管理层,董事会,外部的利益相关者和其他与组织产生互动关系的相关方有所帮助,且不会过分死板;而这有赖于对内部控制体系构成要素的理解,有赖于对内部控制体系能够有效实施的时机的洞见。 翻译:@注册内审师

对于管理层和董事会,本框架提供: 一套工具,将内部控制推广到各类型的组织,无论行业或法律形式,无论在组织层面,经营单元层面或职能层面; 一种原则导向的方法,能够灵活设计,实施和推进内部控制,并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用; 一些要求,具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用,如何在一起产生协调作用; 一套工具,识别和分析风险,开发和管理合适的风险应对措施将风险控制在可接受的水平,且更关注反舞弊措施; 一个机会,将基于财务报告的内部控制扩大应用范围,满足各种其他的报告、运营和遵循目标; 1.一个机会,清理那些在降低风险方面价值不大的无效,冗余和 低效的控制。 2.对于外部利益相关者和组织的其他相关方,本框架的应用可使 其: 对于董事会针对内部控制的监管更有信心; 对于组织实现目标更有信心; 对组织识别,分析和应对来自商业与运营环境风险与变化的能力更有信心; 翻译:@注册内审师

内部控制概念 要素 原则 方法

内部控制是指一个单位的各级管理层,为了保护其经济资源的安全、完整,确保经济和会计信息的正确可靠,协调经济行为,控制经济活动,利用单位内部分工而产生的相互制约,相互联系的关系,形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系.是用来协调经济行为、控制经济活动,从而形成一系列具有控制职能的方法、措施、程序,并予以规范化,系统化,使之成为一个严密的、较为完整的体系。它有几项构成要素构成。 内部控制的构成要素包括以下几项: 一、内部环境 内部环境是内部控制存在和发展的空间, 是内部控制赖以生存的土壤, 控制环境的好坏 直接决定着其他控制要素能否发挥作用。内部环境包括了: 1、董事会; 2、监事会; 3、组织结构; 4、授权和分配责任的方法; 5、审计委员会及内部审计; 6、人力资源政策和实务; 7、员工; 8、企业文化。 二、风险评估 风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。 常用的方法主要包括: 1、风险因素分析法 风险因素分析法是指对可能导致风险发生的因素进行评价分析,从而确定风险发生概率大小的风险评估方法。 其一般思路是: 调查风险源→识别风险转化条件→确定转化条件是否 具备→估计风险发生的后果→风险评价。 2、模糊综合评价法 3、内部控制评价法 内部控制评价法是指通过对被审计单位内部控制结构的评价而确定审计风险的一种方法。由于内部控制结构与控制风险直接相关,因而这种方法主要在控制风险的评估中使用。注册会计师对于企业内部控制所做出的研究和评价可分为三个步骤: 4、分析性复核法

企业内部控制与风险管理的五个关键要素

第八讲企业内部控制与风险管理的五个关键要素控制论、系统论、信息论这三论构成了现代企业管理的理论基础,健全有效的内部控制不仅能够合理保证企业的生产经营和管理活动合法合规,提高企业各类报告的真实性、可靠性和完整性。而且可以改进企业的运营水平和风险防范能力,提高企业的管理效率。改善企业运营的效率和效果,帮助企业实现发展战略,促进企业的可持续发展。 内部控制要素在内部控制框架中居于核心地位,直接影响着内部控制的设计、实施和评价。在要素层面,一般认为内部控制有五大要素内部环境、风险评估、控制活动、信息与沟通、内部监督。说的在形象化一点,企业就像是一个人,内部环境就是人的头,风险评估、控制活动、信息与沟通、内部监督分别是人的四肢,只有头脑清晰,四肢健全的的健康“人”才能走的更长远。 内部环境是构成企业内部控制赖以存在的基础,一般认为包括企业目标及发展战略、组织架构及权责配置、人力资源政策及实践、企业社会责任、企业文化等等。 风险评估要素是企业设计和实施控制活动的依据,一般认为包括内部控制目标的设定、风险识别、风险分析和风险应对。 针对企业识别出来的风险企业需要开展控制活动。 控制活动要素一般认为包括不相容职务分离、授权审批控制、全面预算管理、会计系统控制、信息系统控制。 企业在风险评估和开展控制活动过程中,随时需要信息、需要沟通,包括内部信息、外部信息、内部沟通、外部沟通。 企业内部控制设计和运行的有效性随时需要监督,内部监督既是内部控制的构成要素之一,又是对内部控制其他要素的一种再控制,是保障内部控制有效性的关键。企业可通过持续监督、定期评估或两者并用来实现这个过程。 内部控制的主要领域,包括企业整体层面的控制、业务活动的控制、对子公司的控制、对分支机构的控制四个层次。 企业内部控制和风险管理的五个关键点,是建立所有企业管理的基础。

COSO《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control – Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control—Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory 翻译:@注册内审师

企业内部控制五要素

企业内部控制五要素 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境:内部环境是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。 2、风险评估:风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。 3、控制活动:控制活动是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通:信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。 5、对控制的监督。监督检查是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。 五要素之间的关系 1、内部环境是基础,是企业建设内部控制的土壤,是一切内控制度、流程、控制点得以实施的根本条件。一个企业内控好坏,首先应对其内控环境进行评价,如果环境不好,就需要更仔细和深入的进行建设,换句话说,如果环境建设得好,具备良好的风险意识和内控文化,即使一些小方面存在控制不足,也并不重要。 2、风险评估、控制活动、信息沟通。这是内控体系核心三个环节。

内部控制五要素

内部控制五要素 内部环境 风险评估 控制活动 信息与沟通 内部监督 内部控制五要素—内部环境 治理结构、机构设置及权责分配、内部审计机制、人力资源政策、企业文化 (组织架构、发展战略、人力资源、社会责任、企业文化—配套指引) 内部控制五要素—风险评估 目标设定 风险识别 风险分析 风险应对 内部控制五要素—控制活动 不相容职务分离控制 授权审批控制 会计系统控制 财产保护控制 预算控制 运营分析控制 绩效考评控制 重大风险预警机制和突发事件应急处理机制 内部控制五要素—信息与沟通 信息质量 沟通制度 信息系统 反舞弊机制 内部控制五要素—内部监督 1.日常监督 2.专项监督 我要纠错| 计算器| 论坛课件形式:打 印讲义 前言 内部控制不一定保证企业成功,但失败的企业无疑都有失控的印记。 内控不是万能的,但没有内控是万万不能的。 企业目标与经营风险

企业目标 生存 发展 获利 经营风险 经营环境的变化(市场/政策/竞争/技术)风险是两面性 风险给企业带来了什么? Risk 与“危机” 企业在不同的发展阶段的风险特征 相爱容易相处难的尴尬 。。。。。。 做正确的事;把正确的事做好。 Do the right thing; Do the right things right. 内部控制的意义 风险存在的客观性与企业选择的主观性 为了控制而控制 or 为了防范风险而控制?实施内部控制能带来什么? 一个是提高企业的运行效率 小企业管理靠人,大企业呢? 制度经济学中的交易成本 另一个是防范作弊 作弊的防范是企业的底线

舞弊的三角理论 防范机制—职业道德教育 防范机制—法律法规 来硬的能解决一切吗?

COSO《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control–Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory 第1页

内控体系建设的五个环节

内控体系建设的五个环节 一、战略制定 作为内控管理的第一站,内控战略规划的重要地位在于其对以后实施内控系统建设的所有方面的影响。合理的战略规划可以使企业的内控管理效率大幅度提高,确保企业的治理水平迅速达到所有者和管理层的预期目标。 制定企业内控战略规划具体应该注意掌握以下几个方面: 1.与保持严格一致 企业战略目标是制定企业所有具体业务目标的基础,内控战略目标也必须符合企业总体战略目标确定的方向。当前,关于企业的战略目标、原景、核心价值观等的主流观点基本上都是围绕着如何发展成为一个有社会责任感的企业来确定的。 内控战略目标通常可以按照企业希望达到的发展水平来确定。假如某企业的战略目标是在一定的期限内成为本行业的领导者并希望基业常青,那么其内控体系的战略目标就必须为符合这一要求提供有力的支撑;既不能高于这个目标,也不能低于这个目标。惟此,才能被企业内所有利益相关者和运营管理的所有参与者所接受。 此外,内控战略目标可以根据企业的发展状况分阶段确定。例如在某个阶段达到行业先进水平;某阶段达到国内同行业先进水平;某阶段达到国际先进水平等。 2.明确实现目标的具体标志 事先确定内控战略实现的具体标志,既可以为企业制订年度内控工作计划或绩效考核目标提供具体的依据,也可以为日后评价本企业内控战略目标的实现状况提供评价依据。 例如:某企业的内控战略目标是达到本省同行业先进水平。那么,企业就必须对本省的同行业内控管理的基本情况有所了解。然后确定自己的评价标准或实现标志。评价标准可以具体设置为:程序建设情况;内控建设情况;内控审计手段的先进和有效程度;舞弊案件的损失指标;企业的风险指标;全体员工对内控管理的理解情况等等。 3.基于企业实际需要的准确定位 所谓“准确”定位的标准就是目标必须与本企业的实际情况相符合,并清晰明了。例如一家小型企业集团的内控战略目标没必要定的太高;实现标

基于内部控制五要素研究海底捞的管理模式

基于部控制五要素研究海底捞的管理模式 摘要:本文从部控制的五个要素出发分析海底捞餐饮股份的管理模式,以揭示海底捞成功的在原因以及其目前所面临的各种风险。 关键词:部控制管理风险 一、引言 部控制是一个主体的董事会、管理层和其他员工实施的,旨在为实现运营、报告和合规目标提供合理保证的过程,是企业管理中不可缺少的一个部分,是企业实现其目标的必要因素。海底捞作为我国目前餐饮行业的前沿品牌,在其发展壮大的过程中无疑离不开正确而有效的部控制,但是随着竞争压力的不断提升,海底捞也需要适时改进部管理以面对风险,巩固其行业地位。 二、部控制五要素 (一)控制环境 控制环境是指为在组织中实施部控制提供基础性的一 系列标准、流程和结构。控制环境主要由组织架构、发展战略、人力资源、社会责任、企业文化等方面构成。 (二)风险评估 风险评估是通过动态和反复的过程,识别和评估影响组

织目标实现的各种风险,能够为管理风险奠定基础。 (三)控制活动 控制活动是指通过政策和程序所确立的行动,旨在协助确保管理层关于降低影响目标实现的风险的措施已经落实。 (四)信息与沟通 信息是主体履行部控制责任以促使目标实现的必要条件,沟通可以使得员工了解控责任及其对实现目标的重要性。沟通包括部沟通和外部沟通两个方面。 (五)监督活动 监督活动是指通过持续评估、单独评估,或者两者结合,以此确认部控制要素是否存在并持续进行。 三、海底捞部控制现状分析 1994年至今,22年间海底捞有一个街边的麻辣烫小摊发展成以经营川味火锅为主、融汇各地火锅特色为一体的在全国有109家门店的大型跨省直营餐饮品牌火锅店。这样一个迅速发展的企业,其部管理的模式更是引起了大家的广泛关注。从部控制的五个要素来分析海底捞的管理模式,主要能得出以下结论: (一)控制环境 1、组织结构 海底捞的组织结构表面上看与其他餐饮企业并没有什 么差别,是简单的职能式结构,但是在权利上,海底捞创新

新COSO内部控制整体框架介绍_王怡心.

41 2013.3中国内部审计 一、背景说明 COSO 委员会于1992年发布了《企业内部控制整体框架》,亦即所谓的旧框架,并于1994年进行了一些内容增补。该框架逐渐得到世界 各国内部控制准则制定机构的认同,成为国际通用的内部控制准则。特别是为遵循美国《萨班斯法案》(Sarbanes-Oxley Act,2002中有关财务报告内部控制的要求,在美国上市公司都以COSO 框架为准则来设计企业内部控制体系,进一步推动了C O S O 内部控制框架在世界各国的广泛应用。台湾于2002年11月18日发布的《公开发行公司建立内部控制制度处理准则》,经过六次修订,最新版本于2011年12月21日发布,也是在借鉴COSO 内部控制框架的基础上,结合台湾内部控制落实条款制订而成的。 自旧框架发布以来,企业的经营环境和管理模式发生巨大变化,新的科技应用和复杂组织结构以及愈加严格的治理要求,促使企业在满足COSO 旧框架的营运、合规、财务报告内部控制目标的基础上,越 来越重视公司治理和风险管理,关 注范围扩及非财务报告的内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也要求加强和完善内部控制准则。 为顺应形势要求,2010年9月COSO 委员会启动了对《企业内部控制整体框架》的审核与更新,并聘请 新C O S O 内部控制整体框架介绍

◆王怡心 普华永道会计师事务所(PWC作为项目计划执行单位,着手新框架的 制订工作。为确保能够广泛代表各方意见,COSO 委员会还成立了一个由实务界、学术界、政府机构和非营 利组织代表们组成的顾问委员会,提供咨询意见。2010年9月至2011年1 月,COSO 委员会对700多个旧框架的使用者进行问卷调查。结果显示,回应意见大部分支持对旧框架进行修订和更新,但不建议重新再造新框架。2011年12月,COSO 委员会发布了新框架的征求意见稿来公开征求意见。 二、新框架的改变重点 C O S O 委员会认为旧框架中关 于内部控制的基本原则和核心要素在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五大要素(控制环境、风险评估、控制活动、信息与沟通和监督、评估内部控制体系有效性的标准以及专业判断的运用等方面与旧框架保持了一致。针对内部控制的认知和实践方面,旧框架的重点在于“知悉与建立”,新框架的重点在于“承诺与落 实” ,请参阅表二的COSO 新旧原则比较表。新框架的变化主要呈现在以下几个方面:(一着重“原则导向”的方法新框架最显著的变化是在旧 框架的基础上,提出基于内部控制五大要素的17项总体原则(请 参阅表一和82个相关属性,其内容为部分延续、部分新增、部分 修改和部分删除。17项总体原则和五项基本要素作为内部控制的基本概念,适用于所有的组织;82

相关文档
最新文档