美国COSO内控框架(2013)的六大变化

coso在其《内部控制—整合框架》(2013),确定的内
部控制目标
COSO在其《内部控制—整合框架》（Internal Control-Integrated Framework，简称ICIF）中确定了五大内部控制目标，分别是：
1. 经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标。

2. 财务报告的可靠性：即确保财务报告的准确性、完整性和及时性，符合会计准则和法规要求。

3. 遵守适用的法律法规：即遵守所有适用的法律、法规、规章和合同协议等，确保企业的合法合规经营。

4. 保障资产安全：即采取措施保护资产，防止资产损失、被盗或被滥用。

5. 保障信息的可靠性：即确保信息完整、准确、可靠和及时，以满足内部和外部信息使用者的需求。

COSO框架中的五大目标是相互关联、相互支持的，确保企业在经营管理过程中保持合规、高效和可靠。

这些目标的实现需要通过设计、执行和维护有效的内部控制系统来实现。

COSO内部控制整体框架简介1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。

此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。

同时，财务报告和相关立法以及监管环境也发生了变革。

值得注意的是，2002年美国颁布了《萨班斯法案》。

其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。

随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。

然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。

为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。

《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。

就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。

尽管《指南》本意上是为了帮助管理层建立和维持财务报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。

《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。

第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。

此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。

第三部分提供了解释性工具以帮助管理层对内部控制进行评估。

一、引言内部控制思想实践一直在不断丰富，内部控制理论也随之得到整合。

内部控制理论和实践的发展大致经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段。

[1]美国反虚假财务报告全国委员会的发起组织委员会（COSO ）1992年发布了经典的《内部控制———整体框架》（简称旧框架）[2]，旨在给公司或组织制定和评价其合规、运营和财务报告三个目标的内部控制体系。

尤其是安然事件爆发后，美国在2002年通过萨班斯———奥克斯利法案（SOX），强制要求上市公司执行财务报告的内部控制，内部控制成为人们关注的热点。

在借鉴COSO 内部控制报告的基础上，我国财政部等五部委也于2008年颁布了《企业内部控制基本规范》。

在市场经济不断发展变化的今天，随着市场竞争压力的加大，内外部风险因素也在发生着变化，这必然需要完善的内部控制体系来保障经济社会的健康发展，可是最近不断对外报出的公司内控失败案例，不禁让人怀疑现在的内部控制体系是否还依然有效，我们的内部控制体系是否需要进一步完善来适应社会的发展变化，基于以上背景的介绍，内部控制新的框架的出台已经是迫在眉睫，COSO 委员会发布了《内部控制———整体框架》，拟于今年12月执行。

本文展开讨论新框架的主要变化，以及从中得到的启示，拟促进我国内部控制发展。

二、COSO 框架的主要变化1.框架结构根据企业运营和业务环境的变化，框架结构也进行了调整，突出了原则导向，拓展了报告目标。

COSO 新框架仍然采用了三个目标和五个要素的形式，三个目标具体是：合规性目标、经营目标和报告目标，前两个目标的内涵没有发生变化，但报告目标的内涵得到丰富和补充。

2.注重以原则为导向的方法基于内部控制五要素，新框架提出了17项原则和有关17项原则的81个属性，是对旧框架的整合和扩展，也是COSO 新框架中最显著的变化。

17项原则分别与81个要素相关联，其中：与控制环境相关的有5项，分别是诚信和道德价值观的承诺、董事会对内控的监督责任、建立组织结构授权和责任、胜任能力的承诺、内控目标责任考核；与风险评估相关有4项，分别是确定相关目标、风险的识别和分析、评估舞弊风险、识别和分析显著变化；与控制活动相关的有3项，分别是选择和开发控制活动、选择和开发技术的通用控制、选择和开发技术的通用控制；与信息和沟通相关的有3项，分别是使用相关信息、内部沟通、外部沟通；与监控活动相关的有2项，分别是实施持续的和/或单独的评估、缺陷的评估和沟通。

2013版COSO内控框架的借鉴与启示作者：金虹来源：《商业会计》2014年第15期摘要：2013年5月14日美国虚假财务报告委员会下属的发起组织委员会正式发布了最新版本的《内部控制——整合框架》。

本文简述了COSO内控框架更新的背景，详细分析了新框架的重要变化，并针对在美上市及非在美上市企业分别提出了完善内控体系的具体建议。

关键词：企业管理 COSO内控框架启示2013年5月14日美国虚假财务报告委员会下属的发起组织委员会（COSO委员会）正式发布了最新版本的《内部控制——整合框架》（Internal Control-Integrated Framework，以下简称“COSO新框架”）。

COSO委员会同时设定了为期一年半的过渡期（2013年5月14日至2014年12月15日），要求使用者在过渡期内应当尽快地转换自己的应用流程和相关文件，以适应COSO新框架。

COSO新框架所替代的原COSO框架随着萨班斯法案404条款的强制推行，目前仍是全球应用最为广泛的内部控制指导框架。

在此背景下，为什么要发布COSO新框架？COSO新框架有哪些重要的更新？对于在美上市以及其他中国企业有什么启示？本文一一探讨。

一、为什么要发布COSO新框架COSO委员会于1992年发布《内部控制——整合框架》（以下简称“COSO旧框架”），获得普遍认可和广泛应用，特别是为在美上市的公司提供了一个主要的使用框架，协助其依据《萨班斯·奥克斯利法案》第404条款的规定，提交有关财务报告内部控制有效性的报告。

时至今日，这一经历时间考验的框架仍然被视为内部控制的设计和评估领域的前沿文件。

COSO委员会发布COSO新框架主要是基于持续优化的精神，考虑到过去二十多年来商业环境已变得大为不同。

例如：对公司治理监督期望的提升；对风险以及基于风险的方法的更多关注；市场和运营全球化成为大势所趋；企业以及组织结构的复杂性不断提高，包括外包和战略供应商；科学技术的巨大进步；法律规范以及各种标准的要求和复杂程度也都大幅提升等。

Internal Control–Integrated Framework内部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives an d sustain andimprove performance.COSO’s Internal Control—I ntegrated Framework(Framework)enables organizations to effectively and efficiently developsystems of internal control that adapt to changing business and operatingenvironments, mitigate risks to acceptable levels, and support so und decisionmaking and governance of the organization.内部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。

Designing and implementing an effective system of intern al control can bechallenging;operating that system effectively and efficiently every day canbe daunting.New and rapidly changing business models,greater use anddependence on technology, increasing regulatory requirements and s crutiny,globalization, and other challenges demand any system of internal control tobe agile in adapting to changes in busin ess,operating and regulatory第 1 页environments.设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

Internal Control–Integrated Framework部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization.部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的部控制整合框架使得组织能够开发有效果且有效率的部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规决策和组织的治理。

Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory第1页environments.设计并实施一套有效的部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

COSO内部控制管理框架（详细版）COSO内部控制管理框架一、控制环境Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。

构成控制环境的要素:(一)董事会及审计委员会董事会是公司内部控制系统的核心，对内部控制而言，一个积极、主动参与的董事会是相当重要的。

●如何评价？1. 董事会或审计委员会是独立于管理层的，这样必要时能够提出有挑战性甚至审查式的问题。

2. 建立董事会专门委员会以特别关注和处理相关重要事件。

3. 董事的知识和经验4. 与内、外部审计师等的会面频率和接触5. 为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。

6. 为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不当行为（例如：监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等）。

7. 监督高级管理人员的薪酬，聘用和解聘高级管理人员。

8. 建立“高层管理基调”9. 董事会或审计委员会依据其发现采取行动，包括特殊调查。

(二)管理者的品行及管理哲学和经营风格①企业承受经营风险的种类②管理者对法规的看法③对企业财务的重视程度④对人力资源的看法●如何评价？1. 接受的业务风险的性质，例如：管理层是否经常介入特别高风险的业务，还是在接受风险方面非常保守。

2. 在关键职能部门的人员流动率，例如：经营、会计和数据处理部门等。

3. 管理层对数据处理和会计职能的态度，以及对财务报告和资产安全可靠性的关心。

4. 高级管理层和业务部门管理层相互交流的频率，特别是双方处于不同的地域时。

5. 对财务报告的态度和行动，包括对采取的会计处理的争议（例如：采取保守的还是激进的会计政策；会计原则是否被滥用了；关键的财务信息没有被披露；或会计记录被粉饰或篡改了）。

(三)管理者的素质管理者往往是内部控制设计和执行的关系人，他的素质(知识、技能、操守、道德观、价值观)影响内部控制的效率和效果。

COSO新框架下完善事业单位内部控制的思考摘要：事业单位加强内部控制有助于提高社会公共服务效率，有助于提高事业单位内部管理效率，有助于保护国有资产的安全完整。

本文首先阐述了COSO新框架，接着论述了COSO新框架下，构建与完善事业单位内部控制的必要性、积极作用及存在的问题，最后针对问题提出了建议，旨在完善事业单位内部控制。

关键词：COSO新框架事业单位内部控制一、COSO新框架概述2013年，COSO委员会推出了新版的《内部控制——整体框架》及其配套说明性文件，它是美国证券交易委员会推荐使用的唯一的内部控制框架。

在我国，它不仅适用于营利性企业，同样适用于非营利性的事业单位。

新框架中明确了内控系统的五大要素：控制环境、风险评估、控制活动、信息与沟通、监督。

COSO新框架对事业单位防止会计信息失真、保护国有资产安全、预防和控制风险等都有很强的指导作用，因此，事业单位要认真研究COSO新框架，结合本单位的实际情况，制定出切实可行的内部控制体系。

（1）控制环境。

是内部控制体系的基础，极大地影响着全员的内控意识，内部控制制度的实施及战略目标的实现。

一般包括：员工的诚信、价值观和能力；事业单位的管理哲学、经营风格、责权利的分配及组织问题等。

（2）风险评估。

是COSO内部控制的独特要素，是指在既定的经营管理目标下，事业单位也同样面临着内外风险，因此要对各种风险进行识别、分析、评估，建立完整的预防和应对机制，将风险尽可能地控制在单位可承受的水平，从而达到降低风险的目的。

（3）控制活动。

贯穿于单位的各个层次、各个部门，是为保障管理层进行管理而制定的必要措施和程序，一般包括授权审批、验证核对、信息管理、绩效评价等。

（4）信息与沟通。

是内部控制体系的桥梁，为管理层提供判断和决策的依据，不仅包括单位内部信息数据生成和自下而上的信息传递，还包括与客户、供应商、大众等的信息交流。

（5）监督。

内部控制的全程都需要有效监督，实施的方式有内部审计和自我评估等。

美国反虚假财务报告委员会下属的发起组织委员会（COSO）于2013年5月14日发布《2013年内部控制——整体框架》及其配套指南。

《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施，提升内控的质量。

COSO原《整体框架》发布于1992年，21年的时间过去了，资本市场和商业环境已经发生了天翻地覆的变化，这也要求《整体框架》有所调整。

据了解，新《整体框架》和原版相比，在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化，据此，在很多业内人士看来，新《内控框架》对于原版内控不应称为改动，而是一种升级。

新《整体框架》相比原版，主要有三大亮点，即更实、更活、更稳。

更实：提供了内控体系建设的原则、要素和工具新《整体框架》与原版相比，细化了董事会及其下设专业委员会的描述，这只是一般性的改动，而且新《整体框架》里提到了很多案例，以增强从业者对内控体系建设的理解。

不过，让专家们更感觉“入眼”的是新《整体框架》的一些实质性变动。

新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上，提供了内控体系建设的原则、要素和工具，具体的变化体现在突出了原则导向，即在原有五要素基础上提出了17个基本原则，在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素，这是本次修改的亮点，使内控体系的评价更加有据可循。

新框架提供了17条具体的原则，这是新框架比较“实”的地方，因为之前版本的内控框架只有五个要素，更像是一个学术模型，具体要怎么做，并没有非常明确的答案。

而这次COSO委员会提到的17条原则都是相对来说更明确的动作，这为企业做内控提供了一套路线图，为企业评价内控提供了一张打分表。

更活：强调企业可有自己的判断新《整体框架》相对于旧框架，在内控建设和评价中，强调依赖于管理层自身的判断，而不是像原来一样要求严格基于证据。

新框架强调董事会、管理层和内审人员拥有“判断力”，这是新框架比较“活”的地方。

coso内部控制框架和风险管理框架COSO内部控制框架和风险管理框架一、介绍COSO内部控制框架和风险管理框架是企业管理中非常重要的概念。

它们不仅能够帮助企业建立健全的内部管理体系，还能够有效地识别、评估和管理风险，为企业的稳健发展提供有力支持。

在本篇文章中，我们将深入探讨COSO内部控制框架和风险管理框架的概念、原则和实践应用，帮助读者更好地理解并应用于实际情况之中。

二、COSO内部控制框架1. 什么是COSO内部控制框架COSO内部控制框架是由美国会计师公会（American Institute of Certified Public Accountants，本人CPA）下属的委员会制定的，旨在帮助企业建立有效的内部控制体系，确保财务报告的可靠性和真实性。

该框架囊括了五大组成部分：控制环境、风险评估、控制活动、信息和沟通、监督活动。

这些组成部分相互作用，构成了企业内部控制体系的整体框架，有助于保障企业的资产安全和财务报告的准确性。

2. COSO内部控制框架的原则COSO内部控制框架主要包括了五大原则：合理保证财务报告可靠性、有效和高效的运营、合规法律法规、保证资产安全和保证信息准确性。

这些原则是建立在企业内部控制的基础上，通过不断的自我评估和改进，帮助企业建立起稳健的内部管理体系，为企业的可持续发展提供了保障。

3. COSO内部控制框架的应用COSO内部控制框架的应用并不仅限于财务报告的可靠性，它同样适用于企业的各个方面，包括风险管理、内部审计、合规性等。

通过合理地应用COSO内部控制框架，企业可以建立起完善的风险管理体系，提高对各类风险的识别和评估能力，有助于企业更加主动地应对内外部环境的变化。

三、风险管理框架1. 什么是风险管理框架风险管理框架是企业用来管理与业务活动相关的风险的一种方法或工具，旨在帮助企业确定、评估和应对各类风险。

风险管理框架通常包括了风险识别、风险评估、风险应对和风险监控等环节，帮助企业建立起全面的风险管理体系。

美国COSO内控框架（2013）的六大变化2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。

2013年5月，COSO正式发布新内控框架。

新COSO内控框架的主要变化新COSO内控框架共包括4部分内容：一是内容摘要，对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。

二是框架内容和附录，包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。

三是评估内部控制系统有效性的解释性工具，为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。

四是外部财务报告内部控制：方案和示例摘要，在准备外部财务报告过程中为应用框架中的要素和原则提供了实际的方案和示例。

新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。

与旧框架相比，新框架的变化主要表现在以下几个方面：细化了内控框架的结构内容。

新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。

五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。

每一项总体原则又由代表其重要特征的多个关注点所支持。

这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内控，以及评估相关原则是否存在和发挥效用。

每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。

扩大了报告目标的范畴。

新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。

在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。

在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。

Internal Control – Integrated Framework内部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control—Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization.内部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。

Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory翻译：@注册内审师environments.设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

版权所有，请勿用于商业用途！我们专业于企业财务及内控管理的价值服务！阅洲研究系列（8）最新2013年COSO框架“17条核心内控原则”：分析与应用冯萌博士上海阅洲咨询执行合伙人2013年5月28日【引言】COSO在2013年5月发布其最新内控框架（以下称“2013 COSO框架”），引起各方关注。

其中一个重大变化是基于原有COSO 五要素提出了17条核心内控原则，从而大幅度增强了五要素的可操作性。

本文拟对此17条内控原则进行分析，对其实际操作、我国对应常见实务问题等内容进行探讨。

12345678注1：2013 COSO框架为了实现较强的普遍适用性，使用组织一词指代包括企业、政府、非盈利机构在内的各类实体。

注2：本文中的“实务点评”主要系笔者在具体项目执行等工作中的主观感受，未进行大样本数据搜集及统计分析，因此仅供参考。

注3：原因如注1，2013 COSO框架采用“董事会”指代所有治理层，即代表所有者权益的管理层级。

注4：授权管理请参看《内部控制授权管理》【/download.asp?n=UpLoadFile/Down/201352947852641.zip】。

注5: 请参看《内控体系“流于形式”：表现与应对》【/download.asp?n=UpLoadFile/Down/201332982078625.zip】。

注6: 典型控制活动请参看《内控七种武器》【/download.asp?n=UpLoadFile/Down/201352948006861.zip】。

注7: 请参看阅洲内控手册成果示例【/download.asp?n=UpLoadFile/Down/2012121533732813.zip】。

注8: 请参看《2012年度中国上市公司内部控制审计报告分析》【/download.asp?n=UpLoadFile/Down/201352956226429.zip】。

（上海阅洲咨询执行合伙人张烨星、高级项目经理张康明对本文亦有贡献。

COSO内部控制新框架下对控制环境的解释2013年5月，COSO发布了内部控制的新框架，继承了旧框架对内部控制五要素的划分，明确地列出了17项原则，每一项原则均与其中一个要素相连，代表这些基本概念都与内部控制的五大要素相关联。

控制环境是五要素之一，新框架提出五项原则与控制环境相关联。

分别为诚信的价值观和道德规范；董事会独立性；管理层的行动；吸引发展保留人才；个人的内控职责。

COSO新框架控制环境诚信和道德观企业文化什么是企业的内部控制？不同机构对此进行过大同小异的定义。

COSO1992年9月发布的《内部控制——整合框架》认为：（企业）内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的效率和效果、财务报告的可靠性、符合适用的法律和法规。

我国财政部等五部委发布的内部控制指引参考了这一概念。

COSO的内部控制框架也成为非常权威性的关于内部控制的规范。

2013年5月，COSO发布了内部控制的新框架，继承、改进旧框架。

新框架在整体层面和具体要素原则层面都有变化。

在整体层面，一是扩大了财务报告目标的范围；二是注重以原则为导向的方法；三是强化了公司治理的作用；四是阐述了企业目标设定与内部控制系统的关系；五是考虑了不同商业模式和组织结构的内部控制；六是描述内部控制要素、目标以及实体之间关系的三维图有较大变化（新三维图如下）。

在具体要素和原则层面上，新框架继承了旧框架对内部控制五要素的划分。

新框架更着重原则（principles）导向。

COSO将1992年版本框架中已有的原则加以规范化，使其更加清晰明确，以助建立有效的内部控制及评估其有效性。

1992年版本框架隐晦地提出了内部控制的核心原则，而2013版本框架则明确地列出了17项原则，每一项原则均与其中一个要素相连，代表这些基本概念都与内部控制的五大要素相关联。

如三维图所示，内部控制五要素第一为“控制环境（control environment）”。

附件一:COSO内部控制框架资料一、COSO内部控制框架的产生和发展过程 (2)二、COSO内部控制框架下内控制度定义 (3)1、COSO内控框架对内部控制的定义 (3)2、对内部控制定义的理解 (3)3、COSO内部控制框架的组成要素 (4)三、COSO内部控制框架五要素 (6)1、控制环境 (6)（1）员工的诚信和道德价值观 (6)（2）胜任能力 (8)（3）董事会和审计委员会 (8)（4）管理层的经营理念和经营风格 (9)（5）组织结构 (9)（6）管理层授权和职责分工 (10)（7）人力资源政策和措施 (10)2、风险评估 (10)（1）风险及风险评估的定义 (10)（2）如何进行风险评估 (11)3、控制活动 (13)（1）控制活动类型 (13)（2）控制活动的要素—政策和程序 (14)（3）控制活动应和风险评估相结合 (14)（4）信息系统的控制 (14)4、信息和沟通 (15)（1）信息 (15)（2）沟通 (16)5、监控 (18)（1）持续性监控行为 (18)（2）独立评估 (19)四、内部控制的局限性 (21)五、员工在内部控制中的作用与责任 (22)六、小结 (23)一、COSO内部控制框架的产生和发展过程不同的人对内部控制有不同的理解。

一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监控、也可能是管理手册、规章制度等。

这种理解没有错，但不全面。

按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。

现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括控制环境、风险分析、控制活动、信息与沟通、监控五大要素。

内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。

在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为控制环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面要讨论的COSO 内部控制框架。

内部控制整合框架执行纲要内部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。

设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。

一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。

管理层和董事会注1通过其判断来决定多少控制是充分的。

管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。

管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。

注1：本框架使用“董事会”一词，泛指治理层，包括：董事会，理事会，一般合伙人，所有者和监事会等。

本框架在内部控制方面，对管理层，董事会，外部的利益相关者和其他与组织产生互动关系的相关方有所帮助，且不会过分死板；而这有赖于对内部控制体系构成要素的理解，有赖于对内部控制体系能够有效实施的时机的洞见。

对于管理层和董事会，本框架提供：●一套工具，将内部控制推广到各类型的组织，无论行业或法律形式，无论在组织层面，经营单元层面或职能层面；●一种原则导向的方法，能够灵活设计，实施和推进内部控制，并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用；●一些要求，具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用，如何在一起产生协调作用；●一套工具，识别和分析风险，开发和管理合适的风险应对措施将风险控制在可接受的水平，且更关注反舞弊措施；●一个机会，将基于财务报告的内部控制扩大应用范围，满足各种其他的报告、运营和遵循目标；●一个机会，清理那些在降低风险方面价值不大的无效，冗余和低效的控制。