内部控制整合框架—— COSO的内控魔方
COSO内部控制框架介绍
COSO部控制框架2007-11-16 15:30一、背景介绍部控制是什么?不同的人有不同的理解。
一般的人把部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是部监督、也可能是管理手册、规章制度等。
这种理解没有错,但不全面。
按照现代的控理论,这些仅仅是部控制的一部分,而不是全部。
现代控理论认为,部控制是一个系统化的框架,它建立在风险管理的基础上,包括控环境、风险分析、控活动、信息与沟通、监督五大要素。
〔一〕COSO部控制框架的产生和发展过程部控制理论的发展是一个逐步演变的过程,大致可以区分为部牵制、部控制制度、部控制结构与部控制整体框架四个阶段。
在部牵制阶段,账目间的相互核对是控的主要容,设定岗位分离是控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法;在部控制制度阶段,部控制的重点是建立健全规章制度;在部控制结构阶段,部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为控环境、会计制度和控制程序三个方面;部控制整体框架阶段,就是我们下面将要讨论的COSO部控制框架。
在美国,20世纪70年代中期,与部控制有关的活动大部分集中在制度的设计和审计方面,重在改进部控制制度和方法。
1973年至1976年对水门事件〔美国公司进行XX的国捐款和贿赂外国政府官员〕的调查使得立法机关与行政机关开始注意到部控制问题。
针对调查的结果,美国国会于1979年通过了《反国外贿赂法》〔简称FCPA〕。
FCPA除了规定了关于反贿赂的条款外,还规定了与会计及部控制有关的条款。
因此美国许多机构都加强了对部控制的研究并提出许多建议。
1985年,由美国注册会计师协会、会计协会、财务主管协会、部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。
两年后,该委员会提出了很多有价值的建议。
基于该委员会的建议,其赞助机构成立COSO委员会,专门研究部控制问题。
COSO内部控制框架介绍
COSO介绍COSO是全国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写。
1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。
两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。
1992年9月,COSO 委员会发布《内部控制整合框架》,简称COSO报告,1994年进行了增补,中国的《企业内部控制配套指引》与此相似。
COSO框架1)COSO内部控制—整体框架反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。
1992年9月,COSO委员会提出了报告《内部控制———整体框架》(1994年进行了增补),即COSO内部控制框架。
COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。
COSO框架提出五个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这五个组成要素。
因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素:控制环境:控制环境是内部控制体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。
控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。
控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。
COSO企业内部控制整体框架
COSO企业内部控制整体框架引言:企业内部控制是指企业为实现目标,通过内部控制环境、风险评估、控制活动、信息与沟通、监控等要素的有机组合,以合理的成本,为企业提供合理保证的一系列制度、方法和措施。
在现代企业管理中,企业内部控制起到了至关重要的作用,不仅有助于实现企业经营目标,提高效益,还可以预防风险,加强监管,提升整体竞争力。
COSO企业内部控制整体框架是国际上公认的一种内部控制管理模型,本文将对其进行详细的阐述。
一、内部控制环境内部控制环境是企业内部控制的基础,包括企业文化、管理团队、组织结构等要素。
首先,企业应建立积极的企业文化,强调诚实、诚信、责任,使员工形成正确的价值观念,从而使控制环境更加稳定。
其次,企业应组建一支高效的管理团队,确保内部控制措施得到有效监督和执行。
第三,合理的组织结构和授权机制可以确保企业内部的职责分工明确,权责一致,减少内部冲突和风险。
二、风险评估风险评估是企业内部控制框架中的重要环节,通过识别和评估风险,可以为企业提供有效的控制措施。
企业应设立专门的风险管理部门或委员会负责风险评估工作,及时掌握和分析外部和内部风险,制定相应的应对策略。
在风险评估过程中,企业还应注重风险的量化和定性分析,确定风险的发生概率和影响程度,为内部控制策略的制定提供科学依据。
三、控制活动控制活动是企业内部控制的核心环节,包括管理控制和操作控制。
管理控制主要是指企业管理层通过内部控制措施,确保企业务实现策略目标的过程。
操作控制主要是指企业内部各个岗位的员工在日常工作中采取的各项控制措施。
企业应根据实际情况,合理设定控制活动,确保企业内部各个环节的有效管控。
此外,企业还应建立完善的内部审计和风险监控机制,及时发现和纠正内部控制缺陷。
四、信息与沟通信息与沟通是企业内部控制的关键环节,包括信息采集和信息传递等方面。
企业应建立健全的信息系统,确保信息安全、准确、及时地采集和传递。
此外,企业还应加强内外部信息交流和沟通,形成信息共享机制,有效防范和应对风险。
COSO内部控制整合框架解读
COSO内部控制整合框架解读2篇COSO内部控制整合框架解读(上)内部控制是企业管理中非常重要的一个环节,对于保障企业的财务安全、有效运作和持续发展具有重要意义。
而COSO(Committee of Sponsoring Organizations of the Treadway Commission)的内部控制整合框架为企业提供了一个全面而系统的内部控制指南,被广泛应用于各个行业和企业。
本文将对COSO内部控制整合框架进行解读,帮助读者更好地理解和应用于实践。
COSO内部控制整合框架包含了五个组件,分别是控制环境、风险评估、控制活动、信息与沟通以及监督。
这些组件相互之间联系紧密,构成了一个完整的内部控制体系。
首先,控制环境是内部控制的基础,它涉及到企业的内部文化、道德伦理、风险意识和管理风格。
在建立健全的控制环境时,企业需要设立明确的目标,并向各级人员传达这些目标的重要性和整体意义,以激发员工的积极性和责任心。
此外,企业还应制定相关政策和程序,并建立有效的内部控制沟通机制,确保员工能够理解和遵循内部控制要求。
风险评估是COSO内部控制整合框架的第二个组件。
在风险评估过程中,企业需要确定可能影响实现目标的各种内部和外部风险,并进行风险评估和分类。
通过对风险的评估,企业可以制定相应的控制措施和应对策略,减小风险带来的影响。
此外,风险评估还可以帮助企业优化资源配置,提高运作效率,促进持续发展。
控制活动是COSO内部控制整合框架的核心组件。
控制活动涉及到制定和实施各种控制措施,以确保企业运作符合预期目标并遵守相关法律法规。
在制定控制措施时,企业需要根据风险评估的结果确定相应的控制策略,并确保控制措施的合理性、有效性和可操作性。
此外,企业还应建立相应的制度和机制来监督和评估控制措施的执行情况,及时发现和纠正问题。
信息与沟通是COSO内部控制整合框架的第四个组件。
信息和沟通的有效性对于内部控制的实施和运作至关重要。
COSO框架–内部控制框架
COSO框架–内部控制框架COSO框架-内部控制框架在当今各行业中,内部控制是保障企业规范运营和权益保护的重要手段。
COSO框架(内部控制—整体框架)是企业内部控制的全球公认标准,旨在帮助企业制定和维护一个有效的内部控制系统。
本文将深入探讨COSO框架的核心组成、实施要点以及一系列不同产业应用的案例分析。
一、COSO框架介绍COSO框架是一个基于企业目标的全面内部控制环境框架,由美国国际专业会计师协会(AICPA)旗下的企业管理机构COSO(内部控制-整体框架)提出并开发。
该框架侧重于企业内部控制的重要性,以及它们如何通过制定和执行一系列目标导向的控制措施来提高运营效率和减少风险。
二、COSO框架的核心组成1. 控制环境控制环境是内部控制的基础,是指领导层对内部控制的态度、原则和理念,并通过明确的组织结构、职责分配以及道德和道德规范的建立来确保内部控制的有效执行。
2. 风险评估风险评估是指企业确定和分析存在的内部和外部风险,以便制定适当的控制目标和措施。
通过对风险的全面评估,企业可以识别潜在的威胁并采取相应的预防措施。
3. 控制活动控制活动是指制定和执行一系列控制措施,以确保事务按照企业的政策和程序进行。
这包括审计、审批、核查和处理等一系列的过程,以及相关的记录和报告机制。
4. 信息与沟通信息与沟通是指确保内部和外部信息在企业内部流动的有效和透明。
这包括确保准确完整的信息,以及及时有效的内部和外部沟通机制。
5. 监督监督是指领导层监督内部控制的有效性和合规性。
这包括内部审计、独立董事会以及其他内部和外部监督机构。
三、COSO框架的实施要点1. 领导层的参与COSO框架的实施需要企业领导层的参与和支持,他们应当树立榜样,传递内部控制的重要性,并在组织内部制定明确的控制目标。
2. 内部控制意识的提升企业应该加强对员工的内部控制培训和教育,提高员工的风险意识和控制意识。
通过定期的内部控制培训和沟通,员工能够更好地理解和遵守内部控制制度。
COSO内部控制整体框架简介
COSO内部控制整体框架简介1992年美国反虚假财务报告委员会管理组织(COSO)发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。
此后,《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。
同时,财务报告和相关立法以及监管环境也发生了变革。
值得注意的是,2002年美国颁布了《萨班斯法案》。
其中,《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。
随着情况的发展和时间的推移,这项框架到今天仍然是有效的,遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。
然而,较小型公众公司在面对执行第404号条款的挑战时,承受了意料之外的成本。
为了指导较小型公众公司执行第404条款,美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》(以下简称《指南》)。
《指南》并非是对《内部控制—综合框架》的取代亦或修改,而是就如何应用提供了指导。
就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面,《指南》为较小型公众公司提供了指导(当然《指南》也同样适用于大型公司)。
尽管《指南》本意上是为了帮助管理层建立和维持财务报告内部控制的有效性而制定的,但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。
《指南》分为三部分,第一部分是概要,向公司董事会和高层管理人员介绍了整个文件的主要内容。
第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点,其中描述了公司的特征,这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。
此外,还从《内部控制—综合框架》中提炼了20个基本原则,并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。
第三部分提供了解释性工具以帮助管理层对内部控制进行评估。
COSO内部控制框架介绍
COSO介绍COSO是全国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Treadway Commission)的英文缩写。
1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。
两年后,基于该委员会的建议,其赞助机构成立COSO委员会,专门研究内部控制问题。
1992年9月,COSO 委员会发布《内部控制整合框架》,简称COSO报告,1994年进行了增补,中国的《企业内部控制配套指引》与此相似。
COSO框架1)COSO内部控制—整体框架反虚假财务报告委员会于1987年签署了报告,号召研究并制定一个统一的内部控制框架。
1992年9月,COSO委员会提出了报告《内部控制———整体框架》(1994年进行了增补),即COSO内部控制框架。
COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准,是因为:虽然COSO内部控制框架并非唯一的内部控制框架,但却是美国证券交易委员会唯一推荐使用的内部控制框架,《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。
COSO框架提出五个互相关联的组成要素,根据公司的规模和结构,公司可采用不同的方式来实施这些组成要素,但是所有公司都必须涉及这五个组成要素。
因此,在对内部控制进行评估时,管理层必须考虑以下每个组成要素:控制环境:控制环境是内部控制体系的基础,是有效实施内部控制的保障,直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。
控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。
控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。
COSO内部控制新框架
内部控制框架进一步体现时代感:
信息技术已经从用于处 理批量交易旳庞大旳独 立主机环境,发展为高 度复杂,分散且移动旳 应用程序,不但涉及实 时活动,还有横跨众多 系统,组织和流程,这 科技会影响五要素旳实 时方式。
主要涉及董事会及其下 属委员会,如审计委员 会,薪酬委员会和治理 委员会,强调董事会监 督对有效控制旳至关主 要性
新框架有关无比旳论述 明显增多,并以将舞弊 单独作为内部控制旳一 项原则来分析。
应用前景
从1992年版本框架过渡到新框架
COSO董事会表达,使用者应该按其详细情形,在可行旳 情况下尽 开始应用2023年版本旳新框架来开展有关工 作和文件统计。COSO董事会以为,原始版本框架所涵盖 旳主要概念和原则,基本上颇为完善且已获市场普遍认可, 所以使用者在2023年12月15日之前依然可继续使用原始 旳1992年框架,在该日期后,旧框架将作废,被新框架 取代。
上述问题都阐明企业对内部控制框架旳预期作用越来越 高,对其能防范和监测舞弊旳要求不断提升,在这么旳环境 下,对COSO旳修订势在必行。
主要内容
对新框架进行高度总结,含内部控制旳定义、 目旳、原则及其有效性和不足,使用对象为首 席执行官、管理层董事会和监管者。
含内控旳构成部分、原则和关注点,为管理层 在设计、实施内控和评估其有效性提供指导。
主要内容
评估内控有消息旳原则和 措施基本保持不变,对于内部控制有 效性旳评估依然是基于原则旳措施, 根据五要素来评估,也就是说一种有 效旳,能够确保控制目旳实现旳内部 控制系统,必须确保五要素全部存在, 发挥效用且共同运营。
旧COSO提出旳自上而下,基于 风险旳评价原则、流程及控制旳辨认 方式、风险及控制矩阵、含穿行测试、 控制测试在内旳评估手段、控制缺陷 辨认、评价及汇总模式等职业判断都 保持不变。
coso内部控制模型
COSO内部控制模型一、简介COSO内部控制模型是一种被广泛应用的内部控制框架,它为组织提供了一个全面和系统的方法来评估、设计和执行其内部控制。
该模型由美国内部审计协会(The Institute of Internal Auditors)和美国注册会计师协会(The American Institute of Certified Public Accountants)联合开发,并于1992年正式发布。
内部控制是组织内设立的一种系统,旨在帮助组织达到其目标,保护其资源,并确保合规性。
COSO模型则提供了一种指导和评估内部控制的框架,帮助组织确保其经营和财务报告的可靠性。
二、COSO内部控制模型的五个元素COSO内部控制模型由五个相互依赖的元素组成,这些元素共同工作,以确保组织的内部控制体系有效运行。
1. 控制环境控制环境是基于组织的价值观、伦理标准和道德观念建立的基础。
它涉及组织的领导、管理层和员工对内部控制的态度和重视程度。
在这个元素中,组织需要设定明确的目标、建立健全的组织结构、聘请合适的员工以及建立适当的培训和激励机制。
2. 风险评估风险评估是确定组织内部和外部的风险,并建立合适的控制措施来管理这些风险。
这个元素要求组织能够识别和分析潜在的威胁,并为其设置适当的防范措施。
风险评估的过程包括风险识别、风险分析、风险评估、风险应对等步骤。
3. 控制活动控制活动是指为实现组织目标而采取的各种控制措施和程序。
它包括控制策略的制定、控制的设计、控制的执行和监督等方面。
控制活动的目的是确保组织内各个业务和支持部门的运作符合预期,并防止潜在的错误和欺诈行为。
4. 信息和沟通信息和沟通是支持内部控制系统运作的基础。
它包括收集、处理、存储和传递信息的过程,以及确保信息能够及时、准确地传达到相关方面。
组织需要建立适当的信息系统,并确保信息的可靠性、完整性和保密性。
5. 监督监督是对内部控制体系的评估和监控过程。
coso内部控制模型介绍
COSO内部控制模型介绍1. 简介COSO(Committee of Sponsoring Organizations of the Treadway Commission)内部控制模型是一个由五个专业组织合作开发的框架,用于帮助组织设计、实施和评估内部控制系统。
该模型基于国际广泛接受的标准,被视为内部控制领域的权威参考。
2. COSO内部控制模型的五个组成要素COSO内部控制模型的核心是五个互相关联的组成要素,每个要素都提供了实现有效内部控制的关键指导。
2.1 控制环境(Control Environment)控制环境是内部控制系统的基础,它涉及到管理层的道德价值观、行为规范和组织文化。
在这个要素中,关注的是公司的整体风险和内部控制文化,建立一个良好的控制环境有助于确保内部控制的有效运作。
2.2 风险评估(Risk Assessment)风险评估的目的是识别和评估组织面临的内外部风险,以建立相应的内部控制措施。
在此过程中,组织需要识别风险、评估其影响和概率,并确定应对措施。
风险评估是制定和优化内部控制策略的基础。
2.3 控制活动(Control Activities)控制活动是实现内部控制目标的具体措施和政策。
控制活动可以包括审批程序、安全性措施、数据验证、进程监控等。
通过实施适当的控制活动,组织可以最大程度地减少风险,并确保业务目标的实现。
2.4 信息与沟通(Information and Communication)信息和沟通作为内部控制的重要组成部分,确保内部和外部信息在组织内部顺畅传播。
有效的信息和沟通机制有助于保证组织内部控制系统的完整性和有效性,并支持风险评估、控制活动和监督的开展。
2.5 监督(Monitoring)监督是持续评估内部控制系统运作效果的过程。
组织应该建立监督机制,包括内部审核、风险评估和问题处理等,以确保内部控制系统的持续有效性,并及时纠正发现的问题。
3. COSO内部控制模型的实施过程3.1 环境评估在实施COSO内部控制模型之前,组织需要进行环境评估,了解当前的内控环境和现有的内控程序。
内部控制整合框架—— COSO的内控魔方
内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》(财会20087【】号文) 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》,包括18项《企业内部控制应用指引》,以及《企业内部控制评价指引》和《企业内部控制审计指引》(财会【2010】11号文)关于COSOCOSO(The Committee ofSponsoring Organizations ofthe Treadway Commission )the Treadway Commission是由左列五个民间机构联合发起的组织,旨在提供企业风险管理和内部控制的思想指导和管理架构。
COSO内部控制整合框架Framework)Integrated Framework (ICIF:InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表(正式发布时间已推迟)201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义:内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程,这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行(操作)的有效和效率1. 2.报告的可靠性3.合规性(符合法律和监管要求)●内部控制的涵义:1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的,不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标(运行操作、报告和合规性)配套5.内控要与企业的组织结构相适应内部控制的作用(价值主张)1.灵活性:应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心:将风险调整到3.清晰性:提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方:内控目标内控要素及其关系内控魔方:内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别:非财务报告●内控要素的区别:排序变化●企业结构的区别:企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版(草案)四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险,在合适的可接受水平管理与内控目标有关的风险提升企业运行效率,降低成本内部控制原则:控制的环境原则内部控制原则控制的环境原则(共五条原则及21个相关属性)I.企业证明自己关于商业诚信和伦理价值的承诺(4个相关属性)II.董事会证明自己对于内部控制与管理层相独立的细心关注(5个相关属性)III.在董事会的关注下,管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统(包括内控手册和相配的IT 系统)(3个相关属性)IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺(4个相关属性)V 企业为实现内控目标具有强制性责任(涉及V.合规性要求)(5个相关属性)内部控制原则:风险的评估原则内部控制原则风险的评估原则(共四条原则及19个相关属性)VI.企业以足够的清晰度区分与相关内控目标有关的风险(6个相关属性)VII.企业级地辨识和分析为实现内控目标的风险,以此作为管理风险的基础(5个相关属性)VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误(5个相关属性)IX.企业要辨识和评估可能显著影响内控系统的变化(3个相关属性)☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现,例如:-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关,例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标,如:收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告:符合监管、会计准则等标准-外部非财务报告:适当性,即既不过于详细也不外部非财务报告适当性,即既不过于详细也不过于简略;反映企业活动;符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现,例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系,例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性,与市场、定价、税收、环保、劳动保护有关,诸如:-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求,企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI :企业以足够:企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险(的风险(6个相关属性)运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII :企业级地辨识和分析为实现内控目标的风险,以此作为管理风险目标的风险,以此作为管理风险的基础(的基础(5个相关属性)7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标,在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理:接受风险、规避风险、降低风险、或者分担风险基本原则VIII :企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误(的失误(5个相关个相关属性)属性)考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式:资产可能的损失、报告可能的疏漏,以及腐败行为可能导致的后果,等等13.考虑各项风险要素:这些风险因素会影响到资产的重大损失,也会影响到有关的运行、报告产的大损失,会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产,错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性:评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX :企业要辨识和评估可能显著影响内控系统的变化内控系统的变化((3个相关个相关属性)属性)17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化:考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现,以及企业业务环境的重大变化,等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动,不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则:控制的活动原则(共三条原则及16个相关属性)X.企业要挑选和开发这样的控制活动,此类活动能够为实现内控目标缓解风险至可接受水平做出贡献(内控手册制订政策表)(6个相关属性)企业要挑选和开发为实现内控目标的技术支持手XI.段(人工的和/或自动的)(4个相关属性)企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策,使内控政策清晰地建立所预期的效果和相关流程(流程的风险点和相应的控制政策)(6个相关属性)内部控制原则:信息与沟通的原则(共三条原则及14个相关属性)XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息(5个相关属性)XIV.企业要在内部沟通信息,这些信息对于支持内控其他要素是必须的,包括内控的目标和责任信息(4他要素是必须的包括内控的标和责任信息个相关属性)XV.企业也要与外部有关方面进行沟通,此类沟通会影响到内控的其他要素(5个相关属性)内部控制原则:监控的活动原则内部控制原则监控的活动原则(共二条原则及11个相关属性)XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估,以确认内控各要素的功能是否正常(7个相关属性)旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷,企业要及时地予以评估并与有关责任方面沟通,以便立即采取改正活动,包括报告高管层和董事会(4个相关属性)基本原则概述(新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性))I证明关于商业诚信和伦理的承诺(控制的环境(21个相关属性)I.4个相关属性)II.细心关注的责任(5个相关属性)III.构建结构、授权与问责系统(3个相关属性)IV.证明有竞争力的人力资源开发(4个相关属性)风险的评估(19个相关属性)V.强制性责任(5个相关属性)VI.分辨相关内控目标(6个相关属性)VII.辨识和分析风险(5个相关属性)VIII控制的活动(16个相关属性)VIII.评估失误的风险(5个相关属性)IX.辨识评估变化(3个相关属性)X.挑选开发控制活动(6个相关属性)信息与沟通(14个相关属性)XI.挑选开发内控的技术手段(4个相关属性)XII.制订内控政策和流程(6个相关属性)XIII.利用有关信息(5个相关属性)监控的活动(11个相关属性)XIV.内部沟通(4个相关属性)XV.外部沟通(5个相关属性)XVI.综合和/或分开的评估(7个相关属性)XVII.评估和报告内控失误(4个相关属性)内部控制的有效性1.内部控制的有效性和合规性:有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障,旦出现不合规行为,就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估,要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标(企业运行操作、报告和合规性)都是有效的,董事会和管理层就可认为相对于自己的企业结构获得了合理的保障:•在企业的业务范围内,企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素,内控基本原则由与之相关的属性来支持,评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断,判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会:指导和要求管理层开发内控系统●高管层:CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员:各层级经理及有关人员各负其责●内审部门:在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师:除了财务报告的可靠性外还要通过关注内控的●外部审计师:除了财务报告的可靠性外,还要通过关注内控的基本原则和要素来评估内控系统(也可以采用评估工具)●监管部门:根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织:提供内控系统运行的指导和报告,帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构:帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡,实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失,而且要关注非预期损失,非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿(risk appetite):企业在一个宽广的水平上,为推进价值创造愿意接受的风险的量(COSO的定义)●风险容忍(risk tolerance):风险表示为价值的变动,风险容忍是可接受的变动范围(COSO的变动风险容忍是可接受的变动范围(定义)风险偏好(risk preference)人们选择接受较多●risk preference):人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近,在金融理论中,风险偏好用效用函数的形态来刻画。
COSO框架–内部控制框架
COSO框架–内部控制框架随着企业经营环境的日益复杂和竞争的激烈,内部控制越来越成为企业管理中不可或缺的一部分。
COSO框架(COSO Framework)是一个广泛使用的内部控制框架,被认为是全球内部控制最重要的参考模型之一。
一、什么是内部控制框架内部控制框架是对企业内部环境、目标和风险的整体规划和管理。
它包括制定和实施适当的控制措施,以确保企业的运营有效性和财务报告的准确性。
COSO框架是一个认为内部控制是一种过程的框架。
它由“控制环境”、“风险评估”、“控制活动”、“信息与沟通”和“监督”五个要素组成。
这五个要素相互关联,并共同作用于企业的内部控制。
二、COSO框架的五个要素1. 控制环境控制环境是企业内部控制的基础。
它包括企业的核心价值观、道德操守、管理层对内部控制的态度和行为等方面。
建立良好的控制环境可以为企业提供内部控制的坚实基础。
2. 风险评估风险评估是指企业对内部和外部环境中可能对目标产生负面影响的风险进行识别和评估的过程。
通过风险评估,企业可以了解并管理自身所面对的风险,确保目标的实现。
3. 控制活动控制活动是指企业建立的控制措施和程序。
通过制定和执行适当的控制活动,企业可以有效地预防和纠正错误、提高业务运营的效率和有效性。
4. 信息与沟通信息与沟通是指企业内部控制中传递和处理信息的过程。
它包括信息的收集、处理、记录和传递,以及沟通与交流。
有效的信息与沟通可以确保信息的及时准确和流动畅通。
5. 监督监督是指对企业内部控制的持续评估和监督。
它包括内部审核、内部控制自我评估以及外部审计等方面。
监督过程可以发现潜在的问题和改进机会,并为企业提供持续改进和发展的动力。
三、COSO框架的应用价值COSO框架作为一个全面而系统的内部控制参考模型,具有以下应用价值:1. 促进企业内部控制的规范化和标准化。
COSO框架可以帮助企业建立统一的内部控制体系,提高内部控制的质量和一致性。
2. 为企业管理者提供决策和评估的依据。
COSO内部控制整体框架内容、理论贡献和借鉴
摘要:美国COSO委员会潜心研究多年提出了内部控制整体框架理论,给理论界、实务界以广泛、深刻的启示,对我国仍处在改革进程之中的大多数企业来说,其理论导向作用是不言而喻的。
企业应强调对业务流程的动态控制,培育先进的环境文化,有效评估风险状况,建立有效的信息传导与沟通机制,加强监督,强调控制活动的效率、效果,这应该是我国企业完善内部控制手段的有效途径。
关键词:内部控制;COSO报告;风险评估中图分类号:C931.6文献标识码:A文章编号:1009-6116(2007)02-71-04美国COSO委员会(Committee of SponsoringOrganizations of the Tread-way Commission)提出的COSO报告极大地促进和丰富了内部控制实践活动。
它强调企业应加强对业务流程的动态控制,培育先进的企业内部控制环境文化,有效评估风险状况,建立科学的信息传导与沟通机制,加强监督,强调控制活动的效率、效果。
它将内部控制的理论和实践都向前推进了一大步,给理论界、实业界以广泛、深刻的启示,对我国企业完善内部控制有广泛而深刻的借鉴价值。
一、COSO报告内部框架综述(一)内部控制的定义和目标COSO是由美国反对虚假财务报告委员会(NCFR)发起的,它是一个旨在通过商业道德、有效的内部控制和公司治理结构以改善财务报告的美国民间组织。
1992年,COSO委员会提出报告《内部控制一整体框架》(Internal Control-Integrat-ed Framework),1994年进行了增补。
该报告对内部控制作出如下定义:内部控制是由企业董事会、经理层和其他员工实施的,旨在为下列目标提供合理保证:(1)营运的效率和效果;(2)财务报告的可靠性;(3)相关法令的遵循性。
这个定义明确了内部控制的三大目标。
1.合法性目标。
设立内部控制的目的就是要企业合法经营,要求企业遵守现行法规是保证市场经济秩序有条不紊进行的前提,也是企业安全生存和健康发展的需要。
COSO企业内部控制框架
COSO企业内部控制框架
企业内部控制是指企业通过建立有效的内部控制体系,确保企业目标的实现且防范风险的能力。
COSO企业内部控制框架包括五个互相关联的组件:
1. 控制环境:指企业内部的控制文化,包括企业核心价值观、道德标准和管理风险的承诺。
这一组件为其他组件的有效运行提供基础。
2. 风险评估:指企业对风险的识别、评估和处理。
企业需要确定有哪些风险可能影响实现其目标,并为这些风险设定相应的控制措施。
3. 控制活动:指企业为管理风险而采取的具体措施和活动。
控制活动旨在确保企业内部流程和操作的有效性。
4. 信息与沟通:指企业所需的信息和沟通渠道,以帮助决策者
获取必要的信息并将信息传达到相关方。
信息与沟通应准确、及时、可靠和安全。
5. 监控活动:指企业对内部控制的评估和监督。
这包括内部和
外部评审、管理层的监督和自我评估等活动。
COSO企业内部控制框架的一大优点是其适用性广泛。
无论企
业规模大小和所处行业,该框架都可用于指导企业建立和改善内部
控制体系。
有效的内部控制可以帮助企业改善运营效率、减少风险和防范
欺诈行为。
COSO企业内部控制框架提供了一套结构化的方法,帮
助企业实现这些目标。
需要注意的是,COSO企业内部控制框架作为一个指导性框架,并不包含具体的操作细节。
企业在实施和评价内部控制时,需要将
框架与具体业务和情况相结合,确保内部控制的有效性和适用性。
参考来源:COSO企业内部控制框架原版文档。
COSO内部控制管理框架(详细版)
COSO内部控制管理框架(详细版)COSO内部控制管理框架一、控制环境Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。
构成控制环境的要素:(一)董事会及审计委员会董事会是公司内部控制系统的核心,对内部控制而言,一个积极、主动参与的董事会是相当重要的。
●如何评价?1. 董事会或审计委员会是独立于管理层的,这样必要时能够提出有挑战性甚至审查式的问题。
2. 建立董事会专门委员会以特别关注和处理相关重要事件。
3. 董事的知识和经验4. 与内、外部审计师等的会面频率和接触5. 为董事会或专门委员会委员提供信息的及时性和充分性,以便及时监督管理层的目标和战略、公司的财务状况和经营成果、以及重大协议的条款等。
6. 为董事会或审计委员会提供充分、及时的信息,以便及时获知敏感信息、调查、不当行为(例如:监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等)。
7. 监督高级管理人员的薪酬,聘用和解聘高级管理人员。
8. 建立“高层管理基调”9. 董事会或审计委员会依据其发现采取行动,包括特殊调查。
(二)管理者的品行及管理哲学和经营风格①企业承受经营风险的种类②管理者对法规的看法③对企业财务的重视程度④对人力资源的看法●如何评价?1. 接受的业务风险的性质,例如:管理层是否经常介入特别高风险的业务,还是在接受风险方面非常保守。
2. 在关键职能部门的人员流动率,例如:经营、会计和数据处理部门等。
3. 管理层对数据处理和会计职能的态度,以及对财务报告和资产安全可靠性的关心。
4. 高级管理层和业务部门管理层相互交流的频率,特别是双方处于不同的地域时。
5. 对财务报告的态度和行动,包括对采取的会计处理的争议(例如:采取保守的还是激进的会计政策;会计原则是否被滥用了;关键的财务信息没有被披露;或会计记录被粉饰或篡改了)。
(三)管理者的素质管理者往往是内部控制设计和执行的关系人,他的素质(知识、技能、操守、道德观、价值观)影响内部控制的效率和效果。
COSO_内部控制整合框架_全文
COSO 内部控制整合框架目录管理层概述 1 总体构架11 1定义13 2控制环境23 3风险评估33 4控制活动49 5信息和沟通59 6监控69 7内部控制的局限79 8作用和职责83 附录A学习本文的相关事项及背景知识93 B方法体系99 C对定义的看法和使用105 D反馈意见111 E术语119内部控制——整体构架管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。
内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。
内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。
内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。
鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。
内部控制日益被视为诸多潜在问题的解决方案。
什么是内部控制内部控制对不同的人有不同的含义。
这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。
由此造成的误解和期望值的差异往往给企业带来问题。
一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。
本文是针对管理层的需要和期望而写的。
本文对内部控制的定义服务于以下目的:●确立一个满足各方需要通用的定义。
●提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。
内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:●经营的效果和效率●财务报告的可靠性●法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。
第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。
COSO内部控制整体框架
COSO内部控制整体框架水门事件后,内部控制理论引起了美国各界的广泛重视。
然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。
90年代初成立的COSO(Committee of Sponsoring Organization),开创性地提出了一套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。
一、COSO内部控制整体框架的诞生1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。
美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。
随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。
财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。
美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。
1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting),即tread-way委员会。
Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。
Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。
因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。
1992年,COSO提出了《内部控制整体框架》报告,并在1994年进行了增补。
二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。
报告中提出的观点,超越了内控思想的以往理论枣内部牵制、内部控制制度和内部控制结构等理论。
第二章COSO内部控制整合框架
财富 物资的目的。 铁面无私:借公家的名义或力气,谋取公家的利益。 瞒天过海:将作弊的理想真相隐藏在日常的经济业务活动中,使
人不 易疑心和发现,甚至发生错觉,以到达贪污的目的。
〔一〕如何防范罕见的作弊〔续〕
国有企业的战略方向
市场 继续开展集成性的
产品与效劳
战略性推销
电子商务 高效的运作机制
客户 关系管理
战略一 强化高效运营机制
明白集团/控股公司与子公司/下属公司的责任与权利关 系
树立可以实时提供管理和财务信息的ERP系统 降低企业运营本钱
战略二 树立客户关系管理系统
树立客户关系管理系统: 树立企业客户档案、客户效劳中心 树立客户信息的反应体系 制定客户效劳的规范形式
里应外合:企业外部各职能部门的任务人员之间,企业外部与外部
有关
人员之间应用各自的〝方便〞条件,规避企业的外部
控制与监
督,合伙作弊,共同窃取企业资财的行为。
声东击西:采取迂回、变相的方式窃取企业资财的行为。
混水摸鱼:借助某种不测或混乱局面获取不合理利益的行为。
移花接木:暗中玩弄手法,以假的替代真的。
一定的顾忌 企业缺乏集成的信息系统,外部条块联系清楚,步伐一致,员
工对打破现有的运作体系有疑虑 管理层与员工之间缺乏上下交流的迟滞渠道,以便于管理政策
的片面贯彻及实施状况的及时和准确反应
公司管理结构
中国目前法律法规提到的公司管理结构主要包括以下几个方面:
经过设置公司管理结构的职责划 分,到达以下几个方面的目的: 平衡股东各方的利益 添加管理的透明度 发扬董事会的作用
2内部控制演进与COSO内部控制整合框架
内部控制的演进
内部控制从内部牵制开始,经历了五个阶段:
内部牵制阶段(Internal Check)
内部控制制度阶段(Internal Control System)
1999年IIA对内部审计的第七次定义为:“内部 审计是一种独立、客观的确认和咨询活动,旨在 为增加价值和改善组织的运营。它通过应用系统 的、规范的方法,评价并改进风险管理、控制和 治理过程的效果,帮助组织实现其目标。” ”
内部控制结构(三要素)阶段
20世纪70年代-90年代初 1988年在美国注册会计师协会《审计准则
以上三类目标互相区别又彼此交叉,根据不同的 需要,可能是不同管理人员的直接责任。
内部控制可以对财务报告目标与合规目标的实现 提供合理保证;但对经营目标而言,内部控制只 能就管理层以及履行监督职能的董事会及时了解
内部控制整合框架(五要素)
控制环境(基础) 风险评估(依据) 控制活动 (手段) 信息与沟通(载体) 监督(保证)
管理漏洞:
酒店餐厅设在3楼和4楼,3楼餐厅每班安排两名 收款员并设有POS收款机,4楼餐厅未设置POS 收款机,4楼客人消费后的刷卡操作,必须到3 楼的POS机处完成。一般情况下,刷卡成功完 成后,服务人员会立即拿上顾客信用卡和所打 印单据返回4楼,收款员可以在无人监督的状况 下,立即操纵POS机克隆刷卡单。
1993年,IIA对内部审计的第六次定义为:“内 部审计是在一个组织内部建立的一种独立评价活 动,并作为对该组织的活动进行审查和评价的一 种服务。内部审计的目的是协助该组织的管理成 员有效地履行他们的职责。为此,内部审计向他 们提供与所审查的活动有关的分析、评价、建议、 忠告和资料。内部审计的目的是促进有效地控制 成本费用。”
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》(财会20087【】号文) 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》,包括18项《企业内部控制应用指引》,以及《企业内部控制评价指引》和《企业内部控制审计指引》(财会【2010】11号文)关于COSOCOSO(The Committee ofSponsoring Organizations ofthe Treadway Commission )the Treadway Commission是由左列五个民间机构联合发起的组织,旨在提供企业风险管理和内部控制的思想指导和管理架构。
COSO内部控制整合框架Framework)Integrated Framework (ICIF:InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表(正式发布时间已推迟)201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义:内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程,这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行(操作)的有效和效率1. 2.报告的可靠性3.合规性(符合法律和监管要求)●内部控制的涵义:1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的,不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标(运行操作、报告和合规性)配套5.内控要与企业的组织结构相适应内部控制的作用(价值主张)1.灵活性:应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心:将风险调整到3.清晰性:提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方:内控目标内控要素及其关系内控魔方:内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别:非财务报告●内控要素的区别:排序变化●企业结构的区别:企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版(草案)四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险,在合适的可接受水平管理与内控目标有关的风险提升企业运行效率,降低成本内部控制原则:控制的环境原则内部控制原则控制的环境原则(共五条原则及21个相关属性)I.企业证明自己关于商业诚信和伦理价值的承诺(4个相关属性)II.董事会证明自己对于内部控制与管理层相独立的细心关注(5个相关属性)III.在董事会的关注下,管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统(包括内控手册和相配的IT 系统)(3个相关属性)IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺(4个相关属性)V 企业为实现内控目标具有强制性责任(涉及V.合规性要求)(5个相关属性)内部控制原则:风险的评估原则内部控制原则风险的评估原则(共四条原则及19个相关属性)VI.企业以足够的清晰度区分与相关内控目标有关的风险(6个相关属性)VII.企业级地辨识和分析为实现内控目标的风险,以此作为管理风险的基础(5个相关属性)VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误(5个相关属性)IX.企业要辨识和评估可能显著影响内控系统的变化(3个相关属性)☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现,例如:-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关,例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标,如:收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告:符合监管、会计准则等标准-外部非财务报告:适当性,即既不过于详细也不外部非财务报告适当性,即既不过于详细也不过于简略;反映企业活动;符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现,例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系,例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性,与市场、定价、税收、环保、劳动保护有关,诸如:-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求,企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI :企业以足够:企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险(的风险(6个相关属性)运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII :企业级地辨识和分析为实现内控目标的风险,以此作为管理风险目标的风险,以此作为管理风险的基础(的基础(5个相关属性)7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标,在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理:接受风险、规避风险、降低风险、或者分担风险基本原则VIII :企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误(的失误(5个相关个相关属性)属性)考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式:资产可能的损失、报告可能的疏漏,以及腐败行为可能导致的后果,等等13.考虑各项风险要素:这些风险因素会影响到资产的重大损失,也会影响到有关的运行、报告产的大损失,会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产,错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性:评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX :企业要辨识和评估可能显著影响内控系统的变化内控系统的变化((3个相关个相关属性)属性)17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化:考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现,以及企业业务环境的重大变化,等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动,不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则:控制的活动原则(共三条原则及16个相关属性)X.企业要挑选和开发这样的控制活动,此类活动能够为实现内控目标缓解风险至可接受水平做出贡献(内控手册制订政策表)(6个相关属性)企业要挑选和开发为实现内控目标的技术支持手XI.段(人工的和/或自动的)(4个相关属性)企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策,使内控政策清晰地建立所预期的效果和相关流程(流程的风险点和相应的控制政策)(6个相关属性)内部控制原则:信息与沟通的原则(共三条原则及14个相关属性)XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息(5个相关属性)XIV.企业要在内部沟通信息,这些信息对于支持内控其他要素是必须的,包括内控的目标和责任信息(4他要素是必须的包括内控的标和责任信息个相关属性)XV.企业也要与外部有关方面进行沟通,此类沟通会影响到内控的其他要素(5个相关属性)内部控制原则:监控的活动原则内部控制原则监控的活动原则(共二条原则及11个相关属性)XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估,以确认内控各要素的功能是否正常(7个相关属性)旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷,企业要及时地予以评估并与有关责任方面沟通,以便立即采取改正活动,包括报告高管层和董事会(4个相关属性)基本原则概述(新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性))I证明关于商业诚信和伦理的承诺(控制的环境(21个相关属性)I.4个相关属性)II.细心关注的责任(5个相关属性)III.构建结构、授权与问责系统(3个相关属性)IV.证明有竞争力的人力资源开发(4个相关属性)风险的评估(19个相关属性)V.强制性责任(5个相关属性)VI.分辨相关内控目标(6个相关属性)VII.辨识和分析风险(5个相关属性)VIII控制的活动(16个相关属性)VIII.评估失误的风险(5个相关属性)IX.辨识评估变化(3个相关属性)X.挑选开发控制活动(6个相关属性)信息与沟通(14个相关属性)XI.挑选开发内控的技术手段(4个相关属性)XII.制订内控政策和流程(6个相关属性)XIII.利用有关信息(5个相关属性)监控的活动(11个相关属性)XIV.内部沟通(4个相关属性)XV.外部沟通(5个相关属性)XVI.综合和/或分开的评估(7个相关属性)XVII.评估和报告内控失误(4个相关属性)内部控制的有效性1.内部控制的有效性和合规性:有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障,旦出现不合规行为,就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估,要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标(企业运行操作、报告和合规性)都是有效的,董事会和管理层就可认为相对于自己的企业结构获得了合理的保障:•在企业的业务范围内,企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素,内控基本原则由与之相关的属性来支持,评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断,判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会:指导和要求管理层开发内控系统●高管层:CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员:各层级经理及有关人员各负其责●内审部门:在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师:除了财务报告的可靠性外还要通过关注内控的●外部审计师:除了财务报告的可靠性外,还要通过关注内控的基本原则和要素来评估内控系统(也可以采用评估工具)●监管部门:根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织:提供内控系统运行的指导和报告,帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构:帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡,实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失,而且要关注非预期损失,非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿(risk appetite):企业在一个宽广的水平上,为推进价值创造愿意接受的风险的量(COSO的定义)●风险容忍(risk tolerance):风险表示为价值的变动,风险容忍是可接受的变动范围(COSO的变动风险容忍是可接受的变动范围(定义)风险偏好(risk preference)人们选择接受较多●risk preference):人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近,在金融理论中,风险偏好用效用函数的形态来刻画。