(管理)新内部控制-整合框架(2013版)-中文版

coso在其《内部控制—整合框架》(2013),确定的内
部控制目标
COSO在其《内部控制—整合框架》（Internal Control-Integrated Framework，简称ICIF）中确定了五大内部控制目标，分别是：
1. 经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标。

2. 财务报告的可靠性：即确保财务报告的准确性、完整性和及时性，符合会计准则和法规要求。

3. 遵守适用的法律法规：即遵守所有适用的法律、法规、规章和合同协议等，确保企业的合法合规经营。

4. 保障资产安全：即采取措施保护资产，防止资产损失、被盗或被滥用。

5. 保障信息的可靠性：即确保信息完整、准确、可靠和及时，以满足内部和外部信息使用者的需求。

COSO框架中的五大目标是相互关联、相互支持的，确保企业在经营管理过程中保持合规、高效和可靠。

这些目标的实现需要通过设计、执行和维护有效的内部控制系统来实现。

2014年第12期【摘要】COSO 《内部控制——整合框架》是世界范围内被广泛接受的内部控制框架，2013年进行了最新修订，本文概述了其最新内容，并考虑到此次修订给我国内部控制发展提供了良好机遇，结合我国企业实际阐述了最新COSO 《内部控制——整合框架》对我国企业内部控制发展的启示和借鉴意义。

【关键词】内部控制整合框架内部控制规范体系COSO 【中图分类号】F235.19一、内部控制发展背景近年来，企业的内部控制建设越来越受到各方关注，相关利益团体越来越意识到内部控制、风险控制对企业长远发展的重要意义，无论是上市公司还是非上市公司，无论是国有企业还是私营企业，都在积极制定并不断完善内部控制制度。

而在世界范围内使用最广泛的内部控制指导性文件是COSO 内部控制框架，即由美国反虚假财务报告委员会的发起组织委员会COSO （Committee of Sponsoring Organizations of the Treadway Commis⁃sion ）发布的《内部控制——整合框架》。

COSO 的宗旨即是为促进企业风险管理，内部控制和防止舞弊提供指引。

COSO 于1992年9月第一次发布《内部控制——整合框架》，后经过了几次局部的补充、改进，2010年开始着手全面修订工作，至2013年5月14日正式发布了《内部控制——整合框架》（2013），对原内容进行了全面更新。

二、我国内部控制发展现状我国于2008年发布了《企业内部控制基本规范》，其总体框架基本遵循COSO 内部控制框架。

要求“自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。

”2010年4月又发布了《企业内部控制配套指引》，要求“自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。

鼓励非上市大中型企业提前执行。

Internal Control—Integrated Framework Executive Summary内部控制——整合框架内容摘要May 2013 2013年5月前言1992年Treadway委员会发起组织委员会（“COSO”）发布了其内部控制整合框架（“原框架”）。

原来的框架已得到了广泛的认可，并在世界范围内被广泛应用。

它被公认为设计、贯彻、运行内部控制并评价内部控制有效性的领先框架。

自原框架发布的二十年来，商业和运营环境已经发生了巨大的变化，越来越趋于复杂、技术驱动和全球化。

与此同时，利益相关者更多地参与，在内部控制系统完整性方面寻求更大的透明度和责任性，以支持商业决策和组织治理。

COSO很高兴提供更新版的内部控制整体框架（“框架”，Framework）。

COSO 相信框架将使各组织能够有效和高效地开发和维护内部控制系统，可以提高实现主体目标的可能性，适应商业和运营环境的变化。

有经验的读者会发现在框架中有许多是熟悉的，它们建立在原版本中被证明是有用的内容。

它保持了内部控制的核心定义和五项要素。

把五项要素作为评价内部控制系统有效性的要求，从根本上保持不变。

同时，在设计、贯彻和运行内部控制时，以及在评价内部控制系统有效性时，框架继续强调管理层判断的重要性。

与此同时，框架包括了一些旨在易于运用的改进和澄清。

一个更重要的改进之处是对原框架中已作介绍的基础概念的形式化。

在新版框架中，这些概念现在成为原则，与五项要素联系起来，为使用者在设计和贯彻内部控制系统和理解有效内部控制方面，提供清晰说明。

框架的改进还有，通过扩大财务报告目标类别以包含其他重要的报告形式，如非财务的和内部的报告。

同时，框架反映了过去数十年来商业和运营环境许多变化方面的考虑，包括：· 治理监督的期望· 市场和运营的全球化· 商业的变化和更大复杂性· 法律、法规、规则和标准方面的需求和复杂性· 能力和责任的期望· 不断发展的技术的适用和依赖· 与预防和发现舞弊有关的期望本“内容摘要”旨在为董事、首席执行官和其他高级管理人员提供了一个高层次的概述。

目录管理层概述1总体构架11 1定义 13 2控制环境 23 3风险评估 33 4控制活动 49 5信息和沟通 59 6监控 69 7内部控制的局限 79 8作用和职责 83 附录A学习本文的相关事项及背景知识 93 B方法体系 99 C对定义的看法和使用 105 D反馈意见 111 E术语 119内部控制——整体构架管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。

内部控制致力于促使企业向着赢利和完成自身使命的目标运行，并使这一过程中的意外最小化。

内部控制使管理层能够应对瞬息万变的经济和竞争环境，客户不断变换的需求和偏好，并进行重组以利于公司的未来发展。

内部控制有利于提高企业经营效率，降低资产损失风险，有助于保证财务报表的可靠性、企业经营活动的合法合规性。

鉴于内部控制具有上述的重要性，因此对提高内控系统及其报告质量的需求日益增加。

内部控制日益被视为诸多潜在问题的解决方案。

什么是内部控制内部控制对不同的人有不同的含义。

这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。

由此造成的误解和期望值的差异往往给企业带来问题。

一旦内部控制这一名词未经清楚定义就写入法律、规章或规则，问题便复杂化了。

本文是针对管理层的需要和期望而写的。

本文对内部控制的定义服务于以下目的：●确立一个满足各方需要通用的定义。

●提供一个标准——无论规模大小、公用和私人性质、赢利和非赢利，使各类企业都能以此对其内部控制制度进行评估和改进。

内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的，为达到下列目标提供合理的保证的程序：●经营的效果和效率●财务报告的可靠性●法律法规的遵循性第一类目标指企业的基本经营目标，包括业绩、赢利指标和资源保护。

第二类目标指编制可靠的公开财务报表的，包括中期和简略财务报表，以及从这些财务报表中摘出的数据（如利润分配数据）。

第三类目标指企业经营必须符合相关的法律法规。

控制环境Control Environment1.The organization demonstrates a commitment to integrity and ethical values.组织对正直和道德等价值观做出承诺。

2.The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.董事会独立于管理层，并对内部控制的推进与成效加以监督控制。

3.Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制。

4.The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.组织对吸引、开发和保留与认同组织目标的人才做出承诺。

5.The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.组织根据其目标，使员工各自担负起内部控制的相关责任。

风险评估Risk Assessment6.The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.就识别和评估与其目标相关的风险，组织做出清晰的目标设定。

Internal Control–Integrated Framework部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization.部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的部控制整合框架使得组织能够开发有效果且有效率的部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规决策和组织的治理。

Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory第1页environments.设计并实施一套有效的部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

控制环境Control Environment1.The organization demonstrates a commitment to integrity and ethical values.组织对正直和道德等价值观做出承诺。

2.The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.董事会独立于管理层，并对内部控制的推进与成效加以监督控制。

3.Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制。

4.The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.组织对吸引、开发和保留与认同组织目标的人才做出承诺。

5.The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.组织根据其目标，使员工各自担负起内部控制的相关责任。

风险评估Risk Assessment6.The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.就识别和评估与其目标相关的风险，组织做出清晰的目标设定。

美国反虚假财务报告委员会下属的发起组织委员会（COSO）于2013年5月14日发布《2013年内部控制——整体框架》及其配套指南。

《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施，提升内控的质量。

COSO原《整体框架》发布于1992年，21年的时间过去了，资本市场和商业环境已经发生了天翻地覆的变化，这也要求《整体框架》有所调整。

据了解，新《整体框架》和原版相比，在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化，据此，在很多业内人士看来，新《内控框架》对于原版内控不应称为改动，而是一种升级。

新《整体框架》相比原版，主要有三大亮点，即更实、更活、更稳。

更实：提供了内控体系建设的原则、要素和工具新《整体框架》与原版相比，细化了董事会及其下设专业委员会的描述，这只是一般性的改动，而且新《整体框架》里提到了很多案例，以增强从业者对内控体系建设的理解。

不过，让专家们更感觉“入眼”的是新《整体框架》的一些实质性变动。

新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上，提供了内控体系建设的原则、要素和工具，具体的变化体现在突出了原则导向，即在原有五要素基础上提出了17个基本原则，在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素，这是本次修改的亮点，使内控体系的评价更加有据可循。

新框架提供了17条具体的原则，这是新框架比较“实”的地方，因为之前版本的内控框架只有五个要素，更像是一个学术模型，具体要怎么做，并没有非常明确的答案。

而这次COSO委员会提到的17条原则都是相对来说更明确的动作，这为企业做内控提供了一套路线图，为企业评价内控提供了一张打分表。

更活：强调企业可有自己的判断新《整体框架》相对于旧框架，在内控建设和评价中，强调依赖于管理层自身的判断，而不是像原来一样要求严格基于证据。

新框架强调董事会、管理层和内审人员拥有“判断力”，这是新框架比较“活”的地方。

内部控制整合框架执行纲要内部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。

设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。

一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。

管理层和董事会通过其判断来决定多少控制是充分的。

管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。

管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。

本框架在内部控制方面，对管理层，董事会，外部的利益相关者和其他与组织产生互动关系的相关方有所帮助，且不会过分死板；而这有赖于对内部控制体系构成要素的理解，有赖于对内部控制体系能够有效实施的时机的洞见。

翻译：@注册内审师对于管理层和董事会，本框架提供：一套工具，将内部控制推广到各类型的组织，无论行业或法律形式，无论在组织层面，经营单元层面或职能层面；一种原则导向的方法，能够灵活设计，实施和推进内部控制，并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用；一些要求，具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用，如何在一起产生协调作用；一套工具，识别和分析风险，开发和管理合适的风险应对措施将风险控制在可接受的水平，且更关注反舞弊措施；一个机会，将基于财务报告的内部控制扩大应用范围，满足各种其他的报告、运营和遵循目标；1.一个机会，清理那些在降低风险方面价值不大的无效，冗余和低效的控制。

2.对于外部利益相关者和组织的其他相关方，本框架的应用可使其：对于董事会针对内部控制的监管更有信心；对于组织实现目标更有信心；对组织识别，分析和应对来自商业与运营环境风险与变化的能力更有信心；翻译：@注册内审师更了解有效的内部控制体系的具体要求；3.更了解管理层如何通过其判断清理那些无效，冗余和低效的控制。