COSO内部控制新框架(2013版)
COSO2013内部控制整合框架内容、变化与启示
Content, Change and Enlightenment of COSO 2013 Internal Control Integrated Framework 作者: 王关英[1];马东亮[2]
作者机构: [1]北京物资学院商学院,北京100000;[2]北京物资学院财务处,北京100000
出版物刊名: 内蒙古财经大学学报
页码: 36-39页
年卷期: 2015年 第6期
主题词: 内部控制;整合框架
摘要:紧随内部控制整合框架的修订,COSO于2014年10月21日宣布启动更新企业风险管理框架的计划。
COSO对两大框架的修订引起业内广泛的关注,而对于2013内部控制整合框架的相关理论还有待更深入的诠释。
本文全面介绍了COSO2013内部控制整合框架更新的背景、内容及主要变化,在此基础上,提出了2013内部控制整合框架对进一步完善国内内部控制规范体系的启示。
最新2013年COSO框架”17条核心内控原则“与属性重大变化
最新2013年COSO框架“17条核心内控原罗志国国际注册内部审计师 中国注册会计师 中国财务总监资格认证 内控及审计专2014年3月1日【引言】COSO报告自诞生以来,到今天二十年已经过去了。
这二十年间,商业和经营环境发渐加深。
同时,股东参与公司管理的热情不断高涨,而且对内部控制整合期待和要求更高的透明度和责任意识。
2新的COSO报告,新报告旨在使企业能有效率和有效果地发展和维持内部控制系统,从而提升目标实现的可能性和适控框架(以下称“2013 COSO框架”),引起各方关注。
其中一个重大变化是基于原有COSO五要素提出了17条核心原则将被广泛地运用到包括上市公司和私人持有在内的营利性企业、非营利性企业、政府团体以及其他组织,从而属性,代表与原则相联系的特征。
原则和属性共同构成了管理层评判企业是否具备有效内部控制的标准;风险评估内控原则”与属性重大变化志国财务总监资格认证 内控及审计专家 审计部长年3月1日环境发生了翻天覆地的变化,变得越来越复杂,科技化和全球一体化的趋势日求更高的透明度和责任意识。
2012年,COSO委员会联手普华永道和顾问委员会制定了从而提升目标实现的可能性和适应商业环境的变化。
COSO在2013年5月发布其最新内原有COSO五要素提出了17条核心内控原则,用以代表内部控制要素的基本概念,这些、政府团体以及其他组织,从而大幅度增强了五要素的可操作性。
支撑每条原则的是有效内部控制的标准;*将风险容忍度这一概念加入到可接受的风险水平评估中来;*展开讨论了管理层需要了解发生在组织内外部的重大环境因素变化,以及这些变化是如何影响内部控制的整体系统的;*把与重大漏报,资产的保护不足及腐败相关的舞弊风险列入到风险。
COSO内部控制新框架(2013版)
59
通通
企业于内部沟通的内部控制信息,
60
包括内部控制目标和职责范围,必 61
14 须能够支持内部控制的其他要素发
62
挥效用 63
关注点
涵盖总公司、子公司、分支机构、事业部和职能部门 分析内部和外部因素 涵盖适当层级的管理 评估风险识别的重要性 决定如何应对风险 考虑不同类型的舞弊 评估员工承受的压力和激励手段 评估舞弊发生的机会 评估态度和合理性 评估外部环境变化 评估商业模型变化 评估领导层变化 与风险评估相结合 考虑企业自身的因素 决定相关商业流程 评价控制活动类型集合 考虑控制活动的应用层面 职责分离 决定技术在流程中的应用以及技术的一般控制 制定相关技术基础设施控制活动 制定相关安全管理流程控制活动 制定相关技术取得、发展和维护的流程控制活动 制定政策和程序以支持管理层的部署 制定执行政策和程序的责任问责机制 定期执行 时常纠错 选用足以胜任的人员 重新评估政策和程序 识别信息需求 获取内部、外部数据来源 将相关数据处理成信息 在处理过程中保持信息质量 考虑成本效益 沟通内部控制信息 与董事会沟通 提供彼此独立的沟通渠道 选择沟通方式
香港会计师公会(HKICPA)在2013年11月所颁布的技术通告(AATB1)中,明确提出了对未来所有拟赴港上市的企业的 内部控制尽职调查工作拟采用2013版框架,并且要求审计师以17项原则评估企业的内部控制。
欲了解更多有关COCO内部控制2013版新框架的内容和企业所关注的相关问题,请点击:/zh-CN/Pages /CN-Guide-Updated-COSO-Internal-Control-Framework-FAQs.aspx。
新框架1177项项原则原则原原则则关关注点注点1确立高层态度2建立行为标准1企业对诚信和道德价值观的承诺企业对诚信和道德价值观的承诺3评价对行为准则的遵守情况4及时处理行为偏差5制定监督责任6保有对内部控制系统的监督董董事会独立于管理层对内部控制事会独立于管理层对内部控制7调用相关专业人员2的的制定及其绩效施以监督制定及其绩效施以监督8保持独立运作监控控制环境风险评估控制活动信息与沟通境环制控控9以及监督行为制环管理层在董事会的监督下建立目10考虑企业所有的组织架构管理层在董事会的监督下建立目境3标标实现过程中所涉及的组织架构实现过程中所涉及的组织架构11制定报告路径报报告路径以及适当的权利和责任告路径以及适当的权利和责任12定义分配权限和职责范围13建立制度和操作方案企业致力于吸引发展和留任优秀14评价人员的竞争能力和识别技能的不足企业致力于吸引发展和留任优秀4人人才以配合企业目标达成才以配合企业目标达成15吸引发展和留任人才16计划人才储备17实施权责问责机制18建立绩效考核和奖励制度5企业内部控制责任人的问责制度19评价绩效并执行奖励企业内部控制责任人的问责制度20考虑额外的压力21评价员工表现并奖励遵守纪律的员工企业制定足够清晰的目标以便识企业制定足够清晰的目标以便识6别别和评估有关目标所涉及的风险和评估有关目标所涉及的风险22a反映管理层决策23a考虑风险忍受度运营目标运营目标24涵盖运营和财务目标25形成投入资源的基准22b符合会计准则估评险风风外部财务报告目标23b考虑重要性水平外部财务报告目标险评26反映企业活动估22c符合外部标准和框架外部非财务报告目标外部非财务报告目标23c考虑精准度要求26反映企业活动22a反映管理层决策内部报告目标23c内部报告目标考虑精准度要求26反映企业活动22d反映外部法律法规合规目标合规目标23a考虑风险忍受度原原则则关关注点注点27涵盖总公司子公司分支机构事业部和职能部门企业从整个企业的角度来识别实现28分析内部和外部因素企业从整个企业的角度来识别实现7目目标所涉及的风险分析风险并标所涉及的风险分析风险并29涵盖适当层级的管理据据此决定应如何管理这些风险此决定应如何管理这些风险30评估风险识别的重要性续估评险评风风险31决定如何应对风险32考虑不同类型的舞弊估企业在评估影响目标实现的风险时33评估员工承受的压力和激励手段企业在评估影响目标实现的风险时续8考考虑潜
COSO内部控制新框架
.
6
内部控制整合框架(2013版)要点
——17条原则 风险评估
原则6:有清晰的目标,并根据目标识别及评价风险
关注要点:
1. 设置了明确的、相关的目标(包括经营目标、报告目标及合 规目标)
企业需要: 有对应的目标体系
原则7:对风险进行全范围的识别与分析,并决定如 何管理风险
关注要点:
1. 有适当的管理层参与整个过程 2. 风险评估过程包括总部、各部门、业务单元、事业部、下属
——内部控制有效性评价
模板2:各要素评价模板
.
20
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板3:各原则评价模板
.
21
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板3:各原则评价模板
.
22
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板4:缺陷汇总表
.
1. 考虑舞弊发生的各种可能性 2. 评估舞弊的动机和压力 3. 评估舞弊的机会大小 4. 评估对待舞弊的态度及自我合理化倾向
企业需要: 将舞弊风险(或廉政风险)作为专项 风险来识别;设立举报及举报人保护 机制 对应流程: 风险评估、内部信息沟通
原则9:识别并评价可能对内控体系造成较大影响的 变化
关注要点:
原则11:针对信息技术并开展一般控制
关注要点:
1. 确定独立于信息系统运行的信息系统一般控制 2. 建立相关的基础架构的控制活动 3. 建立相关的信息安全管理控制活动 4. 建立相关的信息系统购买、开发、运行维护控制活动
.
企业需要: 针对信息系统开发及运行设计对应控 制活动 对信息系统日常运行进行监控 开展信息系统专项审计 对应流程: 信息系统开发 信息系统运行维护
2013COSO内部控制框架讲义英文版
COSO Advisory Council
• • • • • • • AICPA AAA FEI IIA IMA Public Accounting Firms Regulatory observers (SEC, GAO, FDIC, PCAOB) • Others (IFAC, ISACA, others)
7
Project deliverable #2 – Internal Control over External Financial Reporting: A Compendium....
• Illustrates approaches and examples of how principles are applied in preparing financial statements • Considers changes in business and operating environments during past two decades
What is changing...
• Changes in business and operating environments considered • Operations and reporting objectives expanded • Fundamental concepts underlying five components articulated as principles • Additional approaches and examples relevant to operations, compliance, and non-financial reporting objectives added
2013版内部控制整合框架最新变化
企业需要: 将舞弊风险(或廉政风险)作为专项 风险来识别;设立举报及举报人保护 机制 对应流程: 风险评估、内部信息沟通
原则9:识别并评价可能对内控体系造成较大影响的 变化
关注要点: 1. 评估外部环境变化带来的影响 2. 评估经营模式变化带来的影响 3. 评估管理层变动带来的影响
企业需要: 定期开展内控自我评价及内控审计 及时更新内控体系文档 对应流程: 内控自我评价、内控审计
企业需要: 确定信息需求,归集信息渠道 制定有效的信息沟通流程 持续评价信息沟通的有效性 对应流程: 信息与沟通
原则14:将企业目标和内部控制职责在内的必要信 息传达给每位员工
关注要点: 1. 将内部控制的相关信息与每名员工进行沟通 2. 将内部控制相关信息与董事会进行沟通 3. 建立独立的应急性的沟通渠道 4. 选择合适的沟通方式
业务层面评价
• 对各业务流程的关键控制点进行评价,通过穿行测试、 抽样测试等方法评价其设计及执行的有效性。
• 业务层面评价结果可以用来支撑公司层面评价的结论
内部控制整合框架(2013版)要点
——内部控制有效性评价
COSO框架提供的是公司层面评价的方法和模板,总体评价过程如下: 汇总五大要素评估结果,对内部控 制整体有效性进行评价
原则2:董事会独立于管理层,对内部控制有效性进 行监督
关注要点: 1. 明确了董事会与管理层各自的权责 2. 董事会独立于管理层并具有胜任能力、并保持独立性 3. 董事会对内部控制有效性进行监督
企业需要: 确定董事会与管理层权限 定期对内部控制有效性进行监督并报 告给董事会 对应流程:
治理架构、授权管理、内控审计
原则4:企业制定完善的政策吸引、发展、保留人才
关注要点: 1. 制定了相关的政策与制度 2. 关注员工的胜任能力,并持续改进 3. 不断吸引、发展、保留人才 4. 制定了岗位继任计划
2013COSO内部控制框架中英文对照版
Internal Control Integrated Framework内部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization.内部控制帮助组织达到重要的目标,维持和改进业绩。
科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。
Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments.设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。
新COSO企业内部控制整合框架(2013)培训材料
细化董 事会专 业委员 会描述
新框架的实在性
内控体系评价有章可循
17个原 则
COSO 新框架
提到案 例增强 理解
内控体系建设保持弹性
82个要 素
内控体系与风险管理、公 司治理、日常经营有机结 合
第8页
新COSO内部控制整合框架(2013)
新框架更新了什么?(续)
2014年12月15日
►
在过渡期间,对外报告应当披露组织使用的是新框架还是旧框架
第31页
新COSO内部控制整合框架(2013)
内部控制原则的综合运用
►
对使用管理层判断的强调。
内部控制阶段 董事会 管理层 判断 内部控制的设置是 否充分
Section 4 Appendix 2013 版COSO框架更新要点
► ►
第4页
新COSO内部控制整合框架(2013)
框架更新的背景
► ► ► ►
首次发布于1992年 在21世纪初的一系列财务控制失败案例后获得广泛认可 在美国使用最广的框架 在全世界也被广泛采用
信息和沟通
控制活动 风险评估
控制环境
更新的目的
改进
更新的、强化的、清晰的 框架
5原则 17关注点
扩展内部报告和非财务报 告的指引
内控整合框架 今后将运行得 更好
COSO 内部控制– 整合框架 (2013版本)
第6页
新COSO内部控制整合框架(2013)
新框架更新了什么?
► 更新旨在提高易用性和扩大应用范围 保留了什么... 改变了什么...
加强技术开发过程中的风险控制; 加强对处于运行状态的技术系统进 行监控及风险预警/处置; 加强针对技术的专项评价/审计。
COSO《内部控制-整合框架》执行纲要2013版
Internal Control–Integrated Framework内部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives an d sustain andimprove performance.COSO’s Internal Control—I ntegrated Framework(Framework)enables organizations to effectively and efficiently developsystems of internal control that adapt to changing business and operatingenvironments, mitigate risks to acceptable levels, and support so und decisionmaking and governance of the organization.内部控制帮助组织达到重要的目标,维持和改进业绩。
科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。
Designing and implementing an effective system of intern al control can bechallenging;operating that system effectively and efficiently every day canbe daunting.New and rapidly changing business models,greater use anddependence on technology, increasing regulatory requirements and s crutiny,globalization, and other challenges demand any system of internal control tobe agile in adapting to changes in busin ess,operating and regulatory第 1 页environments.设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。
2013年COSO
2013COSO报告2011年12月,征求意见稿,面向全球公开征求意见。
2013年5月,COSO正式发布了次年内部控制框架。
出台背景:《内部控制——整体框架(2013版)》出台的背景意义1992年,美国COSO委员会首次发布了《企业内部控制——整体框架》,为企业内部控制的实施提供了践行标杆,在世界范围内得到广泛认可。
20多年来,随着全球经济的高速发展,资本市场、运营环境、商业模式已经发生了巨大变化,技术对企业的影响程度也越来越高。
与此同时,企业内外部的利益相关者也多维地参与到企业经营活动中来,对经营过程的透明度要求越来越高,对于内部控制制度问责制也提出了新的要求。
随着企业内外部环境的变化,利益相关者也更加强调内部控制制度的完整性,对业务决策的支持和公司治理的作用提出了更高要求。
鉴于此,COSO委员会于2010年开始了对《内部控制——整体框架》。
目的和出发点:《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施,提升内控的质量。
新《整体框架》和原版相比,在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化,据此,在很多业内人士看来,新《内控框架》对于原版内控不应称为改动,而是一种升级。
针对新《整体框架》相比旧《整体框架》的具体变化,业内专家普遍认为,新《整体框架》相比原版,主要有三大亮点,即更实、更活、更稳。
《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施,提升内控的质量。
更实:提供了内控体系建设的原则、要素和工具新《整体框架》与原版相比,细化了董事会及其下设专业委员会的描述,这只是一般性的改动,而且新《整体框架》里提到了很多案例,以增强从业者对内控体系建设的理解。
不过,让专家们更感觉“入眼”的是新《整体框架》的一些实质性变动。
新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上,提供了内控体系建设的原则、要素和工具,具体的变化体现在突出了原则导向,即在原有五要素基础上提出了17个基本原则,在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素,这是本次修改的亮点,使内控体系的评价更加有据可循。
COSO内部控制新框架(2013版)要素、原则、关注点
附录:新框架17项原则39与风险评估相结合考虑企业自身的因素4041决定相关商业流程42评价控制活动类型集合43考虑控制活动的应用层面44职责分离45决定技术在流程中的应用以及技术的一般控制46制定相关技术基础设施控制活动47制定相关安全管理流程控制活动48制定相关技术取得、发展和维护的流程控制活动49制定政策和程序以支持管理层的部署50制定执行政策和程序的责任问责机制51定期执行52时常纠错53选用足以胜任的人员54重新评估政策和程序10企业选择并制定有助将目标实现风险降低至可接受水平的控制活动11企业为用以支持目标实现的技术选择并制定一般控制政策12企业通过政策和程序来部署控制活动:政策用来确定所期望的目标;程序则将政策付诸于行动7企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险27涵盖总公司、子公司、分支机构、事业部和职能部门28分析内部和外部因素29涵盖适当层级的管理评估风险识别的重要性3031决定如何应对风险8企业在评估影响目标实现的风险时,考虑潜在的舞弊行为32考虑不同类型的舞弊33评估员工承受的压力和激励手段34评估舞弊发生的机会35评估态度和合理性9企业识别并评估可能会对内部控制系统产生重大影响的变更36评估外部环境变化37评估商业模型变化38评估领导层变化13企业获取或生成和使用相关的高质量信息,以支持内部控制其他要素发挥效用5556获取内部、外部数据来源识别信息需求57将相关数据处理成信息58在处理过程中保持信息质量5960沟通内部控制信息考虑成本效益61与董事会沟通62提供彼此独立的沟通渠道63选择沟通方式14企业于内部沟通的内部控制信息,包括内部控制目标和职责范围,必须能够支持内部控制的其他要素发挥效用15企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通64与外部各方沟通65实现入站通讯66与董事会沟通67提供彼此独立的沟渠道68选择沟通方式69考虑正在进行的多项和单独的评估70考虑变化速率71制定理解基准72任用胜任的人员73集成业务流程74调整范围和频率75客观评价76评估结果7778向高级管理层及董事会汇报缺陷向管理层汇报缺陷79监控纠正行为16企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用17企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董事会(如适当)监控活动。
2013版COSO内控框架的借鉴与启示
2013版COSO内控框架的借鉴与启示作者:金虹来源:《商业会计》2014年第15期摘要:2013年5月14日美国虚假财务报告委员会下属的发起组织委员会正式发布了最新版本的《内部控制——整合框架》。
本文简述了COSO内控框架更新的背景,详细分析了新框架的重要变化,并针对在美上市及非在美上市企业分别提出了完善内控体系的具体建议。
关键词:企业管理 COSO内控框架启示2013年5月14日美国虚假财务报告委员会下属的发起组织委员会(COSO委员会)正式发布了最新版本的《内部控制——整合框架》(Internal Control-Integrated Framework,以下简称“COSO新框架”)。
COSO委员会同时设定了为期一年半的过渡期(2013年5月14日至2014年12月15日),要求使用者在过渡期内应当尽快地转换自己的应用流程和相关文件,以适应COSO新框架。
COSO新框架所替代的原COSO框架随着萨班斯法案404条款的强制推行,目前仍是全球应用最为广泛的内部控制指导框架。
在此背景下,为什么要发布COSO新框架?COSO新框架有哪些重要的更新?对于在美上市以及其他中国企业有什么启示?本文一一探讨。
一、为什么要发布COSO新框架COSO委员会于1992年发布《内部控制——整合框架》(以下简称“COSO旧框架”),获得普遍认可和广泛应用,特别是为在美上市的公司提供了一个主要的使用框架,协助其依据《萨班斯·奥克斯利法案》第404条款的规定,提交有关财务报告内部控制有效性的报告。
时至今日,这一经历时间考验的框架仍然被视为内部控制的设计和评估领域的前沿文件。
COSO委员会发布COSO新框架主要是基于持续优化的精神,考虑到过去二十多年来商业环境已变得大为不同。
例如:对公司治理监督期望的提升;对风险以及基于风险的方法的更多关注;市场和运营全球化成为大势所趋;企业以及组织结构的复杂性不断提高,包括外包和战略供应商;科学技术的巨大进步;法律规范以及各种标准的要求和复杂程度也都大幅提升等。
COSO《内部控制_整合框架》执行纲要2013版(中英文对照)
Internal Control–Integrated Framework部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization.部控制帮助组织达到重要的目标,维持和改进业绩。
科索委员会的部控制整合框架使得组织能够开发有效果且有效率的部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规决策和组织的治理。
Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory第1页environments.设计并实施一套有效的部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。
COSO新框架下对我国企业内部控制体系改进措施
COSO新框架下对我国企业内部控制体系改进措施随着我国经济社会的不断发展,企业内部控制体系对企业经营管理越来越重要。
近年来,由于我国企业内部控制体系建设水平存在较大差距,导致企业面临各种风险和挑战。
COSO新框架是当前国际上被广泛认可的内部控制体系框架,在完善企业内部控制体系方面具有重要的指导意义。
因此,本文将从COSO新框架出发,探讨我国企业内部控制体系改进措施。
一、COSO新框架简介COSO(Committee Of Sponsoring Organizations of the Treadway Commission)是一个由私人企业、业务和非营利机构组成的组织,旨在提升管理层对控制的重要性,建立内部控制框架。
COSO的理念是在管理层的监督下全员参与建立企业内部控制机制。
COSO新框架是COSO在2013年发布的最新内部控制体系框架,被广泛认为是可实施、实用性强的企业内部控制体系框架,并得到国际认可。
COSO新框架一共包括五个部分,即:控制环境、风险评估、控制活动、信息和沟通以及监控活动。
这五个部分相互结合,能够全方位、全过程地确保企业内部控制的有效性。
二、COSO新框架对我国企业内部控制体系的影响COSO新框架具有多方面的影响,尤其对我国企业内部控制体系建设的改进具有积极意义。
1. 统一内部控制体系标准COSO新框架提供了完整的内部控制体系框架,可以统一企业内部控制体系标准,减少不同区域、不同行业、不同企业内部控制体系标准的差异,提高内部控制的可比性和可度量性。
2. 强化风险评估和管理COSO新框架突出了风险评估和管理,使企业能够更加全面、准确地进行风险管理,减少潜在风险,提高企业在市场竞争中的优势。
3. 改进企业内部控制机制COSO新框架具有更加全面、系统、清晰的内部控制机制,有利于企业对内部控制机制的检查和改进。
4. 提高财务报告的质量对于企业而言,财务报告是重要的信息沟通渠道,也是外部投资者和潜在投资者判断企业基础的标志,而COSO新框架的财务报告质量要求较高,强调财务性能、信息透明度,能够提高财务报告的质量和信誉。
COSO内部控制新框架 PPT课件
内部控制整合框架(2013版)要点
——17条原则
监控活动
原则16:实施持续和专项的评价
关注要点:
1. 考虑持续和专项评价的方案 2. 在选择持续和专项评价时考虑企业管理活动的变化程度 3. 选用具有相关知识的人进行评价 4. 持续性评价与管理流程相融合 5. 定期开展独立的评价保证客观性 6. 根据风险大小调整评价的频率
• 目标设定在内部控制框架中是先决条件 • 增加了风险的另一面:“机会”
新框架与全面风险管理框架的区别
具体内容主要变化:
控制环境 增加了“确定风险管理基调、风险管理文化、风 险管理偏好及承受度” 风险评估 强调了风险的“机会”属性;风险组合观
其他三要素 无变化
内部控制整合框架(2013版)要点
——17条原则
控制活动
原则12:通过政策、程序来实施控制活动
关注要点:
1. 建立相关的政策和程序来落实控制活动 2. 建立政策和程序执行的责任和义务机制 3. 使用有胜任能力的员工来来执行控制活动 4. 注意控制活动执行的及时性 5. 定期维护并更新政策及程序
企业需要: 编制政策、程序、流程及内控手册 明确每项控制活动的责任人 监督及考核控制活动的执行情况 注意部门间的配合 对应流程: ALl
原则11:针对信息技术并开展一般控制
关注要点:
1. 确定独立于信息系统运行的信息系统一般控制 2. 建立相关的基础架构的控制活动 3. 建立相关的信息安全管理控制活动 4. 建立相关的信息系统购买、开发、运行维护控制活动
企业需要: 针对信息系统开发及运行设计对应控 制活动 对信息系统日常运行进行监控 开展信息系统专项审计 对应流程: 信息系统开发 信息系统运行维护
原则4:企业制定完善的政策吸引、发展、保留人才
COSO新框架下完善事业单位内部控制的思考
COSO新框架下完善事业单位内部控制的思考摘要:事业单位加强内部控制有助于提高社会公共服务效率,有助于提高事业单位内部管理效率,有助于保护国有资产的安全完整。
本文首先阐述了COSO新框架,接着论述了COSO新框架下,构建与完善事业单位内部控制的必要性、积极作用及存在的问题,最后针对问题提出了建议,旨在完善事业单位内部控制。
关键词:COSO新框架事业单位内部控制一、COSO新框架概述2013年,COSO委员会推出了新版的《内部控制——整体框架》及其配套说明性文件,它是美国证券交易委员会推荐使用的唯一的内部控制框架。
在我国,它不仅适用于营利性企业,同样适用于非营利性的事业单位。
新框架中明确了内控系统的五大要素:控制环境、风险评估、控制活动、信息与沟通、监督。
COSO新框架对事业单位防止会计信息失真、保护国有资产安全、预防和控制风险等都有很强的指导作用,因此,事业单位要认真研究COSO新框架,结合本单位的实际情况,制定出切实可行的内部控制体系。
(1)控制环境。
是内部控制体系的基础,极大地影响着全员的内控意识,内部控制制度的实施及战略目标的实现。
一般包括:员工的诚信、价值观和能力;事业单位的管理哲学、经营风格、责权利的分配及组织问题等。
(2)风险评估。
是COSO内部控制的独特要素,是指在既定的经营管理目标下,事业单位也同样面临着内外风险,因此要对各种风险进行识别、分析、评估,建立完整的预防和应对机制,将风险尽可能地控制在单位可承受的水平,从而达到降低风险的目的。
(3)控制活动。
贯穿于单位的各个层次、各个部门,是为保障管理层进行管理而制定的必要措施和程序,一般包括授权审批、验证核对、信息管理、绩效评价等。
(4)信息与沟通。
是内部控制体系的桥梁,为管理层提供判断和决策的依据,不仅包括单位内部信息数据生成和自下而上的信息传递,还包括与客户、供应商、大众等的信息交流。
(5)监督。
内部控制的全程都需要有效监督,实施的方式有内部审计和自我评估等。
COSO内部控制整合框架PT课件
第十讲内部控制与风险管理新发展1001COSO2013版内部控制整合框架王清刚中南财经政法大学会计学院Email:kjxywqg1125@COSO《内部控制——整合框架(2013)》●框架逻辑:目标——要素——原则——关注点●1.控制环境⏹原则1:组织显示出对诚信和道德价值观的承诺◆确立高层态度、建立行为准则、评价对行为准则的遵守情况、实施有关流程,并根据组织的行为准则来评估个人和团队的表现、及时处理变差情况⏹原则2:董事会应展现出其独立于管理层,并对内部控制的开展和成效实施监督◆建立监督责任、运用专业知识、保持独立运作、履行对内部控制体系的监督职责●1.控制环境⏹原则3:管理层为实现目标,应在董事会的督导下确立组织架构、汇报路线、合理的权利与责任◆考虑主体的所有架构;制定汇报路线;定义、分配及限制权力与责任(董事会、高级管理层、管理层、员工及外包服务供应商)⏹原则4:组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺◆建立政策和实践;评估胜任能力并改善不足;吸引、培养和留用人才;规划与准备后续人才⏹原则5:组织为实现目标,应要求员工承担内部控制的相关责任◆通过组织架构、权利与责任来强化问责机制;建立绩效衡量、激励和奖励机制;评估绩效衡量、激励和奖励机制的持续相关性;考虑过度的压力;评价业绩并奖功罚过●2.风险评估⏹原则6:组织应设定清晰明确的目标,以识别和评估与目标相关的风险◆运营目标:反映管理层的选择、考虑风险容忍度、涵盖运营和财务绩效目标、形成资源配置的基础◆外部财务报告目标:符合适用的会计准则、考虑重要性水平、反映主体运营活动◆外部非财务报告目标:符合既定的外部标准和框架、考虑所需要的精确度水平、反映主体的活动◆内部报告目标:反映管理层的选择、考虑精确度要求、反映主题活动◆合规目标:反映外部法律法规及规章、内部制度、考虑风险容忍度与外部财务报 告目标相关: 年度财务报告 中期财务报告财务报告 外部报告与外部非财务 报告目标相关: 内部控制报告 社会责任报告管理层讨论与分析等非财务报告●用以满足外部利益相关方和监管机构的要求 ●按照外部标准编制 ●可能是应监管要求、合同或协议的要求编制和提供 主要特点与内部财务报 告目标相关:部门财务报表 成本分析表 费用分析表等内部报告与内部非财务 报告目标相关:员工权益保护报告 供应商管理报告 健康安全管理报告等●用以满足业务管理和经营决策的需要●按照相关性、及时性等要求灵活编制●由董事会和管理层建立等四类报告目标的内容、特点及关系●2.风险评估⏹原则7:组织应对影响其目标实现的风险进行全范围的识别和分析,并依此为基础来决定应如何管理风险◆应涵盖主体、下属单位、分部、业务单元和职能部门层面;分析内部和外部因素;让适当层级的管理层参与;评估所识别风险的重大性;决定如何应对风险⏹原则8:组织应在评估影响其目标实现的风险时,考虑潜在的舞弊行为◆考虑不同类别的舞弊、评估动机和压力、评估机会、评估态度和合理化●2.风险评估⏹原则9:组织应识别并评估对其内部控制体系可能造成重大影响的改变◆评估外部环境变化、评估商业模式变化、评估领导层变化●3.控制活动⏹原则10:组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动◆与风险评估相结合、考虑主体特有的因素、确定相关业务流程、评估控制活动类别的组合、考虑控制活动的适用层级、强调职责分离●3.控制活动⏹原则11:针对信息技术,组织应选择并执行一般控制活动以支持其目标实现◆决定在业务流程中应用的信息技术和信息技术一般控制之间的依存度;建立于信息技术基础设施相关的控制活动;建立与安全管理流程相关的控制活动;建立于信息技术引进、开发、维护流程相关的控制活动⏹原则12:组织应通过政策和程序来实施控制活动,政策市建立预期,程序是将政策付诸行动◆制定政策和程序以支持管理层指令的实施、确立政策和程序执行的职责和问责制、及时执行、采取整改措施、选用合格人员、重新评估政策和程序●4.信息与沟通⏹原则13:组织应获取或生成和使用高质量相关信息来支持内部控制的持续运行◆识别信息需求、收集内外部数据、将数据转化为信息、在处理过程中确保信息质量、应考虑成本效益原则⏹原则14:组织应在内部对内部控制目标和责任等必要信息进行沟通,从而支持内部控制持续运行◆沟通内部控制信息、与董事会沟通、提供独立的沟通途径(如举报热线)、选择沟通方式⏹原则15:组织应就影响内部控制发挥作用的事项,与外部进行沟通◆能与外部沟通、能从外部输入沟通信息、与董事会沟通、提供独立的沟通途径(如举报热线)、选择沟通方式COSO《内部控制——整合框架(2013)》●5.监控⏹原则16:组织应选择、开展并实施持续和(或)单独评估,以确认内部控制的各要素存在并持续运行◆持续评估和单独评估的组合、考虑变化率、建立对基础的理解、选用具备专业知识的人员、与业务流程整合、调整范围和频率、反映客观地评估⏹原则17:组织应评价内部控制缺陷,并及时与整改责任方沟通,必要时还应与高级管理层和董事会沟通◆评价结果、沟通缺陷、监督整改措。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
20
21
企业制定足够清晰的目标,以便识 6 别和评估有关目标所涉及的风险
22a
–运营目标
23a
24
25
22b
风风
险险
–外部财务报告目标
23b
评评
估估
26
22c
–外部非财务报告目标
23c
26
22a
–内部报告目标
23c
26
22d –合规目标
23a
关注点
确立“高层态度” 建立行为标准 评价对行为准则的遵守情况 及时处理行为偏差 制定监督责任 保有对内部控制系统的监督 调用相关专业人员 保持独立运作 监控控制环境、风险评估、控制活动、信息与沟通 以及监督行为 考虑企业所有的组织架构 制定报告路径 定义、分配权限和职责范围 建立制度和操作方案 评价人员的竞争能力和识别技能的不足 吸引、发展和留任人才 计划人才储备 实施权责问责机制 建立绩效考核和奖励制度 评价绩效并执行奖励 考虑额外的压力 评价员工表现并奖励遵守纪律的员工
对企业内控规范体系、在美上市公司遵循《萨班斯法案》以及赴港上市公司遵循《第21项应用指引》(PN21)的 影响
财政部提出,2013版框架与我国企业内控规范体系在整体架构、基本原则和主要内容方面基本保持一致,因此,为我国企 业内控规范体系与COSO内控框架的趋同奠定了坚实基础。
萨班斯法案404条款的要求是针对财务报告相关的内部控制,其合规工作的基本理论方法依据是COSO内控框架。因此, 也必须按照新框架的实施时间表对合规工作按照新框架进行必要的调整。2013版框架在内部控制的定义、内部控制五要素(控 制环境、风险评估、控制活动、信息与沟通和监控活动)、评估内控体系有效性的标准以及职业判断的运用等方面与1992版 框架保持了一致。对于企业来说,萨班斯法案的合规工作并没有根本性的改变,主要调整在于需要针对公司层面控制需要按照 2013版框架提出的17个主要原则,79个关注点进行自我检视。对于流程层面控制,企业则可以根据自身的行业特色及管理需 求,结合外部审计师的关注点建议,基于2013版框架的要求原则,在贯彻17个主要原则的前提下,考虑必要的调整。
COSO内部控制新框架(2013版)
敏于知
自COSO发布1992版框架以来,现今的商业环境已变得大为不同,新生产技术和复杂组织结构的不断涌现,以及愈加严格 的监管要求,促使企业在满足旧框架运营、合规、财务报告内控目标的基础上,越来越关注公司治理和风险管理,越来越重视 非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也进一步要求加 强和完善内部控制标准。
原则
信信
息息
64
与与
65
沟沟 通通
企业就影响内部控制其他要素发挥 15
66
((
效用的事项与外部方进行沟通
续续
67
))
68
69
70
企业选择、制定并实行持续及/或
71
16 单独的评估,以判定内部控制各要
72
监监 控控
素是否存在且发挥效用
73
活活 动动
74
75
76 企业及时评估内部控制缺陷,并将
有关缺陷及时通报给负责整改措施
甫瀚咨询是Robert Half International Inc.(纽约证券交易所代码:RHI)的全资子公司。RHI于1948年成立,为标准普尔500 指数的成员公司。
联络方式
北京
中国 北京 100022 朝阳区建国门外大街2号 银泰中心C座2001室 电话:(86.10) 8515 1233 传真:(86.10) 8515 1232
上海
中国 上海 200020 黄浦区淮海中路381号 中环广场2618-38室 电话:(86.21) 5153 6900 传真:(86.21) 6391 5598
深圳
中国 深圳 518048 福田区中心四路1号 嘉里建设广场1座1404室 电话:(86.755) 2598 2086 传真:(86.755) 2598 2100
反映管理层决策 考虑风险忍受度 涵盖运营和财务目标 形成投入资源的基准 符合会计准则 考虑重要性水平 反映企业活动 符合外部标准和框架 考虑精准度要求 反映企业活动 反映管理层决策 考虑精准度要求 反映企业活动 反映外部法律法规 考虑风险忍受度
原则
27
企业从整个企业的角度来识别实现 28
7 目标所涉及的风险,分析风险,并 29
风风
据此决定应如何管理这些风险
30
险险
31
评评
估估
32
((
企业在评估影响目标实现的风险时, 33
续续 ))
8 考虑潜在的舞弊行为
34
35
36
企业识别并评估可能会对内部控制
9
系统产生重大影响的变更
37
38
39
40
企业选择并制定有助将目标实现风
41
10 险降低至可接受水平的控制活动
42
43
44
控控
45
制制
香港
香港 湾仔 港湾道18号 中环广场2103-04室 电话:(852) 2238 0499 传真:(852) 3118 7493
© 2013 甫瀚咨询(上海)有限公司 甫瀚咨询并非一间注 册会计师事 务所,故并 不就财务报 表发表意见或提供鉴证服务。
附录:新框架17项原则
原则
1
2 1 企业对诚信和道德价值观的承诺
须何时开始应用新框架?
COSO表示,已采纳1992版框架的企业(尤其是将在《萨班斯-奥克斯利法案》合规工作中使用新框架的企业),应当按 其具体情形,在可行的情况下提早开始使用2013版新框架来开展相关工作和文件记录。在2014年12月15日之前仍然可以继续 使用1992版框架,但在该日期后,该框架将被COSO视为已被新框架所取代。公司在过渡期间(2013年5月14日至2014年12月 15日)继续使用1992版框架是适当的。
控制环境 风险评估 控制活动 信息与沟通 监控活动
而最重大的变化,就是它明确地列出了17项总体原则(如附录),这些原则代表着与每个内部控制要素相关的基本概念, 可确保五大内控要素以及整个内部控制系统的有效运行。
一个存在且发挥效用的原则的确需要达到某个令人满意的水平——但这并不意味着企业在运用有关原则时必须达到最高水 准。企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡,从而做出决定。内部控 制的设计各有迥异,并不存在完全统一的标准。
59
通通
企业于内部沟通的内部控制信息,
60
包括内部控制目标和职责范围,必 61
14 须能够支持内部控制的其他要素发
62
挥效用 63
关注点
涵盖总公司、子公司、分支机构、事业部和职能部门 分析内部和外部因素 涵盖适当层级的管理 评估风险识别的重要性 决定如何应对风险 考虑不同类型的舞弊 评估员工承受的压力和激励手段 评估舞弊发生的机会 评估态度和合理性 评估外部环境变化 评估商业模型变化 评估领导层变化 与风险评估相结合 考虑企业自身的因素 决定相关商业流程 评价控制活动类型集合 考虑控制活动的应用层面 职责分离 决定技术在流程中的应用以及技术的一般控制 制定相关技术基础设施控制活动 制定相关安全管理流程控制活动 制定相关技术取得、发展和维护的流程控制活动 制定政策和程序以支持管理层的部署 制定执行政策和程序的责任问责机制 定期执行 时常纠错 选用足以胜任的人员 重新评估政策和程序 识别信息需求 获取内部、外部数据来源 将相关数据处理成信息 在处理过程中保持信息质量 考虑成本效益 沟通内部控制信息 与董事会沟通 提供彼此独立的沟通渠道 选择沟通方式
运 营
报 告
合 规
新框架内容重点解析
新框架与旧框架相比有哪些变化?
在内部控制的核心定义、立方体结构以及各个维度基本保持原貌的同时,用 以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。但新框架 有七项重要变化,列出如下:
首先,明确列示了用以支持内部控制五大要素的原则。 其次,明确了目标设定在内部控制中的作用。 第三,反映了科技日益深入的相关性。 第四,更深入地讨论了有关治理的理念。 第五,扩大了报告目标类别(范畴)。 第六,加强了对反舞弊预期的考虑。 最后,更加关注非财务目标。
达于行
甫瀚咨询提供的服务
甫瀚咨询的创始董事总经理Bob Hirth被任命为COSO委员会的主席。我们的财务控制和合规专业团队曾帮助数百家企业建 立有效的财务报告内部控制。我们帮助客户用以流程为基础的方法来建立内部控制体系,通过实施风险评估界定工作范围重 点,并辅以信息化的手段,从而协助企业降低合规成本。我们帮助客户了解关键风险,识别重要控制,建立可靠的证据来支持 设计和执行的有效性,在公司上下落实合规工作的问责机制,以及协调外部审计鉴证程序的实施。
活活 动动
企业为用以支持目标实现的技术选11 择并制定一般控制政策
46 47
48
49
50
企业通过政策和程序来部署控制活
51
12 动:政策用来确定所期望的目标;
程序则将政策付诸于行动
52
53
54
55
企业获取或生成和使用相关的高质
56
信信
13 量信息,以支持内部控制其他要素
57
息息
发挥效用
58
与与 沟沟
经过为上百家公司服务而积累的经验,使得我们有足够的知识帮助组织着眼长远,做出正确的决策并通过持续改进来创造价 值。我们灵活而全面的方法背后有一套为客户定制的路线图,包括客户的工作重点、计划改进方面、长期战略改进和时间表。
我们的服务具体包括:拟香港上市公司内部控制审阅及香港上市公司公司管治咨询;中国上市公司《内部控制基本规范》 合规咨询;美国上市公司《萨班斯-奥克斯利法案》合规咨询;治理、风险及控制软件(Governance Portal)的实施及支持。