COSO内部控制新框架(2013版)

77
17
的相关方，包括高级管理层和董事
78
会（如适当） 79
关注点
与外部各方沟通 实现入站通讯 与董事会沟通 提供彼此独立的沟渠道 选择沟通方式 考虑正在进行的多项和单独的评估 考虑变化速率 制定理解基准 任用胜任的人员 集成业务流程 调整范围和频率 客观评价 评估结果 向管理层汇报缺陷 向高级管理层及董事会汇报缺陷 监控纠正行为
59
Leabharlann Baidu通通
企业于内部沟通的内部控制信息，
60
包括内部控制目标和职责范围，必 61
14 须能够支持内部控制的其他要素发
62
挥效用 63
关注点
涵盖总公司、子公司、分支机构、事业部和职能部门 分析内部和外部因素 涵盖适当层级的管理 评估风险识别的重要性 决定如何应对风险 考虑不同类型的舞弊 评估员工承受的压力和激励手段 评估舞弊发生的机会 评估态度和合理性 评估外部环境变化 评估商业模型变化 评估领导层变化 与风险评估相结合 考虑企业自身的因素 决定相关商业流程 评价控制活动类型集合 考虑控制活动的应用层面 职责分离 决定技术在流程中的应用以及技术的一般控制 制定相关技术基础设施控制活动 制定相关安全管理流程控制活动 制定相关技术取得、发展和维护的流程控制活动 制定政策和程序以支持管理层的部署 制定执行政策和程序的责任问责机制 定期执行 时常纠错 选用足以胜任的人员 重新评估政策和程序 识别信息需求 获取内部、外部数据来源 将相关数据处理成信息 在处理过程中保持信息质量 考虑成本效益 沟通内部控制信息 与董事会沟通 提供彼此独立的沟通渠道 选择沟通方式
风风
据此决定应如何管理这些风险
30
险险
31
评评
估估
32
（（
企业在评估影响目标实现的风险时， 33
续续 ））
8 考虑潜在的舞弊行为
34
35
36
企业识别并评估可能会对内部控制
9
系统产生重大影响的变更
37
38
39
40
企业选择并制定有助将目标实现风
41
10 险降低至可接受水平的控制活动
42
43
44
控控
45
制制
甫瀚咨询是Robert Half International Inc.（纽约证券交易所代码：RHI）的全资子公司。RHI于1948年成立，为标准普尔500 指数的成员公司。
联络方式
北京
中国 北京 100022 朝阳区建国门外大街2号 银泰中心C座2001室 电话：(86.10) 8515 1233 传真：(86.10) 8515 1232
以上这些因素都推动了COSO对已颁布二十年之久的原框架作出相应更新，以帮助企业能够高效果高效率地制定内部控制 系统，实现重要的业务目标并持续优化企业绩效；适应日益复杂和不断变化的商业环境，将风险降至可接受水平并且提高决策 信息的可靠性。
我国财政部亦在2012年5月对《企业内部控制整体框架》（征求意见稿）做出了积极的回应，并提出了相应的工作建议， 体现其对2013版框架的高度重视，“新框架代表了国际内部控制和风险管理领域的最新研究成果和发展趋势，对我国企业内 部控制规范体系的完善与实施具有重要的借鉴意义。”
反映管理层决策 考虑风险忍受度 涵盖运营和财务目标 形成投入资源的基准 符合会计准则 考虑重要性水平 反映企业活动 符合外部标准和框架 考虑精准度要求 反映企业活动 反映管理层决策 考虑精准度要求 反映企业活动 反映外部法律法规 考虑风险忍受度
原则
27
企业从整个企业的角度来识别实现 28
7 目标所涉及的风险，分析风险，并 29
上海
中国 上海 200020 黄浦区淮海中路381号 中环广场2618-38室 电话：(86.21) 5153 6900 传真：(86.21) 6391 5598
深圳
中国 深圳 518048 福田区中心四路1号 嘉里建设广场1座1404室 电话：(86.755) 2598 2086 传真：(86.755) 2598 2100
COSO内部控制新框架（2013版）
敏于知
自COSO发布1992版框架以来，现今的商业环境已变得大为不同，新生产技术和复杂组织结构的不断涌现，以及愈加严格 的监管要求，促使企业在满足旧框架运营、合规、财务报告内控目标的基础上，越来越关注公司治理和风险管理，越来越重视 非财务报告内部控制。此外，近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响，也进一步要求加 强和完善内部控制标准。
运 营
报 告
合 规
新框架内容重点解析
新框架与旧框架相比有哪些变化？
在内部控制的核心定义、立方体结构以及各个维度基本保持原貌的同时，用 以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。但新框架 有七项重要变化，列出如下：
首先，明确列示了用以支持内部控制五大要素的原则。 其次，明确了目标设定在内部控制中的作用。 第三，反映了科技日益深入的相关性。 第四，更深入地讨论了有关治理的理念。 第五，扩大了报告目标类别（范畴）。 第六，加强了对反舞弊预期的考虑。 最后，更加关注非财务目标。
对企业内控规范体系、在美上市公司遵循《萨班斯法案》以及赴港上市公司遵循《第21项应用指引》（PN21）的 影响
财政部提出，2013版框架与我国企业内控规范体系在整体架构、基本原则和主要内容方面基本保持一致，因此，为我国企 业内控规范体系与COSO内控框架的趋同奠定了坚实基础。
萨班斯法案404条款的要求是针对财务报告相关的内部控制，其合规工作的基本理论方法依据是COSO内控框架。因此， 也必须按照新框架的实施时间表对合规工作按照新框架进行必要的调整。2013版框架在内部控制的定义、内部控制五要素（控 制环境、风险评估、控制活动、信息与沟通和监控活动）、评估内控体系有效性的标准以及职业判断的运用等方面与1992版 框架保持了一致。对于企业来说，萨班斯法案的合规工作并没有根本性的改变，主要调整在于需要针对公司层面控制需要按照 2013版框架提出的17个主要原则，79个关注点进行自我检视。对于流程层面控制，企业则可以根据自身的行业特色及管理需 求，结合外部审计师的关注点建议，基于2013版框架的要求原则，在贯彻17个主要原则的前提下，考虑必要的调整。
控制环境 风险评估 控制活动 信息与沟通 监控活动
而最重大的变化，就是它明确地列出了17项总体原则（如附录），这些原则代表着与每个内部控制要素相关的基本概念， 可确保五大内控要素以及整个内部控制系统的有效运行。
一个存在且发挥效用的原则的确需要达到某个令人满意的水平——但这并不意味着企业在运用有关原则时必须达到最高水 准。企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡，从而做出决定。内部控 制的设计各有迥异，并不存在完全统一的标准。
3
4
5
6
董事会独立于管理层，对内部控制
7
2
的制定及其绩效施以监督
8
控控
9
制制
环环 境境
管理层在董事会的监督下，建立目 10
3 标实现过程中所涉及的组织架构、 11
报告路径以及适当的权利和责任
12
13
企业致力于吸引、发展和留任优秀 14
4
人才，以配合企业目标达成
15
16
17
18
5 企业内部控制责任人的问责制度
须何时开始应用新框架？
COSO表示，已采纳1992版框架的企业（尤其是将在《萨班斯-奥克斯利法案》合规工作中使用新框架的企业），应当按 其具体情形，在可行的情况下提早开始使用2013版新框架来开展相关工作和文件记录。在2014年12月15日之前仍然可以继续 使用1992版框架，但在该日期后，该框架将被COSO视为已被新框架所取代。公司在过渡期间（2013年5月14日至2014年12月 15日）继续使用1992版框架是适当的。
活活 动动
企业为用以支持目标实现的技术选 11 择并制定一般控制政策
46 47
48
49
50
企业通过政策和程序来部署控制活
51
12 动：政策用来确定所期望的目标；
程序则将政策付诸于行动
52
53
54
55
企业获取或生成和使用相关的高质
56
信信
13 量信息，以支持内部控制其他要素
57
息息
发挥效用
58
与与 沟沟
关于甫瀚咨询
甫瀚咨询（www.protiviti.com）是一家全球性的咨询机构，帮助企业解决财务、信息技术、运营、治理、风险管理以及内 部审计领域的难题。我们在20多个国家设有70多家分支机构，为超过35%的美国财富1000强及全球财富500强企业提供咨询服 务。我们亦与政府机构和成长型中小企业开展合作，其中包括计划上市的企业。
19
20
21
企业制定足够清晰的目标，以便识 6 别和评估有关目标所涉及的风险
22a
–运营目标
23a
24
25
22b
风风
险险
–外部财务报告目标
23b
评评
估估
26
22c
–外部非财务报告目标
23c
26
22a
–内部报告目标
23c
26
22d –合规目标
23a
关注点
确立“高层态度” 建立行为标准 评价对行为准则的遵守情况 及时处理行为偏差 制定监督责任 保有对内部控制系统的监督 调用相关专业人员 保持独立运作 监控控制环境、风险评估、控制活动、信息与沟通 以及监督行为 考虑企业所有的组织架构 制定报告路径 定义、分配权限和职责范围 建立制度和操作方案 评价人员的竞争能力和识别技能的不足 吸引、发展和留任人才 计划人才储备 实施权责问责机制 建立绩效考核和奖励制度 评价绩效并执行奖励 考虑额外的压力 评价员工表现并奖励遵守纪律的员工
香港
香港 湾仔 港湾道18号 中环广场2103-04室 电话：(852) 2238 0499 传真：(852) 3118 7493
© 2013 甫瀚咨询（上海）有限公司 甫瀚咨询并非一间注 册会计师事 务所，故并 不就财务报 表发表意见或提供鉴证服务。
附录：新框架17项原则
原则
1
2 1 企业对诚信和道德价值观的承诺
香港会计师公会（HKICPA）在2013年11月所颁布的技术通告（AATB1）中，明确提出了对未来所有拟赴港上市的企业的 内部控制尽职调查工作拟采用2013版框架，并且要求审计师以17项原则评估企业的内部控制。
欲了解更多有关COCO内部控制2013版新框架的内容和企业所关注的相关问题，请点击：http://www.protiviti.cn/zh-CN/Pages /CN-Guide-Updated-COSO-Internal-Control-Framework-FAQs.aspx。
达于行
甫瀚咨询提供的服务
甫瀚咨询的创始董事总经理Bob Hirth被任命为COSO委员会的主席。我们的财务控制和合规专业团队曾帮助数百家企业建 立有效的财务报告内部控制。我们帮助客户用以流程为基础的方法来建立内部控制体系，通过实施风险评估界定工作范围重 点，并辅以信息化的手段，从而协助企业降低合规成本。我们帮助客户了解关键风险，识别重要控制，建立可靠的证据来支持 设计和执行的有效性，在公司上下落实合规工作的问责机制，以及协调外部审计鉴证程序的实施。
经过为上百家公司服务而积累的经验，使得我们有足够的知识帮助组织着眼长远，做出正确的决策并通过持续改进来创造价 值。我们灵活而全面的方法背后有一套为客户定制的路线图，包括客户的工作重点、计划改进方面、长期战略改进和时间表。
我们的服务具体包括：拟香港上市公司内部控制审阅及香港上市公司公司管治咨询；中国上市公司《内部控制基本规范》 合规咨询；美国上市公司《萨班斯-奥克斯利法案》合规咨询；治理、风险及控制软件（Governance Portal）的实施及支持。
原则
信信
息息
64
与与
65
沟沟 通通
企业就影响内部控制其他要素发挥 15
66
（（
效用的事项与外部方进行沟通
续续
67
））
68
69
70
企业选择、制定并实行持续及/或
71
16 单独的评估，以判定内部控制各要
72
监监 控控
素是否存在且发挥效用
73
活活 动动
74
75
76 企业及时评估内部控制缺陷，并将
有关缺陷及时通报给负责整改措施