新内部控制整合框架中文

内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》（财会20087【】号文） 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》，包括18项《企业内部控制应用指引》，以及《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号文）关于COSOCOSO（The Committee ofSponsoring Organizations ofthe Treadway Commission ）the Treadway Commission是由左列五个民间机构联合发起的组织，旨在提供企业风险管理和内部控制的思想指导和管理架构。

COSO内部控制整合框架Framework）Integrated Framework （ICIF：InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表（正式发布时间已推迟）201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义：内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程，这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行（操作）的有效和效率1. 2.报告的可靠性3.合规性（符合法律和监管要求）●内部控制的涵义：1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的，不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标（运行操作、报告和合规性）配套5.内控要与企业的组织结构相适应内部控制的作用（价值主张）1.灵活性：应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心：将风险调整到3.清晰性：提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方：内控目标内控要素及其关系内控魔方：内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别：非财务报告●内控要素的区别：排序变化●企业结构的区别：企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版（草案）四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险，在合适的可接受水平管理与内控目标有关的风险提升企业运行效率，降低成本内部控制原则：控制的环境原则内部控制原则控制的环境原则（共五条原则及21个相关属性）I.企业证明自己关于商业诚信和伦理价值的承诺（4个相关属性）II.董事会证明自己对于内部控制与管理层相独立的细心关注（5个相关属性）III.在董事会的关注下，管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统（包括内控手册和相配的IT 系统）（3个相关属性）IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺（4个相关属性）V 企业为实现内控目标具有强制性责任（涉及V.合规性要求）（5个相关属性）内部控制原则：风险的评估原则内部控制原则风险的评估原则（共四条原则及19个相关属性）VI.企业以足够的清晰度区分与相关内控目标有关的风险（6个相关属性）VII.企业级地辨识和分析为实现内控目标的风险，以此作为管理风险的基础（5个相关属性）VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误（5个相关属性）IX.企业要辨识和评估可能显著影响内控系统的变化（3个相关属性）☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现，例如：-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关，例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标，如：收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告：符合监管、会计准则等标准-外部非财务报告：适当性，即既不过于详细也不外部非财务报告适当性，即既不过于详细也不过于简略；反映企业活动；符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现，例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系，例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性，与市场、定价、税收、环保、劳动保护有关，诸如：-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求，企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI ：企业以足够：企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险（的风险（6个相关属性）运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII ：企业级地辨识和分析为实现内控目标的风险，以此作为管理风险目标的风险，以此作为管理风险的基础（的基础（5个相关属性）7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标，在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理：接受风险、规避风险、降低风险、或者分担风险基本原则VIII ：企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误（的失误（5个相关个相关属性）属性）考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式：资产可能的损失、报告可能的疏漏，以及腐败行为可能导致的后果，等等13.考虑各项风险要素：这些风险因素会影响到资产的重大损失，也会影响到有关的运行、报告产的大损失，会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产，错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性：评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX ：企业要辨识和评估可能显著影响内控系统的变化内控系统的变化（（3个相关个相关属性）属性）17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化：考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现，以及企业业务环境的重大变化，等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动，不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则：控制的活动原则（共三条原则及16个相关属性）X.企业要挑选和开发这样的控制活动，此类活动能够为实现内控目标缓解风险至可接受水平做出贡献（内控手册制订政策表）（6个相关属性）企业要挑选和开发为实现内控目标的技术支持手XI.段（人工的和/或自动的）（4个相关属性）企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策，使内控政策清晰地建立所预期的效果和相关流程（流程的风险点和相应的控制政策）（6个相关属性）内部控制原则：信息与沟通的原则（共三条原则及14个相关属性）XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息（5个相关属性）XIV.企业要在内部沟通信息，这些信息对于支持内控其他要素是必须的，包括内控的目标和责任信息（4他要素是必须的包括内控的标和责任信息个相关属性）XV.企业也要与外部有关方面进行沟通，此类沟通会影响到内控的其他要素（5个相关属性）内部控制原则：监控的活动原则内部控制原则监控的活动原则（共二条原则及11个相关属性）XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估，以确认内控各要素的功能是否正常（7个相关属性）旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷，企业要及时地予以评估并与有关责任方面沟通，以便立即采取改正活动，包括报告高管层和董事会（4个相关属性）基本原则概述（新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性））I证明关于商业诚信和伦理的承诺（控制的环境（21个相关属性）I.4个相关属性）II.细心关注的责任（5个相关属性）III.构建结构、授权与问责系统（3个相关属性）IV.证明有竞争力的人力资源开发（4个相关属性）风险的评估（19个相关属性）V.强制性责任（5个相关属性）VI.分辨相关内控目标（6个相关属性）VII.辨识和分析风险（5个相关属性）VIII控制的活动（16个相关属性）VIII.评估失误的风险（5个相关属性）IX.辨识评估变化（3个相关属性）X.挑选开发控制活动（6个相关属性）信息与沟通（14个相关属性）XI.挑选开发内控的技术手段（4个相关属性）XII.制订内控政策和流程（6个相关属性）XIII.利用有关信息（5个相关属性）监控的活动（11个相关属性）XIV.内部沟通（4个相关属性）XV.外部沟通（5个相关属性）XVI.综合和/或分开的评估（7个相关属性）XVII.评估和报告内控失误（4个相关属性）内部控制的有效性1.内部控制的有效性和合规性：有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障，旦出现不合规行为，就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估，要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标（企业运行操作、报告和合规性）都是有效的，董事会和管理层就可认为相对于自己的企业结构获得了合理的保障：•在企业的业务范围内，企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素，内控基本原则由与之相关的属性来支持，评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断，判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会：指导和要求管理层开发内控系统●高管层：CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员：各层级经理及有关人员各负其责●内审部门：在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师：除了财务报告的可靠性外还要通过关注内控的●外部审计师：除了财务报告的可靠性外，还要通过关注内控的基本原则和要素来评估内控系统（也可以采用评估工具）●监管部门：根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织：提供内控系统运行的指导和报告，帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构：帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡，实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失，而且要关注非预期损失，非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿（risk appetite）：企业在一个宽广的水平上，为推进价值创造愿意接受的风险的量（COSO的定义）●风险容忍（risk tolerance）：风险表示为价值的变动，风险容忍是可接受的变动范围（COSO的变动风险容忍是可接受的变动范围（定义）风险偏好（risk preference）人们选择接受较多●risk preference）：人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近，在金融理论中，风险偏好用效用函数的形态来刻画。

内部控制整合框架执行纲要内部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。

设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。

一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。

管理层和董事会通过其判断来决定多少控制是充分的。

管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。

管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。

本框架在内部控制方面，对管理层，董事会，外部的利益相关者和其他与组织产生互动关系的相关方有所帮助，且不会过分死板；而这有赖于对内部控制体系构成要素的理解，有赖于对内部控制体系能够有效实施的时机的洞见。

对于管理层和董事会，本框架提供：一套工具，将内部控制推广到各类型的组织，无论行业或法律形式，无论在组织层面，经营单元层面或职能层面；一种原则导向的方法，能够灵活设计，实施和推进内部控制，并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用；一些要求，具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用，如何在一起产生协调作用；一套工具，识别和分析风险，开发和管理合适的风险应对措施将风险控制在可接受的水平，且更关注反舞弊措施；一个机会，将基于财务报告的内部控制扩大应用范围，满足各种其他的报告、运营和遵循目标；一个机会，清理那些在降低风险方面价值不大的无效，冗余和低效的控制。

对于外部利益相关者和组织的其他相关方，本框架的应用可使其：对于董事会针对内部控制的监管更有信心；对于组织实现目标更有信心；对组织识别，分析和应对来自商业与运营环境风险与变化的能力更有信心；更了解有效的内部控制体系的具体要求；更了解管理层如何通过其判断清理那些无效，冗余和低效的控制。

Internal Control—Integrated Framework Executive Summary内部控制——整合框架内容摘要May 2013 2013年5月前言1992年Treadway委员会发起组织委员会（“COSO”）发布了其内部控制整合框架（“原框架”）。

原来的框架已得到了广泛的认可，并在世界范围内被广泛应用。

它被公认为设计、贯彻、运行内部控制并评价内部控制有效性的领先框架。

自原框架发布的二十年来，商业和运营环境已经发生了巨大的变化，越来越趋于复杂、技术驱动和全球化。

与此同时，利益相关者更多地参与，在内部控制系统完整性方面寻求更大的透明度和责任性，以支持商业决策和组织治理。

COSO很高兴提供更新版的内部控制整体框架（“框架”，Framework）。

COSO 相信框架将使各组织能够有效和高效地开发和维护内部控制系统，可以提高实现主体目标的可能性，适应商业和运营环境的变化。

有经验的读者会发现在框架中有许多是熟悉的，它们建立在原版本中被证明是有用的内容。

它保持了内部控制的核心定义和五项要素。

把五项要素作为评价内部控制系统有效性的要求，从根本上保持不变。

同时，在设计、贯彻和运行内部控制时，以及在评价内部控制系统有效性时，框架继续强调管理层判断的重要性。

与此同时，框架包括了一些旨在易于运用的改进和澄清。

一个更重要的改进之处是对原框架中已作介绍的基础概念的形式化。

在新版框架中，这些概念现在成为原则，与五项要素联系起来，为使用者在设计和贯彻内部控制系统和理解有效内部控制方面，提供清晰说明。

框架的改进还有，通过扩大财务报告目标类别以包含其他重要的报告形式，如非财务的和内部的报告。

同时，框架反映了过去数十年来商业和运营环境许多变化方面的考虑，包括：· 治理监督的期望· 市场和运营的全球化· 商业的变化和更大复杂性· 法律、法规、规则和标准方面的需求和复杂性· 能力和责任的期望· 不断发展的技术的适用和依赖· 与预防和发现舞弊有关的期望本“内容摘要”旨在为董事、首席执行官和其他高级管理人员提供了一个高层次的概述。

Internal Control–Integrated Framework部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization.部控制帮助组织达到重要的目标，维持和改进业绩。

科索委员会的部控制整合框架使得组织能够开发有效果且有效率的部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规决策和组织的治理。

Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory第1页environments.设计并实施一套有效的部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。

内部控制——整合框架►内容摘要[简体中文版本由中国企业内部控制标准委员会（财政部会计司）组织翻译] （简体中文版本翻译者：中国东北财经大学方红星教授）Treadway委员会发起组织委员会（COSO）Treadway委员会发起组织委员会（COSO）监督代表美国注册会计师协会（AICPA）Robert L. May，主席美国会计学会（AAA）Alvin A. Arens内部审计师协会（IIA）William G. Bishop, III 管理会计师协会（IMA）Thomas M. O’Toole 财务经理协会（FEI）P. Norman Roy COSO项目咨询委员会指导Gaylen N. Larsen，主席集团副总裁，首席会计官家居国际（Household International）集团C. Perry Colwell高级副总裁—财务管理AT&T（已退休）John H. Stewart助理司库IBM公司Andrew D. Bailey会计系教授亚利桑纳大学商务与公共管理学院William J. Ihlanfeldt助理主计长壳牌石油（Shell Oil）公司Howard L. Siers，顾问总审计师杜邦（E. I. Du Pont deNemours）公司（已退休）Roger N. Carolus高级副总裁国民银行（NationsBank）（已退休）David L. Landsittel管理董事—审计安达信（Arthur Andersen）公司永道（Coopers & Lybrand）作者主要撰稿人Vincent M. O’Reilly 副主席，会计与审计R. Malcolm Schwartz主管，纽约分所Richard M. Steinberg合伙人，国内分所Frank J. Tanki主任，会计与SEC技术服务Robert J. Spear合伙人，波士顿分所内容摘要高级执行官们长期以来一直在探寻更好地控制他们所经营的企业的方法。

第十讲内部控制与风险管理新发展1001COSO2013版内部控制整合框架王清刚中南财经政法大学会计学院Email：kjxywqg1125@COSO《内部控制——整合框架（2013）》●框架逻辑：目标——要素——原则——关注点●1.控制环境⏹原则1：组织显示出对诚信和道德价值观的承诺◆确立高层态度、建立行为准则、评价对行为准则的遵守情况、实施有关流程，并根据组织的行为准则来评估个人和团队的表现、及时处理变差情况⏹原则2：董事会应展现出其独立于管理层，并对内部控制的开展和成效实施监督◆建立监督责任、运用专业知识、保持独立运作、履行对内部控制体系的监督职责●1.控制环境⏹原则3：管理层为实现目标，应在董事会的督导下确立组织架构、汇报路线、合理的权利与责任◆考虑主体的所有架构；制定汇报路线；定义、分配及限制权力与责任（董事会、高级管理层、管理层、员工及外包服务供应商）⏹原则4：组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺◆建立政策和实践；评估胜任能力并改善不足；吸引、培养和留用人才；规划与准备后续人才⏹原则5：组织为实现目标，应要求员工承担内部控制的相关责任◆通过组织架构、权利与责任来强化问责机制；建立绩效衡量、激励和奖励机制；评估绩效衡量、激励和奖励机制的持续相关性；考虑过度的压力；评价业绩并奖功罚过●2.风险评估⏹原则6：组织应设定清晰明确的目标，以识别和评估与目标相关的风险◆运营目标：反映管理层的选择、考虑风险容忍度、涵盖运营和财务绩效目标、形成资源配置的基础◆外部财务报告目标：符合适用的会计准则、考虑重要性水平、反映主体运营活动◆外部非财务报告目标：符合既定的外部标准和框架、考虑所需要的精确度水平、反映主体的活动◆内部报告目标：反映管理层的选择、考虑精确度要求、反映主题活动◆合规目标：反映外部法律法规及规章、内部制度、考虑风险容忍度与外部财务报 告目标相关： 年度财务报告 中期财务报告财务报告 外部报告与外部非财务 报告目标相关： 内部控制报告 社会责任报告管理层讨论与分析等非财务报告●用以满足外部利益相关方和监管机构的要求 ●按照外部标准编制 ●可能是应监管要求、合同或协议的要求编制和提供 主要特点与内部财务报 告目标相关：部门财务报表 成本分析表 费用分析表等内部报告与内部非财务 报告目标相关：员工权益保护报告 供应商管理报告 健康安全管理报告等●用以满足业务管理和经营决策的需要●按照相关性、及时性等要求灵活编制●由董事会和管理层建立等四类报告目标的内容、特点及关系●2.风险评估⏹原则7：组织应对影响其目标实现的风险进行全范围的识别和分析，并依此为基础来决定应如何管理风险◆应涵盖主体、下属单位、分部、业务单元和职能部门层面；分析内部和外部因素；让适当层级的管理层参与；评估所识别风险的重大性；决定如何应对风险⏹原则8：组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为◆考虑不同类别的舞弊、评估动机和压力、评估机会、评估态度和合理化●2.风险评估⏹原则9：组织应识别并评估对其内部控制体系可能造成重大影响的改变◆评估外部环境变化、评估商业模式变化、评估领导层变化●3.控制活动⏹原则10：组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动◆与风险评估相结合、考虑主体特有的因素、确定相关业务流程、评估控制活动类别的组合、考虑控制活动的适用层级、强调职责分离●3.控制活动⏹原则11：针对信息技术，组织应选择并执行一般控制活动以支持其目标实现◆决定在业务流程中应用的信息技术和信息技术一般控制之间的依存度；建立于信息技术基础设施相关的控制活动；建立与安全管理流程相关的控制活动；建立于信息技术引进、开发、维护流程相关的控制活动⏹原则12：组织应通过政策和程序来实施控制活动，政策市建立预期，程序是将政策付诸行动◆制定政策和程序以支持管理层指令的实施、确立政策和程序执行的职责和问责制、及时执行、采取整改措施、选用合格人员、重新评估政策和程序●4.信息与沟通⏹原则13：组织应获取或生成和使用高质量相关信息来支持内部控制的持续运行◆识别信息需求、收集内外部数据、将数据转化为信息、在处理过程中确保信息质量、应考虑成本效益原则⏹原则14：组织应在内部对内部控制目标和责任等必要信息进行沟通，从而支持内部控制持续运行◆沟通内部控制信息、与董事会沟通、提供独立的沟通途径（如举报热线）、选择沟通方式⏹原则15：组织应就影响内部控制发挥作用的事项，与外部进行沟通◆能与外部沟通、能从外部输入沟通信息、与董事会沟通、提供独立的沟通途径（如举报热线）、选择沟通方式COSO《内部控制——整合框架（2013）》●5.监控⏹原则16：组织应选择、开展并实施持续和（或）单独评估，以确认内部控制的各要素存在并持续运行◆持续评估和单独评估的组合、考虑变化率、建立对基础的理解、选用具备专业知识的人员、与业务流程整合、调整范围和频率、反映客观地评估⏹原则17：组织应评价内部控制缺陷，并及时与整改责任方沟通，必要时还应与高级管理层和董事会沟通◆评价结果、沟通缺陷、监督整改措。

浅析新版《内部控制——整合框架》对我国企业的启示作者：张栋来源：《财讯》2017年第01期COSO委员会内部控制—整合框架内部控制新版《内部控制——整合框架》的产生与发展（1）新版内控框架产生背景美国反虚假财务报告委员会是一个致力于解决财务报告中舞弊现象的组织机构。

COSO委员会研究的核心便是内部控制的相关问题。

1992年9月，委员会颁布了《内部控制——整合框架》。

该报告为企业评估其内部控制的有效性提供了依据，且更大程度上便利了企业目标的设定，所以该报告一经颁布便受到业内的广泛好评，很快得传播和推广到了全球的范围内。

但是随着全球经济一体化程度的不断加深，国际技术和人才竞争日益加剧，企业在运营理念、组织结构和经营模式等方面不断进行创新，同时内部控制的关注点也不仅仅局限于传统的财务报告，而是扩展到了非财务报告方面。

1992年颁布的《内部控制一一整合框架》的不完善之处也逐渐暴露，从而无法满足现代企业内部控制的需要。

与此同时，近几年一系列因内部控制失效而导致的舞弊事件频频发生，诸多因素下，COSO委员会不得不重新考虑对《内部控制——整合框架》进行完善和改进。

（2）内控框架修订过程及应用前景《2013年内部控制——整合框架》于2014年12月正式实施。

由于新版内部控制框架是对原版的内部控制框架的修订和完善，原内控框架的基本概念和定义被保留下来，并广泛被业界所采纳和接受。

因此，旧框架在新框架颁布到正式实施的这段时期里允许继续使用。

但是为避免混乱，使用COSO委员会颁布的内部控制整合框架的企业必须明确的披露企业使用的是哪一版本的内部控制框架。

COSO委员会制定了一系列的具体实施方案，帮助企业尽快转换到新版内控框架的使用上。

新版内控框架对我国企业内部控制的启示（1）当前我国内部控制现状内部控制作为企业管理的一个重要职能被越来越多的企业管理层所重视。

自此，我国企业的内部控制框架基本确立起来并取得了重大的突破：首先明确地界定了内部控制的内涵；其次对内部控制的目标进行了准确的定位；再者对内部控制的五大要素统筹兼顾。

《最新修订的内部控制整合框架》课程大纲为今天工作成绩优异而努力学习，为明天事业腾飞培训学习以蓄能！是企业对员工培训的意愿，是学员参加学习培训的动力，亦是蓝草咨询孜孜不倦追求的目标。

蓝草咨询提供的训练培训课程以满足初级、中级、中高级的学员（含企业采购标的），通过蓝草精心准备的课程，学习达成当前岗位知识与技能；晋升岗位所需知识与技能；蓝草课程注意突出实战性、技能型领域的应用型课程；特别关注新技术、新渠道、新知识创新型知识课程。

蓝草咨询坚定认为，卓越的训练培训是获得知识的绝佳路径，但也应是学员快乐的旅程，蓝草企业的口号是：为快乐而培训为培训更快乐！蓝草咨询为实现上述目标，为培训机构、培训学员提供了多种形式的优惠和增值快乐的政策和手段，可以提供开具培训费的增值税专用发票。

前言：2013年5月，COSO发布新修订的《企业内部控制整合框架》，提出基于公司治理与管理活动的内部控制观，发布了内部控制17项原则。

内部控制17项原则讲解及其运用。

案例1-5。

授课主要内容：一、内部控制以风险评估为导向风险评估的4项原则，要求企业对与其目标相关的风险进行识别、衡量与分析，在风险评估过程中考虑潜在的舞弊行为。

案例6：风险矩阵的应用。

1.风险等级设置及应对；2.风险分析矩阵二、将内部控制嵌入公司治理结构以组织层面控制为基础，以监督层面控制为手段！案例7-9。

三、将内部控制融入管理活动以业务流程和管理流程层面控制为核心！过去采用基于独立审计的内部控制观，COSO新框架采用基于管理活动的内部控制观，强调将内部控制与管理活动相结合，逐渐弱化内部控制与管理活动之间的界限，以恰当的方式将内控融入日常管理流程。

案例10：某企业订单提交变动风险控制。

四、利益相关者共同治理COSO新框架扩大了内部控制对象，将外部利益相关者纳入内控系统，具体表现为两个方面。

案例11：在操作层面上，企业应当梳理采购、销售、生产、环境等管理流程，筛选出可能涉及的重要外部利益相关者，评估其对本企业内部控制的影响及潜在风险。