COSO框架主要内容及内部控制

框架

框架内容内容提要

1 - 定义

2 - 控制环境

3 - 风险评估

4 -控制活动

5 -信息和沟通

6 -监督

7 -内部控制的局限性

8 -角色和职责

附件

A -研究的背景和相关事件

B -方法

C -对于定义的观点和应用

D -意见信的考虑

E -精选术语表

Committee of Sponsoring Orginizations of the Treadway Commission

(COSO)

主席

Gaylen N. Larson

会员机构代表

财务执行机构P. Norman Roy

美国注册会计师协会Philip B. Chenok

美国会计师协会Andrew D. Bailey

内部审计师协会William G. Bishop III

管理会计师协会Robert W. Liptak

内容提要

长期以来，高级管理层一直在寻找控制和管理他们所经营的企业的更好方法。内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展，并将这个过程中的干扰因素最小化。内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求，并针对未来的成长进行调整。内部控制促进效率性，降低资产损失的风险，并有助于确保财务报表的可靠性和对于法律法规的遵循性。

由于内部控制服务于很多重要的目标，对于更好的内部控制系统及其运行效果的要求不断增加。内部控制系统越来越多地被视为各种潜在问题的解决方案。

什么是内部控制

内部控制对于不同的人具有不同的意义，这造成了经商人士、立法者、监管机构和其他相关方的困惑，同时导致企业由于沟通有误和期望不同而产生问题。

在内部控制被写入法律、法规或条例中时，如果没有清晰的定义，问题会更加复杂化。

本报告针对管理层和其他方面的需求和期望，在定义和描述内部控制时考虑如下因素：

•建立一个适用于各方需求的通用的定义

•提供一个标准，无论是大的或小的、公众的或私人的、盈利性的或非盈利性的业务和企业，均可以参照该标准评估他们的控制系统并决定如何改进。

内部控制在广义上可以定义为一个流程，它受到企业的董事会、管理层和其他人员的影响，它为实现下述各个类型的目标提供合理的保证：

•经营的效率和效果

•财务报告的可靠性

•法律法规的遵循性

第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性。第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表以及从这些公开发布的报表中精选的财务数据，例如业绩公告。第三类目标涉及对于企业所适用的法律及法规的遵循。这些明显的但是重叠的目标类型明确了不同的需求，并允许有所偏重以满足单独的需求。

内部控制系统的运作具有不同层面的有效性。如果董事会和管理层在下述方面提供合理的保证，内部控制可以在三种类型中的每一类被分别判断为有效：•他们理解企业经营目标的实现程度

•公开性的财务报表的编制具有可靠性

•遵循相关的法律和法规

由于内部控制是一个流程，它的有效性表现为流程在一个或多个时点上的状态或情形。

内部控制包括五个相互关联的组成部分。它们源于管理层运作业务的方式，并且是管理流程的一部分。尽管这些适用于所有企业，中小型公司的实施过程可能有别于大型企业。中小型公司的控制可能比较非正式和缺少结构性，当然小型公司也可能拥有有效的内部控制。

这些组成部分为:

•控制环境 – 控制环境决定了一个组织的基调，影响成员对于控制的意识。它是内部控制所有其他部分的基础，提供纲领和结构。控制环境因素包括诚

信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理层如何进行授权和职责分配，如何组织和发展它的员工；董事会提供的关注和指导。

•风险评估-每个公司都面临着内外部风险，这些风险必须被评估。风险评估的前提是建立不同层次但具有内部一致性的目标。风险评估是发现和分析对达到目标有影响的风险的过程，是确定如何管理和控制风险的基础。因为经济状况、行业状况、法规和经营状况会不断发生变化，风险评估要发现并处理这些变化对有关风险的影响。

•控制活动-控制活动是确保管理层指令得到执行的公司政策和流程。它确保企业针对相关的风险采取了必要的措施，以实现企业的目标。控制活动存在于整个组织的所有层次和所有职能部门中。控制活动包括一系列不同的活

动，例如对经营活动的审批、授权、确认、核对、审核，对资产的保护，职权分离等。

•信息和沟通-相关的信息必须以某种形式并在某个时段被识别、获得和沟通，以促使职责的履行。信息系统生成报告，内容包括经营、财务和合规性方面的信息，以使得管理层能够运作和控制业务活动。信息系统不只是处理内部生成的数据，而且还处理业务决策和外部报告所必须的关于外部事件、活动和状况的信息。有效的沟通应当基于更为广泛的理解，自上而下、自下而上地贯穿整个组织。所有的人员应当获得来自最高管理层的明确的信息并认识到—他们所承担的控制责任重要性。他们必须明白自己在内部控制系统中扮演的角色以及自己的行为与他人的工作如何联系。他们必须拥有向上沟通重要信息的途径。同时，也必须和外部单位进行有效沟通，例如客户、供应商、监管部门和股东。

•监督-内部控制系统需要监督－一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。持续的监督是在经营活动中进行的。它包括日常的管理活动和监督活动，以及

员工履行他们的职责时进行的活动。单独评价的范围和频率基本上取决于风险评估的结果和持续监督程序的有效性。内部控制的缺点应报告给上级部

门，重大事项应报告给管理层和董事会。

这些组成部分之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。内部控制系统与企业的经营活动相互交织，并因为最基本的业务原因而存在。当内部控制嵌入于组织架构中并成为公司的核心部分时，内部控制最为有效。“嵌入式”控制可以避免不必要的成本，可以对环境变化做出快速的反映。

目标和组成部分之间有直接联系，目标是组织力争达到的，而组成部分说明要达到目标需要什么。所有的组成部分和目标是相关联的。当我们观察任何目标时－运营的效率和效果－举例来说，所有的五个组成部分必须都存在并有效运行，才能说在运营有效性方面，内部控制是有效的。

内部控制的定义－其基本的概念是一个流程，提供合理的保证－与目标和组成要素的分类、有效性标准以及相关的讨论，共同组成了该内部控制框架。

内部控制的作用

内部控制可以帮助企业实现经营和盈利目标，避免资源损失。它有助于保证财务报告的可靠性，有助于保证公司运营符合相关的法律法规，避免声誉受到伤害和其他不良结果。总之，它有助于企业按照期望的方向发展，避免陷阱和意外。

内部控制无法做到：

有些人对内部控制抱有过高的、不切实际的期望。他们寻求绝对化，认为：•内部控制可以保证企业的成功－也就是说，它会保证实现基本业务目标，或者至少保证企业的生存。

有效的内部控制只是帮助企业实现他们的目标。它可以向管理层提供

企业对于目标的实现程度的信息。但是内部控制不能使一个本身不好

的经理变成一个好经理。另外，政府政策或程序的变化、竞争对象的

行为或者经济状况的变化是超越于管理层可控范畴的。内部控制不能

保证成功，甚至不能保证公司的生存。

•内部控制可以保证财务报表的可靠性和法律法规的遵循性

这种想法也是没有根据的。一个内部控制系统，无论设计和运行得多

么完善，也只能为管理层和董事会就公司目标的实现提供合理保证－

而不是绝对的保证。目标实现的可能性受所有内部控制系统本身的局

限性影响，包括做决定时依据的判断可能是错误的，而且这种失败可

能源于非常小的错误或失误。另外，控制可能被员工共谋而规避，而

且管理层有能力凌驾于控制之上。另外一个限制因素是内部控制系统

的设计受到资源的限制，考虑实施控制的好处时也要考虑控制成本。