2013COSO内部控制框架中英文对照版
Internal Control Integrated Framework
内部控制整合框架
Executive Summary
执行纲要
Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization.
内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。
Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments.
设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型,对技术的深入应用和依赖,日益繁多的监管要求和检查,全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。
An effective system of internal control demands more than rigorous adherence to policies and procedures: it requires the use of judgment. Management and boards of directors use judgment to determine how much control is enough. Management and other personnel use judgment every day to select, develop, and deploy controls across the entity. Management and internal auditors, among other personnel, apply judgment as they monitor and assess the effectiveness of the system of internal control.
一套有效的内部控制体系除了对制度和流程严格遵守外,还要求判断力。管理层和董事会1通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断,在组织内选取,推进和实施各类控制。管理层和内部审计师,以及其他的员工,通过其判断来监控和测试内部控制体系的有效性。
1本框架使用“董事会”一词,泛指治理层,包括:董事会,理事会,一般合伙人,所有者和监事会等
The Framework assists management, boards of directors, external stakeholders, and others interacting with the entity in their respective duties regarding internal control without being overly prescriptive. It does so by providing both understanding of what constitutes a system of internal control and insight into when internal control is being applied effectively.
本框架在内部控制方面,对管理层,董事会,外部的利益相关者和其他与组织产生互动关系的相关方有所帮助,且不会过分死板;而这有赖于对内部控制体系构成要素的理解,有赖于对内部控制体系能够有效实施的时机的洞见。
For management and boards of directors, the Framework provides:
对于管理层和董事会,本框架提供:
A means to apply internal control to any type of entity, regardless of industry or legal structure, at the levels of entity, operating unit, or function
●一套工具,将内部控制推广到各类型的组织,无论行业或法律形式,无论在组织层面,经营单元层面或职能层面;
A principles-based approach that provides flexibility and allows for judgment in designing, implementing, and conducting internal control—principles that can be applied at the entity, operating, and functional levels
●一种原则导向的方法,能够灵活设计,实施和推进内部控制,并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用;
dering how components and principles are present and functioning and how components operate together
●一些要求,具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用,如何在一起产生协调作用;
A means to identify and analyze risks, and to develop and manage appropriate responses to risks within acceptable levels and with a greater focus on anti-fraud measures
●一套工具,识别和分析风险,开发和管理合适的风险应对措施将风险控制在可接受的水平,且更关注反舞弊措施;
An opportunity to expand the application of internal control beyond financial reporting to other forms of reporting, operations, and compliance objectives.
●一个机会,将基于财务报告的内部控制扩大应用范围,满足各种其他的报告、运营和遵循目标;
An opportunity to eliminate ineffective, redundant, or inefficient controls that provide minimal value in reducing risks to the achievement of the entity’s objectives
●一个机会,清理那些在降低风险方面价值不大的无效,冗余和低效的控
制。
For external stakeholders of an entity and others that interact with the entity, application of this Framework provides:
对于外部利益相关者和组织的其他相关方,本框架的应用可使其:
Greater confidence in the board of directors’ oversight of internal control systems
★对于董事会针对内部控制的监管更有信心;
Greater confidence regarding the achievement of entity objectives
★对于组织实现目标更有信心;
Greater confidence in the organization’s ability to identify, analyze, and respond to risk and changes in the business and operating environments ★对组织识别,分析和应对来自商业与运营环境风险与变化的能力更有信心;
Greater understanding of the requirement of an effective system of internal control
★更了解有效的内部控制体系的具体要求;
Greater understanding that through the use of judgment, management may be able to eliminate ineffective, redundant, or inefficient controls
★更了解管理层如何通过其判断清理那些无效,冗余和低效的控制。
Internal control is not a serial process but a dynamic and integrated process. The Framework applies to all entities: large, mid-size, small, for-profit and not-for-profit, and government bodies. However each organization may choose to implement internal control differently. For instance, a smaller entity’s system of internal control may be less formal and less structured, yet still have effective internal control.
内部控制不是一个按部就班的过程而是一个动态和整合的过程。本框架可以适用于各类型的组织:大型,中型或小型;盈利,非盈利或政府机构。然而,每个组织都可以有权选择,实施不同的内部控制。例如,一个小型组织的内控体系可以不那么正式和结构清晰,但仍保持有效。
The remainder of this Executive Summary provides an overview of internal control, including a definition, categories of objective, description of the requisite components and associated principles, and requirement of an effective system of internal control. It also includes a discussion of limitations—the reasons why no system of internal control can be perfect. Finally, it offers considerations on how various parties may use the Framework.
以下,本文将对内部控制提供总览,包括定义,各类别的目标,必要要素
和相关原则的描述,以及对一个有效内部控制体系的要求。本文也将讨论内部控制的局限性——为什么没有一个内部控制体系是完美的。
Defining Internal Control
定义内部控制
Internal control is defined as follows:
内部控制定义如下:
Internal control is a process, affected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance.
内部控制是一套流程,受组织的董事会,管理层和其他员工所影响,被设计并用来为组织提供合理保证,使其实现运营,报告和遵循目标。
This definition reflects certain fundamental concepts. Internal control is:
以上定义体现了一些基础概念。内部控制是:
Geared to the achievement of objectives in one or more categories—operations, reporting, and compliance.
使组织实现多个种类的目标,如运营,报告和遵循;
A process consisting of ongoing tasks and activities—a means to an end, not an end in itself.
一个持续不断的过程,包括各种任务和活动——一个达到目的的手段,而非目的本身;
Effected by people—not merely about policy and procedure manuals, systems, and forms, but about people and the actions they take at every level of an organization to affect internal control
受人的影响—不仅仅是制度和流程手册,体系和表单,而是组织各个层级的人和他们所采取的行动;
Able to provide reasonable assurance—but not absolute assurance, to an entity’s senior management and board of directors
可以向组织的高级管理层和董事会提供合理保证——而非绝对保证;
Adaptable to the entity structure—flexible in application for the entire entity or for a particular subsidiary, division, operating unit, or business process 可以适应组织的结构—可灵活应用于整个组织或一个分支机构,业务部,运营单元或业务流程。
This definition is intentionally broad. It captures important concepts that are fundamental to how organizations design, implement, and conduct internal control, providing a basis for application across organizations that operate in different entity structures, industries, and geographic regions.
这个定义被设定的包含广泛,包括了关于组织如何设计,实施和推进内部控制的一些重要的基础概念,为不同的组织架构,行业和地理区域的组织提供了操作支持。
Objectives
目标
The Framework provides for three categories of objectives, which allow organizations to focus on differing aspects of internal control:
本框架提供了三个类型的目标,使得组织可以关注于内部控制的不同方面:
Operations Objectives—These pertain to effectiveness and efficiency of the entity’s operations, including operational and financial performance goals, and safeguarding assets against loss.
运营目标——组织运营的效果和效率,包括运营和财务绩效目标,资产安全不受损失。
Reporting Objectives—These pertain to internal and external financial and non-financial reporting and may encompass reliability, timeliness, transparency or other terms as set forth by regulators, recognized standard setters, or the entity′s policies.
报告目标——内、外部的财务和非财务报告的可靠性、及时性、透明度,以及其他监管者、公认的标准制定机构和组织政策所要求的方面。
Compliance Objectives—These pertain to adherence to laws and regulations to which the entity is subject.
遵循目标—遵守对组织适用的法律法规。
Components of Internal Control
内部控制的要素
Internal control consists of five integrated components.
内部控制包括五个相关关联的要素。
Control Environment
控制环境
控制环境是一套标准、流程和结构,能够为内部控制的实施提供基础。董事会和高级管理层为内部控制的重要性(包括期待的行为准则)提供高层定调(the tone at the top)。组织各个层级的管理活动强化了这种期望。控制环境包括了组织正直和道德的价值观;促进董事会行使公司治理的监控职责的机制;吸引、开发和保留人才的机制;严格的绩效衡量、激励和汇报机制以保证绩效实现。控制环境会对内部控制的整体体系产生全面影响。
Risk Assessment
风险评估
每个组织都面临着来自内外部的各类风险。风险是潜在事件发生并对组织实现其目标产生负面影响的可能性。风险评估包括了根据组织要实现的目标,动态和反复的识别和评估风险的过程。将全组织范围的影响目标实现的风险同已经建立的风险容忍度一同考量后,风险评估就为决定风险如何进行管理打下了基础。
风险评估的先决条件是组织各个层级的目标的确立。管理层要结合运营、报告和遵循的三大类目标,明确相应的具体目标,以便识别和分析相关的风险。管理层也要考虑这些目标对于组织的可持续性。风险评估还要求管理层考虑可能导致内控失效的外部环境和内部商业模式的可能变化。
Control Activities
控制活动
控制活动是通过制度和流程所确立的行动,旨在确保管理层降低影响组织目标实现的风险的方针得以实现。在组织的各个层级,业务的各个环节,信息技术的整个环境中都应实施控制活动。
从性质上,可以是预防性的,也可以是检查性的;应覆盖手工和自动控制;包括授权和批准,复核,对账和业务绩效评估。不相容职责分离也是典型的应选取和推进的控制活动。
如果不相容职责分离无法实施,管理层应选择和推进替代性的控制活动。
Information and Communication
信息与沟通
信息对于组织而言,对推进内控、促进其目标实现是非常必要的。管理层从内外部获得或生成,并且使用相关的有质量的信息来支持内部控制其他要素
的正常运转。
沟通是一个持续和不断重复的提供、分享和获得必要的信息的过程。内部沟通是一个手段,使得信息能够在整个组织向上、向下和横向扩散,能够帮助员工接受来自高管层的清晰的信息——控制的职责必须认真实施。
外部沟通包括两个部分:将外部的相关信息传入组织内部,以及根据其要求和期望,提供信息给外部的相关方。
Monitoring Activities
监督活动
持续的评价,独立的评价,或者两者的某种组合可以用来确认内部控制的五个要素以及每个要素下的原则是否存在并发挥作用。嵌入整个业务体系的持续评价可以提供及时的信息;独立的评价需要定期开展,其范围和频率可能因风险评估,持续评价的有效程度以及管理层的其他考虑而有所不同。
评价中的发现应结合监管者、标准订立机构和管理层、董事会所设定的标准进行评估;缺陷应当视情况传递给管理层和董事会。
Relationship of Objectives and Components
目标和要素的关系
组织要实现的目标,为了实现目标所必须的要素,组织的组织架构(如运营单元,法律实体及其他)这三者之间存在着直接的关系。这个关系可以以一个立方体的形式展现。
运营、报告和遵循三类目标以纵列表示。
内部控制的五个要素以横行表示。
组织的组织架构以第三维表示。
Components and Principles
要素及原则
本框架确立了十七项原则代表了与每个控制要素相关的基本概念。因为这些原则直接从控制要素中提炼,一个组织可以直接应用全部这些原则来实施内部控制。这些原则都可以应用于运营、报告和遵循三类目标。这些每个控制要素内的原则如下:
Control Environment
控制环境
1. The organization demonstrates a commitment to integrity and ethical values.
组织对正直和道德等价值观做出承诺。
2. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.
董事会独立于管理层,并对内部控制的推进与成效加以监督控制。
3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.
管理层围绕其目标,在治理层监督下,建立健全组织架构、汇报条线、合理的授权与责任等机制。
4. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.
组织对吸引、开发和保留与认同组织目标的人才做出承诺。
5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.
组织根据其目标,使员工各自担负起内部控制的相关责任。
Risk Assessment
风险评估
6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.
就识别和评估与其目标相关的风险,组织做出清晰的目标设定
7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.
组织对影响其目标实现的风险进行全范围的识别和分析,并以此为基础来决定风险应如何进行管理。
8. The organization considers the potential for fraud in assessing risks to the achievement of objectives.
组织在风险评估过程中,考虑潜在的舞弊行为。
9. The organization identifies and assesses changes that could significantly impact the system of internal control.
组织识别和评估对内部控制体系可能造成较大影响的改变。
Control Activities
控制活动
10. The organization selects and develops control activities that contribute to
the mitigation of risks to the achievement of objectives to acceptable levels.
组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平。
11. The organization selects and develops general control activities over technology to support the achievement of objectives.
对(信息)技术,组织选择并开展一般控制以支持其目标的实现。
12. The organization deploys control activities through policies that establish what is expected and procedures that put policies into action.
组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活动。
Information & Communication
信息与沟通
13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control.
组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用。
14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.
组织在其内部沟通传递包括内部控制的目标和责任在内的必要信息以支持内部控制发挥作用。
15. The organization communicates with external parties regarding matters affecting the functioning of internal control.
组织与外部相关方就影响内部控制发挥作用的事宜进行沟通。
Monitoring Activities
监督活动
16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.
组织选择、推动并实施持续且(或)独立的评估以确认内部控制的要素是存在且正常运转的。
17. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.
组织在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)沟通。
Effective Internal Control
内部控制的有效性
本框架对一个有效的内部控制体系设定了要求。
An effective system provides reasonable assurance regarding achievement of an entity’s objectives. An effective system of internal control reduces, to an acceptable level, the risk of not achieving an entity objective and may relate to one, two, or all three categories of objectives. It requires that:
一个有效的体系应当为组织目标的实现提供合理保证。一个有效的内部控制体系将影响组织目标实现的风险降低到可接受的水平,无论这些风险与一个、两个或三个类别的目标相关。
一个有效的内部控制体系要求:
Each of the five components and relevant principles is present and functioning.
五个要素及相关的原则都存在且发挥作用。
“Present” refers to the determination that the components and relevant principles exist in the design and implementation of the system of internal control to achieve specified objectives. “Functioning” refers to the determination that the components and relevant principles continue to exist in the operations and conduct of the system of internal control to achieve specified objectives.
“存在”是指这些控制要素和相关原则都已包含在内部控制体系的设计和运行中,以实现具体目标。
“发挥作用”是指这些控制要素和相关原则,确定的持续的存在于内部控制体系的运行和行为中。
?The five components operate together in an integrated manner
五个控制要素共同运行,发挥整合的作用。
“Operating together” refers to the determination that all five components collectively reduce, to an acceptable level, the risk of not achieving an objective. Components should not be considered discretely; instead, they operate together as an integrated system. Components are interdependent with a multitude of interrelationships and linkages among them, particularly the manner in which principles interact within and across components.
“共同运行”是指所有的五个控制要素共同的将影响目标实现的风险降低到可接受水平。控制要素不应被割裂的看待,而应被视为一个整体。
When a major deficiency exists with respect to the presence and functioning of a component or relevant principle, or with respect to the components operating
together in an integrated manner, the organization cannot conclude that it has met the requirements for an effective system of internal control.
当一个重大的缺陷存在,可能影响控制要素和相关原则的存在和发挥作用,或影响其共同运行发挥整合的作用,该组织不能认为其达到了内部控制的有效性。
When a system of internal control is determined to be effective, senior management and the board of directors have reasonable assurance, relative to the application within the entity structure, that the organization:
当一个内部控制体系要实现有效性,高级管理层和董事会要在整个组织架构中对其实施有合理保证,使得组织:
Achieves effective and efficient operations when external events are considered unlikely to have a significant impact on the achievement of objectives or where the organization can reasonably predict the nature and timing of external events and mitigate the impact to an acceptable level
在不太可能有外部事件对组织实现其目标产生重大影响的情况下,或者组织可以合理的预测外部事件的性质和时间点以降低其影响到可接受水平的情况下,组织能够保证有效果和有效率的运营。
Understands the extent to which operations are managed effectively and efficiently when external events may have a significant impact on the achievement of objectives or where the organization can reasonably predict the nature and timing of external events and mitigate the impact to an acceptable level.
在不太可能有外部事件对组织实现其目标产生重大影响的情况下,或者组织可以合理的预测外部事件的性质和时间点以降低其影响到可接受水平的情况下,了解其运营受到管理的效果和效率所达到的程度。
Prepares reports in conformity with applicable rules, regulations, and standards or with the entity’s specified reporting objectives.
能够根据相关规则、规定和标准,或者具体的报告目标提供报告。
Complies with applicable laws, rules, regulations, and external standards
遵循相关的法律、规则、规定和外部标准。
The Framework requires judgment in designing, implementing, and conducting internal control and assessing its effectiveness. The use of judgment, within the boundaries established by laws, rules, regulations, and standards, enhances management’s ability to make better decisions about internal control, but cannot guarantee perfect outcomes.
本标准要求在设计、实施和推进内部控制和评价其有效性时进行判断。在法律、规则、规定和标准允许的范围内,判断的使用将加强管理层对于内部控
制做出更佳决策的能力,但不能保证完美的结果。
Limitations
局限性
The Framework recognizes that while internal control provides reasonable assurance of achieving the entity’s objectives, limitations do exist. Internal control cannot prevent bad judgment or decisions, or external events that can cause an organization to fail to achieve its operational goals. In other words, even an effective system of internal control can experience a failure. Limitations may result from the:
本框架承认:虽然内部控制为组织实现目标提供合理保证,但仍存在局限性。内部控制无法防止错误的判断和决策,或者外部可能造成组织无法实现其运营目标的事件。换言之,即使一个有效的内部控制体系也会经历失败。
其局限性是由于:
Suitability of objectives established as a precondition to internal control
组织所建立的目标的合理性是内部控制的先决条件;
Reality that human judgment in decision making can be faulty and subject to bias
决策中,人为判断出错以及产生偏差是客观存在的;
Breakdowns that can occur because of human failures such as simple errors
人为的低级错误所产生的失效;
Ability of management to override internal control
管理层凌驾于内部控制之上;
Ability of management, other personnel, and/or third parties to circumvent controls through collusion.
管理层、其他员工,和/或第三方串通以绕过控制;
External events beyond the organization’s control
外部不受控的事件。
These limitations preclude the board and management from having absolute assurance of the achievement of the entity’s objectives—that is, internal control provides reasonable but not absolute assurance. Notwithstanding these inherent limitations, management should be aware of them when selecting, developing, and deploying controls that minimize, to the extent practical, these limitations.
这些局限使得董事会和管理层无法对实现组织的目标提供绝对保证,因而内部控制提供的是合理保证而非绝对保证。管理层在选取、推进和实施内部控制时,仍应当考虑并最大可能将这些内在的局限性最小化。
COSO内部控制整体框架简介
COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织(COSO)发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后,《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时,财务报告和相关立法以及监管环境也发生了变革。值得注意的是,2002年美国颁布了《萨班斯法案》。其中,《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移,这项框架到今天仍然是有效的,遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而,较小型公众公司在面对执行第404号条款的挑战时,承受了意料之外的成本。为了指导较小型公众公司执行第404条款,美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》(以下简称《指南》)。 《指南》并非是对《内部控制—综合框架》的取代亦或修改,而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面,《指南》为较小型公众公司提供了指导(当然《指南》也同样适用于大型公司)。尽管《指南》本意上是为了帮助管理层建立和维持财务
报告内部控制的有效性而制定的,但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分,第一部分是概要,向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点,其中描述了公司的特征,这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外,还从《内部控制—综合框架》中提炼了20个基本原则,并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣,并在必要的情形下参考第二部分的其它章节,而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”,但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”,这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作
COSO企业风险管理整合框架附录部分中文版
P109 企业风险管理—整合框架和内部控制—整合框架之间的关系 1992年,COSO(反虚假财务报告委员会的赞助组织委员会)发布了《内部控制—整合框架》,该框架建立了内部控制结构,并提供评价工具,从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。 内部控制—整合框架将内部控制定义为一个过程,该控制过程受到企业董事会、管理层和全体职工的影响,旨在提供合理保证,以实现下列目标: ?经营的效率和效果 ?财务报告的可靠性 ?法律法规的遵循性 本附录概述了内部控制框架和企业风险管理框架之间的关系。 对内部控制的拓展 内部控制是企业风险管理的主要组成部分。相比较而言,企业风险管理的内容则更为深入,它扩展和详述了内部控制的范畴,这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制,从而使内部控制—整合框架仍然有重要的影响。 目标分类 内部控制—整合框架细分了三种目标—运营目标,财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目标,报告目标和合规目标。在内部控制框架中,报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中,报表的范畴被明显的扩展,涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 P110 企业风险管理—整合框架增加了一个高层次的目标,即战略目标。战略目标来源于主体的规划,同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。 企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量,它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中,管理层需考虑相关目标的重要性,并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内,进而确保该主体将会实现其目标 风险组合观点 风险组合未包含在内部控制框架之内。对企业内每个单位而言,其风险可能落在该单位的风险容忍度范围内,但从企业总体来看,总风险可能超过企业总体的风险偏好范围。因此,应从企业总体的风险组合的观点看待风险。 组成部分 在加强关注风险的同时,企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定(内部控制的先决条件)、事项识别、风险评估和风险应对。 内部环境 在论述环境组成方面,企业风险管理框架讨论了一种主体风险管理理念,即一整套共同的信念和态度。描述了主体如何考虑风险,反映了它的价值观,并影响其文化和经营风格。如上所述,此框架包含了风险偏好的概念,风险承受能力更加明确的印证了这一点。 考虑到董事会的决定性作用及其构成,为了使企业风险管理更加有效,企业风险管理框架将
内部控制五要素
按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素: 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》,并结合中国国情,要求企业所建立与实施的内部控制,应当包括下列五个要素: 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 详解: 有效的内部控制至少应当包括以下五项基本要素: 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审
计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要
COSO内部控制整体框架(5要素)简介
COSO内部控制整体框架 水门事件后,内部控制理论引起了美国各界的广泛重视。然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization),开创性地提出了一套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年,美国国会通过了《反国外贿赂法》(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制:现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting),即tread-way委员会。Tread-way委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。Tread-way委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。因此,Tread-way委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年,COSO提出了《内部控制整体框架》报告,并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性,需要下列五个方面的要素支持:控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。 相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策
内部控制体系基本框架
部控制体系基本框架 目次 1 总则...................................... 1.1 编制目的……………………………………… 1.2 编制依据……………………………………… 1.3 编制原则……………………………………… 1.4 主要应用……………………………………………………………………… 1.5 主要容………………………………………………………………………… 1.6 控制的原则……………………………………………………………………… 1.7 控制的职责……………………………………………………………………… 2 框架基础……………………………………………………………………………… 2.1 公司愿景………………………………………………………………………… 2.2 公司使命………………………………………………………………………… 2.3 公司战略………………………………………………………………………… 2.4 经营理念………………………………………………………………………… 2.5 企业文化………………………………………………………………………… 2.6 核心价值观……………………………………………………………………… 2.7 公司与政府的关系……………………………………………………………… 2.8 公司与投资方的关系…………………………………………………………… 2.9 公司与员工的关系……………………………………………………………… 3 控制环境……………………………………………………………………………… 3.1 公司治理架构…………………………………………………………………… 3.2 管理理念及经营风格…………………………………………………………… 3.3 组织结构………………………………………………………………………… 3.4 诚信与道德价值观……………………………………………………………… 3.5 权责分配体系…………………………………………………………………… 3.6 人力资源政策及实施…………………………………………………………… 4 风险管理……………………………………………………………………………… 4.1 风险管理容…………………………………………………………………… 4.2 风险管理目的…………………………………………………………………… 4.3 风险管理信息的采集………………………………………………………… 4.4 风险评估……………………………………………………………………… 4.5 风险管理策略………………………………………………………………… 4.6 风险应对措施………………………………………………………………… 4.7 风险管理的监督与改进……………………………………………………… 5 控制活动…………………………………………………………………………… 5.1 实施控制活动的基本要求…………………………………………………… 5.2 建立预算管理和经营活动分析评价制度…………………………………… 5.3 期末财务报告流程…………………………………………………………… 5.4 建立控制活动体系…………………………………………………………… 6 信息与沟通………………………………………………………………………… 6.1 信息……………………………………………………………………………
COSO企业风险管理框架
一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 二、COSO委员会新报告《企业风险管理——总体框架》解读 内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计
师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世 界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的 风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺乏保障资产的概念。例如美国审计总署(GAO)认为,这个文件对于内部控制的重要性的强调还不够,它丧失了提高内部控制监督和评估的机会。美国前总审计长查尔斯.鲍雪(Charles Bowsher)曾经说:“对有效控制的最大需求可能是在信贷组合领域。……一份没有丝毫谈及信
coso企业风险管理整合框架
c o s o企业风险管理整合 框架 集团标准化办公室:[VV986T-J682P28-JP266L8-68PNN]
公司治理·内部控制前沿译丛 企业风险管理——整合框架 (美)COSO 制定发布 方红星王宏译 大连 制定发布机构简介 COSO是Treadway委员会(Treadway Commission,即反欺诈财务报告全国委员会(National Commission on Fraudulent Financial Reporting),通常根据其首任主席的姓名而称为Treadway委员会)的发起组织委员会(Committee of Sponsoring Organizations)的简称。Treadway委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。1987年,Treadway委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了着名的《内部控制——整合框架》(1994年作出局部修订),成为内部控制领域最为权威的文献之一。2003年7月,COSO发布了《企业风险管理——整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,2004年9月发布了最终的文本。本书就是按照2004年9月正式发布的文本进行翻译的。 译者简介
方红星,东北财经大学会计学院教授,博士,兼任东北财经大学出版社社长,编审,东北财经大学内部控制与风险管理研究中心研究员,三友会计研究所所长。主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。 王宏,西南财经大学会计学院博士研究生,现就职于财政部会计司综合处,近年来主要致力于内部会计控制等方面的理论和政策研究。 中文版前言 在内部控制和风险管理的演进过程之中,COSO的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》,已经成为世界通行的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。 2003年7月,COSO发布了《企业风险管理——整合框架》的征求意见稿,引起了广泛的关注,我国也有一些学者撰文介绍了相关的情况。诚然,企业风险管理整合框架并没有立即取代内部控制整合框架,但是它涵盖和拓展了后者。因此,对新的框架进行深入研究和探讨,具有十分重要的价值。2004年9月,正式的最终文本发布之后,由于着作权保护和其他方面的原因,在国内很难取得该框架最终定稿的版本。而许多学者继续按照征求意见稿来进行转述、介绍和研究,已经显得不合适了。为此,我们通过积极联络和多方努力,最终获得了正式授权,得以将这份重要的文献翻译成中文并在国内公开出版。 长期以来,尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后,关于内部控制的研究和立法行动深受社会各界的重视和关注,我国也概莫能外。我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。目前,关于研究和制定企业内部控制指
内部控制整合框架—— COSO的内控魔方
内部控制整合框架 ——COSO的内控魔方 清华大学 宋逢明教授
中国中国企业内部控制规范性文件企业内部控制规范性文件 1.财政部、证监会、审计署、银监会、 2008522保监会等五部委于年月日发布《企业内部控制基本规范》(财会20087【】号文) 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》,包括18项《企业内部控制应用指引》,以及《企业内部控制评价指引》和《企业内部控制审计指引》(财会【2010】11号文)
关于COSO COSO(The Committee of Sponsoring Organizations of the Treadway Commission ) the Treadway Commission 是由左列五个民间机构联合 发起的组织,旨在提供企业 风险管理和内部控制的思想 指导和管理架构。
COSO内部控制整合框架 Framework) Integrated Framework (ICIF:Internal Control--Integrated Internal Control ●首次发表于1992年 ●金融危机后被广泛接受 ●在美国使用非常普遍 ● 现在在世界范围内已被 普遍使用 原始的COSO内控魔方
2012年的修订版 商业环境的变化内控整合框架的相应变化 修订时间表(正式发布时间已推迟)201020112012 9月-1月2月-10月12月-3月4月-12月 有关方面的 审阅和评估设计和构建 公开 征求意见完成定稿
内部控制的定义 ● 定义:内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程,这一过程的设计是为实 现以下三类企业运行的目标提供合理的保障: 1企业运行(操作)的有效和效率1. 2.报告的可靠性 3. 合规性(符合法律和监管要求) ● 内部控制的涵义: 1.内部控制是一个管理控制过程 内部控制是个管理控制过程 2.内控是受人们活动影响的,不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障 4.内控与三类运行目标(运行操作、报告和合规性)配套 5. 内控要与企业的组织结构相适应
(管理)新内部控制-整合框架(2013版)-中文版
内部控制整合框架 执行纲要 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型,对技术的深入应用和依赖,日益繁多的监管要求和检查,全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 一套有效的内部控制体系除了对制度和流程严格遵守外,还要求判断力。管理层和董事会通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断,在组织内选取,推进和实施各类控制。管理层和内部审计师,以及其他的员工,通过其判断来监控和测试内部控制体系的有效性。 本框架在内部控制方面,对管理层,董事会,外部的利益相关者和其他与组织产生互动关系的相关方有所帮助,且不会过分死板;而这有赖于对内部控制体系构成要素的理解,有赖于对内部控制体系能够有效实施的时机的洞见。 翻译:@注册内审师
对于管理层和董事会,本框架提供: 一套工具,将内部控制推广到各类型的组织,无论行业或法律形式,无论在组织层面,经营单元层面或职能层面; 一种原则导向的方法,能够灵活设计,实施和推进内部控制,并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用; 一些要求,具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用,如何在一起产生协调作用; 一套工具,识别和分析风险,开发和管理合适的风险应对措施将风险控制在可接受的水平,且更关注反舞弊措施; 一个机会,将基于财务报告的内部控制扩大应用范围,满足各种其他的报告、运营和遵循目标; 1.一个机会,清理那些在降低风险方面价值不大的无效,冗余和 低效的控制。 2.对于外部利益相关者和组织的其他相关方,本框架的应用可使 其: 对于董事会针对内部控制的监管更有信心; 对于组织实现目标更有信心; 对组织识别,分析和应对来自商业与运营环境风险与变化的能力更有信心; 翻译:@注册内审师
COSO《内部控制-整合框架》执行纲要2013版(中英文对照)
Internal Control – Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control—Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory 翻译:@注册内审师
COSO《内部控制-整合框架》执行纲要2013版(中英文对照)
Internal Control–Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory 第1页
内部控制发展历程及概述
一、内部控制发展历程及概述 1. 国际概况 1985年,由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了美国反虚假财务报告委员会,旨在探讨财务报告中舞弊产生的原因。委员会调查发现其所研究的欺诈性财务报告案例中,有大约50%是由于内部控制失效造成的,于是成立了COSO委员会(美国全国虚假财务报告委员会下属的发起人委员会英文缩写)来制定内部控制指南。 1992年9月,COSO发布《内部控制—整合框架》。《内部控制—整合框架》代表着国际上在内部控制研究方面的最高水平,是内部控制理论研究历史性的突破。此时,整体框架不仅为内部控制的控制目标指明了方向,同时也为其有效实践提供了可供遵循的五个要素。 进入21世纪,美国先后爆发了安然、世通、安达信等公司欺诈、会计造假的丑闻,使投资大众遭受巨大的损失。为了加强公司治理,重建投资者的信心,2002年7月,美国国会颁布了《萨班斯-奥克斯利法案》,该法案提出建立以COSO发布的《内部控制—整合框架》为参照基准的内部控制框架体系。这表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 2013年5月,COSO发布《2013年内部控制—整体框架》及其配套指南。新版《整体框架》在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均与原版相同,有变
化的是依据具体形势所做出的相关内控管理措施,《整体框架》明确地列出了17项原则,每一项原则均与其中一个要素相连,代表这些基本概念都与内部控制的五大要素相关联,这被业内人士称为一种升级。 2. 国内概况 在借鉴和吸收国际监管理念的背景下,2008年5月财政部联合证监会、审计署、银监会和保监会五部委发布了《企业内部控制基本规范》,就加强企业内部控制、贯彻实施内部控制规范作出了明确部署。 2010年4月五部委又联合发布了《企业内部控制配套指引》,连同此前发布的《企业内部控制基本规范》,标志着中国企业内部控制规范体系基本建成。 2012年5月财政部联合国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》要求各中央企业全面启动内部控制建设与实施工作。 2012年8月财政部联合证监会发布《关于2012年主板上市公司分类分批实施企业内部控制基本规范体系的通知》要求主板上市公司确保内部控制体系建设落到实处。 2012年11月财政部发布了《行政事业单位内部控制规范(试行)》文件的通知,加强行政事业单位内部控制规范并规定于2014年1月1日起在全国范围施行。 2015年12月21日,财政部发布了《财政部关于全面推进行政
新COSO内部控制整体框架介绍_王怡心.
41 2013.3中国内部审计 一、背景说明 COSO 委员会于1992年发布了《企业内部控制整体框架》,亦即所谓的旧框架,并于1994年进行了一些内容增补。该框架逐渐得到世界 各国内部控制准则制定机构的认同,成为国际通用的内部控制准则。特别是为遵循美国《萨班斯法案》(Sarbanes-Oxley Act,2002中有关财务报告内部控制的要求,在美国上市公司都以COSO 框架为准则来设计企业内部控制体系,进一步推动了C O S O 内部控制框架在世界各国的广泛应用。台湾于2002年11月18日发布的《公开发行公司建立内部控制制度处理准则》,经过六次修订,最新版本于2011年12月21日发布,也是在借鉴COSO 内部控制框架的基础上,结合台湾内部控制落实条款制订而成的。 自旧框架发布以来,企业的经营环境和管理模式发生巨大变化,新的科技应用和复杂组织结构以及愈加严格的治理要求,促使企业在满足COSO 旧框架的营运、合规、财务报告内部控制目标的基础上,越 来越重视公司治理和风险管理,关 注范围扩及非财务报告的内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也要求加强和完善内部控制准则。 为顺应形势要求,2010年9月COSO 委员会启动了对《企业内部控制整体框架》的审核与更新,并聘请 新C O S O 内部控制整体框架介绍
◆王怡心 普华永道会计师事务所(PWC作为项目计划执行单位,着手新框架的 制订工作。为确保能够广泛代表各方意见,COSO 委员会还成立了一个由实务界、学术界、政府机构和非营 利组织代表们组成的顾问委员会,提供咨询意见。2010年9月至2011年1 月,COSO 委员会对700多个旧框架的使用者进行问卷调查。结果显示,回应意见大部分支持对旧框架进行修订和更新,但不建议重新再造新框架。2011年12月,COSO 委员会发布了新框架的征求意见稿来公开征求意见。 二、新框架的改变重点 C O S O 委员会认为旧框架中关 于内部控制的基本原则和核心要素在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五大要素(控制环境、风险评估、控制活动、信息与沟通和监督、评估内部控制体系有效性的标准以及专业判断的运用等方面与旧框架保持了一致。针对内部控制的认知和实践方面,旧框架的重点在于“知悉与建立”,新框架的重点在于“承诺与落 实” ,请参阅表二的COSO 新旧原则比较表。新框架的变化主要呈现在以下几个方面:(一着重“原则导向”的方法新框架最显著的变化是在旧 框架的基础上,提出基于内部控制五大要素的17项总体原则(请 参阅表一和82个相关属性,其内容为部分延续、部分新增、部分 修改和部分删除。17项总体原则和五项基本要素作为内部控制的基本概念,适用于所有的组织;82
2013COSO内部控制框架中英文对照版
Internal Control Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标,维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments. 设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型,对技术的深入应用和依赖,日益繁多的监管要求和检查,全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 An effective system of internal control demands more than rigorous adherence to policies and procedures: it requires the use of judgment. Management and boards of directors use judgment to determine how much control is enough. Management and other personnel use judgment every day to select, develop, and deploy controls across the entity. Management and internal auditors, among other personnel, apply judgment as they monitor and assess the effectiveness of the system of internal control. 一套有效的内部控制体系除了对制度和流程严格遵守外,还要求判断力。管理层和董事会1通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断,在组织内选取,推进和实施各类控制。管理层和内部审计师,以及其他的员工,通过其判断来监控和测试内部控制体系的有效性。 1本框架使用“董事会”一词,泛指治理层,包括:董事会,理事会,一般合伙人,所有者和监事会等
内部控制中的内部监督
【摘要】本文就监控和内部监督等内容进行论述。 【关键词】监控;内部监督;设计缺陷 内部监督作为内部控制的基本要素之一,对于内部控制的有效运行,以及内部控制的不断完善起着重要的作用。美国COSO委员会的《内部控制框架》和《企业风险管理框架》中均规定监控为其构成要素。监控这一概念实际与我国《企业内部控制基本规范》中作为内部控制基本要素之一的内部监督的概念是一致的。 一、《内部控制框架》中的监控 根据《内部控制框架》使用的监控的概念,是指对内部控制在一定时期内的运行质量进行评估的过程。监控是通过持续监控活动、个别评价或两者的结合实现对内部控制运行进行监控。通过持续监控和个别评价的结合,能够保证内部控制体系在一定时期内保持其有效性。 (一)持续监控活动 持续监控活动发生在经营活动过程之中,内含于企业管理活动之中,它包括日常管理和监控活动,以及员工在履行其职责时所采用的其他行动。持续监控活动嵌入企业日常的重复的经营活动之中,对企业经营活动实施实时的监控,能够动态地应对环境的变化。持续监控活动涉及内部控制各个要素的主要方面。持续监控活动通常能够及时发现问题,相对于个别评价更为有效。 (二)个别评价 个别评价是从某一角度对内部控制进行测评,它直接关注内部控制的系统有效性。个别评价的范围和频率主要取决于风险评估和持续监控程序的有效性,对于应对优先考虑的风险的内部控制和对降低风险最为重要的内部控制,一般应当经常地进行评价。在企业主要战略或管理层发生变更、进行重大的收购或处置,或者经营或财务信息处理方法发生重大变化的情况下,一般需要对整个内部控制系统进行评价,此时应当关注企业所有重要活动有关的每一内部控制构成要素,其评价范围应当根据所需要实现的内部控制目标来确定。 个别评价通常采用自我评价形式,即由负责某一业务或职能的人员负责对其活动的内部控制的有效性进行评价,也可以聘请注册会计师等中介机构进行内部控制的个别评价。企业内部审计机构通常将对内部控制进行评价作为其常规性的职责,或根据企业董事会等上级机构的要求进行内部控制的评价。 《内部控制框架》要求进行内部控制评价时,评价者应当了解企业各项经营活动以及所针对的内部控制的每个构成要素,掌握内部控制体系实际运行情况,并分析内部控制体系的设计和运行测试的结果。此外,《内部控制框架》还要求对评价过程进行合理的记录,并强调对内部控制体系有效性进行评价时,应当考虑编制和保存内部控制相关记录的情况,为有效性评价提供支持。 (三)报告缺陷 对内部控制进行监控所发现的问题应当向上报告,其中严重的问题应当及时上报企业管理层和董事会。《内部控制框架》将内部控制体系中值得注意的一种状态定义为缺陷,明确了报告缺陷的内容,要求不仅要报告特定的交易或事项,更需要报告重新评价可能发生错误的内部控制。 二、《企业风险管理框架》中的监控 与《内部控制框架》中的监控概念相同,监控作为企业风险管理的要素之一,在企业风险管理中通过持续的监控活动、个别评价以及两者的结合,对风险管理构成要素的存在和运行进行评估。 持续监控活动存在于企业管理活动过程之中,它实时地、动态地应对企业变化的情况,并植根于企业之中。持续监控活动一般由经营管理人员或职能部门的管理人员实施。 个别评价是用于对企业风险管理的有效性提供合理保证而进行的评估活动。持续监控活