SOX内部控制整体框架

COSO内部控制整体框架

ASSC：陈云明

水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。

一、COSO内部控制整体框架的诞生

1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。

1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会

(National Commission On Fraudulent Financial Reporting)，即tread－way 委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread －way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。

二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。

报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。

为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动

(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。

控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。

风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。

相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个操作或交易；“四只眼睛”的原则。

信息与交流是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。

监测，意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。内部审计是先依据审计章程，确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位，分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划，密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。最后，就操作系统的运作与管理层执行简明扼要和持续的沟通。应该让内部审计的结论为人所知。审计委员会监督内部审计的过程，采用外部审计评估控制系统，就财务报表的真实性和公正性提出意见。

三、COSO内部控制整体框架的应用

在实务中，COSO内部控制整体框架得到了广泛的应用。1993年5月11日，美国联邦存款保险公司(FDIC)董事会批准了“1991联邦存款保险公司改进法”第十二条中的内容，要求银行就其内部控制情况向FDIC和联储(FRB)等管理机构报告。虽然，主管机构并未要求必须采用COSO内部控制整体框架作为报告格式，但却鼓励各银行以COSO框架为依据。事实上，各银行自身也有积极性采用，因为使用COSO框架能够充分展现公司的管理水平，取信于投资者，从而在一定的信息对称的情况下，提高公司在公众中的美誉度。

国内有关内部控制的权威规定主要有两个：中国人民银行制定的《加强金融

机构内部控制的指导原则》(1997年5月)和中国注册会计师协会制定的《独立审计具体准则第9号棗内部控制与审计风险》(1997年1月)。两者在不同程度上都借鉴了COSO内部控制整体控制的一些理念。

COSO内部控制框架培训资料

内容提要：

一、背景介绍

（一）COSO内部控制框架的产生及发展过程

（二）xxx目前的内部控制体系与COSO内部控制框架的差距

二、COSO内部控制框架下内部控制的定义

（一）COSO内部控制框架对内部控制的定义

（二）对内部控制定义的理解

（三）COSO内部控制框架的组成要素

三、COSO内部控制框架五要素

（一）内控环境

（二）风险评估

（三）内控活动

（四）信息与沟通

（五）监督

四、内部控制的局限性

五、员工在内部控制中的作用和职责

六、小结

一、背景介绍

内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。

（一）COSO内部控制框架的产生和发展过程

内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结

构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO内部控制框架。

在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994年进行了增补），即COSO内部控制框架。

COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。同时，对股份公司来说，这也是梳理管理流程、规范管理、提升整体管理水平的契机。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的。

（二）XXX目前的内部控制体系与COSO内部控制框架的差距

目前，股份公司通过多年的管理实践和积累，已经建立了一套针对XX行业的行之有效的内控体系，但与COSO内部控制框架的要求相比还存在一些距离。这些差距主要体现在：内部控制体系的整体框架、内控环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等。―他山之石，可以攻玉‖，COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义。为此，我们需要认真学习COSO内部控制框架理论，充分认识和理解COSO内部控制框架，并在实际经营管理中积极实践，大力贯彻和实施，从而优化内部控制，完善内控体系，全面提升公司管理水平。

二、COSO内部控制框架下内控制度定义

（一）COSO内控框架对内部控制的定义

COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。（二）对内部控制定义的理解

应该从以下几个方面理解内部控制的定义：

第一，内部控制是一个―过程‖，而且是一个动态的过程。企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。

第二，内部控制受到―人‖的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是―人‖建立企业的目标，并将控制机制赋予实施。确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制。

第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性。

最后，内控框架将内部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。

（三）COSO内部控制框架的组成要素

COSO内部控制框架认为，内部控制系统是由内控环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身。

λ内控环境——内控环境是企业的基调、氛围，直接影响企业员工的控制意识。内控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。

λ风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。

λ内控活动——内控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

λ信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

λ监督——是对内部控制系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现对内控系统的监督。

内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的内控环境，这是企业发展的基础。每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。针对风险评估的结果需要采取相应的内控活动来控制和减少风险。同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。为了保证内控体系的正常运转，还需要对整个内控过程进行监督。

内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响内控活动，还可能影响信息和沟通、监督行为等。

COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的。对此，本次培训以大型公司为例，未考虑中小公司的差异。

三、COSO内部控制框架五要素

（一）内控环境

内控环境是其他控制要素的基础。内控环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。下面讨论各项因素的具体内容。

1、员工的诚信和道德价值观

内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素。人的道德价值观影响着人的行为。企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。

员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。主要包括以下内容：

1）利益冲突每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。

2）合法性公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。

3）及时向指定人员报告或检举揭发违规事项员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报。发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告。对检举人应当建立保密制度，包括匿名保护。

4）遵守道德准则的责任明确员工必须遵守道德准则。对违反准则的人员建立惩罚机制，甚至解雇或免职。

5）公司机遇禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。6）保密机密信息是一间公司最重要的资产之一。公司建立相应政策保护机密信息，包括（a）属于公司商业性机密信息（b）属于非披露协议下信息。每一个员工在入职后应执行保密协议和保护公司知识产权。员工即使在终止雇佣之后，仍然有义务保护公司的机密信息。7）公平交易每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规范。为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。与业务相关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。但未得到道德委员会事先批准的情况下，赠送礼物或款待政府雇员是不允许的。员工代表公司购买商品应遵循公司的采购政策。

8）公司资产的保护及恰当使用每一个员工必须保护公司资产，包括实物资源、资产、所有权、机密信息，排除损失、失窃或误用。任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。公司资产必须用于公司业务，符合公司政策。

9）全面、公正、正确、及时地理解财务报告及其披露事项因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，所以每一个员工都有责任保证会计记录的准确性。管理层必须建立和保持适当的内控，遵循公司已有的会计准则和流程，保证交易记录的完整和准确。禁止干扰或不正当的影响公司财务报表审计。要求证实会计记录和报表受控，能够保证准确性，包括提供给审计和定期向证监会报告的义务。对于企业来说，首要的工作是建立一套员工能够接受和理解的诚信和道德标准，如道德行为手册；其次是必须让员工知晓和理解这些规定（例如：要求所有员工定期签字确认），这是执行的前提条件；最后就是贯彻执行。在公司内传递道德标准的最有效方式是管理层以身作则，员工对于内控的态度通常会效仿他们的领导。另外，对违反准则的员工应予以相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。

员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为：

λ不切实际的业绩目标，特别是短期业绩的压力（例如：为了实现预先设定的利润指标而在财务报告中虚报收入）

λ将奖金分配与业绩挂钩（例如：错报与业绩考核指标相关的财务信息）

λ内控制度不存在或无效（例如：敏感业务区域未设立严格的职责分工，这为偷窃公司资产或隐藏不良行为提供了可能）。

λ组织高度分散，可能导致高层管理人员不清楚基层的行为，缺少必要的监管，因此，减少了基层舞弊被发现的机会。

λ内部审计职能薄弱，没有及时发现和报告不正确的行为。

董事会缺少对高层管理人员的客观监管，可能导致管理人员凌驾于内控制度。λ

λ管理层对不正确行为的惩罚力度不够或不公开，从而失去了应有的威慑力。

2、胜任能力

胜任能力是要求员工具备完成工作任务所需的知识和技能，目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务，这是维护内部控制有效性的必备条件。

为此，管理层需要设定工作岗位的知识和技能水平要求，在招聘、选用员工时作为评选的标准或条件。在设定工作所需知识和技能时，一方面要根据工作的性质和所需的职业判断，考虑能力需求，另一方面还应考虑人力资源成本即薪酬（例如：没有必要雇佣一名电子工程师来换一只灯泡）。

3、董事会和审计委员会

董事会或审计委员会的职能是实施治理、指导和监督管理层的工作，如果对管理层缺乏必要的监督，管理层可能会凌驾于控制之上，甚至故意歪曲结果，因此董事会或审计委员会监督作用对确保内部控制的有效性十分重要，董事会或审计委员会作用的发挥，必须具备以下条件：一是要独立于管理层，不受其影响；二是具有足够知识、行业经验和时间，以便于履行职责；三能够与财务、法律、内部审计和外部审计及时沟通，得到适当信息；四是能够控制高级管理人员的薪酬，有权聘用和解聘高级管理人员。

补充说明一点，股份公司的治理结构与国外有所不同，股份公司设置监事会，其职能类似于国外审计委员会的职能，所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。

4、管理层的经营理念和经营风格

管理层的经营理念和经营风格影响企业的管理方式，包括面对各种风险的态度。管理层的经营理念和经营风格形成了企业文化，它既是一切业务实现的基础，也为内部控制的实施提供了平台。它往往是企业内部一种无形的力量，影响企业成员的思维方法和行为方式，包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。它们都深深地影响着内部控制的成效。例如，有些公司管理层的经营理念和风格较为激进，愿意承担更高的风险以追求更高的盈利回报；而有些公司的管理层则比较保守，在风险承担方面表现得较为谨慎。可以看出，不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。以销售信贷政策为例，对风险承受力高的公司相比承受力低的公司，其设定的信用销售额度更高，以期望通过更优惠的政策吸引和保留客户，而获得更高的销售额。管理层的经营理念和经营风格还表现在：管理层对财务报告的态度，在会计政策选择方面是否谨慎，进行会计估计时是否遵循审慎性原则，对待数据处理、会计职能及人事管理等方面的态度等等。

5、组织结构

组织结构是权责分工的架构，在此架构中规划、执行、控制和监督为实现企业目标而进行的活动，每个企业都可根据自己的需要确定组织结构，可以是集权型，也可以是分权型，可以是直接的报告关系，也可以是矩阵型组织结构，可以按产品或行业组织，也可以按地理分布

或功能组织，但不论何种组织结构，应根据公司的业务性质，进行适当的集中或分散，确保信息的上传、下达和在各业务间的流动，确保企业目标的实现。

6、管理层授权和职责分工

权力和责任分配是指对员工进行授权和分配责任，将企业的目标层层分解落实到每个员工的头上，从而将员工的行为与企业目标联系起来，增强员工的自主控制意识。权力与责任分配的关键是权力与责任的对等。

7、人力资源政策和措施

人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序，目的是聘用和维持有能力的人员，保证公司的计划得以实施，目标得以实现。因此，人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员，如何进行相关培训使员工意识到他们的工作职责和公司对他们的要求，如何通过考核、薪酬、提升等政策激励约束员工。（二）风险评估

1、风险及风险评估的定义

风险是任何影响目标实现的因素,所有企业，无论规模、结构和行业性质，都面临着风险，可以说有经营就有风险。风险有来自企业内部的，也有来自企业外部。

为了加强对风险的控制，必须进行风险评估，风险评估是指对相关风险进行识别和分析，是发现和分析那些影响目标实现的风险的过程，是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。

企业的目标可以分为公司层面目标和业务活动层面目标，公司层面目标是指公司的总目标和相关战略计划，与高层次资源的分配和优先利用相关。业务活动层面的目标是总目标的子目标，是针对企业业务活动的更加专门化的目标。业务活动层面的目标应该清楚，易于理解，以便从事该操作的人能实现其目标，同时还必须是可衡量的，以便于考核。

实现目标需要耗费资源，因此设立目标必须考虑可获得的资源，企业应该对目标进行分析，提醒自己找出与总目标不相关的操作目标，以免资源浪费，而对实现总目标至关重要的操作目标，则优先安排资源。

2、如何进行风险评估

1）风险识别

风险评估的过程首先是进行风险识别，风险识别需要考虑所有可能发生的风险，并且需要考虑企业和相关外界之间的所有重大相互影响。风险识别也是一个重复的过程，需要针对环境的变化持续进行。导致企业经营风险的因素包括内部和外部两个方面：

外部因素包括：

λ技术发展——影响研发的性质和时机，或带来采购的变化。（例如：出现新的、更高效的油气开采技术，未掌握相关技术的公司会导致市场竞争力降低，进而影响经营目标的实现）λ不断变化的客户需求和期望——影响产品开发、定价。（例如：纳米技术的应用，客户对产品的期望改变；）

λ竞争——影响营销和服务活动（例如：WTO导致更多具有较高竞争力国外公司进入中国市场）。

λ新的法律和法规——影响经营政策和策略（例如：萨班斯法案）。

自然灾害——造成损失。λ

λ经济形势的变化等——影响融资、资本支出和扩张决策。

内部因素包括：

信息系统运行的中断——影响经营运转。λ

λ雇员的素质和培训、激励的方法——影响控制理念。

管理层职责的改变——影响某些实施控制的方式。λ

λ企业经营活动的性质、员工对资产的接触途径——产生挪用。

λ董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。

2）风险分析

识别风险后，需要进行风险分析，分析的内容主要有：

λ估计风险的重要性程度；

评估风险发生的可能性（或频率、概率）；λ

λ考虑如何管理风险——即评估需要采取何种措施

针对风险分析的结果而采取的控制活动，管理层应仔细考虑现有内控程序对于已识别的风险是否合适。如果现有程序可能已经足够或只需要执行得更好，那么就不必制定附加程序。管理层还应认识到，总会存在一些残留风险的可能性，不仅因为资源总是有限的，还因为每个内控系统都有内在局限性。因此，管理层的一项重要工作是权衡利弊，确定能够谨慎地接受多少风险，并尽力将风险控制在可接受的水平内。

3）应对变化

经济形势、行业和法规环境不断改变，企业业务活动不断发展。在一个环境下有效的内部控制在另一环境下未必有效。风险评估的本质就是一个识别变化的环境并采取相应行动的过程，风险评估应持续地进行, 并且应特别关注下面的情形：

变化的经营环境——变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。λλ新的人员——新来的高层管理人员的经营风格与原先的不同。

新的或经修订的信息系统——能否正常运行。λ

λ经营的快速增长——当经营快速扩张，现有制度的局限可能导致控制失效；当程序变动或新人员增加时，现有的监督可能就不能保持充分的控制。

λ新技术——新技术被运用到生产流程或信息系统中，内部控制就很可能需要修改。

λ新业务、产品、活动——当企业进入新的商业领域或从事不熟悉的交易时，现有的控制可能就不充分了。

λ公司重组——公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组。重组可能导致内部裁员，职责分工的合并，或者，原来的一个重要控制岗位被取消，却没有相应的替代控制出现。很多公司重组后大量削减人员，就碰到了严重的控制缺陷。

λ海外经营——海外经营的扩张或收购带来了新的和独特的风险。例如，内控环境可能受到当地管理层文化和风俗的影响。另外，当地经济和法律环境可能带来独特的风险因素。（三）内控活动

内控活动是指为确保管理层指示得以执行的政策和程序。它有助于进行风险管理和保证企业目标的实现，内控活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如审批、授权、确认、核对、审核经营业绩、资产保护以及职责分工等。

1、内控活动类型：

控制活动可以有不同的描述方式：

针对企业的不同目标，控制活动可以分为以下三个类型：即为提高经营效率效果、增强财务报告的可靠性、遵守法规等目标的三类控制活动；

根据控制活动的不同作用，控制活动又可以分为：预防性控制、检查性控制、指导性控制、纠错性控制、补偿性控制等五种类型；

根据组织中实施人员的不同，控制活动也可以分为：高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。

λ高层复核——管理层将实际业绩情况和预算相比较，将当期业绩和前期相比较，将本企业的业绩情况与竞争对手相比较，对企业主要行为进行追踪，以衡量目标实现的程度。

λ指导并管理业务活动——负责整个板块生产的领导，分地区公司、分产品类别等内容审阅生产业绩报告，对照经营目标，分析其中反映出的生产管理方面的问题，并指出需要改进的方向。

λ信息处理——这类控制被用于核对交易的准确性、完整性和遵循性。如：系统对数据录入设定编辑复核功能，并对数据修改实行系统性控制；客户订单，只有与经批准的客户文件和信用额度相符，才能被接受；交易应按连的编号记账；系统管理员对例外事项报告进行跟踪调查，必要时向主管领导报告。

λ资产保护即实物控制——对设备、存货、证券、现金及其他资产实物采取保管措施，并定期进行盘点和帐实核对。

λ业绩指标分析——采购部门的员工分析采购价格变动、紧急采购订单占全部订单的比率、退货订单占全部订单的比率，通过调查异常的结果和异常的变动趋势，关注那些可能影响目标实现的问题，并提出改进方案。

λ职责分离——职责在不同人员之间的分工或分离，可以降低发生错误或不当行为的可能性。例如，交易的授权、记录和处理相关资产的职责应予以分离；授权赊销的经理应不负责应收账款的记录或现金收入的处理。

2、控制活动的要素—政策和程序

控制活动一般包含两个要素，即：第一个要素，政策—它描述应该做什么，第二个要素，程序—它描述应该怎样做；政策是程序的基础，同时，程序又影响政策的执行。例如，政策要求，应该由专人定期进行存货盘点，程序即盘点本身，其实施的频率、关注的要点、存货的性质、数量等等。

3、控制活动应和风险评估相结合

管理层在进行风险评估的同时，应该针对该特定风险找出并实施有效的措施，这些针对某项特定风险的具体措施也就是建立控制活动的要素，它有助于保证控制活动得以及时、有效地实施。

4、信息系统的控制

随着信息技术的发展，大多数企业，包括小公司或大公司的部门，都引进、建立和运用了现代化信息处理系统，现代化的信息系统不仅提高了企业的工作效率，而且也改变企业的经营方式和方法，甚至影响企业的战略规划，因此信息系统的控制十分重要。

信息系统内控活动可分为两大类。第一类是一般性控制——适用多数应用系统并协助确保其持续、正确地运行, 包括对数据中心操作、系统软件的购买和维护、数据的安全、以及应用系统开发和维护的控制。第二类是应用性控制，包括应用软件中的电算化步骤，以及用以控制不同种类交易处理过程的相关手工操作程序，它是保证交易处理的完整性、准确性、交易授权和有效性的内部控制。例如，公司的销售政策规定给予金额在20万以上订单以8折优惠；系统根据事先的设定，对于20万以上的订单自动给予20%的折扣优惠，而对于20万以下订单仅允许全价销售。

这两类对计算机系统的控制是相互关联的。一般性控制用于保证建立在计算机程序基础上的应用性控制得以实施。

（四）信息和沟通

信息和沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通，以促使员工履行自己的职责。这里所说的信息是指来源于企业内部及外部，与企业经营相关的财务及非财务的信息。信息必须在一定的时限内传递给需要的人，以帮助人们行使各自的控制和其它职能。沟通则是指信息在企业内部各层次、各部门，在企业与顾客、供应商、监管者和股东等外部环境之间的流动。

有效的沟通必须广泛的进行，自上而下、自下而上地贯穿整个组织。所有人员都要从高级管

理层获得明确的信息：必须认真对待控制责任。他们必须了解各自在内部控制体系中担任的角色，以及个人行为与他人工作的相互关系。他们必须有自下而上传递重要信息的渠道和方法。同时，也要顾客、供应商、监管者和股东等外部人员建立有效的沟通。

1、信息

企业的管理活动依赖于各种信息，既包括内部生成的信息，也包括从外部获取的行业、经济、监管等方面的信息。因此，企业必需要建立良好的信息系统来识别、获得、加工和报告这些信息。有效的信息系统不仅能够识别和获得所需要的财务和非财务的信息，还能够在一定时限内根据需要加工和报告这些信息。另外，当企业面临基本的行业变化，面临有高度创新能力反应迅捷的竞争对手或面对重大的顾客需求变化时，信息系统必须随企业目标、经营环境的变化而变化，及时适应新的需求。

1）信息的识别和获取

信息的识别和获取的方式是多种多样的：信息系统可以采取监控方式，定期获取特定的数据；或者，可以采取某些特定的方式获取所需信息，如通过问卷、采访、广泛的市场需求调研或针对特定群体的调查获得顾客对产品和服务的需求信息；通过与顾客、供应商、监管者以及员工的谈话获得识别风险和机遇所必需的重要信息；参加专业或行业的研讨会也可以获得有价值的信息。

2）信息加工和报告

信息是决策的基础，但并非所有的信息都是有用的信息，因此，需要对信息进行加工整理，归纳汇总，根据需要向不同的部门和人员报告不同的信息。为了提高信息的质量，需要考虑：?内容是否适当——它是所需要的信息吗？

?信息是否及时——当我们需要时就能获得吗？

?信息是当前的吗？——是我们能获得的最新的信息吗？

?信息是否准确——数据都准确吗？

?信息是否畅通——相应的部门能容易地获得信息吗？

在设计系统时必须考虑以上问题。如果不考虑，系统很可能无法提供管理层和其它人员需要的有用信息。

3）信息系统的整合

信息系统是经营行为的一个组成部分，它通过获取决策所需的信息来影响控制，随着信息技术的发展，信息系统可以更迅速、更广泛提供更有价值的信息，对企业的管理影响更加深远，甚至影响到企业的战略规划，一项最新发布的研究表明，信息系统的规划、设计和应用已经开始同组织的整体战略整合在一起。多数新的生产系统与企业其它的系统，可能还包括企业的财务系统，高度地整合为一体。当系统执行其它的运行时，财务数据和会计记录会自动更新。

2、沟通

沟通是信息系统固有的，是将信息提供给相关人员，以便与其履行职责，沟通必须贯穿于信息处理的整个过程，有效的沟通不仅在整个企业内进行，也包括与外部进行的沟通。

1）内部沟通

内部沟通是指企业内部上下级之间、横向部门之间的沟通，下面以例举的方式介绍内部沟通的主要内容：

λ所有的人员，特别是那些有着重要的经营和财务管理职责的人员，取得管理所需信息，并清楚地知道必须严肃履行内部控制的责任。

λ每个人需要理解所负责内部控制部分如何运行及个人在系统中的职责。

λ在执行自己的职责时，每个人都应该知道，当意外发生时，不仅要注意事件本身，还要注意事件的原因。这样，就可以了解到系统潜在的缺陷，并采取预防的措施。比如，发现滞销

的存货不仅要在财务报告上留下准确的记录，更重要的是对存货滞销的原因作出判断。

λ人们需要知道自己的行为怎样与他人的工作相联系。

需要知道什么样的行为是被期望的，什么是可以接受的，什么是不可接受的。λ

λ员工也需要知道在企业中自下而上传递重要信息的方法和渠道。员工必须相信他们的上级确实想了解问题并愿意有效地解决问题，在任何情况下不会因报告相关信息而受到报复。λ在多数情况下，正常的报告渠道就是适当的沟通渠道。然而，在特定条件下，需要独立的沟通渠道作为一个预防失败的机制，在正常渠道不起作用时加以运用。例如为员工提供直接接触财务总监或企业法律顾问这样的高层领导的渠道；总裁可以定期抽出时间接待员工来访，并且让员工知道为任何事情的来访都是受欢迎的；总裁也可以定期去车间拜访他的员工，形成一种人们能够交流难题和关心的问题的氛围。

λ管理层与董事会及其委员之间的沟通至关重要。管理层必须使董事会了解最新的业绩、发展、风险、主要的革新以及其它任何相关的事件或事故。与董事会的沟通越好，董事会越能有效地行使监督职能，并能够对于关键的事务作出合理的行为，提供建议和忠告。同样，董事会也应该向管理层传达其所需要的信息，并提供指导和反馈。

2）外部沟通

企业不仅在内部需要有适当的沟通，而且与外部也是,与外部沟通的内容包括：

λ通过开放的沟通渠道，了解顾客、供应商对于产品或服务的设计或质量方面的要求使公司注意顾客的需求和偏好。

λ在与外部的交往中强调企业的道德标准，使外部人员知道认识到不适当的行为。比如公司可以同供应商直接沟通，解释公司期望供应商雇员在与其打交道时应怎么做，明确回扣以及其它不适当的收入，都是不能容忍的。

λ与外部审计师的沟通，管理层和董事会可以了解重要的控制信息。

与股东、监管者、财务分析师以及其它外界的交流，可以了解企业所面临的情况和风险。λλ管理层同外界（无论是公开的、即将进行的、严格跟踪的还是其它的）的交流也可以向整个公司内部传递信息。

3）沟通的方式

沟通可以采用诸如政策手册，备忘录，布告通知，录像录音带的形式,又可采用口头传递消息的方式。另一种有影响力的沟通手段是管理层在领导下属工作时的言行。

（五）监督

内部控制随着时间、环境而变化，曾经有效的程序可能会变得不太有效，因此需要对内部控制进行监督。监督是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效，监督可通过两种方式进行：持续性的监督活动和独立的评估。持续性的监督活动是植根于企业日常、重复发生的活动中的。与独立评估相比，由于持续性监督程序在实时基础上实施、动态地应对环境的变化，并在企业中根深蒂固而显得更加有效。不过，独立评估发生在事实之后，比起持续性监督程序，可更快地发现问题。一个感到有必要进行经常性的独立评估的企业，应重点关注改进持续性监督的途径，并强调―嵌入‖而非―外加‖的控制。

1、持续性监督行为

持续性的监督行为发生在经营的过程中，它包括日常管理和监督行为、比较、核对和其他常规性活动。持续性监督行为有下面一些例子：

λ在执行常规管理行为时，经营管理层取得内部控制持续运转的证据。

λ与外界各方的沟通能够印证内部产生的信息或揭示问题。例如：顾客支付账单，表明其确认了帐单数据；相反地，顾客对帐单的投诉可能表明销售交易过程存在系统缺陷。公司审核有关作业安全的政策和操作步骤，从经营安全性和合规性的角度为内控是否有效运行提供信息，因而被视为一项监督；监管者就合法性或其他事项与企业进行交流，也会从某种角度反

映内控系统是否有效运行。

λ适当的组织结构和监督行为不但监督内控职能的执行并且能够发现内控的缺陷。例如，财务负责人对财务人员针对交易正确性和完整性实施的内控活动实施日常的监管。另外，管理层对员工的职责分配定期进行审核，以确保合理分工以便相互制衡，有利于防止员工舞弊，并可以限制个人掩盖其可疑行为的能力。

λ将信息系统所记录的数据与实物资产相核对。例如，产成品存货应定期进行盘点，将盘点的数据与相应的会计数据核对并记录存在的差异。

λ内部及外部审计师定期为进一步加强内部控制提供建议。审计师通过评价内控的设计并测试其有效性，发现一些潜在的问题并向管理层提供解决问题的建议。

λ培训研讨会、计划会议及其他会议能向管理层提供有关控制是否有效的重要反馈。这种方式不但能指出控制中存在的个别问题，还能增强参与者的控制意识。

λ定期询问职员理解及执行企业相关规定的情况。如向经营及财务人员询问相关的控制程序是否正常运行。

2、独立评估

独立评估是独立于控制活动之外而采取的定期评估行为。尽管持续性监督程序可以提供关于其他控制要素有效性的重要反馈信息，但经常地对系统的有效性直接进行评估也是十分必要的。这样同时也提供了一个机会来评价持续性监督程序是否有效。

1）范围和频率

独立评估的范围和频率主要依赖于风险评估和持续性监督程序的有效性。由于所控制风险的大小及内部控制在减小风险中的重要性不同，对于内部控制进行评价的范围和频率也不一样。例如，那些致力于重大风险或对减小风险具有重要作用的控制就应经常地进行评价。2）评价主体

评价主体，即由谁来实施独立评估。一般来说，评价主体包括：

一是自我评价，即负责某一单位或职责的人员对其控制自身活动的有效性进行评价。例如，一位部门主管应指导本部门内部控制的评价活动。他或她可能亲自评价内控环境因素，然后请部门内负责各种经营活动的人员评价其他要素的有效性。

二是内部审计人员评估，有时，在董事会、高级管理层、子公司及部门主管的特殊要求下，内审人员也会对内控进行评价。同样，在评价内控时，管理层也可利用外部审计人员的工作。3）评价程序及方法体系

首先是同企业职员进行探讨并审阅已有的文件，了解系统的运行过程或内控系统的设计；其次是根据已确定的目标分析内部控制的设计和测试结果，分析是否对既定目标提供了合理保证。

评估方法有许多可供选择，包括检查清单、调查问卷和流程图等方法。也可与那些被认为在内控系统方面具有良好声誉的公司进行比较。

4）行动计划

第一次指导评估内控系统的管理人员可以考虑下列建议，决定对何处着手和如何去做：

λ决定评估的范围，包括目标的分类、内部控制要素和需采取的行动。

确定对内部控制的有效性提供常规保证的持续的监督行为。λ

λ分析内部审计的控制评估工作，考虑外部审计师与控制相关的发现。

按照单位、要素或高风险区域划分重要性程度和先后次序，保证及时的关注λ

λ在以上基础上，建立相关的评估程序。

λ汇集所有进行评估的各方，共同考虑下列问题：不仅要考虑评估范围和时间表，而且要考虑所使用的方法体系，应用的工具，来自内外部审计师和监管者的建议，报告所发现问题的方式以及设定最终的文本化程度。

λ监督进展和复核发现。

λ保证采取必要的追踪措施，必要时修改后续的评估部分。

5）报告缺陷

这里的―缺陷‖被广泛定义为内控系统中值得注意的问题。缺陷可能代表一个假想的、潜在的或实际的缺点，或一个强化内控系统的机会。向恰当的当事人提供有关内部控制缺陷的必要信息，对内部控制制度的持续有效运行十分关键。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。对于发现的内部控制缺陷，不仅应向负责的个人汇报，由他采取正确的措施，还至少应向该责任人的上一级汇报。这一过程使得责任人能及时采取措施，也便于其上级提供所需的支持或进行监督，并与企业中受影响的他人进行沟通。重要事项应报知高层管理人员和董事会。

6）文本化

企业内部控制的文本化有利于评估，有利于增进员工对内控系统如何运行及各自职责的理解，更易于必要时对其修改。文本化的程度根据各企业的规模、复杂性和类似因素的不同而存在差异。大一些的公司通常有书面的政策手册、正式的组织图、书面的工作描述、经营指导、信息系统流程等。小一些的公司内部控制文本化的程度一般低得多。控制没有文本化并不意味着内控系统是无效的或无法评估，不过当需要向更多人提供有关内部控制的阐述或评估时，内部控制文本化的性质和程度将会提高。当管理层希望向外界提供关于内控系统效果的声明时，他们应当考虑形成文件来支持该声明。如果该声明今后被质询，这些文件将很有用。

四、内部控制的局限性

也许有人会认为内部控制可以确保企业万无一失，这也是我们所希望的，但事实并非如此，无论内部控制设计和执行的多好，它也只能提供合理的保证，这是内部控制系统固有的局限性。具体表现在：

ν判断失误——判断是人在事情发生时依据现有信息的所做出的，个人的判断不能保证绝对正确，并且难以避免主观性，从而影响内部控制的有效性。基于错误判断的管理层决策也会导致失误。

ν执行偏差——任何―完美的‖内部控制系统，都会因设计人经验和知识水平的限制而带有缺陷。同时，执行人员的粗心大意、精力分散、判断失误以及对指令的误解等，也可能使内部控制系统陷于瘫痪。例如：代替缺席或生病雇员的临时职员，可能不能正确地执行控制的职责。

ν管理层的越权——内控制度是企业最重要的管理工具，但任何内控最终都是靠人来执行的。单位或部门的经理，或者高级管理层成员会出于各种目的而愈越内控制度，例如：虚增报告中的收入来掩盖市场份额始料不及的下跌；虚增报告中的赢利以符合无法实现的预算。合伙同谋——两人或更多人的合伙同谋行为，会使不同职务相互制约的作用丧失，从而导致内控的失效。ν

ν成本收益原则——控制环节越多，控制措施越复杂，相应的控制效果可能会越好，但控制成本也会越高。由于企业的资源有限，企业在设置和实施内部控制时，必须在控制失败可能造成的损失与建立控制所需相关的支出之间进行权衡。

当然，合理的保证并不意味着内部控制系统会经常失效。多项内部控制相互作用可以减少企业无法实现目标的危险，而日常的经营行为和不同层次人员的职责分工也有助于实现企业的目标。

五、员工在内部控制中的作用与责任

组织中的每一个人都对内部控制负有责任。

? 管理层–总裁或总经理对内部控制负有全面的责任，可以看作是内部控制系统的―责任人‖。总裁或总经理的态度对内控环境的影响很大。总经理的任务是领导和指导高级管理人员，并与这些高级管理人员一起制定价值观、原则以及重要的经营策略，例如企业的总目标、组织机构、重大制度等，并检查他们是否履行职责。依次的，高级管理人员负责建立更为具体的内部控制政策和程序，并向企业员工分配。基层的管理人员则直接参与控制政策和程序的实施。其中财务总监和他的员工的内控活动贯穿于企业各部门，是内部控制的关键。? 董事会–管理层向董事会负责，董事会指导和监督管理层的工作。一个强大的、活跃的董事会通常能够结合有效的汇报渠道和有力的财务、法律和内部审计职能来发现和纠正管理层存在的问题。有效的董事会必须是客观的、有能力的和善于调查的，他们具有业务活动方面的知识，并有充足的时间履行董事的责任。

? 内部审计师–内部审计师在评价和维护内部控制有效性方面起着重要的作用。内部审计职能部门因为其在企业中的地位和权利，还起着重要的监督作用。

? 其他人员–内部控制从某种程度上是组织中每个人的责任，每个员工都产生内部控制系统中所使用的信息，或者用行动来影响着内部控制，因此所有的人都有责任向上汇报沟通组织中的问题，汇报违反行为准则的情况，以及违反政策或法律的行为。

另外，大量的外部单位也对企业内部控制也有所贡献。外部审计师，通过对财务报表的审计，提供关于财务报表及其相关内控的独立客观的意见，并间接向管理层和董事会提供履行职责的信息。立法机构和监管机构、客户和其他公司、财务分析员、债券评级人和新闻媒体也能为公司提供有用信息。但是外部单位不会对公司内部控制负有责任，也不是公司内部控制体系中的一部分。

六、小结

长期以来，高级管理层一直在寻找控制和管理企业的更好方法。内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展，并将这个过程中的干扰因素最小化。内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求，并针对未来的成长进行调整。内部控制促进效率性，降低资产损失的风险，并有助于确保财务报表的可靠性和对于法律法规的遵循性。

由于内部控制服务于很多重要的目标，对于更好的内部控制系统及其运行效果的要求不断增加。内部控制系统越来越多地被视为各种潜在问题的解决方案。

COSO内控框架提出的由"三个目标"和"五个要素"组成的内部控制的整体框架，已经得到各行业的公司董事会、管理当局、投资者、债权人、审计人员及专家学者的普遍认可，因而成为迄今最权威的内部控制的概念，因为它是一个较为完整和系统化的关于内部控制的理论，而且它提出的许多新的、有价值的观点不断地在实践中找到了现实意义。按照COSO框架标准建立股份公司内部控制体系是我们本阶段的主要内容。

内部控制体系基本框架

部控制体系基本框架 目次 1 总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 1．1 编制目的……………………………………… 1．2 编制依据……………………………………… 1．3 编制原则……………………………………… 1．4 主要应用……………………………………………………………………… 1．5 主要容………………………………………………………………………… 1．6 控制的原则……………………………………………………………………… 1．7 控制的职责……………………………………………………………………… 2 框架基础……………………………………………………………………………… 2．1 公司愿景………………………………………………………………………… 2．2 公司使命………………………………………………………………………… 2．3 公司战略………………………………………………………………………… 2．4 经营理念………………………………………………………………………… 2．5 企业文化………………………………………………………………………… 2．6 核心价值观……………………………………………………………………… 2．7 公司与政府的关系……………………………………………………………… 2．8 公司与投资方的关系…………………………………………………………… 2．9 公司与员工的关系……………………………………………………………… 3 控制环境……………………………………………………………………………… 3．1 公司治理架构…………………………………………………………………… 3．2 管理理念及经营风格…………………………………………………………… 3．3 组织结构………………………………………………………………………… 3．4 诚信与道德价值观……………………………………………………………… 3．5 权责分配体系…………………………………………………………………… 3．6 人力资源政策及实施…………………………………………………………… 4 风险管理……………………………………………………………………………… 4．1 风险管理容…………………………………………………………………… 4．2 风险管理目的…………………………………………………………………… 4．3 风险管理信息的采集………………………………………………………… 4．4 风险评估……………………………………………………………………… 4．5 风险管理策略………………………………………………………………… 4．6 风险应对措施………………………………………………………………… 4．7 风险管理的监督与改进……………………………………………………… 5 控制活动…………………………………………………………………………… 5．1 实施控制活动的基本要求…………………………………………………… 5．2 建立预算管理和经营活动分析评价制度…………………………………… 5．3 期末财务报告流程…………………………………………………………… 5．4 建立控制活动体系…………………………………………………………… 6 信息与沟通………………………………………………………………………… 6．1 信息……………………………………………………………………………

COSO内部控制整体框架简介

COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时，财务报告和相关立法以及监管环境也发生了变革。值得注意的是，2002年美国颁布了《萨班斯法案》。其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。 《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。尽管《指南》本意上是为了帮助管理层建立和维持财务

报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣，并在必要的情形下参考第二部分的其它章节，而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”，但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”，这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作

COSO企业风险管理整合框架附录部分中文版

P109 企业风险管理—整合框架和内部控制—整合框架之间的关系 1992年，COSO（反虚假财务报告委员会的赞助组织委员会）发布了《内部控制—整合框架》，该框架建立了内部控制结构，并提供评价工具，从而使企业和其他主体可以评估其控制系统。该框架定义了有效进行内部控制的五个相互关联的要素。 内部控制—整合框架将内部控制定义为一个过程，该控制过程受到企业董事会、管理层和全体职工的影响，旨在提供合理保证，以实现下列目标： ?经营的效率和效果 ?财务报告的可靠性 ?法律法规的遵循性 本附录概述了内部控制框架和企业风险管理框架之间的关系。 对内部控制的拓展 内部控制是企业风险管理的主要组成部分。相比较而言，企业风险管理的内容则更为深入，它扩展和详述了内部控制的范畴，这使企业风险管理成为了更加全面关注风险的更加健全的概念。由于企业主体和其他组织只关注自身的内部控制，从而使内部控制—整合框架仍然有重要的影响。 目标分类 内部控制—整合框架细分了三种目标—运营目标，财务报告目标和合规性目标。企业风险管理也细分了三种类似的目标类别—运作目标，报告目标和合规目标。在内部控制框架中，报告类别被认为与公布的财务报表的可靠性相关。在企业风险管理框架中，报表的范畴被明显的扩展，涉及了主体编制的所有在内部和外部使用的报表。包括管理层内部使用的报告和那些对外发布的报告,以及给其他利益相关者的报告和监管申报材料等, 其范围也从财务报表拓展为不仅包含更加广泛的财务信息,而且还包含非财务信息。 P110 企业风险管理—整合框架增加了一个高层次的目标，即战略目标。战略目标来源于主体的规划，同时运营、报表和合规性的目标都要与之一致。企业风险管理被应用于战略制定以及其他三类目标的实现。 企业风险管理框架还引入了风险偏好和风险承受能力的概念。风险偏好是在主体实现目标或制定规划过程中所愿意承担的广义风险的数量，它为战略制定及相关目标的实现提供了参考。在确定风险承受能力过程中，管理层需考虑相关目标的重要性，并将其与企业风险偏好相协调。在风险承受能力范围内经营有助于确保该主体能保持在它的风险偏好之内，进而确保该主体将会实现其目标 风险组合观点 风险组合未包含在内部控制框架之内。对企业内每个单位而言，其风险可能落在该单位的风险容忍度范围内，但从企业总体来看，总风险可能超过企业总体的风险偏好范围。因此，应从企业总体的风险组合的观点看待风险。 组成部分 在加强关注风险的同时，企业风险管理框架将内部控制的风险评估扩展为四个组成部分—目标设定（内部控制的先决条件）、事项识别、风险评估和风险应对。 内部环境 在论述环境组成方面，企业风险管理框架讨论了一种主体风险管理理念，即一整套共同的信念和态度。描述了主体如何考虑风险，反映了它的价值观，并影响其文化和经营风格。如上所述，此框架包含了风险偏好的概念，风险承受能力更加明确的印证了这一点。 考虑到董事会的决定性作用及其构成，为了使企业风险管理更加有效，企业风险管理框架将

内部控制五要素

按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素： 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素： 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 详解： 有效的内部控制至少应当包括以下五项基本要素： 1、内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审

计机构设置、反舞弊机制等。 2、风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。 3、控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。 4、信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。 5、监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要

最新COSO企业风险管理框架资料

一、导言 中航油巨亏事件,对国内外相关各方都产生了重大冲击和深远影响。由于中航油的国企背景,该事件对我国的国家信用以及我国企业海外上市前景都产生了负面作用。与中航油事件几乎同期发生在国内的伊利股份高管被拘风波、创维数码董事局主席被捕以及金正数码和深圳石化原董事长被捕等事件,也给我们提出了一个相同的问题:我们的企业到底出了什么问题?就在此时,国际著名的反虚假财务报告委员会(即Treaday委员会)于2004年年底,针对国际企业界频繁发生的高层管理人员舞弊现象,废除了沿用很久的企业内部控制报告,颁布了一个概念全新的COSO报告:即《企业风险管理——总体框架》(Enterprise Risk Management,简称ERM)。此报告虽然保留了部分传统内部控制的某些概念,但不论在框架上、还是在要素方面,均有相当大的突破。 在如此赞誉之下的新内部控制框架,它出台的背景与动机又是什么?其具体内容究竟是什么?它能为我国企业内部控制的改善带来什么意义?这是我们需要分析的内容。 二、COSO委员会新报告《企业风险管理——总体框架》解读

内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的,大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段(储稀梁,2004)。由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理协会(FEI)、国际内部审计师协会(IIA)和管理会计师协会(IMA)五大学会共同组成的Treadway 委员会,于1992年发表,并于1994年修订的《内部控制——整体框架》报告,标志着内部控制理论与实践进入了整体框架的新阶段,并被世 界上许多企业所采用。尽管如此,理论界和实务界还是认为该内部控制框架有些局限性,如对风险强调不够,使得内部控制无法与企业的 风险管理相结合(朱荣恩,贺欣,2003)。2004年10月份发布的企业风险管理(Enterprise Risk Management,ERM)框架就是在1992年报告的基础上,结合《萨班斯一奥克斯法案》(Sarbanes—Oxley Act)的相关要求扩展研究得到的。与传统内部控制内容相比,新框架有了较多的变化。这些变化主要包括如下几个方面: (一)企业风险管理对内部控制内涵的发展 1992年COSO报告对内部控制的定义是:“内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”内部控制的定义明确了四个要点:(1)是一个过程;(2)受人为影响;(3)为了达到三个目标;(4)合理保证。 这个定义尽管非常宽,但从某种角度来说,又比较模糊,存在某些片面性。故原COSO报告1992年出版后不久,就有声音批评该报告缺

COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架 水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。 相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策

coso企业风险管理整合框架

c o s o企业风险管理整合 框架 集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]

公司治理·内部控制前沿译丛 企业风险管理——整合框架 （美）COSO 制定发布 方红星王宏译 大连 制定发布机构简介 COSO是Treadway委员会（Treadway Commission，即反欺诈财务报告全国委员会（National Commission on Fraudulent Financial Reporting），通常根据其首任主席的姓名而称为Treadway委员会）的发起组织委员会（Committee of Sponsoring Organizations）的简称。Treadway委员会由美国注册会计师协会（AICPA）、美国会计学会（AAA）、国际财务经理协会（FEI）、内部审计师协会（IIA）和管理会计师协会（IMA）等5个组织于1985年发起成立。1987年，Treadway委员会发布一份报告，建议其发起组织共同协作，整合各种内部控制的概念和定义。1992年，COSO发布了着名的《内部控制——整合框架》（1994年作出局部修订），成为内部控制领域最为权威的文献之一。2003年7月，COSO发布了《企业风险管理——整合框架（征求意见稿）》，经过一年多的意见反馈、研究和修改，2004年9月发布了最终的文本。本书就是按照2004年9月正式发布的文本进行翻译的。 译者简介

方红星，东北财经大学会计学院教授，博士，兼任东北财经大学出版社社长，编审，东北财经大学内部控制与风险管理研究中心研究员，三友会计研究所所长。主要学术兼职有财政部会计准则委员会咨询专家、中国会计学会理事、中国成本研究会理事、中国注册会计师审计准则组成员、中国会计学会财务成本分会常务理事及多家学术期刊编委。 王宏，西南财经大学会计学院博士研究生，现就职于财政部会计司综合处，近年来主要致力于内部会计控制等方面的理论和政策研究。 中文版前言 在内部控制和风险管理的演进过程之中，COSO的突出贡献是举世公认的。它在1992年所发布的、并于1994年作出局部修正的《内部控制——整合框架》，已经成为世界通行的内部控制权威文献，被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳。 2003年7月，COSO发布了《企业风险管理——整合框架》的征求意见稿，引起了广泛的关注，我国也有一些学者撰文介绍了相关的情况。诚然，企业风险管理整合框架并没有立即取代内部控制整合框架，但是它涵盖和拓展了后者。因此，对新的框架进行深入研究和探讨，具有十分重要的价值。2004年9月，正式的最终文本发布之后，由于着作权保护和其他方面的原因，在国内很难取得该框架最终定稿的版本。而许多学者继续按照征求意见稿来进行转述、介绍和研究，已经显得不合适了。为此，我们通过积极联络和多方努力，最终获得了正式授权，得以将这份重要的文献翻译成中文并在国内公开出版。 长期以来，尤其是在2001年前后一系列令人瞩目的公司丑闻爆发之后，关于内部控制的研究和立法行动深受社会各界的重视和关注，我国也概莫能外。我国的有关部门在几年前就已经开始了制定企业内部会计控制规范的积极尝试。目前，关于研究和制定企业内部控制指

内部控制整合框架—— COSO的内控魔方

内部控制整合框架 ——COSO的内控魔方 清华大学 宋逢明教授

中国中国企业内部控制规范性文件企业内部控制规范性文件 1.财政部、证监会、审计署、银监会、 2008522保监会等五部委于年月日发布《企业内部控制基本规范》（财会20087【】号文） 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》，包括18项《企业内部控制应用指引》，以及《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号文）

关于COSO COSO（The Committee of Sponsoring Organizations of the Treadway Commission ） the Treadway Commission 是由左列五个民间机构联合 发起的组织，旨在提供企业 风险管理和内部控制的思想 指导和管理架构。

COSO内部控制整合框架 Framework） Integrated Framework （ICIF：Internal Control--Integrated Internal Control ●首次发表于1992年 ●金融危机后被广泛接受 ●在美国使用非常普遍 ● 现在在世界范围内已被 普遍使用 原始的COSO内控魔方

2012年的修订版 商业环境的变化内控整合框架的相应变化 修订时间表（正式发布时间已推迟）201020112012 9月-1月2月-10月12月-3月4月-12月 有关方面的 审阅和评估设计和构建 公开 征求意见完成定稿

内部控制的定义 ● 定义：内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程，这一过程的设计是为实 现以下三类企业运行的目标提供合理的保障: 1企业运行（操作）的有效和效率1. 2.报告的可靠性 3. 合规性（符合法律和监管要求） ● 内部控制的涵义： 1.内部控制是一个管理控制过程 内部控制是个管理控制过程 2.内控是受人们活动影响的，不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障 4.内控与三类运行目标（运行操作、报告和合规性）配套 5. 内控要与企业的组织结构相适应

(完整版)企业内部控制与风险管理制度总体框架构建——以联通公司为例汇总

企业内部控制与风险管理制度总体框架构建——以中国联通公司为 例 姚晓蓉 一、研究背景 中国联合网络通信有限公司(以下简称“中国联通’，)于2008年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业，对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。重组前的中国联通于2000年6月分别在香港、纽约成功上市，进入国际资本市场，并于一年之内成为香港恒生指数股，之后又于2002年10月回归国内A股市场，成为国内唯一的海内外三地上市的电信企业。 作为在美国上市的中国联通，自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求，向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。同时身为国内A股的中国联通，必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求，建立与实施有效的内部控制。对于中国联通来说，加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择，也是证券监管机构对上市公司加强监管的客观要求。 中国联通经过十多年的跨越式发展，网络、资产、收入规模都大幅度提升，同时也在美国、香港、上海三地成功上市，成为我国一家大型基础电信运营企业。但与业务快速发展和企业整体规模迅速扩张不相适应的是，公司原有内部基础管理工作薄弱，重发展，轻管理，风险控制方面还存在一定漏洞。 COSO报告指出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。我国于2008年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。 中国联通自2003年底开始按照《萨班斯一奥克斯利法案》第404条，围绕经营效果和效率、财务报告真实性、遵从法律法规三个目标，建立了一套渗透所有业务及场所的内部控制制度、管控机制以及控制责任体系。本文以此为例来论述企业内部控制与风险管理制度总体框架构建的有效途径。 二、中国联通内部控制环境的构建

(管理)新内部控制-整合框架(2013版)-中文版

内部控制整合框架 执行纲要 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。管理层和董事会通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。 本框架在内部控制方面，对管理层，董事会，外部的利益相关者和其他与组织产生互动关系的相关方有所帮助，且不会过分死板；而这有赖于对内部控制体系构成要素的理解，有赖于对内部控制体系能够有效实施的时机的洞见。 翻译：@注册内审师

对于管理层和董事会，本框架提供： 一套工具，将内部控制推广到各类型的组织，无论行业或法律形式，无论在组织层面，经营单元层面或职能层面； 一种原则导向的方法，能够灵活设计，实施和推进内部控制，并留有判断空间——这些原则可在组织层面、运营层面和职能层面应用； 一些要求，具体阐述有效的内部控制体系的要素和原则是如何存在和发挥作用，如何在一起产生协调作用； 一套工具，识别和分析风险，开发和管理合适的风险应对措施将风险控制在可接受的水平，且更关注反舞弊措施； 一个机会，将基于财务报告的内部控制扩大应用范围，满足各种其他的报告、运营和遵循目标； 1.一个机会，清理那些在降低风险方面价值不大的无效，冗余和 低效的控制。 2.对于外部利益相关者和组织的其他相关方，本框架的应用可使 其： 对于董事会针对内部控制的监管更有信心； 对于组织实现目标更有信心； 对组织识别，分析和应对来自商业与运营环境风险与变化的能力更有信心； 翻译：@注册内审师

内部控制发展历程及概述

一、内部控制发展历程及概述 1. 国际概况 1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了美国反虚假财务报告委员会，旨在探讨财务报告中舞弊产生的原因。委员会调查发现其所研究的欺诈性财务报告案例中，有大约50%是由于内部控制失效造成的，于是成立了COSO委员会（美国全国虚假财务报告委员会下属的发起人委员会英文缩写）来制定内部控制指南。 1992年9月，COSO发布《内部控制—整合框架》。《内部控制—整合框架》代表着国际上在内部控制研究方面的最高水平，是内部控制理论研究历史性的突破。此时，整体框架不仅为内部控制的控制目标指明了方向，同时也为其有效实践提供了可供遵循的五个要素。 进入21世纪，美国先后爆发了安然、世通、安达信等公司欺诈、会计造假的丑闻，使投资大众遭受巨大的损失。为了加强公司治理，重建投资者的信心，2002年7月,美国国会颁布了《萨班斯-奥克斯利法案》，该法案提出建立以COSO发布的《内部控制—整合框架》为参照基准的内部控制框架体系。这表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 2013年5月，COSO发布《2013年内部控制—整体框架》及其配套指南。新版《整体框架》在基本概念、内容和结构，以及内控的定义和五要素、评价内控体系的有效性标准等方面均与原版相同，有变

化的是依据具体形势所做出的相关内控管理措施，《整体框架》明确地列出了17项原则，每一项原则均与其中一个要素相连，代表这些基本概念都与内部控制的五大要素相关联，这被业内人士称为一种升级。 2. 国内概况 在借鉴和吸收国际监管理念的背景下，2008年5月财政部联合证监会、审计署、银监会和保监会五部委发布了《企业内部控制基本规范》，就加强企业内部控制、贯彻实施内部控制规范作出了明确部署。 2010年4月五部委又联合发布了《企业内部控制配套指引》，连同此前发布的《企业内部控制基本规范》，标志着中国企业内部控制规范体系基本建成。 2012年5月财政部联合国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》要求各中央企业全面启动内部控制建设与实施工作。 2012年8月财政部联合证监会发布《关于2012年主板上市公司分类分批实施企业内部控制基本规范体系的通知》要求主板上市公司确保内部控制体系建设落到实处。 2012年11月财政部发布了《行政事业单位内部控制规范（试行）》文件的通知，加强行政事业单位内部控制规范并规定于2014年1月1日起在全国范围施行。 2015年12月21日，财政部发布了《财政部关于全面推进行政

COSO《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control – Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control—Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory 翻译：@注册内审师

COSO《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control–Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance.COSO’s Internal Control—Integrated Framework (Framework)enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments,mitigate risks to acceptable levels,and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging;operating that system effectively and efficiently every day can be daunting.New and rapidly changing business models,greater use and dependence on technology,increasing regulatory requirements and scrutiny, globalization,and other challenges demand any system of internal control to be agile in adapting to changes in business,operating and regulatory 第1页

内部控制体系基本框架

内部控制体系基本框架 目次 1总则．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 1．1编制目的……………………………………… 1．2编制依据……………………………………… 1．3编制原则……………………………………… 1．4主要应用……………………………………………………………………… 1．5主要内容………………………………………………………………………… 1．6控制的原则……………………………………………………………………… 1．7控制的职责………………………………………………………………………2框架基础……………………………………………………………………………… 2．1公司愿景………………………………………………………………………… 2．2公司使命………………………………………………………………………… 2．3公司战略………………………………………………………………………… 2．4经营理念………………………………………………………………………… 2．5企业文化………………………………………………………………………… 2．6核心价值观……………………………………………………………………… 2．7公司与政府的关系……………………………………………………………… 2．8公司与投资方的关系…………………………………………………………… 2．9公司与员工的关系………………………………………………………………3控制环境……………………………………………………………………………… 3．1公司治理架构…………………………………………………………………… 3．2管理理念及经营风格…………………………………………………………… 3．3组织结构………………………………………………………………………… 3．4诚信与道德价值观……………………………………………………………… 3．5权责分配体系…………………………………………………………………… 3．6人力资源政策及实施……………………………………………………………4风险管理……………………………………………………………………………… 4．1风险管理内容…………………………………………………………………… 4．2风险管理目的…………………………………………………………………… 4．3风险管理信息的采集………………………………………………………… 4．4风险评估……………………………………………………………………… 4．5风险管理策略………………………………………………………………… 4．6风险应对措施………………………………………………………………… 4．7风险管理的监督与改进……………………………………………………… 5控制活动…………………………………………………………………………… 5．1实施控制活动的基本要求…………………………………………………… 5．2建立预算管理和经营活动分析评价制度…………………………………… 5．3期末财务报告流程…………………………………………………………… 5．4建立控制活动体系…………………………………………………………… 6信息与沟通………………………………………………………………………… 6．1信息……………………………………………………………………………

新COSO内部控制整体框架介绍_王怡心.

41 2013.3中国内部审计 一、背景说明 COSO 委员会于1992年发布了《企业内部控制整体框架》,亦即所谓的旧框架,并于1994年进行了一些内容增补。该框架逐渐得到世界 各国内部控制准则制定机构的认同,成为国际通用的内部控制准则。特别是为遵循美国《萨班斯法案》(Sarbanes-Oxley Act,2002中有关财务报告内部控制的要求,在美国上市公司都以COSO 框架为准则来设计企业内部控制体系,进一步推动了C O S O 内部控制框架在世界各国的广泛应用。台湾于2002年11月18日发布的《公开发行公司建立内部控制制度处理准则》,经过六次修订,最新版本于2011年12月21日发布,也是在借鉴COSO 内部控制框架的基础上,结合台湾内部控制落实条款制订而成的。 自旧框架发布以来,企业的经营环境和管理模式发生巨大变化,新的科技应用和复杂组织结构以及愈加严格的治理要求,促使企业在满足COSO 旧框架的营运、合规、财务报告内部控制目标的基础上,越 来越重视公司治理和风险管理,关 注范围扩及非财务报告的内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也要求加强和完善内部控制准则。 为顺应形势要求,2010年9月COSO 委员会启动了对《企业内部控制整体框架》的审核与更新,并聘请 新C O S O 内部控制整体框架介绍

◆王怡心 普华永道会计师事务所(PWC作为项目计划执行单位,着手新框架的 制订工作。为确保能够广泛代表各方意见,COSO 委员会还成立了一个由实务界、学术界、政府机构和非营 利组织代表们组成的顾问委员会,提供咨询意见。2010年9月至2011年1 月,COSO 委员会对700多个旧框架的使用者进行问卷调查。结果显示,回应意见大部分支持对旧框架进行修订和更新,但不建议重新再造新框架。2011年12月,COSO 委员会发布了新框架的征求意见稿来公开征求意见。 二、新框架的改变重点 C O S O 委员会认为旧框架中关 于内部控制的基本原则和核心要素在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五大要素(控制环境、风险评估、控制活动、信息与沟通和监督、评估内部控制体系有效性的标准以及专业判断的运用等方面与旧框架保持了一致。针对内部控制的认知和实践方面,旧框架的重点在于“知悉与建立”,新框架的重点在于“承诺与落 实” ,请参阅表二的COSO 新旧原则比较表。新框架的变化主要呈现在以下几个方面:(一着重“原则导向”的方法新框架最显著的变化是在旧 框架的基础上,提出基于内部控制五大要素的17项总体原则(请 参阅表一和82个相关属性,其内容为部分延续、部分新增、部分 修改和部分删除。17项总体原则和五项基本要素作为内部控制的基本概念,适用于所有的组织;82

2013COSO内部控制框架中英文对照版

Internal Control Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments. 设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 An effective system of internal control demands more than rigorous adherence to policies and procedures: it requires the use of judgment. Management and boards of directors use judgment to determine how much control is enough. Management and other personnel use judgment every day to select, develop, and deploy controls across the entity. Management and internal auditors, among other personnel, apply judgment as they monitor and assess the effectiveness of the system of internal control. 一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。管理层和董事会1通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。 1本框架使用“董事会”一词，泛指治理层，包括：董事会，理事会，一般合伙人，所有者和监事会等