coso内部控制模型(ppt 9)

COSO介绍COSO是全国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission）的英文缩写。

1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。

两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。

1992年9月，COSO 委员会发布《内部控制整合框架》，简称COSO报告，1994年进行了增补，中国的《企业内部控制配套指引》与此相似。

COSO框架1）COSO内部控制—整体框架反虚假财务报告委员会于1987年签署了报告，号召研究并制定一个统一的内部控制框架。

1992年9月，COSO委员会提出了报告《内部控制———整体框架》（1994年进行了增补），即COSO内部控制框架。

COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。

COSO框架提出五个互相关联的组成要素，根据公司的规模和结构，公司可采用不同的方式来实施这些组成要素，但是所有公司都必须涉及这五个组成要素。

因此，在对内部控制进行评估时，管理层必须考虑以下每个组成要素：控制环境：控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。

控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。

控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。

第十讲内部控制与风险管理新发展1001COSO2013版内部控制整合框架王清刚中南财经政法大学会计学院Email：kjxywqg1125@COSO《内部控制——整合框架（2013）》●框架逻辑：目标——要素——原则——关注点●1.控制环境⏹原则1：组织显示出对诚信和道德价值观的承诺◆确立高层态度、建立行为准则、评价对行为准则的遵守情况、实施有关流程，并根据组织的行为准则来评估个人和团队的表现、及时处理变差情况⏹原则2：董事会应展现出其独立于管理层，并对内部控制的开展和成效实施监督◆建立监督责任、运用专业知识、保持独立运作、履行对内部控制体系的监督职责●1.控制环境⏹原则3：管理层为实现目标，应在董事会的督导下确立组织架构、汇报路线、合理的权利与责任◆考虑主体的所有架构；制定汇报路线；定义、分配及限制权力与责任（董事会、高级管理层、管理层、员工及外包服务供应商）⏹原则4：组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺◆建立政策和实践；评估胜任能力并改善不足；吸引、培养和留用人才；规划与准备后续人才⏹原则5：组织为实现目标，应要求员工承担内部控制的相关责任◆通过组织架构、权利与责任来强化问责机制；建立绩效衡量、激励和奖励机制；评估绩效衡量、激励和奖励机制的持续相关性；考虑过度的压力；评价业绩并奖功罚过●2.风险评估⏹原则6：组织应设定清晰明确的目标，以识别和评估与目标相关的风险◆运营目标：反映管理层的选择、考虑风险容忍度、涵盖运营和财务绩效目标、形成资源配置的基础◆外部财务报告目标：符合适用的会计准则、考虑重要性水平、反映主体运营活动◆外部非财务报告目标：符合既定的外部标准和框架、考虑所需要的精确度水平、反映主体的活动◆内部报告目标：反映管理层的选择、考虑精确度要求、反映主题活动◆合规目标：反映外部法律法规及规章、内部制度、考虑风险容忍度与外部财务报 告目标相关： 年度财务报告 中期财务报告财务报告 外部报告与外部非财务 报告目标相关： 内部控制报告 社会责任报告管理层讨论与分析等非财务报告●用以满足外部利益相关方和监管机构的要求 ●按照外部标准编制 ●可能是应监管要求、合同或协议的要求编制和提供 主要特点与内部财务报 告目标相关：部门财务报表 成本分析表 费用分析表等内部报告与内部非财务 报告目标相关：员工权益保护报告 供应商管理报告 健康安全管理报告等●用以满足业务管理和经营决策的需要●按照相关性、及时性等要求灵活编制●由董事会和管理层建立等四类报告目标的内容、特点及关系●2.风险评估⏹原则7：组织应对影响其目标实现的风险进行全范围的识别和分析，并依此为基础来决定应如何管理风险◆应涵盖主体、下属单位、分部、业务单元和职能部门层面；分析内部和外部因素；让适当层级的管理层参与；评估所识别风险的重大性；决定如何应对风险⏹原则8：组织应在评估影响其目标实现的风险时，考虑潜在的舞弊行为◆考虑不同类别的舞弊、评估动机和压力、评估机会、评估态度和合理化●2.风险评估⏹原则9：组织应识别并评估对其内部控制体系可能造成重大影响的改变◆评估外部环境变化、评估商业模式变化、评估领导层变化●3.控制活动⏹原则10：组织应该选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动◆与风险评估相结合、考虑主体特有的因素、确定相关业务流程、评估控制活动类别的组合、考虑控制活动的适用层级、强调职责分离●3.控制活动⏹原则11：针对信息技术，组织应选择并执行一般控制活动以支持其目标实现◆决定在业务流程中应用的信息技术和信息技术一般控制之间的依存度；建立于信息技术基础设施相关的控制活动；建立与安全管理流程相关的控制活动；建立于信息技术引进、开发、维护流程相关的控制活动⏹原则12：组织应通过政策和程序来实施控制活动，政策市建立预期，程序是将政策付诸行动◆制定政策和程序以支持管理层指令的实施、确立政策和程序执行的职责和问责制、及时执行、采取整改措施、选用合格人员、重新评估政策和程序●4.信息与沟通⏹原则13：组织应获取或生成和使用高质量相关信息来支持内部控制的持续运行◆识别信息需求、收集内外部数据、将数据转化为信息、在处理过程中确保信息质量、应考虑成本效益原则⏹原则14：组织应在内部对内部控制目标和责任等必要信息进行沟通，从而支持内部控制持续运行◆沟通内部控制信息、与董事会沟通、提供独立的沟通途径（如举报热线）、选择沟通方式⏹原则15：组织应就影响内部控制发挥作用的事项，与外部进行沟通◆能与外部沟通、能从外部输入沟通信息、与董事会沟通、提供独立的沟通途径（如举报热线）、选择沟通方式COSO《内部控制——整合框架（2013）》●5.监控⏹原则16：组织应选择、开展并实施持续和（或）单独评估，以确认内部控制的各要素存在并持续运行◆持续评估和单独评估的组合、考虑变化率、建立对基础的理解、选用具备专业知识的人员、与业务流程整合、调整范围和频率、反映客观地评估⏹原则17：组织应评价内部控制缺陷，并及时与整改责任方沟通，必要时还应与高级管理层和董事会沟通◆评价结果、沟通缺陷、监督整改措。