coso内部控制目标

一、COSO内部控制体系概要内部控制的内容，归根结底是由基本要素组成的。

这些要素及其构成方式，决定着内部控制的内容与形式。

设计内部控制，可以根据企业特征和需求（例如企业规模、业务构成、管理水平等），对内部控制要素加以有机组合。

COSO报告将内部控制定义为：内部控制是一个过程，它受到董事会、管理人员和其他职员的影响，以期为实现经营的效果和效率、财务报告的可靠性及遵守相关的法律法规提供合理保证。

早期的内控制度一般只强调两项目标，一是财务报告的可靠性目标，二是合规性目标。

COSO 报告在此基础上对企业内部控制的目标进行了完善。

COSO内控制度的首要目标是为了合理确保经营的效果和效率(基本经济目标，包括绩效、利润目标和资源的安全)。

其后才是保证财务报告的可靠性(与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性)和遵循相应的法律法规这两个传统的内控目标。

究其原由，乃是因为任何一个企业管理层的职责，都是要拟订相应目标并通过合理配置自身的人力、物质资源以达到这些目标。

内部控制制度实际上也就是为了满足管理层的这些需要而制定的。

二．内部控制的组成要素COSO报告提出，内部控制由五个要素组成的，即控制环境、风险评估、控制活动、信息与沟通和监控。

五要素中，各个要素有其不同的功能，内部控制并非五个要素的简单相加，而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能对变化的环境做出反应的系统。

控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个内控结构凝聚在一起，是内部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。

企业都面临来自内部和外部的不同风险，对这些风险都必须加以评估。

内部控制目标与内部控制基本假设关联研究作者：朱小芳张佳兴来源：《财会通讯》2012年第26期近年来，内部控制的理论研究得到各界的高度重视，理论界对于内部控制目标的研究比较成熟，但内部控制假设问题的研究却比较滞后，而关于两者关联的研究更是少之又少。

内部控制假设是进行内部控制理论研究和内部控制实践不可或缺的。

有鉴于此，本文首先对企业内部控制目标进行了解析，然后对内部控制假设问题进行了研究并提出了内部控制的五项基本假设，最后分析两者之关联及对内部控制理论的共同影响。

一、企业内部控制目标解析（一）以COSO为代表的内部控制目标以COSO为代表的内部控制的目标经历了约30年的演变，其最原始的目标是防止虚假报告，保证财务数据的准确性和财务报告的可靠性，目标初衷是为企业体系以外的人提供一个统一的财务信息平台，通过财务报告为不同层面的投资者和相关利益人提供企业的经营结果信息，以保证信息的公允性。

随着企业的演进和对内部管理需求的延伸，内部控制的外延与内涵也不断扩大，逐渐承载了促进企业经营的效率与效果、维护企业资产安全、保障企业经营合规等责任。

内部控制的形式也从简单的会计控制、不兼容岗位的分离与牵制演变为建立在文化、道德、治理结构等软环境，以流程为基础、规范企业整体内部运行的政策和流程体系。

整个体系的目标可以分为三个层面：一是保障经营的效率和效果。

二是保障财务报告的准确可靠。

三是保障经营合规。

合规目标强调企业必须遵守社会基本规范，该目标与企业生存密切相关，是属于内部控制最低层次、最基本的目标。

为达成这三个层面的目标，内部控制在企业运营过程当中应该发挥的相应作用包括明确道德规范、明晰权责权限、规范业务流程、信息沟通顺畅、监督企业运营、防范企业风险、保障经营记录准确等。

（二）COSO最新报告——《企业风险管理整体框架》目标COSO的最新报告——《企业风险管理整体框架》于2004年提出，该报告在基本肯定了前述三个内部控制目标的前提下，增加了“战略目标”，提出企业应当把实现战略目标作为实施内部控制的首要任务，并在此基础上自上而下设定经营目标、报告目标和合法目标等具体目标。

内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》（财会20087【】号文） 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》，包括18项《企业内部控制应用指引》，以及《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号文）关于COSOCOSO（The Committee ofSponsoring Organizations ofthe Treadway Commission ）the Treadway Commission是由左列五个民间机构联合发起的组织，旨在提供企业风险管理和内部控制的思想指导和管理架构。

COSO内部控制整合框架Framework）Integrated Framework （ICIF：InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表（正式发布时间已推迟）201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义：内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程，这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行（操作）的有效和效率1. 2.报告的可靠性3.合规性（符合法律和监管要求）●内部控制的涵义：1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的，不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标（运行操作、报告和合规性）配套5.内控要与企业的组织结构相适应内部控制的作用（价值主张）1.灵活性：应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心：将风险调整到3.清晰性：提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方：内控目标内控要素及其关系内控魔方：内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别：非财务报告●内控要素的区别：排序变化●企业结构的区别：企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版（草案）四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险，在合适的可接受水平管理与内控目标有关的风险提升企业运行效率，降低成本内部控制原则：控制的环境原则内部控制原则控制的环境原则（共五条原则及21个相关属性）I.企业证明自己关于商业诚信和伦理价值的承诺（4个相关属性）II.董事会证明自己对于内部控制与管理层相独立的细心关注（5个相关属性）III.在董事会的关注下，管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统（包括内控手册和相配的IT 系统）（3个相关属性）IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺（4个相关属性）V 企业为实现内控目标具有强制性责任（涉及V.合规性要求）（5个相关属性）内部控制原则：风险的评估原则内部控制原则风险的评估原则（共四条原则及19个相关属性）VI.企业以足够的清晰度区分与相关内控目标有关的风险（6个相关属性）VII.企业级地辨识和分析为实现内控目标的风险，以此作为管理风险的基础（5个相关属性）VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误（5个相关属性）IX.企业要辨识和评估可能显著影响内控系统的变化（3个相关属性）☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现，例如：-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关，例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标，如：收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告：符合监管、会计准则等标准-外部非财务报告：适当性，即既不过于详细也不外部非财务报告适当性，即既不过于详细也不过于简略；反映企业活动；符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现，例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系，例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性，与市场、定价、税收、环保、劳动保护有关，诸如：-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求，企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI ：企业以足够：企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险（的风险（6个相关属性）运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII ：企业级地辨识和分析为实现内控目标的风险，以此作为管理风险目标的风险，以此作为管理风险的基础（的基础（5个相关属性）7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标，在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理：接受风险、规避风险、降低风险、或者分担风险基本原则VIII ：企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误（的失误（5个相关个相关属性）属性）考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式：资产可能的损失、报告可能的疏漏，以及腐败行为可能导致的后果，等等13.考虑各项风险要素：这些风险因素会影响到资产的重大损失，也会影响到有关的运行、报告产的大损失，会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产，错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性：评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX ：企业要辨识和评估可能显著影响内控系统的变化内控系统的变化（（3个相关个相关属性）属性）17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化：考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现，以及企业业务环境的重大变化，等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动，不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则：控制的活动原则（共三条原则及16个相关属性）X.企业要挑选和开发这样的控制活动，此类活动能够为实现内控目标缓解风险至可接受水平做出贡献（内控手册制订政策表）（6个相关属性）企业要挑选和开发为实现内控目标的技术支持手XI.段（人工的和/或自动的）（4个相关属性）企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策，使内控政策清晰地建立所预期的效果和相关流程（流程的风险点和相应的控制政策）（6个相关属性）内部控制原则：信息与沟通的原则（共三条原则及14个相关属性）XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息（5个相关属性）XIV.企业要在内部沟通信息，这些信息对于支持内控其他要素是必须的，包括内控的目标和责任信息（4他要素是必须的包括内控的标和责任信息个相关属性）XV.企业也要与外部有关方面进行沟通，此类沟通会影响到内控的其他要素（5个相关属性）内部控制原则：监控的活动原则内部控制原则监控的活动原则（共二条原则及11个相关属性）XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估，以确认内控各要素的功能是否正常（7个相关属性）旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷，企业要及时地予以评估并与有关责任方面沟通，以便立即采取改正活动，包括报告高管层和董事会（4个相关属性）基本原则概述（新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性））I证明关于商业诚信和伦理的承诺（控制的环境（21个相关属性）I.4个相关属性）II.细心关注的责任（5个相关属性）III.构建结构、授权与问责系统（3个相关属性）IV.证明有竞争力的人力资源开发（4个相关属性）风险的评估（19个相关属性）V.强制性责任（5个相关属性）VI.分辨相关内控目标（6个相关属性）VII.辨识和分析风险（5个相关属性）VIII控制的活动（16个相关属性）VIII.评估失误的风险（5个相关属性）IX.辨识评估变化（3个相关属性）X.挑选开发控制活动（6个相关属性）信息与沟通（14个相关属性）XI.挑选开发内控的技术手段（4个相关属性）XII.制订内控政策和流程（6个相关属性）XIII.利用有关信息（5个相关属性）监控的活动（11个相关属性）XIV.内部沟通（4个相关属性）XV.外部沟通（5个相关属性）XVI.综合和/或分开的评估（7个相关属性）XVII.评估和报告内控失误（4个相关属性）内部控制的有效性1.内部控制的有效性和合规性：有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障，旦出现不合规行为，就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估，要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标（企业运行操作、报告和合规性）都是有效的，董事会和管理层就可认为相对于自己的企业结构获得了合理的保障：•在企业的业务范围内，企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素，内控基本原则由与之相关的属性来支持，评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断，判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会：指导和要求管理层开发内控系统●高管层：CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员：各层级经理及有关人员各负其责●内审部门：在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师：除了财务报告的可靠性外还要通过关注内控的●外部审计师：除了财务报告的可靠性外，还要通过关注内控的基本原则和要素来评估内控系统（也可以采用评估工具）●监管部门：根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织：提供内控系统运行的指导和报告，帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构：帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡，实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失，而且要关注非预期损失，非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿（risk appetite）：企业在一个宽广的水平上，为推进价值创造愿意接受的风险的量（COSO的定义）●风险容忍（risk tolerance）：风险表示为价值的变动，风险容忍是可接受的变动范围（COSO的变动风险容忍是可接受的变动范围（定义）风险偏好（risk preference）人们选择接受较多●risk preference）：人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近，在金融理论中，风险偏好用效用函数的形态来刻画。

coso内部控制定义
COSO内部控制定义是由美国会计师公会下属委员会于1992年创
立的，是管理内部控制的标准，目的是帮助企业建立有效的内部控制
体系。

COSO内部控制定义是一个由五个部分组成的可适用于各种行业
和规模企业的标准。

第一步：确定内部控制目标
内部控制目标包括法律合规性、资产保障、信息质量和业务有效性，这些目标可以帮助企业确保公司财务报表的准确性，管理风险以
及提高运营效率。

第二步：评估风险
企业需要评估其运营过程中可能发生的内部和外部风险，以便适
当采取措施防范潜在风险。

第三步：制定控制目标
企业需要制定适当的控制目标，以防止或减少识别出的风险，同
时确保达到内部控制目标。

第四步：建立控制措施
企业需要建立适当的控制措施，以确保控制目标的有效性，同时
这些措施需要被合理地部署以确保实施的有效性。

第五步：监督内部控制
企业需要定期监督内控程序，以确保其有效性并作出相应的改进
措施。

COSO内部控制定义是一项成功实施内部控制的重要工具，它可以有效地加强企业的风险管理和业务运营，并帮助企业达到其管理目标。

它不仅适用于大型公司，也适用于中小型企业，因此每个企业都应该
遵循COSO内部控制定义并实施相应的内部控制体系，以确保其长期稳
定的发展。

COSO内部控制体系及应用介绍COSO（Committee of Sponsoring Organizations of the Treadway Commission）是1992年成立的非营利组织，致力于通过提供可行的共同意见，促进和提高民营和公共组织的组织绩效和透明度。

COSO内部控制框架是该组织最重要的成果之一，广泛应用于各种组织中，帮助它们设计和实施有效的内部控制体系。

本文将介绍COSO内部控制体系的基本概念和要素，以及如何在实际应用过程中使用该框架来提高组织的内部控制水平。

COSO内部控制体系概述COSO内部控制体系是一个完整的指导性框架，旨在帮助组织实现其目标，同时评估和管理与实现这些目标相关的各种风险。

该框架由五个相互关联的组成要素构成，这些要素共同工作以实现组织的目标。

这五个组成要素如下：1.控制环境（Control Environment）：控制环境是指组织对内部控制的整体态度和氛围。

一个良好的控制环境可以促进员工对内部控制的重视，并提供适当的资源和支持。

2.风险评估（Risk Assessment）：风险评估是指组织对潜在风险进行识别、分析和评估的过程。

通过了解和评估风险，组织可以制定相应的控制措施来降低风险。

3.控制活动（Control Activities）：控制活动是指组织实施的各种控制措施，包括指令和程序、审计和监控等。

这些控制活动旨在确保组织内部控制的有效性和合规性。

4.信息与沟通（Information and Communication）：信息与沟通是指组织内部控制信息的收集、处理和传递方式。

有效的信息和沟通可以确保组织的内部控制能够及时获取和使用各种相关信息。

5.监控活动（Monitoring Activities）：监控活动是指组织评估并监控内部控制的过程。

通过监控活动，组织可以发现和纠正内部控制中存在的问题，并及时采取相应的措施来提高内部控制的效力。

这五个要素相互关联，共同构成了一个完整的内部控制体系。

内部控制的概念与要求coso -回复内部控制是指组织为达到业务目标所建立的一系列控制措施和制度，以确保各项活动的合理性、合规性和高效性。

内部控制的要求由COSO （Committee of Sponsoring Organizations of the Treadway Commission）提出，其主要目的是帮助组织有效地管理风险，保护资产，提高业绩。

首先，内部控制要求明确的组织结构和责任分工。

组织应建立明确的管理层级和职责分工，确保每个岗位都有明确的职责和责任。

管理层应制定明确的规章制度，确保员工了解和遵守相关政策。

其次，内部控制要求风险评估和管理。

组织应对可能影响业务目标实现的内外部风险进行评估，并采取相应的控制措施来降低或管理这些风险。

风险评估应定期进行，以保证对新出现的风险进行及时应对。

第三，内部控制要求信息与沟通的有效性。

组织应确保信息的准确性、完整性和及时性，以支持管理层做出正确的决策。

同时，组织还应建立有效的沟通机制，确保信息在各部门和各级别之间畅通无阻，以便及时了解和解决问题。

第四，内部控制要求人员素质和培训。

组织应招聘和培训具备相应知识和技能的员工，确保其能够胜任所负责的工作。

此外，组织还应建立培训计划，定期对员工进行培训，提高其风险意识和内控意识。

第五，内部控制要求监督和审核。

组织应建立监督机制，确保内部控制的有效性和合规性。

监督可以通过内部审计、风险评估、业绩评估等方式进行。

同时，管理层还应定期对内部控制进行审核，发现问题并及时解决。

最后，内部控制要求持续改进。

组织应不断总结经验教训，根据实际情况不断完善和改进内部控制制度和措施。

持续改进可以通过定期的内部控制评估和外部审计等方式进行。

总结起来，COSO提出的内部控制要求包括明确的组织结构和责任分工、风险评估和管理、信息与沟通的有效性、人员素质和培训、监督和审核以及持续改进。

一个有效的内部控制系统可以提高组织的经营效率，降低风险，并增强组织的竞争力。