COSO内部控制新框架(2013版)
COSO2013内部控制整合框架内容、变化与启示
Content, Change and Enlightenment of COSO 2013 Internal Control Integrated Framework 作者: 王关英[1];马东亮[2]
作者机构: [1]北京物资学院商学院,北京100000;[2]北京物资学院财务处,北京100000
出版物刊名: 内蒙古财经大学学报
页码: 36-39页
年卷期: 2015年 第6期
主题词: 内部控制;整合框架
摘要:紧随内部控制整合框架的修订,COSO于2014年10月21日宣布启动更新企业风险管理框架的计划。
COSO对两大框架的修订引起业内广泛的关注,而对于2013内部控制整合框架的相关理论还有待更深入的诠释。
本文全面介绍了COSO2013内部控制整合框架更新的背景、内容及主要变化,在此基础上,提出了2013内部控制整合框架对进一步完善国内内部控制规范体系的启示。
最新2013年COSO框架”17条核心内控原则“与属性重大变化
最新2013年COSO框架“17条核心内控原罗志国国际注册内部审计师 中国注册会计师 中国财务总监资格认证 内控及审计专2014年3月1日【引言】COSO报告自诞生以来,到今天二十年已经过去了。
这二十年间,商业和经营环境发渐加深。
同时,股东参与公司管理的热情不断高涨,而且对内部控制整合期待和要求更高的透明度和责任意识。
2新的COSO报告,新报告旨在使企业能有效率和有效果地发展和维持内部控制系统,从而提升目标实现的可能性和适控框架(以下称“2013 COSO框架”),引起各方关注。
其中一个重大变化是基于原有COSO五要素提出了17条核心原则将被广泛地运用到包括上市公司和私人持有在内的营利性企业、非营利性企业、政府团体以及其他组织,从而属性,代表与原则相联系的特征。
原则和属性共同构成了管理层评判企业是否具备有效内部控制的标准;风险评估内控原则”与属性重大变化志国财务总监资格认证 内控及审计专家 审计部长年3月1日环境发生了翻天覆地的变化,变得越来越复杂,科技化和全球一体化的趋势日求更高的透明度和责任意识。
2012年,COSO委员会联手普华永道和顾问委员会制定了从而提升目标实现的可能性和适应商业环境的变化。
COSO在2013年5月发布其最新内原有COSO五要素提出了17条核心内控原则,用以代表内部控制要素的基本概念,这些、政府团体以及其他组织,从而大幅度增强了五要素的可操作性。
支撑每条原则的是有效内部控制的标准;*将风险容忍度这一概念加入到可接受的风险水平评估中来;*展开讨论了管理层需要了解发生在组织内外部的重大环境因素变化,以及这些变化是如何影响内部控制的整体系统的;*把与重大漏报,资产的保护不足及腐败相关的舞弊风险列入到风险。
COSO内部控制新框架(2013版)
59
通通
企业于内部沟通的内部控制信息,
60
包括内部控制目标和职责范围,必 61
14 须能够支持内部控制的其他要素发
62
挥效用 63
关注点
涵盖总公司、子公司、分支机构、事业部和职能部门 分析内部和外部因素 涵盖适当层级的管理 评估风险识别的重要性 决定如何应对风险 考虑不同类型的舞弊 评估员工承受的压力和激励手段 评估舞弊发生的机会 评估态度和合理性 评估外部环境变化 评估商业模型变化 评估领导层变化 与风险评估相结合 考虑企业自身的因素 决定相关商业流程 评价控制活动类型集合 考虑控制活动的应用层面 职责分离 决定技术在流程中的应用以及技术的一般控制 制定相关技术基础设施控制活动 制定相关安全管理流程控制活动 制定相关技术取得、发展和维护的流程控制活动 制定政策和程序以支持管理层的部署 制定执行政策和程序的责任问责机制 定期执行 时常纠错 选用足以胜任的人员 重新评估政策和程序 识别信息需求 获取内部、外部数据来源 将相关数据处理成信息 在处理过程中保持信息质量 考虑成本效益 沟通内部控制信息 与董事会沟通 提供彼此独立的沟通渠道 选择沟通方式
香港会计师公会(HKICPA)在2013年11月所颁布的技术通告(AATB1)中,明确提出了对未来所有拟赴港上市的企业的 内部控制尽职调查工作拟采用2013版框架,并且要求审计师以17项原则评估企业的内部控制。
欲了解更多有关COCO内部控制2013版新框架的内容和企业所关注的相关问题,请点击:/zh-CN/Pages /CN-Guide-Updated-COSO-Internal-Control-Framework-FAQs.aspx。
新框架1177项项原则原则原原则则关关注点注点1确立高层态度2建立行为标准1企业对诚信和道德价值观的承诺企业对诚信和道德价值观的承诺3评价对行为准则的遵守情况4及时处理行为偏差5制定监督责任6保有对内部控制系统的监督董董事会独立于管理层对内部控制事会独立于管理层对内部控制7调用相关专业人员2的的制定及其绩效施以监督制定及其绩效施以监督8保持独立运作监控控制环境风险评估控制活动信息与沟通境环制控控9以及监督行为制环管理层在董事会的监督下建立目10考虑企业所有的组织架构管理层在董事会的监督下建立目境3标标实现过程中所涉及的组织架构实现过程中所涉及的组织架构11制定报告路径报报告路径以及适当的权利和责任告路径以及适当的权利和责任12定义分配权限和职责范围13建立制度和操作方案企业致力于吸引发展和留任优秀14评价人员的竞争能力和识别技能的不足企业致力于吸引发展和留任优秀4人人才以配合企业目标达成才以配合企业目标达成15吸引发展和留任人才16计划人才储备17实施权责问责机制18建立绩效考核和奖励制度5企业内部控制责任人的问责制度19评价绩效并执行奖励企业内部控制责任人的问责制度20考虑额外的压力21评价员工表现并奖励遵守纪律的员工企业制定足够清晰的目标以便识企业制定足够清晰的目标以便识6别别和评估有关目标所涉及的风险和评估有关目标所涉及的风险22a反映管理层决策23a考虑风险忍受度运营目标运营目标24涵盖运营和财务目标25形成投入资源的基准22b符合会计准则估评险风风外部财务报告目标23b考虑重要性水平外部财务报告目标险评26反映企业活动估22c符合外部标准和框架外部非财务报告目标外部非财务报告目标23c考虑精准度要求26反映企业活动22a反映管理层决策内部报告目标23c内部报告目标考虑精准度要求26反映企业活动22d反映外部法律法规合规目标合规目标23a考虑风险忍受度原原则则关关注点注点27涵盖总公司子公司分支机构事业部和职能部门企业从整个企业的角度来识别实现28分析内部和外部因素企业从整个企业的角度来识别实现7目目标所涉及的风险分析风险并标所涉及的风险分析风险并29涵盖适当层级的管理据据此决定应如何管理这些风险此决定应如何管理这些风险30评估风险识别的重要性续估评险评风风险31决定如何应对风险32考虑不同类型的舞弊估企业在评估影响目标实现的风险时33评估员工承受的压力和激励手段企业在评估影响目标实现的风险时续8考考虑潜
COSO内部控制新框架
.
6
内部控制整合框架(2013版)要点
——17条原则 风险评估
原则6:有清晰的目标,并根据目标识别及评价风险
关注要点:
1. 设置了明确的、相关的目标(包括经营目标、报告目标及合 规目标)
企业需要: 有对应的目标体系
原则7:对风险进行全范围的识别与分析,并决定如 何管理风险
关注要点:
1. 有适当的管理层参与整个过程 2. 风险评估过程包括总部、各部门、业务单元、事业部、下属
——内部控制有效性评价
模板2:各要素评价模板
.
20
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板3:各原则评价模板
.
21
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板3:各原则评价模板
.
22
内部控制整合框架(2013版)要点
——内部控制有效性评价
模板4:缺陷汇总表
.
1. 考虑舞弊发生的各种可能性 2. 评估舞弊的动机和压力 3. 评估舞弊的机会大小 4. 评估对待舞弊的态度及自我合理化倾向
企业需要: 将舞弊风险(或廉政风险)作为专项 风险来识别;设立举报及举报人保护 机制 对应流程: 风险评估、内部信息沟通
原则9:识别并评价可能对内控体系造成较大影响的 变化
关注要点:
原则11:针对信息技术并开展一般控制
关注要点:
1. 确定独立于信息系统运行的信息系统一般控制 2. 建立相关的基础架构的控制活动 3. 建立相关的信息安全管理控制活动 4. 建立相关的信息系统购买、开发、运行维护控制活动
.
企业需要: 针对信息系统开发及运行设计对应控 制活动 对信息系统日常运行进行监控 开展信息系统专项审计 对应流程: 信息系统开发 信息系统运行维护
2013COSO内部控制框架讲义英文版
COSO Advisory Council
• • • • • • • AICPA AAA FEI IIA IMA Public Accounting Firms Regulatory observers (SEC, GAO, FDIC, PCAOB) • Others (IFAC, ISACA, others)
7
Project deliverable #2 – Internal Control over External Financial Reporting: A Compendium....
• Illustrates approaches and examples of how principles are applied in preparing financial statements • Considers changes in business and operating environments during past two decades
What is changing...
• Changes in business and operating environments considered • Operations and reporting objectives expanded • Fundamental concepts underlying five components articulated as principles • Additional approaches and examples relevant to operations, compliance, and non-financial reporting objectives added
2013版内部控制整合框架最新变化
企业需要: 将舞弊风险(或廉政风险)作为专项 风险来识别;设立举报及举报人保护 机制 对应流程: 风险评估、内部信息沟通
原则9:识别并评价可能对内控体系造成较大影响的 变化
关注要点: 1. 评估外部环境变化带来的影响 2. 评估经营模式变化带来的影响 3. 评估管理层变动带来的影响
企业需要: 定期开展内控自我评价及内控审计 及时更新内控体系文档 对应流程: 内控自我评价、内控审计
企业需要: 确定信息需求,归集信息渠道 制定有效的信息沟通流程 持续评价信息沟通的有效性 对应流程: 信息与沟通
原则14:将企业目标和内部控制职责在内的必要信 息传达给每位员工
关注要点: 1. 将内部控制的相关信息与每名员工进行沟通 2. 将内部控制相关信息与董事会进行沟通 3. 建立独立的应急性的沟通渠道 4. 选择合适的沟通方式
业务层面评价
• 对各业务流程的关键控制点进行评价,通过穿行测试、 抽样测试等方法评价其设计及执行的有效性。
• 业务层面评价结果可以用来支撑公司层面评价的结论
内部控制整合框架(2013版)要点
——内部控制有效性评价
COSO框架提供的是公司层面评价的方法和模板,总体评价过程如下: 汇总五大要素评估结果,对内部控 制整体有效性进行评价
原则2:董事会独立于管理层,对内部控制有效性进 行监督
关注要点: 1. 明确了董事会与管理层各自的权责 2. 董事会独立于管理层并具有胜任能力、并保持独立性 3. 董事会对内部控制有效性进行监督
企业需要: 确定董事会与管理层权限 定期对内部控制有效性进行监督并报 告给董事会 对应流程:
治理架构、授权管理、内控审计
原则4:企业制定完善的政策吸引、发展、保留人才
关注要点: 1. 制定了相关的政策与制度 2. 关注员工的胜任能力,并持续改进 3. 不断吸引、发展、保留人才 4. 制定了岗位继任计划
2013COSO内部控制框架中英文对照版
Internal Control Integrated Framework内部控制整合框架Executive Summary执行纲要Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization.内部控制帮助组织达到重要的目标,维持和改进业绩。
科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系,该体系且能够适应变化的商业和运营环境,将风险降低到可接受的水平,并且促进规范决策和组织的治理。
Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments.设计并实施一套有效的内部控制体系是充满挑战的;每天保持制度运行的效果和效率会让人可望而不可及。
新COSO企业内部控制整合框架(2013)培训材料
细化董 事会专 业委员 会描述
新框架的实在性
内控体系评价有章可循
17个原 则
COSO 新框架
提到案 例增强 理解
内控体系建设保持弹性
82个要 素
内控体系与风险管理、公 司治理、日常经营有机结 合
第8页
新COSO内部控制整合框架(2013)
新框架更新了什么?(续)
2014年12月15日
►
在过渡期间,对外报告应当披露组织使用的是新框架还是旧框架
第31页
新COSO内部控制整合框架(2013)
内部控制原则的综合运用
►
对使用管理层判断的强调。
内部控制阶段 董事会 管理层 判断 内部控制的设置是 否充分
Section 4 Appendix 2013 版COSO框架更新要点
► ►
第4页
新COSO内部控制整合框架(2013)
框架更新的背景
► ► ► ►
首次发布于1992年 在21世纪初的一系列财务控制失败案例后获得广泛认可 在美国使用最广的框架 在全世界也被广泛采用
信息和沟通
控制活动 风险评估
控制环境
更新的目的
改进
更新的、强化的、清晰的 框架
5原则 17关注点
扩展内部报告和非财务报 告的指引
内控整合框架 今后将运行得 更好
COSO 内部控制– 整合框架 (2013版本)
第6页
新COSO内部控制整合框架(2013)
新框架更新了什么?
► 更新旨在提高易用性和扩大应用范围 保留了什么... 改变了什么...
加强技术开发过程中的风险控制; 加强对处于运行状态的技术系统进 行监控及风险预警/处置; 加强针对技术的专项评价/审计。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
20
21
企业制定足够清晰的目标,以便识 6 别和评估有关目标所涉及的风险
22a
–运营目标
23a
24
25
22b
风风
险险
–外部财务报告目标
23b
评评
估估
26
22c
–外部非财务报告目标
23c
26
22a
–内部报告目标
23c
26
22d –合规目标
23a
关注点
确立“高层态度” 建立行为标准 评价对行为准则的遵守情况 及时处理行为偏差 制定监督责任 保有对内部控制系统的监督 调用相关专业人员 保持独立运作 监控控制环境、风险评估、控制活动、信息与沟通 以及监督行为 考虑企业所有的组织架构 制定报告路径 定义、分配权限和职责范围 建立制度和操作方案 评价人员的竞争能力和识别技能的不足 吸引、发展和留任人才 计划人才储备 实施权责问责机制 建立绩效考核和奖励制度 评价绩效并执行奖励 考虑额外的压力 评价员工表现并奖励遵守纪律的员工
对企业内控规范体系、在美上市公司遵循《萨班斯法案》以及赴港上市公司遵循《第21项应用指引》(PN21)的 影响
财政部提出,2013版框架与我国企业内控规范体系在整体架构、基本原则和主要内容方面基本保持一致,因此,为我国企 业内控规范体系与COSO内控框架的趋同奠定了坚实基础。
萨班斯法案404条款的要求是针对财务报告相关的内部控制,其合规工作的基本理论方法依据是COSO内控框架。因此, 也必须按照新框架的实施时间表对合规工作按照新框架进行必要的调整。2013版框架在内部控制的定义、内部控制五要素(控 制环境、风险评估、控制活动、信息与沟通和监控活动)、评估内控体系有效性的标准以及职业判断的运用等方面与1992版 框架保持了一致。对于企业来说,萨班斯法案的合规工作并没有根本性的改变,主要调整在于需要针对公司层面控制需要按照 2013版框架提出的17个主要原则,79个关注点进行自我检视。对于流程层面控制,企业则可以根据自身的行业特色及管理需 求,结合外部审计师的关注点建议,基于2013版框架的要求原则,在贯彻17个主要原则的前提下,考虑必要的调整。
COSO内部控制新框架(2013版)
敏于知
自COSO发布1992版框架以来,现今的商业环境已变得大为不同,新生产技术和复杂组织结构的不断涌现,以及愈加严格 的监管要求,促使企业在满足旧框架运营、合规、财务报告内控目标的基础上,越来越关注公司治理和风险管理,越来越重视 非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也进一步要求加 强和完善内部控制标准。
原则
信信
息息
64
与与
65
沟沟 通通
企业就影响内部控制其他要素发挥 15
66
((
效用的事项与外部方进行沟通
续续
67
))
68
69
70
企业选择、制定并实行持续及/或
71
16 单独的评估,以判定内部控制各要
72
监监 控控
素是否存在且发挥效用
73
活活 动动
74
75
76 企业及时评估内部控制缺陷,并将
有关缺陷及时通报给负责整改措施
甫瀚咨询是Robert Half International Inc.(纽约证券交易所代码:RHI)的全资子公司。RHI于1948年成立,为标准普尔500 指数的成员公司。
联络方式
北京
中国 北京 100022 朝阳区建国门外大街2号 银泰中心C座2001室 电话:(86.10) 8515 1233 传真:(86.10) 8515 1232
上海
中国 上海 200020 黄浦区淮海中路381号 中环广场2618-38室 电话:(86.21) 5153 6900 传真:(86.21) 6391 5598
深圳
中国 深圳 518048 福田区中心四路1号 嘉里建设广场1座1404室 电话:(86.755) 2598 2086 传真:(86.755) 2598 2100
反映管理层决策 考虑风险忍受度 涵盖运营和财务目标 形成投入资源的基准 符合会计准则 考虑重要性水平 反映企业活动 符合外部标准和框架 考虑精准度要求 反映企业活动 反映管理层决策 考虑精准度要求 反映企业活动 反映外部法律法规 考虑风险忍受度
原则
27
企业从整个企业的角度来识别实现 28
7 目标所涉及的风险,分析风险,并 29
风风
据此决定应如何管理这些风险
30
险险
31
评评
估估
32
((
企业在评估影响目标实现的风险时, 33
续续 ))
8 考虑潜在的舞弊行为
34
35
36
企业识别并评估可能会对内部控制
9
系统产生重大影响的变更
37
38
39
40
企业选择并制定有助将目标实现风
41
10 险降低至可接受水平的控制活动
42
43
44
控控
45
制制
香港
香港 湾仔 港湾道18号 中环广场2103-04室 电话:(852) 2238 0499 传真:(852) 3118 7493
© 2013 甫瀚咨询(上海)有限公司 甫瀚咨询并非一间注 册会计师事 务所,故并 不就财务报 表发表意见或提供鉴证服务。
附录:新框架17项原则
原则
1
2 1 企业对诚信和道德价值观的承诺
须何时开始应用新框架?
COSO表示,已采纳1992版框架的企业(尤其是将在《萨班斯-奥克斯利法案》合规工作中使用新框架的企业),应当按 其具体情形,在可行的情况下提早开始使用2013版新框架来开展相关工作和文件记录。在2014年12月15日之前仍然可以继续 使用1992版框架,但在该日期后,该框架将被COSO视为已被新框架所取代。公司在过渡期间(2013年5月14日至2014年12月 15日)继续使用1992版框架是适当的。
控制环境 风险评估 控制活动 信息与沟通 监控活动
而最重大的变化,就是它明确地列出了17项总体原则(如附录),这些原则代表着与每个内部控制要素相关的基本概念, 可确保五大内控要素以及整个内部控制系统的有效运行。
一个存在且发挥效用的原则的确需要达到某个令人满意的水平——但这并不意味着企业在运用有关原则时必须达到最高水 准。企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡,从而做出决定。内部控 制的设计各有迥异,并不存在完全统一的标准。
59
通通
企业于内部沟通的内部控制信息,
60
包括内部控制目标和职责范围,必 61
14 须能够支持内部控制的其他要素发
62
挥效用 63
关注点
涵盖总公司、子公司、分支机构、事业部和职能部门 分析内部和外部因素 涵盖适当层级的管理 评估风险识别的重要性 决定如何应对风险 考虑不同类型的舞弊 评估员工承受的压力和激励手段 评估舞弊发生的机会 评估态度和合理性 评估外部环境变化 评估商业模型变化 评估领导层变化 与风险评估相结合 考虑企业自身的因素 决定相关商业流程 评价控制活动类型集合 考虑控制活动的应用层面 职责分离 决定技术在流程中的应用以及技术的一般控制 制定相关技术基础设施控制活动 制定相关安全管理流程控制活动 制定相关技术取得、发展和维护的流程控制活动 制定政策和程序以支持管理层的部署 制定执行政策和程序的责任问责机制 定期执行 时常纠错 选用足以胜任的人员 重新评估政策和程序 识别信息需求 获取内部、外部数据来源 将相关数据处理成信息 在处理过程中保持信息质量 考虑成本效益 沟通内部控制信息 与董事会沟通 提供彼此独立的沟通渠道 选择沟通方式
运 营
报 告
合 规
新框架内容重点解析
新框架与旧框架相比有哪些变化?
在内部控制的核心定义、立方体结构以及各个维度基本保持原貌的同时,用 以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。但新框架 有七项重要变化,列出如下:
首先,明确列示了用以支持内部控制五大要素的原则。 其次,明确了目标设定在内部控制中的作用。 第三,反映了科技日益深入的相关性。 第四,更深入地讨论了有关治理的理念。 第五,扩大了报告目标类别(范畴)。 第六,加强了对反舞弊预期的考虑。 最后,更加关注非财务目标。
达于行
甫瀚咨询提供的服务
甫瀚咨询的创始董事总经理Bob Hirth被任命为COSO委员会的主席。我们的财务控制和合规专业团队曾帮助数百家企业建 立有效的财务报告内部控制。我们帮助客户用以流程为基础的方法来建立内部控制体系,通过实施风险评估界定工作范围重 点,并辅以信息化的手段,从而协助企业降低合规成本。我们帮助客户了解关键风险,识别重要控制,建立可靠的证据来支持 设计和执行的有效性,在公司上下落实合规工作的问责机制,以及协调外部审计鉴证程序的实施。
活活 动动
企业为用以支持目标实现的技术选11 择并制定一般控制政策
46 47
48
49
50
企业通过政策和程序来部署控制活
51
12 动:政策用来确定所期望的目标;
程序则将政策付诸于行动
52
53
54
55
企业获取或生成和使用相关的高质
56
信信
13 量信息,以支持内部控制其他要素
57
息息
发挥效用
58
与与 沟沟
经过为上百家公司服务而积累的经验,使得我们有足够的知识帮助组织着眼长远,做出正确的决策并通过持续改进来创造价 值。我们灵活而全面的方法背后有一套为客户定制的路线图,包括客户的工作重点、计划改进方面、长期战略改进和时间表。
我们的服务具体包括:拟香港上市公司内部控制审阅及香港上市公司公司管治咨询;中国上市公司《内部控制基本规范》 合规咨询;美国上市公司《萨班斯-奥克斯利法案》合规咨询;治理、风险及控制软件(Governance Portal)的实施及支持。