COSO框架主要内容及内部控制
COSO内部控制框架
人力资源政策和实 务
环境差异
正式与非正 式、保守和激 进相结合
报告关系 集权/分权、 矩阵/地理
授权、责 任性
有资格、培训、补 偿、激励和惩罚
管理偏好、价 值判断、管理 方式
风险评估 1. 风险识别与分析 感知风险和识别风险 潜在风险 风险具有可变性 2. 风险评估方法 定性分析法 (1)标准分析法
风险分析调查法
调查项目
调 查 内 容
备注
业绩
1.现状:好、一般、不好 2.前景:增长、下降、稳定、不明 3.交易对象、行业前景:增长、下降、稳定、不明 4.对外资信:高、一般、低、不明
同行业比
1.规模、地位:大、中、小、独立 2.同行业间的竞争:激烈、一般、无 3.销售实力的基础:销路、主顾、商标、商品组织、广告、特殊销售法 4.生产实力的基础:特殊技术、特殊设备、特殊材料、特殊产品、特殊生产组织
内部控制环境综合评价图
风险管理哲学
风险偏好
风险文化
董事会
正直性和道德观念
胜任能力的承诺
价值、语言和 行为方面的沟 通
价值、定 性化、定 量化与战 略相连
独立性、 积极性、 参与性
独立性、 积极性、 参与性
行为标准、必备条 件、首席执行官、 示范、激励措施
知识、技能、 平衡
管理哲学和经 营方式
组织结构
(四)应充分考虑的重要概念和重要特征: 1 .人员素质 2 .职能分离 3 .经济业务的执行 4 .经济业务的记录 5 .接触资产 6 .会计记录和资产的核对
第二节 内部控制要素
《最高审计机关国际组织内部控制准则》 控制要素:组织计划、管理的态度、方法和程序、评量措施 美国职业会计师协会审计标准委员会 《审计标准文告》55号1988颁布,1990年生效 控制环境、控制程序、会计制度 《审计准则说明书》78号 控制环境、风险评价、内部控制活动、信息交流、监督
COSO企业内部控制整体框架
COSO企业内部控制整体框架引言:企业内部控制是指企业为实现目标,通过内部控制环境、风险评估、控制活动、信息与沟通、监控等要素的有机组合,以合理的成本,为企业提供合理保证的一系列制度、方法和措施。
在现代企业管理中,企业内部控制起到了至关重要的作用,不仅有助于实现企业经营目标,提高效益,还可以预防风险,加强监管,提升整体竞争力。
COSO企业内部控制整体框架是国际上公认的一种内部控制管理模型,本文将对其进行详细的阐述。
一、内部控制环境内部控制环境是企业内部控制的基础,包括企业文化、管理团队、组织结构等要素。
首先,企业应建立积极的企业文化,强调诚实、诚信、责任,使员工形成正确的价值观念,从而使控制环境更加稳定。
其次,企业应组建一支高效的管理团队,确保内部控制措施得到有效监督和执行。
第三,合理的组织结构和授权机制可以确保企业内部的职责分工明确,权责一致,减少内部冲突和风险。
二、风险评估风险评估是企业内部控制框架中的重要环节,通过识别和评估风险,可以为企业提供有效的控制措施。
企业应设立专门的风险管理部门或委员会负责风险评估工作,及时掌握和分析外部和内部风险,制定相应的应对策略。
在风险评估过程中,企业还应注重风险的量化和定性分析,确定风险的发生概率和影响程度,为内部控制策略的制定提供科学依据。
三、控制活动控制活动是企业内部控制的核心环节,包括管理控制和操作控制。
管理控制主要是指企业管理层通过内部控制措施,确保企业务实现策略目标的过程。
操作控制主要是指企业内部各个岗位的员工在日常工作中采取的各项控制措施。
企业应根据实际情况,合理设定控制活动,确保企业内部各个环节的有效管控。
此外,企业还应建立完善的内部审计和风险监控机制,及时发现和纠正内部控制缺陷。
四、信息与沟通信息与沟通是企业内部控制的关键环节,包括信息采集和信息传递等方面。
企业应建立健全的信息系统,确保信息安全、准确、及时地采集和传递。
此外,企业还应加强内外部信息交流和沟通,形成信息共享机制,有效防范和应对风险。
coso内部控制框架
COSO内部控制框架什么是COSO内部控制框架?COSO内部控制框架是一种广泛应用于组织中的内部控制体系的规范。
COSO是“Committee of Sponsoring Organizations of the Treadway Commission”的缩写,该委员会在1985年成立,旨在提供组织如何设计、实施和评估内部控制的指导方针。
COSO内部控制框架包含了组织内部控制的五个组成要素,分别是控制环境、风险评估、控制活动、信息和沟通以及监控。
这些要素共同构建了一个用于管理风险、提高组织效率和遵守法律法规的综合框架。
COSO内部控制框架的五个组成要素1. 控制环境控制环境是指组织中的基本价值观、伦理道德、管理哲学和风险意识等因素。
一个健康的控制环境对于内部控制的有效实施起着至关重要的作用。
组织应该建立合适的行为标准、职责分工以及适当的管理层级和凭证机制。
2. 风险评估风险评估指组织对内外部风险的识别和评估。
组织应该建立风险识别机制、开展风险评估工作,并制定相应的响应策略。
风险评估需要全面考虑内部和外部环境的各种因素,并及时更新风险评估结果。
3. 控制活动控制活动是指组织为管理风险而采取的各种措施。
控制活动可以包括控制策略、控制程序和控制措施等。
组织应该根据风险评估结果,设计和实施适当的控制活动,以确保组织内部控制的有效性。
4. 信息和沟通信息和沟通是指组织内部控制中的信息获取、处理和传递流程。
组织应该确保信息的准确性、完整性和及时性,并建立有效的沟通机制。
信息和沟通的流程应该能够满足组织内外部信息需求的要求,并充分支持组织的决策和控制活动。
5. 监控监控是指对组织内部控制的评估和持续监督。
监控包括内部审计、自我评估和独立审计等机制。
组织应该建立适当的监控机制,及时发现内部控制的缺陷和问题,并采取合适的纠正措施。
COSO内部控制框架的重要性COSO内部控制框架对于组织的健康发展和长期稳定具有重要意义。
《新版COSO框架》课件
风险监控与报告
建立风险监控机制
通过持续监控和定期评估,及时发现和解决潜在 风险。
编制风险管理报告
定期编制风险管理报告,汇总分析组织的风险状 况和管理成果。
沟通与汇报
及时向上级领导和相关部门汇报风险管理情况, 确保信息的透明度和准确性。
2023
PART 04
新版COSO框架的应用案 例
REPORTING
2004年
COSO委员会发布《企业风险 管理——整合框架》,将风 险管理纳入内部控制范畴。
2013年
COSO委员会发布新版COSO 框架,对原框架进行了修订和
更新。
COSO框架的核心目标
01
02
03
经营效果和效率
确保公司经营活动的有效 性和高效率,实现发展战 略和经营目标。
财务报告可靠性
保证财务报告的完整、准 确和及时,不出现重大错 报、漏报或舞弊。
详细描述:企业C结合新版COSO框架,制定全面风险管理计划,为企业长期发展提供保障。
2023
PART 05
总结与展望
REPORTING
新版COSO框架的价值与意义
提升企业风险管理水平
新版COSO框架为企业提供了更全面、更具体的管理风险 的方法和工具,有助于企业提高风险管理水平,降低经营 风险。
增强企业竞争力
内部控制框架
COSO框架提出了内部控制的五个要素,包括控制环境、风险评估、控制活动 、信息与沟通以及监控。这五个要素相互关联,共同构成了内部控制框架。
COSO框架的发展历程
01
02
03
04
1987年
Treadway委员会成立,旨在 研究舞弊性财务报告和企业欺
诈行为的起因。
COSO框架–内部控制框架
COSO框架–内部控制框架COSO框架-内部控制框架在当今各行业中,内部控制是保障企业规范运营和权益保护的重要手段。
COSO框架(内部控制—整体框架)是企业内部控制的全球公认标准,旨在帮助企业制定和维护一个有效的内部控制系统。
本文将深入探讨COSO框架的核心组成、实施要点以及一系列不同产业应用的案例分析。
一、COSO框架介绍COSO框架是一个基于企业目标的全面内部控制环境框架,由美国国际专业会计师协会(AICPA)旗下的企业管理机构COSO(内部控制-整体框架)提出并开发。
该框架侧重于企业内部控制的重要性,以及它们如何通过制定和执行一系列目标导向的控制措施来提高运营效率和减少风险。
二、COSO框架的核心组成1. 控制环境控制环境是内部控制的基础,是指领导层对内部控制的态度、原则和理念,并通过明确的组织结构、职责分配以及道德和道德规范的建立来确保内部控制的有效执行。
2. 风险评估风险评估是指企业确定和分析存在的内部和外部风险,以便制定适当的控制目标和措施。
通过对风险的全面评估,企业可以识别潜在的威胁并采取相应的预防措施。
3. 控制活动控制活动是指制定和执行一系列控制措施,以确保事务按照企业的政策和程序进行。
这包括审计、审批、核查和处理等一系列的过程,以及相关的记录和报告机制。
4. 信息与沟通信息与沟通是指确保内部和外部信息在企业内部流动的有效和透明。
这包括确保准确完整的信息,以及及时有效的内部和外部沟通机制。
5. 监督监督是指领导层监督内部控制的有效性和合规性。
这包括内部审计、独立董事会以及其他内部和外部监督机构。
三、COSO框架的实施要点1. 领导层的参与COSO框架的实施需要企业领导层的参与和支持,他们应当树立榜样,传递内部控制的重要性,并在组织内部制定明确的控制目标。
2. 内部控制意识的提升企业应该加强对员工的内部控制培训和教育,提高员工的风险意识和控制意识。
通过定期的内部控制培训和沟通,员工能够更好地理解和遵守内部控制制度。
coso内部控制的定义
coso内部控制的定义
COSO内部控制是一种全面的框架,旨在帮助组织建立和维护有效的内部控制系统。
这个框架是由美国反虚假财务报告委员会下属的内部控制专门研究委员会(COSO)制定的,它为组织提供了内部控制定义的五个要素,包括控制环境、风险评估、控制活动、信息与沟通以及监控。
1. 控制环境:这是内部控制的基础要素,它涵盖了组织的文化、价值观、员工职业道德、治理结构、权力和责任分配以及组织对内部控制的认知。
2. 风险评估:这个要素要求组织识别和评估可能对组织目标产生负面影响的风险,并采取措施来管理这些风险。
3. 控制活动:这个要素是指采取行动来确保组织目标得以实现的过程。
这包括一系列的政策、程序和步骤,可以确保组织的资产得到保护,风险得到控制,以及财务报告的准确性和完整性。
4. 信息与沟通:这个要素要求组织在内部和外部之间进行有效的沟通,包括信息的收集、处理和传递。
它还要求组织建立一套有效的信息系统,以便及时、准确地向管理层报告重要信息和问题。
5. 监控:这个要素是指对内部控制系统的持续监控,以确保其有效性。
监控可以通过内部审计、内部检查或者独立的第三方来进行。
COSO内部控制框架提供了一个普遍适用的指导原则,可以帮助组织建立和维护有效的内部控制系统。
它强调了组织在实现其目标的过程中,内部控制的重要性和作用。
通过遵循COSO内部控制框架,组织可以减少错误、欺诈和效率低下的可能性,提高组织的运营效率和财务报告的质量。
COSO企业内部控制框架介绍
COSO企业内部控制框架介绍展开全文提示:本文篇幅较长,需花费较长时间阅读。
一、背景介绍内部控制是什么?不同的人有不同的理解。
一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。
这种理解没有错,但不全面。
按照现代的内控理论,这些仅仅是内部控制的一部分,而不是全部。
现代内控理论认为,内部控制是一个系统化的框架,它建立在风险管理的基础上,包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。
COSO内部控制框架的产生和发展过程内部控制理论的发展是一个逐步演变的过程,大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。
在内部牵制阶段,账目间的相互核对是内控的主要内容,设定岗位分离是内控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法;在内部控制制度阶段,内部控制的重点是建立健全规章制度;在内部控制结构阶段,内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面;内部控制整体框架阶段,就是我们下面将要讨论的COSO内部控制框架。
在美国,20世纪70年代中期,与内部控制有关的活动大部分集中在制度的设计和审计方面,重在改进内部控制制度和方法。
1973年至1976年对水门事件(美国公司进行违法的国内捐款和贿赂外国政府官员)的调查使得立法机关与行政机关开始注意到内部控制问题。
针对调查的结果,美国国会于1979年通过了《反国外贿赂法》(简称FCPA)。
FCPA除了规定了关于反贿赂的条款外,还规定了与会计及内部控制有关的条款。
因此美国许多机构都加强了对内部控制的研究并提出许多建议。
1985年,由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,并寻找解决措施。
coso框架的主要内容
coso框架的主要内容
COSO框架是指控制与内部审计框架(The Committee of Sponsoring Organizations of the Treadway Commission,COSO)开发的一种管理框架,旨在帮助组织建立有效的内部控制体系。
COSO框架的主要内容包括:
1. 控制环境(Control Environment):指组织内部的控制文化和价值体系,包括组织的管理风险意识、道德价值观、人员背景和能力等。
2. 风险评估(Risk Assessment):指组织对内外部风险的识别、评估和应对措施的制定,以确保风险可控。
3. 控制活动(Control Activities):指组织内部制定的控制政策和程序,以确保风险得到适当的管理和控制。
4. 信息与沟通(Information and Communication):指组织内部的信息系统和沟通渠道,包括信息的收集、处理、传递和使用等,以支持内部控制的有效运作。
5. 监督(Monitoring):指组织对内部控制的监督和评估,包括内部审计、自我评估和外部审计等,以确保内部控制体系的持续有效性。
这些内容共同构成了COSO框架,可以帮助组织建立和维护一个有效
的内部控制体系,提高组织的运营效率和风险管理能力。
COSO内部控制新框架
内部控制框架进一步体现时代感:
信息技术已经从用于处 理批量交易旳庞大旳独 立主机环境,发展为高 度复杂,分散且移动旳 应用程序,不但涉及实 时活动,还有横跨众多 系统,组织和流程,这 科技会影响五要素旳实 时方式。
主要涉及董事会及其下 属委员会,如审计委员 会,薪酬委员会和治理 委员会,强调董事会监 督对有效控制旳至关主 要性
新框架有关无比旳论述 明显增多,并以将舞弊 单独作为内部控制旳一 项原则来分析。
应用前景
从1992年版本框架过渡到新框架
COSO董事会表达,使用者应该按其详细情形,在可行旳 情况下尽 开始应用2023年版本旳新框架来开展有关工 作和文件统计。COSO董事会以为,原始版本框架所涵盖 旳主要概念和原则,基本上颇为完善且已获市场普遍认可, 所以使用者在2023年12月15日之前依然可继续使用原始 旳1992年框架,在该日期后,旧框架将作废,被新框架 取代。
上述问题都阐明企业对内部控制框架旳预期作用越来越 高,对其能防范和监测舞弊旳要求不断提升,在这么旳环境 下,对COSO旳修订势在必行。
主要内容
对新框架进行高度总结,含内部控制旳定义、 目旳、原则及其有效性和不足,使用对象为首 席执行官、管理层董事会和监管者。
含内控旳构成部分、原则和关注点,为管理层 在设计、实施内控和评估其有效性提供指导。
主要内容
评估内控有消息旳原则和 措施基本保持不变,对于内部控制有 效性旳评估依然是基于原则旳措施, 根据五要素来评估,也就是说一种有 效旳,能够确保控制目旳实现旳内部 控制系统,必须确保五要素全部存在, 发挥效用且共同运营。
旧COSO提出旳自上而下,基于 风险旳评价原则、流程及控制旳辨认 方式、风险及控制矩阵、含穿行测试、 控制测试在内旳评估手段、控制缺陷 辨认、评价及汇总模式等职业判断都 保持不变。
新版COSO框架完整版
原则四 企业制定完善旳政策吸引、发展、保 存人才
关注要点:
1. 制定了有关旳政策与制度 2. 关注员工旳胜任能力,并连续改善 3. 不断吸引、发展、保存人才 4. 制定了岗位继任计划
原则五 使员工各自担负起内部控制有关职责,共同 实现目旳
关注要点:
1、经过组织、权限及责任分工明确每名员工旳责任 2、 制定了绩效衡量以及鼓励惩处机制 3、 在组织内部形成遵守内部
关注要点:
1、拟定独立于信息系统运营旳信息系统一般控制 2、建立有关旳基础构架旳控制活动 3、建立有关旳信息安全管理控制活动 4、建立有关旳信息系统购置、开发、运营维护控制活
动
原则十二 组织经过合理旳政策制度和确保这些政策 制度切实执行旳流程程序,来实施控制活动
关注要点
1、建立有关旳政策和程序来落实控制活动 2、建立政策和程序执行旳责任和义务机制 3、使用有胜任能力旳员工来执行控制活动 4、注意控制活动执行旳及时性 5、定时维护并更新政策及程序
信息与沟通
原则十三 组织获取或生成,并使用有关、有质量旳 信息来支持内部控制发挥作用
关注要点:
1、辨认各环节旳信息需求 2、建立内部、外部数据获取渠道 3、将有关数据处理成有用旳信息 4、确保信息处理过程有效 5、衡量信息获取旳成本与收益
原则十四 内部控制旳目旳和责任在内旳必要信息传 达给每位员工
新COSO框架对五要素旳分解不是按照子要素来 进行旳,而是作为“原则”来呈现旳,即强调“基于 原则”旳内控实施和管理层判断旳使用。新框架并未 要求对17项原则及其关注点进行单独评估以拟定其是 否存在或有效。管理层能够自由判断新框架所提供关 注点旳合适度或有关度, 然后根据企业旳详细情况, 来选择和考虑与某一特定原则亲密有关旳关注点。能 够说,在这一点上,COSO新框架吸收了《萨班斯法 案》经过后来旧框架实施成本高旳教训,使内控实施 愈加灵活,同步节省了实施成本。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
框架框架内容内容提要1 - 定义2 - 控制环境3 - 风险评估4 -控制活动5 -信息和沟通6 -监督7 -内部控制的局限性8 -角色和职责附件A -研究的背景和相关事件B -方法C -对于定义的观点和应用D -意见信的考虑E -精选术语表Committee of Sponsoring Orginizations of the Treadway Commission(COSO)主席Gaylen N. Larson会员机构代表财务执行机构P. Norman Roy美国注册会计师协会Philip B. Chenok美国会计师协会Andrew D. Bailey内部审计师协会William G. Bishop III管理会计师协会Robert W. Liptak内容提要长期以来,高级管理层一直在寻找控制和管理他们所经营的企业的更好方法。
内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展,并将这个过程中的干扰因素最小化。
内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求,并针对未来的成长进行调整。
内部控制促进效率性,降低资产损失的风险,并有助于确保财务报表的可靠性和对于法律法规的遵循性。
由于内部控制服务于很多重要的目标,对于更好的内部控制系统及其运行效果的要求不断增加。
内部控制系统越来越多地被视为各种潜在问题的解决方案。
什么是内部控制内部控制对于不同的人具有不同的意义,这造成了经商人士、立法者、监管机构和其他相关方的困惑,同时导致企业由于沟通有误和期望不同而产生问题。
在内部控制被写入法律、法规或条例中时,如果没有清晰的定义,问题会更加复杂化。
本报告针对管理层和其他方面的需求和期望,在定义和描述内部控制时考虑如下因素:•建立一个适用于各方需求的通用的定义•提供一个标准,无论是大的或小的、公众的或私人的、盈利性的或非盈利性的业务和企业,均可以参照该标准评估他们的控制系统并决定如何改进。
内部控制在广义上可以定义为一个流程,它受到企业的董事会、管理层和其他人员的影响,它为实现下述各个类型的目标提供合理的保证:•经营的效率和效果•财务报告的可靠性•法律法规的遵循性第一类目标针对企业的基本业务目标,包括业绩和盈利目标以及资源的安全性。
第二类目标关于编制可靠的公开发布的财务报表,包括中期和简要的财务报表以及从这些公开发布的报表中精选的财务数据,例如业绩公告。
第三类目标涉及对于企业所适用的法律及法规的遵循。
这些明显的但是重叠的目标类型明确了不同的需求,并允许有所偏重以满足单独的需求。
内部控制系统的运作具有不同层面的有效性。
如果董事会和管理层在下述方面提供合理的保证,内部控制可以在三种类型中的每一类被分别判断为有效:•他们理解企业经营目标的实现程度•公开性的财务报表的编制具有可靠性•遵循相关的法律和法规由于内部控制是一个流程,它的有效性表现为流程在一个或多个时点上的状态或情形。
内部控制包括五个相互关联的组成部分。
它们源于管理层运作业务的方式,并且是管理流程的一部分。
尽管这些适用于所有企业,中小型公司的实施过程可能有别于大型企业。
中小型公司的控制可能比较非正式和缺少结构性,当然小型公司也可能拥有有效的内部控制。
这些组成部分为:•控制环境 – 控制环境决定了一个组织的基调,影响成员对于控制的意识。
它是内部控制所有其他部分的基础,提供纲领和结构。
控制环境因素包括诚信、道德价值观和企业员工的竞争力;管理哲学和经营风格;管理层如何进行授权和职责分配,如何组织和发展它的员工;董事会提供的关注和指导。
•风险评估-每个公司都面临着内外部风险,这些风险必须被评估。
风险评估的前提是建立不同层次但具有内部一致性的目标。
风险评估是发现和分析对达到目标有影响的风险的过程,是确定如何管理和控制风险的基础。
因为经济状况、行业状况、法规和经营状况会不断发生变化,风险评估要发现并处理这些变化对有关风险的影响。
•控制活动-控制活动是确保管理层指令得到执行的公司政策和流程。
它确保企业针对相关的风险采取了必要的措施,以实现企业的目标。
控制活动存在于整个组织的所有层次和所有职能部门中。
控制活动包括一系列不同的活动,例如对经营活动的审批、授权、确认、核对、审核,对资产的保护,职权分离等。
•信息和沟通-相关的信息必须以某种形式并在某个时段被识别、获得和沟通,以促使职责的履行。
信息系统生成报告,内容包括经营、财务和合规性方面的信息,以使得管理层能够运作和控制业务活动。
信息系统不只是处理内部生成的数据,而且还处理业务决策和外部报告所必须的关于外部事件、活动和状况的信息。
有效的沟通应当基于更为广泛的理解,自上而下、自下而上地贯穿整个组织。
所有的人员应当获得来自最高管理层的明确的信息并认识到—他们所承担的控制责任重要性。
他们必须明白自己在内部控制系统中扮演的角色以及自己的行为与他人的工作如何联系。
他们必须拥有向上沟通重要信息的途径。
同时,也必须和外部单位进行有效沟通,例如客户、供应商、监管部门和股东。
•监督-内部控制系统需要监督-一套随时评价内部控制系统运行状况的流程。
通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。
持续的监督是在经营活动中进行的。
它包括日常的管理活动和监督活动,以及员工履行他们的职责时进行的活动。
单独评价的范围和频率基本上取决于风险评估的结果和持续监督程序的有效性。
内部控制的缺点应报告给上级部门,重大事项应报告给管理层和董事会。
这些组成部分之间的配合和联系,组成了一个完整的系统,可以灵活地随条件变化而变化。
内部控制系统与企业的经营活动相互交织,并因为最基本的业务原因而存在。
当内部控制嵌入于组织架构中并成为公司的核心部分时,内部控制最为有效。
“嵌入式”控制可以避免不必要的成本,可以对环境变化做出快速的反映。
目标和组成部分之间有直接联系,目标是组织力争达到的,而组成部分说明要达到目标需要什么。
所有的组成部分和目标是相关联的。
当我们观察任何目标时-运营的效率和效果-举例来说,所有的五个组成部分必须都存在并有效运行,才能说在运营有效性方面,内部控制是有效的。
内部控制的定义-其基本的概念是一个流程,提供合理的保证-与目标和组成要素的分类、有效性标准以及相关的讨论,共同组成了该内部控制框架。
内部控制的作用内部控制可以帮助企业实现经营和盈利目标,避免资源损失。
它有助于保证财务报告的可靠性,有助于保证公司运营符合相关的法律法规,避免声誉受到伤害和其他不良结果。
总之,它有助于企业按照期望的方向发展,避免陷阱和意外。
内部控制无法做到:有些人对内部控制抱有过高的、不切实际的期望。
他们寻求绝对化,认为:•内部控制可以保证企业的成功-也就是说,它会保证实现基本业务目标,或者至少保证企业的生存。
有效的内部控制只是帮助企业实现他们的目标。
它可以向管理层提供企业对于目标的实现程度的信息。
但是内部控制不能使一个本身不好的经理变成一个好经理。
另外,政府政策或程序的变化、竞争对象的行为或者经济状况的变化是超越于管理层可控范畴的。
内部控制不能保证成功,甚至不能保证公司的生存。
•内部控制可以保证财务报表的可靠性和法律法规的遵循性这种想法也是没有根据的。
一个内部控制系统,无论设计和运行得多么完善,也只能为管理层和董事会就公司目标的实现提供合理保证-而不是绝对的保证。
目标实现的可能性受所有内部控制系统本身的局限性影响,包括做决定时依据的判断可能是错误的,而且这种失败可能源于非常小的错误或失误。
另外,控制可能被员工共谋而规避,而且管理层有能力凌驾于控制之上。
另外一个限制因素是内部控制系统的设计受到资源的限制,考虑实施控制的好处时也要考虑控制成本。
因此,尽管内部控制可以帮助一个组织达到目标,但是内部控制不是万能药。
任务与责任组织中的每一个人都对内部控制负有责任。
•管理层-首席执行官对内部控制负有全面的责任,可以看作是内部控制系统的“责任人”。
首席执行官的态度相比任何人对诚信、道德和控制环境的影响都大。
在一个大公司,首席执行官的任务是领导和指导高级管理人员,检查他们经营的方式。
依次的,高级管理人员向负责企业运营的员工分配建立更为具体的内部控制政策和程序的责任。
在一个较小的公司,首席执行官的影响(通常所有人即是经理)更为直接。
在任何情况下,在层叠式的职责中,经理是他/她自己职责范围内的首席执行官。
财务总监和他的员工的责任具有重要意义,他们的控制活动贯穿于企业上下、业务活动和其他部门。
•董事会-管理层对董事会负责,董事会实施治理、指导和监督。
有效的董事会是客观的、有能力的和善于调查的。
他们具有业务活动方面的知识,有时间履行董事会的责任。
管理层可能处于一个能够凌驾于控制之上的位置,忽略或者抑制下级的信息沟通,而使得不诚实的管理层故意歪曲结果以掩盖踪迹。
一个强大的、活跃的董事会通常能够结合有效的汇报渠道和有力的财务、法律和内部审计职能来发现和纠正这样的问题。
•内部审计师-内部审计师在评价内部控制有效性方面起着重要的作用,对维持有效性也有所贡献。
内部审计职能部门因为其在企业中的地位和权利,起着重要的监督作用。
•其他人员-内部控制从某种程度上是组织中每个人的责任,因此应当作为每个人工作范围的明确或非明确的一部分。
事实上,每个员工都产生内部控制系统中所使用的信息,或者用行动来影响着内部控制。
还有,所有的人都有责任向上汇报沟通组织中的问题,汇报违反行为准则的情况,以及违反政策或法律的行为。
大量的外部单位都对公司达到目标有所贡献。
外部审计师,提供独立客观的意见,直接对财务报表审计,间接对管理层和董事会提供履行职责的信息。
向公司提供有用信息来影响内部控制的还有立法机构和监管机构、客户和其他公司、财务分析员、债券评级人和新闻媒体。
但是外部单位不会对公司内部控制负有责任,也不是公司内部控制体系中的一部分。
报告的组织报告分为四个部分。
第一部分是内容提要,是一个较高层次的内部控制框架的概括,与首席执行官和其他高级人员、董事会成员、立法机构和监管机构相关。
第二部分是框架,定义内部控制,描述它的组成部分,提供标准。
据此,管理层、董事会和其他人员可以评价他们的控制系统。
这部分包括内容提要。
第三部分是对于外部各方的报告,是一个补充文件,它向那些对外公告财务报表编制内部控制程序的企业和预期要这样做的企业提供指导。
第四部分是评价工具,提供评价内部控制体系时可能有用的工具。
____________________*COSO报告于1992年9月出版,由四部分组成。
对外报告附录于1994年5月出版。
在1994年的版本里,前面3部分和附录合并起来,作为一个部分出版,加强工具被放在第二部分。
应该做什么依据该报告而采取的行动取决于所涉及各方的地位和责任。