COSO內部控制框架

附件一:

一、coso內部控制框架的產生和發展過程 2

二、coso內部控制框架下內控制度定義 3

1、coso內控框架對內部控制的定義 3

2、對內部控制定義的理解 3

3、coso內部控制框架的組成要素 4

三、coso內部控制框架五要素 6

1、控制環境 6

（1）員工的誠信和道德價值觀 6

（2）勝任能力 8

（3）董事會和審計委員會 8

（4）管理層的經營理念和經營風格 9

（5）組織結構 9

（6）管理層授權和職責分工 10

（7）人力資源政策和措施 10

2、風險評估 10

（1）風險及風險評估的定義 10

（2）如何進行風險評估 11

3、控制活動 13

（1）控制活動型別 13

（2）控制活動的要素—政策和程式 14

（3）控制活動應和風險評估相結合 14

（4）資訊系統的控制 14

4、資訊和溝通 15

（1）資訊 15

（2）溝通 16

5、監控 18

（1）持續性監控行為 18

（2）獨立評估 19

四、內部控制的侷限性 21

五、員工在內部控制中的作用與責任 22

六、小結 23

不同的人對內部控制有不同的理解。一般的人把內部控制理解為組織為了減少決策失誤和工作缺陷而實施的控制,這些控制可能是內部監控、也可能是管理手冊、規章制度等。這種理解沒有錯，但不全面。

按照現代的內控理論，這些僅僅是內部控制的一部分，而不是全部。現代內控理論認為，內部控制是乙個系統化的框架，它建立在風險管理的基礎上，包括控制環境、風險分析、控制活動、資訊與溝通、監控五大要素。

內部控制理論的發展是乙個逐步演變的過程，大致可以區分為內部牽制、內部控制制度、內部控制結構與內部控制整體框架四個階段。在內部牽制階段，賬目間的相互核對是內控的主要內容，設定崗位分離是內控的主要方式，這在早期被認為是確保所有賬目正確無誤的一種理想控制方法；在內部控制制度階段，內部控制的重點是建立健全規章制度；在內部控制結構階段，內部控制被認為是為合理保證企業特定目標的實現而建立的各種政策和程式，分為控制環境、會計制度和控制程式三個方面；內部控制整體框架階段，就是我們下面要討論的coso內部控制框架。

在美國，20世紀70年代中期，與內部控制有關的活動大部分集中在制度的設計和審計方面，重在改進內部控制制度和方法。2023年至2023年對水門事件（美國公司進行違法的國內捐款和賄賂外國****）的調查使得立法機關與行政機關開始注意到內部控制問題。針對調查的結果，美國國會於2023年通過了《反國外賄賂法》（簡稱fcpa）。

fcpa除了規定了關於反賄賂的條款外，還規定了與會計及內部控制有關的條款。因此，美國許多機構都加強了對內部控制的研究並提出許多建議。2023年，由美國註冊會計師協會、會計協會、財務主管協會、內部審計師協會、管理會計師協會聯合建立了反虛假財務報告委員會，該委員會旨在**財務報告中的舞弊產生的原因，並尋找解決措施。

兩年後，該委員會提出了很多有價值的建議。基於該委員會的建議，其贊助機構成立coso委員會，專門研究內部控制問題。2023年9月，coso委員會提出了報告《內部控制——整體框架》（2023年進行了增補），即coso內部控制框架。

coso內控框架的提出標誌著內部控制理論發展到新的階段，對企業完善和優化內部控制、增強風險防範能力具有十分重要的意義。coso內部控制框架之所以被廣泛地選擇作為構建和完善內部控制體系的標準，是因為：雖然coso內部控制框架並非唯一的內部控制框架，但卻是美國**交易委員會唯一推薦使用的內部控制框架，《薩班斯法案》第 404 條款的「最終細則」也明確表明 coso內部控制框架可以作為評估企業內部控制的標準。

作為紐約證交所上市公司，需要按照法案要求，引進coso內部控制框架，整合現有內部控制，滿足法案的要求。同時，這也是梳理管理流程、規範管理、提公升公司整體管理水平的契機。coso內部控制框架是乙個較為理想的框架，幾乎所有公司的內部控制均與之有一定差距，美國各大公司也正在為此而努力，雖然這必然加大企業負擔，但多數公司都希望通過理解和貫徹coso內部控制框架要求，來實現提公升管理水平的目的。

目前我國企業的內部控制與coso內部控制框架的要求相比還存在一些距離。這些差距主要體現在：內部控制體系的整體框架、控制環境、風險評估等理念尚未被廣泛接受、內部控制的文件記錄還不夠系統規範、缺乏自我評估機制等。

「他山之石，可以攻玉」，coso內控框架對於我們加強企業內部控制具有一定的啟發和借鑑意義。

coso內部控制框架認為，內部控制是受企業董事會、管理層和其他人員影響，為經營的效率和效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。

第一，內部控制是乙個「過程」，而且是乙個動態的過程。企業的經營活動是永不停止的，企業的內部控制過程也因此不會停止，它是乙個發現問題、解決問題、發現新問題、解決新問題的迴圈往復的過程。內部控制應該與企業的經營管理過程相結合，而不是凌駕於企業的基本活動之上，它促使經營達到預期的效果，並監控企業經營過程的持續有效進行。

第二，內部控制受到「人」的因素的影響，它並不僅僅是政策手冊和**，不僅僅是管理人員、內部審計或董事會，而是組織中的每乙個人，每乙個人都對內部控制負有責任並受到內部控制的影響；是「人」建立企業的目標，並將控制機制賦予實施。確立這種觀念有利於企業的所有員工明確自己的責任和許可權，主動地維護及改善企業的內部控制。

第三，內部控制無論設計和執行得多麼完善，也只能為企業的管理層和董事會提供合理的保證，而不是絕對保證，因為內部控制本身具有侷限性。

最後，內控框架將內部控制目標分為三類：與營運有關的目標—即經營的效率與效果、與財務報告有關的目標—即財務報告的可靠性、以及與法規的遵循性有關的目標。上述分類讓我們專注於內部控制的各個方面，這些相互有別，相互交叉的分類滿足不同的需要，並且表明了不同的執行人員的直接責任。

coso內部控制框架認為，內部控制系統是由控制環境、風險評估、控制活動、資訊與溝通、監控五要素組成，它們取決於管理層經營企業的方式，並融入管理過程本身，其相互關係可以用下面模型表示。

● 控制環境——控制環境是企業的基調、氛圍，直接影響企業員工的控制意識。控制環境要素是推動企業發展的發動機，也是其他一切要素的核心，包括員工的誠信、職業道德和工作勝任能力；管理層的經營理念和經營風格；董事會或審計委員會的監管和指導力度；企業的權責分配方法和人力資源政策。可以說人及其人進行的活動是任何企業的核心，是構成控制環境的重要要素，又與環境相互影響、相互作用。

● 風險評估——風險評估是識別、分析相關風險以實現既定目標，是風險管理的基礎。每個企業都面臨著諸多來自內部和外部的風險，影響企業既定目標的實現。因此必須設立乙個機制來識別、分析和管理影響目標實現的相關風險，並適時加以管理。

● 控制活動——控制活動指那些有助於管理層決策順利實施的政策和程式，是針對風險採取的控制措施。它們包括諸如批准、授權、查證、核對、複核經營業績、資產保護和職責分工等活動。

● 資訊與溝通——是指企業經營管理所需資訊必須被識別、獲得並以一定形式及時傳遞，以便員工履行職責。資訊不僅包括內部產生的資訊，還包括與企業經營決策和對外報告相關的外部資訊。暢通的溝通渠道和機制使企業的員工能及時取得他們在執行、管理和控制企業經營過程中所需的資訊，並交換這些資訊。

● 監控——是對內部控制系統有效性進行評估的過程，可以通過持續性監控、獨立評估或兩者的結合來實現對內控系統的監控。

內控體系五要素之間的關係我們可以理解為：企業的核心是人，人的誠信、道德價值觀和勝任能力構成了企業的控制環境，這是企業發展的基礎。每個企業都有自己的發展目標，為了目標的實現，必須分析影響因素，即進行風險評估。

針對風險評估的結果需要採取相應的控制活動來控制和減少風險。同時與控制環境、風險評估和控制活動相關的資訊應及時被獲取、加工整理，並在企業內部傳遞，這就是資訊與溝通，資訊與溝通系統圍繞在控制活動周圍，反映企業各項管理活動的運轉情況。為了保證內控體系的正常運轉，還需要對整個內控過程進行監控。

COSO內部控制框架

COSO內部控制框架

控制環境在COSO內部控制新框架下的解釋

高校內部控制制度框架

COSO內部控制框架

COSO內部控制框架

控制環境在COSO內部控制新框架下的解釋

高校內部控制制度框架

相關推薦