COSO内部控制框架资料.doc

附件一:COSO内部控制框架资料一、COSO内部控制框架的产生和发展过程 2二、COSO内部控制框架下内控制度定义 31、COSO内控框架对内部控制的定义 32、对内部控制定义的理解 33、COSO内部控制框架的组成要素 4三、COSO内部控制框架五要素 61、控制环境 6（1）员工的诚信和道德价值观 6（2）胜任能力 8（3）董事会和审计委员会 8（4）管理层的经营理念和经营风格 9（5）组织结构 9（6）管理层授权和职责分工 10（7）人力资源政策和措施 102、风险评估 10（1）风险及风险评估的定义 10（2）如何进行风险评估 113、控制活动 13（1）控制活动类型 13（2）控制活动的要素—政策和程序 14（3）控制活动应和风险评估相结合 14（4）信息系统的控制 144、信息和沟通 15（1）信息 15（2）沟通 165、监控 18（1）持续性监控行为 18（2）独立评估 19四、内部控制的局限性 21五、员工在内部控制中的作用与责任 22六、小结 23一、COSO内部控制框架的产生和发展过程不同的人对内部控制有不同的理解 一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监控、也可能是管理手册、规章制度等。

这种理解没有错，但不全面按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括控制环境、风险分析、控制活动、信息与沟通、监控五大要素内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为控制环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面要讨论的COSO内部控制框架在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。

FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款因此，美国许多机构都加强了对内部控制的研究并提出许多建议1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施两年后，该委员会提出了很多有价值的建议基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994年进行了增补）， 即COSO内部控制框架 COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准作为纽约证交所上市公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。

同时，这也是梳理管理流程、规范管理、提升公司整体管理水平的契机COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司都希望通过理解和贯彻COSO内部控制框架要求，来实现提升管理水平的目的目前我国企业的内部控制与COSO内部控制框架的要求相比还存在一些距离这些差距主要体现在：内部控制体系的整体框架、控制环境、风险评估等理念尚未被广泛接受、内部控制的文档记录还不够系统规范、缺乏自我评估机制等 “他山之石，可以攻玉”，COSO内控框架对于我们加强企业内部控制具有一定的启发和借鉴意义二、COSO内部控制框架下内控制度定义1、COSO内控框架对内部控制的定义COSO内部控制框架认为，内部控制是受企业董事会、管理层和其他人员影响，为经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程2、对内部控制定义的理解第一，内部控制是一个“过程”，而且是一个动态的过程企业的经营活动是永不停止的，企业的内部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

内部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监控企业经营过程的持续有效进行第二，内部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、内部审计或董事会，而是组织中的每一个人，每一个人都对内部控制负有责任并受到内部控制的影响；是“人”建立企业的目标，并将控制机制赋予实施确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的内部控制第三，内部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为内部控制本身具有局限性最后，内控框架将内部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标上述分类让我们专注于内部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任3、COSO内部控制框架的组成要素控制活动 § 确保管理活动付诸实施的政策/流程§ 措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离监控§ 不断评估内部控制系统的表现。

§ 整合实时和独立的评估§ 管理层和监控活动§ 内部审计工作控制环境 § 营造单位气氛－让公司员工建立内部控制§ 因素包括正直，道德价值，能力，权威和责任§ 是其他内部控制组成部分的基础信息和沟通§ 及时地获取，确定并交流相关的信息§ 从内部和外部获取信息§ 使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估 § 风险评估是为了达到企业目标而确认和分析相关的风险－形成内部控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、控制活动、信息与沟通、监控五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示l 控制环境——控制环境是企业的基调、氛围，直接影响企业员工的控制意识控制环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。

可以说人及其人进行的活动是任何企业的核心，是构成控制环境的重要要素，又与环境相互影响、相互作用l 风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理l 控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动l 信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息l 监控——是对内部控制系统有效性进行评估的过程，可以通过持续性监控、独立评估或两者的结合来实现对内控系统的监控内控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的控制环境，这是企业发展的基础每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。

针对风险评估的结果需要采取相应的控制活动来控制和减少风险同时与控制环境、风险评估和控制活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在控制活动周围，反映企业各项管理活动的运转情况为了保证内控体系的正常运转，还需要对整个内控过程进行监控内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响控制活动，还可能影响信息和沟通、监控行为等COSO内部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的内部控制可能不及大型企业正式、组织性强，但也可以是有效的三、COSO内部控制框架五要素1、控制环境控制环境是其他控制要素的基础控制环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施1）员工的诚信和道德价值观内部控制是由人建立、执行和维护的，人是内部控制有效运行的根本因素人的道德价值观影响着人的行为企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的行为。

员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动主要包括以下内容：1）利益冲突每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突2）合法性公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度3）及时向指定人员报告或检举揭发违规事项员工有义务对所发现的关于会计、内部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规范委员会报告，或向披露委员会或审计委员会汇报发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规范委员会等相关机构报告对检举人应当建立保密制度，包括匿名保护4）遵守道德准则的责任明确员工必须遵守道德准则对违反准则的人员建立惩罚机制，甚至解雇或免职5）公司机遇禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇6）保密机密信息是一间公司最重要的资产之一公司建立相应政策保护机密信息，包括（a）属于公司商业性机密。