COSO框架主要内容及内部控制

1框架框架内容内容提要1-定义2-控制环境3-风险评估4-控制活动5-信息和沟通6-监督7-内部控制的局限性8-角色和职责附件A-研究的背景和相关事件B-方法C-对于定义的观点和应用D-意见信的考虑E-精选术语表2CommitteeofSponsoringOrginizationsoftheTreadwayCommission(COSO)主席GaylenN.Larson会员机构代表财务执行机构P.NormanRoy美国注册会计师协会PhilipB.Chenok美国会计师协会AndrewD.Bailey内部审计师协会WilliamG.BishopIII管理会计师协会RobertW.Liptak3内容提要长期以来，高级管理层一直在寻找控制和管理他们所经营的企业的更好方法。内部控制的实施促进企业朝着盈利目标和成就其使命的方向持续发展，并将这个过程中的干扰因素昀小化。内部控制措施帮助管理层应对快速变化的经济和竞争环境以及不断改变的客户需求，并针对未来的成长进行调整。内部控制促进效率性，降低资产损失的风险，并有助于确保财务报表的可靠性和对于法律法规的遵循性。由于内部控制服务于很多重要的目标，对于更好的内部控制系统及其运行效果的要求不断增加。内部控制系统越来越多地被视为各种潜在问题的解决方案。什么是内部控制内部控制对于不同的人具有不同的意义，这造成了经商人士、立法者、监管机构和其他相关方的困惑，同时导致企业由于沟通有误和期望不同而产生问题。在内部控制被写入法律、法规或条例中时，如果没有清晰的定义，问题会更加复杂化。本报告针对管理层和其他方面的需求和期望，在定义和描述内部控制时考虑如下因素：•建立一个适用于各方需求的通用的定义•提供一个标准，无论是大的或小的、公众的或私人的、盈利性的或非盈利性的业务和企业，均可以参照该标准评估他们的控制系统并决定如何改进。内部控制在广义上可以定义为一个流程，它受到企业的董事会、管理层和其他人员的影响，它为实现下述各个类型的目标提供合理的保证：•经营的效率和效果•财务报告的可靠性•法律法规的遵循性第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性。第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表以及从这些公开发布的报表中精选的财务数据，例如业绩公告。第三类目标涉及对于企业所适用的法律及法规的遵循。这些明显的但是重叠的目标类型明确了不同的需求，并允许有所偏重以满足单独的需求。内部控制系统的运作具有不同层面的有效性。如果董事会和管理层在下述方面提供合理的保证，内部控制可以在三种类型中的每一类被分别判断为有效：•他们理解企业经营目标的实现程度4•公开性的财务报表的编制具有可靠性•遵循相关的法律和法规由于内部控制是一个流程，它的有效性表现为流程在一个或多个时点上的状态或情形。内部控制包括五个相互关联的组成部分。它们源于管理层运作业务的方式，并且是管理流程的一部分。尽管这些适用于所有企业，中小型公司的实施过程可能有别于大型企业。中小型公司的控制可能比较非正式和缺少结构性，当然小型公司也可能拥有有效的内部控制。这些组成部分为:•控制环境–控制环境决定了一个组织的基调，影响成员对于控制的意识。它是内部控制所有其他部分的基础，提供纲领和结构。控制环境因素包括诚信、道德价值观和企业员工的竞争力；管理哲学和经营风格；管理层如何进行授权和职责分配，如何组织和发展它的员工；董事会提供的关注和指导。•风险评估-每个公司都面临着内外部风险，这些风险必须被评估。风险评估的前提是建立不同层次但具有内部一致性的目标。风险评估是发现和分析对达到目标有影响的风险的过程，是确定如何管理和控制风险的基础。因为经济状况、行业状况、法规和经营状况会不断发生变化，风险评估要发现并处理这些变化对有关风险的影响。•控制活动-控制活动是确保管理层指令得到执行的公司政策和流程。它确保企业针对相关的风险采取了必要的措施，以实现企业的目标。控制活动存在于整个组织的所有层次和所有职能部门中。控制活动包括一系列不同的活动，例如对经营活动的审批、授权、确认、核对、审核，对资产的保护，职权分离等。•信息和沟通-相关的信息必须以某种形式并在某个时段被识别、获得和沟通，以促使职责的履行。信息系统生成报告，内容包括经营、财务和合规性方面的信息，以使得管理层能够运作和控制业务活动。信息系统不只是处理内部生成的数据，而且还处理业务决策和外部报告所必须的关于外部事件、活动和状况的信息。有效的沟通应当基于更为广泛的理解，自上而下、自下而上地贯穿整个组织。所有的人员应当获得来自昀高管理层的明确的信息并认识到—他们所承担的控制责任重要性。他们必须明白自己在内部控制系统中扮演的角色以及自己的行为与他人的工作如何联系。他们必须拥有向上沟通重要信息的途径。同时，也必须和外部单位进行有效沟通，例如客户、供应商、监管部门和股东。•监督-内部控制系统需要监督－一套随时评价内部控制系统运行状况的流程。通过持续的监督活动、单独的评价或者两者的结合来完成这种控制。持续的监督是在经营活动中进行的。它包括日常的管理活动和监督活动，以及5员工履行他们的职责时进行的活动。单独评价的范围和频率基本上取决于风险评估的结果和持续监督程序的有效性。内部控制的缺点应报告给上级部门，重大事项应报告给管理层和董事会。这些组成部分之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。内部控制系统与企业的经营活动相互交织，并因为昀基本的业务原因而存在。当内部控制嵌入于组织架构中并成为公司的核心部分时，内部控制昀为有效。“嵌入式”控制可以避免不必要的成本，可以对环境变化做出快速的反映。目标和组成部分之间有直接联系，目标是组织力争达到的，而组成部分说明要达到目标需要什么。所有的组成部分和目标是相关联的。当我们观察任何目标时－运营的效率和效果－举例来说，所有的五个组成部分必须都存在并有效运行，才能说在运营有效性方面，内部控制是有效的。内部控制的定义－其基本的概念是一个流程，提供合理的保证－与目标和组成要素的分类、有效性标准以及相关的讨论，共同组成了该内部控制框架。内部控制的作用内部控制可以帮助企业实现经营和盈利目标，避免资源损失。它有助于保证财务报告的可靠性，有助于保证公司运营符合相关的法律法规，避免声誉受到伤害和其他不良结果。总之，它有助于企业按照期望的方向发展，避免陷阱和意外。内部控制无法做到：有些人对内部控制抱有过高的、不切实际的期望。他们寻求绝对化，认为：•内部控制可以保证企业的成功－也就是说，它会保证实现基本业务目标，或者至少保证企业的生存。有效的内部控制只是帮助企业实现他们的目标。它可以向管理层提供企业对于目标的实现程度的信息。但是内部控制不能使一个本身不好的经理变成一个好经理。另外，政府政策或程序的变化、竞争对象的行为或者经济状况的变化是超越于管理层可控范畴的。内部控制不能保证成功，甚至不能保证公司的生存。•内部控制可以保证财务报表的可靠性和法律法规的遵循性这种想法也是没有根据的。一个内部控制系统，无论设计和运行得多么完善，也只能为管理层和董事会就公司目标的实现提供合理保证－而不是绝对的保证。目标实现的可能性受所有内部控制系统本身的局限性影响，包括做决定时依据的判断可能是错误的，而且这种失败可能源于非常小的错误或失误。另外，控制可能被员工共谋而规避，而且管理层有能力凌驾于控制之上。另外一个限制因素是内部控制系统的设计受到资源的限制，考虑实施控制的好处时也要考虑控制成本。6因此，尽管内部控制可以帮助一个组织达到目标，但是内部控制不是万能药。任务与责任组织中的每一个人都对内部控制负有责任。•管理层-首席执行官对内部控制负有全面的责任，可以看作是内部控制系统的“责任人”。首席执行官的态度相比任何人对诚信、道德和控制环境的影响都大。在一个大公司，首席执行官的任务是领导和指导高级管理人员，检查他们经营的方式。依次的，高级管理人员向负责企业运营的员工分配建立更为具体的内部控制政策和程序的责任。在一个较小的公司，首席执行官的影响（通常所有人即是经理）更为直接。在任何情况下，在层叠式的职责中，经理是他/她自己职责范围内的首席执行官。财务总监和他的员工的责任具有重要意义，他们的控制活动贯穿于企业上下、业务活动和其他部门。•董事会-管理层对董事会负责，董事会实施治理、指导和监督。有效的董事会是客观的、有能力的和善于调查的。他们具有业务活动方面的知识，有时间履行董事会的责任。管理层可能处于一个能够凌驾于控制之上的位置，忽略或者抑制下级的信息沟通，而使得不诚实的管理层故意歪曲结果以掩盖踪迹。一个强大的、活跃的董事会通常能够结合有效的汇报渠道和有力的财务、法律和内部审计职能来发现和纠正这样的问题。•内部审计师-内部审计师在评价内部控制有效性方面起着重要的作用，对维持有效性也有所贡献。内部审计职能部门因为其在企业中的地位和权利，起着重要的监督作用。•其他人员-内部控制从某种程度上是组织中每个人的责任，因此应当作为每个人工作范围的明确或非明确的一部分。事实上，每个员工都产生内部控制系统中所使用的信息，或者用行动来影响着内部控制。还有，所有的人都有责任向上汇报沟通组织中的问题，汇报违反行为准则的情况，以及违反政策或法律的行为。大量的外部单位都对公司达到目标有所贡献。外部审计师，提供独立客观的意见，直接对财务报表审计，间接对管理层和董事会提供履行职责的信息。向公司提供有用信息来影响内部控制的还有立法机构和监管机构、客户和其他公司、财务分析员、债券评级人和新闻媒体。但是外部单位不会对公司内部控制负有责任，也不是公司内部控制体系中的一部分。报告的组织报告分为四个部分。第一部分是内容提要，是一个较高层次的内部控制框架的概括，与首席执行官和其他高级人员、董事会成员、立法机构和监管机构相关。7第二部分是框架，定义内部控制，描述它的组成部分，提供标准。据此，管理层、董事会和其他人员可以评价他们的控制系统。这部分包括内容提要。第三部分是对于外部各方的报告，是一个补充文件，它向那些对外公告财务报表编制内部控制程序的企业和预期要这样做的企业提供指导。第四部分是评价工具，提供评价内部控制体系时可能有用的工具。____________________*COSO报告于1992年9月出版，由四部分组成。对外报告附录于1994年5月出版。在1994年的版本里，前面3部分和附录合并起来，作为一个部分出版，加强工具被放在第二部分。8应该做什么依据该报告而采取的行动取决于所涉及各方的地位和责任。•高级管理层-大多数参与这项研究的高级管理人员认为他们基本上“控制着”他们的组织。然而，很多人说，他们的公司的内部控制中的一些领域－一个分支机构、一个部门或者一个贯穿于经营活动的控制组成部分－这些方面的控制处于发展的初级阶段或者是需要加强的。他们不喜欢意外事件。这个研究建议首席执行官实施控制系统的自我评价。使用这个框架，首席执行官与运营总监和财务总监可以专著于需要重视的领域。一种方法是，首席执行官可以将业务部门的主管和主要的员工召集起来实施初步内部控制评估。领导层应给予这些人相关的指导，讨论报告概念，在他们的责任领域提供关于初步评估过程的意见，并汇报发现的问题。另一种方法可能涉及对于公司和业务单位的政策和内部审计程序的初步审阅。无论以什么形式，初步的自我评价应判断是否有必要和如何进行更广泛更深入的评估。同时，它应该保证持续的监督程序得到执行。用在内部控制评估上的时间是一种投资，一种高回报的投资。•董事会成员-董事会成员应与高级管理层进行讨论，讨论企业的内部控制状况，如果需要的话，进行监督。他们应该寻找和利用来自于内、外部审计师的信息。•其他人员-管理层和其他人员应考虑如何根据这个框架履行他们的控制责任，与高级管理人员讨论关于加强控制的看法。内部审计师应考虑他们关注内部控制系统的范围，可以考虑将评估资料与评估工具进行比较。•立法机构和监管机构-制订和颁布法律的政府官员认识到，对于任何问题的理解都可能存在误解和不同的期望。对于内部控制的期望