第二章 COSO内部控制与企业风险管理整合框架

PwC1第一章我国的内部控制与企业风险管理1、中国财政部内部控制标准委员会：《企业内部控制规范（征求意见稿）》（2007）2006年7月15日（即SOX法案正式启动之日），我国财政部别有深意地发起了一个由财政部、证监会、审计署、银监会、保监会联合发起共同参与的“企业内部控制标准委员会”（委员会主席：王军；成员包括来自监管部门、实务界和理论界的31位专家学者），标志着我国内部控制国际化时代的到来，“中国版的SOX法案”即将出炉；企业内部控制标准委员会于2007年3月2日公布了《企业内部控制规范，包括基本规范和17项具体规范（初步拟定为26项，另外9项正在起草中）。•2004年底至2005年6月——资料收集和理论研究阶段；•2007年3月2日——2007年4月底，向社会征求意见阶段。PricewaterhouseCoopers2、中国财政部内部控制标准委员会：《企业内部控制基本规范》（2008）2008年6月28日，财政部等5部委公布了《企业内部控制基本规范》，规定自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。《基本规范》的发布，标志着我国企业内部控制规范体系建设取得重大突破，被视为继会计准则和审计准则之后的第三个重大里程碑。《企业内部控制基本规范》的基本内容包括：（1）总则；（2）内部环境；（3）风险评估；（4）控制活动；（5）信息与沟通；（6）监督；（7）附则。PricewaterhouseCoopers3、中国财政部内部控制标准委员会：《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制鉴证指引》（2008）2008年6月，为了配合《企业内部控制基本规范》的施行，财政部发布了《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制鉴证指引》进行征求意见。PwC5第二章COSO内部控制与企业风险管理整合框架课程框架一、COSO《内部控制整合框架》的概述及发展二、COSO《内部控制整合框架》的构成要素三、COSO内部控制框架要素详述PricewaterhouseCoopers7一、COSO《内部控制整合框架》的概述及发展COSO：Meiguo虚假财务报告委员会下属的发起人委员会（TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting）的英文缩写。1985年，由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》，简称COSO报告，1994年进行了增补。PricewaterhouseCoopers8COSO委员会“COSO，是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)。COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。PricewaterhouseCoopers9COSO内部控制框架的历史内部控制－整合的控制框架Treadway委员会发起委员会反虚假财务报告委员会（Treadway委员会）成立于1985年反虚假财务报告委员会在1987年签署了报告－号召研究并制定一个统一的内部控制框架1992年9月签署了名为内部控制整合框架的报告2003年签署“COSO－企业风险管理”草案最为广泛认可的针对内部控制整合框架的国际标准PricewaterhouseCoopers10一、COSO《内部控制整合框架》的概述及发展根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。PricewaterhouseCoopers11一、COSO《内部控制整合框架》的概述及发展萨班斯法案：2001年12月，美国最大的能源公司——安然公司，突然申请破产保护，此后，公司丑闻不断，规模也“屡创新高”,特别是2002年6月的世界通信会计丑闻事件，“彻底打击了（美国）投资者对（美国）资本市场的信心”(Congressreport,2002)。为了改变这一局面，美国国会和政府加速通过了《萨班斯法案》（以下简称SOX法案）,该法案的另一个名称是“公众公司会计改革与投资者保护法案”。法案的第一句话就是遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。PricewaterhouseCoopers12一、COSO《内部控制整合框架》的概述及发展PCAOB：美国公众公司会计监督委员会PublicCompanyAccountingOversightBoard；美国公众公司会计监督委员会（PCAOB）是会计行业的自律性组织，它由PCAOB不同会员事务所的会计师组成，这些会计师要为PCAOB中的其他会员事务所进行年检。PricewaterhouseCoopers13一、COSO《内部控制整合框架》的概述及发展COSO：1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（InternalControl－IntegratedFramework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。PricewaterhouseCoopers14一、COSO《内部控制整合框架》的概述及发展COSO：COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。PricewaterhouseCoopers二、COSO《内部控制整合框架》的构成要素15PricewaterhouseCoopers161、什么是内部控制？1.内部控制被定义为一个过程……..2.由组织的董事会、管理层和其它人员共同实施………3.被设计以提供合理保证……..4.有关以下目标的实现：经营的效果和效率财务报告的可靠性法律和法规的遵从性PricewaterhouseCoopers172、内部控制框架–COSOCOSO的关键概念:•当内部控制被“植入”经营活动中时是最有效的•组织中不同级别的员工都对内部控制负有责任•内部控制不能够提供绝对的保证•内部控制是有效的法人治理结构的主要因素•如果没有实现公司整体范围内的风险管理，就无法建立整合的内部控制系统PricewaterhouseCoopers18COSO目标是内部控制的前提条件COSO定义的内部控制是：内部控制是由公司董事会、管理层和其他有关人员实施，为达到以下目标提供合理保证而设计的程序(COSO及美国审计准则第319条):与公司的基本经营目标相关，包括业绩和赢利性目标和资产的保护。与财务报告的编制相关，包括公开的中期报告和财务简报以及从报告提取的诸如收入等的财务数据与公司适用的法律和法规的遵守有关目标种类是明确的，但是也是相互联系的经营的效果和效率财务报告的可靠性对法律法规的遵循性PricewaterhouseCoopers193、COSO内部控制框架控制活动确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。控制环境营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流风险评估风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响监控信息和沟通控制活动风险评估控制环境监控信息和沟通控制活动风险评估控制环境PricewaterhouseCoopers203.1COSO控制框架：控制环境控制环境确定影响员工控制意识的组织的“基调”。监控信息和沟通控制活动风险评估控制环境例如：–目标的实现是行政人员人事管理计划的关键部分。–明确和定期的沟通以及高级行政人员个人承诺将努力建立“高级管理层的基调”。–有高层管理人员对各种情形负责，以表示这个项目的重要性–业务管理层和高级管理层之间的会议加强了信息共享和问题解决的紧迫性。–内部审计的参与反应了高级管理层的关注和控制能力。–管理层决策反应了其对适当的控制环境的承诺。PricewaterhouseCoopers213.2COSO控制框架：风险评估风险评估是指识别和分析影响目标实现的风险，帮助确定如何进行风险管理。监控信息和沟通控制活动风险评估控制环境例如：–评估未实现目标的风险并确定高风险领域。制定改进计划以控制高风险领域。并且风险评估应该被及时更新。–如果适当的话，未实现目标的风险应该与成本（包括潜在惩罚、公众形象等）平衡。–所有级别的管理层都应该参与风险识别和目标确定。PricewaterhouseCoopers223.3COSO控制框架：控制活动控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序。监控信息和沟通控制活动风险评估控制环境控制目标包括：–完整性：所有的信息被输入并处理，且仅被处理一次。–准确性：信息（包括静态数据）被正确的输入和处理.–有效性：交易和更新经过适当的人员的授权和批准。存在有效的源文件以支持交易。–接触的限制：只有适当的人员可以对信息进行修改。公司资产被适当的保护，以防止被窃或滥用。PricewaterhouseCoopers23相关的信息应该被确定和适当地沟通以保证员工承担其责任并采取适当的行动。3.4COSO控制框架：信息与沟通监控信息和沟通控制活动风险评估控制环境例如：–信息共享，例如通过组织内各个级别的管理人员的沟通，建立一种共同责任的意识。–管理层明确定义每名员工的责任并向他们沟通。–建立管理层内部和与外部各方的适当的定期沟通的流程。–建立目标和标准以衡量和督促及时采取改进行动。PricewaterhouseCoopers243.5COSO控制框架：监控监控是不断评估内部控制系统质量的流程，包括日常管理和监管活动。监控信息和沟通控制活动风险评估控制环境例如：–负责人明确的定义并定期的审核与其职责相联系的重要事件及其时间进程以保证计划被适当的执行，以及是否采取了适当的改进行动（如果需要）。–高级管理层要求相关负责人员进行进度评估以确定负责人员是否考虑了风险和改进机会。–定期对内部控制环境进行独立评估。Pricewa