新COSO企业内部控制整合框架(2013)培训材料

新COSO内部控制整合框架（2013）2014年5月21日第3页新COSO内部控制整合框架（2013）议程►2013版COSO框架更新要点►COSO新框架17项原则解析►框架更新给企业带来的影响►如何实现向2013年COSO新框架的过渡？►SOX404企业如何开展合规工作的过渡？►新框架下如何进行内部控制评估？►提问第4页新COSO内部控制整合框架（2013）►Section4►Appendix2013版COSO框架更新要点第5页新COSO内部控制整合框架（2013）框架更新的背景►首次发布于1992年►在21世纪初的一系列财务控制失败案例后获得广泛认可►在美国使用最广的框架►在全世界也被广泛采用COSO模型(1992年版本)监督活动信息和沟通控制活动风险评估控制环境业务单位A业务单位B活动1活动2COSO模型(2013年版本)第6页新COSO内部控制整合框架（2013）内控整合框架现运行良好COSO内部控制–整合框架(1992版本)更新的目的改进内控整合框架今后将运行得更好COSO内部控制–整合框架(2013版本)反应商业环境和相关风险的重大变化更新的、强化的、清晰的框架更加关注运营、合规和非财务报告目标扩展内部报告和非财务报告的指引明确标准以用于内控体系的建立与评估5原则17关注点框架更新的背景（续）第7页新COSO内部控制整合框架（2013）新框架更新了什么？►更新旨在提高易用性和扩大应用范围保留了什么...改变了什么...内控核心定义内控三类目标对有效内控五个要素的要求运用判断的重要作用内控五个要素强调目标设定的作用基本概念明确为原则关注非财务目标科技对内控的影响加强反舞弊考虑深入讨论公司治理提供方案和案例提供方案和案例第8页新COSO内部控制整合框架（2013）新框架更新了什么？（续）COSO新框架细化董事会专业委员会描述提到案例增强理解82个要素17个原则►更实：提供了内控体系建设的原则、要素和工具内控体系评价有章可循内控体系建设保持弹性内控体系与风险管理、公司治理、日常经营有机结合新框架的实在性第9页新COSO内部控制整合框架（2013）新框架更新了什么？（续）►更活：强调企业可有自己的判断强调董事会、管理层和内审人员拥有“判断力”内控体系建设需注重与效率的结合更强调内控的实质COSO新框架新框架的灵活性除去失效、冗余控制企业根据自身情况建立内控体系非正式内控体系仍然有效第10页新COSO内部控制整合框架（2013）新框架更新了什么？（续）►更稳：强调内控有效性的认定强调内控五要素每一项都受到其他要素影响强调内控对天灾和人祸无能为力亦关注市场调查报告、资产使用报告等非财务类报告COSO新框架的稳健性整合性地看待内控体系和控制措施内控向风险管理逐渐延伸新框架第11页新COSO内部控制整合框架（2013）►Section4►AppendixCOSO新框架17项原则解析第12页新COSO内部控制整合框架（2013）17项内控原则控制环境1.组织恪守诚信并树立正确的道德价值观►高层的声音►建立行为规范►评估行为准则落实情况►周期性的识别及纠正行为过失管理活动企业文化管理人力资源管理示例建立职业操守及道德规范并进行宣导；设立专门的部门/岗位负责职业及道德规范管理工作第13页新COSO内部控制整合框架（2013）17项内控原则控制环境2.董事会独立于管理层，并对内部控制的推进与成效加以监督控制►建立监督体系►落实相关专业技能►保持独立性►在内控系统提供监督管理活动组织架构管理授权体系管理内部信息沟通示例对治理层及管理层之间的权限进行明确划分；在治理层建立专门的组织对管理层的工作进行监督。第14页新COSO内部控制整合框架（2013）17项内控原则控制环境3.管理层围绕其目标，在治理层监督下，建立健全组织架构、汇报条线、合理的授权与责任等机制►考虑所有部门、分支►建立汇报路径►定义、分化、限制权责和责任管理活动组织架构管理授权体系管理示例管理层建立公司/业务层面目标；将内控体系纳入管理层工作并进行考核。第15页新COSO内部控制整合框架（2013）17项内控原则控制环境4.组织致力于吸引、培养和留住人才，以实现组织目标►评估能力和缺陷►吸引、发展和保留个人►业务持续性管理活动人力资源企业文化示例建立清晰的人力资源政策；设置专门/岗位落实人力资源政策。第16页新COSO内部控制整合框架（2013）17项内控原则控制环境5.组织根据其目标，使员工各自担负起内部控制的相关责任►通过架构、权限加强义务►建立表现测试、激励及奖励政策►对过度压力的审视管理活动企业文化具体业务流程示例控制点落实到人；设定内控相关的绩效考核指标。第17页新COSO内部控制整合框架（2013）17项内控原则（续）风险评估6.组织的目标设定明确，与其目标相关的风险可以被清晰地识别和评估►经营目标：管理层的选择，目标偏差，资源保障►外/内部财务报表：会计准则，证据，企业经营活动►外部非财务报告：外部标准，企业活动►合规目标：法律法规、目标偏差管理活动具体业务流程示例在公司及业务层面提出清晰的管理目标第18页新COSO内部控制整合框架（2013）17项内控原则（续）风险评估7.组织对影响其目标实现的风险进行全范围的识别和分析，并以此为基础来决定应如何管理风险►企业、分子公司、经营单位各个层面►内外部因素的影响►管理各层级的介入►风险重要性评估►风险应对管理活动具体业务流程内控评价内控审计示例构建专业的内外部风险评估团队；建立风险信息收集渠道；建立风险评估/记录机制。第19页新COSO内部控制整合框架（2013）17项内控原则（续）风险评估8.组织在评估影响其目标实现的风险的过程中，考虑舞弊的可能性►多种类型的舞弊►评价舞弊动机及压力►如何识别►评价态度与合理性管理活动舞弊机制舞弊举报程序舞弊举报人管理敏感业务示例结合业务特征及资产暴露水平，在设计内控时充分考虑各种舞弊风险；设置舞弊举报、舞弊举报人保护机制。第20页新COSO内部控制整合框架（2013）17项内控原则（续）风险评估9.组织识别并评估可能对其内部控制体系造成较大影响的变化►外部环境的变化►商业模式的变化►领导力的改变管理活动内控自我评价内控审计内控体系维护及更新示例通过自我评价/内控审计对变化进行评价；及时调整。第21页新COSO内部控制整合框架（2013）17项内控原则（续）控制活动10.组织选择并开展控制活动，将影响其目标实现的风险降到可接受的水平►结合风险评估►决定相应的商业流程►考虑实体特定因素如业务►控制活动类型的混合►控制活动实施的层面►职责分工管理活动具体业务流程示例根据具体业务分析设置具体控制措施；根据原则4、5，清晰分配内控职责至具体的有专业胜任能力的人。第22页新COSO内部控制整合框架（2013）17项内控原则（续）控制活动11.针对信息技术，组织选择并开展一般控制以支持其目标的实现►商业流程与信息技术控制流程之间的关联性►选择和发展必要的技术设施►建立控制活动的安全管理流程►信息技术获得、发展和维持流程管理活动信息系统管理内部审计示例加强技术开发过程中的风险控制；加强对处于运行状态的技术系统进行监控及风险预警/处置；加强针对技术的专项评价/审计。第23页新COSO内部控制整合框架（2013）17项内控原则（续）控制活动12.组织通过合理的政策制度和保证这些政策制度切实执行的流程程序，来实施控制活动►建立政策流程体系支持管理层指令的实施►落实政策流程的责任义务►如何及时有效的实施控制活动►定期评价政策及流程管理活动具体业务流程示例明确各工作事项的控制政策，并在具体流程中体现这些政策；第24页新COSO内部控制整合框架（2013）17项内控原则（续）信息与沟通13.组织获取或生成，并使用相关的、有质量的信息来支持内部控制的正常运作►识别信息需求►信息系统吸引内部外数据资源►数据转化为信息（数据、信息与知识）►系统内/间实现高质量的信息转化►成本与效益管理活动具体业务流程内部信息沟通经营分析示例分析各控制点执行岗位的信息需求；建立信息收集、分析、反馈渠道；对信息质量进行持续监督评价。第25页新COSO内部控制整合框架（2013）17项内控原则（续）信息与沟通14.组织在其内部沟通传递包括组织目标和内部控制职责在内的必要信息，以支持内部控制发挥作用►内控信息的个人交流►与董事会的交流►提供匿名、独立的途径►设计不同的交流方式管理活动具体业务流程内部信息沟通人力资源示例将控制要求在岗位职责中明确；培训宣贯。第26页新COSO内部控制整合框架（2013）17项内控原则（续）信息与沟通15.组织与外部相关方就影响内部控制发挥作用的事宜进行沟通►与外部利益相关者沟通►开放式交流通道►与董事会交流►提供匿名、独立的途径管理活动具体业务流程内部信息沟通经营分析对外披露管理示例建立内控信息对外的沟通/披露机制。第27页新COSO内部控制整合框架（2013）17项内控原则（续）监控活动16.组织选择、开展并实施持续且（或）单独的评估，以确认内部控制的各要素存在且正常运作►持续评价与单独评价的混合►商业流程的变化率►有资质的团队►根据变化环境整合商业流程►基于风险调整评价范围及频率►评价的客观性反馈管理活动具体业务流程内控审计内控评价示例主要职能部门-内控自我评估；业务流程控制执行情况的检查；内控审计机制。第28页新COSO内部控制整合框架（2013）17项内控原则（续）监控活动17.组织及时地评价内部控制的缺陷，并视情况与那些应负责采取整改措施的相关方（包括高级管理层、董事会）沟通►评估结果►汇报缺陷►监督纠正性措施管理活动内控审计内控评价内控体系维护更新示例内控缺陷认定标准内控缺陷弥补方案讨论、评估、确认机制缺陷整改落实责任机制内控更新机制第29页新COSO内部控制整合框架（2013）►Section4►AppendixCOSO框架更新给企业带来的影响第30页新COSO内部控制整合框架（2013）框架更新给企业带来的影响您的内部控制体系是否需要应对新的业务变化？您的内部控制体系是否需要针对所有原则进行更新？您的组织对旧框架的应用和解读是否和COSO一致？您的组织是否考虑针对额外的目标实施内控措施？►应用新框架后的影响会因各组织的不同而不同美国上市企业？非美国上市企业？第31页新COSO内部控制整合框架（2013）框架更新过渡期►鼓励用户尽快将内控应用和相关文档按新的框架进行更新2014年12月15日旧COSO模型(1992年版本)监督活动信息和沟通控制活动风险评估控制环境业务单位A业务单位B活动1活动2新COSO模型(2013年版本)►在过渡期间，对外报告应当披露组织使用的是新框架还是旧框架第32页新COSO内部控制整合框架（2013）内部控制原则的综合运用内部控制阶段判断内部控制设计董事会管理层内部控制的设置是否充分内部控制运行管理层员工内部控制的开发、运行及布署内部控制监控董事会内部审计管理层独立监控及评价日常监控实质形式►对使用管理层判断的强调。►基于原则的实施和依赖管理层的判断，都在一定程度上弱化了对内控的形式要求。第33页新COSO内部控制整合框架（2013）►Section4►Appendix如何实现向2013年COSO新框架的过渡？第34页新COSO内部控制整合框架（2013）由于在一个有效的内控体系中，管理层、审计委员会、内部审计和其他风险职能部门均发挥着不可或缺的重要作用，所以，采用协同合作的方法来应对COSO新框架中的关键变化是极其必要的。向2013年COSO新框架的过渡1.展开关于COSO新框架的讨论2.识别及评估所需的必要改变3.记录应用COSO新框架的方法和过渡计划第35页新COSO内部控制整合框架（2013）向2013年COSO新框架的过渡（续）►公司应考虑以下活动，以使内控文档过渡至符合2