coso内部控制模型

coso内部控制模型

The COSO Internal Control Model

The COSO internal control framework was first introduced in 1992, and in 1994 a comprehensive four-section report on internal controls was issued, con sisting of an executive summary, a framework, guidance to public companies o n reporting on internal controls to third parties, and evaluation tools to help a company comprehensively assess its current control environment.

The COSO framework is relevant to achieving company objectives in three areas:

Operational goals: The framework relates to the effective and efficient usag e of all of a company's resources.

Financial reporting goals: The construct gives guidance on the consistent pr oduction of reliable financial reports.

Compliance goals: The guidance creates a top ology of the company’s compl iance requirements as they relate to industry regulations or legal requirements f or public entities.

coso内部控制框架提出三大目标，即运营的效率和效果,财务报告的可靠性,以及遵守适用的法律和规章

五大要素

1。控制环境

Control Environment

This element is the foundation of the COSO framework. It sets the overall tone of the organization with regard to the importance of internal controls. Et hical values, leadership resource allocation, staff competence at all levels, the d ynamics of authority and responsibility within the organization, and managemen t philosophy are all parts of this critical component.

In a sense, the control environment is the most difficult component to quan tify, because much of it relates to the overall culture of the organization. But t here are a number of clear goals that an organization can work toward to ensu re that the framework rests on a foundation exemplifying market leadership.

Board and leadership involvement is the most crucial element in an organiz ation seeking market leadership. As the board and leadership set expectations a nd measure progress against them, business units or department heads begin to

assign internal controls the priority they require. The specific strategies that c an be employed to move to a market-leader position within an industry include the following:

?Conveying the importance of ethical values道德价值by setting an exam ple and “walking the talk.” This includes relating stories of integrity and ethica l values through presentations, newsletter stories, and any other means of gettin g the message to everyone that these values are important to the organization. Public companies are now required to have a code of conduct for the board u nder the requirements laid out by SOX. Nonprofits and private companies can also benefit from a code of conduct. The organization cannot tolerate violations of this standard. There are financial benefits to this approach as well. One re search study performed by the Institute of Business Ethics (“Does Business Eth ics Pay?,” April 2003) found that companies displaying a clear commitment to ethical conduct consistently outperform companies that do not display ethical conduct.

?Developing clear organizational guidelines relating to responsibility and a uthority with accountability checks is another clear hallmark of an market lead er. Within the organization, leadership typically follows a distributed model, wi th individuals understanding the overall organizational goals and how the goals of their department or business unit relate to them. Individuals should also un derstand their responsibilities and the limit of their authority to ensure that the goals of the organization are achieved. When a leadership culture like this is achieved, the whole organization is focused on organizational objectives and co mmitted to the maintenance of the control structure. A guiding coalition of lea dership members believing in the need for change is one of the first steps typi cally taken by organizations that successfully make culture shifts, but changes will take effect slowly and steadily over time.

?Embedding the internal control framework within the organizational cultu re将内部控制框架融入企业文化. Management must clearly define roles and res ponsibilities for internal controls, including responsibility for the defining, docu menting, testing, and monitoring of controls and the remediating of problems. The organization must incorporate these responsibilities into the responsible indi viduals’ performance management goals.

?The internal controls environment is no longer viewed as separate from the operating component of the business; controls are embedded in processes fr om the beginning. 内部控制环境不再独立于企业经营要素，要从一开始就执行T his approach lowers the risk of inadequate controls and ensures that the control structure is in place from the outset of a process’s planning and launch.

?Supporting human resources policies and practices that provide clear cor porate career paths. Human resources management plays a key role in ensuring that individuals are hired with the needed financial competencies and that care er growth supports an increased level of financial reporting competencies.对人力资源/人才的要求

2。风险评估

Risk Assessment

Leading companies take a risk-based approach to SOX internal controls co mpliance as a key step in achieving a correct balance between costs and benef its. Recent guidance from the Public Company Accounting Oversight Board (P CAOB) supports this approach with specific recommendations, including the us e of a risk-based method to determine which key controls are tested each year. The PCAOB also recommends that the viability of a company’s business mod el is an important consideration when evaluating risks. Companies that focus o n these larger problems and risks will better meet the needs of all their stakeh olders, including investors and analysts.

Market leaders with respect to internal controls expand the risk focus starte d under internal compliance efforts to a broader venue. One popular concept th at often precedes a mature enterprise risk management initiative is the formatio n of a risk council. This council is generally composed of management represe ntatives from different areas of the business. Some of the early objectives of ri sk council meetings are as follows:

Use of a common terminology for risk discussions throughout the organizati on;

Definition of a risk framework or structure for fostering risk management a cross the organization;

Characteriza tion of the organization’s current risk capability as well as risk and performance indicators;

Identification of the company’s current spending on risk; and

Formulation of a plan to mitigate the operational risks of the organization.

If they do not already have a risk program, some companies take the risk management process even further with a more formalized, enterprise-wide progr am headed by a chief risk officer. Under this approach, the organization embe ds risk identification and mitigation into its culture in the same way it adopted its internal control framework. The goal is to intertwine risk and business stra tegy with other organizational systems such as performance management.

Another important aspect to risk assessment is continuous monitoring of the internal and external environment in which the entity operates. This periodic s can of the operational environment can highlight upcoming events affecting bot h internal controls and risk strategy. Events such as systems change, mergers a

nd acquisitions, loss of key personnel, and other events may require a closer l ook at existing controls and risk management

控制活动

Control Activities

Market leadership in the actual design of controls requires corporate-wide c oordination and the involvement of ownership. Policies are set enterprise-wide, allowing an efficient implementation while avoiding duplicate efforts and definit ions. Control design workshops or training can raise the knowledge and capabil ity of management and staff to deal with defining, documenting, managing, test ing, and reporting on internal controls. Global organizations have recently begu n to roll these sessions out through online training sessions for foreign registra nt compliance with SOX section 404. These modules can be used with more-e xperienced users to reinforce other objectives, such as a return to basic control s and an emphasis on continuous improvement. Leading organizations have mo ved to more-comprehensive training on basic accounting concepts, and in the p rocess have improved the timing of their closing cycle, implemented process i mprovements, and reduced the error rate in accounting transactions.

Market leaders have focused controls on prevention rather than detection (se e the Sidebar on types of controls). They have reengineered business processes, where needed, to incorporate prevention. Automating control checks by utilizin g software features that can complete checks without any specific action is als o beneficial. Internal auditing can help provide direction to business process o wners searching for the best approach to use. Working closely with the board will help the internal audit function receive the company-wide exposure necessa ry for business process owners to recognize the value delivered to the organiza tion. It will also make it more likely that business process owners will “buy i n” to the process.

Leading-edge companies in internal controls implementation effectively utiliz e technology in several ways. First, they build in controls wherever cost-effecti ve, because this one-time change activates a continual and long-lasting process of control testing. Automated control testing also brings about a quicker respon se time to potential problems and needed corrections.

Management can also utilize technology to support the documentation and t esting components of their control activities. Numerous vendors (e.g., BWise, Methodware) provide customizable software to provide a consistent approach ac ross the enterprise. The use of software to support these efforts is not limited to large companies, as many programs are scalable and affordable for small co mpanies. These programs help ensure that the initial investment in documentati on and testing is well maintained and that compliance efforts will be sustained

into the future. They can also serve as a basis for higher-value initiatives do wnstream, such as business process improvement and more-comprehensive risk management activities.

信息与交流

Information and Communication

An open flow of information and ease of communication within an organiz ation are essential with any new initiative. Experienced project managers are w ell versed in the communications needed to disperse information to stakeholders. They also have experience with change management, which can contribute to the timelier acceptance of new processes and the continuous improvement need ed to excel. Experienced project managers will build measurements into the pla ns to assess success.

Leading companies foster open communication between internal auditors, ma nagement, and external auditors. The first year of SOX implementation for acc elerated filers resulted in less than ideal communications with external auditors, according to the SEC April 2005 Roundtable on Internal Control Reporting Pr ovisions. Recent recommendations from the SEC and the PCAOB have clarifie d expectations regarding external auditor communications, with the specific goal of improving the quality of testing, documentation, and remediation in the con trol environment, thus adding business value.

Information overload is prevalent throughout business. In the “information e conomy,” management is frequent ly overwhelmed by the quantity of data avail able, often resulting in a failure to convert important business information into knowledge to support their competitive advantage in the marketplace. Leading companies have recognized that effective reporting of exceptions and an “exec utive dashboard” approach are the best ways to focus attention on important in formation, and they can avoid placing management adrift in a sea of meaningl ess data from endless sources.

5。监测

Monitoring

Control self-assessments (CSA) can play an important part in monitoring int ernal controls. CSAs place the responsibility for assurance that controls are in place and functioning with the business process owners, consigning ownership exactly where it belongs under the dynamics of typical organizational behavior.

Several questions from a CSA on a company’s accounts payable process ar e shown in Exhibit 2. The IIA website has numerous examples. Another CSA option is an interactive workshop, which uses a facilitator to draw out control information from management. This approach leaves control with management, allowing the organizational process owners to follow up downstream with surve ys or questionnaires in subsequent periods, further refining the work product.

Monitoring efforts are best focused on leading indicators that allow time fo r correction, rather than lagging indicators that do not. The best reports for mo nitoring internal controls contain integrated information from both internal and external sources. Software packages can facilitate pulling together data from dis parate systems and processes.

In many organizations, the internal auditors are responsible for conducting a fo rmal review of internal control work. Such a review should be conducted annu ally and should take advantage of “lessons learned” from SOX activities, as w ell as input from the external auditor.

美国COSO内控框架(2013)的六大变化

美国COSO内控框架（2013）的六大变化 2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。 新COSO内控框架的主要变化 新COSO内控框架共包括4部分内容：一是内容摘要，对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录，包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。三是评估内部控制系统有效性的解释性工具，为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制：方案和示例摘要，在准备外部财务报告过程中为应用框架中的要素和原则提供了实际的方案和示例。 新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比，新框架的变化主要表现在以下几个方面：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内控，以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。 扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。 在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来，新COSO内控框架共有四类报告目标：内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。 强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。可以说，在这一点上，COSO新框架吸取了《萨班斯法案》通过以后旧框架实施成本高的教训，使内控实施更加灵活，同时节省了实施成本。 强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。

COSO内部控制整体框架简介

COSO内部控制整体框架简介 1992年美国反虚假财务报告委员会管理组织（COSO）发布了《内部控制—综合框架》以帮助企业和其他实体评估并加强内部控制系统。此后，《内部控制—综合框架》被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。 同时，财务报告和相关立法以及监管环境也发生了变革。值得注意的是，2002年美国颁布了《萨班斯法案》。其中，《萨班斯法案》第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。 随着情况的发展和时间的推移，这项框架到今天仍然是有效的，遵从《萨班斯法案》第404号条款的各种规模的公众公司管理层仍继续沿用。然而，较小型公众公司在面对执行第404号条款的挑战时，承受了意料之外的成本。为了指导较小型公众公司执行第404条款，美国反虚假财务报告委员会管理组织于2006年发布了《较小型公众公司财务报告内部控制指南》（以下简称《指南》）。 《指南》并非是对《内部控制—综合框架》的取代亦或修改，而是就如何应用提供了指导。就如何按照成本效率原则使用《内部控制—综合框架》设计和执行财务报告内部控制方面，《指南》为较小型公众公司提供了指导（当然《指南》也同样适用于大型公司）。尽管《指南》本意上是为了帮助管理层建立和维持财务

报告内部控制的有效性而制定的，但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。 《指南》分为三部分，第一部分是概要，向公司董事会和高层管理人员介绍了整个文件的主要内容。 第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点，其中描述了公司的特征，这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用《内部控制—综合框架》。此外，还从《内部控制—综合框架》中提炼了20个基本原则，并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。 第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。 高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣，并在必要的情形下参考第二部分的其它章节，而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。 一、“较小型”公众公司的特征 尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”，但《指南》并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”，这意味着《指南》适用于更大范围内的公司。《指南》对“较小型公众公司”的特征作

COSO内部控制管理框架(详细版)

COSO内部控制管理框架 一、控制环境 Control Environment是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。 构成控制环境的要素: (一)董事会及审计委员会 董事会是公司内部控制系统的核心，对内部控制而言，一个积极、主动参与的董事会是相当重要的。 ●如何评价？ 1. 董事会或审计委员会是独立于管理层的，这样必要时能够提出有挑战性甚至审查式的问题。 2. 建立董事会专门委员会以特别关注和处理相关重要事件。 3. 董事的知识和经验 4. 与内、外部审计师等的会面频率和接触 5. 为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目标和战略、公司的财 务状况和经营成果、以及重大协议的条款等。 6. 为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不当行为（例如：监管 机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交易法规、非法支付等）。 7. 监督高级管理人员的薪酬，聘用和解聘高级管理人员。 8. 建立“高层管理基调” 9. 董事会或审计委员会依据其发现采取行动，包括特殊调查。 (二)管理者的品行及管理哲学和经营风格 ①企业承受经营风险的种类 ②管理者对法规的看法 ③对企业财务的重视程度 ④对人力资源的看法 ●如何评价？ 1. 接受的业务风险的性质，例如：管理层是否经常介入特别高风险的业务，还是在接受风险方面非 常保守。 2. 在关键职能部门的人员流动率，例如：经营、会计和数据处理部门等。 3. 管理层对数据处理和会计职能的态度，以及对财务报告和资产安全可靠性的关心。 4. 高级管理层和业务部门管理层相互交流的频率，特别是双方处于不同的地域时。 5. 对财务报告的态度和行动，包括对采取的会计处理的争议（例如：采取保守的还是激进的会计政 策；会计原则是否被滥用了；关键的财务信息没有被披露；或会计记录被粉饰或篡改了）。 (三)管理者的素质 管理者往往是内部控制设计和执行的关系人，他的素质(知识、技能、操守、道德观、价值观)影响内部 控制的效率和效果。 ●如何评价？ 1. 存在行为准则及其他相关可接受的商业行为、利益冲突、伦理的道德标准等的政策，并有效执行。 2. “高层管理基调”的建立－－包括明确的道德指导（什么是对的和错的）。 3. 和在公司范围内进行沟通的程度的指导。与员工、供应商、客户、投资人、债权人、保险人、竞争 对象和审计师等的关系。（例如：管理层进行商业行为时，是否非常关注道德标准，是否也要求其他人 遵守道德标准，还是根本不关注道德问题。） 4. 针对违反政策和道德准则的情况采取适当的措施。采取措施的范围在公司内进行沟通。

美国COSO内控框架(2013)的主要变化

2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。美国COSO内控框架都有哪些新变化呢？ 新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。 与旧框架相比：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。 扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。 在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。 强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。 新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。 强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。 增加了反舞弊与反腐败的内容。与旧框架相比，新框架包含了更多关于舞弊与欺诈的内容，并且把管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。 充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。 新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。

COSO内部控制

内部控制是衡量现代企业管理的重要标志，通过实践得出的结论是：得控则强，失控则弱，无控则乱。加强和完善企业内部控制制度，已成为当前理论界和实务界最为关注的话题之一。保证财务报告可靠性，防止会计信息失真始终是内部控制的一项重要目标。因此完善企业内部控制制度，保证会计信息的质量，对于完善公司治理结构和信息披露制度，保护投资者的合法权益并保证资本市场的有效运行有着非常重要的意义。 COSO内部控制 COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加 拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。COCO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。 但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。 COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示. 1. 控制环?br> 控制环境是所有其他组成要素的基础，包括了以下要素： 1) 诚信和道德价值观； 2) 致力于提高员工工作能力及促进员工职业发展的承诺； 3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性； 4) 管理层的理念和经营风格； 5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程； 6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了： a) 被激励主动发现问题并解决问题以及被授予权限的程度； b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策； c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。 7) 人力资源政策及程序。 2. 风险评估 首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。 其次，识别与上述目标相关的风险。

COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架 水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体框架，这标志内部控制理论发展到新的阶段,赢得了各方的好评。 一、COSO内部控制整体框架的诞生 1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。 1985年，由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。 二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。 报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。 为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control activities)、信息与交流(Information and communication)和监测(Monitoring)。 控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；然后，清晰定义利于划分职责和汇报路径的组织结构，确立基于合理年度风险评估的风险接受政策；最后，向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性，同时，高级领导层需对文件控制系统作出承诺。 风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这还是第一次。 相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策

2013COSO内部控制框架中英文对照版

Internal Control Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory environments. 设计并实施一套有效的内部控制体系是充满挑战的；每天保持制度运行的效果和效率会让人可望而不可及。崭新且不断更新的商业模型，对技术的深入应用和依赖，日益繁多的监管要求和检查，全球化和其他挑战要求每一个组织的内部控制体系都能够更加敏捷地适应不断变化的商业、运营和监管的环境。 An effective system of internal control demands more than rigorous adherence to policies and procedures: it requires the use of judgment. Management and boards of directors use judgment to determine how much control is enough. Management and other personnel use judgment every day to select, develop, and deploy controls across the entity. Management and internal auditors, among other personnel, apply judgment as they monitor and assess the effectiveness of the system of internal control. 一套有效的内部控制体系除了对制度和流程严格遵守外，还要求判断力。管理层和董事会1通过其判断来决定多少控制是充分的。管理层和其他员工每天通过其判断，在组织内选取，推进和实施各类控制。管理层和内部审计师，以及其他的员工，通过其判断来监控和测试内部控制体系的有效性。 1本框架使用“董事会”一词，泛指治理层，包括：董事会，理事会，一般合伙人，所有者和监事会等

COSO《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control – Integrated Framework 内部控制整合框架 Executive Summary 执行纲要 Internal control helps entities achieve important objectives and sustain and improve performance. COSO’s Internal Control—Integrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内部控制帮助组织达到重要的目标，维持和改进业绩。科索委员会的内部控制整合框架使得组织能够开发有效果且有效率的内部控制体系，该体系且能够适应变化的商业和运营环境，将风险降低到可接受的水平，并且促进规范决策和组织的治理。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory 翻译：@注册内审师

COSO与内部控制简介

COSO与内部控制简介 一、背景介绍 内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。 （一）COSO内部控制框架的产生和发展过程 内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO 内部控制框架。 在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告《内部控制——

COSO内部控制框架

页眉内容 COSO报告概述 COSO是全国反对虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB 发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control－Integrated Framework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。 COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。 COSO报告中内部控制的组成 1.控制环境（Control environment） 它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。 2.风险评估（risk assessment） 是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 3.控制活动（control activities） 是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 4.信息和交流（information and communication）

coso基本简介

基本简介 COSO报告从四个方面：目的、承诺、能力、监督与学习，提出 20项控制基准。但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制 框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。 COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。

组成关系 控制环境 控制环境是所有其他组成要素的基础，包括了以下要素： 1) 诚信和道德价值观； 2) 致力于提高员工工作能力及促进员工职业发展的承诺； 3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性； 4) 管理层的理念和经营风格； 5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程； 6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点： a) 被激励主动发现问题并解决问题以及被授予权限的程度；

b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策； c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。 7) 人力资源政策及程序。 风险评估 首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。 其次，识别与上述目标相关的风险。 再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。 最后，针对风险的结果，考虑适当的控制活动。 控制活动 控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一

COSO对内部控制五要素的解释

COSO对内部控制五要素的解释，由财政部牵头的中国内部控制标准委员会（2006.7成立）正在制订的中国企业内部控制规范，也借鉴这五要素的框架及 内容： 内部控制包括五个相互联系的要素。它们源自管理层的经营方式，并与管理过程紧密相连。尽管此五项要素适用于各类企业，但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强，但其内部控制也可能是有效的。内部控制的五项要素为： 控制环境——控制环境决定了企业的基调，直接影响企业员工的控制意识。控制环境提供了内部控制的基本规则和构架，是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能；管理哲学和经营风格；权责分配方法、人事政策；董事会的经营重点和目标等。 风险评估——每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接，保持一致。风险评估指识别、分析相关风险以实现既定目标，从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化，需要确立一套机制来识别和应对由这些变化带来的风险。控制活动——控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险，实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。 信息和沟通——公允的信息必须被确认、捕获并以一定形式及时传递，以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告，以助于经营和控制企业。信息系统不仅处理内部产生的信息，还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息，认真履行控制职责。员工必须理解自身在整个内控系统中的位置，理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时，与外部诸如客户、供应商、管理当局和股东的之间也需要有效的沟通。 监控——内部控制系统需要被监控，即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持

coso资料内部控制模型介绍(英文版)

coso内部控制模型 The COSO Internal Control Model The COSO internal control framework was first introduced in 1992, and in 1994 a comprehensive four-section report on internal controls was issued, con sisting of an executive summary, a framework, guidance to public companies o n reporting on internal controls to third parties, and evaluation tools to help a company comprehensively assess its current control environment. The COSO framework is relevant to achieving company objectives in three areas: Operational goals: The framework relates to the effective and efficient usag e of all of a company's resources. Financial reporting goals: The construct gives guidance on the consistent pr oduction of reliable financial reports. Compliance g oals: The guidance creates a topology of the company’s compl iance requirements as they relate to industry regulations or legal requirements f or public entities. coso内部控制框架提出三大目标，即运营的效率和效果,财务报告的可靠性,以及遵守适用的法律和规章 五大要素

COSO内部控制框架介绍(doc 37页)

COSO内部控制框架 2007-11-16 15:30 一、背景介绍 内部控制是什么?不同的人有不同的理解。一般的人把内部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是内部监督、也可能是管理手册、规章制度等。这种理解没有错，但不全面。按照现代的内控理论，这些仅仅是内部控制的一部分，而不是全部。现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。 （一）COSO内部控制框架的产生和发展过程 内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架四个阶段。在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在内部控制制度阶段，内部控制的重点是建立健全规章制度；在内部控制结构阶段，内部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面；内部控制整体框架阶段，就是我们下面将要讨论的COSO内部控制框架。

在美国，20世纪70年代中期，与内部控制有关的活动大部分集中在制度的设计和审计方面，重在改进内部控制制度和方法。1973年至1976年对水门事件（美国公司进行违法的国内捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到内部控制问题。针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。FCPA除了规定了关于反贿赂的条款外，还规定了与会计及内部控制有关的条款。因此美国许多机构都加强了对内部控制的研究并提出许多建议。1985年，由美国注册会计师协会、会计协会、财务主管协会、内部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立COSO委员会，专门研究内部控制问题。1992年9月，COSO委员会提出了报告《内部控制——整体框架》（1994 年进行了增补），即COSO内部控制框架。 COSO内控框架的提出标志着内部控制理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。COSO内部控制框架之所以被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯法案》第 404 条

COSO内部控制

COSO内部控制 目录 简介 1组成关系1. 控制环境 12. 风险评估 13. 控制活动 14. 信息与沟通 15. 监督 COSO内部控制模型 COSO框架下的内部控制设计 COSO内部控制基本原则 展开 编辑本段简介 COSO内部控制框架不是唯一的内部控制框架,其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。COCO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。 但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示.

编辑本段组成关系 1. 控制环境 控制环境是所有其他组成要素的基础，包括了以下要素：1) 诚信和道德价值观；2) 致力于提高员工工作能力及促进员工职业发展的承诺； 3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；4) 管理层的理念和经营风格；5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点：a) 被激励主动发现问题并解决问题以及被授予权限的程度；b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。7) 人力资源政策及程序。 2. 风险评估 首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。其次，识别与上述目标相关的风险。再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。最后，针对风险的结果，考虑适当的控制活动。 3. 控制活动 控制活动指为确保管理层指示得以执行，削弱风险的政策（做什么）和程序（如何做）。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动，如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。 4. 信息与沟通 相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料，而且还处理形成企业决策和外部报告所必须的外部

coso内部控制模型说明

coso内部操纵模型 The COSO Internal Control Model The COSO internal control framework was first introd uced in 1992, and in 1994 a comprehensive four-section report on internal controls was issued, consisting of a n executive summary, a framework, guidance to public co mpanies on reporting on internal controls to third part ies, and evaluation tools to help a company comprehensi vely assess its current control environment.

The COSO framework is relevant to achieving company objectives in three areas: Operational goals: The framework relates to the effe ctive and efficient usage of all of a company's resourc es. Financial reporting goals: The construct gives guida nce on the consistent production of reliable financial reports. Compliance goals: The guidance creates a topology of the company’s compliance requirements as they relate to industry regulations or legal requirements for publi c entities. coso内部操纵框架提出三大目标，即运营的效率和效果,财务报告的可靠性,以及遵守适用的法律和规章 五大要素 1。操纵环境