下载文档原格式
coso模型的五个基本要素COSO模型是指控制对象、控制环境、风险评估、监控活动和信息与沟通这五个基本要素。
本文将围绕这五个要素展开阐述,探讨其在企业内部控制中的作用和重要性。
一、控制对象控制对象是指企业为达成其目标而采取的行动或实施的措施。
在COSO模型中,控制对象是企业内部控制的核心,也是衡量内控有效性的重要标准。
控制对象包括财务报告、运营效率、合规性和资产保护等方面。
企业应根据自身情况确定重点关注的控制对象,并制定相应的控制措施,以确保其在合理范围内实现预期目标。
二、控制环境控制环境是指企业内部控制的基础,包括管理层的态度、行为和道德价值观等方面。
良好的控制环境能够为企业提供明确的方向和支持,有助于形成有效的内部控制体系。
同时,控制环境还涉及到企业的组织结构、人员配备、培训和激励机制等方面。
企业应积极营造良好的控制环境,为内部控制的有效实施奠定基础。
三、风险评估风险评估是指对企业面临的各种潜在风险进行识别、评估和管理的过程。
在COSO模型中,风险评估是内部控制的核心环节之一。
企业应通过风险评估,识别出可能对企业目标产生重大影响的风险,并采取相应的控制措施进行管理。
风险评估应持续进行,及时调整控制策略,以应对外部环境的变化和内部控制的不足。
四、监控活动监控活动是指对企业内部控制的执行进行持续监督和评估的过程。
在COSO模型中,监控活动是确保内部控制有效性的重要手段。
监控活动包括内部审计、管理层审查和自我评估等。
企业应建立健全的监控机制,确保内部控制的执行符合预期,并及时发现和纠正潜在的问题和缺陷。
同时,监控活动还可以提供有关内部控制的反馈信息,为管理层决策提供参考依据。
五、信息与沟通信息与沟通是指企业内部控制中信息的获取、处理和传递的过程。
在COSO模型中,信息与沟通是内部控制的基石,也是内外部利益相关者进行有效沟通的重要途径。
企业应建立有效的信息系统,确保信息的准确性、及时性和可靠性。
同时,企业还应加强内外部信息的沟通,与利益相关者保持密切联系,及时了解和回应各方关切,提高内部控制的透明度和可信度。
coso在其《内部控制—整合框架》(2013),确定的内
部控制目标
COSO在其《内部控制—整合框架》(Internal Control-Integrated Framework,简称ICIF)中确定了五大内部控制目标,分别是:
1. 经营的效率和效果:即经济有效地使用企业资源,以最优方式实现企业的目标。
2. 财务报告的可靠性:即确保财务报告的准确性、完整性和及时性,符合会计准则和法规要求。
3. 遵守适用的法律法规:即遵守所有适用的法律、法规、规章和合同协议等,确保企业的合法合规经营。
4. 保障资产安全:即采取措施保护资产,防止资产损失、被盗或被滥用。
5. 保障信息的可靠性:即确保信息完整、准确、可靠和及时,以满足内部和外部信息使用者的需求。
COSO框架中的五大目标是相互关联、相互支持的,确保企业在经营管理过程中保持合规、高效和可靠。
这些目标的实现需要通过设计、执行和维护有效的内部控制系统来实现。
coso内部控制目标(实用版)目录1.COSO 内部控制的定义与重要性2.COSO 内部控制的五大目标3.实现 COSO 内部控制目标的挑战与对策4.COSO 内部控制目标对企业的意义正文【COSO 内部控制的定义与重要性】COSO(Committee of Sponsoring Organizations of the Treadway Commission,COSO 委员会)是一个由美国各大会计师事务所、内部审计师协会和企业联合组成的非营利性组织。
COSO 成立于 1977 年,旨在通过制定内部控制框架,帮助企业更有效地管理和监控企业风险。
内部控制是一个企业管理的重要环节,它涉及企业内部的组织结构、资源分配、工作流程和信息系统等方面,以确保企业达成既定目标。
【COSO 内部控制的五大目标】COSO 内部控制框架包括五大目标,分别是:1.合理保证企业财务报告的可靠性和合规性:内部控制需要确保企业的财务报告真实、完整、准确,并符合相关法规、法规和会计准则。
2.提高经营效率和效果:通过内部控制,企业可以合理配置资源、提高工作效率,从而实现经营目标。
3.保护企业资产安全:内部控制需要确保企业资产免受未经授权的使用、盗窃、滥用或损失。
4.促进信息的及时、准确传递:内部控制应确保企业内部的信息沟通畅通,决策者可以及时获得有效信息,以便做出正确决策。
5.增强企业对风险的防范能力:内部控制需要帮助企业识别、评估和管理各种风险,确保企业在面临风险时能够采取有效措施,降低损失。
【实现 COSO 内部控制目标的挑战与对策】实现 COSO 内部控制目标面临诸多挑战,如企业文化、组织结构、人力资源等方面的问题。
为应对这些挑战,企业可以采取以下对策:1.强化内部控制意识:企业应将内部控制理念融入企业文化,提高全体员工的内部控制意识。
2.完善组织结构:企业应根据自身实际情况,建立健全内部控制组织体系,明确各部门和岗位的职责与权限。
财务舞弊、内部控制、coso 内部控制框架 今天要一起去探索一些有趣又重要的知识,它们就像是一个神秘的宝藏世界,和我们生活中的很多事情都有关系。这个宝藏世界里有三个特别的“宝贝”,它们就是财务舞弊、内部控制和COSO内部控制框架。
财务舞弊:就像调皮的小怪兽。 想象一下,在一个公司里,钱就像是一堆美味的糖果,大家都要按照规则来分和用。可是,有些坏家伙就像调皮的小怪兽,他们不遵守规则,想要偷偷多拿一些糖果。这就是财务舞弊。
比如说,有一个卖玩具的小店。店主本来应该老老实实地记录每天卖出去多少玩具,收了多少钱。可是,他特别贪心,想要更多的钱。于是,他就偷偷地把一些卖玩具的钱藏起来,不记在账本上。这样,当别人查账本的时候,就会以为他赚的钱没有那么多,而他却偷偷地把藏起来的钱装进了自己的口袋。这是不是很不好?财务舞弊就像这样,会让公司受到很大的伤害,就像小怪兽破坏了我们的美好家园一样。
内部控制:公司的神奇防护盾。 那有没有办法对付这些调皮的小怪兽?当然有!这时候,内部控制就像一个神奇的防护盾出现了。
还是拿那个卖玩具的小店来说。为了不让店主偷偷藏钱,小店可以制定一些规则。比如说,每天卖玩具的钱都要放进一个专门的盒子里,而且要有两个人一起管这个盒子,一个人放钱,一个人记录。这样,两个人就可以互相监督,要是有人想偷偷藏钱,另一个人就会发现。这就是内部控制的一种。
内部控制就像是给公司穿上了一层保护衣,让那些想要搞财务舞弊的小怪兽没办法轻易得逞。它能让公司的钱更安全,让公司更好地发展。
COSO内部控制框架:超级防护秘籍。 那COSO内部控制框架又是什么?它就像是一本超级防护秘籍,告诉公司怎么把防护盾变得更厉害。
这本秘籍里有很多有用的方法。比如说,它会告诉公司要明确每个人的职责。就像在学校里,班长负责管纪律,学习委员负责组织学习一样,公司里的每个人也都有自己的工作。这样,大家就不会乱成一团,也不容易有人趁机搞鬼。
COSO报告概述COSO是全国反对虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。
根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。
2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。
SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架")。
这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。
1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated Framework)报告,即通称的COSO报告。
该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。
COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
COSO对内部控制五要素的解释
一、环境的要素
环境的要素涉及内部控制的范围、目标、政策和责任,以及实施控制所必需的资源,而这些都要服从组织的一致性原则。
1、组织有责任确定和维护适当的内部控制环境,支持有效的内部控制系统,以及完善制度,确保实施有效的内部控制。
2、组织的目标是指其期望实现的内部控制,从而提高组织绩效,确保安全和有效的资源使用,以及满足监管要求。
3、为了实现目标,组织必须制定和实施恰当的政策和程序。
这些政策和程序将明确有关的活动、任务和责任,并保持实施控制的一致性。
4、实施有效的内部控制,需要一定的资源,包括组织财务、人力资源和信息技术等。
而且,这些资源必须真正用于支持和维护有效的内部控制。
二、控制的要素
控制的要素是指组织实施内部控制所采用的具体方法,其中包括预防性控制、检测性控制、治理性控制、信息系统控制和支持性控制。
1、预防性控制是组织采取的控制措施,以防止或减少可能发生的有害事件,它能够有效地减少一些可能发生的风险,因此有助于组织实现其目标。
coso内部控制框架和风险管理框架摘要:I.简介- 引入COSO 内部控制框架和风险管理框架II.COSO 内部控制框架- 定义COSO 内部控制框架- COSO 内部控制框架的目标- COSO 内部控制框架的五大要素III.COSO 风险管理框架- 定义COSO 风险管理框架- COSO 风险管理框架的目标- COSO 风险管理框架的八大要素IV.COSO 内部控制框架和风险管理框架的关系- 比较COSO 内部控制框架和风险管理框架- COSO 内部控制框架和风险管理框架的整合V.实施COSO 框架的挑战与展望- 实施COSO 框架的挑战- COSO 框架在未来的发展正文:I.简介COSO(Committee of Sponsoring Organizations)是一个由多个组织成员组成的委员会,致力于为企业提供内部控制和风险管理的指导。
本文将重点介绍COSO 内部控制框架和风险管理框架,以及它们之间的关系。
II.COSO 内部控制框架COSO 内部控制框架是一个为实现企业目标而设计的程序和方式,旨在提供合理的保证。
它包括以下五个要素:1.控制环境:包括员工的正直、道德价值观和能力,管理当局的理念和经营风格,以及组织结构和开发员工的方法等。
2.风险评估:为了达成组织目标而对相关的风险进行的识别和分析。
3.控制活动:在风险评估的基础上,采取措施降低风险。
4.信息与沟通:确保信息在企业内部和与外部利益相关者之间准确、及时地传递。
5.监督与评价:对内部控制系统的有效性和效率进行持续的监控和评估。
III.COSO 风险管理框架COSO 风险管理框架是一个为实现企业目标而设计的程序和方式,旨在提供合理的保证。
它包括以下八个要素:1.风险管理环境:为风险管理提供适当的基础,包括企业价值观、道德观、文化和领导力。
2.目标设定:明确企业的风险管理目标,确保与企业整体目标的一致性。
3.风险识别与评估:识别和分析可能影响企业目标实现的风险。
关于coso框架的参考文献参考文献:1. COSO框架的介绍:《内部控制一体化框架——COSO框架》2. COSO框架的定义和原理:《COSO框架的定义与原理研究》3. COSO框架在企业内部控制中的应用:《COSO框架在企业内部控制中的应用研究》4. COSO框架与风险管理的关系:《COSO框架与风险管理的关系研究》5. COSO框架与信息技术的结合:《COSO框架在信息技术环境下的应用研究》COSO框架是一个被广泛应用于企业内部控制的框架,其在管理和风险管理领域具有重要的意义。
本文将从COSO框架的介绍、定义和原理、在企业内部控制中的应用、与风险管理的关系以及与信息技术的结合等方面进行探讨。
COSO框架是由美国管理会计学会(COSO)制定的一套内部控制一体化框架,旨在帮助企业建立有效的内部控制体系。
COSO框架主要包括五个组件,分别是控制环境、风险评估、控制活动、信息与沟通以及监督。
这些组件相互关联,共同构建起企业的内部控制体系。
COSO框架的定义和原理研究了该框架的核心概念和基本原理。
该研究指出,COSO框架是基于风险管理和内部控制的基本原理而建立的,通过明确企业的目标、评估风险、设计和实施控制活动以及监督和改进内部控制来实现企业的目标。
第三,COSO框架在企业内部控制中的应用研究了该框架在实际运作中的应用情况。
研究发现,COSO框架能够有效地帮助企业建立和完善内部控制体系,提升企业的管理水平和风险管理能力。
通过合理应用COSO框架,企业能够更好地实现目标,提高运营效率,降低风险。
第四,COSO框架与风险管理的关系研究了该框架在风险管理中的应用。
COSO框架将风险评估作为内部控制体系的一个重要组成部分,通过评估和管理风险,帮助企业识别潜在的风险,制定相应的控制措施,并及时采取行动,以降低风险产生的可能性和影响。
COSO框架与信息技术的结合研究了该框架在信息技术环境下的应用。
现代企业越来越依赖于信息技术来支持业务运营,因此COSO框架需要与信息技术相结合,建立起适应信息技术环境下的内部控制体系。
新COSO企业内部控制整合框架培训材料COSO(企业内部控制整合框架)是一个由五个基本组件构成的框架,这些组件相互交互,共同帮助组织达到其目标。
在2024年,COSO发布了其最新版本的企业内部控制整合框架。
本次培训材料将重点介绍这个新的框架,并解释其各个组件和相关原则。
I.引言-COSO的历史和背景-为什么需要企业内部控制整合框架-新COSO框架的目标和重要性II.COSO企业内部控制整合框架概览-新COSO框架的五个基本组件1.控制环境2.风险评估3.控制活动4.信息与沟通5.监控活动-这些组件的相互关系和交互作用-框架的原则和共性III.控制环境-控制环境的定义和目的-具体原则和实施措施:1.组织的整体态度和风险意识2.领导者的角色和责任3.道德和道义价值观4.职工招聘和培训机制5.以人为本的文化IV.风险评估-风险评估的定义和目的-具体原则和实施措施:1.建立风险评估和控制目标2.识别和评估内外部风险3.记录和分析风险信息4.监测和应对潜在风险V.控制活动-控制活动的定义和目的-具体原则和实施措施:1.执行和支持内部控制政策2.建立有效的业务流程和操作程序3.使用适当的技术和方法来实施控制4.进行适当的授权和监督VI.信息与沟通-信息与沟通的定义和目的-具体原则和实施措施:1.识别和获取必要的信息2.使用适当的技术和工具来收集和存储信息3.进行适当的信息处理和分析4.建立有效的内部和外部沟通渠道VII.监控活动-监控活动的定义和目的-具体原则和实施措施:1.进行持续的内部控制评估2.监测内部控制的有效性和合规性3.培训和教育员工如何进行内部控制4.评估和纠正发现的问题和异常VIII.总结和建议-总结新COSO框架的重要内容-建议组织如何应用这个框架,并取得明显的内部控制效益-提供培训参与者问答环节,解答关于框架的疑问和提供实践建议。
通过此次培训,参与者将能够全面了解新COSO框架的重要概念和原则,并能够开始在组织内部应用这个框架。
一、COSO内部控制体系概要内部控制的内容,归根结底是由基本要素组成的。
这些要素及其构成方式,决定着内部控制的内容与形式。
设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机组合。
COSO报告将内部控制定义为:内部控制是一个过程,它受到董事会、管理人员和其他职员的影响,以期为实现经营的效果和效率、财务报告的可靠性及遵守相关的法律法规提供合理保证。
早期的内控制度一般只强调两项目标,一是财务报告的可靠性目标,二是合规性目标。
COSO 报告在此基础上对企业内部控制的目标进行了完善。
COSO内控制度的首要目标是为了合理确保经营的效果和效率(基本经济目标,包括绩效、利润目标和资源的安全)。
其后才是保证财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和遵循相应的法律法规这两个传统的内控目标。
究其原由,乃是因为任何一个企业管理层的职责,都是要拟订相应目标并通过合理配置自身的人力、物质资源以达到这些目标。
内部控制制度实际上也就是为了满足管理层的这些需要而制定的。
二.内部控制的组成要素COSO报告提出,内部控制由五个要素组成的,即控制环境、风险评估、控制活动、信息与沟通和监控。
五要素中,各个要素有其不同的功能,内部控制并非五个要素的简单相加,而是由这些相互联系、相互制约、相辅相成的要素,按照一定的结构组成的完整的、能对变化的环境做出反应的系统。
控制环境是整个内控系统的基石,支撑和决定着风险评估、控制活动、信息传递和监督,是建立所有事项的基础;实施风险评估进而管理风险是建立控制活动的重点;控制活动是内部控制的主要组成部分;信息传递贯穿上下,将整个内控结构凝聚在一起,是内部控制的实质;监督位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。
企业都面临来自内部和外部的不同风险,对这些风险都必须加以评估。
风险评估是管理层识别、分析实现目标过程中所面临的风险,从而制定决定如何管理风险的制度基础。
它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
风险评估的前提条件,是在各个管理层次上制定协调一致的目标。
在管理当局找出风险并采取必要措施之前,首先要确定目标。
内部控制在这方面的目标主要是,在整个组织内部制定协调一致的目标,并找出关键性的成功因素。
确定和分析风险的过程是一个持续的过程,它是有效内部控制的一个关键性因素。
内部控制系统需要监控。
监控是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程。
不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。
监控活动由持续监控和个别评估组成,它为企业内部控制能持续有效运作提供保证。
持续的监控活动在营运过程中发生,包括例行的管理和监控活动,以及其他员工为履行其职务所采取的行动。
尽管持续监控程序可以有效的评价内部控制体系,但企业有时需要组织个别评估以直接监视控制系统的有效性,这种做法还可对持续性监控程序加以评估。
COSO报告认为,企业内部每一成员在实施内部控制方面都扮演着一定的角色,对内部控制也都负有一定的责任,报告也对企业中各层次人员的控制职责做出如下具体设计:管理层:CEO对整个控制系统负责。
董事会:管理层对董事会负责,由董事会设计治理结构,指导监管的进行。
内部审计师:内部审计对评价控制系统的有效性具有重要作用,对公司的治理结构行使着监管的职能。
内部其他人员。
明确各自的职责,积极主动参与、配合内部控制制度的实施。
外部人员:公司的外部人员也有助于控制目标的实现。
而且由于其相对独立于企业的身份,更具有可靠性。
COSO报告指出:内部控制实际上只能帮助而并不能保证基本经营目标的实现,它存在很多固有的局限因素,具体如下:成本限制。
内部控制的设计和运行需要耗费人力、物力,这就是它本身的成本。
内部控制越完善,其所需成本就越高。
如果这个成本超过企业风险或错误可能造成的损失和浪费的话,无论此时的内控制度有多么完善,则毫无疑问这样都是不经济的,也是不可取的。
人为错误。
无论设计多么完美的内部控制系统,都会因设计人经验和知识水平的限制而有所缺陷。
同时,执行人员的失误,如粗心大意、判断失误、对指令有误解等,也可能会使内部控制系统发挥不出其应用的作用。
串通舞弊。
内部控制的制约机能,是担当不兼容职务的人员相互验证、共同见证的结果。
在实际工作中,如果处于不兼容职务上的有关人员相互串通、相互勾结,就失去了内部控制中相互制约的基本功能,内部控制也就很难发挥作用了。
计划落后于变化。
企业是处在一个无时无刻不在变动的市场中的,但其内部控制制度一般都是为曾经发生、重复发生的业务而设计的,这也使其对不正常的或未能预料到的“例外”业务类型失去控制力。
三、内部控制与公司治理1.公司治理的概念。
公司治理,从狭义的角度进行理解,是指所有者主要是股东对经营者的一种监督与制衡机制,即通过一种制度安排,来合理地配置所有者与经营者之间的权利与责任关系。
若从广义角度进行理解,是指包含法律、文化等在内的有关企业控制权和剩余索取权分配的一整套制度安排,其决定企业目标的实现。
从主要功能上来说,公司治理的范围可以包括:股东、董事会――决策者;管理阶层――执行者;审计人员(包括内部审计人员及外部审计人员)――监督者;其他利益关系人(例如:顾客、供应商、债权人及员工等)――影响者等。
从这个角度来讲,内部审计人员应该在公司治理中占有一席之地。
因为沟通公司治理各功能主体的重要工具就是会计信息系统。
因此,会计信息系统本身是公司治理结构的组成部分,而且会计信息更严重地制约和影响着公司治理结构中其他制度安排效用的高低。
会计信息系统提供的会计信息的真实可靠是内外部激励机制正常运行的前提条件,而有效的审计监督制度是确保这一前提条件实现的关键。
外部审计对公司财务报表进行审计,并对其公允性发表审计意见,从而起到增强会计信息可信性的作用。
而内部审计处于公司内部,对于公司内部控制、管理经营活动、风险管理都有透彻深入的了解,与外部审计人员相比,内部审计对公司治理发挥的作用在层面上更为深入,在范围上更为广泛。
2、公司治理的核心是内部控制。
在上述公司治理定义中,我们可以看到,公司治理这一制度安排所决定的企业目标、决策人及风险和收益的分配都围绕风险展开;风险直接影响目标的实现;而决策人对风险的控制和管理直接决定目标是否能够实现及实现的程度;治理结构中各部分的人员需要承担所分配的一定风险并获得相应的收益。
另外,从解释公司治理问题产生的经济学观点来看,无论是契约理论中提及的不完备契约,还是信息经济学中提及的信息不对称,以及代理理论中提及的代理问题,这些引发公司治理产生的因素究其实质都属于风险,都是使企业目标无法实现的各种潜在的、可能发生的事件。
公司治理是组织应对风险的战略反应,其职责核心就是确保有效的内部控制方案的适当性,因此公司治理中包含一些战略性的内部控制的因素。
例如:公司董事会所设定的公司经营管理基调是风险偏好型或是风险规避型;再如公司高层管理当局(CEO)在经营风格、理念、管理哲学中包含的风险态度等。
这些都涉及到内部控制的基本理念。
因此,内部控制是公司治理的核心。
四、内部审计是内部控制的重要部分1.内部控制与内部控制的联系日趋紧密。
在决定内部控制政策,并在此基础上评估特定环境中内部控制的构成时,董事会应对诸多风险问题进行深入思考。
比如:公司面临风险的性质和程度;公司可承受风险的程度和类型;风险发生的可能性;公司减少事故的能力及对已发生风险的影响;实施特殊风险控制的成本,以及从相关风险管理中获取的利益。
执行风险控制政策是管理层的职责,在履行其职责的过程中,管理层应确认、评价公司所面临的风险,并执行董事会所设计、运行的内部控制政策。
2.内部审计理论的新发展。
顺应内部审计理论及实务的变化,国际内部审计师协会(IIA)在1999年对内部审计重新定义,即“内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。
它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善,帮助组织实现其目标。
”这一新定义将内部审计的范围延伸到风险管理和公司治理,认为内部审计是针对内部控制及治理过程的有效性进行评价和改善所必需的。
3、内部控制是内部审计的主要职责。
随着现代企业内部控制时代的来临,内部审计的工作重点也发生了变化,现代内部审计除了关注传统的内部控制之外,更加关注有效的内部控制机制和健全的公司治理结构。
在风险导向内部审计的观念下,年度审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,使用风险管理原则改变审核过程。
风险管理成为组织中的关键流程,促使内部审计的工作重点不仅是测试控制,而且包括确认风险及测试管理风险的方法。
在风险导向的内部审计中,控制仍然重要,但分析、确认、揭示关键性的经营风险,才是内部审计的焦点。
内部审计作为内部控制的重要组成部分,其在风险管理中发挥不可替代的独特作用,主要有以下几方面:(1)能够客观地、从全局的角度管理风险。
风险在企业内部具有感染性、传递性、不对称性等特征,即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担,而会传递到其他部门,最终可能使整个企业陷入困境。
因此对风险的认识、防范和控制需要从全局考虑,而各业务部门又很难做到这一点。
内部审计人员不从事具体业务活动,独立于业务管理部门,这使得他们可以从全局出发、从客观的角度对风险进行识别,及时建议管理部门采取措施控制风险。
(2)控制、指导企业的风险策略。
由于内部审计部门处于企业的董事会、总经理与各职能部门之间,内部审计人员能够充当企业长期风险策略与各种决策的协调人。
通过对长期计划与短期计划的调节,内部审计人员可以调控、指导企业的风险管理策略。
(3)内部审计部门的建议更易引起重视。
内部审计部门独立于管理部门,其风险评估的意见可以直接上报给董事会,这会加强管理当局对内部审计部门意见的重视程度。
五、在风险管理目标下,公司治理与内部审计的整合COSO于2001年起着手进行企业风险管理研究,并力图建立一个类似于内部控制框架的、具有理论与实践意义的风险管理框架,其在为企业风险管理研究项目制定的目标中明确指出:风险管理框架必须和内部控制框架相协调,把控制目标的建立嵌入到某种形式的风险管理过程中去。
而在内部控制方面,将领域扩展到控制环境等“软控制”要素上时,就决定了公司治理与内部控制的相互交汇。
在COSO报告的内部控制定义中,特别提出“内部控制过程受组织的董事会、管理层和其他人员影响”,由此可见“软控制”因素对组织内部控制的影响是深远的。
