《COSO控制框架 中文版.doc》由会员分享,可在线阅读,更多相关《COSO控制框架 中文版.doc(102页珍藏版)》请在金锄头文库上搜索。
1、COSO内部控制框架目 录管理层概述 1总体构架 111 定义 132 控制环境 233 风险评估 334 控制活动 495 信息和沟通 596 监控 697 内部控制的局限 798 作用和职责 83附录A 学习本文的相关事项及背景知识 93B 方 法 体 系 99C 对定义的看法和使用 105D 反 馈 意 见 111E 术 语 119内部控制整体构架 管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。内部控制使管理层能够应对瞬息万变的经济和竞争环境,客户不
2、断变换的需求和偏好,并进行重组以利于公司的未来发展。内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。内部控制日益被视为诸多潜在问题的解决方案。什么是内部控制内部控制对不同的人有不同的含义。这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。由此造成的误解和期望值的差异往往给企业带来问题。一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。本文是针对管理层的需要和期望而写的。本文对内部控制的定义服务于以下目的:l 确立一个满足各
3、方需要通用的定义。l 提供一个标准无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:l 经营的效果和效率l 财务报告的可靠性l 法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。第三类目标指企业经营必须符合相关的法律法规。以上三类目标既相互独立又相互联系,分别代表不同的需求,需要对它们作专门研究。内部控制制度依据其
4、运行的有效性程度而有所不同。因此,这三类目标又可据此进行划分,如果董事会和经理层能够合理的保证:l 他们清楚地知道企业经营目标实现的程度l 公开财务报表的编制是可靠的l 企业适用的法律得到遵守虽然内部控制是一个过程,它的效果却表现为在某一时点上这一过程的状态。 内部控制包括五个相互联系的要素。它们源自管理层的经营方式,并与管理过程紧密相连。尽管此五项要素适用于各类企业,但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强,但其内部控制也可能是有效的。内部控制的五项要素为:l 控制环境控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提供了内部控制
5、的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。l 风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。l 控制活动控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不同部门中。它
6、们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。l 信息和沟通公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之间也需要有效
7、的沟通。l 监控内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连,因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制可以支持经营
8、质量和主动的授权,避免不必要的花费,并对环境的变化迅速作出反应。内部控制的三类目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标如经营的效率和效果需要五项要素共同发挥作用,以说明经营的内部控制是有效的。内部控制的定义受人为因素影响、提供合理保证的过程,这一内在基本的概念及其不同种类的的目标、内部控制要素、内控有效性评价准则、与之相关的讨论,构成这本内部控制基本构架的内容。内部控制能做什么内部控制有助于企业实现其业绩和利润目标,防止资源损失,提高财务报告的可靠性,督促企业遵守相关法律法规,避免企业名誉受到损害以
9、及受到其他不良影响。总之,内部控制有利于企业在即定轨道中前进,避免走弯路和遭遇突然袭击。内部控制不能做什么不幸的是,一些人对内部控制有不合实际的预期,他们存在以下幻想:l 内部控制可以确保企业的成功它能确保企业实现基本经营目标,至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提供给管理层关于企业成长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外,政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功,甚至不能保证生存。l 内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度,无论设计、运行多么
10、理想,都只能就企业目标的实现向管理层和董事会提供合理的,而非绝对的保证。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况:决策判断可能失误,简单的错误可能导致大纰漏。另外,控制可能因为两个以上人的相互勾结而趋于无效,而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实,即出于资源有限性的考虑,内部控制必须考虑成本收益的匹配。因此,尽管内部控制有助于企业实现其目标,但它并非万能药。角色和职责企业的每位员工都应担负内部控制的职责。l 经理层总裁应最终负责并具有内控系统的“所有权”。与其他人相比较,总裁制定了最高基调,这将影响诚信度
11、、道德品行以及构成一个积极的 控制环境的其他因素。在大公司,总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员,则向各部门负责人分配具体的控制措施和程序。在规模小些的公司,总裁常常身兼所有者和经理人双重角色,其影响也就更加直接。在任何情况下,对于金字塔式的职责分布结构,每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属,他们的控制行为切入企业经营的各部分。l 董事会经理层对董事会负责,董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境,留出足够的时间来完成董事会职责。不诚实的经理层有可能越
12、过内部控制,忽视或压制下属的信息反馈,并故意误报结果以掩盖其行径。一个强有力、活跃的董事会,特别是具备了有效的信息自下而上传递的渠道,以及完善的财务、法律和内审职能后,往往能识别和纠正这样的问题。l 内部审计人员内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性,内部审计在监控方面扮演重要角色。l 其他人员从某种程度上说,内部控制是企业中每个人的职责,因此应成为每个人工作职责中明示或暗示的部分。实际上,所有职员都在产出内控系统需用的信息,或在进行与内控有效运行相关的活动。而且,所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。一些企业外部人员
13、常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控,通过直接的财务报表审计和间接的管理建议,来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员,包括律师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员,不属于企业内控系统的一部分,也不对企业内控系统负责。本报告的组织结构本报告分四部分。第一部分“管理层总结”,是对内部控制总体构架的高度总结,是针对总裁和高级管理人员、董事会成员、律师和监管当局而写的。第二部分“总体构架”,对内部控制进行了定义,阐述其构成要素,为管理层、董事会及他人提供了评估内部控制有效性的准则。第三部分“外部团体报告”,是附件,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供了指导第四部分“评估工具”,提供了对内控系统进行评估的有用资料。本报告目的根据本报告所能采取的行动与当事人所处的位置和承担的职责有关:l 高级管理人员多数来此学习的管理人员相信其对企业能够基本控制。然而,许多人认为一些部门或控制环节的内控还处于发展阶段或需要进一步加强。没有人喜欢出漏子。本研究报告建议总裁创建一套内控系统的自我评价系统。运用此系统,总裁以及主要经营、财务管理人员就能够将注意力集中在关键问题上。一种方法是:总裁将部门负责人和业务骨干召集在一起讨论内部控制的初始评估方案,然后指导其他职员和上司讨论本报告
