coso《内部控制-整合框架》执行纲要2013版(中英文对照)

Internal Control Integrated Framework 内 部 控 制 整 合 框 架 Executive Summary 执 行 纲 要 Internal control helps entities achieve important objectives and sustain and improve performance. COSOs Internal ControlIntegrated Framework (Framework) enables organizations to effectively and efficiently develop systems of internal control that adapt to changing business and operating environments, mitigate risks to acceptable levels, and support sound decision making and governance of the organization. 内 部 控 制 帮 助 组 织 达 到 重 要 的 目 标 ， 维 持 和 改 进 业 绩 。 科 索 委 员 会 的 内 部 控 制 整 合 框 架 使 得 组 织 能 够 开 发 有 效 果 且 有 效 率 的 内 部 控 制 体 系 ， 该 体 系 且 能 够 适 应 变 化 的 商 业 和 运 营 环 境 ， 将 风 险 降 低 到 可 接 受 的 水 平 ， 并 且 促 进 规 范 决 策 和 组 织 的 治 理 。 Designing and implementing an effective system of internal control can be challenging; operating that system effectively and efficiently every day can be daunting. New and rapidly changing business models, greater use and dependence on technology, increasing regulatory requirements and scrutiny, globalization, and other challenges demand any system of internal control to be agile in adapting to changes in business, operating and regulatory 第 1 页 environments. 设 计 并 实 施 一 套 有 效 的 内 部 控 制 体 系 是 充 满 挑 战 的 ； 每 天 保 持 制 度 运 行 的 效 果 和 效 率 会 让 人 可 望 而 不 可 及 。 崭 新 且 不 断 更 新 的 商 业 模 型 ， 对 技 术 的 深 入 应 用 和 依 赖 ， 日 益 繁 多 的 监 管 要 求 和 检 查 ， 全 球 化 和 其 他 挑 战 要 求 每 一 个 组 织 的 内 部 控 制 体 系 都 能 够 更 加 敏 捷 地 适 应 不 断 变 化 的 商 业 、 运 营 和 监 管 的 环 境 。 An effective system of internal control demands more than rigorous adherence to policies and procedures: it requires the use of judgment. Management and boards of directors1 use judgment to determine how much control is enough. Management and other personnel use judgment every day to select, develop, and deploy controls across the entity. Management and internal auditors, among other personnel, apply judgment as they monitor and assess the effectiveness of the system of internal control. 一 套 有 效 的 内 部 控 制 体 系 除 了 对 制 度 和 流 程 严 格 遵 守 外 ， 还 要 求 判 断 力 。 管 理 层 和 董 事 会 通 过 其 判 断 来 决 定 多 少 控 制 是 充 分 的 。 管 理 层 和 其 他 员 工 每 天 通 过 其 判 断 ， 在 组 织 内 选 取 ， 推 进 和 实 施 各 类 控 制 。 管 理 层 和 内 部 审 计 师 ， 以 及 其 他 的 员 工 ， 通 过 其 判 断 来 监 控 和 测 试 内 部 控 制 体 系 的 有 效 性 。 The Framework assists management, boards of directors, external stakeholders, and others interacting with the entity in their respective duties regarding internal control without being overly prescriptive. It does so by 1 The Framework uses the term “board of directors,” which encompasses the governing body, including board, board of trustees, general partners, owner, or supervisory board. 本 框 架 使 用 “董 事 会 ”一 词 ， 泛 指 治 理 层 ， 包 括 ： 董 事 会 ， 理 事 会 ， 一 般 合 伙 人 ， 所 有 者 和 监 事 会 等 。 第 2 页 providing both understanding of what constitutes a system of internal control and insight into when internal control is being applied effectively. 本 框 架 在 内 部 控 制 方 面 ， 对 管 理 层 ， 董 事 会 ， 外 部 的 利 益 相 关 者 和 其 他 与 组 织 产 生 互 动 关 系 的 相 关 方 有 所 帮 助 ， 且 不 会 过 分 死 板 ； 而 这 有 赖 于 对 内 部 控 制 体 系 构 成 要 素 的 理 解 ， 有 赖 于 对 内 部 控 制 体 系 能 够 有 效 实 施 的 时 机 的 洞 见 。 For management and boards of directors, the Framework provides: 对 于 管 理 层 和 董 事 会 ， 本 框 架 提 供 ： A means to apply internal control to any type of entity, regardless of industry or legal structure, at the levels of entity, operating unit, or function 一 套 工 具 ， 将 内 部 控 制 推 广 到 各 类 型 的 组 织 ， 无 论 行 业 或 法 律 形 式 ， 无 论 在 组 织 层 面 ， 经 营 单 元 层 面 或 职 能 层 面 ； A principles-based approach that provides flexibility and allows for judgment in designing, implementing, and conducting internal controlprinciples that can be applied at the entity, operating, and functional levels 一 种 原 则 导 向 的 方 法 ， 能 够 灵 活 设 计 ， 实 施 和 推 进 内 部 控 制 ， 并 留 有 判 断 空 间 这 些 原 则 可 在 组 织 层 面 、 运 营 层 面 和 职 能 层 面 应 用 ； Requirements for an effective system of internal control by considering 第 3 页 how components and principles are present and functioning and how components operate together 一 些 要 求 ， 具 体 阐 述 有 效 的 内 部 控 制 体 系 的 要 素 和 原 则 是 如 何 存 在 和 发 挥 作 用 ， 如 何 在 一 起 产 生 协 调 作 用 ； A means to identify and analyze risks, and to develop and manage appropriate responses to risks within acceptable levels and with a greater focus on anti-fraud measures 一 套 工 具 ， 识 别 和 分 析 风 险 ， 开 发 和 管 理 合 适 的 风 险 应 对 措 施 将 风 险 控 制 在 可 接 受 的 水 平 ， 且 更 关 注 反 舞 弊 措 施 ； An opportunity to expand the application of internal control beyond financial reporting to other forms of reporting, operations, and compliance objectives 一 个 机 会 ， 将 基 于 财 务 报 告 的 内 部 控 制 扩 大 应 用 范 围 ， 满 足 各 种 其 他 的 报 告 、 运 营 和 遵 循 目 标 ； An opportunity to eliminate ineffective, redundant, or inefficient controls that provide minimal value in reducing risks to the achievement of the entitys objectives 一 个 机 会 ， 清 理 那 些 在 降 低 风 险 方 面 价 值 不 大 的 无 效 ， 冗 余 和 低 效 的 控 制 。 For external stakeholders of an entity and others that interact with the entity, application of this Framework provides: 第 4 页 对 于 外 部 利 益 相 关 者 和 组 织 的 其 他 相 关 方 ， 本 框 架 的 应 用 可 使 其 ： Greater confidence in the board of directors oversight of internal control systems 对 于 董 事 会 针 对 内 部 控 制 的 监 管 更 有 信 心 ； Greater confidence regarding the achievement of entity objectives 对 于 组 织 实 现 目 标 更 有 信 心 ； Greater confidence in the organizations ability to identify, analyze, and respond to risk and changes in the business and operating environments 对 组 织 识 别 ， 分 析 和 应 对 来 自 商 业 与 运 营 环 境 风 险 与 变 化 的 能 力 更 有 信 心 ； Greater understanding of the requirement of an effective system of internal control 更 了 解 有 效 的 内 部 控 制 体 系 的 具 体 要 求 ； Greater understanding that through the use of judgment, management may be able to eliminate ineffective, redundant, or inefficient controls 更 了 解 管 理 层 如 何 通 过 其 判 断 清 理 那 些 无 效 ， 冗 余 和 低 效 的 控 制 。 Internal control is not a serial process but a dynamic and integrated process. The Framework applies to all entities: large, mid-size, small, for-profit and not-for-profit, and government bodies. However, each organization may choose to implement internal control differently. For 第 5 页 instance, a smaller entitys system of internal control may be less formal and less structured, yet still have effective internal control. 内 部 控 制 不 是 一 个 按 部 就 班 的 过 程 而 是 一 个 动 态 和 整 合 的 过 程 。 本 框 架 可 以 适 用 于 各 类 型 的 组 织 ： 大 型 ， 中 型 或 小 型 ； 盈 利 ， 非 盈 利 或 政 府 机 构 。 然 而 ， 每 个 组 织 都 可 以 有 权 选 择 ， 实 施 不 同 的 内 部 控 制 。 例 如 ， 一 个 小 型 组 织 的 内 控 体 系 可 以 不 那 么 正 式 和 结 构 清 晰 ， 但 仍 保 持 有 效 。 The remainder of this Executive Summary provides an overview of internal control, including a definition, categories of objective, description of the requisite components and associated principles, and requirement of an effective system of internal control. It also includes a discussion of limitationsthe reasons why no system of internal control can be perfect. Finally, it offers considerations on how various parties may use the Framework. 以 下 ， 本 文 将 对 内 部 控 制 提 供 总 览 ， 包 括 定 义 ， 各 类 别 的 目 标 ， 必 要 要 素 和 相 关 原 则 的 描 述 ， 以 及 对 一 个 有 效 内 部 控 制 体 系 的 要 求 。 本 文 也 将 讨 论 内 部 控 制 的 局 限 性 为 什 么 没 有 一 个 内 部 控 制 体 系 是 完 美 的 。 第 6 页 Defining Internal Control 定 义 内 部 控 制 Internal control is defined as follows: 内 部 控 制 定 义 如 下 ： Internal control is a process, effected by an entitys board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance. 内部控制是一套流程，受组织的董事会，管理层和其他员工所影响， 被设计并用来为组织提供合理保证，使其实现运营，报告和遵循目 标。 This definition reflects certain fundamental concepts. Internal control is: 以 上 定 义 体 现 了 一 些 基 础 概 念 。 内 部 控 制 是 ： Geared to the achievement of objectives in one or more categoriesoperations, reporting, and compliance 使组织实现多个种类的目标，如运营，报告和遵循； A process consisting of ongoing tasks and activitiesa means to an end, not an end in itself 一个持续不断的过程，包括各种任务和活动一个达到目的的 手段，而非目的本身； 第 7 页 Effected by peoplenot merely about policy and procedure manuals, systems, and forms, but about people and the actions they take at every level of an organization to affect internal control 受人的影响 不 仅 仅 是 制 度 和 流 程 手 册 ， 体 系 和 表 单 ， 而 是 组 织 各 个 层 级 的 人 和 他 们 所 采 取 的 行 动 ； Able to provide reasonable assurancebut not absolute assurance, to an entitys senior management and board of directors 可 以 向 组 织 的 高 级 管 理 层 和 董 事 会 提 供 合 理 保 证 而 非 绝 对 保 证 ； Adaptable to the entity structureflexible in application for the entire entity or for a particular subsidiary, division, operating unit, or business process 可以适应组织的结构 可 灵 活 应 用 于 整 个 组 织 或 一 个 分 支 机 构 ， 业 务 部 ， 运 营 单 元 或 业 务 流 程 。 This definition is intentionally broad. It captures important concepts that are fundamental to how organizations design, implement, and conduct internal control, providing a basis for application across organizations that operate in different entity structures, industries, and geographic regions. 这 个 定 义 被 设 定 的 包 含 广 泛 ， 包 括 了 关 于 组 织 如 何 设 计 ， 实 施 和 推 进 内 部 控 制 的 一 些 重 要 的 基 础 概 念 ， 为 不 同 的 组 织 架 构 ， 行 业 和 地 理 区 域 的 组 织 提 供 了 操 作 支 持 。 第 8 页 Objectives 目 标 The Framework provides for three categories of objectives, which allow organizations to focus on differing aspects of internal control: 本 框 架 提 供 了 三 个 类 型 的 目 标 ， 使 得 组 织 可 以 关 注 于 内 部 控 制 的 不 同 方 面 ： Operations ObjectivesThese pertain to effectiveness and efficiency of the entitys operations, including operational and financial performance goals, and safeguarding assets against loss. 运 营 目 标 组 织 运 营 的 效 果 和 效 率 ， 包 括 运 营 和 财 务 绩 效 目 标 ， 资 产 安 全 不 受 损 失 。 Reporting ObjectivesThese pertain to internal and external financial and non-financial reporting and may encompass reliability, timeliness, transpar- ency, or other terms as set forth by regulators, recognized standard setters, or the entitys policies. 报 告 目 标 内 、 外 部 的 财 务 和 非 财 务 报 告 的 可 靠 性 、 及 时 性 、 透 明 度 ， 以 及 其 他 监 管 者 、 公 认 的 标 准 制 定 机 构 和 组 织 政 策 所 要 求 的 方 面 。 Compliance ObjectivesThese pertain to adherence to laws and regulations to which the entity is subject. 遵 循 目 标 遵 守 对 组 织 适 用 的 法 律 法 规 。 第 9 页 Components of Internal Control 内 部 控 制 的 要 素 Internal control consists of five integrated components. 内 部 控 制 包 括 五 个 相 关 关 联 的 要 素 。 Control Environment 控 制 环 境 The control environment is the set of standards, processes, and structures that provide the basis for carrying out internal control across the organization. The board of directors and senior management establish the tone at the top regarding the importance of internal control including expected standards of conduct. Management reinforces expectations at the various levels of the organization. The control environment comprises the integrity and ethical values of the organization; the parameters enabling the board of directors to carry out its governance oversight responsibilities; the organizational struc- ture and assignment of authority and responsibility; the process for attracting, developing, and retaining competent individuals; and the rigor around performance measures, incentives, and rewards to drive accountability for performance. The resulting control environment has a pervasive impact on the overall system of internal control. 控 制 环 境 是 一 套 标 准 、 流 程 和 结 构 ， 能 够 为 内 部 控 制 的 实 施 提 供 基 础 。 董 事 会 和 高 级 管 理 层 为 内 部 控 制 的 重 要 性 （ 包 括 期 待 的 行 为 准 则 ） 提 第 10 页 供 高 层 定 调 （ the tone at the top） 。 组 织 各 个 层 级 的 管 理 活 动 强 化 了 这 种 期 望 。 控 制 环 境 包 括 了 组 织 正 直 和 道 德 的 价 值 观 ； 促 进 董 事 会 行 使 公 司 治 理 的 监 控 职 责 的 机 制 ； 吸 引 、 开 发 和 保 留 人 才 的 机 制 ； 严 格 的 绩 效 衡 量 、 激 励 和 汇 报 机 制 以 保 证 绩 效 实 现 。 控 制 环 境 会 对 内 部 控 制 的 整 体 体 系 产 生 全 面 影 响 。 Risk Assessment 风 险 评 估 Every entity faces a variety of risks from external and internal sources. Risk is defined as the possibility that an event will occur and adversely affect the achievement of objectives. Risk assessment involves a dynamic and iterative process for identifying and assessing risks to the achievement of objectives. Risks to the achievement of these objectives from across the entity are considered relative to established risk tolerances. Thus, risk assessment forms the basis for determining how risks will be managed. 每 个 组 织 都 面 临 着 来 自 内 外 部 的 各 类 风 险 。 风 险 是 潜 在 事 件 发 生 并 对 组 织 实 现 其 目 标 产 生 负 面 影 响 的 可 能 性 。 风 险 评 估 包 括 了 根 据 组 织 要 实 现 的 目 标 ， 动 态 和 反 复 的 识 别 和 评 估 风 险 的 过 程 。 将 全 组 织 范 围 的 影 响 目 标 实 现 的 风 险 同 已 经 建 立 的 风 险 容 忍 度 一 同 考 量 后 ， 风 险 评 估 就 为 决 定 风 险 如 何 进 行 管 理 打 下 了 基 础 。 A precondition to risk assessment is the establishment of objectives, linked at different levels of the entity. Management specifies objectives within categories relating to operations, reporting, and compliance with sufficient 第 11 页 clarity to be able to identify and analyze risks to those objectives. Management also considers the suitability of the objectives for the entity. Risk assessment also requires management to consider the impact of possible changes in the external environment and within its own business model that may render internal control ineffective. 风 险 评 估 的 先 决 条 件 是 组 织 各 个 层 级 的 目 标 的 确 立 。 管 理 层 要 结 合 运 营 、 报 告 和 遵 循 的 三 大 类 目 标 ， 明 确 相 应 的 具 体 目 标 ， 以 便 识 别 和 分 析 相 关 的 风 险 。 管 理 层 也 要 考 虑 这 些 目 标 对 于 组 织 的 可 持 续 性 。 风 险 评 估 还 要 求 管 理 层 考 虑 可 能 导 致 内 控 失 效 的 外 部 环 境 和 内 部 商 业 模 式 的 可 能 变 化 。 Control Activities 控 制 活 动 Control activities are the actions established through policies and procedures that help ensure that managements directives to mitigate risks to the achievement of objectives are carried out. Control activities are performed at all levels of the entity, at various stages within business processes, and over the technology environment. They may be preventive or detective in nature and may encompass a range of manual and automated activities such as authorizations and approvals, verifications, reconciliations, and business performance reviews. Segregation of duties is typically built into the selection and development of control activities. Where segregation of duties is not practical, management selects and develops alternative control activities. 第 12 页 控 制 活 动 是 通 过 制 度 和 流 程 所 确 立 的 行 动 ， 旨 在 确 保 管 理 层 降 低 影 响 组 织 目 标 实 现 的 风 险 的 方 针 得 以 实 现 。 在 组 织 的 各 个 层 级 ， 业 务 的 各 个 环 节 ， 信 息 技 术 的 整 个 环 境 中 都 应 实 施 控 制 活 动 。 从 性 质 上 ， 可 以 是 预 防 性 的 ， 也 可 以 是 检 查 性 的 ； 应 覆 盖 手 工 和 自 动 控 制 ； 包 括 授 权 和 批 准 ， 复 核 ， 对 账 和 业 务 绩 效 评 估 。 不 相 容 职 责 分 离 也 是 典 型 的 应 选 取 和 推 进 的 控 制 活 动 。 如 果 不 相 容 职 责 分 离 无 法 实 施 ， 管 理 层 应 选 择 和 推 进 替 代 性 的 控 制 活 动 。 Information and Communication 信 息 与 沟 通 Information is necessary for the entity to carry out internal control responsibilities to support the achievement of its objectives. Management obtains or generates and uses relevant and quality information from both internal and external sources to support the functioning of other components of internal control. 信 息 对 于 组 织 而 言 ， 对 推 进 内 控 、 促 进 其 目 标 实 现 是 非 常 必 要 的 。 管 理 层 从 内 外 部 获 得 或 生 成 ， 并 且 使 用 相 关 的 有 质 量 的 信 息 来 支 持 内 部 控 制 其 他 要 素 的 正 常 运 转 。 Communication is the continual, iterative process of providing, sharing, and obtaining necessary information. Internal communication is the means by which information is disseminated throughout the organization, flowing up, down, and across the entity. It enables personnel to receive a clear message from senior management that control responsibilities must be taken seriously. 第 13 页 External communication is twofold: it enables inbound communication of relevant external information, and it provides information to external parties in response to requirements and expectations. 沟 通 是 一 个 持 续 和 不 断 重 复 的 提 供 、 分 享 和 获 得 必 要 的 信 息 的 过 程 ，。 内 部 沟 通 是 一 个 手 段 ， 使 得 信 息 能 够 在 整 个 组 织 向 上 、 向 下 和 横 向 扩 散 ， 能 够 帮 助 员 工 接 受 来 自 高 管 层 的 清 晰 的 信 息 控 制 的 职 责 必 须 认 真 实 施 。 外 部 沟 通 包 括 两 个 部 分 ： 将 外 部 的 相 关 信 息 传 入 组 织 内 部 ， 以 及 根 据 其 要 求 和 期 望 ， 提 供 信 息 给 外 部 的 相 关 方 。 Monitoring Activities 监 督 活 动 Ongoing evaluations, separate evaluations, or some combination of the two are used to ascertain whether each of the five components of internal control, including controls to effect the principles within each component, is present and functioning. Ongoing evaluations, built into business processes at different levels of the entity, provide timely information. Separate evaluations, conducted periodically, will vary in scope and frequency depending on assessment of risks, effectiveness of ongoing evaluations, and other management considerations. Findings are evaluated against criteria established by regulators, recognized standard-setting bodies or management and the board of directors, and deficiencies are communicated to management and the board of directors as appropriate. 持 续 的 评 价 ， 独 立 的 评 价 ， 或 者 两 者 的 某 种 组 合 可 以 用 来 确 认 内 部 控 制 的 五 个 要 素 以 及 每 个 要 素 下 的 原 则 是 否 存 在 并 发 挥 作 用 。 嵌 入 整 个 业 务 体 系 的 持 续 评 价 可 以 提 供 及 时 的 信 息 ； 独 立 的 评 价 需 要 定 期 开 展 ， 第 14 页 其 范 围 和 频 率 可 能 因 风 险 评 估 ， 持 续 评 价 的 有 效 程 度 以 及 管 理 层 的 其 他 考 虑 而 有 所 不 同 。 评 价 中 的 发 现 应 结 合 监 管 者 、 标 准 订 立 机 构 和 管 理 层 、 董 事 会 所 设 定 的 标 准 进 行 评 估 ； 缺 陷 应 当 视 情 况 传 递 给 管 理 层 和 董 事 会 。 第 15 页 Relationship of Objectives and Components 目 标 和 要 素 的 关 系 A direct relationship exists between objectives, which are what an entity strives to achieve, components, which represent what is required to achieve the objectives, and the organizational structure of the entity (the operating units, legal entities, and other). The relationship can be depicted in the form of a cube. 组 织 要 实 现 的 目 标 ， 为 了 实 现 目 标 所 必 须 的 要 素 ， 组 织 的 组 织 架 构 （ 如 运 营 单 元 ， 法 律 实 体 及 其 他 ） 这 三 者 之 间 存 在 着 直 接 的 关 系 。 这 个 关 系 可 以 以 一 个 立 方 体 的 形 式 展 现 。 The three categories of objectivesoperations, reporting, and complianceare represented by the columns. 运 营 、 报 告 和 遵 循 三 类 目 标 以 纵 列 表 示 。 The five components are represented by the rows. 内 部 控 制 的 五 个 要 素 以 横 行 表 示 。 An entitys organizational structure is represented by the third dimension. 组 织 的 组 织 架 构 以 第 三 维 表 示 。 第 16 页 Components and Principles 要 素 及 原 则 The Framework sets out seventeen principles representing the fundamental concepts associated with each component. Because these principles are drawn directly from the components, an entity can achieve effective internal control by applying all principles. 本 框 架 确 立 了 十 七 项 原 则 代 表 了 与 每 个 控 制 要 素 相 关 的 基 本 概 念 。 因