COSO内部控制新框架(2013版).pdf

COSO内部控制新框架 敏于知敏于知 自COSO发布1992版框架以来，现今的商业环境已变得大为不同，新生产技术和复杂组织结构的不断涌现，以及愈加严格 的监管要求，促使企业在满足旧框架运营、合规、财务报告内控目标的基础上，越来越关注公司治理和风险管理，越来越重视 非财务报告内部控制。此外，近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响，也进一步要求加 强和完善内部控制标准。 以上这些因素都推动了COSO对已颁布二十年之久的原框架作出相应更新，以帮助企业能够高效果高效率地制定内部控制 系统，实现重要的业务目标并持续优化企业绩效；适应日益复杂和不断变化的商业环境，将风险降至可接受水平并且提高决策 信息的可靠性。 我国财政部亦在2012年5月对企业内部控制整体框架（征求意见稿）做出了积极的回应，并提出了相应的工作建议， 体现其对2013版框架的高度重视，“新框架代表了国际内部控制和风险管理领域的最新研究成果和发展趋势，对我国企业内 部控制规范体系的完善与实施具有重要的借鉴意义。” 而最重大的变化，就是它明确地列出了17项总体原则（如附录），这些原则代表着与每个内部控制要素相关的基本概念， 可确保五大内控要素以及整个内部控制系统的有效运行。 一个存在且发挥效用的原则的确需要达到某个令人满意的水平但这并不意味着企业在运用有关原则时必须达到最高水 准。企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡，从而做出决定。内部控 制的设计各有迥异，并不存在完全统一的标准。 须何时开始应用新框架？须何时开始应用新框架？ COSO表示，已采纳1992版框架的企业（尤其是将在萨班斯-奥克斯利法案合规工作中使用新框架的企业），应当按 其具体情形，在可行的情况下提早开始使用2013版新框架来开展相关工作和文件记录。在2014年12月15日之前仍然可以继续 使用1992版框架，但在该日期后，该框架将被COSO视为已被新框架所取代。公司在过渡期间（2013年5月14日至2014年12月 15日）继续使用1992版框架是适当的。 新框架与旧框架相比有哪些变化？新框架与旧框架相比有哪些变化？ 在内部控制的核心定义、立方体结构以及各个维度基本保持原貌的同时，用 以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。但新框架 有七项重要变化，列出如下： 首先，明确列示了用以支持内部控制五大要素的原则。 其次，明确了目标设定在内部控制中的作用。 第三，反映了科技日益深入的相关性。 第四，更深入地讨论了有关治理的理念。 第五，扩大了报告目标类别（范畴）。 第六，加强了对反舞弊预期的考虑。 最后，更加关注非财务目标。 新框架内容重点解析新框架内容重点解析 （2013版） 运营 报告 合规 运营 报告 合规 控 制 环 境控 制 环 境 风 险 评 估风 险 评 估 控 制 活 动控 制 活 动 信 息 与 沟 通信 息 与 沟 通 监 控 活 动监 控 活 动 关于甫瀚咨询关于甫瀚咨询 甫瀚咨询（ ）是一家全球性的咨询机构，帮助企业解决财务、信息技术、运营、治理、风险管理以及内 部审计领域的难题。我们在20多个国家设有70多家分支机构，为超过35%的美国财富1000强及全球财富500强企业提供咨询服 务。我们亦与政府机构和成长型中小企业开展合作，其中包括计划上市的企业。 甫瀚咨询是Robert Half International Inc.（纽约证券交易所代码：RHI）的全资子公司。RHI于1948年成立，为标准普尔500 指数的成员公司。 北京北京 中国 北京 100022 朝阳区建国门外大街2号 银泰中心C座2001室 电话：(86.10) 8515 1233 传真：(86.10) 8515 1232 上海上海 中国 上海 200020 黄浦区淮海中路381号 中环广场2618-38室 电话：(86.21) 5153 6900 传真：(86.21) 6391 5598 深圳深圳 中国 深圳 518048 福田区中心四路1号 嘉里建设广场1座1404室 电话：(86.755) 2598 2086 传真：(86.755) 2598 2100 香港香港 香港 湾仔 港湾道18号 中环广场2103-04室 电话：(852) 2238 0499 传真：(852) 3118 7493 联络方式联络方式 2013甫瀚咨询（上海）有限公司 甫瀚咨询并非一间注册会计师事务所，故并不就财务报表发表意见或提供鉴证服务。 对企业内控规范体系、在美上市公司遵循萨班斯法案以及赴港上市公司遵循第对企业内控规范体系、在美上市公司遵循萨班斯法案以及赴港上市公司遵循第2121项应用指引（项应用指引（PN21PN21）的）的 影响影响 财政部提出，2013版框架与我国企业内控规范体系在整体架构、基本原则和主要内容方面基本保持一致，因此，为我国企 业内控规范体系与COSO内控框架的趋同奠定了坚实基础。 萨班斯法案404条款的要求是针对财务报告相关的内部控制，其合规工作的基本理论方法依据是COSO内控框架。因此， 也必须按照新框架的实施时间表对合规工作按照新框架进行必要的调整。2013版框架在内部控制的定义、内部控制五要素（控 制环境、风险评估、控制活动、信息与沟通和监控活动）、评估内控体系有效性的标准以及职业判断的运用等方面与1992版 框架保持了一致。对于企业来说，萨班斯法案的合规工作并没有根本性的改变，主要调整在于需要针对公司层面控制需要按照 2013版框架提出的17个主要原则，79个关注点进行自我检视。对于流程层面控制，企业则可以根据自身的行业特色及管理需 求，结合外部审计师的关注点建议，基于2013版框架的要求原则，在贯彻17个主要原则的前提下，考虑必要的调整。 香港会计师公会（HKICPA）在2013年11月所颁布的技术通告（AATB1）中，明确提出了对未来所有拟赴港上市的企业的 内部控制尽职调查工作拟采用2013版框架，并且要求审计师以17项原则评估企业的内部控制。 欲了解更多有关COCO内部控制2013版新框架的内容和企业所关注的相关问题，请点击： /CN-Guide-Updated-COSO-Internal-Control-Framework-FAQs.aspx。 达于行达于行 甫瀚咨询的创始董事总经理Bob Hirth被任命为COSO委员会的主席。我们的财务控制和合规专业团队曾帮助数百家企业建 立有效的财务报告内部控制。我们帮助客户用以流程为基础的方法来建立内部控制体系，通过实施风险评估界定工作范围重 点，并辅以信息化的手段，从而协助企业降低合规成本。我们帮助客户了解关键风险，识别重要控制，建立可靠的证据来支持 设计和执行的有效性，在公司上下落实合规工作的问责机制，以及协调外部审计鉴证程序的实施。 经过为上百家公司服务而积累的经验，使得我们有足够的知识帮助组织着眼长远，做出正确的决策并通过持续改进来创造价 值。我们灵活而全面的方法背后有一套为客户定制的路线图，包括客户的工作重点、计划改进方面、长期战略改进和时间表。 我们的服务具体包括：拟香港上市公司内部控制审阅及香港上市公司公司管治咨询；中国上市公司内部控制基本规范 合规咨询；美国上市公司萨班斯-奥克斯利法案合规咨询；治理、风险及控制软件（Governance Portal）的实施及支持。 甫瀚咨询提供的服务甫瀚咨询提供的服务 6 运营目标运营目标 22a 23a考虑风险忍受度 反映管理层决策 24 25形成投入资源的基准 涵盖运营和财务目标 外部财务报告目标外部财务报告目标 22b符合会计准则 23b考虑重要性水平 26 外部非财务报告目标外部非财务报告目标 22c符合外部标准和框架 反映企业活动 23c考虑精准度要求 反映企业活动26 内部报告目标内部报告目标 22a 23c 考虑精准度要求 反映企业活动 反映外部法律法规 反映管理层决策 26 合规目标合规目标 22d 23a考虑风险忍受度 企业制定足够清晰的目标，以便识企业制定足够清晰的目标，以便识 别和评估有关目标所涉及的风险别和评估有关目标所涉及的风险 附录：新框架附录：新框架1717项原则项原则 1 企业对诚信和道德价值观的承诺企业对诚信和道德价值观的承诺 1 确立“高层态度” 2 建立行为标准 3 评价对行为准则的遵守情况 4 及时处理行为偏差 2 董事会独立于管理层，对内部控制董事会独立于管理层，对内部控制 的制定及其绩效施以监督的制定及其绩效施以监督 5制定监督责任 6保有对内部控制系统的监督 7调用相关专业人员 8保持独立运作 9 监控控制环境、风险评估、控制活动、信息与沟通 以及监督行为 3 管理层在董事会的监督下，建立目管理层在董事会的监督下，建立目 标实现过程中所涉及的组织架构、标实现过程中所涉及的组织架构、 报告路径以及适当的权利和责任报告路径以及适当的权利和责任 10 考虑企业所有的组织架构 11制定报告路径 定义、分配权限和职责范围 12 4 企业致力于吸引、发展和留任优秀企业致力于吸引、发展和留任优秀 人才，以配合企业目标达成人才，以配合企业目标达成 13 建立制度和操作方案 14评价人员的竞争能力和识别技能的不足 15吸引、发展和留任人才 16 计划人才储备 5企业内部控制责任人的问责制度企业内部控制责任人的问责制度 17实施权责问责机制 18建立绩效考核和奖励制度 19评价绩效并执行奖励 20考虑额外的压力 21评价员工表现并奖励遵守纪律的员工 原则原则关 注 点关 注 点 控制环境控制环境风险评估风险评估 39与风险评估相结合 考虑企业自身的因素40 41决定相关商业流程 42评价控制活动类型集合 43考虑控制活动的应用层面 44职责分离 45决定技术在流程中的应用以及技术的一般控制 46制定相关技术基础设施控制活动 47制定相关安全管理流程控制活动 48制定相关技术取得、发展和维护的流程控制活动 49制定政策和程序以支持管理层的部署 50制定执行政策和程序的责任问责机制 51定期执行 52时常纠错 53选用足以胜任的人员 54重新评估政策和程序 10 企业选择并制定有助将目标实现风企业选择并制定有助将目标实现风 险降低至可接受水平的控制活动险降低至可接受水平的控制活动 11 企业为用以支持目标实现的技术选企业为用以支持目标实现的技术选 择并制定一般控制政策择并制定一般控制政策 12 企业通过政策和程序来部署控制活企业通过政策和程序来部署控制活 动：政策用来确定所期望的目标；动：政策用来确定所期望的目标； 程序则将政策付诸于行动程序则将政策付诸于行动 控制活动控制活动 原则原则关 注 点关 注 点 7 企业从整个企业的角度来识别实现企业从整个企业的角度来识别实现 目标所涉及的风险，分析风险，并目标所涉及的风险，分析风险，并 据此决定应如何管理这些风险据此决定应如何管理这些风险 27涵盖总公司、子公司、分支机构、事业部和职能部门 28分析内部和外部因素 29涵盖适当层级的管理 评估风险识别的重要性30 31决定如何应对风险 8 企业在评估影响目标实现的风险时，企业在评估影响目标实现的风险时， 考虑潜在的舞弊行为考虑潜在的舞弊行为 32考虑不同类型的舞弊 33评估员工承受的压力和激励手段 34评估舞弊发生的机会 35评估态度和合理性 9 企业识别并评估可能会对内部控制企业识别并评估可能会对内部控制 系统产生重大影响的变更系统产生重大影响的变更 36评估外部环境变化 37评估商业模型变化 38评估领导层变化 风险评估（续）风险评估（续） 13 企业获取或生成和使用相关的高质企业获取或生成和使用相关的高质 量信息，以支持内部控制其他要素量信息，以支持内部控制其他要素 发挥效用发挥效用 55 56获取内部、外部数据来源 识别信息需求 57将相关数据处理成信息 58在处理过程中保持信息质量 59 60 沟通内部控制信息 考虑成本效益 61 与董事会沟通 62提供彼此独立的沟通渠道 63 选择沟通方式 14 企业于内部沟通的内部控制信息，企业于内部沟通的内部控制信息， 包括内部控制目标和职责范围，必包括内部控制目标和职责范围，必 须能够支持内部控制的其他要素发须能够支持内部控制的其他要素发 挥效用挥效用 信息与沟通信息与沟通 原则原则关 注 点关 注 点 15 企业就影响内部控制其他要素发挥企业就影响内部控制其他要素发挥 效用的事项与外部方进行沟通效用的事项与外部方进行沟通 64与外部各方沟通 65实现入站通讯 66与董事会沟通 67提供彼此独立的沟渠道 68选择沟通方式 信息与沟通（续）信息与沟通（续） 69考虑正在进行的多项和单独的评估 70考虑变化速率 71制定理解基准 72任用胜任