COSO內(nèi)部控制新框架

1、歷年歷年COSO發(fā)布的內(nèi)部控制報(bào)告文件：發(fā)布的內(nèi)部控制報(bào)告文件：1992200620092013 #1 #1 內(nèi)部控制整合框架（內(nèi)部控制整合框架（20132013版版） 共共3 3卷卷: : 整體概覽 內(nèi)部控制整合框架及附錄 評(píng)價(jià)內(nèi)部控制有效性的工具及模板 內(nèi)容內(nèi)容包括了包括了: : 內(nèi)部控制的定義 內(nèi)部控制目標(biāo) 內(nèi)部控制五大要素及17項(xiàng)原則 內(nèi)部控制有效的要求 #2 #2 財(cái)務(wù)報(bào)告內(nèi)部控制：方法和示例摘要財(cái)務(wù)報(bào)告內(nèi)部控制：方法和示例摘要 演示了內(nèi)部控制原則應(yīng)用與財(cái)務(wù)報(bào)告內(nèi)部控制的相關(guān)方法和示例 考慮到了過(guò)去20年企業(yè)內(nèi)外部經(jīng)營(yíng)環(huán)境的變化 提供了不同經(jīng)營(yíng)主體的實(shí)施案例：包括上市公司、私營(yíng)企業(yè)、

2、非營(yíng)利性組織和政府機(jī)構(gòu) 與2013版本的框架相一致企業(yè)需要：企業(yè)需要：編制員工手冊(cè)并進(jìn)行宣貫設(shè)立專(zhuān)門(mén)部門(mén)或崗位負(fù)責(zé)道德價(jià)值觀對(duì)應(yīng)流程：對(duì)應(yīng)流程：企業(yè)文化管理、人力資源管理控制環(huán)境控制環(huán)境原則原則1 1：恪守誠(chéng)信并樹(shù)立正確的道德價(jià)值觀關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.高級(jí)管理層樹(shù)立了誠(chéng)信的道德價(jià)值觀并傳遞給整個(gè)公司2.制定了明確的員工守則3.評(píng)價(jià)員工是否準(zhǔn)守了守則，并對(duì)違規(guī)情況進(jìn)行及時(shí)處理企業(yè)需要：企業(yè)需要：確定董事會(huì)與管理層權(quán)限定期對(duì)內(nèi)部控制有效性進(jìn)行監(jiān)督并報(bào)告給董事會(huì)對(duì)應(yīng)流程：對(duì)應(yīng)流程：治理架構(gòu)、授權(quán)管理、內(nèi)控審計(jì)原則原則2 2：董事會(huì)獨(dú)立于管理層，對(duì)內(nèi)部控制有效性進(jìn)行監(jiān)督關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.明確了董

3、事會(huì)與管理層各自的權(quán)責(zé)2.董事會(huì)獨(dú)立于管理層并具有勝任能力、并保持獨(dú)立性3.董事會(huì)對(duì)內(nèi)部控制有效性進(jìn)行監(jiān)督企業(yè)需要：企業(yè)需要：有健全的組織架構(gòu)圖及匯報(bào)路險(xiǎn)有合理的授權(quán)體系表及不相容職責(zé)表對(duì)應(yīng)流程：對(duì)應(yīng)流程：組織架構(gòu)、授權(quán)管理控制環(huán)境控制環(huán)境原則原則3 3：管理層建立健全企業(yè)架構(gòu)、匯報(bào)路徑、合理：管理層建立健全企業(yè)架構(gòu)、匯報(bào)路徑、合理的授權(quán)于責(zé)任等機(jī)制的授權(quán)于責(zé)任等機(jī)制關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.建全了組織架構(gòu)，明確匯報(bào)路徑2.合理的授權(quán)，并承擔(dān)對(duì)應(yīng)的責(zé)任3.不過(guò)度授權(quán)，不相容職責(zé)有效分離企業(yè)需要：企業(yè)需要：制定一整套人力資源政策與制度；加強(qiáng)員工培訓(xùn)、輪崗；制定崗位繼任計(jì)劃對(duì)應(yīng)流程：對(duì)應(yīng)流程：人力資源

4、管理原則原則4 4：企業(yè)制定完善的政策吸引、發(fā)展、保留人才：企業(yè)制定完善的政策吸引、發(fā)展、保留人才關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.制定了相關(guān)的政策與制度2.關(guān)注員工的勝任能力，并持續(xù)改進(jìn)3.不斷吸引、發(fā)展、保留人才4.制定了崗位繼任計(jì)劃企業(yè)需要：企業(yè)需要：管理層簽署聲明書(shū)、制定相應(yīng)績(jī)效考核指標(biāo)對(duì)應(yīng)流程：對(duì)應(yīng)流程：內(nèi)部控制評(píng)價(jià)、績(jī)效考核控制環(huán)境控制環(huán)境原則原則5 5：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，共同：使員工各自擔(dān)負(fù)起內(nèi)部控制相關(guān)職責(zé)，共同實(shí)現(xiàn)目標(biāo)實(shí)現(xiàn)目標(biāo)關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.通過(guò)組織、權(quán)限及責(zé)任分工明確每名員工的責(zé)任2.制定了績(jī)效衡量以及激勵(lì)懲處機(jī)制3.在組織內(nèi)部形成遵守內(nèi)部控制的壓力企業(yè)需要：企業(yè)

5、需要：有對(duì)應(yīng)的目標(biāo)體系風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估原則原則6 6：有清晰的目標(biāo)，并根據(jù)目標(biāo)識(shí)別及評(píng)價(jià)風(fēng)險(xiǎn)：有清晰的目標(biāo)，并根據(jù)目標(biāo)識(shí)別及評(píng)價(jià)風(fēng)險(xiǎn)關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.設(shè)置了明確的、相關(guān)的目標(biāo)（包括經(jīng)營(yíng)目標(biāo)、報(bào)告目標(biāo)及合規(guī)目標(biāo)）企業(yè)需要：企業(yè)需要：制定一整完善的風(fēng)險(xiǎn)評(píng)估流程建立風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)建立風(fēng)險(xiǎn)應(yīng)對(duì)矩陣對(duì)應(yīng)流程：對(duì)應(yīng)流程：風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)原則原則7 7：對(duì)風(fēng)險(xiǎn)進(jìn)行全范圍的識(shí)別與分析，并決定如：對(duì)風(fēng)險(xiǎn)進(jìn)行全范圍的識(shí)別與分析，并決定如何管理風(fēng)險(xiǎn)何管理風(fēng)險(xiǎn)關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.有適當(dāng)?shù)墓芾韺訁⑴c整個(gè)過(guò)程2.風(fēng)險(xiǎn)評(píng)估過(guò)程包括總部、各部門(mén)、業(yè)務(wù)單元、事業(yè)部、下屬分子公司等全部實(shí)體3.考慮內(nèi)部及外部的風(fēng)險(xiǎn)因素4.評(píng)估風(fēng)險(xiǎn)

6、的重要性5.制定風(fēng)險(xiǎn)應(yīng)對(duì)策略企業(yè)需要：企業(yè)需要：將舞弊風(fēng)險(xiǎn)（或廉政風(fēng)險(xiǎn)）作為專(zhuān)項(xiàng)風(fēng)險(xiǎn)來(lái)識(shí)別；設(shè)立舉報(bào)及舉報(bào)人保護(hù)機(jī)制對(duì)應(yīng)對(duì)應(yīng)流程：流程：風(fēng)險(xiǎn)評(píng)估、內(nèi)部信息溝通風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估原則原則8 8：評(píng)估風(fēng)險(xiǎn)的過(guò)程中考慮舞弊的可能性：評(píng)估風(fēng)險(xiǎn)的過(guò)程中考慮舞弊的可能性關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.考慮舞弊發(fā)生的各種可能性2.評(píng)估舞弊的動(dòng)機(jī)和壓力3.評(píng)估舞弊的機(jī)會(huì)大小4.評(píng)估對(duì)待舞弊的態(tài)度及自我合理化傾向企業(yè)需要：企業(yè)需要：定期開(kāi)展內(nèi)控自我評(píng)價(jià)及內(nèi)控審計(jì)及時(shí)更新內(nèi)控體系文檔對(duì)應(yīng)流程：對(duì)應(yīng)流程：內(nèi)控自我評(píng)價(jià)、內(nèi)控審計(jì)原則原則9 9：識(shí)別并評(píng)價(jià)可能對(duì)內(nèi)控體系造成較大影響的：識(shí)別并評(píng)價(jià)可能對(duì)內(nèi)控體系造成較大影響的變化變化

7、關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.評(píng)估外部環(huán)境變化帶來(lái)的影響2.評(píng)估經(jīng)營(yíng)模式變化帶來(lái)的影響3.評(píng)估管理層變動(dòng)帶來(lái)的影響企業(yè)需要：企業(yè)需要：確定風(fēng)險(xiǎn)應(yīng)對(duì)策略，根據(jù)風(fēng)險(xiǎn)應(yīng)對(duì)策略制定風(fēng)險(xiǎn)應(yīng)對(duì)方案編制風(fēng)險(xiǎn)控制矩陣及流程圖編制不相容職責(zé)分離表對(duì)應(yīng)流程：對(duì)應(yīng)流程：ALl控制活動(dòng)控制活動(dòng)原則原則1010：選擇并開(kāi)展控制活動(dòng)，將風(fēng)險(xiǎn)降低至可接：選擇并開(kāi)展控制活動(dòng)，將風(fēng)險(xiǎn)降低至可接受水平受水平關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.控制活動(dòng)要與風(fēng)險(xiǎn)評(píng)估結(jié)果相適應(yīng)2.確定與控制活動(dòng)相關(guān)的管理流程3.在選擇和實(shí)施控制活動(dòng)時(shí)考慮企業(yè)特有因素4.采取不同類(lèi)型的控制活動(dòng)降低風(fēng)險(xiǎn)5.確保不相容職責(zé)分離企業(yè)需要：企業(yè)需要：針對(duì)信息系統(tǒng)開(kāi)發(fā)及運(yùn)行設(shè)計(jì)對(duì)應(yīng)控

8、制活動(dòng)對(duì)信息系統(tǒng)日常運(yùn)行進(jìn)行監(jiān)控開(kāi)展信息系統(tǒng)專(zhuān)項(xiàng)審計(jì)對(duì)應(yīng)流程：對(duì)應(yīng)流程：信息系統(tǒng)開(kāi)發(fā)信息系統(tǒng)運(yùn)行維護(hù)原則原則1111：針對(duì)信息技術(shù)并開(kāi)展一般控制：針對(duì)信息技術(shù)并開(kāi)展一般控制關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.確定獨(dú)立于信息系統(tǒng)運(yùn)行的信息系統(tǒng)一般控制2.建立相關(guān)的基礎(chǔ)架構(gòu)的控制活動(dòng)3.建立相關(guān)的信息安全管理控制活動(dòng)4.建立相關(guān)的信息系統(tǒng)購(gòu)買(mǎi)、開(kāi)發(fā)、運(yùn)行維護(hù)控制活動(dòng)企業(yè)需要：企業(yè)需要：編制政策、程序、流程及內(nèi)控手冊(cè)明確每項(xiàng)控制活動(dòng)的責(zé)任人監(jiān)督及考核控制活動(dòng)的執(zhí)行情況注意部門(mén)間的配合對(duì)應(yīng)流程：對(duì)應(yīng)流程：ALl控制活動(dòng)控制活動(dòng)原則原則1212：通過(guò)政策、程序來(lái)實(shí)施控制活動(dòng)：通過(guò)政策、程序來(lái)實(shí)施控制活動(dòng)關(guān)注要點(diǎn)關(guān)注要

9、點(diǎn)：1.建立相關(guān)的政策和程序來(lái)落實(shí)控制活動(dòng)2.建立政策和程序執(zhí)行的責(zé)任和義務(wù)機(jī)制3.使用有勝任能力的員工來(lái)來(lái)執(zhí)行控制活動(dòng)4.注意控制活動(dòng)執(zhí)行的及時(shí)性5.定期維護(hù)并更新政策及程序企業(yè)需要：企業(yè)需要：確定信息需求，歸集信息渠道制定有效的信息溝通流程持續(xù)評(píng)價(jià)信息溝通的有效性對(duì)應(yīng)對(duì)應(yīng)流程：流程：信息與溝通信息與溝通信息與溝通原則原則1313：獲取或生成并使用相關(guān)的、有質(zhì)量的信息：獲取或生成并使用相關(guān)的、有質(zhì)量的信息來(lái)支持內(nèi)部控制正常運(yùn)作來(lái)支持內(nèi)部控制正常運(yùn)作關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.識(shí)別各環(huán)節(jié)的信息需求2.建立內(nèi)部、外部數(shù)據(jù)獲取渠道3.將相關(guān)數(shù)據(jù)處理成有用的信息4.確保信息處理過(guò)程的有效5.衡量信息獲取的

10、成本與收益企業(yè)需要：企業(yè)需要：與員工溝通崗位職責(zé)、進(jìn)行控制活動(dòng)宣貫；核心的要求可以讓員工簽字確認(rèn)；建立匿名投訴熱線(xiàn)對(duì)應(yīng)流程：對(duì)應(yīng)流程：信息與溝通原則原則1414：將企業(yè)目標(biāo)和內(nèi)部控制職責(zé)在內(nèi)的必要信：將企業(yè)目標(biāo)和內(nèi)部控制職責(zé)在內(nèi)的必要信息傳達(dá)給每位員工息傳達(dá)給每位員工關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.將內(nèi)部控制的相關(guān)信息與每名員工進(jìn)行溝通2.將內(nèi)部控制相關(guān)信息與董事會(huì)進(jìn)行溝通3.建立獨(dú)立的應(yīng)急性的溝通渠道4.選擇合適的溝通方式企業(yè)需要：企業(yè)需要：建立與股東、顧客、供應(yīng)商、監(jiān)管機(jī)構(gòu)、財(cái)務(wù)分析師等外部相關(guān)方的溝通機(jī)制對(duì)應(yīng)對(duì)應(yīng)流程：流程：信息與溝通信息與溝通信息與溝通原則原則1515：企業(yè)與外部相關(guān)方就影響內(nèi)部

11、控制發(fā)揮作：企業(yè)與外部相關(guān)方就影響內(nèi)部控制發(fā)揮作用的事宜進(jìn)行溝通用的事宜進(jìn)行溝通關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.與外部利益相關(guān)方進(jìn)行溝通2.在內(nèi)部信息傳遞渠道上增加外部的接入端口3.提供獨(dú)立的應(yīng)急性的溝通渠道4.選擇合適的溝通方式企業(yè)需要：企業(yè)需要：設(shè)計(jì)嵌入管理流程的持續(xù)評(píng)價(jià)工具根據(jù)風(fēng)險(xiǎn)來(lái)開(kāi)展專(zhuān)項(xiàng)評(píng)價(jià)活動(dòng)聘請(qǐng)外部機(jī)構(gòu)來(lái)進(jìn)行評(píng)價(jià)對(duì)應(yīng)對(duì)應(yīng)流程：流程：內(nèi)部控制自我評(píng)價(jià)內(nèi)部控制審計(jì)監(jiān)控活動(dòng)監(jiān)控活動(dòng)原則原則1616：實(shí)施持續(xù)和專(zhuān)項(xiàng)的評(píng)價(jià)：實(shí)施持續(xù)和專(zhuān)項(xiàng)的評(píng)價(jià)關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.考慮持續(xù)和專(zhuān)項(xiàng)評(píng)價(jià)的方案2.在選擇持續(xù)和專(zhuān)項(xiàng)評(píng)價(jià)時(shí)考慮企業(yè)管理活動(dòng)的變化程度3.選用具有相關(guān)知識(shí)的人進(jìn)行評(píng)價(jià)4.持續(xù)性評(píng)價(jià)與管理流程相融

12、合5.定期開(kāi)展獨(dú)立的評(píng)價(jià)保證客觀性6.根據(jù)風(fēng)險(xiǎn)大小調(diào)整評(píng)價(jià)的頻率企業(yè)需要：企業(yè)需要：確定內(nèi)部控制缺陷，并與相關(guān)方進(jìn)行溝通對(duì)內(nèi)部控制缺陷的整改情況進(jìn)行跟蹤對(duì)應(yīng)流程：對(duì)應(yīng)流程：內(nèi)部控制自我評(píng)價(jià)內(nèi)部控制審計(jì)原則原則1717：及時(shí)評(píng)價(jià)內(nèi)部控制缺陷，并視情況與負(fù)責(zé)：及時(shí)評(píng)價(jià)內(nèi)部控制缺陷，并視情況與負(fù)責(zé)整改的責(zé)任方劑管理層、治理層溝通整改的責(zé)任方劑管理層、治理層溝通關(guān)注要點(diǎn)關(guān)注要點(diǎn)：1.管理層或董事會(huì)成員來(lái)評(píng)估持續(xù)和單獨(dú)評(píng)價(jià)的結(jié)果2.將內(nèi)部控制缺陷與負(fù)責(zé)整改的相關(guān)管理層溝通3.將內(nèi)部控制缺陷與高級(jí)管理人員及董事會(huì)溝通4.對(duì)整改活動(dòng)進(jìn)行監(jiān)控內(nèi)部控制有效性的評(píng)價(jià)分為公司層面評(píng)價(jià)及業(yè)務(wù)層面評(píng)價(jià)：內(nèi)部控制有效性的

13、評(píng)價(jià)分為公司層面評(píng)價(jià)及業(yè)務(wù)層面評(píng)價(jià)：公司層面評(píng)價(jià)公司層面評(píng)價(jià) 對(duì)公司的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控活動(dòng)等內(nèi)部控制五大要素分別進(jìn)行評(píng)價(jià)，并匯總評(píng)價(jià)結(jié)果，對(duì)整體內(nèi)部控制有效性進(jìn)行評(píng)價(jià)業(yè)務(wù)層面評(píng)價(jià)業(yè)務(wù)層面評(píng)價(jià) 對(duì)各業(yè)務(wù)流程的關(guān)鍵控制點(diǎn)進(jìn)行評(píng)價(jià)，通過(guò)穿行測(cè)試、抽樣測(cè)試等方法評(píng)價(jià)其設(shè)計(jì)及執(zhí)行的有效性。 業(yè)務(wù)層面評(píng)價(jià)結(jié)果可以用來(lái)支撐公司層面評(píng)價(jià)的結(jié)論COSOCOSO框架提供的框架提供的是公司層面評(píng)價(jià)的方法和模板，總體評(píng)價(jià)過(guò)程如下：是公司層面評(píng)價(jià)的方法和模板，總體評(píng)價(jià)過(guò)程如下：先按照17項(xiàng)原則進(jìn)行單獨(dú)評(píng)價(jià)匯總評(píng)估結(jié)果，形成對(duì)五大要素的評(píng)價(jià)結(jié)論匯總五大要素評(píng)估結(jié)果，對(duì)內(nèi)部控制整體有效性進(jìn)行評(píng)價(jià)內(nèi)部控制整體有效的內(nèi)部控制整體有效的條件：條件：五大要素及17項(xiàng)原則單獨(dú)有效五要素間共同運(yùn)行，可以協(xié)同發(fā)揮作用（流程間借口沒(méi)有沖突）模板模板1 1：整體風(fēng)險(xiǎn)有效性評(píng)價(jià)模板：整體風(fēng)險(xiǎn)有效性評(píng)價(jià)模板模板模板2 2：各要素評(píng)價(jià)模板：各要素評(píng)價(jià)模板模板模板2 2：各要素評(píng)價(jià)模板：各要素評(píng)價(jià)模板模板模板2 2：各要素評(píng)價(jià)模板：各要素評(píng)價(jià)模板模板模板3 3：各原則評(píng)價(jià)模板：各原則評(píng)價(jià)模板模板模板3 3：各原則評(píng)價(jià)模