1、.解读解读2013版版COSO框架框架.l 2013年5月14日,随着美国反虚假财务报告委员会下属的发起组织委员会(COSO)发布2013年内部控制整体框架及其配套指南一系列严密的内控措施被众多公司高管所认知,这些措施在企业运营、法规遵从以及财务报告等方面都将发挥十分重要的作用。.主要内容主要内容l一、内容摘要l二、框架内容和附录l三、是评估内部控制系统有效性的解释性工具l四、外部财务报告内部控制对新框架进行高度总结,包括内部 控制的定义、目标、原则、内部控制的有效性和局限性等,使用对象为首席执行官和其他高 级管理层、董事会成员和监管者。包括内部控制的组成部分及相关的 原则和关注点,并为各级管
2、理层在设计、实施内部控制和评估其有效性方面提供了指导。为管理层在应用框架特别是评估有效性方面提供 了模板和行动方案方案和示例摘要,在准备外部财务报告过 程中为应用框架中的要素和原则提供了实际的方案和示例.新旧框架变化对比新旧框架变化对比l新 COSO 内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方 面与旧框架保持了一致。与旧框架相比,新框架的变化主要表现在以下几个方面:.l区别一:细化了内控框架的结构内容 新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准,适用于所有的组织。每一项总体原
3、则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内控,以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应,而每一项原则也都与五要素中的某个要素相对应。.l区别二:扩大了报告目标的范畴 报告对象报告内容既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告.l区别三:强调管理层判断的使用 新COSO框架对五要素的分解不是按照子要素来进行的,
4、而是作为“原则”来呈现的,即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度, 然后根据企业的具体情况, 来选择和考虑与某一特定原则密切相关的关注点。可以说,在这一点上,COSO新框架吸取了萨班斯法案通过以后旧框架实施成本高的教训,使内控实施更加灵活,同时节省了实施成本。.l区别四:增加了反舞弊与反腐败的内容 与旧框架相比,新框架包含了更多关于舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。.内部控制整合框架(内部控制整合框架(20
5、13版)要点版)要点 17条原则条原则内部控制5要素旧原则数目新原则数目控制环境7项5项控制活动4项3项风险评估3项4项监督2项2项信息与沟通4项3项.l新框架并没有改变旧框架关于内部控制的基本概念和核心内容, 而是对旧框架的某些 概念和指引进行更新和改进, 以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。.控制环境控制环境l原则一 组织对正直和道德等价值观做出承诺。关注要点:l1、高管树立诚信的道德价值观并传递给整个公司l2、制定明确的员工守则l3、评价员工是否遵守守则,对违规情况及时进行处理.l原则二 董事会独立于管理层,对内部控制有效性进行监督关注要点: 1、明确
6、了董事会与管理层各自的权责 2、董事会独立于管理层并具有胜任能力、并保持独立性 3、董事会对内部控制有效性进行监督.l原则三 管理层建立健全企业架构、汇报路径、合理 的授权于责任等机制关注要点: 1. 建全了组织架构,明确汇报路径 2. 合理的授权,并承担对应的责任 3. 不过度授权,不相容职责有效分离.l原则四 企业制定完善的政策吸引、发展、保留人才关注要点: 1. 制定了相关的政策与制度 2. 关注员工的胜任能力,并持续改进 3. 不断吸引、发展、保留人才 4. 制定了岗位继任计划 .l原则五 使员工各自担负起内部控制相关职责,共同 实现目标关注要点: 1、通过组织、权限及责任分工明确每名
7、员工的责任 2、 制定了绩效衡量以及激励惩处机制 3、 在组织内部形成遵守内部.风险评估风险评估l原则六 就识别和评估与其目标相关的风险,组织做出清晰的目标设定 关注要点: 设置明确的、相关的目标(包括经营目标、报告目标及合规目标).l原则七 对风险进行全范围的识别与分析,并决定如何管理风险关注要点: 1、有适当的管理层参与整个过程 2、风险评估过程包括总部、各部门、业务单位、事业部、下属分子公司等全部实体 3、考虑内部及外部的风险因素 4、评估风险的重要性 5、制定风险应对策略.l原则八 组织在风险评估过程中,考虑潜在的舞弊行为关注要点: 1、考虑舞弊发生的各种可能性 2、评估舞弊的动机和压
8、力 3、评估舞弊的机会大小 4、评估对舞弊的态度及自我合理化倾向.l原则九 组织识别和评估对内部控制体系可能造成较大影响的改变关注要点: 1、评估外部环境变化带来的影响 2、评估经营模式变化带来的影响 3、评估管理层变化带来的影响.控制活动控制活动l原则十 组织选择并开展控制活动,将风险对其目标实现的影响降到可接受水平关注要点: 1、控制活动要与风险评估结果相适应 2、确定与控制活动相关的管理流程 3、在选择和实施控制活动时考虑企业特有因素 4、采取不同类型的控制活动降低风险 5、确保不相容职责分离.l原则十一 对(信息)技术,组织选择并开展一般控制以支持其目标的实现关注要点: 1、确定独立于
9、信息系统运行的信息系统一般控制 2、建立相关的基础构架的控制活动 3、建立相关的信息安全管理控制活动 4、建立相关的信息系统购买、开发、运行维护控制活动.l原则十二 组织通过合理的政策制度和保证这些政策制度切实执行的流程程序,来实施控制活动 关注要点 1、建立相关的政策和程序来落实控制活动 2、建立政策和程序执行的责任和义务机制 3、使用有胜任能力的员工来执行控制活动 4、注意控制活动执行的及时性 5、定期维护并更新政策及程序.信息与沟通信息与沟通l原则十三 组织获取或生成,并使用相关、有质量的信息来支持内部控制发挥作用关注要点: 1、识别各环节的信息需求 2、建立内部、外部数据获取渠道 3、
10、将相关数据处理成有用的信息 4、确保信息处理过程有效 5、衡量信息获取的成本与收益.l原则十四 内部控制的目标和责任在内的必要信息传达给每位员工关注要点: 1、将内部控制的相关信息与每个员工进行沟通 2、将内部控制的相关信息与董事会进行沟通 3、建立独立的应急性的沟通渠道 4、选择合适的沟通方式.l原则十五 组织与外部相关方就影响内部控制发挥作用的事宜进行沟通 关注要点: 1、与外部利益相关者进行沟通 2、在内部信息传递渠道上增加外部的接入端口 3、提供独立的应急的沟通渠道 4、选择合适的沟通方式.监督监督l原则十六 实施持续和专项的评价关注要点: 1、考虑持续和专项评价的方案 2、在选择持续和专项评价时考虑企业管理活动的变化程度 3、选用具有相关知识的人进行评价 4、持续性评价与管理流程相融合 5、定期开展独立的评价保证客观性 6、根据风险大小调整评价的频率.l原则十七 在相应的时间范围内,评价内部控制的缺陷,并视情况与那些应采取正确行动的相关方(如:高级管理层,董事会)进行沟通关注要点: 1、管理层或董事会成员来评估持续和单独评价的结果 2、将内部控制缺陷与负责整改的相关管理层沟通 3、将内部控制缺陷与高级管理人员及董事会沟通 4、对整改活动进行监控.
