首页 > 专家说

你那里是不是有美国COSO内部控制整体框架中文版?能否发给我,谢谢!万分感谢!

来源:新能源网
时间:2024-08-17 11:55:01
热度:

你那里是不是有美国COSO内部控制整体框架中文版?能否发给我,谢谢!万分感谢!【专家解说】:COSO报告COSO报告概述COSO是全国虚假财务报告委员会下属的发起人委员会(The

【专家解说】:COSO报告COSO报告概述 COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制-综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Interna Control-Integrated framework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。 COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。 [编辑] COSO报告中内部控制的组成 1.控制环境(Control environment) 它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。 2.风险评估(risk assessment) 是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。 3.控制活动(control activities) 是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 4.信息和交流(information and communication) 信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。 5.监控(monitoring) 监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。 [编辑] COSO报告中内部控制的职责 (l)管理层:CEO最终负责整个控制系统。对大公司, CEO可把权限分配给高级经理,并评价其控制活动,然后,高级经理具体制定控制的程序和人员责任;对小公司,一切可更为直接,由最高经理具体执行。 (2)董事会:管理层对董事会负责,由董事会设计治理结构,指导监管的进行。有效的董事会应掌握有效的上下沟通渠道,设立财务、内部审计等职能,防止管理层超越控制,有意歪曲事实来掩盖管理的缺陷。 (3)内部审计师:内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使者监管的职能。 (4)内部其他人员:明确各自的职责,提供系统所需的信息,实现相应的控制;对经营中出现的问题,对不合法、违规行为有责任与上级沟通。 (5)外部人员。公司的外部人员也有助于控制目标的实现,如外部审计可提供客观独立的评价,通过财务报表审计直接向管理阶层提供有用信息;另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。 [编辑] COSO报告的现实意义 COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想,不仅对过去,而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面: 1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的,而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。 2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出,为评价内部控制系统提供了一套完整的标准,使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。 3.提出内部控制是“过程”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。 4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的,企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所以,要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。 5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的,企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会,能够及时发现并修正公司经理班子逾越内部控制的行炉。 6.强调内部控制系统系是“内置于”(built in)企业经营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、执行和监控职能交织融合在一起,不是后天添加物(built on)。同时内控系统应有应对不断变化的客观世界的机制。 [编辑] COSO报告的局限性 COSO报告是以职业会计师为主体队伍的研究成果,应用的现实特别是面对美国财务危机的现状,显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有: 1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只看到了地上部分,忽视了地下基础。 2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,如果一个企业的内部控制存在问题,企业能够如实地公示社会吗?第二,管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告,企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三,报告的范围仅限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的,但COSO建议的这种评估和披露方式容易误导投资者。 3.COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来说,增添了许多猜疑和无奈。到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。 4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能(计划、执行和监控)交织在一起,是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。 5.基本目标与分类子目标之间存在差异。根据COSO报告,内部控制基本目标是促使企业实现经营目标,并减少经营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展。另外,COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO认为,保护资产安全内部控制属于经营效果效率目标的范畴,已经包括在经营效果效率内部控制之中,而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题,对财务报告可靠性有重大影响,应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。 6.评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。 7.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。 [编辑] [编辑] COSO委员会简介 COSO委员会(全美反舞弊性财务报告委员会发起组织,Committee of Sponsoring Organizations of the Treadway Commission,缩写COSO) 1985年,由美国注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理人协会(FEI)、美国内部审计师协会(国际内部审计师协会的前身,IIA)、美国管理会计师协会(IMA)联合创建了反虚假财务报告委员会(通常称Treadway委员会),旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。 两年后,基于该委员会的建议,其赞助机构成立COSO(Committee of Sponsoring Organization,COSO)委员会,专门研究内部控制问题。1992年9月,COSO委员会发布《内部控制整合框架》(COSO-IC),简称COSO报告,1994年进行了增补。这些成果马上得到了美国审计署(GAO) 的认可,美国注册会计师协会(AICPA)也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广和应用。 [编辑] COSO的运行 自1992年美国COSO委员会发布《COSO内部控制整合框架》以来,该框架已在全球获得广泛的认可和应用,但理论界和实务界一直不断对其提出一些改进建议,强调内部控制整合框架的建立应与企业风险管理相结合。 2002年颁布的萨班斯法案也要求上市公司全面关注风险,加强风险管理,在客观上也推动了内部控制整体框架的进一步发展。与此同时,COSO委员会也意识到《内部控制整合框架》自身也存一些问题,如过分注重财务报告,而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素,新框架必须出台以适应发展需求。 2003年7月,美国 COSO委员根据萨班斯法案的相关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft),该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的,2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。 COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其他员工的影响,包括内部控制及其在战略和整个公司的应用,旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会提供了有关企业所面临的重要风险,以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的,应用于企业战略制定和企业内部各个层次与部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面,流程化的企业风险管理过程,它为企业目标实现提供合理保证。 在内部控制整合框架五个要素的基础上, COSO企业风险管理的构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个要素相互关联,贯穿于企业风险管理的过程中。 简介 COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO,于1995年11月发行《控制指导纲要》。COCO提出了-种更精简、更具动态,使用更多管理术语的内部控制基本架构。COCO报告从四个方面:目的、承诺、能力、监督与学习,提出20项控制基准。 但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。 COSO内部控制框架认为,内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用其模型表示. 编辑本段组成关系 1. 控制环境 控制环境是所有其他组成要素的基础,包括了以下要素: 1) 诚信和道德价值观; 2) 致力于提高员工工作能力及促进员工职业发展的承诺; 3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性,成员的经验和身份,参与和监督活动的程度,行为的适当性; 4) 管理层的理念和经营风格; 5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程; 6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点: a) 被激励主动发现问题并解决问题以及被授予权限的程度; b) 也描述适当的经营实践,关键人员的知识和经验,提供给执行责任的资源政策; c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。 7) 人力资源政策及程序。 2. 风险评估 首先,风险评估的前提条件是设立目标。只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素,但它是内部控制得以实施的先决条件。 其次,识别与上述目标相关的风险。 再次,评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素,管理层就可以考虑它们的重要程度,并尽可能将这些风险因素与业务活动联系起来。 最后,针对风险的结果,考虑适当的控制活动。 3. 控制活动 控制活动指为确保管理层指示得以执行,削弱风险的政策(做什么)和程序(如何做)。它们有助于保证采取必要措施来管理风险以实现企业目标。控制活动贯穿于企业的所有层次和部门。它们包括一系列不同的活动,如批准、授权、查证、核对、复核经营业绩、资产保护以及职责分工等。 4. 信息与沟通 相关的信息必须以一种能使人们行使各自职能的形式和时限被识别、掌握和沟通。信息系统不仅处理内部资料,而且还处理形成企业决策和外部报告所必须的外部事件、行为和条件的信息。有效的交流还必须广泛的进行,涉及机构的各个方面。所有人员都要从高级管理层获得清楚的信息,他们必须明白各自在内部控制制度中的作用,明白个人的行为如何与他人的工作相联系。他们必须有自下而上传递重要信息的方法。顾客、供应商、监管者和股东这样的外界之间也必须有有效的沟通。 5. 监督 一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中。它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告,重要事项应报知高层管理人员和董事会。 编辑本段COSO内部控制模型 1、 强调“软控制”的功能。相对于以前的内部控制而言,框架更加强调那些属于管理文化层面的软性管理因素。 2、 强调内部控制应与企业的经营管理过程相结合。框架认为,经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分,与经营过程结合在一起,而不是凌驾于企业的基本活动之上,它使经营达到预期的效果,并监督企业经营过程的持续进行。不过,内部控制只是管理的一种工具,并不能取代管理。 3、 突出强调信息系统的作用。框架认为,完备的信息处理系统是实现内部控制目标的重要保障,信息系统不仅处理企业内部产生的经营信息,而且也处理来自企业外部的各类经济、法律或行政信息。 4、 明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出,不仅仅是董事会、管理人员、内部审计人员,组织中的每一个人都对内部控制环节负有责任。 5、 强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素,但却是内部控制的先决条件,也是促成内部控制的要件。框架将内部控制目标分为三类:与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标,有利于不同的人从不同的视角关注企业内部控制的不同方面。 6、 内部控制只能做到“合理”保证。框架认为:不论设计及执行有多么完善完整,内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成,还受内部控制本身的限制性制约等条件。 COSO内部控制框架是一个较为理想的框架,几乎所有公司的内部控制均与之有一定差距,虽然这必然加大企业负担,但多数公司希望通过理解和贯彻COSO内部控制框架要求,梳理管理流程、规范管理,来实现提升整体管理水平的目的。 编辑本段COSO框架下的内部控制设计 以COSO内部控制框架为标准的内控设计一般步骤如下: 1. 确认所要进行的内控设计针对的内控目标是什么。 2. 根据确认的内控目标,识别公司层面的内外部主要风险并进行评估。 3. 通过业务流程的全面梳理,锁定与确认的内控目标相关的业务流程。 4. 按照COSO框架提出的控制标准,对确认的主要风险提出控制要求,将梳理得出的业务流程(风险控制活动)与控制要求进行对比分析,提出整改建议。 5. 对所确定的业务流程进行分析,分析确认业务活动中存在的风险,提出整改建议。 6. 各项制度规章的完善和补充。 下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明: 风险评估实施过程说明 1. 识别风险。风险识别包括了二个层次,企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。 2. 评估上述识别出的风险的后果和可能性。 3. 描述公司流程。 1) 制定公司流程总目录和流程描述的规范; 2) 流程具体描述。 4. 识别与风险相关的应对流程的风险,并建立风险数据库 5. 根据上述风险评估的结果,建立持续的风险评估制度体系 控制活动设计实施说明 1. 以COSO控制框架、公司管理制度、控制理论为依据,在公司层面上确定“关键控制点和控制要点”。 2. 以公司层面“关键控制点和控制要点”为基础,对应识别的重要风险建立关键控制文档。 3. 关键控制与相关管理制度之间的比对分析。 对于企业而言控制是直接融入管理流程中的。在具体控制活动设计和改进时应遵循以下具体内部控制设计原则: 1. 相互牵制原则 相互牵制原则,是指一项完整的经济业务活动,必须分配给具有互相制约关系的两个或两个以上的部门(或岗位)分别完成。即在横向关系上,至少要由彼此独立的两个部门或人员办理,以使该部门或人员的工作接受另一个部门或人员的检查和制约;在纵向关系上,至少要经过互不隶属的两个或两个以上的岗位和环节,以使下级受上级监督,上级受下级牵制。其理论根据是在相互牵制的关系下,几个人发生同一错弊而不被发现的概率,是每个人发生该项错弊的概率的连乘积,因而将降低误差率。不相容职务相互分离控制有以下几项内容: * 授权批准职务与执行业务职务相分离; * 执行业务职务与监督审核职务相分离; * 执行业务职务与会计记录职务相分离; * 财产保管职务与会计记录职务相分离; * 执行业务职务与财产保管职务相分离。 2. 授权控制原则 授权控制原则,是指企业单位应该根据各岗位业务性质和人员要求,相应地赋予作业任务和职责权限,规定操作规程和处理手续,明确纪律规则和检查标准,以使职、责、权、利相结合。岗位工作程式化,要求做到事事有人管,人人有专职,办事有标准,工作有检查。授权体系包括: 1) 授权批准的范围 企业所有的经营活动一般都应当纳入授权批准的范围。 2) 授权层次 授权应当是区别不同情况分层次授权。根据经济活动的重要性水平和金额大小确定不同的授权批准层次,有利于保证各种管理层和有关人员有权有责。 授权批准在层次上应当考虑连续性,要将可能发生的情况全面纳入授权批准体系,避免出现真空地带。当然,应当允许根据具体情况的变化,不断对有关制度进行修正。 3) 授权责任 被授权者应能够明确在履行权力时应对哪些方面负责,避免授权责任不清,出现问题又难咎其责的情况发生。 4) 授权批准程序 企业的经济业务既涉及企业与外单位之间资产与劳务的交换,也包括在企业内部资产和劳务的转移和使用。因此,每类经济业务都会有一系列内部相互联系的流转程序。所以,应规定每一类经济业务的审批程序,以便按程序办理审批,避免越级审批和违规审批的情况发生。 3. 成本效益原则 贯彻成本效益原则,即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例,实行内部控制所花费的代价不能超过由此而获得的效益,否则应舍弃该控制措施。 4. 整体结构原则 企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。换言之,各项控制要素、各业务循环或部门的子控制系统,必须有机构成企业内部控制的整体架构。这就要求,各子系统的具体控制目标,必须对应整体控