基本介紹
- 中文名:COSO內部控制
- 方面:目的、承諾、能力、監督與學習
- 屬性:內部控制框架
- 使用者:美國證券交易委員會
- 內容:20項控制基準
- 組成關係:控制環境等
基本簡介,組成關係,控制環境,風險評估,控制活動,信息與溝通,監督,控制模型,控制設計,一般步驟:,風險評估,控制活動,設計原則,基本原則,
基本簡介
COSO報告從四個方面:目的、承諾、能力、監督與學習,提出20項控制基準。但是COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架,同時《薩班斯法案》第 404 條款的「最終細則」也明確表明 COSO內部控制框架可以作為評估企業內部控制的標準。作為紐約證交所上市的公司,需要按照法案要求,引進COSO內部控制框架,整合現有內部控制,滿足法案的要求。
組成關係
控制環境
控制環境是所有其他組成要素的基礎,包括了以下要素:
1) 誠信和道德價值觀;
2) 致力於提高員工工作能力及促進員工職業發展的承諾;
3) 董事會和審計委員會。包括的因素有董事會與審計委員會與管理者之間的獨立性,成員的經驗和身份,參與和監督活動的程度,行為的適當性;
4) 管理層的理念和經營風格;
5) 組織結構。包括了定義授權和責任的關鍵領域以及建立適當的報告流程;
6) 許可權及職責分配。經營活動的許可權和權責分配以及建立報告關係和授權協定。它包括了以下幾點:
a) 被激勵主動發現問題並解決問題以及被授予許可權的程度;
b) 也描述適當的經營實踐,關鍵人員的知識和經驗,提供給執行責任的資源政策;
c) 確保所有人理解公司目標。每個人知道他的行為與目標實現的關聯和貢獻的重要程度。
7) 人力資源政策及程式。
風險評估
首先,風險評估的前提條件是設立目標。只有先確立了目標,管理層才能針對目標確定風險並採取必要的行動來管理風險。設立目標是管理過程重要的一部分。儘管其並非內部控制要素,但它是內部控制得以實施的先決條件。
其次,識別與上述目標相關的風險。
再次,評估上述被識別風險的後果和可能性。一旦確定了主要的風險因素,管理層就可以考慮它們的重要程度,並儘可能將這些風險因素與業務活動聯繫起來。
最後,針對風險的結果,考慮適當的控制活動。
控制活動
控制活動指為確保管理層指示得以執行,削弱風險的政策(做什麼)和程式(如何做)。它們有助於保證採取必要措施來管理風險以實現企業目標。控制活動貫穿於企業的所有層次和部門。它們包括一系列不同的活動,如批准、授權、查證、核對、覆核經營業績、資產保護以及職責分工等。
信息與溝通
監督
一個評估系統在一定時期運行質量的過程。這一過程通過持續的監控行為、獨立的評估或兩者的結合來實現。持續的監控行為發生在經營的過程中。它包括日常管理和監管行為。獨立評估的範圍和頻率主要依賴於風險評估和持續監控程式的有效性。內部控制的缺陷應自下而上進行報告,重要事項應報知高層管理人員和董事會。
控制模型
1、 強調“軟控制”的功能。相對於以前的內部控制而言,框架更加強調那些屬於管理文化層面的軟性管理因素。
2、 強調內部控制應與企業的經營管理過程相結合。框架認為,經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。內部控制是企業經營管理過程的一部分,與經營過程結合在一起,而不是凌駕於企業的基本活動之上,它使經營達到預期的效果,並監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,並不能取代管理。
4、 明確對內部控制的“責任”。COSO框架第一次明確地闡述了內部控制的制定與實施的責任問題。框架指出,不僅僅是董事會、管理人員、內部審計人員,組織中的每一個人都對內部控制環節負有責任。
5、 強調內部控制的分類和目標。目標的設定雖然不是內部控制的組成要素,但卻是內部控制的先決條件,也是促成內部控制的要件。框架將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標,有利於不同的人從不同的視角關注企業內部控制的不同方面。
COSO內部控制框架是一個較為理想的框架,幾乎所有公司的內部控制均與之有一定差距,雖然這必然加大企業負擔,但多數公司希望通過理解和貫徹COSO內部控制框架要求,梳理管理流程、規範管理,來實現提升整體管理水平的目的。
控制設計
一般步驟:
1. 確認所要進行的內控設計針對的內控目標是什麼。
2. 根據確認的內控目標,識別公司層面的內外部主要風險並進行評估。
3. 通過業務流程的全面梳理,鎖定與確認的內控目標相關的業務流程。
4. 按照COSO框架提出的控制標準,對確認的主要風險提出控制要求,將梳理得出的業務流程(風險控制活動)與控制要求進行對比分析,提出整改建議。
5. 對所確定的業務流程進行分析,分析確認業務活動中存在的風險,提出整改建議。
6. 各項制度規章的完善和補充。
下面我們對於風險評估、控制活動具體設計的內容再作進一步的說明:
風險評估
2. 評估上述識別出的風險的後果和可能性。
3. 描述公司流程。
1) 制定公司流程總目錄和流程描述的規範;
2) 流程具體描述。
4. 識別與風險相關的應對流程的風險,並建立風險資料庫
5. 根據上述風險評估的結果,建立持續的風險評估制度體系
控制活動
2. 以公司層面“關鍵控制點和控制要點”為基礎,對應識別的重要風險建立關鍵控制文檔。
3. 關鍵控制與相關管理制度之間的比對分析。
設計原則
1. 相互牽制原則
相互牽制原則,是指一項完整的經濟業務活動,必須分配給具有互相制約關係的兩個或兩個以上的部門(或崗位)分別完成。即在橫向關係上,至少要由彼此獨立的兩個部門或人員辦理,以使該部門或人員的工作接受另一個部門或人員的檢查和制約;在縱向關係上,至少要經過互不隸屬的兩個或兩個以上的崗位和環節,以使下級受上級監督,上級受下級牽制。其理論根據是在相互牽制的關係下,幾個人發生同一錯弊而不被發現的機率,是每個人發生該項錯弊的機率的連乘積,因而將降低誤差率。不相容職務相互分離控制有以下幾項內容:
* 授權批准職務與執行業務職務相分離;
* 執行業務職務與監督審核職務相分離;
* 執行業務職務與會計記錄職務相分離;
* 財產保管職務與會計記錄職務相分離;
* 執行業務職務與財產保管職務相分離。
2. 授權控制原則
授權控制原則,是指企業單位應該根據各崗位業務性質和人員要求,相應地賦予作業任務和職責許可權,規定操作規程和處理手續,明確紀律規則和檢查標準,以使職、責、權、利相結合。崗位工作程式化,要求做到事事有人管,人人有專職,辦事有標準,工作有檢查。授權體系包括:
1) 授權批准的範圍
企業所有的經營活動一般都應當納入授權批准的範圍。
2) 授權層次
授權應當是區別不同情況分層次授權。根據經濟活動的重要性水平和金額大小確定不同的授權批准層次,有利於保證各種管理層和有關人員有權有責。
授權批准在層次上應當考慮連續性,要將可能發生的情況全面納入授權批准體系,避免出現真空地帶。當然,應當允許根據具體情況的變化,不斷對有關制度進行修正。
3) 授權責任
被授權者應能夠明確在履行權力時應對哪些方面負責,避免授權責任不清,出現問題又難咎其責的情況發生。
4) 授權批准程式
企業的經濟業務既涉及企業與外單位之間資產與勞務的交換,也包括在企業內部資產和勞務的轉移和使用。因此,每類經濟業務都會有一系列內部相互聯繫的流轉程式。所以,應規定每一類經濟業務的審批程式,以便按程式辦理審批,避免越級審批和違規審批的情況發生。
3. 成本效益原則
貫徹成本效益原則,即要求在實行內部控制花費的成本和由此而產生的經濟效益之間要保持適當的比例,實行內部控制所花費的代價不能超過由此而獲得的效益,否則應捨棄該控制措施。
4. 整體結構原則
企業內部控制系統,必須包括控制環境、風險評估、控制活動、信息與溝通、監督五項要素,並覆蓋各項業務和部門。換言之,各項控制要素、各業務循環或部門的子控制系統,必須有機構成企業內部控制的整體架構。這就要求,各子系統的具體控制目標,必須對應整體控制系統的一般目標。
基本原則
《美國薩班斯—奧克斯利法案(Sarbanes-Oxley Act)》(簡稱SOX)要求上市公司,無論大的還是小的,每年對財務報表內部控制的有效性進行評估和報告。幸運的是,公司可以依賴一個行業標準——內部控制集成框架,來評估和改進其內控體系。
全國反欺詐財務報告(特雷得維)委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission,簡稱COSO)於1992年頒布的這一框架,長期以來作為建立旨在提高效率、降低風險、幫助保證財務狀況報表可信性、遵從法律法規的內部控制的藍本。由於其全面性、有效性和普遍原則,框架受到世界上很多組織的稱讚並被接受。
框架頒布之後,財務報表、公司治理和法律環境發生了很多變化。薩班斯—奧克斯利法案404條款(SOX 404)是公司財務報表內部控制的主要推動。
