《COSO—内部控制框架》(翻译稿)(215页DOC).docx
《《COSO—内部控制框架》(翻译稿)(215页DOC).docx》由会员分享,可在线阅读,更多相关《《COSO—内部控制框架》(翻译稿)(215页DOC).docx(216页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、最新资料推荐COSO内部控制框架目 录管理层概述 1总体构架 111 定义 132 控制环境 233 风险评估 334 控制活动 495 信息和沟通 596 监控 697 内部控制的局限 798 作用和职责 83附录A 学习本文的相关事项及背景知识 93B 方 法 体 系 99C 对定义的看法和使用 105D 反 馈 意 见 111E 术 语 119内部控制整体构架 管理层概述构架对外界的报告“对外界的报告”附录管理层概述高层管理人员一直在探求更好的企业经营控制之道。内部控制致力于促使企业向着赢利和完成自身使命的目标运行,并使这一过程中的意外最小化。内部控制使管理层能够应对瞬息万变的经济和竞争
2、环境,客户不断变换的需求和偏好,并进行重组以利于公司的未来发展。内部控制有利于提高企业经营效率,降低资产损失风险,有助于保证财务报表的可靠性、企业经营活动的合法合规性。鉴于内部控制具有上述的重要性,因此对提高内控系统及其报告质量的需求日益增加。内部控制日益被视为诸多潜在问题的解决方案。什么是内部控制内部控制对不同的人有不同的含义。这一概念在商业界人士、法律界人士、监管当局和其他人士之间容易引起混淆。由此造成的误解和期望值的差异往往给企业带来问题。一旦内部控制这一名词未经清楚定义就写入法律、规章或规则,问题便复杂化了。本文是针对管理层的需要和期望而写的。本文对内部控制的定义服务于以下目的:l 确
3、立一个满足各方需要通用的定义。l 提供一个标准无论规模大小、公用和私人性质、赢利和非赢利,使各类企业都能以此对其内部控制制度进行评估和改进。内部控制广义上可定义为一个受企业董事会、经理层和其他人员影响的,为达到下列目标提供合理的保证的程序:l 经营的效果和效率l 财务报告的可靠性l 法律法规的遵循性第一类目标指企业的基本经营目标,包括业绩、赢利指标和资源保护。第二类目标指编制可靠的公开财务报表的,包括中期和简略财务报表,以及从这些财务报表中摘出的数据(如利润分配数据)。第三类目标指企业经营必须符合相关的法律法规。以上三类目标既相互独立又相互联系,分别代表不同的需求,需要对它们作专门研究。内部控
4、制制度依据其运行的有效性程度而有所不同。因此,这三类目标又可据此进行划分,如果董事会和经理层能够合理的保证:l 他们清楚地知道企业经营目标实现的程度l 公开财务报表的编制是可靠的l 企业适用的法律得到遵守虽然内部控制是一个过程,它的效果却表现为在某一时点上这一过程的状态。 内部控制包括五个相互联系的要素。它们源自管理层的经营方式,并与管理过程紧密相连。尽管此五项要素适用于各类企业,但是中小企业对其应用可能不同于大型企业。中小企业的内部控制可能不及大型企业正式、组织性强,但其内部控制也可能是有效的。内部控制的五项要素为:l 控制环境控制环境决定了企业的基调,直接影响企业员工的控制意识。控制环境提
5、供了内部控制的基本规则和构架,是其他四要素的基础。控制环境包括员工的诚信度、职业道德和才能;管理哲学和经营风格;权责分配方法、人事政策;董事会的经营重点和目标等。l 风险评估每个企业都面临诸多来自内部和外部的有待评估的风险。风险评估的前提是使经营目标在不同层次上相互衔接,保持一致。风险评估指识别、分析相关风险以实现既定目标,从而形成风险管理的基础。由于经济、产业、法规和经营环境的不断变化,需要确立一套机制来识别和应对由这些变化带来的风险。l 控制活动控制活动指那些有助于管理层决策顺利实施的政策和程序。控制行为有助于确保实施必要的措施以管理风险,实现经营目标。控制行为体现在整个企业的不同层次和不
6、同部门中。它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。l 信息和沟通公允的信息必须被确认、捕获并以一定形式及时传递,以便员工履行职责。信息系统产出涵盖经营、财务和遵循性信息的报告,以助于经营和控制企业。信息系统不仅处理内部产生的信息,还包括与企业经营决策和对外报告相关的外部事件、行为和条件等。有效的沟通从广义上说是信息的自上而下、横向以及自下而上的传递。所有员工必须从管理层得到清楚的信息,认真履行控制职责。员工必须理解自身在整个内控系统中的位置,理解个人行为与其他员工工作的相关性。员工必须有向上传递重要信息的途径。同时,与外部诸如客户、供应商、管理当局和股东的之
7、间也需要有效的沟通。l 监控内部控制系统需要被监控,即对该系统有效性进行评估的全过程。可以通过持续性的监控行为、独立评估或两者的结合来实现对内控系统的监控。持续性的监控行为发生在企业的日常经营过程中,包括企业的日常管理和监督行为、员工履行各自职责的行为。独立评估活动的广度和频度有赖于风险预估和日常监控程序的有效性。内部控制的缺陷应该自下而上进行汇报,性质严重的应上报最高管理层和董事会。这五项要素既相互独立又相互联系,形成一个有机统一体,对不断变化的环境自动作出反应。内部控制制度与企业的经营行为紧密相连,因基本的商业动机而存在。内部控制成为企业内部构架的核心部分和基本理念时最为有效。这时内部控制
8、可以支持经营质量和主动的授权,避免不必要的花费,并对环境的变化迅速作出反应。内部控制的三类目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标如经营的效率和效果需要五项要素共同发挥作用,以说明经营的内部控制是有效的。内部控制的定义受人为因素影响、提供合理保证的过程,这一内在基本的概念及其不同种类的的目标、内部控制要素、内控有效性评价准则、与之相关的讨论,构成这本内部控制基本构架的内容。内部控制能做什么内部控制有助于企业实现其业绩和利润目标,防止资源损失,提高财务报告的可靠性,督促企业遵守相关法律法规,避免企业名
9、誉受到损害以及受到其他不良影响。总之,内部控制有利于企业在即定轨道中前进,避免走弯路和遭遇突然袭击。内部控制不能做什么不幸的是,一些人对内部控制有不合实际的预期,他们存在以下幻想:l 内部控制可以确保企业的成功它能确保企业实现基本经营目标,至少能保证企业的生存。即使有效的内部控制也仅仅能帮助企业实现经营目标。它提供给管理层关于企业成长过程中的信息。但内部控制不能使一个内在水平糟糕的经理变得杰出。另外,政府政策的变化、竞争对手的行为或经济环境都在管理层控制之外。内部控制不能保证成功,甚至不能保证生存。l 内部控制可以确保财务报告的可靠性和法律法规的遵循性。此观点也是不正确的。内部控制制度,无论设
10、计、运行多么理想,都只能就企业目标的实现向管理层和董事会提供合理的,而非绝对的保证。经营目标的实现受到任何内控系统都具有的固有局限性的影响。内控系统的内在有限性包括以下现实情况:决策判断可能失误,简单的错误可能导致大纰漏。另外,控制可能因为两个以上人的相互勾结而趋于无效,而经理层有超越内控系统的权力。还有一个局限就是内控系统的设计必须反映以下事实,即出于资源有限性的考虑,内部控制必须考虑成本收益的匹配。因此,尽管内部控制有助于企业实现其目标,但它并非万能药。角色和职责企业的每位员工都应担负内部控制的职责。l 经理层总裁应最终负责并具有内控系统的“所有权”。与其他人相比较,总裁制定了最高基调,这
11、将影响诚信度、道德品行以及构成一个积极的 控制环境的其他因素。在大公司,总裁通过督导高层管理人员检查其经营行为来完成自身职责。高层管理人员,则向各部门负责人分配具体的控制措施和程序。在规模小些的公司,总裁常常身兼所有者和经理人双重角色,其影响也就更加直接。在任何情况下,对于金字塔式的职责分布结构,每位经理人实际就是他所辖管职责范围内的总裁。经理层中具有特殊意义的是财务总监及其下属,他们的控制行为切入企业经营的各部分。l 董事会经理层对董事会负责,董事会提供管理、指引和核查。高效率的董事会成员应该是实事求是、富有才华和钻研精神的。他们熟悉企业经营及环境,留出足够的时间来完成董事会职责。不诚实的经
12、理层有可能越过内部控制,忽视或压制下属的信息反馈,并故意误报结果以掩盖其行径。一个强有力、活跃的董事会,特别是具备了有效的信息自下而上传递的渠道,以及完善的财务、法律和内审职能后,往往能识别和纠正这样的问题。l 内部审计人员内审人员在评价、维护企业内控系统有效性方面起重要作用。由于在企业中的组织地位和权威性,内部审计在监控方面扮演重要角色。l 其他人员从某种程度上说,内部控制是企业中每个人的职责,因此应成为每个人工作职责中明示或暗示的部分。实际上,所有职员都在产出内控系统需用的信息,或在进行与内控有效运行相关的活动。而且,所有职员都有责任向上层汇报经营中存在的问题、背离准则和违规违法行为。一些
13、企业外部人员常常有助于企业目标的实现。独立审计师通过实施独立、客观的监控,通过直接的财务报表审计和间接的管理建议,来帮助管理层完成职责。其他能够提供对有效内部控制有用信息的外部人员,包括律师、监管当局、客户、财务分析师、债券评级师和新闻媒体等。外部人员,不属于企业内控系统的一部分,也不对企业内控系统负责。本报告的组织结构本报告分四部分。第一部分“管理层总结”,是对内部控制总体构架的高度总结,是针对总裁和高级管理人员、董事会成员、律师和监管当局而写的。第二部分“总体构架”,对内部控制进行了定义,阐述其构成要素,为管理层、董事会及他人提供了评估内部控制有效性的准则。第三部分“外部团体报告”,是附件
14、,对那些已经或准备公开披露其对编制财务报表进行内部控制的企业提供了指导第四部分“评估工具”,提供了对内控系统进行评估的有用资料。本报告目的根据本报告所能采取的行动与当事人所处的位置和承担的职责有关:l 高级管理人员多数来此学习的管理人员相信其对企业能够基本控制。然而,许多人认为一些部门或控制环节的内控还处于发展阶段或需要进一步加强。没有人喜欢出漏子。本研究报告建议总裁创建一套内控系统的自我评价系统。运用此系统,总裁以及主要经营、财务管理人员就能够将注意力集中在关键问题上。一种方法是:总裁将部门负责人和业务骨干召集在一起讨论内部控制的初始评估方案,然后指导其他职员和上司讨论本报告中的概念,各职员
15、在其职责范围内检查初始评估方案并提出反馈意见。另一种方法则包括对公司情况的初步复核、部门控制政策和内部审计程序。不管何种形式,初始评估方案应该能够决定是否有必要,或如何进行更深层次的评估。另外,它也应能保证持续的监管到位。评价内控系统所花费的时间是一种具有高回报的投资。l 董事会成员董事会成员应该和高层管理人员讨论企业内部控制制度的状况并在需要时提供督导。他们应借鉴内部审计师和外部审计师的意见。l 其他人员经理和其他人员应该考虑自身控制职能在整体内控构架下如何执行,并和高级管理人员讨论加强内部控制的方法。内部审计师应该考虑其对内控系统的关注范围,并将比较其评估资料与评估工具。l 立法者和监管当
16、局立法当局认识到对任何事件都会存在误解和不同的期望。对内部控制的理解在两方面存在不同。首先,在内部控制的作用方面存在不同。如前所述,一些人认为内控系统应该能够防止企业遭受损失,或至少能够防止企业破产。其次,即使已在内控系统所能和所不能,以及“合理保证”的概念上取得一致,对于内部控制的概念和应用仍存在分歧。公司总裁非常关注监管当局在所谓内控失败事件发生后如何分析有关“合理性保证”的公开报告。在遵守有关管理层报告其内控情况的法律法规之前,需要对包括内控局限性的内部控制基本构架取得一致。本报告所阐述概念框架有助于达成以上共识。l 专业组织专业组织就企业的财务管理、审计和其他相关主题提供指引,因此必须
17、考虑其对内控构架提出的标准和指导。一旦在概念和术语上的分歧消失,各方都会收益。l 学术界本内控构架可作学术研究和分析之用,以对其进一步改进。假设本报告被普遍接收,作为基础理论,其概念和专业术语有可能进入大学的课程。我们相信本报告能带来一些益处。以此为基础达成共识,各方就有了统一的语言,能更有效地交流。商业管理人士将有一套评估内控系统的标准,以进一步加强内控,使企业向着既定目标前进。未来关于内部控制的研究也有了明确的基础。立法者和监管当局对内控的理解更加深刻,包括其优点和不足。只有各方运用同一个通用的内控构架,这些益处才会实现。内部控制整体构架管理层概述 构架对外界的报告“对外界的报告”附录第一
18、章 定 义本章概要:内部控制被定义为一个受企业员工行为影响,用以完成特定目标的过程。这是一个广义的概念,包含了对企业进行控制的各个方面,但却强调将重点放在特定的目标上。内部控制包括五个相互联系的要素,它们都包含在管理层经营企业的方式中。五项要素相互联系,作为评判内控系统是否有效的准则。本次研究的主要目的在于协助管理层更好地控制企业行为。但内部控制对不同的人有不同的含义。大量的术语和释义妨碍人们了对内部控制的达成共识。因此一个重要的目标就是将形式各异的内控概念总结成一个总体构架,以确定一个通用的定义和明确各控制要素。本构架是为适应多数观点而设计的,并为企业的内控评价、立法机构的未来举措以及教学研
19、究提供了起点。内部控制内部控制的定义如下:内部控制是一个受到董事会、经理层和其他人员影响的过程,该过程的设计是为了提供实现以下三类目标的合理保证:l 经营的效果和效率l 财务报告的可靠性l 法律法规的遵循性该定义反映了以下基本概念:l 内部控制是一个过程。它是实现目的手段,而非目的本身。l 内部控制受人为影响。它不仅仅是政策手册和图表,而且涉及企业各层次的人员。l 内部控制只能向企业董事会和经理层提供合理的保证,而非绝对的保证。l 内部控制是为了实现三类即相互独立又相互联系的目标。有两个理由使我们相信以上内部控制的定义是广泛适用的。第一,我们采访的多数经理是这样来看企业内部控制的。实际上,他们
20、常常提及“控制”一词,而且正在“控制”。第二,它适用于内部控制的多个子集。不同人可以有不同的侧重点,例如,可以分别侧重于财务报告和法律法规的遵循性。类似的,这一定义对企业某一部门或某一行为的内部控制也适用。该定义同时也提供了决定内控有效性的基础,这在后面章节将会讨论到。以上基本定义将在以下小节详细讨论。 内部控制是一个过程内部控制并非单一的事件或环境,而是针对企业行为的一系列活动。这些活动是潜移默化的,蕴含于管理层的日常经营行为中。企业横向和纵向的经营行为都是通过计划、执行和监控这一基本过程进行的。内部控制是与这一过程密不可分的一部分,使之能够良好运行,并监督运行以保持持续的相关性。它是管理层
21、的工具,而非管理的替代品。这一定义与很多人不同,他们认为内部控制在企业的运营过程之外,是立法者和监管当局给企业增加的负担。内控系统与企业的运营紧密相连,因基本的商业动机而存在。只有内部控制成为企业内部构架中关键的一部分时,才最为有效。内部控制应该“嵌入” 企业之中,而非“外置”在企业之外。“嵌入式”控制直接影响企业实现其目标的能力,并支持企业的质量举措。对质量的要求直接与企业的运营和控制相联系。质量举措已成为企业运营构架的一部分:l 高层管理人员确信质量价值蕴涵于企业的经营方式中。l 确立质量目标与企业的信息收集、分析及其他过程相联系。l 运用对有关竞争活动和客户期望的认知来不断推进质量的提高
22、以上质量要素与有效的内控系统要素相重合。实际上,内部控制不仅与质量规划紧密结合,而且对其成功起关键作用。 “嵌入式”控制对成本节约和减少反应时滞有重要作用。l 多数企业面临高度的市场竞争和节约成本的需要。在现有的过程上增加新程序必然会增加费用。如果将重点放在当前的运营及其对有效内部控制的影响上,并将内部控制嵌入企业的日常经营中,常能使企业避免不必要的程序和成本。l 将内部控制嵌入企业的运营构架中,有助于针对新的经营行为采取新的控制措施。这种自动反应增加了企业的敏捷度和竞争力。人的因素内部控制受到企业董事会、经理层和其他人员的影响。它是通过企业员工的言行才实现的。人们确立企业的目标并将内控系统付
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- COSO内部控制框架 COSO 内部 控制 框架 译稿 215 DOC
限制150内