搜索
COSO内部控制新框架敏于知敏于知自COSO发布1992版框架以来,现今的商业环境已变得大为不同,新生产技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,促使企业在满足旧框架运营、合规、财务报告内控目标的基础上,越来越关注公司治理和风险管理,越来越重视非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也进一步要求加强和完善内部控制标准。以上这些因素都推动了COSO对已颁布二十年之久的原框架作出相应更新,以帮助企业能够高效果高效率地制定内部控制系统,实现重要的业务目标并持续优化企业绩效;适应日益复杂和不断变化的商业环境,将风险降至可接受水平并且提高决策信息的可靠性。我国财政部亦在2012年5月对《企业内部控制整体框架》(征求意见稿)做出了积极的回应,并提出了相应的工作建议,体现其对2013版框架的高度重视,“新框架代表了国际内部控制和风险管理领域的最新研究成果和发展趋势,对我国企业内部控制规范体系的完善与实施具有重要的借鉴意义。”而最重大的变化,就是它明确地列出了17项总体原则(如附录),这些原则代表着与每个内部控制要素相关的基本概念,可确保五大内控要素以及整个内部控制系统的有效运行。一个存在且发挥效用的原则的确需要达到某个令人满意的水平——但这并不意味着企业在运用有关原则时必须达到最高水准。企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡,从而做出决定。内部控制的设计各有迥异,并不存在完全统一的标准。须何时开始应用新框架?须何时开始应用新框架?COSO表示,已采纳1992版框架的企业(尤其是将在《萨班斯-奥克斯利法案》合规工作中使用新框架的企业),应当按其具体情形,在可行的情况下提早开始使用2013版新框架来开展相关工作和文件记录。在2014年12月15日之前仍然可以继续使用1992版框架,但在该日期后,该框架将被COSO视为已被新框架所取代。公司在过渡期间(2013年5月14日至2014年12月15日)继续使用1992版框架是适当的。新框架与旧框架相比有哪些变化?新框架与旧框架相比有哪些变化?在内部控制的核心定义、立方体结构以及各个维度基本保持原貌的同时,用以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。但新框架有七项重要变化,列出如下:首先,明确列示了用以支持内部控制五大要素的原则。其次,明确了目标设定在内部控制中的作用。第三,反映了科技日益深入的相关性。第四,更深入地讨论了有关治理的理念。第五,扩大了报告目标类别(范畴)。第六,加强了对反舞弊预期的考虑。最后,更加关注非财务目标。新框架内容重点解析新框架内容重点解析(2013版)运营报告合规控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监控活动监控活动关于甫瀚咨询关于甫瀚咨询甫瀚咨询()是一家全球性的咨询机构,帮助企业解决财务、信息技术、运营、治理、风险管理以及内部审计领域的难题。我们在20多个国家设有70多家分支机构,为超过35%的美国财富1000强及全球财富500强企业提供咨询服务。我们亦与政府机构和成长型中小企业开展合作,其中包括计划上市的企业。甫瀚咨询是RobertHalfInternationalInc.(纽约证券交易所代码:RHI)的全资子公司。RHI于1948年成立,为标准普尔500指数的成员公司。北京北京中国北京100022朝阳区建国门外大街2号银泰中心C座2001室电话:(86.10)85151233传真:(86.10)85151232上海上海中国上海200020黄浦区淮海中路381号中环广场2618-38室电话:(86.21)51536900传真:(86.21)63915598深圳深圳中国深圳518048福田区中心四路1号嘉里建设广场1座1404室电话:(86.755)25982086传真:(86.755)25982100香港香港香港湾仔港湾道18号中环广场2103-04室电话:(852)22380499传真:(852)31187493联络方式联络方式©2013甫瀚咨询(上海)有限公司甫瀚咨询并非一间注册会计师事务所,故并不就财务报表发表意见或提供鉴证服务。对企业内控规范体系、在美上市公司遵循《萨班斯法案》以及赴港上市公司遵循《第对企业内控规范体系、在美上市公司遵循《萨班斯法案》以及赴港上市公司遵循《第2121项应用指引》(项应用指引》(PN21PN21)的影响影响财政部提出,2013版框架与我国企业内控规范体系在整体架构、基本原则和主要内容方面基本保持一致,因此,为我国企业内控规范体系与COSO内控框架的趋同奠定了坚实基础。萨班斯法案404条款的要求是针对财务报告相关的内部控制,其合规工作的基本理论方法依据是COSO内控框架。因此,也必须按照新框架的实施时间表对合规工作按照新框架进行必要的调整。2013版框架在内部控制的定义、内部控制五要素(控制环境、风险评估、控制活动、信息与沟通和监控活动)、评估内控体系有效性的标准以及职业判断的运用等方面与1992版框架保持了一致。对于企业来说,萨班斯法案的合规工作并没有根本性的改变,主要调整在于需要针对公司层面控制需要按照2013版框架提出的17个主要原则,79个关注点进行自我检视。对于流程层面控制,企业则可以根据自身的行业特色及管理需求,结合外部审计师的关注点建议,基于2013版框架的要求原则,在贯彻17个主要原则的前提下,考虑必要的调整。香港会计师公会(HKICPA)在2013年11月所颁布的技术通告(AATB1)中,明确提出了对未来所有拟赴港上市的企业的内部控制尽职调查工作拟采用2013版框架,并且要求审计师以17项原则评估企业的内部控制。欲了解更多有关COCO内部控制2013版新框架的内容和企业所关注的相关问题,请点击:达于行达于行甫瀚咨询的创始董事总经理BobHirth被任命为COSO委员会的主席。我们的财务控制和合规专业团队曾帮助数百家企业建立有效的财务报告内部控制。我们帮助客户用以流程为基础的方法来建立内部控制体系,通过实施风险评估界定工作范围重点,并辅以信息化的手段,从而协助企业降低合规成本。我们帮助客户了解关键风险,识别重要控制,建立可靠的证据来支持设计和执行的有效性,在公司上下落实合规工作的问责机制,以及协调外部审计鉴证程序的实施。经过为上百家公司服务而积累的经验,使得我们有足够的知识帮助组织着眼长远,做出正确的决策并通过持续改进来创造价值。我们灵活而全面的方法背后有一套为客户定制的路线图,包括客户的工作重点、计划改进方面、长期战略改进和时间表。我们的服务具体包括:拟香港上市公司内部控制审阅及香港上市公司公司管治咨询;中国上市公司《内部控制基本规范》合规咨询;美国上市公司《萨班斯-奥克斯利法案》合规咨询;治理、风险及控制软件(GovernancePortal)的实施及支持。甫瀚咨询提供的服务甫瀚咨询提供的服务6–运营目标–运营目标22a23a考虑风险忍受度反映管理层决策2425形成投入资源的基准涵盖运营和财务目标–外部财务报告目标–外部财务报告目标22b符合会计准则23b考虑重要性水平26–外部非财务报告目标–外部非财务报告目标22c符合外部标准和框架反映企业活动23c考虑精准度要求反映企业活动26–内部报告目标–内部报告目标22a23c考虑精准度要求反映企业活动反映外部法律法规反映管理层决策26–合规目标–合规目标22d23a考虑风险忍受度企业制定足够清晰的目标,以便识企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险别和评估有关目标所涉及的风险附录:新框架附录:新框架1717项原则项原则1企业对诚信和道德价值观的承诺企业对诚信和道德价值观的承诺1确立“高层态度”2建立行为标准3评价对行为准则的遵守情况4及时处理行为偏差2董事会独立于管理层,对内部控制董事会独立于管理层,对内部控制的制定及其绩效施以监督的制定及其绩效施以监督5制定监督责任6保有对内部控制系统的监督7调用相关专业人员8保持独立运作9监控控制环境、风险评估、控制活动、信息与沟通以及监督行为3管理层在董事会的监督下,建立目管理层在董事会的监督下,建立目标实现过程中所涉及的组织架构、标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任报告路径以及适当的权利和责任10考虑企业所有的组织架构11制定报告路径定义、分配权限和职责范围124企业致力于吸引、发展和留任优秀企业致力于吸引、发展和留任优秀人才,以配合企业目标达成人才,以配合企业目标达成13建立制度和操作方案14评价人员的竞争能力和识别技能的不足15吸引、发展和留任人才16计划人才储备5企业内部控制责任人的问责制度企业内部控制责任人的问责制度17实施权责问责机制18建立绩效考核和奖励制度19评价绩效并执行奖励20考虑额外的压力21评价员工表现并奖励遵守纪律的员工原则原则关注点关注点控制环境控制环境风险评估风险评估39与风险评估相结合考虑企业自身的因素4041决定相关商业流程42评价控制活动类型集合43考虑控制活动的应用层面44职责分离45决定技术在流程中的应用以及技术的一般控制46制定相关技术基础设施控制活动47制定相关安全管理流程控制活动48制定相关技术取得、发展和维护的流程控制活动49制定政策和程序以支持管理层的部署50制定执行政策和程序的责任问责机制51定期执行52时常纠错53选用足以胜任的人员54重新评估政策和程序10企业选择并制定有助将目标实现风企业选择并制定有助将目标实现风险降低至可接受水平的控制活动险降低至可接受水平的控制活动11企业为用以支持目标实现的技术选企业为用以支持目标实现的技术选择并制定一般控制政策择并制定一般控制政策12企业通过政策和程序来部署控制活企业通过政策和程序来部署控制活动:政策用来确定所期望的目标;动:政策用来确定所期望的目标;程序则将政策付诸于行动程序则将政策付诸于行动控制活动控制活动原则原则关注点关注点7企业从整个企业的角度来识别实现企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并目标所涉及的风险,分析风险,并据此决定应如何管理这些风险据此决定应如何管理这些风险27涵盖总公司、子公司、分支机构、事业部和职能部门28分析内部和外部因素29涵盖适当层级的管理评估风险识别的重要性3031决定如何应对风险8企业在评估影响目标实现的风险时,企业在评估影响目标实现的风险时,考虑潜在的舞弊行为考虑潜在的舞弊行为32考虑不同类型的舞弊33评估员工承受的压力和激励手段34评估舞弊发生的机会35评估态度和合理性9企业识别并评估可能会对内部控制企业识别并评估可能会对内部控制系统产生重大影响的变更系统产生重大影响的变更36评估外部环境变化37评估商业模型变化38评估领导层变化风险评估(续)风险评估(续)13企业获取或生成和使用相关的高质企业获取或生成和使用相关的高质量信息,以支持内部控制其他要素量信息,以支持内部控制其他要素发挥效用发挥效用5556获取内部、外部数据来源识别信息需求57将相关数据处理成信息58在处理过程中保持信息质量5960沟通内部控制信息考虑成本效益61与董事会沟通62提供彼此独立的沟通渠道63选择沟通方式14企业于内部沟通的内部控制信息,企业于内部沟通的内部控制信息,包括内部控制目标和职责范围,必包括内部控制目标和职责范围,必须能够支持内部控制的其他要素发须能够支持内部控制的其他要素发挥效用挥效用信息与沟通信息与沟通原则原则关注点关注点15企业就影响内部控制其他要素发挥企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通效用的事项与外部方进行沟通64与外部各方沟通65实现入站通讯66与董事会沟通67提供彼此独立的沟渠道68选择沟通方式信息与沟通(续)信息与沟通