COSO内部控制新框架(2013版)要素、原则、关注点

6–运营目标–运营目标22a23a考虑风险忍受度反映管理层决策2425形成投入资源的基准涵盖运营和财务目标–外部财务报告目标–外部财务报告目标22b符合会计准则23b考虑重要性水平26–外部非财务报告目标–外部非财务报告目标22c符合外部标准和框架反映企业活动23c考虑精准度要求反映企业活动26–内部报告目标–内部报告目标22a23c考虑精准度要求反映企业活动反映外部法律法规反映管理层决策26–合规目标–合规目标22d23a考虑风险忍受度企业制定足够清晰的目标，以便识企业制定足够清晰的目标，以便识别和评估有关目标所涉及的风险别和评估有关目标所涉及的风险附录：新框架附录：新框架1717项原则项原则1企业对诚信和道德价值观的承诺企业对诚信和道德价值观的承诺1确立“高层态度”2建立行为标准3评价对行为准则的遵守情况4及时处理行为偏差2董事会独立于管理层，对内部控制董事会独立于管理层，对内部控制的制定及其绩效施以监督的制定及其绩效施以监督5制定监督责任6保有对内部控制系统的监督7调用相关专业人员8保持独立运作9监控控制环境、风险评估、控制活动、信息与沟通以及监督行为3管理层在董事会的监督下，建立目管理层在董事会的监督下，建立目标实现过程中所涉及的组织架构、标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任报告路径以及适当的权利和责任10考虑企业所有的组织架构11制定报告路径定义、分配权限和职责范围124企业致力于吸引、发展和留任优秀企业致力于吸引、发展和留任优秀人才，以配合企业目标达成人才，以配合企业目标达成13建立制度和操作方案14评价人员的竞争能力和识别技能的不足15吸引、发展和留任人才16计划人才储备5企业内部控制责任人的问责制度企业内部控制责任人的问责制度17实施权责问责机制18建立绩效考核和奖励制度19评价绩效并执行奖励20考虑额外的压力21评价员工表现并奖励遵守纪律的员工原则原则关注点关注点控制环境控制环境风险评估风险评估39与风险评估相结合考虑企业自身的因素4041决定相关商业流程42评价控制活动类型集合43考虑控制活动的应用层面44职责分离45决定技术在流程中的应用以及技术的一般控制46制定相关技术基础设施控制活动47制定相关安全管理流程控制活动48制定相关技术取得、发展和维护的流程控制活动49制定政策和程序以支持管理层的部署50制定执行政策和程序的责任问责机制51定期执行52时常纠错53选用足以胜任的人员54重新评估政策和程序10企业选择并制定有助将目标实现风企业选择并制定有助将目标实现风险降低至可接受水平的控制活动险降低至可接受水平的控制活动11企业为用以支持目标实现的技术选企业为用以支持目标实现的技术选择并制定一般控制政策择并制定一般控制政策12企业通过政策和程序来部署控制活企业通过政策和程序来部署控制活动：政策用来确定所期望的目标；动：政策用来确定所期望的目标；程序则将政策付诸于行动程序则将政策付诸于行动控制活动控制活动原则原则关注点关注点7企业从整个企业的角度来识别实现企业从整个企业的角度来识别实现目标所涉及的风险，分析风险，并目标所涉及的风险，分析风险，并据此决定应如何管理这些风险据此决定应如何管理这些风险27涵盖总公司、子公司、分支机构、事业部和职能部门28分析内部和外部因素29涵盖适当层级的管理评估风险识别的重要性3031决定如何应对风险8企业在评估影响目标实现的风险时，企业在评估影响目标实现的风险时，考虑潜在的舞弊行为考虑潜在的舞弊行为32考虑不同类型的舞弊33评估员工承受的压力和激励手段34评估舞弊发生的机会35评估态度和合理性9企业识别并评估可能会对内部控制企业识别并评估可能会对内部控制系统产生重大影响的变更系统产生重大影响的变更36评估外部环境变化37评估商业模型变化38评估领导层变化风险评估（续）风险评估（续）13企业获取或生成和使用相关的高质企业获取或生成和使用相关的高质量信息，以支持内部控制其他要素量信息，以支持内部控制其他要素发挥效用发挥效用5556获取内部、外部数据来源识别信息需求57将相关数据处理成信息58在处理过程中保持信息质量5960沟通内部控制信息考虑成本效益61与董事会沟通62提供彼此独立的沟通渠道63选择沟通方式14企业于内部沟通的内部控制信息，企业于内部沟通的内部控制信息，包括内部控制目标和职责范围，必包括内部控制目标和职责范围，必须能够支持内部控制的其他要素发须能够支持内部控制的其他要素发挥效用挥效用信息与沟通信息与沟通原则原则关注点关注点15企业就影响内部控制其他要素发挥企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通效用的事项与外部方进行沟通64与外部各方沟通65实现入站通讯66与董事会沟通67提供彼此独立的沟渠道68选择沟通方式信息与沟通（续）信息与沟通（续）69考虑正在进行的多项和单独的评估70考虑变化速率71制定理解基准72任用胜任的人员73集成业务流程74调整范围和频率75客观评价76评估结果7778向高级管理层及董事会汇报缺陷向管理层汇报缺陷79监控纠正行为16企业选择、制定并实行持续及/或企业选择、制定并实行持续及/或单独的评估，以判定内部控制各要单独的评估，以判定内部控制各要素是否存在且发挥效用素是否存在且发挥效用17企业及时评估内部控制缺陷，并将企业及时评估内部控制缺陷，并将有关缺陷及时通报给负责整改措施有关缺陷及时通报给负责整改措施的相关方，包括高级管理层和董事的相关方，包括高级管理层和董事会（如适当）会（如适当）监控活动监控活动