COSO内部控制框架解读
主讲老师 徐强
课程框架
一、COSO内部控制框架概述
二、控制环境
三、风险评估
四、控制活动
五、信息与沟通
六、监控活动
七、营运控制目标
八、报告控制目标
九、合规性控制目标
十、内部控制框架和企业全面风险管理框架
一、内部控制框架概述
(一)什么是内部控制?
(二)什么是内部控制框架?
(三)反虚假财务报告委员会和COSO委员会
(四)COSO内部控制框架
(五)《反海外贿赂法》和《萨班斯法案》
(一)什么是内部控制?
1.内部控制,是指由企业董事会成员、管理层和其他人员实施的,旨在为实现以下各类目标而提供合理保证的过程:
(1)运营的效率和效果
(2)财务报告的可靠性
(3)遵循适用的法律法规
2.公司治理、风险管理和内部控制三者之间的关系
(二)什么是内部控制框架?
1.内部控制框架不是一个标准或者一些具体要求,而仅仅是一个框架,是一个对专业实务予以概括的框架模型。
2.在当前实务界,存在多个内部控制框架模型,比如本课要重点介绍的,美国反虚假财务报告委员会的COSO模型。除此之外,还有加拿大注册会计师公会所属的控制基准委员会的COCO模型,以及ISO内部控制与风险管理标准和国际信息系统审计协会的COBIT5模型等。
(三)反虚假财务报告委员会和COSO委员会
1.1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会,旨在探讨财务报告中的舞弊产生的原因,并寻找解决之道。
反虚假财务报告委员会后来以其主席的名字命名,变更为特雷德韦委员会(Treadway Commission)。
2.在反虚假财务报告委员会成立两年后,基于该委员会的建议,其赞助机构成立了COSO(Committee of Sponsoring Organization,COSO)委员会,专门研究内部控制问题。
(四)COSO内部控制框架
1992年9月,COSO委员会发布《内部控制整合框架》(COSO-IC),简称COSO报告,1994年进行了增补。这些成果马上得到了美国审计署(GAO) 的认可,美国注册会计师协会(AICPA)也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成,成为现代内部控制最具有权威性的框架,因此在业内倍受推崇,在美国及全球得到广泛推广和应用。
2013版内部控制框架结合了当前新的商业和运营环境,适应了IT系统、多元合作、国际化经营、公司治理等现代企业所面临的巨大变化,反映了企业内部控制框架体系的新变化和新思维。
2013版内部控制框架的主要内容可以总结为一个定义,三类目标,五大要素和十七项原则。
一个定义:由企业董事会成员、管理层和其他人员实施的,旨在为实现以下各类目标而提供合理保证的过程:运营的效率和效果;财务报告的可靠性;遵循适用的法律法规。
三类目标:营运控制、报告控制和合规性控制。
五个要素:控制环境、风险评估、控制活动、信息与沟通、监控活动。
以及十七项原则,将在下面一一讲解。
(五)《反海外贿赂法》和《萨班斯法案》
1.《反海外贿赂法》
《美国海外反腐败法》(Foreign Corrupt Practices Act,简称FCPA)是美国制定于1977年的一部单行法。按照字面意思可以直译为“海外腐败行为法”。该法律禁止美国公司向外国政府公职人员行贿,是目前规制美国企业对外行贿最主要的法律。
2.《萨班斯法案》
萨班斯法案,又被称为萨班斯·奥克斯利法案,其全称为《2002年公众公司会计改革和投资者保护法案》,由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley)联合提出,又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。
二、控制环境
(一)企业对诚信和道德价值观的承诺
(二)董事会相对于管理层保持独立
(三)组织架构、报告路径以及适当的权利和责任
(四)吸引、发展和留住优秀人才
(五)企业内部控制责任人的问责制度
(一)企业对诚信和道德价值观的承诺
企业的历史和文化通常在内部控制环境的形成中扮演着重要角色。来自首席执行官或其他最高级管理者的信息叫做“最高层基调”,即管理者传递给所有利益相关者的信息。这种最高层基调不仅仅是“我们遵循法律”之类的空洞陈述,它更宽泛,应该强调企业在业务经营的各个方面都应遵循企业经营、销售、法律咨询、人力资源实践以及对待雇员和顾客等方面的最高的伦理标准。
这条原则通常要求企业:
1.建立企业行为准则。
一个有效的企业应该构建并巩固一套包含适用的道德观、业务、法律条例在内的行为准则,其适用对象应该是企业的所有利益相关者,包括在《萨班斯法案》中所强调的财务负责人,所有其他员工或卖主和顾问等其他利益相关者。企业通常可由特殊的高管层团队、内部审计师以及人力资源专家组成团队起草或颁布这样一套行为准则。
2.强化行为准则的遵循。
企业行为准则应当是一个持续更新的文件,如果准则生成后伴随着极大的争议颁布出去,然后被逐渐遗忘,那么这种准则就没什么价值。如果企业形成了新行为准则或对现有准则进行了重大更新,那么企业就应该努力将行为准则的 文件传递给全体雇员和利益相关者。
3.违反准则和纠正行动。
如果企业发布了一套强有力的行为准则,配合来自首席执行官良好商业道德重要性实践的正式声明,那么所有的利益相关者都应该遵循这套准则。但在企业中,总会有那么一些人试图违反规定。所以企业需要建立一种机制来确保雇员和利益相关者能够以一种安全和保密的方式来报告潜在的违规行为。
(二)董事会相对于管理层保持独立
董事会相对管理层保持独立,能够对企业的内部控制环境产生重大的正面影响,如果它能做到以下要点:
1.董事会独立于管理层,并监督内部控制的执行及其效率、效果。
在《萨班斯法案》颁布之前,董事会及审计委员通常由董事会内部的高管层所任命,总是限制来自外部的少数董事会成员的参与。这就导致了董事会不能完全独立于管理层现象的出现。事实上,董事会只是在管理他们自己,并不关心外部投资者。而《萨班斯法案》的诞生改变了这一局面,它要求审计委员会做到真正的独立。一个积极独立的董事会是COSO控制环境的积极组成部分。
2.一个独立的董事会必须和高管层保持密切的关系,以确保有效和成功的企业运作以及强有力的内部控制环境。
要求董事会必须
(1)确定监督责任
(2)使用相关的专业知识
(3)独立运营
(4)监控内部控制系统
3.董事会应在管理层和董事会常规例会上审查、批准支持经营内部控制的政策和实践。
要求董事会必须
(1)设定“最高层基调”
(2)建立行为标准
(3)评价行为标准的遵循情况
(4)及时纠正偏离的行为
(三)组织架构、报告路径以及适当的权利和责任
管理层在董事会的监督下,建立实现目标过程所需的组织架构、报告路径以及适当的授权与责任。
在全面理解企业责任与权力构成的基础上,管理层和董事会成员应在企业层级中划分权力,明确责任,使用适当的流程和技术来分配责任和义务。
1.董事会
应当明确认识董事会确保有重大决策权,有权决定管理层的任命并限制管理层的责任与权力。
2.企业负责人和高管层
企业管理层应设定指令、指南和控制来确保管理层和个人能够理解并履行自身的内部控制职责。
3.管理层
企业的重要成员应指导并促进高管层的指令在企业及其下属公司的实施。
4.全体成员和各级员工
企业的全体成员应理解并同意遵守企业的行为准则。此外还应理解与其层级相关的内部控制目标的风险评估方式、预期的信息沟通方式和为实现目标而进行的相关活动的监控等。
5.外部服务提供者
外部服务的提供者通常要遵循管理层对全体非雇员适用的权责范围的界定。
(四)吸引、发展和留住优秀人才
企业应当承诺、培养和留任优秀人才,以达成企业的目标。人力资源的政策和实践也是反映投资方、监管方、其他利益相关者期望和要求的高层次的指南和行为要素。
要求企业做到:
1.胜任能力的承诺
COSO内部控制框架要求实施具备胜任能力的相关者履行他们自身责任的政策和措施,相关人员需要具备技能和专业知识。明确相关人员所需的胜任能力,要求
(1)具备应有的知识、技能和经验
(2)判断具体职位的性质和等级及适用于该职位的权限
(3)对不同层次的技能和经验的成本收益分析
(4)在监管程度和个体员工必备的胜任能力水平之间的权衡。
2.吸引、培养、保留优秀雇员和利益相关者
COSO通过用于吸引、培养、评价、训练处于合适职位的管理层、其他人员、外部服务者等,人力资源流程来支持和体现其对于胜任能力的承诺。
关键点在于:
(1)吸引
通过正式的、深入的招聘面试来描述企业的历史、文化和经营风格。此外,通过背景调查等管理流程来确定一个特定候选人是否符合组织的需要,并有能力胜任所提供的职位。
(2)培训
能够使员工个人获得适合其所分配角色和责任的胜任能力,强化其行为标准和对特定任务的胜任能力,基于职务和需求量身订制的培训计划、考虑,包括课程指导、自学、在职培训等综合方式传授员工技能。
(3)辅导
向员工提供达到企业期望的行为标准和胜任能力的指导。根据企业目标匹配个人技能和经验,帮助人员适应变化的环境。
(4)评价
基于目标实现情况、预期行为、服务水平协议和其他用于招聘和补偿外部服务提供者等方面的标准,来量化个体的业绩表现。
(5)保留
提供包括培训和适当的认证在内的激励政策以激发、巩固员工达到企业期望的业绩水平和行为。
3.人员继任的计划和准备
管理层应持续识别、评估对实现企业目标而言很重要的职能岗位。评估这些角色暂时或永久性空缺所带来的影响。需要制定和实施计划,确保即使是在首席执行官、其他高级管理层成员、战略性的供货商或渠道合作伙伴这类典型的关键角色空缺的情况下,企业亦然能够实现既定目标。
(五) 企业内部控制责任人的问责制度
企业在实现目标过程中应设立对内部控制负责人的问责制度。管理层与董事会间应建立沟通机制,跟踪组织中个体的内部控制责任的履行情况,在必要时也可实施恰当的行动。
这条准则要求:
1.对内部控制负责
董事会最终要确保首席执行官承担企业目标实现方面的内部控制责任。首席执行官和其他高管层要负责设计、实施、行使和定期评价经过明确定义的企业各层级内部控制的结构、权力和责任。
2.业绩衡量、激励和奖励
董事会和管理层应当根据长期目标和短期目标的实现情况,在企业内部建立有益于责任履行的业绩衡量、激励和其他奖励制度。同时根据确定的业绩量化标准定期评估个体和团队业绩,其标准包括业务指标、对预期行为标准的遵循和展示出的职位胜任能力。
三、风险评估
(一)企业制定足够清晰的目标
(二)识别实现目标所涉及的风险
(三)考虑潜在的舞弊行为
(四)识别并评估内部控制的重大变化
(一)企业制定足够清晰的目标
制定一组清晰的目标可以帮助企业明确重点,保证企业拥有充足的资源来完成预期目标。比如,以盈利为目标的企业可能会更加关注收入、赢利能力等指标。而非盈利组织或政府机构虽然不那么重视财务绩效,但仍然可以设置与收入、流动性和支出相关的指标。
(二)识别实现目标所涉及的风险
企业各级管理层应当识别可能影响企业发展的所有风险。这些风险既包括整体业务层面较为重大的风险,也包括单个业务或项目层面的次要风险。在风险识别过程中,管理层需要执行一套成熟的系统方法,寻找每个业务领域的潜在风险,并根据风险可能发生的时间和概率确定风险的重要程度。
这是一项非常艰巨的工作。
(三)考虑潜在的舞弊行为
人们认为日常生活中出现的各种财务舞弊是犯罪活动,已经超出了内外部审计师的专业范畴。但随着时间的流逝,人们对舞弊性的财务活动的担忧达到了顶峰,很多财务失败事件虽然不能完全归结于舞弊行为,但是它们多少都与不合法的财务行为有关。
因此,审计人员在执行审计业务时,有责任运用专业知识,评估和测试被审计企业的舞弊情况。
(四)识别并评估内部控制的重大变化
每个企业都需要一个正式或非正式的过程,来识别那些对企业实现目标的能力有重大影响的外部环境。这些信息可能涉及客户偏好的变化或其他影响对公司产品和服务需求变化的因素。或者,可能涉及影响生产流程或其他业务活动的新技术,或竞争、立法、监管等方面的发展变化。必须建立识别任何重要假设或条件已经或将要发生的变化的机制。
一般有如下内容:
1. 已改变的经营环境。已改变的法规或经济环境会带来日益增加的竞争压力和大大不同的风险。如电信行业“垄断”废除、经纪行业佣金率解除管制等都会将企业推进大大改变的竞争环境中。
2.新人事。新来的高层管理人员可能不理解企业文化,或仅关注业绩而忽略与控制相关的企业活动。在缺乏有效培训和督导的情况下,人员的高度流动容易导致企业的瘫痪。
3.新的或经修订的信息系统。通常在发展新系统,尤其是在时间限制特别紧时,容易使控制失效——例如:为了赢得竞争优势或战术出击(而建立新的信息系统)。
4.迅速增长。当经营快速扩张,现有制度的局限可能导致控制失效;当程序变动或新人员增加时,现有的监控可能就不能保持充分的控制。
5. 新技术。当新技术被运用到生产流程或信息系统中,内部控制就很可能需要修改。例如,适时(JIT)存货制造技术就需要改变成本系统和相关的控制以确保及时报告有效信息。
6.新业务、产品、活动。当企业进入新的商业领域或从事不熟悉的交易时,现有的控制可能就不足够了。例如,银行,进入其少有经验的风险投资或贷款领域时,就不清楚如何控制风险。
7.公司重组。重组或出于杠杆收购或出于企业业绩下滑或出于成本降低规划,可能伴随裁员和非充分监督和职责分割;或者一项关键控制功能的工作消失而替代的控制尚未到位。很多公司很晚才意识到其大规模的裁员未充分考虑控制因素。
8.海外经营。海外经营的扩张或收购带来了新的和独特的风险;例如,控制环境可能受到当地管理层文化和风俗的影响。另外,当地经济和法规环境可能带来独特的风险因素;抑或,未能建立很好的到达所有人的沟通渠道和信息系统。
四、控制活动
(一)选择并设定控制活动
(二)选择并设定一般IT控制活动
(三)通过政策和程序来部属控制活动
(一)选择并设定控制活动
这条COSO原则非常重要,表明作为整体内部控制环境的组成部分,企业应当选择并开展能将影响企业实现目标的风险降低至可接受水平的控制活动。
控制活动不仅包括那些根据已评估出的风险所采取的应对措施,还包括企业管理层制定的一系列行为规范。
在确定采取何种措施来降低风险时,管理层需要考虑企业内部控制体系的各个方面,比如内部控制体系及其相关业务流程、IT系统和其他关键控制点。
(二)选择并设定一般IT控制活动
COSO框架将自动化控制等IT控制活动称为技术性一般控制。为了实现企业目标,企业应当以技术手段为支撑选择并开展一般控制活动。IT一般控制包括基于互联网或无线网络的数据自动匹配与数据在线编辑等控制措施。如果出现不匹配的数据或格式错误,系统可以及时反馈并予以修正。技术性一般控制不仅可以保证自动化控制等IT系统的首次开发与投入使用,还能持续维护这些系统的正常运行。
其中包括下列内容:
1.控制活动的技术性一般控制
技术性一般控制的范围包括基础设施、IT系统、其他安全管理资源以及企业技术的获取、开发和维护过程。
2.信息安全管理流程
IT系统的安全管理是对所有接触企业IT系统的人和物所采取的细分流程和控制活动。
3.IT的引进、开发和维护流程
技术性一般控制可以帮助企业获取、开发和维护所有的技术性资源。
(三)通过政策和程序来部属控制活动
企业应当通过制定各种制度和程序,将控制措施真正落地。尽管企业为了实现目标会制定很多制度和程序,但是控制活动特指那些有助于将风险降低至可接受水平的制度和程序。
企业制度不仅是管理层的简单意志,还应包括更多具体事项。一项制度的颁布应当通过正式的审批流程,并且制度的形成过程也应当得以记录。
每项制度都应包含下列内容:
1.制度的目标。它是对制度的实施意图和总体目标的高度概括。
2.制度的范围和适用性。每项制度应当明确适用范围和适用对象,比如适用的对象是整个企业还是单个部门。
3.制度的作用和职责。一项制度应当描述所有参与人员的作用和职责。
五、信息与沟通
(一)获取、生成和使用高质量的信息
(二)对内部控制信息进行内部沟通
(三)对内部控制信息进行外部沟通
(一)获取、生成和使用高质量的信息
企业应当获取信息、产生信息,并将相关的高质量信息用于内部控制其他要素的运行。就履行内部控制职责和实现企业目标而言,信息是不可或缺的元素。有关企业目标的信息应当来自董事会和高级管理层的活动,在一定程度上以各级管理人员和员工可以理解的形式呈现,同时要明确各级人员在目标实现过程中的职责。
需要的关注点有:
1.相关信息来源
随着移动互联网、语音通话以及无线资源的发展,除了传统纸质报告之外,内外部信息的来源、类型和接受形式已经多元化。在处理这些信息的时候,管理层要充分的关注这些信息背后的潜在事件。比如,信息和数据的来源是否可靠等。
2.运用信息系统处理数据
COSO框架中使用的信息系统代表IT系统,也包含获取、分析、存储和分配所有类型商业系统的手工流程。
企业开发的信息系统将大量来自内外部的数据转化成有意义、可操作的信息,以满足既定的信息需求。信息系统是人、流程和技术的结合体,是支持一个企业内部管理的基础流程,也是支持企业和外包服务提供商及其他外部各方关系的平台。
3.信息质量的重要性
当代组织产生的信息数据量是海量的,企业更加依赖复杂的自动化IT系统,因此保持高质量的信息对建立有效的内部控制系统起着至关重要的作用。任务不准确或不完整的信息和数据,都会导致误判、估计或其他管理决策的失误。
企业的信息质量通常有下述要素构成:
(1)充分
根据企业对信息的要求,应当有充分的信息。为提高信息系统质量,应当淘汰无关数据,避免信息系统的低效、滥用和误解。
(2)及时
信息系统应该及时提供所需信息,信息的及时性有助于对时间、趋势和问题的早期诊断。
(3)最新
企业应当使用最新的数据来源,并且根据所需时间和频率收集数据。
(4)正确
基础数据应该准确和完整。信息系统内含的验证程序可以解决上述问题,包括必要的异常解决方案。
(5)可访问性
需要信息的人可以很容易地从信息系统中获取信息,用户应该知道信息的可得性和整个信息系统的可访问性。
(6)保护
敏感信息应该只有被授权的人员才能访问,数据应该归类为机密、绝密,以便支持信息保护。
(7)可验证性
信息应该有据可查,证据的来源和过程必须经过内外部审计师的认可。
(8)保存
信息应当设置一定的保存期,供相关外部人员查询和检查。
(二)对内部控制信息进行内部沟通
企业应当强化内部的信息沟通,沟通的内容包括支持其他内部控制要素有效运行的目标和职责。
任何企业都应该建立并执行促进内部有效沟通的机制和流程,其中包括明确个人权限、职责行为准则的直接沟通。高管层应当将企业的目标与各级管理层、普通员工、合同工等予以明确,使得每个人都了解自己在企业中的作用。
主要关注的方面有:
1.内部控制沟通
管理目标的沟通是内部控制沟通的起点。高管层需要清晰的传达所有人员在内部控制系统中的职责,所有人员依次严格执行。
2.常规渠道之外的沟通
当信息在公司内部广泛传播时,必须建立一套公开沟通的方式,营造信息报告和信息聆听的氛围。但当常规的沟通渠道运行无效时,就要启动具有安全保密形式的沟通方式,以此保证沟通过程的匿名和保密。
3.沟通方式
沟通信息的清晰性和沟通方式的有效性可以保证信息按计划传递。管理层应当结合沟通的对象,沟通的性质、时效性的要求、成本和法律法规的要求等来选择恰当的沟通方式。 比如面对面的会谈这类积极的沟通方式会比广播、电邮、内网发帖等被动式沟通的效果更好。
(三)对内部控制信息进行外部沟通
内部控制信息的沟通内容包括支持内部控制其他要素有效运行的目标和职责。但这里不仅仅只有企业内部的沟通,还有与外部各方的沟通。即有关企业的重要信息可以在企业与股东、商业伙伴、所有者、顾客、监管机构及其外部各方之间进行交互传递。
需要的关注点有:
1.外部信息的输入
对外沟通可以为企业内部控制系统提供重要的信息,其中包括
(1)与企业目标相关的外包供应商内部控制的独立评估。
(2)外部审计师对企业非财务报告的内部控制评价。
(3)顾客的服务反馈对产品质量、不当收费、错误发票等问题的反映。
(4)政策制定机构出台的新法律、新法规、新标准等其他要求。
(5)银监会、证监会、税务局等监管机构的合规审查结果。
(6)供应商有关已发货商品的付款问题,比如付款遗漏、错误、不及时等问题。
2.常规渠道之外的沟通
同内部沟通一样,外部沟通的方式会影响企业获取信息的能力,也会影响企业的关键信息是否被外部机构有效接受并理解。管理层应该结合沟通的对象、性质、时效性以及法律法规的要求等因素,在众多沟通方式中,找到最合适的。
六、监控活动
(一)进行持续或者单独的内部控制评估
(二)对内部控制缺陷的评估和沟通
(一)进行持续或者单独的内部控制评估
为了确定内部控制各项要素存在或正常运行,企业应该选择、开发并执行持续评估和个别评价流程。监控活动可以采取持续评估、个别评价或两者结合的方式进行。
应关注的要点如下:
1.持续评估
持续的评估工作通常由业务人员或职能部门经理执行,因为它们有充足的知识去识别应该被评估的对象,并能全面考虑隐含在信息背后的问题。通过对一些关系、异常情况或其他相关情况的了解,它们会指出需要进一步跟进的问题,并与相关人员协商决定是否有必要采取纠正措施。
2.个别评价
个别评价通常不是业务活动的一部分,它是用于评估内部控制其他五要素的独立外部流程。个别评价的方法包括观察、询问、复核和其他适用的检查,用来确认影响整个企业和子部门的内部控制是否存在并正常运行。
根据风险大小、应对措施、持续评估结果的不同,个别评价的范围和频率也会有所不同。
(二)对内部控制缺陷的评估和沟通
企业应该及时评估内部控制的缺陷,并与高管层和董事会等责任方进行充分沟通,进而采取适当的纠正措施。在开展监控活动时,企业应能辨别出值得关注的事项。内部控制缺陷是指企业内部控制系统中某些方面潜在或已有的缺点,并会对企业实现目标的能力造成不利影响。企业如果能发现改善内部控制的机会,将会极大的提高企业实现目标的可能性。
其实施的要点有:
1.监控结果的沟通
持续评估和个别评价的结果应该按照相关制度,确定汇报对象和汇报内容。所有影响企业发展能力和目标实现的内部控制缺陷都应该及时与想关管理人员进行沟通,并采取纠正措施。
2.向管理层和董事会报告
向相关部门提供内部控制缺陷的信息是至关重要的,这些缺陷可以分为特大缺陷、重要缺陷和一般缺陷。内部控制的缺陷应当依据已建立的报告制度分层汇报给相应的管理层或者董事会。
七、营运控制目标
(一)计划和预算控制
(二)IT系统营运控制
(三)营运过程控制和服务目录
(一)计划和预算控制
有效的预算系统作为重要的营运控制,能够帮助企业各管理部门和其负责人执行主要的内部控制功能。公司的不同层级都要制定预算方案,它是下一阶段各项管理计划的量化表达。
需要关注的有:
1.营运目标
对公司营运控制流程的管理始于为这些流程建立管理目标,这些目标包括利润、投资回报、产品的领导地位、市场份额、产品的多样化,甚至只是让公司存活下去的目标。这些营运目标可以是基于其战略意图的总体目标,也可以是非常具体的目标。
大公司的目标通常分为多个层次,公司级目标通常由高级管理层制定,不同公司高级管理层在目标制定过程中的参与程度会有所区别。
公司的目标通常包含下列领域:
(1)产品组合的目标:把广泛的产品线改变为反映企业核心竞争力的少数关键单位。
(2)生产目标:通过重新设计方法和活动来改变业务的特点。
(3)营销目标:调整市场份额,如开发新的市场领域或者改变分销方式。
(4)广告目标:确定要使用哪些媒体,以及每个媒体需要什么样的资源。
(5)研发目标:改进或研发新的产品。
2.预算编制和预算监督
有效的预算编制和预算监督是将规划和目标量化的重要运行控制手段。企业的各个层级都应该编制预算,而总预算反映出一个时期内公司整体财务计划的目标。
而只有通过监督,将其每个阶段的目标与时机数据相比较,才能发挥作用。作为一项重要的营运控制措施,管理部门应该检查绩效报告,启动责任报告机制,并在必要时采取一定的纠正措施。
(二)IT系统营运控制
IT系统营运是COSO企业控制中的主要构成部分,传统意义上我们认为IT系统营运就是应用程序和一般IT系统控件,但现在这个概念变得更加宽泛。
在这里,我们需要关注的几点是:
1.IT系统策略和治理控制
IT系统策略对企业的安全和有效运作以及所有利益相关者都至关重要。所以企业应该考虑开发能够覆盖以下领域的IT系统策略:
(1)控制所有级别和类型的IT系统成本。
(2)以提高生产力为目标优化IT系统资产。
(3)简化和改善内部控制流程。
(4)在组织其余事项时要符合法律、法规和标准。
(5)监控和执行的安全以及员工合规。
2.IT系统标准
高层和IT系统管理者应该在他们的IT系统组织内建立标准,这些标准应当包括新系统开发、软件采购、文档和应用控制程序。主要包括:
(1)电子邮件通信和社交网络协议。
(2)IT安全标准。
(3)系统开发标准。
(4)IT文档。
3.IT管理和组织控制
有效的IT组织和管理时COSO营运控制的一个重要领域。无论是包含多个大型设施的数据中心,还是仅包含有限端口的较小的服务器系统,负责任的管理者都应当对整个企业的IT控制具有较好的理解,其中包括适当的职责分离、财务管理以及整体变更。
4.IT物理和环境的一般控制
在早先传统的IT环境中,计算机操作通常是内部控制关注的一个主要区域。计算机操作人员有相当大的权力,能够更改或绕过系统控制,比如数据文件标签的覆盖保护,修改程序序列的顺序,或者将未经授权的程序指令插入到生产应用程序中等。但是当前的大型计算机操作系统更加复杂,IT系统管理通常要考虑更大的风险,许多曾经常见的操作控制改进建议不可行。一般管理层和IT系统管理层应当开发适当的通用内部控制程序来审查他们的一般控制。
5.IT系统软件控制
几乎每个计算机系统都有一些主程序,通常被称为操作系统,来执行诸如调度应用程序运行、存储应用程序结果以及把结果输出到打印机或显示器之类的任务,不管计算机操作的规模是大还是小,这些操作系统主程序和相关支持程序都对操作进行了控制。企业需要建立系统软件控制流程,从而更好地管理和控制IT操作。
6.IT建设和应用控制
IT应用程序是为计算机系统增加价值的工具,它们推动着企业非常多的业务流程。从相对简单的,到更加复杂的。这些应用程序非常依赖整体的IT一般控制的质量。管理层即使对IT一般控制问题没有清晰的理解,他们仍然会非常关注特定应用程序的IT内部控制情况。企业应当建立正式的内部控制流程来选择、建立、测试和执行有效的、可控的IT应用程序。
(三)IT服务目录
对绝大多数企业来说,IT服务目录是非常有价值的、重要的功能和管理工具。良好组织和控制的服务目录是有效的COSO内部控制和IT治理重要的组成部分。
IT服务目录:被纳入企业IT资源服务的对象
八、报告控制目标
(一)外部财务报告控制
(二)内部财务报告控制
(三)内部非财务报告控制
(一)外部财务报告控制
对多数上市企业而言,最重要的外部财务报告就是企业年度财务报表、中期财务报表和业绩报告。除此之外,还有需要提交大量的涉及财务事项政府及其他监管机构需要的报告。良好的控制和精确的外部财务文件对企业的正式财务报告至关重要。我们应该密切关注:
1.检查并审核财务报告的准确性。
2.财务报告发布之前,管理层、外部审计师和其他相关人员要进行审查和正式批准。
3.密切关注报告提交时间并按计划披露财务报告。
4.在所有财务报告项目中建立强有力的交叉引用链接,以便可以轻松地追溯到配套细则。
5.对所有发布的财务报告保持强有力的修订控制。
(二)内部财务报告控制
COSO对于内部财务报告的控制部分涵盖了一系列的报告流程,如预算执行情况、时间和劳动力状况、资本投资分析、生产成本计划等各种各样的活动。内部财务报告支持持续的业务运营,并为外部财务报告提供支持。
(三)内部非财务报告控制
非财务报告控制包括如操作系统状况、统计及企业经营各方面需要的管理报告。管理者需要的这些报告通常需要更多的细节。
内部非财务报告是一项重要的工具,它往往是一个企业运行和管理的关键。内部非财务报告有多种形式,企业需要对这些报告实施有效的内部控制,这些报告在企业内部的使用生成了企业的业务流程。
九、合规性控制目标
(一)内部控制与法律问题
(二)专业和其他标准的合规性
(一)内部控制与法律问题
法律和监管控制是COSO内部控制环境的一个重要元素。企业高管应该与法律顾问合作,建立一套便于理解的、恰当的合规程序。对企业来说,合规总是潜在的高风险领域。
企业的法律顾问,代表董事会、高管层和所有其他利益相关者,负责企业面临的法务问题。
(二)专业和其他标准的合规性
除了法律法规和会计准则外,企业必须符合其他标准,这些标准由不同机构制定,还有一些标准包含在道德范围内,比如广告的真实性。而另一些标准与企业高管的承诺相关,违反这类标准不会受到法律法规的制裁,但对于企业以及主管来说一件很没面子的事情。
面对不同类型的不同层次的合规要求,企业需要建立一套通用程序和预防措施来避免任何合规性失败。如果存在潜在的合规问题,企业必须采取措施对相关问题进行补救。
十、内部控制框架和企业全面风险管理框架
(一)企业风险管理框架的起源
(二)什么是企业风险管理框架
(三)企业风险管理框架和内部控制框架的异同
(一)企业风险管理框架的起源
COSO内部控制框架在1992年发布之后,在实践中发现,COSO指出的某些相关领域在统一定义和具体内部控制方面存在着缺陷。其中之一就是风险管理,它被不同的行业组织赋予了不同的甚至前后矛盾的定义和解释。在2002年《萨班斯法案》颁布前,尽管很多人对风险管理的含义并没有清晰的的理解,但是一些会计事务所开始声称自己是风险管理专家。为了构造一个统一的企业风险管理定义,COSO与COSO内部控制框架的共同开发者普华永道一同为风险管理进行了统一的定义。成果就是2004年发布的COSO企业全面风险管理框架,或称为COSO ERM框架,并于2016年发布新版征求意见稿。
(二)什么是企业风险管理框架
2004版企业风险管理框架和2016年征求意见稿的框架对比
(三)企业风险管理框架和内部控制框架的异同
京公网安备11010802041402号
