-
COSO內部控制
鎖定
- 中文名
- COSO內部控制
- 方 面
- 目的、承諾、能力、監督與學習
- 屬 性
- 內部控制框架
- 使用者
- 美國證券交易委員會
- 內 容
- 20項控制基準
- 組成關係
- 控制環境等
COSO內部控制基本簡介
COSO報告從四個方面:目的、承諾、能力、監督與學習,提出20項控制基準。但是COSO內部控制框架是美國證券交易委員會推薦使用的內部控制框架,同時《薩班斯法案》第 404 條款的「最終細則」也明確表明 COSO內部控制框架可以作為評估企業內部控制的標準。作為紐約證交所上市的公司,需要按照法案要求,引進COSO內部控制框架,整合現有內部控制,滿足法案的要求。
COSO內部控制組成關係
COSO內部控制控制環境
控制環境是所有其他組成要素的基礎,包括了以下要素:
1 誠信和道德價值觀;
3 董事會和審計委員會。包括的因素有董事會與審計委員會與管理者之間的獨立性,成員的經驗和身份,參與和監督活動的程度,行為的適當性;
5 組織結構。包括了定義授權和責任的關鍵領域以及建立適當的報告流程;
⑴ 被激勵主動發現問題並解決問題以及被授予權限的程度;
⑵ 也描述適當的經營實踐,關鍵人員的知識和經驗,提供給執行責任的資源政策;
⑶ 確保所有人理解公司目標。每個人知道他的行為與目標實現的關聯和貢獻的重要程度。
7 人力資源政策及程序。
COSO內部控制風險評估
其次,識別與上述目標相關的風險。
再次,評估上述被識別風險的後果和可能性。一旦確定了主要的風險因素,管理層就可以考慮它們的重要程度,並儘可能將這些風險因素與業務活動聯繫起來。
最後,針對風險的結果,考慮適當的控制活動。
COSO內部控制控制活動
控制活動指為確保管理層指示得以執行,削弱風險的政策(做什麼)和程序(如何做)。它們有助於保證採取必要措施來管理風險以實現企業目標。控制活動貫穿於企業的所有層次和部門。它們包括一系列不同的活動,如批准、授權、查證、核對、複核經營業績、資產保護以及職責分工等。
COSO內部控制信息與溝通
相關的信息必須以一種能使人們行使各自職能的形式和時限被識別、掌握和溝通。信息系統不僅處理內部資料,而且還處理形成企業決策和外部報告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進行,涉及機構的各個方面。所有人員都要從高級管理層獲得清楚的信息,他們必須明白各自在內部控制制度中的作用,明白個人的行為如何與他人的工作相聯繫。他們必須有自下而上傳遞重要信息的方法。顧客、供應商、監管者和股東這樣的外界之間也必須有有效的溝通。
COSO內部控制監督
一個評估系統在一定時期運行質量的過程。這一過程通過持續的監控行為、獨立的評估或兩者的結合來實現。持續的監控行為發生在經營的過程中。它包括日常管理和監管行為。獨立評估的範圍和頻率主要依賴於風險評估和持續監控程序的有效性。內部控制的缺陷應自下而上進行報告,重要事項應報知高層管理人員和董事會。
COSO內部控制控制模型
2、 強調內部控制應與企業的經營管理過程相結合。框架認為,經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。內部控制是企業經營管理過程的一部分,與經營過程結合在一起,而不是凌駕於企業的基本活動之上,它使經營達到預期的效果,並監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,並不能取代管理。
5、 強調內部控制的分類和目標。目標的設定雖然不是內部控制的組成要素,但卻是內部控制的先決條件,也是促成內部控制的要件。框架將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標,有利於不同的人從不同的視角關注企業內部控制的不同方面。
COSO內部控制框架是一個較為理想的框架,幾乎所有公司的內部控制均與之有一定差距,雖然這必然加大企業負擔,但多數公司希望通過理解和貫徹COSO內部控制框架要求,梳理管理流程、規範管理,來實現提升整體管理水平的目的。
COSO內部控制控制設計
COSO內部控制一般步驟
1. 確認所要進行的內控設計針對的內控目標是什麼。
2. 根據確認的內控目標,識別公司層面的內外部主要風險並進行評估。
3. 通過業務流程的全面梳理,鎖定與確認的內控目標相關的業務流程。
5. 對所確定的業務流程進行分析,分析確認業務活動中存在的風險,提出整改建議。
6. 各項制度規章的完善和補充。
下面我們對於風險評估、控制活動具體設計的內容再作進一步的説明:
COSO內部控制風險評估
2. 評估上述識別出的風險的後果和可能性。
3. 描述公司流程。
⑴ 制定公司流程總目錄和流程描述的規範;
⑵ 流程具體描述。
4. 識別與風險相關的應對流程的風險,並建立風險數據庫
COSO內部控制控制活動
2. 以公司層面“關鍵控制點和控制要點”為基礎,對應識別的重要風險建立關鍵控制文檔。
3. 關鍵控制與相關管理制度之間的比對分析。
COSO內部控制設計原則
1. 相互牽制原則
相互牽制原則,是指一項完整的經濟業務活動,必須分配給具有互相制約關係的兩個或兩個以上的部門(或崗位)分別完成。即在橫向關係上,至少要由彼此獨立的兩個部門或人員辦理,以使該部門或人員的工作接受另一個部門或人員的檢查和制約;在縱向關係上,至少要經過互不隸屬的兩個或兩個以上的崗位和環節,以使下級受上級監督,上級受下級牽制。其理論根據是在相互牽制的關係下,幾個人發生同一錯弊而不被發現的概率,是每個人發生該項錯弊的概率的連乘積,因而將降低誤差率。不相容職務相互分離控制有以下幾項內容:
* 授權批准職務與執行業務職務相分離;
* 執行業務職務與監督審核職務相分離;
* 執行業務職務與會計記錄職務相分離;
* 財產保管職務與會計記錄職務相分離;
* 執行業務職務與財產保管職務相分離。
2. 授權控制原則
授權控制原則,是指企業單位應該根據各崗位業務性質和人員要求,相應地賦予作業任務和職責權限,規定操作規程和處理手續,明確紀律規則和檢查標準,以使職、責、權、利相結合。崗位工作程式化,要求做到事事有人管,人人有專職,辦事有標準,工作有檢查。授權體系包括:
⑴ 授權批准的範圍
企業所有的經營活動一般都應當納入授權批准的範圍。
⑵ 授權層次
⑶ 授權責任
被授權者應能夠明確在履行權力時應對哪些方面負責,避免授權責任不清,出現問題又難咎其責的情況發生。
⑷ 授權批准程序
企業的經濟業務既涉及企業與外單位之間資產與勞務的交換,也包括在企業內部資產和勞務的轉移和使用。因此,每類經濟業務都會有一系列內部相互聯繫的流轉程序。所以,應規定每一類經濟業務的審批程序,以便按程序辦理審批,避免越級審批和違規審批的情況發生。
3. 成本效益原則
4. 整體結構原則
企業內部控制系統,必須包括控制環境、風險評估、控制活動、信息與溝通、監督五項要素,並覆蓋各項業務和部門。換言之,各項控制要素、各業務循環或部門的子控制系統,必須有機構成企業內部控制的整體架構。這就要求,各子系統的具體控制目標,必須對應整體控制系統的一般目標。
COSO內部控制基本原則
《美國薩班斯—奧克斯利法案(Sarbanes-Oxley Act)》(簡稱SOX)要求上市公司,無論大的還是小的,每年對財務報表內部控制的有效性進行評估和報告。幸運的是,公司可以依賴一個行業標準——內部控制集成框架,來評估和改進其內控體系。