COSO内部控制与企业风险管理.pdf

2、究内部控制问题。 1992 年 9 月，COSO 委员会发布内部控制整合框架（COSO-IC ），简称 COSO 报告，1994 年进行了增补。这些成果马上得到了美国审计署(GAO) 的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995 年发布了审计准则公告第78 号。由于 COSO 报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。在COSO 内部控制整合框架中，内部控制定义为：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：

3、（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。 COSO 内部控制整合框架把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。自 1992 年美国 COSO 委员会发布 COSO 内部控制整合框架以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002 年颁布的萨班斯法案也要求上市公司全面关注风险，加强风险管理，

4、在客观上也推动了内部控制整体框架的进一步发展。与此同时，COSO 委员会也意识到内部控制整合框架自身也存一些问题，如过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框架必须精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - 出台以适应发展需求。 2003 年 7 月，美国 COSO 委员根据萨班斯法案的相关要求，颁布了“ 企业风险管理整合框架 ” 的讨论稿 (Draft) ，该讨论稿是在内部控制整合框架的基础上进行了扩展而得来的，2004 年 9 月正式颁布

5、了企业风险管理整合框架（COSO-ERM ），标志 COSO 委员会最新的内部控制研究成果面世。 COSO 企业风险管理的定义：“ 企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO -ERM 框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战略

6、制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业目标实现提供合理保证。在内部控制整合框架五个要素的基础上，COSO 企业风险管理的构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - COSO是全国虚假财务报告委员会下属的发起人委员会

7、（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据萨班斯法案第404 节条款以及美国证券交易委员会（SEC ）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004 年 3 月 9 日， PCAOB发布了其第2 号审计标准：“ 与财务报表审计相关的针对财务报告的内部控制的审计” ，并于 6 月 18 日经 SEC 批准。 SEC 对该标准的认同等于从另外一个侧面承认了1992

8、年 COSO公布的内部控制综合框架（也称 “COSO内部控制框架” ）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 1992 年 Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布内部控制一整体框架（Interna Control Integrated Framework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中

9、的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。 COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。编辑本段 COSO 报告中内部控制的组成 1. 控制环境（Control environment）它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层

10、分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - 2. 风险评估（risk assessment）是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。 3. 控制活动（control activities）是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效

11、评价、资产保护和职责分离等。 4. 信息和交流（information and communication）信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。 5. 监控（ monitoring）监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评

12、价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。编辑本段 COSO 报告中内部控制的职责（ l）管理层：CEO 最终负责整个控制系统。对大公司，CEO 可把权限分配给高级经理，并评价其控制活动，然后，高级经理具体制定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。（ 2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。（ 3）内部审计师：内审

13、对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。（ 4）内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。（ 5）外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。编辑本段精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - COSO 报

14、告的现实意义 COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“ 危难 ” 时刻，由五个职业会计团体联合并潜心研究近4 年左右的时间才诞生的。COSO 报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面： 1. 准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“ 保驾护航” 。 2. 提出三类目标、五项构成要素

15、概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO 报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。 3. 提出内部控制是“ 过程 ” ，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。 4. 强调 “ 人 ” 的

16、重要性。COSO 报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。 5. 认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉。 6. 强调内部控制系统系是“ 内置于 ” （ built in ）企业经营和管理过程中的一项

17、基础设施（ infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（built on ）。同时内控系统应有应对不断变化的客观世界的机制。编辑本段 COSO 报告的局限性 COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。COSO 报告中主要值得商榷的问题有：精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - 1. 没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO 报告把董事会与内部控制联系

18、起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO 之下，而对董事会更为重要的作用和董事会与 CEO 之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。 2.COSO提倡的反映内部控制运行状态的“ 管理报告” 的信息含量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。根据 COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三，报告的范围仅限于与财务报告有关的内部控制，而财务

19、报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。 3.COSO报告中的“ 合理保证” 、 “ 成本效益” 等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。但对社会用户来说，增添了许多猜疑和无奈。到底什么算是“ 合理保证” ，如何做到“ 成本效益配比” ，在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。 4. 把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能（计划、执行和监控）交织在一起，

20、是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。 5. 基本目标与分类子目标之间存在差异。根据 COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中既涉及了企业生存，也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展。另外，COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO 就保护资产安全内部控制之讨论中，就表

21、现出来了。 COSO认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO 认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。COSO 也在报告中承认三类目标有时是重叠的。 6. 评价内部控制有效性标准过于主观。根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。精品文档就在这里 -各类专业好文

22、档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - 7. 内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。编辑本段 COSO 报告对我国企业的启示企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中的“ 内部 ” 就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“ 安然 ” 、“ 施乐 ” 和 “ 世通

23、” 特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时，由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“ 内部 ” 有时还要延伸至企业法律边界以外，将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“ 控制 ” 与 “ 反控制 ” 是一对永恒的矛盾，企业内部控制的目的是追求企业持续“ 得到控制” ，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的，它内置于企业经营和管理过

24、程之中，并与之紧密联系、水乳交融，是同一事物的不同层面，不可割舍。企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展；不但重视企业微观，同时也关心企业宏观；不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险；不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“ 全面资产” 概念；不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发

25、展有重大影响的各类要素。精品文档就在这里 -各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有 - - - -精品文档 - 2010 年读书节活动方案一、活动目的：书是人类的朋友，书是人类进步的阶梯！为了拓宽学生的知识面，通过开展“和书交朋友，遨游知识大海洋”系列读书活动，激发学生读书的兴趣，让每一个学生都想读书、爱读书、会读书，从小养成热爱书籍，博览群书的好习惯，并在读书实践活动中陶冶情操，获取真知，树立理想！二、活动目标： 1、通过活动，建立起以学校班级、个人为主的班级图书角和个人小书库。 2、通过活动，在校园内形成热爱读书的良好风气。 3、通过活动，使学生

26、养成博览群书的好习惯。 4、通过活动，促进学生知识更新、思维活跃、综合实践能力的提高。三、活动实施的计划 1、做好读书登记簿（1）每个学生结合实际，准备一本读书登记簿，具体格式可让学生根据自己喜好来设计、装饰，使其生动活泼、各具特色，其中要有读书的内容、容量、实现时间、好词佳句集锦、心得体会等栏目，高年级可适当作读书笔记。（2）每个班级结合学生的计划和班级实际情况，也制定出相应的班级读书目标和读书成长规划书，其中要有措施、有保障、有效果、有考评，简洁明了，易于操作。（3）中队会组织一次“读书交流会”展示同学们的读书登记簿并做出相应评价。 2、举办读书展览：各班级定期举办“读书博览会”，以“名人名言” 、格言、谚语、经典名句、“书海拾贝” 、 “我最喜欢的”、 “好书推荐”等形式，向同学们介绍看过的新书、好书、及书中的部分内容交流自己在读书活动中的心得体会, 在班级中形成良好的读书氛围。 3、出读书小报：

展开阅读全文