第10章 COSO内部控制框架

COSO框架提出五个互相关联的组成要素，每个要素包括三个目标。根据公司的规模和结构，公司可采用不同方式来实施这些组成要素，由于所有公司都将涉及这五个组成要素，因此，在对内部控制进行评估时，管理层必须考虑每个组成要素。

一、控制环境

控制环境确定了整个机构高层管理者的态度，影响员工的内控意识。该组成要素是内部控制所有其他组成要素的基础，提供了纪律要求和结构。控制环境包括以下要素：

（1）诚信和道德价值观（包括行为准则和反舞弊程序）。

（2）致力于提高员工工作能力及促进员工职业发展的承诺。

（3）管理层的理念和经营风格。

（4）组织结构、权限及职责的分配。

（5）人力资源政策及程序。

（6）监管部门（即董事会、审计委员会）的参与。

控制环境是内部控制体系整体框架的基础，是有效实施内部控制的保障，直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。控制环境确定了公司的总体态度。

二、风险评估

风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。管理层必须就风险管理制定一个标准。由于经济、行业、监管环境和运营状况不断变化，管理层必须采用必要的机制使之能对导致发生上述变化的特殊风险进行识别和处理。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险，明确在重要会计科目、披露事项和相关财务报表认定中产生重大错报的风险。

（1）描述业务流程：以财务报告为切入点对公司业务进行梳理，确定内控体系建设涉及的主要业务；建立流程编制标准，利用流程目录和流程图对主要业务进行直观描述。

（2）确定重要会计科目和披露事项：依据PCAOB《审计准则》的规定，通过定性和定量两种标准，确定重要会计科目和披露事项及这些重要会计科目和披露事项可能出现重大错报的原因。

（3）财务报表认定：确认和记录与重要会计科目、披露事项相关的财务报表认定，包括存在与发生、完整性、估价与分摊、权利与义务以及表达与披露五个方面。

（4）确定重要经营场所/业务单位：以每年度财务报表数据为基础将地区公司分为重要、特殊、其他和一般风险经营场所/业务单位。

（5）确定重要业务流程：将重要会计科目和披露事项与产生相关会计信息的业务流程进行对应，确定与重要会计科目和披露事项相关的重要业务流程。

（6）对重要业务流程进行风险评估：明确在重要业务流程中可能造成财务报表重大错报的风险，对业务风险、固有风险和舞弊风险等进行评估，建立公司重要业务流程风险数据库。

（7）建立风险评估制度体系：通过确定风险类别、风险评估方法和不断更新风险，建立公司风险评估制度体系。

三、控制活动

控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门，包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动，分为预防性控制、检查性控制、人工控制、计算机控制和管理层控制等类型。

（1）建立经营活动分析评价制度，开展日常经营活动分析和生产经营分析评价。

（2）控制现状描述与分析：紧紧围绕确定的重要业务流程进行风险控制分析，编制重要业务流程风险控制分析文档，并与控制制度相对应，查找制度缺失和差异。

（3）建立关键控制：建立重要业务流程关键控制的确认标准；确定重要业务流程关键控制；建立规范的关键控制管理文件，通过培训推广应用；地区公司按照股份公司下发的关键控制管理文件，分析各自的控制差异和控制缺陷，进行补充和完善。

（4）期末财务报告流程：建立期末财务报告流程；完善期末财务报告相关制度。

（5）建立控制活动制度体系：汇编控制活动相关制度及标准，制定控制活动管理制度。

控制活动有助于确保管理层的指令得到贯彻执行以及针对风险的必要措施得到实施，从而使公司实现其目标。

四、信息与沟通

相关信息的选择和沟通必须在一定时间内进行，并使得员工能够各负其责。信息系统产生包含有关运营、财务和合规性的信息的报告，帮助管理层经营和控制公司。该要素不仅包括内部产生的数据，还包括在了解各方信息的情况下进行决策和外部报告时所需的关于外部事件、活动和状况的信息。公司应在广泛的范围内进行有效的沟通，包括自上而下、公司内部及自下而上的沟通。管理层必须清楚地告知所有员工他们必须严格执行各自的内控职责。员工必须理解他们在内控体系中的职责以及他们自身活动与其他人工作之间的互动关系。员工还必须拥有向机构高层报告重要信息的途径，并且还必须与外部各方进行有效沟通，如客户、供应商、监管机构及股东。

信息与沟通包括两个方面：一是有一套能够支持信息确认、信息获取和信息交流的系统，使员工能够按照一定的形式和时间行使职责以及正确编制财务报告；二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的外方。

五、监督

监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、定期监督评估和缺陷报告等。

（1）持续监督，建立内控体系维护与管理制度，保证内控体系运行的有效性；建立内控测试标准，持续监控内控体系的有效性。

（2）定期内审，是公司内部审计部门定期对内控系统进行审核的工作，主要关注的是系统的有效性。

（3）缺陷报告，制定缺陷确认标准，向相关管理人员和董事会上报内控缺陷，并采取相关的改进意见。

公司必须经常或定期对内部控制体系的质量进行监督。目前的监督发生在运营过程中，包括管理层的日常监督以及其他员工在履行职责时采取的其他行动。管理层单独评估的范围和频率取决于具体的风险以及当前监督程序的有效性。

目标和要素之间有直接联系，目标是企业力争达到的，而要素则说明企业实现目标需要什么。所有的要素和目标是相关联的。当观察任何目标时，以运营的效率和效果举例来说，所有的五个要素都必须存在并有效运行，才能说在运营有效性方面，内部控制是有效的。同时，从COSO框架来观察，我们会发现当内部控制被“植入”经营活动中时是最有效的，而且组织中不同级别的员工都应对内部控制负有责任；内部控制是有效的法人治理结构的主要因素，也是公司实现风险管理的重要条件。