2011年國際內審師考試輔導：COSO框架

　　本準則指出，管理層對公司的財務報告內部控制的有效性評估必須以一個由專家組制定的合理的內部控制框架作為基礎。根據本準則，提出內控評估框架的專家組必須遵循正當程序，將該框架提交公眾進行評價。在美國，至為廣泛接受的框架是早在九十年代初COSO在其出版的內部控制—整合框架中提出的框架。盡管美國證券交易委員會成員指出，COSO框架符合美國證券交易委員會的標準，但是委員會并不強制使用該框架。美國證券交易委員會確認，美國之外也存在其他的評估標準，而且在美國也可能制定了其他適當的框架。美國證券交易委員會表示，加拿大特許會計師公會發表的控制評估指南以及英格蘭與威爾士特許會計師公會發表的特恩布爾報告就屬于其他適當框架的范例。本報告中的指導原則是在假設機構采用COSO框架的基礎上提出的。

　　COSO將內控定義為一個合理的能夠確保機構實現以下三個領域內的目標的流程（由機構的董事會、管理層以及其他人員實施生效）：（1） 有效及高效的運營；（2） 可靠的財務報告；及（3） 符合適用的法律法規。以下是與將上述三個COSO目標應用于404條款時應額外考慮的因素：

　　1. 有效果及高效率的運營：這個領域涉及公司基本的業務目標，包括業績和贏利能力目標以及資產的保護。404條款通常不包括關于有效果及高效率運行的目標，除非它們與資產保護相關。

　　2. 可靠的財務報告：在COSO框架下，可靠的財務報告與公司根據公認會計準則編制財務報表以及相關陳述有關。

　　3. 符合適用的法律法規：COSO框架包含對遵循諸如薩班斯-奧克斯利法案及相關規則的法規的內部控制，這樣公司可以避免對其名譽造成損害或者遭受其他不利后果。除遵循直接與財務報表編制相關諸如美國證券交易委員會的對財務報告的要求和國內收入法等規則之外，404條款沒有涉及其他法律法規的合規性問題。

　　盡管COSO框架涉及了合規性和運營的內部控制，404條款通常要求管理層僅對財務報告內部控制進行評估。因此管理層僅當運營和合規性的內部控制對財務報告產生重大影響時，才需要進行評估。

　　COSO框架提出五個互相關聯的組成要素，每個要素包括三個目標。根據公司的規模和結構，公司可采用不同方式來實施這些組成要素；但是所有公司都將涉及該五個組成要素。因此，在對內部控制進行評估時，管理層必須考慮每個組成要素。有關內部控制五要素的討論如下：

　　控制環境：控制環境確定了整個機構高層管理者的態度，影響員工的內控意識。該組成要素是內部控制所有其他組成要素的基礎，提供了紀律要求和結構。控制環境包括以下因素：

　　·聲譽及道德價值觀（包括行為準則和反舞弊程序）

　　·致力提高人員工作能力及促進員工職業發展的承諾

　　·管理層的理念及經營風格

　　·組織結構

　　·權限及職責分配

　　·人力資源政策及程序

　　·監管部門的參與（根據上市公司會計監管委員會規定，參與內容包括董事會對審計委員會的有效性評估）

　　風險評估：每個機構都面臨著各種來自內部和外部的必須進行評估的風險。風險評估是識別及分析相關風險及其對公司目標實現的影響的工作。管理層必須設定一個標準來決定如何對風險進行管理。由于經濟、行業、監管環境和運營狀況不斷變化，管理層必須采用必要的機制使之能對導致發生上述變化的特殊風險進行識別和處理。

　　控制活動：控制活動有助于確保管理層的指令得到貫徹執行，以及針對風險的必要措施得到實施，從而使機構實現其目標。這些活動在機構范圍內的各個層面和各個職能中進行，涉及各種流程，如批準、授權、核實、調節、經營績效審閱、資產安全性以及職責分工。

　　信息與溝通：相關信息的選擇和溝通必須在一定時間框架內進行，并使得員工能夠各行其責。信息系統產生包含有關運營、財務和合規性的信息的報告，幫助管理層經營和控制公司。該要素不僅報告內部產生的數據，還包括在了解各方信息的情況下進行決策和外部報告時所需的關于外部事件、活動和狀況的信息。應在廣泛的范圍內進行有效的溝通，包括自上而下、機構內部及自上而下的溝通。管理高層必須清楚的告知所有員工他們必須嚴格執行各自的內控職責。員工必須理解他們在內控系統中的職責以及他們自身的活動與其他人的工作之間的互動關系。員工還必須擁有向機構高層報告重要信息的途徑，并且還必須與外部各方進行有效溝通，如客戶、供應商、監管機構及股東。

　　監督：必須經常或定期對內部系統的質量進行監督。目前的監督發生在運營過程中，包括管理層和監事會的日常監督以及其他員工在履行職責時采取的其他行動。管理層單獨評估的范圍和頻率取決于（1）具體的風險及（2）當前監督程序的有效性。

　　COSO用一個矩陣（如下所示）來說明公司目標與內控組成要素之間的直接關系。矩陣的第三維表示機構與內部控制相關的業務單位或活動。

　　點擊查看論壇原帖>>