内部控制整合框架——COSO的内控魔方清华大学宋逢明教授中国中国企业内部控制规范性文件企业内部控制规范性文件1.财政部、证监会、审计署、银监会、2008522保监会等五部委于年月日发布《企业内部控制基本规范》（财会20087【】号文） 2.五部委又于2010年4月26日联合发布《企业内部控制配套指引》包括《企业内部控制配套指引》，包括18项《企业内部控制应用指引》，以及《企业内部控制评价指引》和《企业内部控制审计指引》（财会【2010】11号文）关于COSOCOSO（The Committee ofSponsoring Organizations ofthe Treadway Commission ）the Treadway Commission是由左列五个民间机构联合发起的组织，旨在提供企业风险管理和内部控制的思想指导和管理架构。

COSO内部控制整合框架Framework）Integrated Framework （ICIF：InternalControl--IntegratedInternal Control●首次发表于1992年●金融危机后被广泛接受●在美国使用非常普遍●现在在世界范围内已被普遍使用原始的COSO内控魔方2012年的修订版商业环境的变化内控整合框架的相应变化修订时间表（正式发布时间已推迟）201020112012 9月-1月2月-10月12月-3月4月-12月有关方面的审阅和评估设计和构建公开征求意见完成定稿内部控制的定义●定义：内部控制是受到董事会、管理层和其他有关人员的活动所影响的企业管理过程，这一过程的设计是为实现以下三类企业运行的目标提供合理的保障:1企业运行（操作）的有效和效率1. 2.报告的可靠性3.合规性（符合法律和监管要求）●内部控制的涵义：1.内部控制是一个管理控制过程内部控制是个管理控制过程 2.内控是受人们活动影响的，不只是手册或一套规章制度3.为实现企业运行目标提供合理而非绝对的保障4.内控与三类运行目标（运行操作、报告和合规性）配套5.内控要与企业的组织结构相适应内部控制的作用（价值主张）1.灵活性：应对企业经改善以下三项企业表现灵活性应对营环境变化的适应能22.信心：将风险调整到3.清晰性：提供可靠的信息支持决策信息支持科学的决策Confidence外部有关方其他用户内控魔方：内控目标内控要素及其关系内控魔方：内控目标、内控要素及其关系●内控目标1.运行操作2.报告 3.合规性●内控要素1.控制的环境2.风险的评估3.控制的活动4.信息与沟通5.监控的活动●组织结构1.企业层面2.业务部门3.业务单元44.职责功能新魔方区别新旧魔方区别●内控目标的区别：非财务报告●内控要素的区别：排序变化●企业结构的区别：企业级关注原始的COSO 内控魔方新的COSO 内控魔方内控整合框架现在作很好COSO 19922012年新版本的特点现在工作很好内控整合框架年版增加对企业运行操更新的目的处理商业环境和相关风险的明显变化作、合规性和非财务报告目标的关注制订用于开发和评价内控系统的判据改进之处更新、改进并使整体框架清晰化扩展对内部报告和非财务报告的指导内容基本原则属性新版本内控整合框架将工作得更好COSO 内控整合框架2012年版（草案）四类报告的目标•用于符合外部财务/非财务报告性质外部财务报告年度财务报表年内财务报表外部非财务报告内部控制报告可持续性报告供应链/资产保管利益相关者和监管要求•按照外部标准准备报告•外收益信息披露可能受到监管部门和合同协议的约束…………………...部/内内部财务报告部门财务报表现金流量/预算内部非财务报告员工与设备支持客户满意调查•用于管理企业和决策•由管理层和董部报告银行合同计算表关键风险指标体系董事会报告事会建立对于董事会和管理层提供的帮助1.改善公司治理2了解财务报告以外的企业运行信息2. 3.支持董事会和管理层做出判断4类目标项要素4.按照内控3类目标、5项要素、17条原则及其相关的81个属性评估企业运行状况辨识和分析风险，在合适的可接受水平管理与内控目标有关的风险提升企业运行效率，降低成本内部控制原则：控制的环境原则内部控制原则控制的环境原则（共五条原则及21个相关属性）I.企业证明自己关于商业诚信和伦理价值的承诺（4个相关属性）II.董事会证明自己对于内部控制与管理层相独立的细心关注（5个相关属性）III.在董事会的关注下，管理层建立内部控制结构、报告路线和为推进实现内控目标的授权和问责系统（包括内控手册和相配的IT 系统）（3个相关属性）IV 企业证明自己开发符合内控目标的具有竞争力的人IV.力资源的承诺（4个相关属性）V 企业为实现内控目标具有强制性责任（涉及V.合规性要求）（5个相关属性）内部控制原则：风险的评估原则内部控制原则风险的评估原则（共四条原则及19个相关属性）VI.企业以足够的清晰度区分与相关内控目标有关的风险（6个相关属性）VII.企业级地辨识和分析为实现内控目标的风险，以此作为管理风险的基础（5个相关属性）VIII.企业要考虑为实现内控目标而进行风险评估时可能出现的失误（5个相关属性）IX.企业要辨识和评估可能显著影响内控系统的变化（3个相关属性）☐风险评估要素●内部控制的风险评估所评估的是与内控目标及其实现有关的风险●企业的风险战略取决于企业的风险偏好●设定可度量的目标是风险度量和控制活动的前提条件●管理发生变化时会增加风险☐风险偏好风险偏好对三类内控目标有不同的表现例●风险偏好对三类内控目标有不同的表现，例如：-报告风险偏好表现为对资产质量的要求-运行操作风险偏好和合规性风险偏好表现为企业表现的可接受水平●企业的风险偏好要符合监管和会计准则等外部要求●风险偏好必须考虑市场的同业竞争●风险偏好应以企业表现的科学度量为依据●运行操作目标与行业要求有关例如环保✓与行业要求有关，例如环保利性关注高效率使用资源✓盈利性企业关注高效率地使用资源✓企业运行目标紧密联系于企业的业绩指标，如：收入、盈利性、流动性等等✓企业在确定运行目标的同时确定企业的风险偏好●报告目标✓报告目标在于报告的可靠性✓外部报告目标-外部财务报告：符合监管、会计准则等标准-外部非财务报告：适当性，即既不过于详细也不外部非财务报告适当性，即既不过于详细也不过于简略；反映企业活动；符合第三方制订的标准✓内部报告目标-支持管理层决策和监控企业活动和表现，例如平衡计分卡、运行看板等-企业经常借用外部标准来支持运行管理●合规性目标适用的法律法规监管规定会计准则及其他标准✓适用的法律、法规、监管规定、会计准则及其他标准✓与报告目标相联系，例如有关符合劳动法、环保要求等的报告✓许多法律、法规、监管要求都具备行业特性，与市场、定价、税收、环保、劳动保护有关，诸如：-防止犯罪活动-正确报税-信息公正性-各种环保标准✓法律、法规、监管要求等都是企业合规性目标的最低要法律法规监管要求等都是企业合规性目标的最低要求，企业同样应该在自己可接受的水平上制订自己的合规性目标基本原则VI ：企业以足够：企业以足够的清晰度区分与相关的清晰度区分与相关内控目标有关内控目标有关的风险（的风险（6个相关属性）运行操作报告内部外部非财务外部财务合规性1.考虑风险偏好/所要求清晰度水平/风险特性报告报告报告2.符合外部标准和框架的合规要求/符合会计准则/风险特性/符合外部法律与监管要求3.反映管理层的选择44.反映企业活动5.包括运行和财务目标6.形成企业资源配置基础基本原则VII ：企业级地辨识和分析为实现内控目标的风险，以此作为管理风险目标的风险，以此作为管理风险的基础（的基础（5个相关属性）7.内部控制的风险辨识与分析介入到适当的企业管理层级8.为实现内控目标，在企业级、子公司级、部门级、业务单元级和职责功能级来辨识和评估风级业务单元级和职责功能级来辨识和评估风险9辨识风险要考虑内部和外部的因素及其对实现9.内控目标的影响1010.辨识风险包括分析风险的重要性11.风险评估包括对风险的反应和管理：接受风险、规避风险、降低风险、或者分担风险基本原则VIII ：企业要考虑为实现内控目标而进行风险评估时可能出现进行风险评估时可能出现的失误（的失误（5个相关个相关属性）属性）考虑风险评估能出现失误的方式资产能12.考虑风险评估可能出现失误的方式：资产可能的损失、报告可能的疏漏，以及腐败行为可能导致的后果，等等13.考虑各项风险要素：这些风险因素会影响到资产的重大损失，也会影响到有关的运行、报告产的大损失，会影响到有关的行报告和合规性问题14.评估失误的风险要考虑企业的激励和惩戒制度15.评估失误风险要考虑违规地获取、利用、损耗企业资产，错误地更改报告记录或采取其他不适当行为的机会16.评估的态度和理性：评估失误风险要考虑管理层可能如何利用和评判不适当行为基本原则IX ：企业要辨识和评估可能显著影响内控系统的变化内控系统的变化（（3个相关个相关属性）属性）17.评估可能显著影响企业实现内控目标的外部环境的变化18.评估企业商业模式的变化：考虑新的经营方式、现有业务的重大改变、收购或放弃某些业务条线、业务地域的变化、新技术的出现以及企业业务环境的重大变化的出现，以及企业业务环境的重大变化，等等企业领导和高管层的变动不同的企业领19.企业领导和高管层的变动，不同的企业领导人对内控有各自不同的看法内部控制原则控制的活动原则内部控制原则：控制的活动原则（共三条原则及16个相关属性）X.企业要挑选和开发这样的控制活动，此类活动能够为实现内控目标缓解风险至可接受水平做出贡献（内控手册制订政策表）（6个相关属性）企业要挑选和开发为实现内控目标的技术支持手XI.段（人工的和/或自动的）（4个相关属性）企要清楚制订内控政策使内控政策清晰XII.企业要清楚地制订内控政策，使内控政策清晰地建立所预期的效果和相关流程（流程的风险点和相应的控制政策）（6个相关属性）内部控制原则：信息与沟通的原则（共三条原则及14个相关属性）XIII.企业要获取、生成、和使用能够支持内控其他要素的相关的高质量的信息（5个相关属性）XIV.企业要在内部沟通信息，这些信息对于支持内控其他要素是必须的，包括内控的目标和责任信息（4他要素是必须的包括内控的标和责任信息个相关属性）XV.企业也要与外部有关方面进行沟通，此类沟通会影响到内控的其他要素（5个相关属性）内部控制原则：监控的活动原则内部控制原则监控的活动原则（共二条原则及11个相关属性）XVI.企业挑选、开发和推行综合的和/或分开的内控各要素工作状况的评估以确认内控各要素的功能要素工作状况的评估，以确认内控各要素的功能是否正常（7个相关属性）旦出现内控缺陷企业要及时地予以评估并与XVII.一旦出现内控缺陷，企业要及时地予以评估并与有关责任方面沟通，以便立即采取改正活动，包括报告高管层和董事会（4个相关属性）基本原则概述（新版本中加入了17条基本原则及其相关属性条基本原则及其相关属性））I证明关于商业诚信和伦理的承诺（控制的环境（21个相关属性）I.4个相关属性）II.细心关注的责任（5个相关属性）III.构建结构、授权与问责系统（3个相关属性）IV.证明有竞争力的人力资源开发（4个相关属性）风险的评估（19个相关属性）V.强制性责任（5个相关属性）VI.分辨相关内控目标（6个相关属性）VII.辨识和分析风险（5个相关属性）VIII控制的活动（16个相关属性）VIII.评估失误的风险（5个相关属性）IX.辨识评估变化（3个相关属性）X.挑选开发控制活动（6个相关属性）信息与沟通（14个相关属性）XI.挑选开发内控的技术手段（4个相关属性）XII.制订内控政策和流程（6个相关属性）XIII.利用有关信息（5个相关属性）监控的活动（11个相关属性）XIV.内部沟通（4个相关属性）XV.外部沟通（5个相关属性）XVI.综合和/或分开的评估（7个相关属性）XVII.评估和报告内控失误（4个相关属性）内部控制的有效性1.内部控制的有效性和合规性：有效的内控系统为实现企业整体经营目标提供合理的保障一旦出现不合规行为业整体经营目标提供合理的保障，旦出现不合规行为，就证明内控系统失效2.内控的有效性是通过相对于五项内控要素来进行评估，要看这五项内控要素是否起工作要看这五项内控要素是否一起工作3.当内控系统被确定对三类内控目标（企业运行操作、报告和合规性）都是有效的，董事会和管理层就可认为相对于自己的企业结构获得了合理的保障：•在企业的业务范围内，企业运行的管理有效而且高效率•企业提供了可靠的报告•企业运行符合现行的法律法规董事会和高管层评估内控系统的有效性要考虑内控基本4.原则结合五项内控要素，内控基本原则由与之相关的属性来支持，评估内控系统有效性并不要求体现所有的相关属性内部控制的局限性●企业内部控制系统作为预设条件的目标设定是否有质量和是否恰当●内控的许多环节取决于人的判断，判断失误会导致错误的决策●人的简单失误可能会导致整个内控系统崩溃●内控环节可能因两人或若干人的串谋而被破坏●管理层可能使用权力否决内控决策内部控制的责任人●董事会：指导和要求管理层开发内控系统●高管层：CEO 在其他高管支持下负责内控系统的开发和实施●其他有关人员：各层级经理及有关人员各负其责●内审部门：在内审计划中安排对内控系统的运行审查并关注内控系统的变化外部审计师：除了财务报告的可靠性外还要通过关注内控的●外部审计师：除了财务报告的可靠性外，还要通过关注内控的基本原则和要素来评估内控系统（也可以采用评估工具）●监管部门：根据内控的要素和基本原则来监管内控的局限性和可能出现的失误●其他专业组织：提供内控系统运行的指导和报告，帮助制订合规性标准来与COSO 内控框架进行比较●教育培训机构：帮助企业开发内控方面的有竞争力的人力资源风险管理vs.风险管内部控制传统的风险管理是预期收益风险的权衡实际●/风险的权衡，实际上是预期收益/预期损失的权衡资本监管要求下的风险管理不但要考虑预期损失●资本监管要求下的风险管理不但要考虑预期损失，而且要关注非预期损失，非预期损失依靠自有资本来保护●风险管理实质上就是如何预防风险如何应对风险内部控制则是为实内控标而进行的控制动●内部控制则是为实现内控目标而进行的控制活动●风险管理和内部控制都有赖于企业的风险偏好风险意愿风险容忍和风险偏好风险意愿、风险容忍和风险偏好●风险意愿（risk appetite）：企业在一个宽广的水平上，为推进价值创造愿意接受的风险的量（COSO的定义）●风险容忍（risk tolerance）：风险表示为价值的变动，风险容忍是可接受的变动范围（COSO的变动风险容忍是可接受的变动范围（定义）风险偏好（risk preference）人们选择接受较多●risk preference）：人们选择接受较多或较少风险的倾向风险偏好和风险意愿的涵义很接近在金融风险偏好和风险意愿的涵义很接近，在金融理论中，风险偏好用效用函数的形态来刻画。