COSO部控制框架2007-11-16 15:30一、背景介绍部控制是什么?不同的人有不同的理解。

一般的人把部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是部监督、也可能是管理手册、规章制度等。

这种理解没有错，但不全面。

按照现代的控理论，这些仅仅是部控制的一部分，而不是全部。

现代控理论认为，部控制是一个系统化的框架，它建立在风险管理的基础上，包括控环境、风险分析、控活动、信息与沟通、监督五大要素。

（一）COSO部控制框架的产生和发展过程部控制理论的发展是一个逐步演变的过程，大致可以区分为部牵制、部控制制度、部控制结构与部控制整体框架四个阶段。

在部牵制阶段，账目间的相互核对是控的主要容，设定岗位分离是控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法；在部控制制度阶段，部控制的重点是建立健全规章制度；在部控制结构阶段，部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为控环境、会计制度和控制程序三个方面；部控制整体框架阶段，就是我们下面将要讨论的COSO部控制框架。

在美国，20世纪70年代中期，与部控制有关的活动大部分集中在制度的设计和审计方面，重在改进部控制制度和方法。

1973年至1976年对水门事件（美国公司进行违法的国捐款和贿赂外国政府官员）的调查使得立法机关与行政机关开始注意到部控制问题。

针对调查的结果，美国国会于1979年通过了《反国外贿赂法》（简称FCPA）。

FCPA除了规定了关于反贿赂的条款外，还规定了与会计及部控制有关的条款。

因此美国许多机构都加强了对部控制的研究并提出许多建议。

1985年，由美国注册会计师协会、会计协会、财务主管协会、部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会，该委员会旨在探讨财务报告中的舞弊产生的原因，并寻找解决措施。

两年后，该委员会提出了很多有价值的建议。

基于该委员会的建议，其赞助机构成立COSO委员会，专门研究部控制问题。

1992年9月，COSO委员会提出了报告《部控制——整体框架》（1994年进行了增补），即COSO部控制框架。

COSO控框架的提出标志着部控制理论发展到新的阶段，对企业完善和优化部控制、增强风险防能力具有十分重要的意义。

COSO部控制框架之所以被广泛地选择作为构建和完善部控制体系的标准，是因为：虽然COSO部控制框架并非唯一的部控制框架，但却是美国证券交易委员会唯一推荐使用的部控制框架，《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO部控制框架可以作为评估企业部控制的标准。

股份公司作为纽约证交所上市公司，需要按照法案要求，引进COSO部控制框架，整合现有部控制，满足法案的要求。

同时，对股份公司来说，这也是梳理管理流程、规管理、提升整体管理水平的契机。

COSO部控制框架是一个较为理想的框架，几乎所有公司的部控制均与之有一定差距，美国各大公司也正在为此而努力，虽然这必然加大企业负担，但多数公司同股份公司一样，希望通过理解和贯彻COSO部控制框架要求，来实现提升管理水平的目的。

（二）XXX目前的部控制体系与COSO部控制框架的差距目前，股份公司通过多年的管理实践和积累，已经建立了一套针对XX行业的行之有效的控体系，但与COSO部控制框架的要求相比还存在一些距离。

这些差距主要体现在：部控制体系的整体框架、控环境、风险评估等理念尚未被广泛接受、部控制的文档记录还不够系统规、缺乏自我评估机制等。

“他山之石，可以攻玉”，COSO控框架对于我们加强企业部控制具有一定的启发和借鉴意义。

为此，我们需要认真学习COSO部控制框架理论，充分认识和理解COSO部控制框架，并在实际经营管理中积极实践，大力贯彻和实施，从而优化部控制，完善控体系，全面提升公司管理水平。

二、COSO部控制框架下控制度定义（一）COSO控框架对部控制的定义COSO部控制框架认为，部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

（二）对部控制定义的理解应该从以下几个方面理解部控制的定义：第一，部控制是一个“过程”，而且是一个动态的过程。

企业的经营活动是永不停止的，企业的部控制过程也因此不会停止，它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

部控制应该与企业的经营管理过程相结合，而不是凌驾于企业的基本活动之上，它促使经营达到预期的效果，并监督企业经营过程的持续有效进行。

第二，部控制受到“人”的因素的影响，它并不仅仅是政策手册和表格，不仅仅是管理人员、部审计或董事会，而是组织中的每一个人，每一个人都对部控制负有责任并受到部控制的影响；是“人”建立企业的目标，并将控制机制赋予实施。

确立这种观念有利于企业的所有员工明确自己的责任和权限，主动地维护及改善企业的部控制。

第三，部控制无论设计和运行得多么完善，也只能为企业的管理层和董事会提供合理的保证，而不是绝对保证，因为部控制本身具有局限性。

最后，控框架将部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。

上述分类让我们专注于部控制的各个方面，这些相互有别，相互交叉的分类满足不同的需要，并且表明了不同的执行人员的直接责任。

（三） COSO部控制框架的组成要素COSO部控制框架认为，部控制系统是由控环境、风险评估、控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用下面模型表示。

控环境——控环境是企业的基调、氛围，直接影响企业员工的控制意识。

控环境要素是推动企业发展的发动机，也是其他一切要素的核心，包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。

可以说人及其人进行的活动是任何企业的核心，是构成控环境的重要要素，又与环境相互影响、相互作用。

风险评估——风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。

每个企业都面临着诸多来自部和外部的风险，影响企业既定目标的实现。

因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险，并适时加以管理。

控活动——控活动指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。

它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。

信息不仅包括部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。

畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。

监督——是对部控制系统有效性进行评估的过程，可以通过持续性监督、独立评估或两者的结合来实现对控系统的监督。

控体系五要素之间的关系我们可以理解为：企业的核心是人，人的诚信、道德价值观和胜任能力构成了企业的控环境，这是企业发展的基础。

每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。

针对风险评估的结果需要采取相应的控活动来控制和减少风险。

同时与控环境、风险评估和控活动相关的信息应及时被获取、加工整理，并在企业部传递，这就是信息与沟通，信息与沟通系统围绕在控活动周围，反映企业各项管理活动的运转情况。

为了保证控体系的正常运转，还需要对整个控过程进行监督。

部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。

但各要素之间并非是一项要素影响下一项要素的顺序过程，任一要素都可以影响其他要素，例如对风险的评估不仅仅影响控活动，还可能影响信息和沟通、监督行为等。

COSO部控制框架适用于各类企业，但是中小企业对其应用可能不同于大型企业，中小企业的部控制可能不及大型企业正式、组织性强，但也可以是有效的。

对此，本次培训以大型公司为例，未考虑中小公司的差异。

三、COSO部控制框架五要素（一）控环境控环境是其他控制要素的基础。

控环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。

下面讨论各项因素的具体容。

1、员工的诚信和道德价值观部控制是由人建立、执行和维护的，人是部控制有效运行的根本因素。

人的道德价值观影响着人的行为。

企业员工具有良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防那些控系统难以控制的行为。

员工的诚信和道德价值观是指员工行为的准则，是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。

主要包括以下容：1）利益冲突每一个员工都有责任将公司利益放在第一位，避免私人利益与公司利益的冲突。

2）合法性公司要承诺在进行业务时是抱着诚实和诚信原则，并遵循所有适用的法律和规章制度。

3）及时向指定人员报告或检举揭发违规事项员工有义务对所发现的关于会计、部控制或审计等的违反法律、规章制度或行为准则的问题，向道德规委员会报告，或向披露委员会或审计委员会汇报。

发现任何高级管理人员违反法律、规章制度或行为准则，应迅速向道德规委员会等相关机构报告。

对检举人应当建立制度，包括匿名保护。

4）遵守道德准则的责任明确员工必须遵守道德准则。

对违反准则的人员建立惩罚机制，甚至解雇或免职。

5）公司机遇禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。

6）信息是一间公司最重要的资产之一。

公司建立相应政策保护信息，包括（a）属于公司商业性信息（b）属于非披露协议下信息。

每一个员工在入职后应执行协议和保护公司知识产权。

员工即使在终止雇佣之后，仍然有义务保护公司的信息。

7）公平交易每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众，并遵循商业道德规。

为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。

与业务相关，偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。

但未得到道德委员会事先批准的情况下，赠送礼物或款待政府雇员是不允许的。

员工代表公司购买商品应遵循公司的采购政策。

8）公司资产的保护及恰当使用每一个员工必须保护公司资产，包括实物资源、资产、所有权、信息，排除损失、失窃或误用。

任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。

公司资产必须用于公司业务，符合公司政策。

9）全面、公正、正确、及时地理解财务报告及其披露事项因为公司必须提供完整、公正、及时和可理解的披露报告及文件，并存档或呈交给证监会以及公共传媒，所以每一个员工都有责任保证会计记录的准确性。