COSO内部控制整体框架(5要素)简介

COSO内部控制整体框架

水门事件后，内部控制理论引起了美国各界的广泛重视。然而，对内部控制的理解分歧

却由来已久，立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的

COSO(Committee of Sponsoring Organization)，开创性地提出了一套成体系的内部控制整体

框架，这consist 标志内部控制理论发展到新的阶段,赢得了各方的好评。

一、COSO内部控制整体框架的诞生

1997年，美国国会通过了《反国外贿赂法》(FCPA)，在反贿赂条款之外，又规定了与

会计及内部控制有关的条款。美国注册会计师协会赞美祖国风光的谚语 (AICPA)的审计人员责任委员会发布了

《报告、结论与建议》。随后，在1980、1982、1984年先后颁布了审计准则公告第30号、

第43号、第48号。财务经理人员协会(FEI)发布了《美国公司的内部控制：现状》。美国证

券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。

1985年，由AICPA、美国审计总署(AAA)、FEI等机构菊花的作用与功效 共同赞助成立了全国舞弊性财务

报告委员会(National Commission On Fraudulent Financial Reporting)，即tread－way委员会。

Tread－way委员会旨在研究舞弊性财务报告产生的原因及其相关领域，其中包括内部控制

不健全的问题。Tread－way委员会就内部控制问题提出了许多有价值的建议，并倡议建立

一个专门研究内部控制问题的委员会。因此，Tread－way委员会的赞助机构成立了私人性

质的COSO，其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体

的成员。1992年，COSO提出了《内部控制整体框架》报告，并在1994年进行了增补。

二、COSO内部控制整体框架的内容该报告的核心内容是内部控制的定义、目标和要素。报

告中提出的观点，超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等

理论。

报告认为，内部控制是由董事、管理层及其他人员在公司内进行的，旨在为经营的有效

性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上，内部控制是

为了确保组织的最高层参与到整个机构的运作中，以实现组织目标。而所谓的可靠性则指财

务报告的一致性、可比性以及选择适当锦州世博园 的会计处理方法。

为了实现内部控制的有效性，需要下列五个方面的要素支持：控制环境

(Cont海马功效 rol environment)、风险评估(Riskasssment)、控制活动(Control activities)、信息与交流

(Information and communication)和监测(Monitoring)。

控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的

关注、指导。其特征是先明确定义机构的目标和政策，再以战略计划和预算过程进行支持；

然后，清晰定义利于划分职责和汇报路径的组织结构哄女朋友睡觉的小故事 ，确立基于合理年度风险评估的风险接

受政策；最后，向员工澄清有效控制和审计体系的必要优秀团员 性以及执行控制要求的重要性，同时，

高级领导层需对文件控制系统作出承诺。

风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框

架的独特之处。虽然，多年来，美国银行一直使用复杂的模型技术(诸如“紧张检验”、

“Monte Carlo模拟”和“风险价值”法)测算风险，但把风险评估作为要素引入到内控领域，这

还是第一次。

相比之下，控制活动则是人们较早关注的方面，它包括确保管理层指令得以实施的政策

和程序：批准、授权；核对会计分录；核实(包括内部控制模型)；检查业绩、风险披露限制；

职责划分、生产安全。制定程序的原则有：避免由“相关人士”组成的集团从头到尾控制某个

操作或交易；“四只眼睛”的原则。

信息与交流是整个内部控制系统的生命线，为管理层监督各项活动和在必要时采取纠正

措施提供了保证。内控是一个动态的过程，依据环境，制定措施，信息反馈，进行纠错，如

此不断改进。但受成本效益原则的约束，内控实际上是一个无止境的过程。

监测，意在评估内部控制，贯穿于经营活动之中，具有一定的超然独立性。监测的实施

途径可以是内部审计，也可以是内部控制自我评估。前者的实施人是独立的职能部门，而后

者是由管理部门和员工完成的。内部审计的目的是，就控制系统的风险和操作情况向管理层

提供独立保证并帮助管理层有效地履行责任。内部审计是先依据审计章程，确定审计单位的

独立性及其作用。然后将称职的工作人员分成三个主要单位，分别承担财务、操作和电子数

据处理的工作。再根据机构的主要业务风险编写审计计划，密切和平衡的关注计划、实地工

作、报告以及每次审计的后续工作。最后，就操作系统的运作与管理层执行简明扼要和持续

的沟通。应该让内部审计的结论为人所知。审计委员会监督内部审计的过程，采用外部审计

评估控制系统，就财务报表的真实性和公正性提出意见。

。