COSO企业内控风险管理模式

第一篇：COSO企业内控风险管理模式

COSO企业内控风险管理模式

前言

10年前，COSO发布了《内部控制----整合框架》来帮助企业界和其他实体评价和加强他们的内部控制制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定，并被企业用于更好地控制他们的活动，朝着实现既定目标的方向前进。

近年来，关注的重点和焦点是风险管理，人们越来越清楚地认识到健全的框架对于有效地识别、评价和管理风险是很有必要。在2001年，COSO提议了一个项目，并聘用普华永道会计事务所开发能方便管理部门用于评价和改进本组织企业风险管理的框架。

框架开发的整个期间出现了一系列具有高度标志性的企业丑闻和失败案例，使投资者、公司人员和其他利益相关者蒙受了巨大损失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险管理。人们越来越多地认识到提供关键的原则和概念，共同语言和明确方向与指南的企业风险管理框架的必要性。COSO认为，企业风险管理----一体化框架填补了这种需要，并希望该框架能被公司、其他组织和所有的利益相关者及团体广泛接受。

在美国的发展结果是出台了《2002年的萨班斯----奥克斯利法案》，其他国家也颁布了或正在考虑类似的立法。这类法律扩展了对公营公司维护内部控制制度的长期有效要求，要求管理层予以证实和独立审计师测试这些制度有效性。持续要求测试时间的《内部控制----整合框架》适用于满足报告要求的更广泛的公认标准。

《企业风险管理----整合框架》扩展了内部控制，提供了一种更健全的和广泛的焦点在企业风险管理更宽广的题目。它的目的不是取代内部控制框架，而是将内部控制框架合并在一起，公司可以决定审查企业风险管理框架，以满足内部控制的需要和朝着更完备风险管理过程发展。

管理层所面临的最严峻挑战是决定本实体准备接受多大的风险，因为风险也可以经过奋斗而创造价值。本报告将更好地鼓励企业迎接这种挑战。

执行总结

企业风险管理的根本前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确定性，对管理层的挑战是确定能接受多大的不确定性，因为不确定性也可以促进增加利益相关者的价值。不确定性同时体现为风险机会，具有流失或增加价值的潜力。企业风险管理鼓励管理层有效地处理不确定性和相关的风险和机会，增强创造价值的能力。

当管理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平衡，并在追求本实体目标的过程中有效地调度资源时，价值能达到最大化。企业风险管理包括：

● 连成一线的风险偏好与战略----管理层考虑本实体的风险偏好，在评估战略可选择方案时，制定相关目标，开发管理相关风险的机制。

● 增强风险反馈决策----企业风险管理提供了森严的识别和挑选可选择的风险反馈----即风险回避、降低、分摊和接受的制度。

● 减少经营意外事故和损失----各实体应获得增强的能力来识别潜在事件和建立反馈，减少意外事故和相关成本或损失。

● 识别和管理多样化的和交叉的企业风险----每一企业都将面临影响本组织不同方面的无数风险因素，企业风险管理能促进对相互关联的影响做出有效反应，对多样化的风险做出综合的反应。

● 抓住机会----通过全面考虑潜在的事件，管理层被定位于识别和正面积极地抓住机会。

● 改进资本配置----获得健全的风险信息，允许管理层有效地评估总体资本需要，增强资本分配。

这些企业风险管理中内在的能力有助于管理层实现本实体的绩效和盈利能力目标，防止资源损失。企业风险管理有助于保证有效的报告和遵守法律法规，避免本实体的声誉受到损害和相关的后果。总之，企业风险管理有助于一个实体达到它想要实现的目标，避免前进过程中的陷阱和意外事故。

事件----风险与机会

事件可以有负面影响、正面影响，或二者兼而有之。负面影响的事件表现为能阻碍价值创造或侵蚀现存价值的风险。正面影响的事件可以抵消负面影响或体现为机会。机会是一个事件将发生并积极影响目标实现、支持价值创造或保护价值的可能性。管理层将机会引导向其战略或目标制定过程，制定抓住机会的计划。

规定了企业风险管理

企业风险管理处理影响价值创造或保值的风险和机会。其定义如下：

“企业风险管理是一个过程，受到一个实体的董事会、管理层和其他人员的影响，适用于战略制定和在整个企业设计识别可能影响本实体的潜在事件，在风险偏好范围内管理风险，提供与实现实体目标有关的合理保证。”

该定义反映出一些基本的概念。企业风险管理是：

● 一个过程，持续并贯穿一个实体；

● 受到一个组织每一层级人员的影响；

● 适用于战略制定；

● 适用于整个企业每一层次和单位，包括所采纳的实体总体层次风险业务责任观点；

● 设计识别可能影响本实体的潜在事件，如果它们发生的话，在风险偏好范围内管理风险，● 能够为一个实体的管理层和董事会提供合理保证；

● 在一个或更多独立的但重叠的分类中加速目标的实现。

该定义的目标广阔。它抓住公司和其他组织如何管理风险的关键基本概念，为整个组织、行业和部门提供适用的依据。它把焦点直接放在实现由某一方面特定实体制定的目标，为定义企业风险管理的效果提供依据。

目标的实现

在实体既定使命和远景规划的条件下，管理层确定战略目标，选择战略和制定将整个企业连接成一线的目标。这种加速实现实体目标的企业风险管理框架，可陈述为四类：

● 战略----高层目标，连接和支持其使命；

● 经营----有效率和效果地使用其资源；

● 报告----报告的可靠性；

● 合规----遵守适用的法律法规。

这种实体目标的分类准许把重点放在企业风险管理的各别方面。这些性质截然不同但重叠的分类----某一特别的目标可以分成几个分类，强调不同的实体需要并可能对不同的执行部门负直接责任。这种分类同样准许从每一目标分类之间区别可以预期的结果。同样也描述了一些实体使用的保护资源的另一分类。

因为与报告可靠性和遵守法律法规相关的目标在实体的控制范围内，企业风险管理可以预期为实现这些目标提供合理的保证。然而战略目标和经营目标的实现易遭受实体控制范围之外的外部事件的影响，因此，企业风险管理可以提供合理的保证，使管理层认识这些目标和董事会意识到其监督作用，及时地促进整个实体朝着实现目标前进。

企业风险管理的组成部分

企业风险管理包括八个相关组成部分。这些组成部分来自管理层经营企业的方式，并与管理过程相结合。这些组成部分是：

● 内部环境----内部环境包括一个组织的基调，制定作为整个实体的人们如何审视和重视风险的依据，包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。

● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前，必须存在有目标。企业风险管理保证管理部门制定目标的过程到位，选定的目标支持和本实体的使命联成一体，并与风险偏好相一致。

● 事件识别----必须识别影响一个实体实现目标的内部和外部事件，区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。

● 风险评估----要分析风险，考虑可能性和影响，作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险，开发一系列行动，使风险与实体的风险承受能力和风险偏好联成一体。

● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。

● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上，即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动，分别评估，或二者同时进行来实现监控。企业风险管理不是一个严格的系列过程，一个部分只影响下一个部分。它又是一种多方向的重复的过程，在这一过程中几乎所有的任何部分都可能会影响另一个部分。

目标与组成部分的关系

在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。

四种目标分类----战略、经营、报告和合法----由纵向栏目所代表，八个组成部分横向排列，一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力，或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。

效果

确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷，风险需要也已控制在一个实体的风险偏好之内。

当确定企业风险管理在四类目标的每一类中都是有效的，相应地也就为董事会和管理层提供合理的保证，使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。

八个组成部分在每一个实体的运行并不是完全相同的。例如，在中小型实体中的应用可能不那么正式，结构不那么完整。不过，小的实体仍然可以有有效的企业风险管理，只要每一个组成部分都存在并适当运行。

局限性

在企业风险管理提供重要好处的同时，也存在着局限性。在上述讨论的因素之外，局限性来自在决策制定过程中人的判断可能出现错误，反馈风险的决策，制定控制需要考虑相关成本和效益，因为人类的失误，例如简单的错误或过失可能会造成计划的失败，控制可以防止两个人或更多人勾结串通事件的发生，但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。

围绕内部控制

内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制，为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验，并成为现行法律法规和规则的依据，文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的，该框架的整体作为关联部分已结合到本框架中。

作用与职责

在实体中的每一个人对企业风险管理都负有一定的责任，首席执行官是最终的负责人，应该承担所有责任。其他管理人员支持本实体的风险管理哲学，促进遵守风险偏好，在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督，知道并赞成本实体的风险偏好。一些外部参与者，例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息，但他们并不对其效果负责任，他们也不是本实体企业风险管理的一部分。本报告的组织

本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理，描述了原则和概念，为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷，《应用技术》提供了说明在采用本框架要素中有用的技术。

本报告的使用

作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用：

● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况，提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动，以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。

● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中，首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式，初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。

● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责，与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。● 监管人员----本框架可以促进分享企业风险管理，包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南，还是进行检查，在确定预期值方面可以参考本框架。● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度，使所有参与者都受益。

● 教育者----本框架可以作为学术研究和分析的题目，以观察未来可以采取哪些强化措施。根据这一假定，本报告可成为公认的理解的共同基础，其概念和术语应能发现其进入大学课程的渠道。

作为共同理解的基础，所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程，并强化这一过程，使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解，包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架，这些好处将得到实现。

内部环境包括一个组织的基调，制定作为整个实体的人们如何审视和重视风险的依据，包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。

● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前，必须存在有目标。企业风险管理保证管理部门制定目标的过程到位，选定的目标支持和本实体的使命联成一体，并与风险偏好相一致。● 事件识别----必须识别影响一个实体实现目标的内部和外部事件，区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。

● 风险评估----要分析风险，考虑可能性和影响，作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。

● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险，开发一系列行动，使风险与实体的风险承受能力和风险偏好联成一体。

● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。

● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上，即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动，分别评估，或二者同时进行来实现监控。

企业风险管理不是一个严格的系列过程，一个部分只影响下一个部分。它又是一种多方向的重复的过程，在这一过程中几乎所有的任何部分都可能会影响另一个部分。

目标与组成部分的关系

在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。

效果

局限性

作用与职责

本报告的组织

本报告的使用

作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用：

第二篇：风险与内控卓越管理模式

十大卓越管理模式

风险与内控卓越管理模式

冰冻三尺，非一日之寒

安然公司曾是美国最大的天然气采购商及出售商，在2000年《财富》世界500强排名第16位，2001年12月2日公司宣布破产，以其破产前498亿美元的资产规模成为美国历史上最大的破产案；此后不久，美国零售巨头之一，与沃尔玛几乎平起平坐的凯马特公司也宣布破产；2002年4月德国最大的影视传媒集团基尔希集团传告破产；此前有两家欧洲著名的媒体集团ISL和英国独立电视台倒闭。

从国内情况看，伴随着企业“跳跃式”的超常发展，一些“快起快倒”的企业不断出现：巨人集团、三株集团、瀛海威网络、红高粱快餐、爱多VCD、亚细亚商场、秦池白酒、银广厦、蓝田股份。。。

面对众多的破产事件，人们再一次感到企业在风险面前的苍白无力。事实上，任何风险的产生和突发都必须经历一个蕴藏、生成、演化、临近、显现和作用的过程。“冰冻三尺，非一日之寒”，大部分企业的“快起快倒”实际上是各种风险因素日积月累的结果，只不过人们缺乏对风险的认识与防范，忽视了风险背后积累已久的问题。著名咨询顾问史蒂文.芬克（Steven Fink）在他的《危机管理》一书中指出，企业主管“都应当像认识到死亡和纳税难以避免一样，必须为危机做好计划：知道自己准备好之后的力量，才能与命运周旋”。由于危机都有一个逐步显现、恶化的过程，因此具有一定的先兆性和可预测性。为防范和规避危机，企业有必要建立和完善危机预警机制（系统），通过对经营全过程进行跟踪、监控，及早发现和预测危机的信号，一旦发现有某种异常征兆就着手进行应变防范，这样就可以未雨绸缪，最大限度避免或减少危机的破坏作用，这对于促进企业的健康发展具有重大的现实意义。卓越的风险管控，防危杜渐

卓越的内控管理模式，应当涵盖COSO内部控制整体框架中的五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。内部环境：

是企业实施内部控制的基础，决定了企业在道德标准、价值导向、品质方向的基调，往往受高层管理者的直接影响，并影响员工的控制意识和行为方式。具体包括：治理结构、机构设置以及权责分配、内部审计、人力资源政策、企业文化等。风险评估：

识别、分析相关风险，以求有效地管理风险以实现既定目标。相对于既定目标，风险无处不在，其来源可能是企业内部或者外部。企业要是要清楚地了解风险可能带来影响的严重程度，并设定企业能够承受的风险承受程度，采取适当手段把风险降低承受范围内。控制活动：

企业根据风险评估的结果，采用相应的控制措施，将风险控制在可承受范围内。控制活动是落实风险评估结果的基本手段，是整个内部控制体系中最为关键的组成部分。控制活动体现在整个企业的不同层次和不同部门中，贯穿于企业所有的运营活动中。信息与沟通：

企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。有效的沟通要求信息的自上而下、横向及自下而上的传递。内控评价：

企业对内部控制建设实施情况进行监控检查，这是确保内部控制体系正常运转的基本手段。监督包括日常评价和专项评价。评价的手段一般是内部控制的检查（测试）和评价，当发现内部控制存在缺陷时，针对缺陷提出整改方案，尽快落实改进。内控分析：

企业在生产经营过程中需要不断的对内控系统进行测评，并将测评结果展示出来，以便企业管理层根据风险的情况及时调整应对策略，各个管理部门也可以根据内控测评的缺陷进行整改；HR部门可以根据内控的部门测评情况，对部门进行绩效考核。核心应用

控制环境

在“控制环境”模块中提供对于风险管理文化及相关制度的管理功能。

通过HR系统提供组织人力的规划、职位能力素质要求／任职资格、职位描述功能，进行组织结构的管理、人员的配置及职位责任及权力的定义。风险评估

结合目标管理系统，设定战略目标。

通过风险管理模块提供风险管理目标的设定，并与战略目标与KPI 关联，并建立相关的风险指标，以便对日常的业务进行风险的预警。提供风险矩阵平台，系统预设常用风险，支持用户自定义其他风险类型。控制活动

控制活动是内控的关键，贯穿在K/3 ERP的各个模块和流程当中。包括：系统控制参数、权限设置、预算控制、流程控制、信用控制、价格控制等。

支持将系统的所有控制点输出报告，帮助企业内控管理者从整体把握控制情况，利于管理者判断内控力度、效果以及改进方向。信息与沟通

提供丰富的沟通渠道：支持消息、邮件、短信方式查询控制过程和结果信息。支持企业建立举报投诉机制，设置举报专线。满足内控规范的需要。内控评价

提供详细丰富的审计线索以及丰富的内控报告，便于内审部门准确判断内控体系有效性。内控分析

风险分析：风险控制效果分析表、风险坐标图、风险发生概率分析和风险影响程度分析；流程评价分析：流程承担风险分析、流程评价分析和流程控制点分析。部门内控考核分析：内控考核排名分析客户价值

战略规划、业务计划、财务预算和业绩评价的整合；战略层、经营层、作业层三层组织机构协调流程的整合；财务活动和业务活动互为支持的整合；

计划体系、目标体系、指标体系、报表体系和绩效考核体系从“出题”、“解题”到“评分”的整合；预算从制定、调整到考核评价周而复始的整合；业务流、资金流、信息流和人力资源流的整合。

第三篇：COSO内部控制与企业风险管理

COSO内部控制与企业风险管理

1985年，由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（Committee of Sponsoring Organization，COSO）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。

→在《COSO内部控制整合框架》中，内部控制定义为：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。

→自1992年美国COSO委员会发布《COSO内部控制整合框架》以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险，加强风险管理，在客观上也推动了内部控制整体框架的进一步发展。与此同时，COSO委员会也意识到《内部控制整合框架》自身也存一些问题，如过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框架必须出台以适应发展需求。

→2003年7月，美国COSO委员根据萨班斯法案的相关要求，颁布了“企业风险管理整合框架”的讨论稿(Draft)，该讨论稿是在《内部控制整合框架》的基础上进行了扩展而得来的，2004年9月正式颁布了《企业风险管理整合框架》（COSO-ERM），标志COSO委员会最新的内部控制研究成果面世。

→COSO企业风险管理的定义：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO-ERM框架是一个指导性的理论框架，为公司的董事会提供了有关企业所面临的重要风险，以及如何进行风险管理方面的重要信息。企业风险管理本身是一个由企业董事会、管理层、和其他员工共同参与的，应用于企业战略制定和企业内部各个层次与部门的，用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内进行多层面，流程化的企业风险管理过程，它为企业目标实现提供合理保证。

→在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中

COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。

1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control－Integrated Framework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。

COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。

[编辑本段] COSO报告中内部控制的组成

1.控制环境（Control environment）

它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。控制环境影响员工的管理意识，是其他部分的基础。

2.风险评估（risk assessment）

是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。

3.控制活动（control activities）

是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。

4.信息和交流（information and communication）

信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。

5.监控（monitoring）

监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控，来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。

[编辑本段] COSO报告中内部控制的职责

（l）管理层：CEO最终负责整个控制系统。对大公司，CEO可把权限分配给高级经理，并评价其控制活动，然后，高级经理具体制定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。

（2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。

（3）内部审计师：内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。

（4）内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。

（5）外部人员。公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。

[编辑本段] COSO报告的现实意义

COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面：

1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。

2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。

3.提出内部控制是“过程”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。

4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。

5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉。

6.强调内部控制系统系是“内置于”（built in）企业经营和管理过程中的一项基础设施（infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（built on）。同时内控系统应有应对不断变化的客观世界的机制。

[编辑本段] COSO报告的局限性

COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有：

1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。

2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三，报告的范围仅限于与财务报告有关的内部控制，而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。

3.COSO报告中的“合理保证”、“成本效益”等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。但对社会用户来说，增添了许多猜疑和无奈。到底什么算是“合理保证”，如何做到“成本效益配比”，在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。

4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能（计划、执行和监控）交织在一起，是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。

5.基本目标与分类子目标之间存在差异。根据COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中既涉及了企业生存，也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展。另外，COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中，就表现出来了。COSO认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。

6.评价内部控制有效性标准过于主观。根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。

7.内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。

[编辑本段] COSO报告对我国企业的启示

企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时，由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“内部”有时还要延伸至企业法律边界以外，将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾，企业内部控制的目的是追求企业持续“得到控制”，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的，它内置于企业经营和管理过程之中，并与之紧密联系、水乳交融，是同一事物的不同层面，不可割舍。

企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展；不但重视企业微观，同时也关心企业宏观；不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险；不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“全面资产”概念；不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。

第四篇：美国COSO内控框架(2013)的主要变化

2011年12月，美国科索委员会（COSO）发布了新版内控框架的征求意见稿，面向全球公开征求意见。2013年5月，COSO正式发布新内控框架。美国COSO内控框架都有哪些新变化呢？

新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。

与旧框架相比：细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。

扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求；又要面向董事会和经理层，满足企业经营管理决策的需要。

在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。

强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。

新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。

强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。

增加了反舞弊与反腐败的内容。与旧框架相比，新框架包含了更多关于舞弊与欺诈的内容，并且把管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。

充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。

新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。

第五篇：企业纳税风险管理模式

企业纳税风险管理模式

企业纳税风险管理模式是指企业通过何种方式对企业纳税风险进行管理。目前企业进行纳税风险管理的主要形式有三种：

一是企业内部专设有税务管理机构，由专职专业的人员负责企业纳税风险管理工作，该形式适用于税收问题较为复杂的大型企业。企业鉴于现代税制的复杂性、企业规模大小以及纳税业务的繁杂程度，建立起企业纳税风险管理机构或专职岗位。规模较大、纳税业务较繁杂的企业可以在财务部下设由若干个专职人员组成的税务科，负责企业纳税风险及其他纳税事务的管理工作。中小型企业可在财务部内设专职岗位，负责企业纳税风险及其他纳税事务的管理工作。本环节工作目标是建立与企业实际情况相适应的企业纳税风险管理机构或专职岗位。本环节工作要点是：(1)财务部门提出设岗请求报告；(2)管理层研究决定；(3)鉴于风险与报酬相容的原则，人事及财务部门联合制定岗位责任制及考核要求；(4)人事及财务部门联合考察、确定人选；(5)对上岗人员进行企业文化、经营及财税状况、企业管理制度等背景知识进行持续的、动态的相关培训；(6)上岗人员正式上岗。

二是企业内部税务管理人员与外聘的税务专家一起共同负责企业纳税风险管理工作，该形式比较适用于税收问题较为复杂的大、中型企业。企业内部人员无法解决的纳税事宜，可外聘一些税务专家来共同解决涉税风险问题，其因在于有些风险是内部因素引起，而有些纳税风险是外部不可控的因素引起的，其中最为重要的是税收立法与其相关的税收执法与税收司法等不公正的因素引起的纳税风险，诸如此类的纳税风险是需要通过“院外压力”的形式来化解涉税风险，有时可能还会涉及到寻租行为。因此，外聘的税务专家组成成员的身份也显得特别重要，如聘请一些退休的业务比较精干的税务官员、理论与实务能力较强的高等院校教师以及注册会计师、注册税务师与律师等。

三是企业委托外部的税务专家负责企业纳税风险管理工作，该形式适用于各种类型的企业。有些特定的业务可以实行外包形式给一些专业的机构或专业人士来解决，这不需要增加平时的固定成本，只是从防范纳税风险的收益中支付一定比例的报酬给外部税务专家或机构就行，这也是西方发达国家的通行做法。

总之，防范纳税风险最重要的还是企业的高管人员，特别是法人得有这种风险意识，进而才能从机制与制度上防范这种风险的发生，避免后来可能引起的不必要的财务损失。