一种基于COSO框架内部控制体系建设方法.docVIP

一种基于COSO框架的内部控制体系建设方法 　　［摘 要］ 本文基于公司内部控制体系建设实例，分析以风险管理为核心的内控体系要素，总结出具有一般性的内部控制体系管理的主要内容5大类27项，为上市公司完善内部控制体系建设、运行和维护提供政策依据、统一规范和行动准则。提供了一种可借鉴的基于COSO框架的方法实例。 　　［关键词］ COSO；内部控制；体系建设 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 24. 018 　　［中图分类号］ F239.45 ［文献标识码］ A ［文章编号］ 1673 - 0194（2011）24- 0031- 03 　　 　　近年来，上市公司纷纷参照西方发达国家成熟经验，开展内部控制体系建设工作。某公司是大型跨国企业，随着企业国际化的不断发展，原有管理模式已经不适应新形势下的需要。为了改善这一现状，公司建立了由决策层、管理层、执行层、监督部门组成的内部控制管理架构，明确了各层级的管理职责；成立了专门的内控管理部门，负责内控体系建设、运行、维护的组织及日常监督，以及风险管理体系建设组织工作，明确了职责和权限。 　　1 内部控制体系建设基本概况 　　１.1 编制依据 　　该公司内部控制体系建设借鉴ＣＯＳＯ内部控制框架，建立和运行内部控制体系统一执行的制度、管理规范和文档性记录。同时落实上市地法律法规的要求、《公司内部控制基本规范》及公司内部控制配套指引等国内外监管法规的各项要求，结合公司实际，阐明内部控制关注点、管理措施，国内法律法规、国外法律法规、《ＣＯＳＯ内部控制整体框架》、《ＣＯＳＯ公司风险管理整体框架》及公司相关管理规定。其中，国内法律法规包括《中华人民共和国会计法》及配套法规；《企业会计准则》；《中华人民共和国审计法》；《审计署关于内部审计工作的规定》；《公司内部控制基本规范》；《公司内部控制配套指引》。国外法律法规则包括：《萨班斯―奥克斯利法案》；《与财务报表审计协同进行的对于财务报告内部控制的审计》；《与财务报表审计相结合的财务报告内部控制审计以及相关的独立性规定和一致性修正案》等。 　　1.２ 编制原则 　　（１）合法性原则。以国内及上市地法律法规为准绳，结合公司实际建立内部控制体系。 　　（２）完整性原则。围绕公司战略目标、经营目标、报告目标以及合规性目标，以ＣＯＳＯ内部控制框架五要素为指引，融合ＣＯＳＯ公司风险管理整体框架的主要内容，结合监管部门的基本要求，建立内部控制执行规范，全面开展内部控制体系建设，覆盖全部业务和部门。 　　（３）继承性原则。依托公司管理基础，总结和继承公司行之有效的管理方法和管理经验，与内部控制管理体系实现融合，突出公司管理特色。 　　（４）效率性原则。在保证体系设计合理性的前提下，提高公司运营效率和效益。 　　2 内部控制体系建设主要内容 　　该公司《内部控制管理手册》由总部统一分册和地区公司分册构成。各地区公司按照统一分册的管理要求，遵循“编制规范”，编制本单位《内部控制管理手册》，与总部形成统一整体，以保证内控体系实施的完整性。内部控制体系框架的主要内容包括控制环境、风险评估、控制活动、信息与沟通、监督5个方面。 　　2.１ 控制环境 　　控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。风险管理是受公司董事会、管理层和其他人员影响的过程，这个过程从公司战略制定一直贯穿到公司的各项活动中，旨在识别那些可能影响公司目标的潜在因素并予以管理，使其在公司的风险容量之内，从而为公司实现其目标提供合理保证。控制环境包括如下要素： 　　（１）诚信与道德价值观。建立涵盖公司各个层面的员工职业道德规范，体现公司诚信与道德价值观念，树立员工诚信价值观。 　　（２）发展目标。公司制定发展目标作为风险评估的前提条件，只有先确立了目标，管理层才能针对目标确定风险，并采取必要的行动来管理风险。公司应当在充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。公司目标通常分为战略目标、经营目标、报告目标等。 　　（３）管理理念与公司文化。确立公司管理理念，体现公司的经营管理风格；确立公司风险管理理念，体现公司认知经营管理风险所共有的信念和态度。继承和发扬公司文化，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。 　　（４）风险管理策略。公司围绕发展战略，确定风险容量、风险承受度、风险管理有效性标准，体现公司风险管理的总体策略，并据此制订风险反应方案。公司确定针对发展战略的风险容量，体现公司在战略制定与实施过程中愿意承受的风险范围和风险水平，同时制定具体的风险承受度