2013版內部控制整合框架最新變化2013版內部控制整合框架最新變化1COSO內部控制報告回顧歷年COSO發布的內部控制報告文件：1992200620092013COSO內部控制報告回顧歷年COSO發布的內部控制報告文件：22013版內部控制整合框架組成#1–內部控制整合框架（2013版）共3卷:整體概覽內部控制整合框架及附錄評價內部控制有效性的工具及模板內容包括了:內部控制的定義內部控制目標內部控制五大要素及17項原則內部控制有效的要求2013版內部控制整合框架組成#1–內部控制整合框架（32013版內部控制整合框架組成#2–財務報告內部控制：方法和示例摘要演示了內部控制原則應用與財務報告內部控制的相關方法和示例考慮到了過去20年企業內外部經營環境的變化提供了不同經營主體的實施案例：包括上市公司、私營企業、非營利性組織和政府機構與2013版本的框架相一致2013版內部控制整合框架組成#2–財務報告內部控制：4內部控制整合框架（2013版）要點——17條原則企業需要：編制員工手冊并進行宣貫設立專門部門或崗位負責道德價值觀對應流程：企業文化管理、人力資源管理控制環境原則1：恪守誠信并樹立正確的道德價值觀關注要點：高級管理層樹立了誠信的道德價值觀并傳遞給整個公司制定了明確的員工守則評價員工是否準守了守則，并對違規情況進行及時處理企業需要：確定董事會與管理層權限定期對內部控制有效性進行監督并報告給董事會對應流程：治理架構、授權管理、內控審計原則2：董事會獨立于管理層，對內部控制有效性進行監督關注要點：明確了董事會與管理層各自的權責董事會獨立于管理層并具有勝任能力、并保持獨立性董事會對內部控制有效性進行監督內部控制整合框架（2013版）要點企業需要：控制環境原則1：5企業需要：有健全的組織架構圖及匯報路險有合理的授權體系表及不相容職責表對應流程：組織架構、授權管理控制環境原則3：管理層建立健全企業架構、匯報路徑、合理的授權于責任等機制關注要點：建全了組織架構，明確匯報路徑合理的授權，并承擔對應的責任不過度授權，不相容職責有效分離企業需要：制定一整套人力資源政策與制度；加強員工培訓、輪崗；制定崗位繼任計劃對應流程：人力資源管理原則4：企業制定完善的政策吸引、發展、保留人才關注要點：制定了相關的政策與制度關注員工的勝任能力，并持續改進不斷吸引、發展、保留人才制定了崗位繼任計劃內部控制整合框架（2013版）要點——17條原則企業需要：控制環境原則3：管理層建立健全企業架構、匯報路徑、6企業需要：管理層簽署聲明書、制定相應績效考核指標對應流程：內部控制評價、績效考核控制環境原則5：使員工各自擔負起內部控制相關職責，共同實現目標關注要點：通過組織、權限及責任分工明確每名員工的責任制定了績效衡量以及激勵懲處機制在組織內部形成遵守內部控制的壓力內部控制整合框架（2013版）要點——17條原則企業需要：控制環境原則5：使員工各自擔負起內部控制相關職責，7企業需要：有對應的目標體系風險評估原則6：有清晰的目標，并根據目標識別及評價風險關注要點：設置了明確的、相關的目標（包括經營目標、報告目標及合規目標）企業需要：制定一整完善的風險評估流程建立風險數據庫建立風險應對矩陣對應流程：風險評估及應對原則7：對風險進行全范圍的識別與分析，并決定如何管理風險關注要點：有適當的管理層參與整個過程風險評估過程包括總部、各部門、業務單元、事業部、下屬分子公司等全部實體考慮內部及外部的風險因素評估風險的重要性制定風險應對策略內部控制整合框架（2013版）要點——17條原則企業需要：風險評估原則6：有清晰的目標，并根據目標識別及評價8企業需要：將舞弊風險（或廉政風險）作為專項風險來識別；設立舉報及舉報人保護機制對應流程：風險評估、內部信息溝通風險評估原則8：評估風險的過程中考慮舞弊的可能性關注要點：考慮舞弊發生的各種可能性評估舞弊的動機和壓力評估舞弊的機會大小評估對待舞弊的態度及自我合理化傾向企業需要：定期開展內控自我評價及內控審計及時更新內控體系文檔對應流程：內控自我評價、內控審計原則9：識別并評價可能對內控體系造成較大影響的變化關注要點：評估外部環境變化帶來的影響評估經營模式變化帶來的影響評估管理層變動帶來的影響內部控制整合框架（2013版）要點——17條原則企業需要：風險評估原則8：評估風險的過程中考慮舞弊的可能性關9企業需要：確定風險應對策略，根據風險應對策略制定風險應對方案編制風險控制矩陣及流程圖編制不相容職責分離表對應流程：ALl控制活動原則10：選擇并開展控制活動，將風險降低至可接受水平關注要點：控制活動要與風險評估結果相適應確定與控制活動相關的管理流程在選擇和實施控制活動時考慮企業特有因素采取不同類型的控制活動降低風險確保不相容職責分離企業需要：針對信息系統開發及運行設計對應控制活動對信息系統日常運行進行監控開展信息系統專項審計對應流程：信息系統開發信息系統運行維護原則11：針對信息技術并開展一般控制關注要點：確定獨立于信息系統運行的信息系統一般控制建立相關的基礎架構的控制活動建立相關的信息安全管理控制活動建立相關的信息系統購買、開發、運行維護控制活動內部控制整合框架（2013版）要點——17條原則企業需要：控制活動原則10：選擇并開展控制活動，將風險降低至10企業需要：編制政策、程序、流程及內控手冊明確每項控制活動的責任人監督及考核控制活動的執行情況注意部門間的配合對應流程：ALl控制活動原則12：通過政策、程序來實施控制活動關注要點：建立相關的政策和程序來落實控制活動建立政策和程序執行的責任和義務機制使用有勝任能力的員工來來執行控制活動注意控制活動執行的及時性定期維護并更新政策及程序內部控制整合框架（2013版）要點——17條原則企業需要：控制活動原則12：通過政策、程序來實施控制活動關注11企業需要：確定信息需求，歸集信息渠道制定有效的信息溝通流程持續評價信息溝通的有效性對應流程：信息與溝通信息與溝通原則13：獲取或生成并使用相關的、有質量的信息來支持內部控制正常運作關注要點：識別各環節的信息需求建立內部、外部數據獲取渠道將相關數據處理成有用的信息確保信息處理過程的有效衡量信息獲取的成本與收益企業需要：與員工溝通崗位職責、進行控制活動宣貫；核心的要求可以讓員工簽字確認；建立匿名投訴熱線對應流程：信息與溝通原則14：將企業目標和內部控制職責在內的必要信息傳達給每位員工關注要點：將內部控制的相關信息與每名員工進行溝通將內部控制相關信息與董事會進行溝通建立獨立的應急性的溝通渠道選擇合適的溝通方式內部控制整合框架（2013版）要點——17條原則企業需要：信息與溝通原則13：獲取或生成并使用相關的、有質量12企業需要：建立與股東、顧客、供應商、監管機構、財務分析師等外部相關方的溝通機制對應流程：信息與溝通信息與溝通原則15：企業與外部相關方就影響內部控制發揮作用的事宜進行溝通關注要點：與外部利益相關方進行溝通在內部信息傳遞渠道上增加外部的接入端口提供獨立的應急性的溝通渠道選擇合適的溝通方式內部控制整合框架（2013版）要點——17條原則企業需要：信息與溝通原則15：企業與外部相關方就影響內部控制13企業需要：設計嵌入管理流程的持續評價工具根據風險來開展專項評價活動聘請外部機構來進行評價對應流程：內部控制自我評價內部控制審計監控活動原則16：實施持續和專項的評價關注要點：考慮持續和專項評價的方案在選擇持續和專項評價時考慮企業管理活動的變化程度選用具有相關知識的人進行評價持續性評價與管理流程相融合定期開展獨立的評價保證客觀性根據風險大小調整評價的頻率

企業需要：確定內部控制缺陷，并與相關方進行溝通對內部控制缺陷的整改情況進行跟蹤對應流程：內部控制自我評價內部控制審計原則17：及時評價內部控制缺陷，并視情況與負責整改的責任方劑管理層、治理層溝通關注要點：管理層或董事會成員來評估持續和單獨評價的結果將內部控制缺陷與負責整改的相關管理層溝通將內部控制缺陷與高級管理人員及董事會溝通對整改活動進行監控內部控制整合框架（2013版）要點——17條原則企業需要：監控活動原則16：實施持續和專項的評價關注要點：企14內部控制整合框架（2013版）要點——內部控制有效性評價內部控制有效性的評價分為公司層面評價及業務層面評價：公司層面評價對公司的控制環境、風險評估、控制活動、信息與溝通、監控活動等內部控制五大要素分別進行評價，并匯總評價結果，對整體內部控制有效性進行評價業務層面評價

對各業務流程的關鍵控制點進行評價，通過穿行測試、抽樣測試等方法評價其設計及執行的有效性。業務層面評價結果可以用來支撐公司層面評價的結論內部控制整合框架（2013版）要點內部控制有效性的評價分為公15內部控制整合框架（2013版）要點——內部控制有效性評價COSO框架提供的是公司層面評價的方法和模板，總體評價過程如下：先按照17項原則進行單獨評價匯總評估結果，形成對五大要素的評價結論匯總五大要素評估結果，對內部控制整體有效性進行評價內部控制整合框架（2013版）要點COSO框架提供的是公司層16內部控制整合框架（2013版）要點——內部控制有效性評價內部控制整體有效的條件：五大要素及17項原則單獨有效五要素間共同運行，可以協同發揮作用（流程間借口沒有沖突）內部控制整合框架（2013版）要點內部控制整體有效的條件：五17內部控制整合框架（2013版）要點——內部控制有效性評價模板1：整體風險有效性評價模板內部控制整合框架（2013版）要點模板1：整體風險有效性評價18內部控制整合框架（2013版）要點——內部控制有效性評價模板2：各要素評價模板內部控制整合框架（2013版）要點模板2：各要素評價模板19內部控制整合框架（2013版）要點——內部控制有效性評價模板2：各要素評價模板內部控制整合框架（2013版）要點模板2：各要素評價模板20內部控制整合框架（2013版）要點——內部控制有效性評價模板2：各要素評價模板內部控制整合框架（2013版）要點模板2：各要素評價模板21內部控制整合框架（2013版）要點——內部控制有效性評價模板3：各原則評價模板內部控制整合框架（2013版）要點模板3：各原則評價模板22內部控制整合框架（2013版）要點——內部控制有效性評價模板3：各原則評價模板內部控制整合框架（2013版）要點模板3：各原則評價模板23內部控制整合框架（2013版）要點——內部控制有效性評價模板4：缺陷匯總表內部控制整合框架（2013版）要點模板4：缺陷匯總表24新框架與全面風險管理框架的區別整體變化情況：增加“戰略目標”，戰略是可以優化的將風險評估分解為“目標設定、事項識別、風險評估、風險應對”目標設定在內部控制框架中是先決條件增加了風險的另一面：“機會”新框架與全面風險管理框架的區別整體變化情況：增加“戰略目標”25新框架與全面風險管理框架的區別控制環境增加了“確定風險管理基調、風險管理文化、風險管理偏好及承受度”風險評估強調了風險的“機會”屬性；風險組合觀其他三要素無變化具體內容主要變化：新框架與全面風險管理框架的區別控制環境增加了“確定風險管理基262013版內部控制整合框架最新變化2013版內部控制整合框架最新變化27COSO內部控制報告回顧歷年COSO發布的內部控制報告文件：1992200620092013COSO內部控制報告回顧歷年COSO發布的內部控制報告文件：282013版內部控制整合框架組成#1–內部控制整合框架（2013版）共3卷:整體概覽內部控制整合框架及附錄評價內部控制有效性的工具及模板內容包括了:內部控制的定義內部控制目標內部控制五大要素及17項原則內部控制有效的要求2013版內部控制整合框架組成#1–內部控制整合框架（292013版內部控制整合框架組成#2–財務報告內部控制：方法和示例摘要演示了內部控制原則應用與財務報告內部控制的相關方法和示例考慮到了過去20年企業內外部經營環境的變化提供了不同經營主體的實施案例：包括上市公司、私營企業、非營利性組織和政府機構與2013版本的框架相一致2013版內部控制整合框架組成#2–財務報告內部控制：30內部控制整合框架（2013版）要點——17條原則企業需要：編制員工手冊并進行宣貫設立專門部門或崗位負責道德價值觀對應流程：企業文化管理、人力資源管理控制環境原則1：恪守誠信并樹立正確的道德價值觀關注要點：高級管理層樹立了誠信的道德價值觀并傳遞給整個公司制定了明確的員工守則評價員工是否準守了守則，并對違規情況進行及時處理企業需要：確定董事會與管理層權限定期對內部控制有效性進行監督并報告給董事會對應流程：治理架構、授權管理、內控審計原則2：董事會獨立于管理層，對內部控制有效性進行監督關注要點：明確了董事會與管理層各自的權責董事會獨立于管理層并具有勝任能力、并保持獨立性董事會對內部控制有效性進行監督內部控制整合框架（2013版）要點企業需要：控制環境原則1：31企業需要：有健全的組織架構圖及匯報路險有合理的授權體系表及不相容職責表對應流程：組織架構、授權管理控制環境原則3：管理層建立健全企業架構、匯報路徑、合理的授權于責任等機制關注要點：建全了組織架構，明確匯報路徑合理的授權，并承擔對應的責任不過度授權，不相容職責有效分離企業需要：制定一整套人力資源政策與制度；加強員工培訓、輪崗；制定崗位繼任計劃對應流程：人力資源管理原則4：企業制定完善的政策吸引、發展、保留人才關注要點：制定了相關的政策與制度關注員工的勝任能力，并持續改進不斷吸引、發展、保留人才制定了崗位繼任計劃內部控制整合框架（2013版）要點——17條原則企業需要：控制環境原則3：管理層建立健全企業架構、匯報路徑、32企業需要：管理層簽署聲明書、制定相應績效考核指標對應流程：內部控制評價、績效考核控制環境原則5：使員工各自擔負起內部控制相關職責，共同實現目標關注要點：通過組織、權限及責任分工明確每名員工的責任制定了績效衡量以及激勵懲處機制在組織內部形成遵守內部控制的壓力內部控制整合框架（2013版）要點——17條原則企業需要：控制環境原則5：使員工各自擔負起內部控制相關職責，33企業需要：有對應的目標體系風險評估原則6：有清晰的目標，并根據目標識別及評價風險關注要點：設置了明確的、相關的目標（包括經營目標、報告目標及合規目標）企業需要：制定一整完善的風險評估流程建立風險數據庫建立風險應對矩陣對應流程：風險評估及應對原則7：對風險進行全范圍的識別與分析，并決定如何管理風險關注要點：有適當的管理層參與整個過程風險評估過程包括總部、各部門、業務單元、事業部、下屬分子公司等全部實體考慮內部及外部的風險因素評估風險的重要性制定風險應對策略內部控制整合框架（2013版）要點——17條原則企業需要：風險評估原則6：有清晰的目標，并根據目標識別及評價34企業需要：將舞弊風險（或廉政風險）作為專項風險來識別；設立舉報及舉報人保護機制對應流程：風險評估、內部信息溝通風險評估原則8：評估風險的過程中考慮舞弊的可能性關注要點：考慮舞弊發生的各種可能性評估舞弊的動機和壓力評估舞弊的機會大小評估對待舞弊的態度及自我合理化傾向企業需要：定期開展內控自我評價及內控審計及時更新內控體系文檔對應流程：內控自我評價、內控審計原則9：識別并評價可能對內控體系造成較大影響的變化關注要點：評估外部環境變化帶來的影響評估經營模式變化帶來的影響評估管理層變動帶來的影響內部控制整合框架（2013版）要點——17條原則企業需要：風險評估原則8：評估風險的過程中考慮舞弊的可能性關35企業需要：確定風險應對策略，根據風險應對策略制定風險應對方案編制風險控制矩陣及流程圖編制不相容職責分離表對應流程：ALl控制活動原則10：選擇并開展控制活動，將風險降低至可接受水平關注要點：控制活動要與風險評估結果相適應確定與控制活動相關的管理流程在選擇和實施控制活動時考慮企業特有因素采取不同類型的控制活動降低風險確保不相容職責分離企業需要：針對信息系統開發及運行設計對應控制活動對信息系統日常運行進行監控開展信息系統專項審計對應流程：信息系統開發信息系統運行維護原則11：針對信息技術并開展一般控制關注要點：確定獨立于信息系統運行的信息系統一般控制建立相關的基礎架構的控制活動建立相關的信息安全管理控制活動建立相關的信息系統購買、開發、運行維護控制活動內部控制整合框架（2013版）要點——17條原則企業需要：控制活動原則10：選擇并開展控制活動，將風險降低至36企業需要：編制政策、程序、流程及內控手冊明確每項控制活動的責任人監督及考核控制活動的執行情況注意部門間的配合對應流程：ALl控制活動原則12：通過政策、程序來實施控制活動關注要點：建立相關的政策和程序來落實控制活動建立政策和程序執行的責任和義務機制使用有勝任能力的員工來來執行控制活動注意控制活動執行的及時性定期維護并更新政策及程序內部控制整合框架（2013版）要點——17條原則企業需要：控制活動原則12：通過政策、程序來實施控制活動關注37企業需要：確定信息需求，歸集信息渠道制定有效的信息溝通流程持續評價信息溝通的有效性對應流程：信息與溝通信息與溝通原則13：獲取或生成并使用相關的、有質量的信息來支持內部控制正常運作關注要點：識別各環節的信息需求建立內部、外部數據獲取渠道將相關數據處理成有用的信息確保信息處理過程的有效衡量信息獲取的成本與收益企業需要：與員工溝通崗位職責、進行控制活動宣貫；核心的要求可以讓員工簽字確認；建立匿名投訴熱線對應流程：信息與溝通原則14：將企業目標和內部控制職責在內的必要信息傳達給每位員工關注要點：將內部控制的相關信息與每名員工進行溝通將內部控制相關信息與董事會進行溝通建立獨立的應急性的溝通渠道選擇合適的溝通方式內部控制整合框架（2013版）要點——17條原則企業需要：信息與溝通原則13：獲取或生成并使用相關的、有質量38企業需要：建立與股東、顧客、供應商、監管機構、財務分析師等外部相關方的溝通機制對應流程：信息與溝通信息與溝通原則15：企業與外部相關方就影響內部控制發揮作用的事宜進行溝通關注要點：與外部利益相關方進行溝通在內部信息傳遞渠道上增加外部的接入端口提供獨立的應急性的溝通渠道選擇合適的溝通方式內部控制整合框架（2013版）要點——17條原則企業需要：信息與溝通原則15：企業與外部相關方就影響內部控制39企業需要：設計嵌入管理流程的持續評價工具根據風險來開展專項評價活動聘請外部機構來進行評價對應流程：內部控制自我評價內部控制審計監控活動原則16：實施持續和專項的評價關注要點：考慮持續和專項評價的方案在選擇持續和專項評價時考慮企業管理活動的變化程度選用具有相關知識的人進行評價持續性評價與管理流程相融合定期開展獨立的評價保證客觀性根據風險大小調整評價的頻率

企業需要：確定內部控制缺陷，并與相關方進行溝通對內部控制缺陷的整改情況進行跟蹤對應流程：內部控制自我評價內部控制審計原則17：及時評價內部控制缺陷，并視情況與負責整改的責任方劑管理層、治理層溝通關注要點：管理層或董事會成員來評估持續和單獨評價的結果將內部控制缺陷與負責整改的相關管理層溝通將內部控制缺陷與高級管理人員及董事會溝通對整改活動進行監控內部控制整合框架（2013版）要點——17條原則企業需要：監控活動原則16：實施持續和專項的評價關注要點：企40內部控制整合框架（2013版）要點——內部控制有效性評價內部控制有效性的評價分為公司層面評價及業務層面評價：公司層面評價對公司的控制環境、風險評估、控制活動、信息與溝通、監控活動等內部控制五大要素分別進行評價，并匯總評價結果，對整體內部控制有效性進行評價業務層面評價

對各業務流程的關鍵控制點進行評價，通過穿行測試、抽樣測試等方法評價其設計及執行的有效性。業務層面評價結果可以用來支撐公司層面評價的結論內部控制整合框架（2013版）要點內部控制有效性的評價分為公41內部控制整合框架（2013版）要點——內部控制有效性評價COSO框架提供的是公司層面評價的方法和模板，總體評價過程如下：先按照17項原則進行