【文章內(nèi)容簡介】 mmittee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文縮寫。COSO是自愿性的私人組織，致力于通過強化商業(yè)道德、建立完善有效的內(nèi)部控制和法人治理結構以提高財務報告的質量。1985年，由美國注冊會計師協(xié)會（AICPA）、會計協(xié)會（AAA）、財務經(jīng)理協(xié)會（FEI）、內(nèi)部審計師協(xié)會（IIA）、管理會計師協(xié)會（IMA）聯(lián)合創(chuàng)建了反虛假財務報告委員會。該委員會旨在探討財務報告中舞弊產(chǎn)生的原因，并尋求解決措施。兩年后，該委員會提出了很多有價值的建議。基于該委員會的建議，其贊助機構成立了COSO委員會，專門研究內(nèi)部控制問題。反虛假財務報告委員會于1987年簽署了報告，號召研究并制定一個統(tǒng)一的內(nèi)部控制框架。1992年9月，COSO委員會提出了報告《內(nèi)部控制整體框架》（1994年進行了增補），即COSO內(nèi)部控制框架。COSO內(nèi)部控制框架被廣泛地選擇作為構建和完善內(nèi)部控制體系的標準，是因為：雖然COSO內(nèi)部控制框架并非唯一的內(nèi)部控制框架，但卻是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，《薩班斯—奧克斯利法案》第404條款的“最終細則”也明確表明COSO內(nèi)部控制框架可以作為評估公司內(nèi)部控制的標準。COSO內(nèi)部控制框架提出五個互相關聯(lián)的組成要素，根據(jù)公司的規(guī)模和結構，公司可采用不同的方式來實施這些組成要素，但是所有公司都必須涉及這五個組成要素。因此，在對內(nèi)部控制進行評估時，管理層必須考慮以下每個組成要素：控制環(huán)境：控制環(huán)境是內(nèi)部控制體系的基礎，是有效實施內(nèi)部控制的保障，直接影響著公司內(nèi)部控制的貫徹執(zhí)行、公司經(jīng)營目標及整體戰(zhàn)略目標的實現(xiàn)?？刂骗h(huán)境確定了公司的總體態(tài)度，是內(nèi)部控制所有其他組成要素的基礎?？刂骗h(huán)境包括職業(yè)道德、員工的勝任能力、管理理念和經(jīng)營風格、組織結構、權利和責任的分配、人力資源政策與措施以及董事會與審計委員會以及反舞弊等內(nèi)容。風險評估：風險評估是識別及分析影響公司目標實現(xiàn)的風險的過程，是風險管理的基礎。在風險評估中，應識別和分析對實現(xiàn)目標具有阻礙作用的風險?？刂苹顒樱嚎刂苹顒邮谴_保管理層的指令得到貫徹執(zhí)行的必要措施，存在于整個機構內(nèi)所有級別和職能部門。包括批準、授權、查證、核對、經(jīng)營業(yè)績評價、資產(chǎn)保全措施和職責分工等活動。信息與溝通：信息與溝通是公司經(jīng)營管理所需的信息被識別、獲得并以一定形式及時地傳遞，以便員工履行職責。信息不僅包括內(nèi)部產(chǎn)生的信息，還包括與公司經(jīng)營決策和對外報告相關的外部信息。暢通的溝通渠道和機制使公司的員工能及時取得他們在執(zhí)行、管理和控制公司經(jīng)營過程中所需的信息，并交換這些信息。監(jiān)督檢查：監(jiān)督檢查是對內(nèi)部控制體系有效性進行評估的持續(xù)過程，包括持續(xù)監(jiān)控、獨立評價和缺陷報告等。在2001年以后，特別是安然事件發(fā)生以后，企業(yè)風險管理成為焦點而受到突出關注，需要一個強有力的框架有效地識別、評估和管理風險。2004年9月，COSO委員會發(fā)布《企業(yè)風險管理整合框架》，在內(nèi)部控制的基礎上，擴展、提供了一個更強有力的框架，更廣泛地專注企業(yè)的全面風險管理。該框架不會取代內(nèi)控框架，而是將內(nèi)控框架與其融合為一體。公司仍可以決定依靠這個企業(yè)風險管理框架去滿足企業(yè)內(nèi)控的需要，通過采用更全面的風險管理方法使企業(yè)持續(xù)發(fā)展。企業(yè)風險管理由八項相互關聯(lián)的要素組成，來自管理層經(jīng)營企業(yè)的方式，并融入管理過程本身。這些要素包括： 控制環(huán)境：控制環(huán)境包含了一個企業(yè)的基調(diào)，為該企業(yè)管理層和員工審視和應對風險的方式制定基礎，包括風險管理理念和風險容量、誠信和道德價值觀以及他們進行經(jīng)營活動所處的環(huán)境。目標制定：在管理層能夠識別影響目標實現(xiàn)的潛在事件之前，企業(yè)必須已制定目標。企業(yè)風險管理確保管理層使制定目標的流程到位，并保持選擇的目標支持企業(yè)的使命并與此并行不悖，同時這些目標也與企業(yè)的風險容量相一致。事件識別：必須識別出影響企業(yè)實現(xiàn)目標的各種外部和內(nèi)部事件，并區(qū)分風險和機遇?？梢栽诠芾韺又贫ㄆ髽I(yè)戰(zhàn)略或目標的過程中對機遇加以考慮。風險評估：應對風險進行分析，考慮其發(fā)生的可能性和影響，以作為確定應如何管理風險的基礎。還應對企業(yè)固有風險及殘存風險進行評估。風險應對：管理層選擇風險反應方案：規(guī)避風險、接受風險、減少風險或分擔風險，采取一系列措施使風險維持在企業(yè)的風險承受范圍和風險容量范圍之內(nèi)?？刂苹顒樱捍_立和實施政策和程序，以有助于確保風險反應方案得以有效地貫徹執(zhí)行。信息與溝通：相關信息在一定時限內(nèi)以某種形式被識別、獲得和傳達溝通，以便使員工履行自己的職責。從廣義上講，有效的溝通也應自上而下、自下而上地進行，貫穿整個企業(yè)。監(jiān)督檢查：監(jiān)控整個企業(yè)風險管理過程，并根據(jù)需要作出修改。通過持續(xù)性監(jiān)控活動、獨立評價或兩者兼而有之來完成監(jiān)控。圖11 COSO企業(yè)風險管理體系模型 適用范圍本手冊適用于北京第六大洲房地產(chǎn)開發(fā)有限公司。 內(nèi)部控制體系框架的主要內(nèi)容 內(nèi)部環(huán)境內(nèi)部環(huán)境是內(nèi)部控制體系建設的基礎，是有效實施內(nèi)部控制的保障，直接影響著內(nèi)部控制的貫徹執(zhí)行、公司經(jīng)營目標及整體戰(zhàn)略目標的實現(xiàn)。內(nèi)部環(huán)境確定了公司對內(nèi)部控制體系建設的總體態(tài)度，是內(nèi)部控制所有其他組成要素的基礎。公司內(nèi)部環(huán)境包括治理結構、機構設置及權責分配、內(nèi)部審計、人力資源政策、企業(yè)文化等內(nèi)容。 治理結構建立規(guī)范的公司治理結構（包括董事會、監(jiān)事會和經(jīng)理層），并制定相應的議事規(guī)則，明確決策、執(zhí)行、監(jiān)督等方面的職責權限，形成科學有效的職責分工和制衡機制。 機構設置及權責分配在治理結構所確定的內(nèi)控基本組織框架基礎上，設立滿足公司經(jīng)營管理所需要的職能機構，將內(nèi)部控制管理的各項要求融入公司管理和業(yè)務流程中，明確職責權限，建立完善的權責管理體系，制定完善的授權管理文件，將權利和責任落實到各責任單位和部門，進一步健全公司的內(nèi)部控制管理組織體系。 內(nèi)部審計建立完善的內(nèi)部審計工作程序與機制，明確內(nèi)部審計的范圍、責任、權限以及人員的勝任能力等，保證內(nèi)部審計機構設置、人員配備和工作的獨立性；健全內(nèi)部審計機構對內(nèi)部控制有效性的監(jiān)督檢查及報告機制。 人力資源政策制定完善的員工招聘、培訓、辭退與辭職、薪酬、考核、晉升與獎懲、關鍵崗位的強制休假和定期輪崗、重要崗位員工離崗的限制等政策及程序，健全公司管理人員的任用選拔、管理考核和激勵監(jiān)督機制，有效地保證內(nèi)部控制在公司中的順利實施。 企業(yè)文化繼承和發(fā)揚公司企業(yè)文化，體現(xiàn)公司的經(jīng)營宗旨、價值觀念和行為準則；將風險管理文化融入企業(yè)文化建設全過程，樹立和傳播正確的風險管理理念，增強守法意識和誠信意識，將風險管理意識轉化為員工的共同認識和自覺行動，提高全員風險意識；公司高級管理人員應在繼承和發(fā)揚風險管理文化中發(fā)揮表率作用，中層管理人員應在繼承和發(fā)揚風險管理文化中發(fā)揮骨干作用。加強全體員工的法制教育，增強董事、監(jiān)事、經(jīng)理及其他高級管理人員和員工的法制觀念，建立健全公司的法律顧問制度和重大法律糾紛備案制度，保證各項重要業(yè)務活動的依法決策、依法辦事和依法監(jiān)督。 風險評估風險是指未來的不確定性對公司實現(xiàn)其目標的影響。風險評估是及時識別、科學分析和評估影響公司目標實現(xiàn)的各種不確定因素并制定應對策略的過程，是實施內(nèi)部控制的重要環(huán)節(jié)。在風險評估中，既要識別和分析對實現(xiàn)目標具有阻礙作用的風險，也要發(fā)現(xiàn)對實現(xiàn)目標具有積極影響的機遇。公司應制定完善的風險評估規(guī)范，明確風險評估的范圍、程序和方法，規(guī)范公司的風險評估工作。公司風險評估工作由企業(yè)發(fā)展部組織有關職能部門和業(yè)務單位實施。 風險評估范圍公司針對戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)目標和資產(chǎn)安全目標，分別確認風險評估的范圍。 風險評估的基本程序1. 目標設定與初始信息收集。公司在進行風險評估時，需根據(jù)設定的控制目標，全面系統(tǒng)持續(xù)地收集相關信息，結合實際情況，及時進行風險評估。圍繞公司戰(zhàn)略目標和相關目標以及風險管理要求，相關職能部門、業(yè)務單位和內(nèi)控管理部門廣泛、持續(xù)收集與公司風險及風險管理相關的各種內(nèi)、外部信息，包括收集歷史數(shù)據(jù)和未來信息，關注宏觀經(jīng)濟與經(jīng)營環(huán)境、競爭對手、新技術與新產(chǎn)品、海外經(jīng)營、公司重組、業(yè)務整合、會計政策、信息系統(tǒng)、資本運作等方面已經(jīng)發(fā)生和將要發(fā)生的變化情況。2. 風險識別。風險識別是指查找公司各項重要經(jīng)營管理活動及其重要業(yè)務流程中存在的影響目標實現(xiàn)的風險和機遇的過程。公司應動態(tài)識別影響公