COSO是谁?为什么它发布的研究报告又刷屏了?02

一叶舟导读：

在上一篇公众号文章中，我们对SO，以及SO 1992年发布的《内部控制整合框架》（IC-IF），2004年发布的《企业风险管理整合框架》（ERM-IF）作了简要介绍。

在上篇文章中，我们还提到，在SO那里，《内部控制框架》（IC-IF）是完全被包含在《企业风险管理整合框架》（ERM-IF）中的。

本文主要讨论SO 2013年修订发布的《内部控制整合框架》。

文 |  杨小舟

全文约2000字，读完需7分钟

1、2013年，SO对1992年发布的《内部控制整合框架》（IC-IF）作出修订。

在《执行概要》（Executive summary）中，SO指出：

新版内部控制整合框架，保留了内部控制的核心定义和五个要素（注意：这里「要素」对应的英文是ponents，不是Elements）；运用五个要素来评估内部控制系统有效性的要求也基本上没有改变。

新版内部控制整合框架仍然强调在内部控制设计、实施、执行，以及评估内部控制有效性方面，管理层「判断」（Judgment）的重要性。

但是，新版的内部控制整合框架，确实有了一些重大改变，主要有两个方面：

原框架中的基本概念（fundamental ncepts），变成了新框架中的原则（principles）；

财务报告类的目标（financial reporting）被扩展为报告目标（reporting），包括非财务报告和内部报告。

并且，新框架体现了1992-2013这几十年来商业和运营环境的变化，这些变化包括：

对治理监管的期望；

市场与运营的全球化；

商业的变化及其日益复杂；

需求，以及法律、规则、调控和标准或准则的复杂性；

对能力与履行受托责任方面的期望；

对新技术的使用和依赖；

有关欺诈防范的期望。

在2013年内部控制整合框架的《执行概要》中，SO再次说明：

企业风险管理整合框架（ERM Framework）与新版内部控制整合框架是互补的，谁也不能替代谁。它们确实有区别且重点不同，但两者之间有重复。企业风险管理框架包括（enmpass）内部控制。

原文如下：the ERM framework and the (Internal ntrol) framework are intended to be mplementary, and neither to supersedes other. Yet, while these frameworks are distinct and provide a diffrent focus, they do overlap. ERM framework enmpasses the internal ntrol ......

2、我们重温下SO 2013版内部控制整合框架的主要内容。

如上所述，目标还是三个，只是财务报告类目标修正为报告类目标。

要素未变，还是控制环境、风险评估、控制活动、信息与控制，以及监督活动五个。详见下图：

SO认为，目标和要素之间存在直接的关系：

目标是主体（entity）努力要实现的东西；要素是实现目标所必需的东西。

每类目标的实现，都有赖于全部要素作用的发挥；而单个要素的作用是否充分发挥，也会影响到所有目标的实现。

3、需要我们特别关注的是，2013版的《内部控制整合框架》在写法或结构上有重大变化：

即把1992版框架中的基本概念（fundamental ncepts），变成的新版中的原则（principles）。

2013版框架的5要素和17条原则如下：

要素 1：控制环境

（ntrol Environment）

原则 1：组织对正直和道德观做出承诺。

The anization demonstrates a mmitment to integrity and ethical values.

原则 2：董事会独立于管理层，并对内部控制的建设和绩效进行监督。

The board of directors demonstrates independence from management and exercise oversight of the development and performance of internal ntrol.

原则 3：管理层在治理层监督下，围绕目标建立组织架构、报告线条、合理的授权与责任机制。

Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.

原则 4：组织对吸引、开发、保留与组织目标相一致的人才做出承诺。

The anization demonstrates a mmitment to attract, develop, and retain the mpetent individuals in alignment with objectives.

原则 5：组织促使员工在追求目标实现过程中履行其在内部控制中的相关职责。

The anization holds individuals acuntable for their internal ntrol responsibilities in the pursuit of objectives.

要素 2：风险评估

（Risk Assessment）

原则 6：为识别、评估与目标相关的风险，组织应清晰地设定目标。

The anization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.

原则 7：组织应对影响目标实现的风险进行全面识别与分析，并以此为基础确定如何管理风险。

The anization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.

原则 8：组织在风险评估过程中，应考虑潜在的舞弊行为。

The anization nsiders the potentials for fraud in assessing risks to the achievement of objectives.

原则 9：组织应识别与评估可能对内部控制系统有显著影响的重大变化。

The anization identifies and assesses changes that uld significantly impact the system of internal ntrol.

要素 3：控制活动

（ntrol Activities）

原则 10：组织选择并开展控制活动，将风险对目标实现的影响控制在可接受的水平上。

The anization selects and develops ntrol activities that ntribute to the mitigation of risks to the achievement of objectives to aeptable levels.

原则 11：组织选择并开展对技术的一般控制以支持目标的实现。

The anization selects and develops general activities over technology to support the achievement of objectives.

原则 12：组织通过政策（应当做什么）和程序（将政策付诸行动）来实施控制活动。

The anization deploys ntrol activities through policies that establish what is expected and procres that put policies into action.

要素 4：信息与沟通

（Information and munication）

原则13 ：组织获取（或生成）、使用相关的、高质量的信息来支持内部控制发挥作用。

The anization obtains or generates and uses relevant, quality information to support the functioning of internal ntrol.

原则 14：组织在其内部沟通传递包括内部控制目标和责任在内的必要信息，以支持内部控制发挥作用。

The anization internally mmunicate information, including objectives and responsibilities for internal ntrol, necessary to support the functioning of internal ntrol.

原则 15：组织应与外部相关方就影响内部控制发挥作用的事宜进行沟通。

The anization mmunicate with external parties regarding matters affecting the functioning of internal ntrol.

要素 5：监督活动

（Monitoring Activities）

原则 16：组织选择、推行并实施持续且（或）独立的评估，以确认内部控制存在并有效运转。

The anization selects, develops and performance ongoing and /or separate evaluations to ascertain whether the mponents of internal ntrol are present and functioning.  

原则 17：组织应及时地与那些负责纠正行动的相关方（包括高级管理层、董事会等）评估和沟通内部控制的缺陷。

The anization evaluates and mmunicates internal ntrol deficiencies in a timely manner to those parities responsible for taking rrective action, including senior management and the board of directors, as appropriate.

4、小结

与1992年的内部控制整合框架对比，SO  2013年的修订版的变化其实很大：不仅将财务报告类目标扩展为报告目标，且将原版中的「基本概念」修改为「原则」。

SO 2017年9月发布的《企业风险管理框架》呢？

与2004年的版本相比，变化也是根本性的。我们在下一篇公众号文章中继续讨论。