论文题目：我国上市公司内部控制的现状与思考。 求论文大纲和文献综述。 可加分。

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。COSO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。扩展资料：控制模型：1、 强调“软控制”的功能。相对于以前的内部控制而言，框架更加强调那些属于管理文化层面的软性管理因素。2、 强调内部控制应与企业的经营管理过程相结合。框架认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。3、 突出强调信息系统的作用。框架认为，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。4、 明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出，不仅仅是董事会、管理人员、内部审计人员，组织中的每一个人都对内部控制环节负有责任。参考资料来源：百度百科--COSO内部控制

COSO1992的全称是《内部控制-整体框架》( Internal Control-Integrated Framework )，主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。 在实践过程中，COSO1992被认为存在一些方面的局限性，包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者，COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting（下属Treadway委员会）对1992版本进行了重大更新，并于2004年9月提出了新版本的框架-《 企业风险管理-整体框架 》( Enterprise Risk Management-Integrated Framework )。 值得一提的是，2006年，我国国资委发布《 中央企业全面风险管理指引 》，指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准，提出企业风险管理包括三部分： 风险管理流程 、 风险管理体系 和 风险管理解决方案 。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。 对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004，可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后，逐渐深入人心，被广为接受。COSO2004作为引领潮流的风险管理框架，具体是什么内容呢？ 首先回顾1992版本与2004版本在主要结构与内容上的区别：在框架内容上，从三目标五要素更新为四目标八要素；在实施对象上，从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。 图中COSO2004为英文，其四目标的中文含义是： 战略、经营、报告 与 合规 。做适当的延申理解，其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是： 内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查 。侧面的实施对象为董事会-部门-业务单位-附属机构。 与COSO2004内部控制框架一样，目标与要素的关系是相互交叉关联的，每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别，风险评估、控制活动、监控、信息与沟通依然保留，控制环境被内部环境取代，增加了 目标设置 、 事项识别 、 风险应对 三个要素。而目标在两个版本中的区别则非常明显，2004版增加了 战略 。 联系目标与要素的变化，要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。 事项识别要素可以认为是对原风险评估要素的延申细化，事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素，尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现，管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。 风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变，是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。 从1992框架的“控制环境”到2004版本的“内部环境”，将风险管理框架的要求拓展到控制系统之外，涵盖了组织、战略、文化的部分，我认为是此处变化的主要含义，欢迎探讨。 除了这些重大变化，2004版本框架对重要概念的定义也是我们所关心的。 在这一版本中，“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的，“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。 “企业风险管理”被定义为“一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴，但制定该目标的过程则是企业风险管理关心的一部分。 首先，企业风险管理被认为是一个过程；其次，风险容量在这个过程中至关重要，在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。 那么，如何评价COSO2004框架下企业风险管理的有效性呢？ 1、这八个要素都必须正常存在和运行。在小型机构之中，各个构成要素的方法可能不太正式或健全，但在每一个主体中这些基本的概念都应当存在。 2、通常一个主体作为整体评价风险管理有效性，例如董事会必须存在。但也存在单独评价一个业务单元的情况，此时，只有存在类似的机构提供此要素的功能，该单元的风险管理才能被认为有效。 实际上如何检验和确保有效性的问题，并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。 最后还有一个明显的疑问：“内部控制与风险管理的关系是怎样的？” COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分，这份企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具”： 1、全面风险管理（企业风险管理的另一个名字）涵盖了内部控制，内部控制是风险管理的子系统。 2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险，内部控制系统是必要的、有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的基本要求。因此，满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。 3、两者在活动上不一致，全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。 4、两者对风险的对策不一致，全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法，有利于企业的发展战略与风险偏好相适配，联系风险、增长与汇报，参与经济资本的分配，支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。

（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。以上是COSO1992做的定义，非常经典，沿用至今，最新版COSO2013给扩到了16条，具体你得百度。

【答案】：COSO报告指出：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素组成。

1、COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。2、企业风险管理整合框架在内部控制整合框架的基础上增加了一个新观念，一个战略目标，两个概念和三个要素。即风险组合观，战略目标，风险偏好、风险容限的概念以及目标设定、事项识别、风险应对要素。①在内部控制郑和框架的基础上，企业风险管理框架引入了风险组合观。②内部控制整合框架将企业的目标分成三类，即经营目标、报告目标、合规性目标。③企业风险管理构架引入风险偏好和风险容限两个概念。温馨提示：以上信息仅供参考。应答时间：2021-04-08，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

【答案】：B、C、ECOSO委员会在内部控制整体框架中，明确了内部控制的三大目标：财务报告的可靠性、发展的效果和效率、相关法律法规的遵循。 考点 内部控制的起源与发展

【答案】：D从COSO委员会对内部控制的定义来看，内部控制的目标主要包括以下三类：第一类目标针对企业的基本业务目标，包括业绩和盈利目标以及资源的安全性。第二类目标关于编制可靠的公开发布的财务报表，包括中期和简要的财务报表以及从这些公开发布的报表中精选的财务数据，例如业绩公告。第三类目标涉及对于企业所适用的法律及法规的遵循。

1. 确认所要进行的内控设计针对的内控目标是什么。2. 根据确认的内控目标，识别公司层面的内外部主要风险并进行评估。3. 通过业务流程的全面梳理，锁定与确认的内控目标相关的业务流程。4. 按照COSO框架提出的控制标准，对确认的主要风险提出控制要求，将梳理得出的业务流程（风险控制活动）与控制要求进行对比分析，提出整改建议。5. 对所确定的业务流程进行分析，分析确认业务活动中存在的风险，提出整改建议。6. 各项制度规章的完善和补充。下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明： 1. 识别风险。风险识别包括了二个层次，企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。2. 评估上述识别出的风险的后果和可能性。3. 描述公司流程。1) 制定公司流程总目录和流程描述的规范；2) 流程具体描述。4. 识别与风险相关的应对流程的风险，并建立风险数据库5. 根据上述风险评估的结果，建立持续的风险评估制度体系 1. 以COSO控制框架、公司管理制度、控制理论为依据，在公司层面上确定“关键控制点和控制要点”。2. 以公司层面“关键控制点和控制要点”为基础，对应识别的重要风险建立关键控制文档。3. 关键控制与相关管理制度之间的比对分析。 1. 相互牵制原则相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的部门（或岗位）分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理，以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率的连乘积，因而将降低误差率。不相容职务相互分离控制有以下几项内容：* 授权批准职务与执行业务职务相分离；* 执行业务职务与监督审核职务相分离；* 执行业务职务与会计记录职务相分离；* 财产保管职务与会计记录职务相分离；* 执行业务职务与财产保管职务相分离。2. 授权控制原则授权控制原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定操作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查。授权体系包括：1) 授权批准的范围企业所有的经营活动一般都应当纳入授权批准的范围。2) 授权层次授权应当是区别不同情况分层次授权。根据经济活动的重要性水平和金额大小确定不同的授权批准层次，有利于保证各种管理层和有关人员有权有责。授权批准在层次上应当考虑连续性，要将可能发生的情况全面纳入授权批准体系，避免出现真空地带。当然，应当允许根据具体情况的变化，不断对有关制度进行修正。3) 授权责任被授权者应能够明确在履行权力时应对哪些方面负责，避免授权责任不清，出现问题又难咎其责的情况发生。4) 授权批准程序企业的经济业务既涉及企业与外单位之间资产与劳务的交换，也包括在企业内部资产和劳务的转移和使用。因此，每类经济业务都会有一系列内部相互联系的流转程序。所以，应规定每一类经济业务的审批程序，以便按程序办理审批，避免越级审批和违规审批的情况发生。3. 成本效益原则贯彻成本效益原则，即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。4. 整体结构原则企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。换言之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成企业内部控制的整体架构。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。

【正确】合规性目标是内控管理的三大目标之一（业绩目标、信息目标、合规性目标）。这与COSO委员会的看法相同，COSO认为“内部控制的目标是合理保证企业经营管理合法合规，合规是内部控制的目标之一”。

楼上的回答有误。CERM分为8要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控COSO分为5要素：控制环境、风险评估、控制活动、信息与沟通、监控CERM与COSO是两个概念。一个是风险管理，一个是内部控制，虽然要素差不多，而且都是属于同一个范畴。但是理论的范围差别很大。

控制环境是所有其他组成要素的基础，包括了以下要素：1) 诚信和道德价值观；2) 致力于提高员工工作能力及促进员工职业发展的承诺；3) 董事会和审计委员会。包括的因素有董事会与审计委员会与管理者之间的独立性，成员的经验和身份，参与和监督活动的程度，行为的适当性；4) 管理层的理念和经营风格；5) 组织结构。包括了定义授权和责任的关键领域以及建立适当的报告流程；6) 权限及职责分配。经营活动的权限和权责分配以及建立报告关系和授权协议。它包括了以下几点：a) 被激励主动发现问题并解决问题以及被授予权限的程度；b) 也描述适当的经营实践，关键人员的知识和经验，提供给执行责任的资源政策；c) 确保所有人理解公司目标。每个人知道他的行为与目标实现的关联和贡献的重要程度。7) 人力资源政策及程序。 首先，风险评估的前提条件是设立目标。只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。设立目标是管理过程重要的一部分。尽管其并非内部控制要素，但它是内部控制得以实施的先决条件。其次，识别与上述目标相关的风险。再次，评估上述被识别风险的后果和可能性。一旦确定了主要的风险因素，管理层就可以考虑它们的重要程度，并尽可能将这些风险因素与业务活动联系起来。最后，针对风险的结果，考虑适当的控制活动。 一个评估系统在一定时期运行质量的过程。这一过程通过持续的监控行为、独立的评估或两者的结合来实现。持续的监控行为发生在经营的过程中。它包括日常管理和监管行为。独立评估的范围和频率主要依赖于风险评估和持续监控程序的有效性。内部控制的缺陷应自下而上进行报告，重要事项应报知高层管理人员和董事会。

【答案】：A、B、C、D、ECOSO委员会与1992年发布《内部控制——整体框架》，中提出了内部控制的五个要素，包括控制环境、风险评估、控制活动、信息与沟通和内部监督。 考点 内部控制的起源与发展

《美国萨班斯—奥克斯利法案（Sarbanes-Oxley Act）》（简称SOX）要求上市公司，无论大的还是小的，每年对财务报表内部控制的有效性进行评估和报告。幸运的是，公司可以依赖一个行业标准——内部控制集成框架，来评估和改进其内控体系。全国反欺诈财务报告（特雷得维）委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，简称COSO）于1992年颁布的这一框架，长期以来作为建立旨在提高效率、降低风险、帮助保证财务状况报表可信性、遵从法律法规的内部控制的蓝本。由于其全面性、有效性和普遍原则，框架受到世界上很多组织的称赞并被接受。框架颁布之后，财务报表、公司治理和法律环境发生了很多变化。萨班斯—奥克斯利法案404条款（SOX 404）是公司财务报表内部控制的主要推动。COSO的报告概括了与5个组成部分相关的26条基本原则，5个组成部分是：（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监督。

【答案】：A,B根据2013年修订发布的COS0内部控制框架，控制环境要素应当坚持以下原则：(1)企业对诚信和道德价值观做出承诺。(2)董事会独立于管理层，对内部控制的制定及其绩效实施监控。(3)管理层在董事会的监控下，建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。(4)企业致力于吸引、发展和留住优秀人才，以配合企业目标达成。(5)企业根据其目标，使员工各自担负起内部控制的相关责任。

COSO内部控制框架不是唯一的内部控制框架，其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行《控制指导纲要》。COSO提出了—种更精简、更具动态，使用更多管理术语的内部控制基本架构。

我国《企业内部控制基本规范》与COSO报告之比较分析 　　1．内部控制的认识比较 　　COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 　　2．内部控制的目标比较 　　COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。 　　3．内部控制的构成要素比较 　　COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。 　　4．内部控制的责任主体比较 　　在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。 　　5．内部控制的外部审计比较 　　在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。 　　三、完善我国企业内部控制评价制度的建议 　　《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。 　　本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

COSO报告对内部控制的贡献是：　　1.第一次明确提出“全员参与”思想，职工不是被动地执行内部控制。　　2.“以人为本”。COSO特别强调，只有人才可能制定单位的目标，并设置控制的机制。　　3.重视“软控制”的作用。软控制是指那些属于精神层面的东西。如单位高级管理阶层的价值观、管理哲学和管理风格、单位文化、内部控制意识等。　　4.强调风险意识。风险管理是现代管理的主旋律之一。　　5.明确指出内部控制只能做到“合理”保证。给点分吧，不够用了。

coso前后两份报告的联系与区别是性能区别。COSO报告指出：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素组成。运行管理自1992年美国COSO委员会发布《COSO内部控制整合框架》以来，该框架已在全球获得广泛的认可和应用，但是理论界和实务界一直不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险，加强风险管理 ，在客观上也推动了内部控制整体框架的进一步发展。与此同时，COSO委员会也意识到《内部控制整合框架》自身也存一些问题，如过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。正是基于这种内部和外部的双重因素，新框架必须出台以适应发展需求。

企业的组织架构决定了有关部门和人员的职责及关系模式，是企业能够良好运行的基础，有助于提高企业运行的效果和效率，从而实现企业的目标。组织结构在组织系统中起着框架作用，有了它，组织系统中的人流、物流、信息流才能正常流通，使组织目标的实现成为可能。正如COSO内部控制报告所说企业的组织结构提供了一个构架，在此构架中规划、执行、控制和监督为实现企业目标而进行的活动。一个合理有效的组织结构，是企业成功的基础。它可以使整个企业指挥自如，协调配合，信息畅通，使上级的指令及时下传，下级的意见和建议及时上达，还可以使部门之间、上下级之间相互监督、互相制衡。因此，企业应当重视组织结构的设置和改进。实际当中，企业存在着治理结构形同虚设，可能导致企业缺乏科学决策和运行机制，难以实现发展战略和经营目标；组织构架设计不适当，结构层次不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺位、推诿扯皮，运行效率低下等风险。因此，组织架构的设置，对优化企业治理结构、管理体制和经营机制，建立现代企业制度，进而促进企业实现发展战略和经营目标都具有重要的现实意义和深远的历史意义。组织架构对企业有效构建和实施内部控制是至关重要的，是企业设立具体内部控制制度的前提，直接影响着企业内部控制体系的整体有效性。企业构建内部控制体系，首先要从规划组织结构开始，这是最基础性的工作，可以说组织结构使有效的企业内部控制成为可能。一个企业的组织机构设置决定了内部控制的结构和流程，也就是说，对于一个有效的内部控制企业应该有相适宜的组织。因此企业在进行组织设计时，应该而且必须顾及内部控制的要求，既能够保证组织高效运营，又能适应内部控制环境的需要进行相应的调整和变革。企业应当依据公司法和其他相关法律法规和企业的实际情况，建立规范的法人治理结构。同时，企业应当根据经营目标、职能划分和管理要求，明确高级管理人员、各职能部门和分支机构、以及基层作业单位的职责权限，将权利与责任分解到具体岗位。企业应当通过内部管理制度汇编、员工手册、组织结构图、业务流程图、岗位描述、权限指引等适当方式，使企业员工了解和掌握内部机构设置及权责分配情况。企业的组织结构必须反映企业的目标和计划、管理人员可利用的职权、企业所处的环境条件，同时必须为组织配备恰当的人员。组织结构的设计应当明确谁去做什么，谁要对什么结果负责，并且消除由于分工含糊不清造成的执行中的障碍，还要提供能反映和支持企业目标的决策和沟通网络。

　　由于美国COSO报告对内部控制基本要素的定义在全世界范围内被广泛采用，我们借鉴了COSO的表述，该表述将内部控制的基本要素定义为：　　1、内部环境。　　内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。　　2、风险评估。　　风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。　　3、控制措施。　　控制措施，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。　　4、信息与沟通。　　信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。　　5、监督检查。　　监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。

COSO是全国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission）的英文缩写。1985年，由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（Committee of Sponsoring Organization，COSO）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。→在《COSO内部控制整合框架》中，内部控制定义为 ：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：（1）财务报告的可靠性；（2）经营的效果和效率；（3）符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。 [

COSO内控框架包括五项要素，分别是控制环境，风险评估，控制活动，信息与沟通，内部监督。

【答案】：A、B、C、ECOSO在《内部控制——整合框架》中正式提出内部控制由5项要素构成，即控制环境、风险评估、控制活动、信息与沟通、监督。

　　我国企业内部控制规范体系的构成　　2011年4月26日，财政部会同证监会、审计署、银监会、保监会在北京联合发布了《企业内部控制规范配套指引》。该配套指引由21项应用指引（此次发布了18项，涉及银行、证券、保险等业务的3项指引暂未发布）、《企业内部控制评价指引》与《企业内部控制审计指引》（两者以下合称为评价与审计指引）所组成，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，并计划在上述施行公司的基础上，择机在中小板和创业板上市的公司中施行。同时，鼓励非上市大中型企业提前执行。　　《企业内部控制规范配套指引》连同2008年5月发布的《企业内部控制基本规范》（自2009年7月1日在上市公司范围内施行，鼓励非上市大中型企业执行，以下简称为基本规范）共同构成了中国企业内部控制规范体系。如果说目前已在上市公司实施的《企业内部控制基本规范》还只是一个框架结构，主要界定内部控制的内涵、目标、要素，说明制定企业内部控制规范的目的、依据及该规范的适用范围，操作性指导还不强，还是一个方向性指南的话，那么，《企业内部控制规范配套指引》则是企业加强和改进内部控制具体的、具有操作性的指南。　　二、对我国企业内部控制规范体系的评价　　（一）对基本规范的评价　　从基本规范来看，主要涉及到内部控制的基本理论问题，包括内部控制的本质、目标、原则、要素（对象）与方法。规范提出的内部控制五原则：全面性、重要性、制衡性、适应性、成本效益性原则具有重要指导意义。　　在控制要素（对象）上，基本规范采用的是1994年COSO报告中的五要素观，而没有采用2004年风险管理框架的八要素观，是实事求是的做法。实际上，这也涉及到内部控制与风险管理的关系问题。内部控制主要体现在流程管理上。流程管理的内容主要包括两个方面：一是业务流程，即规定完成业务的先后顺序；二是管理流程，主要是对各风险管理点的标准。二者结合在一起才是真正的流程管理”。　　对于五要素之间的关系，内部控制环境是基础（说明在什么样的环境下开展控制活动），风险评估是前提（说明要重点针对什么活动和在该活动的什么方面进行控制），控制活动是核心（说明对需要重点控制的活动或环节运用什么方法进行控制），信息与沟通是桥梁（以一定的方法对风险评估确定的应该控制的活动和环节开展控制，没有信息的支持是无法达成目标的），监督是保障（没有监督作为保障，控制的好坏在管理上没有区别，则无法达到控制的目标）。就内部控制的方法来说，应该涉及到全部五个要素，既有内部控制环境的评价、改进方法，也有风险评估、风险管理策略的选择方法；既有直接运用于控制活动的方法，也应有信息生产与沟通、监督的方法。　　基本规范存在的不足主要体现在：1.在控制要素上仅提到内部监督，难以指导企业内部控制规范指引，也说明基本规范与指引有不相衔接的地方；2.对控制方法的说明不集中，仅在第28条较详细地阐述了控制活动的方法，对其他要素控制的方法很少说明，如风险评价的方法、信息生产与沟通的方法、监督的方法等；3.如何建立反舞弊机制问题放在信息与沟通要素部分不恰当，笔者认为这应该是内部监督的内容；4.对董事会、监事会、经理层、审计委员会、内部审计部门的职责划分不清。如第12条规定，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导内部控制的日常运行。但第13条又规定企业应在董事会下设立审计委员会，审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况（而在自我评价规范中又没有具体涉及到审计委员会），协调内部控制审计及其他相关事宜。从这些规定中可以看出，我国仍然没有处理好内部公司治理问题。　　（二）对18项应用指引的评价　　应用指引是对内部控制要素进行控制时的具体应用指南。从已公布的各项具体应用指引来看，重点突出了对风险的关注，这点值得肯定。已公布的18项应用指引都在总则部分说明了企业应关注的风险，这可看成企业风险评价的基础和指南。就其他四个方面的要素来看，内部控制环境涉及到组织架构、发展战略、人力资源、社会责任和企业文化5个具体指引。就控制活动来说，涉及到资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告9个具体指引，存在的主要问题是没有生产控制的内容。在过去的征求意见稿中有一个成本费用规范，现在也取消了。过去征求意见稿中没有全面预算规范，现在加了一个全面预算规范，笔者认为应将过去的成本费用规范与现在的全面预算规范结合起来。关于信息与沟通要素，涉及到内部信息传递和信息系统两个具体指引。此次公布的18项应用指引归为三大类，第一类为环境类指引，第二类为控制活动类指引，第三类为控制手段类指引，包括全面预算、合同管理、内部信息传递和信息系统4项。第三类作为方法也可以，但并没有和内部控制要素间的衔接。

【答案】：C【答案解析】 内部控制的目标是合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率与效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。 【该题针对“2015内部控制的含义、要素与局限性”知识点进行考核】

coso有道词典结果 abbr. 发起组织委员会（Committee of Sponsoring Organization） The Committee of Sponsoring Organizations of the Treadway Commission The Committee of Sponsoring Organization

依据《内部控制基本规范》、《中华人民共和国公司法》、《中华人民共和国证券法》、《中华人民共和国会计法》和其他有关法律法规，在形式上借鉴了COSO报告《内部控制－整体架构》的五要素框架，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制管理体系。

由于美国COSO报告对内部控制基本要素的定义在全世界范围内被广泛采用，我们借鉴了COSO的表述，该表述将内部控制的基本要素定义为：　　1、内部环境。　　内部环境，是影响、制约企业内部控制制度建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等内容。　　2、风险评估。　　风险评估，是及时识别、科学分析影响企业战略和经营管理目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节和内容。风险评估主要包括目标设定、风险识别、风险分析和风险应对。　　3、控制措施。　　控制措施，是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式和载体。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。　　4、信息与沟通。　　信息与沟通，是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。　　5、监督检查。　　监督检查，是企业对其内部控制制度的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制制度的整体情况进行持续性监督检查，对内部控制的某一方面或者某些方面进行专项监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查工作中的一项重要内容。

【答案】：D根据我国《企业内部控制基本规范》关于信息与沟通要素的要求之第 5点：“企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序”。【注意】根据 2018年教材可知：反舞弊机制是我国《企业内部控制基本规范》关于信息与沟通要素的要求，所以题干中写“根据 COSO框架”不太准确。

关键词；内部控制；实现信息化 当前如何利用日新月异的信息技术固化内部控制、减少控制成本、提高控制效率，受到了企业界的广泛关注。财政部等五部委联合出台的《企业内部控制基本规范》对企业内部控制与信息系统的结合提出了要求:“企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素”。 《企业内部控制应用指引第18号一一信息系统》又进一步明确了促进企业有效实施内部控制，提高企业现代化管理水平，减少人为因素的主旨和各项具体内容。可见，利用信息技术手段实施内部控制，减少人为因素造成的错弊，提高内部控制的执行力和效率，是内部控制信息化的目标。笔者现根据日常工作实践就如何落实内控信息化的要求、处理好内部控制与信息技术的关系，作出相关的分析和探索。 一、企业信息化对内部控制提出挑战及应注意的问题 在实现内控信息化的过程中，有相当部分的企业选择了 ERP(企业资源计划)系统进行相关的信息处理。这是因为 ERP系统立足于有效整合企业资源(包括采购、销售、项目、财务和人员)，统一调度、合理配置和管控，可以最大限度地发挥企业能力，提高核心竞争力。在此过程中，每一个模块都有严格的自动控制，例如没有预留(计划)就不能创建采购订单，没有采购订单就不能办理入库，入库立即自动生成财务凭证，等等。但同时ERP系统在满足企业内部控制要求的日常业务审批及专业管理方面;由于系统资源的限制还略显不足，导致修理费维修计划的审批、设备状态管理、一般物资采购供应商的选择、客户信用额度的确定等，仅仅依靠 ERP系统是不够的。因此，企业往往还需要诸如办公自动化系统、电子商务系统、客户关系管理系统等与ERP系统进行对接，这些系统也是实现内控信息化的重要组成部分，发挥 着非常重要的作用。 (一)正确认识信息系统的作用 从管理层角度看，信息化的自动化效应使得管理层大多都很重视信息化建设，但也往往将信息化仅看作一项技术，而忽视信息系统与管理思想的有机融合。期刊文章分类查询,尽在期刊图书馆从操作层面看，业务不及时录入系统而事后补录，把系统仅当做是一个台账，或者忽视甚至设法回避系统自动控制(例如为了操作方便，互相交换进入系统的用户名和密码)的现象较为常见。这些都严重影响了内控信息化的效果，也毫无疑问影响了系统应用的效果，造成企业资源的浪费，影响了投入产出的比例。 (二)正确处理标准化问题 标准化是实现信息化的基础，没有标准化就相当于一个现代化的工厂没有统一的零部件，无法进行自动化生产。对于内控信息化采说，标准化的内容一般包括:组织架构、业务流程及相关表单、岗位职责和管理权限、职责分离、各种主数据(一般指ERP系统，包括物料、资产名称)的定义和编号等。实现了这些方面的标准化，也就把握了内控信息化的核心，信息系统上线的标准模板就有了扎实的基础。应该说明的是，标准化的历程是内控信息化难度最大且最需要下功夫的，尤其是对于特大型且拥有众多分(子)公司的集团企业，这需要管理层坚定的决心和操作层充分的精力投入。 (三)正确处理各种信息系统的关系 二、实现内控信息化有效途径 实现高效的内控信息化的途径，其具体的工作主要有以下几方面: (一)建立良好的信息化环境 领导重视且正确认识是信息化得以实现的前提。首先，管理者应将管理思想与信息化有机结合，在提出管理要求伊始就考虑其与所选择的信息系统管理思想是否吻合，且怎样更好地依赖技术手段加以实现，尽可能地减少人为因素的影响。其次，在信息化实现的过程中，应充分重视和支持信息化所带来的管理变革，尽可能改变现状以适应系统，而不是让系统“将就”，原状，只有这样，内控信息化才能起到应有的作用。再次，管理者应该带头操作系统并服从系统控制，不随便破坏系统控制的规定。 (二)利用风险机制，扎实推进标准化工作 风险机制包括对风险的识别、分析、评估和认定。在这个过程中，必须充分调研实际业务，收集业务信息，模拟执行情况，具体而言，应做好以下几方面的标准化工作: 1.组织架构标准化。企业应结合管理模式(集中管理或分散管理)，利用风险机制，对企业采购、销售等核心业务找出较为合理的组织架构，明确各层级的权责划分，这些会直接决定控制的效果，也直接影响业务流程的具体构成路径，是业务流程统一和岗位职责标准化的前提。 2.业务流程及岗位职责标准化。业务流程标准化需要召集一线管理人员，充分征求意见，利用风险机制分析、优化业务流程，拟定关键控制点，界定各岗位职责和管理权限以及不相容职责的划分标准。这其中，优化流程是最关键的环节，如果考虑不周全，将造成系统上线反复进行，浪费人力物力资源。对于关键控制点，应逐项梳理后记录下哪些能够固化在系统中、哪些不能实现或实现成本较高。对能够固化在系统中的业务流程和控制点，应确定系统标准模板，系统标准模板概括起来，一般由标准业务流程、管理权限、不相容职责配置或参数设定。应说明的是，由于内控信息化是在一定条件、一定范围内的信息化，对于实现系统自动控制成本较高的业务环节，应明确允许系统外控制(如人工稽核等)的措施以提高控制效率。 1. 表单标准化。在优化流程的基础上，由于梳理了业务申请部门(人)、业务审核部门(人)及审批人、不相容部门等控制环节，相关审批表单的标准化也成为可能。 2. ERP系统主数据标准化。客户、供应商、物料等主数据是 ERP系统的构成细胞，不实现标准化就无法实现内控信息化，因此必须对这些主数据的定义和编码予以标准化。 (三)建立利用系统进行持续性监督的机制 利用信息系统进行持续性的监督是实现有效、高效内部监督的重要方式，coso委员会 2009年出版的《内部控制体系监督指南》对利用信息技术持续性监督概括了四种方式，基本上能够反映目前技术条件下的信息化监督方式，具体包括:利于误差管理的工具(记录误差的日志、后续跟进、处理情况分析)、监督应用程序变更的工真(变更认证、沟通、适当评价)、评价系统状况的工具(包括内置参数、可容忍水平、不相容职责分离、管理权限)及评价过程完整性的工具(包括标准及协同、数据加总、文挡完整性)。前两项工具主要是对系统日常操作的直接监控，如零售商检查系统信息有无无效的订单标识、零售数据是否全部传输到数据中心处理等，适合于专业管理在日常业务汇总时进行监督;后两项则主要由内部控制部门专门开发检查工具进行监督，具体方法是通过对关键控制点所对应的业务流程、管理权限、不相容职责和参数予以标准化，建立信息系统标准模板，并针对标准模板开发检查工具，通过定期运行检查工具、对比与标准模板的差异，逐步建立持续性监控的机制。 具体而言，通过对ERP系统管理权限进行检查，按照不相容职责标准，检查工具可以指出系统中哪些角色或用户同时拥有不相容事务，系统权限与角色或用户的岗位职责是否吻合;结合风险分级定义各项业务缺陆标准(可以将几个不符合要求的风险定义为一个缺陷标准)并固化在系统中，实现异常业务预警。对于报警的业务，总部可及时追查，如有必要，也可组织有关专家到现场检查。同时，对于确定了利用工具进行监督的系统自动控制业务，可以减少检查的频率，对于系统外手工控制的业务应作为检查重点，进行现场检查，对系统“自动+手工”控制的业务，可以两者结合进行检查。 (四)建立内控制度管理平台 内控制度管理包括根据内外部环境(市场、法律等)变化及时调整制度，与分(子)公司之间资料(包括国家有关法律法规、内控通知、内控考核信息、企业内控报告)和信息(包括企业实际执行中存在问题建议)的传递，相关业务流程和理论的探讨交流等具体内容，通过利用信息系统建立制度管理平台，可以极大提高办公效率，促进上下一体、公开公平、共同提高的良好制度环境的形成。 (五)培养内控信息化人才 要实现内控信息化，人才培养也是关键环节之一。培养一大批既懂内控、又懂信息系统，既了解熟悉应用控制、又了解熟悉一般控制，既熟悉业务流程、又清楚关键控制的人才。还应积极探索和借鉴国际上先进的内部控制理念与方法来不断完善有中国特色的内部控制体系，以促进我国企业内部控制信息化的实施与发展。

在合理保证的范围内，内部控制的目标主要关注于：培养贯穿整个企业的目标的一贯性，辨别主要成功因素和及时向管理层报告业绩和期望。虽然不能确保成功，管理层应能合理保证——当目标存在不能实现的危险时可及时得到警告。

仅供参考：COSO框架所要求的五大要素，原则上都要是以一种规定，流程方式渗透到日常工作里面，在此基础上，对日常业务里存在的风险加以识别，评估和应对。作为高层基调，管理层，这里指董事长或总经理要以讲话，指令等方式提供必要的环境和资源。这种层面的指令应该属于 控制环境中的内部环境的公司治理层级的文件。

风险评估过程、对控制的监督、信息系统与沟通、控制活动、控制环境

COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。根据《萨班斯法案》第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 因此可以说，在美国为管理层的评估目标提供的适宜框架就是COSO框架。当然其他国家也公布了一些适宜的框架，如加拿大的COCO框架等。标准还指出，尽管不同的框架可能没有精确地含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。因此，如果管理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。 COSO内部控制框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。 虽然不能把COSO内部控制框架看作是符合SEC要求的唯一适宜框架，但是相对于以往各行其是的内部控制评估标准来说，PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础

三种被广泛接受的公司治理模型：1.马科姆.波多里奇国家质量奖管理模型；2.COSO内部控制模型；3.COSO企业风险管理模型。.内部控制师一个流程。它是达到目的的一种手段，并不是目的本身。.内部控制受到人的影响。它不仅仅是政策手册和表格，而是涉及到组织的每一层面的人员。.内部控制可以被预期对企业的管理层和董事会提供合理的保证，而不是绝对保证。.内部控制适合于实现一个或更多单独的但是又重叠分类的目标关于内部控制的整体框架 你可以看《国际注册内部控制师通用知识与技能指南》国际内部控制与公司治理丛书

2004年，COSO提出了内部控制新的概念体系，即《企业风险管理框架》。这一框架中包括了风险管理的定义；企业风险管理的8个构成要素，即内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息交流和监督；4个风险管理目标，即战略目标、经营目标、报告目标和合法性目标。加强对内部控制中的风险管理的监管不仅有利于遏止财务造假行为，也有利于促进上市公司的持续发展，促进资本市场健康发展。

【答案】：A[答案]A[解析]战略目标属于COS0《风险管理——整合框架》中的风险管理目标，而不属于COSO《内部控制——整合框架》中的内部控制的目标。选项B、C和D属于COS0《内部控制——整合框架》中内部控制的三大目标。

紧随内部控制整合框架的修订,COSO于2014年10月21日宣布启动更新企业风险管理框架的计划。COSO对两大框架的修订引起业内广泛的关注,而对于2013内部控制整合框架的相关理论还有待更深入的诠释。本文全面介绍了COSO2013内部控制整合框架更新的背景、内容及主要变化,在此基础上,提出了2013内部控制整合框架对进一步完善国内内部控制规范体系的启示。

COSO是美国反虚假财务报告委员会下属的发起人委员会的英文缩写，它是美国为管理层的评估目标而提供的适宜框架。COSO内部控制框架能确认内部控制的三大主要目标，即运营的效率和效果、财务报告的可靠性，以及遵守适用的法律和规章。COSO内控体系架构，是目前国际通用的内控架构，包括5要素：控制环境、风险评估、控制活动、信息与沟通、监督。

内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。企业建立与实施有效的内部控制，应当包括下列要素：1、内部环境：内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、人力资源政策、企业文化等； 2、风险评估：风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略； 3、控制活动：控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内； 4、信息与沟通：信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通；5、内部监督：内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。应答时间：2021-01-08，最新业务变化请以平安银行官网公布为准。 [平安银行我知道]想要知道更多？快来看“平安银行我知道”吧~ https://b.pingan.com.cn/paim/iknow/index.html

　　　　COSO报告指出：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素组成。

COSO报告指出：内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素组成。

1、 强调“软控制”的功能。相对于以前的内部控制而言，框架更加强调那些属于管理文化层面的软性管理因素。2、 强调内部控制应与企业的经营管理过程相结合。框架认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。内部控制是企业经营管理过程的一部分，与经营过程结合在一起，而不是凌驾于企业的基本活动之上，它使经营达到预期的效果，并监督企业经营过程的持续进行。不过，内部控制只是管理的一种工具，并不能取代管理。3、 突出强调信息系统的作用。框架认为，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。4、 明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出，不仅仅是董事会、管理人员、内部审计人员，组织中的每一个人都对内部控制环节负有责任。5、 强调内部控制的分类和目标。目标的设定虽然不是内部控制的组成要素，但却是内部控制的先决条件，也是促成内部控制的要件。框架将内部控制目标分为三类：与营运有关的目标、与财务报告有关的目标以及与法令的遵循性有关的目标等。这样的分类高度概括了企业控制目标，有利于不同的人从不同的视角关注企业内部控制的不同方面。6、 内部控制只能做到“合理”保证。框架认为：不论设计及执行有多么完善完整，内部控制都只能为管理阶层及股东达成企业经营目标提供合理保证。而目标最终是否达成，还受内部控制本身的限制性制约等条件。COSO内部控制框架是一个较为理想的框架，几乎所有公司的内部控制均与之有一定差距，虽然这必然加大企业负担，但多数公司希望通过理解和贯彻COSO内部控制框架要求，梳理管理流程、规范管理，来实现提升整体管理水平的目的。

我国《企业内部控制基本规范》与COSO报告之比较分析 　　1．内部控制的认识比较 　　COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 　　2．内部控制的目标比较 　　COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。 　　3．内部控制的构成要素比较 　　COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。 　　4．内部控制的责任主体比较 　　在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。 　　5．内部控制的外部审计比较 　　在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。 　　三、完善我国企业内部控制评价制度的建议 　　《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。 　　本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

按照COSO的内部控制框架，内部控制的要素有（）。 A.控制环境、风险评估过程B.信息系统与沟通C.控制活动D.对控制的监督正确答案：ABCD

我国《企业内部控制基本规范》与COSO报告之比较分析 　　1．内部控制的认识比较 　　COSO报告认为，内部控制是由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程。COSO报告认为内部控制是一过程，是实现目标的手段，是与管理过程融合在一起的，是一个不断发现和解决问题的循环往复的动态过程。内部控制的有效性也只是这个“动态过程”中某个时点上的一种状态。我国《企业内部控制基本规范》所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 　　2．内部控制的目标比较 　　COSO报告指出，内部控制是为实现以下三类目标提供合理保证：经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性。为应对未来外部环境变化给企业带来的风险，新COSO报告又增加了战略目标。我国《企业内部控制基本规范》指出内部控制旨在实现以下五类目标：企业战略；经营的效率和效果；财务报告及管理信息的真实、完整；资产安全；遵循国家法律法规和有关监管要求。可知，《基本规范》借鉴了COSO报告的目标，同时考虑到我国国有大型企业比重大、国有资产流失严重的国情，增加了资产安全目标，这是我国内部控制规范对COSO报告的补充。 　　3．内部控制的构成要素比较 　　COSO报告认为，为实现内部控制的有效性，需要五个要素的支持：控制环境、风险评估、控制活动、信息和沟通及监督。新COSO报告包含了八个构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。我国《企业内部控制基本规范》在形式上借鉴了COSO报告五要素框架，但同时进行了充实和丰富，在内容上体现了新COSO报告风险管理的八要素框架的实质，即内部控制和风险管理日益融合、风险导向成为内部控制未来发展方向的趋势。 　　4．内部控制的责任主体比较 　　在COSO报告下，管理层对内部控制负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。我国的《企业内部控制基本规范》对内部控制的主要责任主体的责任分别进行规定：事会负责内部控制的建立健全和有效实施；监事会对董事会建立与实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行。在COSO报告中，内部控制的责任主体主要是管理层而我国《企业内部控制基本规范》却强调了董事会对内部控制的重要责任，而且更加明确地规定各责任主体对内部控制的责任，使治理层和管理层的责任分工更加明确。 　　5．内部控制的外部审计比较 　　在COSO报告下，审计师要在审计财务报表的同时对公司的财务报告内部控制进行审计，既要评价管理层对内部控制的评价，又要对内部控制的有效性发表意见。在我国，执行《企业内部控制基本规范》的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计并出具审计报告。可见，我国《企业内部控制基本规范》和COSO 报告都强制要求对内部控制进行外部审计。 　　三、完善我国企业内部控制评价制度的建议 　　《基本规范》及配套指引主要是在借鉴COSO报告的基础上，结合我国的具体情况进行适当修改完善后形成的。《基本规范》及其配套指引只规定了中国企业建立内控制度的基本原则、目标、框架及主要控制环节和相应核心控制点，如何从宏观上有效地促进并引导企业提高内控水平，还必须建立一系列规范统一、具体明确、简明实用的《企业内部控制评价制度》，借以督促企业尽快务实地建立健全并持续改进内部控制制度。但至目前，如何建立中国企业内部控制评价制度，理论与实务界仍有诸多不同的看法。 　　本人认为应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。

一般认为，内部控制理论的发展经历了五个阶段：1、内部牵制，1940年之前，双人记账和复式记账2、内部控制初步，1953年10月颁布了《审计程序说明》3、内部控制架构，1988年美国注册会计师协会发布了第55号《审计准则说明书》4、一体化内部控制，1992年COSO的《内部控制——整合框架》5、全面风险管理，2004年COSO的《企业风险管理——整合框架》

coso的五大要素是：控制环境（control environment）、风险评估（risk assessment）、内控活动（control activities）、信息与沟通（information and communication）、监督（monitoring）

【答案】：BCOS0委员会提出的《内部控制——整合框架》中内部控制的三项目标包括：取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规。选项B是我国《企业内部控制基本规范》中规定的目标。

COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。 1985年，由美国注册会计师协会（AICPA）、美国会计协会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会（通常称Treadway委员会），旨在探讨财务报告中的舞弊产生的原因，并寻找解决之道。两年后，基于该委员会的建议，其赞助机构成立COSO（Committee of Sponsoring Organization，COSO）委员会，专门研究内部控制问题。1992年9月，COSO委员会发布《内部控制整合框架》（COSO-IC），简称COSO报告，1994年进行了增补。这些成果马上得到了美国审计署(GAO)的认可，美国注册会计师协会（AICPA）也全面接受其内容并于1995年发布了《审计准则公告第78号》。由于COSO报告提出的内部控制理论和体系集内部控制理论和实践发展之大成，成为现代内部控制最具有权威性的框架，因此在业内倍受推崇，在美国及全球得到广泛推广和应用。 根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control－Integrated Framework）报告，即通称的COSO报告。该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。 COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。