COSO报告主要分四部分:第一部分是概括;第二部分是定义框架,完整定义了内部控制,详细描述了内部控制的组成部分,为公司管理层、董事会和其他人员提供评价内部控制系统的有关规则;第三部分是对外部团体的报告;第四部分是评价工具,提供用以评价内部控制系统的有用材料。COSO报告的核心是提出了内部控制整体框架,该框架式为管理层提供了评估内部控制所需的标准,表现为三维立体式。
第一维度是控制目标。内部控制的设计旨在合理保证实现以下目标:机构运作的有效性和效率(包括资产的合理配置与保护)、财务报告等的可靠性以及符合相应的法律法规等;在第二维度中COSO要求机构将关注力重点锁定在两个层次:部门单位层(entity level)与行动层或操作环节(activities level)。机构最终在这两个层次上对其内部控制进行总体评估。
第三维度则包括了内部控制的五大要素:第一,控制环境(Control environment),它决定机构的基调并影响着员工的管理与控制意识,是其他四大内部控制构件的基础,提供纪律与框架。具体包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。第二,风险评估(risk assessment),是识别各个部门单位,确认和分析实现组织目标过程中的有关风险,为决定如何管理风险提供基础和依据。它随经济、行业、监管和运作条件而不断变化,需建立一套机制来辨认和处理相应的风险。第三,控制活动(control activities),是帮助执行管理指令得到的一些政策与程序。它贯穿于整个组织、各个层次和各项功能,包括各种活动如批准、授权、证实、调整、绩效评价、资产保护和职责分离等。第四,信息与沟通(information and communication)。信息系统产生各种报告,包括业务运作、财务、遵守规章制度等方面,使得对组织的控制成为可能。处理的信息包括内部生成的数据,也包括可用于决策的外部事件、活动、状况等信息和外部报告。良好的信息与沟通应确保所有人员都要理解自己在控制系统中所处的位置,以及相互之间的关系;必须认真对待控制赋予自己的职责,同时也必须同外部进行有效的沟通。第五,监控(monitoring)。监控在机构运作过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
以上所述的三维就构成了一个整体框架,整体框架是这样运作的:对于任意给定的目标(如机构运作的有效性和效率),管理层必须在部门单位层与行动层(或操作环节),合理连续地对内部控制的五大要素进行定性与定量的评测。针对不同组织,其框架的具体内容应确保任何影响内部控制有效性评估结论的相关因素都不被遗漏,才是合适的。
温馨提示:答案为网友推荐,仅供参考