新COSO框架下保险公司内控管理体系建设 2014年11月
主要内容 新COSO框架发布背景 第一部分 新COSO框架的主要内容 第二部分 新COSO框架引发的影响 第三部分 - 2 -
第一部分:新COSO框架发布背景 何为COSO 为何更新 更新成果
美国反虚假财务报告委员会下属的发起组织委员会 何为COSO 美国反虚假财务报告委员会下属的发起组织委员会 美国会计学会(AAA) 美国注册会计师协会(AICPA) 美国财务经理人协会(FEI) 国际内部审计师协会(IIA) 美国管理 会计师协会(IMA) coso
为何更新 为什么要更新尚在使用中的框架 – COSO内控框架已经是全球应用最为广泛的内部控制指导框架 COSO’s 内部控制——整合的指导框架 (1992 版) 1992年版 明确提高内控有效性的基本原则 扩大适用性 明确相关要求 反映商业及运营环境 的变化 扩充运营及报告 的范围 更新 内容更新 强化 2013年版 COSO’s 内部控制——整合的指导框架 (2013版)
更新成果 主要内容: 内容摘要 框架和附录 评估内部控制体系 有效性的工具示例 外部财务报告内部 控制:方法与范例 纲要 COSO内部控制—整合框架 (2013版) 主要内容: 内容摘要 框架和附录 评估内部控制体系 有效性的工具示例 外部财务报告内部 控制:方法与范例 纲要
第二部分:新COSO框架的主要内容 主要内容概述 哪些方面保持不变 哪些方面发生了变化
COSO立方体 1992版 2013版
哪些方面保持不变 对内部控制的定义不变 COSO立体结构不变 评估内控有效性的方法不变 内部控制是一套由企业的董事会、管理层及其他人员实施的程序,以合理确保有关运营、报告以及合规的目标得以实现。 对内部控制的定义不变 保持了控制环境、风险评估、控制活动、信息与沟通以及监控活动等五大要素 COSO立体结构不变 自上而下,基于风险的评价原则、流程及控制的识别方式、风险及控制矩阵、包括穿行测试、控制测试在内的评估手段、控制缺陷识别、评价及汇总模式以及缺陷、重大缺陷和实质性漏洞的相关评估标准都保持不变 评估内控有效性的方法不变
哪些方面发生了变化 内部控制目标进一步扩展 将原有的财务报告目标扩展到非财务报告目标 投资者要求上市公司在提交财务报告的基础上提供更多非财务信息 企业内部期望通过多类型的管理报告提升管控与预判能力的需求 内部控制框架体系进一步完善 “17项原则+79个关注点”的模式 使新框架更加以原则为导向,进一步充实了内部控制体系的内容,为企业实施新框架提供了更多的支持与指导 内部控制框架进一步体现时代感 新框架反映了科技日益深入所带来的变化 新框架更深入的讨论了有关治理的概念 新框架加强了对反舞弊预期的分析
报告目标 新增目标 内部财务 内部非财务 外部非财务 外部财务 哪些方面发生了变化 内部控制目标进一步扩展 保费快报 费用类指标预算执行情况表 业务类指标预算执行情况表 固定资产管理情况表 信息技术服务情况表 内部管理风险情况表 合规报告 社会责任报告 内控评估报告 半年报、年报 季度报告 新增目标 报告目标
哪些方面发生了变化 关注点 示例: 应评估外部环境变化 应评估商业模式变化 应评估领导层变化 内部控制框架体系进一步完善 原则9:组织应识别并评估对其内部控制体系可能造成重大影响的改变 风险识别过程中应考虑该主体运营中监管、经济和物理环境的变化 应评估外部环境变化 组织应考虑新业务线的潜在影响、现有业务线的剧烈变化、以收购或剥离业务对内部控制体系的影响,以及快速增长、改变对外国地区和新技术的依赖 应评估商业模式变化 组织应考虑管理层变动以及管理层对内部控制体系理念和态度的变化 应评估领导层变化 关注点
哪些方面发生了变化 内部控制框架进一步体现时代感 信息技术发展为高度复杂、分散且移动的应用程序, 日益先进的技术会影响所有内部控制要素的实施方式。 反映了科技日益深入所带来的变化 主要涉及董事会、以及董事会的下属委员会 进一步强调了董事会监督对有效的内部控制的至关重要性 更深入的讨论了有关治理的概念 新框架关于舞弊的论述明显增多 将舞弊单独作为内部控制的一项原则,并就此做了进一步的分析 加强了对反舞弊预期的分析
17项原则 控制环境 1.组织应展现对诚信和道德价值的承诺 2.董事会应展现出其独立于管理层,并对内部控制的开展与成效实施监督 3.管理层为实现目标,应在董事会监督下确立组织架构、汇报路线、合理的权利责任 4.组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺 5.组织为实现目标,应要求员工承担内部控制的相关责任 风险评估 6.组织应设定清晰明确的目标,以识别和评估与目标相关的风险 7.组织应对影响目标实现的风险进行全范围的识别和分析,并以此为基础来决定应如何管理风险 8.组织应在评估影响其目标实现的风险时,考虑潜在的舞弊行为 9.组织应识别并评估对其内部控制体系可能造成重大影响的改变 控制活动 10.组织应选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动 11.针对信息技术,组织应选择并执行一般控制活动以支持其目标的实现 12.组织应通过政策和程序实施控制活动。政策建立预期,程序将政策付诸行动 信息与沟通 13.组织应获取或生成和使用高质量的、相关的信息来支持内部控制的持续运行 14.组织应在内部对内部控制目标和责任等必要信息进行沟通,以支持内控持续运行 15.组织应就影响内部控制发挥作用的事项,与外部进行沟通 监督活动 16.组织应选择、开展并实施持续、单独评估,以确认内控的各要素存在并持续运行 17.组织应评价内部控制缺陷,并及时与整改责任方沟通,必要时还应与高级管理层和董事会沟通
第三部分:新COSO框架引发的影响 控制环境 风险评估 控制活动 信息与沟通 监督活动
一、控制环境 原则1:组织应展现对诚信和道德价值的承诺 行为准则未被遵循一般是由于以下原因: 高层基调未能有效的传达出对遵循行为准则的要求 董事会未能公正的对高级管理层遵循行为准则的情况进行监督 组织高度分散化并缺乏适当的监督,导致高级管理层无法了解较低层级已采取的行为 受上级、同事或外部人员的胁迫而实施偷工减料、舞弊或其他不当行为 业绩目标不合理,从而成为危害道德行为的动机或压力 员工缺乏安全的沟通渠道反映问题 未能发现控制缺失或无效,从而为隐瞒不良绩效提供机会 内部审计机制薄弱,无法发现和报告不当行为 对不当行为的惩罚未能贯彻如一、过于轻微或者未能公示,从而丧失了威慑力 - 16 -
董事会应配备以下特殊技能和专业知识,并保证合理的交叉性 一、控制环境 原则2:董事会应展现出其独立于管理层,并对内部控制的开展与成效实施监督 董事会应配备以下特殊技能和专业知识,并保证合理的交叉性 内部控制理念,例如,专业的怀疑、对识别应对风险和对内部控制体系有效性评价方法的观点 对于市场和主体的知识,例如,与产品、价值链、客户群及竞争对手相关的知识 财务专业知识,包括财务报告、会计准则 法律法规专业知识 社会和环境专业知识 激励和薪资,例如,对市场薪资水平和实务的知识 相关信息系统和技术,例如,对与重要信息系统和技术相关调整和机会的理解 - 17 -
授权应满足的目标 一、控制环境 原则3:管理层为实现目标,应在董事会监督下确立组织架构、汇报路线、合理的权利责任 授权仅限于完成主体目标的必要范围,如,新产品的审核和批复只涉及必要的业务和支持部门,不应涉及具体的销售人员 不会接受不适当的风险,例如,未经必要尽职调查的新供应商不应予以采用 实行职责分离以降低实现目标过程中不恰当行为发生的风险,并从组织最高级别到最低级别形成必要的检查和制衡机制。例如,制定角色、责任和绩效评估方法以减少潜在的利益冲突 信息技术被视为在业务流程各环节中协助界定、限制角色和职责的有力手段。例如,在信息系统中,总公司和子公司具有不同的访问权限 负责代表主体执行业务的第三方服务商应了解其可行使决策权的范围 - 18 -
一、控制环境 原则4:组织应展现出其对吸引、培养和留用符合组织目标要求的人才的承诺 管理层应持续识别和评估对实现企业目标至关重要的职责 规划与准备后续人才 可通过评估某个角色临时或永久空缺会造成的影响来判断 企业要确定关键管理人员的继任计划,并对未来候选人进行与目标职位相关的培训和辅导 当重要职能由外部服务供应商通过合约形式履行时,也应制定继任计划 - 19 -
一、控制环境 问责机制由高层基调推动,通过诚信道德价值观、 胜任能力、组织架构、流程和技术这些影响组织控 制文化的相关因素来实现 原则5:组织为实现目标,应要求员工承担内部控制的相关责任 问责机制由高层基调推动,通过诚信道德价值观、 胜任能力、组织架构、流程和技术这些影响组织控 制文化的相关因素来实现 案例:Modern Financial Services 建立了奖励体 系,鼓励各部门监督其内部控制体系的有效性。规 定自我报告的内部控制缺陷可以作为该部门的加分 项计入内部审计评分系统,而任何通过内部审计程 序发现的控制缺陷则会减分。 - 20 -
二、风险评估 如何确认目标的适当性 原则6:组织应设定清晰明确的目标,以识别和评估与目标相关的风险 确立的目标应与战略重点保持一致 应明确目标的风险容忍度 确立的目标应与适用于主体的法律法规、规章及标准保持一致 阐述目标时所运用的术语应具有明确性、可衡量或可观察、可实现、相关性以及时限性 目标应在主体及其分支机构内被有效贯彻 在设定目标过程中要先确认目标的适当性,然后才能将其作为风险评估的基础 如何确认目标的适当性 - 21 -
二、风险评估 原则7:组织应对影响目标实现的风险进行全范围的识别和分析,并以此为基础来决定应如何管理风险 具有潜在高影响的、发生可能性却很低的风险,也要重视,应避免认为此类风险“不可能会在这里发生”。eg, 2010年波兰总统专机坠毁 评估风险重大性时,可以考虑:风险发生的可能性和影响;一旦风险发生,产生影响的速度;风险发生后所产生影响的持久性和持续时间 风险评估需要考虑源自外包服务供应商、主要供应商和渠道合作伙伴的、会直接或间接的对企业目标实现产生影响的各类风险 - 22 -
二、风险评估 虚假报告识别因素 原则8:组织应在评估影响其目标实现的风险时,考虑潜在的舞弊行为 管理层的偏好,例如对会计准则的选择 外部报告中估计和判断的使用程度 企业运营的行业和市场中常见的舞弊方式和案例 企业业务的地理区域 可能导致舞弊行为的诱因 技术属性以及管理层操纵信息的能力 受管理层重大影响的不正常或复杂交易 管理层易于凌驾的漏洞,以及用于规避既有控制活动的可能方式 - 23 -
二、风险评估 应评估外部环境变化 应评估商业模式变化 应评估领导层变化 原则9:组织应识别并评估对其内部控制体系可能造成重大影响的改变 风险识别过程中应考虑该主体运营中监管、经济和物理环境的变化 应评估外部环境变化 组织应考虑新业务线的潜在影响、现有业务线的剧烈变化、以收购或剥离业务对内部控制体系的影响,以及快速增长、改变对外国地区和新技术的依赖 应评估商业模式变化 组织应考虑管理层变动以及管理层对内部控制体系理念和态度的变化 应评估领导层变化 - 24 -
三、控制活动 职责分离 通常需要分开交易的记录、授权、批准职责以及相关资产的处置职责 原则10:组织应选择并执行那些可以将影响其目标实现的风险降至可接受水平的控制活动 通常需要分开交易的记录、授权、批准职责以及相关资产的处置职责 职责分离 由于其可以降低一个人独自行动的可能性,职责分离对 降低舞弊风险非常必要 如果职责分离可能不切实际、不符合成本效益原则或不可行,eg小型公司,需要实施替代性控制 如果销售人员可以更改产品价格档案,则可由一位与销售活动无关的人员定期检查销售人员是否以及在何种情况下更改了价格 - 25 -
三、控制活动 原则11:针对信息技术,组织应选择并执行一般控制活动以支持其目标的实现 综述 信息技术基础设施 安全管理流程 信息技术一般控制涵盖与信息技术基础设施、安全管理以及信息技术的引进、开发和维护相关的控制活动,包括人工控制和自动化控制 信息技术基础设施 控制活动支持信息技术处理的完整性、准确性和可用性,通常包括备份、恢复程序和灾难恢复计划 安全管理流程 通常包括数据、操作系统、网络、应用程序和物理层面的访问权限 信息技术引进、开发和维护 如“系统开发生命周期”(SDLC),为信息系统的引进、开发和维护提供了架构,并为信息技术变更提供适当的控制。此外,还需关注使用套装软件以及外包的相关控制。 - 26 -
三、控制活动 原则12:组织应通过政策和程序实施控制活动。政策建立预期,程序将政策付诸行动 政策是管理层为了使控制有效,而对应该做什么的说明 程序由落实政策的多个行动组成 不成文的政策可能是符合成本效益的可替代方式,但也存在一些问题 容易被规避,一旦出现人员的变动,就会为企业带来高成本 削弱了人员问责制的效力 外部机构来进行审查时,通常会期望政策和程序是经正式文档记录的 - 27 -
四、信息与沟通 示例: 原则13:组织应获取或生成和使用高质量的、相关的信息来支持内部控制的持续运行 识别风险 从2000个分支机构收集运营数据的质量堪忧 制定控制 制定了一整套运营数据要求并设计了相应的报告模板供所有分支机构使用 高级管理层每个月审阅关键数据信息 业绩最好和最差的分支机构需要向内部审计团队解释其数据来源 实地访问过程中使用报送的信息,并提问评估分支机构对报告中数据的理解是否到位 实施效果 运行六个月后,信息质量得以改善 对政策进行了增补,实现了统一、及时的信息汇报 - 28 -
四、信息与沟通 应沟通内部控制信息 应与董事会沟通 应提供独立的沟通途径 应选择相关的沟通方式 原则14:组织应在内部对内部控制目标和责任等必要信息进行沟通,来支持内部控制的持续运行 应建立信息沟通机制,使所有人员理解、履行期内部控制职责 应沟通内部控制信息 管理层与董事会应进行沟通,从而使双方都能获得履行与企业目标相关职责所需的信息 应与董事会沟通 应建立独立的沟通渠道(如举报热线)作为失效保护机制,当常规渠道未运行或失效是,可以提供匿名或保密的沟通途径 应提供独立的沟通途径 沟通方式的确定应考虑沟通时机、受众和信息性质 应选择相关的沟通方式 - 29 -
四、信息与沟通 原则15:组织应就影响内部控制发挥作用的事项,与外部进行沟通 - 30 - 传出 通过公开的外部沟通渠道,企业的重要信息可提供股东、合作伙伴、客户、监管机构、财务分析师等 传入 从外部各方获取或接受信息并在内部共享信息,使企业可以识别出可能影响目标实现的趋势、事件或情况 - 30 -
五、监督活动 应考虑持续评估和单独评估的组合 应考虑变化率 应建立对基础的理解 应选用具备专业知识的人员 应与业务流程整合 应调整范围和频率 原则16:组织应选择、开展并实施持续、单独评估,以确认内控的各要素存在并持续运行 应考虑持续评估和单独评估的组合 应考虑变化率 应建立对基础的理解 应选用具备专业知识的人员 应与业务流程整合 应调整范围和频率 应客观的评估 - 31 -
五、监督活动 应评价结果 应沟通缺陷 应监督整改措施 原则17:组织应评价内部控制缺陷,并及时与整改责任方沟通,必要时还应与高级管理层和董事会沟通 管理层以及董事会,如有必要,应对持续和单独评估的结果进行评价 应评价结果 应与整改责任方沟通缺陷,必要时还应与高级管理层以及董事会进行沟通 应沟通缺陷 管理层应持续跟踪缺陷,确认其是否及时得到整改 对于无法及时整改的缺陷,通常应及时向至少比整改责任方高一级的管理层报告 应监督整改措施 - 32 -
谢谢聆听 谢谢大家!