COSO内部控制框架（2013版）关键修订与实施指南

Introduction

2013年5月，美国反虚假财务报告委员会下属的发起人委员会（COSO）发布了更新的《内部控制——整合框架（2013）》及其配套指南。此次修订取代了1992年的原始框架，后者于2014年12月正式废止。2013版框架在保留内部控制五大核心要素（控制环境、风险评估、控制活动、信息与沟通、监控活动）的基础上，引入了重大的原则导向转型。它确立了17项核心原则，分别对应五大要素下的基本要求。这一演变旨在提升框架在不同组织和运营环境中的适用性，为设计、实施和评估内部控制体系的有效性提供了更清晰的标准。

Key Changes in the 2013 COSO Framework

1. Adoption of a Principles-Based Approach

新框架最显著的变化在于其结构化、原则导向的方法论。它在五大要素下阐述了17项基本原则及相关的关注点。这些原则和关注点构成了建立和评价组织内部控制的主要标准，形成了一个层次分明的体系：系统 -> 目标 -> 要素 -> 原则 -> 关注点。这一结构为实施提供了更实质性的指导。

例如，控制环境要素下的第一项原则是：「组织显示出对诚信和道德价值观的承诺。」框架为该原则提供了四个关注点：

1. 确立「高层态度」：董事会和各级管理人员必须通过其指示、行动和行为来证明诚信及道德价值的重要性。
2. 建立行为准则：与诚信和道德价值相关的期望在组织的行为准则中定义，并为各级人员及外部合作伙伴所理解。
3. 评价对行为准则的遵守情况：实施相关流程，依据组织行为准则评估个人和团队的表现。
4. 及时处理变差情况：及时识别偏离组织行为准则的情况并予以整改。

这种原则导向的方法增强了框架的广泛性和适用性，使其适用于所有类型、规模、行业和结构的组织（营利性、非营利性、政府机构）。框架使用通用术语「组织」来体现这种普适性。虽然原则普遍适用，但其实施方式将根据组织的具体情况而有所不同（例如，较小主体的控制可能不太正式，但仍然存在）。

2. Expansion of Internal Control Objectives

1992年的框架主要关注外部财务报告的可靠性。2013年框架明确扩展了报告目标类别，包括：

• 外部非财务报告目标：基于外部准则的报告（如可持续发展报告、监管统计数据）。
• 内部财务与非财务报告目标：用于内部管理决策的报告。

框架的三大核心目标现在得到了更清晰的定义：

• 运营目标：涉及运营的效益和效率，反映管理层的选择和风险偏好。
• 报告目标：涉及内部和外部报告的可靠性。
• 合规目标：涉及遵守适用的法律、法规和内部政策。

3. Key Changes to the Control Environment Component

2013年框架通过在该要素下引入五项具体原则，更清晰地阐明了有效控制环境的构成。它加强了对诚信与道德价值观、董事会（或审计委员会）的监督职责以及管理层的管理哲学和经营风格的强调。此外，它明确要求组织考虑重大变化（如领导层、商业模式、法规的变化）可能如何影响内部控制体系。

4. Key Changes to the Risk Assessment Component

关于目标设定，发生了一个概念上的转变。1992年框架将其视为风险评估要素的一部分。2013年框架将目标设定定位为内部控制的先决条件，而非内部控制过程本身的一部分。内部控制是应用于既定目标的。随后，针对这些目标进行风险评估过程（包括风险识别、分析和应对）。新框架还更加强调评估舞弊风险和考虑组织的风险容忍度。它强调需要评估业务环境变化产生的动态风险。

5. Key Changes to the Control Activities Component

定义得到完善：控制活动是通过政策和程序建立的行动，而非政策和程序本身。框架广泛阐述了技术的影响，指出了其演变及其对所有控制要素的影响。它讨论了自动控制与人工控制之间的关系。提供了关于将风险评估与控制活动相结合以及应对技术相关风险（例如，通过一般IT控制、安全管理）的指导。控制活动也在两个层面进行讨论：实体层面控制（政策） 和业务流程层面控制（具体流程）。

（鉴于输入内容的全面性，本分析侧重于介绍性部分和前五个主要变化领域。关于信息与沟通、监控活动及其他考虑因素的其余变化，在2013年框架中遵循了类似的澄清、扩展和现代化模式。）