英语原文共 7 页,剩余内容已隐藏,支付完成后下载完整资料
COSO最新内部控制与企业风险管理框架
2013年5月, COSO发布了修正版本的内部控制集成框架。这一举动是对自1992年发行的原始框架以来商业环境需求变化的直接反应。从COSO的内部控制集成框架来看,Jill M.Drsquo; Aquila 为了现在的框架更新了原始概念,在2013年10月的CPA杂志上对内部控制框架做了完整的描述。新内部控制框架的一个明显改变是为应用存在的组件提供细节的17条原则的阐述上。Price Waterhouse Coopers 声明这些原则与很多团体相关,像公营、私营、非盈利组织。据说,社区商业正在关注新的COSO框架,政府和非盈利组织也在关注它。
内部控制框架旨在为广大非盈利组织提供概念性的蓝图。COSO明确指出作为内部控制三大目标之一的可信性财务报告同样适用于非盈利组织。COSO阐明由于这些组织的目的并非盈利,它们可能为捐赠者、政府或其他第三方团体准备其他财务报告以便于筹集资金支持相关活动,不一定要按照特定的标准或规定(COSO,内部控制集成框架,公开征求意见稿,2012年)。另外,非盈利组织可能需要提交年度报告。
内部控制框架从各方面而言对的政府同样适用。当前的经济形势要求政府用更少的资源做更多的事情。政府面临不断增长的预算压力及其他内外部压力。竞争优先会对政府的效率产生消极影响。事实上,2012年研究显示来自政府商业委员会的85%的联邦管理者说竞争优先在他们的机构中是减少不作为的最大障碍。只有29%的调查联邦管理者对他们机构的整个效率评价不低于B,16%的人给联邦政府不低于B的评价。政府被期望改进操作和实施新技术。因此对适应于这样要求和变化的内部控制工具赋予了极大关注。
更新了用于现代内部控制标准的绿皮书
为了响应政府和非盈利组织面临的挑战,政府问责办公室于2013年9月提倡了一些在联邦政府中关于内部控制标准的改变,即绿皮书。建议的修订本体现了一个内部控制标准的现代化视角。自从政府问责办公室因联邦管理者金融诚信行为而于1983年第一次发布的标准以来,它是第三次修订。因它由相同的5个内部控制要素构成,政府问责办公室从概念上保存了相同的标准。它也介绍了内部控制集成框架的17条准则。COSO指出这些原则是广泛的因其适用于广大组织,包括政府性组织和非盈利组织。因此,政府问责办公室使用这些原则来适应政府环境。
风险是企业风险管理的首要标准
内部控制的全局目标是帮助团体实现他们的使命,包括最好的结果是纳锐人和捐赠者的最佳价值。Deloitte在2013年联邦首席财务官的见解中阐述:风险的考虑是内部控制的首要标准,首席财务官们应该全面利用组织的企业风险管理框架、风险评估结果定期对现有内部控制的有效性进行评价,并为调节他们的最佳成本和效率提高依据。为了加强风险管理,完善内部控制流程,COSO在2004年发布了企业风险管理框架.企业风险管理的目的是更全面,在其他事情上,提升原有框架的重要组成部分的风险评估。具体而言,企业风险管理把COSO的内部控制框架的风险评估要素扩大为目标设定、事项识别、风险评估、风险应对。
企业风险管理与内部控制之间的关系
内部控制框架 企业风险模型框架
内部控制框架如下定义风险评估:风险评估包括一个动态的、迭代的过程,用于识别和分析风险,实现实体的目标,形成一个确定如何管理风险的基础。原则6到9强调了风险评估:
原则6:组织应有明确清晰的目标,保证与目标相关的风险能够进行识别和评价。
原则7:组织应明确阻碍目标实现的风险,并将风险分析作为基础决定如何管理风险。
原则8:在评估实现目标的风险时,组织应考虑潜在因素的影响。
原则9:组织要识别和评价显著影响内部控制系统的变化。
最后,COSO的企业风险管理框架处理的是风险的避免、接受、分享和减少,而内部控制框架主要处理减少风险的工作。在COSO的内部控制集成框架的执行摘要中,主席David L.Landsittel阐述企业风险管理框架和最新内部控制集成框架是赠送的,并没有取代其他。
虽然企业越来越注重风险监管,中注协在政府问责中指出:所有类型的组织包括政府团体需要关注风险。没有组织不受影响实体存在的风险及其履行苛刻目标使命的影响。政府机构有时面临独特的,有时甚至是新的风险,当他们监督程序的时候。有时被视为以企业为关注范例的风险管理框架,对政府及非盈利组织同样有效。这仅仅是建立在战术层面政府如何实施关键ERM概念差异的背景:政府没有股东但有其利益相关者(例如纳税人、资助机构、国会等)同样,政府机构不寻求最大限度地为股东谋取利润,但他们却寻求为利益相关者提供关键服务。非盈利组织同样如此。
Don Dixon,Deloitte和Touche LLP也情调指出:
像其他企业一样,联邦机构处于强烈的压力下开始管理战略、监管、安全和声誉方面的风险。但在某些方面,联邦风险监管比私营企业董事会面临的挑战更为复杂。内阁部长和其他高级领导人员如何做才能获得公众的信任和国会期望当部门风险理分散在大的经常独立的部门 ?(联邦首席财务官Deoitte在2013年提出了调整内部控制和企业风险管理框架的见解)
七大风险领域
Deloitte指出了以下7个影响联邦机构的主要风险领域:声誉,政治,关键基础设施,人力资本,合规及监管,透明度和问责制,信息科技。
这些风险中的一部分对政府和非盈利组织的某些领域同样适用.COSO框架如何被应用如下:
声誉风险:受损的声誉对政府和非盈利组织产生重大影响.两个框架都是以
控制环境或内部环境开始,它是其他要素的基框架的基础.事实上,内部控制的第一原则控制环境和一个组织的诚信伦理价值观相关.高级管理者的道德倾向是核心要素.一个实体的声誉是其领导声誉的体现.在关于最新内部控制框架的一个采访中,Price Waterhouse Coopers的同伴Chuck Harris声明:对很多组织来说,日期已成为控制活动的焦点。因此,以原则为基础的新内部控制框架可以促进COSO温柔的一面,包括控制环境要素。
政治风险:政府机构在管理风险时,面临独特的挑战。这些与变化的政治优先事项的风险可能会影响资金及整体的表现。非盈利组织同样受此影响,鉴于许多依靠政府补助。变化的政治优先事项会影响资金的使用性。内部控制框架原则7和9进行了详细描述,在这具有很大相关性,他们都与外部因素有关,像经济和制度因素。一个实体需要调整自己的优先事项和业务流程以适应这些变化。虽然政治风险可能在很大程度上超出了一个实体的直接控制能力,组织应尝试预测可能影响使命和目标的政治事件。COSO阐述:通过加强识别潜在事件的能力并建立反应,组织要减少意外带来的风险及相关的成本或损失。并非在事实后对不良事件的影响进行反应,单位应积极使用从COSO框架的概念管理政治风险。
关键基础设施风险:政府机构必须识别和管理与关键基础设施相关的风险。与控制相关的原则具有重大作用。这些原则涉及选择和发展控制以减轻风险,选择和开发一般控制技术,通过建立预期政策实施控制等方面。政府必须保护关键设施。例如,只有经过授权的员工才有机会接触关键设施,如电力、水处理厂和口岸。管理层必须保持政策和程序以监测和调节关键基础设施业务。拥有大型IT设施的政府必须确保信息的保密性和完整性。内部控制框架特别阐述了无论何时当技术是一个实体操作的组成部分时,限制访问都非常重要。
人力资本风险:人力资本在运营成本中占了很大比例,并对一个组织的底线产生重大影响。风险包括管理与充足的这是和培训相关的问题,老龄化的员工,退休资金减少,资金不足的养老计划和员工士气。控制环境的一条重要原则是一个组织的承诺,正如第四条原则描述的那样,吸引、发展和留住有能力的个人来支持组织的目标。第四条原则强调了这样的问题,像指导和培训项目及评估组织的能力。同样,人力资源是企业风险管理框架“内部环境”中的一个关键因素。员工的诚实和能力是减少风险最有效的方式之一。
实体应该预测未来人力资本的需求。人口趋势不仅影响了公民对政府提供服务的需求也影响了来自这些公民的税收收入。这些趋势有着重要的考虑因素,即获得必要的资源以满足未来的需求及管理人力资本风险。非盈利组织应尝试预测人口变化对任务相关能力的影响。例如,慈善机构师徒确定和估计影响人口慈善倾向的经济和社会因素。
合规及监管风险:遵守对政府而言是特别重要的,自从法律和发生鬼往往决定他们的使命和结构。非盈利组织也要遵从独特的合规性和报告要求。为了有资格获得免税地位,非盈利组织必须符合有关税收规定。两框架都有的一个重要要素是:实体要遵从适用的规章,原则及法律。为了减轻合规和监管风险的影响,实体必须首先了解有关的规则,法规,法律和报告的要求,正如内控控制框架陈述的那样。来自美国政府的资金也需要进行审计。为了减少合规和监管风险,非盈利组织需要不顾法律要求的审计。不以盈利为目的的治理向导是税收等问题的有用总结。
透明度和问责制风险:因为政府存在的公共好,并从纳税人获得融资,与财政相关的透明度和问责制显得非常重要。当谈及绿皮书相关的变化时,Jim Dalkin 阐述底线是透明度和问责制。为认为内部控制是至关重要的当年向导一年中发生的重大事件。在那里,政府资金使用的非常快。拥有这些内部控制很重要,所以应有问责制。
在某种程度上,争夺自愿捐赠和资助的非盈利组织能从增长的与捐赠资金使用有关的能见度上受益。
内部控制框架的第二条原则强调了董事会应为内部控制提供监督。它也指出透明强化了高级管理层和董事会的责任。AICPA指出政府的审计委员会在帮助确保问责制和遵守方面扮演着非常重要的角色:在最近的记忆中,没有一个有效的审计委员会在政府的需要比现在更重要。迫在眉睫的预算赤字,削减计划和员工裁员,政府单位正在与用更少的资源维护服务抗争。政府官员需要努力评估支出的需求,确保收入得到及时和正确的管理。
内部控制的第14和15原则具有相关性。自愿公布报告能减少透明和问责风险。例如,记录向受害者捐赠美元百分比的报告要减少与缺少透明度相关的风险。提高决策或确定来自标准差异的报告可以为支持和证明资金需求提供证据。在最近减少国家和地方各级预算的推动下,这个目标对政府而言特别重要。第10条原则识别了很多与透明和问责风险相关的控制活动。这些控制涉及授权、验证、物理控制、与数据相关的调节和监督控制。
信息技术风险:信息技术的广泛使用导致了风险的增加。随着自治区的增长,信息系统必须要满足未来的需求。非盈利组织的在线捐助者应该确保他们的信息是安全的。信息技术暴露风险对于处理大量数据的联邦机构特别重要。两个框架都强调了信息技术风险。内部控制框架的第11条原则包括技术一般控制的讨论,技术基础设施,安全管理流程的和技术的取得、发展和维护过程。Steve Shafer 指出虽然大多数关于内部控制的文献聚焦于财务系统,但组织也可以把这些概念运用于信息技术。例如,一个应用程序开发团队可以使用这些策略来识别有关成本超支的弱点。团队可以使用一个追踪资源使用与交付的系统来处理成本超支。另外,风险评估可以用来识别可嫩到安置信息技术服务损失的潜在弱点。
改善绩效和治理
2014年2月,COSO发布了改善组织绩效和治理一文:COSO框架如何帮助,这说明了两个框架如何可以提高组织绩效和管理的可持续成功。关于两个框架的使用,COSO提供了明确的建议(在下面进行了总结,提供了两个框架使用的建议及实证研究)。这些建议已经在政府机构中进行了几次:COSO是这样描述框架的:足够请打以至于可以自己独立使用,两个框架有其共同的目的—帮助企业实现目标和优化企业价值创造与价值保护活动之间的紧张关系。因此,两者都是促进和支持治理过程的有效措施。
COSO对两个框架使用的建议及实证研究
|
COSO建议 |
实证研究 |
|
确保企业风险管理框架与核心流程结合 |
美国国土安全部有一个风险指导委员会来确保风险管理符合整个机构 |
|
在高级管理层、董事会及整个组织间,提高风险容忍度的对话 |
基础设施保护局开发了用来分析潜在威胁关键基础设施的基准情景分析 |
|
通过改善控制环境或内部环境,加强风险文化建设 |
卫生和人类服务部创造了一个“部长委员会的程序的完整性”,包括医疗保险,公共卫生补助和最容易受到欺诈或滥用的风险评估 |
|
根据风险评估的特点,通过构建风险评估体系对风险进行识别、排序和应对,并对风险评估进行适当的管理 |
能源部有一个“风险管理指南”,它定义了与风险相关的关键角色及与风险管理决策相关的权威和沟通链条 |
|
运用COSO的17条原则来加强内部控制 |
GAO提出了对绿皮书的修订,包括这17条原则 |
|
将两种框架整合到组织中 |
美国疾病控制中心实施了风险管理框架,其部分类似于COSO企业风险管理框架。CDC内部控制程序是自下而上的评估风险策略,支持广泛的、自上而下的方法 |
尽管应用程序根据每个实体的特定风险配置会有所不同,这两个框架提供一个概念基础,政府和非盈利组织
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[152517],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
