COSO内部控制的控制设计

1. 确认所要进行的内控设计针对的内控目标是什么。

2. 根据确认的内控目标，识别公司层面的内外部主要风险并进行评估。

3. 通过业务流程的全面梳理，锁定与确认的内控目标相关的业务流程。

4. 按照COSO框架提出的控制标准，对确认的主要风险提出控制要求，将梳理得出的业务流程（风险控制活动）与控制要求进行对比分析，提出整改建议。

5. 对所确定的业务流程进行分析，分析确认业务活动中存在的风险，提出整改建议。

6. 各项制度规章的完善和补充。

下面我们对于风险评估、控制活动具体设计的内容再作进一步的说明： 1. 识别风险。风险识别包括了二个层次，企业层面的风险和业务活动的风险。识别风险的具体方法有头脑风暴法、访谈、调查问卷、流程图分析、参考其他的风险数据库、经验与专业判断。

2. 评估上述识别出的风险的后果和可能性。

3. 描述公司流程。

1) 制定公司流程总目录和流程描述的规范；

2) 流程具体描述。

4. 识别与风险相关的应对流程的风险，并建立风险数据库

5. 根据上述风险评估的结果，建立持续的风险评估制度体系 1. 以COSO控制框架、公司管理制度、控制理论为依据，在公司层面上确定“关键控制点和控制要点”。

2. 以公司层面“关键控制点和控制要点”为基础，对应识别的重要风险建立关键控制文档。

3. 关键控制与相关管理制度之间的比对分析。 1. 相互牵制原则

相互牵制原则，是指一项完整的经济业务活动，必须分配给具有互相制约关系的两个或两个以上的部门（或岗位）分别完成。即在横向关系上，至少要由彼此独立的两个部门或人员办理，以使该部门或人员的工作接受另一个部门或人员的检查和制约；在纵向关系上，至少要经过互不隶属的两个或两个以上的岗位和环节，以使下级受上级监督，上级受下级牵制。其理论根据是在相互牵制的关系下，几个人发生同一错弊而不被发现的概率，是每个人发生该项错弊的概率的连乘积，因而将降低误差率。不相容职务相互分离控制有以下几项内容：

* 授权批准职务与执行业务职务相分离；

* 执行业务职务与监督审核职务相分离；

* 执行业务职务与会计记录职务相分离；

* 财产保管职务与会计记录职务相分离；

* 执行业务职务与财产保管职务相分离。

2. 授权控制原则

授权控制原则，是指企业单位应该根据各岗位业务性质和人员要求，相应地赋予作业任务和职责权限，规定 *** 作规程和处理手续，明确纪律规则和检查标准，以使职、责、权、利相结合。岗位工作程式化，要求做到事事有人管，人人有专职，办事有标准，工作有检查。授权体系包括：

1) 授权批准的范围

企业所有的经营活动一般都应当纳入授权批准的范围。

2) 授权层次

授权应当是区别不同情况分层次授权。根据经济活动的重要性水平和金额大小确定不同的授权批准层次，有利于保证各种管理层和有关人员有权有责。

授权批准在层次上应当考虑连续性，要将可能发生的情况全面纳入授权批准体系，避免出现真空地带。当然，应当允许根据具体情况的变化，不断对有关制度进行修正。

3) 授权责任

被授权者应能够明确在履行权力时应对哪些方面负责，避免授权责任不清，出现问题又难咎其责的情况发生。

4) 授权批准程序

企业的经济业务既涉及企业与外单位之间资产与劳务的交换，也包括在企业内部资产和劳务的转移和使用。因此，每类经济业务都会有一系列内部相互联系的流转程序。所以，应规定每一类经济业务的审批程序，以便按程序办理审批，避免越级审批和违规审批的情况发生。

3. 成本效益原则

贯彻成本效益原则，即要求在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例，实行内部控制所花费的代价不能超过由此而获得的效益，否则应舍弃该控制措施。

4. 整体结构原则

企业内部控制系统，必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素，并覆盖各项业务和部门。换言之，各项控制要素、各业务循环或部门的子控制系统，必须有机构成企业内部控制的整体架构。这就要求，各子系统的具体控制目标，必须对应整体控制系统的一般目标。

COSO内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，其相互关系可以用其模型表示。

COSO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。

作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。

控制模型：

1、 强调“软控制”的功能。相对于以前的内部控制而言，框架更加强调那些属于管理文化层面的软性管理因素。

2、 强调内部控制应与企业的经营管理过程相结合。框架认为，经营过程是指通过规划、执行及监督等基本的管理过程对企业加以管理。

3、 突出强调信息系统的作用。框架认为，完备的信息处理系统是实现内部控制目标的重要保障，信息系统不仅处理企业内部产生的经营信息，而且也处理来自企业外部的各类经济、法律或行政信息。

4、 明确对内部控制的“责任”。COSO框架第一次明确地阐述了内部控制的制定与实施的责任问题。框架指出，不仅仅是董事会、管理人员、内部审计人员，组织中的每一个人都对内部控制环节负有责任。

参考资料来源：百度百科--COSO内部控制