为了促进持续进步并防范财务风险,对业务流程进行管控、管理、衡量和治理至关重要。
企业通常会建立内部控制系统,这是一种确保安全、防止欺诈,并确保流程顺畅运行的方法。然而,当这些内部控制失效时,它们可能会对企业构成威胁。
根据一份报告显示,43%的小型企业因缺乏内部控制而遭受欺诈,而20%的大型企业则因凌驾于现有内部控制之上而遭受欺诈。
正因如此,发起组织委员会(COSO)的Trendway Organizations开发了一个框架,旨在帮助公司控制和管理其业务流程。该框架使企业能够确保其业务流程的一致性,并指导他们识别和减轻风险。
尽管实施COSO框架不是强制性的,但它可以帮助企业遵守监管标准,并防止那些难以避免且一旦失败就会给企业带来噩梦的欺诈活动。
因此,如果您希望避免此类噩梦,请继续阅读。本文将探讨COSO框架、其优势以及企业如何利用它来降低风险。
什么是COSO框架?
COSO框架是一套旨在帮助企业控制和管理其业务流程的指南和原则。
该框架由COSO委员会于1992年创建,由总法律顾问兼执行副总裁James Treadway, Jr.领导,其他私营部门组织包括:
- 国际财务主管协会(FEI)
- 美国会计协会(AAA)
- 美国注册会计师协会(AICPA)
- 内部审计师协会(IIA)
- 管理会计师协会(IMA),前身为全国成本会计师协会
该委员会在2013年对该框架进行了更新,并创建了一个更现代的版本,以COSO立方体为代表,如下图所示。
来源:info.knowledgeleader.com
这个三维图展示了不同的内部控制系统元素如何协同工作,以协调业务流程。
2017年,COSO委员会发布了COSO框架的配套框架,使企业更容易评估风险和确定风险优先级,同时塑造业务绩效和风险战略。
因此,了解COSO框架可以为企业带来显著的好处,指导他们在整个商业环境中管理和有效地建立内部控制。可靠的内部控制流程确保符合行业标准的道德、透明和一致的业务运营。
COSO框架的益处
制定适应不断变化的网络安全环境和新挑战的风险缓解策略,对每个企业来说都至关重要。
以下是实施COSO框架如何帮助企业领先于恶意欺诈并保护其业务流程和声誉的方法:
#1. 改进的风险评估
低效的管理控制是大多数工作场所事故背后的主要原因之一。这些在一个领域发生的事件和风险,会对其他业务领域产生显著影响,进而影响整个业务绩效。
主动实施COSO框架和有效的风险评估有助于识别、管理和预防风险的发生,从而避免对您的业务造成损害。
#2. 改进的内部控制
COSO框架为企业提供了更有效的风险缓解内部控制,使业务流程按照既定的内部控制更加统一地运作,并利用必要的数据做出合理的决策。
#3. 改进的欺诈检测
COSO框架提高了欺诈检测和风险管理的有效性,无论是黑客、网络犯罪分子、受信任的员工还是客户都可能参与欺诈活动。
该框架使企业更容易通过设置内部控制来检测欺诈,并在这些事件发生后立即做出响应,从而在它们造成任何损害之前减轻它们的影响,更有效地防止欺诈活动的发生。
#4. 更好的治理
对业务绩效的监督和治理不善会导致许多业务失败和收入损失。因此,COSO框架的基本目标是加强公司的公司治理功能,持续监控风险以确保遵守政策、法律和目标。
#5. 增强的应用程序安全性
除了欺诈和网络安全风险外,企业还面临着对其业务应用程序的持续安全攻击威胁。COSO框架为公司和组织提供了评估和增强其应用程序控制环境的指南,以更好地检测和预防网络安全威胁。
#6. 提高灵活性
无论行业或规模如何,您都可以轻松地根据组织的需要和要求调整COSO框架。这使其成为各种业务流程的理想且高效的工具。
#7. 性能稳定
COSO框架可以更轻松地预测风险并提前完成进度,从而限制性能可变性。因此,它可以帮助企业最大限度地提高盈利能力并最大限度地减少中断,从而增强业务弹性。
#8. 成本效益
正确实施COSO框架可以让企业简化业务流程,建立和实施有效的内部控制,更好地降低风险,并管理合规成本。
COSO框架的应用
企业主要使用COSO框架来设计、开发和实施有效的内部控制,并提高其整体有效性。
COSO框架为企业提供了检测和减轻风险、设定明确的控制和目标以及做出有效决策的指导,使企业能够遵守侧重于风险管理和评估的道德和法律要求。
该框架被会计和金融公司以及上市公司广泛使用。
COSO框架在实际应用和业务方面包括:
#1. 扩大业务
假设您的企业计划将其业务扩展到新的城市或国家,并且需要确保您已经考虑并减轻了所有可能威胁到您的业务流程的风险。在这种情况下,COSO框架可以帮助您做到这一点。
COSO框架提供了一种系统的方法来识别、管理和评估风险,并为此制定缓解策略。
#2. 战略转变
假设您的企业计划对业务流程和运营实施重大变更,例如推出新产品或服务或转变业务战略。在这种情况下,使用COSO框架可以帮助您的业务。
它可以帮助您规划和有效管理重大业务变更,提供一种方法来查找与变更相关的潜在风险,并设计计划来解决这些风险。
#3. 在竞争中保持领先
如果您面临来自竞争对手的挑战或注意到业务损失,想方设法在竞争中保持领先地位对于提高您的竞争力至关重要。一种方法是了解客户的偏好和要求。
COSO框架帮助企业完成并应对这一挑战,为市场研究和客户分析提供结构化方法。
COSO框架的五个关键组成部分
COSO框架的五个组成部分,也称为内部控制组件,通常被称为“CRIME”,分别是:
- 控制环境
- 风险评估
- 信息和沟通
- 监控活动
- 现有控制活动
让我们更详细地了解这些组成部分中的每一个。
控制环境
控制环境是所有内部控制系统的基础,它是一套确保整个企业内部控制系统有效运行的流程、标准和结构。
它由组织结构、管理层的道德价值和授权等因素组成。
强大的控制环境会在企业内部灌输纪律,确保企业遵守法规遵从性政策和要求,并最大限度地减少员工参与欺诈活动的机会。
因此,随着欺诈在这个时代和企业界变得越来越普遍,控制环境成为COSO框架最重要和最关键的组成部分之一。
风险评估与管理
风险评估和管理,有时也称为企业风险管理,包括有助于识别和评估可能损害企业福祉并影响其核心目标的风险的流程。
风险可以是内部的,也可以是外部的。内部风险包括贪污和欺诈,而外部风险可能由市场条件变化或自然灾害造成。
信息和沟通
信息和沟通系统对于企业的有效运行至关重要,可确保外部和内部沟通遵守道德价值观、法律要求和标准行业惯例。
这些系统确保相关信息始终可供有需要的人使用,并确保他们的沟通遵循实现业务目标的最佳实践。
沟通是从整个企业的内部和外部来源及时迭代、获取、共享和提供信息的持续过程,使高级管理层能够有效地传达内部控制的重要性。
监控活动
定期监控所有内部控制以及持续和单独的评估对于确保和验证它们正常运行至关重要。此外,监控活动有助于评估内部控制系统是否按设计运行,使企业能够在必要时采取纠正措施。
监控内部控制使企业能够持续识别系统中的风险、问题和弱点,以便及时纠正它们。
现有控制活动
控制活动是指检测和预防过程、政策和程序,有助于降低整个企业的风险,并确保它们得到适当的控制。
它们存在于企业的各个级别,主要目的是确保业务流程的执行方式允许企业实现其目标,而不会在流程中引入不必要的风险。
控制活动的示例包括安全摄像头等物理控制、职责分离和授权要求。
如何实施COSO框架?
以下是实施COSO框架以开发有效的内部控制系统并改进其管理和维护的步骤:
#1. 了解COSO框架
希望应用COSO框架的企业必须指定一个专门的团队来了解其设计,并让他们负责其实施。
团队必须理解框架的益处、用途、应用和有效内部控制系统的原则。
#2. 制定计划
在正确理解框架之后,团队必须制定项目计划或路线图,以解决框架实施范围、利益相关者、资源、组织结构和时间表。
#3. 评估框架的实施
COSO框架的实施因公司而异,评估内部控制系统将帮助企业识别他们必须应对和减轻的风险。
实施团队必须定义明确的业务目标,调查和分析当前的内部控制系统,并通过基层员工和高级管理人员的参与找出差距,以收集多方面的观点,从而建立健全的内部控制系统。
#4. 修复解决方案
您在评估期间发现的任何弱点和漏洞都必须在此步骤中解决。此外,制定内部控制和补救解决方案以解决这些弱点也至关重要。
您可以从使用最好的漏洞管理软件针对最有可能发生并造成最大危害且产生重大影响的风险的补救解决方案开始,然后逐步解决。
#5. 测试、报告和优化解决方案
企业必须详细设计解决方案并执行验证,以测试和报告其效率和有效性。
负责的利益相关者必须随时了解测试结果,以针对被认为无效的差距和控制措施提供反馈和替代建议。
这是一个持续和重复的过程,持续的评估使早期预警信号能够对控制环境的变化立即采取行动。
COSO框架的局限性
尽管COSO框架为企业提供了多种好处,但它也有其自身的挑战和局限性,例如:
- 实施困难:COSO框架最大的挑战之一是实施困难,尤其是对于以前没有使用过它的企业。COSO框架需要员工和高级管理层的专注承诺才能取得成功。
- 难以使用:COSO框架不容易使用和理解,因为它包含多种技术术语,在大多数情况下可能难以解释,尤其是对于那些不熟悉最新业务技术和术语的人。
- 耗时:COSO框架的理解和实施可能非常耗时,尤其是在大型组织和企业中,因为它需要在多个团队和部门之间进行大量的规划和协调。
最后的话
COSO框架是一个全面的风险管理和缓解框架,为企业提供有关加强其内部控制系统的指导。
它基于五个相互关联的重要组成部分,这些组成部分协同工作以实现企业目标、帮助检测和避免欺诈、保护资产并确保遵守法律和法规要求。
因此,如果您计划创建内部控制系统或寻找改进现有系统的方法,选择并实施有效的COSO框架是明智的选择。
接下来,请查阅关于数据质量的综合指南。