coso內部控制框架的五大要素

1、控制環境

控制環境是為在組織中實施內部控制提供基礎的一系列標準、流程和結構。董事會和高級管理層應在高層建立基調，強調內部控制的重要性(包括期望的行為準則)。

(1)組織應展現對誠信和道德價值觀的承諾。

(2)董事會應展現出其獨立于管理層，并對內部控制的開展與成效實施監督。

(3)管理層為實現目標，應在董事會的監督下確立組織架構、匯報路線、合理的權力與責任。

(4)組織應展現出其對吸引、培養和留用符合組織目標要求的人才的承諾。

(5)組織為實現目標，應要求員工承擔內部控制的相關責任。

2、風險評估

風險評估：通過動態和反復的過程，以識別和評估影響組織目標實現的各種風險，能夠為形成如何管理風險的決策奠定基礎。管理層應考慮各種可能會阻礙其目標實現的外部環境及內部商業模式的變化。

(1、)組織應設定清晰明確的目標，以識別和評估與目標相關的風險。

(2)組織應對影響其目標實現的風險進行全范圍的識別和分析，并以此為基礎來決定應如何管理風險。

(3)組織應在評估影響其目標實現的風險時，考慮潛在的舞弊行為。

(4)組織應識別并評估對其內容控制體系可能造成重大影響的改變。

3、控制活動

控制活動：是通過政策和程序所確立的行動，旨在協助確保管理層關于降低影響目標實現的風險的方針已經落實。在主題的各個層級、業務流程的各個環節以及技術環境中都應實施控制活動。

(1)組織應該選擇并執行那些可以將影響其目標實現的風險降至可接受水平的控制活動。

(2)針對信息技術，組織應選擇并執行一般控制活動以支持其目標的實現。

(3)組織應通過政策和程序來實施控制活動，政策是建立預期，程序是將政策付諸行動。

4、信息與溝通

信息與溝通：信息對于主題履行內部控制責任以促進目標實現而言是非常必要的，溝通應同時發生于內部及外部，并為組織日?？刂铺峁┍匾男畔?。溝通可以使員工了解內部控制責任，以及他們對實現目標的重要性。

(1)組織應獲取、生成和使用高質量的、相關的信息來支持內部控制的持續運行。

(2)組織應在內部對內部控制目標和責任等必要信息進行溝通，從而支持內部控制持續運行。

(3)組織應就影響內部控制發揮作用的事項，與外部進行溝通。

5、監督活動

監督活動：主體應通過持續評估、單獨評估或者兩者的結合，以確認內部控制的五個要素(包括實現每個要素中原則的控制活動)是否存在并持續運行。對監督時所發現的問題應進行評估，并及時溝通缺陷，如有重大事項，應向高級管理層和董事會報告。

(1)組織應選擇、開展并實施持續和(或)單獨評估，以確認內部控制的各要素存在并持續運行。

(2)組織應評價內部控制缺陷，并及時與整改責任方溝通，必要時，還應與高級管理層和董事會溝通。

推薦閱讀：