新版COSO內部控制實施指南

新版COSO內部控制實施指南一書從實際操作層面，為企業全面執行2013版的COSO內部控制框架提供了權威指南。該書探討了新版內部控制框架的組成要素，對應企業經營活動展示了經營層面內部控制的具體內容，運用COSO三維立體框架模型解釋了各內部控制要素的重要性，闡釋了如何整合COBIT框架，ISO內部控制和風險管理標準，並重點強調了如何保證企業內部控制構建和執行的有效性等問題。

第1章 COSO內部控制框架的重要性 1
1．1 企業內部控制的重要性 3
1．2 什麼是企業內部控制 4
1．3 理解COSO內部控制：如何使用本書 5

第2章 內部控制的歷史沿革 7
2．1 內部控制早期定義：1977年的《反海外賄賂法》 9
2．2 《反海外賄賂法》與現代內部控制 11
2．3 反欺詐財務報告委員會成立始末 12
2．4 美國註冊會計師協會發佈的《審計準則公告》：第55號與第78號文件 14
2．5 反欺詐財務報告委員會的報告 15
2．6 最初的COSO內部控制框架 16
2．7 《薩班斯法案》與內部會計控制 19
注釋 36

第3章 2013版COSO內部控制框架概覽 38
3．1 理解內部控制框架 39
3．2 2013版框架在商業和經營環境方面的主要變化 41
3．3 2013版COSO內部控制框架 46
3．4 2013版COSO內部控制原則 48
3．5 COSO目標與經營業務 49
3．6 其他資訊來源 51

第4章 COSO內部控制要素：控制環境 53
4．1 控制環境要素的重要性 53
4．2 控制環境原則一：誠信與道德觀 55
4．3 控制環境原則二：董事會職能 61
4．4 控制環境原則三：對權力與責任的要求 63
4．5 控制環境原則四：加強人力資源建設 65
4．6 控制環境原則五：個人的內部控制責任 68
4．7 正確實施COSO控制環境 70

第5章 COSO內部控制要素：風險評估 72
5．1 風險評估的原則 73
5．2 風險識別與分析 75
5．3 風險應對策略 81
5．4 舞弊風險分析 84
5．5 COSO風險評估及修訂後的內部控制框架 85
注釋 86

第6章 COSO內部控制要素：控制活動 87
6．1 控制活動要素的原則 88
6．2 COSO控制活動的現狀 100

第7章 COSO內部控制要素：資訊與溝通 101
7．1 資訊與溝通要素的變化 102
7．2 資訊與溝通原則一：相關資訊的使用 104
7．3 資訊與溝通原則二：內部溝通 110
7．4 資訊與溝通原則三：外部溝通 114
注釋 117

第8章 COSO內部控制要素：監控活動 118
8．1 監控活動要素的重要性 119
8．2 監控活動原則一：持續評估與個別評價 121
8．3 監控活動原則二：評估與溝通內部控制缺陷 126
8．4 正確運用監控活動 128
注釋 129

第9章 COSO內部控制治理、風險及合規營運控制 130
9．1 COSO營運目標 131
9．2 計畫和預算控制 132
9．3 IT系統營運控制 137
9．4 營運程序控制和服務目錄 148
9．5 COSO營運控制的重要性 151
注釋 151

第10章 COSO報告程式 152
10．1 COSO報告目標 153
10．2 COSO外部財務報告控制 154
10．3 COSO內部財務報告控制 157
10．4 COSO外部非財務報告控制 166
10．5 COSO內部非財務報告控制 167
10．6 COSO 報告控制的重要性 169
注釋 170

第11章 COSO合法、合規與遵循目標 171
11．1 企業合規性控制的重要性 171
11．2 合規控制問題 173
11．3 內部控制與法律問題 175
11．4 專業和其他標準的合規性 176

第12章 內部控制主體與組織的治理、風險及合規的關係 179
12．1 組織GRC視角下的內部控制 180
12．2 公司治理總體概念 181
12．3 企業層面內部控制 186
12．4 分支機搆層面內部控制 194
12．5 業務層面內部控制 198
12．6 組織與GRC控制視角 198
注釋 200

第13章 COSO、服務管理和有效的IT控制 201
13．1 IT一般控制的重要性 202
13．2 IT治理的一般控制 204
13．3 IT管理的一般控制 205
13．4 客戶伺服器和小型系統的IT一般控制 210
13．5 資訊技術基礎架構庫服務管理最佳實踐 213
13．6 服務交付最佳實踐 223
注釋 224

第14章 雲計算、虛擬化和無線網路 225
14．1 IT無線網路的內部控制 227
14．2 雲計算和COSO內部控制 232
14．3 虛擬化存儲管理 239
14．4 COSO內部控制和最新技術 240
注釋 241

第15章 其他框架：COSO企業全面風險管理框架 242
15．1 企業全面風險管理定義與風險組合觀 243
15．2 COSO 企業全面風險管理框架模型 248
15．3 企業全面風險管理框架的其他維度 269
15．4 COSO企業全面風險管理和新版內部控制框架 270
注釋 271

第16章 COBIT的內涵與應用 272
16．1 向高管介紹COBIT 273
16．2 運用COBIT評價企業內部控制 283
16．3 COBIT與COSO內部控制的對應關係 288
注釋 289

第17章 ISO內部控制與風險管理標準 290
17．1 ISO標準的背景及其在全球商業世界的重要性 291
17．2 ISO標準綜述 293
17．3 ISO標準與COSO內部控制整合框架 302
注釋 303

第18章 董事會中的COSO內部控制 304
18．1 董事會決策與內部控制程式 305
18．2 董事會架構與治理規則 309
18．3 公司章程與董事會結構 310
18．4 審計委員會與內部控制管理 314
18．5 董事會成員的內部控制知識要求 317
18．6 COSO內部控制與公司治理 318
注釋 320

第19章 服務組織控制報告和COSO內部控制 321
19．1 服務組織內部控制的重要性 322
19．2 早期服務商的內部控制鑒證方法：SAS 70 324
19．3 服務組織控制報告 325
19．4 審計權利條款 329
19．5 內部控制的局限性 331

第20章 2013版COSO內部控制框架的實施 332
20．1 2013版內部控制框架的最新變化 333
20．2 2013版COSO指南的過渡問題 334
20．3 2013版COSO內部控制框架的實施步驟 335

羅伯特.穆勒是一位有著多年從業經驗的內部審計專家和項目經理。他擁有CPA（註冊會計師）、CISA（註冊信息系統審計師）、CISSP（註冊信息系統安全師）等專業證書，並在信息系統、公司治理和安全控制方面具有豐富的專業背景。穆勒先生從事審計等相關工作的經驗已經超過25年，在他25年的從業生涯中，曾經作為首席審計執行官服務於一家財富50強的企業，也曾在Grant Thornton會計師事務所和Sears Roebuck公司任職。穆勒先生是IIA（內部審計師協會）芝加哥分會的前任主席，也是該協會國際先進技術委員會的成員，還是AICPA（美國註冊會計師協會）電腦內審分會的前任主席。除了本書，穆勒先生至今已著有6本專業圖書。

張慶龍，管理學博士、博士后，北京國家會計學院教授。天津市青聯委員、中國審計學會教育分會理事、中國商業會計學會理事、北京市審計局特聘專家、北京市財政學會理事、中國內部審計協會質量監督委員會委員、國際註冊管理咨詢師。