《2023年舞弊风险管理指南第二版-执行摘要》中文版 正式发布!
2023-06-25
1992年,美国反虚假财务报告委员会下属的发起人委员会COSO(以下简称COSO)发布《内部控制综合框架》(原始框架)。原始框架得到广泛认可,被普遍认为是设计、实施和进行内部控制以及评估内部控制有效性的领先框架。 COSO于2013年修订了原始框架(COSO 2013 IC框架)。COSO 2013 IC内嵌了17项原则。这17项原则与5个内部控制组成部分相关联,为用户设计和实施内部控制系统以及理解有效内部控制的要求提供了清晰的信息。COSO明确表示,为了使内部控制系统有效,17项原则中的每一项都要存在、发挥作用并以一种综合的方式运作在一起。其中第8项原则是风险评估要素原则,并明确指出:组织在评估目标实现风险时应考虑舞弊的潜在可能性。 《舞弊风险管理指南》最初于2016年出版,旨在支持并与COSO 2013 IC框架保持一致,并作为指导组织在处理此特定舞弊风险评估原则方面遵循的指南。 然而,舞弊并非一成不变。因此,COSO和ACFE启动了更新过程,包括向广泛的用户寻求建议,了解《舞弊风险管理指南》可以在哪些方面得到改进,并组建团队对指南进行更新评估。 对于希望采用更全面的方法管理舞弊风险的组织,《舞弊风险管理指南》包括进行舞弊风险评估所需的信息,以及关于制定整体舞弊风险管理计划的指导,包括: 制定舞弊风险治理政策 进行舞弊风险评估 设计和部署舞弊预防和侦查控制活动 进行调查,以及 监控和评估整个舞弊风险管理计划
《2023年舞弊风险管理指南》有哪些新内容? 2016年《舞弊风险管理指南》发布后,该指南被公认为包含了一套广泛接受的反舞弊专业人员和组织的领先做法,旨在遏制舞弊。但是,舞弊并非一成不变。因此,COSO和ACFE启动了一个更新过程,其中包括向广泛用户征求建议关于如何改进《指南》并组建了一个团队,重新审视《指南》,评估如何以及在哪里更新。以下是2023年版本的主要变化: 舞弊风险管理和威慑。本版解释了舞弊风险管理如何与舞弊威慑相关并支持舞弊威慑——这是COSO任务中的一个关键主题。 COSO的两个框架与舞弊风险管理之间的关系。本版解释了COSO 2013内部控制-综合框架、COSO 2017企业风险管理-与战略和绩效框架的整合以及舞弊风险管理指南是如何相互关联和支持的。 扩展了有关数据分析的信息。数据分析作为预防和早期发现舞弊的关键工具,其重要性不断增加。数据分析的高级应用程序对一些用户来说可能不如采访和举报系统等标准工具那么熟悉。因此,本版包含了关于数据分析的扩展和更新信息,同时继续强调采访和举报系统的重要性。在五项舞弊风险管理原则中的每一项原则中都添加了一个数据分析焦点,以证明数据分析的使用是每项原则不可分割的一部分。此外,数据分析附录也得到了更新和扩展。这种方法并不是为了淡化其他工具的重要性,而是为了强调数据分析在管理舞弊风险方面日益强大的力量。 内部控制和舞弊风险管理。本版解释了内部控制和舞弊风险管理是如何相互关联和支持的,但在一些重要方面有所不同。提供的例子表明,许多“直接”内部控制流程和程序可能足以确保会计和财务报告的准确性,但可能无法提供足够的舞弊保护。 评估与舞弊风险相关的现有控制程序的有效性。第2章(舞弊风险评估)提供了有关舞弊风险评估过程中这一重要步骤的更多信息。它澄清并强调,评估控制有效性包括(a)确定与每种已识别的固有舞弊风险相关的现有控制程序,(b)确保控制措施已按设计实施并发挥作用,以及(c)评估控制措施是否足以应对已识别的舞弊风险。最后一步是从财务报告内部控制的角度评估控制措施的设计和运作效果。此外,它是识别剩余舞弊风险的关键,以便可以应用额外的舞弊控制活动,如额外的数据分析。 法律和监管环境的变化。本版本包括美国有关舞弊和舞弊风险管理的最新法律和监管发展的最新信息,包括: -司法部对企业合规计划的评估 -政府问责局的联邦项目舞弊风险管理框架 -美国证券交易委员会气候与环境、社会和治理(ESG)工作组报告 舞弊报告系统或热线。ACFE的研究一致表明,大多数舞弊行为是通过提示发现的,通常来自组织中的员工。本版本包括与舞弊报告系统在识别、预防和阻止舞弊方面的重要性相关的更新和扩展信息。 外部环境和舞弊形势的变化。舞弊形势正在迅速变化。本版本包括有关这种不断变化的环境的信息,包括: -环境、社会和治理(ESG)倡议和报告 -网络舞弊 -区块链、加密货币和数字资产 -勒索软件 -新冠肺炎应对工作、《关爱法案》(公法116-136)和其他相关计划 -远程工作和混合工作环境 -创新的虚拟管理工具和会计程序 这种综合方法认识到并强调了导致错误的内部控制薄弱环节与导致舞弊的薄弱环节之间的根本区别。这一根本区别在于意图。仅将舞弊风险评估添加到现有风险评估中的组织,可能无法彻底检查和识别不正当行为的可能性,旨在: 遗漏财务信息 遗漏非财务信息 不当资产 实施非法行为或腐败 作为一个单独的舞弊风险管理计划,实施一个具体的、更有针对性的舞弊风险评估,可以提高评估重点仍然放在故意行为上的可能性。 建议的方法还可能导致对舞弊风险进行更有力和全面的评估。它还提供了全面舞弊风险管理所需的额外架构。如果组织使用更简化的方法(仅执行舞弊风险评估),他们可以将这些结果与COSO 2013 IC框架的结果相结合,以产生更强大的预防和检测机制。 舞弊风险管理组成部分和原则概述 舞弊风险治理 舞弊风险管理是公司治理和内部控制环境的重要组成部分。公司治理涉及董事会和管理层履行各自义务以实现组织目标的方式,包括其对股东的诚信义务、报告和法律责任。内部控制环境建立了支持对实现组织目标的风险进行评估的准则。 原则1 控制环境 组织建立并传达舞弊风险管理计划,该计划表明了董事会和高级管理层的期望,以及他们对管理舞弊风险的高度诚信和道德价值观的承诺。 舞弊风险评估 舞弊风险评估是一个动态和更迭的过程,用于识别和评估与组织相关的舞弊风险。舞弊风险评估涉及的风险包括舞弊性财务报告、舞弊性非财务报告、资产挪用和贪污(包括违法行为和不遵守法律法规)。组织可以调整这种方法以满足其个人需求、复杂性和实现组织目标。舞弊风险评估不仅是风险评估和内部控制的一个组成部分,它还与COSO 2013 IC框架原则8明确相关。 原则2 风险评估 组织进行全面的舞弊风险评估,以确定具体的舞弊方案和风险,评估其可能性和重要性,评估现有的舞弊控制活动,并实施措施以降低剩余的舞弊风险。 舞弊控制活动 舞弊控制活动是通过政策和程序制定的一系列行动,有助于确保运营管理层降低舞弊风险。舞弊控制活动是一种特定的程序或过程,旨在防止舞弊发生或在发生时迅速发现舞弊。 舞弊控制活动通常分为预防性(旨在避免首次发生时的舞弊事件或交易)或侦查性(旨在在首次处理发生后发现舞弊事件或交易)。舞弊预防和舞弊侦查控制活动的选择、制定、实施和监测是管理舞弊风险的关键要素。舞弊控制活动记录了描述识别舞弊风险及方案,舞弊控制活动旨在降低舞弊风险以及降低辨别舞弊控制活动的责任人。舞弊控制活动是内部控制中持续进行的舞弊风险评估的组成部分。 原则3 控制活动 组织选择、制定和部署预防性和侦查性舞弊控制活动,以降低舞弊事件发生或未及时发现的风险。 舞弊调查和纠正措施 控制活动不能绝对保证防止舞弊。因此该组织的理事会确保制定并实施一一套对涉及潜在舞弊和不当行为的指控进行及时、有效和保密的审查、调查并解决的系统,。组织可以通过建立并预先仔细规划调查和纠正措施流程,来提高其恢复损失的机会,同时最大限度地减少诉讼风险和声誉损害。 原则4 沟通与汇报 组织建立沟通流程,以获取有关潜在舞弊的信息,并采用协调一致的调查方法和纠正措施,以适当和及时地解决舞弊问题。 舞弊风险管理监控活动 第五项舞弊风险管理原则与监控整个舞弊风险管理程序有关。组织利用舞弊风险管理监测活动来确保舞弊风险管理的五项原则中的每一项都存在并按设计发挥作用,这样组织能及时识别所需的变更。 组织使用持续的和单独的(定期的)评估,或两者的某种组合来运营舞弊监测活动。与COSO 2013 IC框架类似,舞弊风险管理程序中的持续评估提供了及时的信息,该评估建立在组织不同层次的业务流程中。相比之下,组织定期进行单独的评估,包括正在进行评估的结果,其范围和时间因多种因素而异。 原则5 监测活动 组织选择、制定并运营持续的评估,以确定舞弊风险管理的五项原则中的每一项是否存在并发挥作用,并及时向负责采取纠正措施的各方(包括高级管理层和董事会)传达舞弊风险管理方案的缺陷。
《舞弊风险管理指南第二版执行摘要》登录acfechina网站“行业报告”板块可下载中英文完整版,端午节后更新。
