COSO 欺诈管理指南

RiskManagementGuideEXECUTIVESUMMARY 特雷德韦委员会赞助组织委员会 主要作者 DavidL.Cotton,CPA,CFE,CGFM Cotton&CompanyLLP董事长 SandraJohnigan,CPA/CFF,CFE 所有者，约翰尼根，P.C. LeslyeGivarz,CPA 上市公司会计监督委员会技术编辑（已退休） Acknowledgements COSO和ACFE感谢欺诈风险管理工作组和咨询小组成员（见第vii页）的慷慨贡献的时间，资源和知识。特别是，COSO和ACFE非常感谢DavidL.Cotton， 欺诈风险管理工作组主席，感谢他出色的领导能力和为完成本指南所做的努力。 COSO董事会成员 小罗伯特·B·赫斯. COSO椅子 DouglasF.Prawitt,Ph.D.,CPA 美国会计协会 CharlesLandes,CPA 美国注册会计师协会(AICPA) 米切尔·丹纳赫，CMA 财务主管国际 SandraRichtermeyer,Ph.D.,CMA,CPA 管理会计师协会 RichardF.Chambers,CIA,QIAL,CGAP,CCSA,CRMA 内部审计师协会 前言 该项目由Treadway委员会（COSO）赞助组织委员会委托，该委员会致力于通过制定全面的企业风险管理框架和指导来提供思想领导 ，内部控制和欺诈威慑旨在提高组织绩效和治理，并减少组织中的欺诈程度。 COSO是由以下组织共同赞助和资助的私营部门倡议： B|欺诈风险管理指南-执行摘要|COSO/ACFE coso.org 美国会计协会(AAA)aaahq.org 美国注册会计师协会(AICPA)aicpa.org 财务主管国际(FEI) financialexecutives.org 管理会计师协会(IMA)imanet.org 内部审计师协会(IIA)theiia.org RiskManagementGuideEXECUTIVESUMMARY 2016年9月 研究委托 特雷德韦委员会赞助组织委员会 coso.org 前言 1992年，特雷德韦委员会（COSO）赞助组织委员会发布了其内部控制 -集成框架（原始框架）。原始框架已获得广泛接受，并在世界范围内广泛使用。它被公认为是设计，实施和进行内部控制以及评估内部控制有效性的领先框架。 COSO于2013年修订了原框架(2013年框架)。2013年框架包含17条原则。1这17条原则与五个内部控制组成部分相关，为用户设计和实施内部控制系统以及理解有效内部控制的要求提供了清晰度 原则8，风险评估组成原则之一，指出：组织在评估实现目标的风险时考虑欺诈的可能性 。 。COSO明确指出，要使内部控制系统有效，17条原则中的每一条都以综合的方式存在，运作和运作。 本出版物《欺诈风险管理指南（指南）》旨在支持并与2013年框架保持一致，并可作为最佳实践指南，供组织遵循这一新的欺诈风险评估原则。 对于希望建立更全面的方法来管理欺诈风险的组织，本指南不仅包括执行欺诈风险评估所需的信息，还包括有关建立总体欺诈风险管理计划的指导，包括： •制定欺诈风险治理政策 •执行欺诈风险评估 •设计和部署欺诈预防和侦查控制活动 •进行调查，以及 •监测和评估全面欺诈风险管理计划 本指南旨在为COSOFramework用户所熟悉。它包含原则和关注点。2本指南的五个原则与五个COSO内部控制组件3和17个COSO原则一致。 本指南借鉴并更新了由美国注册会计师协会（AICPA），内部审计师协会（IIA）和注册欺诈审查员协会（ACFE）发布和赞助的2008年产品。这之前的出版物，管理欺诈的业务风险：A 《实用指南》包含建立全面的欺诈风险管理计划的类似指南，已被许多组织用于管理欺诈风险。COSO对制作此先前出版物的工作队所做的工作表示赞赏。本指南以以前的产品为基础，对其进行更新以适应最新的发展，修订术语以与较新的COSO术语保持一致，并添加与技术发展相关的重要信息-特别是。 数据分析。 1根据2013年COSO框架，相关原则“代表与内部控制组成部分相关的基本概念”。 2根据2013年COSO框架，重点是“原则的重要特征”。 3Perthe2013COSOFramework,acomponentis“oneoffiveelementsofinternalcontrol.TheinternalcontrolcomponentsaretheControlEnvironment,RiskAssessment,ControlActivities,InformationandCommunication,andMonitoringActivities.” coso.org 本指南的执行摘要为董事会和高级管理层提供了一个高层次的概述，旨在解释建立强有力的反欺诈政策和控制的好处。本指南的附录包含有价值的模板、样本、示例和工具，以帮助用户实施本指南的最佳实践。 此外，该指南包含指向几个有价值的自动化工具和模板的超链接 ，这些工具和模板可用于使全面的欺诈风险管理计划的实施和文档更加有效。 COSO还发布了《企业风险管理》 -集成框架(ERM框架)。本指南、2013年COSO框架和ERM框架旨在互补。根据 组织实施内部控制框架，ERM框架和本指南，可能存在重叠和相互关联的领域。欺诈风险可能影响会计和财务管理活动之外的领域 。 实际上，寻求将欺诈的不利影响降至最低的组织需要考虑企业及其运营所有领域的欺诈风险。 COSO董事会要感谢制定本指南的工作队成员，审查指南草案并提供宝贵反馈的咨询小组，以及COSO咨询委员会在审查指南方面的贡献。 最后，COSO董事会感谢David L.Cotton，工作队主席，他为完成本指南所做的杰出领导和努力 。 詹姆斯·D·拉特 ACFE总裁兼首席执行官 小罗伯特·B·赫斯. COSO椅子 詹姆斯·D·拉特利 ACFE总裁兼首席执行官 coso.org 欺诈风险管理工作组 芭芭拉·安德鲁斯 AICPA MichaelBirdsall 康卡斯特公司 托比·毕晓普 前ACFE，德勤 ： 审计质量中心 DavidCoderre CAATS 大卫·L·科顿，椅子 Cotton&CompanyLLP 詹姆斯·达尔金 GAO 罗恩·德金 DurkinForensic,Inc. 伯特·爱德华兹 前国务院 弗兰克·费斯特 CharterCommunications 埃里克·费尔德曼 附属监控公司. 丹·乔治 USAC 约翰·D·吉尔 ACFE LeslyeGivarz 前称AICPA,PCAOB CindiHook 康卡斯特公司 桑德拉·K·约翰尼根 Johnigan,PC 比尔·里昂 诺顿·罗斯·富布赖特 AndiMcNeal ACFE 琳达·米勒 GAO KemiOlateju 通用电气 克里斯·彭布罗克 Crawford&Associates,PC J.MichaelPeppers 德克萨斯大学 凯利里士满教皇 德保罗大学 CarolynDevineSaint 弗吉尼亚大学 杰弗里·斯坦霍夫 毕马威 威廉·蒂泰拉 以前是EY MichaelUeltzen Ueltzen&公司 PamelaVerick Protiviti 文森特·瓦尔登 EY 比尔·沃伦 普华永道 理查德·伍德福德 美国海岸警卫队调查服务 欺诈风险管理咨询小组 DanAmiram 哥伦比亚大学商学院 ZahnBozanic 俄亥俄州立大学 格雷格刷 田纳西州财政部审计长 TamiaBuckingham 马萨诸塞州学校建筑管理局 AshleyL.Comer 詹姆斯·麦迪逊大学 莫莉·道森 Cotton&CompanyLLP 埃里克·爱森斯坦 Cotton&CompanyLLP MichaelJustus 内布拉斯加州大学 TheresaNellis-Matson 纽约州审计长纽约办事处 JenniferPaperman 纽约州政府办公室r 丹尼尔·罗西 纽约州审计长纽约办事处 LyndaHarboldSchwartz 高地咨询有限责任公司 RosieTomforde 区域政府 COSO董事会非常感谢欺诈风险管理工作组主席DavidL.Cotton为完成本指南所做的出色领导和努力。 coso.org 执行摘要|欺诈风险管理 欺诈是任何旨在欺骗他人的故意行为或不作为，导致受害者遭受损失和/或犯罪者获得收益。4 所有组织都有欺诈风险。不可能消除所有组织中的所有欺诈行为 。但是， 实施本指南中的原则将最大限度地提高及时预防或发现欺诈的可能性 ，并将产生强大的欺诈威慑作用。 董事会5和组织各级最高管理人员和人员-包括各级 管理层、员工和内部审计师-负责管理欺诈风险。特别是，他们希望了解组织如何应对日益严格的风险和法规，以及公众和利益相关者的审查；组织有什么形式的欺诈风险管理计划；它如何识别欺诈风险；它正在做什么来更好地预防欺诈，或者至少更快地发现它；以及调查欺诈并采取纠正措施的流程。本《欺诈风险管理指南》（指南）旨在帮助解决这些复杂的问题。 本指南建议了管理委员会、高级管理层、各级员工和内部审计师可以阻止其组织中的欺诈行为的方法。欺诈威慑是消除可能导致欺诈发生的因素的过程。当组织实施欺诈风险管理过程时,就可以实现威慑: •建立可见且严格的欺诈治理流程 •创建透明和健全的反欺诈文化 •包括定期进行全面的欺诈风险评估 •设计、实施和维护预防性和侦探性欺诈控制流程和程序 •对欺诈指控迅速采取行动，包括酌情对参与不法行为的人采取行动 本指南提供了实施指南，定义了欺诈风险管理的原则和重点6，并描述了各种规模和类型的组织如何建立自己的欺诈风险管理计划。该指南包括关键计划组件和资源的示例，组织可以将其用作有效和高效地开发欺诈风险管理计划的起点。此外，该指南包含对其他指导来源的引用，以允许针对特定行业或政府或非营利组织定制欺诈风险管理计划。 每个组织都需要根据其规模和情况评估对欺诈风险管理的重视程度。 该指南还包含了实施欺诈风险管理流程的用户的宝贵信息。例如，它涉及欺诈风险管理的角色和责任，较小组织的欺诈风险管理考虑因素，数据分析作为一部分 欺诈风险管理，并在政府环境中管理欺诈风险。 4Forpurposesofthisguide,theauthorsdevelopedthispracticaldefinition.Theauthorsrecognizethatmanyotherdefinitionsoffraudexist,includingthosedevelopedbytheAuditingStandardsBoardoftheAmericanInstituteofCertifiedPublicAccountants 5在本指南中，术语董事会和董事会是指理事或监督机构或负责组织治理的机构。 6根据COSO的内部控制-综合框架（2013年5月）（2013COSO框架），相关原则代表了与内部控制组件相关的基本概念。重点是原则的重要特征。 coso.org 2013年COSO框架的五个组成部分和17项内部控制原则与本指南的五个欺诈风险管理原则之间的关系 COSO于2013年修订了其1992年内部控制-综合框架，纳入了17条原则。这17条原则与COSO于1992年建立的五个内部控制组成部分相关联。本指南的五个欺诈风险管理原则完全支持、完全一致并与2013年COSO框架的17条内部控制原则并行。7 16.组织选择，开发和执行持续和/或单独的评估，以确定内部控制的组成部分是否存在和运作。 17.组织对内部控制缺陷进行评估并及时传达给负责采取纠正措施的各方，包括高级管理层和董事会。 15.组织与外部各方就影响内部控制其他组成部分运作的事项进行沟通。 14.组织内部传达支持内部控制运作所必需的信息，包括内部控制的目标和