COSO 欺诈管理指南

RiskManagementGuideEXECUTIVESUMMARY 主要作者 DavidL.Cotton,CPA,CFE,CGFMCotton&CompanyLLP董事长 SandraJohnigan,CPA/CFF,CFE所有者，约翰尼根，P.C. LeslyeGivarz,CPA上市公司会计监督委员会技术编辑（已退休） Acknowledgements COSO和ACFE感谢欺诈风险管理工作组和咨询小组成员（见第vii页）的慷慨贡献的时间，资源和知识。 特别是，COSO和ACFE非常感谢DavidL.Cotton，欺诈风险管理工作组主席，感谢他出色的领导能力和为完成本指南所做的努力。 COSO董事会成员 米切尔·丹纳赫，CMA财务主管国际SandraRichtermeyer,Ph.D.,CMA,CPA管理会计师协会RichardF.Chambers,CIA,QIAL,CGAP,CCSA,CRMA内部审计师协会 小罗伯特·B·赫斯.COSO椅子DouglasF.Prawitt,Ph.D.,CPA美国会计协会CharlesLandes,CPA美国注册会计师协会(AICPA) 前言 该项目由Treadway委员会（COSO）赞助组织委员会委托，该委员会致力于通过制定全面的企业风险管理框架和指导来提供思想领导，内部控制和欺诈威慑旨在提高组织绩效和治理，并减少组织中的欺诈程度。COSO是由以下组织共同赞助和资助的私营部门倡议： 管理会计师协会(IMA)imanet.org 美国会计协会(AAA)aaahq.org 内部审计师协会(IIA)theiia.org 美国注册会计师协会(AICPA)aicpa.org 财务主管国际(FEI)financialexecutives.org RiskManagementGuideEXECUTIVESUMMARY 2016年9月研究委托 前言 对于希望建立更全面的方法来管理欺诈风险的组织，本指南不仅包括执行欺诈风险评估所需的信息，还包括有关建立总体欺诈风险管理计划的指导，包括： 1992年，特雷德韦委员会（COSO）赞助组织委员会发布了其内部控制 -集成框架（原始框架）。原始框架已获得广泛接受，并在世界范围内广泛使用。它被公认为是设计，实施和进行内部控制以及评估内部控制有效性的领先框架。 •制定欺诈风险治理政策•执行欺诈风险评估•设计和部署欺诈预防和侦查控制活动•进行调查，以及•监测和评估全面欺诈风险管理计划 COSO于2013年修订了原框架(2013年框架)。2013年框架包含17条原则。1这17条原则与五个内部控制组成部分相关，为用户设计和实施内部控制系统以及理解有效内部控制的要求提供了清晰度。COSO明确指出，要使内部控制系统有效，17条原则中的每一条都以综合的方式存在，运作和运作。 原则8，风险评估组成原则之一，指出：组织在评估实现目标的风险时考虑欺诈的可能性 本指南旨在为COSO Framework用户所熟悉。它包含原则和关注点。2本指南的五个原则与五个COSO内部控制组件3和17个COSO原则一致。 本指南借鉴并更新了由美国注册会计师协会（AICPA），内部审计师协会（IIA）和注册欺诈审查员协会（ACFE）发布和赞助的2008年产品。这之前的出版物，管理欺诈的业务风险：A《实用指南》包含建立全面的欺诈风险管理计划的类似指南， 已被许多组织用于管理欺诈风险。COSO对制作此先前出版物的工作队所做的工作表示赞赏。本指南以以前的产品为基础，对其进行更新以适应最新的发展，修订术语以与较新的COSO术语保持一致，并添加与技术发展相关的重要信息-特别是。数据分析。 本出版物《欺诈风险管理指南（指南）》旨在支持并与2013年框架保持一致，并可作为最佳实践指南，供组织遵循这一新的欺诈风险评估原则。 本指南的执行摘要为董事会和高级管理层提供了一个高层次的概述，旨在解释建立强有力的反欺诈政策和控制的好处。本指南的附录包含有价值的模板、样本、示例和工具，以帮助用户实施本指南的最佳实践。 COSO还发布了《企业风险管理》 -集成框架(ERM框架)。本指南、2013年COSO框架和ERM框架旨在互补。根据 组织实施内部控制框架，ERM框架和本指南，可能存在重叠和相互关联的领域。欺诈风险可能影响会计和财务管理活动之外的领域。 此外，该指南包含指向几个有价值的自动化工具和模板的超链接，这些工具和模板可用于使全面的欺诈风险管理计划的实施和文档更加有效。 实际上，寻求将欺诈的不利影响降至最低的组织需要考虑企业及其运营所有领域的欺诈风险。 COSO董事会要感谢制定本指南的工作队成员，审查指南草案并提供宝贵反馈的咨询小组，以及COSO咨询委员会在审查指南方面的贡献。 最后，COSO董事会感谢David L.Cotton，工作队主席，他为完成本指南所做的杰出领导和努力。 COSO椅子小罗伯特·B·赫斯. 欺诈风险管理工作组 比尔·里昂诺顿·罗斯·富布赖特 杰弗里·斯坦霍夫毕马威 芭芭拉·安德鲁斯AICPA 伯特·爱德华兹前国务院 威廉·蒂泰拉以前是EY 弗兰克·费斯特CharterCommunications Andi McNealACFE Michael Birdsall康卡斯特公司 琳达·米勒GAO 托比·毕晓普前ACFE，德勤 埃里克·费尔德曼附属监控公司. Michael UeltzenUeltzen&公司 丹·乔治USAC Pamela VerickProtiviti KemiOlateju通用电气 ：审计质量中心 约翰· D ·吉尔ACFE 文森特·瓦尔登EY 克里斯·彭布罗克Crawford & Associates, PC DavidCoderreCAATS 比尔·沃伦普华永道 大卫·L·科顿，椅子Cotton&CompanyLLP J. Michael Peppers德克萨斯大学 Leslye Givarz前称AICPA, PCAOB 詹姆斯·达尔金GAO 凯利里士满教皇德保罗大学 Cindi Hook康卡斯特公司 罗恩·德金Durkin Forensic, Inc. 桑德拉· K ·约翰尼根Johnigan, PC Carolyn Devine Saint弗吉尼亚大学 欺诈风险管理咨询小组 Michael Justus内布拉斯加州大学 DanAmiram哥伦比亚大学商学院 Theresa Nellis - Matson纽约州审计长纽约办事处 Zahn Bozanic俄亥俄州立大学 格雷格刷田纳西州财政部审计长 JenniferPaperman纽约州政府办公室r 丹尼尔·罗西纽约州审计长纽约办事处 Tamia Buckingham马萨诸塞州学校建筑管理局 AshleyL.Comer詹姆斯·麦迪逊大学 LyndaHarboldSchwartz高地咨询有限责任公司 莫莉·道森Cotton&CompanyLLP RosieTomforde区域政府 埃里克·爱森斯坦Cotton&CompanyLLP COSO董事会非常感谢欺诈风险管理工作组主席DavidL.Cotton为完成本指南所做的出色领导和努力。 执行摘要|欺诈风险管理 欺诈是任何旨在欺骗他人的故意行为或不作为，导致受害者遭受损失和/或犯罪者获得收益。4 所有组织都有欺诈风险。不可能消除所有组织中的所有欺诈行为。但是， •包括定期进行全面的欺诈风险评估 实施本指南中的原则将最大限度地提高及时预防或发现欺诈的可能性，并将产生强大的欺诈威慑作用。 •设计、实施和维护预防性和侦探性欺诈控制流程和程序 •对欺诈指控迅速采取行动，包括酌情对参与不法行为的人采取行动 管理层、员工和内部审计师-负责管理欺诈风险。特别是，他们希望了解组织如何应对日益严格的风险和法规，以及公众和利益相关者的审查；组织有什么形式的欺诈风险管理计划；它如何识别欺诈风险；它正在做什么来更好地预防欺诈，或者至少更快地发现它；以及调查欺诈并采取纠正措施的流程。本《欺诈风险管理指南》（指南）旨在帮助解决这些复杂的问题。 本指南提供了实施指南，定义了欺诈风险管理的原则和重点6，并描述了各种规模和类型的组织如何建立自己的欺诈风险管理计划。该指南包括关键计划组件和资源的示例，组织可以将其用作有效和高效地开发欺诈风险管理计划的起点。此外，该指南包含对其他指导来源的引用，以允许针对特定行业或政府或非营利组织定制欺诈风险管理计划。 每个组织都需要根据其规模和情况评估对欺诈风险管理的重视程度。 本指南建议了管理委员会、高级管理层、各级员工和内部审计师可以阻止其组织中的欺诈行为的方法。欺诈威慑是消除可能导致欺诈发生的因素的过程。当组织实施欺诈风险管理过程时,就可以实现威慑: 该指南还包含了实施欺诈风险管理流程的用户的宝贵信息。例如，它涉及欺诈风险管理的角色和责任，较小组织的欺诈风险管理考虑因素，数据分析作为一部分欺诈风险管理，并在政府环境中管理欺诈风险。 •建立可见且严格的欺诈治理流程 •创建透明和健全的反欺诈文化 2013年COSO框架的五个组成部分和17项内部控制原则与本指南的五个欺诈风险管理原则之间的关系 COSO于2013年修订了其1992年内部控制-综合框架，纳入了17条原则。这17条原则与COSO于1992年建立的五个内部控制组成部分相关联。本指南的五个欺诈风险管理原则完全支持、完全一致并与2013年COSO框架的17条内部控制原则并行。7欺诈风险管理原则与2013年COSO框架的内部控制组成部分和原则之间的相关性如下： 这两组原则之间最明显的相关性是2013年COSO框架原则8(The fraud schemes and risks, assessate their likelability andsignificance, evaluate existing fraud control activities, andimplement actions to mitigate residual fraud risks). In此外，如上述展览所示，所有2013年COSO框架和欺诈风险管理原则相互关联并相互支持。 组织在评估风险以实现目标时考虑欺诈的可能性)和欺诈风险管理原则2(组织执行全面的欺诈风险评估，以确定特定的 欺诈风险管理组件和原则摘要 欺诈风险治理 欺诈风险治理是公司治理和内部控制环境。公司治理涉及董事会和管理层履行各自义务以实现组织目标的方式，包括其受托人， 报告，以及对利益相关者的法律责任。内部控制环境创建了支持风险评估的纪律，以实现组织的目标。 1组织建立并传达欺诈风险管理计划，展示了董事会和高级管理层的期望，以及他们对管理欺诈风险的高度诚信和道德价值观的承诺。 欺诈风险评估 腐败)。组织可以定制这种方法来满足他们的个人需求、复杂性和目标。欺诈风险评估不仅是风险的组成部分评估和内部控制，它也特别与2013年COSO框架原则8挂钩。 欺诈风险评估是一个动态的迭代过程，用于识别和评估与组织相关的欺诈风险。 欺诈性财务报告，欺诈性非财务报告，资产挪用，以及违法行为（包括 组织执行全面的欺诈风险评估，以识别特定的欺诈计划和风险，评估其可能性和重要性，评估现有的欺诈控制活动，并实施行动以减轻剩余的欺诈风险。2 原则 欺诈控制活动 在初始处理发生后)。欺诈预防和欺诈侦查控制活动的选择，开发，实施和监控是管理欺诈风险的关键要素。记录欺诈控制活动，并描述已识别的欺诈风险和方案，旨在减轻欺诈风险的欺诈控制活动，以及识别负责欺诈控制活动的人员。欺诈控制活动是内部控制的持续欺诈风险评估组成部分的组成部分。 欺诈控制活动是通过政策和程序建立的行动，有助于确保欺诈控制活动是一种特定的程序或过程，旨在防止欺诈发生或在欺诈发生时迅速发现欺诈。 欺诈控制活动通常