COCO 控制指引（14）

表C: 参考评估问题
评估控制有效性时，组织可能发现把标准变成问题评估时更方便些。下列是一些简单的参考问题，可以在自我评估时用。这些问题根据本指引中的相关解释性阐述设计。每道题的答案都以“我们怎么知道”来开始识别和讨论控制过程。
目标

1. 我们清楚知道组织的使命和愿景吗？


2. 我们知道我们团体的目标吗？这些目标和组织的其他目标怎么协调？


3. 是否有信息可供我们识别和评估风险？


4. 我们知道需要控制哪些风险吗？可授受的剩余风险多大？


5. 我们知道影响我们行动的政策吗？


6. 我们的计划对于实现控制是否灵活，是否充分？


7. 我们是否有可管理的绩效目标？

承诺

1. 我们诚信正直和道德价值观原则是否共享并付诸实践？


2. 是否根据组织目标和价值观对人公开奖赏？


3. 我们能清晰知道我们该负责什么吗？是否权责明确？


4. 是否由具备必需技能、知识和权威的人做关键决策？


5. 信任程度是否足以支持信息的公开传递和有效的业绩？

能力

1. 我们是否有合适的人员、技能、工具和资源？


2. 是否能及时向该知情的人员报告存在的问题、坏消息和其他信息，而不必担心报复？


3. 我们有足够的信息来执行任务吗？


4. 我们的行动和组织的其他人协调吗？


5. 我们是否有流程和程序帮助确保实现目标？

监督和学习

1. 我们是否通过监视组织的内外环境来看是否要调整目标或控制？


2. 我们是否对照相关指标和目标监视业绩？


3. 我们是否挑战目标的潜在假设？


4. 我们是否接受和提供决策相关的必要信息？


5. 我们的信息系统先进吗？


6. 我们是否从监督中学到什么，并不断改进控制？


7. 我们是否定期评估控制的有效性？

COCO 控制指引（13）

表 B – 标准
目标
A1  应该制订目标并进行沟通。
A2  要识别和评估影响组织实现目标的重大内外部风险。
A3  支持目标实现和管理风险的政策，应该制定并进行沟通和落实，只有这样，员工才能理解组织期望他们做什么和他们行动时有多少自由空间。
A4  应该制定计划来实现目标，计划要沟通。
A5  目标和计划应包括量化绩效目标和计划指标。
承诺
B1  组织应该制定整个组织共享的道德观，道德观应在整个组织范围内沟通并落实。道德观包括正直的理念。
B2  人力资源政策和实践应该和组织的道德观保持一致，而且，也应该有助于实现组织的目标。
B3  权力、工作责任和受托责任应该清楚地界定，三者要和组织目标一致，这样才会有合适的人来决策和采取行动。
B4  应该培育互信的工作氛围，互信的工作氛围使人员间的信息流动更顺畅，使人能更有效的工作以实现组织目标。
能力
C1  员工应拥有实现组织目标所需的知识、技能和工具。
C2  沟通过程应符合组织价值观要求，并能促进组织目标的实现。
C3  必须确认需要什么信息，信息应该充分、相关并要及时沟通，确保组织成员可以履行各自的责任
C4  组织内不同部门的决策和行动要协调一致。
C5  控制措施做为组织的组成部分设计，考虑组织的目标，影响目标实现的风险和控制要素之间的关联性。
监督和学习
D1  应监视组织的内外环境，获取可能预示组织需要重新评估目标或控制的信息。
D2  监视业绩时应该对照组织目标和规划所确定的具体目标和指标。
D3  支撑组织目标的假设要定期审视。
D4  目标调整或者发现报告存在缺陷时，信息及信息系统应重新评估。
D5  应该制定并实施跟进程序，确保变革或纠正行动最终落实。
D6  管理层应定期评估组织内控制的有效性并把评估结果向负责的人沟通。

COCO 控制指引（12）

表 A – 词汇表
控制
控制包含组织的要素，包括资源、系统、流程、文化、结构和任务，这些要素合起来支持组织目标的实现。
控制措施
确保流程按计划运行并且能够满足组织政策的需要的例行程序。
控制要素
有助于组织目标可靠实现的组织的任何局部，或者组织局部之间的关系
控制框架
一种理解重要的控制要素及其相互关系的方式。指引中的控制框架包括控制定义、控制标准和标准的分类方式。
控制标准
从A1到D6的20个标准。控制标准是理解组织控制和评判控制有效性的基础。
有效控制
控制就是能让组织可靠实现其目标的东西。如果组织能可靠实现其目标，控制就是有效的。或者，换句话说，如果组织能承受不能实现目标的剩余风险，控制就是有效的。
外部环境
包括组织外部能影响组织的东西，如客户、供应商、竞争对手、经济、法律、监管当局和社会情况。
内部环境
组织内部影响组织的东西，包括控制的各个方面和组织的所有系统和流程。
目标
组织给自己设定的标的。从整体角度，可能表现为陈述，而从细节角度，可能会具体些。
组织
为共同目标工作的人群。这个定义有时包含其治理机构，如董事会。组织可以是采取有限公司形式的公司，或者是非有限公司形式的公司，独资企业，合伙企业，政府或非盈利性组织。也可能是一个大型组织的子单元，如分部、部门或流程。

COCO 控制指引（11）

附录 2: COCO和全面质量管理比较
组织可能已经采用某种管理办法，这些管理办法有自己的例行程序和术语。采纳控制框架并不意味着要把原有的那些扔掉。相反，现有的管理办法可以和控制框架比较，必要时进行调整以增强控制。
本附录是指引的控制框架和美国国家质量奖进行比较，比较表明两套标准很多方面是重叠的。
比较结果也显示有些控制标准在质量标准里没有涉及。通过找到两个框架的异同部分，组织可以详细考虑管理办法是否需要调整，来同时满足两套标准。

美国国家质量奖标准

领导
高层领导     B1, C2
质量管理     A1, B3
公共责任和公司公民     A3, B1, C2, D1

信息和分析
范围、质量管理、业绩和信息     C3, C5, D4
竞争力比较和标竿     A5, C5
公司层面数据的分析和使用     C3, D4

战略质量规划
战略质量和公司业绩规划流程     A4
质量和业绩计划     A4

人力资源开发和管理
人力资源规划和管理     A4, C2
员工参与     B3
员工教育和培训     C2
雇员绩效和认可     B1
员工状态良好和满意度     C1

流程质量管理
设计和引进高质量产品和服务     A1, C5
流程管理：生产和服务的生产和配送流程     C5
流程管理：业务和支持服务流程     C5
供应商质量     A1, C2, C5
质量评估     D6

顾客中心和客户满意度
顾客期望：现状和将来     D1
顾客关系管理     A5
对顾客承诺     A1, C2, C4
顾客满意度决定     D1

质量标准中没有提到的     A2, B4, C3, D2, D3, D5

COCO 控制指引（10）

附录 1: 和COSO比较
COSO推出的内框框架正逐渐在美国被接受。虽然COCO和COSO有重合和一致的地方，但也存在差别。
两个文件的主要差别如下。至于这些差异具体情况下会表现为哪些实际差异，要看实际使用时，框架怎么阐释和怎么使用。但控制标准委员会相信，遵循本指引的组织也已考虑了COSO框架的组成要素。
定义和范围
COSO把内控定义为“受组织的董事会、管理层和其他人员影响的过程，旨在合理保证实现下列目标：

1. 运营的效能和效率。


2. 财务报告的可靠性。


3. 遵循法律法规。

COCO把控制定义为“组织要素包含资源、系统、流程、文化、结构和任务，这些合在一起，支持人们实现组织目标”

1. 运营的效能和效率。


2. 内部报告和外部报告的可靠性。


3. 遵循法律法规和内部政策。

COCO的控制范围和它的控制定义一致，包括一些COSO认为属于管理的要素：目标制定、战略规划、风险管理和纠正行动。COCO只把决策排除在控制的范围外。(参考：COSO框架第17页，COCO第8－9段).
隐含概念
有些概念COSO没有点明，但COCO中明确了这些概念:

1. 组织存在未能识别和利用机会的风险，控制包含识别和降低这种风险。（第7段）


2. 控制包含识别和降低未能保持组织灵活性的风险，灵活性是指组织能对意料之外的风险和机会做出反应并能利用机会管理风险，此外，能够在缺乏明确信息时根据一些迹象做决策。（第7段）


3. COCO包含COSO中没有明确说的两条标准，即人和人之间的互相信任（B4）以及定期挑战假设（D3）。此外，COCO指引中的监督包括监督运营业绩，而COSO的监督只局限于对控制措施的监督。

判断控制有效性
COSO这么说：
如果董事会和管理层可以合理保证下列几项，就可以认为这三类类的控制有效。

1. 他们清楚多大程度上可以实现组织的运营目标。


2. 公布的财务报表可靠。


3. 相关的法律法规都得到遵循。

断定特定的控制体系是否有效需要对五要素是否存在且有效运行的评估结果进行主观判断。如果五项有效运行，就能合理保证实现一个或多个目标。因此，五要素也是内控有效性的标准。（框架第16页）
CoCo和它有三大不同：

• 评价控制有效性要看特定目标（如客户服务水平），而不是某类目标（如运营的有效性和效率）


• COCO要求评估控制有效性要对照着20条标准。而COSO要求按五要素评估，并为每个要素提供“要考虑的问题”。所有COSO“要考虑的问题”在COCO中都直接或间接提到，除了下面几点：


• 管理层对员工建议的接受程度，员工建议包括如何提高生产率、质量和其他改进。


• 日常工作中能多大程度上获取内控体系持续发挥作用的证据。


• 外部组织多大程度上意识到组织道德准则的存在。


• 培训课、计划会议和其他会议多大程度上能反馈给管理层关于控制有效运行的信息。


• 控制评估的文件是否够正式。


• COCO包括对有效控制的定义：控制旨在帮助组织可靠地实现目标。如果组织能合理保证它能实现目标，控制就是有效的。或者，换句话说，如果组织可以承受未能实现目标的剩余风险，控制就是有效的。（词汇表）

**********
把COCO的酒装在COSO的瓶子里
COCO的标准可以按不同的标准分类。下面显示怎么按COSO五要素框架分类。
控制环境
B1  组织应该制定整个组织共享的道德观，道德观应在整个组织范围内沟通并落实。道德观包括正直的理念。
B2  人力资源政策和实践应该和组织的道德观保持一致，而且，也应该有助于实现组织的目标。
B3  权力、工作责任和受托责任应该清楚地界定，三者要和组织目标一致，这样才会有合适的人来决策和采取行动。
B4  应该培育互信的工作氛围，互信的工作氛围使人员间的信息流动更顺畅，使人能更有效的工作以实现组织目标。
C1  员工应拥有实现组织目标所需的知识、技能和工具。
风险评估
A1  应该制订目标并进行沟通。
A2  要识别和评估影响组织实现目标的重大内外部风险。
A4  应该制定计划来实现目标，计划要沟通。
A5  目标和计划应包括量化绩效目标和计划指标。D1  应监视组织的内外环境，获取可能预示组织需要重新评估目标或控制的信息。
控制措施
A3  支持目标实现和管理风险的政策，应该制定并进行沟通和落实，只有这样，员工才能理解组织期望他们做什么和他们行动时有多少自由空间。
C4  组织内不同部门的决策和行动要协调一致。
C5  控制措施做为组织的组成部分设计，考虑组织的目标，影响目标实现的风险和控制要素之间的关联性。
信息和沟通
C2  沟通过程应符合组织价值观要求，并能促进组织目标的实现。
C3  必须确认需要什么信息，信息应该充分、相关并要及时沟通，确保组织成员可以履行各自的责任
A4  应该制定计划来实现目标，计划要沟通。D4  目标调整或者发现报告存在缺陷时，信息及信息系统应重新评估。
监督
D2  监视业绩时应该对照组织目标和规划所确定的具体目标和指标。
D3  支撑组织目标的假设要定期审视。
D5  应该制定并实施跟进程序，确保变革或纠正行动最终落实。
D6  管理层应定期评估组织内控制的有效性并把评估结果向负责的人沟通。

COCO 控制指引（9）

监督和学习
监督和学习类别的标准是关于组织的演化，涉及：

1. 监视内外环境


2. 监视业绩


3. 挑战假设


4. 重新评估信息需求和信息系统


5. 跟进程序


6. 评估控制的有效性

D1  应监视组织的内外环境，获取可能预示组织需要重新评估目标或控制的信息。
102 外部环境，如竞争态势、法规、社会趋向和技术等，其变化可能对组织实现目标带来很大的影响。这些变化会改变股东、客户和其他利益相关者对组织的期望，也会改变组织面临的风险和机会。
103 监视外部环境可以提供关于组织内部状况的有用信息。比如，向客户征求反馈是监视客户满意度政策是否有效的一种办法；和客户或供应商联特许可能发现违背行为准则的行为、组织缺陷或者特别有效率的地方。
104 管理层很大程度上可以主导或控制内部变革。但是，内部变化也可能是很出乎意料的。比如，员工对管理方案或外界情况的态度可能会突然改变。监视这些变化的办法可以通过无记名问卷、工作讨论会或者一些不太正式的途径。
105 组织各个方面的变动都会影响控制。比如，重组可能会影响士气，会使得原有政策不再适用，或者控制措施的效果也会变化。所以，在这些变革期间和变革后，最好要采取特别监视，看看是否应加强控制。
106持续监视内外环境，可以让组织及早诊断变化并及时应对。没有预期到的变革带来的风险要比预期的变革大得多，因为组织可能并没有准备好应对这些危胁和机会。
107监视环境获得的信息可能暗示组织目标或组织的其他方面要重新评估。环境发生变化，目标可能需要调整，相应地，组织的其他方面，包括控制要素也要调整。即使现有目标不调整，组织的其他方面可能也要进行调整。
D2  监视业绩时应该对照组织目标和规划所确定的具体目标和指标。
108监视运营业绩提供从经验中学习的机会。如果目标实现得比预期快或慢，可能预示需要调整目标或者组织要重新定位或重新分配资源。比如，业绩不佳可能反映财务或技术有缺陷，可能需要调整技术、市场和生产规划相关的目标和计划。
109 要监视运营表现，需要依靠及时、可靠的运营业绩信息。运营业绩通常由负责运营结果的部门或负责运营部门的人来监视。
110 目标改变时，监视的具体目标和指标也要随之改变。具体目标或指标变化时，可能其他东西也得调整。比如，数据来源可能就要变成新的，可能需要不同的报告和分析。
111 控制措施的表现也需要监视。监视可能会检测出控制存在的问题，并随之纠正控制设计和控制执行问题，比如，可能发现控制措施不再适用或者已经失效，或者另外的控制措施更能节约成本。监视也可能发现培训或业绩问题。
112 监视的正式程度因组织的规模和类型而变。大型组织可能会有详尽的报告和分析，小型组织则不会那么复杂，因为高层管理可能亲自参与了所监视的业务。
D3  支撑组织目标的假设要定期审视。
113 组织目标和支持目标实现的控制要素，都依赖于关于周围世界怎么运作的基本假设。比如，战略目标所依赖的假设有市场需求、竞争态势和技术发展的速度。
114 组织经常都用到 “系统如何运作”的假设，但是很少有人意识到。这些无意识的假设会阻碍变革能力，因为人们通常会把不符合心理认知的信息排除在外。坦诚的对话对于识别假设很有必要。
115 如果组织的假设和事实不符，控制就可能失效。比如，组织价值观可能是建立在人们早已不再认同的价值观上，因为人员已经变化。选择要监视什么业绩指标，潜在假设可能是市场需求，而替代产品或新技术可能已经改变原有的市场需求假设。定期挑战组织的假设对保持控制的有效性很重要。
D4  目标调整或者发现报告存在缺陷时，信息及信息系统应重新评估。
116 监督是控制的组成部分之一，最终也是围绕着组织目标。如果目标改变了，信息需求也得变。信息需求方和信息提供方需要进行沟通，确保对方理解需求，并能及时有效地满足这些需求。由于组织的环境在变，目标在变，信息系统也需要不停地变。
117 用户的评价或者专门的控制措施可能会发现报告的缺陷。如果没能收到预定的信息，就要审查这一块的信息搜集和报告流程。纠正这些缺陷可能需要改变搜集的信息内容、搜集方式、报告内容或者相关的信息系统。
D5  应该制定并实施跟进程序，确保变革或纠正行动最终落实。
118 如果控制要继续有效，组织需要进行调整。监视各方面的表现可以获得许多信息，这些信息会告诉哪些地方需要改进。为了抓住机会或应对危胁，目标或计划可能要调整；如果环境如新流程和技术改变，控制措施就要修改；如果目标调整或者出现新的信息需求，信息系统就要调整。这些持续的变动使得组织可以调整其产出，因此可以在一个不断变化的环境中生存和繁荣。
119 要有效调整，控制评估结果之类的信息应该向有权发动改变的人沟通。如果组织的权力集中，要想获得一线员工的认同并确保缺陷和不足没有被置之不理，就必须和负责业绩和评估活动的一线人员沟通。
120 如果要推进重要的变革或改善方案，跟进措施应确认它们的确得到落实。如果改变特别迅速或短期内完成，除了有定期监视，还必须安排特别的监视方式。
121 组织内的各个层次都涉及到跟进。应有人向董事会报告，它们所发起或支持的纠正行动或改变确实得到落实。其他个人或群体也应该需要知道他们所发起的行动或改变已经执行。
D6  管理层应定期评估组织内控制的有效性并把评估结果向负责的人沟通。
122 定期审查组织内控制的有效性需要采取更全面更整合的方法，而不是一个单位一个单位评估。整个组织控制的有效性不等于把各部门控制有效性相加，因为组织还包括部门间的动态互动。审查的频率和频率视目标性质、目标的重要程度及相关风险大小而定。
123 控制的评估范围视具体需要而定。可能大到对董事会批准的整个集团的目标，小到董事会指定的特殊目标。
124  组织内控制评估可以采取多种方式，可以是非正式的，如直接接触，也可以是正式的和有组织的方式，比如使用控制专家如训练有素的审计人员；或者自评，由群组评价自身业务的有效性。Exhibit C准备了一些用于自我评估的问题。
125 不管用什么评估方式，评估结果都应该向组织的负责人汇报，从而结束问责循环。比如，如果是公司，就向董事会或类似机构汇报。控制评价报告可以和定期的业务执行报告合在一起。

COCO 控制指引（8）

能力
能力类别的标准和组织的竞争力有关，内容涉及：

1. 知识、技能和工具


2. 沟通流程


3. 信息


4. 协调


5. 控制措施

C1员工应拥有实现组织目标所需的知识、技能和工具。
76 知人善任以确保有能力的人来承担任务，从而支持组织目标的实现。
77 要想找到拥有必需技能和能力的人，第一步是人才挑选。相关的人力资源政策和实践包括明确需要什么能力、使用招聘标准及对候选人进行背景调查。
78评估能力需求和资源需求后，要进行的决策包括培训、监督、任务分派和任务调整，如果组织内部没有合适的员工，可能也会使用外部服务来满足需要。
79 培训的重心有两个，一是员工业绩相关，一是人际关系技能方面，团队决策和团队学习都需要用到人际关系技能。不管个人还是组织，都有兴趣培育自身能力，但两者责任各自占多少比例，这在不同组织间不一样。
80 工具既包括机器设备，也包括软件、专利权使用、工作方法等软资产。工具不够或者训练不足都可能导致控制低效。
C2  沟通过程应符合组织价值观要求，并能促进组织目标的实现。
81 控制要有效，组织需要建立双向沟通，能开诚布公地及时沟通相关、可靠的信息。
82 沟通有几个目的。命令传递、同意资源分配方案、协调行动、寻找信息、紧急传达风险和机会，这些可能需要不同的沟通过程。可能采取正式的沟通方式，如定期开会和报告，也可能采取非正式的，如随时讨论新问题。沟通频率可能是定期进行，也可能是不定期进行。组织必须建立匿名举报流程来报告问题和敏感事项。
83  沟通流程用来传递一系列问题，包括道德价值观；政策；权力、责任和问责；组织目标和实现计划。有些例子在指引中举过了。沟通流程需要传递有关运营绩效的反馈和组织内外环境，这在D部分“监督和学习”会讨论。
84不论是组织内的沟通还是组织和外部的沟通，双向沟通都能确保沟通流程灵活，反应灵敏。决策能不能顺利执行，通常必须知道那些被决策直接影响的各方的看法。沟通过程还需要考虑到人的数据处理能力不同，沟通责任也不同。数据太多和太少都是有害的。
C3  必须确认需要什么信息，信息应该充分、相关并要及时沟通，确保组织成员可以履行各自的责任
85内外信息都应该及时且公开传递。比如，有的团队需要及时知道客户需求的变动以便及时调整流程－或改变目标客户－以应对危胁或抓住机会。同样，也需要把信息传递给别人。比如，负责生产的团队收到劣质原材料，它就必须通知供应商；如果从客户那里收到负面报告，必须告诉组织内部成员、供应商或者同时告诉两者。
86 如果决策时有相关的信息可以看到整个局面，风险就会降低。定量信息和定性信息要合并起来看，定量信息如业绩报告和变革指标，定性信息如员工态度、关于供应商的流言、劳工市场的骚乱。内外部信息必须汇集报告给决策者，这样他们可以在风险苗头刚出现时就能意识到。
87 要做到有效监督，收集的信息应该相关、可靠、及时，并且容易为有权采取纠正行动的人获得，或者这些信息要向他们汇报。所谓信息相关，是指信息内容和信息使用者的工作责任相关，而且，信息用户要能够理解它的含义。收集什么信息，怎么收集，怎么分发，这些问题都要考虑成本效益。
88 监督要同时靠正式和非正式的沟通流程。组织文化会影响沟通过程中信息的多少、信息的类型和信息的可靠性。比如说，有些组织有跨部门的团队，它就可以通过非正式流程获得大量的可靠信息，而采用正式层级结构的组织主要依靠正式报告，非正式沟通过程作为补充。
C4  组织内不同部门的决策和行动要协调一致。
89 多数人作为群体的一个成员和他人互动。群体可以是董事会、夜班生产小组、或者项目任务组。作为整体的组织可以认为是由子群体构成的，而子群体又由孙群体构成，依此类推，最底层的群体由个人组成。各级群体都是信息、实物或其他资源的提供者或使用者。
90 因此，决策和行动总是需要协调。要使控制有效，仅仅子群体实现目标还不够，它们必须有机形成组织整体一起工作。
91 协调会增加组织的整合度，提高统一性和问责性，但也会限制自治。子群体为了提高整个组织的效能，其在实现自身目标时经常要做一定的牺牲。比如，生产部门的目标可能是单位生产成本最小化。但是，如果生产规模过大，会导致存货积压，造成分销问题，那么它就得缩减规模。
92 因此，人们要从整个组织的角度来考虑决策和行动的结果，这很重要。通常需要组织单位内部或组织单位间提早商议。如果系统横跨两个或两个部门以上，特别容易出事，因为一个部门的人可能不知道其他部门的人做什么。
93 复杂组织可能需要更为正式的控制措施来实现协调。协调可能由个人来做，如单位经理负责协调，也可能安排一项活动来协调，如召开定期的生产控制会。
C5   控制措施做为组织的组成部分设计，考虑组织的目标，影响目标实现的风险和控制要素之间的关联性。
设计和整合
94 控制活动是用来确保流程按设计运行，并且符合组织政策。组织的所有人对控制活动都有责任。
95 有些组织活动和计算机系统整合在一起，比如程序里的编辑检查。这些控制会自动运行，不管这里是否需要可靠的表现。事先在计算机系统里设计好控制，要比事后添加进去好，因为不会产生附加成本。
96 另外一些控制措施是为了更好地保证可靠的表现，比如使用保险箱、报警系统和密码等保管资产。这些控制措施通常要耗费时间和金钱，会限制人的自由度。考虑增加控制措施时要考虑成本、收益和可接受的剩余风险。
97 设计和选择控制措施还要考虑其他因素，如组织的政策、产品和服务的性质、客户服务水准前后保持一致的重要性、组织规模和结构、信息系统的复杂性。设计控制措施可能还为了达到如下目的：权衡预防差错和发现差错、让某项活动按时发生，把不相容岗位尽可能分开。
98 常见的控制措施有观察、比较、批准、报告、协调、检查、分析、授权、对帐、监督、审查、分离和跟进。控制活动并不局限于传统的会计控制。比如，医院要把危险药品安全贮存，化学公司要经常对大量液态化学品定期帐实对照，这些都是存货控制系统的一部分。
99 有的控制措施是为了确保信息的完整性、准确性和可获得性。信息系统环境有些特别的控制措施，如逻辑和物理的进入限制、备份和恢复、工作计划和完成的检查、系统编辑、软件选择和测试。
文档化
100 控制措施和相关的政策、步骤（执行措施必须的步骤）可能只是非正式地沟通，但也可能编制手册正式文档化。有时，并不需要文档化，因为这些控制措施众所周知、或者相对简单，或者涉及的人较少。
101 可有时，花些成本正式文档化也值得，因为文档化的好处是组织内不同单位、不同地理位置和职能部门能保持一致。文档化的另一个好处是，可以避免因为人事变动而影响业务连续性。法律和监管环境、顾客需要也可能影响控制措施和步骤正式文档化的程度。

COCO 控制指引（7）

承诺
承诺类标准和组织的身份和价值观有关，内容涉及：

1. 道德观，包括正直性


2. 人力资源政策


3. 权力、责任和问责制


4. 互信

B1  组织应该制定整个组织共享的道德观，道德观应在整个组织范围内沟通并落实。道德观包括正直的理念。
57 所有控制最终都落实到，人为自己的决策和行动承担责任。如果组织价值观能让人觉得可以接受，将会激励人们致力于组织的持续改善。
58 由于背景和经历不同，各人价值观千差万别。组织价值观要能为大家接受，在制定和维护价值观时要尊重这种多元性。
59 集体道德价值影响组织的一切行为。集体道德价值及对使命和愿景的认识一起形成基本的认同感，会影响个人、群体、组织和董事会的运作，并且长时间提供稳定感。集体价值有助于控制，因为它引导个人、群体和团队的决策、行动和政策。
60 高管层和董事会的价值观和偏好会极大影响组织的目标和系统。这些价值和偏好表现为：

1. 良好的公司公民形象；


2. 实事求是和公平交易；


3. 致力于品质和竞争力；


4. 以身作则；


5. 遵循法律、法规和组织政策；


6. 尊重客户隐私、组织和员工信息；


7. 公平对待每个人，尊重个人；


8. 公平对待竞争者；


9. 交易和记录的信实；


10. 以职业方式对待财务报告。

61 组织价值通过各种方式随时表现出来。如果组织实际信奉的价值和政策上写的不同，人们就会弃置政策。所以，组织期望什么样的行为应该清晰地沟通，并要真正让人了解，高管和董事会要以身作则。管理层要对照所期望的来监视实际的表现，对任何违背价值观的行动要妥当处理。
62 要让人按照组织价值观办事，组织成员需要得到支持，并且要开诚布公地沟通，特别是当面临道德两难或不知如何处理道德行为时。人们应该觉得可以自由讨论他们所关注的道德问题而不需要担心受到报复。管理层需要创造一个环境支持这种沟通。
63 道德价值是组织文化的一部分，是评判行为的不成文法律。正式、成文的行为准则可以为道德行为提供一致性的标准。可以定期询问组织成员，来确定他们理解和遵守这些规则。
B2  人力资源政策和实践应该和组织的道德观保持一致，而且，也应该有助于实现组织的目标。
64 虽然A3对所有政策都适用，这里特别强调人力资源政策和实践是因为它们很重要。控制受人影响，而人的行为和动机受人力资源政策、实践和激励系统影响。
65 人力资源政策和实践内容包括：绩效评价、提升、报酬、补偿行动、培训、解雇、招聘、职业生涯、健康和安全、公平、骚扰和歧视。当出现违反这些政策的行为时，管理层的反应应和组织的价值观一致。
66 人感觉自己是怎么被管理和怎么被激励的，将会影响到他们的行为。因此，奖惩体系和业绩考核需要和组织价值观保持一致，应该支持目标的实现，而且要清楚地进行沟通。某种模式的差错或不良行为，如极其冒进和极度回避风险，都可能表明激励体系有问题。
67 激励体系包括财务和非财务的奖励和惩罚。有些激励由组织来做，如赋予更大的责任、更大的自主权、公开表扬和财务奖赏。还有一些激励和组织无关，来自个人动机，可能包括成就感，同伴的评价和觉得奉献有意义。
68 激励措施可能是表现在外的，如正式的考评办法，也可能是隐藏的，如在提升中体现出来。如果要实现下列目标，就要认真地设计绩效计量机制，目标包括：激励的前后一致性、长期因素和短期因素的平衡、避免因组织原因发生的问题责备个人、奖励给该奖励的工作单位（个人或群体）。
B3  权力、工作责任和受托责任应该清楚地界定，三者要和组织目标一致，这样才会有合适的人来决策和采取行动。
69 权力是有权在一定权限范围内决策和/或执行某项任务。工作责任是有义务执行某项任务。受托责任是指必须为责任的后果负责。个人或团队应该同时授予权力和责任，这样才可以问责。
70 人们认识到他们多大程度上要承担受托责任，会影响到他们的决策和行动。因此，权力、工作责任和受托责任通过任务表或工作描述等来界定和沟通。组织架构要反映和支持这种权力、工作责任和受托责任。
71 清晰界定的权力、工作责任和受托责任能确保由合适的人来做重大决策。它希望达到一种情况，如果一个人感觉无法解决问题，他会找那些有所需要知识、技能和权力的人共同完成。这种决策权的转移可以正式体现在组织的授权政策中，比如银行可能规定某些贷款决策要由某些人员来做，也可以通过非正式的方式，如大家约定俗成的行为方式和共同认可的道德价值。
B4 应该培育互信的工作氛围，互信的工作氛围使人员间的信息流动更顺畅，使人能更有效的工作以实现组织目标。
72互信对控制很重要。互信促进人员间的信息流动，而这些信息是决策和行动都必需的。互信也能促使协作和权力下放，这都是完成组织目标所必须的。信任的基础是相信对方的能力和正直性。
73 开诚布公的沟通有助于创建组织中的信任，同时，开诚布公的沟通也依赖于组织中的信任。高度信任会促使人们把重要的事告诉别人。共享这些信息会增强控制，因为知道的人多了，就可以减少单纯依赖个别人的判断力和能力。
74 比如，当面临财务或运营问题时，人就会感觉到压力，会截留信息或掩盖事实以获取时间。如果这些人相信组织会把无心的差错和有意的滥用或能力低下分开，即可以把差错当成学习的机会而不是惩罚的理由，他们就会更愿意沟通问题，把坏消息告诉别人。这样，有了信任，挫折、紧张和业务中断也能促进组织的目标的实现，而不是妨碍实现目标。
75 公开沟通和愿意下放权力都是存在信任的标志。组织的变革，如组织再造和缩减规模，都会影响业已存在的信任，特别是如果这些变革的执行方式背离组织的价值观。

COCO 控制指引（6）

目标
目标类标准和组织的方向有关，内容涉及：

1. 目标（包括使命、愿景和战略）


2. 风险（和机会）


3. 政策


4. 规划


5. 业绩目标和指标

A1应该制订目标并进行沟通。
28 目标指引方向。目标可以是和整个组织相关的，也可以是组织局部的目标，当然，两者的详细程度不同。从性质上看，既有长期目标，也有短期目标。目标通常分成几个类别：运营的效能和效率，内外部报告的可靠性，遵循法律法规和内部政策。
使命、愿景和战略
29 使命和愿景代表组织的整体目标。使命是组织存在的理由，使命可能是起源于组织创始人或其他人，使命也会因环境变化而变化。政府组织的使命可能直接写在法律中，也可能只是隐含在法律条文中，可能是由于这些法律，才创建了该组织，也可能是为某事建立个项目，组织在该项目下工作。愿景是组织渴望达到的状态，包括组织的战略目标和战略规划。
30 公开的使命和清晰的愿景，为组织所共享，这两者会带来凝聚力，使组织在既定的轨道上运行，同时在改革过程时能让大家团结在一起。因此，使命和愿景都是控制的关键要素，应该由董事会批准。如果使命和愿景渗入个人利益，控制力会更强。
具体目标
31 具体目标是使命和愿景的具体化。组织成员需要先明了，在实现整体目标时他们扮演什么角色，这样他们才能更好地制订他们的各自目标和更好地沟通各自的目标。
32 有时目标按组织层级从上到下。例如，财务总监要求司库负责财务信息的完整性，司库要求应收帐款小组负责客户帐户发票和收据记录准确，依此类推。有时目标的层次性依据供应商/顾客和团队、部门或工作单位的关系来定。有时，下级为了完成目标，需要从上级单位获取信息和支持。这时，层次性就沿着组织层级向上，下级的目标驱动上级的目标和行动。
33 组织的运营单位可能会收到总部的指令，但在制定目标时仍然要考虑运营单位的当地环境。比如，工厂管理层可能从上级得到指令，但他们仍然要考虑相关各方的需求和需要，包括当地的价格谈判单位和市政当局。
34 要选择什么目标，这如其他决策一样，是管理的事，不是控制的范围，但是，目标设定流程是控制的事。
35 制定目标要到确认有哪些需求必须满足，还要确认和这些需求相关联的风险和机会有哪些，组织内外各方会有哪些需要和欲求，怎么进行平衡。因此，制定目标既要理解组织的使命和愿景，也要了解运营环境及组织在环境中的位置。目标设定是一个持续流程，要求监视运营业绩和内外部环境的变化。
36平衡各方的需要很有必要，因为每个组织都会影响到不同团体，而他们也会反过来影响组织。领导人要决定该多大程度上满足这些需求。比如，管理层制定战略目标及董事会审查这些目标时，都要考虑到贷款方、顾客和股东等方面利益，同时要考虑法规和监管的要求。
37 制定目标的正式程度取决于组织的规模、组织架构和组织需要等。组织的目标不管是通过正式或非正式的方式推出，都应该具体到能很好地为风险评估和计划提供方向。目标需要清楚明白的沟通，好让组织成员了解大背景，了解他们决策、行动和协调的方向。
目标冲突
38 组织目标间经常会发生冲突。比如，银行既想寻求贷款组合的增长，又想维持贷款质量。处理目标冲突有多种办法。有些组织通过重新定义目标，或者把目标分配给不同部门，这样不管个人还是群组都不会处于两难境地，而有些组织认为冲突不可避免，相信冲突可以在组织内创造积极的张力。
39 不管是哪种情况，如果目标出现冲突，组织要有个解决冲突的流程。这个流程要能够当场提供解决方案，并能检查深层原因，如是否确实存在矛盾，还是只不过不同各方对事实的优先顺序有不同看法，这种内部竞争是积极的，还是消极的。
A2  要识别和评估影响组织实现目标的重大内外部风险。
40 不管忙忙碌碌还是无所事事，都会有风险发生。如果规避风险得不偿失，那么风险就是可接受的。这种情况有时是因为预防风险的成本高于所要规避的风险损失，有时是机会和风险不可分离，而这些机会又不容错过。风险和机会密切相联。比如，有时未能识别重大机会会变成风险，如果因为没有识别机会导致目标不能实现或者目标没有进行调整。
41 风险识别是组织需要持续做的功课，根据风险识别结果及时对变化做出恰当的反应，或者引领变革。风险识别要针对所有的目标进行，包括那些没有明言的目标。象持续经营这样的目标并不会说出来，但违法经营的风险会影响到这个目标。识别所有风险，从成本效益上考虑通常不可行，但风险识别的范围必须涵盖所有对目标实现造成重大影响的风险。
42 风险评估包括预测事件发生的概率和发生后结果的严重性，根据评估结果制定合适的政策和流程来管理风险。即使从成本效益的角度行得通，风险也不可能降为0。
43 因此，需要知道哪些风险是高层管理和董事会愿意接受的，高管层和董事会则需要知道哪些风险是组织的其他利益相关者愿意接受的。公开认可已经接受的剩余风险对有效控制很重要。
44风险识别和评估应针对组织的所有重要目标。总部跨部门的风险识别和评估需要和分部的风险识别和评估合并起来看，这样才有用。
风险源
45 风险识别和评估从了解影响风险的内外部环境开始。风险起源于组织运营的环境，比如，选择什么市场，采用什么技术，竞争对手的策略和客户的感知，风险也起源于组织参与和影响环境的方式，比如，如何运用游说、广告、营销技术来塑造市场。
46组织的运行方式也是风险源之一。比如，如果运营系统高度集中，过于复杂，系统间关联紧密，就可能有重大风险，而分散、分权式的运营系统，则会有不同不同的风险。有些风险是所有组织都存在的，象人为差错和盗用资源。
A3  支持目标实现和管理风险的政策，应该制定并进行沟通和落实，只有这样，员工才能理解组织期望他们做什么和他们行动时有多少自由空间。
47 政策规定可以做什么，禁止做什么，政策划定行为的界线。如果组织成员为了组织利益使用他们的判断力，发挥他们的创造性，他们必须知道行动的界线和行动的自由空间。政策应该定期审查，防止政策过时或变得过于繁琐。
48 政策首先要容易理解，然后在组织内沟通，并化成相应的行动，这样才能为业务如何运作提供方向，并反映出组织判断哪些风险是可接受的。政策和目标都是制定控制措施（在C5讨论）的参考依据。
49政策可能会涉及多个方面，如客户关系、服务水准、环境保护、风险管理、会计和财务报告、安全、保密和费用开支。政策是不是要分这么细，是否要行文规定，这取决于组织的规模、要实现的目标、相关的风险，以及想要组织成员多大程度上认识到组织认可的行动界线。
A4  应该制定计划来实现目标，计划要沟通。
50通过规划，目标和风险评估转化为战略、行动计划、运营和财务目标。对照这些才能衡量和监督进展。规划应该是持续的过程，而不应是静止的。如果绩效指标未能达到预期结果，就应该调整规划。如果目标、风险和其他运营方面的考虑改变，规划也要随之调整。
51 规划包括财力、物力和人力的分配。资源分配第一步是，决定要实现目标，需要什么。由于资源通常是有限制的，资源分配决策还要考虑怎样达到最佳配置效果。
52 资源够不够取决于资源和目标、风险的关系。比如，为满足财务目标调低预算，其他目标无法实现的风险通常会加大，比如说达不到原来的服务水准目标。
53 组织应高度可靠，即使出现紧急情况、业务中断或者业务高峰，要仍然可以实现目标。因此，组织就应根据相关成本和效益，考虑一系列的控制要素。通常做法包括建立重要电脑程序的备份站；使用多重信息通道来减少通讯差错；交叉培训员工，以便员工可以互相顶岗；保留一部分人力和物力备用；制定应急命令通道，以提高组织的反应速度，增强发现危机和机会的能力，并能创造性决策。也可以考虑另外类型的培训，比如，灾难模拟对于有效进行危机管理很重要。
54 计划过程正式程度和计划的详细程度，取决于组织的规模大小、决策结构，还要看一些行动是否要审批。计划制订后，要做好沟通，才能领导大家朝目标努力。如果下属机构也制定计划，它们的计划必须跟总计划协调一致。
A5目标和计划应包括量化绩效目标和计划指标。
55 组织可能既用定性指标也用定量指标，定量指标如预算，定性指标如客户满意度。无论哪种目标，都应该做到可以计量，并且和总目标协调一致。制定目标时，可以使用外部标杆作为参照，这样可以使得目标有竞争力。
56 绩效指标既可以用来衡量业绩，也可以在目标已经超量实现或还没有实现时提供预警。如果使用一些定性目标，选择指标时应考虑这些指标运用时可不可以做到客观合理。比如，客户满意度可以通过计量客户投诉量或退件量来看。

COCO 控制指引（5）

控制框架
19控制框架是理解控制的重要要素，及各要素间相互关系的途径。本指引中，控制框架包括控制的定义、控制标准和控制标准的分类。标准及分类参见表 B。
20  本指引中的控制框架提供了一种有用的综合的方法来看控制。需要创造性地解释指引和应用。组织可以直接采用这里的框架，也可能用它来建立或调整自己的框架。
21标准的任何分类方式都只强调了控制的某些侧面。标准可以按不同场合需要来分类，但重新分类时要考虑全部的标准。
22 例如，某组织可以已经采用一种管理方式，有自己的一套步骤和词汇。运用指引中的控制框架不意味着必须抛弃原有的，相反，可以把现有的管理方式和框架对比，必要时可以进行调整。附录1就根据COSO的内控框架进行重新分类，附录2显示全面质量管理模型如何和本指引的控制框架进行比较。
标准
23 控制标准是理解控制的基础，也是评估控制有效程度的基础。标准是通用的，不管组织的具体目标是什么，任何组织都可以根据这些标准评估控制有效性。
24 控制标准都列在Exhibit B中，下面几页对这些标准进行解释。标准需要细水长流的使用，不是使用一趟就完事的最低要求。在实际使用时，不同组织要怎么解释标准，怎么评估控制的有效性，这需要大量使用判断。
25 标准需要放在特定目标中解释。对客户服务目标来说，监督业绩的标准可以解释成订单填写的准确性、及时性和客户的反馈情况。而对士气目标来说，同样的标准就应该解释成员工缺席率和士气调查结果。对每个组织来说，全部标准都是相关的，但在特定情况下，一些标准可能比另一些更重要。
26 控制有效性不能孤立起来判断，不能一条条拆开比较。标准之间是互相关联的，组织内的控制要素也是如此。控制要素不能单个分裂开来设计或评价。
27标准和控制框架，既可以用于组织整体，也可以只用在组织的局部范围中。例如，监督既可以从整个组织范围来考虑，也可从单个业务分部、部门、业务流程、工作组、团队甚至个人来考虑。同样的道理，风险可以从整个组织的角度来识别，也可以从运营单位的角度来识别。

COCO 控制指引（4）

控制和管理的区别
9 评估控制必然评估组织的管理，尽管只是部分评估。但是，控制并不是管理的方方面面，控制是用来支持目标可靠地实现，但并没有说该定什么目标。控制可以帮助负责监督和决策的人拥有合适、可靠的信息，可以跟进并报告行动的结果或者如果不行动会有什么后果，提供这些信息可能导致采取下一步的管理决策和行动。但是，控制并不能保证战略决策和运营决策是正确的。是否采取行动，要采取什么行动，这是管理面的事，不属于控制的范围。
适用范围
（略）
控制的参与人
15 组织内的所有人员参与控制，并对控制负责。控制的责任并不限于司库或内审人员。董事会和高层管理的决策和行动，为整个组织定下基调，会影响到组织内决策和行动的方向。
16 董事会有责任带领组织，它要承担下列控制责任：

1. 批准并监督使命、愿景和战略；


2. 批准并监督组织的价值观；


3. 监督管理控制；


4. 评价高层管理；


5. 监视与外部的沟通；


6. 评估董事会的有效性。

这些责任在“董事指引－为控制的治理流程”中讨论。
17 控制的责任和实现目标的责任在组织内普遍实行。控制责任可能是明说的，也可能不是，特别是有些地方认为负责业绩就隐含着负责控制。比如，厂长可能有生产和效率目标，有效的控制可以帮助厂长实现目标，但控制责任可能并不白纸黑字写出来，因为通常默认是隐含在生产目标内。
18 管理层参与控制，并且要为控制负责，因此需要评估控制的整体运行情况。组织有大有小，所有制形式也不一样，管理层可以选择不同的控制评估方法，可以是自行评估，也可以依赖组织内的专门部门或独立第三方来做部分评估工作。

COCO 控制指引（3）

控制性质
3 组织有多种定义方式。本指引中，组织理解成人们为追求目标一起工作。因此，目标决定组织内外之分。
4组织可以是法人组织，比如公司、合伙企业、政府部门，或者是大型组织的分支机构如分部或部门。组织也可以是为实现特定目标制造产出品的整个系统或整个流程，这些系统或流程可能穿越正式的组织结构。
5 最小型的组织是个人。个人执行任务之前，首先要理解目的（要实现什么目标），要拥有一定的能力（信息、资源、供应品和技能）作为支持，此外，还需要有承诺感让他坚持工作，最后，要监视执行结果和外部环境，从而学习怎样更好地工作，要做哪些调整。上述几点对团队或工作群体一样合适。任何由人组成的组织，控制的要素都是：目的、承诺、能力、监视和学习。
6 控制由各种组织要素组成，包括资源、系统、流程、文化、组织架构和任务，这些要素合在一起支持组织目标的实现。组织的目标有如下几类：

1. 运营的效能和效率 包括和组织终极目标相关的目标，如客户服务、安全保护、资源利用效率、盈利和履行社会义务，包括防止组织资源丢失或被不恰当使用，确保所有负债项都已识别并得到管理。


2. 内部报告和外部报告的可靠性 包括目标如会计记录准确、组织对内信息和对外信息的可靠性，包括防止两类舞弊：掩盖盗窃和歪曲事实。


3. 遵循法律法规和内部政策 包括组织开展业务时遵循法律法规和内部政策*。

*董事会可能会把部分监督控制的责任下放到下属委员会。例如，审计委员会通常要监视会计和财务报告。其他方面的监督可能由审计委员会，也可能由其他委员会或整个董事会来负责。
7什么样的控制算有效的？如果控制能合理保证组织可靠地实现目标，那么，控制就是有效的。或者说，如果认为剩余（未被控制的）风险可以接受，即剩余风险不至于影响目标的实现。因此，控制包括识别风险和降低风险。风险不仅包括影响某个特定目标实现的已知风险，还包括两个影响组织生存和成功的重大风险：

1. 组织没能识别机会和抓住机会


2. 组织失去灵活性。灵活性是指组织能对意料之外的风险和机会做出反应并能利用机会管理风险，此外，能够在缺乏明确信息时根据一些迹象做决策。

8下列概念对理解控制性质很重要:

1. 组织内部成员影响控制，包括董事会（或类似治理机制）*、管理层和所有其他人员.

控制的设计、实施、监督和维护都由人来做，而很多组织性原因会影响人的动机和行为，因此，这都会最终影响控制效果。

1. 负责目标实现的个人或团队应同时对控制的有效性负责，有效的控制会促成目标的实现。

因此，不管组织成员是否拥有经理头衔，都有责任评估所负责的任务组、团队或单位的控制的有效性，并且要把评估结果向上级汇报。

1. 组织不停地和环境互动，不停适应环境

外部环境和内部环境变化，组织也在不断调整因应。外部环境包括客户、供应商、监管条例等，内部环境包括人员和发展的优先次序等。要使控制有效，组织的控制要素必须和组织目标相协调，两者要互相一致，不断变化，不断适应。这意味着组织的任何方面要调整，都要同时考虑这些变化对控制的影响。

1. 控制只能提供合理保证，而不是绝对保证

即使陪着小心，本着负责的态度，也不能做到绝对保证，这有两个基本原因。
首先，控制本身有缺陷。包括决策时可能出现判断偏差，人为错误可能导致业务中断，串通舞弊或者管理者越权也可能绕过控制。控制可以减少差错和业务中断的发生，但不能保证绝对不会发生。
其次，设计控制要考虑成本效益。控制成本多大，要看控制收益大小，控制收益含想要管理的风险。设计控制时多少要接受一定程度的风险，因为不是所有的后果或行为都能百分百预测得到。

• 有效的控制要求取得如下平衡:


• 自主空间和整合需要之间的平衡.

牵涉到是集权还是分权，是要取得整体一致性而设限还是给予自主行动空间。

• 保持现状和适应变化之间的平衡.

出于效率需要，可能要求更大程度的统一，还是为了应变而给予更大的灵活性。

COCO 控制指引（2）

前言
（略）
引言
1 本指引旨在帮助改进控制*。本指引描述控制内容，设定控制的范围，界定组织的有效控制标准。这里的控制不局限于传统所说的内部控制。组织内的成员可以根据此框架建立、评价和修改控制**.但本指引没有详细说如何设计组织－管理教科书上已经有很多此类介绍了。
2有效的控制可以多方面促成组织的成功：

1. 人们管理不适当行动风险的同时，又能运用主观判断，发挥想像力。


2. 人们处理已知风险同时，又能灵活应变。


3. 人员拥有可靠的信息，并且可以在恰当的时间和恰当的地点使用信息。


4. 组织能提高效能和效率，面对外部团体更加自信。

COCO 控制指引（1）

1: 控制指引     

• 前言


• 引言 (1-2)  


• 控制的性质 (3-8)  


• 控制和管理的区别 (9)  


• 适用范围 (10-14)  


• 控制的参与者(15-18)  


• 控制框架 (19-22)  


• 标准 (23-125)  


• (23-27)  


• 目的 (28-56)  


• [介绍]  


• A1应该制订目标并进行沟通。(28-39)  


• (28)  


• 使命，愿景和战略 (29-30)  


• 更具体的目标 (31-33)  


• 目标制定 (34-37)  


• 目标冲突 (38-39)  


• A2 要识别和评估影响组织实现目标的重大内外部风险。(40-46)  


• (40)  


• 范围 (41-44)  


• 风险源 (45-46)  


• A3支持目标实现和管理风险的政策，应该制定并进行沟通和落实，只有这样，员工才能理解组织期望他们做什么和他们行动时有多少自由空间。(47-49)  


• A4应该制定计划来实现目标，计划要沟通。(50-54)  


• A5目标和计划应包括可测量的绩效目标和计划指标。(55-56)  


• 承诺 (57-75)  


• [介绍]  


• B1  组织应该制定整个组织共享的道德观，道德观应在整个组织范围内沟通并落实。道德观包括正直的理念。（57-63）


• B2  人力资源政策和实践应该和组织的道德观保持一致，而且，也应该有助于实现组织的目标。(64-68)


• B3  权力、工作责任和受托责任应该清楚地界定，三者要和组织目标一致，这样才会有合适的人来决策和采取行动。(69-71)


• B4  应该培育互信的工作氛围，互信的工作氛围使人员间的信息流动更顺畅，使人能更有效的工作以实现组织目标。 (72-75)


• 能力(76-101)  


• [介绍]  


• C1  员工应拥有实现组织目标所需的知识、技能和工具。(76-80)


• C2  沟通过程应符合组织价值观要求，并能促进组织目标的实现。(81-84)


• C3  必须确认需要什么信息，信息应该充分、相关并要及时沟通，确保组织成员可以履行各自的责任。(85-88)


• C4  组织内不同部门的决策和行动要协调一致。(89-93)


• C5  控制措施做为组织的组成部分设计，考虑组织的目标，影响目标实现的风险和控制要素之间的关联性。(94-101)


• 设计和整合 (94-99)  


• 文档化 (100-101)  


• 监督和学习 (102-125)  


• [介绍]  


• D1  应监视组织的内外环境，获取可能预示组织需要重新评估目标或控制的信息。(102-107)


• D2  监视业绩时应该对照组织目标和规划所确定的具体目标和指标。(108-112)


• D3  支撑组织目标的假设要定期审视。(113-115)


• D4  目标调整或者发现报告存在缺陷时，信息及信息系统应重新评估。(116-117)


• D5  应该制定并实施跟进程序，确保变革或纠正行动最终落实。(118-121)


• D6  管理层应定期评估组织内控制的有效性并把评估结果向负责的人沟通。 (122-125)


• 附录1：和COSO比较


• [概述]  


• 定义和范围


• 潜在假设


• 有效性判断标准


• COCO的酒装在COSO的瓶子里


• 附录 2: 控制框架和全面质量管理比较  


• 表 A: 词汇表  


• 表 B: 标准


• 表 C: 参考评估问题