浅议COSO《新框架》一梁家琦.周文静、陆奕冰美国反虚假财务报告委员会下属的发起企业委员会(COSO)于 1992年发布了《企业内部控制整体框架》(以下简称《原框架》), 并在发布之后陆续增补了一些内容该框架逐渐得到世界各国内部 控制准则制定机构的认可,成为国际通用的内控标准而根据美国 《萨班斯法案》中有关财务报告内控的要求,在美上市公司都以《原 框架》为准则来设计内控体系,从而进一步推动了《原框架》在世 界范围内的影响力2013年5月14日,COSO正式发布<2013年内部控制 整体框架》(以下简称《新框架》)O一.调整的背景和原因 (一)业务和运营环境发生巨大变化《原框架》发布距今已21年的时间,企业的经营环境和管理 模式日新月异,组织结构的复杂化、治理要求的严格化的趋势,促 使企业愈发重视公司治理和风险管理,关注范围扩展至非财务报告 的内部控制,而不再局限于财务报告等内控目标此外,信息技术 的变革给企业内控带来了空前的冲击和挑战,《原框架》已经无法满 足企业经营发展的需要二)更加透明和可靠的内部控制成为迫切需要 近年来,由于内控失效而发生的一系列舞弊事件以及金融危机的破坏性影响,要求加强和完善内部控制准则。
随着安然和世通公 司财务丑闻的相继曝光,全世界的目光都聚焦到了公司的内控制度 的建设和执行上这些商业帝国崩坍的背后,纵然有着纷繁复杂的 原因,但根源无一例外的是内部控制失效在这样的背景下,《原框 架》显然已无力承担业界的期许为顺应形势要求,2010年COSO委员会聘请普华永道会计师 事务所作为执行单位,启动了对《原框架》的更新2010年9月至 20"年1月,COSO委员会对700多个《原框架》的使用者进行 了问卷调查反馈意见显示,大部分使用者不建议重造框架,支持 对《原框架》进行修订COSO委员会2011年发布《新框架》的 征求意见稿,2013年发布正式版《新框架》最为显著的变化,是依据形势对《原框架》内部控 制五要素,制订了 17条内控管理原则我们对其进行了简要整理, 试解读如下:(―)控制环境控制环境新增5条原则,涉及职业道德、企业治理、人力资源管 理等方面1、重视道德操守《新框架》要求企业遵从职业操守及道德规范职业操守和道德 规范是控制环境的基础企业内部职责操守的遵循程度,以及整体 员工的道德规范水平,将对企业整体内控的设计运行水平产生决定性影响2、 理清企业治理层及管理层职责《新框架》进一步明确了治理层、管理层的职能:一方面要求 董事会独立监督企业内部控制执行情况;另一方面要求管理层明确 内部控制职责。
3、 强调以人为本《新框架》强调“人”对内部控制的重要意义,要求企业吸引和保 留具有专业胜任能力的人才在此基础上,要求明确每位员工在内 部控制中的职责业内部分机构在进行解读时,甚至认为其“吹响了 内部控制人才的集结号”二)风险评估风险评估新增4条原则,主要强调了风险评估过程中制定目标的 重要性、对舞弊的特别考虑及对重大变化事项的考虑1>目标导向《新框架》更加强调了“目标导向”在风险识别过程中的关键作用, 要求企业制定清晰目标,有效识别和评价威胁目标实现的风险,以 便判断如何对这些风险进行管理企业在明确公司层面及业务层面 的管理目标之后,可考虑构建专业的内部、外部风险分析团队,积 极对各类风险进行有效搜集、确认、分类和评价,建立风险识别、 评估、记录机制2、考虑潜在舞弊《新框架》要求企业在评价威胁目标实现的风险时,考虑潜在的舞弊舞弊风险因其存在主观故意性、隐蔽性、串谋性、危害严 重性等特征,显著区别于一般风险企业应结合自身业务特征,在 内控体系设计时充分考虑各类舞弊风险,设置包括舞弊举报、举报 人保护在内的反舞弊机制等结合我国目前的现状,大部分企业缺 乏针对舞弊风险的事前防范及事后处置能力,因此业内人士认为新 框架强调对舞弊的考虑对我国有着重大的借鉴意义。
3、重视变化《新框架》强调企业应关注可能对内控体系产生重大影响的变化事项,并对其进行识别评价企业内部变化因素,如结构调整、 业务转型等;外部环境变化因素,如法规变化、市场条件变化等, 均可能导致原有内控体系无法适应企业的业务活动另外,现实中 也可能存在员工以变化为“借口”,拒绝执行仍适用的内控程序,使得 内控体系流于形式《新框架》强调了应在风险评估阶段对这些变 化因素进行识别与评估,及时对内控体系进行调整三)控制活动《新框架》更加强调在内控建设和评价中依赖于管理层的判断, 而不再要求严格基于证据控制活动新增3条原则,主要强调了控 制活动的可操作性和针对性,强调控制技术风险1、强调宏观微观相结合《新框架》要求企业通过制定政策和具体流程来贯彻控制活动 控制活动分为控制政策(控制要求)及业务流程两个层面,两者相 辅相成:控制政策为业务流程点明目标,而业务流程的调整须依据控制政策2、强调控制的针对性控制活动要有的放矢,必须针对识别的风险设置,以将威胁企 业目标实现的风险降低到可接受的水平具体措施的选择及执行程 度,则受到企业治理层、管理层风险偏好的影响3、警惕技术风险《新框架》强调企业对技术风险的控制。
较之具体业务风险, 技术风险具有自身特征随着信息技术的发展和应用,原本基于权 力制约和岗位分置的内部控制,逐步变为以信息流为基础的信息技 术内部控制,企业重视内部控制则须首先关注技术风险四)信息与沟通信息与沟通新增3条原则,主要涉及信息质量、信息的内外沟通方面1 >重视信息质量 《新框架》要求企业获取或产生符合使用者需求的、高质量的信息,以支持内控体系发挥功能内部控制的实施需要信息支持, 信息的及时、完整和准确程度影响着控制措施的实施效果因此应 当对各项控制岗位的信息需求进行分析,以建立完善的信息产生、 传递、分类、归集、反馈等渠道;明确信息输入输出的标准及口径;对信息质量进行持续的跟踪评价2、考虑内外部沟通对内部控制的影响《新框架》要求企业在内部沟通相关信息以支持内控体系发挥功能,同时考虑与外部沟通对内部控制的影响作为内控措施的执行主体,员工只有在明确自身职责后方可有 效实施控制措施同时,员工对其他员工的内控目标和职责的清晰 了解,有助于团队的整体沟通协作此外,任何企业都非孤立存在,其内部的经营活动必然与外部产生千丝万缕的联系因此企业在制定内部控制措施时,应充分考 虑外部的监督要求,建立对外沟通的内控信息搜集、评价和反馈机 制。
五)监督活动监督活动新增2条原则,涉及内控评价、报告及缺陷整改等方面1、建立完整的内控评价体系为确保内控体系在正常运转,必须建立有效的监督机制,以确 认内控各关键要素存在且在持续发挥功能监督机制按照时间可分 为动态监督和单独评价;按照监督范围可划分为业务层面的监督和 企业层面的独立监督(如内部审计)O2、恰当的报告和整改机制《新框架》要求企业及时将发现的内控缺陷报告给负责纠正的主体,包括董事会、高级管理层等此外,企业应具化内控评价报 告路径,对缺陷弥补方案进行充分讨论和评估,建立整改责任落实和追踪评价机制,避免重大缺陷“年年查、年年有”的情况《新框架》对我国企业内控建设的借鉴意义我国企业内部控制制度的现状简述随着国内外内控理论和实务的发展,2008年至2010年期间,五部委陆续颁布了《企业内部控制基本规范》(以下简称《规范》) 和《企业内部控制配套指引》(以下简称《指引》)等一系列内控 制度《规范》自2009年7月1日起在上市公司范围内施行,鼓 励非上市的大中型企业参照执行《指引》自2011年初起首先在境 内外同时上市的公司施行,2012年初扩大到在上海证券交易所、深 圳证券交易所主板上市的公司施行;择机在中小板和创业板上市公 司施行,同时鼓励非上市大中型企业提前执行。
与COSO《新框架》不同,《规范》连同《指引》(包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企 业内部控制审计指引》),构成了一个完整的内控体系,标志着符 合国情、融合国际经验的中国企业内控规范体系的基本建成而顾 名思义,《新框架》即使在进行了前述的原则细化之后,仍是“框架”, 其主要意义在于建立了内部控制的基础理论《原框架》最初是以 财务报告为原则的内部控制框架,《新框架》也依然如此,但经过 了 17项原则的细化,其外延也扩大到了其他管理报表和业务部分 而中国企业内控规范体系,建立之初就本着大而全”的原则增加了上 述内容,包括在要求中将报表目标扩展于管理、提出资产安全等概 念报告范畴得到了扩展,不仅着眼于财务报告,并且对市场调查 报告、资产使用报告、人力资源分析报告、内控评价报告等非财务 报告也予以高度重视,体现出了内控向风险管理逐步延伸的趋势二)《新框架》颁布后对企业内控的指导意义《规范》和《指引》颁布后,上市公司首先在建立、完善内控 的基础上进行自我评估据财政部《上市公司2012年实施企业内部 控制规范体系情况分析报告》公布的数据显示:纳入实施范围的853 家上市公司全部披露了内部控制评价报告,其中99.88%的公司内控评价结论最为有效。
负责年审的会计师事务所在此基础上,对企业 的内控发表了意见除上市公司外,一些大型国有企业也在逐步建 立健全的内控制度,通过诸如建立内部控制手册等措施,规范内控、 防范风险《新框架》的颁布,必将进一步促进内控实务的发展,在现有 基础上进一步提升我国企业内控建设的水平,对我国企业内部控制 的建设有着重要的借鉴意义:K内控建设应尊重成本效益原则任何控制行为均会产生成本,包括控制自身的有形成本,以及 由于实施控制造成的机会和时间成本,以及员工对控制的负面情绪 所造成的损失等结合我国企业现状,制度常会处于过于原则化和 过于细节化两个极端前者使得制度不可操作,后者导致执行者陷 于琐碎、忽略目标为避免上述问题,企业应在充分权衡成本效益 的基础上,在企业整体层面制定控制政策,并据此延展出合理的控 制流程,去除失效、冗余的控制,以便执行人能够在宏观和微观要 求之间相互对照,实现“管而不僵”,降低控制成本、增强实施效果2、内控的发展是一个持续的过程内控建设不能一蹴而就《新框架》背后反映的理论发展也经历了长期过程,经过反复探讨和修订一般而言,实践先行,理论 随着实践的发展而发展《新框架》的出台经历了廿余载年的积累, 而五部委制度的颁布也历经3年时间,同时预计将会进一步完善。
因此我们应意识到,完善的企业内部控制非一朝一夕可达;内部控 制建设将随着企业的发展而不断更新与修订,必将是一个长期、持 续的过程3、注重人的因素众所周知,高素质的员工团队是优化内部控制环境的决定性因 素,决定着内控体系设计的有效性和执行效率《新框架》的诸多 原则均不同程度涉及员工在内部控制中的价值,例如强调员工职业 道德、业务素质、判断力等归根结底,想建立成功的内部控制, 就需要充分调动员工的积极性,做到整体参与,避免内控建设落入“一部分人推动、一部分人旁观、一部分人反感”的尴尬局面同时, 提升员工整体素质,势必要求企业在员工招聘、业绩评价、员工培 训等各个环节倾注心血,做到放眼未来、通盘考虑3、关注信息技术成功的控制离不开信息技术的支持信息技术革新了企业的经营环境和经营方式,企业利用信息技术成为了 一种必然,管理层在很 大程度上依赖于信息系统的帮助进行管理决策、编制财务报告、披 露相关信息《新框架》要求关注信息技术及其背后隐藏的风险,这对于我国企业尤其具有警示作用目前,我国大部分企业对于信息系统的 相关风险缺乏足够应对经验,而技术风。