国有企业全面风险管理研究报告系列 COSO 综合内部控制框架简介 - 1 -COSO 综合内部控制框架简介(初稿)一、COSO 的历史介绍COSO是美国的一个民间的、志愿的、非营利性的组织COSO 是英文“Committee of Sponsoring Organizations of the Treadway Commission”的简称。
COSO于 1985年由美国的五个民间的权威性专业组织联合创立,包括美国注册会计师协会(The American Institute of Certified Public Accountants),美国会计协会(The American Accounting Association),内部审计师协会(The institute of Internal Auditors ),财务执行官协会(The Financial Executives Institute),和管理会计师协会(The Institute of Management Accountants)COSO的创立源自上个世纪80年代,由于大量的上市公司的丑闻,西方世界,特别是美国,开始关注公司财务报告的问题因此,COSO的五个成员组织在1985年创建了虚假财务报告全国委员会因为该委员会第一任主席的名字的缘故,该委员会又被称为Treadway CommissionTreadway Commission完全独立于COSO的五个成员组织,它的成员是来自各个行业的代表,包括工业界、财务服务界如会计和审计、投资银行界和股票交易所的代表。
这个组织的最主要任务是在美国财务界对虚假财务报告形成一个统一的声音,研究识别构成虚假财务报告的一般因果关系,降低虚假财务报告的发生率Treadway Commission于1987年发表了关于反对虚假财务报告的研究报告该研究报告在大量的研究和对广泛的商业、财务业界、法律界人士的访谈的基础上,针对上市企业董事会、会计所、证券交易所和其他法律法规推行机构发布了有关改进财务报告管理的建议这些建议中有很大一部分提到了有关内部控制的问题,其中强调了控制环境、行为准则、审计委员会能力与内部审计职能的重要性,并且补充了对内部控制有效程度报告管理的必要性委员会建议COSO成员组织协作统一各种有关内控的概念与定义,并且发展通用的参考资料该报告的发表帮助了上市企业改善内部控制系统,及其有效程度作为对 Treadway Commission 的建议的响应,COSO 启动了关于内部控制的研究项目在对有关内部控制文献研究过程中,COSO 建议开展设立实际的、能被广泛接受的内部控制及评价其有效程度标准的工作由于管理层是建立、监督、评价与报告有关内控的主要负责单位,所以这些标准应首先满足管理层的需求同时,内控标准的发展过程也应被内、外部审计,及法规监管机构所接受。
1982 年,COSO 在 《综合内控框架》中发表了结论 国有企业全面风险管理研究报告系列 COSO 综合内部控制框架简介 - 2 -COSO 的 《综合内控框架 》包含大量的开创性的工作,在世界上建立了第一个实用的企业内部控制标准,对后来的工作产生了巨大的影响与美国的研究同时,西方其他国家也开展了对内部控制的研究工作。
这些包括许多提议的立法、法规、专业标准与指引、公开与私人报告,及各种学术论文中都提出了一系列有关内部控制的概念和看法而且,这些概念和看法的范围也十分广泛,其中概括了内控的不同定义,在一个企业中扮演的各种角色,应该怎样建立,及对其有效程度衡量手段的意见公共与私人部门对内部控制的重视提升了企业管理、内部与独立审计师,立法者、制法者、学者,以及广大公众对利用有效的内控来管理和控制企业活动需求的敏感程度有关 COSO 的学习与《综合内控体系》提供了对内控的基本理解,协助管理层更好地控制企业 COSO 在 2003 年进一步发表了 《全面风险管理框架》《全面风险管理框架》基于《综合内控体系》,并延伸了该体系的范围,对企业管理提出了新的准则二、综合内部控制框架COSO《 综合内部控制框架 》的主要内容是内部控制的定义——其作为一个过程的基本含义、由人去实施、提供合理的保证——和目标和组成部分的分类、有效性的判定标准、以及相关的讨论COSO 关于内部控制的定义把内部控制看作是由企业的董事会、管理层和其他员工共同实行的、为实现内部控制目标的一个过程这就说明内部控制不仅是由政策、条例等制度构成的纸上作业,而是一个有企业所有人员的作用在内的涉及企业活动各个方面的动态过程。
内部控制也不应当仅仅被看作是对“企业内部过程”的控制,或者说只是影响企业“内部”的控制由于现代企业的业务的复杂程度的提高和企业间的合作程度的提高,许多与企业的表现密切相关的活动由企业的合作伙伴来完成,也就是说,现代企业的许多业务被“外包”了但这些外包的业务却往往与企业的内控目标紧密相关,比如企业的财务报告的准备这就给企业的内部控制提出了管理与合作伙伴的合作,或者供应链的问题COSO 综和内控框架认为,内部控制的执行可以在企业和其业务流程两个层面展开对企业层面的控制通常是跨部门、跨业务流程边界的、甚至是涉及到服务供应商的,比如对财务报告的准备过程的内部控制COSO 的综合内部控制框架认为内部控制的目标有三个: 有效和有效率的运营; 可靠的财务报告; 国有企业全面风险管理研究报告系列 COSO 综合内部控制框架简介 - 3 - 合规,即对相关法律法规的遵守。
这三个目标的定义是目前被广泛接受的其中第一条,即有效和有效率的运营作为内控的目标之一,则是在最初从审计的需要考虑内控的基础上进一步考虑了企业管理层对企业业绩的要求COSO 定义的内控的第二个目标和第三个目标则是照顾到股东和监管机构的需要这种考虑到多个利益相关人团体的需要的做法是有着重要意义的这一点在 COSO 制定综合内控框架以前提到的人不多,而在 COSO 综合内控框架以后的几乎所有的内控或公司治理法规等都采用了 COSO 的说法这也说明 COSO 的综合内控体系的影响着巨大尤其应当指出的是,综和内控框架的三个并列目标和实现这些目标的方法论的统一表明这三个目标的内在的统一性也就是说,各个利益相关人的利益的内在的统一性COSO 综和内控框架在实践中的广泛被接受程度表明,现代企业管理,即使存在着“委托-代理人”关系等复杂问题,本质上不是“零和博弈”有效的内控可以帮助所有利益相关人的利益的实现综合内控框架包含了五个相互关联的组成部分这些组成部分或称元素构成了综合内控框架的执行方法论的基础这些组成部分是控制环境、风险评估、控制活动、信息沟通、及监控下图的立方体为 COSO《综合内部控制框架》理论体系的示意图。
其中: 框架的顶层包括经营、财务与合规三大目标 框架的侧面显示了内部控制的注意点应集中在企业与业务流程两个层面 框架的正面监控、信息沟通、控制活动、风险评估,及控制环境是框架的五个重要组成部分其中:1 控制环境-确定了企业的基调,影响了企业员工对控制的意识它为内部控制提供了纪律与结构,是所有其它组成部分的基础经 营 财 务 合 规监 控信 息 沟 通控 制 活 动风 险 评 估控 制 环 境 单位1单位 2流程1流程 2 国有企业全面风险管理研究报告系列 COSO 综合内部控制框架简介 - 4 -2 风险评估-这一组成部分是企业在达成目标,与形成管理风险方法基础过程中对有关风险的识别和分析。
3 控制活动-包括了帮助确保管理方针达到目标的政策和步骤4 信息沟通-这一组成部分包括了在一个时间与方式体系中支持识别、获得与交换信息的过程和系统,从而帮助企业员工完成任务5 监控-包含了评估在一定时间范围内,内部控制实行质量的过程 每一个组成部分包含有若干方面的内容,而每一方面的内容又包含有若干要点这种分层的结构通常被称为“树状结构”这种结构的好处是简单,易于分析,而这恰恰又是它的弱点,即往往过于简单,忽视了各个节点相互之间的关系下图中以控制环境这一组成部分为例来说明 COSO 综合内控框架的树状结构控制环境,按 COSO 综合内控里面的分析,可以进一步分解为:正直与道德价值、竞争力的培养、董事会或审计委员会、管理理念和经营风格、组织结构、职权和责任的分配,及人力资源政策和实行等七方面的内容最后,对人力资源政策和实行这一具体方面中的要点以问题的形式展开了更细节的分析。