著名的美国coso内部控制报告的前世今生(美国coso对内部控制的定义)
(TreadwayCommission,即反欺诈财务报告全国委员会,NationalCommissiononFraudulentFinancialReporting)下属的发起人委员会(CommitteeofSponsoringOrganizations)的简称。特雷德韦委员会由美国注册会计师协会(AICPA)、美国会计学会(AAA)、国际财务经理协会(FEI)、内部审计师协会(IIA)和管理会计师协会(IMA)等5个组织于1985年发起成立。1987年,特雷德韦委员会发布一份报告,建议其发起组织共同协作,整合各种内部控制的概念和定义。1992年,COSO发布了著名的《内部控制──整合框架》(InternalControl──IntegratedFramework),成为内部控制领域最为权威的文献之一。之后,由于安然事件和安达信事件的影响,美国国会出台了《萨班斯──奥克斯利法案》,法案对美国《1933年证券法》、《1934年证券交易法》做了不少修改,并在会计职业监督、公司治理、证券市场监督等方面做出了许多的规定。为满足新形势发展的需要,2003年7月,
发布了《企业风险管理──整合框架(征求意见稿)》,经过一年多的意见反馈、研究和修改,于2004年9月发布了最终的文本。
企业整体框架将内部控制定义为:“一个由企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证,
第一,财务报告的可靠性;
第二,经营效果和效率;
第三,符合适的法律和法规。”
而企业风险管理框架发展为:“企业风险管理就是一个过程,它由一个主体的董事会、管理当局和其他人员实施,应用于战略制订并贯穿于企业之中,旨在识别可能会影响主体的潜在事项,管理风险以使其在该主体的风险容量之内,并为主体目的实现提供合理保证。”
在企业整体框架下,企业内部控制的目标在于确保财务报告的可靠性、确保企业经营效果和效率、确保企业法律和法规的贯彻执行。
而企业风险管理框架将企业内部控制目标设定为:战略目标──高层次目标,与使命相关联并支撑其使命;经营目标──有效和高效率地利用其资源;报告目标──确保报告的有效性;合规目标──符合适用的法律和法规。
企业控制结构分为五部分:控制环境、风险评估、控制活动、信息与沟通和监督与评价。
企业风险管理的构成要素包括:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动等。
(1)内部环境。内部环境包括组织的基调,它为主体的人员如何认识和对待风险设定了基础,包括风险管理理念和风险容量、诚信和道德价值观,以及他们所处的经营环境。
(2)目标设定。必须先有目标,管理当局才能识别影响目标实现的潜在事项。企业风险管理确保管理当局采取适当的程序去设定目标,确保所选定的目标支持和切合该主体的使命,并且与它的风险容量相符。
(3)事项识别。必须识别影响主体目标实现的内部和外部事项,区分风险和机会,使机会能够被反馈到管理当局的战略或目标制订过程中。
(4)风险评估。通过考虑风险的可能性和影响对其加以分析,并以此作为决定如何进行管理的依据。风险评估应立足于固有风险和剩余风险。
(5)风险应对。管理当局选择风险应对──回避、承受、降低或者分担风险──采取一系列行动以便把风险控制在主体的风险容限和风险容量以内。
(6)控制活动。制订和执行政策与程序以帮助确保风险应对得以有效实施。
(7)信息与沟通。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。有效沟通的含义比较广泛,包括信息在主体中的向下、平行和向上流动。
(8)监控。对企业风险控制进行全面监控,必要时加以修正。监控可以通过持续的管理活动、个别评价或两者结合起来完成。COSO报告的内容由整体框架到风险管理体现了人们对企业内部控制认识的深化,它表明由于企业经营环境的变化,促使人们必须通过企业内部控制制度的建设,来识别企业经营中所面临的风险、采取应对风险的措施、提高企业抵御风险的能力,为实现企业发展战略服务。
Coso报告对于企业内部控制的作用时值得肯定的,但是,coso报告的局限性也尤为突出。
首先,报告的范围更多是限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难界定。
其次,内部控制系统以会计与审计为核心,控制实施与业务平台和业务拓展存在一定距离,防范风险的措施是被动的。
再次,COSO一方面指出内部控制与经营管理的功能交织在一起,是内置于企业经营活动之中的,另一方面却把目标设定、战略规划、核心竞争力培育等重大经营管理活动排斥在内部控制系统之外。
最后,评价内部控制有效性的标准过于主观,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现,评价标准基本上都是主观判断。
扩展阅读:中国内部控制体系建设
2008年,在前期国家各部委和部门发布的内部控制文件的基础上,中国财政部参考了COSO的5要素内控框架,经过几年的调研起草,联合证监会、银监会、保监会、审计署等5部委发布了《企业内部控制基本规范》。2010年,又出台了18项具体业务的《企业内部控制应用指引》和《企业内部控制评价指引》及《企业内部控制审计指引》,标志着中国企业内部控制进入标准化、常态化的发展阶段,我们也将这套文件称作中国版萨班斯(C-SOX)。其实,财政部在正式出台这些文件之前就发布过不止一版征求意见稿。
2010年内部控制体系文件发布后,由于境内外同时上市的企业在赴海外上市时,经历过一次内部控制的审核历练,所以这些企业被作为第一批按照中国模式要求建立内部控制体系,并逐年扩展到国内主板上市公司和非上市大中型企业。
2010年后,在中国执业的会计师事务所及相关咨询公司迎来了一波由于内部控制监管要求推动的业务增长期。2012年,财政部和国务院国资委联合发文,推动中央企业用两年时间建立覆盖全集团的内部控制体系。2014年,财政部又出台了《行政事业单位内部控制规范》,要求所有党政机关和事业单位建立健全内部控制体系。至此,中国的内部控制体系建设全面铺开。
1、2013年COSO内部控制框架的更新
时隔20年后,COSO对其第一版发布的具有国际影响力的内部控制框架进行了更新。针对原有5要素的立方体框架没有做根本性调整,只是对更新文件采用了国际通行的要素加原则的书写方式,详述了企业内部控制的5个要素20个原则以及82个关注点。
由于中国在推行2008及2010年财政部发布的内部控制框架,所以尽管财政部引进并组织翻译了COSO2013年的更新文件,在中国企业界并没有引起更多的关注。财政部也解释称在起草中国内控文件时,新版COSO内控框架的更新内容已在考虑范围之内,因此中国的内部控制文件无需更新。
2、东西方对内部控制体系的理解差异
根据这么多年协助企业实施中外企业内部控制框架的经验,结合自己的思考,我们来分析下中国的内部控制体系和西方的内部控制体系到底有什么差异?
首先,我们通过上篇和这篇文章的讲解,我们能够看得出来,西方内部控制的发展历程,从牵制到财务、审计到控制,从安然事件到萨班斯法案,有一个显著的特点,这些要求就是为了使企业达到内部控制设计时的一个最基本的目标-财务报告目标。企业建立内部控制的体系首先保证财务数据的真实性和可靠性,但是财务数据是否真实可靠,不仅仅和财务部门相关,很多有价值的数据都是在运营中生成,和业务紧密相关。从这点出发,内部控制又向业务端进行了延伸,所以在执行萨班斯内部控制项目时,虽然有些内容是与运营和合规目标相关,但也是以财务的视角进行的审视。
从西方的投资者角度而言,财务报告可以说是其判断一个企业是否具有投资价值的最重要的依据材料,所以监管机构必须以一种强制要求的形式使企业保持有效的内部控制来更好的保护投资者。对于监管机构来说,这就是最核心的目的。所以,对于一个美国上市企业,事务所要给出内部控制是否有效的结论,需要按照财务报表划定范围,对重要的业务循环进行大量的抽样测试,合理保证从业务端到会计科目的数字是准确可靠的。
而中国的内部控制体系,与西方不同的是,我们投入了大量的精力,发布了十几项具体的业务内部控制指引,虽然我们采用的是比COSO更全面的五目标体系,但实际执行的过程中,我们的目标定位从财务报告目标转向了具体业务控制。
坦白讲,这样的一个变化是有利有弊,从我们分析安然的案例看,导致安然破产的根本原因是业务风险控制出了问题,而后通过会计造假进行的掩盖,这样来看,财务报告的真实可靠并不代表业务风险控制的好。所以中国的内控体系从财务报告转向业务,应该是更接近风险的本源,这是有利的一面。
不利的一面是什么呢?前些年西方的内部控制体系推行过程中,为了达到财务报告真实可靠的目标,积累了一套最佳实践,所有的工作都是冲着这个目标来的。现在我们的目标转向了业务控制,目前并没有一套成熟的最佳实践明确的告知,在各个业务角度来看,怎么叫好?怎么叫不好?怎么评价?怎么审计?怎么叫合规?工作量到底有多大?在这些问题没有被明确的定义之前,企业搭建一个内部控制体系的灵活度会非常大。反应的直接一点,这些不确定性会造成咨询机构在市场上乱开价、乱竞争的现象。前些年,国内的一些海外上市的公司需要花费上千万完成内部控制体系的建设,而这几年,国内的上市公司甚至花几万都能有机构愿意协助,就是上面提到的这些原因。其实这些,并不利于企业内部控制体系的真正落地和发展,妨碍了企业真正掌握和理解这套体系的价值和精髓所在。
文章版权归作者所有, 部分图文源于网络,已标注作者信息,部分无法查明作者及首发来源,仅供学习研究之用,如涉版权,后台联系删除。
