1、COSO内部控制整体框架转帖COSO内部控制指南1992年美国反虚假财务报告委员会管理组织(COSO)发布了内部控制综合框架以帮助企业和其他实体评估并加强内部控制系统。此后,内部控制综合框架被首席执行官、理事会成员、监管者、准则制定者、职业组织以及其他人士视为内部控制方面合理的综合框架。同时,财务报告和相关立法以及监管环境也发生了变革。值得注意的是,2002年美国颁布了萨班斯法案。其中,萨班斯法案第404号条款要求公众公司管理层每年对其财务报告内部控制的效果进行评估和报告。随着情况的发展和时间的推移,这项框架到今天仍然是有效的,遵从萨班斯法案第404号条款的各种规模的公众公司管理层仍继续沿用。
2、然而,较小型公众公司在面对执行第404号条款的挑战时,承受了意料之外的成本。为了指导较小型公众公司执行第404条款,美国反虚假财务报告委员会管理组织于2006年发布了较小型公众公司财务报告内部控制指南(以下简称指南)。指南并非是对内部控制综合框架的取代亦或修改,而是就如何应用提供了指导。就如何按照成本效率原则使用内部控制综合框架设计和执行财务报告内部控制方面,指南为较小型公众公司提供了指导(当然指南也同样适用于大型公司)。尽管指南本意上是为了帮助管理层建立和维持财务报告内部控制的有效性而制定的,但它同样有助于管理层按照监管者的评估要求对内部控制效果进行更有效率地评估。指南分为三部分,第一部分是
3、概要,向公司董事会和高层管理人员介绍了整个文件的主要内容。第二部分介绍了较小型公众公司在财务报告内部控制方面的主要观点,其中描述了公司的特征,这些特征是如何影响内部控制的、较小型公众公司面临的挑战以及管理层如何使用内部控制综合框架。此外,还从内部控制综合框架中提炼了20个基本原则,并介绍了较小型公众公司以符合成本效率的方式应用这些原则的相关态度、方法和实例。第三部分提供了解释性工具以帮助管理层对内部控制进行评估。管理者可能会使用这些解释性工具以确定公司是否已有效地应用了这些原则。高层管理人员将对第一部分“概要”和第二部分“主要观点”的概述章节比较感兴趣,并在必要的情形下参考第二部分的其它章节,
4、而其他管理人员将把第二部分“主要观点”和第三部分“解释性工具”作为指导其具体工作的指南。一、“较小型”公众公司的特征尽管人们希望能够在小型、中型和大型公司之间划定一条的“清晰的界限”,但指南并未提供此类定义。它使用了“较小型公众公司”而非“小型公众公司”,这意味着指南适用于更大范围内的公司。指南对“较小型公众公司”的特征作了如下的描述:1较少的业务范围,并且每一项业务内只有较少的产品;2从渠道和地域上而言,市场相对集中;3管理层在重大的所有权利益和权力上占据主导地位;4相对于控制的广度,管理的层级相对较少;5相对简单的交易处理系统和规程;6较少的员工,而每位员工担负更多的职责;7在各种支持性岗
5、位(如:法律、人力资源、会计和内部审计)上所提供的资源有限。尽管上述特征还没有明确的定义。但是事实上,公司的收入、员工数量、资产或其他因素的规模都影响着上述特征,或受到上述特征的影响,进而形成我们对较小型公众公司的概念。二、成本和收益公众公司,尤其是较小型公众公司的管理层和其他利益相关者,对遵从第404号条款的成本极为关注,而对遵从带来的收益却关注较少。尽管可能很难计量错误的财务报告所带来的影响,但是公司错报的市场反映明确地表明,无论公司规模的大小,投资团体都无法容忍财务报告的错报。因此,有效的内部控制就显得十分必要。加强内部控制所带来的最为重要的收益是,增强公司进入资本市场的能力,而反过来,
6、资本市场又推动了改革和经济增长。其他收益包括管理者作出决策所需要的可靠且及时的信息,提高公司交易机制的速度和可靠性,以及与合伙人和客户沟通经营业绩信息的能力。三、在实现具有成本效率的内部控制上所面临的挑战较小型公众公司的特征决定了要实现符合成本效率原则的内部控制是一个重要挑战。特别是对于那些将控制看作是增加了现有企业体系管理负担的管理者而言,尤其如此。这些管理者不认为公司需要内部控制。较小型公众公司所面临的挑战包括:1获取充分的资源以实现充分的岗位分离;2当面对违反内部控制制度的机会时,管理者控制自我行为的能力;3聘用具有必需的财务报告和其他方面专门技术的专家,以有效地服务于董事会和审计委员会
7、;4聘用并留住在会计和财务报告方面具有充分的经验和技能的人员;5将管理层关注的重点从公司的有序运行转移到给会计和财务报告方面予以充分的关注上来;6以有限的技术资源对计算机信息系统保持恰当的控制。尽管所有的公司在设计和报告财务报告内部控制时都要发生新的成本,但是这一成本相对于较小型公众公司的规模而言,其负担可能更重。尽管资源有限,但是较小型公众公司通常能够应对这个挑战并能用按照符合成本效率原则的方式成功地实现有效的内部控制。指南中描述了多种用以实现这一目标的方法,其中一些已经在许多较小型公众公司得以应用,并受到管理层的好评。具体而言,常用方法包括:(一)高层的广泛和直接控制许多较小型公众公司受到
8、公司创始人或其他领导人的控制,这些领导人通过大量的个人判断为公司员工指出工作的方向。这种制度安排不仅对于实现公司的增长和其他目标十分关键,同时也能够在财务报告的有效内部控制方面作出重要贡献。企业领导者在企业各方面的深厚背景知识,包括运营、程序、合约的安排以及企业风险等,使企业领导者明白知道自己需要从财务报告系统产生的报告中获取什么信息。(二)有效的董事会较小型公众公司通常以相对简单的企业结构进行相对直接的企业运作,这使董事们可以更深入地获取企业活动的信息。公司董事们通常在公司发展期间就已经深入参与公司的经营,这使他们能够从公司发展历史的角度来思考问题。加之经常能接触到大多数的管理层并进行沟通,
9、这些都有助于董事会及其审计委员会更有效地执行对财务报告的监督责任。(三)对岗位分离局限性的弥补由于资源的限制,较小型公众公司的员工数量有限,有时会导致一些岗位难以单独设立。为此,管理层采取一些措施来弥补这一问题。这包括,管理层会检查细节交易的系统报告;有选择地检查某些交易的支持性文件;定期盘点实物存货、设备或其它资产,并与会计记录相对照;复核账户余额调节甚至亲自进行账户余额的调整。在许多较小型公众公司中,管理层已经在从事上述的工作以便确保报告的可靠性,这些工作将有助于确保有效的内部控制。(四)信息技术内部控制信息技术资源获取困难的问题通常是通过使用其他人编写和维护的软件来解决的。虽然这些软件的
10、使用范围有限,但是也已规避了很多与内部系统相关的风险。很明显的是,由于程序转换控制通常只能由软件开发公司进行,而一般较小型公众公司的人员因缺乏专业技术知识而无法做出XX的修改,因此对程序转换控制的需求并不高。这种商用程序通常以附带工具的形式为公司职员的工作带来便利,包括:访问或者修改特定数据、对数据处理的完整性和精确性进行检查以及维护相关文件。采用附带的应用型控制功能较多的软件,可以带来许多的便利,这包括:提高操作的一致性、自动化调节、方便将意外情况汇报给管理层、以及支持合理的岗位分离。较小型公众公司可以充分利用这些功能所带来的优势,保证控制环节的顺畅。(五)监控活动监控部分是内部控制综合框架
11、中重要的一部分,管理层在公司运营中执行的大量日常活动可以反映内部控制系统的其他要素所发挥的作用1。许多较小型公众公司管理层经常执行这些程序,但是却并不能对提高内部控制的效果产生积极作用。这些活动一般是手动执行,有时由计算机软件支持,在设计和评估内部控制的时候应当对此予以充分的考虑。在评估和报告内部控制的第一年之后,许多公司在第二年再次执行评估程序时,并没有降低多少的成本。然而,有一种不同的方法可以提高内部控制的效率。通过关注现有的或通过少量的努力就可以在未来实现的监控活动,管理层确定以前年度所发生的财务报告系统的变化,从而确定需要进行更进一步详细测试的环节。对于一个有效的内部控制系统而言,所有
12、的五大内部控制要素都必须到位,且运转有效,对每一要素的部分测试也是必要的,但是有效的监控活动通常可以弥补其它要素中的缺陷,降低内部控制评估工作量从而全方位提升效率。四、获得更高的效率除上述方面需要纳入考虑之外,通过强调那些直接适用于公司的活动和环境的财务报告目标、基于风险的内部控制方法、恰当规模的归档、视内部控制为完整过程以及从总体上考虑内部控制各要素,可以提高公司在设计、应用或评估内部控制方面的效率。内部控制综合框架认为,一个实体必须首先确立恰当的财务报告目标。从一个较高的角度而言,财务报告的目标是编制可靠的财务报表,同时就财务报表中不存在重大错报做出合理的保证。在这个最高目标之下,管理层需
13、要在公司的财务报表核算和相关披露中,建立与公司的经营活动、环境以及正确的反应相关的一些支持性目标。这些目标可能受监管因素或管理层制定目标时所考虑的其它因素的影响。通过强调那些直接适用于公司以及公司活动和环境(这些活动和环境是指对公司财务报告有着重大影响的活动或环境)的财务报告目标,可以获得更高的效率。经验表明这可以通过以公司的财务报表为起始点,并为这些对财务报表产生重大影响的经营活动、过程以及事件确定支持性目标,从而最有效地得以实现。(一)重视风险尽管管理层需要关注多方面的风险,但是其最需要考虑的是其核心目标所面临的风险,这其中包括编制可靠的财务报告所面临风险。风险基础方法强调对财务报告产生潜
14、在影响的定量和定性因素,并确定在交易过程或其他财务报表编制过程中哪些地方可能出错。通过重视核心目标,管理层能够确定风险评估恰当的广度和深度。通常,在最初设计和执行内部控制时,就需要对风险予以考虑,要确定目标的风险并加以分析,进而形成风险管理的基础。此外,还要评估内部控制在减轻这些目标的风险方面是否有效。 在评估内部控制效果时,通常考虑的是利用具有“代表性”组织的常见控制措施来评估控制效果。但一个意料之外的结果是管理层有时会关注一些“标准的”或“代表性”控制措施,而这些控制措施与公司的财务报告目标或与这些目标相关的风险并没有什么关系。一个可能遇到的问题是,在没有确认整个评估程序是否真的与获得可靠
15、的财务报告相关之前,就开始对会计系统的细节进行评价,并对会计系统的资料进行深入归档。并不是说,这样的做法毫无用处。但是,无论采用什么方法,只有关注管理层为公司经营活动和环境所设立的目标,才能提高内部控制的效率。(二)恰当规模的归档公司出于各种不同的原因对经营过程、程序以及内部控制系统的其他要素进行归档并保存。其中一个原因是保持前后商业运营实务的一致性。有效的归档有助于传递关于做了什么以及如何做的信息,还有助于提升对业绩的期望。另一方面归档可以帮助培训新的职员,或作为其它职员的学习资料或参考工具。归档同时还可以为报告内部控制效果提供证据。不同的公司进行归档的水平和类型也截然不同。显然,大型公司通
16、常有更多的业务需要归档,或者财务报告的制定过程更为复杂,所以与较小型公众公司相比就需要进行更大规模的归档。较小型公众公司通常对诸如完全政策手册、程序的系统流程图、组织架构图、以及工作描述等进行正式归档的要求较低。在较小型公众公司中,比较典型的是,较少的职员和较少的管理层级,紧密的工作关系以及更频繁的互动,这些都推动了所预想的和已实现的沟通发生。比如一个较小型公众公司,可能以备忘录的方式对人力资源、供货合同或顾客信用政策等进行归档,并通过管理层会议所提供的指南对备忘录进行修正。大型公司可能制定更详细的政策(或政策手册)来指导其职员更好地执行内部控制。问题在于,多大规模的归档才能确保财务报告的内部
17、控制有效。显然,这取决于环境和期望。归档的规模应当使管理层确信其内部控制是有效的,例如,帮助管理层确保所有的出货均已入账,或者定期进行了对账。然而在较小型公众公司中,管理层通常直接参与执行控制程序,这些程序可能只需要最小规模的归档,因为管理层可以通过直接观察来决定内部控制是否有效。管理层必须了解会计系统和相关程序(其中包括与编制可靠的财务报表相关的活动)是否被很好地设计、理解并恰当地被执行。当管理层就财务报告内部控制的设计和运行的效果向监管者、利益相关者或其他第三方进行报告时,管理层面临着更高水平的个人风险,因此需要将会计系统和重要控制行为中的大多数程序进行归档以支持其对内部控制效果的判断。在
18、考虑所必需的归档数量时,归档的性质和规模可能受到公司监管要求的影响。尽管,这并不意味着归档将会或者应当更加正式,但是这意味着归档要能够证明内部控制被恰当的设计并很好地被执行。此外,当一个外部审计师对内部控制进行审计时,管理层需要为审计师的工作提供支持。管理层应当提供证据以证明内部控制被恰当的设计并运行有效。在考虑所需要的归档性质和规模时,管理层需要考虑到,用来证明内部控制有效的归档也可能被外部审计师用来作为其审计证据的需要。可能有些政策和程序是非正式的,且未被归档的。但前提是,管理层能够通过日常的商业活动获得证据证明全体员工在平时都执行了这些内部控制。然而,很重要的是需要明白一点,那就是诸如风
19、险评估之类的控制程序不能仅仅存在于CEO和cfo target=_blank class=link_tagCFO个人的大脑中,对部分思考过程和管理层分析的归档是必要的。指南中的许多实例解释了管理层如何通过正常的商业过程获得证据。内部控制的归档需要满足企业需要并与环境相称。多大规模的归档才能证明五个内部控制要素都被有效地设计并加以执行,这本身是一个需要加以判断的问题,同时还需要考虑成本效率的问题。在实务中,证据的收集和保存也要纳入不同的财务报告过程当中。(三)视内部控制为完整过程视内部控制综合框架中的五个内部控制要素为一个完整的过程是很有必要的,而事实上内部控制也的确如此。将内部控制视为完整过程
20、直接影响着内部控制要素间的相互关系,并有助于意识到,管理层在选择实现其目标的内部控制时具有一定的灵活性,此外,组织可以随着时间的推移进行调整并提高其内部控制水平。内部控制过程是以管理层根据公司特有的经营活动和环境所制定的财务报告目标为出发点的。一旦确定了目标,管理层需要确定并评估这些目标所面临的各种风险,确定哪些风险可能会导致财务报告的重大错报,并确定这些风险如何通过一系列控制活动来进行管理。管理层使用不同的方法获取、处理和沟通财务报告和其他内部控制要素所需要的信息。这些都由公司的控制环境加以确定。内部控制要素都需要受到监控以确保随着时间的流逝,控制一直运转正常。(四)从总体上考虑内部控制各要
21、素内部控制综合框架所提出的五个内部控制要素对实现可靠的财务报告目标都是至关重要的。确定一个公司财务报告的内部控制是否有效需要进行判断。内部控制的五个要素是共同发挥作用来防止、发现以及矫正财务报告的重大错报的。当内部控制的五个要素都能够得以执行并发挥作用,从而使得管理层能够合理的保证所编制的财务报表是可靠的时,内部控制就可以被认为是有效的。尽管内部控制的五个要素都应当得到执行并发挥作用,却并不意味着在每个公司中,每一要素都必须同时或同等水平地发挥作用。这些要素之间需要加以平衡。内部控制的有效并不意味着内部控制的五个要素在每一个程序中都完美的发挥作用。某一要素的不足可以通过其他内部控制要素的充分发
22、挥作用加以弥补,这种内部控制总体上的充分足以把财务报表误报的风险降到一个可接受的水平。五、实现有效的财务报告内部控制的基本原则指南提供了一整套的20项基本原则说明与内部控制综合框架内部控制的五个要素相关的基本概念,这20项原则都是从这五个内部控制要素中提炼出来的。(一)控制环境1诚信与道德价值观尤其是高层管理人员需要建立并理解正确的诚信和道德价值观,并为财务报告制定行为准则。2董事会董事会应当理解并行使对财务报告和相关内部控制的监管责任。3管理理念与经营风格管理理念和经营风格有助于实现有效的财务报告内部控制。4组织架构公司的组织架构有助于实现有效的财务报告内部控制。5财务报告胜任能力公司要确保
23、员工个人在财务报告和相关监管角色中的胜任能力。6授权和责任对管理层和员工的不同授权和他们担负的不同责任应当有助于实现有效的财务报告内部控制。7人力资源人力资源政策和实务的设计和实施应当有助于实现有效的财务报告内部控制。(二)风险评估8财务报告目标管理层需要确定足够透明的和有具体实现标准的财务报告目标,从而确定编制可靠的财务报告所面临的风险。9财务报告风险公司需要确定和分析实现财务报告目标所面临的风险,并将其作为进行风险管理的基础。10舞弊风险因舞弊而引起的重大错报的可能性需要在评估实现财务报告目标所面临的风险时加以考虑。(三)控制活动11风险评估整合要采取行动以确定实现财务报告目标所面临的风险
24、。12控制活动的选择和发展控制活动的选择和发展要考虑其在降低实现财务报告目标所面临的风险上的成本和潜力。13政策和程序与可靠的财务报告相关的政策要在全公司范围内执行并沟通,同时还要有确保管理层指令得以执行的相应程序。14信息技术信息技术控制的设计和执行要可行并有助于财务报告目标的实现。(四)信息和沟通15财务报告信息应当在公司各个层面确认、获取及使用有关的信息,并且信息的分发形式和时间安排应当有助于财务报告目标的实现。16内部控制信息用以执行其他控制要素信息的确认、获取及分发的形式和时间安排应当使员工个人能够承担其内部控制责任。17内部沟通沟通能够促使和帮助组织的各个层面对内部控制目标、程序以
25、及个人职责的理解和执行。18外部沟通同外部有关方面的沟通影响着财务报告目标的实现。(五)监控19进行中的单独评估进行中的和(/或)单独的评估使管理层能够判断财务报告内部控制是否得以执行并起到作用。20报告缺陷应当与负责采取行动的组织、管理层以及理事会准确及时地确定和沟通内部控制缺陷的问题。六、如何使用指南如何使用指南要取决于使用者的地位和角色:1董事会成员董事会成员可以将指南作为与高层管理人员讨论公司内部控制状况以及如何确保内部控制系统符合成本效益原则的参考。2高层管理人员首席执行官、财务总监以及其他高层管理人员可以从指南中了解到如何通过理论上正确且符合实际的有效方法来实现有效的内部控制。他们
26、可能会对指南的第一部分“概要”和第二部分“主要观点”的概述章节特别感兴趣,并可能需要参考第二部分的其它章节。3其他职员其他管理者和职员需要考虑如何按照指南的要求履行其控制责任,并就如何提高成本效益比与更高级的职员展开讨论。他们可能需要参考指南的第二部分“主要观点”和第三部分“解释性工具”。尽管指南并不直接适用于外部审计师,但是他们在理解其较小型公众公司客户如何按照成本效益原则应用内部控制综合框架时,也需要参考指南。水门事件后,内部控制理论引起了美国各界的广泛重视。然而,对内部控制的理解分歧却由来已久,立法者、监管者和商人的不同利益决定了各自不同的立场。90年代初成立的COSO,开创性地提出了一
27、套成体系的内部控制整体框架,这标志内部控制理论发展到新的阶段,赢得了各方的好评。一、COSO内部控制整体框架的诞生1997年,美国国会通过了反国外贿赂法(FCPA),在反贿赂条款之外,又规定了与会计及内部控制有关的条款。美国注册会计师协会(AICPA)的审计人员责任委员会发布了报告、结论与建议。随后,在1980、1982、1984年先后颁布了审计准则公告第30号、第43号、第48号。财务经理人员协会(FEI)发布了美国公司的内部控制:现状。美国证券交易委员会(SEC)则要求上市公司提交其内部控制的报告书。1985年,由AICPA、美国审计总署(AAA)、FEI等机构共同赞助成立了全国舞弊性财务
28、报告委员会(National Commission On Fraudulent Financial Reporting),即treadway委员会。Treadway委员会旨在研究舞弊性财务报告产生的原因及其相关领域,其中包括内部控制不健全的问题。Treadway委员会就内部控制问题提出了许多有价值的建议,并倡议建立一个专门研究内部控制问题的委员会。因此,Treadway委员会的赞助机构成立了私人性质的COSO,其组成人士包括美国会计师学会、内部审计师协会、金融管理学会等专业团体的成员。1992年,COSO提出了内部控制整体框架报告,并在1994年进行了增补。二、COSO内部控制整体框架的内容该
29、报告的核心内容是内部控制的定义、目标和要素。报告中提出的观点,超越了内控思想的以往理论棗内部牵制、内部控制制度和内部控制结构等理论。报告认为,内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。实际上,内部控制是为了确保组织的最高层参与到整个机构的运作中,以实现组织目标。而所谓的可靠性则指财务报告的一致性、可比性以及选择适当的会计处理方法。为了实现内部控制的有效性,需要下列五个方面的要素支持:控制环境(Control environment)、风险评估(Riskassessment)、控制活动(Control acti
30、vities)、信息与交流(Information and communication)和监测(Monitoring)。控制环境包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导。其特征是先明确定义机构的目标和政策,再以战略计划和预算过程进行支持;然后,清晰定义利于划分职责和汇报路径的组织结构,确立基于合理年度风险评估的风险接受政策;最后,向员工澄清有效控制和审计体系的必要性以及执行控制要求的重要性,同时,高级领导层需对文件控制系统作出承诺。风险评估是在既定的经营目标下分析并减少风险。这一环节是COSO内部控制整体框架的独特之处。虽然,多年来,美国银行一直使用复杂的
31、模型技术(诸如“紧张检验”、“Monte Carlo模拟”和“风险价值”法)测算风险,但把风险评估作为要素引入到内控领域,这还是第一次。相比之下,控制活动则是人们较早关注的方面,它包括确保管理层指令得以实施的政策和程序:批准、授权;核对会计分录;核实(包括内部控制模型);检查业绩、风险披露限制;职责划分、生产安全。制定程序的原则有:避免由“相关人士”组成的集团从头到尾控制某个操作或交易;“四只眼睛”的原则。信息与交流是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。内控是一个动态的过程,依据环境,制定措施,信息反馈,进行纠错,如此不断改进。但受成本效益原则的约束,内控实际上是一个无止境的过程。监测,意在评估内部控制,贯穿于经营活动之中,具有一定的超然独立性。监测的实施途径可以是内部审计,也可以是内部控制自我评估。前者的实施人是独立的职能部门,而后者是由管理部门和员工完成的。内部审计的目的是,就控制系统的风险和操作情况向管理层提供独立保证并帮助管理层有效地履行责任。内部审计是先依据审计章程,确定审计单位的独立性及其作用。然后将称职的工作人员分成三个主要单位,分别承担财务、操作和电子数据处理的工作。再根据机构的主要业务风险编写审计计划,密切和平衡的关注计划、实地工作、报告以及每次审计的后续工作。最后,就操作系统的运作与管理层执行简明
