報告概述 SEC對該標準的認同等於從另外一個側面承認了1992年COSO公布的《內部控制—綜合框架》(也稱“
COSO內部控制 框架”)。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。 1992年Treadway委員會經過多年研究,針對公司
行政總裁 、其他高級執行官、董事、
立法部門 和監管部門的
內部控制 進行高度概括,發布《內部控制一整體框架》(Internal control-Integrated Framework)報告,即通稱的COSO報告。該報告第一部分是概括;第二部分是定義框架,完整定義內部控制,描述它的組成部分,為
公司管理層 、
董事會 和其他人員提供評價其內部控制系統的規則;第三部分是對外部團體的報告;是為報告編制報表中的內部控制的團體提供指南的補充檔案;第四部分是評價工具,提供用以評價內部控制系統的有用材料。
COSO報告提出內部控制是用以促進效率,減少
資產損失 風險,幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標:經營的效率和效果(基本經濟目標,包括
績效 、利潤目標和資源、安全),財務報告的可靠性(與對外公布的財務報表編制相關的,包括中期報告、
合併財務報表 中選取的數據的可靠性)和符合相應的法律法規。
內部組成 控制環境 它包括組織人員的誠實、倫理價值和能力;管理層哲學和
經營模式 ;管理層分配許可權和責任、組織、發展員工的方式;
董事會 提供的關注和方向。控制環境影響員工的
管理意識 ,是其他部分的基礎。
風險評估 是確認和分析實現目標過程中的相關風險,是形成管理何種風險的依據。它隨經濟、行業、監管和經營條件而不斷變化,需建立一套機制來辨認和處理相應的風險。
COSO報告 控制活動 是幫助執行管理指令的政策和程式。它貫穿整個組織、各種層次和功能,包括各種活動如批准、授權、證實、調整、經營
績效評價 、
資產 保護和
職責分離 等。
信息和交流 信息系統產生各種報告,包括經營、財務、守規等方面,使得對經營的控制成為可能。處理的信息包括內部生成的數據,也包括可用於經營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統中所處的位置,以及相互的關係;必須認真對待控制賦予自己的責任,同時也必須同外部團體如客戶、
供貨商 、監管機構和股東進行有效的溝通。
監控 監控在經營過程中進行,通過對正常的管理和
控制活動 以及員工執行職責過程中的活動進行監控,來評價系統運作的質量。不同評價的範圍和步驟取決於風險的評估和執行中的監控程式的有效性。對於
內部控制 的缺陷要及時向上級報告,嚴重的問題要報告到管理層高層和
董事會 。
內部職責 (l)管理層 COSO報告 CEO最終負責整個控制系統。對大公司, CEO可把許可權分配給高級經理,並評價其
控制活動 ,然後,高級經理具體制定控制的程式和人員責任;對小公司,一切可更為直接,由最高經理具體執行。
董事會 管理層對
董事會 負責,由董事會設計治理結構,指導監管的進行。有效的董事會應掌握有效的上下溝通渠道,設立財務、
內部審計 等職能,防止管理層超越控制,有意歪曲事實來掩蓋管理的缺陷。
內部審計師 內審 對評價控制系統的有效性具有重要作用,對公司的治理結構行使者監管的職能。
內部其他人員 明確各自的職責,提供系統所需的信息,實現相應的控制;對經營中出現的問題,對不合法、違規行為有責任與上級溝通。
外部人員 現實意義 COSO報告是在美國
金融風險 加劇,
財務欺詐 抬頭,社會各界對
內部控制 和
獨立審計 師寄予厚望的“危難”時刻,由五個職業
會計團體 聯合併潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想,不僅對過去,而且對當下甚至未來的企業管理、
財會 工作和獨立審計都有著重要影響。主要有以下幾個方面:1.準確定位
內部控制 基本目標。COSO報告指出內部控制本身不是目的,而是實現目標的手段。內部控制目標是幫助企業奔向經營目標、完成使命和減少經營過程中的風險。用中國話來說就是為企業的經營和管理工作“保駕護航”。
COSO報告 2.提出三類目標、五項構成要素概念。COSO把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類子目標和
控制環境 、
風險評估 、
控制活動 、信息與溝通和監測活動五項構成要素。這些概念的提出,為評價內部控制系統提供了一套完整的標準,使COSO報告在理論和實際套用兩個方面都較原來的內部控制學說有一個質的飛躍。
3.提出內部控制是“過程”,並由控制環境、風險評估、控制活動、信息與溝通和監測活動五項要素構成。五項控制要素不是內部控制過程中先後順序上的一道道工序,而是一個多方向交叉的多維的反覆的過程。COSO報告突出了內部控制過程中的複雜性和各控制要素之間有機的多維的聯繫與影響。
4.強調“人”的重要性。COSO報告指出人和環境是推動
企業發展 的引擎。內部控制是由人來設計和實施的,企業中的每位員工都受內部控制的影響,並通過自身的工作影響著他人的工作和整個內部控制系統。所以,要求所有員工都應清楚他們在企業、在內部控制系統中的位置和角色,並協調一致,才能推進內部控制的有效運轉。5.認識到
董事會 在
內部控制 中的作用。COSO認為董事會與公司內部控制之間是有聯繫的,企業中一些行為需要董事會批准或授權。一個客觀、能動和富有調查精神的董事會,能夠及時發現並修正公司經理班子逾越內部控制的行爐。
COSO報告 6.強調內部控制系統系是“內置於”(built in)企業經營和管理過程中的一項基礎設施(infrastructure),與管理活動的計畫、執行和監控職能交織融合在一起,不是後天添加物(built on)。同時內控系統應有應對不斷變化的客觀世界的機制。
局限性 COSO報告是以職業會計師為主體隊伍的研究成果,套用的現實特別是面對美國
財務危機 的現狀,顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有:
COSO報告 1.沒有充分認識到
董事會 對
內部控制 系統的至關重要性。雖然COSO報告把董事會與內部控制聯繫起來,但它的這種聯繫僅僅局限於企業有一些事情需要董事會審批或授權,基本上把內部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯繫和制衡關注不夠。這好比設計一幢大廈,只看到了地上部分,忽視了地下基礎。
2.COSO提倡的反映內部控制運行狀態的“管理報告”的信息含量和可信性值得懷疑。首先,從正常邏輯上考慮,如果一個企業的
內部控制 存在問題,企業能夠如實地公示社會嗎?第二,管理報告對內部控制的評價只是基於某一時點狀況而言的。根據COSO報告,企業不需披露在此時點之前存在的但已被發現和更正的內部控制缺陷。第三,報告的範圍僅限於與財務報告有關的內部控制,而財務報告只是經營結果的反映。筆者認為內部控制系統的評估和持續監測是絕對必需的,但COSO建議的這種評估和披露方式容易誤導投資者。
3.COSO報告中的“
合理保證 ”、“
成本效益 ”等詞語,基本上是從會計上直接移植過來的,對於規避
註冊會計師法律責任 是有好處的。但對社會用戶來說,增添了許多猜疑和無奈。到底什麼算是“合理保證”,如何做到“成本效益配比”,在實踐中恐怕很難說清楚。
內部控制評價 應通過提高評價標準和評價過程的
客觀性 和透明度增加科學性。
4.把企業經營和管理中一些重要職能排斥在
內部控制 觸角之外。COSO一方面指出內部控制與管理各功能(計畫、執行和監控)交織在一起,是內置於企業經營活動之中的。另一方面卻把目標設定、
戰略規劃 、核心競爭力培育、
風險評估 和管理等重要經營和管理活動排斥在內部控制系統之外。
5.基本目標與分類子目標之間存在差異。根據COSO報告,內部控制基本目標是促使企業實現經營目標,並減少經營過程中的風險,其中既涉及了企業生存,也關注了
企業發展 。發展和戰略規劃問題是企業所有問題的根本。而三類子目標,基本上都屬於維持企業當期經營的範疇,著眼點在於企業生存,沒有站在企業戰略高度關注未來發展。另外,COSO報告將
內部控制 基本目標細分為三類特定目標的方法值得商榷。這種分類方法的缺陷在其與GAO就保護
資產 安全內部控制之討論中,就表現出來了。
COSO 認為,保護資產安全內部控制屬於經營效果效率目標的範疇,已經包括在經營效果效率內部控制之中,而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題,對財務報告可靠性有
重大影響 ,應該包括在財務報告內部控制之中。COSO也在報告中承認三類目標有時是重疊的。
6.評價內部控制有效性標準過於主觀。根據COSO報告,內部控制有效性有賴於對內部控制三類目標或五個控制要素的實現程度。但評價標準基本上都是主觀判斷。其實,一個
企業內部控制 是否有效完全可以通過它客觀的市場業績體現出來,例如企業市場價值,
客戶滿意度 ,持續獲利能力增長情況等。
7.
內部控制 系統中
會計與審計 的色彩太重,考慮企業現存的和微觀的或規避風險的事情多,與業務平台和業務拓展關係不大,防範風險也是被動的,缺乏
能動性 。所以,至今還有許多公司認為內部控制只是
財務主管 和財會人員的事情。
企業啟示 COSO報告對我國企業的啟示
企業是多重契約關係的組合,而
股東會 與
董事會 、董事會與經理班子之間的
委託代理關係 是其中最基本的契約關係,因此
企業內部控制 中的“內部”就應從組建法人治理結構開始。建立健全董事會功能是企業最根本的
內部控制 。“安然”、“
施樂 ”和“世通”特大
財務欺詐 案件都直接與董事會功能失效和
內部人控制 泛濫有關。同時,由於企業與外部關係人的經濟聯繫和契約關係,在
現代企業 中發揮著越來越重要的作用,企業內部控制中的“內部”有時還要延伸至企業法律邊界以外,將
獨立審計師 、
供應商 資源、客戶信用與需求和政府監管納入企業內部控制系統。“控制”與“反控制”是一對永恆的矛盾,
企業內部控制 的目的是追求企業持續“得到控制”,確保企業各類契約關係持續而有序地運行,確保企業有一個好的
戰略目標 和管理團隊,並按照既定目標持續高效地發展和增值,為企業各類契約當事人發現並創造價值。企業內部控制是企業與生俱來的,它內置於企業經營和管理過程之中,並與之緊密聯繫、水乳交融,是同一事物的不同層面,不可割捨。
企業內部控制應是一個能動的駕御、監測和推動系統,它不僅要關心企業的現實生存,更應關注企業的未來發展;不但重視企業微觀,同時也關心企業巨觀;不只是簡單的規避風險,更著眼於科學風險管理,重視通過業務發展減低風險;不僅要重視現行會計上已確認和計量的
資產 ,更要關注人力資本、管理團隊、核心競爭力、研發能力、
客戶資源 、企業文化和品牌與
商譽 等
軟性資產 在
企業發展 和
控制活動 中的重要作用,即在內部控制上要引入“全面資產”概念;不僅注重企業經理班子之下的內部控制,而且特彆強調
公司治理結構 建設,強調企業法律邊界以外可能對企業生存與發展有重大影響的各類要素。
COSO報告