香港公司

《內部控制—綜合框架》

9547 171

目錄

  • 1 COSO報告概述
  • 2 COSO報告中內部控制的組成
  • 3 COSO報告中內部控制的職責
  • 4 COSO報告的現實意義
  • 5 COSO報告的局限性
  • 6 COSO報告對我國企業的啟示

COSO報告概述

  COSO是全國虛假財務報告委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文縮寫。根據薩班斯法案第404節條款以及美國證券交易委員會(SEC)的相應實施標準,要求公眾公司的管理層評估和報告公司最近年度的財務報告的內部控制的有效性。2004年3月9日,PCAOB發佈了其第2號審計標準:“與財務報表審計相關的針對財務報告的內部控制的審計”,並於6月18日經SEC批准。SEC對該標準的認同等於從另外一個側面承認了1992年COSO公佈的《內部控制—綜合框架》(也稱“COSO內部控制框架”)。這也表明COSO框架已正式成為美國上市公司內部控制框架的參照性標準。

  1992年Treadway委員會經過多年研究,針對公司行政總裁

、其他高級執行官、董事、立法部門和監管部門的內部控制進行高度概括,發佈《內部控制一整體框架》(Interna Control-Integrated Framework)報告,即通稱的COSO報告。該報告第一部分是概括;第二部分是定義框架,完整定義內部控制,描述它的組成部分,為公司管理層、董事會和其他人員提供評價其內部控制系統的規則;第三部分是對外部團體的報告;是為報告編製報表中的內部控制的團體提供指南的補充文件;第四部分是評價工具,提供用以評價內部控制系統的有用材料。

COSO報告提出內部控制是用以促進效率,減少資產損失風險,幫助保證財務報告的可靠性和對法律法規的遵從。COSO報告認為內部控制有如下目標:經營的效率和效果(基本經濟目標,包括績效、利潤目標和資源、安全),財務報告的可靠性(與對外公佈的財務報表編製相關的,包括中期報告、合併財務報表中選取的數據的可靠性)和符合相應的法律法規。

COSO報告中內部控制的組成

  1.控制環境(Control environment)

  它包括組織人員的誠實、倫理價值和能力;管理層哲學和經營模式;管理層分配許可權和責任、組織、發展員工的方式;董事會

提供的關註和方向。控制環境影響員工的管理意識,是其他部分的基礎。

  2.風險評估(risk assessment)

  是確認和分析實現目標過程中的相關風險,是形成管理何種風險的依據。它隨經濟、行業、監管和經營條件而不斷變化,需建立一套機制來辨認和處理相應的風險。

  3.控制活動(control activities)

  是幫助執行管理指令的政策和程式。它貫穿整個組織、各種層次和功能,包括各種活動如批准、授權、證實、調整、經營績效評價、資產保護和職責分離等。

  4.信息和交流(information and communication)

  信息系統產生各種報告,包括經營、財務、守規等方面,使得對經營的控製成為可能。處理的信息包括內部生成的數據,也包括可用於經營決策的外部事件、活動、狀況的信息和外部報告。所有人員都要理解自己在控制系統中所處的位置,以及相互的關係;必須認真對待控制賦予自己的責任,同時也必須同外部團體如客戶、供貨商、監管機構和股東進行有效的溝通。

  5.監控(monitoring)

  監控在經營過程中進行,通過對正常的管理和控制活動以及員工執行職責過程中的活動進行監控,來評價系統運作的質量。不同評價的範圍和步驟取決於風險的評估和執行中的監控程式的有效性。對於內部控制的缺陷要及時向上級報告,嚴重的問題要報告到管理層高層和董事會

COSO報告中內部控制的職責

  (l)管理層:CEO最終負責整個控制系統。對大公司, CEO可把許可權分配給高級經理,並評價其控制活動,然後,高級經理具體制定控制的程式和人員責任;對小公司,一切可更為直接,由最高經理具體執行。

  (2)董事會:管理層對董事會負責,由董事會設計治理結構,指導監管的進行。有效的董事會應掌握有效的上下溝通渠道,設立財務、內部審計等職能,防止管理層超越控制,有意歪曲事實來掩蓋管理的缺陷。

  (3)內部審計師:內審對評價控制系統的有效性具有重要作用,對公司的治理結構行使者監管的職能。

  (4)內部其他人員:明確各自的職責,提供系統所需的信息,實現相應的控制;對經營中出現的問題,對不合法、違規行為有責任與上級溝通。

  (5)外部人員。公司的外部人員也有助於控制目標的實現,如外部審計可提供客觀獨立的評價,通過財務報表審計直接向管理階層提供有用信息;另如法律部門、監管部門、客戶、其他往來單位、財務分析師、信用評級公司、新聞媒體等也都有助於內部控制的有效執行。

COSO報告的現實意義

  COSO報告是在美國金融風險加劇,財務欺詐抬頭,社會各界對內部控制和獨立審計師寄予厚望的“危難”時刻,由五個職業會計團體聯合併潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想,不僅對過去,而且對現在甚至未來的企業管理

、財會工作和獨立審計都有著重要影響。主要有以下幾個方面:

  1.準確定位內部控制基本目標。COSO報告指出內部控制本身不是目的,而是實現目標的手段。內部控制目標是幫助企業奔向經營目標、完成使命和減少經營過程中的風險。用中國話來說就是為企業的經營和管理工作“保駕護航”。

  2.提出三類目標、五項構成要素概念。COSO把內部控制細分為經營效率與效果、財務報告可靠和遵紀守法三類子目標和控制環境、風險評估、控制活動、信息與溝通和監測活動五項構成要素。這些概念的提出,為評價內部控制系統提供了一套完整的標準,使COSO報告在理論和實際應用兩個方面都較原來的內部控制學說有一個質的飛躍。

  3.提出內部控制是“過程”,並由控制環境、風險評估、控制活動、信息與溝通和監測活動五項要素構成。五項控制要素不是內部控制過程中先後順序上的一道道工序,而是一個多方向交叉的多維的反覆的過程。COSO報告突出了內部控制過程中的複雜性和各控制要素之間有機的多維的聯繫與影響。

  4.強調“人”的重要性。COSO報告指出人和環境是推動企業發展的引擎。內部控制是由人來設計和實施的,企業中的每位員工都受內部控制的影響,並通過自身的工作影響著他人的工作和整個內部控制系統。所以,要求所有員工都應清楚他們在企業、在內部控制系統中的位置和角色,並協調一致,才能推進內部控制的有效運轉。

  5.認識到董事會在內部控制中的作用。COSO認為董事會與公司內部控制之間是有聯繫的,企業中一些行為需要董事會批准或授權。一個客觀、能動和富有調查精神的董事會,能夠及時發現並修正公司經理班子逾越內部控制的行爐。

  6.強調內部控制系統系是“內置於”(built in)企業經營和管理過程中的一項基礎設施(infrastructure),與管理活動的計劃、執行和監控職能交織融合在一起,不是後天添加物(built on)。同時內控系統應有應對不斷變化的客觀世界的機制。

COSO報告的局限性

  COSO報告是以職業會計師為主體隊伍的研究成果,應用的現實特別是面對美國財務危機的現狀,顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有:

  1.沒有充分認識到董事會對內部控制系統的至關重要性。雖然COSO報告把董事會與內部控制聯繫起來,但它的這種聯繫僅僅局限於企業有一些事情需要董事會審批或授權,基本上把內部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯繫和制衡關註不夠。這好比設計一幢大廈,只看到了地上部分,忽視了地下基礎。

  2.COSO提倡的反映內部控制運行狀態的“管理報告”的信息含量和可信性值得懷疑。首先,從正常邏輯上考慮,如果一個企業的內部控制存在問題,企業能夠如實地公示社會嗎?第二,管理報告對內部控制的評價只是基於某一時點狀況而言的。根據COSO報告,企業不需披露在此時點之前存在的但已被髮現和更正的內部控制缺陷。第三,報告的範圍僅限於與財務報告有關的內部控制,而財務報告

只是經營結果的反映。筆者認為內部控制系統的評估和持續監測是絕對必需的,但COSO建議的這種評估和披露方式容易誤導投資者。

  3.COSO報告中的“合理保證”、“成本效益”等詞語,基本上是從會計上直接移植過來的,對於規避註冊會計師法律責任是有好處的。但對社會用戶來說,增添了許多猜疑和無奈。到底什麼算是“合理保證”,如何做到“成本效益配比”,在實踐中恐怕很難說清楚。內部控制評價應通過提高評價標準和評價過程的客觀性和透明度增加科學性。

  4.把企業經營和管理中一些重要職能排斥在內部控制觸角之外。COSO一方面指出內部控制與管理各功能(計劃、執行和監控)交織在一起,是內置於企業經營活動之中的。另一方面卻把目標設定、戰略規劃、核心競爭力培育、風險評估和管理等重要經營和管理活動排斥在內部控制系統之外。

  5.基本目標與分類子目標之間存在差異。根據COSO報告,內部控制基本目標是促使企業實現經營目標,並減少經營過程中的風險,其中既涉及了企業生存,也關註了企業發展。發展和戰略規劃問題是企業所有問題的根本。而三類子目標,基本上都屬於維持企業當期經營的範疇,著眼點在於企業生存,沒有站在企業戰略高度關註未來發展。另外,COSO報告將內部控制基本目標細分為三類特定目標的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資產安全內部控制之討論中,就表現出來了。COSO認為,保護資產安全內部控制屬於經營效果效率目標的範疇,已經包括在經營效果效率內部控制之中,而GAO認為保護資產安全內部控制涉及到資產價值真實性的問題,對財務報告可靠性有重大影響,應該包括在財務報告內部控制之中。COSO也在報告中承認三類目標有時是重疊的。

  6.評價內部控制有效性標準過於主觀。根據COSO報告,內部控制有效性有賴於對內部控制三類目標或五個控制要素的實現程度。但評價標準基本上都是主觀判斷。其實,一個企業內部控制是否有效完全可以通過它客觀的市場業績體現出來,例如企業市場價值,客戶滿意度,持續獲利能力增長情況等。

  7.內部控制系統中會計與審計的色彩太重,考慮企業現存的和微觀的或規避風險的事情多,與業務平臺和業務拓展關係不大,防範風險也是被動的,缺乏能動性。所以,至今還有許多公司認為內部控制只是財務主管和財會人員的事情。

COSO報告對我國企業的啟示

  企業是多重契約關係的組合,而股東會與董事會、董事會與經理班子之間的委托代理關係是其中最基本的契約關係,因此企業內部控制中的“內部”就應從組建法人治理結構開始。建立健全董事會功能是企業最根本的內部控制。“安然”、“施樂”和“世通”特大財務欺詐案件都直接與董事會功能失效和內部人控制泛濫有關。同時,由於企業與外部關係人的經濟聯繫和契約關係,在現代企業中發揮著越來越重要的作用,企業內部控制中的“內部”有時還要延伸至企業法律邊界以外,將獨立審計師、供應商資源、客戶信用與需求和政府監管納入企業內部控制系統。“控制”與“反控制”是一對永恆的矛盾,企業內部控制的目的是追求企業持續“得到控制”,確保企業各類契約關係持續而有序地運行,確保企業有一個好的戰略目標和管理團隊,並按照既定目標持續高效地發展和增值,為企業各類契約當事人發現並創造價值。企業內部控制是企業與生俱來的,它內置於企業經營和管理過程之中,並與之緊密聯繫、水乳交融,是同一事物的不同層面,不可割捨。

  企業內部控制應是一個能動的駕御、監測和推動系統,它不僅要關心企業的現實生存,更應關註企業的未來發展;不但重視企業微觀,同時也關心企業巨集觀;不只是簡單的規避風險,更著眼於科學風險管理,重視通過業務發展減低風險;不僅要重視現行會計上已確認和計量的資產,更要關註人力資本、管理團隊、核心競爭力、研發能力、客戶資源、企業文化和品牌與商譽等軟性資產在企業發展和控制活動中的重要作用,即在內部控制上要引入“全面資產”概念;不僅註重企業經理班子之下的內部控制,而且特別強調公司治理結構建設,強調企業法律邊界以外可能對企業生存與發展有重大影響的各類要素。