簡介
COSO內部控制框架不是唯一的內部控制框架,其他類似框架中最著名的是加拿大註冊會計師公會所屬的控制基準委員會COCO,於1995年11月發行《控制指導綱要》。COSO提出了—種更精簡、更具動態,使用更多管理術語的內部控制基本架構。COCO報告從四個方面:目的、承諾、能力、監督與學習,提出20項控制基準。但是COSO內部控制框架是美國證券交易委員會唯一推薦使用的內部控制框架,同時《薩班斯法案》第 404 條款的「最終細則」也明確表明 COSO內部控制框架可以作為評估企業內部控制的標準。作為紐約證交所上市的公司,需要按照法案要求,引進COSO內部控制框架,整合現有內部控制,滿足法案的要求。COSO內部控制框架認為,內部控制系統是由控制環境、風險評估、內控活動、信息與溝通、監督五要素組成,它們取決於管理層經營企業的方式,並融入管理過程本身,其相互關係可以用其模型表示。
組成關係
1. 控制環境
控制環境是所有其他組成要素的基礎,包括了以下要素:1) 誠信和道德價值觀;
2) 致力於提高員工工作能力及促進員工職業發展的承諾;3) 董事會和審計委員會。包括的因素有董事會與審計委員會與管理者之間的獨立性,成員的經驗和身份,參與和監督活動的程度,行為的適當性;
4) 管理層的理念和經營風格;
5) 組織結構。包括了定義授權和責任的關鍵領域以及建立適當的報告流程;
6) 許可權及職責分配。經營活動的許可權和權責分配以及建立報告關係和授權協定。它包括了以下幾點:
a) 被激勵主動發現問題並解決問題以及被授予許可權的程度;
b) 也描述適當的經營實踐,關鍵人員的知識和經驗,提供給執行責任的資源政策;
c) 確保所有人理解公司目標。每個人知道他的行為與目標實現的關聯和貢獻的重要程度。
7) 人力資源政策及程式。
2. 風險評估
首先,風險評估的前提條件是設立目標。只有先確立了目標,管理層才能針對目標確定風險並採取必要的行動來管理風險。設立目標是管理過程重要的一部分。儘管其並非內部控制要素,但它是內部控制得以實施的先決條件。其次,識別與上述目標相關的風險。
再次,評估上述被識別風險的後果和可能性。一旦確定了主要的風險因素,管理層就可以考慮它們的重要程度,並儘可能將這些風險因素與業務活動聯繫起來。
最後,針對風險的結果,考慮適當的控制活動。
3. 控制活動
控制活動指為確保管理層指示得以執行,削弱風險的政策(做什麼)和程式(如何做)。它們有助於保證採取必要措施來管理風險以實現企業目標。控制活動貫穿於企業的所有層次和部門。它們包括一系列不同的活動,如批准、授權、查證、核對、覆核經營業績、資產保護以及職責分工等。4. 信息與溝通
相關的信息必須以一種能使人們行使各自職能的形式和時限被識別、掌握和溝通。信息系統不僅處理內部資料,而且還處理形成企業決策和外部報告所必須的外部事件、行為和條件的信息。有效的交流還必須廣泛的進行,涉及機構的各個方面。所有人員都要從高級管理層獲得清楚的信息,他們必須明白各自在內部控制制度中的作用,明白個人的行為如何與他人的工作相聯繫。他們必須有自下而上傳遞重要信息的方法。顧客、供應商、監管者和股東這樣的外界之間也必須有有效的溝通。5. 監督
一個評估系統在一定時期運行質量的過程。這一過程通過持續的監控行為、獨立的評估或兩者的結合來實現。持續的監控行為發生在經營的過程中。它包括日常管理和監管行為。獨立評估的範圍和頻率主要依賴於風險評估和持續監控程式的有效性。內部控制的缺陷應自下而上進行報告,重要事項應報知高層管理人員和董事會。COSO內部控制模型
1、 強調“軟控制”的功能。相對於以前的內部控制而言,框架更加強調那些屬於管理文化層面的軟性管理因素。2、 強調內部控制應與企業的經營管理過程相結合。框架認為,經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。內部控制是企業經營管理過程的一部分,與經營過程結合在一起,而不是凌駕於企業的基本活動之上,它使經營達到預期的效果,並監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,並不能取代管理。
3、 突出強調信息系統的作用。框架認為,完備的信息處理系統是實現內部控制目標的重要保障,信息系統不僅處理企業內部產生的經營信息,而且也處理來自企業外部的各類經濟、法律或行政信息。
4、 明確對內部控制的“責任”。COSO框架第一次明確地闡述了內部控制的制定與實施的責任問題。框架指出,不僅僅是董事會、管理人員、內部審計人員,組織中的每一個人都對內部控制環節負有責任。
5、 強調內部控制的分類和目標。目標的設定雖然不是內部控制的組成要素,但卻是內部控制的先決條件,也是促成內部控制的要件。框架將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標,有利於不同的人從不同的視角關注企業內部控制的不同方面。
6、 內部控制只能做到“合理”保證。框架認為:不論設計及執行有多么完善完整,內部控制都只能為管理階層及股東達成企業經營目標提供合理保證。而目標最終是否達成,還受內部控制本身的限制性制約等條件。
COSO內部控制框架是一個較為理想的框架,幾乎所有公司的內部控制均與之有一定差距,雖然這必然加大企業負擔,但多數公司希望通過理解和貫徹COSO內部控制框架要求,梳理管理流程、規範管理,來實現提升整體管理水平的目的。
COSO框架下的內部控制設計
以COSO內部控制框架為標準的內控設計一般步驟如下:1. 確認所要進行的內控設計針對的內控目標是什麼。
2. 根據確認的內控目標,識別公司層面的內外部主要風險並進行評估。
3. 通過業務流程的全面梳理,鎖定與確認的內控目標相關的業務流程。
4. 按照COSO框架提出的控制標準,對確認的主要風險提出控制要求,將梳理得出的業務流程(風險控制活動)與控制要求進行對比分析,提出整改建議。
5. 對所確定的業務流程進行分析,分析確認業務活動中存在的風險,提出整改建議。
6. 各項制度規章的完善和補充。
下面我們對於風險評估、控制活動具體設計的內容再作進一步的說明:
風險評估實施過程說明
1. 識別風險。風險識別包括了二個層次,企業層面的風險和業務活動的風險。識別風險的具體方法有頭腦風暴法、訪談、調查問卷、流程圖分析、參考其他的風險資料庫、經驗與專業判斷。
2. 評估上述識別出的風險的後果和可能性。
3. 描述公司流程。
1) 制定公司流程總目錄和流程描述的規範;
2) 流程具體描述。
4. 識別與風險相關的應對流程的風險,並建立風險資料庫
5. 根據上述風險評估的結果,建立持續的風險評估制度體系
控制活動設計實施說明
1. 以COSO控制框架、公司管理制度、控制理論為依據,在公司層面上確定“關鍵控制點和控制要點”。
2. 以公司層面“關鍵控制點和控制要點”為基礎,對應識別的重要風險建立關鍵控制文檔。
3. 關鍵控制與相關管理制度之間的比對分析。
對於企業而言控制是直接融入管理流程中的。在具體控制活動設計和改進時應遵循以下具體內部控制設計原則:
1. 相互牽制原則
相互牽制原則,是指一項完整的經濟業務活動,必須分配給具有互相制約關係的兩個或兩個以上的部門(或崗位)分別完成。即在橫向關係上,至少要由彼此獨立的兩個部門或人員辦理,以使該部門或人員的工作接受另一個部門或人員的檢查和制約;在縱向關係上,至少要經過互不隸屬的兩個或兩個以上的崗位和環節,以使下級受上級監督,上級受下級牽制。其理論根據是在相互牽制的關係下,幾個人發生同一錯弊而不被發現的機率,是每個人發生該項錯弊的機率的連乘積,因而將降低誤差率。不相容職務相互分離控制有以下幾項內容:
* 授權批准職務與執行業務職務相分離;
* 執行業務職務與監督審核職務相分離;
* 執行業務職務與會計記錄職務相分離;
* 財產保管職務與會計記錄職務相分離;
* 執行業務職務與財產保管職務相分離。
2. 授權控制原則
授權控制原則,是指企業單位應該根據各崗位業務性質和人員要求,相應地賦予作業任務和職責許可權,規定操作規程和處理手續,明確紀律規則和檢查標準,以使職、責、權、利相結合。崗位工作程式化,要求做到事事有人管,人人有專職,辦事有標準,工作有檢查。授權體系包括:
1) 授權批准的範圍
企業所有的經營活動一般都應當納入授權批准的範圍。
2) 授權層次
授權應當是區別不同情況分層次授權。根據經濟活動的重要性水平和金額大小確定不同的授權批准層次,有利於保證各種管理層和有關人員有權有責。
授權批准在層次上應當考慮連續性,要將可能發生的情況全面納入授權批准體系,避免出現真空地帶。當然,應當允許根據具體情況的變化,不斷對有關制度進行修正。
3) 授權責任
被授權者應能夠明確在履行權力時應對哪些方面負責,避免授權責任不清,出現問題又難咎其責的情況發生。
4) 授權批准程式
企業的經濟業務既涉及企業與外單位之間資產與勞務的交換,也包括在企業內部資產和勞務的轉移和使用。因此,每類經濟業務都會有一系列內部相互聯繫的流轉程式。所以,應規定每一類經濟業務的審批程式,以便按程式辦理審批,避免越級審批和違規審批的情況發生。
3. 成本效益原則
貫徹成本效益原則,即要求在實行內部控制花費的成本和由此而產生的經濟效益之間要保持適當的比例,實行內部控制所花費的代價不能超過由此而獲得的效益,否則應捨棄該控制措施。
4. 整體結構原則
企業內部控制系統,必須包括控制環境、風險評估、控制活動、信息與溝通、監督五項要素,並覆蓋各項業務和部門。換言之,各項控制要素、各業務循環或部門的子控制系統,必須有機構成企業內部控制的整體架構。這就要求,各子系統的具體控制目標,必須對應整體控制系統的一般目標。
COSO內部控制基本原則
《美國薩班斯—奧克斯利法案(Sarbanes-Oxley Act)》(簡稱SOX)要求上市公司,無論大的還是小的,每年對財務報表內部控制的有效性進行評估和報告。幸運的是,公司可以依賴一個行業標準——內部控制集成框架,來評估和改進其內控體系。全國反欺詐財務報告(特雷得維)委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission,簡稱COSO)於1992年頒布的這一框架,長期以來作為建立旨在提高效率、降低風險、幫助保證財務狀況報表可信性、遵從法律法規的內部控制的藍本。由於其全面性、有效性和普遍原則,框架受到世界上很多組織的稱讚並被接受。
框架頒布之後,財務報表、公司治理和法律環境發生了很多變化。薩班斯—奧克斯利法案404條款(SOX 404)是公司財務報表內部控制的主要推動。
COSO的報告概括了與5個組成部分相關的26條基本原則,5個組成部分是:(1)控制環境;(2)風險評估;(3)控制活動;(4)信息與溝通;(5)監督。