1、COSO 内部控制新框架解读一、引言 COSO 的经典性报告内部控制整体框架是内部控制方面的权威性文献,自 1992 年发布以来,得到了包括美国在内的多个国家的政府组织和企业的认可,并以此框架为基础制定和发布了内部控制的框架和文件,如我国财政部等五部委在 2008 年 6 月份发布的企业内部控制基本规范就是在我国国情的基础上借鉴了 COSO 的内部控制报告。尽管该框架受到了各方的认可,但是随着经济和科技的发展,企业的经营环境也在不断的变化,再加上安然公司等舞弊案的出现,使得人们对于 COSO的内部控制框架有了质疑。在此背景下,COSO 委员会与普华永道会计师事务所于 2010 年 9 月份启动
2、了内部控制框架的修订工作,并于 2011 年12 月份发布了内部控制新框架的征求意见稿,经过 1 年多的公开征求意见,于 2013 年 5 月发布了的内部控制整体框架 (以下简称新框架)的正式报告。COSO 委员会要求新框架于 2014 年 12 月 15 日开始生效。COSO 新框架有利于帮助组织在业务和经营环境变化了的背景下设计和实施内部控制,在经营和报告目标上扩大了内部控制的应用范围,并做出如何判断内部控制的有效性。众所周知,COSO 委员会的经典权威报告除了内部控制整体框架外,还包括其 2004 年发布的企业风险管理整体框架 (以下简称 ERM 框架) ,这二者关系非常密切,有学者认为
3、二者是一致的,有学者则认为 ERM 框架是内部控制框架的替代,那么二者究竟是什么关系呢?在内部控制新框架中,COSO 委员会给出了解释。新框架中内容众多,笔者拟就内部控制新旧框架进行比较并对其与ERM 框架的关系进行探讨。 二、内部控制新框架与旧框架比较 内部控制新框架是在旧框架的基础上结合目前全球经济和环境的变化进行更新和修订的,因此,在新框架中,既有与旧框架中内容一致的方面,也有不一致、变化了的方面。 (一)内部控制新旧框架维持不变的方面 (1)内部控制的核心定义。新框架与旧框架中的内部控制核心概念形式上是一致的,基本上沿用了旧框架中内部控制的核心定义,即都给出了一个非常宽泛的定义,都强调
4、了是一个过程,受到人为因素的影响,都是对目标的合理保证。由于内部控制的目标有所改变,因此概念中的目标也相应变化。但总体上来讲,新旧框架中的内部控制的概念基本上没有变化。 (2)三目标和五要素形式。与旧框架中一致,新框架采用的仍然是三目标和五要素的形式,而且三个目标中有两个没有变化,即第一个目标经营的效率和效果与第三个目标法律、法规的遵循等两个目标的名称没有改变。在五要素的名称上,第五个要素的名称在旧框架中称为“监督” ,在新框架中增加了“活动”二字,即为“监督活动” ;其余的四个要素如控制环境、风险评估、控制活动、信息与沟通等要素,其名称完全一样,没有任何变化。 (3)用于评估内部控制系统有效
5、性的标准没有变化。有效的内部控制系统能为三个目标的实现提供合理的保证。如果内部控制系统是有效的,则组织能够使得经营具有效率和效果、提供可靠的报告、遵循所适用的法律和法规。判断一个内部控制系统是否有效,需要如下步骤:首先判断内部控制系统能否合理保证目标的实现;其次内部控制系统能否合理保证目标的实现,取决于这五个要素是否在同时发挥作用,只有这五个要素同时发挥作用,才能说明内部控制系统可能是有效的;最后,判断这五个要素是否有效,这取决于内部控制要素的 17 个原则和82 个属性是否发挥作用。无论是新框架还是旧框架,评价的标准没有变化,只不过旧框架中没有原则和属性的概念。 (二)内部控制新旧框架发生变
6、化的方面 (1)考虑了业务和经营环境的变化。在新框架中,内部控制的设计更加具有灵活性,其充分考虑了组织业务和经营环境的变化。这些体现环境变化的内容主要包括:期望基于公司治理的视野设计内部控制;考虑全球化的市场和经营的因素;考虑业务的变化及其更加的复杂性;考虑法律、法规、规章和标准的要求和复杂性;期望人员的胜任能力和责任性;使用和依赖日趋发展的科技;期望能够发现和预防舞弊。这样变化使得企业在设计内部控制与环境的联系更加紧密,从而有更好的适用性。 (2)经营和报告目标的扩展。从名称上来看,经营目标没有变化,但实质上其经营的目标范围有所扩大,旧框架中经营目标所指的保证经营的效率和效果,主要指达到经营
7、的目标;新框架中经营目标不仅包括经营的目标,还包括达到财务绩效目标以及保证资产不受损失等经营目标。在报告目标上,旧框架中仅指对外列报的财务报告目标,保证财务报告的真实、可靠,其范围界定为对外报告的财务报告;新框架中的报告目标中的“报告” ,不仅包括对外的报告,还包括内部的报告,不仅包括财务报告,还包括非财务报告。这些报告的披露要遵循法律法规、准则以及企业政策等所规定的可靠性、及时性、透明性等要求。这无疑增加了报告的内涵、外延和要求,对于各利益相关者都具有非常大的影响。报告目标的扩展不仅增加了企业的成本,而且也加大了注册会计师的审计风险。 (3)五要素基础概念中体现的是原则导向。无论新旧框架,采
8、用的均是五要素,但在其基础概念中采用的方式不一致。旧框架中没有明确提出构成各要素的原则,在新框架中针对五个要素,提出了 17 项原则,而且在原则下面又提出了相应的属性。每一个要素,都对应相应的原则和属性。这 17 项原则是构成这些要素的基础性理念,也是判断内部控制是否有效的主要标准。原则导向体现了新框架全新的思路和理念,每个企业根据自身的实际情况和环境的变化,根据这些原则,设计适合自身的内部控制,这些都有利于增加内部控制的适用性、时效性和灵活性。但另一方面,由于这些原则不是针对某个特定企业而设定的,而是设计内部控制的一些原则性基础,因此,具体到某个企业如何根据这些原则设计适合于自身的内部控制制
9、度,需要设计企业内部控制的相关组织或人员进行判断,这无疑增加了设计的难度。 (4)增加了与经营、合规性和非财务报告目标相关的一些案例和方法。在新框架报中,提供了一些评估内部控制系统有效性工具的一些例子,给出了外部财务报告内部控制的一些方法和例子。新框架给出了这些要素的原则和属性是如何影响外部财务报告的,它给出了一个对管理层非常有用的总结性说明,一个要素下的某一个原则会影响其他要素的有效性,如,控制环境下的原则:组织的诚信和价值观,这一原则会影响控制环境要素下人力资源政策保证雇员理解行为规则并且企业的雇员都在遵循这一政策的有效性,并且会影响信息与沟通要素下比较管理层所获得的数据与信息热线获得数据
10、的偏差,以评估信息数据的质量;还会影响监督活动要素下根据获得的雇员行为和举报热线的结果,内部审计单独评估控制环境的有效性等等。由于被征求意见的大多数人和组织,不建议内部控制旧框架推倒重来,因此,总的来说,新框架是在旧框架基础上结合环境的变化形成的,是变化了的环境下的产物,主要体现在:考虑了业务和环境的变化,如全球化、技术的进步等;扩展了业务和报告的范围;提出了原则导向的五要素基础理念;增加了一些例子来说明如何判断内部控制的有效性,具有较强的操作性。因此,新框架主要是时代的产物,使得内部控制新框架更加灵活和适应实际状况,而且具有针对性。 三、新框架与 ERM 框架比较 (一)内部控制与企业风险管
11、理的关系 2004 年,COSO 委员发布了其另一经典性的报告企业风险管理整体框架 (ERM 框架) ,当时很多人以为该框架会取代 1992 年内部控制框架,但 COSO 委员会从未发布过以 ERM 框架取代 1992 年内部控制框架的任何声明和文件。我国关于内部控制和企业风险管理的关系,观点主要有以下几种:内部控制是企业风险管理的工具;内部控制是企业风险管理的一部分;企业风险管理是内部控制的高级阶段;内部控制包括企业风险管理等。我国财政部发布的企业内部控制基本规范中融合了 1992 年框架和 ERM 框架的内容,属于“旧瓶装新水” ,从表面和形式来看是 1992 年的框架,实质上体现的是 2
12、004 年 ERM 的框架的内容。关于内部控制框架和 ERM 框架的关系,COSO 委员会在征求意见稿中认为内部控制是企业风险管理的一个组成部分。企业风险管理比内部控制的内涵要广,它延伸了内部控制的边界,比内部控制更加关注风险。 (二)目标比较 内部控制包括三个目标,即经营、报告和遵循目标;企业风险管理除了包括三个类似的目标外,它还包括第四个目标:战略目标,这是一个比其他三个目标更高层次的目标。战略目标与企业的愿景相联系,合理保证企业战略的实现,经营、报告和遵循目标从属于战略目标。企业风险管理中引入了风险胃口(Risk appetite)和风险容忍(risk tolerance)的概念。风险胃
13、口是与企业愿景相联系的一个词语,它应用于战略的制定,并选择相应的目标。如果设定为风险容忍的层次,则管理层需考虑相应目标的重要性,并将容忍的程度限定在风险胃口内。风险容忍是内部控制的前提条件,但并不是内部控制的一个组成部分。 (三)要素比较 从要素数目上来看,内部控制框架为五要素,而ERM 则为八要素,ERM 框架增加了目标设定、事项识别和风险应对等三个要素。除了数目上不一致外,在名称上,二者第一个要素和最后一个要素不太一致。单从名称上看,第一个内部控制要素为控制环境,而 ERM的第一个要素为内部环境,最后一个内部控制要素为监督活动;ERM 的最后一个要素为监督。具体比较如下:(1)控制环境。在
14、 ERM 框架中,更加强调的是风险管理的哲学和理念,强调的是内部的环境,主要是关于企业考虑风险的态度和特点,反映了它的价值观,并会影响企业文化和经营风格。由于董事会的重要性,企业风险管理框架和内部控制框架中均要求董事会成员中要包含一定数量的独立董事,但二者要求的数量不同,内部控制框架通常要求 2 名即可,而 ERM 框架中要求大多数董事都应为外部独立的董事。 (2)风险评估。这两个框架均要求对企业内部的、外部的各个层次的风险进行评估,而且均要求评估风险对目标实现的潜在影响。但很显然,企业风险管理框架更加注重风险,它将此要素扩展为四个要素。内部控制框架中没有考虑潜在事项的影响,这部分事项可能会影
15、响企业战略的实施或目标的实现。这两个框架均要求对风险进行评估,但企业风险管理框架对风险评估的要求要高一些,它要求基于固有的和剩余基础来评估风险,这些风险要与战略和目标实现的时间相一致,而且同时要求关注内部相关的风险,一个单独的事项可能会引起多种风险。与内部控制框架一致,企业风险管理框架风险应对的策略包括回避、降低、分担和接受。但企业风险管理框架还要考虑企业风险胃口和风险容忍度。 (3)控制活动。控制活动的目的均是根据风险评估的结果所采取的活动,其目的是为了使风险降低到可以承受的范围之内。但内部控制新框架更多地体现了目前科技因素的影响,并考虑了科技对企业的影响。 (4)信息与沟通。在信息与沟通方
16、面,ERM 的范围更为广泛一些,它所分析的数据,包括来自于过去、现在和将来潜在事项的数据。而内部控制框架则更多地关注数据的质量以及与内部控制相关的数据。至于沟通,均包括内部沟通和外部沟通。 (5)监督活动。这两个框架都认为监督活动是为了保证内部控制和企业风险管理发挥作用并能继续适用。不过,内部控制框架代表了更新的观点,包括运用基础的资料进行监督以及要监督外部的服务提供商(如审计师) 。可见,企业风险管理框架要素与内部控制要素主要区别在于:一是数量上的区别;二是企业风险管理框架的要素更加关注风险,以及风险与战略的关系;三是内部控制新框架更加体现了现代技术和科技的影响,在要素中融入了科技因素。本文
17、系教育部人文社科基金项目“基于社会责任本质揭示的企业社会责任内部控制研究” (项目编号:10YJC790089)阶段性研究成果 参考文献: 1丁红燕:COSO 内部控制新框架的变化及对注册会计师审计的影响 , 中国注册会计师2012 年第 12 期。 2COSO. Internal Control - Integrated Framework (1992) , http:/www.coso.org. 3COSO. Internal ControlIntegrated Framework(2013) , http:/www.coso.org. 4COSO. Enterprise Risk ManagementIntegrated Framework(2004) , http:/www.coso.org. 作者丁红燕系中国海洋大学管理学院博士研究生 (编辑 陈 玲)
