1、内部控制评价标准国际比较及启示一、国际主要内部控制评价标准 (一)美国 COSO的内部控制整体框架 1992年 COSO 委员会发布的内部控制整体框架专题报告首次提出内部控制整体框架概念,构建了以三个目标为指导,五个要素为条件的内部控制框架结构。 (1)内部控制框架的三个目标。内部控制的目标可以概括为经营的效率和效果、财务报告的可靠性、适用法律法规的遵循性三个方面。经营效率和效果是企业董事会和高级管理层的利益要求。财务报告的可靠性是内部管理者、投资者及其他利益相关者的利益要求。法律法规的遵循性主要指内部控制要符合立法及监督机构制定的相关法律法规的要求。(2)内部控制框架的组成要素。控制环境、风
2、险评估、控制活动、信息和沟通、监督构成了 COSO内部控制框架的基本要素。控制环境是内部控制运行的基础;风险评估包括风险识别和风险分析两个方面,是管理层识别、分析、应对经营管理活动中各种内外部风险的活动;控制活动包括控制制度的制定与控制制度的落实;信息和沟通是组织内部以及组织与外部的信息传递与交流活动;监督是为保证内部控制有效运行而进行的管理活动和监督活动。 (3)内部控制框架评价标准。控制环境方面包括诚信与伦理价值观、董事会或审计委员会的设置运行情况、公司权力分配与制衡、人力资源政策与实务等内容。风险评估包括设置恰当的风险目标、建立有效的风险预警系统和准确的风险评估体系、及时有效的风险应对体
3、系。控制活动评价包括公司内部规章制度是否覆盖主要业务领域、是否符合相关法律的规定、是否存在漏洞以至于违规活动有可乘之机等。信息与沟通主要从信息传递的及时性、准确性,以及沟通的无障碍三个方面进行评价。监督评价包括全面参与控制、及时发现问题和持续改进等方面。 (二)加拿大 CoCo的评估控制指南 隶属于加拿大特许会计师协会的控制标准委员会(Criteria of Control Board,简称 CoCo)在1995年发布了控制指南 ,系统阐述了内部控制的定义、要素、参与主体、原则等内容,对主体控制系统的设计、评估和报告提供了指导,1999年发布的评估控制指南进一步补充了内部控制评估报告的程序和标
4、准,由此形成一个由“行动”联接的以“四大基本要素”为框架的体系。 (1)CoCo控制指南的目标。CoCo 在控制指南中界定了“控制”的三类目标,分别是经营的效率和效果、内部和外部报告的可靠性、遵守适用的法律、规章及内部政策。 (2) CoCo控制指南的要素。CoCo控制指南将控制要素分为目的、承诺、能力、监督与学习四个方面。控制的目的是确定企业发展方向,明确可能存在的风险与机遇,具体包括公司使命、愿景、发展战略等;控制承诺是对企业员工价值观和行为的统一;控制能力是对员工完成控制活动所需知识、资源、技术等方面的要求;控制监督与学习是企业持续监督与改进的要求。(3)CoCo控制指南的评价标准。Co
5、Co 在内部控制整体框架的基础上提出了内部控制的基本原则,成为联结内部控制框架理论体系与内部控制实务操作的纽带,为内部控制评价标准的确立提供了依据, 评估控制指南确定的评价标准见表 1。 (三)英国的 Turnbull指南 Turnbull指南发布于 1999年并于2005年进行了修改,建立了以“风险”为导向的内部控制指南。 (1)Turnbull指南的目标。一是通过内部控制识别、分析公司经营过程中的经营风险、财务风险和其他影响公司目标实现的风险,及时做出适当反应以保证目标的实现。二是持续、可靠的获取组织内外产生的信息,及时可靠的记录和处理以提升内部报告和外部报告的质量。三是促使员工遵守组织内
6、部政策、商业道德,遵守外部相关法律、规章制度。 (2)Turnbull指南的要素。英国 Turnbull指南组成要素与美国 COSO的“整体框架”构成要素基本一致,其内部控制框架分为四个要素:风险评估、控制环境和控制活动、信息与沟通过程、监督。 (3)Turnbull 指南的评价标准。一是董事会负有审查内部控制有效性的责任;二是审查内部控制有效性的过程;三是董事会应就以下事项发表声明:风险识别、评价与管理的程序、制度,在年度报告中就程序、制度的有效性进行评价;确保董事会有关内部控制的声明有完整的文档记录、真实反映董事会内部控制系统过程,但不需要出具内部控制有效性的审计报告。 (四)日本的金融商
7、品交易法 (1) 金融商品交易法的目标。一是确保公司业务活动的有效性和效率性;二是确保对财务报表及对公司决策具有重大影响的信息的准确、可靠;三是确保公司业务活动在法律、法规范围内进行;四是资产安全性,确保资产取得、使用、处置按照规定进行。 (2) 金融商品交易法的组成要素。一是控制环境,控制环境是影响组织内成员控制意识并对其他要素产生影响的因素的综合。二是风险的评估与应对,风险评估指识别妨碍组织目标实现的因素确认为风险,并对风险性质、程度做出评价,以为风险应对提供依据。风险应对指在确定风险程度、风险性质的基础上选择规避、降低、转移或接受等措施并实施对应的程序。三是控制活动,旨在保证管理层命令和
8、指示得以执行的政策、章程、流程、管理办法等。四是信息与沟通,甄别、筛选及处理信息,确保有用信息在组织内部、外部及利益相关方间准确传递。五是监控,连续性的评价内部控制的有效性,以对内部控制运行中存在的问题进行纠正。六是信息技术的应对,应用信息技术以提高内部控制,以及制定合理的政策、程序应对业务活动过程中组织内外对信息技术的要求。 (3) 金融商品交易法有关内部控制评价标准。一是内部控制审计的目的。准则要求注册会计师要对财务报告中管理层编制的内部控制报告进行审查,审查的内容包括公司当前内部控制评价的范围是否恰当,需要说明确定内部控制范围的合理依据,要对管理层报告自我有效性评价、以及内部控制重大缺陷
9、报告发表意见。二是内部控制的范围是对企业内部控制整体进行评价,并根据评估结果确定与财务报告质量相关的重大事项,包括虚假信息、关键风险因素等,并对与这些因素相关的内部控制进行评价。三是强调内部控制审计与财务报表审计的协同,即要求内部控制审计由公司财务报表审计单位的统一审计人员负责,内部控制审计取得的证据和财务报表审计过程中取得的证据可以通用。四是可合并内部控制审计报告和财务报表审计报告。注册会计师要对公司管理层内部控制评价报告发表审计意见并在原则上可以和公司财务报表审计报告合并编写。 二、内部控制评价标准的国际比较 (一)内部控制的界定 COSO认为内部控制是为保证组织目标实现实施的一系列管理活
10、动的总和,内部控制有效性就是保持内部控制的过程在每个时点上都处于正常的状态,是一种过程管理。CoCo控制指南认为“控制”比“内部控制”更合适,是主体要素的集合体,这些要素包括资源、文化、任务等。英国 Trunbull指南认为内部控制是一个将组织风险控制在可接受水平的系统。日本金融商品交易法认为内部控制内含于业务活动之中,是保证组织经营目标实现的系统。各国对内部控制的定义存在一些差异,COSO 是从管理过程的角度来进行界定,而CoCo认为“控制”没有“内部”与“外部”之分,是组织各种“控制”要素的集合。Turnbull 指南和金融商品交易法认为内部控制是组织的一个系统,在范围上要大于过程。 (二
11、)内部控制目标的比较 COSO报告中的内部控制目标综合考虑了不同利益主体的要求,划分了三类内部控制目标,体现了维持企业经营的基本要求,但缺少对企业战略的规划,降低了组织应对内外部环境变化的能力,为此,COSO 在此后的企业风险管理整合框架 (简称ERM 框架)中增加了企业战略这一目标。CoCo控制指南中内部控制三类目标与 COSO基本一致,但其目标体系的内容更广泛,在报告服务对象上既要服务于外部债权人、投资者、政府等,还要服务于公司管理层,使得“控制”更有利于组织主体要素更好的发挥作用。CoCo 内部控制目标不仅要求公司遵循各种外部法律法规,还要求公司内部规章、政策得以落实,以上两点都表明 C
12、oCo比 COSO更加关注企业管理的需要。Turnbull 的内部控制指南从风险的视角来认识内部控制系统,认为内部控制旨在将风险控制在一个可以接受的水平内,风险可以识别、控制,但不能消除。相比于 COSO框架,虽然内部控制在分类上相似,但它们的立足点有所不同,COSO 框架强调通过一系列的“过程”来满足不同利益群体的目标以维持企业的生产经营,而 Turnbull指南则强调控制风险来保证公司资产安全和投资者利益。日本金融商品交易法借鉴 COSO以及其他国际通行的内部控制目标,结合本国国情增加了“资产保全” 。 (三)内部控制要素的比较 COSO的内部控制五要素虽然内容广泛,但彼此之间具有密切的联
13、系,内部控制不再仅仅是制度、措施,更重要的是意识、环境、价值观等软控制,这是对以往内部控制研究的重大突破。CoCo控制指南按照员工执行任务过程中的关键环节划分控制要素,这是因为 CoCo控制指南认为员工必须理解企业目的才能朝着正确的方向努力,而员工能力则是其努力的基础,员工承诺是员工为企业持续、积极努力的保证。监控与必要的改进措施是员工调整自身行为以适应环境要求的必然措施,尽管表述与划分形式不同,CoCo控制指南基本包含了 COSO的内部控制要素。Turnbull 指南与 COSO 报告的不同在于 Turnbull 指南认为风险是内部控制活动的“线” ,将整个内部控制活动贯穿于企业整个业务活动
14、过程中,而 COSO 报告则将风险作为内部控制活动的一个“点” 。日本金融商品交易法在国际通用的五要素之外加入了“信息技术的应对”这一要素,以体现信息技术对组织内部控制的影响,以及借助新技术强化内部控制效果的趋势。 (四)内部控制主体的比较 COSO报告作为内部控制体系发展进程中的里程碑,其突出贡献就是将“人”作为内部控制体系的核心,明确了内部控制过程中的责任主体问题,在 COSO 报告中,管理层要对内部控制的有效性负责,并对对外发布的内控有效性评价报告负责。CoCo控制指南下整个组织的控制活动都是围绕“员工”行为进行的,更加准确的反映了员工作为组织行为主体的组织和运行方式。Turnbull
15、指南与COSO的不同在于将董事会作为内部控制的责任主体,管理层则通过落实监督责任来保证内部控制的有效性并对内部控制有效性提交报告。董事会要对管理层提交的内部控制报告进行审查并在年度报告中发布内部控制有效性的声明,这与 COSO报告将内部控制主体限定在 CEO以下的做法有较大的不同。日本金融商品交易法也以管理层作为内部控制的主体,但其更强调组织内的所有人员,而 COSO则更注重公司的实际管理人员。 (五)内部控制外部审计的比较 COSO要求审计师对公司的财务报表和财务报告中的内部控制同时进行审计,而 Turnbull指南只要求对董事会发布的内部控制声明进行审查但不需要对公司内部控制有效性出具审计
16、报告,其原因是 Turnbull指南更强调为公司设计、评估、报告内部控制以及公司治理服务而不是达到有关内部控制的最低法定要求。日本在财务报告内部控制的管理层评价与审计准则规定内部审计是审计人员对管理层有关内部控制有效性的评价结论表明审计人员的意见,而不直接对内部控制构建与运行状况进行验证。 三、我国内部控制评价标准的建立 (一)控制环境 内部控制运行的条件和基础,主要包括企业管理理念、人力资源政策、业绩考核体系等与企业目标和风险管理有着密切联系的因素,组织成员的知识技能、胜任能力以及职责权限划分的合理性,法人治理结构、公司组织结构的健全有效性。 (二)风险评估 风险评估的全面性,即组织业务活动
17、的相关信息是否能够及时传达给风险管理部门及人员。组织识别、评估组织持续经营过程中存在的经营、财务及其他风险的能力,决定这一能力的因素包括风险管理人员的胜任能力、有效的正式或非正式程序。 (三)控制活动 从资产保全、内部牵制、授权审批、预算管理、信息化、内部报告、成本费用、业务、风险控制等方面制度建设、流程安排等评价控制活动的全面性,考虑内部控制活动的灵活性以评价是否能够适应风险、经营的不确定性。 (四)信息与沟通 企业信息系统的完整性和信息处理的及时性、准确性,企业是否存在正式与非正式的沟通渠道,保证信息在内部传递的及时、准确,保证企业与客户、供应商等存在沟通机制与追踪程序。 (五)监管 董事
18、会对于内部控制活动的安排,内部审计对内部控制活动的监管,有关内部控制活动的改进建议是否得以落实。 参考文献: 1王惠芳:内部控制缺陷认定:现状、困境及基本框重构 , 会计研究2011 年第 8期。 2周爱慧:内部会计控制评价指标体系及其评价 , 审计研究2011第 2期。 3董美霞:增强企业内部控制评价效果的思考基于企业内部控制指引(征求意见稿) , 审计与经济研究2010 年第 1期。 4张龙平、陈作习、宋浩:美国内部控制审计的制度变迁及其启示 , 会计研究2009 年第 2期。 5陈汉文、张宜霞:企业内部控制的有效性及其评价方法 , 审计研究2008 年第 3期。 6杨雄胜:内部控制理论研究新视野 , 会计研究2005 年第 7期。 7李心合:内部控制:从财务报告导向到价值创造导向 , 会计研究2007 年第 4期。 8张平希、陈作珊:财务报告内部控制审计方法研究 , 审计月刊2009 第 3期。 9王涛:内部控制评价的国际比较 , 上海会计2011 年第 2期。
