时间:2020-05-20 作者:裘宗舜 黄小彬 (作者单位:江西财经大学会计学院)
[大]
[中]
[小]
摘要:
1992年,COSO委员会(全美反舞弊性财务报告委员会的发起组织委员会)发布了《内部控制——整体框架》研究报告(以下称为COSO内部控制报告),提出了内部控制整体框架(以下称为COSO内部控制框架)理论,成为美国现行有关内部控制的规则、法规和法律的基础。2004年,COSO委员会又发布了《企业风险管理——整体框架》报告,标志着COSO风险管理整体框架的产生,该风险管理框架是在COSO内部控制框架的基础上发展起来的,更加明显地体现了风险管理是内部控制的基础。2007年3月2日,我国财政部发布了《企业内部控制规范——基本规范(征求意见稿)》以及17个具体规范(征求意见稿)。通过对比研读我国的《企业内部控制规范——基本规范(征求意见稿)》(以下称为企业内部控制基本规范)可以发现,我国企业内部控制基本规范中提出的内部控制框架在形式上与COSO内部控制五要素框架比较相似,在内容上则体现了对风险管理八要素框架的借鉴,体现了对COSO内部控制框架的扩展。尽管借鉴比较明显,然而差异也比较突出,本文将比较它们的异同。
一、关于内部控制的定义和目标
我国企业内部控制基本规范第四条规定:“内部控制,是指由企业董事会(或者由企业章程规定的经理...
1992年,COSO委员会(全美反舞弊性财务报告委员会的发起组织委员会)发布了《内部控制——整体框架》研究报告(以下称为COSO内部控制报告),提出了内部控制整体框架(以下称为COSO内部控制框架)理论,成为美国现行有关内部控制的规则、法规和法律的基础。2004年,COSO委员会又发布了《企业风险管理——整体框架》报告,标志着COSO风险管理整体框架的产生,该风险管理框架是在COSO内部控制框架的基础上发展起来的,更加明显地体现了风险管理是内部控制的基础。2007年3月2日,我国财政部发布了《企业内部控制规范——基本规范(征求意见稿)》以及17个具体规范(征求意见稿)。通过对比研读我国的《企业内部控制规范——基本规范(征求意见稿)》(以下称为企业内部控制基本规范)可以发现,我国企业内部控制基本规范中提出的内部控制框架在形式上与COSO内部控制五要素框架比较相似,在内容上则体现了对风险管理八要素框架的借鉴,体现了对COSO内部控制框架的扩展。尽管借鉴比较明显,然而差异也比较突出,本文将比较它们的异同。
一、关于内部控制的定义和目标
我国企业内部控制基本规范第四条规定:“内部控制,是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的,旨在合理保证实现以下基本目标的一系列控制活动:(1)企业战略;(2)经营的效率和效果;(3)财务报告及管理信息的真实、可靠和完整;(4)资产的安全完整;(5)遵循国家法律法规和有关监管要求。”COSO内部控制报告将内部控制定义为“受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”相比之下,二者主要区别体现在以下方面:
(一)COSO内部控制框架强调内部控制是一个“过程”,而我国企业内部控制基本规范把内部控制归结为一系列的控制活动。COSO内部控制报告特别强调指出内部控制并不是一个事项或一种环境,而是一系列的行动,遍布在企业的所有活动中,这些活动是在管理层经营企业的方式中所固有的。内部控制应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,它促使经营达到预期的效果,并监督企业经营过程的持续有效进行。
(二)关于内部控制可以合理保证实现的目标,我国的企业内部控制基本规范规定,内部控制除了能为企业经营的效率和效果、财务报告的可靠性以及相关法规的遵循性等目标提供合理保证之外,还能为企业战略和资产的安全完整提供合理保证。COSO内部控制报告也指出内部控制可以为资产的安全完整提供合理保证,但是认为保护资产安全与完整是合理保证经营效率和效果的一部分。
(三)COSO委员会关于内部控制的定义比较翔实充分,不仅定义了内部控制,而且也相当于界定了一个内部控制立体框架,即内部控制是由三大目标,五大要素组成,并且贯穿组织四个层面的立体框架。我国的企业内部控制框架可以理解为是由五大目标和五大要素组成的整体框架,但在基本规范中并没有比较明确地指出。
二、关于内部控制的内部环境要素
我国企业内部控制基本规范指出,内部环境是实施内部控制的基础,是影响、制约企业内部控制建立与执行的各种内部因素的总称。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。而COSO内部控制报告指出,内控环境是企业的基调、氛围,直接影响企业员工的控制意识。内控环境要素包括员工的诚信、职业道德和工作胜任能力、管理层的经营理念和经营风格、董事会或审计委员会的监管和指导力度、企业的权责分配方法和人力资源政策。从内容上看,两者关于内部环境要素的规定基本是一致的。差异主要体现在以下方面:
(一)我国企业内部控制基本规范更强调企业文化和反舞弊机制。在对企业文化要素的阐述中涵盖了员工的诚信、职业道德、管理层经营理念和经营风格等内容。关于反舞弊机制,在基本规范中列示了应重点关注的领域。而COSO内部控制报告特别强调给员工以道德指导,认为发生不道德的行为很大程度上是由于缺乏明确的道德指导。
(二)关于内部环境,COSO内部控制报告更为强调员工的胜任能力。COSO报告在内控环境要素中单列一项“专业胜任能力”阐述员工承担责任所需的胜任能力,包括必需的知识和技能。强调在设定工作所需知识和技能时,一方面要根据工作性质和所需的职业判断考虑能力需求,另一方面还应考虑人力资源成本即薪酬。笔者认为,COSO内部控制报告的这一观点对我国企业内部控制体系的设计和实施具有启发意义,在我国企业内部控制基本规范中也应当予以强调。
三、关于内部控制的风险评估
我国企业内部控制基本规范规定,风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。而COSO内部控制报告指出,风险评估是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。风险评估的前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。COSO内部控制报告比较详细地阐述了目标设定,认为目标设定是风险评估的前提,同时还能帮助企业识别有助于成功的关键因素,但是强调目标设定是企业管理过程的一部分,而不是内部控制的一个要素。相比之下,差异主要表现在两方面:一是目标设定应当作为风险评估的一部分还是作为风险评估的前提;二是风险评估是否包括风险应对策略。
(一)我国企业内部控制基本规范中的内部控制风险评估要素的含义更为广泛,包括目标设定和风险应对,并且特别强调了风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等,这些都没包括在COSO内部控制报告中,体现了我国在制定企业内部控制规范时,借鉴了COSO风险管理框架的先进理念。COSO风险管理框架扩展了COSO内部控制框架中的风险评估要素,创设了目标设定、事项识别和风险应对等三个要素。其中,目标设定和风险应对两个要素在我国企业内部控制基本规范中都有比较明显的体现。关于事项识别,COSO风险管理框架认为应包括风险识别和机会识别,而在我国企业内部控制基本规范中主要考虑风险识别,认为风险识别是风险评估的一部分,这与COSO内部控制报告的观点一致,但与COSO风险管理报告提出的理念不同。可以认为我国企业内部控制基本规范中包含有对事项识别的规定,但是不够全面,局限于考虑风险。按照COSO风险管理框架的理念,风险代表的只是具有负面影响的事项,具有正面影响的事项代表机会。
(二)COSO内部控制框架的风险评估要素并不包括目标设定与风险应对,为此COSO内部控制报告中还特别指出风险评估与风险管理的差异,管理层采取的风险应对行动是管理过程的关键部分,包括必要的收效计划(resulting plans)、工作计划以及其他必要的行动。COSO内部控制报告中特别指出目标设定是风险评估的前提,是管理过程的关键组成部分,但不是内部控制的要素之一。
四、关于内部控制的控制活动
我国企业内部控制基本规范认为控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等类别。我国企业内部控制基本规范对这些控制措施展开了较为详细的阐述。COSO内部控制报告认为内控活动是指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施,以期实现企业的目标。具体包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。相比之下,二者主要有以下不同:
(一)关于控制活动的分类
COSO内部控制报告列举了几种控制活动的分类方式,包括按企业目标分类、按控制活动的作用分类和按组织中实施人员的层级分类,特别详细地描述了一组有助于解释控制活动范围和多样性的控制活动,包括高层复核、指导并管理业务活动、信息处理、实物控制、业绩指标分析、职责分离等。COSO内部控制报告特别指出,对控制活动分类只是有助于理解控制活动,相比之下,特定控制活动在特定目标实现中的作用更为重要。我国企业内部控制基本规范只列举了一系列具有控制功能的要素或活动,没有作相关的分类,这种方法是否合理尚有待时间的检验。
(二)关于剩余风险的认识
我国企业内部控制基本规范对剩余风险作了阐述,认为剩余风险是指企业采取控制措施之后仍可能发生的风险。控制措施的运用,并不能保证企业可以杜绝全部风险,但可以合理保证将剩余风险控制在可接受的水平之内,可以合理保证企业不出现内部控制的重大缺陷,可以合理保证企业内部控制目标的实现。可见,我国的企业内部控制框架更注重对风险的考虑,内部控制主要基于风险管理,这与COSO风险管理整体框架体现的理念是一致的。COSO风险管理整体框架还特别强调了在某些情况下,内部控制活动本身就是风险反应活动。而在COSO内部控制框架中,更强调控制活动与企业目标实现的直接融合以及保证企业高层指示的贯彻。
(三)关于信息系统的控制
COSO内部控制报告很明显地体现了对信息系统重要性的考虑,特别提出针对信息系统的两大类控制活动。第一类是一般性控制,适用于多数应用系统并协助确保其持续、正确地运行,包括对数据中心操作、系统软件的购买和维护、数据的安全以及应用系统开发和维护的控制。第二类是应用性控制,包括应用软件中的电算化步骤,以及用以控制不同种类交易处理过程的相关手工操作程序,它是保证交易处理的完整性、准确性、交易授权和有效性的内部控制。我国企业内部控制基本规范中突出强调的是职责分工控制和授权控制,并没有特别强调信息系统的相对重要性。
五、关于信息与沟通
我国企业内部控制基本规范指出信息与沟通是一个过程,在此过程中应当及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用。信息与沟通是实施内部控制的重要条件,主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
COSO内部控制报告强调信息的获取、加工和报告主要来自于信息系统,这个信息系统是广义的信息系统,包括内部和外部的,不单单是财务的信息系统,而且整合进入了企业经营活动,甚至服务于企业战略需要。关于沟通,COSO内部控制报告认为沟通是信息系统固有的,是将信息提供给相关人员,以便于其履行职责,沟通必须贯穿于信息处理的整个过程,有效的沟通不仅在整个企业内进行,也包括与外部进行的沟通。相比之下,主要区别体现在以下几个方面:
(一)关于内部控制的信息要素
我国企业内部控制基本规范主要阐述了信息的来源、种类、获取方式、传递和共享方式以及对沟通的影响。而COSO报告中主要描述了一个广义的信息系统,认为信息的识别、获取、处理和报告是基于信息系统,信息系统不仅处理与交易相关的内部产生的数据,而且处理与外部事项、活动和情况相关的信息。通常情况下,信息系统以一种监督的模式运行,常规性地获取特定信息,在某些情况下却需要采取特别的行动以获得所需的信息。COSO报告中特别指出信息系统与经营活动相融合,并且应用于战略活动,特别强调信息系统与技术相适应,不应当盲目求新,因为原有的信息系统经历了时间考验,可能是更适用的。
(二)关于沟通与沟通方式
我国企业内部控制基本规范也比较详细地阐述了外部沟通渠道,主要包括与投资者和债权人的沟通、与客户的沟通、与供应商的沟通、与监管机构的沟通、与外部审计师的沟通以及与律师的沟通。与COSO内部控制框架的主要差异在于内部沟通。我国企业内部控制基本规范中关于内部沟通的规定并不充分,而COSO报告中比较详细地阐述了内部沟通的重点,包括以下几点:
1、所有的人员,特别是那些有着重要的经营和财务管理职责的人员清楚地知道必须严格履行内部控制的责任。2、每个人需要理解所负责的内部控制部分如何运行及个人在系统中的职责。3、在履行自己的职责时,每个人都应该知道,当意外发生时,不仅要注意事件本身,还要注意事件发生的原因。4、人们需要知道自己的行为怎样与他人的工作相联系。5、员工也需要知道在企业中自下而上传递重要信息的方法和渠道。员工必须相信他们的上级确实想了解问题并愿意有效地解决问题,在任何情况下不会因报告相关信息而受到报复。6、在特定条件下,需要独立的沟通渠道作为一个预防失败的机制,在正常渠道不起作用时加以运用。7、管理层与董事会及其委员之间的沟通至关重要。关于沟通的方式,COSO报告中特别强调行动胜于语言,高层管理者与其下属之间关系的处理方式非常重要。
六、关于监督检查
我国企业内部控制基本规范规定,监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证,包括持续性监督检查和专项监督检查以及在此基础上的自我评估。COSO内部控制框架指出,监督是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效,包括持续性监督和单独评价。相比之下,主要区别体现在以下方面:
(一)关于持续性监督
我国企业内部控制基本规范指出,持续性监督检查是指企业对建立和实施内部控制的整体情况所进行的连续、全面、系统、动态的监督检查。而COSO报告认为持续性的监督活动植根于企业日常、重复发生的活动中,强调持续性监督的实时基础和重复发生性以及动态性,不限定范围,可以是对内部控制的整体情况进行监督,也可以对内部控制的某一要素进行监督。显然,对持续性监督的界定,我国企业内部控制基本规范与COSO内部控制报告有明显差异。我国企业内部控制基本规范仅仅指出持续性监督的对象(建立和实施内部控制的整体情况)和特点(连续、全面、系统和动态),这对进行持续性监督的指导不够具体。
(二)关于自我评估或单独评价
关于内部控制的评价,我国企业内部控制基本规范中称为自我评估,强调建立在持续性监督检查和专项监督检查之上,并没有明确规定由企业中的哪些人员承担。COSO内部控制报告称为单独评价,主要是自我评价,其次是由内部审计师对内部控制进行的常规性评价和特殊评价。我国企业内部控制基本规范中明确规定企业对内部控制进行自我评估至少三年一次,并且特别指出内部控制自我评估报告应包括的主要内容,评估报告应当反映内部控制总体情况。关于内部控制自我评估的方式、范围、程序等方面,我国企业内部控制基本规范并没有给出具体指导。相比之下,COSO内部控制报告关于内部控制的单独评价,阐述了评价主体、评价范围和频率的确定、评价过程、评价方式以及评价方案,为内部控制的单独评价提供了较为具体的指导。
(三)关于内部控制缺陷及其报告
从对内部控制缺陷的定义中可以看出,我国强调内部控制纠错防弊的作用,而COSO报告从不能保证企业目标实现的角度定义内部控制的缺陷,强调内部控制的缺陷可能是潜在的,内部控制的缺陷可能代表内部控制的改进机会,改进内部控制以使企业目标实现具有更大的可能性。关于内部控制缺陷的报告,COSO报告也提出了比较具体的指导,包括报告的对象、报告的内容和信息接受主体对报告的指导以及内部控制缺陷信息的来源等。
责任编辑 崔洁
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号