时间:2020-03-20 作者:鲁冰 (作者单位:中国人民大学商学院)
[大]
[中]
[小]
摘要:
在内部控制领域,美国反虚假财务报告全国委员会的发起组织委员会(COSO)长期致力于内部控制标准、规范和指南的制定,引领国际内部控制发展的潮流和趋势。在1992年首次发布《内部控制——整合框架》(简称COSO框架)之后,COSO于1994年对框架进行修订,尤其是在2002年美国《萨班斯——奥克斯利法案》提出有关财务报告内部控制的要求之后,COSO框架在世界各国得以广泛应用。2013年5月14日,经过历时三年的调查评估、研究设计、征求意见和改进完善等阶段工作,COSO正式发布修订后的《内部控制——整合框架(2013)》(简称新框架),这既是COSO框架应用二十年来实践经验的总结和完善,也是继COSO框架与风险管理结合拓展后对内部控制理论的升华。
一、新框架的修订背景与目标
(一)修订背景
COSO框架不是世界上唯一的内部控制框架,但却是国际上受到普遍认可且应用范围最广泛的框架,其修订更新工作意义重大。近些年,国际商业环境与经济形势发生了显著变化,以互联网为代表的现代信息技术的广泛运用使得组织的运营模式和管理方法产生了重大变革,全球一体化的趋势与金融危机的爆发客观上加速了利益相关者对健全、有效、透明的内部控制体系的迫切需求。
在内部控制领域,美国反虚假财务报告全国委员会的发起组织委员会(COSO)长期致力于内部控制标准、规范和指南的制定,引领国际内部控制发展的潮流和趋势。在1992年首次发布《内部控制——整合框架》(简称COSO框架)之后,COSO于1994年对框架进行修订,尤其是在2002年美国《萨班斯——奥克斯利法案》提出有关财务报告内部控制的要求之后,COSO框架在世界各国得以广泛应用。2013年5月14日,经过历时三年的调查评估、研究设计、征求意见和改进完善等阶段工作,COSO正式发布修订后的《内部控制——整合框架(2013)》(简称新框架),这既是COSO框架应用二十年来实践经验的总结和完善,也是继COSO框架与风险管理结合拓展后对内部控制理论的升华。
一、新框架的修订背景与目标
(一)修订背景
COSO框架不是世界上唯一的内部控制框架,但却是国际上受到普遍认可且应用范围最广泛的框架,其修订更新工作意义重大。近些年,国际商业环境与经济形势发生了显著变化,以互联网为代表的现代信息技术的广泛运用使得组织的运营模式和管理方法产生了重大变革,全球一体化的趋势与金融危机的爆发客观上加速了利益相关者对健全、有效、透明的内部控制体系的迫切需求。
全球化市场拓展、业务复杂性加深、法律规章趋于严格以及对公司治理和监督能力提升的期望,促使管理者、投资者、监管部门和其他利益相关者更加重视企业内部控制与风险管理,希望利用科学有效的内控框架识别、应对和控制风险,防止欺诈行为的发生,减小大规模爆发金融危机的可能性,这也正是COSO框架修订的动机与背景。
(二)修订目标
此次修订的目标在于反映企业经营环境的变化、拓展业务和报告的目标、明晰原则以促进有效的内部控制。2010年,COSO委托普华永道会计师事务所承担修订工作,并成立了来自理论界、实务界、职业组织和监管部门等方面专家组成的咨询委员会。新框架致力于帮助组织在新环境下设计和实施内部控制、拓宽内部控制在实际操作和报告目标中的应用,并阐明有效内部控制的构成要素与具体要求。同时,COSO发布了对内部控制和包含外部财务报告的内部控制有效性进行说明的工具,并介绍了方法与案例。为确保新旧框架的顺利衔接,COSO认为,在2013年5月14日至2014年12月15日的过渡期内,无论新框架是否被应用,组织都应在有关内部控制情况的报告中清晰披露整合框架的应用情况。
二、新框架的主要特点
(一)三大延续
鉴于有关各方普遍认为COSO框架所蕴含的主要理念和原则方法已趋于完善,在实践中已得到普遍认可,新框架保留延续了内部控制的核心概念、内部控制的五大核心要素以及内部控制有效性的评价标准。
在核心概念方面,内部控制概念依然表述为“受到董事会、管理层以及其他人员影响的,为了达到组织三大目标(包括经营目标、可靠报告目标和合规遵循目标等)提供合理保证而设计的过程”;在核心要素方面,仍旧将内部控制视为由控制环境、风险评估、控制活动、信息与沟通、监督活动等核心元素组成的既相互独立又密切联系的有机统一体;在内部控制评价标准的有效性方面,当组织内部控制体系的五大核心要素存在并有效运行,并且其组成的内部控制系统能够为三大目标的实现提供合理保证,那么可以认为内部控制是有效的。
(二)三大变化
与COSO框架相比,新框架将原先分别属于五大核心要素的20项总体原则修订为17项(见表1),并且强调由五大核心要素、三大目标与17项总体原则组成的内部控制整合框架适用于企业、政府部门、非营利组织和其他组织。
修订的内容主要体现在适应环境变化、目标拓展、原则导向等三个方面,COSO认为新框架能够帮助组织有效设计实施内部控制系统,在实现组织目标和适应业务环境变化等方面具有积极的促进作用。
1.适应了组织与经济环境的变化。一是体现了公司治理环境的变化。考虑到董事会、监事会以及专业委员会等现代公司治理结构的完善,新框架强化了组织内部机构的治理和监督职能,重视和发挥其在内部控制中对管理层的监督控制作用,同时提出全员对内控负责的理念。例如在控制环境要素中增加原则第5条“全员内控责任”的表述;在风险评估要素中,原则第8条强化了对管理层舞弊风险的评估,增加原则第9条对包括环境变化在内的严重影响企业内控事项的风险评估。二是体现了技术环境和商业模式的变化。随着社会信息化水平的日益提升,信息技术的发展融合实现了组织自动化,信息系统的整合运用推动了信息集成化。新框架将信息技术对内部控制的影响融入其中,例如在控制活动要素中,为体现信息技术的重要性将其作为原则第11条进行表述。同时,经济全球化与技术进步也带来商业模式的改变,管理者需要更多地利用外部资源,这促成了企业价值链和价值实现方式的变化,新框架的信息与沟通要素中所包含的原则第15条便强调了外部沟通的重要性。
2.确立了原则导向的框架体系。COSO充分认识到内部控制体系因环境、组织和目标而异,为增强整合框架的适用性,采取了“原则导向”加“规则指引”的形式,体现了由“内控设计”到“实践落实”的重心转变。通过增加新变化、新理念和新思路,COSO将原始框架中的20个总体原则提炼为17个原则,辅之以具体属性规则进行明确以满足实践需要。这种做法,在确立了组织内部框架“底线”和“红线”的基础上,强调组织开展内部控制实践的灵活性和创造性,在一定程度上解决了内部控制中的“共性”与“个性”问题。由此,COSO认为新框架具有普遍适用性,可以应用于企业、政府部门、非营利组织和其他组织。
3.实现了报告目标与具体内容的拓展。新框架摈弃了以往将内部控制局限于财务数据真实可靠的报告目标,拓展了报告对象和报告内容,体现了“全面管理内控”的思想(见表2)。在报告对象上,不仅满足内部董事会和管理当局的经营管理和决策需求,也同时满足外部监管部门、债权人和投资者等利益相关者的需求。在报告内容上,既包含财务报告,也包含非财务报告。但也应注意到,这种做法也在一定程度上增加了内部控制的实施成本。
三、新框架修订对我国的启示与建议
(一)加快推进组织信息化与内部控制协调配合发展
正如新框架所述,信息化和自动化带来了组织形式与经营模式的质的变革。如果说组织内部机构是“零件”,内部控制是“螺丝”,那么信息化就如同“螺丝刀”,只有相互配合、协调发展才能保证组织的良好运行。只有不断加强组织对自身内部控制有效运行的自我约束控制,尤其是加大信息化投入力度,把科学有效的内部控制制度搭载上安全稳定的信息系统“发动机”,将信息流源源不断、安全高效地输送到组织运行的各个角落,用制度约束系统,以系统规范行为,才能真正实现符合当今时代意义的内部控制。
(二)持续完善我国内部控制规范体系
我国财政部于2008年、2010年、2012年相继发布《企业内部控制基本规范》、《企业内部控制配套指引》和《行政事业单位内部控制规范(试行)》,基本建立起了我国内部控制应用、评价和审计监督的规范体系。通过比较发现,一方面,我国内部控制规范体系是在吸收COSO框架实质并结合我国实际的基础上制定的,与COSO框架在整体框架、核心要素、主要方法等方面具有一致性,同时我国采用的“原则导向”与“配套指引”相结合的实施方式,也与新框架有异曲同工之处。另一方面,我国内部控制规范体系相比新框架更具稳健性和前瞻性,增加了资产安全、促进企业实现发展战略的内控目标,这也将全面风险管理的理念融入其中。
我们也应当看到,新框架是以美国为主导制定的内部控制规则,其制定过程也是各方博弈的结果,我国在吸收借鉴时应充分考虑国际标准的“中国化”问题。笔者建议下一步应加紧研究我国在内部控制规范实施中形成的经验和存在的问题,实现与新框架等国际先进内部控制准则的趋同,不断完善符合我国实际的内部控制规范体系。同时,积极参与内部控制国际标准制定工作,扩大我国在内部控制领域的话语权和影响力;争取在内控规范、内控审计准则等方面建立互认机制,提高我国企业海外发展的竞争力。
(三)破解我国内部控制发展瓶颈难题
我国全面开展内部控制建设的时间不长、经验尚浅,尚存在着理念认识不清、缺陷认定标准缺失、专门人才不足等困难,这就要求我们在把握内部控制实质的基础上,采用创造性思维解决当前面临的突出问题。一是要加强宣传引导与实施培训,使得内部控制与风险管理的理念深入人心,发挥内部控制先进组织的标杆示范作用,通过模仿、追赶、创新和超越等工作,真正实现内部控制理论或理念的“落地生根”。二是要科学合理地设定内部控制缺陷标准,突破对缺陷标准认定圄于财务缺陷的局限性,综合考虑财务因素、风险因素、目标偏移度等方面问题,例如通过错报情况来确定、利用风险评价进行判定以及与整体控制目标的偏离程度等进行判断。三是在组织内部营造吸引、发展和保留内部控制专业人才的良好氛围,向组织外部发出重视内控、尊重人才、知人善任的人才政策信号,打造内部控制专门人才梯队,形成人才集聚效应,为组织实现内部控制目标源源不断地提供智力支持。■
责任编辑 张璐怡
相关推荐