COSO報告及對我國企業(yè)內(nèi)部控制的啟示

張娜依

【摘要】美國COSO委員會出臺的《企業(yè)風險管理——整體框架》被視為當前最先進的內(nèi)部控制理論。本文對《企業(yè)風險管理——整體框架》及其前身《內(nèi)部控制——整體框架》的核心內(nèi)容進行了分析,從最新的風險管理框架出發(fā),提出了對完善我國企業(yè)內(nèi)部控制的幾點啟示,作為企業(yè)內(nèi)部控制建設(shè)的參考。

【關(guān)鍵詞】COSO 內(nèi)部控制 啟示

自美國安然公司特大財務(wù)舞弊事件發(fā)生以來,企業(yè)內(nèi)部控制問題引起了世界各國的廣泛關(guān)注。而提到內(nèi)部控制,我們不得不提到美國COSO報告。本文借鑒COSO報告,談?wù)勱P(guān)于完善我國企業(yè)內(nèi)部控制的幾點建議。

一、COSO報告

COSO委員會是一個由美國注冊會計師協(xié)會、美國會計學會、財務(wù)經(jīng)理人協(xié)會、內(nèi)部審計師協(xié)會和全國會計師協(xié)會共同發(fā)起并出資組成的民間組織。該組織本著通過商業(yè)倫理、有效的內(nèi)部控制和公司治理提高財務(wù)報告質(zhì)量的宗旨,有著一套嚴密的研究范式和程序。自1985年成立至2004年近20年時間,共發(fā)布了五份研究成果,對全世界的會計審計和證券界都產(chǎn)生了深遠影響。本文所指的COSO報告是指COSO委員會1992年發(fā)布的《內(nèi)部控制——整體框架》和2004年發(fā)布的《企業(yè)風險管理——整體框架》。

1、內(nèi)部控制整體框架

1992年COSO委員會發(fā)布了《內(nèi)部控制——整體框架》(Internal Control-Integrated Framework)。該報告提出了內(nèi)部控制的三項目標和五大要素,指出企業(yè)內(nèi)部控制是“由企業(yè)董事會、經(jīng)理層以及其他員工共同實施的,為財務(wù)報告的準確性、經(jīng)營活動的效率與效果、相關(guān)法律法規(guī)的遵循等目標的實現(xiàn)而提供合理保證的過程”,由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等五個要素構(gòu)成?！秲?nèi)部控制——整體框架》得到了美國聯(lián)邦儲備局、美國證券交易委員會、巴塞爾委員會等監(jiān)管機構(gòu)或國際組織的認可與采納,被視為關(guān)于內(nèi)部控制的綱領(lǐng)性文件,被世界范圍內(nèi)許多企業(yè)所采用。

與以往的內(nèi)部控制理論及研究相比,《內(nèi)部控制——整體框架》提出了許多新的、有價值的觀點,主要有以下幾個方面。

(1)明確了內(nèi)部控制的一系列基礎(chǔ)概念。該報告給出了內(nèi)部控制明確的定義,將內(nèi)部控制基本目標準確定位為幫助企業(yè)奔向經(jīng)營目標、完成使命和減少經(jīng)營過程中的風險,提出三類目標、五項構(gòu)成要素概念。這一系列基礎(chǔ)概念的提出為評價內(nèi)部控制系統(tǒng)提供了一套完整的標準,在理論和實際應(yīng)用兩個方面都較原來的內(nèi)部控制學說有了一個質(zhì)的飛躍。

(2)強調(diào)內(nèi)部控制是一種動態(tài)的過程。提出內(nèi)部控制是由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控等五項要素構(gòu)成的一種“過程”。這五項控制要素不是內(nèi)部控制過程中有著明確先后順序的一道道工序,而是有著多方向的、交叉的、多維的聯(lián)系的。內(nèi)部控制是一個發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的過程。企業(yè)的經(jīng)營管理環(huán)境不斷發(fā)展變化,必然要求企業(yè)內(nèi)部控制也是一個動態(tài)發(fā)展的、越來越完善的過程。

(3)明確企業(yè)員工的內(nèi)部控制責任,強調(diào)內(nèi)部控制中“人”的重要性。報告指出人和環(huán)境是推動企業(yè)發(fā)展的引擎。不僅僅是管理人員、內(nèi)部審計人員或董事會成員,組織中的每一位員工都受內(nèi)部控制的影響,并通過自身的工作影響著他人的工作和整個內(nèi)部控制系統(tǒng)。所有員工都應(yīng)對內(nèi)部控制負有責任,清楚他們在企業(yè)內(nèi)部控制系統(tǒng)中的位置和角色,并協(xié)調(diào)一致,推進企業(yè)內(nèi)部控制的有效運轉(zhuǎn)。

2、企業(yè)風險管理整體框架

2001年年底以來,安然、世界通信、施樂、美國在線時代華納等上市公司財務(wù)舞弊事件的發(fā)生,集中暴露了美國公司在內(nèi)部控制上存在的問題,由此導(dǎo)致《薩班尼斯—奧克斯利法》(Sarbanes-Oxley Act,簡稱薩班斯法案、SOX法案)的出臺。SOX法案強化公司治理結(jié)構(gòu)并明確公司的財務(wù)報告責任,大幅增強了公司的財務(wù)披露義務(wù);加重了對公司管理層違法行為的處罰措施;并強化了內(nèi)部審計、外部審計及審計監(jiān)管。

2004年9月29日,COSO委員會在《內(nèi)部控制——整體框架》報告的基礎(chǔ)之上,根據(jù)SOX法案強化財務(wù)信息披露內(nèi)部控制有效性的規(guī)定,結(jié)合公司治理過程中應(yīng)加強對企業(yè)風險管理的新形勢,發(fā)布了《企業(yè)風險管理——整體框架》(Enterprise Risk Management -Integrated Framework,簡稱ERM)。

與內(nèi)部控制框架相比較,ERM框架添加了新的元素,更加突出了對企業(yè)風險的關(guān)注,從風險管理角度對內(nèi)部控制進行了全新的詮釋,無論在內(nèi)容還是范圍上都有很大的改進和完善,具體表現(xiàn)為以下幾方面。

(1)內(nèi)部控制目標的定位更高,內(nèi)容更寬泛。內(nèi)部控制框架將企業(yè)內(nèi)部控制的目標分為經(jīng)營目標、財務(wù)報告目標和合法性目標。ERM框架則在此三項目標基礎(chǔ)之上,新增了一個目標——戰(zhàn)略目標,該目標的層次比其他三個目標更高。另外,內(nèi)部控制框架中的財務(wù)報告目標只與公開披露的財務(wù)報表的可靠性相關(guān),而ERM框架中的財務(wù)報告目標的范圍有很大的擴展,覆蓋了企業(yè)編制的所有報告。

(2)更加突出了對企業(yè)風險的關(guān)注。ERM框架以風險管理為中心定位內(nèi)部控制體系,明確了內(nèi)部控制的核心就是進行風險管理以最終幫助企業(yè)實現(xiàn)其既定目標。ERM框架提出了一個新的觀念——風險組合觀,并針對風險度量提出風險偏好和容忍度兩個新概念,同時在內(nèi)部控制構(gòu)成要素方面增加了三個風險管理要素——目標制定、事項識別、風險反應(yīng),并對其他五個構(gòu)成要素的內(nèi)涵進行了更深入的闡述,擴大了相關(guān)要素的范圍。可以說,ERM框架中列明的八個要素都是直接或間接圍繞企業(yè)風險管理而展開的。

(3)更加強調(diào)董事會在內(nèi)部控制中的作用。內(nèi)部控制框架的控制環(huán)境要素包括組織人員的誠實、倫理價值和能力;管理層哲學和經(jīng)營模式;管理層分配權(quán)限和責任、組織、發(fā)展員工的方式;董事會提供的關(guān)注和方向等內(nèi)容。雖然將董事會與內(nèi)部控制聯(lián)系起來了,但它的這種聯(lián)系僅僅局限于企業(yè)有一些事情需要董事會審批或授權(quán),基本上把內(nèi)部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯(lián)系和制衡關(guān)注不夠。ERM框架則將內(nèi)部控制框架中的控制環(huán)境擴展為內(nèi)部環(huán)境,并充分認識到企業(yè)風險管理的成功與否很大程度上依賴于董事會,董事會對內(nèi)部控制系統(tǒng)至關(guān)重要,擴大了董事會在企業(yè)內(nèi)部控制中的地位與職責。

二、COSO報告對我國企業(yè)內(nèi)部控制的啟示

近年來,隨著我國在內(nèi)部會計控制方面逐漸形成了一個較完整的規(guī)范體系,大部分企業(yè)都建立了內(nèi)部控制制度,但在企業(yè)實際經(jīng)營管理活動中,普遍存在一些問題。COSO報告可以說是目前最完善的內(nèi)部控制框架,借鑒COSO報告可以對完善我國企業(yè)內(nèi)部控制有以下一些啟示。

1、建立以風險管理為核心的企業(yè)內(nèi)部控制體系

新的COSO框架最突出的特點是提高了對企業(yè)風險的關(guān)注程度,使企業(yè)內(nèi)部控制逐漸呈現(xiàn)與風險管理一體化的趨勢,即以風險管理為主導(dǎo),建立適應(yīng)企業(yè)風險管理戰(zhàn)略的新的內(nèi)部控制。企業(yè)內(nèi)部控制開始走向范圍更寬泛的風險管理。

我國企業(yè)應(yīng)加強對風險的認識,將風險管理提升到一定的高度,逐步建立以風險管理為核心的內(nèi)部控制體系。由于控制是需要成本的,董事會與管理層要將精力主要放在風險管理上,而不是對所有細節(jié)的控制上。對風險的管理是否及時、有效往往會關(guān)系到企業(yè)的生死存亡。只有將風險管理作為核心的內(nèi)部控制才能為企業(yè)的存續(xù)和發(fā)展提供更大的支持。

企業(yè)風險管理需要企業(yè)管理者建立一種企業(yè)總體層面上的風險組合觀,對相關(guān)的風險進行識別并采取措施使企業(yè)所承擔的總體風險在風險偏好的范圍內(nèi)。在制定目標時,要針對不同的目標分析其相應(yīng)的風險,并根據(jù)對實現(xiàn)企業(yè)目標的潛在影響來確認風險,從固有風險和殘存風險的角度進行風險評估,對規(guī)避、減少、共擔和接受等風險反應(yīng)方案,企業(yè)管理者應(yīng)比較不同方案的潛在影響,在企業(yè)風險容忍度范圍內(nèi)的假設(shè)下考慮風險反應(yīng)方案的選擇。

2、重視企業(yè)的內(nèi)部環(huán)境建設(shè),強化董事會的內(nèi)部控制功能

內(nèi)部環(huán)境有著豐富的內(nèi)涵,它由許多因素共同構(gòu)成,包括企業(yè)風險管理理念、企業(yè)風險偏好、董事會的監(jiān)管、企業(yè)員工的誠實性、道德標準和能力、權(quán)責的分派以及企業(yè)的人力資源政策等。內(nèi)部環(huán)境設(shè)定了企業(yè)的基調(diào),同時也是決定一個企業(yè)的內(nèi)部控制優(yōu)劣的基礎(chǔ)。企業(yè)要加強對內(nèi)部環(huán)境的建設(shè),只有擁有良好的內(nèi)部環(huán)境,才能保證具體內(nèi)部控制措施的實施,才能真正建立起有效的體系。

在構(gòu)成內(nèi)部環(huán)境的要素中,董事會是重要的組成部分,對其他要素有著重大影響,建立健全董事會功能是企業(yè)最根本的內(nèi)部控制。安然、世通等特大財務(wù)欺詐案件都直接與董事會功能失效和內(nèi)部人控制泛濫有關(guān)。而在我國,受體制等方面的影響,很多企業(yè)的董事會形同虛設(shè),內(nèi)部控制缺乏應(yīng)有的股東監(jiān)督機制,更多地維系在經(jīng)營者的覺悟上,關(guān)鍵人控制現(xiàn)象十分突出。企業(yè)應(yīng)該認識到董事會對企業(yè)的所有活動負有最終責任,要充分發(fā)揮董事會的監(jiān)管作用,確保企業(yè)的各項活動符合其風險偏好、不超出其風險容忍度的范圍,這樣才能使企業(yè)健康地發(fā)展下去。

3、加強監(jiān)督機制,提高內(nèi)部控制效率

公司治理的監(jiān)督機制包括內(nèi)部監(jiān)督機制與外部監(jiān)督機制,其中內(nèi)部監(jiān)督機制是指股東大會、董事會、監(jiān)事會等監(jiān)督機制;外部監(jiān)督機制是指媒體、中介機構(gòu)等監(jiān)督機制。在目前我國很多企業(yè)缺乏完善的公司治理機制、內(nèi)部環(huán)境較差的情況下,要使內(nèi)部控制有效執(zhí)行,必須借助于企業(yè)內(nèi)、外部的監(jiān)督機制,定期和不定期地對內(nèi)部控制制度的執(zhí)行情況進行檢查與考核,不斷發(fā)現(xiàn)問題、解決問題,從而不斷修改或調(diào)整有關(guān)的控制環(huán)節(jié)和措施,促使內(nèi)部控制日趨合理有效。

4、突出人的作用,增強內(nèi)部控制執(zhí)行的自覺性

無論多好的制度,若得不到切實的執(zhí)行也不能發(fā)揮其應(yīng)有的作用。內(nèi)部控制并非僅僅是政策手冊與表格,而是由具體的人來執(zhí)行和實施的。在加強企業(yè)內(nèi)部控制管理的過程中,人的因素十分的重要。這里所說的人,不僅僅是企業(yè)的管理人員、董事會成員或內(nèi)部審計人員,而應(yīng)包括來自企業(yè)內(nèi)每一個階層的每一個員工。一個良好的內(nèi)部控制系統(tǒng)應(yīng)確保企業(yè)內(nèi)每一個員工都能清楚地知道其所擁有的權(quán)力和承擔的責任,樹立每一個員工都應(yīng)對企業(yè)的內(nèi)部控制負有責任的觀念,促使他們團結(jié)合作,主動實施并完善企業(yè)的內(nèi)部控制,為企業(yè)總體目標的實現(xiàn)認真履行自己的職責。

【參考文獻】

[1] 柳木華:美國COSO委員會:借鑒與啟示[J].當代財經(jīng),2006(8).

[2] 李靜:美國COSO報告及其借鑒意義[J].財會月刊,2006(4).

[3] 朱榮恩、賀欣:內(nèi)部控制框架的新發(fā)展——企業(yè)風險管理框架[J].審計研究,2003(6).

[4] 吳濤:新COSO報告對構(gòu)建我國內(nèi)部控制規(guī)范體系的啟示[J].商場現(xiàn)代化,2006(2).

[5] 葉雪芳:美國COSO報告及對我國內(nèi)部控制的啟示[J].商業(yè)經(jīng)濟與管理,2003(3).

(責任編輯:胡婉君)