COSO内部控制框架
无论是COSO于1992年发布的首版内部控制框架,还是于2013年再版的内部控制框架,都明确表示企业风险管理框架包含内部控制,如图18-3所示,展现了内部控制、风险管理和公司治理三者的关系。它是将企业内部控制作为企业风险管理的一个子系统。COSO内部控制框架明确指出:有效的内部控制是避免企业经营失败的防线之一。内部控制是提升企业经营绩效的重要驱动力,它能帮助企业管理风险,创造维护企业价值。罗伯特.
无论是COSO于1992年发布的首版内部控制框架,还是于2013年再版的内部控制框架,都明确表示企业风险管理框架包含内部控制,如图18-3所示,展现了内部控制、风险管理和公司治理三者的关系。它是将企业内部控制作为企业风险管理的一个子系统。
COSO内部控制框架明确指出:有效的内部控制是避免企业经营失败的防线之一。内部控制是提升企业经营绩效的重要驱动力,它能帮助企业管理风险,创造维护企业价值。
罗伯特.R.穆勒的著作《COSO内部控制指南》(2013版)将内部控制的主要内容,概括为一个定义、三类目标、五项要素和十七项原则。
1.内部控制的定义
COSO1992年首版内部控制框架,给出了内部控制概念的多维度描述,内部控制被定义为:“内部控制是一个流程,它受到一个组织的董事会、管理层以及其他人员的影响,为达成以下战略目标提供有力的保障:
- 运营的效率与效果;
- 财务报告的可靠性;
- 遵守适用的法律法规。”
COSO2013年再版内部控制框架并未改变首版内部控制这一基础定义,而且还采用了一个新的三维模型来描述一个企业的内部控制系统,如图18-4所示:COSO三维模型的顶部,表示内部控制的三类目标----营运控制、报告控制和合规性控制;三维模型的正前方表示内部控制的五个关键要素----控制环境、风险评估、控制活动、信息与沟通、监控活动,这是再版框架变化最大的地方。企业的组织结构是内部控制的第三个重要维度,显示在模型的右侧,它展现了内部控制在整个组织结构中的相关要素,包括公司层面、分支机构、运营单元或包含着如销售、购买、生产以及营销等关键商业流程的部门。
我们可以将COSO内部控制框架看作一个能够强化企业所有流程和相关报告的模型。这个模型表达的总体含义是,当今企业的内部控制并不仅仅是单独的控制目标,而是一个多层级、多维度的概念,在COSO模型中的每个单元都在三个维度上与其他要素产生联系。
2.内部控制的三类目标
公司总体目标的适用对象是公司整体,而下一级或细化的目标可以针对具体业务部门、运营单元或商业活动。每一项目标的建立都应该致力于满足COSO框架有关运营、财务报告以及合规的目标。
(1)外部财务报告目标。这一目标应遵循公认会计准则并适应企业所在的商业环境,它既适用于源自会计记录的期中和期末财务报表,也适用于基于外部需要的其他财务报表。这些报表可能以监管层要求的格式正式发布,也可能以报告形式在年度股东大会和企业网站上发布。外部财务报告还可能包括为满足税收部门、监管机构或基于合同、约定中的条款而准备的财务报告,以及可能在企业网站上发布的企业新闻、企业收益或其他财务信息。
尽管外部财务报告受企业管理层的重点关注,但它通常仅占整个企业报告的一小部分。而企业内部报告的目标则是满足企业战略目标、运营计划、不同层级和单元的绩效考核等内部要求。尽管COSO内部控制强调的是外部报告,但企业的内部报告同样重要。通常,这些内部报告合起来构成了外部报告的基础。
(2)内部运营控制目标。企业的运营目标与基本使命----企业存在的根本原因----直接相关。运营目标会因组织结构、行业因素和公司业绩,以及管理层选择不同而不断改变。企业的运营目标将进一步细化成业务部门、分支机构、营运单元、职能部门等子部门的营运目标,所以这些目标旨在让企业更有效率和效果地实现其最高目标。
运营目标包括提升企业的整体服务流程,强化产品质量,削减成本以及其他创新性的改善措施。运营目标的另一项重要内容是提高顾客或员工的满意度。企业应在运营的很多相关方面建立内部控制目标来提升效果。
(3)内部控制合规目标。全球企业都面临着日益增多的法规监管。尽管有些法规定义模糊,导致企业在遵循过程中无据可循,但企业需要在合规上建立内部制度,确保其运营单位或职能部门在遵循相关条例和规章的前提下运营业务。内部审计师或质量监管人员等能够在法规遵循的有效性方面起到检查和监督作用,因而对于实现遵循法律法规的内部控制目标十分重要。
企业管理层在准备财务报表和实施其他内部控制时,必须加强判断力,使企业遵守外部财务报告和其他相关内部控制的要求。管理层必须深思如何管理在财务报告目标和子目标里识别出的风险。在某类目标中,管理层应对风险的选择有限,也就是说,管理层在该目标上会选择规避风险而非降低风险。例如,管理层可能决定通过将某些交易过程外包给更适合执行这个商业流程的第三方来规避风险。尽管如此,即使是在第三方的情况下,管理层始终负有设计、实施、执行内部控制系统的责任。对外部财务报告目标来讲,企业承担或规避的风险应该在个体或整体上没有超过风险的承担极限,同时也不会导致重大的财务错报。
最后需要指出的是很多控制过程彼此之间相互关联且可以支持多个目标。如一个类别中的目标可能与另一个类别中的目标彼此重叠,互相助力,换句话来说是重叠的内部控制目标。
3、内部控制五个关键要素
(1)控制环境。COSO首版内部控制框架,将控制环境要素置于底部----是其他内部控制要素的基础。该要素在再版中位于框架的顶层,旨在突出地反映该要素的地位。但它仍应该被看作所有其他内部控制要素的基础。
控制环境要素,受到包括企业的历史和价值观、市场、竞争和监管在内的各种内外部因素的影响。控制环境受到标准、流程、结构的限定,这些标准、流程和结构引导不同层级的人行使其内部控制的职责,依据企业目标来决策。控制环境还可以被看作内部控制文化的同义词。诚信、道德和价值观、监管、责任和业绩评估等有效的内部控制文化要素都能够使控制环境更为有效。有效控制环境能够起到如下作用:支持实现企业目标的风险评估、执行控制活动,使用信息与沟通系统以及运行监管活动。
(2)风险评估。COSO内部控制框架将风险定义为对企业实现某些目标有不利影响的事件发生的可能性。风险可以影响一个企业的方方面面。比如,企业的生存能力、行业竞争力、财务状况、声誉,以及产品、服务和员工的整体质量。
现实中风险不可能降低为零,管理层必须设置较为谨慎的风险容忍度。企业实现目标的风险应当与事项设置的风险容忍度相互关联。在此基础上,风险评估是管理各种风险的决策基础。风险评估的前提之一是确立企业各个层面的风险目标。管理层在确立企业各个层面与经营、财务报告及合规的相关目标后,还要考虑这些目标是否恰当。另外,风险评估还要求管理层考虑外部环境可能发生的变化以及自身经营模式可能导致内部控制失效的因素。
再版COSO内部控制框架,将风险评估视作关键要素,在内部控制流程建设过程中,企业应当根据2013版COSO框架指引中风险评估方面列出的四项原则,建立或调整现有的风险管理流程。
(3)控制活动。控制活动是整个COSO内部控制框架中最核心的要素。控制活动是指保证管理层降低实现目标所承担风险的指令得以实施的各项活动。控制活动贯穿整个组织,遍及各个层级、业务单元和流程以及技术环境。控制活动按照性质可以划分为预防性控制措施和检查性控制措施,它们包含一系列手工控制措施和自动化控制措施,例如授权、批准、验证、调节、经营业绩评价等。
再版内控框架再次强调了风险管理对建立有效内控系统的重要性,这条原则强调了控制活动与风险评估相结合,理解和不断改进企业经营流程,以及建立有效的职责分离控制体系的重要性。相对于首版框架而言,再版强调了IT控制对企业建立有效内部控制的重要性,为企业的内部控制建设指明了方向,同时还强调了内部控制的适用性,即企业在实施内部控制时需要考虑企业规模与经营范围。
(4)信息与沟通。信息是内部控制实现企业目标的重要因素。管理层利用企业内外部资源,获取、产生并使用相关的高质量信息来支持内部控制各项要素发挥作用。在COSO定义中,信息的供给、分享和获取通过沟通这一持续反复的过程来实现。内部沟通是使信息在企业内部上传下达、广泛传播的一种方式。外部沟通使得企业获取相关外部信息,并对外部各方的需求和预期予以反馈。
信息与沟通要素主要用于辅助其他要素有效运行,其中包括与内部和外部报告相关的控制目标。企业在运用COSO内部控制框架建设内部控制系统时,应当充分考虑不同报告目标对信息与沟通系统的影响。
(5)监控活动。监控活动可以评估控制环境、风险评估等其他要素以及内部控制目标的运行情况。企业应该使用持续评估和个别评价的程序,确认在企业内部及其子单元内部控制系统的有效运行。监控活动是组织评价内部控制有效性的重要工具。
4.十七项原则
再版COSO内部控制框架的一个重大变化是制定了支持内部控制五要素的内部控制原则。这些内部控制要素和原则汇总起来组成内部控制的实施标准和管理层的关注点,能够帮助和指导管理层评估这些内部控制要素是否存在、是否有效,以及这些要素是否在企业层面共同发挥作用。
如表18-2所示。每一个关注点都直接对应这十七条原则,每一个原则都直接对应内部控制的五要素之一。
表18-2 COSO内部控制17项原则 :
控制环境
- (1)企业对诚信和道德价值观的承诺。
- (2)董事会相对于管理层保持独立。
- (3)组织架构、报告路径以及适当的权力与责任。
- (4)吸引、发展和留住优秀人才。
- (5)企业内部控制责任人的问责制度。
风险评估
- (6)企业制定足够清晰的目标。
- (7)识别实现目标所涉及的风险。
- (8)考虑潜在的舞弊行为。
- (9)识别并评估内部控制的重大变化。
控制活动
- (10)选择并设定控制活动。
- (11)选择并设定一般IT控制活动。
- (12)通过政策和程序来部署控制活动。
信息与沟通
- (13)获取、生成和使用高质量的信息。
- (14)对内部控制信息进行内部沟通。
- (15)对内部控制信息进行外部沟通。
监控活动
- (16)进行持续并且(或者)单独的内部控制评估。
- (17)对内部控制缺陷的评估和沟通。
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)