论文部分内容阅读
摘要:全文介绍了COSO企业内部控制框架的构成要素,并对每个要素进行了深入的解析,以便中国企业建立一套符合企业发展实际的内部控制制度。
关键词:解析;COSO框架
早期的内部控制从内容侧重点和形式上都打上了审计专业或行业的烙印,被定义在与财务审计密切相关的狭窄的范畴。1992年,美国的COSO委员会(The Committee of Sponsoring Organizations 0f The National Commission 0f Fraudulent Financial Reporting,简称COSO,全美国虚假财务报告全国委员会的发起组织委员会)设计了一个新的内部控制框架。即COSO框架。COSO框架是最被广泛认可的内部控制整体框架国际标准。按照COSO内部控制框架建立内控体系,是企业梳理管理流程、规范管理制度、提升整体管理水平的契机。
COSO框架包括5个基本要素;控制环境,风险评估、控制活动、信息和沟通、监督。
一、控制环境
控制环境是指企业实施内部控制并使其持续发挥作用的环境。控制环境确立公司风险管理的总体态度,是内部控制体系的基础,是有效实施风险管理的保障,直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。
(一)控制環境要素
控制环境中的要素包括:诚信和道德价值观、员工的胜任能力,董事会和审计委员会、管理层的经营理念和风格、组织结构、权限和职责分配,人力资源政策与措施。
(二)不同背景下的控制环境差别
1.母子公司控制环境的差别
一家企业的自主营运部门以及海外和国内子公司的控制环境可能差别会非常大,这是由经营部门高级管理层的偏好、价值判断和经营风格的差别造成的。因此,承认不同的控制环境能够对一个内部控制体系的其他因素产生影响非常重要。
2.中小企业控制环境因素与大企业的差别
中小企业可以实施不同于大企业的控制环境因素。例如:小公司可能没有书面的行为准则,但是这并不意味着该公司不会有强调诚信和道德行为重要性的公司文化。同样,中小企业的人力资源政策也不可能像大企业那样正式。但是他们都会有相应的人力资源政策和操作方法并予以传达沟通。
(三)控制环境的评估
评估人员在确定是否存在有效的控制环境时应考虑每一个控制环境因素。
1.对诚信和道德价值观的评估
对该要素的评估应重点关注:
(1)企业有没有并执行着员工行为准则和其他政策,涉及可接受的商业惯例、利益冲突或预期的精神道德行为规范
(2)与员工,供应商,客户,投资人,债权人、保险公司、竞争对手以及审计师之间的交易;
(3)不切实际的业绩目标,特别是短期业绩成果的压力;薪酬基于上述目标的程度。
2.对胜任工作的能力的评估
对该要素的评估应重点关注:
(1)规范或不规范的岗位描述或者对构成某个岗位的任务的其他定义方式;
(2)对履行岗位职责所需要的知识和技能进行分析。
3.对董事会和审计委员会的评估
对该要素的评估应重点关注:
(1)独立于管理层,即使这会给管理层提出困难和探索性的问题,这也是必要的;
(2)与财务总监和(或)会计负责人,内部审计人员和外部审计师举行会议的频率和及时性;
(3)向董事会成员提供信息是否足够、及时,以便可以监督管理层的目标和战略、企业的财务状况和运行结果以及重大协议的期限
(4)是否将敏感信息、问题调查和不当行为充分地、及时地通告董事会和审计委员会。
4.对管理层的经营理念和经营风格的评估
对该要素的评估应重点关注:
(1)可以承担的商业风险的性质,例如管理层是否经常讨论某个高风险的项目,或者对承担风险特别谨慎小心;
(2)高级管理层和运营管理层之间的互动频率,尤其是在地理位置偏远的地区进行运营时;
(3)对财务报告的态度和采取的行动,包括对运用会计处理的争议。
5.对组织结构的评估
对该要素的评估应重点关注:
(1)企业组织结构的适合性,该组织结构是否能够提供必要的信息流以管理其经营活动;
(2)充分定义了关键管理人员的职责,而且他们理解这些职责;
(3)就关键管理人员的职责而言,他们是否具备足够的知识和经验。
6.对授权和职责分工的评估
对该要素的评估应重点关注:
(1)是否有明确的职责分工和授予权力,以处理妨碍实现企业目标和目的的问题,满足运营职能和监管的要求,包括对信息系统负责以及授权进行改变
(2)与内部控制相关的准则和程序的适合性,包括员工岗位描述
(3)适合的人员数,特别是与数据处理和会计职能有关的人数,与企业规模相关的所需的技能水平,以及企业活动和系统的性质和复杂性。
7.对人力资源政策与措施的评估
对该要素的评估应重点关注:
(1)员工聘用、培训、晋升和薪酬的政策和程序制定到位的程度,
(2)对根据政策和程序批准的离职所采取的相应补救行动的适合性;
(3)对雇员候选人背景是否进行足够的审查,尤其是当企业认为对其以前的行为或活动无法接受的情况下。
二、风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。
风险评估的前提是目标设定,风险评估的基础是风险识别;风险评估的关键是风险分析;风险评估的目的是风险应对。评估人员应把重点放在目标设定、风险分析和应对变化的流程上,包括流程的关联因素以及相关的业务活动。
1.对企业层面目标的评估
(1)对企业目标充分陈述的程度,是否对企业期望实现的目标提供充分的指导,而且特定目标直接与该企业相关;
(2)向员工和董事会传达企业目标的有效性,
(3)企业目标与各种策略的关系和一致性
(4)企业目标,战略计划和当前环境条件与经营计划和预算的一致性。
2.对业务活动层面目标的评估
(1)业务活动层面目标与企业总体目标和战略计划的关联度,
(2)业务活动层面目标之间的一致性;
(3)业务活动层面目标与所有重要的业务流程的相关性
(4)业务活动层面目标的特异性。
(5)与目标相关的资源是否充足
(6)识别对实现企业总体目标来说较重要的目标(关键成功因素);
(7)各级管理层参与目标设定以及他们对实现目标履行诺言的态度。
3.对风险识别的评估
(1)识别外部因素造成风险的机制是否足够全面;
(2)识别内部因素造成风险的机制是否足够全面
(3)为每个重要的业务活动层面目标识 别重大风险;
(4)风险分析流程(包括估计风险的重要性、评估风险出现的可能性并确定需要采取的行动)的彻底性和相关性。
4.对应对变化的评估
(1)是否建立预测、识别并对现实企业或业务活动层面目标产生影响的日常事件或活动作出反应的各种机制;
(2)是否存在各种机制去识别变化并对变化作出反应,这种变化会给企业带来巨大的和渗透性的影响,而且可能还需要高级管理层的关注。
三、控制活动
控制活动是结合风险评估结果,运用相应的控制管理措施,将风险控制在可承受度之内,确保管理层关于风险应对方案得以贯彻执行的政策和程序,包括批准、授权,核对会计分录,核实,检查业绩,风险披露限制,职责划分、生产安全。基于与其有关的企业目标的性质,控制活动可以分为3种类型;经营控制、财务报告控制和合规性控制。
控制活动通常包括两个要素:第一个要素是政策,第二个要素是程序。
1.控制活动与风险评估的结合
在评估风险的同时,管理层应明确并实施应对风险所需要采取的行动。应对风险时明确的行动有助于把关注的焦点放在要实施的控制活动上,从而保证正确、及时地贯彻执行这些控制活动。
2.对控制活动的评估
必须在管理层指导下,针对与每个重要活动所确立的目标有关的风险来对控制活动进行评估。因此评价者必须考虑控制活动是否与风险评估流程有关,控制活动是否适当并可以保证管理层的指令得到贯彻执行。对每一项重要的业务活动都将进行这样的评价。评价者将不仅考虑确立的控制活动是否与风险评估流程相关,也将考虑是否正确地运用了这些控制活动。
四、信息和沟通
信息和沟通是指企业中的各种生产运营和管理信息以某种形式被识别、获得和沟通,以促使员工按照信息指令履行自己的职责。
信息的识别、获取、处理和报告靠信息系统进行。沟通是信息系统所固有的功能。沟通的方式可以采用诸如政策手册、备忘录、布告通知和录像带等形式。
对信息与沟通的评估,评估者将考虑信息和沟通系统满足企业需要的适合性。
1.对信息系统的评估要点
(1)获得外部和内部信息,向管理层提供必要的报告,说明与实现企业目标相关的企业业绩表现;
(2)向适合的人及时提供足够详细的信息,使他们能够有效率和有效果地履行职责,
(3)依据一份与企业总体战略相关的信息系统战略计划,发展或修改信息系统,使其为实现企业总体目标及业务活动层面目标服务
(4)通过承诺提供适当的人力、财力资源,显示管理层对发展必要的信息系统的支持。
2.沟通系统的评估要点
(1)传达员工义务和控制职责的有效性;
(2)是否建立了沟通渠道,使员工可以举报受到怀疑的不当行为,
(3)管理层对员工关于提高生产力、强化质量管理或其他改进方法的建议的接受度;
(4)企业内部的沟通是否足够,信息的完整性和及时性是否足以使人们有效地履行其职责,
(5)与客户、供应商和其他外部有关方沟通不断变化的客户需求信息的渠道的开放性和有效性,
(6)外部各方对该企业道德准则的了解程度,
(7)管理层是否通过与客户、供应商、监管部门或其他外部有关方的沟通,采取了及时的和合适的跟进措施。
五、监督
监督是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效,一般采用持续性监督和独立评估的方式。
在考虑对企业内部控制的持续性、有效性进行监督的程度时,对内部控制体系的持续性监督活动和独立评估两者(或其中一些部分)都应予以考虑。
1.对持续性监督的评估
(1)在员工日常活动中获得证据的程度,以此表明内部控制体系是否继续发挥作用
(2)与外部各方进行沟通,确认内部生成的信息或指明问题的程度;
(3)定期对会计系统记录的金额与实物资产进行核对;
(4)对内部和外部审计师建议增强内部控制手段的反应,
(5)培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度。
(6)是否定期要求员工说明他们有否理解和遵守企业的员工行为守则,并且正常执行了关键控制活动;
(7)内部审计活动的有效性。
2.对独立评估的评估
(1)内部控制体系独立评估的范围和频率
(2)评价流程的适合性。
(3)评价内部控制体系的方法是否合理、适合
(4)文件记录水平的适合性。
3.对报告缺陷的评估
(1)是否有获取和报告已识别出的内部控制缺陷的机制;
(2)上报规程的适合性,
(3)跟进行动的适合性。
内部控制的内容。归根结底是由上述要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机结合,切忌闭门造车,生搬硬套,要从分析自身的控制环境开始,这样才能真正建立一套符合企業发展实际的内部控制制度。
关键词:解析;COSO框架
早期的内部控制从内容侧重点和形式上都打上了审计专业或行业的烙印,被定义在与财务审计密切相关的狭窄的范畴。1992年,美国的COSO委员会(The Committee of Sponsoring Organizations 0f The National Commission 0f Fraudulent Financial Reporting,简称COSO,全美国虚假财务报告全国委员会的发起组织委员会)设计了一个新的内部控制框架。即COSO框架。COSO框架是最被广泛认可的内部控制整体框架国际标准。按照COSO内部控制框架建立内控体系,是企业梳理管理流程、规范管理制度、提升整体管理水平的契机。
COSO框架包括5个基本要素;控制环境,风险评估、控制活动、信息和沟通、监督。
一、控制环境
控制环境是指企业实施内部控制并使其持续发挥作用的环境。控制环境确立公司风险管理的总体态度,是内部控制体系的基础,是有效实施风险管理的保障,直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。
(一)控制環境要素
控制环境中的要素包括:诚信和道德价值观、员工的胜任能力,董事会和审计委员会、管理层的经营理念和风格、组织结构、权限和职责分配,人力资源政策与措施。
(二)不同背景下的控制环境差别
1.母子公司控制环境的差别
一家企业的自主营运部门以及海外和国内子公司的控制环境可能差别会非常大,这是由经营部门高级管理层的偏好、价值判断和经营风格的差别造成的。因此,承认不同的控制环境能够对一个内部控制体系的其他因素产生影响非常重要。
2.中小企业控制环境因素与大企业的差别
中小企业可以实施不同于大企业的控制环境因素。例如:小公司可能没有书面的行为准则,但是这并不意味着该公司不会有强调诚信和道德行为重要性的公司文化。同样,中小企业的人力资源政策也不可能像大企业那样正式。但是他们都会有相应的人力资源政策和操作方法并予以传达沟通。
(三)控制环境的评估
评估人员在确定是否存在有效的控制环境时应考虑每一个控制环境因素。
1.对诚信和道德价值观的评估
对该要素的评估应重点关注:
(1)企业有没有并执行着员工行为准则和其他政策,涉及可接受的商业惯例、利益冲突或预期的精神道德行为规范
(2)与员工,供应商,客户,投资人,债权人、保险公司、竞争对手以及审计师之间的交易;
(3)不切实际的业绩目标,特别是短期业绩成果的压力;薪酬基于上述目标的程度。
2.对胜任工作的能力的评估
对该要素的评估应重点关注:
(1)规范或不规范的岗位描述或者对构成某个岗位的任务的其他定义方式;
(2)对履行岗位职责所需要的知识和技能进行分析。
3.对董事会和审计委员会的评估
对该要素的评估应重点关注:
(1)独立于管理层,即使这会给管理层提出困难和探索性的问题,这也是必要的;
(2)与财务总监和(或)会计负责人,内部审计人员和外部审计师举行会议的频率和及时性;
(3)向董事会成员提供信息是否足够、及时,以便可以监督管理层的目标和战略、企业的财务状况和运行结果以及重大协议的期限
(4)是否将敏感信息、问题调查和不当行为充分地、及时地通告董事会和审计委员会。
4.对管理层的经营理念和经营风格的评估
对该要素的评估应重点关注:
(1)可以承担的商业风险的性质,例如管理层是否经常讨论某个高风险的项目,或者对承担风险特别谨慎小心;
(2)高级管理层和运营管理层之间的互动频率,尤其是在地理位置偏远的地区进行运营时;
(3)对财务报告的态度和采取的行动,包括对运用会计处理的争议。
5.对组织结构的评估
对该要素的评估应重点关注:
(1)企业组织结构的适合性,该组织结构是否能够提供必要的信息流以管理其经营活动;
(2)充分定义了关键管理人员的职责,而且他们理解这些职责;
(3)就关键管理人员的职责而言,他们是否具备足够的知识和经验。
6.对授权和职责分工的评估
对该要素的评估应重点关注:
(1)是否有明确的职责分工和授予权力,以处理妨碍实现企业目标和目的的问题,满足运营职能和监管的要求,包括对信息系统负责以及授权进行改变
(2)与内部控制相关的准则和程序的适合性,包括员工岗位描述
(3)适合的人员数,特别是与数据处理和会计职能有关的人数,与企业规模相关的所需的技能水平,以及企业活动和系统的性质和复杂性。
7.对人力资源政策与措施的评估
对该要素的评估应重点关注:
(1)员工聘用、培训、晋升和薪酬的政策和程序制定到位的程度,
(2)对根据政策和程序批准的离职所采取的相应补救行动的适合性;
(3)对雇员候选人背景是否进行足够的审查,尤其是当企业认为对其以前的行为或活动无法接受的情况下。
二、风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略的过程。
风险评估的前提是目标设定,风险评估的基础是风险识别;风险评估的关键是风险分析;风险评估的目的是风险应对。评估人员应把重点放在目标设定、风险分析和应对变化的流程上,包括流程的关联因素以及相关的业务活动。
1.对企业层面目标的评估
(1)对企业目标充分陈述的程度,是否对企业期望实现的目标提供充分的指导,而且特定目标直接与该企业相关;
(2)向员工和董事会传达企业目标的有效性,
(3)企业目标与各种策略的关系和一致性
(4)企业目标,战略计划和当前环境条件与经营计划和预算的一致性。
2.对业务活动层面目标的评估
(1)业务活动层面目标与企业总体目标和战略计划的关联度,
(2)业务活动层面目标之间的一致性;
(3)业务活动层面目标与所有重要的业务流程的相关性
(4)业务活动层面目标的特异性。
(5)与目标相关的资源是否充足
(6)识别对实现企业总体目标来说较重要的目标(关键成功因素);
(7)各级管理层参与目标设定以及他们对实现目标履行诺言的态度。
3.对风险识别的评估
(1)识别外部因素造成风险的机制是否足够全面;
(2)识别内部因素造成风险的机制是否足够全面
(3)为每个重要的业务活动层面目标识 别重大风险;
(4)风险分析流程(包括估计风险的重要性、评估风险出现的可能性并确定需要采取的行动)的彻底性和相关性。
4.对应对变化的评估
(1)是否建立预测、识别并对现实企业或业务活动层面目标产生影响的日常事件或活动作出反应的各种机制;
(2)是否存在各种机制去识别变化并对变化作出反应,这种变化会给企业带来巨大的和渗透性的影响,而且可能还需要高级管理层的关注。
三、控制活动
控制活动是结合风险评估结果,运用相应的控制管理措施,将风险控制在可承受度之内,确保管理层关于风险应对方案得以贯彻执行的政策和程序,包括批准、授权,核对会计分录,核实,检查业绩,风险披露限制,职责划分、生产安全。基于与其有关的企业目标的性质,控制活动可以分为3种类型;经营控制、财务报告控制和合规性控制。
控制活动通常包括两个要素:第一个要素是政策,第二个要素是程序。
1.控制活动与风险评估的结合
在评估风险的同时,管理层应明确并实施应对风险所需要采取的行动。应对风险时明确的行动有助于把关注的焦点放在要实施的控制活动上,从而保证正确、及时地贯彻执行这些控制活动。
2.对控制活动的评估
必须在管理层指导下,针对与每个重要活动所确立的目标有关的风险来对控制活动进行评估。因此评价者必须考虑控制活动是否与风险评估流程有关,控制活动是否适当并可以保证管理层的指令得到贯彻执行。对每一项重要的业务活动都将进行这样的评价。评价者将不仅考虑确立的控制活动是否与风险评估流程相关,也将考虑是否正确地运用了这些控制活动。
四、信息和沟通
信息和沟通是指企业中的各种生产运营和管理信息以某种形式被识别、获得和沟通,以促使员工按照信息指令履行自己的职责。
信息的识别、获取、处理和报告靠信息系统进行。沟通是信息系统所固有的功能。沟通的方式可以采用诸如政策手册、备忘录、布告通知和录像带等形式。
对信息与沟通的评估,评估者将考虑信息和沟通系统满足企业需要的适合性。
1.对信息系统的评估要点
(1)获得外部和内部信息,向管理层提供必要的报告,说明与实现企业目标相关的企业业绩表现;
(2)向适合的人及时提供足够详细的信息,使他们能够有效率和有效果地履行职责,
(3)依据一份与企业总体战略相关的信息系统战略计划,发展或修改信息系统,使其为实现企业总体目标及业务活动层面目标服务
(4)通过承诺提供适当的人力、财力资源,显示管理层对发展必要的信息系统的支持。
2.沟通系统的评估要点
(1)传达员工义务和控制职责的有效性;
(2)是否建立了沟通渠道,使员工可以举报受到怀疑的不当行为,
(3)管理层对员工关于提高生产力、强化质量管理或其他改进方法的建议的接受度;
(4)企业内部的沟通是否足够,信息的完整性和及时性是否足以使人们有效地履行其职责,
(5)与客户、供应商和其他外部有关方沟通不断变化的客户需求信息的渠道的开放性和有效性,
(6)外部各方对该企业道德准则的了解程度,
(7)管理层是否通过与客户、供应商、监管部门或其他外部有关方的沟通,采取了及时的和合适的跟进措施。
五、监督
监督是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效,一般采用持续性监督和独立评估的方式。
在考虑对企业内部控制的持续性、有效性进行监督的程度时,对内部控制体系的持续性监督活动和独立评估两者(或其中一些部分)都应予以考虑。
1.对持续性监督的评估
(1)在员工日常活动中获得证据的程度,以此表明内部控制体系是否继续发挥作用
(2)与外部各方进行沟通,确认内部生成的信息或指明问题的程度;
(3)定期对会计系统记录的金额与实物资产进行核对;
(4)对内部和外部审计师建议增强内部控制手段的反应,
(5)培训研讨会、计划会议及其他会议向管理层提供有关内部控制是否有效的重要反馈的程度。
(6)是否定期要求员工说明他们有否理解和遵守企业的员工行为守则,并且正常执行了关键控制活动;
(7)内部审计活动的有效性。
2.对独立评估的评估
(1)内部控制体系独立评估的范围和频率
(2)评价流程的适合性。
(3)评价内部控制体系的方法是否合理、适合
(4)文件记录水平的适合性。
3.对报告缺陷的评估
(1)是否有获取和报告已识别出的内部控制缺陷的机制;
(2)上报规程的适合性,
(3)跟进行动的适合性。
内部控制的内容。归根结底是由上述要素组成的。这些要素及其构成方式,决定着内部控制的内容与形式。设计内部控制,可以根据企业特征和需求(例如企业规模、业务构成、管理水平等),对内部控制要素加以有机结合,切忌闭门造车,生搬硬套,要从分析自身的控制环境开始,这样才能真正建立一套符合企業发展实际的内部控制制度。