新浪博客
注册会计师协会(AICPA)、美国会计学会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务报告委员会,旨在探讨财务报告中舞弊产生的原因,并寻找解决之道。1987年,根据该委员会的建议,其创办机构成立COSO委员会,专门研究内部控制、风险管理和反舞弊问题。
1992年,COSO发布了《内部控制——整合框架》,受到国际内部控制理论界和实务界的广泛关注,被世界上许多企业所采用,也被各国内控标准制定机构所借鉴或采用。2001年安然事件爆发后,美国于2002年出台了萨班斯(SOX)法案。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告内部控制的有效性。2004年,美国公众公司会计监督委员会(PCAOB)发布了第2号审计准则,要求注册会计师对公众公司财务报告内部控制有效性进行审计。SEC与PCAOB均明确提出COSO内部控制框架可以作为企业内部控制体系建立的参考性标准,表明COSO框架已正式成为美国上市公司开展内部控制体系建设与实施的标准。2008年,中国财政部联合证监会、审计署、银监会、保监会等五部委发布的《企业内部控制基本规范》,也是在借鉴COSO内控框架的基础上,结合中国企业内控实践制定而成的。
然而,自COSO内控框架发布二十多年以来,企业的经营环境和管理模式经历了巨大变化,新技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,促使企业在满足COSO内控框架运营、合规、财务报告内控目标的基础上,越来越关注公司治理和风险管理,越来越重视非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列的舞弊事件以及国际金融危机的破坏性影响,也进一步要求加强和完善内部控制标准。顺应形势要求,2010年9月,COSO启动了《企业内部控制整体框架》审核与更新项目,并聘请普华永道会计师事务所(PWC)作为项目的支持方,着手新框架的制订工作。2010年9月至2011年1月,COSO对700多家使用COSO内控框架的单位进行问卷调查。结果显示,大部分反馈意见支持对COSO内控框架进行修订和更新,但不建议推倒重来。2011年12月,COSO发布了新框架的征求意见稿,面向全球公开征求意见。2013年5月,COSO正式发布新的内部控制框架。
(二)新的COSO内部控制框架的基本内容和主要变化
新的COSO内控框架共包括四部分内容:一是内容摘要,对新框架进行高度总结,包括内部控制的定义、目标、原则、内部控制的有效性和局限性等,使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录,包括内部控制的组成部分及相关的原则和关注点,并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。附录包括词汇表、对于小型企业的特殊考虑、与1992版的变化总结和框架的非重要性附加参考。三是评估内部控制系统有效性的解释性工具,为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制:方案和示例摘要,为在准备外部财务报告过程中应用框架中的要素和原则提供了实际的方案和示例。
由于1992年版的COSO内部控制框架中关于内部控制的基本原则和核心内容在现有环境下仍然有效,所以新的COSO内控框架在内部控制的定义、内部控制五要素(控制环境、风险评估、控制活动、信息与沟通和内部监督)、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比,新框架的变化主要表现在以下几个方面:
1.细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准,适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内部控制,以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应,而每一项原则也都与五要素中的某个要素相对应。
2.扩大了报告目标的范畴。旧框架中的内控三个目标之一是财务报告的可靠性,目的是为了满足外部监管要求,确保编制可靠的公开发表的财务报告。这里的财务报告是指对外公布的财务报告,如上市公司的年报和季报,而新的内控框架在报告对象和报告内容两个维度上对这个目标进行了扩展。在报告对象上,既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。在报告内容上,除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来,新的COSO内控框架共有四类报告目标:内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。
3.强调管理层判断的使用。新的COSO框架对五要素的分解不是按照子要素来进行的,而是作为“原则”来呈现的,即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或者相关度,然后根据企业的具体情况,来选择和考虑与某一特定原则密切相关的关注点。可以说,在这一点上COSO新框架吸取了自2002年美国萨班斯法案通过以后,旧框架实施成本高的教训,使内控实施更加灵活,同时节省了实施成本。
4.强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会(包括审计委员会、薪酬委员会、提名与治理委员会等)的内容,强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。
5.增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多的关于舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。
6.充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,近年来企业的商业模式和组织结构发生了巨大变化,企业在运营过程中更多地使用第三方提供的产品或服务,管理层更加关注包括供应商和客户在内的价值链管理。为此,新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。
总之,新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。COSO前任主席David L. Landsittel表示:“新框架无意改变内部控制原有的定义、评估方法或管理模式,而是给使用者提供了更加全面、准确的内部控制概念、指引和案例。”
(三)新的COSO内部控制框架与COSO发布的其他内部控制、风险管理文件之间的关系
除了《内部控制——整合框架》1992年版和2013年版外,近年来,COSO还发布了一系列与内部控制、风险管理相关的文件,较为重要的有:《企业风险管理框架》(2004)、《较小型公众公司财务报告内部控制指南》(2006)、《内部控制体系监督指南》(2009)等。COSO专门对新框架与这些文件的关联关系做出如下解释: COSO将于2014年12月15日用《外部财务报告内部控制:方案和示例摘要》替代《较小型公众公司财务报告内部控制指南》;COSO认为内部控制是企业风险管理的一部分,企业风险管理在范围上更加广泛,新的COSO内部控制框架与《企业风险管理框架》互为补充;2009年COSO发布的《内部控制体系监督指南》对管理层仍旧是相关和有用的资料。
(四)新的COSO内部控制框架的实施时间及应用前景
1992年,COSO发布了《内部控制——整合框架》,受到国际内部控制理论界和实务界的广泛关注,被世界上许多企业所采用,也被各国内控标准制定机构所借鉴或采用。2001年安然事件爆发后,美国于2002年出台了萨班斯(SOX)法案。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告内部控制的有效性。2004年,美国公众公司会计监督委员会(PCAOB)发布了第2号审计准则,要求注册会计师对公众公司财务报告内部控制有效性进行审计。SEC与PCAOB均明确提出COSO内部控制框架可以作为企业内部控制体系建立的参考性标准,表明COSO框架已正式成为美国上市公司开展内部控制体系建设与实施的标准。2008年,中国财政部联合证监会、审计署、银监会、保监会等五部委发布的《企业内部控制基本规范》,也是在借鉴COSO内控框架的基础上,结合中国企业内控实践制定而成的。
然而,自COSO内控框架发布二十多年以来,企业的经营环境和管理模式经历了巨大变化,新技术和复杂组织结构的不断涌现,以及愈加严格的监管要求,促使企业在满足COSO内控框架运营、合规、财务报告内控目标的基础上,越来越关注公司治理和风险管理,越来越重视非财务报告内部控制。此外,近年来由于内部控制失效而发生的一系列的舞弊事件以及国际金融危机的破坏性影响,也进一步要求加强和完善内部控制标准。顺应形势要求,2010年9月,COSO启动了《企业内部控制整体框架》审核与更新项目,并聘请普华永道会计师事务所(PWC)作为项目的支持方,着手新框架的制订工作。2010年9月至2011年1月,COSO对700多家使用COSO内控框架的单位进行问卷调查。结果显示,大部分反馈意见支持对COSO内控框架进行修订和更新,但不建议推倒重来。2011年12月,COSO发布了新框架的征求意见稿,面向全球公开征求意见。2013年5月,COSO正式发布新的内部控制框架。
(二)新的COSO内部控制框架的基本内容和主要变化
新的COSO内控框架共包括四部分内容:一是内容摘要,对新框架进行高度总结,包括内部控制的定义、目标、原则、内部控制的有效性和局限性等,使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录,包括内部控制的组成部分及相关的原则和关注点,并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。附录包括词汇表、对于小型企业的特殊考虑、与1992版的变化总结和框架的非重要性附加参考。三是评估内部控制系统有效性的解释性工具,为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制:方案和示例摘要,为在准备外部财务报告过程中应用框架中的要素和原则提供了实际的方案和示例。
由于1992年版的COSO内部控制框架中关于内部控制的基本原则和核心内容在现有环境下仍然有效,所以新的COSO内控框架在内部控制的定义、内部控制五要素(控制环境、风险评估、控制活动、信息与沟通和内部监督)、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比,新框架的变化主要表现在以下几个方面:
1.细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准,适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内部控制,以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应,而每一项原则也都与五要素中的某个要素相对应。
2.扩大了报告目标的范畴。旧框架中的内控三个目标之一是财务报告的可靠性,目的是为了满足外部监管要求,确保编制可靠的公开发表的财务报告。这里的财务报告是指对外公布的财务报告,如上市公司的年报和季报,而新的内控框架在报告对象和报告内容两个维度上对这个目标进行了扩展。在报告对象上,既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。在报告内容上,除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来,新的COSO内控框架共有四类报告目标:内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。
3.强调管理层判断的使用。新的COSO框架对五要素的分解不是按照子要素来进行的,而是作为“原则”来呈现的,即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或者相关度,然后根据企业的具体情况,来选择和考虑与某一特定原则密切相关的关注点。可以说,在这一点上COSO新框架吸取了自2002年美国萨班斯法案通过以后,旧框架实施成本高的教训,使内控实施更加灵活,同时节省了实施成本。
4.强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会(包括审计委员会、薪酬委员会、提名与治理委员会等)的内容,强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。
5.增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多的关于舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。
6.充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,近年来企业的商业模式和组织结构发生了巨大变化,企业在运营过程中更多地使用第三方提供的产品或服务,管理层更加关注包括供应商和客户在内的价值链管理。为此,新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。
总之,新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。COSO前任主席David L. Landsittel表示:“新框架无意改变内部控制原有的定义、评估方法或管理模式,而是给使用者提供了更加全面、准确的内部控制概念、指引和案例。”
(三)新的COSO内部控制框架与COSO发布的其他内部控制、风险管理文件之间的关系
除了《内部控制——整合框架》1992年版和2013年版外,近年来,COSO还发布了一系列与内部控制、风险管理相关的文件,较为重要的有:《企业风险管理框架》(2004)、《较小型公众公司财务报告内部控制指南》(2006)、《内部控制体系监督指南》(2009)等。COSO专门对新框架与这些文件的关联关系做出如下解释: COSO将于2014年12月15日用《外部财务报告内部控制:方案和示例摘要》替代《较小型公众公司财务报告内部控制指南》;COSO认为内部控制是企业风险管理的一部分,企业风险管理在范围上更加广泛,新的COSO内部控制框架与《企业风险管理框架》互为补充;2009年COSO发布的《内部控制体系监督指南》对管理层仍旧是相关和有用的资料。
(四)新的COSO内部控制框架的实施时间及应用前景