数据简述
依据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实行标准,要求公众公司的管理层评估和数据公司近期年度的财务数据的内部控制的有效性。2004年3月9号,PCAOB公布了其第2号审计标准:“与财务报表审计有关的针对财务数据的内部控制的审计”,并于6月18号经SEC准许。SEC对该标准的认同等于从此外一个侧面承认了1992年COSO发布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也显示COSO框架已正式形成美国上市公司内部控制框架的参照性标准。
1992年Treadway委员会经历多年研究,针对公司行政总裁、其余高级实施官、董事、立法部门和监管部门的内部控制执行高度概括,公布《内部控制一整体框架》(Internal Control-Integrated Framework)数据,即通称的COSO数据。此报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的构成部分,为公司管理层、董事会和其余人士供应评价其内部控制系统的规则;第三部分是对外部团体的数据;是为数据编制报表中的内部控制的团体供应指南的补充文件;第四部分是评价工具,供应用以评价内部控制系统的有用材料。
COSO数据提出内部控制是用以促进效率,降低资产损失风险,帮助保证财务数据的牢靠性和对法律法规的遵从。COSO数据觉得内部控制有如下目标:运营的效率和效果(基本经济目标,包含绩效、利润目标和资源、安全),财务数据的牢靠性(与对外发布的财务报表编制有关的,包含中期数据、合并财务报表中选取的报告的牢靠性)和符合相应的法律法规。
多年来,民众在风险管理实践中渐渐认识到,一个企业内部不同部门或不同业务的风险,有的相互再加上增大,有的相互抵消降低。所以,企业不能仅仅从某项业务、某个部门的角度考虑风险,务必依据风险组合的看法,从贯穿整个企业的角度看风险。
COSO委员会从2001年起开始执行这方面的研究,于2003年7月完成了《企业风险管理框架》(草案)并公开向业界征求意见。2004年4月美国COSO委员会在《内部控制整体框架》的基础上,结合《萨班斯一奥克斯法案》(Sarbanes-Oxley Act)在数据方面的要求,同期吸收各方面风险管理研究成果,颁布了《企业风险管理框架》 (Enterprise Risk Management Framework) 旨在为各国的企业风险管理供应一个统一术语与概念体系的全面的应用指南。COSO运行
→从1992年美国COSO委员会公布《COSO内部控制整合框架》以来,该框架已在世界得到大量的认可和应用,但理论界和实务界一直持续对其提出一部分改进建议,强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险,增强风险管理 ,在客观上也助推了内部控制整体框架的更深一步发展。就在此时,COSO委员会也意识到《内部控制整合框架》本身也存一部分困难,如过分注重财务数据,而没有从企业全局与战略的高度来关注企业风险。正是基于该种内部和外部的双重原因,新框架务必出台以适应发展需求。
→2003年7月,美国COSO委员依据萨班斯法案的有关要求,颁布了“企业风险管理整合框架”的讨论稿(Draft),该讨论稿是在《内部控制整合框架》的基础上执行了扩展而得来的,2004年9月正式颁布了《企业风险管理整合框架》(COSO-ERM),标志COSO委员会最新的内部控制研究成果面世。
→COSO企业风险管理的定义 :“企业风险管理是一个过程,受企业董事会、管理层和其余雇员的影响,包含内部控制及其在战略和整个公司的应用,旨在为达到运营的效率和效果、财务数据的牢靠性以及法规的遵循供应合理保证。”COSO-ERM框架是一个指导性的理论框架,为公司的董事会给予了相关企业所面对的重要风险,以及如何执行风险管理方面的重要信息。企业风险管理自身是一个由企业董事会、管理层、和其余雇员共同参与的,应用于企业战略策划和企业内部各个层次与部门的,用于识别或许对企业产生潜在影响的事项并在其风险偏好规模内执行多方面,流程化的企业风险管理过程,它为企业目标达到供应合理保证。内部构成
1.控制环境(Control environment)
它包含组织人士的诚实、伦理价值和能力;管理层哲学和运营模式;管理层分配权限和责任、组织、发展雇员的方式;董事会供应的关注和方向。控制环境影响雇员的管理意识,是其余部分的基础。
2.风险评估(risk assessment)
是证实和分析达到目标过程中的有关风险,是形成管理何种风险的根据。它随经济、行业、监管和运营条件而持续改变,需建立一套机制来辨认和处理相应的风险。
3.控制活动(control activities)
是帮助实施管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包含各种活动如准许、授权、确认、调整、运营绩效评价、资产保护和职责分离等。
4.信息的沟通与交流(information and communication)
信息系统造成各种数据,包含运营、财务、守规等方面,致使对运营的控制形成或许。处理的信息包含内部生成的报告,也包含可用于运营决策的外部事件、活动、情况的信息和外部数据。所有人士都要理解自己在控制系统中所处的位置,以及相互的关系;务必认真对待控制赋予自己的责任,同期也务必同外部团体如客户、供货商、监管机构和股东执行有效的沟通。
5.对环境的监控(monitoring)
监控在运营过程中执行,通过对正常的管理和控制活动以及雇员实施职责过程中的活动执行监控,来评价系统运转的质量。不同评价的规模和步骤取决于风险的评估和实施中的监控程序的有效性。对于内部控制的缺陷要及时往上级数据,严重的困难要数据到管理层高层和董事会。控制职责
管理层
CEO最终负责整个控制系统。对大公司, CEO可把权限分配给高级经理,并评价其控制活动,然后,高级经理具体策划控制的程序和人士责任;对小公司,一切可更为直接,由最高经理具体实施。
董事会
管理层对董事会负责,由董事会设计治理结构,指导监管的执行。有效的董事会应掌握有效的上下沟通途径,设立财务、内部审计等职能,防止管理层超越控制,故意歪曲事实来掩盖管理的缺陷。
内部审计师
内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使者监管的职能。
内部其余人士
清晰各自的职责,供应系统所需的信息,达到相应的控制;对运营中显现的困难,对不合法、违规举动有责任与上级沟通。
外部人士
公司的外部人士也有利于控制目标的达到,如外部审计可供应客观独立的评价,通过财务报表审计直接向管理阶层供应有用信息;另如法律部门、监管部门、客户、其余往来单位、财务分析专员、信用评级公司、新闻媒体等也都有利于内部控制的有效实施。现实意义
COSO数据是在美国金融风险加重,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究差不多4年左右的时间才诞生的。COSO数据中蕴涵了很多崭新的理念和思想。这些理念和思想,不仅对以往,而且对当下甚至将来的企业管理、财会工作和独立审计都有着重要影响。首要有下方几个方面:
1.精准定位内部控制基本目标。COSO数据表示内部控制自身不是目的,而是达到目标的手段。内部控制目标是帮助企业奔向运营目标、完成使命和降低运营过程中的风险。用中国话来看就是为企业的运营和管理工作“保驾护航”。
2.提出三类目标、五项组成要素概念。COSO把内部控制细分为运营效率与效果、财务数据牢靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项组成要素。这些概念的提出,为评价内部控制系统给予了一套完整的标准,使COSO数据在理论和事实应用两个方面都较以前的内部控制学说有一个质的飞跃。
3.提出内部控制是“过程”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素组成。五项控制要素不是内部控制过程中先后顺序上的一同道工序,而是一个多方向交叉的多维的反复的过程。COSO数据突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。
4.强调“人”的重要性。COSO数据表示人和环境是助推企业发展的引擎。内部控制是由人来设计和实行的,企业中的每位雇员都受内部控制的影响,并通过本身的工作影响着他人的工作和整个内部控制系统。所以,要求所有雇员都应清楚他们在企业、以内部控制系统中的位置和角色,并协调统一,才可推动内部控制的有效运作。
5.认识到董事会以内部控制中的作用。COSO觉得董事会与公司内部控制之间是有联系的,企业中一部分举动需要董事会准许或授权。一个客观、能动和富裕调查精神的董事会,能够及时发现并修正公司经理班子跨越内部控制的行炉。
6.强调内部控制系统系是“内置于”(built in)企业运营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、实施和监控职能交织融合在一起,不是后天添加物(built on)。同期内控系统应有应对持续改变的客观世界的机制。数据局限性
COSO数据是以职业会计师为主体队伍的研究成果,应用的现实尤其是面对美国财务危机的现况,表明COSO数据在控制能力上的差距。COSO数据中首要值得商榷的困难有:
1.没有充分认识到董事将对内部控制系统的举足轻重性。尽管COSO数据把董事会与内部控制联系起来,但它的该种联系仅仅局限于企业有一部分事情需要董事会审批或授权,差不多把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只目睹了地上部分,忽略了地下基础。
2.COSO提倡的反应内部控制运行状态的“管理数据”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,假使一个企业的内部控制存在困难,企业能够如实地公示社会吗?第二,管理数据对内部控制的评价导致基于某一时点情况来说的。依据COSO数据,企业不需披露在此时点以前存在的但已被发现和更正的内部控制缺陷。第三,数据的规模仅限于与财务数据相关的内部控制,而财务数据导致运营结果的反应。笔者觉得内部控制系统的评估和连续监测是绝对必需的,但COSO建议的该种评估和披露方式容易误导投资人。
3.COSO数据中的“合理保证”、“成本效益”等词语,差不多是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来看,增添了很多猜疑和无奈。见底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提升评价标准和评价过程的客观性和透明度增长科学性。
4.把企业运营和管理中一部分重要职能排斥以内部控制触角之外。COSO一面表示内部控制与管理各功能(计划、实施和监控)交织在一起,是内置于企业运营活动当中的。另一面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要运营和管理活动排斥以内部控制系统之外。
5.基本目标与分类子目标之间存在差异。依据COSO数据,内部控制基本目标是促使企业达到运营目标,并降低运营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划困难是企业所有困难的根本。而三类子目标,差不多都属于保持企业当期运营的范畴,着眼点在于企业生存,没有站在企业战略高度关注将来发展。此外,COSO数据将内部控制基本目标细分为三类特定目标的方法值得商榷。该种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO觉得,保护资产安全内部控制属于运营效果效率目标的范畴,已经包含在运营效果效率内部控制当中,而GAO觉得保护资产安全内部控制涉及到资产价值真实性的困难,对财务数据牢靠性有巨大影响,应当包含在财务数据内部控制当中。COSO亦在数据中承认三类目标有时是重叠的。
6.评价内部控制有效性标准过于主观。依据COSO数据,内部控制有效性依赖于对内部控制三类目标或五个控制要素的达到程度。但评价标准差不多均为主观分析。其实,一个企业内部控制能否有效完全可以通过它客观的市场业绩体现出来,比如企业市场价值,客户满意度,连续获利能力上涨情形等。
7.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,迄今仍有很多公司觉得内部控制导致财务主管和财会人士的事情。对国企启示
企业是多重契约关系的组合,而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系,所以企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥相关。同期,受于企业与外部关系人的经济联系和契约关系,在现代企业中发挥着越来越重要的作用,企业内部控制中的“内部”有时还要延伸至企业法律边界以外,将独立审计师、提供商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的冲突,企业内部控制的目的是追求企业连续“得到控制”,保证企业各种契约关系连续而有序地运行,保证企业有一个好的战略目标和管理团队,并依照既定目标连续高效地发展和升值,为企业各种契约当事人发现并创造价值。企业内部控制是企业与生俱来的,它内置于企业运营和管理过程当中,并与之紧密联系、水乳交融,是同一事物的不同方面,不可割舍。
企业内部控制应是一个能动的驾御、监测和助推系统,它不仅要关心企业的现实生存,更应关注企业的将来发展;不但重视企业微观,同期也关心企业宏观;不导致简单的规避风险,更着眼于科学风险管理,重视通过业务发展减低风险;不仅要重视现行会计上已证实和计量的资产,更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用,即以内部控制上要引入“全面资产”概念;不仅注重企业经理班子之下的内部控制,而且特别强调公司治理结构建设,强调企业法律边界以外或许对企业生存与发展有巨大影响的各种要素。风险管理框架
COSO风险管理框架把风险管理的要素分为八个:内部环境、目标策划、事件识别、风险评估、风险反映、控制活动、信息与沟通、监督。
内部环境
企业的内部环境是其余所有风险管理要素的基础,为其余要素供应规则和结构。内部环境影响企业战略和目标的策划、业务活动的组织和风险的识别、评估和实施等等。它还影响企业控制活动的设计和实施、信息和沟通系统以及监控活动。内部环境包含很多内容,包含企业雇员的道德观和胜任能力、人士的培训、管理者的运营模式、分配权限和职责的方式等。董事将是内部环境的一个重要构成部分,对其余内部环境的构成内容有重要的影响。而企业的管理者也是内部环境的一部分,其职责是建立企业的风险管理理念、确定企业的风险偏好,营造企业的风险文化,并将企业的风险管理和有关的行动计划结合起来。
目标策划
依据企业确定的任务或预期,管理者确定企业的战略目标,选择战略方案,确定有关的子目标并在企业内层层分解和落实,各子目标都应遵循企业的战略方案并与战略方案相联系。
事项识别
管理者意识到了未知性的存在,即管理者不能确切地知道某一事项能否会发生、什么时候发生或者假使发生其结果如何。作为事项识别的一部分,管理者应考虑会影响事项发生的各种企业内外部的原因。外部原因包含经济、商业、自然环境、政治、社会和技术原因等,内部原因反应出管理者所做的选择,包含企业的基础设施、人士、生产过程和技术等事项。
风险评估
风险评估可以使企业了解潜在事项如何影响企业目标的达到。管理者应从两个方面对风险执行评估――风险发生的机会性和影响。
风险反映
管理者可以策划不同风险反映方案,并在风险容忍度和成本效益原则的前提下,考虑每个方案如何影响事项发生的机会性和事项对企业的影响,并设计和实施风险反映方案。考虑各风险反映方案并选择和实施一个风险反映方案是企业风险管理不可分割的一部分。有效的风险管理要求管理者选择一个可以使企业风险发生的机会性和影响都落在风险容忍度规模之内的风险反映方案。
控制活动
控制活动是帮助保证风险反映方案得到正确实施的有关政策和程序。控制活动存在于企业的各部分、各个方面和各个部门。控制活动是企业付出达到其商业目标的过程的一部分。一般包含两个要素:确定应当做什么的一个政策和影响该政策的一连串过程。
信息和沟通
来自于企业内部和外部的有关信息务必以适当的格式和时间间隔执行证实、捕捉和传递,以保证企业的雇员能够实施各自的职责。有效的沟通也是广义上的沟通,包含企业内自上而下、自下而上以及横向的沟通。有效的沟通还包含将有关的信息与企业外部有关方的有效沟通和交换,如客户、提供商、行政管理部门和股东等。
监控
对企业风险管理的监控是指评估风险管理要素的内容和运行以及一段期间的实施质量的一个过程。企业可以通过两种方式对风险管理执行监控――连续监控和个别评估。连续监控和个别评估均为用来保证企业的风险管理在企业内各管理方面和各部门连续得到实施。时间结点
1、1985年,coso成立。
2、1987年,coso提出整合内控的概念。
3、1987—1992年,coso提出IC(内部控制整体框架)框架。
4、1994年,coso对IC框架执行修订。
5、2003年9月,coso提出ERM(企业内部风险管理整合框架)框架草稿。
6、2004年10月,coso公布ERM框架。COSO成立
1985年,由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务数据委员会(一般称Treadway委员会),旨在探讨财务数据中的舞弊造成的原因,并寻求处理之道。两年后,基于该委员会的建议,其赞助机组成立COSO(Committee of Sponsoring Organization,COSO)委员会,专门研究内部控制困难。1992年9月,COSO委员会公布《内部控制整合框架》(COSO-IC),简称COSO数据,1994年执行了增补。这些成果即将得到了美国审计署(GAO)的认可,美国注册会计师协会(AICPA)也全面接受其内容并于1995年公布了《审计准则公告第78号》。受于COSO数据提出的内部控制理论和体系集内部控制理论和实践发展之大成,形成现代内部控制最具有权威性的框架,所以在业内倍受推崇,在美国及世界得到普遍推广和应用。
→在《COSO内部控制整合框架》中,内部控策划义为 :由一个企业的董事会、管理层和其余人士达到的过程,旨在为下列目标供应合理保证:(1)财务数据的牢靠性;(2)运营的效果和效率;(3)符合适用的法律和法规。《COSO内部控制整合框架》把内部控制划分为五个相互相关的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。每个要素均承载三个目标:(1)运营目标;(2)财务数据目标;(3)合规性目标。
