coso內控
1. COSO報告中對內部控制的定義是什麼它由哪些要素組成
COSO報告指出:內部控制是由企業董事會、經理階層和其他員工實施的,為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。它主要由控制環境、風險評估、控制活動、信息與溝通、監督五項要素組成。
2. COSO報告中的內部控制要素
控制環境
控制環境決定了企業的基調,直接影響了員工的控制意識。控制環境提供了內部控制的基本規則和構架,是其他四項要素的基礎。控制環境包括員工的誠信度、職業道德和勝任能力;管理哲學和經營風格;責任分配、人事政策、董事會經營重點和目標等。這些因素都直接或間接地對內部控制的推行、效果或效率產生正面或負面的影響。比如,組織的機構發生變化,可能意味著組織業務面臨重組,組織經營過程、局部目標或業務范圍發生變化,內部審計與內部控制的方式和范圍也必然要相應地發生轉變。
風險評估
每個企業都面臨諸多來自內部和外部有待評估的風險,風險評估的前提是使經營目標在不同層次上相互銜接,保持一致。風險評估指識別、分析相關風險以實現既定目標,從而形成風險管理的基礎。由於經濟、產業、法規和經營環境的不斷變化,需要確立一套機制來識別和應對有這些變化帶來的風險。其中重要內容是對風險本身進行評估即對風險的真實性、風險可能造成的損失、防範風險可能採取的有效措施、這些措施可能產生的後果和風險發生後將產生的內外部影響進行分析和評價。
控制活動
控制活動是有助於管理層決策順利實施的政策和程序,控制活動有助於確保實施必要的措施以管理風險、實現經營目標。控制活動體現在整個企業的不同層次和不同部門中。它們包括諸如批准、授權、查證、核對、符合經營業績、資產保護和職責分工等活動。
信息與溝通
內部控制涉及組織的各個環節和各個方面,特別是涉及管理層的態度、管理層對風險的看法和對控制措施的配合,甚至可能涉及一些利益團體或項目團隊的集體態度。為了獲得有關內部控制充分准確的信息,為了使控制措施得到充分的響應和有效的配合,同時也為了使風險評價客觀公正,廣泛的信息來源和相關人員之間的充分溝通與理解是內部控制中十分重要的工作環節。公允的信息必須被確認,並以一定形式及時傳遞,以便員工履行職責。信息系統產生涵蓋經營、財務和合規性信息的報告,以助於經營和控制企業。信息系統不僅處理內部產生的信息,還包括與企業經營決策和對外報告相關的外部事件、行為和條件等。有效的溝通從廣義上說是信息的自上而下的、橫向及自下而上的傳遞。所有員工必須從管理層得到清楚的信息,認真履行控制職責。員工必須理解自身在整個內控系統中的位置,理解個人行為與其他員工工作的相關性。員工必須有向上傳遞重要信息的途徑。同時,與外部諸如客戶、供應商、管理當局和股東之間也需要有效的溝通。應當說明的是,內部控制中的充分溝通不能影響內部審計部門的責任對象和工作獨立性。內部審計部門是向董事會負責的機構,並按其執業准則獨立履行職責。
監控
內部控制系統需要被監控,即對該系統有效性進行評估的全過程。可以通過持續性的監控行為、獨立評估或者兩者的結合來實現對內控系統的監控。持續性的監控行為發生在企業的日常經營過程中,包括企業的日常管理和監督行為、員工旅行各自職責的行為。獨立評估活動的廣度和頻度有賴於風險預估和日常監控程序的有效性。內部控制的缺陷應該自下而上進行匯報,性質嚴重的應上報最高管理層和董事會。
內部控制五項要素既相互對立又相互聯系,形成一個有機統一體,對不斷變化的環境自動做出反應。內部控制制度與企業的經營行為緊密相連,因基本的商業動機而存在。當內部控製成為企業內部架構的核心部分和基本理念時最為有效。這時內部控制可以支持經營質量和主動的授權,避免不必要的花費,並對環境的變化迅速做出反應。
3. 請問哪裡能找到COSO內部控制體系全文
一、COSO內部控制體系概要
內部控制的內容,歸根結底是由基本要素組成的。這些要素及其構成方式,決定著內部控制的內容與形式。設計內部控制,可以根據企業特徵和需求(例如企業規模、業務構成、管理水平等),對內部控制要素加以有機組合。
COSO報告將內部控制定義為:內部控制是一個過程,它受到董事會、管理人員和其他職員的影響,以期為實現經營的效果和效率、財務報告的可靠性及遵守相關的法律法規提供合理保證。
早期的內控制度一般只強調兩項目標,一是財務報告的可靠性目標,二是合規性目標。COSO報告在此基礎上對企業內部控制的目標進行了完善。
COSO內控制度的首要目標是為了合理確保經營的效果和效率(基本經濟目標,包括績效、利潤目標和資源的安全)。其後才是保證財務報告的可靠性(與對外公布的財務報表編制相關的,包括中期報告、合並財務報表中選取的數據的可靠性)和遵循相應的法律法規這兩個傳統的內控目標。
究其原由,乃是因為任何一個企業管理層的職責,都是要擬訂相應目標並通過合理配置自身的人力、物質資源以達到這些目標。內部控制制度實際上也就是為了滿足管理層的這些需要而制定的。
二.內部控制的組成要素
COSO報告提出,內部控制由五個要素組成的,即控制環境、風險評估、控制活動、信息與溝通和監控。五要素中,各個要素有其不同的功能,內部控制並非五個要素的簡單相加,而是由這些相互聯系、相互制約、相輔相成的要素,按照一定的結構組成的完整的、能對變化的環境做出反應的系統。控制環境是整個內控系統的基石,支撐和決定著風險評估、控制活動、信息傳遞和監督,是建立所有事項的基礎;實施風險評估進而管理風險是建立控制活動的重點;控制活動是內部控制的主要組成部分;信息傳遞貫穿上下,將整個內控結構凝聚在一起,是內部控制的實質;監督位於頂端的重要位置,是內控系統的特殊構成要素,它獨立於各項生產經營活動之外,是對其他內部控制的一種再控制。
企業都面臨來自內部和外部的不同風險,對這些風險都必須加以評估。風險評估是管理層識別、分析實現目標過程中所面臨的風險,從而制定決定如何管理風險的制度基礎。它隨經濟、行業、監管和經營條件而不斷變化,需建立一套機制來辨認和處理相應的風險。
風險評估的前提條件,是在各個管理層次上制定協調一致的目標。在管理當局找出風險並採取必要措施之前,首先要確定目標。內部控制在這方面的目標主要是,在整個組織內部制定協調一致的目標,並找出關鍵性的成功因素。確定和分析風險的過程是一個持續的過程,它是有效內部控制的一個關鍵性因素。
內部控制系統需要監控。監控是由適當的人員,在適當及時的基礎下,評估控制的設計和運作情況的過程。不同評價的范圍和步驟取決於風險的評估和執行中的監控程序的有效性。
監控活動由持續監控和個別評估組成,它為企業內部控制能持續有效運作提供保證。持續的監控活動在營運過程中發生,包括例行的管理和監控活動,以及其他員工為履行其職務所採取的行動。盡管持續監控程序可以有效的評價內部控制體系,但企業有時需要組織個別評估以直接監視控制系統的有效性,這種做法還可對持續性監控程序加以評估。
COSO報告認為,企業內部每一成員在實施內部控制方面都扮演著一定的角色,對內部控制也都負有一定的責任,報告也對企業中各層次人員的控制職責做出如下具體設計:
管理層:CEO對整個控制系統負責。
董事會:管理層對董事會負責,由董事會設計治理結構,指導監管的進行。
內部審計師:內部審計對評價控制系統的有效性具有重要作用,對公司的治理結構行使著監管的職能。
內部其他人員。明確各自的職責,積極主動參與、配合內部控制制度的實施。
外部人員:公司的外部人員也有助於控制目標的實現。而且由於其相對獨立於企業的身份,更具有可靠性。
COSO報告指出:內部控制實際上只能幫助而並不能保證基本經營目標的實現,它存在很多固有的局限因素,具體如下:
成本限制。內部控制的設計和運行需要耗費人力、物力,這就是它本身的成本。內部控制越完善,其所需成本就越高。如果這個成本超過企業風險或錯誤可能造成的損失和浪費的話,無論此時的內控制度有多麼完善,則毫無疑問這樣都是不經濟的,也是不可取的。
人為錯誤。無論設計多麼完美的內部控制系統,都會因設計人經驗和知識水平的限制而有所缺陷。同時,執行人員的失誤,如粗心大意、判斷失誤、對指令有誤解等,也可能會使內部控制系統發揮不出其應用的作用。
串通舞弊。內部控制的制約機能,是擔當不兼容職務的人員相互驗證、共同見證的結果。在實際工作中,如果處於不兼容職務上的有關人員相互串通、相互勾結,就失去了內部控制中相互制約的基本功能,內部控制也就很難發揮作用了。
計劃落後於變化。企業是處在一個無時無刻不在變動的市場中的,但其內部控制制度一般都是為曾經發生、重復發生的業務而設計的,這也使其對不正常的或未能預料到的「例外」業務類型失去控制力。
三、內部控制與公司治理
1.公司治理的概念。公司治理,從狹義的角度進行理解,是指所有者主要是股東對經營者的一種監督與制衡機制,即通過一種制度安排,來合理地配置所有者與經營者之間的權利與責任關系。若從廣義角度進行理解,是指包含法律、文化等在內的有關企業控制權和剩餘索取權分配的一整套制度安排,其決定企業目標的實現。
從主要功能上來說,公司治理的范圍可以包括:股東、董事會――決策者;管理階層――執行者;審計人員(包括內部審計人員及外部審計人員)――監督者;其他利益關系人(例如:顧客、供應商、債權人及員工等)――影響者等。從這個角度來講,內部審計人員應該在公司治理中佔有一席之地。因為溝通公司治理各功能主體的重要工具就是會計信息系統。因此,會計信息系統本身是公司治理結構的組成部分,而且會計信息更嚴重地制約和影響著公司治理結構中其他制度安排效用的高低。會計信息系統提供的會計信息的真實可靠是內外部激勵機制正常運行的前提條件,而有效的審計監督制度是確保這一前提條件實現的關鍵。外部審計對公司財務報表進行審計,並對其公允性發表審計意見,從而起到增強會計信息可信性的作用。而內部審計處於公司內部,對於公司內部控制、管理經營活動、風險管理都有透徹深入的了解,與外部審計人員相比,內部審計對公司治理發揮的作用在層面上更為深入,在范圍上更為廣泛。
2、公司治理的核心是內部控制。在上述公司治理定義中,我們可以看到,公司治理這一制度安排所決定的企業目標、決策人及風險和收益的分配都圍繞風險展開;風險直接影響目標的實現;而決策人對風險的控制和管理直接決定目標是否能夠實現及實現的程度;治理結構中各部分的人員需要承擔所分配的一定風險並獲得相應的收益。另外,從解釋公司治理問題產生的經濟學觀點來看,無論是契約理論中提及的不完備契約,還是信息經濟學中提及的信息不對稱,以及代理理論中提及的代理問題,這些引發公司治理產生的因素究其實質都屬於風險,都是使企業目標無法實現的各種潛在的、可能發生的事件。公司治理是組織應對風險的戰略反應,其職責核心就是確保有效的內部控制方案的適當性,因此公司治理中包含一些戰略性的內部控制的因素。例如:公司董事會所設定的公司經營管理基調是風險偏好型或是風險規避型;再如公司高層管理當局(CEO)在經營風格、理念、管理哲學中包含的風險態度等。這些都涉及到內部控制的基本理念。因此,內部控制是公司治理的核心。
四、內部審計是內部控制的重要部分
1.內部控制與內部控制的聯系日趨緊密。在決定內部控制政策,並在此基礎上評估特定環境中內部控制的構成時,董事會應對諸多風險問題進行深入思考。比如:公司面臨風險的性質和程度;公司可承受風險的程度和類型;風險發生的可能性;公司減少事故的能力及對已發生風險的影響;實施特殊風險控制的成本,以及從相關風險管理中獲取的利益。執行風險控制政策是管理層的職責,在履行其職責的過程中,管理層應確認、評價公司所面臨的風險,並執行董事會所設計、運行的內部控制政策。
2.內部審計理論的新發展。順應內部審計理論及實務的變化,國際內部審計師協會(IIA)在1999年對內部審計重新定義,即「內部審計是用來增加組織價值和改善組織運營的獨立、客觀的保證和咨詢活動。它以系統的、專業的方法對風險管理、控制及治理過程的有效性進行評價和改善,幫助組織實現其目標。」
這一新定義將內部審計的范圍延伸到風險管理和公司治理,認為內部審計是針對內部控制及治理過程的有效性進行評價和改善所必需的。
3、內部控制是內部審計的主要職責。隨著現代企業內部控制時代的來臨,內部審計的工作重點也發生了變化,現代內部審計除了關注傳統的內部控制之外,更加關注有效的內部控制機制和健全的公司治理結構。在風險導向內部審計的觀念下,年度審計計劃與公司最高層的風險戰略連接在一起,內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致,使用風險管理原則改變審核過程。風險管理成為組織中的關鍵流程,促使內部審計的工作重點不僅是測試控制,而且包括確認風險及測試管理風險的方法。在風險導向的內部審計中,控制仍然重要,但分析、確認、揭示關鍵性的經營風險,才是內部審計的焦點。
內部審計作為內部控制的重要組成部分,其在風險管理中發揮不可替代的獨特作用,主要有以下幾方面:(1)能夠客觀地、從全局的角度管理風險。風險在企業內部具有感染性、傳遞性、不對稱性等特徵,即一個部門造成的風險或疏於風險管理所帶來的後果往往不是由其直接承擔,而會傳遞到其他部門,最終可能使整個企業陷入困境。因此對風險的認識、防範和控制需要從全局考慮,而各業務部門又很難做到這一點。內部審計人員不從事具體業務活動,獨立於業務管理部門,這使得他們可以從全局出發、從客觀的角度對風險進行識別,及時建議管理部門採取措施控制風險。(2)控制、指導企業的風險策略。由於內部審計部門處於企業的董事會、總經理與各職能部門之間,內部審計人員能夠充當企業長期風險策略與各種決策的協調人。通過對長期計劃與短期計劃的調節,內部審計人員可以調控、指導企業的風險管理策略。(3)內部審計部門的建議更易引起重視。內部審計部門獨立於管理部門,其風險評估的意見可以直接上報給董事會,這會加強管理當局對內部審計部門意見的重視程度。
五、在風險管理目標下,公司治理與內部審計的整合
COSO於2001年起著手進行企業風險管理研究,並力圖建立一個類似於內部控制框架的、具有理論與實踐意義的風險管理框架,其在為企業風險管理研究項目制定的目標中明確指出:風險管理框架必須和內部控制框架相協調,把控制目標的建立嵌入到某種形式的風險管理過程中去。而在內部控制方面,將領域擴展到控制環境等「軟控制」要素上時,就決定了公司治理與內部控制的相互交匯。在COSO報告的內部控制定義中,特別提出「內部控制過程受組織的董事會、管理層和其他人員影響」,由此可見「軟控制」因素對組織內部控制的影響是深遠的。而內部控制對公司治理的影響也是巨大的。內部控制為組織的經營目標、財務目標及遵循性目標的實現提供合理保證,同樣為公司治理機制的運行提供了保障。良好的內部控制有助於完善契約,減輕信息不對稱的影響,並對代理人形成一定的控制約束,因此從一定程度上說,內部控制與公司治理的相關內容可以整合一致。而作為內部控制重要組成部分的內部審計,也不可避免地在風險管理的基礎上,與公司治理的目標的交匯。
在新的內部審計定義下,內部審計參與到公司治理與風險管理中,幫助組織發現並評價重要的風險因素,促進組織改進風險管理體系;評價並改進組織的治理程序,為組織的治理做貢獻;同時繼續原有的對控制效率和效果的評價作用,幫助組織保持有效的控制。此時的內部審計人員是風險專家,通過對風險的把握來評價公司治理及內部控制,並促進公司治理和內部控制的改善,從而實現對風險的掌握與駕馭。在風險管理這一統一的核心下,公司治理與內部控制實現了一定程度的整合,為組織增加了價值;同樣,在風險管理這一統一的核心下,內部審計與公司治理實現了整合。在公司治理中,內部審計發揮著越來越重要的作用。
鑒於內部審計在確保公司內部控制制度有效運轉及管理和控制風險等方面的獨特作用,內部審計師已被看作是與董事會、高級管理層、外部審計師構成有效公司治理的四大基石之一。內部審計師擁有的風險管理、內部控制的知識與技能,能幫助公司治理實現其核心目標:控制風險以促進組織目標實現。因此,在公司治理中,內部審計是組織內部不容忽視的一支力量。
目前,我國內部審計一般尚未與公司治理相結合,成為公司治理的有機部分,對風險管理也不夠關注。為此,要逐步完善企業法人治理結構,明確企業外部和內部的委託代理關系,培養管理者的競爭意識和風險意識,形成內部審計的需求市場,為內部審計的發展創造良好的環境。同時,要順應內部審計科學發展的客觀規律,在實踐中有意識地推動風險導向內部審計的發展。從強調確認和測試控制的完整性,逐步轉向強調確認和測試風險是否得到有效管理;從傳統的強調關注風險因素,逐步轉向關注前景規劃。內部審計的建議應不再僅是強化控制、提高控制效率和效果,而應該包括規避風險、轉移風險和控制風險,通過風險管理的有效化,評價並改進組織的治理程序,提高公司整體的管理效率和效果。
4. COSO內部控制的控制設計
1. 確認所要進行的內控設計針對的內控目標是什麼。
2. 根據確認的內控目標,識別公司層面的內外部主要風險並進行評估。
3. 通過業務流程的全面梳理,鎖定與確認的內控目標相關的業務流程。
4. 按照COSO框架提出的控制標准,對確認的主要風險提出控制要求,將梳理得出的業務流程(風險控制活動)與控制要求進行對比分析,提出整改建議。
5. 對所確定的業務流程進行分析,分析確認業務活動中存在的風險,提出整改建議。
6. 各項制度規章的完善和補充。
下面我們對於風險評估、控制活動具體設計的內容再作進一步的說明: 1. 識別風險。風險識別包括了二個層次,企業層面的風險和業務活動的風險。識別風險的具體方法有頭腦風暴法、訪談、調查問卷、流程圖分析、參考其他的風險資料庫、經驗與專業判斷。
2. 評估上述識別出的風險的後果和可能性。
3. 描述公司流程。
1) 制定公司流程總目錄和流程描述的規范;
2) 流程具體描述。
4. 識別與風險相關的應對流程的風險,並建立風險資料庫
5. 根據上述風險評估的結果,建立持續的風險評估制度體系 1. 以COSO控制框架、公司管理制度、控制理論為依據,在公司層面上確定「關鍵控制點和控制要點」。
2. 以公司層面「關鍵控制點和控制要點」為基礎,對應識別的重要風險建立關鍵控制文檔。
3. 關鍵控制與相關管理制度之間的比對分析。 1. 相互牽制原則
相互牽制原則,是指一項完整的經濟業務活動,必須分配給具有互相制約關系的兩個或兩個以上的部門(或崗位)分別完成。即在橫向關繫上,至少要由彼此獨立的兩個部門或人員辦理,以使該部門或人員的工作接受另一個部門或人員的檢查和制約;在縱向關繫上,至少要經過互不隸屬的兩個或兩個以上的崗位和環節,以使下級受上級監督,上級受下級牽制。其理論根據是在相互牽制的關系下,幾個人發生同一錯弊而不被發現的概率,是每個人發生該項錯弊的概率的連乘積,因而將降低誤差率。不相容職務相互分離控制有以下幾項內容:
* 授權批准職務與執行業務職務相分離;
* 執行業務職務與監督審核職務相分離;
* 執行業務職務與會計記錄職務相分離;
* 財產保管職務與會計記錄職務相分離;
* 執行業務職務與財產保管職務相分離。
2. 授權控制原則
授權控制原則,是指企業單位應該根據各崗位業務性質和人員要求,相應地賦予作業任務和職責許可權,規定操作規程和處理手續,明確紀律規則和檢查標准,以使職、責、權、利相結合。崗位工作程式化,要求做到事事有人管,人人有專職,辦事有標准,工作有檢查。授權體系包括:
1) 授權批準的范圍
企業所有的經營活動一般都應當納入授權批準的范圍。
2) 授權層次
授權應當是區別不同情況分層次授權。根據經濟活動的重要性水平和金額大小確定不同的授權批准層次,有利於保證各種管理層和有關人員有權有責。
授權批准在層次上應當考慮連續性,要將可能發生的情況全面納入授權批准體系,避免出現真空地帶。當然,應當允許根據具體情況的變化,不斷對有關制度進行修正。
3) 授權責任
被授權者應能夠明確在履行權力時應對哪些方面負責,避免授權責任不清,出現問題又難咎其責的情況發生。
4) 授權批准程序
企業的經濟業務既涉及企業與外單位之間資產與勞務的交換,也包括在企業內部資產和勞務的轉移和使用。因此,每類經濟業務都會有一系列內部相互聯系的流轉程序。所以,應規定每一類經濟業務的審批程序,以便按程序辦理審批,避免越級審批和違規審批的情況發生。
3. 成本效益原則
貫徹成本效益原則,即要求在實行內部控制花費的成本和由此而產生的經濟效益之間要保持適當的比例,實行內部控制所花費的代價不能超過由此而獲得的效益,否則應舍棄該控制措施。
4. 整體結構原則
企業內部控制系統,必須包括控制環境、風險評估、控制活動、信息與溝通、監督五項要素,並覆蓋各項業務和部門。換言之,各項控制要素、各業務循環或部門的子控制系統,必須有機構成企業內部控制的整體架構。這就要求,各子系統的具體控制目標,必須對應整體控制系統的一般目標。
5. COSO內部控制的基本原則
《美國薩班斯—奧克斯利法案(Sarbanes-Oxley Act)》(簡稱SOX)要求上市公司,無論大的還是小的,每年內對財務報表內容部控制的有效性進行評估和報告。幸運的是,公司可以依賴一個行業標准——內部控制集成框架,來評估和改進其內控體系。
全國反欺詐財務報告(特雷得維)委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of the Treadway Commission,簡稱COSO)於1992年頒布的這一框架,長期以來作為建立旨在提高效率、降低風險、幫助保證財務狀況報表可信性、遵從法律法規的內部控制的藍本。由於其全面性、有效性和普遍原則,框架受到世界上很多組織的稱贊並被接受。
框架頒布之後,財務報表、公司治理和法律環境發生了很多變化。薩班斯—奧克斯利法案404條款(SOX 404)是公司財務報表內部控制的主要推動。
COSO的報告概括了與5個組成部分相關的26條基本原則,5個組成部分是:(1)控制環境;(2)風險評估;(3)控制活動;(4)信息與溝通;(5)監督。
6. 內部控制的內容是COSO五個框架構成,那內部控制制度的內容是什麼構成的求大神!!!
我國企業內部控制規范體系的構成
2011年4月26日,財政部會同證監會、審計署、銀監會、保監會在北京聯合發布了《企業內部控制規范配套指引》。該配套指引由21項應用指引(此次發布了18項,涉及銀行、證券、保險等業務的3項指引暫未發布)、《企業內部控制評價指引》與《企業內部控制審計指引》(兩者以下合稱為評價與審計指引)所組成,自2011年1月1日起首先在境內外同時上市的公司施行,自2012年1月1日起擴大到在上海證券交易所、深圳證券交易所主板上市的公司施行,並計劃在上述施行公司的基礎上,擇機在中小板和創業板上市的公司中施行。同時,鼓勵非上市大中型企業提前執行。
《企業內部控制規范配套指引》連同2008年5月發布的《企業內部控制基本規范》(自2009年7月1日在上市公司范圍內施行,鼓勵非上市大中型企業執行,以下簡稱為基本規范)共同構成了中國企業內部控制規范體系。如果說目前已在上市公司實施的《企業內部控制基本規范》還只是一個框架結構,主要界定內部控制的內涵、目標、要素,說明制定企業內部控制規范的目的、依據及該規范的適用范圍,操作性指導還不強,還是一個方向性指南的話,那麼,《企業內部控制規范配套指引》則是企業加強和改進內部控制具體的、具有操作性的指南。
二、對我國企業內部控制規范體系的評價
(一)對基本規范的評價
從基本規范來看,主要涉及到內部控制的基本理論問題,包括內部控制的本質、目標、原則、要素(對象)與方法。規范提出的內部控制五原則:全面性、重要性、制衡性、適應性、成本效益性原則具有重要指導意義。
在控制要素(對象)上,基本規范採用的是1994年COSO報告中的五要素觀,而沒有採用2004年風險管理框架的八要素觀,是實事求是的做法。實際上,這也涉及到內部控制與風險管理的關系問題。內部控制主要體現在流程管理上。流程管理的內容主要包括兩個方面:一是業務流程,即規定完成業務的先後順序;二是管理流程,主要是對各風險管理點的標准。二者結合在一起才是真正的流程管理」。
對於五要素之間的關系,內部控制環境是基礎(說明在什麼樣的環境下開展控制活動),風險評估是前提(說明要重點針對什麼活動和在該活動的什麼方面進行控制),控制活動是核心(說明對需要重點控制的活動或環節運用什麼方法進行控制),信息與溝通是橋梁(以一定的方法對風險評估確定的應該控制的活動和環節開展控制,沒有信息的支持是無法達成目標的),監督是保障(沒有監督作為保障,控制的好壞在管理上沒有區別,則無法達到控制的目標)。就內部控制的方法來說,應該涉及到全部五個要素,既有內部控制環境的評價、改進方法,也有風險評估、風險管理策略的選擇方法;既有直接運用於控制活動的方法,也應有信息生產與溝通、監督的方法。
基本規范存在的不足主要體現在:1.在控制要素上僅提到內部監督,難以指導企業內部控制規范指引,也說明基本規范與指引有不相銜接的地方;2.對控制方法的說明不集中,僅在第28條較詳細地闡述了控制活動的方法,對其他要素控制的方法很少說明,如風險評價的方法、信息生產與溝通的方法、監督的方法等;3.如何建立反舞弊機制問題放在信息與溝通要素部分不恰當,筆者認為這應該是內部監督的內容;4.對董事會、監事會、經理層、審計委員會、內部審計部門的職責劃分不清。如第12條規定,董事會負責內部控制的建立健全和有效實施,監事會對董事會建立與實施內部控制進行監督,經理層負責組織領導內部控制的日常運行。但第13條又規定企業應在董事會下設立審計委員會,審計委員會負責審查企業內部控制,監督內部控制的有效實施和內部控制自我評價情況(而在自我評價規范中又沒有具體涉及到審計委員會),協調內部控制審計及其他相關事宜。從這些規定中可以看出,我國仍然沒有處理好內部公司治理問題。
(二)對18項應用指引的評價
應用指引是對內部控制要素進行控制時的具體應用指南。從已公布的各項具體應用指引來看,重點突出了對風險的關注,這點值得肯定。已公布的18項應用指引都在總則部分說明了企業應關注的風險,這可看成企業風險評價的基礎和指南。就其他四個方面的要素來看,內部控制環境涉及到組織架構、發展戰略、人力資源、社會責任和企業文化5個具體指引。就控制活動來說,涉及到資金活動、采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、業務外包、財務報告9個具體指引,存在的主要問題是沒有生產控制的內容。在過去的徵求意見稿中有一個成本費用規范,現在也取消了。過去徵求意見稿中沒有全面預算規范,現在加了一個全面預算規范,筆者認為應將過去的成本費用規范與現在的全面預算規范結合起來。關於信息與溝通要素,涉及到內部信息傳遞和信息系統兩個具體指引。此次公布的18項應用指引歸為三大類,第一類為環境類指引,第二類為控制活動類指引,第三類為控制手段類指引,包括全面預算、合同管理、內部信息傳遞和信息系統4項。第三類作為方法也可以,但並沒有和內部控制要素間的銜接。
7. 關於coso的內部控制
可下載的coso《內部控制-整體框架》及《企業風險管理框架》的地址http://www..com/s?cl=3&wd=%BF%C9%CF%C2%D4%D8%B5%C4coso%A1%B6%C4%DA%B2%BF%BF%D8%D6%C6%2D%D5%FB%CC%E5%BF%F2%BC%DC%A1%B7%BC%B0coso%A1%B6%C6%F3%D2%B5%B7%E7%CF%D5%B9%DC%C0%ED%BF%F2%BC%DC%A1%B7%B5%C4%B5%D8%D6%B7
8. COSO內部控制的控制模型
1、 強調「軟控制」的功能。相對於以前的內部控制而言,框架更加強調那些屬於管理文化層面的軟性管理因素。
2、 強調內部控制應與企業的經營管理過程相結合。框架認為,經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。內部控制是企業經營管理過程的一部分,與經營過程結合在一起,而不是凌駕於企業的基本活動之上,它使經營達到預期的效果,並監督企業經營過程的持續進行。不過,內部控制只是管理的一種工具,並不能取代管理。
3、 突出強調信息系統的作用。框架認為,完備的信息處理系統是實現內部控制目標的重要保障,信息系統不僅處理企業內部產生的經營信息,而且也處理來自企業外部的各類經濟、法律或行政信息。
4、 明確對內部控制的「責任」。COSO框架第一次明確地闡述了內部控制的制定與實施的責任問題。框架指出,不僅僅是董事會、管理人員、內部審計人員,組織中的每一個人都對內部控制環節負有責任。
5、 強調內部控制的分類和目標。目標的設定雖然不是內部控制的組成要素,但卻是內部控制的先決條件,也是促成內部控制的要件。框架將內部控制目標分為三類:與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標,有利於不同的人從不同的視角關注企業內部控制的不同方面。
6、 內部控制只能做到「合理」保證。框架認為:不論設計及執行有多麼完善完整,內部控制都只能為管理階層及股東達成企業經營目標提供合理保證。而目標最終是否達成,還受內部控制本身的限制性制約等條件。
COSO內部控制框架是一個較為理想的框架,幾乎所有公司的內部控制均與之有一定差距,雖然這必然加大企業負擔,但多數公司希望通過理解和貫徹COSO內部控制框架要求,梳理管理流程、規范管理,來實現提升整體管理水平的目的。