解析COSO企業(yè)內(nèi)部控制框架

摘要：全文介紹了COSO企業(yè)內(nèi)部控制框架的構(gòu)成要素，并對每個要素進行了深入的解析，以便中國企業(yè)建立一套符合企業(yè)發(fā)展實際的內(nèi)部控制制度。

關(guān)鍵詞：解析；COSO框架

早期的內(nèi)部控制從內(nèi)容側(cè)重點和形式上都打上了審計專業(yè)或行業(yè)的烙印，被定義在與財務審計密切相關(guān)的狹窄的范疇。1992年，美國的COSO委員會(The Committee of Sponsoring Organizations 0f The National Commission 0f Fraudulent Financial Reporting，簡稱COSO，全美國虛假財務報告全國委員會的發(fā)起組織委員會)設(shè)計了一個新的內(nèi)部控制框架。即COSO框架。COSO框架是最被廣泛認可的內(nèi)部控制整體框架國際標準。按照COSO內(nèi)部控制框架建立內(nèi)控體系，是企業(yè)梳理管理流程、規(guī)范管理制度、提升整體管理水平的契機。

COSO框架包括5個基本要素；控制環(huán)境，風險評估、控制活動、信息和溝通、監(jiān)督。

一、控制環(huán)境

控制環(huán)境是指企業(yè)實施內(nèi)部控制并使其持續(xù)發(fā)揮作用的環(huán)境?？刂骗h(huán)境確立公司風險管理的總體態(tài)度，是內(nèi)部控制體系的基礎(chǔ)，是有效實施風險管理的保障，直接影響內(nèi)部控制體系的執(zhí)行、公司經(jīng)營目標及整體戰(zhàn)略目標的實現(xiàn)。

(一)控制環(huán)境要素

控制環(huán)境中的要素包括：誠信和道德價值觀、員工的勝任能力，董事會和審計委員會、管理層的經(jīng)營理念和風格、組織結(jié)構(gòu)、權(quán)限和職責分配，人力資源政策與措施。

(二)不同背景下的控制環(huán)境差別

1.母子公司控制環(huán)境的差別

一家企業(yè)的自主營運部門以及海外和國內(nèi)子公司的控制環(huán)境可能差別會非常大，這是由經(jīng)營部門高級管理層的偏好、價值判斷和經(jīng)營風格的差別造成的。因此，承認不同的控制環(huán)境能夠?qū)σ粋€內(nèi)部控制體系的其他因素產(chǎn)生影響非常重要。

2.中小企業(yè)控制環(huán)境因素與大企業(yè)的差別

中小企業(yè)可以實施不同于大企業(yè)的控制環(huán)境因素。例如：小公司可能沒有書面的行為準則，但是這并不意味著該公司不會有強調(diào)誠信和道德行為重要性的公司文化。同樣，中小企業(yè)的人力資源政策也不可能像大企業(yè)那樣正式。但是他們都會有相應的人力資源政策和操作方法并予以傳達溝通。

(三)控制環(huán)境的評估

評估人員在確定是否存在有效的控制環(huán)境時應考慮每一個控制環(huán)境因素。

1.對誠信和道德價值觀的評估

對該要素的評估應重點關(guān)注：

(1)企業(yè)有沒有并執(zhí)行著員工行為準則和其他政策，涉及可接受的商業(yè)慣例、利益沖突或預期的精神道德行為規(guī)范

(2)與員工，供應商，客戶，投資人，債權(quán)人、保險公司、競爭對手以及審計師之間的交易；

(3)不切實際的業(yè)績目標，特別是短期業(yè)績成果的壓力；薪酬基于上述目標的程度。

2.對勝任工作的能力的評估

對該要素的評估應重點關(guān)注：

(1)規(guī)范或不規(guī)范的崗位描述或者對構(gòu)成某個崗位的任務的其他定義方式；

(2)對履行崗位職責所需要的知識和技能進行分析。

3.對董事會和審計委員會的評估

對該要素的評估應重點關(guān)注：

(1)獨立于管理層，即使這會給管理層提出困難和探索性的問題，這也是必要的；

(2)與財務總監(jiān)和(或)會計負責人，內(nèi)部審計人員和外部審計師舉行會議的頻率和及時性；

(3)向董事會成員提供信息是否足夠、及時，以便可以監(jiān)督管理層的目標和戰(zhàn)略、企業(yè)的財務狀況和運行結(jié)果以及重大協(xié)議的期限

(4)是否將敏感信息、問題調(diào)查和不當行為充分地、及時地通告董事會和審計委員會。

4.對管理層的經(jīng)營理念和經(jīng)營風格的評估

對該要素的評估應重點關(guān)注：

(1)可以承擔的商業(yè)風險的性質(zhì)，例如管理層是否經(jīng)常討論某個高風險的項目，或者對承擔風險特別謹慎小心；

(2)高級管理層和運營管理層之間的互動頻率，尤其是在地理位置偏遠的地區(qū)進行運營時；

(3)對財務報告的態(tài)度和采取的行動，包括對運用會計處理的爭議。

5.對組織結(jié)構(gòu)的評估

對該要素的評估應重點關(guān)注：

(1)企業(yè)組織結(jié)構(gòu)的適合性，該組織結(jié)構(gòu)是否能夠提供必要的信息流以管理其經(jīng)營活動；

(2)充分定義了關(guān)鍵管理人員的職責，而且他們理解這些職責；

(3)就關(guān)鍵管理人員的職責而言，他們是否具備足夠的知識和經(jīng)驗。

6.對授權(quán)和職責分工的評估

對該要素的評估應重點關(guān)注：

(1)是否有明確的職責分工和授予權(quán)力，以處理妨礙實現(xiàn)企業(yè)目標和目的的問題，滿足運營職能和監(jiān)管的要求，包括對信息系統(tǒng)負責以及授權(quán)進行改變

(2)與內(nèi)部控制相關(guān)的準則和程序的適合性，包括員工崗位描述

(3)適合的人員數(shù)，特別是與數(shù)據(jù)處理和會計職能有關(guān)的人數(shù)，與企業(yè)規(guī)模相關(guān)的所需的技能水平，以及企業(yè)活動和系統(tǒng)的性質(zhì)和復雜性。

7.對人力資源政策與措施的評估

對該要素的評估應重點關(guān)注：

(1)員工聘用、培訓、晉升和薪酬的政策和程序制定到位的程度，

(2)對根據(jù)政策和程序批準的離職所采取的相應補救行動的適合性；

(3)對雇員候選人背景是否進行足夠的審查，尤其是當企業(yè)認為對其以前的行為或活動無法接受的情況下。

二、風險評估

風險評估是企業(yè)及時識別、系統(tǒng)分析經(jīng)營活動中與實現(xiàn)內(nèi)部控制目標相關(guān)的風險，合理確定風險應對策略的過程。

風險評估的前提是目標設(shè)定，風險評估的基礎(chǔ)是風險識別；風險評估的關(guān)鍵是風險分析；風險評估的目的是風險應對。評估人員應把重點放在目標設(shè)定、風險分析和應對變化的流程上，包括流程的關(guān)聯(lián)因素以及相關(guān)的業(yè)務活動。

1.對企業(yè)層面目標的評估

(1)對企業(yè)目標充分陳述的程度，是否對企業(yè)期望實現(xiàn)的目標提供充分的指導，而且特定目標直接與該企業(yè)相關(guān)；

(2)向員工和董事會傳達企業(yè)目標的有效性，

(3)企業(yè)目標與各種策略的關(guān)系和一致性

(4)企業(yè)目標，戰(zhàn)略計劃和當前環(huán)境條件與經(jīng)營計劃和預算的一致性。

2.對業(yè)務活動層面目標的評估

(1)業(yè)務活動層面目標與企業(yè)總體目標和戰(zhàn)略計劃的關(guān)聯(lián)度，

(2)業(yè)務活動層面目標之間的一致性；

(3)業(yè)務活動層面目標與所有重要的業(yè)務流程的相關(guān)性

(4)業(yè)務活動層面目標的特異性。

(5)與目標相關(guān)的資源是否充足

(6)識別對實現(xiàn)企業(yè)總體目標來說較重要的目標(關(guān)鍵成功因素)；

(7)各級管理層參與目標設(shè)定以及他們對實現(xiàn)目標履行諾言的態(tài)度。

3.對風險識別的評估

(1)識別外部因素造成風險的機制是否足夠全面；

(2)識別內(nèi)部因素造成風險的機制是否足夠全面

(3)為每個重要的業(yè)務活動層面目標識別重大風險；

(4)風險分析流程(包括估計風險的重要性、評估風險出現(xiàn)的可能性并確定需要采取的行動)的徹底性和相關(guān)性。

4.對應對變化的評估

(1)是否建立預測、識別并對現(xiàn)實企業(yè)或業(yè)務活動層面目標產(chǎn)生影響的日常事件或活動作出反應的各種機制；

(2)是否存在各種機制去識別變化并對變化作出反應，這種變化會給企業(yè)帶來巨大的和滲透性的影響，而且可能還需要高級管理層的關(guān)注。

三、控制活動

控制活動是結(jié)合風險評估結(jié)果，運用相應的控制管理措施，將風險控制在可承受度之內(nèi)，確保管理層關(guān)于風險應對方案得以貫徹執(zhí)行的政策和程序，包括批準、授權(quán)，核對會計分錄，核實，檢查業(yè)績，風險披露限制，職責劃分、生產(chǎn)安全。基于與其有關(guān)的企業(yè)目標的性質(zhì)，控制活動可以分為3種類型；經(jīng)營控制、財務報告控制和合規(guī)性控制。

控制活動通常包括兩個要素：第一個要素是政策，第二個要素是程序。

1.控制活動與風險評估的結(jié)合

在評估風險的同時，管理層應明確并實施應對風險所需要采取的行動。應對風險時明確的行動有助于把關(guān)注的焦點放在要實施的控制活動上，從而保證正確、及時地貫徹執(zhí)行這些控制活動。

2.對控制活動的評估

必須在管理層指導下，針對與每個重要活動所確立的目標有關(guān)的風險來對控制活動進行評估。因此評價者必須考慮控制活動是否與風險評估流程有關(guān)，控制活動是否適當并可以保證管理層的指令得到貫徹執(zhí)行。對每一項重要的業(yè)務活動都將進行這樣的評價。評價者將不僅考慮確立的控制活動是否與風險評估流程相關(guān)，也將考慮是否正確地運用了這些控制活動。

四、信息和溝通

信息和溝通是指企業(yè)中的各種生產(chǎn)運營和管理信息以某種形式被識別、獲得和溝通，以促使員工按照信息指令履行自己的職責。

信息的識別、獲取、處理和報告靠信息系統(tǒng)進行。溝通是信息系統(tǒng)所固有的功能。溝通的方式可以采用諸如政策手冊、備忘錄、布告通知和錄像帶等形式。

對信息與溝通的評估，評估者將考慮信息和溝通系統(tǒng)滿足企業(yè)需要的適合性。

1.對信息系統(tǒng)的評估要點

(1)獲得外部和內(nèi)部信息，向管理層提供必要的報告，說明與實現(xiàn)企業(yè)目標相關(guān)的企業(yè)業(yè)績表現(xiàn)；

(2)向適合的人及時提供足夠詳細的信息，使他們能夠有效率和有效果地履行職責，

(3)依據(jù)一份與企業(yè)總體戰(zhàn)略相關(guān)的信息系統(tǒng)戰(zhàn)略計劃，發(fā)展或修改信息系統(tǒng)，使其為實現(xiàn)企業(yè)總體目標及業(yè)務活動層面目標服務

(4)通過承諾提供適當?shù)娜肆?、財力資源，顯示管理層對發(fā)展必要的信息系統(tǒng)的支持。

2.溝通系統(tǒng)的評估要點

(1)傳達員工義務和控制職責的有效性；

(2)是否建立了溝通渠道，使員工可以舉報受到懷疑的不當行為，

(3)管理層對員工關(guān)于提高生產(chǎn)力、強化質(zhì)量管理或其他改進方法的建議的接受度；

(4)企業(yè)內(nèi)部的溝通是否足夠，信息的完整性和及時性是否足以使人們有效地履行其職責，

(5)與客戶、供應商和其他外部有關(guān)方溝通不斷變化的客戶需求信息的渠道的開放性和有效性，

(6)外部各方對該企業(yè)道德準則的了解程度，

(7)管理層是否通過與客戶、供應商、監(jiān)管部門或其他外部有關(guān)方的溝通，采取了及時的和合適的跟進措施。

五、監(jiān)督

監(jiān)督是評估內(nèi)控系統(tǒng)在一定時期內(nèi)運行質(zhì)量的過程，目的是保證內(nèi)部控制持續(xù)有效，一般采用持續(xù)性監(jiān)督和獨立評估的方式。

在考慮對企業(yè)內(nèi)部控制的持續(xù)性、有效性進行監(jiān)督的程度時，對內(nèi)部控制體系的持續(xù)性監(jiān)督活動和獨立評估兩者(或其中一些部分)都應予以考慮。

1.對持續(xù)性監(jiān)督的評估

(1)在員工日常活動中獲得證據(jù)的程度，以此表明內(nèi)部控制體系是否繼續(xù)發(fā)揮作用

(2)與外部各方進行溝通，確認內(nèi)部生成的信息或指明問題的程度；

(3)定期對會計系統(tǒng)記錄的金額與實物資產(chǎn)進行核對；

(4)對內(nèi)部和外部審計師建議增強內(nèi)部控制手段的反應，

(5)培訓研討會、計劃會議及其他會議向管理層提供有關(guān)內(nèi)部控制是否有效的重要反饋的程度。

(6)是否定期要求員工說明他們有否理解和遵守企業(yè)的員工行為守則，并且正常執(zhí)行了關(guān)鍵控制活動；

(7)內(nèi)部審計活動的有效性。

2.對獨立評估的評估

(1)內(nèi)部控制體系獨立評估的范圍和頻率

(2)評價流程的適合性。

(3)評價內(nèi)部控制體系的方法是否合理、適合

(4)文件記錄水平的適合性。

3.對報告缺陷的評估

(1)是否有獲取和報告已識別出的內(nèi)部控制缺陷的機制；

(2)上報規(guī)程的適合性，

(3)跟進行動的適合性。

內(nèi)部控制的內(nèi)容。歸根結(jié)底是由上述要素組成的。這些要素及其構(gòu)成方式，決定著內(nèi)部控制的內(nèi)容與形式。設(shè)計內(nèi)部控制，可以根據(jù)企業(yè)特征和需求(例如企業(yè)規(guī)模、業(yè)務構(gòu)成、管理水平等)，對內(nèi)部控制要素加以有機結(jié)合，切忌閉門造車，生搬硬套，要從分析自身的控制環(huán)境開始，這樣才能真正建立一套符合企業(yè)發(fā)展實際的內(nèi)部控制制度。