更新时间:2023-03-21 14:49
COSO是全国虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文缩写。根据萨班斯法案第404节条款以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。
SEC对该标准的认同等于从另外一个侧面承认了1992年COSO公布的《内部控制—综合框架》(也称“COSO内部控制框架”)。这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。 1992年Treadway委员会经过多年研究,针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括,发布《内部控制一整体框架》(Internal control-Integrated Framework)报告,即通称的COSO报告。该报告第一部分是概括;第二部分是定义框架,完整定义内部控制,描述它的组成部分,为公司管理层、董事会和其他人员提供评价其内部控制系统的规则;第三部分是对外部团体的报告;是为报告编制报表中的内部控制的团体提供指南的补充文件;第四部分是评价工具,提供用以评价内部控制系统的有用材料。
COSO报告提出内部控制是用以促进效率,减少资产损失风险,帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(与对外公布的财务报表编制相关的,包括中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规。
它包括组织人员的诚实、伦理价值和能力;管理层哲学和经营模式;管理层分配权限和责任、组织、发展员工的方式;董事会提供的关注和方向。控制环境影响员工的管理意识,是其他部分的基础。
是确认和分析实现目标过程中的相关风险,是形成管理何种风险的依据。它随经济、行业、监管和经营条件而不断变化,需建立一套机制来辨认和处理相应的风险。
是帮助执行管理指令的政策和程序。它贯穿整个组织、各种层次和功能,包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。
信息系统产生各种报告,包括经营、财务、守规等方面,使得对经营的控制成为可能。处理的信息包括内部生成的数据,也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。所有人员都要理解自己在控制系统中所处的位置,以及相互的关系;必须认真对待控制赋予自己的责任,同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。
监控在经营过程中进行,通过对正常的管理和控制活动以及员工执行职责过程中的活动进行监控,来评价系统运作的质量。不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。对于内部控制的缺陷要及时向上级报告,严重的问题要报告到管理层高层和董事会。
CEO最终负责整个控制系统。对大公司, CEO可把权限分配给高级经理,并评价其控制活动,然后,高级经理具体制定控制的程序和人员责任;对小公司,一切可更为直接,由最高经理具体执行。
管理层对董事会负责,由董事会设计治理结构,指导监管的进行。有效的董事会应掌握有效的上下沟通渠道,设立财务、内部审计等职能,防止管理层超越控制,有意歪曲事实来掩盖管理的缺陷。
内审对评价控制系统的有效性具有重要作用,对公司的治理结构行使监管的职能。
明确各自的职责,提供系统所需的信息,实现相应的控制;对经营中出现的问题,对不合法、违规行为有责任与上级沟通。
公司的外部人员也有助于控制目标的实现,如外部审计可提供客观独立的评价,通过财务报表审计直接向管理阶层提供有用信息;另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。
COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。COSO报告中蕴涵了许多崭新的理念和思想。这些理念和思想,不仅对过去,而且对当下甚至未来的企业管理、财会工作和独立审计都有着重要影响。主要有以下几个方面:1.准确定位内部控制基本目标。COSO报告指出内部控制本身不是目的,而是实现目标的手段。内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。用中国话来说就是为企业的经营和管理工作“保驾护航”。
2.提出三类目标、五项构成要素概念。COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概念的提出,为评价内部控制系统提供了一套完整的标准,使COSO报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。
3.提出内部控制是“过程”,并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部控制过程中先后顺序上的一道道工序,而是一个多方向交叉的多维的反复的过程。COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。
4.强调“人”的重要性。COSO报告指出人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的,企业中的每位员工都受内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统。所以,要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。5.认识到董事会在内部控制中的作用。COSO认为董事会与公司内部控制之间是有联系的,企业中一些行为需要董事会批准或授权。一个客观、能动和富有调查精神的董事会,能够及时发现并修正公司经理班子逾越内部控制的行炉。
6.强调内部控制系统系是“内置于”(built in)企业经营和管理过程中的一项基础设施(infrastructure),与管理活动的计划、执行和监控职能交织融合在一起,不是后天添加物(built on)。同时内控系统应有应对不断变化的客观世界的机制。
COSO报告是以职业会计师为主体队伍的研究成果,应用的现实特别是面对美国财务危机的现状,显示COSO报告在控制能力上的差距。COSO报告中主要值得商榷的问题有:
1.没有充分认识到董事会对内部控制系统的至关重要性。虽然COSO报告把董事会与内部控制联系起来,但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权,基本上把内部控制限定在CEO之下,而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。这好比设计一幢大厦,只看到了地上部分,忽视了地下基础。
2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。首先,从正常逻辑上考虑,如果一个企业的内部控制存在问题,企业能够如实地公示社会吗?第二,管理报告对内部控制的评价只是基于某一时点状况而言的。根据COSO报告,企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。第三,报告的范围仅限于与财务报告有关的内部控制,而财务报告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是绝对必需的,但COSO建议的这种评估和披露方式容易误导投资者。
3.COSO报告中的“合理保证”、“成本效益”等词语,基本上是从会计上直接移植过来的,对于规避注册会计师法律责任是有好处的。但对社会用户来说,增添了许多猜疑和无奈。到底什么算是“合理保证”,如何做到“成本效益配比”,在实践中恐怕很难说清楚。内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。
4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。COSO一方面指出内部控制与管理各功能(计划、执行和监控)交织在一起,是内置于企业经营活动之中的。另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。
5.基本目标与分类子目标之间存在差异。根据COSO报告,内部控制基本目标是促使企业实现经营目标,并减少经营过程中的风险,其中既涉及了企业生存,也关注了企业发展。发展和战略规划问题是企业所有问题的根本。而三类子目标,基本上都属于维持企业当期经营的范畴,着眼点在于企业生存,没有站在企业战略高度关注未来发展。另外,COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。这种分类方法的缺陷在其与GAO就保护资产安全内部控制之讨论中,就表现出来了。COSO认为,保护资产安全内部控制属于经营效果效率目标的范畴,已经包括在经营效果效率内部控制之中,而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题,对财务报告可靠性有重大影响,应该包括在财务报告内部控制之中。COSO也在报告中承认三类目标有时是重叠的。
6.评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。
7.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。
COSO报告对我国企业的启示
企业是多重契约关系的组合,而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系,因此企业内部控制中的“内部”就应从组建法人治理结构开始。建立健全董事会功能是企业最根本的内部控制。“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。同时,由于企业与外部关系人的经济联系和契约关系,在现代企业中发挥着越来越重要的作用,企业内部控制中的“内部”有时还要延伸至企业法律边界以外,将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。“控制”与“反控制”是一对永恒的矛盾,企业内部控制的目的是追求企业持续“得到控制”,确保企业各类契约关系持续而有序地运行,确保企业有一个好的战略目标和管理团队,并按照既定目标持续高效地发展和增值,为企业各类契约当事人发现并创造价值。企业内部控制是企业与生俱来的,它内置于企业经营和管理过程之中,并与之紧密联系、水乳交融,是同一事物的不同层面,不可割舍。
企业内部控制应是一个能动的驾御、监测和推动系统,它不仅要关心企业的现实生存,更应关注企业的未来发展;不但重视企业微观,同时也关心企业宏观;不只是简单的规避风险,更着眼于科学风险管理,重视通过业务发展减低风险;不仅要重视现行会计上已确认和计量的资产,更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用,即在内部控制上要引入“全面资产”概念;不仅注重企业经理班子之下的内部控制,而且特别强调公司治理结构建设,强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。