曆史記錄
COSO于1985年組織成立,贊助欺詐性财務報告全國委員會,這是一個獨立的私營部門倡議,研究可能導緻虛假财務報告的原因。它還為上市公司及其獨立審計師、美國證券交易委員會和其他監管機構以及教育機構提出了建議。
全國委員會由五大專業協會聯合主辦總部設在美國:美國會計協會(AAA)、美國注冊會計師協會(AICPA)、國際金融高管協會(FEI), 内部審計師協會(IIA)和全國會計師協會(現為管理會計師協會[IMA])。委員會完全獨立于每一個贊助組織,包括來自工業、公共會計、投資公司和紐約證券交易所的代表。
全國委員會的第一任主席是詹姆斯·C。Tradeway,Jr.,Paine Webber Incorporated執行副總裁兼總法律顧問,曾任美國證券交易委員會委員。因此,俗稱“特雷德韋委員會”。目前,COSO主席是保羅J.索貝爾。
COSO的目标是提供思想領導,處理三個相互關聯的主題:企業風險管理(ERM)、内部控制和欺詐威懾。
關于企業風險管理,2004年,COSO發布了企業風險管理-綜合框架。2017年發布的“企業風險管理——與戰略和績效相結合”對該框架進行了更新,強調了在戰略制定過程和推動績效過程中考慮風險的重要性。從2009年開始,COSO還發表了幾篇與企業風險管理相關的思想論文。
關于内部控制,1992年,COSO出版了内部控制-綜合框架。本框架于2013年5月修訂并重新發布。自2014年12月15日起生效,1992年框架被取代,不再可用。1996年,COSO發布衍生品使用中的内部控制問題。
2006年,COSO出版了财務報告内部控制-小型上市公司指南,然後是内部控制系統監測指南,于2009年發布。2014年12月15日生效,2006年小型上市公司指南也被取代,不再可用。
最後,在欺詐威懾領域,COSO發表了兩份研究報告。1999年發布的第一項研究題為虛假财務報告:1987-1997;另一個叫做欺詐性财務報告:1998-2007,于2010年發行。
控制職責
管理層
CEO最終負責整個控制系統。對大公司, CEO可把權限分配給高級經理,并評價其控制活動,然後,高級經理具體制定控制的程序和人員責任;對小公司,一切可更為直接,由最高經理具體執行。
董事會
管理層對董事會負責,由董事會設計治理結構,指導監管的進行。有效的董事會應掌握有效的上下溝通渠道,設立财務、内部審計等職能,防止管理層超越控制,有意歪曲事實來掩蓋管理的缺陷。
内部審計師
内審對評價控制系統的有效性具有重要作用,對公司的治理結構行使者監管的職能。
内部其他人員
明确各自的職責,提供系統所需的信息,實現相應的控制;對經營中出現的問題,對不合法、違規行為有責任與上級溝通。
外部人員
公司的外部人員也有助于控制目标的實現,如外部審計可提供客觀獨立的評價,通過财務報表審計直接向管理階層提供有用信息;另如法律部門、監管部門、客戶、其他往來單位、财務分析師、信用評級公司、新聞媒體等也都有助于内部控制的有效執行。
現實意義
COSO報告是在美國金融風險加劇,财務欺詐擡頭,社會各界對内部控制和獨立審計師寄予厚望的“危難”時刻,由五個職業會計團體聯合并潛心研究近4年左右的時間才誕生的。COSO報告中蘊涵了許多嶄新的理念和思想。這些理念和思想,不僅對過去,而且對現在甚至未來的企業管理、财會工作和獨立審計都有着重要影響。主要有以下幾個方面:
準确定位内部控制基本目标
COSO報告指出内部控制本身不是目的,而是實現目标的手段。内部控制目标是幫助企業奔向經營目标、完成使命和減少經營過程中的風險。用中國話來說就是為企業的經營和管理工作“保駕護航”。
提出三類目标、五項構成要素概念
COSO把内部控制細分為經營效率與效果、财務報告可靠和遵紀守法三類子目标和控制環境、風險評估、控制活動、信息與溝通和監測活動五項構成要素。這些概念的提出,為評價内部控制系統提供了一套完整的标準,使COSO報告在理論和實際應用兩個方面都較原來的内部控制學說有一個質的飛躍。
提出内部控制是“過程”,并由控制環境、風險評估、控制活動、信息與溝通和監測活動五項要素構成
五項控制要素不是内部控制過程中先後順序上的一道道工序,而是一個多方向交叉的多維的反複的過程。COSO報告突出了内部控制過程中的複雜性和各控制要素之間有機的多維的聯系與影響。
強調“人”的重要性
COSO報告指出人和環境是推動企業發展的引擎。内部控制是由人來設計和實施的,企業中的每位員工都受内部控制的影響,并通過自身的工作影響着他人的工作和整個内部控制系統。所以,要求所有員工都應清楚他們在企業、在内部控制系統中的位置和角色,并協調一緻,才能推進内部控制的有效運轉。
認識到董事會在内部控制中的作用
COSO認為董事會與公司内部控制之間是有聯系的,企業中一些行為需要董事會批準或授權。一個客觀、能動和富有調查精神的董事會,能夠及時發現并修正公司經理班子逾越内部控制的行爐。
強調内部控制系統系是“内置于”企業經營和管理過程中的一項基礎設施
它與管理活動的計劃、執行和監控職能交織融合在一起,不是後天添加物(built on)。同時内控系統應有應對不斷變化的客觀世界的機制。
報告局限性
COSO報告是以職業會計師為主體隊伍的研究成果,應用的現實特别是面對美國财務危機的現狀,顯示COSO報告在控制能力上的差距。COSO報告中主要值得商榷的問題有:
1.沒有充分認識到董事會對内部控制系統的至關重要性。雖然COSO報告把董事會與内部控制聯系起來,但它的這種聯系僅僅局限于企業有一些事情需要董事會審批或授權,基本上把内部控制限定在CEO之下,而對董事會更為重要的作用和董事會與CEO之間的聯系和制衡關注不夠。這好比設計一幢大廈,隻看到了地上部分,忽視了地下基礎。
2.COSO提倡的反映内部控制運行狀态的“管理報告”的信息含量和可信性值得懷疑。首先,從正常邏輯上考慮,如果一個企業的内部控制存在問題,企業能夠如實地公示社會嗎?第二,管理報告對内部控制的評價隻是基于某一時點狀況而言的。根據COSO報告,企業不需披露在此時點之前存在的但已被發現和更正的内部控制缺陷。第三,報告的範圍僅限于與财務報告有關的内部控制,而财務報告隻是經營結果的反映。筆者認為内部控制系統的評估和持續監測是絕對必需的,但COSO建議的這種評估和披露方式容易誤導投資者。
3.COSO報告中的“合理保證”、“成本效益”等詞語,基本上是從會計上直接移植過來的,對于規避注冊會計師法律責任是有好處的。但對社會用戶來說,增添了許多猜疑和無奈。到底什麼算是“合理保證”,如何做到“成本效益配比”,在實踐中恐怕很難說清楚。内部控制評價應通過提高評價标準和評價過程的客觀性和透明度增加科學性。
4.把企業經營和管理中一些重要職能排斥在内部控制觸角之外。COSO一方面指出内部控制與管理各功能(計劃、執行和監控)交織在一起,是内置于企業經營活動之中的。另一方面卻把目标設定、戰略規劃、核心競争力培育、風險評估和管理等重要經營和管理活動排斥在内部控制系統之外。
5.基本目标與分類子目标之間存在差異。根據COSO報告,内部控制基本目标是促使企業實現經營目标,并減少經營過程中的風險,其中既涉及了企業生存,也關注了企業發展。發展和戰略規劃問題是企業所有問題的根本。而三類子目标,基本上都屬于維持企業當期經營的範疇,着眼點在于企業生存,沒有站在企業戰略高度關注未來發展。
另外,COSO報告将内部控制基本目标細分為三類特定目标的方法值得商榷。這種分類方法的缺陷在其與GAO就保護資産安全内部控制之讨論中,就表現出來了。COSO認為,保護資産安全内部控制屬于經營效果效率目标的範疇,已經包括在經營效果效率内部控制之中,而GAO認為保護資産安全内部控制涉及到資産價值真實性的問題,對财務報告可靠性有重大影響,應該包括在财務報告内部控制之中。COSO也在報告中承認三類目标有時是重疊的。
6.評價内部控制有效性标準過于主觀。根據COSO報告,内部控制有效性有賴于對内部控制三類目标或五個控制要素的實現程度。但評價标準基本上都是主觀判斷。其實,一個企業内部控制是否有效完全可以通過它客觀的市場業績體現出來,例如企業市場價值,客戶滿意度,持續獲利能力增長情況等。
7.内部控制系統中會計與審計的色彩太重,考慮企業現存的和微觀的或規避風險的事情多,與業務平台和業務拓展關系不大,防範風險也是被動的,缺乏能動性。所以,至今還有許多公司認為内部控制隻是财務主管和财會人員的事情。
對國企啟示
企業是多重契約關系的組合,而股東會與董事會、董事會與經理班子之間的委托代理關系是其中最基本的契約關系,因此企業内部控制中的“内部”就應從組建法人治理結構開始。建立健全董事會功能是企業最根本的内部控制。“安然”、“施樂”和“世通”特大财務欺詐案件都直接與董事會功能失效和内部人控制泛濫有關。
同時,由于企業與外部關系人的經濟聯系和契約關系,在現代企業中發揮着越來越重要的作用,企業内部控制中的“内部”有時還要延伸至企業法律邊界以外,将獨立審計師、供應商資源、客戶信用與需求和政府監管納入企業内部控制系統。
“控制”與“反控制”是一對永恒的矛盾,企業内部控制的目的是追求企業持續“得到控制”,确保企業各類契約關系持續而有序地運行,确保企業有一個好的戰略目标和管理團隊,并按照既定目标持續高效地發展和增值,為企業各類契約當事人發現并創造價值。
企業内部控制是企業與生俱來的,它内置于企業經營和管理過程之中,并與之緊密聯系、水乳交融,是同一事物的不同層面,不可割舍。
企業内部控制應是一個能動的駕禦、監測和推動系統,它不僅要關心企業的現實生存,更應關注企業的未來發展;不但重視企業微觀,同時也關心企業宏觀;不隻是簡單的規避風險,更着眼于科學風險管理,重視通過業務發展減低風險;不僅要重視現行會計上已确認和計量的資産,更要關注人力資本、管理團隊、核心競争力、研發能力、客戶資源、企業文化和品牌與商譽等軟性資産在企業發展和控制活動中的重要作用,即在内部控制上要引入“全面資産”概念;不僅注重企業經理班子之下的内部控制,而且特别強調公司治理結構建設,強調企業法律邊界以外可能對企業生存與發展有重大影響的各類要素。
風險管理框架
COSO風險管理框架把風險管理的要素分為八個:内部環境、目标制定、事件識别、風險評估、風險反應、控制活動、信息與溝通、監督。
内部環境
企業的内部環境是其他所有風險管理要素的基礎,為其他要素提供規則和結構。内部環境影響企業戰略和目标的制定、業務活動的組織和風險的識别、評估和執行等等。它還影響企業控制活動的設計和執行、信息和溝通系統以及監控活動。
内部環境包含很多内容,包括企業員工的道德觀和勝任能力、人員的培訓、管理者的經營模式、分配權限和職責的方式等。董事會是内部環境的一個重要組成部分,對其他内部環境的組成内容有重要的影響。
而企業的管理者也是内部環境的一部分,其職責是建立企業的風險管理理念、确定企業的風險偏好,營造企業的風險文化,并将企業的風險管理和相關的行動計劃結合起來。
目标制定
根據企業确定的任務或預期,管理者确定企業的戰略目标,選擇戰略方案,确定相關的子目标并在企業内層層分解和落實,各子目标都應遵循企業的戰略方案并與戰略方案相聯系。
事件識别
管理者意識到了不确定性的存在,即管理者不能确切地知道某一事項是否會發生、何時發生或者如果發生其結果如何。作為事項識别的一部分,管理者應考慮會影響事項發生的各種企業内外部的因素。外部因素包括經濟、商業、自然環境、政治、社會和技術因素等,内部因素反映出管理者所做的選擇,包括企業的基礎設施、人員、生産過程和技術等事項。
風險評估
風險評估可以使企業了解潛在事項如何影響企業目标的實現。管理者應從兩個方面對風險進行評估――風險發生的可能性和影響。
風險反應
管理者可以制定不同風險反應方案,并在風險容忍度和成本效益原則的前提下,考慮每個方案如何影響事項發生的可能性和事項對企業的影響,并設計和執行風險反應方案。考慮各風險反應方案并選擇和執行一個風險反應方案是企業風險管理不可分割的一部分。有效的風險管理要求管理者選擇一個可以使企業風險發生的可能性和影響都落在風險容忍度範圍之内的風險反應方案。
控制活動
控制活動是幫助保證風險反應方案得到正确執行的相關政策和程序。控制活動存在于企業的各部分、各個層面和各個部門。控制活動是企業努力實現其商業目标的過程的一部分。通常包括兩個要素:确定應該做什麼的一個政策和影響該政策的一系列過程。
信息和溝通
來自于企業内部和外部的相關信息必須以一定的格式和時間間隔進行确認、捕捉和傳遞,以保證企業的員工能夠執行各自的職責。有效的溝通也是廣義上的溝通,包括企業内自上而下、自下而上以及橫向的溝通。有效的溝通還包括将相關的信息與企業外部相關方的有效溝通和交換,如客戶、供應商、行政管理部門和股東等。
監督
對企業風險管理的監控是指評估風險管理要素的内容和運行以及一段時期的執行質量的一個過程。企業可以通過兩種方式對風險管理進行監控――持續監控和個别評估。持續監控和個别評估都是用來保證企業的風險管理在企業内各管理層面和各部門持續得到執行。
如何實現COSO轉換
這裡借波音公司的例子來說明。
盡管最終我們成功實現了向COSO的轉換,過程中卻也遇到了一些阻礙。我們一步步實現這個過程,開始于開發和測試控制評價表格。早期表格結合了由國際内部審計師協會内部審計的專業實踐标準(IIA’s Standards for the Professional Practice of Internal Auditing)發布的COSO控制要素的内部控制目标。但是審計師們卻對關于COSO和标準的術語感到迷惑,問題就産生了。
此外,審計人員對COSO框架的理解不足,沒有統一的評級标準來确保一緻性。讓問題更加複雜的是,兩起重大的并購案子——涉及到波音、羅克韋爾和麥道公司,三家企業的審計人員在執行内部審計時各持己見。許多審計人員看不到内部審計評級的任何好處,這更讓人擔心。由于缺少指導,術語混亂,審計人員産生這種感覺也不是沒有道理的。
通過同員工一起建立共識,包括管理方向,詳細的書面指導、員工培訓和後續驗證研讨會,這些問題才得以解決。開設了培訓講習班,講解COSO的性質、目的和方法。在講習班上還展現了審計方法的修訂方案,這樣可以保證應用的一緻性。基于COSO的評級标準也提供給審計人員,指導他們如何報告内部控制情況。為了保證目标一緻,退出了新的内控政策和程序。整個公司标注化COSO應用,強調管理責任的實現。
此外,高層管理部門的支持是至關重要都得。沒有他們的支持,許多典型的障礙都會出現阻止COSO的實施。高層管理部門的支持包括:
· 日常審計交流備忘錄,應用COSO框架追蹤及報告整個公司内部控制情況的必要性。
· 高級管理援助,積極參與COSO培訓課程,支持COSO模式以及員工的轉入。
· 審計主管使用控制評級指标來準備控制環境評估。
· COSO指導的項目管理支持,包括通過檢查來保證審計過程中COSO标準的适當應用。
所有努力的一個好處就是提交到審計委員會的公司内部控制現狀的報告狀況有所改善。由于我們已經按照COSO原則改造了公司的審計過程,公司董事和高層管理部門就可以快速知道在COSO評級系統的評測下公司内部控制的效果。
在标準審計過程中使用COSO框架對其他方面也很有幫助。最明顯的,我們相信,隻要堅持每一個審計環節都依照COSO目标,項目的效率和效果肯定會整體提高的。我們的政策要求,COSO五要素必須覆蓋每一個審計過程,這有效的改善了我們審計工作的有效性,特别是對于在舊審計系統下沒有解決的那些案子。
另一個關鍵好處是新波音公司内部審計通用框架的采用,專注于COSO可以幫助新聯合的三個公司形成統一的内部控制概念。但是審計工作的可靠性和可比性卻取決于繼續遵守規定辦法,操作不一緻肯定會帶來潛在風險。同行審查和正在進行的監測有助于減少這種可能性。
建立以COSO為基礎的審計并不簡單。但是願意嘗試的人會得到回報——更全面的審計覆蓋和更先進的管理報告。
