COSO内部控制框架介绍

COSO部控制框架
2007-11-16 15:30
一、背景介绍
部控制是什么?不同的人有不同的理解。

一般的人把部控制理解为组织为了减少决策失误和工作缺陷而实施的控制,这些控制可能是部监督、也可能是管理手册、规章制度等。

这种理解没有错,但不全面。

按照现代的控理论,这些仅仅是部控制的一部分,而不是全部。

现代控理论认为,部控制是一个系统化的框架,它建立在风险管理的基础上,包括控环境、风险分析、控活动、信息与沟通、监督五大要素。

〔一〕COSO部控制框架的产生和发展过程
部控制理论的发展是一个逐步演变的过程,大致可以区分为部牵制、部控制制度、部控制结构与部控制整体框架四个阶段。

在部牵制阶段,账目间的相互核对是控的主要容,设定岗位分离是控的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法；在部控制制度阶段,部控制的重点是建立健全规章制度；在部控制结构阶段,部控制被认为是为合理保证企业特定目标的实现而建立的各种政策和程序,分为控环境、会计制度和控制程序三个方面；部控制整体框架阶段,就是我们下面将要讨论的COSO部控制框架。

在美国,20世纪70年代中期,与部控制有关的活动大部分集中在制度的设计和审计方面,重在改进部控制制度和方法。

1973年至1976年对水门事件〔美国公司进行XX的国捐款和贿赂外国政府官员〕的调查使得立法机关与行政机关开始注意到部控制问题。

针对调查的结果,美国国会于1979年通过了《反国外贿赂法》〔简称FCPA〕。

FCPA除了规定了关于反贿赂的条款外,还规定了与会计及部控制有关的条款。

因此美国许多机构都加强了对部控制的研究并提出许多建议。

1985年,由美国注册会计师协会、会计协会、财务主管协会、部审计师协会、管理会计师协会联合创建了反虚假财务报告委员会,该委员会旨在探讨财务报告中的舞弊产生的原因,
并寻找解决措施。

两年后,该委员会提出了很多有价值的建议。

基于该委员会的建议,其赞助机构成立COSO委员会,专门研究部控制问题。

1992年9月,COSO委员会提出了报告《部控制——整体框架》〔1994年进行了增补〕, 即COSO部控制框架。

COSO控框架的提出标志着部控制理论发展到新的阶段,对企业完善和优化部控制、增强风险防能力具有十分重要的意义。

COSO部控制框架之所以被广泛地选择作为构建和完善部控制体系的标准,是因为：虽然COSO部控制框架并非唯一的部控制框架,但却是美国证券交易委员会唯一推荐使用的部控制框架,《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO部控制框架可以作为评估企业部控制的标准。

股份公司作为纽约证交所上市公司,需要按照法案要求,引
进COSO部控制框架,整合现有部控制,满足法案的要求。

同时,对股份公司来说,这也是梳理管理流程、规管理、提升整体管理水平的契机。

COSO部控制框架是一个较为理想的框架,几乎所有公司的部控制均与之有一定差距,美国各大公
司也正在为此而努力,虽然这必然加大企业负担,但多数公
司同股份公司一样,希望通过理解和贯彻COSO部控制框架要求,来实现提升管理水平的目的。

〔二〕XXX目前的部控制体系与COSO部控制框架的差距
目前,股份公司通过多年的管理实践和积累,已经建立了一
套针对XX行业的行之有效的控体系,但与COSO部控制框架的要求相比还存在一些距离。

这些差距主要体现在：部控制体系的整体框架、控环境、风险评估等理念尚未被广泛接受、部控制的文档记录还不够系统规、缺乏自我评估机制等。

"他山之石,可以攻玉",COSO控框架对于我们加强企业部控制具有一定的启发和借鉴意义。

为此,我们需要认真学习COSO 部控制框架理论,充分认识和理解COSO部控制框架,并在实际经营管理中积极实践,大力贯彻和实施,从而优化部控制,完善控体系,全面提升公司管理水平。

二、COSO部控制框架下控制度定义
〔一〕COSO控框架对部控制的定义
COSO部控制框架认为,部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关
法规的遵循性等目标的实现而提供合理保证的过程。

〔二〕对部控制定义的理解
应该从以下几个方面理解部控制的定义：
第一,部控制是一个"过程",而且是一个动态的过程。

企业的经营活动是永不停止的,企业的部控制过程也因此不会停止,它是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程。

部控制应该与企业的经营管理过程相结合,而不是凌驾于企业的基本活动之上,它促使经营达到预期的效果,并监督企业经营过程的持续有效进行。

第二,部控制受到"人"的因素的影响,它并不仅仅是政策手册和表格,不仅仅是管理人员、部审计或董事会,而是组织中的每一个人,每一个人都对部控制负有责任并受到部控制的影响；是"人"建立企业的目标,并将控制机制赋予实施。

确立这种观念有利于企业的所有员工明确自己的责任和权限,主动地维护及改善企业的部控制。

第三,部控制无论设计和运行得多么完善,也只能为企业的管理层和董事会提供合理的保证,而不是绝对保证,因为部控制本身具有局限性。

最后,控框架将部控制目标分为三类：与营运有关的目标—即经营的效率与效果、与财务报告有关的目标—即财务报告的可靠性、以及与法规的遵循性有关的目标。

上述分类让我们专注于部控制的各个方面,这些相互有别,相互交叉的分
类满足不同的需要,并且表明了不同的执行人员的直接责任。

〔三〕 COSO部控制框架的组成要素
COSO部控制框架认为,部控制系统是由控环境、风险评估、控活动、信息与沟通、监督五要素组成,它们取决于管理层经营企业的方式,并融入管理过程本身,其相互关系可以用下面模型表示。

控环境——控环境是企业的基调、氛围,直接影响企业员工的控制意识。

控环境要素是推动企业发展的发动机,也是其他一切要素的核心,包括员工的诚信、职业道德和工作胜任能力；管理层的经营理念和经营风格；董事会或审计委员会的监管和指导力度；企业的权责分配方法和人力资源政策。

可以说人及其人进行的活动是任何企业的核心,是构成
控环境的重要要素,又与环境相互影响、相互作用。

风险评估——风险评估是识别、分析相关风险以实现既定目标,是风险管理的基础。

每个企业都面临着诸多来自部和外部的风险,影响企业既定目标的实现。

因此必须设立一个机制来识别、分析和管理影响目标实现的相关风险,并适时加以管理。

控活动——控活动指那些有助于管理层决策顺利实施的政策和程序,是针对风险采取的控制措施。

它们包括诸如批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。

信息与沟通——是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递,以便员工履行职责。

信息不仅包括部产生的信息,还包括与企业经营决策和对外报告相关的外部信息。

畅通的沟通渠道和机制使企业的员工能及时取得他们在执行、管理和控制企业经营过程中所需的信息,并交换这些信息。

监督——是对部控制系统有效性进行评估的过程,可以通过持续性监督、独立评估或两者的结合来实现对控系统的监督。

控体系五要素之间的关系我们可以理解为：企业的核心是人,人的诚信、道德价值观和胜任能力构成了企业的控环境,这是企业发展的基础。

每个企业都有自己的发展目标,为了
目标的实现,必须分析影响因素,即进行风险评估。

针对风险评估的结果需要采取相应的控活动来控制和减少风险。

同时与控环境、风险评估和控活动相关的信息应及时被获取、加工整理,并在企业部传递,这就是信息与沟通,信息与沟通系统围绕在控活动周围,反映企业各项管理活动的运转情况。

为了保证控体系的正常运转,还需要对整个控过程进行监督。

部控制五要素之间的配合和联系,组成了一个完整的系统,
可以灵活地随条件变化而变化。

但各要素之间并非是一项要素影响下一项要素的顺序过程,任一要素都可以影响其他要素,例如对风险的评估不仅仅影响控活动,还可能影响信息
和沟通、监督行为等。

COSO部控制框架适用于各类企业,但是中小企业对其应用可能不同于大型企业,中小企业的部控制可能不及大型企业正式、组织性强,但也可以是有效的。

对此,本次培训以大型公司为例,未考虑中小公司的差异。

三、COSO部控制框架五要素
〔一〕控环境
控环境是其他控制要素的基础。

控环境因素包括：员工的诚信和道德价值观；员工的胜任能力；董事会和审计委员会；管理层的经营理念和经营风格；组织结构；管理层授权和职责分工、人力资源政策和措施。

下面讨论各项因素的具体容。

1、员工的诚信和道德价值观
部控制是由人建立、执行和维护的,人是部控制有效运行的根本因素。

人的道德价值观影响着人的行为。

企业员工具有良好的道德标准并形成良好的道德氛围,对控制系统的有效运行非常重要,也有助于防那些控系统难以控制的行为。

员工的诚信和道德价值观是指员工行为的准则,是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。

主要包括以下容：
1〕利益冲突每一个员工都有责任将公司利益放在第一位,避免私人利益与公司利益的冲突。

2〕合法性公司要承诺在进行业务时是抱着诚实和诚信原则,并遵循所有适用的法律和规章制度。

3〕及时向指定人员报告或检举揭发违规事项员工有义务对所发现的关于会计、部控制或审计等的违反法律、规章制度或行为准则的问题,向道德规委员会报告,或向披露委员会或审计委员会汇报。

发现任何高级管理人员违反法律、规章制度或行为准则,应迅速向道德规委员会等相关机构报告。

对检举人应当建立制度,包括匿名保护。

4〕遵守道德准则的责任明确员工必须遵守道德准则。

对违反准则的人员建立惩罚机制,甚至解雇或免职。

5〕公司机遇禁止员工通过利用公司财产、信息或职位为自己或其他人牟取商业机遇。

6〕信息是一间公司最重要的资产之一。

公司建立相应政策保护信息,包括〔a〕属于公司商业性信息〔b〕属于非披露协议下信息。

每一个员工在入职后应执行协议和保护公司知识产权。

员工即使在终止雇佣之后,仍然有义务保护公司的信息。

7〕公平交易每一个员工都应该努力去公平对待顾客、供应商、竞争者、公众,并遵循商业道德规。

为了获得或维持业务而进行贿赂、回扣或其他诱惑等都是不允许的。

与业务相关,偶尔赠送非政府雇员的价值较低的商业礼物的做法是可以接受的。

但未得到道德委员会事先批准的情况下,赠送礼物或款待政府雇员是不允许的。

员工代表公司购买商品应遵循公司的采购政策。

8〕公司资产的保护及恰当使用每一个员工必须保护公司资产,包括实物资源、资产、所有权、信息,排除损失、失窃或误用。

任何怀疑的损失、误用或失窃都应该报告给经理或法律部门。

公司资产必须用于公司业务,符合公司政策。

9〕全面、公正、正确、及时地理解财务报告及其披露事项因为公司必须提供完整、公正、及时和可理解的披露报告及文件,并存档或呈交给证监会以及公共传媒,所以每一个员工都有责任保证会计记录的准确性。

管理层必须建立和保持适当的控,遵循公司已有的会计准则和流程,保证交易记录的完整和准确。

禁止干扰或不正当的影响公司财务报表审
计。

要求证实会计记录和报表受控,能够保证准确性,包括提供给审计和定期向证监会报告的义务。

对于企业来说,首要的工作是建立一套员工能够接受和理解的诚信和道德标准,如道德行为手册；其次是必须让员工知晓和理解这些规定〔例如：要求所有员工定期签字确认〕,这是执行的前提条件；最后就是贯彻执行。

在公司传递道德标准的最有效方式是管理层以身作则,员工对于控的态度通常会效仿他们的领导。

另外,对违反准则的员工应予以相应惩罚；建立鼓励员工揭发违规行为的机制；以及对未能汇报违规行为员工的教育培训都具有特别重要的意义。

员工个人可能由于下列因素而卷入不诚实、非法或不道德的行为：
不切实际的业绩目标,特别是短期业绩的压力〔例如：为了实现预先设定的利润指标而在财务报告中虚报收入〕将奖金分配与业绩挂钩〔例如：错报与业绩考核指标相关的财务信息〕
控制度不存在或无效〔例如：敏感业务区域未设立严格的职责分工,这为偷窃公司资产或隐藏不良行为提供了可能〕。

组织高度分散,可能导致高层管理人员不清楚基层的行为,缺少必要的监管,因此,减少了基层舞弊被发现的机会。

部审计职能薄弱,没有及时发现和报告不正确的行为。

董事会缺少对高层管理人员的客观监管,可能导致管理人员凌驾于控制度。

管理层对不正确行为的惩罚力度不够或不公开,从而失去了应有的威慑力。

2、胜任能力
胜任能力是要求员工具备完成工作任务所需的知识和技能,目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务,这是维护部控制有效性的必备条件。

为此,管理层需要设定工作岗位的知识和技能水平要求,在招聘、选用员工时作为评选的标准或条件。

在设定工作所需知识和技能时,一方面要根据工作的性质和所需的职业判断,考虑能力需求,另一方面还应考虑人力资源成本即薪酬〔例如：没有必要雇佣一名电子工程师来换一只灯泡〕。

3、董事会和审计委员会
董事会或审计委员会的职能是实施治理、指导和监督管理层的工作,如果对管理层缺乏必要的监督,管理层可能会凌驾于控制之上,甚至故意歪曲结果,因此董事会或审计委员会监督作用对确保部控制的有效性十分重要,董事会或审计委员会作用的发挥,必须具备以下条件：一是要独立于管理层,不受其影响；二是具有足够知识、行业经验和时间,以便于履行职责；三能够与财务、法律、部审计和外部审计及时沟通,得到适当信息；四是能够控制高级管理人员的薪酬,有权
聘用和解聘高级管理人员。

补充说明一点,股份公司的治理结构与国外有所不同,股份公司设置监事会,其职能类似于国外审计委员会的职能,所以股份公司的董事会、审计委员会和监事会都需要符合上述条件。

4、管理层的经营理念和经营风格
管理层的经营理念和经营风格影响企业的管理方式,包括面对各种风险的态度。

管理层的经营理念和经营风格形成了企业文化,它既是一切业务实现的基础,也为部控制的实施提供了平台。

它往往是企业部一种无形的力量,影响企业成员的思维方法和行为方式,包括企业承受营业风险的种类、整个企业的管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等。

它们都深深地影响着部控制的成效。

例如,有些公司管理层的经营理念和风格较为激进,愿意承担更高的风险以追求更高的盈利回报；而有些公司的管理层则比较保守,在风险承担方面表现得较为谨慎。

可以看出,不同的经营理念和风格决定了管理层在承担风险方面采取不同的态度和做出不同的决策。

以销售信贷政策为例,对风险承受力高的公司相比承受力低的公司,其设定的信用销售额度更高,以期望通过更优惠的政策吸引和保留客户,而获得更高的销售额。

管理层的经营理念和经营风格还表现在：管理层对财务报告的态度,在会计政
策选择方面是否谨慎,进行会计估计时是否遵循审慎性原则,对待数据处理、会计职能及人事管理等方面的态度等等。

5、组织结构
组织结构是权责分工的架构,在此架构中规划、执行、控制和监督为实现企业目标而进行的活动,每个企业都可根据自己的需要确定组织结构,可以是集权型,也可以是分权型,可以是直接的报告关系,也可以是矩阵型组织结构,可以按产
品或行业组织,也可以按地理分布或功能组织,但不论何种
组织结构,应根据公司的业务性质,进行适当的集中或分散,确保信息的上传、下达和在各业务间的流动,确保企业目标的实现。

6、管理层授权和职责分工
权力和责任分配是指对员工进行授权和分配责任,将企业的目标层层分解落实到每个员工的头上,从而将员工的行为与企业目标联系起来,增强员工的自主控制意识。

权力与责任分配的关键是权力与责任的对等。

7、人力资源政策和措施
人力资源政策和措施是关于员工聘用、培训、考核、进升、薪酬等方面的政策和程序,目的是聘用和维持有能力的人员,保证公司的计划得以实施,目标得以实现。

因此,人力资源政策和措施应考虑如何招聘进来有能力、可信任的人员,如何进行相关培训使员工意识到他们的工作职责和公司对
他们的要求,如何通过考核、薪酬、提升等政策激励约束员工。

〔二〕风险评估
1、风险及风险评估的定义
风险是任何影响目标实现的因素,所有企业,无论规模、结构和行业性质,都面临着风险,可以说有经营就有风险。

风险有来自企业部的,也有来自企业外部。

为了加强对风险的控制,必须进行风险评估,风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。

风险评估的前提条件是设立目标,只有先确立了目标,管理层才能针对目标确定风险并采取必要的行动来管理风险。

企业的目标可以分为公司层面目标和业务活动层面目标,公司层面目标是指公司的总目标和相关战略计划,与高层次资源的分配和优先利用相关。

业务活动层面的目标是总目标的子目标,是针对企业业务活动的更加专门化的目标。

业务活动层面的目标应该清楚,易于理解,以便从事该操作的人能实现其目标,同时还必须是可衡量的,以便于考核。

实现目标需要耗费资源,因此设立目标必须考虑可获得的资源,企业应该对目标进行分析,提醒自己找出与总目标不相关的操作目标,以免资源浪费,而对实现总目标至关重要的操作目标,则优先安排资源。

2、如何进行风险评估
1〕风险识别
风险评估的过程首先是进行风险识别,风险识别需要考虑所有可能发生的风险,并且需要考虑企业和相关外界之间的所有重大相互影响。

风险识别也是一个重复的过程,需要针对环境的变化持续进行。

导致企业经营风险的因素包括部和外部两个方面：
外部因素包括：
技术发展——影响研发的性质和时机,或带来采购的变化。

〔例如：出现新的、更高效的油气开采技术,未掌握相关技术的公司会导致市场竞争力降低,进而影响经营目标的实现〕
不断变化的客户需求和期望——影响产品开发、定价。

〔例如：纳米技术的应用,客户对产品的期望改变；〕竞争——影响营销和服务活动〔例如：WTO导致更多具有较高竞争力国外公司进入中国市场〕。

新的法律和法规——影响经营政策和策略〔例如：萨班斯法案〕。

自然灾害——造成损失。

经济形势的变化等——影响融资、资本支出和扩决策。

部因素包括：
信息系统运行的中断——影响经营运转。

雇员的素质和培训、激励的方法——影响控制理念。

管理层职责的改变——影响某些实施控制的方式。

企业经营活动的性质、员工对资产的接触途径——产生挪用。

董事会或审计委员会无法有效履行其职责——可能为管理层轻率的行为提供机会。

2〕风险分析
识别风险后,需要进行风险分析,分析的容主要有：估计风险的重要性程度；
评估风险发生的可能性〔或频率、概率〕；
考虑如何管理风险——即评估需要采取何种措施
针对风险分析的结果而采取的控制活动,管理层应仔细考虑现有控程序对于已识别的风险是否合适。

如果现有程序可能已经足够或只需要执行得更好,那么就不必制定附加程序。

管理层还应认识到,总会存在一些残留风险的可能性,不仅因为资源总是有限的,还因为每个控系统都有在局限性。

因此,管理层的一项重要工作是权衡利弊,确定能够谨慎地接受多少风险,并尽力将风险控制在可接受的水平。

3〕应对变化
经济形势、行业和法规环境不断改变,企业业务活动不断发展。

在一个环境下有效的部控制在另一环境下未必有效。

风险评估的本质就是一个识别变化的环境并采取相应行动的
过程,风险评估应持续地进行, 并且应特别关注下面的情形：
变化的经营环境——变化的法律或经济环境可能导致竞争压力的增加和显著不同的风险。

新的人员——新来的高层管理人员的经营风格与原先的不同。

新的或经修订的信息系统——能否正常运行。

经营的快速增长——当经营快速扩,现有制度的局限可
能导致控制失效；当程序变动或新人员增加时,现有的监督可能就不能保持充分的控制。

新技术——新技术被运用到生产流程或信息系统中,部
控制就很可能需要修改。

新业务、产品、活动——当企业进入新的商业领域或从事不熟悉的交易时,现有的控制可能就不充分了。

公司重组——公司因为收购、合并或者业务下滑、成本控制等原因进行结构重组。

重组可能导致部裁员,职责分工的合并,或者,原来的一个重要控制岗位被取消,却没有相应的替代控制出现。

很多公司重组后大量削减人员,就碰到了严重的控制缺陷。

海外经营——海外经营的扩或收购带来了新的和独特的风险。

例如,控环境可能受到当地管理层文化和风俗的影响。

另外,当地经济和法律环境可能带来独特的风险因素。