陈宜奇 云南师范大学泛亚商学院
一、前言
COSO是美国反虚假财务报告委员会下属的发起人委员会,由五大协会联合创立,目的是探讨财务报告中舞弊产生的原因并提出相应的解决办法。美国现行的内控制度主要是以由COSO于1992年、2004年、2013年颁布的内部控制整合框架和风险管理框架为基础,形成的较完整的内部控制体系,2017年COSO最新发布的最终正式版《企业风险管理——与战略和业绩的整合》将更新和加深人们对全面风险管理的理解与认识,并将此应用到企业更广泛的领域。二、COSO内部框架的演进发展
(一)1992年《内部控制——整合框架》
1973年至1976年美国政界和商界违法捐款和贿赂政府官员的情况严重,而这其中暴露的问题与内部控制的不完善存在一定的联系,因此《内部控制——整合框架》应运而生。它是第一部对内部控制进行系统规范性的总结文件,该文件不仅拓宽了内部控制的概念与内涵,还将内部控制从之前认定的三大要素拓展为五大要素,使内控系统更加完善。同时COSO报告还引导大众将被动发现风险、事后解决转变为事前评估风险、事中控制、事后监控。(二)2004年《企业风险管理框架》
2001年的安然事件和2002年颁布的萨班斯法案两大事件促使COSO委员会于2004年在1992年《内部控制——整体框架》的基础上进行扩充和增补,发表了《企业风险管理框架》(ERM框架)。该框架在大体上延续继承了1992年框架的主要思想,将企业风险管理分成了四大类目标和八大类要素,并在1992年《内部控制——整体框架》的基础上增加了战略目标和目标设定、事项识别、风险应对三要素突出了企业风险的重要性。同时,2004年的ERM框架将内部控制由“审计原则导向”转向为“管理原则导向”更多的站在公司管理层的角度思考企业应该如何更合理地进行风险管理、如何更好的为公司服务,提高公司的价值,积极避免来自政治、经济、法律、竞争格局以及内部的组织人事、质量、业务等方面的风险披露的难度。
(三)2013年《内部控制——整合框架》
2013年《内部控制——整合框架》保留了原框架下内部控制的基本定义和五大要素,但新内部控制整合框架在其基础上以原则为导向,从原有的内控五大要素中提炼出了17项具体原则及支持每项原则的81个属性。其中与控制环境相关的原则有5项属性有21个,与风险评估相关的原则有4项属性有19个,与控制活动相关的原则有3项属性有16个,与信息和沟通相关的原则有3项属性有14个,与监控活动有关的原则有2项属性有11个。同时新的内控框架较旧内控框架报告目标扩大。旧框架在设定报告目标时仅仅要求合理保证财务报告的准确性和可靠性相比,COSO在更新的三维框架中扩大了报告目标的类别,具体包括外部财务报告目标和外部非财务报告目标,内部财务报告目标和内部非财务报告目标。外部非财务报告目标主要是为了满足国家相关法律法规的要求;内部财务报告主要是基于为公司内部管理层决策需要而提供的财务信息,具体包括财务报告、预算报告、银行借款、现金流等;内部非财务报告是为管理层提供的非财务信息,具体包括股东大会报告、董事会报告、人力资源分析报告、客户满意度调查报告等。
(四)2017版《企业风险管理——与战略和业绩的整合》
新框架以企业使命和核心价值为起点,强调将风险管理嵌入到企业的日常管理业务活动及核心价值链中,以提升公司的价值和业绩。新框架将原来的八个要素删减为了五个,分别是:公司治理与企业文化、战略与目标设定、风险管理执行、审查和修订、信息沟通和报告。同时新框架继承了2013年《内部控制——整合框架》中的“原则导向”将五要素总结出20项原则,更加具体和细致,便于开展实施。三、COSO框架的发展对我国内部控制建设的启示
(一)继续推进、加强内部控制制度建设
我国2008年颁布《企业内部控制基本规范》,2010年制定《企业内部控制配套指引》,从更详细和具体的角度来指导企业的内部控制,这两个文件的颁布是我国内控规范体系的大体形成的标志,但是我国的内控体系仍不健全。因此,面对COSO对内部控制整合框架的新变革,我们应该一如既往,在立足本国国情的前提下,积极认真学习并为之所用。(二)把内部控制体系建设和信息系统搭建结合起来
企业应当运营计算机和通讯技术等,对内部控制进行集成、转化和提升,这样不仅可促进内部控制的有效实施,而且可以提高企业的现代化管理化水平,减少认为操纵因素带来的弊端。(三)加强培养内部控制人才
企业要通过培训、学习交流等方式加强对内控人才的培养,同时从事相关内控业务的人员也应当自觉学习相关理论知识,不断提升自己的业务水平和业务能力,为企业的内控建设向更好更快的方向发展储备人才基础。
