第一篇:美国COSO内控框架(2013)的六大变化
美国COSO内控框架(2013)的六大变化
2011年12月,美国科索委员会(COSO)发布了新版内控框架的征求意见稿,面向全球公开征求意见。2013年5月,COSO正式发布新内控框架。
新COSO内控框架的主要变化
新COSO内控框架共包括4部分内容:一是内容摘要,对新框架进行高度总结,包括内部控制的定义、目标、原则、内部控制的有效性和局限性等,使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录,包括内部控制的组成部分及相关的原则和关注点,并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。三是评估内部控制系统有效性的解释性工具,为管理层在应用框架特别是评估有效性方面提供了模板和行动方案。四是外部财务报告内部控制:方案和示例摘要,在准备外部财务报告过程中为应用框架中的要素和原则提供了实际的方案和示例。
新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比,新框架的变化主要表现在以下几个方面:细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准,适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引,协助其设计、实施和执行内控,以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应,而每一项原则也都与五要素中的某个要素相对应。
扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上,既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。
在报告内容上,除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来,新COSO内控框架共有四类报告目标:内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。
强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的,而是作为“原则”来呈现的,即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度,然后根据企业的具体情况,来选择和考虑与某一特定原则密切相关的关注点。可以说,在这一点上,COSO新框架吸取了《萨班斯法案》通过以后旧框架实施成本高的教训,使内控实施更加灵活,同时节省了实施成本。
强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容,强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。
增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多关于舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。
充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,近年来企业的商业模式和组织结构发生了巨大变化,企业在运营过程中更多地使用第三方提供的产品或服务,管理层更加关注包括供应商和客户在内的价值链管理。
为此,新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。
总之,新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。
新COSO内控框架的应用前景广阔
COSO将于2014年12月15日用新内控框架替代1992年版的内控框架。COSO认为,旧框架中的重要概念和原则是基本合理的,并且被市场广泛接受,因此,在过渡期内应该允许旧框架正常使用。但是,在过渡期间,企业在为外部报告目标而运用COSO内控框架时,需要明确披露其使用的是1992年版本还是2013年版本。COSO鼓励企业在可行的情况下,尽快将内部控制程序及相关文件转换成2013年版的新框架。为此,COSO还在其网站上公布了一个新旧框架转换实施方案,供使用者参考。
COSO新框架的发布,将会引起内控评价和内控审计的一系列问题,包括内控评价和审计程序的设计、标准的制定、报告和监督的执行等方面的改变。到目前为止,SEC和PCAOB还没有就是否采用、何时采用、如何采用COSO新框架表态。但是,由于旧框架的重要概念和基本原则已获得市场广泛认可且未做本质性改变,对于那些已经历了多年《萨班斯法案》404条款合规工作的在美上市公司来讲,可以花费较低的转换成本,将企业内控体系从旧框架下转换到新框架下。对于众多参考COSO旧框架制定的世界各国内控标准体系来讲,新框架同样具有参考价值和借鉴意义。
加拿大企业内控框架如何走向衰落?
由于美国职业会计团体在国际上的权威地位,西方其他国家职业会计师团体一直紧跟其后。因此,1992年美国COSO框架诞生后,迅速被奉为经典。借鉴美国模式,1992年加拿大特许会计师协会(CICA)成立了控制基准委员会(下称“COCO”)。
该委员会的使命是制定发布加拿大内控系统设计、评估和报告的标准。
1995年10月,COCO借鉴1992年版的美国COSO内控框架,正式发布了内控的框架性文件———《控制指南》。随后,COCO又陆续发布了《评估控制指南》等一系列指导性文件,为COCO内控框架的应用提供了具体详尽的操作规范。这些文件共同构成了包含内控系统设计、评估和报告等环节在内的、较为完整系统的加拿大内控框架体系。
极具特色的内控框架体系
COCO内控框架在一定程度上借鉴了美国COSO内控框架,同时也提出了有别于COSO内控框架的先进观点,主要表现在:扩展了内控的概念。从定义来看,COCO将“内控”的概念扩展到“控制”,定义为“一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标”,从系统论的角度来研究与控制有关的企业外部环境,淡化企业内部与外部的界限。
基于公司治理和管理活动的内控观。随着内控概念的拓展和内控实务的复杂化,内控与管理活动之间的界限变得越来越模糊,内控逐渐往管理方向靠拢。COCO框架采用基于公司治理和管理活动的内控观,有别于美国COSO框架采用的基于独立审计的内控观,在内容和措辞方面更加简洁、更多地使用管理术语,易于企业管理人员理解和使用。
要素加具体标准的内控架构。COCO内控框架认为在任何一个企业中,控制均包括目标、承诺、能力、监控和学习4个最基本的要素。在内控四要素下,COCO还设计了20条具体的内控标准来充实框架。内控标准是内控理论与实务的桥梁,既丰富了COCO内控框架的内容,也为内控实务使用COCO内控框架提供了具体指导。
全面评估、兼顾未来的内部控制评估方法。COCO的《评估控制指南》描述了形成一份评估报告的10个步骤,其评估的重点是关于目标的信息和相关风险的管理。
COCO对内部控制的评估不仅是对过去的评价,更着眼于企业的未来。例如评估未来持续成功的机会和风险;审查与未来业绩表现、机遇和风险相关的信息等。
重视发挥人的作用。COCO框架重视内部控制参与者,即人的作用。COCO框架中的4个最基本的要素均与人紧密相关。
COCO内控框架逐渐走向衰退
2002年,美国《萨班斯法案》出台后,加拿大证监会(CSA)也着手研究制定加拿大上市公司实施内控的有关政策措施。其中,2008年发布的“年度报告的声明”类似于美国《萨班斯法案》第404条款。相对于《萨班斯法案》的严厉实施要求,加拿大采取较为宽松的内控实施政策,即加拿大上市公司只需在年报中披露其与内控相关的信息,而不要求聘请注册会计师对财务报告相关内控和披露控制与程序的有效性进行审计。
加拿大证监会认可的、可供加拿大上市公司使用的内控框架共有3个:美国COSO内控框架、英国公司治理准则和加拿大CO鄄CO内控框架。尽管COCO内控框架具有简洁易懂、实施成本低等优点,但是近年来其应用情况不容乐观。目前,大多数加拿大上市公司采用美国COSO内控框架;少数上市公司采用英国公司治理准则;仅有10家左右的上市公司采用加拿大COCO内控框架。
正如加拿大COCO委员会前任主席迈克尔·冈恩斯所言,由于美国COSO内控框架在全球内部控制领域的领先地位,加上COCO内控框架实践指导性不强,且没有强制内控审计的
制度安排,COCO内控框架正逐渐走向衰退。
跳出财务视角 坚持全面内部控制
美国、加拿大内控框架体系建设对我国企业内部控制规范体系建设带来以下几点启示:借鉴美国《萨班斯法案》,加强内控法制建设。与美国、加拿大相比,现阶段我国内控法制建设还处于部门规范性文件层面,内控的推动更多的是依靠行政部门的力量,在法律层面上并没有专门对内控的责任、义务加以规定,且相关法律中对与内控有关的处罚措施也较轻。建议在推动修订和完善《会计法》、《注册会计师法》等相关法律法规时,增加有关企业建立健全内控体系的条款,明确企业内控建设和注册会计师内控审计的责任,并借鉴美国《萨班斯法案》,强化对隐瞒内控缺陷、虚假披露内控有效性信息的有关企业和个人的处罚力度。
跳出财务报告内控的局限,强化全面内控的理念。在我国,内控一直作为财务管理、会计、审计等方向的研究领域,其研究和从业人员多是财务出身,这导致不管是实务还是理论,内控都打上了“财务”的印记。我国有些政府监管部门也一直强调企业仅需关注“财务报告相关内控”即可。事实上,财务报告相关内控只是内控的一个重要组成部分。新COSO内控框架基于公司治理的内控观,将内控目标从外部财务报告目标扩展到内部、外部、财务、非财务4个报告目标,有利于从更加广阔的视角来建设与实施内控体系。这一点与我国企业内控规范体系一直强调的“全面内部控制”的思路相吻合。下一步,我们应当继续坚持并强化“全面内部控制”的理念。
借鉴新COSO内控框架,进一步完善我国内控规范体系。
新COSO内控框架以原则为导向,能够帮助企业董事会和管理层更有效地开展内控体系建设与实施工作,内控报告目标的扩展也对实施企业提出更高要求。
可以说,新COSO内控框架与我国内控规范体系在整体架构、基本原则、主要内容、实施要求等方面趋于一致。新COSO内控框架对于完善我国内控规范体系具有重要意义。下一步,我们要在深入研究总结我国内控规范实施工作中取得的成效和存在的问题的基础上,进一步研究完善我国内控规范体系,包括研究制定金融行业内控指引、发挥内控在预防腐败方面的作用、研究小企业实施内控规范体系问题等。
坚持内控审计制度,不断完善我国内控实施要求。加拿大COCO内控框架逐渐衰退的事实告诉我们,一个结合实际、科学合理的内控实施制度安排,是内控规范体系得到有效贯彻实施的关键所在。下一步,我们应当全面总结当前主板上市公司执行内控规范体系情况,研究企业在实施内控规范体系中反映的各种问题,密切关注美国证监会和美国公众公司会计监督委员会对COSO新框架的采用情况,不断完善我国大中型企业实施内控规范体系的有关政策措施,研究小微企业实施内控规范问题。
立足我国实际,避免盲目趋同。在国际趋同愈演愈烈的今天,学习借鉴国际内控领域最权威的COSO框架是我国内控发展的必经阶段。然而,各个国家的历史、文化、政治、经济的特殊性,必然导致具体的内控标准有所不同。在我国企业内控规范体系建设实施过程中,一方面要加强对新COSO内控框架的研究,借鉴吸收西方发达国家内控框架的精髓,为我所用;另一方面要结合我国国情和企业实际,制定实施适用于自身的内控规范体系及其实施政
策,避免被某些西方国家“牵着鼻子走”。
加强内控国际交流与合作,做好新COSO内控框架的研究翻译工作。积极开展与其他国家或地区内控规范制定组织、资本市场监管机构的交流与合作,建立定期联系机制,主动参与国际内控标准修订和制定工作。同时,密切跟踪新框架的最新实施情况,积极与COSO委员会联系新框架在中国的翻译出版事宜,组织有关专家和人员,开展对新框架的前期研究、翻译工作,为国内广大内控理论研究者、实务工作者提供重要参考
第二篇:美国COSO内控框架(2013)的主要变化
2011年12月,美国科索委员会(COSO)发布了新版内控框架的征求意见稿,面向全球公开征求意见。2013年5月,COSO正式发布新内控框架。美国COSO内控框架都有哪些新变化呢?
新COSO内控框架在内部控制的定义、内部控制五要素、评估内控体系有效性的标准等方面与旧框架保持了一致。
与旧框架相比:细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上,提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准,适用于所有的组织。
扩大了报告目标的范畴。新内控框架在报告对象和报告内容两个维度上对报告目标进行了扩展。在报告对象上,既要面向外部投资者、债权人和监管部门,确保报告符合有关监管要求;又要面向董事会和经理层,满足企业经营管理决策的需要。
在报告内容上,除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。
强调管理层判断的使用。新COSO框架对五要素的分解不是按照子要素来进行的,而是作为“原则”来呈现的,即强调“基于原则”的内控实施和管理层判断的使用。
新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层可以自由判断新框架所提供关注点的合适度或相关度,然后根据企业的具体情况,来选择和考虑与某一特定原则密切相关的关注点。
强化公司治理的理念。新框架包括了更多公司治理中有关董事会及其下属专门委员会的内容,强调董事会的监督对内部控制有效性的重要作用。这与我国《企业内部控制基本规范》及《组织架构》应用指引中有关公司治理的规定相一致。
增加了反舞弊与反腐败的内容。与旧框架相比,新框架包含了更多关于舞弊与欺诈的内容,并且把管理层评估舞弊风险作为内部控制的17项总体原则之一,重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。
充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧,企业在运营过程中更多地使用第三方提供的产品或服务,管理层更加关注包括供应商和客户在内的价值链管理。
新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以期反映近年来企业经营环境的演变、监管机构的要求和其他利益相关者的期望。
第三篇:COSO企业内控风险管理模式
COSO企业内控风险管理模式
前言
10年前,COSO发布了《内部控制----整合框架》来帮助企业界和其他实体评价和加强他们的内部控制制度。从那时起该框架被结合并入成千上万企业的政策、规则和规定,并被企业用于更好地控制他们的活动,朝着实现既定目标的方向前进。
近年来,关注的重点和焦点是风险管理,人们越来越清楚地认识到健全的框架对于有效地识别、评价和管理风险是很有必要。在2001年,COSO提议了一个项目,并聘用普华永道会计事务所开发能方便管理部门用于评价和改进本组织企业风险管理的框架。
框架开发的整个期间出现了一系列具有高度标志性的企业丑闻和失败案例,使投资者、公司人员和其他利益相关者蒙受了巨大损失。灾难的后果是要求用新的法律法规和上市标准来加强公司治理和风险管理。人们越来越多地认识到提供关键的原则和概念,共同语言和明确方向与指南的企业风险管理框架的必要性。COSO认为,企业风险管理----一体化框架填补了这种需要,并希望该框架能被公司、其他组织和所有的利益相关者及团体广泛接受。
在美国的发展结果是出台了《2002年的萨班斯----奥克斯利法案》,其他国家也颁布了或正在考虑类似的立法。这类法律扩展了对公营公司维护内部控制制度的长期有效要求,要求管理层予以证实和独立审计师测试这些制度有效性。持续要求测试时间的《内部控制----整合框架》适用于满足报告要求的更广泛的公认标准。
《企业风险管理----整合框架》扩展了内部控制,提供了一种更健全的和广泛的焦点在企业风险管理更宽广的题目。它的目的不是取代内部控制框架,而是将内部控制框架合并在一起,公司可以决定审查企业风险管理框架,以满足内部控制的需要和朝着更完备风险管理过程发展。
管理层所面临的最严峻挑战是决定本实体准备接受多大的风险,因为风险也可以经过奋斗而创造价值。本报告将更好地鼓励企业迎接这种挑战。
执行总结
企业风险管理的根本前提是每一实体存在的目的是为其利益相关者提供价值。所有的实体都面临不确定性,对管理层的挑战是确定能接受多大的不确定性,因为不确定性也可以促进增加利益相关者的价值。不确定性同时体现为风险机会,具有流失或增加价值的潜力。企业风险管理鼓励管理层有效地处理不确定性和相关的风险和机会,增强创造价值的能力。
当管理层制定的战略目标能力求达到增长和利润目标与相关风险之间的最佳平衡,并在追求本实体目标的过程中有效地调度资源时,价值能达到最大化。企业风险管理包括:
● 连成一线的风险偏好与战略----管理层考虑本实体的风险偏好,在评估战略可选择方案时,制定相关目标,开发管理相关风险的机制。
● 增强风险反馈决策----企业风险管理提供了森严的识别和挑选可选择的风险反馈----即风险回避、降低、分摊和接受的制度。
● 减少经营意外事故和损失----各实体应获得增强的能力来识别潜在事件和建立反馈,减少意外事故和相关成本或损失。
● 识别和管理多样化的和交叉的企业风险----每一企业都将面临影响本组织不同方面的无数风险因素,企业风险管理能促进对相互关联的影响做出有效反应,对多样化的风险做出综合的反应。
● 抓住机会----通过全面考虑潜在的事件,管理层被定位于识别和正面积极地抓住机会。
● 改进资本配置----获得健全的风险信息,允许管理层有效地评估总体资本需要,增强资本分配。
这些企业风险管理中内在的能力有助于管理层实现本实体的绩效和盈利能力目标,防止资源损失。企业风险管理有助于保证有效的报告和遵守法律法规,避免本实体的声誉受到损害和相关的后果。总之,企业风险管理有助于一个实体达到它想要实现的目标,避免前进过程中的陷阱和意外事故。
事件----风险与机会
事件可以有负面影响、正面影响,或二者兼而有之。负面影响的事件表现为能阻碍价值创造或侵蚀现存价值的风险。正面影响的事件可以抵消负面影响或体现为机会。机会是一个事件将发生并积极影响目标实现、支持价值创造或保护价值的可能性。管理层将机会引导向其战略或目标制定过程,制定抓住机会的计划。
规定了企业风险管理
企业风险管理处理影响价值创造或保值的风险和机会。其定义如下:
“企业风险管理是一个过程,受到一个实体的董事会、管理层和其他人员的影响,适用于战略制定和在整个企业设计识别可能影响本实体的潜在事件,在风险偏好范围内管理风险,提供与实现实体目标有关的合理保证。”
该定义反映出一些基本的概念。企业风险管理是:
● 一个过程,持续并贯穿一个实体;
● 受到一个组织每一层级人员的影响;
● 适用于战略制定;
● 适用于整个企业每一层次和单位,包括所采纳的实体总体层次风险业务责任观点;
● 设计识别可能影响本实体的潜在事件,如果它们发生的话,在风险偏好范围内管理风险,● 能够为一个实体的管理层和董事会提供合理保证;
● 在一个或更多独立的但重叠的分类中加速目标的实现。
该定义的目标广阔。它抓住公司和其他组织如何管理风险的关键基本概念,为整个组织、行业和部门提供适用的依据。它把焦点直接放在实现由某一方面特定实体制定的目标,为定义企业风险管理的效果提供依据。
目标的实现
在实体既定使命和远景规划的条件下,管理层确定战略目标,选择战略和制定将整个企业连接成一线的目标。这种加速实现实体目标的企业风险管理框架,可陈述为四类:
● 战略----高层目标,连接和支持其使命;
● 经营----有效率和效果地使用其资源;
● 报告----报告的可靠性;
● 合规----遵守适用的法律法规。
这种实体目标的分类准许把重点放在企业风险管理的各别方面。这些性质截然不同但重叠的分类----某一特别的目标可以分成几个分类,强调不同的实体需要并可能对不同的执行部门负直接责任。这种分类同样准许从每一目标分类之间区别可以预期的结果。同样也描述了一些实体使用的保护资源的另一分类。
因为与报告可靠性和遵守法律法规相关的目标在实体的控制范围内,企业风险管理可以预期为实现这些目标提供合理的保证。然而战略目标和经营目标的实现易遭受实体控制范围之外的外部事件的影响,因此,企业风险管理可以提供合理的保证,使管理层认识这些目标和董事会意识到其监督作用,及时地促进整个实体朝着实现目标前进。
企业风险管理的组成部分
企业风险管理包括八个相关组成部分。这些组成部分来自管理层经营企业的方式,并与管理过程相结合。这些组成部分是:
● 内部环境----内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。
● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。
围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
内部环境包括一个组织的基调,制定作为整个实体的人们如何审视和重视风险的依据,包括风险管理哲学和风险偏好、正直性和道德价值以及他们经营的环境。
● 目标设定----在管理部门能够识别影响其业绩的潜在事件之前,必须存在有目标。企业风险管理保证管理部门制定目标的过程到位,选定的目标支持和本实体的使命联成一体,并与风险偏好相一致。● 事件识别----必须识别影响一个实体实现目标的内部和外部事件,区别风险和机会。机会开辟了反馈管理部门战略或目标制定过程的渠道。
● 风险评估----要分析风险,考虑可能性和影响,作为决定如何管理风险的依据。在固有的和有后效的基础上评估风险。
● 风险反馈----管理部门选择风险反馈----即避免、接受、降低或分摊风险,开发一系列行动,使风险与实体的风险承受能力和风险偏好联成一体。
● 控制活动----政策和程序的制定有助于保证有效地执行风险反馈。
● 信息与沟通----以一种能够促进人们履行其职责的形式和时间框架来识别、捕捉和沟通相关风险。有效的沟通同样发生在更广泛的意义上,即在实体内从上到下、相互交叉和自下而上的沟通。● 监控----对企业风险管理的整体进行监控并根据需要进行修改。通过持续的管理活动,分别评估,或二者同时进行来实现监控。
企业风险管理不是一个严格的系列过程,一个部分只影响下一个部分。它又是一种多方向的重复的过程,在这一过程中几乎所有的任何部分都可能会影响另一个部分。
目标与组成部分的关系
在一个实体奋力实现的目标和体现实现目标所必须的企业风险管理组成部分之间存在一种直接的关系。这种关系被描述为立体结构中的三维矩阵模型。
四种目标分类----战略、经营、报告和合法----由纵向栏目所代表,八个组成部分横向排列,一个实体的单位由第三个层面所代表。这种描绘勾画出整个企业风险管理重点的能力,或通过目标分类、组成部分、实体单位或任何子集合说明整个企业风险管理。
效果
确定一个实体的企业风险管理是否“有效”是对八个组成部分的表现以及是否有效运行进行评估的一种判断。这些组成部分同样可作为有效的企业风险管理的标准。因为这几个组成部分的存在及适当运行不可能产生重大的缺陷,风险需要也已控制在一个实体的风险偏好之内。
当确定企业风险管理在四类目标的每一类中都是有效的,相应地也就为董事会和管理层提供合理的保证,使他们了解整个实体战略和经营目标正在实现的程度和整个实体的报告是可靠的并遵守适用的法律法规。
八个组成部分在每一个实体的运行并不是完全相同的。例如,在中小型实体中的应用可能不那么正式,结构不那么完整。不过,小的实体仍然可以有有效的企业风险管理,只要每一个组成部分都存在并适当运行。
局限性
在企业风险管理提供重要好处的同时,也存在着局限性。在上述讨论的因素之外,局限性来自在决策制定过程中人的判断可能出现错误,反馈风险的决策,制定控制需要考虑相关成本和效益,因为人类的失误,例如简单的错误或过失可能会造成计划的失败,控制可以防止两个人或更多人勾结串通事件的发生,但管理部门有能力否决企业风险管理决策。这些局限性会妨碍董事会和管理层对本实体目标实现所具有绝对的保证。围绕内部控制
内部控制是企业风险管理的一个组成部分。本企业风险管理框架围绕内部控制,为管理部门形成一个更健全的概念论和工具。在《内部控制----整合框架》中对内部控制进行了定义和描述。因为此框架已经经受了时间的考验,并成为现行法律法规和规则的依据,文件保留了内部控制的定义和框架。在本框架中只有《内部控制----整合框架》原文部分是复制的,该框架的整体作为关联部分已结合到本框架中。
作用与职责
在实体中的每一个人对企业风险管理都负有一定的责任,首席执行官是最终的负责人,应该承担所有责任。其他管理人员支持本实体的风险管理哲学,促进遵守风险偏好,在职责和风险承受能力相一致的范围内管理风险。风险职员、财务人员、内部审计师和其他人员通常有重要的支持职责。其他的实体人员负责按照既定的指令和会议记录执行风险管理。董事会对企业风险管理提供重要的监督,知道并赞成本实体的风险偏好。一些外部参与者,例如客户、卖主、企业合伙人、外部审计师、监管人员和财务分析家常常提供对实现企业风险管理有用的信息,但他们并不对其效果负责任,他们也不是本实体企业风险管理的一部分。
本报告的组织
本报告分为两卷。第一卷包括本框架和《执行总结》。该框架规定了企业风险管理,描述了原则和概念,为企业和其他组织内部各级管理部门评估和增强企业风险管理的效果提供了方向。执行总结是指导首席执行官和其他高级执行人员、董事会成员和监管人员的一种高层次的检查。第二卷,《应用技术》提供了说明在采用本框架要素中有用的技术。
本报告的使用
作为本报告结果可能采取的建议行动取决于涉及的各当事方的地位和作用:
● 董事会----董事会应与高级管理层讨论本实体企业风险管理框架的状况,提供必要的监督。董事会应该保证知道绝大多数重大风险和管理层正在采取的行动,以及如何保证有效的企业风险管理。董事会应该考虑从内部审计师、外部审计师和其他人那里寻找输入信号。
● 高级管理层----此次的研究建议首席执行官评价本组织的企业风险管理能力。在另一种方法中,首席执行官将经营单位的负责人和主要职能负责人聚集在一起讨论企业风险管理能力和效果的初步评价。不管采取什么形式,初步评价应该确定在哪里需要和如何进行范围更广和更深入的评估。
● 其他实体人士----管理人员和其他人士应该考虑他们是如何根据本框架执行他们的职责,与更高级的人员讨论加强企业风险管理的想法。内部审计师应该考虑企业风险管理重点方面的广度。● 监管人员----本框架可以促进分享企业风险管理,包括能做的事及其局限性的看法。监管人员对他们监督的实体不管是根据规则或指南,还是进行检查,在确定预期值方面可以参考本框架。● 专业人士的组织----规则制定和提供财务管理、审计和相关专题指南的其他专业人士组织应该考虑根据本框架制定他们的准则和指南。消除在概念和专业术语方面的多样化程度,使所有参与者都受益。
● 教育者----本框架可以作为学术研究和分析的题目,以观察未来可以 采取哪些强化措施。根据这一假定,本报告可成为公认的理解的共同基础,其概念和术语应能发现其进入大学课程的渠道。
作为共同理解的基础,所有的参与者将能够用共同的语言说话和进行更有效的沟通。企业的执行人员将定位在对照准则评价其公司的企业风险管理的过程,并强化这一过程,使本企业朝着既定的目标前进。进一步的研究可以发挥超出既定基础的杠杆作用。立法人员和监管人员将能够增强对企业风险管理的理解,包括其好处和局限性。随着所有的参与者都使用共同的企业风险管理框架,这些好处将得到实现。
第四篇:基于COSO框架的企业内部控制问题研究
基于COSO框架的企业内部控制问题研究
【摘要】 内部控制在现代市场经济的环境下,对于企业和相关机构来说日益重要,本文针对美国虚假财务报告委员会下属的发起人委员会发布的《COSO—内部控制框架》,从几个方面阐述了企业内部控制的主要内容和体系建设。同时,鉴于现状提出了改善对策,并浅谈了报告对我国企业内部控制的启示。
【关键词】内部控制 COSO 内控体系
所谓内部控制(Interna l Control), 是在内部牵制的基础上, 由企业管理人员在经营管理实践中创造、并经审计人员理论总结而逐步完善的自我监督和自行调整体系, 它是企业为管理当局的需要, 保证经营目标的实现而建立的一种相互联系、相互制约的控制制度和体系@。1992 年美国国会的反对虚假财务报告委员会(NCFR)下属的美国会 计 学 会(AAA)、美国注册会计师协会(A ICPA)、内部审计师协会(IIA)、财务经理协会(FE I)和管理会计协会(IM A)等参与的发起组织委员会(COSO)发布报告, 提出了内部控制结构概念并将其分为控制环境、风险评估、控制活动、信息与沟通、监测等 5项要素。@目前 COSO委员会提出的内部控制结构理论已在世界范围内得到广泛认可, 被认为是权威的专业机构对于内部控制整体框架的最新解释。但近年来,随着安然、世通等一批巨人企业的倒下,引发了公众对企业的信任危机,从而导致COSO新内控框架的建立,该框架提出了全新的风险管理理念和技术,对企业内部控制具有极大的理论和实践意义。
一、COSO内部控制的发展历程
内部控制的概念是在实践中逐步产生、发展和完善起来的。早在 1977 年,作为美国“水门事件”的调查结果,立法者和监管团体为了制止美国公司向外国政府官员行贿,通过了“国外腐败实务法案”并要求公司管理层加强会计内部控制的条款。1978 年,美国执业会计协会下面的柯恩委员提出报告,一是建议公司管理层在披露财务报表时,提交一份关于内控系统的报告;二是建议外部独立审计师对管理者内控报告提出审计报告。1980 年后,内部控制审计的职业标准逐渐成形。2002年的萨班斯—奥克斯利法案,再次表明完善公司内部控制必须以COSO 框架为基础,充分理解其财务报告的可靠性目标和合规性目标。然而十多年以后,安然、世通等新一轮财务丑闻的相继上演,在世界范围内掀起了加强企业风险管理的浪潮,要求完善公司治理结构与提高企业风险管理能力的呼声日益高涨。在这一背景下,COSO委员会在1992 年COSO报告的基础上,结合《萨班斯 - 奥克斯利法案》的相关要求,于2004年9月正式发布了《企业风险管理—整体框架》,即COSO新报告(简称“ERM”框架”)。ERM框架虽然继承了IC-IF框架的部分内容,但无 论是在内涵目标还是在要素方面均有重 1 大突破,标志着内部控制理论进入了新的发展阶段。
二、COSO内部控制系统框架五大组成部分分析
COSO认为内部控制涵盖了五大组成部分的丰富内容 :控制环境、风险评估、控制活动、信息与交流和监督评审。其中引入了“全息论”的概念 :这五大组成部分和三大目标是紧密相联的 ,就象一个人体的细胞包含了人体的各种信息那样 ,一个组织中的任何一个机构、一项业务或一位成员都包含或反映出该组织中的三大目标和五大组成部分等各种信息。具体含义如下 :
1、控制环境:控制环境是推动控制工作的发动机 ,是所有其他内控组成部分的基础。它奠定组织的风纪和结构 ,并且涉及到所有活动的核心—人 ,特别是人的控制觉悟 ,还反映了企业的各级管理层对内控的要求。控制环境中的要素
有价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、织结构、规章制度和人事政策等等。主要的问题是管理层要充分说明内控的完整性;公司要有积极的控制环境 ,使整个组织中的员工具有控制觉悟和自觉的控制态度 ,特别是高级管理层要积极地进行控制;员工的能力与其责任要相匹配。
2、风险评估:是识别和分析那些妨碍实现经营管理目标的困难因素的活动 ,对风险的分析评估构成风险管理决策的基础。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。有关风险的识别与评估的原则强调有效的内控系统需要识别和不断地评估有可能阻碍实现目标的种种物质风险。这种评估应包括公司和公司集团所面对的全部风险 ,需要不时调整内控 ,以便恰当地处理任何新的或过去不加控制的风险。
3、控制活动:是为了合理地保证经营管理目标的实现 ,指导员工实施管理指令 ,管理和化解风险而采取的政策和程序 ,包括高层检查、直接管理、信息加工、实物控制、确定指标、责分离等。在控制活动中主要关注控制与风险评估过程的联系、制活动的适当形式及其实施、对执行政策和管理指令的保证、制活动的针对性(尤其是对信息系统的控制)等等。
4、信息与交流 :存在于所有经营管理活动中 ,使员工得以搜集和交换为开展经营、事管理和进行控制等活动所需要的信息 ,包括管理者对员工的工作业绩的经常性评价。在信息方面要注意内部信息和外部信息的搜集和整理;在交流方面也要注意内部和外部信息的交流渠道和方式;在信息技术的发展中注意控制信息系统。
5、监督评审 :是经营管理部门对内控的管理监督和内审监察部门对内控的再监督与再评价活动的总称。监督评审可以是持续性的或分别单独的 ,也可以是两者结合起来进行的。主要应关注监督评审程序的合理性、对内控缺陷的报告和 2 对政策程序的调整等等。
COSO所提出内控理论影响深远 ,现在无论是一般生产性企业、通领域的企业还是金融服务业等都在该框架下纷纷制订了相应具体的内控制度、建立了较为完善的内控机制 ,成为世界各国不同企业纷纷效仿和跟进的标杆。
三、内部控制体系现状分析
全面认识COSO框架的内容对我们的工作具有非常好的指导作用,在执行过程中通过对比我们可以及时发现工作中存在的不足,这也是分析和评价内部控制的关键所在,只有全面、彻底地了解其局限及当前存在的主要问题,才能切实提出加强内部控制的有力措施。
内部控制固有的局限性
内部控制体系有其固有的局限性,只能为管理人员达到其目的提供合理的保证,管理层在制定制度时会遇到许多无法预料的因素,也会遇到许多内部控制本身就无法控制的情况,例如:
(1)内部控制只适于正常且经常反复出现的业务事项,而不能对例外事项(包括意外事故)进行控制;
(2)对于工作人员因粗心、精力不集中、身体欠佳、判断失误或误解上级发出的指令而造成的这种人为错误无能为力;
(3)内部控制还受到控制成本的限制;
(4)当工作人员合伙舞弊和内外串通共谋时也无法控制;(5)当管理人员滥用职权或不能正确使用权力时无法控制;
因此,尽管管理层力争取得有效的控制效果,但由于上述及其他限制因素存在,内部控制不可能完美无缺。
当前企业内部控制存在的一些问题
目前一些企业的财务内部控制还没有达到能够使各类财务决策力、各项财会业务过程、各个操作环节、各个财会人员的行为都处于紧密的内部制约和监控之下的科学、有效的财务内部控制水平。理论上忽视对企业财务内部控制及其风险的研究,误导财务管理实际工作对财务内部控制的疏忽和松懈。主要表现在以下四个方面:
(1)企业管理层重生产、轻经营;重开发、轻内部管理,甚至把财务内部控制仅仅看成是财务管理部门的事,而没有把财务内部控制放在整个企业经营管理的策略高度来考虑;
(2)有的企业虽有为数不少的财会规章制度,但仅仅是纸上谈兵,流于形式,而未得到切实的贯彻执行;
(3)忽视财务内部稽核和内部审计的作用。有的企业没有财会部门的稽核,3 有的内部稽核不规范,未形成制度;
(4)在日常财务管理方面,思想工作不深入,对职工的个人行为和思想状况了解不够,使一些事故隐患长期得不到发现。
四、加强企业内部控制制度建设的对策
(一)建立科学有效的组织结构
组织结构是企业采用的按不同任务或职位来划分和调配劳动力的方法,设置科学合理的企业组织机构是实现公司运营目标的基础,企业的各项决策方式和最终的战略方案都会受到组织结构的影响,内控制度也不例外。组织结构的类型众多,职能制组织结构、事业部制组织结构、矩阵制组织结构以及战略业务单位组织结构等,不同的组织结构要求企业有不同的业务执行方案,部门设置也有不同,董事会在设置机构时,必须做好效率、人员成本和控制力度之间的平衡,权利明确清晰,责任到位,然后配以适用于不同组织结构的内控制度,才能充分发挥内控的监督、检查和激励作用,避免利益冲突引起的不必要的损失。
(二)增强内部控制意识
从 COSO 提出的五个要素中我们也可看出控制环境对内部控制的建设极其重要,内部控制是由单位治理层及员工共同实施的旨在实现控制目标的过程,不论是管理层还是基层员工都应该对内部控制有足够的重视,树立在内部控制制度的约束下开展经营活动的理念,使企业的各项经济活动真正纳入到企业的内部控制系统,最大限度的降低非可控性。
(三)提高内控人员素质
企业应加强内部管理人员尤其是财会人员的培训学习,培养其鉴别会计信息的真实性、完整性及财务活动合法性的能力,提高内部控制人员的自我约束力和综合素质。要定期对职工进行内控知识的宣传和教育,加强思想道德建设和法律法规的学习,使企业上下对内部控制制度有正确的认识,消除阻碍因素,顺利推动内控工作的进行。
(四)内控建设要与企业文化建设相联系
企业文化强大的整合作用,使得越来越多的高管在企业文化的建设上投入更多的精力,没有文化的企业就是一个没有灵魂的躯壳,良好的企业文化是企业可持续发展的重要基础。拥有良好企业文化的企业,能够将全体员工的积极性和责任感充分调动起来,对企业的发展予以最全力的贡献,高度关注企业的命运,这就可以自然地预防像总经理的舞弊风险、决策低效率等问题,在此基础上建立的内部控制也能够起到事半功倍的效果。海尔一直都很重视企业文化建设,力求把“质量重于一切”的理念深入到每个员工,而其内部控制的建设也与质量第一的企业文化紧密相连,两者相互促进,保证了海尔持久的市场声誉和较高的顾客信 4 任度。
(五)完善内部控制测试
完整的内控制度不仅仅是指规章制度的制定,还应该包括后期的控制测试和监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证,只有对结果进行科学的分析得出有利于改进内部控制建设的信息和措施建议,才能够达到进行制度控制的效果,避免内部控制流于形式而带来的效益小于成本的困境。目前我国三大电信运营商均在美国上市,每年均面临《萨班斯奥克斯利法案》的严格审核,为了通过审核,电信运营商采取一系列措施加强内部控制测试,全程监控,保证内部控制的有效落实,比如检查式测试、常态化测试、咨询式测试,提高了电信运营商内控建设的科学性和系统性,同时其成功实践也为其他上市公司加强内部控制管理提供了有益参考。
(六)做好内部审计工作
企业内部控制涉及企业运行过程方方面面,对其具体的执行需要进行不断地跟踪,跟踪取得的最终效果关键取决于企业自身的监督,而内部审计就是进行这种跟踪的有效措施。内部审计是企业经济活动的评价监督部门,也是内部控制系统一个特殊的构成要素,是对内部控制的再控制。与其他形式的审计相比,内部审计部门作为企业自身内部的一个职能部门对企业的经营活动、会计核算、控制程序等方面有更准确的认识和深入的了解,使其对企业内部监督的有效性成为可能。充分发挥内部审计的作用,可以为改进内部控制提供建设性意见,有效防范内部控制失控,促进企业控制目标的实现。企业对具备内审专业人员的需求以及内部审计职业考试的持续升温加也证明了内部审计对企业的重要性。
五、COSO报告对我国企业内部控制的启示
(一)建立以风险管理为核心的企业内部控制体系
新的COSO框架最突出的特点是提高了对企业风险的关注程度,使企业内部控制逐渐呈现与风险管理一体化的趋势,即以风险管理为主导,建立适应企业风险管理战略的新的内部控制。企业内部控制开始走向范围更宽泛的风险管理。
我国企业应加强对风险的认识,将风险管理提升到一定的高度,逐步建立以风险管理为核心的内部控制体系。由于控制是需要成本的,董事会与管理层要将精力主要放在风险管理上,而不是对所有细节的控制上。对风险的管理是否及时、有效往往会关系到企业的生死存亡。只有将风险管理作为核心的内部控制才能为企业的存续和发展提供更大的支持。企业风险管理需要企业管理者建立一种企业总体层面上的风险组合观,对相关的风险进行识别并采取措施使企业所承担的总体风险在风险偏好的范围内。在制定目标时,要针对不同的目标分析其相应的 5 风险,并根据对实现企业目标的潜在影响来确认风险,从固有风险和残存风险的角度进行风险评估,对规避、减少、共担和接受等风险反应方案,企业管理者应比较不同方案的潜在影响,在企业风险容忍度范围内的假设下考虑风险反应方案的选择。
(二)重视企业的内部环境建设,强化董事会的内部控制功能
内部环境有着丰富的内涵,它由许多因素共同构成,包括企业风险管理理念、企业风险偏好、董事会的监管、企业员工的诚实性、道德标准和能力、权责的分派以及企业的人力资源政策等。内部环境设定了企业的基调,同时也是决定一个企业的内部控制优劣的基础。企业要加强对内部环境的建设,只有拥有良好的内部环境,才能保证具体内部控制措施的实施,才能真正建立起有效的体系。
在构成内部环境的要素中,董事会是重要的组成部分,对其他要素有着重大影响,建立健全董事会功能是企业最根本的内部控制。安然、世通等特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。而在我国,受体制等方面的影响,很多企业的董事会形同虚设,内部控制缺乏应有的股东监督机制,更多地维系在经营者的觉悟上,关键人控制现象十分突出。企业应该认识到董事会对企业的所有活动负有最终责任,要充分发挥董事会的监管作用,确保企业的各项活动符合其风险偏好、不超出其风险容忍度的范围,这样才能使企业健康地发展下去。
(三)加强监督机制,提高内部控制效率
公司治理的监督机制包括内部监督机制与外部监督机制,其中内部监督机制是指股东大会、董事会、监事会等监督机制;外部监督机制是指媒体、中介机构等监督机制。在目前我国很多企业缺乏完善的公司治理机制、内部环境较差的情况下,要使内部控制有效执行,必须借助于企业内、外部的监督机制,定期和不定期地对内部控制制度的执行情况进行检查与考核,不断发现问题、解决问题,从而不断修改或调整有关的控制环节和措施,促使内部控制日趋合理有效。
(四)突出人的作用,增强内部控制执行的自觉性
无论多好的制度,若得不到切实的执行也不能发挥其应有的作用。内部控制并非仅仅是政策手册与表格,而是由具体的人来执行和实施的。在加强企业内部控制管理的过程中,人的因素十分的重要。这里所说的人,不仅仅是企业的管理人员、董事会成员或内部审计人员,而应包括来自企业内每一个阶层的每一个员工。一个良好的内部控制系统应确保企业内每一个员工都能清楚地知道其所拥有的权力和承担的责任,树立每一个员工都应对企业的内部控制负有责任的观念,促使他们团结合作,主动实施并完善企业的内部控制,为企业总体目标的实现认真履行自己的职责。
结语
在现代企业管理中,依据内部控制框架建立合适规范的企业内部控制规范对经济发展具有非常重要的意义,同时对会计学尤其是内部审计的发展具有重大影响。
【参考文献】:
[1]COSO ,internalcontrol-integrated framework ,1992.[2]Goldberg.Your Merge: Will it really add value? [J].The Journal of corporate accounting and finance, 2001.[3]吴水澎.企业内部控制理论的发展与启示 [ J].会计研究, 2000.[4]盖瑞・・米勒《管理困境———科层的政治经济学》上海 :上海人民出版社 ,2002年.[5]宋建波. 企业内部控制[M].中国人民大学出版社,2004. [6]周兆生.内部控制与风险管理 [J ].审计与经济,2004.[7]罗伯特・西蒙斯《控制》北京 :机械工业出版社 ,2004年.
第五篇:资金管理六大内控漏洞
资金管理六大内控漏洞之一
货币资金是企业资产的重要组成部分,在企业的各项经济活动中起到了非常重要的作用,持有足够的货币资金是企业运行的基本条件。
对资金营运管控来说,面临的主要风险包括:资金活动管控不严,可能导致资金被挪用、侵占、抽逃或遭受欺诈;资金调度不合理、营运不畅,可能导致企业陷入财务困境或资金冗余。
营运资金管控整体目标可归纳为以下四点:
1、货币资金的安全性。通过良好的内部控制,确保企业资金安全,预防被盗窃、诈骗和挪用。
2、货币资金的完整性。确保企业收到的货币全部入账,预防私设“小金库”等侵占企业收入的违法行为。
3、货币资金的合法性。货币资金取得、使用符合国家财经法规要求,手续齐备。
4、货币资金的效益性。通过合理调度货币资金,在满足企业营运需求基础上,发挥资金的最大效益。
在建立和实施货币资金内部控制制度中,至少应当强化以下方面的关键控制措施:
1、职责分工、权限范围和审批程序应当明确,机构设置和人员配备应当科学合理;
2、现金、银行存款的管理应当符合法律要求,银行账户的开立、审批、核对、清理应当严格有效,现金盘点和银行对账单的核对应当按规定严格执行;
3、与货币资金有关的票据的购买、保管、使用、销毁等应当有完整的记录,银行预留印鉴和有关印章的管理应当严格有效。
货币资金是流动性最强、控制风险最高的资产,企事业单位的货币资金遭挪用、贪污和诈骗等案例可以说屡见报端,而这些案例的发生往往与单位货币资金存在内控漏洞直接相关。
典型漏洞一:资金管理职责分配违背不相容职责分离要求
资金管理涉及到资金收入、支出、审批、保管、记录、对账、盘点等诸多职责,稍不注意,可能会导致同一人兼任不相容职责,给资金安全带来隐患。
资金管理职责分配的内控漏洞通常有:出纳领取银行对账单、出纳负责银行对账、同一人保管所有支付印鉴、印鉴和票据由同一人保管、多个网银U盾由同一人保管、网上银行业务交易的执行与审核授权由同一人操作、负责收款的人兼任会计记录、负责收款的人同时负责核对收款、出纳兼任收付款凭证制单、缺乏独立于保管职责(如现金、票据、印鉴)的人员对资金保管情况进行监督等。
资金管理这方面内控漏洞往往会直接影响到资金安全或资金数据准确性,导致资金挪用、贪污或设立账外“小金库”等行为。特别要提醒注意的是,就是出纳人员领取银行对账单这个问题,从媒体曝光的大量出纳人员挪用资金案例中,都可以看到出纳利用领取银行对账单机会,伪造银行对账单,掩盖资金舞弊。
究其原因,企业主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制银行余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。目前不少银行定期寄送对账单给企业会计主管,并要求企业签字盖章返回对账回执,但如果这项工作仍交给出纳来做,那可能导致风险未得到防范。此外,对于伪造银行对账单舞弊,企业可考虑纸质对账单以外,通过网上银行核实银行存款余额。
【案例】国家自然科学基金委会计人员卞中,在1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
据办案人员介绍:“作为入账凭证,每一笔资金的流向都体现在银行的对账单上,而在基金委,卞某既管记账又管拨款,身份是会计却又掌握出纳的职能,这样就给他实施贪污挪用提供了职务上的便利。比如说他挪出去3000万或者1980万,他把真对账单拿下来自己留下以后,在假对账单里,这笔钱他自己做得根本不体现出来。” “咱们银行对账单,都是从电脑打出来的,既然是电脑做的,卞某也有电脑,他也可以按照那种纸张和程序往下打。”打印出对账单后还必须要加盖银行印章,卞某长期和银行打交道,与银行工作人员之间非常熟悉,有时候银行直接就把印章给他,让他自己盖,这时候卞某就可以一次盖很多。
漏洞识别:梳理资金管理尤其是财务部门职责分配情况,检查职责分配存在不相容职务未分离现象。同时,关注和检查岗位人员休假、出差或离开情况下,职务如何交接,在岗位人员发生临时变动情况下,是否符合不相容职务分离原则
典型漏洞二:银行账户管理存在缺失
银行账户管理方面的内控漏洞通常有:银行账户的开立和撤销缺乏必要的授权批准程序;私自设立、变更或撤销银行账户;违反公司规定出租出借银行账户;公司以个人名义开户,公款私存;银行账户设立及使用不符合法规规定;银行账户开立数量过多;长期不用或失效的银行账户未及时办理销户;未建立银行账户统一台账。
银行账户管理缺失,可能威胁资金安全、降低资金效率或违规遭到外部处罚,企业可从几方面加强控制:
1、严格银行账户开立程序。所有银行账户的开设应符合经营发展需要,不得随意开设,不得违反规定开立和使用银行账户。企业应明确规定银行账户开户条件、开户申请审批及办理程序,所有银行账户开立应由财务部门办理,填写银行开户申请,并经过公司高层审批(一般应由董事长或总经理审批),审批程序应留下书面痕迹并存档,对集团公司来说,应当严格限制下属子公司新开银行账户,下属公司开户应报集团审批或报集团公司备案。
2、财务部门应对于已开设未使用或长期不使用的账户及时做出销户处理。银行账户销户按规定操作,经过适当授权并正确反映在会计记录中。销户的银行存款应转入正在使用的银行账户中,并对存、销户凭证及时编制会计记录入账。对已销户的银行账户,应在办理销户后一个月再由经办人员以外的财务人员向银行核实销户情况,确保销户已得到执行。
3、做好银行账户开户/销户情况记录。企业建立银行账户台账,记录银行账户开户/销户情况,并定期与银行核对,确保所记录的银行账户与实际相符。
【案例】私开单位银行账户,财务科长贪挪上千万。2011年10月25日上午,京煤集团地质勘探队计财科原科长刘国斌和副科长周和生,因涉嫌贪污、挪用公款在市一中院出庭受审,涉案金额超过千万。起诉书显示,1998年3、4月,两人擅自将公司账户中的300万公款转出,用于购买国债。随后,又将这笔资金转入两人私设的账户内,并将资金平账后非法占有;1998年11、12月,两人又直接将公司的170万公款和60万公款转入私设账户并平账。此外,两人还于2000年12月,将公司的300万元公款转至某证券营业部,用于购买
债券。后二人将该笔资金转至私设账户内,并平账后非法占有。
此外,检察机关还单独指控刘国斌于1998年5月,将300万元公款转至朋友股票账户内,供其个人使用。后刘国斌将该笔资金平账,非法占有。指控刘国斌、周和生涉嫌挪用公款200万元。两人于1998年3月至9月,将200万元公款转至私设的十个账户内,存入三个月定期,并获取利息1.4万余元,随后两人将钱款归还。
在法庭上,刘国斌认可了全部指控,但他表示,这样做是为单位更好地发展。“1998年国家开始缩减事业单位的拨款”,刘国斌说,为了给单位存一笔钱,以备日后不时之需,才与周和生瞒着单位,私下在银行开设“小金库”。他说,公款并没有落到自己腰包,只是以单位的名义开设了账户,在平账之后将公款隐藏了起来。
刘国斌的律师说,刘国斌以单位名义开设账户,需要包括公司法定代表人身份证、财务章、单位开户证明等7项手续,刘国斌除了掌握其中的财务章外,其他都需要经过单位相关部门及领导,所以他不可能在单位毫不知情的情况下开设账户,转移大量资金并自行掌控资金出入。周和生对账户的开立、转账等问题的回答,与刘国斌描述相差无几,唯独一点与刘国斌不同的是,他一直称:“公司的钱太多了,有人让我们把钱藏起来。
检方告诉记者,证据显示单位不知道刘国斌和周和生私设账户,两人将钱款拆借给其他公司并从中获利,至于获利多少,由于时间过于久远,目前已经难以调查,但是这些都不影响对两人贪污罪的定性。此案之所以多年没有案发,是因为刘、周一直掌控着账户,年底单位查账时,账目是平的,所以一直没有被发现。此后,两人已经不在计财科任职。在年底对账时,由于单位无人知道这些账户,所以没有相关人员到银行对账,银行打来询问电话,此事才暴露。
漏洞识别:检查公司银行开户和销户资料,是否齐全和经过适当授权批准;检查公司银行账户台账建立情况,台账信息是否完整,并核对公司银行账户台账与公司账务记录的银行存款明细科目进行核对,检查银行账户使用情况是否符合规定等。
货币资金六大内控漏洞之二
引言:货币资金是流动性最强、控制风险最高的资产,企事业单位的货币资金遭挪用、贪污和诈骗等案例可以说屡见报端,而这些案例的发生往往与单位货币资金存在内控漏洞直接相关。
典型漏洞三:货币资金相关票据、印鉴保管不善,使用情况缺乏必要记录和检查。
企业对于有价票据及空白单证如果疏于管理,就会被“有心之人”加以利用。票据印鉴保管常见漏洞:票据/印鉴使用未经恰当授权;使用情况缺乏登记留底;在空白纸张或单证上加盖印鉴;作废票据/印鉴未妥善处理;网银U盾及密码支付器保管不当。
针对上述漏洞,企业应严格票据日常保管,票据的使用和流转应留下书面记录,譬如建立支票使用登记簿,登记支票号码、开具时间、收款人、金额、领用人等信息。收到外单位交付的票据应留下交接记录,对作废票据应予以妥善处置,加盖作废印章。禁止在空白纸张或单证上加盖印鉴。票据/印鉴的交接要留下书面交接记录。
【案例】上市公司出纳挪用公款炒股案。湖南九芝堂公司出纳梁某,采取偷盖公司银行印鉴和法人章,使用作废的、没有登记的现金支票等方法,在近五年期间先后挪用3000多万元用于炒股。给单位造成损失1137.8万余元。长沙市中级法院以挪用公款罪和挪用资金罪,判处梁某17年徒刑。
漏洞识别:检查企业票据、印鉴是否存放保险柜,是否建立票据登记簿,检查票据登记簿登记内容是否齐全,检查作废票据保管情况,是否存在随意丢弃作废票据现象等。
典型漏洞四:货币资金支付审批程序不够合理。
企业货币资金支付的授权审批权限不合理或程序不清,也是很多企业常犯的毛病,资金支付审批漏洞有:未清晰设置支付权限;缺乏临时授权,导致岗位人员离岗时无法正常办理支付;资金支付相关审核/审批环节欠缺;资金支付审核审批先后顺序不合理;未建立签字人员样本表用于核对签字。
企业资金支付通常要包括以下环节:
1、支付申请。公司有关部门或个人用款时,应当提前向审批人提交货币资金
2、支付申请,注明款项的用途、金额、预算、支付方式等内容,并附有效经济合同或相关证明。
3、支付审批。审批人根据其职责、权限和相应程序对支付申请进行审批。对不符合规定的货币资金支付申请,审批人应当拒绝批准。
4、支付复核。复核人应当对批准后的货币资金支付申请进行复核,复核货币资金支付申请的批准范围、权限、程序是否正确,手续及相关单证是否齐备,金额计算是否准确,支付方式、支付单位是否妥当等。复核无误后,交由出纳人员办理支付手续。
5、办理支付。出纳人员应当根据复核无误的支付申请,按规定办理货币资金支付手续,及时登记现金和银行存款日记账。
但有些企业在办理资金支付前缺乏出纳以外的会计人员复核或记账,或是先办理支付然后会计进行复核或记账,这会导致对付款无法有效监督,因为此时出纳虽然不记账,但原始单据先到出纳手里付款,再由出纳传递给制单会计,出纳可能会通过压单、变造单据等手段来挪用或侵占货币资金,不能对出纳进行有效的监督;账务处理不及时,现金账实差异巨大;另外会计制单时款项已付出,经办人也已离开财务部,制单时发现问题难以更正或与经办人及时沟通,因此,在设计付款流程时应尽量避免这种先付款后复核或制单的现象
企业应明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相关控制措施,规定经办人办理货币资金业务的职责范围和工作要求;审批人应当根据货币资金授权批准制度的规定,在授权范围内进行审批,不得超越审批权限;经办人应当在职责范围内,按照审批人的批准意见办理货币资金业务;对于审批人超越授权范围审批的货币资金业务,经办人员有权拒绝办理,并及时向审批人的上级授权部门报告。
【案例】某企业规定:为对货币资金开支实行严格的控制,在预算内的资金预算,5万元以下的开支由财务处长审批;5万元至20万元的开支由总会计师审批;20万元至50万元的开支由总会计师签署意见,总经理审批;50万元以上开支由董事会商讨决定。
某日,公司采购部门送来付款申请及相关凭证,要求按照采购合同约定用转账支票支付上月采购某种货物的货款6万元。
碰巧当日总会计师在外出差,负责预算内资金支付的出纳小李也因病请假,小李的个人名章和票据经财务处长同意由小王保管,但小王平时只负责日常零星开支和与银行对账,不经手支票开具事务。
因此财务处长答复采购处,暂时无法支付货款。但是采购部说按照采购合同,当日若无法付款,将支付供货方一定的违约金,而且会影响到正常供货,对生产和销售也将带来不利影响,要求财务务必解决付款问题,财务对此一筹莫展。
该案例是企业经常碰到的一个情形,出现该问题的症结是公司制度对临时授权和离岗人员工作交接缺乏明确规定,如果公司都对有明确规定,可由总会计师临时授权,同意先由财务处长代签,出差回来后再办理补签手续,小李职权暂由小王行使权,则可保证资金正常支
付。
漏洞识别:了解企业资金支付流程和审批权限,查看流程设计是否有效,权限设置是否清晰合理;抽查若干资金支付凭证,是否按照要求执行,支付涉及的各项表单要素填写是否齐全和合规;了解企业在人员离岗时如何处理支付要求。
货币资金六大内控漏洞之二
典型漏洞五:货币资金及票据核对、盘点机制缺失。
账账核对、账实核对是防范及发现货币资金舞弊的重要控制手段,企业应由负责账物保管和记录以外的人员进行定期和不定期的检查、核对。对有形实物资产(例如现金、票据等)要定期和不定期盘点程序来核实资产的存在性和完整性;对不具实物形态的资产(如活期银行存款、定期存单等)和负债(如贷款)则定期通过询问、函证和对账等方式验证查实。以银行函证为例,只要发生过业务的银行,都应进行函证,即使账面存款余额已为零,函证时不仅要询问存款余额,还要核实有无未入账贷款、有无为他人提供担保等现象。
资金核对及盘点方面漏洞有:未定期和银行对账或对账程序不完善;未对票据及库存现金进行定期盘点和不定期突击盘点;对账或盘点未留下书面记录;银行余额调节表存在超过一个月未达账项而不及时处理;执行银行对账或盘点职责与资金保管职责未有效分离等。
为此,企业应完善各类涉及资金的银行存款、现金、票据、有价单证、空白单证的对账或盘点,防范潜在风险,例如下面介绍的应收票据挪用案例就是因为企业一直未真正去进行应收票据账实核对,导致票据挪用长达六年之久而未被发现。
【案例】某大型企业每年资金往来达数十亿元,客户付款有不少采用银行承兑汇票方式。公司销售会计收取货款和审核销货提单,如客户支付承兑汇票,销售会计负责收取票据并在ERP系统里登记,更新客户往来账。同时,为票据安全考虑,公司承兑票据实物存放于主办银行的保管箱,会计每天将收到的银行承兑汇票放入信封,并在信封上写明票据详细情况,将信封加盖印鉴封装起来。银行工作人员每天上门收取封存的信封并登记签收。公司在使用收到的承兑汇票对外付款时,则从银行保管箱取回承兑汇票,加盖印鉴背书转让给其他单位或委托银行收款。
公司销售会计,在这一岗位工作时间久了,他从中窥探到了一些漏洞,便挪用承兑汇票,挪用手法具体可分两种:
第一种手法是滚动挪用公司的银行承兑汇票,通过皮包公司办理质押贷款,汇票快到期时则挪用新的汇票将其替换出来。由于开户银行是提供保管箱业务,每次将银行承兑汇票放在信封交给银行,银行工作人员并不核对信封里的汇票数量和金额,而是只以会计在密封后的信封上填写数字为准,钟某利用这一漏洞,将有的承兑汇票暗地里截留下来,但在交给银行的信封上却记录了该笔汇票,银行毫不知情,以为汇票如数装在信封里。截留下来的汇票钟某拿出来通过皮包公司办理质押贷款,由于公司资金周转量很大,账上始终有一大笔存量的银行承兑汇票,销售会计得以持续地占用公司的银行承兑汇票而不被发现。而公司无论是对账还是审计,都只是将公司账面数与银行提供的代保管汇票数核对,挪用公司汇票的行为就一直没有被发现。
第二种手法是将直接盗用银行承兑汇票,将被背书人空白的银行承兑汇票据占为己有。由于很多银行承兑汇票是由客户背书转让给XY化纤公司,但客户在背书时经常都并不填写被背书人名称,销售会计便将这类汇票拿到自己在外与人合伙开设的皮包公司入账,与此同
时,他在公司财务账上则做退票处理,在ERP系统入账后进行冲销。会计主管领导曾经发现ERP系统有大量汇票退回现象,并向销售会计询问原因,销售会计解释说是客户汇票不符合要求,所以退回去了。遗憾的是,领导轻信了他的解释,对这种异常退票现象没有深究下去,未能及早发现其舞弊行为。
按理说,如果公司能严格对账的话,销售会计冲减客户往来账的行为应该是能被发现的,但公司与客户对账时,对期末账面余额为借方的应收账款会主动核对,而对期末余额为贷方的预收账款,认为反正客户不欠自己的钱,并不去与客户核对往来账。公司账面一直有大量的预收账款,销售会计便利用公司制度的不完善,从中混水摸鱼,并得以长期掩盖自己舞弊行为而不被发现。
该销售会计在六年多时间,挪用票据5000多万元都未被发现,直到公司要将其调离该岗位,要求其进行工作交接,挪用票据行为才得以暴露,但已给企业造成无可挽回的损失了。
漏洞识别:检查企业银行余额调节表编制情况,是否所有银行账户都编制调节表,查看编制人、复核人是否签名,查看编制日期判断编制是否及时。查看库存现金、票据及空白单证等盘点记录,了解盘点周期和盘点方式,判断是否存在内控漏洞。
典型漏洞六:集团母公司未实现资金集中管控或下属分子公司资金管理失控。
对集团公司来说,资金管理除了本部公司资金管理,还涉及到如何对分子机构资金管控,对下属分子机构资金管理漏洞主要有:未能实现资金集中管理;未制定统一的资金政策;未编制集团资金计划或资金计划不合理;对分子机构资金情况缺乏有效监督。
无论是资金安全还是提高资金效益角度出发,集团应制定统一的资金管理政策,有条件的情形采用现金池、内部银行或其他方式实行资金集中管理,并加强分支机构资金计划管理,加强针对分支机构资金活动的事中监督及事后评价,加强针对分支机构资金管理的内部审计。关于集团资金集中管理,目前已有大量成功案例,这里就不详细介绍了。
漏洞识别:了解集团下属分支机构情况,对下属分支机构资金管理采取何种管理模式,集团是否制定了统一资金管理政策,对下属分支机构银行账户的开立及日常资金活动是否监控,是否编制资金计划和相关资金报表,检查资金计划执行情况。
鲁公网安备37028302000876号