水門事件后,內部控制理論引起了美國各界的廣泛重視。然而,對內部控制的理解分歧卻由來已久,立法者、監管者和商人的不同利益決定了各自不同的立場。90年代初成立的COSO,開創性地提出了一套成體系的內部控制整體框架,這標志內部控制理論發展到新的階段,贏得了各方的好評。
一、COSO內部控制整體框架的誕生
1997年,美國國會通過了《反國外賄賂法》(FCPA),在反賄賂條款之外,又規定了與會計及內部控制有關的條款。美國注冊會計師協會(AICPA)的審計人員責任委員會發布了《報告、結論與建議》。隨后,在1980、1982、1984年先后頒布了審計準則公告第30號、第43號、第48號。財務經理人員協會(FEI)發布了《美國公司的內部控制:現狀》。美國證券交易委員會(SEC)則要求上市公司提交其內部控制的報告書。
1985年,由AICPA、美國審計總署(AAA)、FEI等機構共同贊助成立了全國舞弊性財務報告委員會(National Commission On Fraudulent Financial Reporting),即tread-way委員會。Tread-way委員會旨在研究舞弊性財務報告產生的原因及其相關領域,其中包括內部控制不健全的問題。Tread-way委員會就內部控制問題提出了許多有價值的建議,并倡議建立一個專門研究內部控制問題的委員會。因此,Tread-way委員會的贊助機構成立了私人性質的COSO,其組成人士包括美國會計師學會、內部審計師協會、金融管理學會等專業團體的成員。1992年,COSO提出了《內部控制整體框架》報告,并在1994年進行了增補。
二、COSO內部控制整體框架的內容該報告的核心內容是內部控制的定義、目標和要素。報告中提出的觀點,超越了內控思想的以往理論棗內部牽制、內部控制制度和內部控制結構等理論。
報告認為,內部控制是由董事、管理層及其他人員在公司內進行的,旨在為經營的有效性、財務報告的可靠性、適用法律法規的遵循性提供合理保證的過程。實際上,內部控制是為了確保組織的最高層參與到整個機構的運作中,以實現組織目標。而所謂的可靠性則指財務報告的一致性、可比性以及選擇適當的會計處理方法。
為了實現內部控制的有效性,需要下列五個方面的要素支持:控制環境(Control environment)、風險評估(Riskassessment)、控制活動(Control activities)、信息與交流(Information and communication)和監測(Monitoring)。
控制環境包括最高管理層的完整性、道德觀念、能力、管理哲學、經營風格和董事會的關注、指導。其特征是先明確定義機構的目標和政策,再以戰略計劃和預算過程進行支持;然后,清晰定義利于劃分職責和匯報路徑的組織結構,確立基于合理年度風險評估的風險接受政策;最后,向員工澄清有效控制和審計體系的必要性以及執行控制要求的重要性,同時,高級領導層需對文件控制系統作出承諾。
風險評估是在既定的經營目標下分析并減少風險。這一環節是COSO內部控制整體框架的獨特之處。雖然,多年來,美國銀行一直使用復雜的模型技術(諸如“緊張檢驗”、“Monte Carlo模擬”和“風險價值”法)測算風險,但把風險評估作為要素引入到內控領域,這還是第一次。
相比之下,控制活動則是人們較早關注的方面,它包括確保管理層指令得以實施的政策和程序:批準、授權;核對會計分錄;核實(包括內部控制模型);檢查業績、風險披露限制;職責劃分、生產安全。制定程序的原則有:避免由“相關人士”組成的集團從頭到尾控制某個操作或交易;“四只眼睛”的原則。
信息與交流是整個內部控制系統的生命線,為管理層監督各項活動和在必要時采取糾正措施提供了保證。內控是一個動態的過程,依據環境,制定措施,信息反饋,進行糾錯,如此不斷改進。但受成本效益原則的約束,內控實際上是一個無止境的過程。
監測,意在評估內部控制,貫穿于經營活動之中,具有一定的超然獨立性。監測的實施途徑可以是內部審計,也可以是內部控制自我評估。前者的實施人是獨立的職能部門,而后者是由管理部門和員工完成的。內部審計的目的是,就控制系統的風險和操作情況向管理層提供獨立保證并幫助管理層有效地履行責任。內部審計是先依據審計章程,確定審計單位的獨立性及其作用。然后將稱職的工作人員分成三個主要單位,分別承擔財務、操作和電子數據處理的工作。再根據機構的主要業務風險編寫審計計劃,密切和平衡的關注計劃、實地工作、報告以及每次審計的后續工作。最后,就操作系統的運作與管理層執行簡明扼要和持續的溝通。應該讓內部審計的結論為人所知。審計委員會監督內部審計的過程,采用外部審計評估控制系統,就財務報表的真實性和公正性提出意見。
三、COSO內部控制整體框架的應用
在實務中,COSO內部控制整體框架得到了廣泛的應用。1993年5月11日,美國聯邦存款保險公司(FDIC)董事會批準了“1991聯邦存款保險公司改進法”第十二條中的內容,要求銀行就其內部控制情況向FDIC和聯儲(FRB)等管理機構報告。雖然,主管機構并未要求必須采用COSO內部控制整體框架作為報告格式,但卻鼓勵各銀行以COSO框架為依據。事實上,各銀行自身也有積極性采用,因為使用COSO框架能夠充分展現公司的管理水平,取信于投資者,從而在一定的信息對稱的情況下,提高公司在公眾中的美譽度。
國內有關內部控制的權威規定主要有兩個:中國人民銀行制定的《加強金融機構內部控制的指導原則》(1997年5月)和中國注冊會計師協會制定的《獨立審計具體準則第9號棗內部控制與審計風險》(1997年1月)。兩者在不同程度上都借鑒了COSO內部控制整體控制的一些理念。(【聲明】本文系網絡轉載,內容為作者個人觀點,本站擁有對此聲明的最終解釋權。)
