COSO新版内控框架发布
|
|
|
5月14日,美国反虚假财务报告委员会下属的发起组织委员会(COSO)正式发布《2013年内部控制——整体框架》(以下简称《整体框架》)及其配套指南。原《整体框架》于1992年首发,21年的时间过去了,资本市场和商业环境已经发生了天翻地覆的变化,这也要求《整体框架》有所调整。而本次发布的《整体框架》和配套指南则是历时两年半辛勤劳动的成果。新框架的实施过渡期为2013年5月14日至2014年12月15日。
|
|
|
新《整体框架》和原版相比,在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化,据此,在很多业内人士看来,新《内控框架》对于原版内控不应称为改动,而是一种升级。
|
|
|
针对新《整体框架》相比旧《整体框架》的具体变化,业内专家普遍认为,新《整体框架》相比原版,主要有三大亮点,即更实、更活、更稳。《整体框架》的发布将有助于公司高管在企业运营、法规遵从以及财务报告等方面采用更为严密的内控措施,提升内控的质量。
|
|
|
更实:提供了内控体系建设的原则、要素和工具
|
|
|
新《整体框架》与原版相比,细化了董事会及其下设专业委员会的描述,这只是一般性的改动,而且新《整体框架》里提到了很多案例,以增强从业者对内控体系建设的理解。不过,让专家们更感觉'入眼'的是新《整体框架》的一些实质性变动。
|
|
|
新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上,提供了内控体系建设的原则、要素和工具,具体的变化体现在突出了原则导向,即在原有五要素基础上提出了17个基本原则,在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素,这是本次修改的亮点,使内控体系的评价更加有据可循。因为之前版本的内控框架只有五个要素,更像是一个学术模型,具体要怎么做,并没有非常明确的答案。而这次COSO委员会提到的17条原则都是相对来说更明确的动作,这为企业做内控提供了一套路线图,为企业评价内控提供了一张打分表,突出了这些点作为原则的重要性,而且特别强调了内控是基于这些原则的,从而使得内控建设的目标和内控评价的方法更加清晰。
|
|
|
这些原则无论对上市公司和非上市公司都是非常有意义的。比如17条原则的第一条就要求企业要对正直、伦理道德这些价值观必须要明确展示,要有承诺。因为很多企业在内控建设中,仅仅是弄一大堆内控制度,管理层片面追求业绩,忽略诚实守信的道德准则,会给企业带来很大风险。
|
|
|
新《整体框架》认识到不同企业因行业特点、规模大小方面存在区别,故而抓住内控的实质,提炼出相应的原则和要素,实际上使企业在内控体系建设的过程中能保持弹性,企业可以根据自身特点来选择相应的内控建设方式,而非千篇一律的内控模式,使内控体系与风险管理、公司治理、日常经营更好地有机结合,而非以多层皮的方式简单存在。
|
|
|
更活:强调企业可有自己的判断
|
|
|
新《整体框架》相对于旧框架,在内控建设和评价中,强调依赖于管理层自身的判断,而不是像原来一样要求严格基于证据。新框架强调董事会、管理层和内审人员拥有'判断力',这是新框架比较'活'的地方。内控如何实施,如何评价,如何认定有效性,企业可以有自己的判断。这本质上在为内控解套,是新框架的灵魂。
|
|
|
新版内控强调在内控建设过程中应注重与效率的结合,建议管理层通过判断,去除那些失效、冗余乃至完全无效的控制,提升控制的效率和效果,而非单纯地为了控制而控制。
|
|
|
同时,新框架更强调内控的实质,而非强调控制措施本身,认同不同的企业可以根据自身情况建立不同的内控体系建设,如一家小企业,即便没有完整落实所有的控制措施,内控体系也并不是非常正式,但其内控体系也可以是有效的。这是一大亮点。未来在内控体系建设中要求从业者更多考虑的是内控的实质,而非仅仅关注于合规。
|
|
|
无论企业怎样建设内控体系、怎样执行,各层级管理人员对于风险的判断力其实才是最大的不确定因素,强调企业的'判断力'非常有必要。判断力好对风险的掌控力就强,有些企业怎么做都不会出事;判断力差对风险心里就没底,寄希望于拖沓冗长的决策流程,导致有些企业管理成本居高不下,效率低下。
|
|
|
新《整体框架》看似身段更柔软,但透出了更大的野心,即内控不仅是财务的事,还可以提升运营,不但可以提升运营,还不增加企业成本,力图洗清自己'花钱买制度贴在墙上,还降低效率'的形象。
|
|
|
更稳:强调内控有效性的认定
|
|
|
新《内控框架》专门提到了内控有效性的认定,比较'稳'。具体地说,新框架对于如何确保内控体系的有效性进行了进一步澄清,尤其强调内控五要素中的每一项都会受到其他要素的影响,应视为一个整体来对待,并且描述了不同要素下的控制措施如何影响其它要素下的原则,有助于整合性地看待内控体系和控制措施,而非孤立对待。
|
|
|
之前版本的内控框架发布于1992年,那时的内控框架体现了一种前沿的先进的思路。尤其是在我国,随着内部控制规范体系的实施,内控变成了上市公司的底线要求。这种从'前沿'到'底线'的变化,集中体现在上市公司要强制披露自己内控的有效性,并接受审计。那么,是不是审计通过了,上市公司就没风险没问题了呢?实际情况并不是这样,一些风险事件还是发生了。所以,新的内控框架在指出内控的局限性方面比旧框架更加明确,指出了内控在决策和应对外部事件中的局限性,强调了内控对天灾(外部事件)和人祸(人为失误)无能为力。
|
|
|
此外,报告范畴得到了扩展,不仅关注于财务报告,并且对市场调查报告、资产使用报告、人力资源分析报告、内控评价报告等非财务报告也予以了高度重视,体现出了内控向风险管理逐步延伸的趋势。
|
|
|
我国企业财务工作团队要尽快熟悉新框架
|
|
|
目前,中国的内控框架借鉴的是COSO发布的原版《整体框架》,既然《整体框架》已得到了修订,势必也会影响到我国企业的内控建设。
|
|
|
我国的内控规范体系在建设之初便参考了全面风险管理的思想,在报告的范围和使用者、将内控五要素整合对待、反欺诈和反舞弊等方面,与新框架不谋而合。财政部把我国自2008年开始推行的内控规范体系建设的优秀成果和宝贵经验在世界领域推广,增强中国在国际内控框架制定中的话语权。
|
|
|
近年来,我国上市公司做内控成为强制任务,这的确带来了一些切实的好处(上市公司更加透明、健康)。但与此同时,为了顺利通过会计师事务所的内控审计,部分上市公司也一定程度上在走形式主义。
|
|
|
需要认识到,这份新框架是由50%的北美内控从业者和50%的北美以外的内控从业者共同参与制定的,故而这份新框架从出生开始就带有很显著的地域特征,其原则会更有利于该地域的企业和从业者。我国在参考COSO新框架进行内控规范体系的升级或更新时,应借鉴其原则和要素,结合我国国情,深入汲取我国几年来内控规范体系建设的宝贵经验,审慎接纳,而非全面照搬。CFO应该充分利用这19个月的过渡窗口期,制定内控系统转换路线图,确保转换工作的顺利进行。而公司高管要尽快熟悉1992年版《整体框架》中的17个原则(主要涉及控制环境、风险评估、控制活动、信息和沟通以及监管措施等),因为新版《整体框架》进一步凸显了这些原则的重要性。
|
|
|
对CFO和财务工作团队来说,首要任务是尽快熟悉新框架,了解可选择、可适用的实施指南,这一点非常重要。,只有这样企业才能在2014年底前全面实行新的内部控制系统。此外,还应将审计人员吸收到内控工作的筹划流程中。
|
|
|
我国目前的内控框架和旧的COSO内控框架一样,没有考虑企业特别是中小企业的实施成本,而是强调规范性和正式的体系。对中小型企业来说,受资源所限,它们需要更多的时间来消化和吸收,所以相较于大型企业,中小型企业过渡期的时间压力更大。例如,在对内部控制的监督要素进行评估时,需要投入资源和引入专家力量,这会大大地增加中小型企业的预算。虽然大型企业可以开展自动化评估,但中小型企业由于缺乏信息系统的支撑而无法开展自动化评估,只能依靠手工完成。
|
|
|
就目前来讲,新《整体框架》可能主要会对在国内外两地上市的公司有影响。国际上有了新的内控框架,我国将来必然会在内控建设方面有所借鉴,所以,我国内控规范制定机构及企业应尽快熟悉新版内控框架,吸取其有益部分为我所用,更好地提升我国企业的内控建设水平。
|
|
|
