COSO新报告对我国企业内部控制问题的启示.docx

COSO新报告对我国企业内部控制问题的启示会计二班 卜一方 1208220420摘要：内部控制是企业生产经营活动中的重要方面之一，是保证企业经营活动成功的关键。国内外关注内部控制，由来已久，但通过法律手段推行内部控制评价报告制度，则属近些年来的制度创新。本文通过分析COSO新报告的发展与创新，建议引入新COSO 框架作为评价内控有效的标准框架之一，吸取COSO 框架思想新颖的有价值的观点，强调软控制的作用，从我国企业内部控制的现状出发，得出对存在问题的启示，从而提高企业的控制力和整体经营管理水平，使企业在激烈的市场竞争中立于不败之地。关键字: COSO报告 企业 内部控制 启示 1、COSO 委员会新报告企业风险管理总体框架 国际著名的反虚假财务报告委员会（即Treaday 委员会）于2004 年年底，针对国际企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO 报告：即企业风险管理总体框架（简称ERM）。内部控制理论是随着企业内控实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架四个理论阶段。Treaday 委员会于1992 年发表，并于1994 年修订的内部控制整体框架报告，标志着内部控制理论与实践进入了整体框架的新阶段，并被世界上许多企业所采用。与传统内部控制内容相比，新框架有了较多的变化。主要包括： 1.1 对内部控制内涵的发展 1992 年COSO 报告对内部控制的定义是：“内部控制是一个受到董事会、经理层和其他人员影响的过程，还过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律 法规的遵循行。”内部控制的定义明确了四个要点：是一个过程；受人为影响；为了达到三个目标；合理保证。这个定义尽管非常宽，但从某种角度来说，有比较模糊，存在某些片面性。而新的ERM 框架非常明确了对保护资产概念的运用，又已经将纠正错误的管理行为明确地列为控制活动之一。 ERM 框架对内部控制的明确了以下内容：（1）是一个过程：（2）被人影响；（3）应用于战略制定；（4）贯穿整个企业的所有层级和单 位；（5）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；（6）合理保证；（7）为了实现各类目标。对比原来的定义，ERM 概念要细化的多。由于新COSO 报告提出了风险偏好、风险容忍度等概念，使得ERM 的定义更加明确、具体，同时又涵盖了内部控制所有合理的内容。 1.2 对报告内容的拓展 ERM 框架中将“财务报告的可靠性”发展为“报告的可靠性”。原 COSO 报告把财务报告的可靠性界定为“编制可靠的公开的财务报表，包 括中期和简要财务报表，以及从这些财务报表中摘出的数据，如利润分配数据”。新报告则将报告拓展到“内部的和外部的”、“财务的和非财务的报告”，该目标涵盖了企业的所有报告。 1.3内部控制要素的发展 1994 年COSO 报告中，只提出了五个要素；控制环境、风险评估、控制活动、信息和沟通、监督。ERM 框架对这五个要素进行深化和拓展，将其演变为八个要素，将原有的“控制环境”为“内部环境”，将风险 评估这一要素，发展为目标设定、事项识别、风险评估和风险反应四个 要素，使得原有的内空无要素发展为风险管理八要素。 1.4董事会角色的重要变化 新老COSO 报告都将组织的董事会、管理层看成是相关责任人，董事会都提供管理、指引和核查。虽然董事会主要提供监督，但也提供指 导以及批准战略、一些特殊交易和政策。董事会既是内部控制的重要因素，也是企业风险管理重要因素。ERM 框架使董事会在企业风险管理方面扮演更加重要的角色负总体责任，并且要求其变得更加警惕。企业风险管理的成功与否在很大程度上依赖于董事会，且董事会需要批准组织的风险偏好。2、我国企业内部控制现状 第一是公司治理结构不完善，内控组织虚设，缺乏相互制约性；第二是对内部控制不够重视，缺乏内部控制理念；第三是内控机制不健全，控制乏力；第四是经营管理不完善，内部人控制现象严重。 3、COSO 新报告对我国企业的启示 3.1关注企业风险 ERM框架最大的变化，就是将企业内部控制更名为企业风险管理，这一变化是有特殊意义的。事实上包括中航油公司在内，几乎所有的公司都有一大套管理制度，其内容应有尽有。如果企业将主要精力放在所有细小的、微不足道的控制上，往往会舍本求目，既浪费无多资源，还会忽视企业重大风险。所以，ERM 框架要求董事会与管理层将精力主要放在可能产生重大风险环节上，而不是所有细小环节上，将风险管理作为内部控制的最主要内容，这是一个革命性的变化。事实上，中航油公司曾在2003年被新加坡证券监督部人列为最具透明的企业，说明该企业确实在细节方面的内部控制做得非常周到。但是，从事后暴露出的结果来看，恰恰是在经营风险管理上出了问题。所以，ERM 框架要求董事会将主要精力放在风险管理上，而不是所有细节的控制上，是非常值得关注的变化。 3.2 认真学习ERM 框架，保证ERM 框架实施 在建立、完善社会主义市场经济体制的过程中，出现了大量经济犯罪案件，其中不少案例与单位内部会计监督不力、控制和管理弱化紧密相关。最近一个时期以来，除了中航油新加坡公司巨亏案以外，还发生了国家自然科学基金委员会原会计贪污逾2亿元科研资金大案、四川长虹约5亿美元应收货款被骗案等等典型案例。这些案例产生的原因错综复杂，但其重要的一个方面，是内部控制薄弱，或者内部控制制度执行不力。这些案例发生在高层次事业单位、上市公司和大型国有企业，损失惨重，教训深刻，发人深省。中航油新加坡公司尽管花了相当大的精力，还聘请了国际四大会计师事务所之一的安用会计师事务所制定了风险管理里手册，但管理层肆意践踏，导致内部控制形同虚设、流于形式，在如何保证实施制度方面，则缺乏应有的措施。这一点，ERM 框架有明确指示。为了保证所设计的制度能够得到执行，在ERM 框架中的第七与第八个要素中，再一次强调了通过控制活动的设置，建立独立的监督部门来保证框架实施的可行性。事实上，作为一个现代企业组织，最为忌讳的是，在开展业务过程中出现暗箱操作行为，这往往是发生舞弊的前奏。因此，将所有活动分离出授权、批准、执行、记录及监督，并将这些职能分别授予不同部分执行，形成一个相互牵制、相互制约的过程，是内部控制的精髓。3.3建立董事会的核心地位，解决内部人控制问题 董事会是公司的领导核心，从而成为内部控制系统的核心，他负责为公司管理层制定博弈的规则。对内部控制而言，一个能真正履行决策和监督职能的董事会是相当重要的。特别是随着技术进步的加快和市场竞争的日益激化，企业的成败系于董事会的决策能力、监控能力和认知水平。因此，要求董事会必须拥有专业知识、才能和智慧，才能履行其监控、引导的责任。目前，我国很多上市公司在形式上建立了董事会、监事会，聘任了总经理班子，但实际上真正的法人治理结构并未建立，董事会的职能并未真正发挥。主要表现在董事会的监控作用严重弱化，决策职能严重不足，“董事”不“董事”，经常只有一个“虚职”，且缺少必要的常设机构。因此，在对具体业务内部控制制度设计中，将公司董事长、总经理等高管对内部控制的要求融入关键控制点的设计中，明确不相容职务相分离及分级授权控制。另外，内部控制由谁负责，是关系到内部控制能否发挥实效的根本问题。若将内部控制职责交由总经理负责，对于总经理以下的各职能部门及一般员工来说总经理是委托者，可以防止和及时发现底层员工舞弊，但在维护股东和债权人的权益上很可能会失效，故以董事会对内部控制负责为好。ERM 框架要求董事会在企业风险管理方面扮演更加重要的角色负总体责任，并且要求其变得更加警惕。为此，应在有关准则和文件中，明确赋予董事会议内部控制的核心地位，对公司内部控制制度的设计、修订、有效运行负责并承担法律责任。 3.4 处理好会计控制与非会计控制的关系 ERM 框架中将“财务报告的可靠性”发展为“报告的可靠性”，新报告将报告内容拓展到“内部的和外部的”“财务的和非财务的报告”， 该目标涵盖了企业的所有报告。因此，在现阶段，应坚持以会计控制为主，同时兼顾与会计相关的其它控制。原因在于：第一，如果仅局限于会计控制，难以进行全面有效的控制，比如，对重大采购业务的专家论证，对投资项目的可行性研究等，尽管与传统观念上的会计控制有一定距离，但如果放弃这些控制程序，难以取得与其控制效果，应当予以适当体现；第二，会计控制与非会计控制经常相互交织，简单地割裂开来，既无必要，也无意义；第三，内部控制不止是由财会部门实施的控制， 也不仅仅是对会计工作的控制，围绕会计工作能够或者应该发挥作用的领域予以适当拓展，有利于单位内部控制的全面、协调发展。 ERM 框架为在当前环境下如何建立起一套适合中国国情的内部控制措施，提供了一个新的理论基础。因此，我们应该关注COSO新报告中有关ERM框架的新发展，加快推进内部会计控制建设，促进完善单位治理结构，推动经营管理制度化、规范化，提高重大经济决策的科学性和透明度，在完善社会主义市场经济体制进