美国加拿大企业内部控制调研报告

1、美国加拿大企业内部控制调研报告 2013年9月23至30日，财政部会计司欧阳宗书副司长率领会计司代表团一行赴美国、加拿大，就两国政府会计及企业内部控制建设情况进行了调研学习。调研期间，在企业内部控制方面，考察团访问了美国科索委员会（COSO）、美国管理会计师协会 （IMA）、安永美国会计公司、加拿大内控标准委员会（COCO）、安永加拿大会计公司等多家单位，与COSO主席Robert B. Hirth、COSO前任主席David L. Landsittel、COSO理事兼IMA前任主席Sandra Richtermeyer、IMA主席Joseph A. Vincent、COCO前任主席

2、Michael Gunns等，就企业内部控制建设与实施、管理会计等议题进行了深入的交流与会谈。现将调研情况报告如下：一、美国COSO内部控制框架的主要内容及其实施情况（一）美国COSO内部控制框架的发展历程COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。 1985年，美国注册会计师协会（AICPA）、美国会计学会（AAA）、财务经理人协会（FEI）、内部审计师协会（IIA）、

3、管理会计师协会（IMA）联合创建了反虚假财务报告委员会，旨在探讨财务报告中舞弊产生的原因，并寻找解决之道。1987年，根据该委员会的建议，其创办机构成立COSO委员会，专门研究内部控制、风险管理和反舞弊问题。1992年，COSO发布了内部控制整合框架，受到国际内部控制理论界和实务界的广泛关注，被世界上许多企业所采用，也被各国内控标准制定机构所借鉴或采用。2001年安然事件爆发后，美国于2002年出台了萨班斯（SOX）法案。根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告内部控制的有效性。2004年，美国公众公司会计监督

4、委员会（PCAOB）发布了第2号审计准则，要求注册会计师对公众公司财务报告内部控制有效性进行审计。SEC与PCAOB均明确提出COSO内部控制框架可以作为企业内部控制体系建立的参考性标准，表明COSO框架已正式成为美国上市公司开展内部控制体系建设与实施的标准。2008年，中国财政部联合证监会、审计署、银监会、保监会等五部委发布的企业内部控制基本规范，也是在借鉴COSO内控框架的基础上，结合中国企业内控实践制定而成的。 然而，自COSO内控框架发布二十多年以来，企业的经营环境和管理模式经历了巨大变化，新技术和复杂组织结构的不断涌现，以及愈加严格的监管要求，促使企业在满足COSO内控框架运营、合规

5、、财务报告内控目标的基础上，越来越关注公司治理和风险管理，越来越重视非财务报告内部控制。此外，近年来由于内部控制失效而发生的一系列的舞弊事件以及国际金融危机的破坏性影响，也进一步要求加强和完善内部控制标准。顺应形势要求，2010年9月，COSO启动了企业内部控制整体框架审核与更新项目，并聘请普华永道会计师事务所（PWC）作为项目的支持方，着手新框架的制订工作。2010年9月至2011年1月，COSO对700多家使用COSO内控框架的单位进行问卷调查。结果显示，大部分反馈意见支持对COSO内控框架进行修订和更新，但不建议推倒重来。2011年12月，COSO发布了新框架的征求意见稿，面向全球公开征

6、求意见。2013年5月，COSO正式发布新的内部控制框架。（二）新的COSO内部控制框架的基本内容和主要变化新的COSO内控框架共包括四部分内容：一是内容摘要，对新框架进行高度总结，包括内部控制的定义、目标、原则、内部控制的有效性和局限性等，使用对象为首席执行官和其他高级管理层、董事会成员和监管者。二是框架内容和附录，包括内部控制的组成部分及相关的原则和关注点，并为各级管理层在设计、实施内部控制和评估其有效性方面提供了指导。附录包括词汇表、对于小型企业的特殊考虑、与1992版的变化总结和框架的非重要性附加参考。三是评估内部控制系统有效性的解释性工具，为管理层在应用框架特别是评估有效性方面提供了

7、模板和行动方案。四是外部财务报告内部控制：方案和示例摘要，为在准备外部财务报告过程中应用框架中的要素和原则提供了实际的方案和示例。由于1992年版的COSO内部控制框架中关于内部控制的基本原则和核心内容在现有环境下仍然有效，所以新的COSO内控框架在内部控制的定义、内部控制五要素（控制环境、风险评估、控制活动、信息与沟通和内部监督）、评估内控体系有效性的标准等方面与旧框架保持了一致。与旧框架相比，新框架的变化主要表现在以下几个方面：1细化了内控框架的结构内容。新框架最显著的变化是在旧框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，

8、适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。这些关注点旨在为管理层提供具体的指引，协助其设计、实施和执行内部控制，以及评估相关原则是否存在和发挥效用。每个关注点都与17个原则中的某个原则相对应，而每一项原则也都与五要素中的某个要素相对应。2扩大了报告目标的范畴。旧框架中的内控三个目标之一是财务报告的可靠性，目的是为了满足外部监管要求，确保编制可靠的公开发表的财务报告。这里的财务报告是指对外公布的财务报告，如上市公司的年报和季报，而新的内控框架在报告对象和报告内容两个维度上对这个目标进行了扩展。在报告对象上，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求

9、；又要面向董事会和经理层，满足企业经营管理决策的需要。在报告内容上，除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。归纳起来，新的COSO内控框架共有四类报告目标：内部财务报告、内部非财务报告、外部财务报告以及外部非财务报告。新框架对报告目标的扩展与我国内控规范体系中对报告范畴的有关规定基本相同。3强调管理层判断的使用。新的COSO框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。新框架并未要求对17项原则及其关注点进行单独评估以确定其是否存在或有效。管理层

10、可以自由判断新框架所提供关注点的合适度或者相关度，然后根据企业的具体情况，来选择和考虑与某一特定原则密切相关的关注点。可以说，在这一点上COSO新框架吸取了自2002年美国萨班斯法案通过以后，旧框架实施成本高的教训，使内控实施更加灵活，同时节省了实施成本。4强化公司治理的理念。新框架包括了更多的公司治理中有关董事会及其下属专门委员会（包括审计委员会、薪酬委员会、提名与治理委员会等）的内容，强调董事会的监督对内部控制有效性的重要作用。这与我国企业内部控制基本规范及组织架构应用指引中有关公司治理的规定相一致。5增加了反舞弊与反腐败的内容。与旧框架相比，新框架包含了更多的关于舞弊与欺诈的内容，并且把

11、管理层评估舞弊风险作为内部控制的17项总体原则之一，重点加以阐述。这与我国内部控制规范体系在反腐败工作中的重要作用不谋而合。6充分考虑了不同商业模式和组织结构的内部控制。随着经济全球化的发展、技术的不断进步和人才竞争的加剧，近年来企业的商业模式和组织结构发生了巨大变化，企业在运营过程中更多地使用第三方提供的产品或服务，管理层更加关注包括供应商和客户在内的价值链管理。为此，新框架专门分析了不同商业模式和组织结构下内部控制的有效性问题。总之，新框架并没有改变旧框架关于内部控制的基本概念和核心内容，而是对旧框架的某些概念和指引进行更新和改进，以期反映近年来企业经营环境的演变、监管机构的要求和其他利益

12、相关者的期望。COSO前任主席David L. Landsittel表示：“新框架无意改变内部控制原有的定义、评估方法或管理模式，而是给使用者提供了更加全面、准确的内部控制概念、指引和案例。”（三）新的COSO内部控制框架与COSO发布的其他内部控制、风险管理文件之间的关系除了内部控制整合框架1992年版和2013年版外，近年来，COSO还发布了一系列与内部控制、风险管理相关的文件，较为重要的有：企业风险管理框架（2004）、较小型公众公司财务报告内部控制指南（2006）、内部控制体系监督指南（2009）等。COSO专门对新框架与这些文件的关联关系做出如下解释： COSO将于2014年12月1

13、5日用外部财务报告内部控制：方案和示例摘要替代较小型公众公司财务报告内部控制指南；COSO认为内部控制是企业风险管理的一部分，企业风险管理在范围上更加广泛，新的COSO内部控制框架与企业风险管理框架互为补充；2009年COSO发布的内部控制体系监督指南对管理层仍旧是相关和有用的资料。（四）新的COSO内部控制框架的实施时间及应用前景COSO将于2014年12月15日用新的内控框架替代1992年版的内控框架。COSO认为，旧框架中的重要概念和原则是基本合理的，并且被市场广泛接受，因此，在过渡期（2013年5月14日至2014年12月15日）内应该允许旧框架正常使用。但是，在过渡期间，企业在为外部

14、报告目标而运用COSO内部控制框架时，需要明确披露他们使用的是1992年版本还是2013年版本。 COSO鼓励企业在可行的情况下，尽快将内部控制程序及相关文件转换成2013年版的新框架。为此，COSO还在其网站上公布了一个新旧框架转换实施方案，供使用者参考。COSO内控新框架的发布，将会引起内控评价和内控审计的一系列问题，包括内控评价和审计程序的设计、标准的制定、报告和监督的执行等方面的改变。到目前为止，美国证监会（SEC）和美国公众公司会计监督委员会（PCAOB）还没有就是否采用、何时采用、如何采用COSO内控新框架表态。但是，由于旧框架的重要概念和基本原则已获得市场广泛认可且未做本质性改变

15、，对于那些已经历了多年萨班斯法案404条款合规工作的在美上市公司来讲，可以花费较低的转换成本，将企业内部控制体系从旧框架下转换到新框架下。对于众多参考COSO旧的内控框架制定的世界各国内部控制标准体系来讲，新框架同样具有重要的参考价值和借鉴意义。可以说，新的COSO内部控制框架具有广阔的应用前景。二、加拿大企业内部控制框架的主要内容及其实施情况（一）加拿大COCO内部控制框架的出台背景由于美国职业会计团体在国际上的权威地位，西方其他国家职业会计师团体一直紧跟其后。因此，1992年美国COSO框架诞生后，迅速被奉为经典。借鉴美国模式，1992年加拿大特许会计师协会（CICA）成立了控制基准委员会

16、（The Canadian Criteria of Control Board，以下简称COCO），该委员会的使命是制定发布加拿大内部控制系统设计、评估和报告的标准。1995年10月，COCO借鉴美国COSO内控框架（1992），正式发布了关于内部控制的框架性文件控制指南（Guidance on Control ）。随后，COCO又陆续发布了评估控制指南（Guidance on assessing Control）等一系列指导性文件，为COCO内部控制框架的应用提供了具体详尽的操作规范，这些文件共同构成了包含内部控制系统设计、评估和报告等环节在内的、较为完整系统的加拿大内部控制框架体系。（二）

17、极具特色的COCO内部控制框架体系COCO内部控制框架在一定程度上借鉴了美国COSO内部控制框架，同时也提出了有别于COSO内部控制框架的先进观点，主要表现在：1扩展了内部控制的概念。从内控控制的定义来看，COCO将“内部控制”的概念扩展到“控制”，定义为“是一个企业中的要素集合体，包括资源、系统、过程、文化、结构和任务等，这些要素结合在一起，支持达成该企业的目标”，从系统论的角度来研究与控制有关的企业外部环境，淡化企业内部与外部的界限。 2基于公司治理和管理活动的内部控制观。随着内部控制概念的拓展和内部控制实务的复杂化，内部控制与管理活动之间的界限变得越来越模糊，内部控制逐渐往管理方向靠拢。

18、COCO框架采用基于公司治理和管理活动的内部控制观，有别于美国COSO框架采用的基于独立审计的内部控制观，在内容和措辞方面更加简洁、更多地使用管理术语，易于企业管理人员理解和使用。3要素加具体标准的内部控制架构。COCO内部控制框架认为在任何一个企业中，控制均包括目标（Purpose）、承诺（Commitment）、能力（Capability）、监控和学习（Monitoring and Learning）四个最基本的要素。在内部控制四要素下，COCO还设计了20条具体的内部控制标准来充实框架。内部控制标准是内部控制理论与实务的桥梁，既丰富了COCO内部控制框架的内容，也为内部控制实务使用COC

19、O内部控制框架提供了具体指导。4全面评估、兼顾未来的内部控制评估方法。COCO的评估控制指南描述了形成一份评估报告的10个步骤，其评估的重点是关于目标的信息和相关风险的管理。COCO对内部控制的评估不仅仅是对过去的评价，更着眼于企业的未来。例如评估未来持续成功的机会和风险；审查与未来业绩表现、机遇和风险相关的信息；评价需要特殊关注和监督的控制要素信息；以及战略审查、项目批准和准备如何应付突发事件等。 5重视发挥人的作用。COCO框架重视内部控制参与者，即人的作用。COCO框架中的四个要素目标、承诺、能力、监控和学习均与人紧密相关：企业员工在执行企业所指派的任务时，以对企业目标的理解为指南，并以

20、其能力（包括所拥有的信息、资源、技能、工具等）作为支撑；员工的承诺是充分发挥能力和保持最优努力水平的保证；员工必须对其工作业绩和外部环境进行监控以便及时采取适当的后续行动，并在调整过程中学会更好地完成工作。 （三）较为宽松的内部控制实施要求2002年美国萨班斯法案出台后，加拿大证监会（Canadian Securities Administrators，以下简称CSA）也着手研究制定加拿大上市公司实施内部控制的有关政策措施。2005年至2008年，CSA先后发布了公司治理指引（2005）、公司治理实践的披露（2005）、年度报告的声明（2008）等与内部控制有关的上市公司规则。其中“年度报告的

21、声明”类似于美国萨班斯法案第404条款，要求加拿大上市公司的首席执行官（CEO）和首席财务官（CFO）每季度评价财务报告相关内部控制和披露控制与程序的设计有效性，及每年度评价财务报告相关内部控制和披露控制与程序的运行有效性。相对于美国萨班斯法案的严厉实施要求，加拿大采取较为宽松的内部控制实施政策，即加拿大上市公司只需在年报中披露其与内部控制相关的信息，而不要求聘请注册会计师对财务报告相关内部控制和披露控制与程序的有效性进行审计。（四）近年来COCO内控框架逐渐走向衰退加拿大证监会认可的、可供加拿大上市公司使用的内部控制框架共有三个：美国COSO内控框架、英国公司治理准则和加拿大COCO内控框架

22、。尽管COCO内控框架具有简洁易懂、实施成本低等优点，但是近年来其应用情况不容乐观。目前，大多数加拿大上市公司采用美国COSO内控框架；少数上市公司采用英国公司治理准则；仅有十家左右的上市公司采用加拿大COCO内控框架。正如加拿大COCO委员会前任主席Michael Gunns先生所言，由于美国COSO内控框架在全球内部控制领域的领先地位，加上COCO内控框架实践指导性不强，且没有强制内控审计的制度安排，加拿大COCO内控框架正逐渐走向衰退。三、启示与借鉴美国COSO新的内控框架代表了国际内部控制和风险管理领域的最新研究成果和发展趋势，对完善我国内部控制规范体系具有重要的借鉴意义。加拿大COC

23、O内控框架的逐渐衰退也为我国借鉴西方发达国家内控标准敲响了警钟。美国、加拿大内部控制框架体系建设对我国企业内部控制规范体系建设带来以下几点启示：1. 借鉴美国萨班斯法案，加强内部控制法制建设。与美国、加拿大相比，现阶段我国内部控制法制建设还处于部门规范性文件层面，内控的推动更多的是依靠财政部、证监会等行政部门的力量，在法律层面并没有专门对内控的责任、义务加以规定，且相关法律中对与内控有关的处罚措施也较轻。建议在推动修订和完善会计法、注册会计师法等相关法律法规时，增加有关企业建立健全内控体系的条款，明确企业内控建设和注册会计师内控审计的责任，并借鉴美国萨班斯法案，强化对隐瞒内部控制缺陷、虚假披露

24、内部控制有效性信息的有关企业和个人的处罚力度。2.跳出财务报告内控的局限，强化全面内控的理念。在我国，内部控制一直作为财务管理、会计、审计等方向的研究领域，其研究和从业人员多是财务出身，这导致不管是实务还是理论，内部控制都打上了“财务”的印记。我国有些政府监管部门也一直强调企业仅需要关注“财务报告相关内部控制”即可。事实上，财务报告相关内部控制只是内部控制的一个重要组成部分。新的COCO内部控制框架基于公司治理的内部控制观，将内控目标从外部财务报告目标扩展到内部、外部、财务、非财务四个报告目标，有利于从更加广阔的视角来建设与实施内部控制体系。这一点与我国企业内部控制规范体系一直强调的“全面内部控制”的思路相吻合。下一步，我们应当继续坚持并强化“全面内部控制”的正确理念。3.借鉴新的COSO内控框架，进一步完善我国内控规范体系。新的COSO 内控框架以原则为导向，能够帮助企业董事会和管理层更有效地开展内部控制体系建设与实施工作，内控报告目标的扩展也对实施企业提出更高要求。可以说，新的COSO内控框架与我国内控规范体系在整体架构、基本原则、主要内容、实施要求等方面