亿万先生软件风险内控专家解读COSO内控整体框架升级
- 时间:2013-05-22
- 来源:财会信报
摘自:财会信报
5月14日,美国反虚假财务报告委员会下属的发起组织委员会(COSO)正式发布《2013年内部控制———整体框架》。原《整体框架》发布于1992年,随着资本市场和商业环境已经发生了天翻地覆的变化,这也要求《整体框架》有所调整。
在亿万先生软件咨询中心副总经理关晶奇看来,新《整体框架》和原版相比,在基本概念、内容和结构,以及内控的定义和五要素、评价内控体系的有效性标准等方面均没有变化。新《内控框架》对于原版内控不应称为改动,而是一种升级。
更实:提供了内控体系建设的原则、要素和工具
关晶奇表示,新《整体框架》与原版相比,细化了董事会及其下设专业委员会的描述,这只是一般性的改动,而且新《整体框架》里提到了很多案例,以增强从业者对内控体系建设的理解。
新框架在继承了旧框架对内部控制的基本概念和核心内容的基础上,提供了内控体系建设的原则、要素和工具,具体的变化体现在突出了原则导向,即在原有五要素基础上提出了17个基本原则,在此基础上进一步提炼出82个代表相关原则的主要特征和重点关注点的要素,这是本次修改的亮点,使内控体系的评价更加有据可循。
他指出,新《整体框架》认识到不同企业因行业特点、规模大小方面存在区别,故而抓住内控的实质,提炼出相应的原则和要素,实际上使企业在内控体系建设的过程中能保持弹性,企业可以根据自身特点来选择相应的内控建设方式,而非千篇一律的内控模式,使内控体系与风险管理、公司治理、日常经营更好地有机结合,而非以多层皮的方式简单存在。
“这种以原则为导向的趋势在ISO31000中已经有所体现,相信未来在更多的国际准则中会体现出这一点,确保这些准则在不同国度的适用性。”关晶奇称。
更活:强调企业可有自己的判断
新《整体框架》相对于旧框架,在内控建设和评价中,强调依赖于管理层自身的判断,而不是像原来一样要求严格基于证据。新框架强调董事会、管理层和内审人员拥有“判断力”,这是新框架比较“活”的地方。
关晶奇介绍,新版内控强调在内控建设过程中应注重与效率的结合,建议管理层通过判断,去除那些失效、冗余乃至完全无效的控制,提升控制的效率和效果,而非单纯地为了控制而控制。新框架更强调内控的实质,而非强调控制措施本身,认同不同的企业可以根据自身情况建立不同的内控体系建设,如一家小企业,即便没有完整落实所有的控制措施,内控体系也并不是非常正式,但其内控体系也可以是有效的。这是一大亮点。未来在内控体系建设中要求从业者更多考虑的是内控的实质,而非仅仅关注于合规。
更稳:强调内控有效性的认定
关晶奇还认为,新框架对于如何确保内控体系的有效性进行了进一步澄清,尤其强调内控五要素中的每一项都会受到其他要素的影响,应视为一个整体来对待,并且描述了不同要素下的控制措施如何影响其它要素下的原则,有助于整合性地看待内控体系和控制措施,而非孤立对待。
旧版内控框架发布于1992年,那时的内控框架体现了一种前沿的先进的思路。尤其是在我国,随着内部控制规范体系的实施,内控变成了上市公司的底线要求。这种从“前沿”到“底线”的变化,集中体现在上市公司要强制披露自己内控的有效性,并接受审计。那么,是不是审计通过了,上市公司就没风险没问题了呢?实际情况并不是这样,一些风险事件还是发生了。所以,新的内控框架强调了内控对天灾(外部事件)和人祸(人为失误)无能为力。
此外,关晶奇介绍,报告范畴得到了扩展,不仅关注于财务报告,并且对市场调查报告、资产使用报告、人力资源分析报告、内控评价报告等非财务报告也予以了高度重视,体现出了内控向风险管理逐步延伸的趋势。
目前,中国的内控框架借鉴的是COSO发布的原版《整体框架》,既然《整体框架》已得到了修订,势必也会影响到我国企业的内控建设。关晶奇表示,“需要认识到,这份新框架是由50%的北美内控从业者和50%的北美以外的内控从业者共同参与制定的,故而这份新框架从出生开始就带有很显著的地域特征,其原则会更有利于该地域的企业和从业者。”我国在参考COSO新框架进行内控规范体系的升级或更新时,应借鉴其原则和要素,结合我国国情,深入汲取我国几年来内控规范体系建设的宝贵经验,审慎接纳,而非全面照搬。对CFO和财务工作团队来说,首要任务是尽快熟悉新框架,了解可选择、可适用的实施指南,这一点非常重要。