尤物视频网站,精品国产第一国产综合精品,国产乱码精品一区二区三区中文,欧美人与zoxxxx视频

COSO報告與CoCo指南比較分析及對內控制整體框架的初步構建

作者：何泉成 ，西南財經大學財務管理碩士研究生
1992年，美國反虛假財務報告委員會下屬的多個組織參與發起的組織委員會（COSO委員會）公布了《內部控制——整體框架》，即ＣＯＳＯ報告，并于1994年對其進行了增補。該報告對提高企業內部控制水平，增強企業風險防范能力，產生了積極影響，并在世界上很多國家都成為了內控制度建立的標準。但是，即使許多企業參照此報告建立起的內部控制制度仍無法避免各種風險，并且其內容仍有不妥之處。因此有必要將COSO報告與其他內控框架文件相比較，并在此基礎上結合中國的實際對內部控制整體框架進行初步構建。
二、COSO報告與CoCo報告的比較分析
（一）COSO報告的意義
COSO報告將內部控制定義為：“內部控制是一種由企業董事會、管理階層和其它人員執行，由管理階層設計，為達成有關下列目標提供合理保證的過程：營業的效果和效率；財務報告的可信力度；相關法令的遵循” [1]。在此定義的基礎上，COSO報告對內部控制構建了一系列不同以往的內容和框架，展示了一些嶄新的理念和思想。
1、COSO報告認為內部控制包括三大目標：經營目標、財務報告目標和遵從法規目標，以及五個構成要素：控制環境、風險評估、控制活動、信息與溝通、監督。這三大目標貫穿于內控的五大構成要素中。這些概念的提出，為建立評價內部控制系統提供了一套完整的標準，有利于在實踐中的運用。
2、強調了“以人為本”和明確了內控的責任。COSO報告認為內部控制是由人來設計和實施的，各個組織成員都受其影響并可以反作用于內控制度。因此組織中的每個人都對內控負有責任。這種內控全員參與的思想，有利于將員工的積極性調動起來，主動地維護和改進企業的內控制度。
3、強調風險意識。COSO報告認為，所有的企業都必然會遭遇來自企業內部或外部的不同程度的風險。企業的管理層在設計和實施內控制度時必須密切注意各種風險。
4、強調內部控制存在于包括規劃、實施和監督在內的企業經營和管理過程中的系統，內部控制并不是這些過程的補充，而是這些過程不可或缺的組成部分。同時，內控系統應該包括能適應不斷變化的客觀世界的機制。
5、COSO報告著重強調：對于企業目標的實現而言，內部控制只能提供一個合理而非絕對的保證。合理與否取決于環境，如果財務報告中存在的錯誤累加起來不會對企業的財務狀況、經營成果和現金流量造成重大影響，就可以視為合理，即這些錯誤是可容忍的誤差。
（二）COSO報告的缺陷
1、COSO報告具有濃重的會計和審計色彩。從COSO委員會的組織背景來看，各發起組織中美國注冊會計師協會是最大、最有財力的，并具有相當的影響力和知名度；并且COSO報告的主要撰寫人是永道會計師事務所。因此，COSO報告提出的三大目標之一的財務報告目標似乎是為注冊會計師在評價財務報告控制有效性時推托責任。顯然，從這一目標來看，COSO報告作者的主要關注點并不在于對管理過程提供幫助。
2、COSO報告沒有將保護資產安全包括到內部控制的范疇中。內部控制的基本目標是促使企業實現其經營目標，并減少經營過程中的風險。而保護資產安全無疑可以有效地減少風險并有利于企業經營目標的實現，將其排除在COSO報告的框架之外，是有悖于內控的基本目標的。
3、COSO報告強調內部控制的只能提供“合理保證”，并把考慮“成本效益”作為內部控制的局限性。內部控制的評價應通過評價標準和評價過程的客觀性和透明度來增加其科學性。顯然，“合理保證”的具體程度和“成本效益”的平衡點在實踐中是很難量化的，這種極具主觀色彩的觀點有利于注冊會計師轉嫁風險，但對社會公眾來說，只能增加更多的爭議和猜疑。
（三）COSO報告與CoCo指南的比較分析
鑒于美國職業會計團體在世界上的權威地位，各國職業會計師團體一直尾隨其后，因此COSO報告誕生后，一直受到追捧，并成為被廣泛借鑒的模式。而加拿大特許會計師協會（CICA）負責的控制規范委員會（Criteria of Control Board, 簡寫為CoCo）發布的“控制指南”（Guidance on Control，以下簡稱“CoCo指南”），在不少方面都與COSO報告的標準相背離，考慮到美國公司在加拿大擁有大量業務，而多年來，CICA已經習慣于美國同行在制定審計準則、會計原則和職業規范等方面的領導地位，所以 CICA此舉非常引人注目。
１、與COSO報告中使用的“內部控制”術語相比，CoCo指南更傾向于使用“控制”一詞。COSO委員會有意把目標確定、戰略規劃、風險管理和糾錯行動排除在“內部控制”外，而CoCo則把這些活動看成是“控制”概念的組成部分。顯然，CoCo指南比COSO報告更寬泛，而且沒有從注冊會計師的角度作更多的考慮。
2、CoCo指南將“有效控制”定義為：使企業能夠可靠地實現其目標，取決于其能在多大程度上合理保證企業實現其目標。 [2]同時，CoCo指南為“有效控制”確立了幾個標準：
目標：明確企業發展方向。
承諾：企業的價值觀和員工的認同感。
能力：企業的競爭力和員工的勝任能力。
監督和學習：在工作中學習和發展。
CoCo指南認為這幾個標準之間存在一種內在的循環關系。這種循環關系旨在反映控制過程本身的連續性。
可以看出CoCo指南關于控制的定義和標準比COSO報告更貼切地反映企業的組織和運行方式，它把控制看成是企業要素的一部分，并與其它要素相結合促使企業目標的實現。
3、COSO和CoCo都認為風險評估是控制的組成要素，但CoCo指南更強調對機遇的把握。CoCo指南認為對風險和機遇的反應和適應能力，尤其是發現和利用機遇的能力對企業是至關重要的。它認為維持企業的可容忍風險水平或把風險降至可容忍水平以下，確實可以發現一些危機，但是這與企業發現和利用機遇，保持持續競爭能力相比，這種情況并不經常發生。
可以看出，CoCo指南與COSO報告相比，提出許多嶄新的觀點，展現了當會計師對其法律責任無甚考慮時所能達到的境界。但是，CoCo指南只有32頁文件（COSO報告研究范圍較小，但卻有118頁文件），短小的篇幅難以承載如此豐富的內涵，整體框架無法充分展開，細節不夠充分，實踐指導性不強，這可能是CoCo指南難以引起重視的原因之一。
三、對內控制度整體框架的初步構建
（一）內部控制目標的構建
西方的內部控制依次經歷了：內部牽制階段、內部控制階段、內部控制結構和內部控制整體架構階段。內部控制的目標也從最初的保護公司資產、確保簿記正確發展到COSO報告設定的三大目標：經營目標、財務報告目標和遵從法規目標。從西方內部控制目標的演進來看，內部控制的目標不僅包括保護資產安全完整，保證會計信息真實可靠，也包括貫徹企業的經營方針，提高經營效率。而后者在現代內部控制中的地位越來越重要。但是，2002年“安然”和“世通”事件以后，尤其是《薩班斯——奧克斯利法案》頒布以來，內部控制制度的設計越來越傾向于防范風險的目標。筆者認為這是應對會計丑聞的權益之計，與內部控制發展的大趨勢是不相符的。
與國外相比，我國對內部控制的關注和研究起步較晚，迄今為止有關部門制定和實施的與內部控制相關的法規和政策所設定的內部控制的目標主要集中于保護會計資料的合法完整、保護資產的安全完整以及確保法規制度的貫徹執行，基本上屬于內部會計控制的范疇。顯然，與西方國家相比，我國內部控制制度目標的制定更加沒有考慮對經營效率、效果的作用和影響，還屬于較低層次的目標，缺乏完整性和前瞻性。
由于現代企業所有權和經營權的分離、委托代理關系的存在，不同利害關系者對企業權力和經濟利益要求及其所承擔責任的不同，所以對于內部控制體系的要求有所差異，形成現代企業組織結構中不同的控制主體;相應地，對內部控制體系負最終責任的管理當局為了協調好各方的利益關系，完成受托經濟責任，有必要給內部控制體系搭建一個合理的目標框架。
在內部控制中，控制目標依附于企業的單位的經濟目標，而這些經濟目標對企業所有者而言，又轉化為受托經濟責任目標，內部控制依據其監督職能屬性，所能做到的是有效的減少受托經濟責任目標的偏差，因此可以把內部控制的總體目標設定為有效減少受托經濟責任目標的偏差。這個目標與COSO報告的目標相比，拓寬了控制目標的范圍，它還包含了目標確定、戰略規劃和財產安全控制，內容更加全面；將內部控制制度作為管理的必要構成要素和管理本身，而不只是管理的輔助工具；而且單一總目標將控制目標集中化，更直觀，更容易把握。這個總目標更符合CoCo指南對“有效控制”的要求。
在此基礎上，可以確立兩個分目標：經營目標和風險防范目標。
經營目標優先于風險防范目標，這更切合于受托經濟責任目標。因為經理層的根本目標應該是股東利益的最大化，只有有效的完成經營目標才能實現股東利益，它是實現受托經濟責任目標的充要條件。而風險防范目標是實現經營目標的有效保障，它是實現受托經濟目標的必要條件，但不是充分條件。經營目標是基礎，風險防范目標是保證，兩者相互作用，相互制約，相互促進。
（二）內部控制要素（有效控制標準）的構建
COSO報告設定的內部控制五要素：控制環境、風險評估、控制活動、信息與溝通、監督，具有較強的理論可取性和牢踐可行性；我國學者提出了崗位、文件、作業、流程四要素說和組織、項目、流程三要素說 [3]，雖然頗具新意，但是視角不夠全面，要素之間缺乏有機的聯系和銜接。因此筆者更傾向于COSO報告的五要素的設定，由于COSO報告對五要素的論述解釋非常詳盡，在此就不再贅述，只是在其基礎上與我國的實際相結合對五要素內容略為展開和補充（尤其對生產經營目標實現的支持方面）。
1.控制環境
①員工素質。包括員工的性任能力和道德價值觀，兩個方面缺一不可。管理部門必須制定正式或非正式的職務說明書，逐項分析并規定各工作崗位所須具備的知識和技能；:當局應提供道德方面的指導，制作文字化的行為準則和政策聲明，并用書面或口頭的實例交流方式，將企業文化和行為準則傳達給全體員工。
②管理哲學和經營方式，其主要內容涵蓋:對待和承擔經營風險的方式。
③組織結構。一個良好的組織構架具體應在設置組織結構時，堅持相互牽制的原則，以達到相互制約、相互協調、防止和糾正差錯舞弊的目的，同時要確保企業整體目標能夠按照組織結構分解到各個具體部門中去。
⑤責任的分配與授權方式。要為執行任務和承擔職責的組織成員特別是關鍵崗位的人員，正式、清晰地描述工作職責，提供其所需的資源，并確保他們的經驗和知識與職責權限相匹配，要使所有員工知道其工作行為以及職責擔負形式和認可方式。
2.風險評估——包括對機遇的把握
風險評估可以包括確定目標、觀測環境和分析風險三方面。需要強調的是在風險評估的同時，必須保持對機遇的及時反應和把握能力，這兩方面分別于風險防范目標和經營目標相對應。
3.控制活動
①授權。授權政策必須由最高管理當局制定，有權進行一般授權和特定授權的員工或組織，應當具備與所審批業務的性質和重要性相稱的地位，既要防止權力重疊，又要防止權力真空，所授權力不能使員工被動地等待領導，而是能夠主動地面對遇到的問題，并在自己的職權范圍內主動解決問題。
②職責分工。各項職責和權力須用規范化文件的方式明確地授予具體的部門、崗位和人員，以免發生越權，或在出現錯誤或舞弊時互相推誘。一方面，對各部門分工要明確，責權利有機結合;另一方而，每個員工的職責也要明確。并要對不相容職務進行分離。
③實物控制這項控制關系著資產安全以及財務報告的可靠性，具體包括實物安全控制、對計算機以及數據資料的接觸于以授權、定期盤點以及將控制數據予以對比。
④對信息系統的控制活動。通過對資料中心、系統軟件、存取安全的控制以及對應用系統的維護和發展，幫助管理階層確保系統能持續、適當的運轉。
4.信息與溝通
企業溝通包括內部溝通和外部溝通。內部溝通需要做到員工應當得到用以管理其負責活動的重要資料和來自最高管理層的需謹慎承擔內部控制責任的清楚信息；必須讓每個人清楚地知道個人所擔負的特定任務，了解內部控制制度的各項規定、以及個人在控制系統中所扮演的角色及所承擔的責任；員工必須知道其所負責的活動是怎樣與他人的工作發生關聯的；員工必須擁有在組織中向上溝通重要信息的方法。外部溝通應做到:顧客和供應商能經過開放的溝通管道輸入重要信息，便于企業利用；外部審計人員對企業營業、相關業務問題及控制系統審計后，可以向企業管理階層及董事會提供重要的控制信息:對于政府主要機構所報道的復核或檢查的結果，
5.監督
管理當局必須監督它所建立的內部控制系統：由適當的人員，在恰當的基礎上，適當及時地評估內部控制的設計和運行質且。監督活動由日常監督和個別評價所組成，既可以由內部管理人員、審計人員進行，又有與企業進行交流的外部人員和團體的參與。


作者：何泉成 文章來源：成都市西南財經大學研究生部2005級12班