一、美國COSO內部控制框架的主要內容及其實施情況
(一)美國COSO內部控制框架的發展歷程
COSO是全國虛假財務報告委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)的英文縮寫。 1985年,美國注冊會計師協會(AICPA)、美國會計學會(AAA)、財務經理人協會(FEI)、內部審計師協會(IIA)、管理會計師協會(IMA)聯合創建了反虛假財務報告委員會,旨在探討財務報告中舞弊產生的原因,并尋找解決之道。1987年,根據該委員會的建議,其創辦機構成立COSO委員會,專門研究內部控制、風險管理和反舞弊問題。
1992年,COSO發布了《內部控制——整合框架》,受到國際內部控制理論界和實務界的廣泛關注,被世界上許多企業所采用,也被各國內控標準制定機構所借鑒或采用。2001年安然事件爆發后,美國于2002年出臺了薩班斯(SOX)法案。根據薩班斯法案第404節條款以及美國證券交易委員會(SEC)的實施標準,要求公眾公司的管理層評估和報告公司最近年度的財務報告內部控制的有效性。2004年,美國公眾公司會計監督委員會(PCAOB)發布了第2號審計準則,要求注冊會計師對公眾公司財務報告內部控制有效性進行審計。SEC與PCAOB均明確提出COSO內部控制框架可以作為企業內部控制體系建立的參考性標準,表明COSO框架已正式成為美國上市公司開展內部控制體系建設與實施的標準。2008年,中國財政部聯合證監會、審計署、銀監會、保監會等五部委發布的《企業內部控制基本規范》,也是在借鑒COSO內控框架的基礎上,結合中國企業內控實踐制定而成的。
然而,自COSO內控框架發布二十多年以來,企業的經營環境和管理模式經歷了巨大變化,新技術和復雜組織結構的不斷涌現,以及愈加嚴格的監管要求,促使企業在滿足COSO內控框架運營、合規、財務報告內控目標的基礎上,越來越關注公司治理和風險管理,越來越重視非財務報告內部控制。此外,近年來由于內部控制失效而發生的一系列的舞弊事件以及國際金融危機的破壞性影響,也進一步要求加強和完善內部控制標準。順應形勢要求,2010年9月,COSO啟動了《企業內部控制整體框架》審核與更新項目,并聘請普華永道會計師事務所(PWC)作為項目的支持方,著手新框架的制訂工作。2010年9月至2011年1月,COSO對700多家使用COSO內控框架的單位進行問卷調查。結果顯示,大部分反饋意見支持對COSO內控框架進行修訂和更新,但不建議推倒重來。2011年12月,COSO發布了新框架的征求意見稿,面向全球公開征求意見。2013年5月,COSO正式發布新的內部控制框架。
(二)新的COSO內部控制框架的基本內容和主要變化
新的COSO內控框架共包括四部分內容:一是內容摘要,對新框架進行高度總結,包括內部控制的定義、目標、原則、內部控制的有效性和局限性等,使用對象為首席執行官和其他高級管理層、董事會成員和監管者。二是框架內容和附錄,包括內部控制的組成部分及相關的原則和關注點,并為各級管理層在設計、實施內部控制和評估其有效性方面提供了指導。附錄包括詞匯表、對于小型企業的特殊考慮、與1992版的變化總結和框架的非重要性附加參考。三是評估內部控制系統有效性的解釋性工具,為管理層在應用框架特別是評估有效性方面提供了模板和行動方案。四是外部財務報告內部控制:方案和示例摘要,為在準備外部財務報告過程中應用框架中的要素和原則提供了實際的方案和示例。
由于1992年版的COSO內部控制框架中關于內部控制的基本原則和核心內容在現有環境下仍然有效,所以新的COSO內控框架在內部控制的定義、內部控制五要素(控制環境、風險評估、控制活動、信息與溝通和內部監督)、評估內控體系有效性的標準等方面與舊框架保持了一致。與舊框架相比,新框架的變化主要表現在以下幾個方面:
1.細化了內控框架的結構內容。新框架最顯著的變化是在舊框架的基礎上,提煉出內部控制五要素的17項總體原則。五項基本要素和17項總體原則組合起來就構成了內部控制的標準,適用于所有的組織。每一項總體原則又由代表其重要特征的多個關注點所支持。這些關注點旨在為管理層提供具體的指引,協助其設計、實施和執行內部控制,以及評估相關原則是否存在和發揮效用。每個關注點都與17個原則中的某個原則相對應,而每一項原則也都與五要素中的某個要素相對應。
2.擴大了報告目標的范疇。舊框架中的內控三個目標之一是財務報告的可靠性,目的是為了滿足外部監管要求,確保編制可靠的公開發表的財務報告。這里的財務報告是指對外公布的財務報告,如上市公司的年報和季報,而新的內控框架在報告對象和報告內容兩個維度上對這個目標進行了擴展。在報告對象上,既要面向外部投資者、債權人和監管部門,確保報告符合有關監管要求;又要面向董事會和經理層,滿足企業經營管理決策的需要。在報告內容上,除了包括傳統的財務報告,還涵蓋了市場調查報告、資產使用報告、人力資源分析報告、內控評價報告、可持續發展報告等非財務報告。歸納起來,新的COSO內控框架共有四類報告目標:內部財務報告、內部非財務報告、外部財務報告以及外部非財務報告。新框架對報告目標的擴展與我國內控規范體系中對報告范疇的有關規定基本相同。
3.強調管理層判斷的使用。新的COSO框架對五要素的分解不是按照子要素來進行的,而是作為“原則”來呈現的,即強調“基于原則”的內控實施和管理層判斷的使用。新框架并未要求對17項原則及其關注點進行單獨評估以確定其是否存在或有效。管理層可以自由判斷新框架所提供關注點的合適度或者相關度,然后根據企業的具體情況,來選擇和考慮與某一特定原則密切相關的關注點。可以說,在這一點上COSO新框架吸取了自2002年美國薩班斯法案通過以后,舊框架實施成本高的教訓,使內控實施更加靈活,同時節省了實施成本。
4.強化公司治理的理念。新框架包括了更多的公司治理中有關董事會及其下屬專門委員會(包括審計委員會、薪酬委員會、提名與治理委員會等)的內容,強調董事會的監督對內部控制有效性的重要作用。這與我國《企業內部控制基本規范》及《組織架構》應用指引中有關公司治理的規定相一致。
5.增加了反舞弊與反腐敗的內容。與舊框架相比,新框架包含了更多的關于舞弊與欺詐的內容,并且把管理層評估舞弊風險作為內部控制的17項總體原則之一,重點加以闡述。這與我國內部控制規范體系在反腐敗工作中的重要作用不謀而合。
6.充分考慮了不同商業模式和組織結構的內部控制。隨著經濟全球化的發展、技術的不斷進步和人才競爭的加劇,近年來企業的商業模式和組織結構發生了巨大變化,企業在運營過程中更多地使用第三方提供的產品或服務,管理層更加關注包括供應商和客戶在內的價值鏈管理。為此,新框架專門分析了不同商業模式和組織結構下內部控制的有效性問題。
總之,新框架并沒有改變舊框架關于內部控制的基本概念和核心內容,而是對舊框架的某些概念和指引進行更新和改進,以期反映近年來企業經營環境的演變、監管機構的要求和其他利益相關者的期望。COSO前任主席David L. Landsittel表示:“新框架無意改變內部控制原有的定義、評估方法或管理模式,而是給使用者提供了更加全面、準確的內部控制概念、指引和案例。”
(三)新的COSO內部控制框架與COSO發布的其他內部控制、風險管理文件之間的關系
除了《內部控制——整合框架》1992年版和2013年版外,近年來,COSO還發布了一系列與內部控制、風險管理相關的文件,較為重要的有:《企業風險管理框架》(2004)、《較小型公眾公司財務報告內部控制指南》(2006)、《內部控制體系監督指南》(2009)等。COSO專門對新框架與這些文件的關聯關系做出如下解釋: COSO將于2014年12月15日用《外部財務報告內部控制:方案和示例摘要》替代《較小型公眾公司財務報告內部控制指南》;COSO認為內部控制是企業風險管理的一部分,企業風險管理在范圍上更加廣泛,新的COSO內部控制框架與《企業風險管理框架》互為補充;2009年COSO發布的《內部控制體系監督指南》對管理層仍舊是相關和有用的資料。
(四)新的COSO內部控制框架的實施時間及應用前景
COSO將于2014年12月15日用新的內控框架替代1992年版的內控框架。COSO認為,舊框架中的重要概念和原則是基本合理的,并且被市場廣泛接受,因此,在過渡期(2013年5月14日至2014年12月15日)內應該允許舊框架正常使用。但是,在過渡期間,企業在為外部報告目標而運用COSO內部控制框架時,需要明確披露他們使用的是1992年版本還是2013年版本。 COSO鼓勵企業在可行的情況下,盡快將內部控制程序及相關文件轉換成2013年版的新框架。為此,COSO還在其網站上公布了一個新舊框架轉換實施方案,供使用者參考。
COSO內控新框架的發布,將會引起內控評價和內控審計的一系列問題,包括內控評價和審計程序的設計、標準的制定、報告和監督的執行等方面的改變。到目前為止,美國證監會(SEC)和美國公眾公司會計監督委員會(PCAOB)還沒有就是否采用、何時采用、如何采用COSO內控新框架表態。但是,由于舊框架的重要概念和基本原則已獲得市場廣泛認可且未做本質性改變,對于那些已經歷了多年薩班斯法案404條款合規工作的在美上市公司來講,可以花費較低的轉換成本,將企業內部控制體系從舊框架下轉換到新框架下。對于眾多參考COSO舊的內控框架制定的世界各國內部控制標準體系來講,新框架同樣具有重要的參考價值和借鑒意義。可以說,新的COSO內部控制框架具有廣闊的應用前景。
二、加拿大企業內部控制框架的主要內容及其實施情況
(一)加拿大COCO內部控制框架的出臺背景
由于美國職業會計團體在國際上的權威地位,西方其他國家職業會計師團體一直緊跟其后。因此,1992年美國COSO框架誕生后,迅速被奉為經典。借鑒美國模式,1992年加拿大特許會計師協會(CICA)成立了控制基準委員會(The Canadian Criteria of Control Board,以下簡稱COCO),該委員會的使命是制定發布加拿大內部控制系統設計、評估和報告的標準。
1995年10月,COCO借鑒美國COSO內控框架(1992),正式發布了關于內部控制的框架性文件——《控制指南》(Guidance on Control )。隨后,COCO又陸續發布了《評估控制指南》(Guidance on assessing Control)等一系列指導性文件,為COCO內部控制框架的應用提供了具體詳盡的操作規范,這些文件共同構成了包含內部控制系統設計、評估和報告等環節在內的、較為完整系統的加拿大內部控制框架體系。
(二)極具特色的COCO內部控制框架體系
COCO內部控制框架在一定程度上借鑒了美國COSO內部控制框架,同時也提出了有別于COSO內部控制框架的先進觀點,主要表現在:
1.擴展了內部控制的概念。從內控控制的定義來看,COCO將“內部控制”的概念擴展到“控制”,定義為“是一個企業中的要素集合體,包括資源、系統、過程、文化、結構和任務等,這些要素結合在一起,支持達成該企業的目標”,從系統論的角度來研究與控制有關的企業外部環境,淡化企業內部與外部的界限。
2.基于公司治理和管理活動的內部控制觀。隨著內部控制概念的拓展和內部控制實務的復雜化,內部控制與管理活動之間的界限變得越來越模糊,內部控制逐漸往管理方向靠攏。COCO框架采用基于公司治理和管理活動的內部控制觀,有別于美國COSO框架采用的基于獨立審計的內部控制觀,在內容和措辭方面更加簡潔、更多地使用管理術語,易于企業管理人員理解和使用。
3.要素加具體標準的內部控制架構。COCO內部控制框架認為在任何一個企業中,控制均包括目標(Purpose)、承諾(Commitment)、能力(Capability)、監控和學習(Monitoring and Learning)四個最基本的要素。在內部控制四要素下,COCO還設計了20條具體的內部控制標準來充實框架。內部控制標準是內部控制理論與實務的橋梁,既豐富了COCO內部控制框架的內容,也為內部控制實務使用COCO內部控制框架提供了具體指導。
4.全面評估、兼顧未來的內部控制評估方法。COCO的《評估控制指南》描述了形成一份評估報告的10個步驟,其評估的重點是關于目標的信息和相關風險的管理。COCO對內部控制的評估不僅僅是對過去的評價,更著眼于企業的未來。例如評估未來持續成功的機會和風險;審查與未來業績表現、機遇和風險相關的信息;評價需要特殊關注和監督的控制要素信息;以及戰略審查、項目批準和準備如何應付突發事件等。
5.重視發揮人的作用。COCO框架重視內部控制參與者,即人的作用。COCO框架中的四個要素目標、承諾、能力、監控和學習均與人緊密相關:企業員工在執行企業所指派的任務時,以對企業目標的理解為指南,并以其能力(包括所擁有的信息、資源、技能、工具等)作為支撐;員工的承諾是充分發揮能力和保持最優努力水平的保證;員工必須對其工作業績和外部環境進行監控以便及時采取適當的后續行動,并在調整過程中學會更好地完成工作。
(三)較為寬松的內部控制實施要求
2002年美國薩班斯法案出臺后,加拿大證監會(Canadian Securities Administrators,以下簡稱CSA)也著手研究制定加拿大上市公司實施內部控制的有關政策措施。2005年至2008年,CSA先后發布了公司治理指引(2005)、公司治理實踐的披露(2005)、年度報告的聲明(2008)等與內部控制有關的上市公司規則。其中“年度報告的聲明”類似于美國薩班斯法案第404條款,要求加拿大上市公司的首席執行官(CEO)和首席財務官(CFO)每季度評價財務報告相關內部控制和披露控制與程序的設計有效性,及每年度評價財務報告相關內部控制和披露控制與程序的運行有效性。相對于美國薩班斯法案的嚴厲實施要求,加拿大采取較為寬松的內部控制實施政策,即加拿大上市公司只需在年報中披露其與內部控制相關的信息,而不要求聘請注冊會計師對財務報告相關內部控制和披露控制與程序的有效性進行審計。
(四)近年來COCO內控框架逐漸走向衰退
加拿大證監會認可的、可供加拿大上市公司使用的內部控制框架共有三個:美國COSO內控框架、英國公司治理準則和加拿大COCO內控框架。盡管COCO內控框架具有簡潔易懂、實施成本低等優點,但是近年來其應用情況不容樂觀。目前,大多數加拿大上市公司采用美國COSO內控框架;少數上市公司采用英國公司治理準則;僅有十家左右的上市公司采用加拿大COCO內控框架。
正如加拿大COCO委員會前任主席Michael Gunns先生所言,由于美國COSO內控框架在全球內部控制領域的領先地位,加上COCO內控框架實踐指導性不強,且沒有強制內控審計的制度安排,加拿大COCO內控框架正逐漸走向衰退。
