1992年,由美国反舞弊性财务报告委员会(即Treadway委员会)提议成立的COSO 委员会对外公布了《内部控制──整体框架》(Internal Control:Integrated Framework,简称IC-IF),此后还在 1994年对其进行了增补,即所谓的COSO报告。我国国内也着重介绍该框架,并用以指导内部控制规范设计和内部控制实务。事实上,在很多内部控制文献中,已将加拿大的COCO内部控制框架与COSO框架相提并论为现代内部控制两大理论框架,越来越多的国家开始把COCO内部控制规范作为借鉴的对象。
从上个世纪中期开始,内部控制越来越受到重视。尤其是在1992年COSO委员会(Committee of Sponsoring Organizations of The Treadway Commission)出台了由控制环境、风险评估、控制活动、信息与沟通、监督等五要素构架的内部控制框架后,世界各国都不同程度地给予了公司内部控制以更多的关注。1992年加拿大特许会计师协会(CICA)成立了控制基准委员会(The Canadian Criteria of Control Board,简称COCO委员会),该委员会的使命是发布有关内部控制系统设计、评估和报告的指导性文件。经过两年的研究,COCO委会员于1995年10月正式发布了关于内部控制的框架性文件──《控制指南》(Guidance on Control )。在随后的几年中,COCO委员会又陆续发布了一系列指导性文件,为COCO内部控制框架的应用提供了具体详尽的操作规范。COCO内部控制框架在一定程度上借鉴了美国的COSO内部控制框架,同时也提出了有别于COSO内部控制框架的先进观点。COCO内部控制框架日益显示出了它的前瞻性和适用性,从而获得了越来越多的企业的青睐。
一、COCO内部控制框架的内容
加拿大COCO委员会的内部控制框架性文件──《控制指南》不仅仅是若干个控制要素的简单概括,相反该指南对内部控制的定义与作用、内部控制的要素、内部控制标准、内部控制的参与者皆进行了阐述。COCO委员会在其后陆续发布的一系列指导性文件中,又为COCO内部控制框架的应用提供了具体详尽的操作规范,这些文件共同形成了一个包含内部控制系统设计、评估和报告的完整的内部控制理论体系。
(一)内部控制定义
早在1976年,加拿大特许会计师协会就在《审计推荐草案》中指出:“内部控制由组织体制的设计和企业管理人员制定的所有协调制度组成,就其实用方面而论,是为取得确定的管理目标,促进企业的业务有秩序和有效率的进行,保证资产的安全、会计记录的可靠和及时地提供准确的财务资料”。COCO委员会作为加拿大特许会计师协会的下属机构,自然而然地继承了这个定义,并将其进行了扩展。它将“内部控制”的概念扩展到“控制”,定义为“是一个企业中的要素集合体,包括资源、系统、过程、文化、结构和任务等,这些要素结合在一起,支持达成该企业的目标”。此外,还从系统论的角度来研究与控制有关的企业外部环境,淡化企业内部与外部的界限。
(二)内部控制框架
在构成要素方面,COCO内部控制框架选取的四要素与COSO内部控制框架的五要素截然不同。它认为在任何一个企业中,控制均包括目的(Purpose)、承诺(Commitment)、能力(Capability)、监控和学习(Monitoring and Learning)等四个最基本的要素。其中目的是对企业发展方向的描述,它包括企业的战略目标、企业愿景、风险和机遇、经营方针、短期计划、业绩目标及其评价指标等;承诺是对企业特质的描述,它涉及到企业的文化观念、价值观、道德标准、人力资源政策、权力和责任的分配以及员工之间的相互信任等;能力是指企业相对于给定任务的胜任程度,它涉及到知识、技能和工具、信息及信息的传递、协调和控制活动;监控和学习则着眼于企业的发展,它包括对企业内、外部环境的考察、对经营业绩的考核、对相关假设的质疑、对信息需求与信息系统的重新评价、追踪调查及后续行动程序的建立以及对控制有效性的评估。
(三)内部控制标准
在COCO委员会提出的《控制指南》中,不仅提纲挈领地归纳出极具特色的四要素框架,同时还引入内部控制标准来充实框架。内部控制标准是内部控制理论与实务的桥梁,它既丰富了COCO内部控制框架的内容,也为内部控制实务使用COCO内部控制框架提供了导向。COCO内部控制标准一共有20条,按照框架的四要素归属划分为四个组:
1.目的
(1)企业应拟定与沟通各种目标。目标包括企业的使命、愿景、战略、经营计划、甚至是较低层次上的具体目标。目标的确立是确定必须达到的要求以及识别和权衡相关风险和机会的过程,它是一个连续的过程,有利于企业管理者、员工能够对他们的工作有更好的理解。COCO还在2000年4月发布的《董事指南──应对董事会的风险》中,指明战略计划审查是董事会的责任。
(2)企业应识别与评估组织在达成目标期间所面临重大性的内部与外部风险。企业应当基于发展变化的视角来考察企业所面对的重大内外部风险,并在适当的时候以适当的方式对变化作出反应。风险的识别和评估应当基于对内外部环境的了解,同时还要估计风险事件发生的概率和风险事件后果的严重性,以便采取适当的措施或策略应对风险。
(3)企业应制订、沟通与实施为支持组织目标达成与风险管理所设计的政策,使得成员了解组织对自身的期望以及他们能自主行动的范畴。这一标准充分体现了分权思想,每个管理人员和员工都应当在被赋予的权责利范围内进行工作,不得跨越自己的权限。
(4)企业应当制定相关的计划并向企业员工有效地传递关于这些计划的信息。计划包括在企业内部有效地配置各种物质资源和人力资源。
(5)目标和相关的计划应当包括可计量的业绩目标及其评价指标。为了便于准确评价目标和计划的执行状况,必须在制定该目标和计划时将其量化,或转化成相应的评价指标。
2.承诺
(1)企业应当确立包括诚信正直等在内的共同道德标准,同时要通过沟通让企业的所有成员理解并遵循这些道德标准。道德标准是企业文化的组成部分,也是维系良好内部环境的基础。
(2)企业的人力资源政策与实务应与组织道德价值观以及目标达成一致性。人力资源政策包括新员工招聘、员工晋升、员工离职、员工奖励政策都必须同企业的道德价值观保持一致。
(3)企业应清楚界定权力、职责与其应负责任并与组织目标一致,并能由适当的人完成决策。企业内的任何团体和个人必须拥有与其工作相应的职权和职责,并对工作的结果承担相应的责任。
(4)应当在企业内部培养一种相互信任的氛围,以促进企业员工之间的信息交流并使他们为达成企业目标而作出努力。
3.能力
(1)企业员工应当拥有必要的知识和技能以帮助企业实现其目标,或在特定情况下利用外部服务来满足企业需求。
(2)信息沟通过程应能支持组织的价值观并能促其达成企业目标。这一原则适用于企业内部传达命令、协商资源分配、协调行动、搜寻信息以及关于风险和机会的信息紧急传递等情况。
(3)企业应当充分、及时地识别并向企业员工传递相关的信息资讯,以便企业员工能够执行其职责。
(4)企业内部不同部门之间的决策和行动应当相互协调。不同部门的决策必须以企业整体目标为导向,尽量避免小团体主义的利益争夺。
(5)控制作业的设计应为组织不可分割的一部分,并考虑到组织目标、达成这些目标所面临的风险以及控制元素之间的关联性。其中控制活动是指为保证企业的运作按计划进行并且符合企业相关政策的要求而确立的例行程序。控制活动及其相关的政策和程序可以通过非正式的方式传达给企业员工,或者在工作手册中正式加以说明。
4.监督与学习
(1)企业应监督外部与内部环境以获得资讯,这些资讯可能发出需要重新评估组织目标或控制的信号。
(2)对企业的经营业绩进行监控并和企业战略计划中确定的业绩目标及相关的指标进行比较。再根据比较结果对企业的组织目标和相关指标进行修正。
(3)应该定期对确立企业目标所依赖的假设重新进行审视。
(4)当企业目标发生变化或发现内部控制缺陷时,应对企业的信息需求以及相关的信息系统实行重新评估。
(5)企业应当建立并切实执行追踪调查制度以确保发生的偏差得到纠止或已对偏差采取了适当的行动。
(6)管理层应当定期对内部控制的有效性进行评估,并把评估的结果反馈给对各项控制负责的人员。
(四)内部控制评估
COCO委员会在1999年发布了《评估控制指南》(Guidance on assessing Control),该指南描述了形成一份评估报告的10步程序,其中评估的重点是关于目标的信息和相关风险的管理。COCO对内部控制的评估更多着眼于企业未来,而不是对过去的评价。例如评估未来持续成功的机会和风险;审查与未来业绩表现、机遇和风险相关的信息;评价需要特殊关注和监督的控制要素信息;以及战略审查、项目批准和准备如何应付突发事件等。
(五)内部控制的参与者
与其他内部控制理论框架相比,COCO内部控制框架尤其重视内部控制参与者,即人的作用。COCO框架中的四个要素目的、承诺、能力、监控和学习均与人休戚有关。COCO委员会认为:企业员工在执行企业所指派的任务时,将以他对企业目的的理解为指南,并以其能力(包括所拥有的信息、资源、技能、工具等)作为支撑。员工的承诺或者说对企业的忠诚是员工在长时期内充分发挥自己能力和保持最优努力水平的保证。此外,员工必须对自身的工作业绩和外部环境进行监控以便及时采取适当的后续行动,并在调整自身行动以适应环境变化的过程中学会更好地完成工作。
二、COCO与COSO内部控制框架的比较
作为世界上两个最有影响力的内部控制框架,COCO与COSO报告存在明显的区别。COCO的内部控制框架并没有受COSO报告的束缚,而是具有其鲜明的特色,二者在以下方面存在着差异:(如图1所示)
三、COCO内部控制框架产生原因分析
由于美国职业会计团体在国际上的权威地位,各国职业会计师团体一直尾随其后,因此COSO报告诞生后,迅速被奉为经典,并成为被广泛借鉴的模式。鉴于加拿大特许会计师协会已经习惯于美国同行在制定会计准则、审计准则和会计职业规范等方面的领导地位,因此加拿大特许会计师协会(CICA)下属的COCO委员会发布了自己的内部控制框架确实出人意料,因为它在很多方面都与COSO报告的标准相背离,可以说二者有实质上的差异。笔者认为此举与以下原因有关:
1.定义因素
对内部控制的定义,加拿大特许会计师协会的见解与美国同行颇有出入。早在1976年,加拿大特许会计师协会就在《审计推荐草案》中阐述了对内部控制的观点,这是一种基于公司治理的内部控制观,而COSO虽然有所突破,但仍然是基于独立审计的内部控制观。若直接引用COSO报告,与其一贯的看法会产生冲突。
2.实务因素
随着内部控制概念的拓展和内部控制实务的复杂化,内部控制与管理活动之间的界限变得越来越模糊,内部控制逐渐往管理方向靠拢。COSO报告包含了太多的稽核专业术语,不易于管理人员理解和使用,因此,他们所需的COCO报告是一种更精简、更具动态,以及在措辞方面也更多使用管理术语的内部控制架构,以最大限度争取企业高层管理者的支持。
3.机构因素
COSO委员会的组织成员中,美国注册会计师协会是最大,也是最有影响力和知名度的,并且COSO报告的主要撰写人是普华永道会计师事务所,这使得COSO报告具有浓烈的会计审计色彩。在加拿大,现有加拿大注册会计师协会(CGA)、加拿大特许会计师协会(CICA)及加拿大注册管理会计师协会(CMA)等三个组织,管理会计人员占有重要的一席之地。加拿大的审计人员可以是拥有加拿大特许会计师、注册会计师、注册管理师等任一资格的人,因此企业过程管理控制就成了必不可少的要素。
四、COCO对我国内部控制的启示
鉴于美国会计职业团体的权威性,我国的内部控制主要借鉴COSO内部控制框架。财政部于2007年3月2日颁布的1项内部控制基本规范和17项具体控制规范的征求意见稿也是参照COSO报告的蓝本设计的。然而,必须看到COSO内部控制框架也存在自身问题,在进行内部控制设计时,要拓宽思路,博采众家之长,特别是COCO作为另外一份具有国际影响力的内部控制文献,值得我们学习。COCO内部控制框架带给我们的启示有:
1.拓宽思路,跳出“财务”限定。在我国,内部控制一直作为财务管理、会计、审计等方向的研究领域,其研究和从业人员多是财务出身,这导致不管是实务还是理论,内部控制都打上了“财务”的印记。2006年7月15日,由财政部牵头,国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,可以看出这些发起单位都侧重财务控制。事实上,财务控制只是内部控制的一个重要组成部分,并不能完全与内部控制划等号。COCO内部控制框架基于公司治理的内部控制观有利于从更加广阔的视角来看内部控制,并使得内部控制更加高效。
2.重视员工,完善沟通渠道。员工既是被控制的对象,同时又是内部控制的执行者。在COCO内部控制框架中,从目的要素到承诺要素、从能力要素到监督和学习要素,都对企业员工给予了充分的重视。在制定了目标之后,要通过畅通的信息渠道传达给员工,并让其真正理解内部控制,这点正是我国企业欠缺的。
3.量化评估,及时回馈修正。企业管理者在设计内部控制时,通常会对可能存在风险的环节进行定性分析,能够进行定量或是概率分析的很少。很多企业对于控制点一视同仁,部分企业即使对不同控制点赋以不同权重,但是往往都是考拍脑袋得到的,缺少论证过程。COCO内部控制框架集内部控制系统设计、评估和报告于一体,它强调对目标和评价指标的量化控制,便于对执行差异情况及时进行修正,并实现内部控制的自我学习和完善功能。
4.立足实际,摆脱盲目随从。在国际趋同越演越烈的今天,向最权威的COSO报告靠拢看似我国内部控制发展的必由之路。然而,COCO报告的提出否定了这一切。各个国家、民族的历史、文化、政治、经济的特殊性,必然导致内部控制的手段、标准有所不同。加拿大在会计审计准则、会计职业规范以及经济关系上对美国的依赖度更甚于我国,却能够根据实际情况发布适合于自身的内部控制框架,这对我国内部控制摆脱国际的盲目随从是一种鼓励。
蔡文忠 厦门大学管理学院会计系
林海兰 福州大学管理学院会计系
|
