内部控制整合框架(COSO中译本)

内部控制整合框架? 内容摘要 简体中文版本由中国企业内部控制标准委员会（财政部会计司）组织翻译（简体中文版本翻译者：中国东北财经大学方红星教授）Treadway 委员会发起组织委员会（ COSO）- 1 -Treadway委员会发起组织委员会（COSO）美国注册会计师协会（AICPA ）代 表Robert L. May，主席- # - # -美国会计学会（AAA）Alvin A. Arens内部审计师协会（IIA）管理会计师协会（IMA）财务经理协会（FEI）William G. Bishop, IIIThomas M. O TooleP. Norman RoyCOSO项目咨询委员会指导Gaylen N. Larsen，主席C. Perry ColwellJoh n H. Stewart集团副总裁，首席会计官高级副总裁一财务管理助理司库家居国际 （HouseholdAT&T （已退休）IBM公司International )集团An drew D. BaileyWilliam J. Ihla nfeldtHoward L. Siers，顾问会计系教授助理主计长总审计师亚利桑纳大学商务与公共管壳牌石油（Shell Oil ）公司杜邦(E. I. Du Pont de理学院Nemours）公司（已退休）Roger N. CarolusDavid L. Lan dsittel高级副总裁管理董事一审计国民银行（NationsBank）（已安达信(Arthur Andersen )公退休）司永道(Coopers & Lybrand)作者主要撰稿人Vincent M. O ReillyR. Malcolm SchwartzRichard M. Stein berg副主席，会计与审计主管，纽约分所合伙人，国内分所Frank J. TankiRobert J. Spear主任，会计与SEC技术服务合伙人，波士顿分所内容摘要高级执行官们长期以来一直在探寻更好地控制他们所经营的企业的方法。内部控制正 是用来促使公司向着盈利目标和实现自身使命迈进，并减少这一进程中出现的意外情况。 它们使管理层能够应对急剧变革的经济和竞争环境、不断变化的客户需求和偏好，以及为 未来增长而进行的重组。内部控制能提高效率，降低资产损失的风险，并且有助于确保财 务报表的可靠性以及对法律和法规的遵循。因为内部控制为多个重要目的服务，所以对更好的内部控制体系及其报告的呼声日益 高涨。内部控制越来越被看作是一系列潜在问题的解决方案。内部控制是什么对于不同的人而言，内部控制有着不同的含义。这样就会在商界人士、立法者、监管 者和其他人士之间引起混淆。由此而引起的错误沟通和不同的期望，会在企业内部引发问 题。如果这个术语还没有清楚地界定就被写进法律、法规或规则之中，问题就更加复杂化 了。本报告针对的是管理层和其他人士的需要和期望。它对内部控制进行定义和描述，以便：? 确立一个满足不同方面需要的共同的定义。? 提供一个标准，使企业和其他主体无论是大还是小，属于公共部门还是私人部 门，是营利性的还是非营利性的能够据以对它们的内部控制体系进行评估，并确定如 何进行改进。内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实 现以下各类目标提供合理保证的过程：? 经营的有效性和效率；? 财务报告的可靠性；? 符合适用的法律和法规。第一类针对主体的基本经营目标，包括业绩、盈利目标和对资源的保护。第二类与编 制可靠的公开财务报表( published financial statements )有关，包括中期和简要财务报表， 以及从盈余披露等公开发布的报表中摘引的选定财务数据。第三类涉及遵循主体适用的那 - 3 -些法律和法规。这些相互区别而又彼此交叉的类别，针对不同的需求，并且使我们能够定 向地专注于满足各种不同的需求。内部控制体系运行的有效性程度各不相同。如果董事会和管理层能够就以下方面取得 合理保证，那么可以分别从这三类目标中每一类的角度上判定内部控制有效：? 他们知道主体的经营目标得以实现的程度；? 公开财务报表的编制是可靠的；? 符合适用的法律和法规。尽管内部控制是一个过程， 它的有效性却是这个过程在一个或多个时点上的状态或 情形。内部控制包括五个相互关联的构成要素。它们源自管理层经营企业的方式，并与管理 过程融为一体。尽管这些构成要素适用于所有的主体，但是它们在中小型公司的实施可能 与大型公司有所不同。尽管小型公司也会拥有有效的内部控制，但是它的内部控制可能不 太正式、不太健全。这些构成要素是：控制环境(control environment )控制环境设定了一个组织的基调，影响其员工的控制意识。它是内部控制的其他所有构成要素的基础，为其提供了秩序和结构。控制环 境的要素包括：主体员工的诚信、道德价值观和胜任能力；管理层的理念和经营风格；管 理层分配权力和责任、组织和开发其员工的方式；以及董事会给予的关注和指导。风险评估(risk assessment)每个主体都面临来自外部和内部的必须加以评估的多种风险。风险评估的前提是确立在不同层次上的相互衔接、内在一致的目标。风险评 估就是识别和分析与实现目标相关的风险，从而为确定应该如何管理风险奠定基础。由 于经济、行业、监管和经营条件将会持续变化，因此需要有识别和应对与这些变化有关 的特殊风险的机制。 控制活动 ( control activities ) 控制活动是指那些有助于保证管理层的指令得到 贯彻执行的政策和程序。它们有助于确保采取必要的措施来处置实现主体目标的风险。控 制活动发生在整个组织之中，遍及所有的层级和所有的职能。它们包括诸如审批、授权、 验证、调节、经营业绩评价、资产保护和职责分离等一系列活动。 信息与沟通 ( information and communication ) 必须以适当的方式在一定的时间 范围内识别、 获取和沟通有关的信息， 以便员工能够履行其责任。 信息系统生成包含经营、 财务以及与合规有关的信息的报告，从而使经营和控制企业成为可能。它们不仅处理内部 生成的信息，还处理与知情的经营决策和对外报告所需的外部事项、行为和情形有关的信 息。有效的沟通还必须是广义的，即信息必须在组织内自上而下、平行以及自下而上地传递。所有员工都必须从最高管理层(top management)那里获得控制责任必须严格履行的明确信息。他们必须了解他们自己在内部控制体系中的作用，以及个人的活动与其他人的 工作之间的关联。他们应该有向上传递重要信息的途径。此外，与外部各方，例如客户、 供应商、监管者以及股东之间也需要有效的沟通。监控(monitoring ) 需要对内部控制体系进行监控 一个不断对内部控制体系 的运行质量进行评估的过程。它可以通过持续监控活动、个别评价或两者的结合来实现。 持续监控发生在经营过程中。它包括日常的管理和监控活动，以及员工在履行其职责过程 中所采取的其他行动。个别评价的范围和频率主要取决于对风险的评估和持续监控程序的 有效性。对于内部控制的缺陷，应该自下而上进行汇报，性质严重的应该向最高管理层和 董事会报告。这些构成要素之间存在着协同和联系，从而形成一个整合的体系，针对变化的环境作 出动态的反应。内部控制体系与主体的经营活动紧密相连，并基于最根本的商业理由而存 在。 当控制被嵌入主体的构架之中并成为企业本体( essence )的一部分时，内部控制最为 有效。“嵌入式”( built-in )的控制支撑质量和授权行为，避免不必要的成本，并能够对 环境的变化迅速作出反应。三类目标与构成要素之间有着直接的关系，目标是主体努力争取实现的东西，而构成 要素则代表着要实现这些目标需要什么。所有的构成要素都与每一类目标有关。在考察任 何一类目标比方说经营的有效性和效率时，要想得出“针对经营的内部控制是有 效的”的结论，所有五个构成要素都必须存在并有效运行。内部控制的定义一个过程，由人来实施，提供合理保证等基本概念与目标的 分类、构成要素和有效性的评价标准以及相关的讨论一起，构成了这份内部控制框架。 内部控制能做什么内部控制可以帮助主体实现其业绩和盈利目标，防止资源的损失。它可以帮助保证财 务报告的可靠性。而且它有助于确保企业符合适用的法律和法规，避免对其声誉的损害以 及其他后果。总之，它可以帮助主体到达它想去的地方，并避开途中的隐患和意外。 内部控制不能做什么不幸的是，一些人有着过高的、不切实际的预期。他们期待绝对的情形，相信：? 内部控制能够确保一个主体的成功也就是说，它将保证基本经营目标的实现， 或者至少能保证生存。即使有效的内部控制，也仅仅只能 帮助 主体实现这些目标。它可以向管理层提供有关 主体在实现其目标方面取得的进展或者缺乏进展的信息。但是内部控制不能把一个内在素 质差的经理变成一个好的经理。 此外， 政府政策或计划、 竞争者的行动或经济条件的变化， 可能会超出管理层的控制范围。内部控制不能确保成功，甚至连生存也不能保证。? 内部控制可以确保财务报告的可靠性以及遵循法律和法规。 这种认识也是没有保障的。内部控制体系无论设计和运行得多么好，都只能就主体目 标的实现向管理层和董事会提供合理而非绝对的保证。目标实现的可能性受到所 有内部控制体系都存在的固有局限的影响。它们包括以下事实：决策中的判断可能是错误 的，可能会由于简单的误差或错误而发生故障。此外，控制可能会由于两个或更多人的串 通以及管理层拥有凌驾于内部控制体系之上的能力而被规避。另一个限制因素是内部控制 体系的设计必须反映以下事实，即存在资源上的约束，必须对照控制的成本来考虑控制的 收益。因此，尽管内部控制可以帮助一个主体实现其目标，但它并不是万应灵丹。职能与责任组织中的每个人都对内部控制负有责任。管理层一一首席执行官负有最终的责任，因此应该承担内部控制体系的“所有 权”。与其他任何人不一样，首席执行官确定了“最高层的基调”(tone at the top )，它影响着诚信和道德，以及一个积极的控制环境的其他要素。在大公司中，首席执行官通过向 高级管理人员提供领导和指导，以及评价他们控制经营的方式，来履行其责任。高级管理 人员则把建立更为具体的内部控制政策和程序的责任分配给负责该单元各项职能的人员。 在规模较小的主体中，首席执行官通常是所有者兼经理，其影响力一般会更加直接。无论 如何，对于相应层次的责任而言，每位管理人员实际就是他或她所承担的那部分责任的首 席执行官。特别重要的是首席财务官及其下属，他们的控制活动平行和向上、向下贯穿于 企业的经营活动和各个单元。 董事会 管理层向董事会负责，董事会提供治理、指导和监督。有效的董事会成 员应该客观、有能力，并富有质疑精神。他们还应该了解主体的活动和环境，并投入必要 的时间来履行他们的董事职责。管理层有可能处于凌驾于内部控制之上的地位，忽视或压 制来自下属的沟通，从而使故意错报结果的不诚实的管理层能够掩盖其行径。一个强大、 积极的董事会，尤其是与有效的向上沟通渠道和有能力的财务、法律和内部审计职能相结 合时，通常能够最好地发现和矫正这类问题。- 5 -内部审计师 一一内部审计师在评价控制体系的有效性方面起着重要的作用，并致力于持续的有效性。由于在主体中的组织地位和权威性，内部审计职能通常起着重要的监控 作用。其他人员一一从某种程度上说，内部控制是组织中每个人的责任，因此它应该成为每个人岗位描述中明确或隐含的一部分。几乎所有员工都会产生内部控制体系中所使用的 信息，或者采取必要的行动来实施控制。此外，所有人员都有责任向上沟通经营方面的问 题、违反行为守则的行为，以及违反政策或违法的行为。许多外部方面通常也会为主体目标的实现作出贡献。外部审计师带来独立和客观的观点，通过财务报表审计直接作出贡献，并且通过提供有助于管理层和董事会履行其职责的 信息间接作出贡献。向主体提供对实施内部控制有用的信息的其他方面包括立法者和监管 者、客户和其他与企业进行交易的方面、财务分析师、债券评级机构和新闻媒体。但是， 外部各方并不对主体的内部控制体系承担责任，也不是公司内部控制体系中的一部分。本报告的结构本报告共分四卷 。第一卷是这个 “内容摘要”，它是一份针对首席执行管和其他高级执行官、董事会成员、立法者和监管者的对内部控制框架的高度概括。第二卷“框架”，对内部控制进行了定义，阐述其构成要素，并提供了管理层、董事会或其他人员据以评估其控制体系的标准。第三卷“向外部各方报告”，是一个补充文件，为那些已经或准备公开报告其针对公开财务报表的编制的内部控制的主体提供指南。第四卷“评价工具”，提供了对内部控制体系进行评估时可能有用的资料。需要做什么作为本报告的结果，可能采取的行动取决于相关各方的地位和职责：高级管理层 一一对本项研究作出贡献的大多数高级执行官相信他们基本上“控制”着他们的组织。然而，许多人指出在他们公司的某些领域一一某个分部、某个部门或 贯穿于不同活动的某个控制的构成要素一一内部控制还处于发展的早期阶段，或者需要进 一步加强。他们并不希望出现意外。本项研究建议首席执行官开展对控制体系的自我评估。运用这个框架，首席执行官，与主要的运营和财务执行官一起，就能够将注意力集中在需 要的领域。一种方法是：首席执行官将各业务单元的领导和关键职能的员工召集在一起，1992年9月发布的COSO报告是一个四卷本。“向外部各方报告”补遗于1994年5月出版。在这个1994 年的版本中，前面三卷和补遗部分合并在一起，作为第一卷岀版；“评价工具”则作为第二卷。 讨论对内部控制的初步评估。可以向这些人员提供指示，以便与其领导人讨论本报告中的 概念，监控在其责任范围内的初步评估过程，并反馈所发现的问题。另一种方法则可能涉 及对公司和业务单元的政策和内部审计程序进行一次初步审核。不管采取何种形式，初步 的自我评估应该确定是否有必要以及如何进行更广泛、更深入的评价。它还应该确保持续 监控过程到位。评价内部控制所花费的时间意味着一种投资，而且是一种具有高回报的投 资。董事会成员一一董事会成员应该与最高管理层讨论主体内部控制体系的状况，并在 必要时提供监督。他们应该争取内部审计师和外部审计师的参与。 其他人员 经理和其他人员应该考虑根据本框架如何履行其承担的控制责任，并 与更高层级的人员讨论加强控制的看法。 内部审计师应该考虑其关注内部控制体系的广度， 并可能希望将其评估材料与评价工具进行对比。 立法者和监管者 制定或执行法律的政府官员认识到，几乎所有的问题都可能会 存在误解和不同的期望。对内部控制的期望在两个方面存在很大差距。首先，在控制体系 能实现什么方面存在差距。如前所述，一些人认为内部控制体系可以（或应该）防止经济 损失， 或者至少能防止公司破产。 其次， 即使在对内部控制体系能够做什么和不能做什么， 以及对“合理保证”概念的有效性存在一致看法的情况下，对于该概念的具体含义和应用 方式，依然可能存在不同的观点。公司的执行官们已经表示了对监管者如何理解那些在一 次假定的控制失效发生之后、事后诸葛般地断言“合理保证”的公开报告的关注。在针对 管理层内部控制报告的立法和监管出台之前，应该就共同的内部控制框架、包括内部控制 的局限形成共识。本框架应该有助于达成这种共识。 专业机构 为财务管理、审计及相关方面提供指南的规则制定机构和其他专业机 构，应该根据本框架考虑它们的准则和指南。概念和术语方面的差异一旦消除，所有各方 都会受益。 教育机构 本框架应成为学术研究和分析的课题，以便探讨未来在哪些方面还能 作进一步的改进。假设本报告能够被接受作为理解的共同基础，报告中的概念和术语应该 设法进入大学的课程之中。我们相信这份报告带来了诸多好处。有了这个相互理解的基础，所有各方将能够使用 共同的语言，更加有效地进行沟通。企业的执行官将能够对照一套标准去评估控制体系， 完善该体系，从而使他们的企业朝着既定的目标迈进。将来的研究可以建立在既有的基础 之上。立法者和监管者将能够更深刻地理解内部控制及其好处和局限。如果所有各方都利 用共同的内部控制框架，这些好处都将实现。-7 -