还剩6页未读,继续阅读
文本内容:
内部控制——整合框架►内容摘要[简体中文版本由中国企业内部控制标准委员会(财政部会计司)__翻译](简体中文版本翻译者中国东北财经大学方红星教授)Treadway委员会发起__委员会(COSO)Treadway委员会发起__委员会(COSO)监督代表美国注册会计师协会(AICPA)RobertL.__y,__美国会计学会(AAA)AlvinA.Arens内部审计师协会(IIA)WilliamG.BishopIII管理会计师协会(I__)Tho__sM.O’Toole财务经理协会(FEI)P.Nor__nRoyCOSO项目__委员会指导GaylenN.Larsen,__集团副总裁,首席会计官家居国际(HouseholdInternational)集团C.PerryColwell高级副总裁—财务管理ATT(已退休)JohnH.Stewart助理司库IBM公司AndrewD.Bailey会计系教授亚利桑纳大学商务与公共管理学院WilliamJ.Ihlanfeldt助理主计长壳牌石油(ShellOil)公司HowardL.Siers,顾问总审计师杜邦(E.I.DuPontdeNemours)公司(已退休)RogerN.Carolus高级副总裁国民银行(Nation__ank)(已退休)D__idL.Landsittel管理董事—审计安达信(ArthurAndersen)公司永道(CoopersLybrand)作者主要撰稿人Vin__ntM.O’Reilly副__,会计与审计R.__lcolmSchwartz主管,纽约分所RichardM.Steinberg合伙人,国内分所FrankJ.Tanki主任,会计与SEC技术服务RobertJ.Spear合伙人,波士顿分所内容摘要高级执行官们__以来一直在探寻更好地控制他们所经营的企业的方法内部控制正是用来促使公司向着盈利目标和实现自身使命迈进,并减少这一进程中出现的意外情况它们使管理层能够应对急剧变革的经济和竞争环境、不断变化的客户需求和偏好,以及为未来增长而进行的重组内部控制能提高效率,降低资产损失的风险,并且有助于确保财务报表的可靠性以及对法律和法规的遵循因为内部控制为多个重要目的服务,所以对更好的内部控制体系及其报告的呼声日益高涨内部控制越来越被看作是一系列潜在问题的解决方案内部控制是什么对于不同的人而言,内部控制有着不同的含义这样就会在商界人士、立法者、监管者和其他人士之间引起混淆由此而引起的错误沟通和不同的期望,会在企业内部引发问题如果这个术语还没有清楚地界定就被写进法律、法规或规则之中,问题就更加复杂化了本报告针对的是管理层和其他人士的需要和期望它对内部控制进行定义和描述,以便•确立一个满足不同方面需要的共同的定义•提供一个标准,使企业和其他主体——无论是大还是小,属于公共部门还是私人部门,是营利性的还是非营利性的——能够据以对它们的内部控制体系进行评估,并确定如何进行改进内部控制被宽泛地定义为一个由主体的董事会、管理层和其他人员实施的、旨在为实现以下各类目标提供合理保证的过程•经营的有效性和效率;•财务报告的可靠性;•符合适用的法律和法规第一类针对主体的基本经营目标,包括业绩、盈利目标和对资源的保护第二类与编制可靠的公开财务报表(publishedfinancialstatements)有关,包括中期和简要财务报表,以及从盈余披露等公__布的报表中摘引的选定财务数据第三类涉及遵循主体适用的那些法律和法规这些相互区别而又彼此交叉的类别,针对不同的需求,并且使我们能够定向地专注于满足各种不同的需求内部控制体系运行的有效性程度各不相同如果董事会和管理层能够就以__面取得合理保证,那么可以分别从这三类目标中每一类的角度上判定内部控制有效•他们知道主体的经营目标得以实现的程度;•公开财务报表的编制是可靠的;•符合适用的法律和法规尽管内部控制是一个过程,它的有效性却是这个过程在一个或多个时点上的状态或情形内部控制包括五个相互关联的构成要素它们源自管理层经营企业的方式,并与管理过程融为一体尽管这些构成要素适用于所有的主体,但是它们在中小型公司的实施可能与大型公司有所不同尽管小型公司也会拥有有效的内部控制,但是它的内部控制可能不太正式、不太健全这些构成要素是·控制环境(controlenviro__ent)——控制环境设定了一个__的基调,影响其员工的控制意识它是内部控制的其他所有构成要素的基础,为其提供了秩序和结构控制环境的要素包括主体员工的诚信、道德价值观和胜任能力;管理层的理念和经营风格;管理层分配权力和责任、__和__其员工的方式;以及董事会给予的__和指导·风险评估(riskasses__ent)——每个主体都面临来自外部和内部的必须加以评估的多种风险风险评估的前提是确立在不同层次上的相互衔接、内在一致的目标风险评估就是识别和分析与实现目标相关的风险,从而为确定应该如何管理风险奠定基础由于经济、行业、监管和经营条件将会持续变化,因此需要有识别和应对与这些变化有关的特殊风险的机制·控制活动(controlactivities)——控制活动是指那些有助于保证管理层的指令得到贯彻执行的政策和程序它们有助于确保采取必要的措施来处置实现主体目标的风险控制活动发生在整个__之中,遍及所有的层级和所有的职能它们包括诸如审批、授权、验证、调节、经营业绩评价、资产保护和职责分离等一系列活动·信息与沟通(infor__tionandcommunication)——必须以适当的方式在一定的时间范围内识别、获取和沟通有关的信息,以便员工能够履行其责任信息系统生成包含经营、财务以及与合规有关的信息的报告,从而使经营和控制企业成为可能它们不仅处理内部生成的信息,还处理与知情的经营决策和对外报告所需的外部事项、行为和情形有关的信息有效的沟通还必须是广义的,即信息必须在__内自上而下、平行以及自下而上地传递所有员工都必须从最高管理层(top__nagement)那里获得控制责任必须严格履行的明确信息他们必须了解他们自己在内部控制体系中的作用,以及个人的活动与其他人的工作之间的关联他们应该有向上传递重要信息的途径此外,与外部各方,例如客户、供应商、监管者以及股东之间也需要有效的沟通·监控(monitoring)——需要对内部控制体系进行监控——一个不断对内部控制体系的运行质量进行评估的过程它可以通过持续监控活动、个别评价或两者的结合来实现持续监控发生在经营过程中它包括日常的管理和监控活动,以及员工在履行其职责过程中所采取的其他行动个别评价的范围和频率主要取决于对风险的评估和持续监控程序的有效性对于内部控制的缺陷,应该自下而上进行汇报,性质严重的应该向最高管理层和董事会报告这些构成要素之间存在着协同和__,从而形成一个整合的体系,针对变化的环境作出动态的反应内部控制体系与主体的经营活动紧密相连,并基于最根本的商业理由而存在当控制被嵌入主体的构架之中并成为企业本体(essen__)的一部分时,内部控制最为有效“嵌入式”(built-in)的控制支撑质量和授权行为,避免不必要的成本,并能够对环境的变化迅速作出反应三类目标与构成要素之间有着直接的关系,目标是主体努力争取实现的东西,而构成要素则代表着要实现这些目标需要什么所有的构成要素都与每一类目标有关在考察任何一类目标——比方说经营的有效性和效率——时,要想得出“针对经营的内部控制是有效的”的结论,所有五个构成要素都必须存在并有效运行内部控制的定义——一个过程,由人来实施,提供合理保证等基本概念——与目标的分类、构成要素和有效性的评价标准以及相关的讨论一起,构成了这份内部控制框架内部控制能做什么内部控制可以帮助主体实现其业绩和盈利目标,防止资源的损失它可以帮助保证财务报告的可靠性而且它有助于确保企业符合适用的法律和法规,避免对其声誉的损害以及其他后果总之,它可以帮助主体到达它想去的地方,并避开途中的隐患和意外内部控制不能做什么不幸的是,一些人有着过高的、不切实际的预期他们期待绝对的情形,相信•内部控制能够确保一个主体的成功——也就是说,它将保证基本经营目标的实现,或者至少能保证生存即使有效的内部控制,也仅仅只能帮助主体实现这些目标它可以向管理层提供有关主体在实现其目标方面取得的进展或者缺乏进展的信息但是内部控制不能把一个内在素质差的经理变成一个好的经理此外,__政策或计划、竞争者的行动或经济条件的变化,可能会超出管理层的控制范围内部控制不能确保成功,甚至连生存也不能保证•内部控制可以确保财务报告的可靠性以及遵循法律和法规这种认识也是没有保障的内部控制体系无论设计和运行得多么好,都只能就主体目标的实现向管理层和董事会提供合理——而非绝对——的保证目标实现的可能性受到所有内部控制体系都存在的固有局限的影响它们包括以下事实决策中的判断可能是错误的,可能会由于简单的误差或错误而发生故障此外,控制可能会由于两个或更多人的串通以及管理层拥有凌驾于内部控制体系之上的能力而被规避另一个限制因素是内部控制体系的设计必须反映以下事实,即存在资源上的约束,必须对照控制的成本来考虑控制的收益因此,尽管内部控制可以帮助一个主体实现其目标,但它并不是万应灵丹职能与责任__中的每个人都对内部控制负有责任·管理层——首席执行官负有最终的责任,因此应该承担内部控制体系的“所有权”与其他任何人不一样,首席执行官确定了“最高层的基调”(toneatthetop),它影响着诚信和道德,以及一个积极的控制环境的其他要素在大公司中,首席执行官通过向高级管理人员提供__和指导,以及评价他们控制经营的方式,来履行其责任高级管理人员则把建立更为具体的内部控制政策和程序的责任分配给负责该单元各项职能的人员在规模较小的主体中,首席执行官通常是所有者兼经理,其影响力一般会更加直接无论如何,对于相应层次的责任而言,每位管理人员实际就是他或她所承担的那部分责任的首席执行官特别重要的是首席财务官及其下属,他们的控制活动平行和向上、向下贯穿于企业的经营活动和各个单元·董事会——管理层向董事会负责,董事会提供治理、指导和监督有效的董事会成员应该客观、有能力,并富有质疑精神他们还应该了解主体的活动和环境,并投入必要的时间来履行他们的董事职责管理层有可能处于凌驾于内部控制之上的地位,忽视或压制来自下属的沟通,从而使故意错报结果的不诚实的管理层能够掩盖其行径一个强大、积极的董事会,尤其是与有效的向上沟通渠道和有能力的财务、法律和内部审计职能相结合时,通常能够最好地发现和矫正这类问题·内部审计师——内部审计师在评价控制体系的有效性方面起着重要的作用,并致力于持续的有效性由于在主体中的__地位和权威性,内部审计职能通常起着重要的监控作用·其他人员——从某种程度上说,内部控制是__中每个人的责任,因此它应该成为每个人岗位描述中明确或隐含的一部分几乎所有员工都会产生内部控制体系中所使用的信息,或者采取必要的行动来实施控制此外,所有人员都有责任向上沟通经营方面的问题、违___守则的行为,以及违反政策或违法的行为许多外部方面通常也会为主体目标的实现作出贡献外部审计师带来__和客观的观点,通过财务报表审计直接作出贡献,并且通过提供有助于管理层和董事会履行其职责的信息间接作出贡献向主体提供对实施内部控制有用的信息的其他方面包括立法者和监管者、客户和其他与企业进行交易的方面、财务分析师、债券评级机构和新闻媒体但是,外部各方并不对主体的内部控制体系承担责任,也不是公司内部控制体系中的一部分本报告的结构本报告共分四卷
[1]第一卷是这个“内容摘要”,它是一份针对首席执行管和其他高级执行官、董事会成员、立法者和监管者的对内部控制框架的高度概括第二卷“框架”,对内部控制进行了定义,阐述其构成要素,并提供了管理层、董事会或其他人员据以评估其控制体系的标准第三卷“向外部各方报告”,是一个补充文件,为那些已经或准备公开报告其针对公开财务报表的编制的内部控制的主体提供指南第四卷“评价工具”,提供了对内部控制体系进行评估时可能有用的资料需要做什么作为本报告的结果,可能采取的行动取决于相关各方的地位和职责·高级管理层——对本项研究作出贡献的大多数高级执行官相信他们基本上“控制”着他们的__然而,许多人指出在他们公司的某些领域——某个分部、某个部门或贯穿于不同活动的某个控制的构成要素——内部控制还处于发展的早期阶段,或者需要进一步加强他们并不希望出现意外本项研究建议首席执行官开展对控制体系的自我评估运用这个框架,首席执行官,与主要的运营和财务执行官一起,就能够将注意力集中在需要的领域一种方法是首席执行官将各业务单元的__和关键职能的员工召集在一起,讨论对内部控制的初步评估可以向这些人员提供指示,以便与其___讨论本报告中的概念,监控在其责任范围内的初步评估过程,并反馈所发现的问题另一种方法则可能涉及对公司和业务单元的政策和内部审计程序进行一次初步审核不管采取何种形式,初步的自我评估应该确定是否有必要以及如何进行更广泛、更深入的评价它还应该确保持续监控过程到位评价内部控制所花费的时间意味着一种投资,而且是一种具有高回报的投资·董事会成员——董事会成员应该与最高管理层讨论主体内部控制体系的状况,并在必要时提供监督他们应该争取内部审计师和外部审计师的参与·其他人员——经理和其他人员应该考虑根据本框架如何履行其承担的控制责任,并与更高层级的人员讨论加强控制的看法内部审计师应该考虑其__内部控制体系的广度,并可能希望将其评估材料与评价工具进行对比·立法者和监管者——制定或执行法律的__官员认识到,几乎所有的问题都可能会存在误解和不同的期望对内部控制的期望在两个方面存在很大差距首先,在控制体系能实现什么方面存在差距如前所述,一些人认为内部控制体系可以(或应该)防止经济损失,或者至少能防止公司破产其次,即使在对内部控制体系能够做什么和不能做什么,以及对“合理保证”概念的有效性存在一致看法的情况下,对于该概念的具体含义和应用方式,依然可能存在不同的观点公司的执行官们已经表示了对监管者如何理解那些在一次假定的控制失效发生之后、事后诸葛般地断言“合理保证”的公开报告的__在针对管理层内部控制报告的立法和监管__之前,应该就共同的内部控制框架、包括内部控制的局限形成共识本框架应该有助于达成这种共识·专业机构——为财务管理、审计及相关方面提供指南的规则制定机构和其他专业机构,应该根据本框架考虑它们的准则和指南概念和术语方面的差异一旦消除,所有各方都会受益·教育机构——本框架应成为学术研究和分析的课题,以便探讨未来在哪些方面还能作进一步的改进假设本报告能够被接受作为理解的共同基础,报告中的概念和术语应该设法进入大学的课程之中我们相信这份报告带来了诸多好处有了这个相互理解的基础,所有各方将能够使用共同的语言,更加有效地进行沟通企业的执行官将能够对照一套标准去评估控制体系,完善该体系,从而使他们的企业朝着既定的目标迈进将来的研究可以建立在既有的基础之上立法者和监管者将能够更深刻地理解内部控制及其好处和局限如果所有各方都利用共同的内部控制框架,这些好处都将实现-1-^11992年9月发布的COSO报告是一个四卷本“向外部各方报告”补遗于1994年5月出版在这个1994年的版本中,前面三卷和补遗部分合并在一起,作为第一卷出版;“评价工具”则作为第二卷。