新闻动态
NEWS

一本被中国企业忽略的内控经典,新版COSO内部控制整合框架


我们本周开始给大家详细讲解COSO在2013年发布的更新版《内部控制——整合框架》,上一版本在1992年推出之后,时隔20年,COSO**次对其内控框架更新。


这本书的中文版自上市后并没有引起中国企业很大的关注,因为我们中国财政部联合五部委在2008年发布了中国版的内控文件——《内部控制基本规范》,随后又在2010年发布了18项配套的应用指引,用以帮助中国企业建立内部控制体系。


2013年,正值中国上市公司在如火如荼的推行中国版“萨班斯”内控文件,财政部和国资委又联合下发了《关于加快构建中央企业内部控制体系有关事项的通知》,我们的关注重点,都是在落实我们中国自己发布的这套体系上。


当COSO公布了新版内控框架后,有一些专家在考虑,中国的内控基本规范也发布5年多了,当时是参考了COSO 1992年的内控框架起草的,那么COSO进行了更新之后,我们是不是也要进行更新?按照我们财政部的解释是:


新的COSO内控框架与我国内控规范体系在整体架构、基本原则、主要内容、实施要求等方面趋于一致,说明了我国企业内控规范体系的创新和前瞻意识。


所以,我们并没有对中国的内控文件进行更新,但是,我们自己的框架虽然借鉴了COSO的五要素框架,但是在内控体系的出发点和具体的应用方面还是有很大的不同,这个之前在内部控制的前世今生一文中有解释,在此不再赘述。


虽然种种原因导致我们对新版的内控框架没有过多的关注,甚至由于2013年内控框架这本中文译本印刷量过小,曾有一段时间在各大渠道和书店竟然难觅踪影,二手书一度炒到了800元以上。


但是,这本书的价值确是极高的,毕竟是经历了20多年反复实践又提升完善的经典之作,特别对于让中国企业理解什么是内控框架以及如何实施内控框架达到控制目标而言,它提供了中国企业目前通过实施中国内控框架还没有认识到的内控视角,有强大的互补性。


我们可以从篇幅上做一下简单比较,仅就内部控制整体框架部分的内容而言,COSO内部控制整合框架的内容至少是中国企业内部控制基本规范的20倍以上。


一、COSO更新内控框架的原因


按照COSO的说法,更新框架的决定是因为过去这二十多年来商业大环境已经出现了翻天覆地的变化。


例如:


这期间包括了2000前后一系列的美国知名上市公司财务造假和2008年的金融危机,对企业加强内部控制的呼声也越来越高。

二、新框架和旧框架的主要变化

新框架在内部控制的核心定义、立方体结构以及各个维度基本保持了原貌,同时,用以评估内部控制系统有效性的准则和对于判断的运用也基本维持不变。

在进一步细化新框架的几项重要变化,包括如下:


**,采用了内部控制5要素加17项基本原则的方法;
这里需要强调一下,目前大家在资料上看到的都是5要素17项原则,然后17项原则细分为79个关注点。
这个关注点数量是错误的,经过我仔细核对,17项基本原则覆盖82个关注点,其中和财务报告内部控制相关的有75个关注点。
第二,明确了对有效的内部控制的要求;
第三,扩大了报告类型的范围;
第四,明确了“目标设定”在内部控制中的作用;
第五,考虑了市场和全球化的趋势;
第六,强化了公司治理的概念;
第七,考虑了不同商业模式和组织结构的内部控制;
第八,考虑了法律法规、规章及标准的复杂性;
第九,考虑了对组织能力和责任的更高要求;

第十,反映了科技进步对组织的影响;
十一、加强了对反舞弊的考虑。


三、新版风险管理与新版内部控制框架的关系


在2013年发布的内部控制框架中,COSO讨论了其与2004年发布的企业风险管理框架之间的关系,包括框架之间的要素比较和彼此的定位,表明了内部控制是企业风险管理的一部分。


各位都知道,COSO在2017年更新其企业风险管理(ERM)框架,而且是做了翻天覆地的大变脸,所以2013年内控框架中关于两者之间的大部分论证都已失效,不再具有意义。这也是COSO下一版内部控制框架要重新审阅的内容。


之前我们和大家介绍过风险管理的起源和发展,从COSO这一脉上来说,其风险管理是从内部控制体系中慢慢发展演变过来的,所以两者的内部关联性还是非常强,但也有明显的各自侧重和区别。


2017年COSO的风险管理框架中共涉及20个原则92个关注点,经过详细比对,其中有23%的关注点和2013年的内部控制框架关注点重合。


2013年COSO的内部控制框架中共涉及17个原则82个关注点,经过详细比对,其中有34%的关注点和2017年的风险管理框架关注点重合。


但是,从其他国际组织来看,风险管理和内部控制的关联度不一定这么紧密,比如ISO,ISO在其公布的风险管理标准ISO31000来看,并没有谈及任何与内部控制相关的内容。


去年在ISO国际风险管理标准的年会上,针对正在编制的ISO31000应用手册,我和起草小组的国际专家提议,是否考虑将内部控制的相关要求纳入风险管理实施中的一部分,最终经过专家讨论并未列入,理由是从风险管理的角度看,内部控制仅是风险管理中风险应对方式里风险控制的手段之一。


所以,可以看出不同组织的偏好和风格对于看待两者之间的关系也有不同的结论。




上一篇:如何打开风险、内控、合规、审计、监察的职能边界?
下一篇:证券投资基金销售机构内部控制指导意见

【查看更多】