COSO内控新框架更加具广泛适应性

　　近日，由财政部会计司经美国科索委员会(COSO)授权翻译的《内部控制———整合框架》(2013)一书正式出版发行。这一由美国科索委员会更新的《内部控制———整合框架》，于去年甫一发布就受到国际内部控制理论界和实务界的广泛关注。

　　在中国内控建设方兴未艾的当下，COSO内控新框架无疑提供了更为丰富的经验启发。在业内人士看来，新框架更具广泛适应性。

　　新框架的反思改进

　　现行COSO内控框架是1992年由科索委员会制定发布的，适用于在美上市公司，并为世界各国内部控制提供了借鉴。此次更新为20多年来的首次修改。

　　长期从事内控建设工作的上海电力股份有限公司审计与内控部副主任朱劲松观察了其中的变化。她表示，新框架并没有改变现行框架关于内部控制的基本概念和核心内容，而是对现行框架的某些概念和指引进行了更新和改进。

　　“新框架一个显著变化是在现行框架的基础上，提炼出内部控制五要素的17项总体原则。五项基本要素和17项总体原则组合起来就构成了内部控制的标准，适用于所有的组织。每一项总体原则又由代表其重要特征的多个关注点所支持。”朱劲松说，这些关注点可为管理层提供具体的指引，协助其设计、实施和执行内控以及评估相关原则是否存在和发挥效用。

　　此外，朱劲松还认为，新框架扩大了报告目标的范畴，既要面向外部投资者、债权人和监管部门，确保报告符合有关监管要求，又要面向董事会和经理层，满足企业经营管理决策的需要。报告的内容除了包括传统的财务报告，还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内控评价报告、可持续发展报告等非财务报告。

　　新框架还强调了董事会及其下属专门委员会的监督对内控有效性的重要作用，增加了反舞弊与反腐败的内容，充分考虑了不同商业模式和组织结构的内部控制。这些都与内控建设的实际紧密结合。

　　对于上述变化，中国会计学会内部控制专家组专家、北京国家会计学院研究生部负责人郑洪涛认为，新框架的改革源于三大背景，一是上世纪90年代以来的社会经济发展环境已发生了很大的变化，二是全世界内控多样性提出更深层次、更细致、更多元化的要求，引起内控框架的反思、改进和补充，三是互联网经济、大数据应用、财务共享等诸多新运营方式和模式对传统运营方式和模式产生大的冲击，引发内控方式和手段发生翻天覆地的革命。

　　更具操作性和适应性

　　在东北财经大学会计学院院长方红星看来，除了为应对环境、技术、实务和监管发展的新变化而在个别目标、要素和具体内容上做出必要修订外，新框架最大的改变在于引入了“原则导向”的思路，也即将各构成要素的具体内容和要求概括成17项总体原则，基本摆脱了原来详细列举式的“规则导向”的行文思路。这种改变毫无疑问有着积极的意义。

　　朱劲松对此表示认同。她认为，新框架对五要素的分解不是按照子要素来进行的，而是作为“原则”来呈现的，即强调“基于原则”的内控实施和管理层判断的使用。“新框架并未要求对17项总体原则及其关注点进行单独评估以确定其是否存在或有效。管理层可自由判断新框架所提供关注点的合适度或相关度，然后根据自身具体情况，来选择和考虑与某一特定原则密切相关的关注点。”朱劲松据此认为，在内控建设和评价中，管理层可以在结合企业实际的基础上，依靠自身的判断来去除那些失效、冗余乃至完全无效的控制，以提升控制的效率和效果，而非单纯地为了控制而控制。而这种做法本身也是与新框架中强调董事会、管理层和内审人员拥有“判断力”这一观点相吻合。

　　对于新框架，郑洪涛则归纳了四个特点。一是更注重操作性，可结合17项总体原则和诸多关注点进行操作实施;二是更注重全面性，关注五大要素和17项总体原则的共同运行，关注整个“森林”，而不是像以前那样只片面关注某个要素或原则的独立运行，只见“树木”;三是更注重实务性，不同行业企业可在满足内控目标的大原则之下，根据自身的风险特点进行风险归纳、风险防范重点的设计，而不像以前那样不管性质怎样、规模多大的企业都追求统一的内控体系;四是更加注重信息系统建设。

　　对于实务性，郑洪涛还举例说，互联网企业没有库存、中小企业没有ERP，那么，它们就可以简化或取消这方面的内控要求，进而重新作出安排。

　　新框架下的新实践

　　值得注意的是，新框架也承认自身存在固有局限性，内部控制仅能提供合理保证而非绝对保证。

　　“管理层凌驾是固有局限的重要原因之一。”方红星说，新框架关于固有局限性的内容也基本上沿袭了1992年框架的表述。

　　为使这些限制最小化，朱劲松建议，企业应建立有效的权责管理体系，在设定目标和做出重大决策时，应确保由集体决策，而非仅靠一人或某一小部分人的力量;董事会独立于管理层以外，直接对内部控制的推进加以监督和控制;利用现代化先进技术，实现管理流程信息化。

　　郑洪涛则提出三点建议：一是加强对内控整体性的认识和整体性的实施，因为内控中的相关业务结构之间是相辅相成的，比如在横向来看，若销售控制做得好，则库存控制、应收账款控制等则相应做得好;在纵向来看，集团、公司、车间等是整体相通的，会计信息和财务报告是整体相通的。二是加强信息化平台建设，使处于“信息孤岛”中的各大信息系统有机连接起来，形成大的信息系统，产生大的平台支撑效应。三是加强以复合型人才建设为主的支撑体系建设，因为不管从横向还是纵向来看，不同层面的业务控制需要对不同层面业务结构的理解和运用，需要更丰富的知识结构和能力构成，若没有复合型人才，那就不能形成真正的内控。