中国上市公司遵循SOX404条款的影响和应对方法(下(2)
2017-12-27 02:02
导读:企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善、规范。国际上比较有名的内部控制框架有美国
企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善、规范。国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等 。PCAOB于2004年推荐使用COSO框架,随后获得了SEC的批准。SEC的认可表明COSO框架已正式成为内部控制框架的标准。我国企业可以按照COSO框架建立企业内部控制制度,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内部控制机制。
1.COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。所以本文对内部控制框架的选择还是采用了后者,以符合现行规定。
2.COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构(见图5-1 )。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标(如财务报告可靠性目标),管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。
3.理解内控框架的注意事项
(科教作文网http://zw.ΝsΕAc.com发布)
①COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。
②内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。
③内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。
④内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败(内控目标未能实现),并不意味着系统是失效的。这在内部控制报告中有所体现。
⑤内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态反应的有机整体。 (二)识别关键控制
管理层对内部控制有效性的评价是基于整体内部控制,而不是个别控制或控制环节。控制的各个组成部分如前所述,是相互联系、交互作用的,但其中一些控制对整体控制的有效性具有主导作用,这就意味着我们在评价内控有效性的时候应该着眼于关键控制。因而,企业应先识别出关键控制。
关键控制同时存在于公司层面和流程层面,以下我们分别来说明:
1.公司层面关键控制的识别
公司层面的控制构成控制体系的基本构架,是更宏观的控制,对于流程层面控制的设计和实施都会产生比较深远的影响。根据大多数企业的情况,我们认为以下的公司层面控制一般属于关键控制:①公司文化②人事政策③计算机一般控制④组织目标和控制结构的对应⑤风险识别⑥反欺诈政策⑦财务报告流程⑧系统范围的监控。
中国大学排名 2.流程层面关键控制的识别
