您的位置:360文档中心› COSO内部控制新框架常见问题解答

COSO内部控制新框架常见问题解答

COSO内部控制新框架

常见问题解答

前言

Treadway委员会下属发起组织委员会(COSO)——该组织就内部控制、企业风险管理(ERM)和舞弊防范提供领先思维和指引——发布了众人期待已久的更新版《内部控制-综合框架》(“新框架”)。COSO 于1992年刊发该框架的原始版,获得普遍认可和广泛应用,特别是为在美上市的公司提供了一个主要的适用框架,协助其依据《萨班斯-奥克斯利法案》第404条款的规定,提交有关财务报告内部控制有效性的报告。时至今日,这一历经时间考验的框架仍然被视为能够就内部控制的设计和评估提供指引的前沿文件。

COSO发布的新框架是一项重要的发展,因为它令企业能够高效果、高效率地制定内部控制系统,以帮助企业实现重要的业务目标并持续优化企业绩效。该框架也能帮助组织适应日益复杂和不断变化的商业环境,将风险降至可接受水平并且提高决策信息的可靠性。目前正在应用1992年版本框架开展《萨班斯-奥克斯利法案》合规流程及作其他用途的企业,应当开始着手熟悉新框架和附带文件的内容,制定过渡计划,并就新框架的发布及其对企业的影响与有关的利益相关者进行沟通。希望这份指引对刚开始实施该框架的组织有所帮助。

该指引将探讨有关COSO新框架的诸多问题,包括更新的原因;有哪些变化;过渡期的使用问题;以及企业现在应当采取的步骤。有兴趣者可至https://www.360docs.net/doc/f25304671.html,下载新框架。

甫瀚咨询

2013年5月

目录

前言 (i)

1.

何为COSO ? (1)

2. 1992年框架的更新工作是如何展开的? .......................................................................................................1

3. 这一新框架的构成如何? ...............................................................................................................................1

4. 为什么要更新1992年框架? ..........................................................................................................................1

5. 什么没有改变? ..............................................................................................................................................2

6. 什么改变了? ..................................................................................................................................................3

7. 最重要的变化有哪些? ..................................................................................................................................4

8. 如何应用关注点?如何评估内部控制缺陷? ..........................................................................................................................................6

9.

(10)

10. “存在且发挥效用”是什么意思? ..............................................................................................................1111. 管理层如何评估所有要素是否在“共同运行”? .....................................................................................1112. 外部方是内部控制的一部分吗? ........................................................................................................................................................................................................................................................................................................................................................

1113. 须何时开始应用新框架? ............................................................................................................................1214. 在过渡期结束后,继续使用原始版框架会怎样? .....................................................................................1215. 对《萨班斯-奥克斯利法案》合规工作有什么影响? ................................................................................1216. 在过渡期间,应于年度内控报告中披露哪个在用框架? ..........................................................................1217. 眼下需要做些什么?

....................................................................................................................................1318. 在应用2013年版本新框架时要完成哪些必要的任务? ............................................................................................................................................................1319. 向谁沟通——可以告诉他们关于什么? .....................................................................................................1320. 未“提早应用”的公司会否引发“连锁反应”? ..................................................................................................................................................1321. 新框架是否对内部控制的局限性做出了评论? ..........................................................................................1422. 在评价内部控制系统的时候,如何使用解释性工具? 1423. 为什么COSO 要发布“财务报告内部控制:方法和案例汇编”? 1424. 必须使用财务报告汇编吗?1425. 新框架与ERM 之间的关系如何? 15关于甫瀚咨询 .. (16)

1. 何为COSO?

COSO是美国反虚假财务报告委员会下属的发起组织委员会的简称。COSO最初成立于1985年,旨在研究财务报告中的舞弊所产生原因,同时为上市公司及其外部审计师、美国证券交易委员会(SEC)及其它监管机构和学术研究机构提供建议。它由5家总部位于美国的专业联盟赞助发起,包括:美国会计学会(AAA)、美国注册会计师协会(AICPA)、美国财务经理人协会(FEI)、国际内部审计师协会(IIA)以及美国管理会计师协会(IMA)。

2. 1992年框架的更新工作是如何展开的?

2010年,COSO决定更新1992年版本框架,并聘请普华永道(PwC)来实施该项目。在项目进程中,甫瀚咨询作为专家代表方之一,与来自企业、学术界、政府部门和非盈利组织的代表们组成了一个顾问团,共同参与了框架的更新工作。顾问团制定草案并向公众征集意见,COSO也通过网络调研和公开评论函收集反馈。基于这些反馈,COSO进行了更新并制定了新的框架。

3. 这一新框架的构成如何?

在COSO的领导下,普华永道经过两年半的努力,发布的新框架和解释性文件包括:一份内容摘要、新的框架、多份附录 1 、一份提供解释性工具的应用指南,以及一份新框架实施于财务报告内部控制的方法和案例汇编。

4. 为什么要更新1992年框架?

俗话说,“如果东西没坏,就别去修理它。”那么就1992年的框架来说:它不好用了吗?答案是否定的。但本着持续优化的精神,COSO更新框架的决定乃源于过去二十多年来的种种环境变化。自1992年至今,商业环境已变得大为不同。例如:对公司治理监督期望的提升;对风险以及基于风险的方法的更多关注;市场和运营全球化成为大势所趋;企业以及组织结构的复杂性不断提高,包括外包和战略供应商;科学技术的巨大进步;法律法规以及各种标准的要求和复杂程度也都大幅提升,等等。

此外,我们也看到了大规模的治理和内部控制失效事件所带来的破坏性影响,包括90年代金融衍生产品的彻底崩盘、美国长期资本管理公司(Long-Term Capital Management)事件、安然丑闻以及较近期的全球金融危机。这些失败案例在很多方面都为我们上了宝贵的一课,例如:管理层僭越控制、利益冲突、缺乏职责分离、透明度不足或欠缺、风险管理未加统一协调、董事会监督无效,以及导致职能失调和/或渎职行为的薪酬结构失衡等等,都会对企业产生影响。

虽然没有哪个内部控制框架能够应对上述所有问题,但毫无疑问的是,自COSO发布1992年版本框架以来,已发生了太多改变。因此,鉴于这些变化,对旧版框架进行更新,也是情理之中的事。此外,企业各层面对内部控制框架的能力和责任的预期越来越高,对其能防范和检测舞弊的要求亦不断提升,所有这些因素都推动了COSO对已颁布二十年之久的框架作出更新。

1 附录包括专业术语表、角色与责任概览、更新框架流程的讨论、对所收到评论的讨论、1992年框架修订内容概览以及新框架与《COSO企业风险管理综合框架》的比较。

5. 什么没有改变?

那些在使用1992年版本框架上已积累了丰富经验的人们会发现,2013年版新框架与旧版本有许多相似之处,原因就在于新版本是建立在已经实践验证有效的原始版本基础之上的。例如,新框架保留了内部控制的核心定义,以及构成众所周知的三维“立方体”的内部控制五大要素。我们将在下文做进一步讨论。

更新后的定义反映了报告目标的扩展(稍后讨论):

立方体的正面是内部控制的五大要素,代表立方体的行。与1992年框架类似,这些要素为企业实现目标提供支撑。这五大要素包括:控制环境、风险评估、控制活动、信息与沟通以及监控活动。它们与整个企业相关,即它们可以在公司层面,以及所有的部门、业务单元、功能、子公司或企业其他附属机构运行。总之,立方体描述了以下三者之间的直接关系:企业目标(即企业所要力求实现的);内部控制要素(即企业实现目标所需要的条件);以及业务单元、法务单元以及企业内部的其他结构单元(即内部控制要素运行的各企业层面)。每个内部控制要素都跨越和适用于所有三类目标。

在内部控制定义、立方体结构以及其各个纬度与1992年原始版本维持基本一致的同时,内部控制的有效性是采用一种基于原则的方法,根据内部控制的五大要素来进行评估的。要拥有一个有效的,能够确保一个、两个或更多类型目标实现的内部控制系统,五个要素必须全部存在和发挥效用,并且共同运行。例如,在考虑某一特定运营目标的内部控制时,惟有所有五个要素必须全部存在和发挥效用且共同运行,才能得出有关该运营目标的内部控制为有效的结论。

立方体从顶部开始,从左到右依次是运营、报告和合规目标,代表立方体的列。每个企业都会制定相关目标以及用以实现这些目标的战略和计划。立方体的侧面,如下图所示,则揭示了企业的目标既可以从整个企业的层面来设定,也可以针对企业内部具体的部门、业务单元和功能来设定(包括销售、采购和生产等业务流程),同时也描绘出了大多数企业等级式的自上而下的组织结构。

内部控制的核心定义基本保持不变。内部控制是一套由企业的董事会、管理层及其他人员实施的程序,以合理确保有关运营、报告以及合规的目标得以实现。

立方体基本维持原貌。

来源: 2013年COSO 《内部控制——综合框架》第二章

用以评估内部控制系统有效性的准则也大致保持不变。

新框架继续强调了管理层判断在内部控制系统有效性评估中的重要性。要确定某个特定的内部控制系统是否有效,是在评估了内部控制五大要素中的每个要素是否都存在和发挥效用,并且所有要素共同运作,以“合理确保”相关目标得以实现之后,所作出的一项主观判断。为协助作出判断,每个内部控制要素又都配有相应的原则,而管理层在确定这些原则的程度时也需要用到判断。

新框架维持不变的另一内容是对于判断的运用。6. 什么改变了?

新框架有几项重要变化。下面讨论七项:

1992年版本框架隐晦地提出了内部控制的核心原则,而2013年版本框架则明确地列出了17项原则,每一项原则都代表着与内部控制五大要素相关联的基本概念。2 COSO 之所以决定将这些原则明晰化,是为了帮助管理层更好地理解什么才是有效的内部控制。这些原则仍较为宽泛,以适用于盈利组织(包括上市公司和私营公司)、非盈利组织、政府机构以及其他类型组织。

每一原则都由代表着这些原则相关重要特点的多个关注点所支持。这些关注点旨在为管理层提供有用的指引,协助其设计、实施和执行内部控制,以及评估相关原则是否存在和发挥效用。不过,新框架并未要求对这些原则进行单独评估以确定其是否存在。管理层可以自由判断新框架所提供关注点的合适度或者相关度,然后根据企业的具体情况,来选择和考虑与某一特定原则密切相关的其他重要特点。

各大要素和各项原则组合起来就构成了内部控制的准则,而各个关注点则为管理层提供指引,协助其评估内部控制的各大要素是否存在并发挥效用,以及在企业内共同运作。每个关注点都与17个原则中的某个原则一一对应,而每个原则也都与五大要素中的某个要素一一对应。

COSO 的1992年版本框架指出,目标设定是一个管理流程,而且是内部控制的先决条件。新框架虽然保留了这一概念性观点,但它将相关讨论内容从风险评估章节移到第二章节,以强调目标设定并不是内部控制的一部分。

这一点非常重要,因为过去二十年以来,不仅使用或依赖技术的企业数量大幅增长,而且应用的程度和范围亦突飞猛进。技术已经从用以处理批量交易的庞大的独立主机环境,发展为高度复杂、分散且移动的应用程序,其中不仅涉及诸多实时活动,并且横跨众多系统、组织和流程。日益先进的技术会影响所有内部控制要素的实施方式。

这些概念主要关乎董事会,以及董事会的下属委员会,包括审计委员会、薪酬委员会和治理委员会。这里要传达的主要信息是,董事会监督对有效的内部控制至关重要。

首先,新框架明确列示了用以支持内部控制五大要素的原则。其次,新框架明确了目标设定在内部控制中的作用。第三,新框架反映了科技日益深入的相关性。2

对于COSO 而言,这并不算是一个新的概念。COSO 早在其于2006年刊发的《财务报告内部控制:小型上市公司指引》中便已采 纳了以原则为基础的方法。COSO 的意图旨在利用原则来强化对内部控制设计及评估流程的理解,同时也简化这一流程。

第四,新框架更深入地讨论了有关治理的概念。存在且发挥效用

新框架将财务报告以外的其他外部报告类型,3 以及包括财务和非财务报告在内的内部报告,都纳入考虑范围。如此一来,总共有四类报告——内部财务、内部非财务、外部财务以及外部非财务报告。

尽管1992年版本框架有考虑舞弊,但有关反舞弊预期以及舞弊和内部控制之间的关系的讨论并不突出。而2013年版本关于舞弊的讨论明显增多,并且考虑和探讨了将舞弊单独作为内部控制的一项原则的潜在因素。

新框架对于运营、合规和非财务报告目标的关注点的扩展,直接带来了有关这些领域的更全面的指引。提供有关指引旨在希望更多的使用者能够将新框架应用到财务报告以外的领域。

上述变更尽管重要,但无论如何都谈不上全新的修订。熟谙1992年版本框架的人将会发现,新框架在所有重大方面都与原始版本保持了本质上的类同。

7. 最重要的变化有哪些?

由于这些原则直接产生自各大要素,因此,通过应用所有这些原则,企业即可实现有效的内部控制。所有原则均适用于每个类型的目标,目的就是让新框架变得更加以原则为基础。

这个问题是COSO 在公布其征求意见稿后所收到的最重要的一项反馈,特别是有关每个原则的关注点的问题。在利用原则评估内部控制系统是否有效时,管理层和董事会需要判断与五大要素中每一要素相关的各原则是否存在并发挥效用以及其相应的程度。而这种评估也就需要考虑到各原则(以及相应的关注点,如予以考虑)如何应用的问题。

内部控制的五大要素所涉范围非常广泛。1992年版本框架对每个要素都进行了解释,而支持性的应用指引则将其中诸多解释资料纳入了各类评估工具中,原始版框架使用者便是在这些评估工具基础之上设计其自有的定制化工具的。现在的新框架只是将这些解释资料重新组织到根据五大要素所分配的17项原则之中而已。不论人们如何称呼,所期望的最终目的就是帮助使用者们更好地了解何谓有效内控,从而令其能够在进行有效性评估时做出知情判断。

为说明起见,下文列出了这17项原则,并根据适用的COSO 要素进行分组。控制环境

3

依据美国《萨班斯-奥克斯利法案》第404(a )条款出具的内部控制报告,就是一例“其他外部报告”。另一个例子便是管理层 根据国际标准化组织(ISO )的准则来开展质量管理。在这种情况下,企业可以公开报告其运营状况(例如,可以通过执行独立 审计来报告企业遵循ISO 9001的情况)。第三个例子便是许多公司自愿发布的可持续性报告。尽管可持续性报告可以选择是否通 过某些形式的外部鉴证,但报告里所包含的信息却是向投资者公开披露的。

新框架的最重大变化,就是它明确地列出了17项原则,这些原则代表着与每个内部控制要素相关的基本概念。原则的使用并非是要提供一个检查清单。企业对诚信和道德价值观的承诺。

董事会独立于管理层,对内部控制的制定及其绩效施以监督。

1. 2.

管理层在董事会的监督下,建立目标实现过程中所涉及的组织架构、报告路径以及适当的权利和责任。企业致力于吸引、发展和留任优秀人才,以配合企业目标达成。企业内部控制责任人的问责制度。3. 4. 5. 企业制定足够清晰的目标,以便识别和评估有关目标所涉及的风险。

企业从整个企业的角度来识别实现目标所涉及的风险,分析风险,并据此决定应如何管理这些风险。企业在评估影响目标实现的风险时,考虑潜在的舞弊行为。企业识别并评估可能会对内部控制系统产生重大影响的变更。6. 7. 8. 9. 风险评估

企业选择并制定有助将目标实现风险降低至可接受水平的控制活动。企业为用以支持目标实现的技术选择并制定一般控制政策。

企业通过政策和程序来部署控制活动:政策用来确定所期望的目标;程序则将政策付诸于行动。10. 11. 12. 控制活动

企业获取或生成和使用相关的高质量信息,以支持内部控制其他要素发挥效用。

企业于内部沟通的内部控制信息,包括内部控制目标和职责范围,必须能够支持内部控制的其他要素

发挥效用。企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通。13. 14. 15. 信息与沟通

企业选择、制定并实行持续及/或单独的评估,以判定内部控制各要素是否存在且发挥效用。企业及时评估内部控制缺陷,并将有关缺陷及时通报给负责整改措施的相关方,包括高级管理层和董

事会(如适当)。16. 17. 监控活动

为了证明某原则存在且发挥效用,企业必须了解有关原则的目的以及它是如何运用的;协助有关人员了解这些原则以及如何将其统一地应用于整个企业;并且将某一原则的漏洞或缺失视为须提请管理层注意的事项。这些因素都是管理层在运用恰当的判断评估内部控制时所要考虑的。请注意新框架并非描述具体的、必须存在的控制。管理层应当根据这些原则,识别组织中影响会计原则的控制设计和控制执行情况。

8. 如何应用关注点?

关注点代表了与原则相关的重要方面,为其支持的原则提供支持。为说明起见,控制环境要素的第一个原则是:“企业对诚信和道德价值观的承诺。”新框架为该原则提供了四个关注点:

许多人会认为这四个关注点对于评估原则本身是否存在且发挥效用是有用的。尽管如此,即使四个关注点并未悉数到位,也是可以判定相应的原则是存在且发挥效用的。例如,如果根据评估显示,上述四个关注点中只有三个到位,那么管理层也可以判定有关诚信和道德价值观的第一个原则是存在且发挥效用的。该企业可以确立高层态度、评估对行为准则的遵守情况并及时解决偏差情况,但是却不一定在企业的行为准则中对管理层和董事会的期望进行正式定义。此外,企业还可以通过实施其他替代性或补偿性控制来进一步支持该结论。

就像问题6中所提到的,组成要素和原则提供了协助管理层评价其内部控制的标准。虽然关注点或许能够为管理层提供有益的指导,新框架并不要求管理层分别评价它们。正如之前所提到的,关注点直接对应了17条原则。接下来几页中的表格简略地展示了新准则提供的每条准则对应的关注点 4 ,共计79条。

确立“高层态度” – 董事会和企业各个层级的管理人员都通过他们的指示、行动和行为力证诚信和

道德价值的重要性,从而支持内部控制系统发挥效用。建立行为准则 – 董事会和高级管理层有关诚信和道德价值的预期都在企业的行为准则中进行定义,

并且得到企业所有层级人员以及外部服务供应商和业务合作伙伴的理解。评价对行为准则的遵守情况 – 实施有关流程,根据企业的预期行为准则来评估个人和团队的表现。及时处理行为偏差 – 及时识别偏离企业预期行为准则的情况,并予以统一整改。

? ? ? ? 4

新框架对每条关注点提供了更详细的讨论。

企业可以在实现完美效果所需要付出的成本和寻求较低表现水平所可以获得的收益之间进行权衡,从而做出决定。内部控制的设计各有迥异,并不存在完全统一的标准。

一个存在且发挥效用的原则的确需要达到某个令人满意的水平——但这并不意味着企业在运用有关原则时必须达到最高水准。

正如我们在前面的问题中讨论的,新框架明确了管理层可以自行决定关注点是否适合或与组织相关。另外,COSO 并没有断言这79条关注点就可以形成一个完整的清单。管理层应当根据组织的活动和详细情况识别和考虑与其他与原则相关的重要因素。

9. 如何评估内部控制缺陷?

新框架指出,缺陷是指“可降低企业实现其目标可能性的一个或多个要素以及相关原则中的一个不足。”如果管理层断定存在缺陷,那么管理层就必须评估有关缺陷对内部控制系统影响的严重程度。内部控制的重要缺陷被定义为“严重降低一个企业实现其目标的可能性的一个内部控制缺陷或多个缺陷的汇总。”如果管理层断定某个要素(及一个或多个相关原则)并不存在或有关要素未共同运行,那么就存在这样的缺陷。若存在重要缺陷,企业就不能做出内部控制系统有效的结论。

新框架明确指出,在评估一个缺陷或多个缺陷的汇总的严重程度,进而断定各要素及相关原则是否存在且发挥效用,以及个各要素是否共同运行时,需要进行判断。新框架所订立的准则(即通过各要素及原则)为管理层在评估内控有效性过程中如何运用判断提供了基础。此外,还可能会出现其他情况,管理层可能被

重要的是要意识到,并非每个缺陷都指向企业未设立有效内部控制系统的结论。

要求考虑采纳由外部方(例如,监管机构、准则制定机构、上市代理以及其他相关第三方)制定的其他准则。虽然新框架并未列明类似的其他准则,但它却认同相关外部方的权利和责任,并且也可以灵活接纳他们所要求的其他准则,包括对内部控制缺陷严重性进行分类的方法。

具体评估还是要看内部控制五大要素中的每个要素是否存在且发挥效用,内部控制的五大要素是否共同运行,以及提供支持的原则是否存在且发挥效用,以“合理确保”相关目标得以实现。

10.“存在且发挥效用”是什么意思?

新框架指出,“存在且发挥效用”一语适用于各大要素及原则。“存在”是指“断定各要素及相关原则存在于内部控制系统的设计和实施中,以实现规定目标。”“发挥效用”则是指“断定各要素及相关原则继续存在于内部控制系统的执行中,以实现规定目标。”因此,在判定内部控制的某个要素是否存在且发挥效用时,高级管理层需要在董事会的监督之下,去判断有关要素所涉及的相关原则存在和发挥效用的程度。

11. 管理层如何评估所有要素是否在“共同运行”?

在对内部控制五大要素中的每个要素进行评估时,必须考虑企业是如何在整个内部控制系统中运用该要素的,而不是考虑其是否在独立运行。这就意味着,内部控制的五大要素是构成一个有效运行系统的不可或缺的组成部分。虽然管理层可以初步断定五大要素中的每个要素都存在且发挥效用,但惟有在确认了五大要素是在共同运行之后方才能做出企业拥有有效内控的结论。为此,新框架点明“共同运行”是指“断定所有五大要素集体将不能实现目标的风险降低至可接受的水平。”“共同运行”也就意味着各要素相互依存,彼此间存在着各种关联和联系,特别是各项原则在有关要素内部以及各要素之间相互作用的情况。从实际立场出发,新准则指出为说明各大要素间固有的唇齿相依的种种关联,特举例如下:作为控制活动的一部分,政策和程序的制定和部署有助于缓解风险评估中所识别和分析的风险。另一示例:作为监督活动的一部分,将内控缺陷通报给负责执行整改措施的相关方需要对企业的架构、报告路径、有关权利和责任有全面的了解,而这正是控制环境中所列明的内容,同时也是信息与沟通所要传达的。新框架还给出了其他示例。

12. 外部方是内部控制的一部分吗?

包括外部审计师和监管机构在内的外部方,并不是内部控制系统的一部分,因此,企业在评估其内控架构有效性时,也就不能将其视为用以发现和评估内控缺陷的来源之一。识别和评估内控缺陷的职责由企业人员在执行其日常工作过程中承担。

总体而言,对内部控制有效性的评估还要依赖于五大要素及其相关原则。“存在”关乎有效的设计和实施,而“发挥效用”则关乎有效的运行。如果各大要素均存在且发挥效用并且各大要素所集合的内部控制缺陷并未致使做出存在一个或多个重要缺陷的判断,那么管理层便可证实各大要素在共同运行。

13. 须何时开始应用新框架?

这一问题与早已采纳了1992版框架的企业相关,尤其是那些将在《萨班斯-奥克斯利法案》合规工作中使用新框架的企业。

COSO董事会表示,使用者应当按其具体情形,在可行的情况下,提早开始使用2013版新框架来开展相关工作和文件记录。COSO表示,使用者在2014年12月15日之前仍然可以继续使用1992年原始版本框架,但在该日期后,该框架将被COSO视为已被新框架所取代。由于COSO董事会认为原始版本框架所涵盖的重要概念和原则基本上颇为完善且已获市场普遍认可,因此,其认为公司在过渡期间(2013年5月14日至2014年12月15日)继续使用原始版框架依旧是适当的。这就意味着,按自然年度进行会计核算的公司在2013自然年度仍可使用1992年版本,但必须在不迟于2014自然年度之前过渡至使用新框架。

14. 在过渡期结束后,继续使用原始版框架会怎样?

对于需要遵守《萨班斯-奥克斯利法案》的公司来说,这并不是一个明智的选择。COSO董事会认为,如果公司在过渡期间凡涉及外部报告时采用了《内部控制-综合框架》,那么就应明确披露其采纳的是原始版框架还是2013版框架。如上文所述,在过渡期结束后便应采用2013版新框架,是已经成立的假设。但如果企业未能履行这一假设,那么他们可能会不为其外部审计师或者SEC工作人员所接纳和认可。5

15. 对《萨班斯-奥克斯利法案》合规工作有什么影响?

前面已讨论过,公司必须在其内部控制报告中清楚地披露,其在过渡期所使用的是原始版框架还是2013版框架。此外,现行的内部控制归档工作必须转至新框架下基于原则的方法。对于那些已经历了若干年艰苦卓绝的《萨班斯-奥克斯利法案》404条款合规工作的公司来说,我们相信这一点并不算什么。例如,企业可以很容易地将1992年原始版框架下的控制环境的六大属性,重新组织归类至2013年新框架的五大原则之下。

需要注意的是,新框架及相关解释性文件包括:一份内容摘要、实际框架本身、多份附录、一份应用指南(提供解释性工具)以及一份概要(提供方法和示例说明在财务报告内部控制上的应用)。后面的概要或适用于需遵守《萨班斯-奥克斯利法案》的公司。

16. 在过渡期间,应于年度内控报告中披露哪个在用框架?

在内控报告中,管理层应该披露用来评价财务报告流程内控有效性所用的框架。在使用SEC所推荐的COSO 框架进行持续披露的过程中,公司会沿用COSO发布的“内部控制整体框架”中的表达方式。在过渡期间,公司在发布内部控制报告时,可以在“内部控制-整体框架”之后加上括号,“(1992)”或“(2013)”。在过渡期完成后是否还需要加上括号还有待确认。

5 SEC工作人员或会就这一点发布实施指引。然而,在缺少有关指引的情况下,如果发行人在2014年12月15日之后仍将1992版框架用作“合适的框架”,SEC工作人员可能会对此提出关注。

17. 眼下需要做些什么?

当前正在使用1992年原始版框架的公司必须制定好过渡计划,以循序渐进地过渡至2013年版本新框架。例如,对于按自然年度进行会计核算的公司而言,是要在2013年提早开始应用2013版框架呢,还是继续使用1992版框架?此外,一旦制定好过渡计划,还应将有关计划通报给高级管理层和审计委员会。

18. 在应用2013年版本新框架时要完成哪些必要的任务?

视乎过渡计划的性质和时间,公司可以考虑部署一个类似项目管理办公室(PMO)的集中化管理机构,以确保采用一种自上而下、符合成本效益的方法来转换相关文档,进而支持企业做出新框架中所列相关原则均存在且发挥效用的结论。这种方法要求就文档转换工作进行角色、责任和权利的分配。原则应被对应至组织的现有控制,以便于管理层评价现有证据能否支持原则是否存在并有效的初步结论。理想的话,现有的控制文件将能对应到大部分的原则,尤其是当公司已经按照1992年的框架严谨地记录了它的内部控制的时候。当事实情况与某些原则存在差距的时候,公司需要查明是否有存在替代控制支持企业内控符合原则并有效的结论。一旦所有的差距都查明,管理层就能够大致得出内部控制的组成要素是否存在并有效运行的结论了。接下来管理层就能够评价内部控制五要素是否共同运行良好。

在最终确定有关方法时,还应考虑外部审计师的预期,以确保覆盖到相关审计要求,防止造成转换流程完成之后代价高昂的返工。此外,内部审计部门应当开始着手关注向新框架的过渡,以更好地开展以风险为基础的审计规划、执行和报告工作。此外制定一份沟通计划也是恰当的做法(参见下一问题)。

虽然刊发新框架所期望的最终结果并非制造另一个“检查清单”,但也有可能有人在某些地方应用了检查清单——这可能包括外部审计师。当项目管理办公室(或其他类似的工作小组)将内控五大要素的原则对应到企业的控制时,管理层可能会希望使用新框架中的关注点。假定管理层希望在评估所应用的有关原则是否存在且发挥效用时使用关注点,那么鉴于新框架中有关关注点的评论,管理层应当依据公司的具体情况来评估有关关注点是否合适、相关以及全面。项目管理办公室应当推动确保管理层实施该评价。

19. 向谁沟通——可以告诉他们关于什么?

对于正在使用原始版框架开展《萨班斯-奥克斯利法案》合规工作的企业而言,可能需要向核证官和审计委员会做出相应沟通。这些管理人员和董事们应当知晓:新框架的刊发;有哪些新发展;哪些地方没有做出改变;公司推荐的过渡计划;公司在过渡期间的披露义务;以及所设想的任何过渡过程中的问题。

未“提早应用”的公司会否引发“连锁反应”?

”?

20. 未“提早应用”的公司会否引发“连锁反应

对于正在使用1992年版本框架开展《萨班斯-奥克斯利法案》合规工作的企业而言,我们并不认为如果他们决定在过渡期间继续沿用1992年版本会引发任何大的市场反响。COSO已经做出了平稳有序的新框架过渡安排,而且COSO董事会已声明1992年版本基本完善且已获市场广泛认可。

21. 新框架是否对内部控制的局限性做出了评论?

是的。尽管内部控制能够给企业带来重要裨益,但新框架也明确指出,局限性的确存在。这种局限性可能来自于:作为内部控制先决条件所制定的目标质量及其合适性;人们在决策过程中的潜在判断缺陷;管理层在应对风险和建立控制时对成本和收益的考量;因人为原因(比如简单的错误或失误)而导致的可能的内控失效;控制可能会因两人或多人相互勾结而被规避;以及管理层绕过内部控制职能及相关决定的能力。这些局限性让董事会和管理层永远都无法获得实现企业目标的绝对保证。因此,控制只能提供合理的——而非绝对的——保证。

22. 在评价内部控制系统的时候,如何使用解释性工具?

解释性工具旨在协助管理层应用新框架评价五大要素和它们相关的原则是否存在并有效运行,以及五大要素是否共同运行。根据新框架,解释性工具的作用仅限于描述建立在有效内控基础上的评估过程。解释性工具无法代替新框架。它分成了两部分:模板部分提供了有帮助的模板以及评估内控有效性的文件;解决方案部分描述了一些应用模板评估内控系统的实例。这两个部分都是用来评价五大要素和其相关原则,并且给出了一些评估结论的总结,而不是用来评价影响原则的相关控制(例如交易层面的活动)。COSO明确表示这些模板只是解释性的,而非新框架的一部分,并且不能够穷尽列举所有的评价内控系统需考虑的事项。此外,这份模板并不是执行和记录评价的最优方法。

23. 为什么COSO要发布“财务报告内部控制:方法和案例汇编”?

COSO指出,该汇编旨在帮助用户在财务报告流程的内部控制上使用新框架。因此,该汇编是一系列的与应用新框架中的原则相关的方法和案例。它提供了实际的方法和案例说明了五大要素和原则是如何应用到财务报告流程内部控制的设计、执行和实施阶段。这些方法和案例是分别于五大要素和17条原则相对应的,并且描述了原则的不同方面是如何体现在财务报告内部控制的目标上的;然而,它并没有试图去描述五大要素和各原则的所有方面。这些方法从总体上描述了管理层应当采取哪些行动来实施这个框架,而例子描述了在某些实际情况下管理层应当如何应用每条原则,并且描述了每条原则对应的一条或多条关注点。

24. 必须使用财务报告汇编吗?

虽然该汇编只是一份与新框架一致的补充文件,但它既不能代替新框架也不是新框架的修订版本。在《萨班斯-奥克斯利法案》中,该汇编的应用程度取决于证券发行人的经验以及合规的程序。对新上市的公司或正在准备公开发行的公司,这份汇编必定对它们在财务报告内控方面实施新框架有所帮助。对于已经公开上市、实施404条款合规好几年的公司来说,它们可以有选择地应用该汇编,从而将他们现有的符合1992年版本框架的文件改写成符合新框架的以原则为基础的结构。

COSO从未意图以纲要代替新框架。新框架是权威的标准。另外,COSO对过度依赖汇编提出了警示。COSO也从未意图在汇编中描述五大要素和相关原则的所有方面。虽然汇编中的案例旨在描述原则的存在和运行效果,但这不足以使组织判断五大要素及相关原则是否存在和运行。虽然案例描述了每个原则基于实际经验的应用,并且说明了每条原则对应的一条或多条关注点,但他们并不是原则在现实中应用的全面的例证。因此,这些方法和例子只是管理层需要考虑的一部分,而不是一个完整而权威的清单。总之,读者应当参考新框架中关于企业设计、实施和执行系统内部控制的全面讨论和有效内部控制的要求。

25. 新框架与ERM之间的关系如何?

COSO在新框架的附录G中专门回答了这一问题。我们就不在此赘述相关内容。此外,为ERM评估建立了框架体系的COSO 2004版《企业风险管理-综合框架》中也有一个附录专门讨论此议题。

上述附录的基本前提如下:ERM的范围较内部控制更为宽泛并且对风险的关注更为直接。内部控制是ERM不可或缺的一部分,而ERM则是整体治理流程的一部分。

甫瀚咨询(https://www.360docs.net/doc/f25304671.html, )是一家全球性的咨询机构,帮助企业解决财务、信息技术、运营、治理、风险管理以及内部审计领域的难题。我们在20多个国家设有70多家分支机构,为超过35%的美国财富1000强及全球财富500强企业提供咨询服务。我们亦与政府机构和成长型中小企业开展合作,其中包括计划上市的企业。

甫瀚咨询是Robert Half International Inc.(纽约证券交易所代码:RHI )的全资子公司。RHI 于1948年成立,为标准普尔500指数的成员公司。

关于甫瀚咨询

甫瀚咨询的财务控制和萨班斯法案合规专业人员帮助企业建立有效的财务报告内部控制。不论您的组织是刚起步还是已合规数年,我们都可以按照SEC 的要求,通过基于风险的方法帮助您实施全面而符合成本效益原则的合规工作。我们能够识别关键风险和关键控制,开发一整套支持性文件来确保控制设计和运行的有效性,明确组织内的合规责任,并且在第5号审计准则的指导下发挥最大效用。

我们的经验是经过为上百家公司服务而积累的,使得我们有足够的知识帮助组织着眼长远,做出正确的决策并通过持续改进来创造价值。我们灵活而全面的方法背后有一套为客户定制的路线图,包括客户的工作重点、计划改进方面、长期战略改进和时间表。

我们的服务具体包括:

我们在财务控制和《萨班斯-奥克斯利法案》方面的实践

联络信息

流程描述、评估、测试和风险控制改进建议

通过合理设置风险控制点降低合规成本并实施风险导向的测试改进内部控制和影响财务报告的上游流程公司治理改进和支持

? ? ? ? ? 《萨班斯-奥克斯利法案合规》项目的规划和管理北京

中国 北京 100022朝阳区建国门外大街2号银泰中心C 座2001室电话 :(86.10) 8515 1233传真 :(86.10) 8515 1232

上海

中国 上海 200020黄浦区淮海中路381号中环广场2618-38室电话 :(86.21) 5153 6900传真 :(86.21) 6391 5598

深圳

中国 深圳 518048福田区中心四路1号嘉里建设广场1座1404室电话 :(86.755) 2598 2086传真 :(86.755) 2598 2100

香港

香港 湾仔港湾道18号中环广场2102-03室电话 :(852) 2238 0499传真 :(852) 3118 7493

2013 甫瀚咨询(上海)有限公司

?甫瀚咨询并非一间注册会计师事务所,故并不就财务报表发表意见或提供鉴证服务。

欧洲

法国

巴黎

德国

法兰克福慕尼黑

意大利

米兰罗马都灵

荷兰

阿姆斯特丹

英国

伦敦

亚太地区

澳大利亚布里斯本 堪培拉墨尔本柏斯悉尼

中国

北京

香港上海深圳

印度班加罗尔

孟买新德里

印度尼西亚

雅加达**

日本

大阪东京

新加坡新加坡

韩国

首尔

美洲

美国

亚历山大 亚特兰大巴尔的摩 波士顿 夏洛特 芝加哥 辛辛那提 克利夫兰达拉斯 丹佛

劳德代尔堡休斯顿

堪萨斯城洛杉矶密尔沃基明尼阿波利斯纽约奥兰多费城菲尼克斯匹兹堡波特兰 里士满萨克拉门托

盐湖城旧金山圣荷西西雅图斯坦福圣路易斯坦帕华盛顿温彻斯特伍德布里奇

阿根廷

布伊诺斯艾利斯*

巴西

里约热内卢*

圣保罗*

智利

圣地亚哥*

加拿大

基奇纳 - 滑铁卢多伦多

墨西哥

墨西哥城*

蒙特雷*

秘鲁

利马*

委内瑞拉

加拉加斯*

* 甫瀚咨询成员公司** 甫瀚咨询联盟公司

科威特

科威特城*

中东

阿拉伯联合酋长国

阿布扎比*

迪拜*

多哈*

卡塔尔

马斯喀特*

阿曼

巴林

麦纳麦*

相关主题
相关文档
最新文档