41
2013.3中国内部审计
一、背景说明
COSO 委员会于1992年发布了《企业内部控制整体框架》,亦即所谓的旧框架,并于1994年进行了一些内容增补。

该框架逐渐得到世界
各国内部控制准则制定机构的认同,成为国际通用的内部控制准则。

特别是为遵循美国《萨班斯法案》(Sarbanes-Oxley Act,2002中有关财务报告内部控制的要求,在美国上市公司都以COSO 框架为准则来设计企业内部控制体系,进一步推动了C O S O 内部控制框架在世界各国的广泛应用。

台湾于2002年11月18日发布的《公开发行公司建立内部控制制度处理准则》,经过六次修订,最新版本于2011年12月21日发布,也是在借鉴COSO 内部控制框架的基础上,结合台湾内部控制落实条款制订而成的。

自旧框架发布以来,企业的经营环境和管理模式发生巨大变化,新的科技应用和复杂组织结构以及愈加严格的治理要求,促使企业在满足COSO 旧框架的营运、合规、财务报告内部控制目标的基础上,越
来越重视公司治理和风险管理,关
注范围扩及非财务报告的内部控制。

此外,近年来由于内部控制失效而发生的一系列舞弊事件以及金融危机的破坏性影响,也要求加强和完善内部控制准则。

为顺应形势要求,2010年9月COSO 委员会启动了对《企业内部控制整体框架》的审核与更新,并聘请
新C O S O 内部控制整体框架介绍
◆王怡心
普华永道会计师事务所(PWC作为项目计划执行单位,着手新框架的
制订工作。

为确保能够广泛代表各方意见,COSO 委员会还成立了一个由实务界、学术界、政府机构和非营
利组织代表们组成的顾问委员会,提供咨询意见。

2010年9月至2011年1
月,COSO 委员会对700多个旧框架的使用者进行问卷调查。

结果显示,回应意见大部分支持对旧框架进行修订和更新,但不建议重新再造新框架。

2011年12月,COSO 委员会发布了新框架的征求意见稿来公开征求意见。

二、新框架的改变重点
C O S O 委员会认为旧框架中关
于内部控制的基本原则和核心要素在现有环境下仍然有效,所以新框架在内部控制的定义、内部控制五大要素(控制环境、风险评估、控制活动、信息与沟通和监督、评估内部控制体系有效性的标准以及专业判断的运用等方面与旧框架保持了一致。

针对内部控制的认知和实践方面,旧框架的重点在于“知悉与建立”,新框架的重点在于“承诺与落
实”
,请参阅表二的COSO 新旧原则比较表。

新框架的变化主要呈现在以下几个方面:(一着重“原则导向”的方法新框架最显著的变化是在旧
框架的基础上,提出基于内部控制五大要素的17项总体原则(请
参阅表一和82个相关属性,其内容为部分延续、部分新增、部分
修改和部分删除。

17项总体原则和五项基本要素作为内部控制的基本概念,适用于所有的组织;82
个属性代表相关原则的主要特征
和关注点。

17项总体原则和82个相关属性,构成了企业开展内部控制建立与评价的主要标准。

(二明确“目标设定”在内部控制中的角色
旧框架将目标设定作为一个管理过程,认为目标设定是风险评估要素的前提条件,并且COSO 委员会2004年发布的《企业风险管理整体框架》将目标设定作为内部控制的八大要素之一。

新框架同样强调目标设定是内部控制的风险评估的前提,但明确指出目标设定不是内部控制的组成部分。

(三强化“公司治理”的理念新框架包括了更多的公司治理中有关董事会及其专业委员会(包括审计委员会、薪酬委员会、提名与治理委员会等的内容。

这与台湾金管会制定有关公司治理的规定相一致。

(四扩大“财务报告的范畴”旧框架在内部控制目标设定中
仅仅关注于财务报告目标,目的是确保编制可靠的公开发表财务报告,主要是企业面临主管机关的要求。

新框架在报告对象和报告内容两个
2013.3
42中
国内部审计部分,提出扩大范围的要求。

在报告
对象方面,既要面向外部的投资者、债权人和监管机关,确保报告符合有关监管要求;又要面向内部的董事会和管理阶层,满足企业经营管理决策的需要。

在报告内容方面,除了包括传统的财务报告,还涵盖了市场调查报告、资产使用报告、人力资源分析报告、内部控制评价报告等非财务报告。

新框架对报告范畴的扩展对金管会的相关规定,未来会有一些影响。

(五增加了“反诈欺与反贪腐”的内容与旧框架相比,新框架包含了更多的关于反诈欺与反贪腐的内容,并且把管理阶层评估欺诈风险作为内部控制的17项总体原则之一,重点加以阐述。

(六考虑了不同“商业模式和组织结构”的内部控制
随着经济全球化的发展、技术的不断进步和人才竞争的激烈,近年来企业的商业模式和组织结构发生了巨大变化,企业在营运过程中更多地使用第三方提供的产品或服务,管理阶层更加需要注意包括供
应商和客户在内的价值链管理。

为此,新框架分析了不同商业模式和组织结构下内部控制的有效性问题。

此外,新框架还进一步解释《企业内部控制整体框架》与《企业风险管理框架》(2004、《财务报道的内部
控制——较小型公开发行公司指引》(2006、《内部控制监督指引》(2009之间的关联性。

总之,新框架并没有改变旧框架关于内部控制的基本概念和核心内容,而是对旧框架的某些概念和指引进行更新和改进,以期适应近年来企业经营环境的演变、监管机
构的要求和其他利益关系人的期望。

COSO 委员会主席大卫・兰德斯蒂尔
(David ndsittel表示:“各类组织可以继续沿用旧框架,因为它是历经时间考验的。

新框架无意改变内部控制原有的定义、评估方法或管理模式,而是给使用者提供了更加全面、准确的内部控制概念、指引和案例。

”
三、征求意见情况
新框架征求意见稿的发布引起了全球会计审计组织、内部控制实
务界、理论界的广泛关注。

美国管理会计师协会(IMA、加拿大特许会计
师协会(CICA等组织对COSO 委员会修订内部控制框架表示赞同和支持,认为新框架充分考虑了企业经营环境的变化、科技的进步以及各国主管机关的监管要求,为企业开展内部控制建立与评价提供了有益
的指导。

国际内部审计师协会(IIA、美国审计总署(GAO赞同新框架的17项总体原则和82个相关属性,指
出“原则—属性”的方法给企业建立和评价内部控制的有效性提供了一个有效方法。

美国银行业协会(ABA表示新框架对银行业内部控制具有
较大影响,可以有效帮助银行业扩
展内部控制设计与评价工作。

普华、德勤、毕马威、安永等国际会计公司认为新框架在内部控制的设计、实施和评价等各方面进行了更新和提高,可以更有效地支持管理阶层和
会计师的查核工作。

美国最大的电信服务商Verizon 公司、花旗银行等认为新框架将内部控制报告目标扩展到非财务报告
领域,给在美国上市公司遵循《萨班斯法案》带来内部控制实施成本的增加。

美国埃克森美孚公司等关注新旧框架的转换和新框架的生效日期,建议COSO 委员会与美国证管会
及其他监管机构充分考虑企业的实
际情况,设置一个合理的新旧COSO
框架转换期。

美国会计学会(AAA也认为管理阶层更加关注新框架对公司遵循《萨班斯法案》的影响,因此新框架转换应当在这方面加以清楚说明。

四、建议
新框架代表国际内部控制和风险管理领域的最新研究成果和发展
趋势,对台湾企业内部控制制度体系的完善与实施具有重要的借鉴意义。

为此,建议可以开始进行下列工作。

(一加强与C O S O 委员会的沟通,建立定期联系机制
台湾内部稽核协会持续地与C O S O 委员会等国际内部控制准则
制定机构的交流与合作,建立定期
联系机制;并主动参与台湾内部控制准则修订和制定工作,协助企业内部控制体系采用COSO 框架,营造
良好的经营环境。

(二掌握新框架的最新进展,做好新框架的研究与翻译工作
按照COSO 委员会的工作计划,新框架于2012年底正式发布。

我们将密切掌握新框架的最新进展情况,积极与COSO 委员会联系新框架在
台湾的翻译出版事宜。

同时组织有关专家和人员,开展对新框架的研
究与翻译工作,为台湾内部控制理论研究者、实务工作者及政府单位提供重要参考信息。

(三进一步完善台湾的内部控制规范体系,推动与COSO 内部控制框架的趋同工作
新框架与台湾企业内部控制相关规范体系,在整体框架、基本要素
43
2013.3中国内部审计
和主要内容方面皆为一致,为台湾企业在公司治理、风险管理、内部控制与内部稽核奠定了坚实基础。

建议进一步研究台湾企业落实内部控制工作中,取得其成效和存在的问题,汇整成建设性的意见供各界参考。

台湾内部稽核协会可积极推动
与COSO 框架等国际内部控制准则的趋同工作,促进台湾企业在国际市场有更好的竞争力。

(本文摘自台湾内部稽核协会《内部稽核(季刊》杂志总第79期。

作者王怡心是台湾内部稽核协会理事长
表一COSO 新旧框架原则数目比较
表二COSO 新旧原则比较表。