2023年11月26日發(作者:蛋糕上的祝福語)
學海泛?新版COSO內部控制框架的運?
編者按:
為提?會計領軍學員集訓學習效果���,?勵學員深度思考和經驗總結,根據會計領軍培養?綱,學習期間學員需要完成集
訓?結����、研討報告�����、讀書筆記等作業。國會?學堂著?打造領軍?分享?得體會與學習成果的平臺��,現擇優推送會計領
軍學員作業�,以饗讀者。
?�、2013年COSO更新版內部控制框架指導原則對該框架運?上的實質意義
(?)2013年COSO內部控制框架更新的背景
美國反虛假財務報告全國委員會(Treadway)的發起組織委員會(COSO)1992年9?發布了《內部控制——整合框架》�����,
旨在幫助公司或組織制定和評價其經營、合規和財務報告?標的內部控制體系����。安然��、世通等丑聞爆發后��,為了保護投
資者利益����,美國于2002年通過薩班斯—奧克斯利法案(SOX)�����,要求上市公司執?財務報告的內部控制�����,由此內部控制引
起了世界的?泛關注����,逐漸成為世界上使?最?泛的內部控制框架�,中國也于2008年頒布了中國版SOX法案——《企
業內部控制基本規范》。
從《內部控制——整合框架》頒布到2013年近20年的時間��,“組織的業務和經營環境發?了巨?的變化�����,如互聯?的?
泛使?�����、科學技術的進步、商業模式的改變以及全球?體化等。與此同時,利益相關者更多地參與治理過程���,并且尋求
更透明和更負責的內控體系來?持決策和組織的治理”,這些變化都要求《內部控制——整合框架》需要適應環境進?
調整。?融危機爆發以后�����,股東和其他主要利益相關者越來越關注風險以及如何控制風險���,因為他們認為不充分的風險
管理是導致?融危機的主要原因����,這進?步加速了COSO對《內部控制——整合框架》的修訂步伐�。
(?)2013年更新版COSO內部控制框架與1992年版內部控制框架?較
1、兩者相同之處
兩者在以下三個??沒有變化:?是內部控制的核?定義基本保持不變����;?是內部控制五要素基本保持不變��,都包括控
制環境、風險評估����、控制活動��、信息與溝通以及監控活動等五?要素;三是評估內控有效性的原則與?法基本保持不
變��。
2��、兩者不同之處
2013年新框架與1992年舊框架在以下兩個??有所變化�����。第?,內部控制?標進?步擴展�。與舊框架相?��,COSO新
框架擴?了報告?標范圍,將原有的財務報告?標擴展到?財務報告?標��。第?����,COSO 新框架最重?的變化�����,就是明
確列出了17項原則���。所有原則均適?于運營�����、報告及合規三類控制?標,從?使新框架更加以原則為導向。為更精確地
理解每項原則����,新框架還提供了79個關注點���,進?步充實了內部控制體系的內容�,為企業實施新框架提供了更多的?持
與指導��。
三����、2013年COSO更新版內部控制框架指導原則對該框架運?上的實質意義
2013年COSO更新版框架指導原則對該框架的運???有重要的意義。表現為:
第?��,通過評估COSO新框架的主要變化���,以及這些變化對于公司內部控制體系建設及評價的影響����。按新框架下的“17
項原則+79個關注點”開展?作,可以全?深?對現有控制?冊中的流程或控制進?補充與完善���,彌補舊框架下有關內容
的不?或簿弱環節��,增加風險防控能?�����。
第?,便于利于新版框架確定的原則與關注點,完善公司的內控?我評價的?法和流程��,提升有關?我評價的技術與?
法���。
第三�,有利于運?新框架的原則與關注點對公司進?整體評估,從?實現公司的戰略?標��、合規?標和財務?標�。
第四,根據新框架的原則編制并形成相應的?檔資料�����,并就?法�����、流程中的重?變化與審計委員會進?必要的溝通��,有
利于公司?標的實現,也有利于監督?作的開展。
?����、中國內部控制框架與COSO更新版內部控制框架的?較
?����、中國內部控制框架與COSO更新版內部控制框架的?較
(?)中國內部控制框架
2008年6?28?����,國家財政部���、審計署�����、證監會����、銀監會���、保監會等五部委聯合發布了我國第?部《企業內部控制基本
規范》(財會【2008】7號?)�����,并于2009年7?1?起?先在上市公司實施�����。它被稱為中國版的薩班斯—奧克斯利法案
(SOX)。五部委?于2010年4?26?聯合發布《企業內部控制配套指引》����,包括18項《企業內部控制應?指引》�,以及
《企業內部控制評價指引》和《企業內部控制審計指引》(財會【2010】11號?)。上述“?個基本規范和三個指引”構
成了中國內部控制的框架�����。
(?)中國內部控制框架與2013年更新版內部控制框架的?較
1�、兩者相同之處
(1)對內部控制的認識基本相同
我國《企業內部控制基本規范》所稱內部控制,是由企業董事會����、監事會、經理層和全體員?實施的�、旨在實現控制?
標的過程����。COSO報告認為���,內部控制是由董事會����、管理層和員?共同設計并實施的,旨在為實現組織?標提供合理保
證的過程�。COSO報告認為內部控制是?過程���,是實現?標的?段���,是與管理過程融合在?起的���,是?個不斷發現和解
決問題的循環往復的動態過程�����。內部控制的有效性也只是這個“動態過程”中某個時點上的?種狀態。
(2)內部控制的構成要素形式上相同
我國《企業內部控制基本規范》在形式上借鑒了COSO報告五要素框架�,與COSO報告的五個要素相同��,包括控制環
境、風險評估���、控制活動、信息和溝通及監督���。
2�、兩者不同之處
(1)內部控制的?標不同
我國《企業內部控制基本規范》指出內部控制旨在實現以下五類?標:企業戰略;經營的效率和效果;財務報告及管理
信息的真實�����、完整��;資產安全��;遵循國家法律法規和有關監管要求??芍?��,《基本規范》借鑒了COSO報告的?標�����,同
時考慮到我國國有?型企業?重?、國有資產流失嚴重的國情,增加了資產安全?標���,這是我國內部控制規范對COSO
報告的補充。
新版COSO報告指出,內部控制是為實現以下三類?標提供合理保證:運營?標——組織運營的效果和效率,包括運營
和財務績效?標,資產安全不受損失�;報告?標——內����、外部的財務和?財務報告的可靠性��、及時性�、透明度���,以及其
他監管者�����、公認的標準制定機構和組織政策所要求的??�����;遵循?標——遵守對組織適?的法律法規。
(2)內部控制的責任主體不同
我國的《企業內部控制基本規范》對內部控制的主要責任主體的責任分別進?規定:事會負責內部控制的建?健全和有
效實施����;監事會對董事會建?與實施內部控制進?監督���;經理層負責組織領導企業內部控制的?常運?���。
在COSO報告下�����,管理層對內部控制負主要責任,不但要向董事會下屬的審計委員會報告,還要評估內部控制的有效性
并對外發布內部控制報告��。
(3)原則與關注點不同
我國的《企業內部控制基本規范》規定了五項原則��,它是企業建?與實施內部控制應當遵循的基本準繩���,它包括全?性
原則����、重要性原則����、制衡性原則、適應性原則和成本效益原則�����。我國的《企業內部控制基本規范》沒有明確各原則對應
的關注點�。
新版COSO中明確列出了17項原則�。所有原則均適?于運營、報告及合規三類控制?標����,從?使新框架更加以原則為導
向���。為更精確地理解每項原則�����,新框架還提供了79個關注點,進?步充實了內部控制體系的內容�����。
(4)內部控制規范法律地位不同
(4)內部控制規范法律地位不同
我國《企業內部控制基本規范》及配套指引是由財政部等五部委聯合發起成?的企業內部控制標準委員會研究制定����,制
定機制屬于政府主導型,它具有很強的權威性和公信?�,能夠協調各?利益����,較少地受到有關利益?的影響����,為建?健
全我國企業內部控制標準體系提供政策指導和咨詢服務。我國《企業內部控制基本規范》及配套指引由財政部以?件形
式發布�����,是部門規范性?件�,具有法律效?,但法律的層次不?���。
新版COSO框架是由美國COSO委員會這?民間組織制定�,屬民間主導型。由于美國市場經濟發達����,市場化程度?��,民
間專業團體影響??�����,由于參與基礎?常?泛,其制定的法規也很容易取得?泛認可���。同時也得到了美國法律的認可,
具有較?的法律效?���。
三、COSO內部控制框架及其指導原則的應?
中國電信股份有限公司為中國第??電信運營商��,主要在中國提供固定及移動通信服務�����、互聯?接?服務��、信息服務,
以及其他增值電信服務�����。截?2017年底���,公司擁有約2.50億移動?戶���、約1.34億有線寬帶?戶及約1.22億固定電話?
戶��。公司發?的H股及美國存托股份分別在?港聯合交易所有限公司(0728)和紐約證券交易所掛牌上市(CHA.N)。
為了滿?SEC對在美國上市公司實施《薩班斯—奧克斯利法案(SOX)》的要求,中國電信股份有限公司成?了內部控制
建設團隊和內控評估評估團隊開展適應《薩班斯—奧克斯利法案(SOX)》五要素要求的內部控制建設和評估?作,公司
分別印發了《內部控制?冊及權限列表》和《內部控制?我評價?冊》等有關制度。
(?)控制環境
公司從企業價值取向�����、治理結構��、管理哲學和經營風格��、組織結構、權責劃分等??對公司的控制環境進?控制并頒布
了相關的規章制度。
公司根據國家有關法律法規和企業章程�,建?規范的公司治理結構和議事規則��,明確決策、執?、監督等??的職責權
限,形成科學有效的職責分?和制衡機制���。股東?會享有法律法規和企業章程規定的合法權利,依法?使企業經營?
針、籌資��、投資�����、利潤分配等重?事項的表決權�����。董事會對股東?會負責,依法?使企業的經營決策權���。監事會對股東
?會負責,監督企業董事����、經理和其他?級管理?員依法履?職責����。管理層負責組織實施股東?會���、董事會決議事項���,
主持企業的?產經營管理?作����。
(?)風險評估
公司的風險評估程序能夠確認公司層次和經營活動層次的相關風險并考慮其影響����。風險評估程序考慮了外部和內部影響
?標實現的因素��,全?、系統����、持續地收集相關信息��,結合實際情況,及時進?風險評估��。公司開展了全?風險管理?
作�,并發布了《關于推進全?風險管理?作的指導意見》,對開展全?風險管理?作的?標����、責任體系和?作的政策和
程序進?了說明���。
公司從識別內外部風險���、確定風險承受度����、評估風險����、風險防范���、風險分析等?個層?開展風險管理?作��。
(三)控制活動
公司以風險為導向設計控制活動�����,綜合考量監管部門的要求、管理和經營活動的需要�����、風險評估的結果以及內外部審計
的發現等因素��,通過修訂���、更新和完善內控?冊����,確保內控?冊防范的風險與風險評估的結果相?致�,且所有風險均有
恰當的控制活動予以對應。
公司將“內部控制業務流程”分16個?類共46個業務流程���,對公司主要的內部控制業務流程進?了詳細規定,合理保證企
業經營管理合法合規�、資產安全���、財務報告及相關信息真實完整���,提?經營效率和效果,促進企業實現發展戰略。
(四)信息和溝通
公司通過信息系統確認、收集�、處理和報告信息����。相關信息包括從外部獲取的?業�����、經濟和監管信息以及內部產?的信
息��。公司根據整體戰略開發或修改信息系統,從?促進公司層次?標和活動層次?標的實現。公司印發了《企業信息化
戰略規劃(ITSP)》,按照“統?規劃,分步實施��,數據共享��,應?導向”的?針����,建設?個先進的信息化體系,全??
撐企業的運營和管理。
在信息的處理中����,溝通是必要的環節�����。公司針對不同的溝通?標群體,建?了對應的溝通機制����,并建?了相關的制度和
實施細則�,確保公司內部的上?���、下達和同級傳遞以及公司與外部的溝通��,包括與外部投資者、債權?、客戶、供應
商�、中介機構和監管部門等有關??之間的溝通順暢��。
(五)監督
公司通過制定《內部控制評價辦法》、《內部控制?我評估操作指南》和《內部控制獨?評估操作?冊》等規定,保證
了評估程序的規范性�����。
公司內控?我評估采取?上?下的?式����,加強了對控制環境和與重?會計報表科?對應控制點的評估?度;內控?我評
估堅持風險導向原則�����,在全?評估的基礎上��,重點評估通過風險分析?確定的關鍵控制領域和控制點���。
公司上下都?常重視內控缺陷整改?作�。針對?我評估�、獨?評估和內控審計?作中發現的缺陷,公司督促各單位落實
