在实践中运用COSO的理论.docVIP

在实践中运用COSO的理论 美国2002年通过的《萨博尼斯法案》（SOX）要求上市公司——不管规模的大小——都要对针对财务报表的内部审计的有效性进行年度评估。幸运的是，公司们有一套可以依靠的行业标准——《内部审计－一体化框架》，来帮助它们评估和完善自己的内控系统。 ? 由美国COSO协会（The Committee of Sponsoring Organization of the Treadway Commission）1992年颁布，这份《一体化框架》在相当长的时期内为各公司建立内部审计体系提供了一份蓝图，以帮助公司提高效率，降低风险，确保财务报表的有效性以及对相关法规的遵循。因为它的全面、高效以及对通用的内审原则的概括，在全世界范围内，《一体化框架》都受到了广泛的赞赏和欢迎。 ? 从《一体化框架》的第一次颁布至今，财务报表、公司管理以及政策法规环境的很多方面都发生了变化。如今，《萨博尼斯法案》第404条款（SOX 404）成为了公司对财务报表内审进行评估的一个主要驱动。而多年以来，那些人力和资本资源有限的较小型公司在经济有效地应用COSO原则方面一直存在困难。 ? 鉴于此，COSO协会进一步草拟了《较小型上市公司财务报表内审报告指导》。在1992年《一体化报告》的原则指导下，这份新的文件对原报告进行了补充，主要关注解决较小型公司面临的几个主题。从而使COSO指导原则适用于所有规模的公司组织。 ? 内部审计的五个关键 ? COSO报告列举了的26个基本原则，均关于内部审计的5个关键组成部分：1）控制环境，2）风险评估，3）控制行为，4)信息和沟通，和5）监控。报告系统地定义了与每个组成部分相关的各基本原则，归纳了它们的特征，列举了一系列较小型的企业可以用来落实这些原则的方法，并通过个现实生活中的真实案例来说明了这些原则的有效性。 ? 控制环境 ? 因为控制环境组成了一个组织抵御风险和财务报表失真的第一道防线，所以组织高层的重视是一个非常关键的因素。研究持续表明当高级管理层致力于强化内部控制并在行动中清楚地体现出来的时候，公司的内控表现更好，效果也更持久。COSO发现在董事会中引入外部成员可以有助于降低管理层越权的风险，但较小型的公司通常不会在董事会中增加高素质的外部成员。为什么？COSO报告认为这是因为大股东不愿与人分享控制权，或被其他势力挑战。 ? 而COSO相信在董事会中有效地增加外部成员带来益处通常会大于给董事或经理上责任保险，而且这样也能给公司带来显著的长远价值。COSO也建议审计委员会主要由独立董事会成员组成。 ? COSO协会进一步认为执行和评估财务报表内部控制最有效和最经济的方法就是在组织的企业文化中融入风险意识。 ? 风险评估 ? 根据COSO的理论，影响在风险评估层次控制目标实现的主要因素是：1）财务报告客体的重要性；2）对财务报告风险的鉴定和分析；3）对舞弊风险的评估。尽管较小型公司更倾向于缺乏正规的、结构化的风险评估程序，但是每个公司组织都应该遵循风险评估中的基本原则。 ? 归功于CEO和其他关键管理者的深度参与，较小型企业可以从有效的风险管理中获益良多。因为在这些组织中，对风险进行评估的人往往不仅掌握有用的信息，而且对信息的涵义有着深刻的理解。 ? 控制行为 ? 控制行为贯穿整个组织，发生在所有的级别和所有的功能单元中。在较小型的企业里，控制行为通常能够反映出企业特色，包括相对集中的决策权，更大的控制范围，和更短的沟通距离。较小型企业可以通过对多种途径的整合来实现对风险的控制，这些途径包括管理层的监督，责任的分割，和独立调解。较小型企业也能通过文件的方式更灵活地实现工作责任、政策和程序的转变。 ? 信息和沟通 ? 不管规模如何，所有企业都必须按照某种方式来界定、掌握和交流有用信息，以使得职员能实现他们的工作职责。在信息和沟通程序中加入规范的管理措施就相当于在财务报表上设置了内部控制机制。较小型企业中的信息系统和内部沟通机制通常不如大企业中的那么规范，但它们扮演着同等重要的角色。 ? 信息技术的使用有助于较小型企业实现控制的标准化。而且，它们的信息系统会就相关的外部事件、活动和条件作出鉴别并报告。同样，由于CEO更容易接触，较小型企业可能比大型企业更容易实现有效的内部沟通。 ? 监控 ? 有效的监控包括：1）不间断的监控，2）分别评价，3）对缺陷进行报告。作为较小型企业控制系统中一个关键的组成部分，监控可以确保所有内部审计的5个组成部分各在其位，并经过精心设计，而且运转良好。通过把监控功能加入到业务流程中，较小型企业可以降低成本并减少付出的努力。 ? 较小型企业中的不间断控制活动更有可能是手工的，并包含了CEO和其他关键管理者的参与。而且，高效的不间断控制活动能够抵消缺乏对内控系统的分别评价带来的不利