从美国财务危机看COSO报告.pdf

从美国财务危机看 COSO 报告 作者：张安明 十年前，COSO 报告①在世界范围内为内部控制提供了比较一致的概 念解释和评价标准，对提升内部控制研究和运用水准，对增强企业风 险防范能力，产生了积极影响。COSO 报告不仅在美国被广泛运用， 在世界许多地方也被视为模板。时至今日，世界又发生了很大变化。 特别是进入新世纪后，继网络泡沫和新经济遭挫之后，美国社会又出 现“安然”、“施乐”和“世通”等特大恶性企业欺诈案件。这些欺 诈案件虽然在具体操作手法上有高有低，但几乎与 20 世纪 30 年代臭 名昭著的麦肯希罗宾逊（McKesson ＆Robbins ）案件采用了同样的作 案手段，即：通过关联交易、高估资产或隐瞒负债，操纵利润。惊恐 之余，重新研究和诠释 COSO 报告，对于分析和规避恶性财务欺诈， 对于完善内部控制研究和健全企业内部控制，具有重要的现实意义。 一、COSO 报告的现实意义 COSO 报告是在美国金融风险加剧，财务欺诈抬头，社会各界对 内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团 体联合并潜心研究近 4 年左右的时间才诞生的。COSO 报告中蕴涵了 许多崭新的理念和思想。这些理念和思想，不仅对过去，而且对现在 甚至未来的企业管理、财会工作和独立审计都有着重要影响。笔者认 为主要有以下几个方面： ●准确定位内部控制基本目标。COSO 报告指出内部控制本身不 是目的，而是实现目标的手段。内部控制目标是帮助企业奔向经营目 标、完成使命和减少经营过程中的风险②。用中国话来说就是为企业 的经营和管理工作“保驾护航”。 ●提出三类目标、五项构成要素概念。COSO 把内部控制细分为 经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、 风险评估、控制活动、信息与沟通和监测活动五项构成要素。这些概 念的提出，为评价内部控制系统提供了一套完整的标准，使 COSO 报告在理论和实际应用两个方面都较原来的内部控制学说有一个质 的飞跃。 ●提出内部控制是“过程③”，并由控制环境、风险评估、控制 活动、信息与沟通和监测活动五项要素构成。五项控制要素不是内部 控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的 反复的过程。COSO 报告突出了内部控制过程中的复杂性和各控制要 素之间有机的多维的联系与影响。 ●强调“人”的重要性。COSO 报告指出人和环境是推动企业发 展的引擎④。内部控制是由人来设计和实施的，企业中的每位员工都 受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部 控制系统。所以，要求所有员工都应清楚他们在企业、在内部控制系 统中的位置和角色，并协调一致，才能推进内部控制的有效运转。 ●认识到董事会在内部控制中的作用。COSO 认为董事会与公司 内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。 一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司 经理班子逾越内部控制的行炉⑤。 ●强调内部控制系统系是“内置于”（built in ）企业经营和管理 过程中的一项基础设施（infrastructure ），与管理活动的计划、执行 和监控职能交织融合在一起，不是后天添加物（built on ）⑥。同时内 控系统应有应对不断变化的客观世界的机制。 二、COSO 报告之缺陷 COSO 报告是以职业会计师为主体队伍的研究成果，应用的现实 特别是面对美国财务危机的现状，显示 COSO 报告在控制能力上的 差距。COSO 报告中主要值得商榷的问题有： ●没有充分认识到董事会对内部控制系统的至关重要性。虽然 COSO 报告把董事会与内部控制联系起来，但它的这种联系仅仅局限 于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在 CEO 之下，而对董事会更为重要的作用和董事会与 CEO 之间的联系 和制衡关注不够。这好比设计一幢大厦，只看到了地上部分，忽视了 地下基础。 ●COSO 提倡的反映内部控制运行状态的“管理报告”的信息含 量和可信性值得怀疑。首先，从正常逻辑上考虑，如果一个企业的内 部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内 部控制的评价只是基于某一时点状况而言的。根据 COSO 报告，企 业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷 ⑦。第三，报告的范围仅限于与财务报告有关的内部控制，而财务报 告只是经营结果的反映。笔者认为内部控制系统的评估和持续监测是 绝对必需的，但